Accordo per il trattamento dei dati (DPA)

1. Oggetto e ambito di applicazione

Il presente Accordo per il trattamento dei dati (di seguito il «DPA») integra le Condizioni di Servizio (di seguito le «CS») e definisce le condizioni in base alle quali SetAIComply (di seguito il «Responsabile del trattamento») tratta i dati personali per conto dell'Utente (di seguito il «Titolare del trattamento») nell'ambito della fornitura della piattaforma SaaS SetAIComply.

Il presente DPA è stipulato ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito il «GDPR»). Si applica a tutti i trattamenti di dati personali effettuati dal Responsabile del trattamento per conto del Titolare del trattamento in relazione all'utilizzo della piattaforma.

In caso di conflitto tra le disposizioni del presente DPA e quelle delle CS, prevalgono le disposizioni del presente DPA per quanto riguarda il trattamento dei dati personali.

2. Definizioni

I termini utilizzati nel presente DPA hanno il significato loro attribuito dal GDPR, in particolare:

• «Dati personali»: qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definito dall'articolo 4, paragrafo 1, del GDPR
• «Trattamento»: qualsiasi operazione o insieme di operazioni effettuate su dati personali, come definito dall'articolo 4, paragrafo 2, del GDPR
• «Titolare del trattamento»: l'Utente della piattaforma SetAIComply che determina le finalità e i mezzi del trattamento dei dati personali
• «Responsabile del trattamento»: SetAIComply, che tratta i dati personali per conto del Titolare del trattamento
• «Sub-responsabile del trattamento»: qualsiasi responsabile del trattamento incaricato dal Responsabile del trattamento di effettuare specifiche operazioni di trattamento per conto del Titolare del trattamento
• «Violazione dei dati»: una violazione della sicurezza che comporta, in modo accidentale o illecito, la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso non autorizzato ai dati personali

3. Descrizione del trattamento

3.1 Natura e finalità del trattamento

Il Responsabile del trattamento effettua i seguenti trattamenti per conto del Titolare del trattamento:

• Hosting e archiviazione dei dati inseriti dal Titolare del trattamento sulla piattaforma
• Trattamento dei dati relativi ai sistemi di IA per la classificazione dei rischi e la valutazione di conformità
• Generazione di documentazione tecnica mediante servizi di intelligenza artificiale
• Gestione degli account utente e autenticazione
• Registrazione delle azioni ai fini di audit e tracciabilità
• Backup e ripristino dei dati

3.2 Categorie di dati trattati

• Dati di identificazione degli utenti: cognome, nome, indirizzo email professionale, qualifica professionale
• Dati dei sistemi di IA: descrizioni tecniche, casi d'uso, dati di addestramento utilizzati, valutazioni delle prestazioni
• Dati di audit: registri delle azioni, timestamp, identificatori utente
• Dati di connessione: indirizzi IP, log di sessione

3.3 Categorie di interessati

• Dipendenti del Titolare del trattamento che utilizzano la piattaforma
• Se del caso, persone fisiche i cui dati sono menzionati nelle descrizioni dei sistemi di IA inserite dal Titolare del trattamento

3.4 Durata del trattamento

Il trattamento è effettuato per l'intera durata dell'abbonamento del Titolare del trattamento alla piattaforma SetAIComply. Alla scadenza o alla risoluzione dell'abbonamento, si applicano le disposizioni dell'articolo 12 del presente DPA.

4. Obblighi del Responsabile del trattamento

Il Responsabile del trattamento si impegna a:

• Trattare i dati personali solo su istruzioni documentate del Titolare del trattamento, anche per quanto riguarda i trasferimenti verso un paese terzo, salvo che sia obbligato a farlo dalla legislazione a cui è soggetto
• Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza
• Attuare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, conformemente all'articolo 32 del GDPR
• Rispettare le condizioni di cui all'articolo 28, paragrafi 2 e 4, del GDPR per il ricorso a un altro responsabile del trattamento
• Assistere il Titolare del trattamento, con misure tecniche e organizzative appropriate, nell'adempimento dell'obbligo di rispondere alle richieste di esercizio dei diritti degli interessati
• Assistere il Titolare del trattamento nell'adempimento degli obblighi di cui agli articoli da 32 a 36 del GDPR (sicurezza, notifica delle violazioni, valutazione d'impatto)
• A scelta del Titolare del trattamento, cancellare o restituire tutti i dati personali al termine della prestazione del servizio e distruggere le copie esistenti, salvo che la legislazione applicabile ne richieda la conservazione
• Mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi di cui all'articolo 28 del GDPR e consentire e contribuire alle attività di audit

5. Obblighi del Titolare del trattamento

Il Titolare del trattamento si impegna a:

• Fornire al Responsabile del trattamento istruzioni documentate relative al trattamento dei dati
• Garantire, prima e durante l'intera durata del trattamento, la conformità agli obblighi previsti dal GDPR
• Garantire la liceità del trattamento dei dati affidati al Responsabile del trattamento
• Informare il Responsabile del trattamento di qualsiasi obbligo particolare relativo al trattamento dei dati
• Supervisionare il trattamento effettuato dal Responsabile del trattamento, anche mediante l'esecuzione di audit e ispezioni

