ObligoBoard← Torna alla home

Versione: 2026-06-25

Hai bisogno di un DPA firmato? I clienti possono firmare autonomamente una copia precompilata da Impostazioni → Legale dopo aver effettuato l'accesso. Il PDF firmato viene archiviato insieme al record dell'organizzazione e può essere scaricato in qualsiasi momento. Sostituisci i segnaposto tra parentesi quadre qui sotto con i dati della tua organizzazione prima di firmare.

ACCORDO PER IL TRATTAMENTO DEI DATI

Ultimo aggiornamento: 2026-06-25

tra

[DENOMINAZIONE LEGALE DEL CLIENTE] (il "Titolare") [INDIRIZZO REGISTRATO DEL CLIENTE] [P.IVA / NUMERO DI ISCRIZIONE DEL CLIENTE] rappresentata da [NOME FIRMATARIO CLIENTE], [RUOLO FIRMATARIO CLIENTE]

e

Grewing Mirko D.I. (il "Responsabile" o "ObligoBoard") Via delle Casine 19, Firenze, Italia P.IVA: IT07214970480 Codice Fiscale: GRWMRK79T26H501F PEC: mirko.grewing@pec.net rappresentata da Mirko Grewing, Titolare dell'impresa

ciascuna una "Parte" e congiuntamente le "Parti".

PREMESSE

(A) Il Titolare e il Responsabile hanno stipulato uno o più contratti di servizio aventi ad oggetto l'utilizzo della piattaforma software-as-a-service ObligoBoard (l'"Accordo Principale").

(B) L'esecuzione dell'Accordo Principale comporta che il Responsabile tratti dati personali per conto del Titolare ai sensi del Regolamento (UE) 2016/679 ("GDPR") e, ove applicabile, della normativa equivalente del Regno Unito (UK GDPR).

(C) Il presente Accordo per il Trattamento dei Dati ("DPA") definisce i termini secondo cui il Responsabile tratta tali dati personali ed è parte integrante dell'Accordo Principale, in conformità all'art. 28 GDPR.

1. DEFINIZIONI

1.1 I termini in maiuscolo non definiti nel presente DPA assumono il significato loro attribuito dal GDPR. Si applicano le seguenti definizioni:

  • "Titolare" — la persona fisica o giuridica identificata come cliente nell'Accordo Principale, che determina le finalità e i mezzi del trattamento dei Dati Personali.
  • "Dati Personali" — qualsiasi dato personale ai sensi dell'art. 4(1) GDPR trattato dal Responsabile per conto del Titolare in relazione all'Accordo Principale.
  • "Violazione dei Dati Personali" — violazione di sicurezza ai sensi dell'art. 4(12) GDPR.
  • "Trattamento" — qualsiasi operazione o insieme di operazioni di cui all'art. 4(2) GDPR.
  • "Responsabile" — Grewing Mirko D.I., operante come ObligoBoard.
  • "Clausole Contrattuali Standard" o "SCC" — clausole contrattuali standard per il trasferimento di dati personali a paesi terzi, adottate con Decisione di esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021.
  • "Sub-responsabile" — qualsiasi terzo incaricato dal Responsabile di trattare Dati Personali per conto del Titolare.

2. OGGETTO, NATURA E FINALITÀ

2.1 Oggetto. Fornitura della piattaforma SaaS ObligoBoard (software per la gestione della compliance) al Titolare, come ulteriormente descritto nell'Accordo Principale.

2.2 Natura e finalità. Hosting, archiviazione, recupero, trasmissione, organizzazione e cancellazione dei Dati Personali necessari al funzionamento delle funzionalità della piattaforma utilizzate dal Titolare, comprese a titolo esemplificativo: autenticazione utenti, gestione delle organizzazioni, monitoraggio degli adempimenti di compliance, archiviazione di evidenze, generazione di documenti (informative privacy, cookie policy), scansione cookie, amministrazione della fatturazione, e supporto clienti.

2.3 Istruzioni documentate. Le istruzioni documentate del Titolare al Responsabile sono costituite dall'Accordo Principale, dal presente DPA e dall'utilizzo da parte del Titolare delle funzionalità della piattaforma nell'ambito della loro funzionalità prevista. Eventuali ulteriori istruzioni devono essere impartite per iscritto.

