Il Fornitore tratta per conto del Cliente i dati personali necessari all'erogazione della piattaforma (gestione degli adempimenti NIS2), per tutta la durata del rapporto contrattuale e per il periodo di restituzione dei dati previsto dall'art. 8.
Trattamento con strumenti elettronici (raccolta, conservazione, organizzazione, consultazione) al solo fine di erogare il servizio. Dati: anagrafiche e contatti di aziende, fornitori e referenti; valutazioni ed evidenze di compliance; configurazioni tecniche in sola lettura dal connettore Microsoft 365. Interessati: referenti e dipendenti delle organizzazioni del Cliente e dei loro fornitori. Non è previsto il trattamento sistematico di categorie particolari di dati (art. 9 GDPR): il Cliente si impegna a non caricarne.
Il Cliente autorizza in via generale il ricorso ai seguenti sub-responsabili. Il Fornitore comunica con almeno 30 giorni di preavviso ogni sostituzione o aggiunta; il Cliente può opporsi per motivi legittimi e, in mancanza di soluzione, disdire il servizio.
| Sub-responsabile | Servizio | Ubicazione dei dati |
|---|---|---|
| Supabase | database applicativo | UE (Francoforte) |
| Vercel | hosting e funzioni API | UE (Francoforte); casa madre USA con garanzie artt. 44 ss. |
| Anthropic | elaborazione delle bozze AI, solo quando il Cliente usa le funzioni AI | USA, con garanzie artt. 44 ss. (i dati API non sono usati per addestrare i modelli) |
| Microsoft | connettore M365: lettura delle configurazioni autorizzate dall'amministratore del tenant | tenant Microsoft del Cliente |
Stripe (pagamenti) non è sub-responsabile dei dati di compliance: opera come autonomo titolare per i dati di pagamento raccolti sulle proprie pagine.
Database e calcolo applicativo sono in UE. Gli unici trasferimenti extra-UE possibili riguardano i fornitori indicati all'art. 4 e avvengono con le garanzie degli artt. 44 e ss. GDPR (decisione di adeguatezza EU-U.S. Data Privacy Framework e/o Clausole Contrattuali Standard). Le funzioni AI sono facoltative: senza un uso esplicito da parte del Cliente, nessun dato è inviato ad Anthropic.
Su richiesta scritta e con preavviso ragionevole (almeno 15 giorni lavorativi, al massimo una volta l'anno salvo violazioni), il Fornitore mette a disposizione le informazioni e la documentazione necessarie a verificare il rispetto di questo accordo e consente audit del Cliente o di un terzo incaricato, nei limiti della riservatezza degli altri clienti e senza accesso a dati non pertinenti.
Alla cessazione del servizio, per 30 giorni il Cliente può chiedere l'esportazione dei dati in formato leggibile da macchina; decorso il termine, i dati sono cancellati salvo obblighi di legge che ne impongano la conservazione.
Si applicano le limitazioni e le previsioni dei Termini di servizio (legge italiana, foro della sede del Fornitore). Per quanto non previsto, si applica l'art. 28 GDPR.