Compri logo light
  • Clienti
  • Agenti AI
  • Come funziona
  • Sicurezza
  • FAQ
Fissa una demo
EN
ClientiAgenti AICome funzionaSicurezzaFAQ
Fissa una demoEN
Logo Compri white

La AI Workforce per la Supply Chain

Info

  • Clienti
  • Workforce
  • Come funziona
  • Sicurezza
  • FAQ

Azienda

  • Chi siamo
  • Referral
  • Lavora con noi
  • Contattaci

Risorse utili

  • Progetti
  • Newsletter
  • LinkedIn

© COMPRI.AI·P. IVA: 13568830965
Privacy & Compliance
AI Workforce per la Supply Chain
Badge Next Generation EU
Legale

Accordo sul Trattamento dei Dati

Tra

il Cliente, così come definito nell'Accordo Commerciale;

e

Compri, così come definito nell'Accordo Commerciale (di seguito, anche "Responsabile");

(Cliente e Compri sono di seguito indicati anche singolarmente come "Parte" e congiuntamente come "Parti").

Premesso che

  • tra il Cliente e Compri è stato stipulato un Accordo Commerciale (di seguito “Accordo”) del quale il presente Contratto sul Trattamento dei Dati (di seguito “DPA”) forma parte integrante e sostanziale;
  • oggetto dell’Accordo è la fornitura, secondo le modalità e i termini definiti nell’Accordo stesso, del SaaS Compri (di seguito “SaaS”), volto alla gestione e all’efficientamento della catena di approvvigionamento del Cliente, nonché l’erogazione di servizi consulenziali accessori;
  • l’utilizzo del SaaS comporta il trattamento di dati personali, come definiti ai sensi dell’art. 4(1)(1) del Regolamento (UE) 2016/679 (di seguito “GDPR”);
  • le Parti intendono concordare ai sensi e per gli effetti dell’art. 28(2) del GDPR, la natura, la finalità, la durata, il tipo di dati personali, le categorie di interessati, nonché i propri diritti e obblighi derivanti dal trattamento di dati personali effettuato mediante il SaaS.

Tutto ciò premesso, le Parti convengono quanto segue:

1. Definizioni e Lingua del DPA

Nel presente DPA, i termini infra indicati hanno il significato attribuito loro a seguire. Per tutto quanto non espressamente definito ai sensi della presente clausola si rimanda alle definizioni di cui all’art. 4 del GDPR.

“Normativa applicabile”: il GDPR, il d. lgs. 196/2003 e qualsiasi altra normativa in materia di protezione dei dati di volta in volta applicabile al trattamento dei dati personali;

“Titolare”: il titolare del trattamento dei dati personali, ossia soggetto che determina concretamente i mezzi e le modalità del trattamento, indipendentemente dal fatto che sia parte del presente accordo;

“Incaricati del Trattamento”: i dipendenti, gli incaricati o qualsiasi altra persona fisica autorizzata dalle Parti a svolgere operazioni di trattamento dei dati personali ai sensi dell’art. 29 del GDPR e dell’art. 2-quaterdecies del d. lgs. 196/2003;

“Sub-Responsabile”: si intendono i terzi autorizzati ai sensi del presente Accordo per il Trattamento dei Dati a trattare i Dati Personali del Cliente al fine di fornire, in tutto o in parte, i Servizi del Responsabile e/o qualsiasi supporto tecnico correlato;

“SEE”: lo Spazio Economico Europeo;

“Moduli”: i moduli di cui è composto il SaaS, che il Cliente acquista e implementa anche singolarmente; ciascun Modulo è dotato di un proprio funzionamento e il suo utilizzo comporta il trattamento di autonome e differenti categorie di dati personali, collegate alle finalità perseguite tramite esso.

“Istruzioni”: le istruzioni impartite dal Titolare del trattamento e dettagliate nella clausola 3.2. del presente DPA.

Se il presente DPA fosse tradotto in un’altra lingua e vi fosse una discrepanza tra il testo in italiano e il testo tradotto, prevarrà il testo in italiano.

2. Scopo e ambito di applicazione

2.1 Lo scopo del presente DPA è garantire il rispetto dell’articolo 28 del GDPR, secondo l’interpretazione del Comitato Europeo per la protezione dei dati personali nell’Opinione 14/2019.

2.2 Nell’ambito delle attività descritte, le parti concordano e accettano che:

  • Compri agisce come Responsabile per i Dati Personali del Cliente ai sensi della Normativa Applicabile;
  • il Cliente agisce come titolare o responsabile, a seconda dei casi, dei Dati personali del Cliente ai sensi della Normativa Applicabile;
  • ciascuna parte si conformerà agli obblighi ad essa applicabili ai sensi della Legislazione europea e nazionale rispetto al Trattamento dei Dati Personali del Cliente.

