Accordo sul trattamento dei dati

ai sensi dell'art. 28 RGPD – tra il Titolare del trattamento e AX1S / AIGOY (Responsabile del trattamento)

Questa è una traduzione di cortesia in italiano. Il contratto vincolante e firmabile è la versione tedesca (“Auftragsverarbeitungsvertrag”); in caso di discrepanze, prevale la versione tedesca. I download qui sopra contengono l'originale in tedesco.

Titolare del trattamento

[Azienda / Nome]
[Via, n.]
[CAP, Città], [Paese]
rappresentata da: [Nome]
“Titolare del trattamento”

Responsabile del trattamento

Thomas Brandt, ditta individuale
operante con il marchio AX1S / AIGOY
AX1S c/o Clevver, Winterhuder Weg 29
22085 Hamburg, Germany
“Responsabile del trattamento”

§ 1 Oggetto e durata

Trattamento di dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento nell'ambito della fornitura della piattaforma AIGOY (AI Governance, Risk & Compliance). La durata coincide con quella del contratto principale e termina con la sua cessazione.

§ 2 Natura, ambito e finalità

Fornitura della piattaforma AIGOY e dei suoi moduli (inventario AI, Risk Management, Policy Management, Compliance Reporting, Board Portal, Training Hub, Whistleblowing) e preparazione assistita da AI di policy e valutazioni del rischio da parte del Compliance CoWorker “Felix” secondo il principio dei quattro occhi. Trattamento esclusivamente finalizzato alla fornitura dei servizi e sulla base delle istruzioni documentate del Titolare del trattamento.

§ 3 Tipi di dati e categorie di interessati

Tipi di dati personali (tipici):

Dati anagrafici/di contatto (nome, e-mail aziendale, reparto, ruolo)
Dati di autenticazione (password con hash, timestamp di login, token di sessione)
Dati di utilizzo e di log della piattaforma (incl. audit trail)
Dati di formazione/competenza (avanzamento dei moduli, certificati)
Dati di contenuto inseriti dal Titolare del trattamento (ad es. policy, rischi, report)

Categorie di interessati: i dipendenti, i dirigenti e i responsabili del Titolare del trattamento, gli utenti della piattaforma e, ove applicabile, i terzi i cui dati il Titolare del trattamento inserisce nell'ambito dei propri processi di compliance.

Le categorie particolari (art. 9 RGPD) non fanno parte dell'uso previsto; il loro inserimento è di esclusiva responsabilità del Titolare del trattamento e dovrebbe essere evitato.

§ 4 Obblighi del Responsabile del trattamento

Ai sensi dell'art. 28, par. 3 RGPD il Responsabile del trattamento si impegna in particolare a:

trattare i dati solo sulla base delle istruzioni documentate del Titolare del trattamento (incl. i trasferimenti verso paesi terzi, salvo obbligo di legge).
garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza.
attuare le misure tecniche e organizzative richieste ai sensi dell'art. 32 RGPD (Allegato 1).
rispettare le condizioni per il ricorso ad altri responsabili del trattamento (art. 28, par. 2 e 4) (§ 6, Allegato 2).
assistere il Titolare del trattamento nell'adempimento dei diritti degli interessati (art. 12–23).
assistere il Titolare del trattamento negli obblighi di cui agli art. 32–36 (sicurezza, notifica delle violazioni, DPIA).
cancellare o restituire i dati personali al termine del trattamento, a scelta del Titolare del trattamento (§ 10).
fornire la prova della conformità e consentire gli audit (§ 9).

§ 5 Misure tecniche e organizzative (TOM)

Si applicano le TOM di cui all'Allegato 1 (art. 32 RGPD). Le misure possono essere adattate al progresso tecnico a condizione che il livello di protezione non venga ridotto.

§ 6 Sub-responsabili del trattamento

Il Titolare del trattamento concede un'autorizzazione generale per i sub-responsabili del trattamento elencati nell'Allegato 2. Il Responsabile del trattamento conclude con essi accordi ai sensi dell'art. 28 RGPD che impongono obblighi equivalenti. Le modifiche vengono comunicate in anticipo; il Titolare del trattamento può opporsi per importanti motivi di protezione dei dati. Per i trasferimenti verso paesi terzi si applicano garanzie adeguate (Clausole Contrattuali Standard ai sensi dell'art. 46, par. 2, lett. c) RGPD o l'EU-U.S. Data Privacy Framework).

