Il presente Accordo sul trattamento dei dati ("DPA") costituisce parte integrante dei Termini di servizio tra Lei ("Titolare del trattamento") e VantarGroup LLC ("Responsabile del trattamento") e disciplina il trattamento dei dati personali in conformita con il Regolamento generale sulla protezione dei dati (GDPR).

1. Parti e ambito di applicazione

Il presente DPA si applica quando il Titolare del trattamento utilizza i servizi Matproof per trattare dati personali. Il Responsabile del trattamento accetta di trattare i dati personali solo sulla base di istruzioni documentate del Titolare del trattamento.

2. Oggetto e durata

L'oggetto del trattamento dei dati e la fornitura della piattaforma di automazione della compliance Matproof. La durata corrisponde alla durata del contratto di servizio.

3. Natura e categorie dei dati

Tipologie di dati personali trattati:

Dati dei dipendenti (nomi, indirizzi email, qualifiche professionali)
Informazioni sull'account utente
Documentazione di compliance e audit
Registri delle comunicazioni

Categorie di interessati: dipendenti, collaboratori e utenti autorizzati del Titolare del trattamento.

4. Obblighi del Responsabile del trattamento (Art. 28 GDPR)

Il Responsabile del trattamento dovra:

Trattare i dati personali solo sulla base di istruzioni documentate del Titolare del trattamento
Assicurare che le persone autorizzate al trattamento dei dati siano vincolate dalla riservatezza
Implementare misure tecniche e organizzative di sicurezza appropriate
Ricorrere a sub-responsabili solo previo consenso scritto
Assistere il Titolare del trattamento nell'adempimento delle richieste relative ai diritti degli interessati
Assistere nelle notifiche di violazione della sicurezza e nelle valutazioni d'impatto
Cancellare o restituire i dati personali al termine dei servizi
Mettere a disposizione tutte le informazioni necessarie per dimostrare la conformita

5. Misure tecniche e organizzative

Il Responsabile del trattamento implementa le seguenti misure di sicurezza:

Crittografia dei dati a riposo e in transito (AES-256, TLS 1.3)
Controlli di accesso e autenticazione (MFA, RBAC)
Valutazioni periodiche della sicurezza e test di penetrazione
Procedure di risposta agli incidenti e continuita operativa
Residenza dei dati nell'UE (tutti i dati archiviati in data center tedeschi)
Controlli di sicurezza allineati a ISO 27001 e test di penetrazione annuali

6. Sub-responsabili

Il Titolare del trattamento autorizza il Responsabile del trattamento a ricorrere ai seguenti sub-responsabili:

Neon (hosting PostgreSQL - UE)
Upstash (caching Redis - UE)
AWS (archiviazione file - regione UE)
Resend (invio email - UE)

Il Responsabile del trattamento informera il Titolare del trattamento di qualsiasi modifica ai sub-responsabili con almeno 30 giorni di preavviso. Il Titolare del trattamento puo opporsi a nuovi sub-responsabili.

7. Diritti degli interessati

Il Responsabile del trattamento assistera il Titolare del trattamento nel rispondere alle richieste degli interessati (accesso, rettifica, cancellazione, limitazione, portabilita, opposizione) entro 72 ore dalla ricezione di tali richieste.

8. Notifica di violazione dei dati personali

Il Responsabile del trattamento notifichera il Titolare del trattamento senza ingiustificato ritardo (entro 24 ore) dal momento in cui viene a conoscenza di una violazione dei dati personali che interessa i dati del Titolare del trattamento.

9. Diritti di audit

Il Titolare del trattamento puo effettuare un audit sulla conformita del Responsabile del trattamento al presente DPA una volta all'anno, previo ragionevole preavviso. Il report SOC 2 Type II del Responsabile del trattamento puo soddisfare tale requisito.

10. Cancellazione o restituzione dei dati

Al termine dei servizi, il Responsabile del trattamento cancellerà o restituirà tutti i dati personali al Titolare del trattamento entro 30 giorni, salvo che il diritto dell'UE o di uno Stato membro richieda una conservazione continuativa. Il formato della restituzione (ad es. esportazione JSON, CSV) è indicato dal Titolare nella richiesta; in mancanza di specifica si applica il formato standard fornito dal Responsabile. Le copie di backup vengono sovrascritte nell'ambito del normale ciclo di backup (al più tardi entro 90 giorni).

11. Trasferimenti internazionali di dati (trasferimenti verso paesi terzi)

Nella misura in cui il Responsabile del trattamento si avvalga di sub-responsabili con sede o trattamento dei dati al di fuori dell'UE/SEE (in particolare USA, Regno Unito e filiali UE di gruppi capogruppo statunitensi), basa il trasferimento sulle seguenti garanzie ai sensi degli Art. 44 e ss. GDPR: (a) per il Regno Unito, sulla decisione di adeguatezza dell'UE del 28 giugno 2021; (b) per gli USA e altri paesi terzi, sulle Clausole Contrattuali Tipo dell'UE (Decisione di esecuzione 2021/914, Modulo 2 o 3 a seconda dei casi); (c) inoltre, su misure tecniche e organizzative supplementari, tra cui cifratura in transito e a riposo, pseudonimizzazione ove possibile, accordi di zero conservazione dei dati con i fornitori di IA nonché limitazione contrattuale delle finalità. Il Responsabile mantiene, per ciascun sub-responsabile in paese terzo, una Valutazione d'Impatto del Trasferimento (TIA) che viene messa a disposizione, in forma di sintesi adeguata, su richiesta.

12. Responsabilità

La responsabilità tra le parti derivante o connessa al presente DPA è disciplinata dalle disposizioni del contratto principale tra il Titolare e il Responsabile del trattamento. In via integrativa: le richieste di risarcimento tra le parti derivanti da violazioni del presente DPA non sono pregiudicate da un'eventuale limitazione di responsabilità prevista dal contratto principale, se non nella misura consentita dall'Art. 82 GDPR e da altra normativa imperativa. Nei rapporti esterni con gli interessati, ciascuna parte risponde autonomamente ai sensi dell'Art. 82 GDPR; nei rapporti interni, le parti sopportano ciascuna la quota corrispondente al proprio grado di colpa.

Domande o richieste DPA

Per richieste di firma del DPA o domande, La preghiamo di contattare:

Email: legal@matproof.com

Accordo sul trattamento dei dati (DPA)