2.3 Il presente DPA si applica ai trattamenti elencati e descritti nell’Allegato 1. Le Parti riconoscono che il SaaS ha natura modulare e che, pertanto, il trattamento dei dati personali effettuato dal Responsabile è quello indicato nell’Allegato 1:

  • nella Parte 1, in ogni caso e relativamente a qualsiasi erogazione del SaaS;
  • nella Parte 2, relativamente ai soli moduli che formano oggetto dell’Offerta Commerciale;
  • nella Parte 3, in caso di attivazione dei servizi consulenziali di Compri.

3. Obblighi del Cliente e istruzioni

3.1 Il Cliente si impegna a rispettare la Normativa applicabile, nonché a trattare i dati in conformità a qualsiasi altra disposizione di legge applicabile che abbia o possa avere effetti di natura obbligatoria circa le modalità e le garanzie da applicare al trattamento di dati personali.

3.2 Con il presente Accordo per il Trattamento di Dati, il Cliente incarica Compri di trattare i dati personali oggetto del presente DPA: (a) solo in conformità alla legge applicabile; (b) per fornire il SaaS e qualsiasi supporto tecnico correlato, ferma restando la facoltà del Responsabile di trattarli in forma anonimizzata e/o aggregata per finalità statistiche e di miglioramento dei servizi; (c) come ulteriormente specificato/indicato dal Cliente attraverso l’uso da parte sua dei Servizi del Responsabile (incluse modifiche alle impostazioni e/o alle funzionalità dei Servizi del Responsabile) e di qualsiasi supporto tecnico correlato; (d) come documentato nell’Accordo, incluso il presente DPA; ed (e) come ulteriormente documentato in qualsiasi comunicazione scritta fornita dal Cliente a Compri da intendersi come ulteriore istruzione ai fini del presente Accordo per il Trattamento di Dati.

3.3 In nessun caso, è imputabile al Responsabile la violazione della Normativa Applicabile derivante da un comportamento del Cliente o del Titolare, nonché dall’applicazione delle Istruzioni da essi impartite.

3.4 Il Cliente si impegna a verificare e dimostrare che i dati inseriti all’interno del SaaS siano raccolti e trattati nel rispetto di ogni altro obbligo imposto dalla Normativa Applicabile e ad ogni altra disposizione di legge.

3.5 Se il Cliente agisce come responsabile, il Cliente garantisce a Compri che le istruzioni e le azioni del Cliente in relazione ai dati personali, compresa la nomina di Compri come ulteriore Responsabile, sono state autorizzate dal rispettivo Titolare.

4. Obblighi di Compri

4.1 Compri tratta i dati personali in conformità alle Istruzioni, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile.

4.2 Il Responsabile informa immediatamente il Cliente qualora, a suo parere, le Istruzioni violino la Normativa Applicabile. In nessun caso il Responsabile sarà onerato dell’obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente o dal Titolare.

4.3 Il Responsabile tiene e aggiorna il Registro delle Attività di trattamento di cui all’art. 30(2) GDPR, con speciale riferimento alle attività svolte per conto del Titolare. Il Responsabile, su richiesta del Titolare, mette a disposizione una copia delle sezioni del suddetto registro riguardanti il trattamento svolto per conto del Titolare.

4.4 Il Responsabile informa il Titolare senza ingiustificato ritardo circa l’obbligo di consultazione e/o acquisizione dei dati personali del Titolare imposto da un’Autorità pubblica, salvo vincoli diversi da parte della suddetta Autorità dovuti a segreto investigativo.

5. Assistenza al Cliente e audit

5.1 Il Responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del Cliente relative al trattamento dei dati oggetto del presente DPA e mette a disposizione del Cliente la documentazione idonea a comprovare il rispetto del presente DPA e della Normativa applicabile.

5.2 Il Responsabile può adempiere all’obbligo di cui alla precedente clausola 5.1. mettendo a disposizione materiale informativo e documentazione utile all’interno di pagine web dedicate e/o dell’area personale disponibile nell’interfaccia del SaaS.

5.3 Il Responsabile offre ragionevole assistenza al Cliente nell’esecuzione delle valutazioni d’impatto sulla protezione dei dati e nelle consultazioni preventive con le Autorità di controllo o altre autorità competenti in materia di protezione dei dati personali, che si rendano necessarie affinché il Titolare sia conforme agli articoli 35 e 36 del GDPR.

5.4 Il Responsabile acconsente a che il Cliente o un auditor da questi incaricato svolga degli audit, incluse ispezioni, in relazione al Trattamento dei dati personali effettuato dal Responsabile, a condizione che al Responsabile venga dato un preavviso ragionevole di almeno 30 giorni. La richiesta di audit dovrà contenere l’identità dell’auditor, la data di inizio nonché la portata e la durata, i controlli su sicurezza e riservatezza in relazione ad ogni audit.

