Accordo sul Trattamento dei Dati Personali
Accordo ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR)
Ultimo aggiornamento: [DATA]
Premesse
Il presente Accordo sul Trattamento dei Dati Personali (di seguito "DPA" o "Accordo") e stipulato tra:
[RAGIONE SOCIALE TITOLARE] (di seguito il "Titolare del Trattamento" o "Titolare"), organizzazione iscritta all'OAM in qualita di mediatore creditizio, che utilizza la piattaforma primacasa.ai per la gestione delle pratiche di mediazione creditizia;
e
[RAGIONE SOCIALE PRIMACASA] (di seguito il "Responsabile del Trattamento" o "Responsabile"), con sede legale in [SEDE LEGALE], P.IVA [P.IVA], fornitore della piattaforma SaaS primacasa.ai;
congiuntamente le "Parti" e singolarmente la "Parte".
Considerato che:
(A) Il Titolare ha sottoscritto i Termini e Condizioni del servizio primacasa.ai (di seguito il "Contratto Principale") per l'utilizzo della piattaforma ai fini della propria attivita di mediazione creditizia;
(B) Nell'ambito dell'esecuzione del Contratto Principale, il Responsabile tratta dati personali per conto del Titolare;
(C) L'art. 28 del Regolamento (UE) 2016/679 ("GDPR") richiede che il trattamento da parte del Responsabile sia disciplinato da un contratto o altro atto giuridico che vincoli il Responsabile al Titolare;
(D) Le Parti intendono disciplinare con il presente Accordo i termini e le condizioni del trattamento dei dati personali effettuato dal Responsabile per conto del Titolare;
Tutto cio premesso, le Parti convengono quanto segue:
Art. 1 — Definizioni
1.1. Ai fini del presente Accordo, i termini di seguito elencati hanno il significato indicato a fianco di ciascuno di essi. I termini non definiti nel presente Accordo hanno il significato attribuito dal GDPR.
| Termine | Definizione |
|---|---|
| Dati Personali | Qualsiasi informazione riguardante una persona fisica identificata o identificabile, ai sensi dell'art. 4, par. 1, n. 1 del GDPR |
| Trattamento | Qualsiasi operazione o insieme di operazioni compiute su dati personali, ai sensi dell'art. 4, par. 1, n. 2 del GDPR |
| Interessato | La persona fisica i cui dati personali sono oggetto di trattamento |
| Titolare del Trattamento | L'organizzazione del mediatore creditizio che determina le finalita e i mezzi del trattamento dei dati personali |
| Responsabile del Trattamento | [RAGIONE SOCIALE PRIMACASA], che tratta i dati personali per conto del Titolare |
| Sub-responsabile | Qualsiasi terza parte incaricata dal Responsabile di effettuare specifiche attivita di trattamento per conto del Titolare |
| Violazione dei Dati Personali | Una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali, ai sensi dell'art. 4, par. 1, n. 12 del GDPR |
| Clausole Contrattuali Tipo (SCC) | Le clausole contrattuali tipo adottate dalla Commissione europea ai sensi dell'art. 46, par. 2, lett. c) del GDPR |
| Piattaforma | Il servizio SaaS primacasa.ai, comprensivo di tutte le funzionalita ivi offerte |
| Contratto Principale | I Termini e Condizioni del servizio primacasa.ai sottoscritti dal Titolare |
Art. 2 — Oggetto e durata
2.1. Il presente Accordo disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito della fornitura dei servizi di cui al Contratto Principale.
2.2. Il presente Accordo e parte integrante del Contratto Principale e ne costituisce un allegato inscindibile.
2.3. La durata del presente Accordo coincide con la durata del Contratto Principale. Gli obblighi in materia di protezione dei dati personali sopravvivono alla cessazione del Contratto Principale nei limiti previsti dall'Art. 14.