3. DURATA

3.1 Il presente DPA entra in vigore alla data di efficacia dell'Accordo Principale e rimane in vigore per la durata dell'Accordo Principale, oltre l'eventuale periodo successivo alla cessazione necessario al Responsabile per adempiere agli obblighi di cui all'art. 6.8 (Restituzione o Cancellazione).

4. CATEGORIE DI INTERESSATI E DATI PERSONALI

4.1 Categorie di interessati.

  • Dipendenti, collaboratori e utenti autorizzati del Titolare
  • Referenti, fornitori e altri terzi i cui dati il Titolare sceglie di caricare sulla piattaforma
  • Interessati i cui dati sono richiamati nella documentazione di compliance, nelle policy, nelle evidenze o nei registri caricati dal Titolare

4.2 Categorie di Dati Personali.

  • Dati identificativi: nome, email, ruolo
  • Dati di autenticazione: hash delle password, token di sessione, identificatori di autenticazione a due fattori
  • Dati organizzativi: ragione sociale, indirizzo, partita IVA, dati di contatto
  • Dati di attività: azioni svolte sulla piattaforma, timestamp, indirizzi IP, log di audit
  • Dati di contenuto: documenti, evidenze, registri di compliance, testo di policy, risultati di scansione cookie, campi di testo libero inseriti dagli utenti
  • Dati di fatturazione: informazioni di fatturazione tramite Stripe (limitate; vedi Allegato III)
  • Eventuali ulteriori Dati Personali che il Titolare sceglie di caricare tramite le funzionalità della piattaforma

4.3 Categorie particolari. Il Titolare non caricherà categorie particolari di Dati Personali ai sensi dell'art. 9 GDPR, né dati relativi a condanne penali e reati (art. 10 GDPR), salvo previo accordo scritto con il Responsabile.

5. OBBLIGHI DEL TITOLARE

5.1 Il Titolare garantisce di:

  • (a) disporre di una valida base giuridica ai sensi dell'art. 6 GDPR (e, ove applicabile, dell'art. 9 GDPR) per il Trattamento che istruisce di eseguire al Responsabile;
  • (b) fornire agli interessati le informazioni di cui agli artt. 13 e 14 GDPR;
  • (c) tenere il registro delle attività di trattamento richiesto dall'art. 30(1) GDPR per il trattamento svolto in qualità di Titolare;
  • (d) impartire istruzioni documentate solo per trattamenti leciti, necessari e proporzionati.

5.2 Il Titolare è responsabile dell'accuratezza, qualità e liceità dei Dati Personali forniti al Responsabile.

6. OBBLIGHI DEL RESPONSABILE

6.1 Istruzioni documentate. Il Responsabile tratta i Dati Personali esclusivamente sulla base di istruzioni documentate del Titolare, anche in relazione ai trasferimenti verso paesi terzi, salvo diverso obbligo derivante dal diritto dell'Unione o degli Stati membri cui il Responsabile è soggetto. In tal caso, il Responsabile informa il Titolare di tale obbligo legale prima di procedere al trattamento, salvo che la legge vieti tale informazione per rilevanti motivi di interesse pubblico.

6.2 Riservatezza del personale. Il Responsabile garantisce che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o siano sottoposte a un adeguato obbligo legale di riservatezza.

6.3 Misure di sicurezza. Il Responsabile attua e mantiene le misure tecniche e organizzative descritte nell'Allegato II per garantire un livello di sicurezza adeguato al rischio, in conformità all'art. 32 GDPR. Il Responsabile verifica, valuta e aggiorna regolarmente l'efficacia di tali misure.

6.4 Sub-responsabili.

(a) Autorizzazione generale. Il Titolare concede al Responsabile autorizzazione generale scritta a coinvolgere Sub-responsabili per il trattamento dei Dati Personali, nel rispetto del presente art. 6.4. L'elenco aggiornato dei Sub-responsabili è riportato nell'Allegato III.

(b) Notifica delle modifiche. Il Responsabile informa il Titolare di qualsiasi proposta di aggiunta o sostituzione di Sub-responsabili con almeno trenta (30) giorni di preavviso, tramite email al referente fatturazione/amministrazione del Titolare o tramite notifica all'interno della piattaforma.

(c) Diritto di opposizione. Entro trenta (30) giorni dalla notifica, il Titolare può opporsi per ragionevoli e documentati motivi di protezione dei dati. Se le Parti non raggiungono un accordo entro ulteriori trenta (30) giorni, il Titolare può recedere dall'Accordo Principale e dal presente DPA con comunicazione scritta, senza penali, per la parte residua. L'utilizzo continuato della piattaforma oltre il periodo di preavviso costituisce accettazione del cambio di Sub-responsabile.