6. Istanze dei Soggetti Interessati

6.1 Nel caso in cui il Responsabile sia destinatario di richieste sui diritti degli interessati al trattamento, lo stesso ha l’obbligo di comunicare tali richieste al Cliente, allegando copia alla comunicazione.

6.2 Il Responsabile si impegna ad assistere il Cliente attuando misure tecniche e organizzative adeguate al fine di dare seguito alle richieste dei Soggetti Interessati.

6.3 Il Responsabile dà seguito alle richieste di esercizio dei diritti attenendosi alle istruzioni specificatamente impartite dal Titolare per iscritto.

7. Sicurezza dei dati

7.1 Il Responsabile mette in atto almeno le misure tecniche e organizzative specificate all’Allegato 2 per garantire la sicurezza dei dati personali.

7.2 Nel valutare l’adeguato livello di sicurezza, le Parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli Interessati.

7.3 Compri adotterà misure adeguate per garantire il rispetto delle Misure di Sicurezza da parte di tutti coloro che operano sotto la sua autorità compresi i propri dipendenti, agenti, appaltatori e Sub-responsabili nella misura a loro applicabile secondo la prestazione effettivamente svolta, inclusa l’assicurazione sul fatto che tutte le persone autorizzate a trattare i Dati Personali del Cliente si sono impegnate alla riservatezza o sono soggette a un adeguato obbligo di riservatezza in conformità con la Legislazione europea e nazionale.

8. Soggetti incaricati del trattamento

8.1 Il Responsabile concede l’accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo dei trattamenti oggetto del presente DPA.

8.2 Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali ricevuti:

  • si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • abbiano ricevuto idonea autorizzazione al trattamento dei dati personali.

9. Sub-responsabili

9.1 Il Responsabile ha l’autorizzazione generale a ricorrere ai Sub-responsabili di cui all’Allegato 3.

9.2 Il Responsabile ha diritto a ricorrere a nuovi Sub-responsabili. In tal caso, il Responsabile informa il Cliente delle modifiche con un anticipo di almeno 15 giorni, dando così al Cliente tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai Sub-Responsabili del trattamento in questione.

9.3 Compri si impegna a ingaggiare Sub-Responsabili che presentino garanzie sufficienti a garantire un adeguato livello di protezione dei dati personali e a sottoscrivere con ciascun Sub-Responsabile un accordo scritto che imponga al Sub-Responsabile, in sostanza, gli stessi obblighi cui il Responsabile è tenuto in forza del DPA.

9.4 In caso di opposizione del Cliente a qualsiasi dei nuovi Sub-responsabili, le Parti si impegnano a collaborare in buona fede per individuare soluzioni idonee a consentire la prosecuzione del Contratto e, ove ciò non sia possibile, è fatto salvo il diritto di ciascuna Parte di recedere dal Contratto e dall’Accordo per il Trattamento dei Dati dandone comunicazione scritta all’altra Parte entro 30 giorni dall’opposizione del Cliente all’impiego dei nuovi Sub-responsabili.

10. Violazione dei dati personali

10.1 In caso di una violazione della sicurezza che possa avere impatti sui dati personali, trattati da Compri per conto del Cliente, Compri: (a) notificherà il Cliente entro 48h dalla scoperta; (b) adotterà tempestivamente misure ragionevoli per ridurre al minimo le conseguenze e proteggere i dati personali del Cliente.

10.2 La notifica contiene le informazioni sommarie, utili al Cliente per adempiere agli obblighi di cui agli articoli 33 e 34 del GDPR, tra cui almeno una descrizione della violazione che comprenda l’indicazione della natura dei dati violati e della loro entità.

10.3 Nella pendenza degli accertamenti tecnici necessari per determinare le caratteristiche e l’entità della violazione, Compri ha diritto di effettuare una notifica parziale dell’incidente. Al termine di tali accertamenti tecnici, il Responsabile dovrà rendere al Cliente una notifica integrativa.

10.4 Il Cliente è l’unico responsabile per l’osservanza delle obbligazioni relative alle notifiche di incidenti applicabili al Cliente e dell’adempimento di qualsiasi obbligo di notifica/comunicazione nei confronti di terzi in relazione a qualsiasi Incidente.

10.5 La notifica o la risposta di Compri a un Incidente ai sensi della presente clausola non sarà interpretata come un riconoscimento da parte di Compri di alcuna colpa o responsabilità in relazione all’Incidente.

10.6 Il Cliente notifica a Compri eventuali violazioni della sicurezza, anche non riguardanti dati personali, che possano compromettere la sicurezza dell’infrastruttura del SaaS, quali, a titolo meramente esemplificativo, la perdita di controllo sulle credenziali assegnate agli utenti.

