Data Processing Agreement

Premesse

Il presente DPA costituisce parte integrante e sostanziale del Master Service Agreement (MSA) sottoscritto tra:

In caso di conflitto tra il MSA e il presente DPA, prevalgono le disposizioni del DPA limitatamente alle questioni relative al trattamento di dati personali.

1. Definizioni

Salvo diversa indicazione, i termini utilizzati nel presente DPA hanno lo stesso significato attribuito loro nel MSA e nel GDPR. In aggiunta:

• "Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile, trattata da AITAKY per conto del Cliente nell'ambito del Servizio.
• "Interessati": le persone fisiche cui si riferiscono i Dati Personali.
• "Trattamento": qualsiasi operazione compiuta sui Dati Personali, ai sensi dell'art. 4(2) GDPR.
• "Sub-responsabile" (o "Sub-processor"): qualsiasi terzo nominato da AITAKY per trattare Dati Personali per conto del Cliente nell'ambito del Servizio.
• "Violazione dei Dati Personali" (o "Data Breach"): violazione di sicurezza ai sensi dell'art. 4(12) GDPR.

2. Oggetto e durata

2.1 Oggetto. Il presente DPA disciplina il trattamento dei Dati Personali che AITAKY effettua per conto del Cliente nell'ambito dell'erogazione del Servizio Argo, secondo quanto descritto nell'Allegato 1 — Descrizione del Trattamento.

2.2 Durata. Il DPA è efficace dalla data di sottoscrizione del MSA e produce effetti per tutta la durata del MSA, oltre al periodo necessario per gli adempimenti post-cessazione previsti al §10.

2.3 Modifiche. Eventuali modifiche al presente DPA saranno gestite con la stessa procedura prevista dal MSA per le modifiche al contratto.

3. Ruoli delle Parti

3.1 Ai fini del presente DPA:

• il Cliente è il Titolare del trattamento dei Dati Personali trattati nell'ambito del Servizio
• AITAKY è il Responsabile del trattamento ai sensi dell'art. 28 GDPR

3.2 Ciascuna Parte è responsabile del rispetto degli obblighi GDPR a essa attribuiti dalla normativa in ragione del proprio ruolo.

3.3 Il Cliente, in qualità di Titolare, è responsabile della legittimità dei trattamenti che richiede ad AITAKY e dell'aver acquisito ogni necessaria base giuridica (consenso, legittimo interesse, obbligo di legge, ecc.) nei confronti degli Interessati prima di caricare i loro dati nel Servizio.

3.4 Resta inteso che AITAKY agisce come Titolare autonomo per i trattamenti relativi ai dati di contatto contrattuale del Cliente (rappresentanti, riferimenti per fatturazione), come descritto nella Privacy Policy. Tali trattamenti non rientrano nell'oggetto del presente DPA.

4. Istruzioni del Titolare

4.1 AITAKY tratta i Dati Personali esclusivamente sulla base di istruzioni documentate del Titolare. Costituiscono istruzioni documentate del Titolare:

• il presente DPA e il MSA
• le configurazioni, le impostazioni e i comandi che il Cliente effettua attraverso l'utilizzo del Servizio
• eventuali ulteriori istruzioni scritte trasmesse al referente AITAKY tramite i canali ufficiali

4.2 AITAKY informa immediatamente il Cliente qualora, a suo parere, un'istruzione costituisca violazione del GDPR o di altre disposizioni applicabili. In tal caso AITAKY può sospendere l'esecuzione dell'istruzione fino a chiarimento.

4.3 Qualora obblighi di legge dell'Unione Europea o di uno Stato membro impongano ad AITAKY un trattamento ulteriore rispetto alle istruzioni del Titolare, AITAKY informa il Titolare prima del trattamento, a meno che la legge stessa lo vieti per importanti motivi di interesse pubblico.

