(ai sensi dell’art. 28 Regolamento (UE) 2016/679)
Versione 1.0 – 15/02/2026
Il presente Accordo sul Trattamento dei Dati (“DPA”) disciplina il trattamento dei dati personali effettuato da Onerian S.r.l. (di seguito, il “Fornitore” o “Responsabile”) per conto del Cliente nell’ambito dell’erogazione del servizio SaaS “AssistenteRUP”.
Il presente DPA costituisce parte integrante dei Termini e Condizioni del Servizio.
Ai sensi dell’art. 28 GDPR:
• Il Cliente agisce in qualità di Titolare del trattamento.
• Il Fornitore agisce in qualità di Responsabile del trattamento.
Il presente Accordo è redatto in conformità all’art. 28, par. 3, del Regolamento (UE) 2016/679 e contiene tutti gli elementi ivi previsti.
Il Fornitore tratta dati personali per conto del Cliente esclusivamente al fine di:
• erogare il Servizio;
• garantire sicurezza e continuità operativa;
• fornire assistenza tecnica;
• adempiere agli obblighi contrattuali.
Le istruzioni del Cliente sono costituite dai Termini e Condizioni, dal presente DPA e da eventuali ulteriori istruzioni scritte e documentate.
Il Fornitore informerà il Cliente qualora un’istruzione violi il GDPR o altre disposizioni applicabili.
Il trattamento consiste in:
• raccolta
• registrazione
• organizzazione
• conservazione
• consultazione
• elaborazione
• trasmissione
• cancellazione
Finalità:
• gestione documentale
• supporto operativo
• analisi e generazione contenuti tramite AI
• autenticazione e tracciabilità
Il Fornitore può trattare, per conto del Cliente:
• dati identificativi (nome, cognome);
• codice fiscale;
• email istituzionale;
• ruolo e appartenenza all’ente;
• dati contenuti nei documenti caricati;
• eventuali ulteriori dati personali inseriti dal Cliente nel Servizio.
Il Fornitore non tratta categorie particolari di dati (art. 9 GDPR) salvo che il Cliente li carichi autonomamente sotto la propria responsabilità.
• Dipendenti del Cliente
• Collaboratori del Cliente
• Soggetti coinvolti nei procedimenti amministrativi
• Ulteriori soggetti i cui dati siano contenuti nei documenti caricati
Il trattamento avviene per la durata della singola fornitura di Licenze.
Alla cessazione:
• i dati saranno restituiti o cancellati secondo le istruzioni del Cliente;
• eventuali copie di backup saranno eliminate entro tempi tecnicamente compatibili con i cicli di sovrascrittura dei sistemi di backup.
Il Fornitore si impegna a:
1. Trattare i dati esclusivamente su istruzione documentata del Cliente.
2. Garantire che il personale autorizzato sia vincolato da obbligo di riservatezza.
3. Adottare misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR.
4. Non utilizzare i dati per finalità proprie.
5. Non utilizzare i dati per l’addestramento di modelli generici di intelligenza artificiale.
6. Garantire separazione logica dei dati tra Clienti.
7. Tenere un registro delle attività di trattamento ove richiesto.
8. Informare il Cliente qualora ritenga che un’istruzione violi la normativa applicabile.
Il Fornitore adotta, tra le altre:
• cifratura dei dati in transito (TLS);
• cifratura dei dati a riposo;
• controllo accessi basato su ruoli;
• autenticazione forte;
• logging e monitoraggio;
• segregazione ambienti;
• backup periodici;
• procedure di gestione incidenti;
• test di sicurezza periodici.
Le misure sono descritte nella sezione Trust & Compliance.
Il Cliente autorizza il Fornitore a ricorrere a Sub-responsabili per lo svolgimento di specifiche attività di trattamento.
Il Fornitore:
• stipula con ciascun Sub-responsabile un accordo conforme all’art. 28 GDPR;
• impone obblighi di protezione dei dati equivalenti a quelli previsti nel presente DPA;
• resta pienamente responsabile nei confronti del Cliente per l’adempimento degli obblighi del Sub-responsabile.
Il Fornitore informerà il Cliente di eventuali modifiche riguardanti l’aggiunta o la sostituzione di Sub-responsabili, concedendo un termine ragionevole per eventuali opposizioni motivate.
L’elenco aggiornato dei Sub-responsabili è disponibile nella sezione Trust & Compliance.
Il trattamento avviene su infrastruttura situata nell’Unione Europea.
Qualora si rendessero necessari trasferimenti verso Paesi terzi, essi avverranno esclusivamente nel rispetto degli artt. 44–49 GDPR, mediante Clausole Contrattuali Standard o altri meccanismi di garanzia adeguati.
Il Fornitore assiste il Cliente per:
• gestione richieste di esercizio dei diritti degli interessati;
• valutazioni d’impatto (DPIA);
• consultazioni preventive;
• gestione data breach.
In caso di violazione dei dati personali, il Fornitore:
• ne informa il Cliente senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza dell’evento;
• fornisce informazioni utili per la notifica all’Autorità competente;
• collabora nella gestione e mitigazione dell’incidente.
Il Cliente può richiedere informazioni ragionevoli per verificare il rispetto del presente DPA.
Eventuali audit:
• devono essere pianificati con congruo preavviso;
• non devono interferire con l’operatività del Servizio;
• devono rispettare obblighi di riservatezza.
Il Fornitore può fornire certificazioni o report indipendenti in alternativa ad audit in loco.
1. Alla cessazione del Servizio, il Responsabile provvede alla cancellazione dei dati personali entro 60 (sessanta) giorni, salvo richiesta diversa del Cliente.
2. Il Cliente può richiedere la restituzione dei dati prima della cancellazione; in tal caso il Responsabile fornirà i dati in formato strutturato entro 10 (dieci) giorni.
3. Il Cliente può richiedere la cancellazione immediata prima del termine di 60 giorni.
4. Decorso il termine senza richiesta di restituzione, i dati saranno definitivamente cancellati salvo obblighi di legge.
5. Le copie di backup saranno eliminate secondo i cicli tecnici di retention applicabili.
6. Resta inteso che la cancellazione non preclude la conservazione, da parte del Responsabile quale autonomo Titolare, di un identificativo pseudonimizzato derivato dal codice fiscale dell’Utente, limitatamente alla prevenzione di frodi o utilizzi abusivi del Servizio.
Tale identificativo non consente l’identificazione diretta dell’interessato né la ricostruzione del dato originario e non sarà utilizzato per finalità ulteriori.
La responsabilità del Fornitore è disciplinata nei Termini e Condizioni del Servizio.
Il presente DPA è regolato dalla legge italiana.
In caso di conflitto con i Termini e Condizioni, prevale il presente DPA per quanto concerne la protezione dei dati personali.