Art. 3 — Natura e finalita del trattamento
3.1. Il Responsabile tratta i dati personali esclusivamente per le seguenti finalita, strettamente connesse all'erogazione dei servizi previsti dal Contratto Principale:
(a) Elaborazione documentale — Ricezione, archiviazione, validazione, classificazione ed estrazione di dati da documenti caricati dal Titolare o dai suoi clienti (documenti di identita, documenti fiscali, estratti conto bancari, visure, contratti);
(b) Analisi mediante intelligenza artificiale — Utilizzo di modelli di intelligenza artificiale per l'estrazione strutturata di dati dai documenti, l'analisi delle transazioni bancarie, il calcolo del reddito, l'analisi finanziaria e la generazione della relazione economico-finanziaria;
(c) Calcolo e abbinamento prodotti — Elaborazione dei profili finanziari dei clienti, calcolo di parametri ipotecari (LTV, DTI, rata), abbinamento con i prodotti di mutuo disponibili, generazione di preventivi;
(d) Portale clienti — Messa a disposizione di un portale autenticato mediante il quale i clienti del Titolare possono visualizzare lo stato della propria pratica, caricare documenti e comunicare con il proprio mediatore;
(e) Comunicazioni — Gestione dei messaggi tra il Titolare (e i suoi collaboratori) e i clienti tramite la funzionalita di chat integrata nella Piattaforma, invio di email transazionali (notifiche, accesso al portale);
(f) Archiviazione — Conservazione dei documenti e dei dati estratti per la durata del rapporto contrattuale;
(g) Audit e tracciabilita — Registrazione di log di accesso, modifiche ai dati, azioni eseguite sulla Piattaforma, a fini di sicurezza, integrita e tracciabilita del trattamento.
3.2. Il Responsabile non tratta i dati personali per finalita proprie ne per finalita diverse da quelle indicate nel presente Accordo, salvo ove richiesto dal diritto dell'Unione o degli Stati membri cui e soggetto, nel qual caso informa il Titolare prima del trattamento, salvo che il diritto lo vieti per rilevanti motivi di interesse pubblico.
Art. 4 — Categorie di interessati
4.1. I dati personali trattati riguardano le seguenti categorie di interessati:
(a) Clienti finali — Persone fisiche che richiedono un mutuo ipotecario o altro finanziamento tramite il Titolare (richiedenti mutuo, co-intestatari, garanti);
(b) Utenti della piattaforma — Mediatori creditizi e collaboratori dell'organizzazione del Titolare che accedono alla Piattaforma.
Art. 5 — Categorie di dati personali
5.1. Il Responsabile tratta le seguenti categorie di dati personali per conto del Titolare:
| Categoria | Dati specifici | Interessati |
|---|---|---|
| Dati identificativi | Nome, cognome, indirizzo email, numero di telefono, codice fiscale, data di nascita, cittadinanza, residenza | Clienti finali |
| Dati finanziari | Dati reddituali, dichiarazioni dei redditi (CU, Modello Unico), estratti conto bancari, visure CRIF, informazioni su debiti e finanziamenti in corso | Clienti finali |
| Dati immobiliari | Indirizzo dell'immobile, prezzo di acquisto, dati catastali, tipologia dell'immobile | Clienti finali |
| Documenti | File PDF e immagini di documenti di identita, finanziari, immobiliari e contrattuali | Clienti finali |
| Dati estratti | Dati strutturati estratti dai documenti mediante intelligenza artificiale (formato JSON) | Clienti finali |
| Comunicazioni | Messaggi di chat scambiati tra mediatore e cliente tramite la Piattaforma | Clienti finali e utenti della piattaforma |
| Dati tecnici | Indirizzi IP, user agent, log di accesso al portale clienti | Clienti finali (portale) e utenti della piattaforma |
| Dati di sessione | Token di sessione, timestamp di accesso, azioni eseguite | Utenti della piattaforma |
5.2. Il Responsabile non tratta, nell'ambito del servizio, categorie particolari di dati personali ai sensi dell'art. 9 del GDPR ne dati relativi a condanne penali e reati ai sensi dell'art. 10 del GDPR, salvo che tali dati siano incidentalmente contenuti nei documenti caricati dal Titolare o dai suoi clienti, nel qual caso il trattamento avviene esclusivamente ai fini dell'elaborazione documentale e il Responsabile non effettua alcuna estrazione o utilizzo autonomo di tali dati.