5. Riservatezza

5.1 AITAKY garantisce che le persone autorizzate al trattamento dei Dati Personali per suo conto:

• siano vincolate a un obbligo di riservatezza appropriato (di natura legale, contrattuale o statutaria)
• ricevano formazione adeguata in materia di protezione dei dati personali
• siano formalmente nominate come Autorizzate al trattamento ai sensi dell'art. 29 GDPR

5.2 L'obbligo di riservatezza permane anche dopo la cessazione del rapporto di lavoro/collaborazione con AITAKY.

6. Misure di sicurezza (art. 32 GDPR)

6.1 AITAKY adotta misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio del trattamento, tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà degli Interessati.

6.2 Le misure tecniche e organizzative in essere sono descritte in dettaglio nell'Allegato 2 — Misure di Sicurezza del presente DPA.

6.3 AITAKY si impegna a mantenere aggiornate tali misure in funzione dell'evoluzione delle minacce e delle best practice di settore.

6.4 Il Cliente riconosce che le misure di sicurezza descritte nell'Allegato 2 sono valutate adeguate per il trattamento previsto dal Servizio (limitato a dati personali comuni, senza categorie particolari ex art. 9 GDPR).

7. Notifica di Violazione dei Dati Personali (Data Breach)

7.1 AITAKY notifica al Cliente, senza ingiustificato ritardo e comunque entro 24 (ventiquattro) ore dalla scoperta, qualsiasi Violazione dei Dati Personali del Cliente di cui sia venuta a conoscenza.

7.2 La notifica contiene almeno:

• una descrizione della natura della violazione (categorie e numero approssimativo di Interessati e di dati coinvolti)
• le possibili conseguenze
• le misure adottate o proposte per porre rimedio
• i dati di contatto del referente AITAKY per ulteriori informazioni

7.3 Se al momento della notifica non sono disponibili tutte le informazioni, AITAKY le fornirà non appena disponibili, in modalità incrementale.

7.4 AITAKY assiste il Cliente nell'adempimento degli obblighi di notifica all'autorità di controllo (art. 33 GDPR) e di comunicazione agli Interessati (art. 34 GDPR), nei limiti delle informazioni di cui dispone in qualità di Responsabile.

8. Assistenza al Titolare

8.1 Diritti degli Interessati (artt. 12-22 GDPR)

AITAKY assiste il Cliente, mediante misure tecniche e organizzative appropriate, nell'evasione delle richieste degli Interessati relative all'esercizio dei loro diritti (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, decisioni automatizzate).

A tal fine:

• AITAKY mette a disposizione del Cliente, all'interno del Servizio, le funzionalità necessarie per esportare, modificare e cancellare i dati degli Interessati (self-service)
• per richieste che non possano essere evase tramite le funzionalità self-service, il Cliente può inoltrare la richiesta ad AITAKY all'indirizzo privacy@aitaky.com. AITAKY risponderà entro 5 (cinque) giorni lavorativi

8.2 Valutazione d'impatto (DPIA) e consultazione preventiva (artt. 35-36 GDPR)

AITAKY fornisce al Cliente, su richiesta motivata, le informazioni in suo possesso necessarie per:

• effettuare una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35
• consultare preventivamente l'autorità di controllo ai sensi dell'art. 36

8.3 Limiti dell'assistenza

L'assistenza prestata da AITAKY ai sensi del presente §8 è inclusa nel corrispettivo del Servizio per richieste ordinarie e in volumi ragionevoli, intendendosi per tali le richieste che non comportino un impegno operativo manifestamente sproporzionato.

Per richieste straordinarie — ad esempio richieste massive (esportazione di interi dataset relativi a centinaia o migliaia di Interessati), richieste in formati custom non previsti dal Servizio, richieste reiterate in tempi ravvicinati e in quantità anomala — AITAKY si riserva il diritto di concordare con il Cliente un corrispettivo aggiuntivo proporzionato all'impegno richiesto.

9. Sub-processor

9.1 Autorizzazione generale. Il Cliente autorizza AITAKY ad avvalersi dei Sub-processor elencati nella pagina pubblica di trasparenza, per l'erogazione del Servizio.