(d) Obblighi del Sub-responsabile. Il Responsabile impone a ciascun Sub-responsabile, per iscritto, obblighi di protezione dei dati equivalenti a quelli imposti al Responsabile dal presente DPA. Il Responsabile rimane pienamente responsabile nei confronti del Titolare per l'adempimento di tali obblighi da parte del Sub-responsabile.

6.5 Assistenza nei diritti degli interessati. Tenendo conto della natura del Trattamento, il Responsabile assiste il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, nell'adempimento dell'obbligo del Titolare di rispondere alle richieste di esercizio dei diritti degli interessati di cui agli artt. 12-22 GDPR. Qualora le richieste siano rivolte direttamente al Responsabile, quest'ultimo notificherà tempestivamente il Titolare e non risponderà direttamente, salvo istruzioni del Titolare o obbligo di legge.

6.6 Notifica di Violazione dei Dati Personali. Il Responsabile notifica il Titolare senza ingiustificato ritardo e in ogni caso entro settantadue (72) ore dal momento in cui ne ha avuto conoscenza. La notifica include, nella misura nota al momento:

  • (a) la natura della violazione, comprese le categorie e il numero approssimativo di interessati e di registrazioni interessate;
  • (b) le probabili conseguenze;
  • (c) le misure adottate o proposte per affrontare la violazione e mitigarne gli effetti;
  • (d) il punto di contatto per ulteriori informazioni.

Il Responsabile fornirà ulteriori informazioni man mano che si rendono disponibili e collaborerà con il Titolare nell'adempimento degli obblighi di cui agli artt. 33 e 34 GDPR.

6.7 Assistenza per DPIA. Il Responsabile fornisce ragionevole assistenza al Titolare, tenendo conto della natura del Trattamento e delle informazioni a sua disposizione, in eventuali valutazioni d'impatto sulla protezione dei dati e consultazioni preventive con le autorità di controllo richieste dagli artt. 35 e 36 GDPR.

6.8 Restituzione o cancellazione. Alla cessazione o scadenza dell'Accordo Principale, il Responsabile, a scelta del Titolare comunicata per iscritto entro trenta (30) giorni dalla cessazione, alternativamente:

  • (a) restituisce tutti i Dati Personali al Titolare in formato strutturato, di uso comune e leggibile da dispositivo automatico; oppure
  • (b) cancella tutti i Dati Personali,

salvo che il diritto dell'Unione o degli Stati membri imponga la conservazione dei Dati Personali. Decorso il termine di scelta, la cancellazione è applicata in via predefinita. Il Responsabile conferma per iscritto il completamento della restituzione o cancellazione entro sessanta (60) giorni. Le copie di backup vengono cancellate secondo il programma ordinario di rotazione dei backup, con conservazione residua massima di novanta (90) giorni.

6.9 Cooperazione in audit.

  • (a) Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie a dimostrare la conformità all'art. 28 GDPR.
  • (b) Il Titolare può effettuare audit della conformità del Responsabile al presente DPA, a spese del Titolare, non più di una volta ogni dodici mesi (salvo successivamente a una Violazione dei Dati Personali che riguardi il Titolare), con almeno trenta (30) giorni di preavviso scritto e durante il normale orario di lavoro del Responsabile.
  • (c) Il Responsabile può soddisfare le richieste di audit fornendo certificazioni, attestazioni o report di audit di terzi (incluse certificazioni ISO 27001 e report SOC 2 dei Sub-responsabili) ove ragionevolmente appropriato.
  • (d) Il Titolare e i suoi auditor rispetteranno i ragionevoli requisiti di sicurezza e riservatezza del Responsabile durante eventuali audit in loco.
  • (e) Le risultanze degli audit saranno tempestivamente affrontate dal Responsabile mediante un piano di rimedio documentato.

7. TRASFERIMENTI INTERNAZIONALI

7.1 Il Responsabile non trasferirà Dati Personali al di fuori dello Spazio Economico Europeo ("SEE") o del Regno Unito, salvo:

  • (a) verso paesi coperti da una decisione di adeguatezza ai sensi dell'art. 45 GDPR; o
  • (b) sulla base di garanzie adeguate ai sensi dell'art. 46 GDPR, incluse le Clausole Contrattuali Standard (Modulo 2 — da Titolare a Responsabile, o Modulo 3 — da Responsabile a Sub-responsabile, ove applicabili); o
  • (c) sulla base di un altro meccanismo di trasferimento conforme al Capo V GDPR.

