Hai bisogno di una copia firmata ufficiale, clicca qui
Futuria CRM - Documento standard per clienti e utenti
Versione 1.1 - Data di efficacia: 25 maggio 2026
Il presente Data Processing Agreement ("DPA") disciplina il trattamento dei dati personali effettuato da Glofu S.r.l. Unipersonale per conto dei clienti e utenti dei servizi Futuria CRM. Il DPA è predisposto come documento standard del servizio e può essere accettato mediante contratto, ordine, form elettronico, checkbox, firma elettronica, link pubblico o altro meccanismo documentabile di accettazione.
1.1 Il DPA si applica tra il cliente o utente che sottoscrive o utilizza i servizi Futuria CRM (di seguito, il "Cliente" o il "Titolare") e Glofu S.r.l. Unipersonale, con sede legale in Via Merula, 7 - 20142 Milano (MI), P. IVA/C.F. 10121290968, REA MI-2506784, PEC glofu@legalmail.it (di seguito, "Glofu").
1.2 Il DPA è redatto ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") e si applica quando Glofu tratta dati personali per conto del Cliente nell'ambito della fornitura dei servizi Futuria CRM.
1.3 Futuria CRM è un servizio CRM offerto da Glofu al Cliente e basato su tecnologia SaaS fornita da HighLevel Inc. Glofu opera verso il Cliente come rivenditore/distributore e provider del servizio, avvalendosi di HighLevel Inc. quale sub-responsabile per la piattaforma e l'infrastruttura tecnica sottostante.
1.4 Il DPA non disciplina i trattamenti svolti da Glofu come titolare autonomo, ad esempio per fatturazione, amministrazione, gestione del rapporto contrattuale, adempimenti legali, sicurezza del proprio account e comunicazioni proprie, che restano regolati dalle informative privacy applicabili.
2.1 Il Cliente determina finalità e mezzi del trattamento dei dati personali inseriti, generati o gestiti nella Piattaforma, incluse basi giuridiche, informative, consensi, configurazioni, segmentazioni, comunicazioni e integrazioni attivate.
2.2 Glofu tratta i dati personali per conto del Cliente esclusivamente nei limiti necessari alla fornitura, configurazione, manutenzione e supporto dei servizi Futuria CRM, secondo le istruzioni documentate del Cliente e le funzionalità della Piattaforma.
2.3 HighLevel Inc. e i fornitori tecnici indicati dalla documentazione ufficiale HighLevel operano come sub-responsabili nella misura in cui siano necessari per l'erogazione della Piattaforma o delle funzionalità effettivamente attivate o utilizzate dal Cliente.
2.4 Se il Cliente tratta dati per conto di terzi, il Cliente resta responsabile della corretta qualificazione dei ruoli e delle istruzioni ricevute; Glofu opera in tal caso come sub-responsabile rispetto a tali trattamenti, nei limiti del servizio Futuria CRM.
3.1 Le istruzioni documentate del Cliente comprendono il presente DPA, il contratto o ordine di servizio applicabile, le configurazioni effettuate nella Piattaforma, le richieste di supporto inviate a Glofu e l'uso delle funzionalità da parte degli utenti autorizzati dal Cliente.
3.2 Glofu informa il Cliente se ritiene che un'istruzione violi il GDPR o altra normativa applicabile in materia di protezione dei dati, salvo che tale informazione sia vietata dalla legge.
3.3 Glofu non è tenuta a eseguire istruzioni che esulino dalle funzionalità disponibili, dal contratto applicabile o dal proprio ruolo di rivenditore/distributore della Piattaforma.
4.1 Oggetto, natura, finalità, categorie di dati personali, categorie di interessati e durata del trattamento sono indicati nell'Allegato 1, che costituisce parte integrante del presente DPA.
4.2 Il trattamento dura per il periodo di validità del rapporto contrattuale tra Glofu e il Cliente e per l'ulteriore periodo tecnicamente o legalmente necessario alla gestione della cessazione, conservazione obbligatoria, backup e cancellazione sicura.
