Accordo sul Trattamento dei Dati
Tra
il Cliente, così come definito nell'Accordo Commerciale;
e
Compri, così come definito nell'Accordo Commerciale (di seguito, anche "Responsabile");
(Cliente e Compri sono di seguito indicati anche singolarmente come "Parte" e congiuntamente come "Parti").
Premesso che
- tra il Cliente e Compri è stato stipulato un Accordo Commerciale (di seguito “Accordo”) del quale il presente Contratto sul Trattamento dei Dati (di seguito “DPA”) forma parte integrante e sostanziale;
- oggetto dell’Accordo è la fornitura, secondo le modalità e i termini definiti nell’Accordo stesso, del SaaS Compri (di seguito “SaaS”), volto alla gestione e all’efficientamento della catena di approvvigionamento del Cliente, nonché l’erogazione di servizi consulenziali accessori;
- l’utilizzo del SaaS comporta il trattamento di dati personali, come definiti ai sensi dell’art. 4(1)(1) del Regolamento (UE) 2016/679 (di seguito “GDPR”);
- le Parti intendono concordare ai sensi e per gli effetti dell’art. 28(2) del GDPR, la natura, la finalità, la durata, il tipo di dati personali, le categorie di interessati, nonché i propri diritti e obblighi derivanti dal trattamento di dati personali effettuato mediante il SaaS.
Tutto ciò premesso, le Parti convengono quanto segue:
1. Definizioni e Lingua del DPA
Nel presente DPA, i termini infra indicati hanno il significato attribuito loro a seguire. Per tutto quanto non espressamente definito ai sensi della presente clausola si rimanda alle definizioni di cui all’art. 4 del GDPR.
“Normativa applicabile”: il GDPR, il d. lgs. 196/2003 e qualsiasi altra normativa in materia di protezione dei dati di volta in volta applicabile al trattamento dei dati personali;
“Titolare”: il titolare del trattamento dei dati personali, ossia soggetto che determina concretamente i mezzi e le modalità del trattamento, indipendentemente dal fatto che sia parte del presente accordo;
“Incaricati del Trattamento”: i dipendenti, gli incaricati o qualsiasi altra persona fisica autorizzata dalle Parti a svolgere operazioni di trattamento dei dati personali ai sensi dell’art. 29 del GDPR e dell’art. 2-quaterdecies del d. lgs. 196/2003;
“Sub-Responsabile”: si intendono i terzi autorizzati ai sensi del presente Accordo per il Trattamento dei Dati a trattare i Dati Personali del Cliente al fine di fornire, in tutto o in parte, i Servizi del Responsabile e/o qualsiasi supporto tecnico correlato;
“SEE”: lo Spazio Economico Europeo;
“Moduli”: i moduli di cui è composto il SaaS, che il Cliente acquista e implementa anche singolarmente; ciascun Modulo è dotato di un proprio funzionamento e il suo utilizzo comporta il trattamento di autonome e differenti categorie di dati personali, collegate alle finalità perseguite tramite esso.
“Istruzioni”: le istruzioni impartite dal Titolare del trattamento e dettagliate nella clausola 3.2. del presente DPA.
Se il presente DPA fosse tradotto in un’altra lingua e vi fosse una discrepanza tra il testo in italiano e il testo tradotto, prevarrà il testo in italiano.
2. Scopo e ambito di applicazione
2.1 Lo scopo del presente DPA è garantire il rispetto dell’articolo 28 del GDPR, secondo l’interpretazione del Comitato Europeo per la protezione dei dati personali nell’Opinione 14/2019.
2.2 Nell’ambito delle attività descritte, le parti concordano e accettano che:
- Compri agisce come Responsabile per i Dati Personali del Cliente ai sensi della Normativa Applicabile;
- il Cliente agisce come titolare o responsabile, a seconda dei casi, dei Dati personali del Cliente ai sensi della Normativa Applicabile;
- ciascuna parte si conformerà agli obblighi ad essa applicabili ai sensi della Legislazione europea e nazionale rispetto al Trattamento dei Dati Personali del Cliente.
2.3 Il presente DPA si applica ai trattamenti elencati e descritti nell’Allegato 1. Le Parti riconoscono che il SaaS ha natura modulare e che, pertanto, il trattamento dei dati personali effettuato dal Responsabile è quello indicato nell’Allegato 1:
- nella Parte 1, in ogni caso e relativamente a qualsiasi erogazione del SaaS;
- nella Parte 2, relativamente ai soli moduli che formano oggetto dell’Offerta Commerciale;
- nella Parte 3, in caso di attivazione dei servizi consulenziali di Compri.