11. Trasferimento di dati oltre lo Spazio Economico Europeo

11.1 Il Cliente accetta e autorizza affinché Compri possa trattare (anche tramite Sub-responsabili) i Dati Personali del Cliente all’interno e all’esterno dello SEE purché tali Trattamenti siano sorretti da idonei meccanismi di trasferimento ai sensi del Capo V del GDPR.

11.2 Qualora Compri intenda avvalersi di uno o più Sub-responsabili stabiliti al di fuori del SEE e non siano disponibili altri meccanismi di trasferimento diversi dalle Clausole Contrattuali Standard di cui all’art. 46(2)(c) del GDPR e della Decisione di esecuzione (UE) 2021/914 della Commissione, le Parti convengono che: (a) il Responsabile e il suo o i suoi Sub-responsabili saranno considerati “parti” ai sensi del “MODULO TRE: Trasferimento da responsabile a responsabile” delle Clausole Contrattuali Standard; (b) gli Allegati 1-3 del presente DPA sostituiranno o saranno sostanzialmente riflessi negli allegati delle Clausole Contrattuali Standard.

12. Durata e cessazione

12.1 La durata del DPA ha efficacia dalla data di entrata in vigore dell’Accordo e si applica fin tanto che sono in essere trattamenti di dati personali svolti dal Responsabile per conto del Cliente.

13. Cancellazione e esportazione dei dati

13.1 Compri garantisce per tutta la durata del presente DPA la possibilità per il Cliente di esportare e/o cancellare i dati automaticamente o dietro richiesta da presentare a mezzo mail. In tale seconda ipotesi, Compri darà seguito alla richiesta del Cliente non appena ragionevolmente possibile.

13.2 Compri potrà mantenere i Dati Personali del Cliente che siano stati conservati con regolari operazioni di backup nel rispetto dei protocolli di disaster recovery e business continuity propri o dei propri Sub-responsabili, purché Compri — fatto salvo quanto previsto dalla clausola 3.2.(b) — non tratti, e non consenta ai propri Subresponsabili di trattare, in maniera attiva o intenzionale tali dati personali per qualsivoglia finalità ulteriore rispetto a quelle oggetto del presente DPA.

13.3 All’atto della cessazione, per qualsiasi causa, del presente DPA, il Responsabile sarà tenuto, salvo diverse istruzioni scritte da parte del Cliente, alternativamente a:

  • cessare ogni attività di trattamento avente ad oggetto i dati personali;
  • anonimizzare i dati personali in suo possesso tramite cancellazione non reversibile delle righe di database associate ai Soggetti Interessati.

13.4 Le Parti riconoscono e accettano che oltre il termine di cessazione dell’Accordo avranno comunque luogo i trattamenti di dati personali necessari per finalità strettamente tecniche quali, a titolo meramente esemplificativo, l’espletamento delle operazioni di cancellazione dei dati personali, la gestione delle copie di back-up o l’adempimento di obblighi di legge o regolamento.

14. Modifiche

14.1 Il Responsabile ha facoltà di modificare il DPA al fine di:

  • recepire le modifiche tecniche all’interno del SaaS e dei Moduli rilevanti per mantenere aggiornato e esatto il contenuto dell’Allegato 1 (ad es., nel caso di introduzione di nuove funzionalità all’interno di un modulo o dell’inserimento di un nuovo Modulo nell’offerta commerciale di Compri);
  • aggiornare o modificare l’elenco delle misure di sicurezza di cui all’Allegato 2, fermo restando il mantenimento di livelli di sicurezza adeguati allo stato dell’arte e idonei a ridurre i rischi per i diritti e le libertà degli interessati;
  • aggiornare o modificare l’elenco dei Sub-responsabili di cui all’Allegato 3, fermo restando il rispetto degli obblighi di notifica e del diritto del Cliente di opposizione di cui alla clausola 9.

14.2 Le Modifiche saranno comunicate al Cliente con un preavviso di almeno 30 giorni dal momento della loro entrata in vigore, fatta eccezione per quelle di cui alla clausola 14.1(b) le quali saranno immediatamente efficaci al termine del periodo di opposizione concesso al Cliente ai sensi della clausola 9.2.