9.2 Contratti con i Sub-processor. AITAKY si impegna a stipulare con ciascun Sub-processor un contratto scritto che imponga al Sub-processor obblighi di protezione dei dati sostanzialmente analoghi a quelli previsti dal presente DPA.

9.3 Responsabilità di AITAKY. AITAKY rimane pienamente responsabile nei confronti del Cliente per l'adempimento degli obblighi del Sub-processor.

9.4 Modifica della lista dei Sub-processor. AITAKY può modificare la lista dei Sub-processor (aggiunta o sostituzione) con preavviso di almeno 30 (trenta) giorni al Cliente, tramite:

• aggiornamento della pagina pubblica
• notifica via email all'indirizzo PEC del Cliente
• comunicazione in-app

9.5 Diritto di opposizione del Cliente. Il Cliente che, sulla base di motivati e fondati timori connessi alla protezione dei dati, intenda opporsi alla modifica, può:

• comunicare l'opposizione per iscritto entro 30 giorni dalla notifica
• in caso di mancato accordo con AITAKY, recedere dal contratto senza penalità con efficacia dalla data di attivazione del nuovo Sub-processor

10. Restituzione e cancellazione dei dati alla cessazione

10.1 Periodo di grazia. Alla cessazione del MSA, per qualsiasi causa, AITAKY mantiene i Dati Personali per un periodo di grazia di 90 (novanta) giorni durante i quali:

• il Cliente può esportare i propri dati tramite le funzionalità di export del Servizio (formati standard CSV/JSON)
• è possibile riattivare il contratto senza perdita di dati

10.2 Cancellazione definitiva. Allo scadere del 90° giorno dalla cessazione, AITAKY procede alla cancellazione definitiva di tutti i Dati Personali del Cliente, salvo che la conservazione sia richiesta da norme di legge dell'Unione Europea o di uno Stato membro applicabili ad AITAKY.

10.3 Backup. I backup automatici contenenti Dati Personali del Cliente si esauriscono naturalmente entro la finestra di 7 (sette) giorni di retention configurata sul sistema di backup.

10.4 Sub-processor. AITAKY istruisce i propri Sub-processor a procedere analogamente alla cancellazione dei dati del Cliente nell'ambito dei rispettivi sistemi entro tempi compatibili.

10.5 Conferma di cancellazione. Su richiesta del Cliente, AITAKY può fornire conferma scritta dell'avvenuta cancellazione entro 30 giorni dalla richiesta.

10.6 Esportazione assistita. L'esportazione self-service dei dati nei formati standard messi a disposizione dal Servizio (es. CSV/JSON) è gratuita per il Cliente. Per esportazioni in formati non standard o con elaborazioni custom, AITAKY potrà concordare un corrispettivo aggiuntivo proporzionato.

11. Trasferimenti di dati extra-UE

11.1 Principio generale. AITAKY si impegna a trattare i Dati Personali del Cliente all'interno dello Spazio Economico Europeo (SEE). L'infrastruttura principale è ubicata in Germania (AWS Frankfurt, eu-central-1) e nei data center UE dei Sub-processor.

11.2 Trasferimenti residuali. Eventuali trasferimenti di Dati Personali al di fuori del SEE sono effettuati esclusivamente:

• verso Paesi che beneficiano di una decisione di adeguatezza della Commissione Europea (art. 45 GDPR)
• sulla base di Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (art. 46 GDPR), con eventuali misure supplementari
• o di altre garanzie appropriate previste dal Capo V del GDPR

11.3 Trasferimenti in essere alla data del presente DPA. Allo stato attuale, nessun trasferimento sistematico dei Dati Personali del Cliente avviene al di fuori dell'Unione Europea. L'intera catena di trattamento — hosting, database, storage, autenticazione, funzioni AI (Vertex AI), email — si svolge in datacenter ubicati nell'UE.

11.4 Accessi puntuali da Paesi terzi. Possono verificarsi accessi sporadici ai sistemi da personale dei Sub-processor situato in Paesi terzi (es. supporto tecnico Supabase/Stripe/Google da USA), coperti da Standard Contractual Clauses nei rispettivi accordi e con misure supplementari (cifratura, accesso limitato, audit).