3. Obblighi del Cliente e istruzioni
3.1 Il Cliente si impegna a rispettare la Normativa applicabile, nonché a trattare i dati in conformità a qualsiasi altra disposizione di legge applicabile che abbia o possa avere effetti di natura obbligatoria circa le modalità e le garanzie da applicare al trattamento di dati personali.
3.2 Con il presente Accordo per il Trattamento di Dati, il Cliente incarica Compri di trattare i dati personali oggetto del presente DPA: (a) solo in conformità alla legge applicabile; (b) per fornire il SaaS e qualsiasi supporto tecnico correlato, ferma restando la facoltà del Responsabile di trattarli in forma anonimizzata e/o aggregata per finalità statistiche e di miglioramento dei servizi; (c) come ulteriormente specificato/indicato dal Cliente attraverso l’uso da parte sua dei Servizi del Responsabile (incluse modifiche alle impostazioni e/o alle funzionalità dei Servizi del Responsabile) e di qualsiasi supporto tecnico correlato; (d) come documentato nell’Accordo, incluso il presente DPA; ed (e) come ulteriormente documentato in qualsiasi comunicazione scritta fornita dal Cliente a Compri da intendersi come ulteriore istruzione ai fini del presente Accordo per il Trattamento di Dati.
3.3 In nessun caso, è imputabile al Responsabile la violazione della Normativa Applicabile derivante da un comportamento del Cliente o del Titolare, nonché dall’applicazione delle Istruzioni da essi impartite.
3.4 Il Cliente si impegna a verificare e dimostrare che i dati inseriti all’interno del SaaS siano raccolti e trattati nel rispetto di ogni altro obbligo imposto dalla Normativa Applicabile e ad ogni altra disposizione di legge.
3.5 Se il Cliente agisce come responsabile, il Cliente garantisce a Compri che le istruzioni e le azioni del Cliente in relazione ai dati personali, compresa la nomina di Compri come ulteriore Responsabile, sono state autorizzate dal rispettivo Titolare.
4. Obblighi di Compri
4.1 Compri tratta i dati personali in conformità alle Istruzioni, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile.
4.2 Il Responsabile informa immediatamente il Cliente qualora, a suo parere, le Istruzioni violino la Normativa Applicabile. In nessun caso il Responsabile sarà onerato dell’obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente o dal Titolare.
4.3 Il Responsabile tiene e aggiorna il Registro delle Attività di trattamento di cui all’art. 30(2) GDPR, con speciale riferimento alle attività svolte per conto del Titolare. Il Responsabile, su richiesta del Titolare, mette a disposizione una copia delle sezioni del suddetto registro riguardanti il trattamento svolto per conto del Titolare.
4.4 Il Responsabile informa il Titolare senza ingiustificato ritardo circa l’obbligo di consultazione e/o acquisizione dei dati personali del Titolare imposto da un’Autorità pubblica, salvo vincoli diversi da parte della suddetta Autorità dovuti a segreto investigativo.
5. Assistenza al Cliente e audit
5.1 Il Responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del Cliente relative al trattamento dei dati oggetto del presente DPA e mette a disposizione del Cliente la documentazione idonea a comprovare il rispetto del presente DPA e della Normativa applicabile.
5.2 Il Responsabile può adempiere all’obbligo di cui alla precedente clausola 5.1. mettendo a disposizione materiale informativo e documentazione utile all’interno di pagine web dedicate e/o dell’area personale disponibile nell’interfaccia del SaaS.
5.3 Il Responsabile offre ragionevole assistenza al Cliente nell’esecuzione delle valutazioni d’impatto sulla protezione dei dati e nelle consultazioni preventive con le Autorità di controllo o altre autorità competenti in materia di protezione dei dati personali, che si rendano necessarie affinché il Titolare sia conforme agli articoli 35 e 36 del GDPR.
5.4 Il Responsabile acconsente a che il Cliente o un auditor da questi incaricato svolga degli audit, incluse ispezioni, in relazione al Trattamento dei dati personali effettuato dal Responsabile, a condizione che al Responsabile venga dato un preavviso ragionevole di almeno 30 giorni. La richiesta di audit dovrà contenere l’identità dell’auditor, la data di inizio nonché la portata e la durata, i controlli su sicurezza e riservatezza in relazione ad ogni audit.
6. Istanze dei Soggetti Interessati
6.1 Nel caso in cui il Responsabile sia destinatario di richieste sui diritti degli interessati al trattamento, lo stesso ha l’obbligo di comunicare tali richieste al Cliente, allegando copia alla comunicazione.
6.2 Il Responsabile si impegna ad assistere il Cliente attuando misure tecniche e organizzative adeguate al fine di dare seguito alle richieste dei Soggetti Interessati.
