Il presente Accordo sul trattamento dei dati ("DPA") costituisce parte integrante dei Termini di servizio tra Lei ("Titolare del trattamento") e VantarGroup LLC ("Responsabile del trattamento") e disciplina il trattamento dei dati personali in conformita con il Regolamento generale sulla protezione dei dati (GDPR).

1. Parti e ambito di applicazione

Il presente DPA si applica quando il Titolare del trattamento utilizza i servizi Matproof per trattare dati personali. Il Responsabile del trattamento accetta di trattare i dati personali solo sulla base di istruzioni documentate del Titolare del trattamento.

2. Oggetto e durata

L'oggetto del trattamento dei dati e la fornitura della piattaforma di automazione della compliance Matproof. La durata corrisponde alla durata del contratto di servizio.

3. Natura e categorie dei dati

Tipologie di dati personali trattati:

Dati dei dipendenti (nomi, indirizzi email, qualifiche professionali)
Informazioni sull'account utente
Documentazione di compliance e audit
Registri delle comunicazioni

Categorie di interessati: dipendenti, collaboratori e utenti autorizzati del Titolare del trattamento.

4. Obblighi del Responsabile del trattamento (Art. 28 GDPR)

Il Responsabile del trattamento dovra:

Trattare i dati personali solo sulla base di istruzioni documentate del Titolare del trattamento
Assicurare che le persone autorizzate al trattamento dei dati siano vincolate dalla riservatezza
Implementare misure tecniche e organizzative di sicurezza appropriate
Ricorrere a sub-responsabili solo previo consenso scritto
Assistere il Titolare del trattamento nell'adempimento delle richieste relative ai diritti degli interessati
Assistere nelle notifiche di violazione della sicurezza e nelle valutazioni d'impatto
Cancellare o restituire i dati personali al termine dei servizi
Mettere a disposizione tutte le informazioni necessarie per dimostrare la conformita

5. Misure tecniche e organizzative

Il Responsabile del trattamento implementa le seguenti misure di sicurezza:

Crittografia dei dati a riposo e in transito (AES-256, TLS 1.3)
Controlli di accesso e autenticazione (MFA, RBAC)
Valutazioni periodiche della sicurezza e test di penetrazione
Procedure di risposta agli incidenti e continuita operativa
Residenza dei dati nell'UE (tutti i dati archiviati in data center tedeschi)
Controlli di sicurezza allineati a ISO 27001 e test di penetrazione annuali

6. Sub-responsabili

Il Titolare del trattamento autorizza il Responsabile del trattamento a ricorrere ai seguenti sub-responsabili:

Neon (hosting PostgreSQL - UE)
Upstash (caching Redis - UE)
AWS (archiviazione file - regione UE)
Resend (invio email - UE)

Il Responsabile del trattamento informera il Titolare del trattamento di qualsiasi modifica ai sub-responsabili con almeno 30 giorni di preavviso. Il Titolare del trattamento puo opporsi a nuovi sub-responsabili.

7. Diritti degli interessati

Il Responsabile del trattamento assistera il Titolare del trattamento nel rispondere alle richieste degli interessati (accesso, rettifica, cancellazione, limitazione, portabilita, opposizione) entro 72 ore dalla ricezione di tali richieste.

8. Notifica di violazione dei dati personali

Il Responsabile del trattamento notifichera il Titolare del trattamento senza ingiustificato ritardo (entro 24 ore) dal momento in cui viene a conoscenza di una violazione dei dati personali che interessa i dati del Titolare del trattamento.

9. Diritti di audit

Il Titolare del trattamento puo effettuare un audit sulla conformita del Responsabile del trattamento al presente DPA una volta all'anno, previo ragionevole preavviso. Il report SOC 2 Type II del Responsabile del trattamento puo soddisfare tale requisito.

10. Cancellazione o restituzione dei dati

Al termine dei servizi, il Responsabile del trattamento cancellera o restituira tutti i dati personali al Titolare del trattamento entro 30 giorni, salvo che la normativa UE richieda la conservazione continuativa.

Domande o richieste DPA

Per richieste di firma del DPA o domande, La preghiamo di contattare:

Email: legal@matproof.com

Accordo sul trattamento dei dati (DPA)