12. Audit e verifiche di compliance

12.1 Audit documentale. Il Cliente ha diritto di richiedere ad AITAKY, non più di una volta l'anno e con preavviso di almeno 30 giorni, evidenze documentali delle misure adottate (compilazione di questionario di security assessment, estratti di policy, eventuali certificazioni acquisite, copie dei DPA con i Sub-processor).

12.2 Audit on-site. Audit on-site sono possibili solo previo accordo tra le Parti, con preavviso minimo di 60 giorni, in giorni e orari lavorativi, e con spese a carico del Cliente. La frequenza non può superare una volta ogni 24 mesi, salvo che vi sia ragionevole sospetto di violazione del DPA o richiesta dell'Autorità di controllo.

12.3 Limiti dell'audit. L'audit non deve compromettere la confidenzialità degli altri clienti di AITAKY né interferire con l'erogazione del Servizio.

12.4 Audit dell'Autorità. Eventuali audit eseguiti dal Garante Privacy o da altra Autorità competente non rientrano nei limiti di frequenza dei commi precedenti e AITAKY presta piena collaborazione.

12.5 Certificazioni come alternativa all'audit. Qualora AITAKY ottenga certificazioni di sicurezza e gestione del dato rilasciate da enti terzi indipendenti (es. ISO/IEC 27001, SOC 2 Type II o equivalenti), AITAKY potrà fornire al Cliente il relativo report ufficiale in luogo della risposta a questionari custom e in luogo dell'audit documentale.

13. Obblighi del Cliente in qualità di Titolare

13.1 Il Cliente è responsabile di:

• avere una valida base giuridica per il trattamento dei dati che carica nel Servizio
• aver fornito agli Interessati le informative previste dagli artt. 13-14 GDPR
• aver acquisito i consensi necessari, ove applicabili
• mantenere accurati i dati caricati nel Servizio
• non caricare nel Servizio categorie particolari di dati personali ai sensi dell'art. 9 GDPR, né dati relativi a condanne penali e reati (art. 10 GDPR). Qualora il Cliente abbia necessità di trattare tali categorie di dati tramite il Servizio, dovrà preventivamente concludere con AITAKY uno specifico addendum al MSA e al DPA

13.2 Il Cliente garantisce che gli Utenti che operano nell'Account rispettino la normativa privacy applicabile e siano formalmente autorizzati al trattamento dei dati.

13.3 Il Cliente è responsabile della corretta configurazione del Servizio (es. permessi, ruoli, profili degli Utenti) e delle conseguenze derivanti da configurazioni inadeguate.

14. Limitazione di responsabilità

14.1 Salvo che il presente DPA disponga diversamente, le limitazioni di responsabilità previste dal MSA si applicano anche alle obbligazioni nascenti dal presente DPA.

14.2 Resta ferma la responsabilità inderogabile prevista dall'art. 82 GDPR nei confronti degli Interessati.

15. Conflitto con il MSA, cessazione, disposizioni finali

15.1 In caso di conflitto tra le disposizioni del MSA e quelle del presente DPA relativamente al trattamento di dati personali, prevalgono le disposizioni del DPA.

15.2 La cessazione del MSA comporta automaticamente la cessazione del presente DPA, fatti salvi gli adempimenti post-cessazione previsti al §10.

15.3 Per quanto non espressamente previsto si rinvia al MSA e al GDPR.

15.4 Foro competente e legge applicabile: vedi MSA §20.

Allegato 1 — Descrizione del Trattamento

A1.1 Oggetto del trattamento

Erogazione del Servizio SaaS Argo per la gestione delle attività professionali del Cliente (gestione anagrafiche clienti finali, dipendenti, listini, presenze, fatturazione, KPI, documenti, assistenza AI in-app).

A1.2 Durata

Per tutta la durata del MSA, oltre il periodo di grazia post-cessazione di 90 giorni (§10).