6.3 Il Responsabile dà seguito alle richieste di esercizio dei diritti attenendosi alle istruzioni specificatamente impartite dal Titolare per iscritto.
7. Sicurezza dei dati
7.1 Il Responsabile mette in atto almeno le misure tecniche e organizzative specificate all’Allegato 2 per garantire la sicurezza dei dati personali.
7.2 Nel valutare l’adeguato livello di sicurezza, le Parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli Interessati.
7.3 Compri adotterà misure adeguate per garantire il rispetto delle Misure di Sicurezza da parte di tutti coloro che operano sotto la sua autorità compresi i propri dipendenti, agenti, appaltatori e Sub-responsabili nella misura a loro applicabile secondo la prestazione effettivamente svolta, inclusa l’assicurazione sul fatto che tutte le persone autorizzate a trattare i Dati Personali del Cliente si sono impegnate alla riservatezza o sono soggette a un adeguato obbligo di riservatezza in conformità con la Legislazione europea e nazionale.
8. Soggetti incaricati del trattamento
8.1 Il Responsabile concede l’accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo dei trattamenti oggetto del presente DPA.
8.2 Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali ricevuti:
- si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- abbiano ricevuto idonea autorizzazione al trattamento dei dati personali.
9. Sub-responsabili
9.1 Il Responsabile ha l’autorizzazione generale a ricorrere ai Sub-responsabili di cui all’Allegato 3.
9.2 Il Responsabile ha diritto a ricorrere a nuovi Sub-responsabili. In tal caso, il Responsabile informa il Cliente delle modifiche con un anticipo di almeno 15 giorni, dando così al Cliente tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai Sub-Responsabili del trattamento in questione.
9.3 Compri si impegna a ingaggiare Sub-Responsabili che presentino garanzie sufficienti a garantire un adeguato livello di protezione dei dati personali e a sottoscrivere con ciascun Sub-Responsabile un accordo scritto che imponga al Sub-Responsabile, in sostanza, gli stessi obblighi cui il Responsabile è tenuto in forza del DPA.
9.4 In caso di opposizione del Cliente a qualsiasi dei nuovi Sub-responsabili, le Parti si impegnano a collaborare in buona fede per individuare soluzioni idonee a consentire la prosecuzione del Contratto e, ove ciò non sia possibile, è fatto salvo il diritto di ciascuna Parte di recedere dal Contratto e dall’Accordo per il Trattamento dei Dati dandone comunicazione scritta all’altra Parte entro 30 giorni dall’opposizione del Cliente all’impiego dei nuovi Sub-responsabili.
10. Violazione dei dati personali
10.1 In caso di una violazione della sicurezza che possa avere impatti sui dati personali, trattati da Compri per conto del Cliente, Compri: (a) notificherà il Cliente entro 48h dalla scoperta; (b) adotterà tempestivamente misure ragionevoli per ridurre al minimo le conseguenze e proteggere i dati personali del Cliente.
10.2 La notifica contiene le informazioni sommarie, utili al Cliente per adempiere agli obblighi di cui agli articoli 33 e 34 del GDPR, tra cui almeno una descrizione della violazione che comprenda l’indicazione della natura dei dati violati e della loro entità.
10.3 Nella pendenza degli accertamenti tecnici necessari per determinare le caratteristiche e l’entità della violazione, Compri ha diritto di effettuare una notifica parziale dell’incidente. Al termine di tali accertamenti tecnici, il Responsabile dovrà rendere al Cliente una notifica integrativa.
10.4 Il Cliente è l’unico responsabile per l’osservanza delle obbligazioni relative alle notifiche di incidenti applicabili al Cliente e dell’adempimento di qualsiasi obbligo di notifica/comunicazione nei confronti di terzi in relazione a qualsiasi Incidente.
10.5 La notifica o la risposta di Compri a un Incidente ai sensi della presente clausola non sarà interpretata come un riconoscimento da parte di Compri di alcuna colpa o responsabilità in relazione all’Incidente.
10.6 Il Cliente notifica a Compri eventuali violazioni della sicurezza, anche non riguardanti dati personali, che possano compromettere la sicurezza dell’infrastruttura del SaaS, quali, a titolo meramente esemplificativo, la perdita di controllo sulle credenziali assegnate agli utenti.
11. Trasferimento di dati oltre lo Spazio Economico Europeo
11.1 Il Cliente accetta e autorizza affinché Compri possa trattare (anche tramite Sub-responsabili) i Dati Personali del Cliente all’interno e all’esterno dello SEE purché tali Trattamenti siano sorretti da idonei meccanismi di trasferimento ai sensi del Capo V del GDPR.
