Accordo sul Trattamento dei Dati

Tra il Cliente (di seguito "Titolare") e Compri (di seguito "Responsabile").

1. Un Accordo Commerciale è stato stipulato tra il Titolare e il Responsabile, al quale il presente DPA è allegato e del quale costituisce parte integrante e sostanziale.
2. L'oggetto dell'Accordo è la fornitura del SaaS Compri, finalizzato alla gestione e ottimizzazione della supply chain del Cliente.
3. L'utilizzo del SaaS comporta il trattamento di dati personali ai sensi del GDPR.
4. Il Cliente agisce in qualità di Titolare ai sensi dell'art. 4(1)(7) del GDPR, e Compri agisce in qualità di Responsabile ai sensi dell'articolo 28 del GDPR.
5. Il Responsabile certifica di possedere l'esperienza, la capacità e l'affidabilità necessarie per adottare adeguate misure tecniche e organizzative di sicurezza.
6. Le Parti intendono concordare la natura, la finalità, la durata, il tipo di dati personali, le categorie di interessati, nonché i diritti e gli obblighi derivanti dal trattamento.

1.1. I termini non definiti nel presente documento hanno i significati assegnati dall'articolo 4 del GDPR.

1.2. "Normativa Applicabile" indica il GDPR, il D.Lgs. n. 196/2003 e qualsiasi altra legge applicabile sulla protezione dei dati.

1.3. "Persone autorizzate al trattamento" indica dipendenti, agenti o qualsiasi altra persona fisica autorizzata ai sensi dell'articolo 29 del GDPR.

1.4. "Sub-Responsabile" indica qualsiasi ulteriore responsabile a cui il Responsabile affida attività di trattamento.

1.5. "SEE" indica lo Spazio Economico Europeo.

2.1. Il presente DPA ha lo scopo di garantire la conformità all'articolo 28 del GDPR.

2.2. Il presente DPA si applica alle operazioni di trattamento elencate nell'Allegato C-bis.

3.1. Il Titolare si impegna a rispettare la Normativa Applicabile.

3.2. Il Titolare fornisce al Responsabile le istruzioni relative al trattamento, verificando la conformità alla Normativa Applicabile.

3.3. Il Titolare può impartire nuove istruzioni con almeno 15 giorni di preavviso scritto. Il Responsabile può risolvere l'Accordo se le nuove Istruzioni impongono un onere eccessivo o sono in conflitto con la Normativa Applicabile.

3.4. Il Responsabile può modificare l'Allegato C-bis con almeno 5 giorni di preavviso.

3.5. Il Responsabile non sarà ritenuto responsabile per violazioni risultanti dalla condotta del Titolare.

3.6. Il Titolare verifica che i dati inseriti nel SaaS siano raccolti su una base giuridica appropriata.

3.7. Il Titolare identifica i periodi di conservazione per ciascuna categoria di dati e li rimuove al termine di tale periodo.

3.8. Gli obblighi del Responsabile non includono la determinazione della liceità delle attività di trattamento svolte per conto del Titolare.

4.1. Il Responsabile tratta i dati in conformità alle Istruzioni del Titolare, salvo diversamente richiesto dalla normativa applicabile.

4.2. Il Responsabile informa immediatamente il Titolare qualora le Istruzioni violino la Normativa Applicabile.

4.3. Il Responsabile mantiene il Registro delle attività di trattamento ai sensi dell'art. 30(2) GDPR.

4.4. Il Responsabile informa il Titolare di qualsiasi richiesta di autorità pubbliche di accedere ai dati.

5.1. Il Responsabile risponde prontamente alle richieste di informazioni del Titolare.

5.2. Il Responsabile può adempiere mettendo a disposizione materiali informativi nell'area personale del SaaS.

5.3. Il Responsabile fornisce assistenza per valutazioni d'impatto e consultazioni preventive (artt. 35-36 GDPR).

5.4. Il Responsabile acconsente ad audit con almeno 2 mesi di preavviso.

5.5. La richiesta di audit deve indicare le attività oggetto di verifica e i motivi per cui non può essere eseguita sulla base della documentazione.

6.1. Il Responsabile comunica al Titolare le richieste ricevute dagli interessati.

6.2. Il Responsabile assiste il Titolare implementando misure tecniche e organizzative adeguate.

6.3. Il Responsabile tratta le richieste in conformità alle istruzioni scritte del Titolare.

7.1. Il Responsabile adotta le misure dell'Allegato C-ter per garantire la sicurezza dei dati.

7.2. Il Responsabile può modificare l'Allegato C-ter con almeno 5 giorni di preavviso.

7.3. Le Parti tengono conto dello stato dell'arte, dei costi e della natura del trattamento nel valutare il livello appropriato di sicurezza.