A1.3 Natura e finalità del trattamento

Operazioni di trattamento finalizzate all'erogazione del Servizio: raccolta, registrazione, organizzazione, strutturazione, conservazione, modifica, estrazione, consultazione, uso, comunicazione interna al Servizio, raffronto, limitazione, cancellazione e distruzione.

Finalità specifiche:

• gestione operativa quotidiana dell'attività del Cliente attraverso le funzionalità del Servizio
• supporto tecnico, manutenzione evolutiva e risoluzione incidenti
• elaborazione AI tramite il sub-processor Vertex AI per le funzionalità di assistenza, generazione documenti, ricerca semantica
• generazione di backup e log di sistema
• erogazione del modulo Documentale e gestione degli accessi di referenti esterni

A1.4 Categorie di Interessati

1. Utenti applicativi del Cliente (dipendenti, collaboratori dello studio del Cliente con accesso ad Argo)
2. Persone censite nell'anagrafica del Cliente:
   • dipendenti/collaboratori del Cliente (dati HR)
   • clienti finali del Cliente (anagrafica B2B/B2C)
   • referenti dei clienti finali del Cliente
3. Referenti esterni del modulo Documentale (client_people) — persone fisiche invitate dal Cliente ad accedere ai documenti condivisi

A1.5 Categorie di Dati Personali

Solo dati personali comuni, nessuna categoria particolare ex art. 9 GDPR:

• dati anagrafici (nome, cognome, codice fiscale, data di nascita)
• dati di contatto (email, telefono, indirizzo)
• dati lavorativi (ruolo, mansione, ore lavorate, presenze, KPI di performance)
• dati retributivi e di fatturazione
• dati di accesso (email login, hash password, IP, timestamp, user-agent)
• log applicativi tecnici
• contenuto di documenti caricati dal Cliente (es. PDF) — il Cliente è responsabile del contenuto

Dati esclusi dal trattamento:

• dati di salute, biometrici, genetici (art. 9)
• dati relativi a condanne penali (art. 10)
• geolocalizzazione di lavoratori

Allegato 2 — Misure di Sicurezza (art. 32 GDPR)

A2.1 Misure tecniche

Cifratura

• TLS 1.2+ obbligatorio in transito (HTTPS) su tutti gli endpoint
• Cifratura at rest su database (Supabase) e storage (AWS S3)

Controllo accessi

• Autenticazione utenti via Supabase Auth con hashing password sicuro
• MFA disponibile per Utenti applicativi
• Autenticazione separata per il modulo Documentale (AWS Cognito) per i referenti esterni
• Audit log degli accessi amministrativi (in fase di implementazione)

Isolamento dati

• Multi-tenancy isolata via Row Level Security (RLS) sul database Postgres
• Segregazione logica tra ambienti dev/staging/produzione

Resilienza e backup

• Backup automatici giornalieri (retention 7 giorni) gestiti dal sub-processor Supabase
• Procedure di restore documentate

Sicurezza del codice

• Versioning del codice con git e code review
• Gestione delle dipendenze con monitoraggio vulnerabilità
• Sanitizzazione input utente

A2.2 Misure organizzative

• Nomine formali ad Autorizzati al trattamento (art. 29 GDPR) per tutto il personale con accesso ai sistemi
• Nomine specifiche ad Amministratori di Sistema (provvedimento Garante 27/11/2008)
• Procedura interna di gestione data breach (notifica al Cliente entro 24h, al Garante entro 72h)
• Formazione periodica del personale in materia di protezione dati e sicurezza informatica
• Accesso ai dati di produzione limitato al solo personale autorizzato (principio del least privilege)

A2.3 Misure relative ai Sub-processor

• DPA firmati con tutti i Sub-processor
• Verifica annuale dei DPA in essere e delle certificazioni dei Sub-processor
• Selezione dei Sub-processor sulla base di criteri di sicurezza, conformità e residenza UE dei dati

Allegato 3 — Lista dei Sub-processor autorizzati

Per la lista completa e sempre aggiornata, si rimanda alla pagina pubblica di trasparenza.