11.2 Qualora Compri intenda avvalersi di uno o più Sub-responsabili stabiliti al di fuori del SEE e non siano disponibili altri meccanismi di trasferimento diversi dalle Clausole Contrattuali Standard di cui all’art. 46(2)(c) del GDPR e della Decisione di esecuzione (UE) 2021/914 della Commissione, le Parti convengono che: (a) il Responsabile e il suo o i suoi Sub-responsabili saranno considerati “parti” ai sensi del “MODULO TRE: Trasferimento da responsabile a responsabile” delle Clausole Contrattuali Standard; (b) gli Allegati 1-3 del presente DPA sostituiranno o saranno sostanzialmente riflessi negli allegati delle Clausole Contrattuali Standard.
12. Durata e cessazione
12.1 La durata del DPA ha efficacia dalla data di entrata in vigore dell’Accordo e si applica fin tanto che sono in essere trattamenti di dati personali svolti dal Responsabile per conto del Cliente.
13. Cancellazione e esportazione dei dati
13.1 Compri garantisce per tutta la durata del presente DPA la possibilità per il Cliente di esportare e/o cancellare i dati automaticamente o dietro richiesta da presentare a mezzo mail. In tale seconda ipotesi, Compri darà seguito alla richiesta del Cliente non appena ragionevolmente possibile.
13.2 Compri potrà mantenere i Dati Personali del Cliente che siano stati conservati con regolari operazioni di backup nel rispetto dei protocolli di disaster recovery e business continuity propri o dei propri Sub-responsabili, purché Compri — fatto salvo quanto previsto dalla clausola 3.2.(b) — non tratti, e non consenta ai propri Subresponsabili di trattare, in maniera attiva o intenzionale tali dati personali per qualsivoglia finalità ulteriore rispetto a quelle oggetto del presente DPA.
13.3 All’atto della cessazione, per qualsiasi causa, del presente DPA, il Responsabile sarà tenuto, salvo diverse istruzioni scritte da parte del Cliente, alternativamente a:
- cessare ogni attività di trattamento avente ad oggetto i dati personali;
- anonimizzare i dati personali in suo possesso tramite cancellazione non reversibile delle righe di database associate ai Soggetti Interessati.
13.4 Le Parti riconoscono e accettano che oltre il termine di cessazione dell’Accordo avranno comunque luogo i trattamenti di dati personali necessari per finalità strettamente tecniche quali, a titolo meramente esemplificativo, l’espletamento delle operazioni di cancellazione dei dati personali, la gestione delle copie di back-up o l’adempimento di obblighi di legge o regolamento.
14. Modifiche
14.1 Il Responsabile ha facoltà di modificare il DPA al fine di:
- recepire le modifiche tecniche all’interno del SaaS e dei Moduli rilevanti per mantenere aggiornato e esatto il contenuto dell’Allegato 1 (ad es., nel caso di introduzione di nuove funzionalità all’interno di un modulo o dell’inserimento di un nuovo Modulo nell’offerta commerciale di Compri);
- aggiornare o modificare l’elenco delle misure di sicurezza di cui all’Allegato 2, fermo restando il mantenimento di livelli di sicurezza adeguati allo stato dell’arte e idonei a ridurre i rischi per i diritti e le libertà degli interessati;
- aggiornare o modificare l’elenco dei Sub-responsabili di cui all’Allegato 3, fermo restando il rispetto degli obblighi di notifica e del diritto del Cliente di opposizione di cui alla clausola 9.
14.2 Le Modifiche saranno comunicate al Cliente con un preavviso di almeno 30 giorni dal momento della loro entrata in vigore, fatta eccezione per quelle di cui alla clausola 14.1(b) le quali saranno immediatamente efficaci al termine del periodo di opposizione concesso al Cliente ai sensi della clausola 9.2.
15. Responsabilità
15.1 Le Parti riconoscono e accettano che qualora una persona fisica interessata al trattamento lamenti, contro le Parti, di aver subito un danno – materiale o immateriale – causato da una violazione della Legislazione europea e nazionale:
- la Parte a cui risulti direttamente imputabile la responsabilità della violazione, ai sensi dell’art. 82(2) GDPR, risponderà interamente per il danno materiale o immateriale cagionato all’Interessato dichiarando sin d’ora di manlevare e tenere indenne l’altra Parte, qualora non abbia adempiuto agli obblighi della Legislazione europea e nazionale ad essa specificamente diretti;
- qualora Compri e il Cliente siano coinvolti nello stesso Trattamento e siano entrambi responsabili del danno causato, ai sensi dei commi 2 e 3 dell’art. 82 GDPR, ciascuno dei due sarà responsabile in solido per l’intero ammontare del danno, fermo, per entrambi, il diritto di rivalsa sull’altro per la quota di risarcimento allo stesso spettante in base al danno causato, come definito alla clausola 15.2;
- nel caso in cui il danno causato al Danneggiato sia dovuto alla violazione delle disposizioni del presente Accordo per il Trattamento di Dati o della Legislazione europea e nazionale e sia imputabile interamente al Responsabile, Compri è tenuto a risarcire interamente il Cliente, qualora quest’ultimo abbia provveduto, in tutto o in parte, al risarcimento del danno al Danneggiato;
- ciascuna Parte dovrà indennizzare o risarcire l’altra Parte qualora e nella misura in cui abbia contribuito a causare il danno lamentato dal Danneggiato o non abbia adottato appropriate misure di mitigazione, o abbia violato disposizioni del presente Accordo per il Trattamento di Dati o della Legislazione europea e nazionale.