Glofu si impegna, nei limiti del proprio ruolo, delle attività sotto il proprio controllo e delle informazioni disponibili, a:
Il Cliente si impegna a:
7.1 Il Cliente autorizza Glofu ad avvalersi di HighLevel Inc. quale sub-responsabile principale per la Piattaforma SaaS Futuria CRM e dei sub-responsabili indicati da HighLevel nella propria lista ufficiale, nella misura in cui siano necessari per il servizio o per le funzionalità effettivamente attivate o utilizzate dal Cliente.
7.2 I sub-responsabili relativi a funzionalità non attivate o non utilizzate dal Cliente non sono da intendersi coinvolti nel trattamento dei dati personali del Cliente per il solo fatto di essere inclusi nella lista generale HighLevel.
7.3 Eventuali sub-responsabili indicati da HighLevel per funzionalità AI si applicano solo se tali funzionalità sono effettivamente attivate o utilizzate dal Cliente nella Piattaforma. Il presente DPA non comporta, di per sé, l'attivazione di funzionalità AI.
7.4 Glofu mantiene un modello di autorizzazione generale ai sub-responsabili. In caso di modifiche sostanziali alla lista dei sub-responsabili rilevanti per il servizio, Glofu informa il Cliente tramite email, pubblicazione documentale o altro canale ragionevole. Il Cliente può opporsi per motivi documentati e ragionevoli connessi alla protezione dei dati. Se l'opposizione non è risolvibile, le Parti valuteranno la cessazione della funzionalità o del servizio interessato.
7.5 Glofu non modifica il contenuto contrattuale dei rapporti tra HighLevel Inc. e i sub-responsabili di HighLevel, ma si avvale del DPA e della documentazione ufficiale HighLevel per il trasferimento contrattuale degli obblighi applicabili lungo la catena di trattamento.
7.6 Resta fermo quanto previsto dall'art. 28(4) GDPR in tema di responsabilità del responsabile iniziale per l'adempimento degli obblighi di protezione dei dati affidati ai sub-responsabili, nei limiti inderogabili di legge.
| Soggetto | Ruolo / finalità | Ambito |
|---|---|---|
| HighLevel Inc. | Piattaforma SaaS CRM, infrastruttura applicativa, funzionalità e servizi correlati. | Sub-responsabile principale della componente piattaforma. |
| Google Cloud Platform / Google Cloud Services | Data storage e servizi infrastrutturali indicati nella lista HighLevel. | Applicabile secondo architettura e servizi HighLevel. |
| Amazon Web Services (AWS) | Data storage, hosting o servizi infrastrutturali indicati nella lista HighLevel. | Applicabile secondo architettura e servizi HighLevel. |
| Twilio / Mailgun | Comunicazioni, SMS, telefonia o email, ove tali canali siano usati. | Applicabile solo se la funzionalità corrispondente è attiva o usata. |
| Stripe | Servizi di pagamento, ove usati tramite la Piattaforma. | Applicabile solo se la funzionalità corrispondente è attiva o usata. |
| Altri sub-responsabili HighLevel | Servizi tecnici, infrastrutturali o funzionali elencati nella lista ufficiale HighLevel. | Applicabili solo nella misura necessaria alle funzionalità effettivamente attivate o usate. |
8.1 Il Cliente prende atto che la Piattaforma è fornita tramite HighLevel Inc. e sub-responsabili che possono trattare dati personali al di fuori dello Spazio Economico Europeo, inclusi gli Stati Uniti, secondo quanto indicato nella documentazione ufficiale HighLevel.
8.2 Glofu autorizza e documenta tali trasferimenti nella misura necessaria all'erogazione del servizio, facendo affidamento sui meccanismi giuridici dichiarati da HighLevel, inclusi EU-U.S. Data Privacy Framework, UK Extension, Swiss-U.S. Data Privacy Framework, Standard Contractual Clauses e ulteriori misure eventualmente applicabili secondo il DPA HighLevel.
8.3 Glofu non effettua trasferimenti internazionali ulteriori per conto del Cliente al di fuori di quelli necessari al servizio, salvo istruzione del Cliente, obbligo di legge o uso di funzionalità/integrazioni abilitate dal Cliente.
