Accordo sul trattamento dei dati (DPA)
L'accordo ex art. 28 GDPR tra Ordenova (responsabile) e il Cliente (titolare).
Premesse e definizioni
Il presente Accordo sul trattamento dei dati ("DPA", Data Processing Agreement) disciplina il trattamento dei dati personali svolto da Ordenova S.r.l. ("Ordenova") per conto del Cliente in relazione all'uso della Piattaforma. Costituisce parte integrante delle Condizioni di servizio e si applica ogni volta che il Cliente, attraverso la Piattaforma, tratta dati personali di soggetti terzi (ad esempio i propri retailer, brand, agenti e contatti).
Ai fini del presente DPA si applicano le seguenti definizioni.
- GDPR
- Regolamento (UE) 2016/679 e la normativa nazionale applicabile in materia di protezione dei dati.
- Dati personali
- Le informazioni relative a persone fisiche identificate o identificabili, trattate tramite la Piattaforma per conto del Cliente.
- Trattamento
- Qualsiasi operazione svolta sui Dati personali, come definita dall'art. 4 GDPR.
- Titolare
- Il Cliente, che determina finalità e mezzi del trattamento dei Dati personali caricati sulla Piattaforma.
- Responsabile
- Ordenova, che tratta i Dati personali per conto del Titolare.
- Sub-responsabile
- Il terzo incaricato da Ordenova di trattare Dati personali per conto del Titolare.
- Violazione
- La violazione di sicurezza che comporta la distruzione, perdita, modifica, divulgazione o accesso non autorizzati ai Dati personali.
In caso di conflitto tra il presente DPA e le Condizioni di servizio in materia di trattamento dei dati personali, prevale il DPA.
Ruoli delle parti
Rispetto ai Dati personali caricati sulla Piattaforma, il Cliente è Titolare del trattamento e Ordenova è Responsabile. Ordenova tratta tali dati esclusivamente per conto del Titolare e secondo le sue istruzioni documentate.
Per i dati relativi all'account, alla fatturazione e all'utilizzo della Piattaforma, Ordenova agisce invece come titolare autonomo: tali trattamenti non sono regolati dal presente DPA ma dall'Informativa sulla privacy.
Il Titolare garantisce di disporre di una valida base giuridica per i trattamenti che affida ad Ordenova e di aver fornito agli interessati l'informativa prevista dagli artt. 13-14 GDPR.
Oggetto, natura, finalità e durata
Natura e finalità. Il trattamento consiste nelle operazioni necessarie a erogare la Piattaforma (gestione di ordini, cataloghi, anagrafiche, fatturazione, appuntamenti e flusso delle commissioni) e ha luogo limitatamente a quanto serve a fornire il servizio al Titolare.
Durata. Il trattamento si protrae per tutta la durata del contratto e fino alla cancellazione o restituzione dei dati secondo le modalità indicate più avanti.
Categorie di interessati.
- Controparti commerciali del Titolare (brand e retailer)
- Agenti e collaboratori del Titolare
- Dipendenti e referenti interni del Titolare
Tipi di Dati personali.
- Dati identificativi e di contatto (nome, email, telefono, indirizzo)
- Dati aziendali e fiscali di riferimento (ragione sociale, partita IVA, codice SDI, PEC)
- Dati commerciali e operativi (ordini, listini, appuntamenti, commissioni)
- Dati di fatturazione relativi alle controparti del Titolare
La Piattaforma non richiede il trattamento di categorie particolari di dati (art. 9 GDPR) né di dati relativi a condanne penali (art. 10 GDPR). Il Titolare si impegna a non caricare tali dati salvo diverso accordo scritto e adozione delle misure aggiuntive necessarie.
Istruzioni documentate
Ordenova tratta i Dati personali solo su istruzione documentata del Titolare, anche in caso di trasferimento verso Paesi terzi, salvo che lo imponga il diritto dell'Unione o dello Stato membro applicabile (in tal caso Ordenova ne informa il Titolare, se non vietato per motivi di interesse pubblico).
Le Condizioni di servizio, il presente DPA e l'uso delle funzioni della Piattaforma da parte del Titolare e dei suoi Utenti costituiscono le istruzioni documentate. Eventuali istruzioni aggiuntive vanno concordate per iscritto.
Ordenova informa immediatamente il Titolare qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni applicabili.
Riservatezza del personale
Ordenova garantisce che le persone autorizzate al trattamento dei Dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di segretezza. L'accesso ai Dati personali è limitato al personale che ne ha effettiva necessità per l'erogazione del servizio, secondo il principio del minimo privilegio.
Misure di sicurezza
Ordenova adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, riviste periodicamente, tra cui:
- Cifratura TLS in transito e cifratura AES-256 a riposo per i backup
- Isolamento dei dati tra clienti tramite Row-Level Security a livello di database (multi-tenancy)
- Autenticazione gestita da Keycloak (OAuth2/OIDC), credenziali con hashing, autenticazione a due fattori per i ruoli amministrativi
- Controllo degli accessi per ruolo secondo il principio del minimo privilegio
- Backup cifrati con archiviazione continua (WAL) e capacità di ripristino temporale (PITR)
- Piano di disaster recovery documentato e testato, con copia offsite
- Registro eventi e audit interni
- Hosting su infrastruttura europea
Le misure tengono conto dello stato dell'arte, dei costi di attuazione, della natura del trattamento e dei rischi per i diritti e le libertà degli interessati.