Art. 6 — Obblighi del Responsabile del Trattamento
6.1. Il Responsabile si impegna a:
6.1.1. Istruzioni documentate (art. 28, par. 3, lett. a) GDPR)
Trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare, ivi comprese le istruzioni relative ai trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che il trattamento sia richiesto dal diritto dell'Unione o dello Stato membro cui e soggetto il Responsabile. In tal caso, il Responsabile informa il Titolare di tale obbligo giuridico prima del trattamento, a meno che il diritto lo vieti per rilevanti motivi di interesse pubblico.
Il presente Accordo, il Contratto Principale e l'utilizzo della Piattaforma conformemente alla relativa documentazione costituiscono le istruzioni documentate del Titolare.
Qualora il Responsabile ritenga che un'istruzione del Titolare sia in violazione del GDPR o di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati, ne informa immediatamente il Titolare.
6.1.2. Riservatezza (art. 28, par. 3, lett. b) GDPR)
Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
6.1.3. Sicurezza (art. 28, par. 3, lett. c) GDPR)
Adottare tutte le misure richieste dall'art. 32 del GDPR per garantire un livello di sicurezza adeguato al rischio. Le misure tecniche e organizzative adottate sono descritte nell'Allegato B al presente Accordo.
6.1.4. Sub-responsabili (art. 28, par. 3, lett. d) GDPR)
Rispettare le condizioni di cui all'Art. 8 del presente Accordo per ricorrere a sub-responsabili del trattamento.
6.1.5. Diritti degli interessati (art. 28, par. 3, lett. e) GDPR)
Assistere il Titolare, tenendo conto della natura del trattamento, mediante misure tecniche e organizzative adeguate, nella misura in cui cio sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste di esercizio dei diritti dell'interessato di cui agli artt. 15-22 del GDPR (accesso, rettifica, cancellazione, limitazione del trattamento, portabilita, opposizione).
In particolare, il Responsabile si impegna a:
- Notificare tempestivamente al Titolare qualsiasi richiesta ricevuta direttamente da un interessato, senza dar seguito autonomamente alla richiesta salvo diversa istruzione del Titolare;
- Fornire al Titolare, su richiesta, le informazioni e i dati necessari per consentirgli di adempiere alle richieste degli interessati;
- Implementare le misure tecniche necessarie per consentire l'estrazione, la rettifica e la cancellazione dei dati personali.
6.1.6. Assistenza al Titolare (art. 28, par. 3, lett. f) GDPR)
Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile. In particolare:
- Obblighi relativi alla sicurezza del trattamento (art. 32);
- Obblighi relativi alla notifica di una violazione dei dati personali all'autorita di controllo (art. 33);
- Obblighi relativi alla comunicazione di una violazione dei dati personali all'interessato (art. 34);
- Obblighi relativi alla valutazione d'impatto sulla protezione dei dati (art. 35);
- Obblighi relativi alla consultazione preventiva (art. 36).
6.1.7. Cancellazione o restituzione dei dati (art. 28, par. 3, lett. g) GDPR)
Al termine della prestazione dei servizi relativi al trattamento, su scelta del Titolare, cancellare o restituire tutti i dati personali ed eliminare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati personali, secondo le modalita di cui all'Art. 14 del presente Accordo.
6.1.8. Audit e informazioni (art. 28, par. 3, lett. h) GDPR)
Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 del GDPR e consentire e contribuire alle attivita di revisione (audit), comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato, secondo le modalita di cui all'Art. 13 del presente Accordo.
