Trust & Compliance

Accordo sul trattamento dei dati personali

Servizio "AssistenteRUP"

(ai sensi dell’art. 28 Regolamento (UE) 2016/679)

Versione 1.0 – 27/05/2026

1. Premesse

Il presente Accordo sul Trattamento dei Dati (“DPA”) disciplina il trattamento dei dati personali effettuato da Onerian S.r.l. (di seguito, il “Fornitore” o “Responsabile”) per conto del Cliente nell’ambito dell’erogazione del servizio SaaS “AssistenteRUP”.

Il presente DPA costituisce parte integrante dei Termini e Condizioni del Servizio "AssistenteRUP".

Ai sensi dell’art. 28 GDPR:

• Il Cliente agisce in qualità di Titolare del trattamento.

• Il Fornitore agisce in qualità di Responsabile del trattamento.

Il presente Accordo è redatto in conformità all’art. 28, par. 3, del Regolamento (UE) 2016/679 e contiene tutti gli elementi ivi previsti.

2. Oggetto del trattamento

Il Fornitore tratta dati personali per conto del Cliente esclusivamente al fine di:

• erogare il Servizio;

• garantire sicurezza e continuità operativa;

• fornire assistenza tecnica;

• adempiere agli obblighi contrattuali.

Le istruzioni del Cliente sono costituite dai Termini e Condizioni del Servizio "AssistenteRUP", dal presente DPA e da eventuali ulteriori istruzioni scritte e documentate.

Il Fornitore informerà il Cliente qualora un’istruzione violi il GDPR o altre disposizioni applicabili.

3. Natura e finalità del trattamento

Il trattamento consiste in:

• raccolta

• registrazione

• organizzazione

• conservazione

• consultazione

• elaborazione

• trasmissione

• cancellazione

Finalità:

• gestione documentale

• supporto operativo

• analisi e generazione contenuti tramite AI

• autenticazione e tracciabilità

4. Tipologia di dati personali trattati

Il Fornitore può trattare, per conto del Cliente:

• dati identificativi (nome, cognome);

• codice fiscale;

• e-mail istituzionale;

• ruolo e appartenenza all’ente;

• dati contenuti nei documenti caricati;

• eventuali ulteriori dati personali inseriti dal Cliente nel Servizio.

Il Fornitore non tratta categorie particolari di dati (art. 9 GDPR) salvo che il Cliente li carichi autonomamente sotto la propria responsabilità.

5. Categorie di interessati

• Dipendenti del Cliente

• Collaboratori del Cliente

• Soggetti coinvolti nei procedimenti amministrativi

• Ulteriori soggetti i cui dati siano contenuti nei documenti caricati

6. Durata del trattamento

Il trattamento avviene per la durata della singola fornitura di Licenze.

Alla cessazione:

• i dati saranno restituiti o cancellati secondo le istruzioni del Cliente;

• eventuali copie di backup saranno eliminate entro tempi tecnicamente compatibili con i cicli di sovrascrittura dei sistemi di backup.

7. Obblighi del Responsabile

Il Fornitore si impegna a:

1. Trattare i dati esclusivamente su istruzione documentata del Cliente.

2. Garantire che il personale autorizzato sia vincolato da obbligo di riservatezza.

3. Adottare misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR.

4. Non utilizzare i dati per finalità proprie.

5. Non utilizzare i dati per l’addestramento di Modelli di IA.

6. Garantire separazione logica dei dati tra Clienti.

7. Tenere un registro delle attività di trattamento ove richiesto.

8. Informare il Cliente qualora ritenga che un’istruzione violi la normativa applicabile.

8. Misure tecniche e organizzative

Il Fornitore adotta, tra le altre:

• cifratura dei dati in transito (TLS);

• cifratura dei dati a riposo;

• controllo accessi basato su ruoli;

• autenticazione forte;

• logging e monitoraggio;

• segregazione ambienti;

• backup periodici;

• procedure di gestione incidenti;

• test di sicurezza periodici.

Le misure sono descritte nella sezione Trust & Compliance.

9. Sub-responsabili

1. Il Cliente autorizza il Fornitore a ricorrere a sub-responsabili del trattamento per lo svolgimento di specifiche attività necessarie o funzionali all’erogazione del Servizio.

2. Il Fornitore:

• stipula con ciascun sub-responsabile un accordo conforme all’art. 28 GDPR;

• impone obblighi di protezione dei dati sostanzialmente equivalenti a quelli previsti nel presente DPA;

• resta responsabile nei confronti del Cliente per l’adempimento degli obblighi del sub-responsabile nei limiti previsti dalla Normativa Applicabile e dal Contratto.