15. Responsabilità

15.1 Le Parti riconoscono e accettano che qualora una persona fisica interessata al trattamento lamenti, contro le Parti, di aver subito un danno – materiale o immateriale – causato da una violazione della Legislazione europea e nazionale:

  • la Parte a cui risulti direttamente imputabile la responsabilità della violazione, ai sensi dell’art. 82(2) GDPR, risponderà interamente per il danno materiale o immateriale cagionato all’Interessato dichiarando sin d’ora di manlevare e tenere indenne l’altra Parte, qualora non abbia adempiuto agli obblighi della Legislazione europea e nazionale ad essa specificamente diretti;
  • qualora Compri e il Cliente siano coinvolti nello stesso Trattamento e siano entrambi responsabili del danno causato, ai sensi dei commi 2 e 3 dell’art. 82 GDPR, ciascuno dei due sarà responsabile in solido per l’intero ammontare del danno, fermo, per entrambi, il diritto di rivalsa sull’altro per la quota di risarcimento allo stesso spettante in base al danno causato, come definito alla clausola 15.2;
  • nel caso in cui il danno causato al Danneggiato sia dovuto alla violazione delle disposizioni del presente Accordo per il Trattamento di Dati o della Legislazione europea e nazionale e sia imputabile interamente al Responsabile, Compri è tenuto a risarcire interamente il Cliente, qualora quest’ultimo abbia provveduto, in tutto o in parte, al risarcimento del danno al Danneggiato;
  • ciascuna Parte dovrà indennizzare o risarcire l’altra Parte qualora e nella misura in cui abbia contribuito a causare il danno lamentato dal Danneggiato o non abbia adottato appropriate misure di mitigazione, o abbia violato disposizioni del presente Accordo per il Trattamento di Dati o della Legislazione europea e nazionale.

15.2 Nel caso indicato alla clausola 15.1(c), la misura dell’indennizzo o del risarcimento, parametrata alla porzione di responsabilità in merito all’entità del danno cagionato è stabilita congiuntamente dalle Parti mediante accordo negoziato in buona fede.

16. Legge Regolatrice e Foro Competente

16.1 Le Parti assoggettano il DPA alla legge e alla giurisdizione scelte nell’Accordo. Pertanto, eventuali controversie o pretese che dovessero sorgere ai termini del presente DPA, incluse controversie relative alla sua esistenza, validità o cessazione o alle conseguenze della sua nullità, sono soggette al foro scelto nell’Accordo.

17. Disposizioni Finali

17.1 In caso di conflitto tra il presente DPA e l’Accordo, il primo prevale per le questioni attinenti al trattamento dei dati personali.

17.2 Per tutto quanto non espressamente previsto nel presente DPA, si rinvia alla Normativa Applicabile.

17.3 L’eventuale invalidità o inapplicabilità di una disposizione del presente DPA non incide sulle disposizioni restanti, che rimangono pienamente valide e vigenti. La disposizione invalida o inapplicabile viene (i) modificata nella misura necessaria ad assicurarne la validità e applicabilità, preservando per quanto possibile le intenzioni originarie delle Parti o, se ciò non fosse possibile, (ii) interpretata come se non fosse mai stata inserita nel corpo contrattuale.

17.4 Il Responsabile ha facoltà di espungere dalla documentazione e dalle informazioni fornite a seguito di richieste rivolte dal Cliente in forza del DPA, quelle informazioni la cui rivelazione potrebbe comportare, anche astrattamente, una violazione degli obblighi in materia di protezione dei dati personali cui è sottoposto il Responsabile o la divulgazione di informazioni sottoposte segreto industriale o comunque suscettibili di ledere il know-how aziendale del Responsabile.

Allegato 1 – Descrizione del Trattamento

Parte 1 – Caratteristiche generali del trattamento dei dati personali

Le seguenti informazioni si riferiscono a tutti i trattamenti di dati effettuati tramite il SaaS, indipendentemente dal modulo acquistato.

CampoDettagli
Natura del trattamentoFornitura del SaaS Compri
Finalità del trattamentoFornitura del servizio e dell’infrastruttura informatica di base
Durata del trattamentoPer tutto il periodo di utilizzo del SaaS da parte del Cliente, oltre eventuali trattamenti necessari per finalità di natura tecnica
Categorie di interessatiDipendenti del Cliente
Categorie di dati personaliDati identificativi (nome, cognome, posizione lavorativa); dati di contatto (indirizzi di posta elettronica); dati insiti nella gestione del sistema di comunicazione elettronica (indirizzo IP, dati del protocollo HTTPS); dati di navigazione; dati associati all’account utente
Dati sensibilin/a

Parte 2 – Caratteristiche dei trattamenti specifiche per i singoli moduli del SaaS

Le seguenti informazioni si riferiscono ai trattamenti di dati effettuati tramite specifici moduli del SaaS, da verificare sulla base di quelli effettivamente acquistati dal Cliente, e si devono considerare aggiuntive rispetto a quelle indicate nella Parte 1.