Art. 7 — Obblighi del Titolare del Trattamento
7.1. Il Titolare si impegna a:
(a) Impartire al Responsabile istruzioni documentate relative al trattamento dei dati personali conformi alla normativa vigente in materia di protezione dei dati;
(b) Garantire di disporre di una valida base giuridica per il trattamento dei dati personali dei propri clienti, ivi incluso il consenso ove necessario, e di aver fornito agli interessati le informazioni di cui agli artt. 13 e 14 del GDPR;
(c) Garantire che i dati personali caricati sulla Piattaforma siano pertinenti, adeguati e limitati a quanto necessario rispetto alle finalita per le quali sono trattati;
(d) Rispondere alle richieste di esercizio dei diritti degli interessati, avvalendosi dell'assistenza del Responsabile ove necessario;
(e) Effettuare, ove richiesto, la valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 del GDPR;
(f) Notificare tempestivamente al Responsabile qualsiasi modifica alle istruzioni di trattamento.
Art. 8 — Sub-responsabili del trattamento
8.1. Autorizzazione generale
8.1.1. Il Titolare autorizza in via generale il Responsabile a ricorrere a sub-responsabili del trattamento per l'esecuzione di specifiche attivita di trattamento, nel rispetto delle condizioni di cui al presente articolo.
8.1.2. L'elenco dei sub-responsabili attualmente autorizzati e riportato nell'Allegato C al presente Accordo.
8.2. Obblighi contrattuali
8.2.1. Il Responsabile stipula con ciascun sub-responsabile un contratto che impone a quest'ultimo i medesimi obblighi in materia di protezione dei dati previsti dal presente Accordo, in particolare per quanto riguarda la garanzia di misure tecniche e organizzative adeguate affinche il trattamento soddisfi i requisiti del GDPR.
8.2.2. Qualora il sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile resta pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi del sub-responsabile.
8.3. Nuovi sub-responsabili
8.3.1. Il Responsabile informa il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili del trattamento con un preavviso di almeno 30 (trenta) giorni, mediante comunicazione all'indirizzo email del Titolare associato all'account sulla Piattaforma e mediante pubblicazione dell'elenco aggiornato sulla pagina dedicata del sito web del Responsabile.
8.3.2. Il Titolare puo opporsi alla nomina di un nuovo sub-responsabile entro 30 (trenta) giorni dalla ricezione della comunicazione di cui al comma precedente, fornendo ragioni oggettive e documentate relative alla protezione dei dati.
8.3.3. In caso di opposizione, il Responsabile compie ragionevoli sforzi per mettere a disposizione del Titolare una modifica al servizio che eviti il trattamento dei dati da parte del sub-responsabile contestato. Qualora non sia possibile raggiungere una soluzione ragionevolmente accettabile entro 30 (trenta) giorni dall'opposizione, il Titolare puo risolvere il Contratto Principale, limitatamente ai servizi che richiedono l'utilizzo del sub-responsabile contestato, senza alcuna penalita.
Art. 9 — Trasferimenti internazionali di dati
9.1. Il Titolare prende atto e accetta che taluni sub-responsabili di cui all'Allegato C hanno sede negli Stati Uniti d'America e che, pertanto, il trattamento dei dati personali puo comportare il trasferimento di dati verso tale paese terzo.
9.2. I trasferimenti di dati personali verso gli Stati Uniti sono effettuati sulla base di uno dei seguenti meccanismi, in ordine di priorita:
(a) Decisione di adeguatezza — EU-US Data Privacy Framework (DPF), adottato dalla Commissione europea con decisione di esecuzione del 10 luglio 2023, per i sub-responsabili certificati nell'ambito del DPF;
(b) Clausole Contrattuali Tipo (SCC) — Adottate dalla Commissione europea con decisione di esecuzione (UE) 2021/914, integrate ove necessario da misure supplementari ai sensi delle Raccomandazioni 01/2020 dell'EDPB, qualora il sub-responsabile non sia certificato nell'ambito del DPF o tale certificazione venga meno.
9.3. Il Responsabile verifica annualmente lo stato di certificazione DPF dei sub-responsabili con sede negli Stati Uniti e, qualora un sub-responsabile perda la certificazione, adotta tempestivamente uno dei meccanismi alternativi di cui al comma 9.2, lett. b), informandone il Titolare.
9.4. Qualora una decisione di adeguatezza sia invalidata da un organo giurisdizionale competente o dall'EDPB, il Responsabile adotta tempestivamente meccanismi alternativi di trasferimento conformi al GDPR, informandone il Titolare.
