Accordo sul Trattamento dei Dati Personali (DPA) di Claresia

Il presente Accordo sul Trattamento dei Dati Personali ("DPA") forma parte integrante dell'MSA e disciplina il Trattamento dei Dati Personali da parte di Claresia S.r.l. ("Claresia", "Responsabile") per conto del Cliente ("Titolare") in relazione all'utilizzo da parte del Cliente della Claresia Agent Operations Platform (il "Servizio"). È redatto in conformità al Regolamento (UE) 2016/679 ("GDPR"), al Decreto Legislativo 196/2003 e successive modifiche ("Codice della Privacy"), ai provvedimenti vincolanti del Garante per la Protezione dei Dati Personali ("Garante"), alla Direttiva (UE) 2022/2555 recepita in Italia con D.Lgs. 138/2024 ("NIS2") e alla sentenza Schrems II della Corte di Giustizia dell'Unione Europea (causa C-311/18).

---

Articolo 1 — Definizioni

I termini in maiuscolo non definiti nel presente DPA assumono il significato attribuito dal GDPR. A scanso di equivoci:

• Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile, Trattata da Claresia per conto del Cliente in forza dell'MSA.
• Trattamento: qualsiasi operazione compiuta sui Dati Personali, automatizzata o meno.
• Interessato: la persona fisica identificata o identificabile cui i Dati Personali si riferiscono.
• Titolare: il Cliente, che determina le finalità e i mezzi del Trattamento.
• Responsabile: Claresia, che Tratta i Dati Personali per conto del Titolare.
• Sub-responsabile: qualsiasi terzo incaricato da Claresia di Trattare Dati Personali per conto del Titolare, elencato all'indirizzo https://claresia-trust.netlify.app/sub-processors.
• Dati del Cliente: tutti i dati che il Cliente o i suoi Utenti Autorizzati immettono o generano nel Servizio.
• Affiliata Autorizzata: ogni soggetto che controlla, è controllato da o è sotto comune controllo del Cliente e parte dell'MSA.
• Violazione dei Dati Personali: una violazione di sicurezza che comporti distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai Dati Personali (art. 4(12) GDPR).
• Clausole Contrattuali Tipo o CCT: le clausole di cui alla Decisione di Esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021.

Articolo 2 — Ambito e Durata

Il presente DPA si applica a tutti i Trattamenti di Dati Personali effettuati da Claresia nella prestazione del Servizio al Cliente. Entra in vigore alla Data di Decorrenza dell'MSA e rimane efficace fino alla risoluzione dell'MSA e all'adempimento degli obblighi di cui all'Articolo 14.

Articolo 3 — Ruoli e Responsabilità

Il Cliente è Titolare del Trattamento dei Dati del Cliente. Claresia è Responsabile del Trattamento e agisce esclusivamente sulla base di istruzioni documentate del Cliente. Qualora Claresia incarichi Sub-responsabili per specifiche attività di Trattamento, tali Sub-responsabili agiscono in qualità di sub-responsabili di Claresia e del Cliente.

Il Cliente garantisce di aver ottenuto tutti i consensi e le informative necessarie dagli Interessati e che le proprie istruzioni a Claresia rispettino la normativa applicabile. Claresia informerà il Cliente qualora, a suo parere, un'istruzione violi il GDPR.

Articolo 4 — Categorie di Interessati e di Dati Personali

Categorie di Interessati: dipendenti, collaboratori, partner e altri Utenti Autorizzati del Cliente; utenti finali ai quali sono erogati i servizi del Cliente; soggetti menzionati nei documenti di business immessi nel Servizio.

Categorie di Dati Personali: dati identificativi (nome, indirizzo e-mail, identificativo dipendente, ruolo organizzativo, gerarchia di riporto); dati professionali; metadati di comunicazione; contenuto di artefatti aziendali ingeriti o generati attraverso il Servizio. Claresia non Tratta Categorie Particolari di Dati Personali (art. 9 GDPR) per progettazione.

