Questa è una traduzione di cortesia in italiano. In caso di discrepanze fa fede la versione tedesca (AVV). Il presente DPA diventa parte del contratto quando e nella misura in cui trattiamo dati personali per conto del cliente (titolare). Il titolare è il cliente; il responsabile del trattamento è Arti-IT.
1. Oggetto & durata
(1) Oggetto del presente accordo è il trattamento di dati personali da parte di Arti-IT (responsabile) per conto del cliente (titolare) nell'ambito dell'utilizzo dei prodotti SaaS Blina Desk e Blina Space.
(2) La durata del presente accordo corrisponde alla durata del relativo contratto principale (contratto SaaS). Termina con la sua cessazione, fatte salve le disposizioni su cancellazione e restituzione (punto 9).
2. Natura, finalità & dati del trattamento
| Natura del trattamento | Raccolta, conservazione, organizzazione, indicizzazione, ricerca, visualizzazione, trasmissione (nella misura necessaria) e cancellazione di dati personali all'interno del software. |
|---|---|
| Finalità | Fornitura delle funzioni SaaS contrattualmente convenute (archivio documentale, ricerca semantica, OCR, analisi assistita dall'IA, amministrazione, notifiche). |
| Categorie di interessati | Dipendenti, clienti, fornitori, potenziali clienti e altri contatti del titolare i cui dati sono contenuti nei documenti caricati o nel sistema. |
| Categorie di dati personali | Dati anagrafici (nome, recapiti), dati di comunicazione e contrattuali, contenuti dei documenti caricati, dati di utilizzo e di log. L'effettiva estensione è determinata dal titolare tramite i contenuti che inserisce. |
Le categorie particolari di dati personali (art. 9 GDPR) sono trattate solo se il titolare inserisce tali dati nel sistema; il titolare è responsabile della liceità.
3. Obblighi del responsabile
- Trattamento esclusivamente su istruzioni documentate del titolare, salvo obbligo di legge (art. 28, par. 3, lett. a GDPR).
- Impegno alla riservatezza delle persone autorizzate al trattamento (art. 28, par. 3, lett. b, art. 29 GDPR).
- Attuazione delle misure tecniche e organizzative di cui all'art. 32 GDPR (punto 4).
- Assistenza al titolare nel riscontro alle richieste degli interessati nonché nelle valutazioni d'impatto e negli obblighi di notifica (art. 28, par. 3, lett. e ed f GDPR).
- Informazione immediata al titolare qualora, a parere del responsabile, un'istruzione violi la normativa sulla protezione dei dati.
4. Misure tecniche & organizzative (TOM)
Il responsabile adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, in particolare:
- Riservatezza: controllo degli accessi e delle autorizzazioni, permessi basati sui ruoli (RBAC), database separato per ciascun cliente (isolamento dei clienti).
- Cifratura: cifratura in transito (TLS/SSL); cifratura delle chiavi sensibili (es. chiavi API) a riposo.
- Integrità: scansione antivirus automatica al caricamento, log di audit, controllo di inserimento e trasmissione.
- Disponibilità & resilienza: backup regolari, backup off-site immutabile (WORM/object lock) a protezione da ransomware, monitoraggio.
- Ripristinabilità: procedure per ripristinare la disponibilità dopo un incidente.
- Verifica: riesame e aggiornamento periodico delle misure.
5. Sub-responsabili
(1) Il titolare acconsente all'impiego dei sub-responsabili elencati di seguito. Il responsabile informa in merito alle modifiche previste e riconosce al titolare un diritto di opposizione.
| Fornitore | Finalità | Luogo / nota |
|---|---|---|
| Hetzner Online GmbH | Hosting & infrastruttura (SaaS, database, archiviazione, backup) | Germania (UE) |
| Hostinger International Ltd. | Hosting del sito (arti-it.de), e-mail/SMTP | UE/SEE |
| OpenAI Ireland Ltd. | Trattamento IA (chat, embedding / ricerca semantica) | Controparte UE; possibile trasferimento in paese terzo con garanzie (SCC) |
| Brevo (Sendinblue GmbH) | E-mail transazionali (verifica, notifiche) | UE/SEE |
| Stripe Payments Europe Ltd. | Gestione dei pagamenti (solo piani a pagamento) | UE (Irlanda) |
| Google Ireland Ltd. | Funzionamento del chat assistant (proxy, regione cloud UE) | UE (europe-west3) |
(2) Il responsabile conclude con ciascun sub-responsabile contratti che garantiscono un livello di protezione dei dati sostanzialmente equivalente al presente DPA.
6. Diritti degli interessati
Il responsabile assiste il titolare, nei limiti delle proprie possibilità, nell'adempimento delle richieste degli interessati di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione. Se un interessato si rivolge direttamente al responsabile, questi inoltra la richiesta al titolare senza indebito ritardo.
7. Diritti di controllo
Il titolare ha diritto di verificare il rispetto delle misure TOM e degli obblighi derivanti dal presente accordo. A tal fine il responsabile fornisce le informazioni necessarie; la prova può essere fornita anche tramite idonei certificati, report o autodichiarazioni. Le verifiche in loco sono possibili con ragionevole preavviso e senza intralcio all'operatività.
8. Notifica delle violazioni
Il responsabile notifica al titolare le violazioni di dati personali senza indebito ritardo dopo esserne venuto a conoscenza e lo assiste nell'adempimento dei suoi obblighi di notifica ai sensi degli artt. 33 e 34 GDPR.
9. Cancellazione & restituzione
Al termine del trattamento il responsabile cancella i dati personali a scelta del titolare oppure li restituisce, salvo obbligo di legge di conservazione. Al titolare è concesso un periodo ragionevole per l'esportazione dei propri dati prima della cancellazione.
10. Responsabilità & disposizioni finali
(1) Per la responsabilità si applicano le disposizioni del contratto principale (Termini) e l'art. 82 GDPR.
(2) In caso di contrasto tra il presente DPA e il contratto principale, prevalgono le disposizioni del presente DPA per le questioni di protezione dei dati.
(3) Si applica il diritto tedesco. Qualora singole disposizioni siano inefficaci, resta impregiudicata la validità delle restanti.