CampoDettagli
ModuloOrder Management & Visibility
Natura del trattamentoAnalisi degli ordini e delle attività relative ai singoli fornitori, tramite accesso all’IRP e alla casella di posta elettronica (del singolo dipendente o di gruppo) collegata all’account Compri
Categorie di interessatiDipendenti del Cliente; dipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali
Categorie di dati personaliDati identificativi (nome, cognome, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale); dati bancari e fiscali (P.IVA, IBAN); contenuto delle comunicazioni mail
Dati sensibilin/a
CampoDettagli
ModuloRequest For X
Natura del trattamentoInvio richieste di offerta a fornitori multipli
Categorie di interessatiDipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali
Categorie di dati personaliDati identificativi (nome, cognome); dati di contatto (indirizzi di posta elettronica)
Dati sensibilin/a
CampoDettagli
ModuloOnboarding
Natura del trattamentoGestione centralizzata del processo di onboarding e accreditamento dei fornitori
Categorie di interessatiDipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori e sindaci delle aziende fornitrici; familiari di amministratori e sindaci delle aziende fornitrici
Categorie di dati personaliDati identificativi (nome, cognome, posizione lavorativa); dati di contatto (indirizzi di posta elettronica); presenza o assenza di cause di incompatibilità; dichiarazioni ai fini della normativa antiriciclaggio
Dati sensibilin/a
CampoDettagli
ModuloCompliance
Natura del trattamentoGestione centralizzata dei processi aziendali di verifica della compliance normativa dei fornitori
Categorie di interessatiDipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali
Categorie di dati personaliDati identificativi (nome, cognome, posizione lavorativa); dati di contatto (indirizzi di posta elettronica)
Dati sensibilin/a
CampoDettagli
ModuloDocuments
Natura del trattamentoAccesso e gestione dei documenti relativi al rapporto con i fornitori
Categorie di interessatiDipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori dei fornitori del Cliente
Categorie di dati personaliDati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale); dati bancari e fiscali (P.IVA, IBAN); contenuto delle comunicazioni mail; firme autografe
Dati sensibilin/a
CampoDettagli
ModuloAnalytics
Natura del trattamentoAnalisi in forma aggregata delle informazioni relative alla gestione dei fornitori
Categorie di interessatiFornitori liberi professionisti o ditte individuali
Categorie di dati personaliDati identificativi (nome, cognome); dati di contatto (indirizzi di posta elettronica)
Dati sensibilin/a
CampoDettagli
ModuloVendor Management
Natura del trattamentoGestione in forma di dettaglio delle attività
Categorie di interessatiFornitori liberi professionisti o ditte individuali
Categorie di dati personaliDati identificativi (nome, cognome); dati di contatto (indirizzi di posta elettronica); merito creditizio
Dati sensibilin/a
CampoDettagli
ModuloInsights
Natura del trattamentoAnalisi delle spese gestite e delle posizioni fornitori per identificare possibilità di risparmio o marginalità
Categorie di interessatiDipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali
Categorie di dati personaliDati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)
Dati sensibilin/a
CampoDettagli
ModuloIntake Orchestration
Natura del trattamentoGestione internalizzata del processo di presentazione e validazione delle richieste di acquisto
Categorie di interessatiDipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali
Categorie di dati personaliDati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale)
Dati sensibilin/a
CampoDettagli
ModuloContracts
Natura del trattamentoGestione e analisi dei contratti
Categorie di interessatiDipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori dei fornitori del Cliente
Categorie di dati personaliDati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale); dati bancari e fiscali (P.IVA, IBAN); firme autografe
Dati sensibilin/a
CampoDettagli
ModuloDDT (documenti di trasporto)
Natura del trattamentoGestione e analisi dei documenti di trasporto
Categorie di interessatiDipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori dei fornitori del Cliente
Categorie di dati personaliDati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale); firme autografe
Dati sensibilin/a
CampoDettagli
ModuloProcurement AI Assistant
Natura del trattamentoAnalisi di documentazione e supporto tramite chatbot potenziato con Intelligenza Artificiale
Categorie di interessatiDipendenti dei fornitori del Cliente; fornitori liberi professionisti o ditte individuali; amministratori dei fornitori del Cliente
Categorie di dati personaliDati identificativi (nome, cognome, data di nascita, posizione lavorativa, inquadramento e dipartimento aziendale); dati di contatto (indirizzi di posta elettronica, numero di cellulare aziendale, indirizzo dell’attività imprenditoriale); altre informazioni costituenti dati personali contenute all’interno della documentazione inserita dall’utente
Dati sensibilin/a

Items: l’utilizzo del modulo “Items” non comporta il trattamento di dati personali.

Budget: l’utilizzo del modulo “Budget” non comporta il trattamento di dati personali.

Parte 3 – Servizi consulenziali aggiuntivi

Le seguenti informazioni si riferiscono ai trattamenti di dati effettuati nel caso in cui il Cliente attivi i servizi consulenziali e di supporto.

