Accordo sul Trattamento dei Dati

Data Processing Agreement (DPA) — art. 28 GDPR

Versione: 1.0 In vigore dal: 01/07/2026 Responsabile: Mendogni & Partners S.r.l.

Il presente Accordo disciplina il trattamento dei dati personali che il Cliente (Titolare) immette nella Piattaforma e che Mendogni & Partners S.r.l. (Responsabile) tratta per suo conto. Costituisce parte integrante delle Condizioni Generali di Servizio.

Qualora tra il Cliente e il Fornitore sia stato sottoscritto un distinto accordo sul trattamento dei dati negoziato e firmato, le previsioni di quest'ultimo prevalgono sul presente Accordo per ogni eventuale contrasto. In tal caso il presente Accordo si intende integrato e cede il passo, limitatamente ai punti difformi, al DPA sottoscritto.

1.Definizioni e ruoli

Il Cliente agisce quale Titolare del trattamento dei dati personali contenuti nei Contenuti caricati. Il Fornitore agisce quale Responsabile del trattamento e tratta tali dati esclusivamente su istruzione documentata del Titolare. I termini non definiti hanno il significato attribuito dal GDPR e dalle Condizioni di Servizio.

2.Oggetto, durata, natura e finalità

3.Istruzioni documentate

Il Fornitore tratta i dati solo su istruzione documentata del Titolare, costituita dalle Condizioni di Servizio, dal presente Accordo e dalle operazioni che il Titolare compie tramite la Piattaforma. Il Fornitore informa il Titolare qualora un'istruzione violi, a suo avviso, la normativa applicabile.

4.Riservatezza

Il Fornitore garantisce che le persone autorizzate al trattamento sono vincolate ad adeguato obbligo di riservatezza.

5.Misure di sicurezza (art. 32)

Il Fornitore adotta le misure tecniche e organizzative adeguate descritte nell'Allegato B, tra cui il mascheramento delle informazioni identificative, lo screening preliminare dei documenti e il blocco predefinito (default-deny) dei file non riconosciuti o contenenti categorie particolari, da intendersi quali misure best-effort e non quali garanzia di risultato.

6.Sub-responsabili e livello AI

Il Titolare autorizza il Fornitore a ricorrere ai sub-responsabili elencati nell'Allegato C. Il Fornitore informa il Titolare di variazioni con congruo preavviso, consentendo l'opposizione per motivi ragionevoli. Il Fornitore impone ai sub-responsabili obblighi di protezione dei dati equivalenti.

Il ruolo del fornitore dei modelli AI (Anthropic, PBC) dipende dalla modalità operativa scelta dal Cliente:

7.Assistenza al Titolare

Tenuto conto della natura del trattamento, il Fornitore assiste il Titolare con misure adeguate per il riscontro alle richieste degli interessati (artt. 15–22) e per gli adempimenti di cui agli artt. 32–36 (sicurezza, notifica violazioni, DPIA, consultazione preventiva).

8.Violazioni dei dati (data breach)

Il Fornitore notifica al Titolare, senza ingiustificato ritardo dopo esserne venuto a conoscenza, ogni violazione di dati personali che lo riguardi, fornendo le informazioni ragionevolmente disponibili per consentire al Titolare gli adempimenti ex artt. 33–34. In modalità Enterprise, le violazioni relative al livello AI sono gestite da Anthropic direttamente verso il Cliente.

9.Cessazione — restituzione e cancellazione

Alla cessazione del rapporto, su scelta del Titolare, il Fornitore restituisce o cancella i dati personali trattati, salvo obblighi di conservazione di legge. Il Titolare può esportare i propri Contenuti prima della cessazione.

10.Audit

Il Fornitore mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto dell'art. 28 e consente attività di audit, ivi comprese ispezioni, condotte dal Titolare o da un incaricato vincolato a riservatezza. L'audit può essere richiesto non più di una volta ogni dodici mesi (salvo incidente accertato o richiesta di autorità), con preavviso scritto di almeno 30 giorni, durante l'orario lavorativo, senza pregiudizio per la continuità del Servizio e nel rispetto della riservatezza degli altri clienti del Servizio multi-tenant. I costi ragionevoli sostenuti dal Fornitore per l'assistenza all'audit sono a carico del Titolare.

11.Trasferimenti extra-UE

In modalità Standard, il trasferimento dei dati verso gli USA per il livello AI avviene sulla base delle Clausole Contrattuali Standard (SCC) ex art. 46 GDPR e delle misure supplementari applicabili, come dettagliato nell'Allegato C. Prima dell'invio ai modelli è applicato il mascheramento delle informazioni identificative; i dati trasmessi tramite API non sono utilizzati per l'addestramento dei modelli. In modalità Enterprise, il trasferimento connesso al livello AI è regolato direttamente dall'accordo tra Cliente e Anthropic. Per i servizi resi dal Fornitore, eventuali ulteriori trasferimenti verso Paesi terzi avvengono sulla base delle SCC ex art. 46 GDPR.

A.Allegato A — Dettaglio del trattamento

VoceContenuto
Categorie di interessatiSoggetti i cui dati personali sono contenuti nei documenti che il Cliente carica sulla Piattaforma nell'ambito dei propri processi di amministrazione, finanza e controllo (tipicamente: dipendenti, clienti, fornitori, collaboratori, contatti aziendali).
Categorie di datiDati identificativi, di contatto, economico-finanziari, contabili e gestionali contenuti nei documenti caricati dal Cliente.
Categorie escluseCategorie particolari (art. 9) e dati giudiziari (art. 10) — vietate
OperazioniRaccolta effimera, analisi, elaborazione, generazione di output, cancellazione

B.Allegato B — Misure tecniche e organizzative (art. 32)

C.Allegato C — Sub-responsabili autorizzati

Sub-responsabileFunzionePaeseGaranzie trasferimentoApplicabilità
Anthropic, PBCModelli AI / inferenzaUSASCC + DPA Anthropic; no training; PII masking a monteSolo in Modalità Standard

L'infrastruttura del Fornitore è ospitata in data center localizzati nell'Unione Europea. Il fornitore di servizi tecnici di data center non accede ai dati e non tratta dati personali per conto del Fornitore, pertanto non figura tra i sub-responsabili ex art. 28. In Modalità Enterprise Anthropic non compare in questo elenco: è responsabile del trattamento direttamente del Cliente, non sub-responsabile del Fornitore.