Accordo sul trattamento dei dati (DPA)

Versione 1.0 — 8 luglio 2026 · ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR) · parte integrante dei Termini di servizio, accettato con la registrazione

Le parti. Il Cliente è l'organizzazione registrata su NIS2Suite (un'azienda che gestisce la propria conformità oppure uno studio/consulente che gestisce quella dei propri clienti): rispetto ai dati personali che carica, il Cliente è titolare del trattamento (o responsabile che nomina un sub-responsabile, se opera a sua volta per conto di terzi). Il Fornitore del servizio NIS2Suite è responsabile del trattamento; i suoi dati identificativi (società in costituzione) saranno pubblicati in questa pagina non appena disponibili. Contatto: info@nis2suite.it.

1. Oggetto e durata

Il Fornitore tratta per conto del Cliente i dati personali necessari all'erogazione della piattaforma (gestione degli adempimenti NIS2), per tutta la durata del rapporto contrattuale e per il periodo di restituzione dei dati previsto dall'art. 8.

2. Natura, finalità, categorie di dati e di interessati

Trattamento con strumenti elettronici (raccolta, conservazione, organizzazione, consultazione) al solo fine di erogare il servizio. Dati: anagrafiche e contatti di aziende, fornitori e referenti; valutazioni ed evidenze di compliance; configurazioni tecniche in sola lettura dal connettore Microsoft 365. Interessati: referenti e dipendenti delle organizzazioni del Cliente e dei loro fornitori. Non è previsto il trattamento sistematico di categorie particolari di dati (art. 9 GDPR): il Cliente si impegna a non caricarne.

3. Istruzioni e obblighi del responsabile

4. Sub-responsabili autorizzati

Il Cliente autorizza in via generale il ricorso ai seguenti sub-responsabili. Il Fornitore comunica con almeno 30 giorni di preavviso ogni sostituzione o aggiunta; il Cliente può opporsi per motivi legittimi e, in mancanza di soluzione, disdire il servizio.

Sub-responsabileServizioUbicazione dei dati
Supabasedatabase applicativoUE (Francoforte)
Vercelhosting e funzioni APIUE (Francoforte); casa madre USA con garanzie artt. 44 ss.
Anthropicelaborazione delle bozze AI, solo quando il Cliente usa le funzioni AIUSA, con garanzie artt. 44 ss. (i dati API non sono usati per addestrare i modelli)
Microsoftconnettore M365: lettura delle configurazioni autorizzate dall'amministratore del tenanttenant Microsoft del Cliente

Stripe (pagamenti) non è sub-responsabile dei dati di compliance: opera come autonomo titolare per i dati di pagamento raccolti sulle proprie pagine.

5. Trasferimenti extra-UE

Database e calcolo applicativo sono in UE. Gli unici trasferimenti extra-UE possibili riguardano i fornitori indicati all'art. 4 e avvengono con le garanzie degli artt. 44 e ss. GDPR (decisione di adeguatezza EU-U.S. Data Privacy Framework e/o Clausole Contrattuali Standard). Le funzioni AI sono facoltative: senza un uso esplicito da parte del Cliente, nessun dato è inviato ad Anthropic.

6. Misure di sicurezza (art. 32 GDPR)

7. Audit

Su richiesta scritta e con preavviso ragionevole (almeno 15 giorni lavorativi, al massimo una volta l'anno salvo violazioni), il Fornitore mette a disposizione le informazioni e la documentazione necessarie a verificare il rispetto di questo accordo e consente audit del Cliente o di un terzo incaricato, nei limiti della riservatezza degli altri clienti e senza accesso a dati non pertinenti.

8. Restituzione e cancellazione

Alla cessazione del servizio, per 30 giorni il Cliente può chiedere l'esportazione dei dati in formato leggibile da macchina; decorso il termine, i dati sono cancellati salvo obblighi di legge che ne impongano la conservazione.

9. Responsabilità e legge applicabile

Si applicano le limitazioni e le previsioni dei Termini di servizio (legge italiana, foro della sede del Fornitore). Per quanto non previsto, si applica l'art. 28 GDPR.