3. L’elenco aggiornato dei sub-responsabili è reso disponibile nella sezione “Trust & Compliance” o con altra modalità idonea indicata dal Fornitore.

4. Il Fornitore informerà il Cliente di eventuali aggiunte o sostituzioni di sub-responsabili che comportino modifiche sostanziali al trattamento, concedendo al Cliente un termine di 15 (quindici) giorni dalla comunicazione per eventuali opposizioni motivate, fondate su ragioni attinenti alla protezione dei dati personali.

5. In caso di opposizione motivata, le Parti si consulteranno in buona fede al fine di individuare una soluzione ragionevole. Qualora tale soluzione non sia individuabile senza pregiudicare l’erogazione del Servizio o la conformità del trattamento, il Fornitore potrà recedere limitatamente alla componente del Servizio interessata o, se ciò non sia tecnicamente possibile, dal rapporto relativo alla specifica fornitura interessata, senza ulteriori responsabilità diverse da quelle inderogabilmente previste dalla legge.

10. Trasferimenti verso Paesi terzi

1. Il trattamento dei dati personali oggetto del presente DPA avviene, nell’ambito dell’erogazione ordinaria del Servizio, mediante infrastrutture localizzate nell’Unione Europea.

2. I Dati del Cliente sono conservati e trattati, nell’ambito dell’erogazione ordinaria del Servizio, all’interno dello Spazio Economico Europeo, secondo quanto previsto dai Termini.

3. Il Fornitore non effettua trasferimenti sistematici dei dati personali oggetto del presente DPA verso Paesi terzi o organizzazioni internazionali.

4. Eventuali trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali potranno avvenire soltanto ove necessari per adempiere ad obblighi di legge, per dare esecuzione al Contratto nei casi espressamente previsti, o nei casi altrimenti consentiti dalla Normativa Applicabile, e comunque nel rispetto degli artt. 44–49 GDPR.

5. Qualora si rendano necessari trasferimenti di dati personali diversi da quelli previsti dal presente articolo, il Fornitore informerà il Cliente e adotterà le garanzie richieste dalla Normativa Applicabile, incluse, ove applicabili, Clausole Contrattuali Standard, decisioni di adeguatezza o altri strumenti previsti dal GDPR.

11. Assistenza al Titolare

Il Fornitore assiste il Cliente per:

• gestione richieste di esercizio dei diritti degli interessati;

• valutazioni d’impatto (DPIA);

• consultazioni preventive;

• gestione data breach.

12. Data Breach

In caso di violazione dei dati personali, il Fornitore:

• ne informa il Cliente senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza dell’evento;

• fornisce informazioni utili per la notifica all’Autorità competente;

• collabora nella gestione e mitigazione dell’incidente.

13. Audit

Il Cliente può richiedere informazioni ragionevoli per verificare il rispetto del presente DPA.

Eventuali audit:

• devono essere pianificati con congruo preavviso;

• non devono interferire con l’operatività del Servizio;

• devono rispettare obblighi di riservatezza.

Il Fornitore può fornire certificazioni o report indipendenti in alternativa ad audit in loco.

14. Restituzione e cancellazione dei dati

1. Alla cessazione del Servizio, il Responsabile provvede alla cancellazione dei dati personali entro 60 (sessanta) giorni, salvo richiesta diversa del Cliente.

2. Il Cliente può richiedere la restituzione dei dati prima della cancellazione; in tal caso il Responsabile fornirà i dati in formato strutturato entro 10 (dieci) giorni dalla richiesta, da inviarsi tramite i canali ufficiali di supporto del Fornitore, incluso l’indirizzo e-mail: supporto@assistenterup.it.

3. Il Cliente può richiedere la cancellazione immediata prima del termine di 60 giorni.

4. Decorso il termine senza richiesta di restituzione, i dati saranno definitivamente cancellati salvo obblighi di legge.

5. Le copie di backup saranno eliminate secondo i cicli tecnici di retention applicabili.

6. Resta inteso che la cancellazione non preclude la conservazione, da parte del Responsabile quale autonomo Titolare, di un identificativo pseudonimizzato derivato dal codice fiscale dell’Utente, limitatamente alla prevenzione di frodi o utilizzi abusivi del Servizio.

Tale identificativo non consente l’identificazione diretta dell’interessato né la ricostruzione del dato originario e non sarà utilizzato per finalità ulteriori.

15. Responsabilità

La responsabilità del Fornitore è disciplinata nei Termini e Condizioni del Servizio "AssistenteRUP".

16. Disposizioni Finali

1. Il Contratto è regolato dalla Legge italiana ed è interpretato in conformità alla medesima.

2. In caso di conflitto con i Termini e Condizioni del Servizio "AssistenteRUP", prevale il presente DPA per quanto concerne la protezione dei dati personali.