Accordo sul trattamento dei dati
Data Processing Agreement
Ultima modifica: 5 maggio 2026
1. Premesse e ruoli
Il presente Data Processing Agreement (“DPA”) disciplina il trattamento di dati personali effettuato da AuditReady per conto del Cliente B2B, tipicamente un EGE, studio di consulenza energetica, ESCO o soggetto equivalente, nell’ambito dell’uso del Servizio.
Il Cliente determina finalità e mezzi essenziali del trattamento dei dati dei propri clienti finali e agisce come titolare del trattamento. AuditReady tratta tali dati per conto del Cliente e agisce come responsabile del trattamento ai sensi dell’art. 28 GDPR.
2. Oggetto, durata e istruzioni
Il trattamento riguarda la messa a disposizione della piattaforma AuditReady, la raccolta e conservazione di documenti, la gestione delle pratiche, l’estrazione assistita di dati, l’invio di comunicazioni operative e la generazione di export richiesti dal Cliente.
AuditReady tratta i dati personali solo sulla base delle istruzioni documentate del Cliente, incluse quelle derivanti dalla configurazione e dall’uso del Servizio. La durata del trattamento coincide con la durata del rapporto contrattuale, salvo obblighi di conservazione o tempi tecnici di cancellazione.
3. Categorie di dati e interessati
Le categorie di dati possono includere dati account degli utenti EGE, dati di utilizzo e log tecnici, documenti aziendali caricati nella pratica, bollette, informazioni di consumo, dati di intestatari fisici, dati di referenti aziendali, indirizzi email, nominativi, recapiti, note operative e metadati dei file.
Le categorie di interessati possono includere utenti del Cliente, dipendenti o collaboratori del Cliente, referenti dei clienti finali, intestatari di utenze e soggetti i cui dati siano presenti nei documenti caricati dal Cliente.
4. Sub-processori
Il Cliente autorizza AuditReady ad avvalersi dei seguenti sub-processori, nei limiti necessari all’erogazione del Servizio:
| Fornitore | Funzione | Paese | Safeguards |
|---|---|---|---|
| Supabase | Database, storage e autenticazione | UE/USA | DPA, SCC ove applicabili, cifratura |
| Vercel | Hosting applicativo e delivery | UE/USA | DPA, SCC ove applicabili |
| Anthropic | Funzionalità AI su istruzione del Cliente | USA | SCC e misure supplementari ove necessarie |
| Resend | Invio email operative | USA | DPA, SCC ove applicabili |
AuditReady informerà il Cliente di eventuali modifiche rilevanti alla lista dei sub-processori, concedendo un tempo ragionevole per sollevare obiezioni motivate.
5. Misure tecniche di sicurezza
AuditReady applica misure tecniche proporzionate, tra cui HTTPS per il traffico applicativo, encryption at rest sui servizi Supabase quando prevista dall’infrastruttura, isolamento multi-tenant tramite Row Level Security, controllo degli accessi per organizzazione e password conservate tramite hash bcrypt o meccanismi equivalenti.
Il Cliente riconosce che alcune misure dipendono dai fornitori infrastrutturali e dalla configurazione del Servizio nella fase beta. AuditReady si impegna a mantenere misure adeguate allo stato dell’arte, ai costi di attuazione e al rischio del trattamento.
6. Misure organizzative
L’accesso ai dati personali è limitato al personale o ai collaboratori che ne abbiano necessità per erogare, mantenere o proteggere il Servizio. Quando applicabile, tali soggetti sono vincolati da obblighi di riservatezza, NDA o impegni equivalenti.
7. Violazioni dei dati personali
In caso di violazione dei dati personali che coinvolga dati trattati per conto del Cliente, AuditReady si impegna a notificare al Cliente entro 72 ore dal momento in cui ne viene a conoscenza, fornendo le informazioni ragionevolmente disponibili su natura della violazione, categorie di dati coinvolti, possibili conseguenze e misure adottate o proposte.
8. Assistenza al Cliente
AuditReady assiste il Cliente, nei limiti ragionevoli e tenuto conto della natura del trattamento, nel rispondere alle richieste degli interessati, nel garantire la sicurezza del trattamento, nel gestire eventuali data breach e nel supportare valutazioni d’impatto quando pertinenti al Servizio.
9. Restituzione e cancellazione
Alla cessazione del contratto, su richiesta del Cliente, AuditReady metterà a disposizione i dati esportabili tramite le funzioni del Servizio o cancellerà i dati personali trattati per conto del Cliente, salvo obblighi di legge, necessità di difesa di un diritto o tempi tecnici di eliminazione dai backup.
10. Audit e verifiche
Il Cliente può richiedere informazioni ragionevoli sulle misure di sicurezza e conformità applicate da AuditReady. Eventuali audit documentali o tecnici devono essere richiesti con almeno 30 giorni di preavviso, svolti in modo da non compromettere sicurezza, segreti commerciali o disponibilità del Servizio, e limitati a quanto strettamente necessario per verificare gli obblighi del presente DPA.