15.2 Nel caso indicato alla clausola 15.1(c), la misura dell’indennizzo o del risarcimento, parametrata alla porzione di responsabilità in merito all’entità del danno cagionato è stabilita congiuntamente dalle Parti mediante accordo negoziato in buona fede.
16. Legge Regolatrice e Foro Competente
16.1 Le Parti assoggettano il DPA alla legge e alla giurisdizione scelte nell’Accordo. Pertanto, eventuali controversie o pretese che dovessero sorgere ai termini del presente DPA, incluse controversie relative alla sua esistenza, validità o cessazione o alle conseguenze della sua nullità, sono soggette al foro scelto nell’Accordo.
17. Disposizioni Finali
17.1 In caso di conflitto tra il presente DPA e l’Accordo, il primo prevale per le questioni attinenti al trattamento dei dati personali.
17.2 Per tutto quanto non espressamente previsto nel presente DPA, si rinvia alla Normativa Applicabile.
17.3 L’eventuale invalidità o inapplicabilità di una disposizione del presente DPA non incide sulle disposizioni restanti, che rimangono pienamente valide e vigenti. La disposizione invalida o inapplicabile viene (i) modificata nella misura necessaria ad assicurarne la validità e applicabilità, preservando per quanto possibile le intenzioni originarie delle Parti o, se ciò non fosse possibile, (ii) interpretata come se non fosse mai stata inserita nel corpo contrattuale.
17.4 Il Responsabile ha facoltà di espungere dalla documentazione e dalle informazioni fornite a seguito di richieste rivolte dal Cliente in forza del DPA, quelle informazioni la cui rivelazione potrebbe comportare, anche astrattamente, una violazione degli obblighi in materia di protezione dei dati personali cui è sottoposto il Responsabile o la divulgazione di informazioni sottoposte segreto industriale o comunque suscettibili di ledere il know-how aziendale del Responsabile.
Allegato 1 – Descrizione del Trattamento
Parte 1 – Caratteristiche generali del trattamento dei dati personali
Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato.
| Campo | Dettagli |
|---|---|
| Natura del trattamento | Fornitura del SaaS Compri |
| Finalità del trattamento | Fornitura del servizio e dell’infrastruttura informatica di base |
| Durata del trattamento | Per tutto il periodo di utilizzo del SaaS da parte del Cliente, oltre eventuali trattamenti necessari per finalità di natura tecnica |
| Categorie di interessati | Dipendenti del Cliente |
| Categorie di dati personali | Dati identificativi (nome, cognome, posizione lavorativa); dati di contatto (indirizzi di posta elettronica); dati insiti nella gestione del sistema di comunicazione elettronica (indirizzo IP, dati del protocollo HTTPS); dati di navigazione; dati associati all’account utente |
| Dati sensibili | n/a |
Parte 2 – Caratteristiche dei trattamenti specifiche per i singoli moduli del SaaS
Le seguenti informazioni si riferiscono ai trattamenti di dati effettuati tramite specifici moduli del SaaS, da verificare sulla base di quelli effettivamente acquistati dal Cliente, e si devono considerare aggiuntive rispetto a quelle indicate nella Parte 1.