CampoDettagli
ModuloCustomer Success support premium
Natura del trattamentoAnalisi di documentazione e supporto tramite chatbot potenziato con Intelligenza Artificiale
Finalità del trattamentoErogazione dei servizi consulenziali
Durata del trattamentoPer tutta la durata dell’attività consulenziale
Categorie di interessatiTutte le categorie di interessati coinvolte nell’ambito dei Moduli acquistati dal Cliente
Categorie di dati personaliTutte le categorie di dati personali trattati nell’ambito dei Moduli acquistati dal Cliente
Dati sensibilin/a

Allegato 2 – Misure di Sicurezza

Sezione 1 – Certificazioni

  • ISO/IEC: 27001 Information security, cybersecurity and privacy protection — Information security management systems — Requirements

Sezione 2 – Elenco delle misure di sicurezza in essere

AmbitoCatalogazioneRequisito di dettaglio
Misure sicurezza Data CenterAccesso al Sistema o SW (autenticazione)Adozione di misure dirette a garantire che: - gli accessi di amministrazione da parte del Responsabile siano riservati al personale a cui sia attribuita la qualifica (“ruolo”) di amministratore di sistema, in virtù di elevate capacità tecniche e caratteristiche di comprovata affidabilità e moralità; - l’accesso amministrativo ai sistemi da parte del personale del Cliente avverrà attraverso procedure di autenticazione a più fattori (MFA).
Misure sicurezza Data CenterAccesso al Sistema o SW (policy di gestione)Per i servizi che prevedono una modalità di gestione amministrativa delle componenti infrastrutturali, devono essere previste le seguenti policy: - utenze che consentono l’individuazione dell’amministratore che esegue l’intervento; - attivazione di un processo di log management che identifichi i log in, log out e log in failed; - conservazione dei log in un formato che ne garantisca l’integrità e la lettura nel tempo; - conservazione dei log per almeno sei (6) mesi; - verifica annuale dell’operato degli amministratori di sistema; - accesso ai sistemi attraverso VPN e MFA.
Misure sicurezza Data CenterLog managementFunzionalità per il tracciamento o registrazione (log) degli accessi e delle attività svolte dagli Utenti. I log concernenti le attività svolte devono essere opportunamente protetti a garanzia della loro integrità e riservatezza. Tali funzionalità sono attivabili da parte dell’amministratore di sistema del Cliente o da Compri House su richiesta del Cliente.
Misure sicurezza Data CenterAuditingUtilizzo del sistema di gestione e analisi dei log anche per il monitoraggio delle attività degli amministratori di sistema. L’accesso al sistema di gestione dei log è riservato al personale avente ruolo di auditor e non è ammesso per il personale addetto all’amministrazione di sistema.
Misure sicurezza Data CenterCrittografia dei protocolli di comunicazioneApplicazione di protocolli crittografici standard di comunicazione sicuri e non obsoleti, nei casi in cui l’accesso al sistema sia effettuato tramite Internet.
Misure sicurezza Data CenterMinacce e VulnerabilitàAdozione di un programma di gestione delle minacce e dei rischi per monitorare continuamente le vulnerabilità delle Piattaforme SaaS indicate da best practice internazionali attraverso la pianificazione e l’esecuzione di scansioni delle vulnerabilità interne ed esterne e test di penetrazione. Le vulnerabilità identificate devono essere valutate per determinare i rischi associati e le opportune azioni correttive stabilite in base alla priorità assegnata e gravità rilevata.
Misure sicurezza Data CenterFirewallingAdozione di sistemi di firewall finalizzati a filtrare e contenere il traffico identificando eventuale traffico anomalo indicatore di possibili attacchi informatici.
Misure sicurezza Data CenterIntrusion PreventionProtezione dell’ambiente mediante cui è erogato il servizio del Responsabile mediante Intrusion Prevention System (IPS) che permettono di analizzare tutto il traffico in entrata individuando immediatamente i tentativi di attacco in corso. Il traffico di rete, su segmenti significativi della piattaforma, passa attraverso sistemi che ispezionano ogni pacchetto del traffico in transito.
Misure sicurezza Data CenterMalware protectionAdozione di misure di protezione da infezioni di software malevolo, di difesa da azioni non autorizzate, da applicazioni sospette e di protezione da tentativi di sottrazione di dati personali (es. mediante sistemi antivirus, antispamming, antiphishing, etc., mantenuti costantemente aggiornati).
Misure sicurezza Data CenterFilesystem AntivirusAdozione di moduli Antivirus sul filesystem su tutti i server utilizzati per la fornitura dei servizi, con possibilità di configurare, su base progettuale, prodotti antivirus specifici gestiti centralmente in termini di aggiornamento, distribuzione delle policy, avvio di scansioni on demand, notifiche e gestione della area di quarantena.