Articolo 5 — Istruzioni di Trattamento

Claresia Tratta i Dati Personali esclusivamente nella misura necessaria a (a) erogare il Servizio in base all'MSA, (b) attenersi alle istruzioni documentate del Cliente, (c) adempiere alla normativa applicabile.

Articolo 6 — Riservatezza

Claresia garantisce che tutto il personale autorizzato a Trattare Dati Personali sia vincolato da appropriati obblighi scritti di riservatezza. L'accesso è concesso secondo il principio del bisogno di sapere ed è registrato nella catena di audit governance (Pilastro SCUDO C — Catena di custodia).

Articolo 7 — Sicurezza del Trattamento

Claresia attua e mantiene misure tecniche e organizzative adeguate al rischio. L'inventario completo è riportato nell'Allegato II. In sintesi:

• Cifratura: AES-256 a riposo, TLS 1.3 in transito, CMEK per tenant in Mode B/C.
• Controllo degli accessi: SSO via WorkOS con MFA, RBAC a privilegio minimo, deprovisioning SCIM 2.0.
• Controlli di rete: isolamento per tenant, allowlisting IP, endpoint privati in Mode B/C.
• Audit: catena crittografica SHA-256 conservata sette (7) anni, streaming SIEM per tenant.
• BCDR: RPO ≤ 1h, RTO ≤ 4h Mode A/B, replica Milano → Francoforte.
• SDLC sicuro: peer review, SAST + SCA + scansione segreti, penetration test annuale, bug bounty.
• Gestione Sub-responsabili: revisione preventiva, rivalutazione annuale, preavviso di trenta (30) giorni.

Articolo 8 — Sub-trattamento

Il Cliente autorizza Claresia ad incaricare i Sub-responsabili elencati all'indirizzo https://claresia-trust.netlify.app/sub-processors. Claresia mantiene la lista aggiornata.

Claresia fornirà al Cliente preavviso scritto di trenta (30) giorni di qualsiasi aggiunta o sostituzione. Il Cliente potrà opporsi per iscritto entro tale termine sulla base di motivi ragionevoli e documentati attinenti alla protezione dei dati; in mancanza di soluzione, il Cliente potrà recedere dalla porzione di Servizio interessata senza penale.

Claresia impone a ciascun Sub-responsabile obblighi non meno protettivi e resta integralmente responsabile del loro operato.

Articolo 9 — Diritti degli Interessati

Il Cliente è responsabile della risposta alle richieste degli Interessati ai sensi degli artt. 12-23 GDPR. Claresia assisterà il Cliente con misure tecniche e organizzative adeguate. Claresia mette a disposizione nel Command Center strumenti self-service per esportazione, rettifica e cancellazione.

Articolo 10 — Valutazione di Impatto e Consultazione Preventiva

Claresia fornisce al Cliente le informazioni ragionevolmente disponibili per la DPIA ai sensi dell'art. 35 GDPR e per la consultazione preventiva ai sensi dell'art. 36 GDPR. La documentazione tecnica AI Act Allegato IV (auto-generata per tenant ai sensi del Pilastro SCUDO U) costituisce uno di tali input.

Articolo 11 — Notifica di Violazione di Dati Personali

Claresia notificherà al Cliente, senza ingiustificato ritardo e comunque entro settantadue (72) ore, qualsiasi Violazione di Dati Personali. La notifica descriverà natura, conseguenze, misure adottate e contatti del DPO di Claresia.

Qualora la normativa italiana richieda la notifica diretta al Garante (art. 33 GDPR e art. 34 NIS2), il Cliente resta responsabile di tale notifica; Claresia coopererà come richiesto.

Articolo 12 — Trasferimenti Transfrontalieri

La regione di Trattamento di default è lo SEE, con l'Italia (eu-south-1 Milano) come regione primaria per i Clienti italiani. Per trasferimenti verso Paesi terzi senza decisione di adeguatezza si applicano le CCT come segue:

• CCT Modulo 2 (Titolare a Responsabile) — trasferimento Cliente-Claresia.
• CCT Modulo 3 (Responsabile a Sub-responsabile) — trasferimento Claresia-Sub-responsabile.
• UK International Data Transfer Addendum — laddove vi siano dati britannici.