8.1. Il Titolare concede accesso ai dati solo al personale strettamente necessario.

8.2. Il Titolare garantisce che le Persone autorizzate abbiano ricevuto adeguata autorizzazione e si siano impegnate alla riservatezza.

9.1. Il Responsabile ha l'autorizzazione del Titolare a utilizzare i Sub-Responsabili elencati nell'Allegato C-quater.

9.2. Il Responsabile può modificare l'Allegato C-quater con almeno 5 giorni di preavviso.

9.3. Il Responsabile sottoscrive accordi con ciascun Sub-Responsabile che impongano obblighi sostanzialmente equivalenti.

10.1. Il Responsabile notifica eventuali violazioni entro 48 ore dalla scoperta.

10.2. La notifica include una descrizione della violazione e della natura dei dati coinvolti.

10.3. Il Responsabile può fornire una notifica parziale in attesa di indagini, seguita da una notifica integrativa.

10.4. Il Titolare notifica al Responsabile qualsiasi violazione della sicurezza che possa compromettere l'infrastruttura SaaS.

11.1. Qualsiasi trasferimento verso paesi terzi avviene in conformità al Capitolo V del GDPR.

12.1. Il DPA è efficace dalla data di sottoscrizione dell'Accordo.

12.2. Alla cessazione, il Responsabile cessa il trattamento o anonimizza i dati, salvo diverse istruzioni scritte del Titolare.

12.3. Oltre la data di cessazione, il trattamento può continuare per finalità tecniche strettamente necessarie.

13.1. Il DPA non attribuisce al Responsabile diritti a compensi diversi da quelli contrattualmente concordati.

13.2. In caso di conflitto tra il DPA e l'Accordo, il DPA prevale per le questioni relative al trattamento dei dati.

13.3. Per quanto non previsto si applica la Normativa sulla Protezione dei Dati applicabile.

13.4. Se una disposizione è invalida, le restanti rimangono in vigore.

13.5. Il Responsabile può rimuovere informazioni soggette a segreto industriale.

14.1. Le Parti assoggettano l'Accordo alla legge e alla giurisdizione scelte nell'Accordo.

Parte 1 — Caratteristiche generali

Natura: Fornitura SaaS Compri. Finalità: fornitura funzioni moduli, gestione account, sicurezza. Durata: fino alla sottoscrizione del SaaS. Interessati: dipendenti del Titolare. Dati: dati identificativi (nome, cognome, qualifica); dati di contatto (email).

Parte 2 — Caratteristiche per modulo

Order Management & Visibility — analisi ordini e attività con i fornitori, accesso ERP e casella email. Interessati: dipendenti Titolare, dipendenti fornitori, fornitori autonomi. Dati: identificativi, contatto, bancari/fiscali, email.

Request for X — invio RFQ a più fornitori. Interessati: dipendenti fornitori, fornitori autonomi. Dati: identificativi, contatto.

Onboarding — gestione onboarding e accreditamento fornitori. Interessati: dipendenti fornitori, fornitori autonomi, amministratori e sindaci, familiari. Dati: identificativi, contatto, dichiarazioni antiriciclaggio.

Compliance — verifica conformità normativa fornitori. Interessati: dipendenti fornitori, fornitori autonomi. Dati: identificativi, contatto.

Documents — gestione documenti rapporto fornitori. Interessati: dipendenti e amministratori fornitori, fornitori autonomi. Dati: identificativi, contatto, bancari/fiscali, email, firme autografe.

Analytics — analisi aggregata gestione fornitori. Interessati: fornitori autonomi. Dati: identificativi, contatto.

Vendor Management — gestione dettagliata attività. Interessati: fornitori autonomi. Dati: identificativi, contatto, merito creditizio.

Insights — analisi spese e posizioni fornitori. Interessati: dipendenti fornitori, fornitori autonomi. Dati: identificativi, contatto.

Intake Orchestration — gestione richieste di acquisto. Interessati: dipendenti fornitori, fornitori autonomi. Dati: identificativi, contatto.

Contracts — gestione e analisi contratti. Interessati: dipendenti e amministratori fornitori, fornitori autonomi. Dati: identificativi, contatto, bancari/fiscali, firme autografe.

DDT — gestione documenti di trasporto. Interessati: dipendenti e amministratori fornitori, fornitori autonomi. Dati: identificativi, contatto, firme autografe.

Procurement AI Assistant — analisi e gestione attività fornitori via IA. Interessati: dipendenti e amministratori fornitori, fornitori autonomi. Dati: identificativi, contatto.

Amazon Web Services — Cloud e hosting

MongoDB Limited — Gestione database

Clickhouse Inc — Gestione database

Microsoft Inc — Servizio AI generativo Azure

Anthropic PBC — API AI generativa Claude

Google Inc — API AI generativa Google Gemini

Documento aggiornato al 27/10/2025