Sub-responsabili
Il Titolare conferisce ad Ordenova un'autorizzazione generale a ricorrere ai sub-responsabili elencati di seguito. Ordenova impone a ciascun sub-responsabile, tramite contratto, obblighi di protezione dei dati equivalenti a quelli del presente DPA e resta pienamente responsabile nei confronti del Titolare per l'operato dei propri sub-responsabili.
| Sub-responsabile | Paese | Finalità | Garanzie |
|---|---|---|---|
| Hetzner Online GmbH | Germania / Finlandia (UE) | Hosting di infrastruttura, database, object storage e backup | Dati nell'UE — DPA art. 28 |
| Stripe (Stripe Payments Europe, Ltd. — gruppo Stripe, Inc.) | Irlanda (UE) / USA | Gestione di abbonamenti e pagamenti | DPA + SCC, PCI-DSS |
| Mailgun (Sinch) | EU | Invio di email transazionali | Dati nell'UE — DPA art. 28 |
| OpenRouter, Inc. | USA | Estrazione AI dei cataloghi (solo se la funzione è abilitata dal Cliente) | DPA + SCC |
Ordenova informa il Titolare di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili con un preavviso di almeno 30 giorni, dando al Titolare la possibilità di opporsi per giustificati motivi legati alla protezione dei dati. In caso di opposizione che non possa essere risolta ragionevolmente, il Titolare può recedere dal servizio interessato.
Trasferimenti extra-UE
L'hosting e i dati operativi risiedono per default nell'Unione Europea. Eventuali trasferimenti verso Paesi terzi — connessi a determinati sub-responsabili (in particolare Stripe e, se abilitato, OpenRouter) — avvengono solo in presenza di garanzie adeguate ai sensi del Capo V del GDPR, in particolare le Clausole Contrattuali Standard (SCC) della Commissione Europea ed eventuali decisioni di adeguatezza applicabili.
Ordenova non trasferisce Dati personali al di fuori dello Spazio Economico Europeo in assenza di un'idonea base giuridica per il trasferimento.
Assistenza per i diritti degli interessati
Tenendo conto della natura del trattamento, Ordenova assiste il Titolare con misure tecniche e organizzative adeguate, nella misura del possibile, per dare seguito alle richieste degli interessati relative all'esercizio dei loro diritti (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). La Piattaforma mette a disposizione funzioni di esportazione, rettifica e cancellazione dei dati. Qualora Ordenova riceva direttamente una richiesta da un interessato relativa a dati trattati per conto del Titolare, la inoltra senza ingiustificato ritardo al Titolare e non vi dà autonomamente seguito, salvo diversa istruzione.
Violazioni dei dati e assistenza
Ordenova notifica al Titolare senza ingiustificato ritardo dopo essere venuta a conoscenza di una Violazione che interessi i Dati personali trattati per suo conto, fornendo le informazioni ragionevolmente disponibili per consentire al Titolare di adempiere ai propri obblighi.
Resta inteso che la notifica all'Autorità di controllo entro 72 ore e l'eventuale comunicazione agli interessati competono al Titolare, in quanto tale.
Ordenova assiste inoltre il Titolare, tenuto conto delle informazioni disponibili, nello svolgimento delle valutazioni d'impatto sulla protezione dei dati (DPIA, art. 35) e nelle eventuali consultazioni preventive con l'Autorità di controllo (art. 36).
Cancellazione o restituzione dei dati
Alla cessazione del contratto, a scelta del Titolare, Ordenova restituisce (tramite export in formato strutturato) o cancella i Dati personali. È previsto un periodo di 30 giorni per l'export, decorso il quale i dati vengono cancellati in modo irreversibile, salvo che la conservazione sia richiesta dal diritto dell'Unione o nazionale (ad esempio la conservazione decennale delle fatture). Su richiesta, Ordenova attesta l'avvenuta cancellazione.
Audit e dimostrazione di conformità
Ordenova mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, svolte dal Titolare o da un soggetto da questi incaricato. Tali attività sono condotte con ragionevole preavviso, nel rispetto della riservatezza, limitando l'impatto sull'operatività del servizio e, ove disponibili, possono essere soddisfatte mediante certificazioni o report di audit indipendenti.
Durata, responsabilità e legge applicabile
Il presente DPA ha efficacia per tutta la durata del trattamento dei Dati personali per conto del Titolare e costituisce parte integrante del contratto. La ripartizione delle responsabilità tra le parti segue quanto previsto dalle Condizioni di servizio.
Il DPA è disciplinato dalla legge italiana e dal GDPR. Per le richieste relative al presente Accordo è possibile scrivere a dpa@ordenova.it.