9.5. Il Titolare puo richiedere al Responsabile copia delle Clausole Contrattuali Tipo stipulate con i sub-responsabili e informazioni sulle misure supplementari adottate.
Art. 10 — Misure di sicurezza
10.1. Il Responsabile adotta le misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, ai sensi dell'art. 32 del GDPR, tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalita del trattamento, nonche del rischio di varia probabilita e gravita per i diritti e le liberta delle persone fisiche.
10.2. Le misure di sicurezza adottate sono dettagliatamente descritte nell'Allegato B al presente Accordo.
10.3. Il Responsabile verifica periodicamente l'adeguatezza delle misure di sicurezza adottate e le aggiorna ove necessario per mantenere un livello di sicurezza adeguato al rischio.
10.4. Il Responsabile si riserva il diritto di modificare le misure di sicurezza, a condizione che il livello di sicurezza complessivo non sia ridotto.
Art. 11 — Notifica delle violazioni dei dati personali
11.1. Il Responsabile notifica al Titolare qualsiasi violazione dei dati personali di cui venga a conoscenza senza ingiustificato ritardo e comunque entro 48 (quarantotto) ore dal momento in cui ne viene a conoscenza, al fine di consentire al Titolare di adempiere tempestivamente all'obbligo di notifica all'autorita di controllo ai sensi dell'art. 33 del GDPR.
11.2. La notifica contiene almeno le seguenti informazioni, nella misura in cui siano disponibili al momento della comunicazione:
(a) La natura della violazione dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali coinvolti;
(b) Il nome e i dati di contatto del punto di contatto del Responsabile presso cui ottenere maggiori informazioni;
(c) La descrizione delle probabili conseguenze della violazione dei dati personali;
(d) La descrizione delle misure adottate o di cui si propone l'adozione da parte del Responsabile per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure per attenuarne i possibili effetti negativi.
11.3. Qualora non sia possibile fornire tutte le informazioni contestualmente, il Responsabile le fornisce in fasi successive senza ulteriore ingiustificato ritardo.
11.4. Il Responsabile collabora con il Titolare e adotta tutte le misure ragionevoli per contenere la violazione e minimizzarne gli effetti.
11.5. Il Responsabile documenta qualsiasi violazione dei dati personali, comprese le circostanze, gli effetti e i provvedimenti adottati, e mette tale documentazione a disposizione del Titolare.
Art. 12 — Assistenza al Titolare
12.1. Diritti degli interessati (artt. 15-22 GDPR). Il Responsabile assiste il Titolare mediante misure tecniche e organizzative adeguate per il soddisfacimento delle richieste di esercizio dei diritti degli interessati, ivi inclusi il diritto di accesso, rettifica, cancellazione, limitazione del trattamento, portabilita dei dati e opposizione. Il Responsabile fornisce al Titolare le informazioni e il supporto tecnico necessari entro un termine ragionevole, e comunque compatibile con i termini di risposta previsti dalla normativa.
12.2. Valutazione d'impatto (art. 35 GDPR). Il Responsabile assiste il Titolare nell'effettuazione della valutazione d'impatto sulla protezione dei dati, fornendo le informazioni relative al trattamento effettuato, alle misure di sicurezza adottate e ai rischi connessi.
12.3. Consultazione preventiva (art. 36 GDPR). Il Responsabile assiste il Titolare nell'eventuale consultazione preventiva dell'autorita di controllo, fornendo le informazioni e la documentazione necessarie.
12.4. Notifica all'autorita e comunicazione agli interessati (artt. 33-34 GDPR). Il Responsabile assiste il Titolare nella notifica della violazione dei dati personali al Garante per la protezione dei dati personali e, ove richiesto, nella comunicazione della violazione agli interessati, fornendo tutte le informazioni in suo possesso.
Art. 13 — Audit
13.1. Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 del GDPR.
13.2. Il Titolare ha diritto di effettuare o far effettuare da un soggetto terzo indipendente audit e ispezioni, con un preavviso scritto di almeno 30 (trenta) giorni, in orario lavorativo e senza arrecare ingiustificata perturbazione all'attivita del Responsabile.