7.2 Ove i Sub-responsabili siano localizzati al di fuori del SEE o del Regno Unito, il Responsabile garantisce che sia in atto un meccanismo di trasferimento adeguato, come descritto nell'Allegato III.

7.3 Nella misura in cui il Responsabile faccia ricorso alle SCC per trasferire Dati Personali a un Sub-responsabile in un paese terzo, il Titolare conferisce con il presente DPA al Responsabile l'autorità necessaria a sottoscrivere tali SCC per conto del Titolare, a condizioni non meno protettive di quelle previste dal presente DPA.

8. RESPONSABILITÀ

8.1 La responsabilità di ciascuna Parte ai sensi o in connessione con il presente DPA è soggetta alle limitazioni ed esclusioni di responsabilità previste dall'Accordo Principale, salvo ove tali limitazioni siano in conflitto con norme imperative applicabili (incluso l'art. 1229 c.c., che vieta l'esclusione di responsabilità per colpa grave e dolo).

8.2 Indipendentemente da qualsiasi cap di responsabilità nell'Accordo Principale, ciascuna Parte mantiene la propria responsabilità verso gli interessati ai sensi dell'art. 82 GDPR. Quando una Parte ha pagato l'intero risarcimento per il danno subito dall'interessato, può rivalersi sull'altra Parte per la quota di risarcimento corrispondente alla rispettiva responsabilità.

8.3 La responsabilità complessiva del Responsabile ai sensi del presente DPA è limitata in conformità all'Accordo Principale, ad eccezione di:

  • (a) responsabilità per danni cagionati da Trattamento in violazione di istruzioni chiaramente documentate del Titolare;
  • (b) responsabilità per violazione dell'art. 6.6 (Notifica di Violazione);
  • (c) responsabilità per violazione dell'art. 6.8 (Restituzione o Cancellazione) ove tale violazione causi una Violazione dei Dati Personali;
  • (d) sanzioni amministrative imposte al Responsabile imputabili a dolo o colpa grave del Responsabile.

9. DURATA E CESSAZIONE

9.1 Il presente DPA cessa automaticamente alla cessazione dell'Accordo Principale, fatto salvo l'art. 6.8 (Restituzione o Cancellazione) e ogni altra obbligazione superstite.

9.2 Le disposizioni destinate a sopravvivere alla cessazione continuano in vigore dopo la cessazione, incluse (senza limitazione) gli artt. 6.8 (Restituzione o Cancellazione), 8 (Responsabilità) e 11 (Legge Applicabile).

10. MODIFICHE

10.1 Il Responsabile può aggiornare il presente DPA per riflettere modifiche del diritto applicabile, linee guida regolamentari, o modifiche sostanziali nelle operazioni di trattamento del Responsabile. Le modifiche sostanziali richiedono trenta (30) giorni di preavviso scritto al Titolare.

10.2 Se il Titolare si oppone a una modifica sostanziale per documentati motivi di protezione dei dati e le Parti non raggiungono un accordo entro trenta (30) giorni, il Titolare può recedere dall'Accordo Principale senza penali per la parte residua.

11. LEGGE APPLICABILE E FORO

11.1 Il presente DPA è regolato dalla legge italiana.

11.2 Le Parti si sottopongono alla competenza esclusiva del Tribunale di Firenze, fatti salvi i diritti imperativi degli interessati ai sensi dell'art. 79(2) GDPR.

12. ORDINE DI PRECEDENZA

12.1 In caso di conflitto tra il presente DPA e l'Accordo Principale, prevale il presente DPA nella misura in cui il conflitto riguardi il trattamento dei Dati Personali.

12.2 In caso di conflitto tra il presente DPA e le SCC (ove applicabili), prevalgono le SCC nella misura del conflitto.

13. CLAUSOLA SALVATORIA

13.1 Se una qualsiasi disposizione del presente DPA è dichiarata invalida o inapplicabile, le restanti disposizioni rimangono pienamente in vigore e le Parti sostituiranno la disposizione invalida con una disposizione valida che rifletta nel modo più fedele possibile l'intento originario.