6. Misure di sicurezza

Il Responsabile del trattamento attua le seguenti misure tecniche e organizzative per garantire la sicurezza dei dati personali:

6.1 Misure tecniche

• Crittografia dei dati in transito tramite TLS 1.3 e a riposo tramite AES-256
• Hosting su infrastruttura cloud UE (Railway, certificato SOC 2 Type II) con data center situati ad Amsterdam, Paesi Bassi
• Autenticazione sicura con hashing delle password (algoritmo bcrypt)
• Controllo degli accessi basato sui ruoli (RBAC) con il principio del minimo privilegio
• Web Application Firewall (WAF) e protezione contro attacchi DDoS
• Backup automatizzati e crittografati con piano di disaster recovery
• Monitoraggio continuo dell'infrastruttura e avvisi in tempo reale
• Segmentazione della rete e isolamento degli ambienti

6.2 Misure organizzative

• Politica di sicurezza delle informazioni documentata e aggiornata regolarmente
• Sensibilizzazione e formazione dei dipendenti sulla protezione dei dati e sulla sicurezza
• Procedure di gestione degli incidenti di sicurezza
• Verifiche di sicurezza e test di penetrazione regolari
• Gestione dei diritti di accesso e revisione periodica degli stessi
• Impegni di riservatezza firmati da tutti i dipendenti

7. Sub-responsabili del trattamento

7.1 Autorizzazione generale

Il Titolare del trattamento autorizza in via generale il Responsabile del trattamento a ricorrere ad altri sub-responsabili del trattamento per il trattamento dei dati personali ai sensi del presente DPA. Il Responsabile del trattamento informa il Titolare del trattamento di qualsiasi modifica prevista relativa all'aggiunta o alla sostituzione di sub-responsabili del trattamento con almeno 30 giorni di anticipo.

7.2 Diritto di opposizione

Il Titolare del trattamento dispone di un periodo di 15 giorni dalla notifica per formulare obiezioni motivate riguardo a un nuovo sub-responsabile del trattamento. In caso di obiezione, le parti si impegnano a discutere in buona fede per trovare una soluzione reciprocamente accettabile. In assenza di accordo, il Titolare del trattamento può risolvere il contratto in conformità alle CS.

7.3 Elenco dei sub-responsabili del trattamento

Alla data del presente DPA, i sub-responsabili del trattamento autorizzati sono i seguenti:

7.4 Obblighi applicabili ai sub-responsabili del trattamento

Il Responsabile del trattamento si assicura che ciascun sub-responsabile del trattamento sia vincolato da obblighi di protezione dei dati almeno equivalenti a quelli previsti dal presente DPA. Il Responsabile del trattamento rimane pienamente responsabile nei confronti del Titolare del trattamento per l'adempimento degli obblighi dei propri sub-responsabili del trattamento.

8. Trasferimenti di dati al di fuori dell'UE/SEE

I dati personali sono ospitati e trattati all'interno dell'Unione Europea (Amsterdam, Paesi Bassi) su infrastruttura Railway.

I trasferimenti di dati verso sub-responsabili del trattamento costituiti negli Stati Uniti riguardano (i) i dati descrittivi dei sistemi di IA trasmessi ad Anthropic, PBC (Stati Uniti) ai fini della generazione di documentazione tramite IA, e (ii) l'indirizzo email e il contenuto dei messaggi transazionali gestiti da Cloudflare, Inc. (Stati Uniti) ai fini della consegna delle email. Tali trasferimenti sono disciplinati da:

• Clausole contrattuali tipo (SCC) adottate dalla Commissione Europea (decisione di esecuzione 2021/914 del 4 giugno 2021)
• Misure supplementari appropriate, tra cui la crittografia dei dati in transito e la minimizzazione dei dati trasmessi
• Un accordo specifico per il trattamento dei dati con Anthropic, PBC, che garantisce che i dati non vengano utilizzati per l'addestramento di modelli di IA

Nell'uso ordinario della piattaforma, nessun dato direttamente identificativo (cognome, nome, indirizzo email) viene trasferito ad Anthropic.

9. Diritti degli interessati

Il Responsabile del trattamento assiste il Titolare del trattamento nell'adempimento dell'obbligo di rispondere alle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).

Quando il Responsabile del trattamento riceve una richiesta direttamente da un interessato, ne informa senza ritardo il Titolare del trattamento e non risponde alla richiesta senza le istruzioni del Titolare del trattamento, salvo che sia obbligato dalla legge.

Il Responsabile del trattamento mette a disposizione del Titolare del trattamento, tramite la piattaforma, gli strumenti tecnici necessari per facilitare l'esercizio dei diritti degli interessati, in particolare l'esportazione e la cancellazione dei dati.