13.3. Il Responsabile puo soddisfare gli obblighi di audit mettendo a disposizione del Titolare un rapporto di audit indipendente (quale, a titolo esemplificativo, un rapporto SOC 2 Type II o certificazione ISO 27001), nella misura in cui tale rapporto sia sufficientemente recente e pertinente.
13.4. I costi dell'audit sono a carico del Titolare, salvo che l'audit rilevi una non conformita sostanziale del Responsabile agli obblighi previsti dal presente Accordo, nel qual caso i costi ragionevoli dell'audit sono a carico del Responsabile.
13.5. Il Titolare e i soggetti da esso incaricati sono tenuti alla riservatezza in merito alle informazioni acquisite nel corso dell'audit e le utilizzano esclusivamente ai fini della verifica del rispetto degli obblighi di cui al presente Accordo.
Art. 14 — Restituzione e cancellazione dei dati
14.1. Al termine del Contratto Principale, per qualsiasi causa, il Titolare puo, entro 30 (trenta) giorni dalla cessazione del contratto, richiedere al Responsabile:
(a) La restituzione di tutti i dati personali trattati in un formato strutturato, di uso comune e leggibile da dispositivo automatico; oppure
(b) La cancellazione di tutti i dati personali trattati e di tutte le copie esistenti.
14.2. In assenza di istruzioni del Titolare entro il termine di cui al comma 14.1, il Responsabile procede alla cancellazione di tutti i dati personali entro ulteriori 30 (trenta) giorni.
14.3. Il Responsabile rilascia al Titolare, su richiesta, una certificazione scritta attestante l'avvenuta cancellazione dei dati personali.
14.4. Resta salva la conservazione dei dati personali imposta dal diritto dell'Unione o degli Stati membri. In tal caso, il Responsabile informa il Titolare dell'obbligo giuridico di conservazione, indica la base giuridica e garantisce la riservatezza dei dati conservati, limitandone il trattamento alla sola conservazione per il periodo previsto dalla legge.
Art. 15 — Responsabilita
15.1. La responsabilita di ciascuna Parte in relazione al presente Accordo e disciplinata dalle clausole di limitazione della responsabilita contenute nel Contratto Principale.
15.2. Nessuna clausola di limitazione della responsabilita si applica alla responsabilita derivante da violazioni degli obblighi in materia di protezione dei dati personali che causino un danno agli interessati ai sensi dell'art. 82 del GDPR.
15.3. Ciascuna Parte risponde per i danni causati dal trattamento che violi il GDPR secondo quanto previsto dall'art. 82 del GDPR. In particolare, il Responsabile risponde del danno causato dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificamente diretti ai responsabili del trattamento o se ha agito in modo difforme o contrario rispetto alle istruzioni del Titolare.
Art. 16 — Durata e risoluzione
16.1. Il presente Accordo entra in vigore alla data di sottoscrizione del Contratto Principale (o, per i contratti gia in essere, alla data di pubblicazione del presente Accordo) e resta efficace per tutta la durata del Contratto Principale.
16.2. Gli obblighi del Responsabile in materia di riservatezza, sicurezza dei dati, restituzione e cancellazione dei dati sopravvivono alla cessazione del presente Accordo e del Contratto Principale, fino alla completa cancellazione o restituzione dei dati personali.
16.3. Il presente Accordo non puo essere risolto separatamente dal Contratto Principale, salvo quanto previsto dall'Art. 8.3.3 in caso di opposizione non risolta relativa a un sub-responsabile.
Art. 17 — Disposizioni generali
17.1. Prevalenza. In caso di conflitto tra le disposizioni del presente Accordo e quelle del Contratto Principale, prevalgono le disposizioni del presente Accordo limitatamente alle questioni relative alla protezione dei dati personali.