| Campo | Dettagli |
|---|---|
| Modulo | Order Management & Visibility |
| Natura del trattamento | Analisi degli ordini e delle attività relative ai singoli fornitori, tramite accesso all’IRP e alla casella di posta elettronica (del singolo dipendente o di gruppo) collegata all’account Compri |
| Categorie di interessati | Dipendenti del Cliente; dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali |
| Categorie di dati personali | Dati identificativi (nome, cognome, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale); dati bancari e fiscali (P.IVA, IBAN); contenuto delle comunicazioni mail |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Request For X |
| Natura del trattamento | Invio richieste di offerta a fornitori multipli |
| Categorie di interessati | Dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali |
| Categorie di dati personali | Dati identificativi (nome, cognome); dati di contatto (indirizzi di posta elettronica) |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Onboarding |
| Natura del trattamento | Gestione centralizzata del processo di onboarding e accreditamento dei fornitori |
| Categorie di interessati | Dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori e sindaci delle aziende fornitrici; familiari di amministratori e sindaci delle aziende fornitrici |
| Categorie di dati personali | Dati identificativi (nome, cognome, posizione lavorativa); dati di contatto (indirizzi di posta elettronica); presenza o assenza di cause di incompatibilità; dichiarazioni ai fini della normativa antiriciclaggio |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Compliance |
| Natura del trattamento | Gestione centralizzata dei processi aziendali di verifica della compliance normativa dei fornitori |
| Categorie di interessati | Dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali |
| Categorie di dati personali | Dati identificativi (nome, cognome, posizione lavorativa); dati di contatto (indirizzi di posta elettronica) |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Documents |
| Natura del trattamento | Accesso e gestione dei documenti relativi al rapporto con i fornitori |
| Categorie di interessati | Dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori dei fornitori del Cliente |
| Categorie di dati personali | Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale); dati bancari e fiscali (P.IVA, IBAN); contenuto delle comunicazioni mail; firme autografe |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Analytics |
| Natura del trattamento | Analisi in forma aggregata delle informazioni relative alla gestione dei fornitori |
| Categorie di interessati | Fornitori liberi professionisti o ditte individuali |
| Categorie di dati personali | Dati identificativi (nome, cognome); dati di contatto (indirizzi di posta elettronica) |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Vendor Management |
| Natura del trattamento | Gestione in forma di dettaglio delle attività |
| Categorie di interessati | Fornitori liberi professionisti o ditte individuali |
| Categorie di dati personali | Dati identificativi (nome, cognome); dati di contatto (indirizzi di posta elettronica); merito creditizio |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Insights |
| Natura del trattamento | Analisi delle spese gestite e delle posizioni fornitori per identificare possibilità di risparmio o marginalità |
| Categorie di interessati | Dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali |
| Categorie di dati personali | Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale) |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Intake Orchestration |
| Natura del trattamento | Gestione internalizzata del processo di presentazione e validazione delle richieste di acquisto |
| Categorie di interessati | Dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali |
| Categorie di dati personali | Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale) |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Contracts |
| Natura del trattamento | Gestione e analisi dei contratti |
| Categorie di interessati | Dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori dei fornitori del Cliente |
| Categorie di dati personali | Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale); dati bancari e fiscali (P.IVA, IBAN); firme autografe |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | DDT (documenti di trasporto) |
| Natura del trattamento | Gestione e analisi dei documenti di trasporto |
| Categorie di interessati | Dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori dei fornitori del Cliente |
| Categorie di dati personali | Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale); firme autografe |
| Dati sensibili | n/a |
| Campo | Dettagli |
|---|---|
| Modulo | Procurement AI Assistant |
| Natura del trattamento | Analisi di documentazione e supporto tramite chatbot potenziato con Intelligenza Artificiale |
| Categorie di interessati | Dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori dei fornitori del Cliente |
| Categorie di dati personali | Dati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale); altre informazioni costituenti dati personali contenute all’interno della documentazione inserita dall’utente |
| Dati sensibili | n/a |
Items: l’utilizzo del modulo “Items” non comporta il trattamento di dati personali.
Budget: l’utilizzo del modulo “Budget” non comporta il trattamento di dati personali.
Parte 3 – Servizi consulenziali aggiuntivi
Le seguenti informazioni si riferiscono ai trattamenti di dati effettuati nel caso in cui il Cliente attivi i servizi consulenziali e di supporto.
