AIComply

Data Processing Agreement (DPA) — AIComply

Ultimo aggiornamento: 11 maggio 2026

Versione del 2026-05-11. Documento integrativo ai Termini di Servizio, ai sensi dell'art. 28 GDPR.

1. Premesse

Il presente Data Processing Agreement ("DPA") disciplina il trattamento dei dati personali che AIComply S.r.l.s. (di seguito "Responsabile") effettua per conto del Cliente (di seguito "Titolare") nell'erogazione del Servizio AIComply.

2. Oggetto, natura e finalità del trattamento

  • Oggetto: dati personali necessari all'erogazione del Servizio.
  • Natura: hosting, archiviazione, elaborazione, backup, generazione documenti.
  • Finalità: erogazione delle funzionalità di compliance AI Act.
  • Durata: durata del contratto + periodi di conservazione previsti.
  • Categorie di interessati: dipendenti, collaboratori, fornitori del Titolare; soggetti i cui dati sono trattati da sistemi AI registrati dal Titolare.
  • Categorie di dati: dati anagrafici e di contatto; dati relativi alla formazione; metadati dei sistemi AI in uso.

3. Obblighi del Responsabile

Il Responsabile si impegna a:

  • Trattare i dati esclusivamente su istruzioni documentate del Titolare e nei limiti del Servizio;
  • Garantire la riservatezza del personale autorizzato al trattamento;
  • Adottare misure tecniche e organizzative adeguate ex art. 32 GDPR (vedi Allegato A);
  • Notificare al Titolare ogni violazione di dati personali entro 48 ore dalla scoperta;
  • Assistere il Titolare nel rispondere alle richieste degli interessati;
  • Restituire o cancellare i dati al termine del contratto, su scelta del Titolare;
  • Mettere a disposizione del Titolare le informazioni necessarie a dimostrare la conformità, consentendo audit annuali su preavviso ragionevole.

4. Sub-responsabili

Il Titolare autorizza in via generale il ricorso ai sub-responsabili elencati nella Privacy Policy §5. Il Responsabile comunicherà via email eventuali modifiche con preavviso di 30 giorni; il Titolare può opporsi per motivate ragioni, con facoltà di recesso senza oneri qualora non si raggiunga un accordo.

5. Trasferimenti extra-UE

Eventuali trasferimenti avvengono sulla base delle Clausole Contrattuali Tipo (CCT) approvate dalla Commissione UE o, ove applicabile, del Data Privacy Framework UE-USA.

6. Allegato A — Misure di sicurezza

  • Cifratura TLS 1.2+ in transito; AES-256 a riposo (Supabase managed Postgres).
  • Autenticazione tramite token JWT firmati; password con hash bcrypt.
  • Row Level Security (RLS) a livello database per isolamento multi-tenant.
  • Backup giornalieri retention 7 giorni (piano free/pro), 30 giorni (enterprise).
  • Controllo accessi role-based (RBAC) con ruoli: owner, admin, editor, viewer.
  • Audit log delle operazioni amministrative.
  • Monitoraggio continuo della sicurezza tramite il fornitore di hosting.

Sottoscrizione: la sottoscrizione del Servizio costituisce accettazione del presente DPA. Per richieste di firma di una versione bilaterale, contattare privacy@aicomplyonline.it.