17.2. Modifiche. Il presente Accordo puo essere modificato dal Responsabile per adeguarlo a nuove disposizioni normative o a modifiche nei servizi erogati. Le modifiche sostanziali sono comunicate al Titolare con un preavviso di almeno 30 (trenta) giorni. L'utilizzo continuativo della Piattaforma dopo tale termine costituisce accettazione delle modifiche.
17.3. Comunicazioni. Tutte le comunicazioni relative al presente Accordo devono essere inviate in forma scritta, anche a mezzo posta elettronica, ai seguenti indirizzi:
Al Responsabile: [EMAIL PRIVACY]
Al Titolare: all'indirizzo email associato all'account dell'amministratore dell'organizzazione sulla Piattaforma.
17.4. Legge applicabile. Il presente Accordo e regolato dalla legge italiana.
17.5. Foro competente. Per qualsiasi controversia derivante dal presente Accordo e competente in via esclusiva il Tribunale di Milano.
Allegato A — Dettaglio del trattamento
| Elemento | Descrizione |
|---|---|
| Natura del trattamento | Trattamento automatizzato e non automatizzato di dati personali mediante piattaforma SaaS, inclusi raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, estrazione, consultazione, uso, comunicazione, cancellazione |
| Finalita del trattamento | Erogazione dei servizi di piattaforma per la mediazione creditizia: elaborazione documentale, analisi AI, calcolo prodotti ipotecari, gestione portale clienti, comunicazioni, generazione report |
| Durata del trattamento | Per tutta la durata del Contratto Principale e successivamente per il periodo necessario alla restituzione o cancellazione dei dati ai sensi dell'Art. 14 |
| Categorie di interessati | Clienti finali (richiedenti mutuo, co-intestatari, garanti); utenti della piattaforma (mediatori creditizi, collaboratori) |
Categorie di dati personali trattati:
| Categoria | Dati specifici | Finalita specifica |
|---|---|---|
| Dati identificativi | Nome, cognome, email, telefono, codice fiscale, data di nascita, cittadinanza, residenza | Identificazione del cliente, creazione pratica |
| Dati finanziari | Redditi, dichiarazioni fiscali (CU, 730, Modello Unico), estratti conto bancari, visure CRIF, debiti in corso | Analisi reddituale, calcolo affordability, abbinamento prodotti |
| Dati immobiliari | Indirizzo immobile, prezzo di acquisto, dati catastali, tipologia immobile | Calcolo LTV, saldo prezzo, parametri ipotecari |
| Documenti | File PDF e immagini di documenti identita, fiscali, bancari, immobiliari, contrattuali | Archiviazione, estrazione dati, analisi AI |
| Dati estratti | Dati strutturati in formato JSON estratti dai documenti mediante AI | Compilazione automatica profili, calcoli finanziari |
| Comunicazioni | Messaggi di chat tra mediatore e cliente | Gestione relazione broker-cliente |
| Dati tecnici | Indirizzi IP, user agent, log di accesso | Sicurezza, audit, forensics |
Allegato B — Misure tecniche e organizzative
Ai sensi dell'art. 32 del GDPR, il Responsabile adotta le seguenti misure tecniche e organizzative:
B.1. Cifratura
| Misura | Dettaglio |
|---|---|
| Cifratura a riposo | AES-256 per tutti i dati archiviati (database, object storage) |
| Cifratura in transito | TLS 1.2 o superiore per tutte le comunicazioni tra client, server e servizi terzi |
| Cifratura dei PIN | Hashing bcrypt per i PIN di accesso al portale clienti |
B.2. Controllo degli accessi
| Misura | Dettaglio |
|---|---|
| Autenticazione | OAuth 2.0 (Google) e magic link (email) per gli utenti della piattaforma; PIN con hash bcrypt per il portale clienti |
| Autorizzazione basata su ruoli | Tre livelli di ruolo (ADMIN, SENIOR_BROKER, BROKER) con visibilita e permessi differenziati |
| Isolamento dei dati | Architettura multi-tenant con isolamento a livello di organizzazione; ogni query di accesso ai dati include il filtro per organizationId |