| Campo | Dettagli |
|---|---|
| Modulo | Customer Success support premium |
| Natura del trattamento | Analisi di documentazione e supporto tramite chatbot potenziato con Intelligenza Artificiale |
| Finalità del trattamento | Erogazione dei servizi consulenziali |
| Durata del trattamento | Per tutta la durata dell’attività consulenziale |
| Categorie di interessati | Tutte le categorie di interessati coinvolte nell’ambito dei Moduli acquistati dal Cliente |
| Categorie di dati personali | Tutte le categorie di dati personali trattati nell’ambito dei Moduli acquistati dal Cliente |
| Dati sensibili | n/a |
Allegato 2 – Misure di Sicurezza
Sezione 1 – Certificazioni
- ISO/IEC: 27001 Information security, cybersecurity and privacy protection — Information security management systems — Requirements
Sezione 2 – Elenco delle misure di sicurezza in essere
| Ambito | Catalogazione | Requisito di dettaglio |
|---|---|---|
| Misure sicurezza Data Center | Accesso al Sistema o SW (autenticazione) | Adozione di misure dirette a garantire che: - gli accessi di amministrazione da parte del Responsabile siano riservati al personale a cui sia attribuita la qualifica (“ruolo”) di amministratore di sistema, in virtù di elevate capacità tecniche e caratteristiche di comprovata affidabilità e moralità; - l’accesso amministrativo ai sistemi da parte del personale del Cliente avverrà attraverso procedure di autenticazione a più fattori (MFA). |
| Misure sicurezza Data Center | Accesso al Sistema o SW (policy di gestione) | Per i servizi che prevedono una modalità di gestione amministrativa delle componenti infrastrutturali, devono essere previste le seguenti policy: - utenze che consentono l’individuazione dell’amministratore che esegue l’intervento; - attivazione di un processo di log management che identifichi i log in, log out e log in failed; - conservazione dei log in un formato che ne garantisca l’integrità e la lettura nel tempo; - conservazione dei log per almeno sei (6) mesi; - verifica annuale dell’operato degli amministratori di sistema; - accesso ai sistemi attraverso VPN e MFA. |
| Misure sicurezza Data Center | Log management | Funzionalità per il tracciamento o registrazione (log) degli accessi e delle attività svolte dagli Utenti. I log concernenti le attività svolte devono essere opportunamente protetti a garanzia della loro integrità e riservatezza. Tali funzionalità sono attivabili da parte dell’amministratore di sistema del Cliente o da Compri House su richiesta del Cliente. |
| Misure sicurezza Data Center | Auditing | Utilizzo del sistema di gestione e analisi dei log anche per il monitoraggio delle attività degli amministratori di sistema. L’accesso al sistema di gestione dei log è riservato al personale avente ruolo di auditor e non è ammesso per il personale addetto all’amministrazione di sistema. |
| Misure sicurezza Data Center | Crittografia dei protocolli di comunicazione | Applicazione di protocolli crittografici standard di comunicazione sicuri e non obsoleti, nei casi in cui l’accesso al sistema sia effettuato tramite Internet. |
| Misure sicurezza Data Center | Minacce e Vulnerabilità | Adozione di un programma di gestione delle minacce e dei rischi per monitorare continuamente le vulnerabilità delle Piattaforme SaaS indicate da best practice internazionali attraverso la pianificazione e l’esecuzione di scansioni delle vulnerabilità interne ed esterne e test di penetrazione. Le vulnerabilità identificate devono essere valutate per determinare i rischi associati e le opportune azioni correttive stabilite in base alla priorità assegnata e gravità rilevata. |
| Misure sicurezza Data Center | Firewalling | Adozione di sistemi di firewall finalizzati a filtrare e contenere il traffico identificando eventuale traffico anomalo indicatore di possibili attacchi informatici. |
| Misure sicurezza Data Center | Intrusion Prevention | Protezione dell’ambiente mediante cui è erogato il servizio del Responsabile mediante Intrusion Prevention System (IPS) che permettono di analizzare tutto il traffico in entrata individuando immediatamente i tentativi di attacco in corso. Il traffico di rete, su segmenti significativi della piattaforma, passa attraverso sistemi che ispezionano ogni pacchetto del traffico in transito. |
| Misure sicurezza Data Center | Malware protection | Adozione di misure di protezione da infezioni di software malevolo, di difesa da azioni non autorizzate, da applicazioni sospette e di protezione da tentativi di sottrazione di dati personali (es. mediante sistemi antivirus, antispamming, antiphishing, etc., mantenuti costantemente aggiornati). |
| Misure sicurezza Data Center | Filesystem Antivirus | Adozione di moduli Antivirus sul filesystem su tutti i server utilizzati per la fornitura dei servizi, con possibilità di configurare, su base progettuale, prodotti antivirus specifici gestiti centralmente in termini di aggiornamento, distribuzione delle policy, avvio di scansioni on demand, notifiche e gestione della area di quarantena. |