9.1 Glofu adotta misure organizzative e di accesso ragionevoli per le attività svolte direttamente dal proprio personale o dai propri collaboratori autorizzati.
9.2 Per la componente SaaS della Piattaforma, le misure tecniche e organizzative sono quelle dichiarate da HighLevel nella propria documentazione ufficiale, inclusi controlli di accesso, crittografia in transito e a riposo, misure di resilienza, backup, sicurezza applicativa e monitoraggio secondo quanto pubblicato da HighLevel.
9.3 Il Cliente resta responsabile della corretta configurazione dei propri utenti, permessi, credenziali, autenticazioni, contenuti, liste, integrazioni e canali di comunicazione.
10.1 Glofu informa il Cliente senza ingiustificato ritardo dopo essere venuta a conoscenza di una violazione dei dati personali che riguardi i dati trattati per conto del Cliente, tenendo conto della natura del servizio, delle informazioni disponibili e delle notifiche ricevute da HighLevel o da altri sub-responsabili.
10.2 La notifica viene inviata all'indirizzo email indicato nell'account, nel contratto o nelle comunicazioni ufficiali del Cliente. Il contatto privacy di Glofu per ricevere comunicazioni dal Cliente è privacy@futuriamarketing.com.
10.3 Nei limiti delle informazioni disponibili, Glofu fornisce al Cliente elementi utili a valutare natura della violazione, categorie e volume stimato dei dati o interessati coinvolti, conseguenze probabili e misure adottate o proposte.
11.1 Glofu assiste il Cliente, nei limiti ragionevoli e tenendo conto della natura del trattamento, nell'adempimento degli obblighi relativi a diritti degli interessati, sicurezza, data breach, valutazioni d'impatto e consultazioni preventive.
11.2 Glofu mette a disposizione informazioni ragionevolmente necessarie per dimostrare il rispetto dell'art. 28 GDPR e del presente DPA, anche tramite documentazione contrattuale, documentazione HighLevel, dichiarazioni di sicurezza o informazioni disponibili nella Piattaforma.
11.3 Eventuali audit o verifiche sono svolti preferibilmente in forma documentale e remota, con congruo preavviso scritto, nel rispetto della riservatezza, della sicurezza, dei diritti di altri clienti e dei limiti tecnici della Piattaforma. L'accesso diretto a sistemi, data center o infrastrutture HighLevel è regolato esclusivamente dalla documentazione e dai processi HighLevel.
11.4 Richieste manifestamente eccessive, ripetitive, non necessarie o non comprese nel servizio potranno essere gestite secondo condizioni economiche e operative da concordare, salvo obblighi inderogabili di legge.
12.1 Durante il rapporto contrattuale, il Cliente può esportare o cancellare dati tramite le funzionalità disponibili nella Piattaforma, nei limiti tecnici del servizio e dei permessi dell'account.
12.2 Alla cessazione del rapporto, su richiesta del Cliente e nei limiti tecnici della Piattaforma, Glofu assiste il Cliente nella restituzione/esportazione dei dati personali prima della cancellazione.
12.3 Dopo la cessazione del rapporto, Glofu cancella o fa cancellare i dati personali trattati per conto del Cliente secondo i tempi e le modalità tecnicamente applicabili al servizio e alla catena HighLevel, salvo obblighi di legge, esigenze di tutela dei diritti, conservazioni amministrative o backup gestiti secondo procedure di sicurezza e cancellazione progressiva.
13.1 Glofu risponde degli obblighi previsti dal presente DPA nei limiti del proprio ruolo, delle attività sotto il proprio controllo e delle responsabilità inderogabili previste dalla normativa applicabile.
13.2 Il presente DPA non trasferisce a Glofu responsabilità proprie del Titolare, incluse basi giuridiche, informative, consensi, contenuti, liste, campagne, istruzioni, configurazioni, integrazioni, gestione utenti e uso della Piattaforma.
13.3 Salvo obblighi inderogabili di legge, la responsabilità delle Parti resta soggetta alle limitazioni, esclusioni e condizioni previste dal contratto principale o dai termini di servizio applicabili.