| Gestione delle sessioni | Token di sessione con scadenza, sessioni revocabili, sessione portale con scadenza a 24 ore |
| Principio del minimo privilegio | L'accesso ai dati dei clienti e limitato in base al ruolo: BROKER accede solo ai propri clienti, SENIOR_BROKER e ADMIN accedono ai clienti dell'organizzazione |
B.3. Audit e tracciabilita
| Misura | Dettaglio |
|---|---|
| Log di audit | Registrazione di tutti gli eventi significativi (accesso, modifica, cancellazione, upload, download) con timestamp, utente, azione, entita coinvolta |
| Log delle comunicazioni | Registrazione dei messaggi di chat con metadati (IP, user agent) per finalita di tracciabilita |
| Tracciamento AI | Registrazione completa delle interazioni con i modelli di intelligenza artificiale (prompt, risposte, strumenti utilizzati) |
B.4. Disponibilita e resilienza
| Misura | Dettaglio |
|---|---|
| Backup | Backup regolari del database con possibilita di point-in-time recovery |
| Ridondanza | Infrastruttura con ridondanza a livello di storage e database |
| Disaster recovery | Procedure di disaster recovery documentate e testate |
| Monitoraggio | Monitoraggio continuo della disponibilita e delle performance dei servizi |
B.5. Misure organizzative
| Misura | Dettaglio |
|---|---|
| Riservatezza del personale | Tutto il personale autorizzato al trattamento e soggetto a obbligo di riservatezza |
| Formazione | Formazione periodica del personale in materia di protezione dei dati personali e sicurezza informatica |
| Gestione delle vulnerabilita | Aggiornamenti di sicurezza regolari, monitoraggio delle vulnerabilita note |
| Sviluppo sicuro | Pratiche di sviluppo sicuro (code review, test automatizzati, gestione delle dipendenze) |
| Gestione degli incidenti | Procedura documentata per la gestione degli incidenti di sicurezza |
Allegato C — Elenco dei sub-responsabili
Di seguito l'elenco dei sub-responsabili autorizzati alla data dell'ultimo aggiornamento del presente Accordo:
| Sub-responsabile | Sede | Finalita del trattamento | Dati trattati | Meccanismo di trasferimento |
|---|---|---|---|---|
| Anthropic, Inc. | San Francisco, USA | Elaborazione documentale mediante AI (estrazione dati, analisi finanziaria, generazione relazioni) | Contenuto dei documenti, dati estratti | EU-US Data Privacy Framework / SCC |
| Google LLC | Mountain View, USA | Elaborazione documentale mediante AI (validazione, classificazione documenti) | Contenuto dei documenti | EU-US Data Privacy Framework / SCC |
| OpenAI, Inc. | San Francisco, USA | Elaborazione documentale mediante AI (validazione, classificazione, estrazione, analisi) | Contenuto dei documenti, dati estratti | EU-US Data Privacy Framework / SCC |
| Supabase, Inc. | San Francisco, USA | Hosting e gestione del database relazionale (PostgreSQL) | Tutti i dati personali trattati dalla Piattaforma (dati identificativi, finanziari, immobiliari, comunicazioni, dati tecnici, dati estratti) | EU-US Data Privacy Framework / SCC |
| Stripe, Inc. | San Francisco, USA | Elaborazione dei pagamenti e gestione degli abbonamenti | Dati di fatturazione (ragione sociale, email, dati abbonamento) | EU-US Data Privacy Framework / SCC |
| Resend, Inc. | San Francisco, USA | Invio di email transazionali (notifiche, accesso portale, comunicazioni chat) | Indirizzi email, nomi, anteprime dei messaggi | EU-US Data Privacy Framework / SCC |
| Cloudflare, Inc. (R2) | San Francisco, USA | Object storage (archiviazione documenti e file generati) | File dei documenti, PDF generati | EU-US Data Privacy Framework / SCC |
L'elenco aggiornato dei sub-responsabili e disponibile all'indirizzo: [URL PAGINA SUB-RESPONSABILI]
Per qualsiasi questione relativa al presente Accordo o al trattamento dei dati personali, e possibile contattare il Responsabile all'indirizzo: [EMAIL PRIVACY]