§ 7 Diritti degli interessati

Il Responsabile del trattamento assiste il Titolare del trattamento nel rispondere alle richieste degli interessati e inoltra senza indebito ritardo qualsiasi richiesta a esso rivolta direttamente.

§ 8 Notifica delle violazioni di dati personali

Il Responsabile del trattamento notifica al Titolare del trattamento senza indebito ritardo, dopo essere venuto a conoscenza di una violazione di dati personali, con le informazioni richieste ai sensi dell'art. 33 RGPD, affinché il Titolare del trattamento possa adempiere ai propri obblighi ai sensi degli art. 33, 34 RGPD.

§ 9 Diritti di audit e di prova

La prova è fornita principalmente tramite idonea documentazione (ad es. SOC 2 Type II dell'infrastruttura utilizzata, report di audit, documentazione delle TOM). Ove necessario, il Responsabile del trattamento consente gli audit con ragionevole preavviso e senza disturbo sproporzionato.

§ 10 Cancellazione e restituzione

Al termine del trattamento, il Responsabile del trattamento cancella o restituisce tutti i dati personali a scelta del Titolare del trattamento e distrugge le copie, salvo che si applichi un obbligo legale di conservazione. La cancellazione è confermata su richiesta.

§ 11 Responsabilità

La responsabilità è disciplinata dall'art. 82 RGPD e dal contratto principale.

§ 12 Disposizioni finali

Le modifiche richiedono la forma scritta. In caso di conflitto, le disposizioni in materia di protezione dei dati del presente accordo prevalgono sul contratto principale. Si applica il diritto tedesco.

Luogo, data – Titolare del trattamento
Nome / funzione

Luogo, data – Responsabile del trattamento (AX1S / AIGOY)
Thomas Brandt

Allegato 1 – Misure tecniche e organizzative (art. 32 RGPD)

AIGOY è sviluppato in Germania, ospitato in Germania e supportato dalla Germania.

Obiettivo	Misura
Riservatezza	Crittografia in transito (TLS 1.2+) e a riposo (AES-256); Row Level Security (RLS); accesso basato sui ruoli e a privilegio minimo.
Integrità	Audit trail solo-INSERT; cockpit di approvazione a quattro occhi – ogni azione di scrittura da parte di Felix ha effetto solo dopo l'approvazione.
Disponibilità e resilienza	Backup regolari all'interno della regione UE; infrastruttura rafforzata (Supabase / AWS eu-central-1 Frankfurt, SOC 2 Type II).
Residenza dei dati	Trattamento/archiviazione nell'UE (Frankfurt/Germania). Inferenza AI: nessun addestramento sui dati; inferenza UE (AWS Bedrock Frankfurt) in preparazione.
Separazione	Separazione logica dei tenant (tenant_id) applicata tramite RLS.
Controllo del ricorso a terzi	DPA ai sensi dell'art. 28 con tutti i sub-responsabili del trattamento; SCC/DPF per i trasferimenti verso paesi terzi.

Allegato 2 – Sub-responsabili del trattamento approvati

Sub-responsabile del trattamento	Sede	Servizio / finalità	Nota
IONOS SE	Montabaur, Germania 🇩🇪	Web hosting	DPA art. 28
Supabase Inc.	AWS eu-central-1, Frankfurt 🇩🇪 (UE)	Backend, database, autenticazione, Edge Functions	DPA art. 28; SOC 2 Type II
Anthropic PBC	USA 🇺🇸	Servizio AI (modello Claude) per analisi / CoWorker Felix	Nessun addestramento sui dati; SCC + EU-U.S. DPF; DPA art. 28
Stripe Payments Europe, Ltd.	Dublino, Irlanda 🇮🇪 (UE)	Elaborazione dei pagamenti	Solo piani Business / Enterprise

Ultimo aggiornamento: maggio 2026. Questo modello è un punto di partenza e non costituisce consulenza legale. Si prega di adattarlo al caso specifico e di farlo verificare legalmente prima dell'uso. Un elenco aggiornato dei sub-responsabili del trattamento è pubblicato sulla pagina Fiducia e Sicurezza.