14.1 Glofu può rendere disponibile il presente DPA tramite link pubblico, contratto elettronico, template Futuria CRM o altra modalità digitale. La versione applicabile al Cliente è quella accettata dal Cliente o incorporata nel contratto, ordine, form o flusso di attivazione applicabile.
14.2 Glofu può aggiornare il presente DPA per adeguamenti normativi, tecnici, organizzativi o per allineamento alla documentazione HighLevel. Le modifiche sostanziali saranno comunicate al Cliente tramite email, pubblicazione documentale o altro canale ragionevole.
14.3 Se una modifica incide materialmente sul trattamento dei dati personali del Cliente, il Cliente può opporsi per motivi documentati e ragionevoli entro un termine congruo indicato nella comunicazione o, in mancanza, entro 30 giorni. In assenza di opposizione, l'uso continuato del servizio costituisce accettazione della versione aggiornata, salvo diverso obbligo di legge o contratto.
Il presente DPA è regolato dalla legge italiana. Salvo foro inderogabile di legge, per ogni controversia è competente in via esclusiva il Foro di Milano.
16.1 L'eventuale invalidità di una clausola non pregiudica la validità delle restanti disposizioni.
16.2 Il presente DPA può essere accettato anche mediante strumenti elettronici, form online, checkbox, firma elettronica, order form, link pubblico incorporato nel contratto o altro meccanismo idoneo a documentare l'accettazione.
16.3 In caso di conflitto tra il presente DPA e altri documenti contrattuali, il presente DPA prevale limitatamente alla disciplina del trattamento dei dati personali per conto del Cliente, salvo che un documento successivo e specifico preveda espressamente una diversa disciplina privacy.
| Elemento | Dettaglio |
|---|---|
| Oggetto | Fornitura, configurazione, manutenzione e supporto dei servizi Futuria CRM. |
| Natura del trattamento | Raccolta, registrazione, organizzazione, conservazione, consultazione, utilizzo, comunicazione, trasmissione, estrazione, cancellazione e altre operazioni rese necessarie dalle funzionalità della Piattaforma e dalle istruzioni del Cliente. |
| Finalità | Gestione CRM, gestione contatti, automazioni marketing e commerciali, comunicazioni, integrazioni, supporto, sicurezza e funzionamento tecnico del servizio. |
| Categorie di dati | Dati determinati dal Cliente, inclusi dati identificativi, dati di contatto, dati commerciali/CRM, comunicazioni, note, preferenze, statistiche, file o allegati caricati dal Cliente e dati tecnici necessari al funzionamento del servizio. |
| Categorie di interessati | Clienti, lead, prospect, contatti commerciali, utenti finali, fornitori, referenti, utenti autorizzati del Cliente e altri interessati i cui dati siano inseriti o trattati dal Cliente tramite la Piattaforma. |
| Categorie particolari | Non previste come trattamento ordinario. Il Cliente non deve inserirle salvo propria autonoma valutazione di liceità, necessità e compatibilità con il servizio. |
| Durata | Durata del rapporto contrattuale e periodo ulteriore necessario per cessazione, esportazione, cancellazione, backup, obblighi legali o tutela dei diritti. |
Le informazioni relative a HighLevel, sub-responsabili, trasferimenti e sicurezza sono state formulate facendo riferimento esclusivamente alle seguenti fonti ufficiali HighLevel, consultate il 25 maggio 2026:
| Fonte ufficiale | URL |
|---|---|
| HighLevel Customer Data Processing Addendum | https://www.gohighlevel.com/data-processing-agreement |
| HighLevel Sub-processors | https://www.gohighlevel.com/sub-processors |
| HighLevel Privacy & Security | https://www.gohighlevel.com/privacy-and-security |
In caso di aggiornamento delle fonti ufficiali HighLevel, Glofu potrà aggiornare il presente DPA per mantenere l'allineamento alla catena di fornitura effettivamente applicabile al servizio.
Il presente DPA è valido se accettato mediante sottoscrizione, ordine, form elettronico, checkbox, firma elettronica, link pubblico incorporato nel contratto o altra modalità documentabile di accettazione contrattuale. Per template di contratto Futuria CRM, l'accettazione può essere raccolta mediante il flusso di firma elettronica o approvazione previsto dalla Piattaforma.