Misure sicurezza Data CenterMonitoraggio e gestione incidentiAdozione di policy e procedure per l’identificazione, gli interventi, i rimedi e le segnalazioni di incidenti che determinano un rischio per l’integrità o riservatezza dei dati personali o altre violazioni della sicurezza.
Misure sicurezza Data CenterSecurity Patch ManagementSottoposizione della piattaforma ad un processo periodico di verifica delle patch o delle fix disponibili relativamente alle componenti dell’impianto di erogazione e a quelle ritenute critiche per l’erogazione del servizio o per la sicurezza.
Misure sicurezza Data CenterSicurezza fisicaApplicazione di adeguate misure di sicurezza fisica alla piattaforma hardware/software progettata (es. utilizzo di hosting providers/servizi di data center dotati di adeguati sistemi di prevenzione del rischio intrusione, incendio, allagamento, ecc.).
Misure sicurezza Data CenterAnti allagamentoAdozione nell’ambito del Data Center di tutte le misure necessarie a prevenire allagamenti (quali presenza di sonde, impianti di allarme, ecc.).
Misure sicurezza Data CenterAnti intrusioneImpostazione nel Data Center di un sistema di controllo degli accessi che identifichi coloro che accedono e impedisca l’accesso ai non autorizzati. La procedura deve prevedere anche la gestione del Change con l’attivazione e disattivazione dell’autorizzazione all’accesso in funzione dei cambi di ruolo.
Misure sicurezza Data CenterTelecamere a circuito chiusoInstallazione di telecamere (CCTV) per il controllo del perimetro dell’edificio, degli ingressi, delle porte interbloccate e di eventuali altre zone critiche.
Misure sicurezza Data CenterCondizionamentoAdozione di adeguati impianti di condizionamento e di raffreddamento degli ambienti ed apparati.
Misure sicurezza Data CenterContinuità ed emergenzaAdozione di procedure e controlli da eseguire al fine di garantire il necessario livello di continuità e disponibilità del sistema/SW (in caso di incidente / violazione di dati personali). Le procedure devono comprendere le indicazioni per la conservazione delle copie di backup nonché un piano per il disaster recovery.
Misure sicurezza Data CenterCancellazione dei datiPrevisione di misure per la cancellazione dei dati di produzione al termine dell’erogazione del servizio secondo i termini contrattuali definiti con il Cliente.
Misure sicurezza Data CenterGestione sub-fornitoriSelezione e verifica dei requisiti del sub-fornitore che assume la gestione sistemistica dei server e dell’infrastruttura necessari allo svolgimento dei Servizi e sottoscrizione di un contratto che vincoli il medesimo sub-fornitore al rispetto degli obblighi concernenti le misure di sicurezza.
ConnettivitàLinee internet e bandaPrevisione di misure volte ad assicurare una connettività adeguata in conformità ai livelli di servizio contrattualmente definiti con il Cliente.
ConnettivitàFirewallingProtezione dell’accesso ai sistemi contro il rischio d’intrusione attraverso adeguate misure di firewalling.
Sicurezza reteAntiDDoSErogazione da parte del Data Center di un servizio in grado di rispondere in modo efficace alle problematiche create dagli attacchi (“DDoS”).
Sicurezza reteIDS/IPSAdozione di un sistema IPS (Intrusion Prevention System) in grado di bloccare automaticamente gli attacchi rilevati e IDS (Intrusion Detection System) in grado di intercettare le minacce fornendo così una protezione real-time ai servizi erogati dal Data Center.
GovernanceFormazioneErogazione periodica di corsi di formazione sulla sicurezza e protezione dei dati personali ai propri dipendenti coinvolti nelle attività di trattamento.
GovernanceUbicazione geograficaDichiarazione da parte di Compri nei confronti del Cliente dell’ubicazione geografica del DC e dei dati.
GovernanceData breachAdozione di procedure di individuazione, contenimento e risoluzione di situazioni di rischio (e.g. violazioni di dati personali) per la sicurezza dei dati e dei sistemi in fase post-intrusione.
GovernanceSicurezza logicaRivalutazione con cadenza almeno annuale delle misure e procedure di sicurezza applicate in modo da aggiornarle in relazione alle vulnerabilità rilevate, agli attacchi subiti e all’evoluzione della tecnologia.

Allegato 3 – Elenco dei Sub-responsabili del Trattamento

Sub-ResponsabileNatura del trattamentoTermini di servizio
Amazon Web ServicesCloud and host providinghttps://aws.amazon.com/it/service-terms/
Mongo DB LimitedServizio di gestione del databasehttps://www.mongodb.com/legal/terms-and-conditions/cloud
Microsoft IncFornitura del servizio di AI generativa Azure Servicehttps://www.microsoft.com/licensing/terms/product/ForOnlineServices/MCA
Anthropic PBCFornitura del servizio di AI generativa Claude APIhttps://www.anthropic.com/legal/data-processing-addendum
Google IncFornitura del servizio di AI generativa Google Gemini API tramite Google Studiohttps://business.safety.google/processorterms/
DataDogServizio di Observability and Security sul SaaShttps://www.datadoghq.com/legal/data-processing-addendum/