ALLEGATO I — DESCRIZIONE DEL TRATTAMENTO

VoceSpecifica
OggettoFornitura della piattaforma SaaS ObligoBoard per la gestione della compliance
DurataPer la durata dell'Accordo Principale, oltre i periodi di smobilizzo di cui agli artt. 6.8 e 9
Natura e finalitàAutenticazione, hosting, archiviazione, recupero, trasmissione, organizzazione, presentazione e cancellazione dei Dati Personali caricati o generati attraverso la piattaforma
Categorie di interessatiDipendenti, collaboratori, utenti autorizzati del Titolare; fornitori e referenti caricati dal Titolare; interessati richiamati nella documentazione di compliance
Categorie di Dati PersonaliIdentificativi, autenticazione, organizzativi, di attività, di contenuto, di fatturazione — vedi art. 4.2 del DPA
Categorie particolariNon consentite salvo previo accordo
FrequenzaContinuativa per la durata dell'Accordo Principale
ConservazionePer la durata dell'Accordo Principale e secondo la configurazione del Titolare; cancellazione o restituzione ai sensi dell'art. 6.8

ALLEGATO II — MISURE TECNICHE E ORGANIZZATIVE (art. 32 GDPR)

Il Responsabile mantiene le seguenti misure, che riesamina e aggiorna regolarmente.

Cifratura

  • Cifratura in transito (TLS 1.2 o superiore) per tutti gli endpoint della piattaforma
  • Cifratura a riposo (AES-256) per i Dati Personali archiviati nel database di produzione
  • Cifratura a riposo per i Dati Personali archiviati nello storage a oggetti (Vercel Blob)

Controllo degli accessi

  • Autenticazione tramite password robusta (credenziali con hash bcrypt) e scadenza dei token di sessione per tutti gli accessi amministrativi e dei clienti
  • Controllo degli accessi basato sui ruoli all'interno della piattaforma
  • Principio del minimo privilegio per tutti gli accessi interni
  • Timeout di sessione e logout per inattività
  • Log di audit delle azioni amministrative, conservati per almeno dodici (12) mesi

Pseudonimizzazione e anonimizzazione

  • Pseudonimizzazione applicata agli identificatori in ambienti non di produzione
  • Anonimizzazione della telemetria di utilizzo ove possibile

Resilienza

  • Backup automatici giornalieri con recupero point-in-time
  • Ridondanza multi-regione tramite l'infrastruttura del fornitore cloud
  • Procedure di disaster recovery con RTO e RPO documentati

Test e valutazione

  • Scansione delle vulnerabilità delle dipendenze di terzi tramite gli alert automatici di GitHub a ogni release
  • Suite di test automatizzata (unitari, di integrazione, end-to-end, e una suite di fuzzing di tenant-isolation che esercita i confini di accesso ai dati multi-tenant) eseguita su ogni pull request prima del merge sul branch di produzione
  • Verifica statica dei tipi TypeScript su ogni pull request
  • Verifica dei checksum delle migrazioni su ogni pull request (previene la divergenza dello schema tra sviluppo, staging e produzione)
  • Revisione obbligatoria della pull request per ogni merge sul branch di produzione (nessun push diretto; protezione del branch configurata)

Personale

  • Il Responsabile è una Ditta Individuale; la persona fisica Mirko Grewing è l'unica persona con accesso amministrativo ai Dati Personali. Gli obblighi di riservatezza sono adempiuti personalmente e nel rispetto dei doveri di segreto professionale che vincolano il Responsabile ai sensi della legge italiana.
  • Il Responsabile mantiene una conoscenza aggiornata in materia di protezione dei dati e sicurezza delle informazioni attraverso lo studio continuo delle linee guida EDPB, delle linee guida del Garante italiano e delle pubblicazioni di sicurezza di settore. Programmi formali di onboarding / offboarding e di formazione strutturata di sensibilizzazione saranno introdotti quando l'attività si svilupperà oltre la dimensione di Ditta Individuale; il contratto sarà modificato in tal senso ai sensi dell'art. 10.1.