10. Notifica delle violazioni dei dati

In caso di violazione dei dati personali, il Responsabile del trattamento notifica il Titolare del trattamento senza ingiustificato ritardo e al più tardi entro 48 ore dal momento in cui ne è venuto a conoscenza. Tale notifica comprende almeno:

• La natura della violazione, incluse, ove possibile, le categorie e il numero approssimativo di interessati e di registri di dati interessati
• Il nome e i dati di contatto del punto di contatto presso cui ottenere ulteriori informazioni
• Le probabili conseguenze della violazione
• Le misure adottate o proposte per porre rimedio alla violazione, comprese le misure per attenuarne i possibili effetti negativi

Il Responsabile del trattamento coopera con il Titolare del trattamento e adotta tutte le misure ragionevoli per assistere il Titolare del trattamento nell'adempimento dei propri obblighi di notifica all'autorità di controllo (articolo 33 del GDPR) e agli interessati (articolo 34 del GDPR).

11. Audit e ispezioni

Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi previsti dal presente DPA e consente e contribuisce agli audit, comprese le ispezioni, da parte del Titolare del trattamento o di un revisore da questi incaricato.

Gli audit sono soggetti alle seguenti condizioni:

• Il Titolare del trattamento presenta una richiesta scritta con almeno 30 giorni di anticipo rispetto alla data prevista dell'audit
• L'audit viene effettuato durante il normale orario lavorativo e non perturba in modo sproporzionato le attività del Responsabile del trattamento
• I costi dell'audit sono a carico del Titolare del trattamento, salvo che l'audit riveli un inadempimento del Responsabile del trattamento ai propri obblighi
• Un audit all'anno è incluso nel contratto. Qualsiasi audit aggiuntivo è soggetto al previo accordo del Responsabile del trattamento e sarà fatturato separatamente
• Il revisore incaricato è soggetto ad adeguati obblighi di riservatezza

Il Responsabile del trattamento può inoltre fornire rapporti di audit o certificazioni esistenti (ISO 27001, rapporti SOC 2) come mezzo per dimostrare la conformità ai propri obblighi.

12. Sorte dei dati al termine del contratto

Alla scadenza o alla risoluzione dell'abbonamento, il Titolare del trattamento dispone di un periodo di 30 giorni per scaricare tutti i propri dati tramite le funzionalità di esportazione della piattaforma. I dati sono esportabili in formati strutturati e di uso comune (JSON, CSV).

Al termine di tale periodo di 30 giorni, e salvo istruzioni contrarie del Titolare del trattamento, il Responsabile del trattamento cancella in modo permanente tutti i dati personali trattati per conto del Titolare del trattamento entro ulteriori 60 giorni.

Il Responsabile del trattamento può conservare i dati oltre tali periodi solo se richiesto dalla legislazione dell'UE o francese (in particolare i dati di fatturazione conservati per 10 anni in conformità al Codice di commercio e i dati di connessione conservati per 12 mesi in conformità al Decreto n. 2011-219). Il Responsabile del trattamento informa il Titolare del trattamento di qualsiasi obbligo legale di conservazione applicabile.

Un certificato di cancellazione viene rilasciato al Titolare del trattamento su richiesta al termine della procedura di cancellazione.

13. Valutazione d'impatto sulla protezione dei dati

Qualora il Titolare del trattamento sia tenuto a effettuare una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'articolo 35 del GDPR, il Responsabile del trattamento fornisce al Titolare del trattamento la ragionevole assistenza necessaria per effettuare tale valutazione, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento.

14. Registro delle attività di trattamento

Conformemente all'articolo 30, paragrafo 2, del GDPR, il Responsabile del trattamento tiene un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare del trattamento. Tale registro è messo a disposizione della CNIL su richiesta.

15. Responsabilità

Ciascuna parte è responsabile dei danni causati da un trattamento non conforme agli obblighi del GDPR ad essa incombenti, in conformità agli articoli 82 e 83 del GDPR.

Il Responsabile del trattamento è responsabile dei danni causati dal trattamento solo qualora non abbia adempiuto agli obblighi del GDPR specificamente rivolti ai responsabili del trattamento o qualora abbia agito al di fuori delle istruzioni lecite del Titolare del trattamento o in contrasto con esse.

16. Durata e risoluzione

Il presente DPA entra in vigore alla data della registrazione del Titolare del trattamento sulla piattaforma e rimane in vigore finché il Responsabile del trattamento tratta dati personali per conto del Titolare del trattamento.

Gli obblighi relativi alla riservatezza, alla sicurezza e alla sorte dei dati al termine del contratto sopravvivono alla risoluzione del presente DPA.

17. Legge applicabile e foro competente

Il presente DPA è disciplinato dalla legge francese. Qualsiasi controversia relativa alla sua interpretazione, esecuzione o risoluzione sarà sottoposta alla competenza esclusiva dei tribunali competenti di Parigi.

18. Contatto

Per qualsiasi domanda relativa al presente DPA o al trattamento dei dati personali, potete contattarci:

• Email: support@setaicomply.com