Accordo sul trattamento dei dati. Firmato in pochi minuti.

Nel nostro impegno standard il cliente agisce come titolare del trattamento e DPP Automate come responsabile. Quando ingaggiamo una terza parte per trattare per nostro conto — ad esempio il nostro fornitore di autenticazione o il nostro database host — quella parte agisce come sub-responsabile. Il DPA disciplina il rapporto contrattuale tra titolare e responsabile e vincola i nostri sub-responsabili a obblighi equivalenti tramite accordi back-to-back. L’accordo si applica a tutti i dati personali che il cliente ci affida tramite la piattaforma, l’API, i canali di supporto e qualsiasi import strutturato che ingeriamo per suo conto.

Il DPA si apre con le indicazioni richieste dall’art. 28(3): l’oggetto (gestione della piattaforma Digital Product Passport per il cliente), la durata (durata dell’accordo di servizi sottostante), la natura e la finalità del trattamento (memorizzare, interrogare e servire dati prodotto e di compliance), le categorie di dati personali e di interessati e gli obblighi e diritti del titolare. Sono le cinque voci che ogni regolatore e ogni ufficio acquisti controlla per prime; le teniamo in prima pagina dell’allegato, non sepolte in uno schedule — facili da verificare prima della firma.

Le categorie di interessati sono tipicamente i collaboratori del cliente che operano sulla piattaforma, i fornitori del cliente che rispondono ai questionari di dichiarazione materiale e — solo quando una normativa in ambito lo prevede — persone nominate nella documentazione di compliance. Le categorie di dati personali si limitano a identificativi account, dati di contatto aziendali e metadati operativi necessari ad attribuire le azioni nel registro di audit. Non trattiamo categorie particolari di dati, dati di condanna né dati di minori. Tutto ciò che esula richiede una variazione scritta del DPA prima dell’ingestione.

Il DPA concede un’autorizzazione generale scritta all’uso di sub-responsabili e ne elenca l’insieme corrente in un allegato aggiornato in tempo reale più sotto in questa pagina. Notifichiamo per iscritto almeno trenta giorni prima di aggiungere o sostituire un sub-responsabile. Il cliente può opporsi entro tale finestra per motivi ragionevoli di protezione dei dati: in tal caso revochiamo la modifica oppure, se essenziale alla gestione del servizio, concediamo un diritto di risoluzione senza penali per la porzione di servizi interessata. Ogni sub-responsabile è vincolato a obblighi di protezione dei dati equivalenti.

La nostra posizione di default è la piena residenza UE. I dati personali cliente sono ospitati a Francoforte con replica ad Amsterdam; in esercizio normale non escono mai dall’UE/SEE. Quando un sub-responsabile è stabilito fuori dall’UE — ad esempio il nostro fornitore di autenticazione con sede negli Stati Uniti — il trasferimento è disciplinato dalle Clausole Contrattuali Standard UE (decisione di esecuzione 2021/914), Modulo 2, integrate da un Transfer Impact Assessment documentato. Le SCC sono allegate al DPA — il titolare ha il testo vincolante nella sua copia controfirmata.

Il personale con accesso ai dati personali cliente è vincolato a obblighi di riservatezza scritti che sopravvivono alla fine dell’ingaggio. Le misure tecniche e organizzative sono documentate in un allegato dedicato e allineate ai controlli validati dal nostro rapporto SOC 2 Type II annuale e dalla nostra certificazione ISO 27001. Il set di controlli copre la gestione degli accessi con autorizzazione basata sui ruoli e token a vita breve, la cifratura in transito e a riposo, la segmentazione di rete, la gestione delle vulnerabilità, logging e monitoraggio e un piano di incident response documentato. L’allegato è aggiornato a ogni variazione del set di controlli.

Gli interessati rivolgono le proprie richieste al titolare, non a noi. Se una richiesta arriva per errore a noi, la inoltriamo al cliente senza darvi seguito. Forniamo strumenti e API documentate che consentono al titolare di soddisfare i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione senza dover aprire un ticket di supporto manuale. Quando il titolare necessita comunque di assistenza umana — ad esempio per localizzare un artefatto tra più ambienti — rispondiamo nei tempi che il titolare fissa per iscritto, senza costi aggiuntivi.

Notifichiamo al titolare ogni violazione di dati personali che lo riguardi senza ingiustificato ritardo e comunque entro ventiquattro ore dal momento in cui ne veniamo a conoscenza. La notifica iniziale contiene la natura della violazione, le categorie e il numero approssimativo di interessati e di record coinvolti, le conseguenze probabili e le misure adottate o proposte. Quando le informazioni complete non sono ancora disponibili, la notifica iniziale indica un single point of contact e un calendario di follow-up. Il nostro runbook di incident response è rivisto e provato trimestralmente ed è disponibile per il titolare sotto NDA.

La compliance è dimostrata in prima battuta tramite le nostre attestazioni annuali di terze parti — SOC 2 Type II e ISO 27001 — messe a disposizione del titolare sotto NDA. Quando il regolatore del titolare o il suo SGSI interno richiedono un audit on-site o remoto oltre le attestazioni, accogliamo un audit per periodo di dodici mesi senza costi aggiuntivi, con ragionevole rimborso costi per audit aggiuntivi. Gli audit sono coordinati con preavviso ragionevole e condotti senza compromettere la riservatezza degli altri clienti né l’integrità dell’ambiente di produzione.

Alla cessazione o scadenza dell’accordo di servizi, restituiamo o cancelliamo tutti i dati personali del cliente entro trenta giorni dalla richiesta scritta del titolare. Il titolare sceglie l’opzione. Eseguita l’opzione scelta, emettiamo un attestato scritto di cancellazione — con indicazione dei dati, degli ambienti e dei sistemi interessati. Nastri di backup e log di audit immutabili sono conservati per il periodo stabilito dalla normativa in ambito — tipicamente dieci anni per ESPR — e poi cancellati secondo lo stesso piano documentato. Tali obblighi di conservazione sopravvivono alla cessazione dell’accordo.