Risposta agli incidenti

  • Allarmi di sicurezza 24/7 tramite l'infrastruttura del fornitore cloud (monitoraggio delle piattaforme Vercel + Neon)
  • La risposta agli incidenti segue i principi degli articoli 33 e 34 GDPR, con notifica ai Titolari interessati entro 72 ore ai sensi dell'art. 6.6 del presente DPA
  • Un manuale operativo (runbook) di risposta agli incidenti sarà mantenuto in forma scritta quando l'attività si svilupperà oltre la dimensione di Ditta Individuale; fino ad allora, le decisioni di risposta sono assunte personalmente dal Responsabile nel quadro degli artt. 33 e 34 GDPR sopra richiamati

Diligenza sui Sub-responsabili

  • Criteri di selezione dei Sub-responsabili inclusa la valutazione in materia di protezione dei dati
  • Obblighi contrattuali imposti per iscritto (DPA/MSA)
  • La diligenza si basa sulle attestazioni di sicurezza pubblicate da ciascun Sub-responsabile (es. ISO 27001, SOC 2 Type II) ove disponibili; il Responsabile valuta le eventuali modifiche sostanziali a tali attestazioni non appena ne ha conoscenza

ALLEGATO III — SUB-RESPONSABILI

I seguenti Sub-responsabili sono coinvolti dal Responsabile alla data del presente DPA. L'elenco è aggiornato in conformità all'art. 6.4.

Sub-responsabileRuolo / ServizioRegione (localizzazione dati)Meccanismo di trasferimento (ove applicabile)
Vercel Inc.Hosting applicativo, CDN, edge runtime, blob storageUE (Francoforte) primaria; edge globaleSCC UE (Modulo 3) per eventuale fallback US; DPA Vercel in essere
Neon Inc.Hosting database PostgreSQL gestitoUE (Francoforte)SCC UE (Modulo 3); DPA Neon in essere
Stripe Payments Europe Ltd.Elaborazione pagamenti, fatturazione abbonamentiUE (Irlanda) primaria; alcuni instradamenti verso US tramite l'infrastruttura globale StripeDPA Stripe + SCC UE (Modulo 3); Stripe agisce anche come Titolare autonomo per finalità antifrode
Resend Inc.Invio email transazionaliUE (Francoforte) e USSCC UE (Modulo 3) per il trattamento in regione US; DPA Resend in essere
Font Awesome (Fonticons, Inc.)Erogazione CDN iconeEdge globale (sede US)SCC UE (Modulo 3); DPA Font Awesome disponibile; Dati Personali minimi — solo indirizzo IP e User-Agent nei log della CDN

L'ultima versione di questo elenco è pubblicata su https://obligoboard.com/sub-processors. Gli aggiornamenti sostanziali attivano il meccanismo di notifica di cui all'art. 6.4(b).

ALLEGATO IV — CLAUSOLE CONTRATTUALI STANDARD

Ove i Dati Personali siano trasferiti a un Sub-responsabile in un paese terzo in assenza di una decisione di adeguatezza, le Parti incorporano le Clausole Contrattuali Standard adottate con Decisione di esecuzione (UE) 2021/914 della Commissione, con:

  • Modulo 3 (da Responsabile a Responsabile) selezionato per i trasferimenti Responsabile → Sub-responsabile;
  • Modulo 2 (da Titolare a Responsabile) ove il Titolare trasferisca dati direttamente a un Responsabile al di fuori del SEE;
  • Clausola 7 (clausola di docking) selezionata;
  • Clausola 9(a) Opzione 2 (autorizzazione generale scritta) selezionata, con il termine di notifica di trenta (30) giorni come da art. 6.4(b);
  • Clausola 11(a) opzione (organismo indipendente di risoluzione delle controversie) non selezionata;
  • Clausola 17 Opzione 1 (legge di uno Stato membro UE che consente diritti di terzi beneficiari): legge italiana;
  • Clausola 18 (foro e giurisdizione): Italia;
  • Allegato I.A e I.B compilati con i dati delle Parti del presente DPA;
  • Allegato I.C: il Garante per la protezione dei dati personali;
  • Allegato II compilato con le misure tecniche e organizzative dell'Allegato II del presente DPA;
  • Allegato III compilato con i Sub-responsabili dell'Allegato III del presente DPA.

Per i trasferimenti verso il Regno Unito, si applica l'UK International Data Transfer Addendum alle SCC UE (emesso dall'ICO).

BLOCCO FIRME

Per il TitolarePer il Responsabile
Nome: [NOME FIRMATARIO CLIENTE]Nome: Mirko Grewing
Ruolo: [RUOLO FIRMATARIO CLIENTE]Ruolo: Titolare dell'impresa
Data: [DATA]Data: [DATA]
Firma: ________________________Firma: ________________________