| Misure sicurezza Data Center | Monitoraggio e gestione incidenti | Adozione di policy e procedure per l’identificazione, gli interventi, i rimedi e le segnalazioni di incidenti che determinano un rischio per l’integrità o riservatezza dei dati personali o altre violazioni della sicurezza. |
| Misure sicurezza Data Center | Security Patch Management | Sottoposizione della piattaforma ad un processo periodico di verifica delle patch o delle fix disponibili relativamente alle componenti dell’impianto di erogazione e a quelle ritenute critiche per l’erogazione del servizio o per la sicurezza. |
| Misure sicurezza Data Center | Sicurezza fisica | Applicazione di adeguate misure di sicurezza fisica alla piattaforma hardware/software progettata (es. utilizzo di hosting providers/servizi di data center dotati di adeguati sistemi di prevenzione del rischio intrusione, incendio, allagamento, ecc.). |
| Misure sicurezza Data Center | Anti allagamento | Adozione nell’ambito del Data Center di tutte le misure necessarie a prevenire allagamenti (quali presenza di sonde, impianti di allarme, ecc.). |
| Misure sicurezza Data Center | Anti intrusione | Impostazione nel Data Center di un sistema di controllo degli accessi che identifichi coloro che accedono e impedisca l’accesso ai non autorizzati. La procedura deve prevedere anche la gestione del Change con l’attivazione e disattivazione dell’autorizzazione all’accesso in funzione dei cambi di ruolo. |
| Misure sicurezza Data Center | Telecamere a circuito chiuso | Installazione di telecamere (CCTV) per il controllo del perimetro dell’edificio, degli ingressi, delle porte interbloccate e di eventuali altre zone critiche. |
| Misure sicurezza Data Center | Condizionamento | Adozione di adeguati impianti di condizionamento e di raffreddamento degli ambienti ed apparati. |
| Misure sicurezza Data Center | Continuità ed emergenza | Adozione di procedure e controlli da eseguire al fine di garantire il necessario livello di continuità e disponibilità del sistema/SW (in caso di incidente / violazione di dati personali). Le procedure devono comprendere le indicazioni per la conservazione delle copie di backup nonché un piano per il disaster recovery. |
| Misure sicurezza Data Center | Cancellazione dei dati | Previsione di misure per la cancellazione dei dati di produzione al termine dell’erogazione del servizio secondo i termini contrattuali definiti con il Cliente. |
| Misure sicurezza Data Center | Gestione sub-fornitori | Selezione e verifica dei requisiti del sub-fornitore che assume la gestione sistemistica dei server e dell’infrastruttura necessari allo svolgimento dei Servizi e sottoscrizione di un contratto che vincoli il medesimo sub-fornitore al rispetto degli obblighi concernenti le misure di sicurezza. |
| Connettività | Linee internet e banda | Previsione di misure volte ad assicurare una connettività adeguata in conformità ai livelli di servizio contrattualmente definiti con il Cliente. |
| Connettività | Firewalling | Protezione dell’accesso ai sistemi contro il rischio d’intrusione attraverso adeguate misure di firewalling. |
| Sicurezza rete | AntiDDoS | Erogazione da parte del Data Center di un servizio in grado di rispondere in modo efficace alle problematiche create dagli attacchi (“DDoS”). |
| Sicurezza rete | IDS/IPS | Adozione di un sistema IPS (Intrusion Prevention System) in grado di bloccare automaticamente gli attacchi rilevati e IDS (Intrusion Detection System) in grado di intercettare le minacce fornendo così una protezione real-time ai servizi erogati dal Data Center. |
| Governance | Formazione | Erogazione periodica di corsi di formazione sulla sicurezza e protezione dei dati personali ai propri dipendenti coinvolti nelle attività di trattamento. |
| Governance | Ubicazione geografica | Dichiarazione da parte di Compri nei confronti del Cliente dell’ubicazione geografica del DC e dei dati. |
| Governance | Data breach | Adozione di procedure di individuazione, contenimento e risoluzione di situazioni di rischio (e.g. violazioni di dati personali) per la sicurezza dei dati e dei sistemi in fase post-intrusione. |
| Governance | Sicurezza logica | Rivalutazione con cadenza almeno annuale delle misure e procedure di sicurezza applicate in modo da aggiornarle in relazione alle vulnerabilità rilevate, agli attacchi subiti e all’evoluzione della tecnologia. |
Allegato 3 – Elenco dei Sub-responsabili del Trattamento
| Sub-Responsabile | Natura del trattamento | Termini di servizio |
|---|---|---|
| Amazon Web Services | Cloud and host providing | https://aws.amazon.com/it/service-terms/ |
| Mongo DB Limited | Servizio di gestione del database | https://www.mongodb.com/legal/terms-and-conditions/cloud |
| Microsoft Inc | Fornitura del servizio di AI generativa Azure Service | https://www.microsoft.com/licensing/terms/product/ForOnlineServices/MCA |
| Anthropic PBC | Fornitura del servizio di AI generativa Claude API | https://www.anthropic.com/legal/data-processing-addendum |
| Google Inc | Fornitura del servizio di AI generativa Google Gemini API tramite Google Studio | https://business.safety.google/processorterms/ |
| DataDog | Servizio di Observability and Security sul SaaS | https://www.datadoghq.com/legal/data-processing-addendum/ |