Claresia conduce e documenta una Transfer Impact Assessment ("TIA") per ciascun Sub-responsabile in Paese terzo ed applica misure tecniche supplementari (pseudonimizzazione, cifratura con chiavi nello SEE, restrizioni di egress per tenant tramite gateway ai sensi del Pilastro SCUDO D).

Articolo 13 — Diritto di Audit

Claresia mette a disposizione la più recente relazione SOC 2 Tipo 2, il certificato ISO 27001:2022, il certificato ISO 42001:2023 (quando rilasciato) e l'Allegato II TOM. Il Cliente accetta tali relazioni come prova sufficiente di conformità ai fini di audit ordinari.

Per audit specifici aggiuntivi, il Cliente fornirà preavviso scritto di sessanta (60) giorni. L'audit avverrà in orario lavorativo, soggetto a riservatezza.

Articolo 14 — Restituzione e Cancellazione dei Dati Personali

Alla risoluzione o scadenza dell'MSA, Claresia, a scelta del Cliente, restituirà o cancellerà tutti i Dati del Cliente entro trenta (30) giorni, salvo quanto richiesto dalla legge applicabile. Su richiesta verrà rilasciato un Certificato di Cancellazione. Le copie di backup sono cancellate entro novanta (90) giorni.

Articolo 15 — Responsabilità e Manleva

La responsabilità aggregata di ciascuna Parte è disciplinata dalle limitazioni di responsabilità previste dall'MSA. Nulla limita la responsabilità che non possa essere esclusa ai sensi della legge applicabile.

Articolo 16 — Addendum Italiano

16.1 Statuto dei Lavoratori (Legge 300/1970), art. 4 — Controllo dei Lavoratori

Claresia riconosce che il Servizio include la telemetria per dipendente sull'invocazione di skill (cc-064 Telemetry Pipeline) la quale costituisce controllo indiretto dei lavoratori ai sensi del diritto italiano. Il Cliente dichiara e garantisce che, prima di rendere il Servizio disponibile a dipendenti basati in Italia, abbia (a) sottoscritto un accordo scritto con la RSU/RSA, oppure (b) ottenuto autorizzazione dall'Ispettorato Territoriale del Lavoro. Claresia mette a disposizione una modalità "Soppressione Telemetria" con dati per dipendente sottoposti a hashing e aggregati in metriche di coorte; attivabile dal Cliente in qualsiasi momento e senza costi aggiuntivi.

16.2 Provvedimenti del Garante

Claresia si impegna a monitorare ed allineare la propria postura ai provvedimenti vincolanti del Garante: provv. n. 232/2024 (controllo dei lavoratori nei sistemi di IA aziendali), decisione 2023 su ChatGPT, provv. 2024 sui sistemi biometrici, provvedimento sui cookie. Aggiornamenti sostanziali con preavviso di trenta (30) giorni.

16.3 Recapito del DPO Italiano

Il DPO di Claresia è raggiungibile all'indirizzo dpo@claresia.com e presso la sede legale di Claresia S.r.l. in Milano.

16.4 Foro Italiano Competente

Laddove sia eletto il diritto italiano, il Tribunale Ordinario di Milano avrà giurisdizione esclusiva sulle controversie inerenti il presente DPA.

Articolo 17 — Legge Applicabile

Il presente DPA è regolato dalla legge italiana qualora il Cliente sia stabilito in Italia. Per gli altri Clienti, dalla legge eletta nell'MSA, fermo restando che, per le materie GDPR, si applica la legge dello Stato Membro SEE dell'Interessato.

Allegato I — Descrizione del Trattamento

• Oggetto: erogazione della Claresia Agent Operations Platform.
• Durata: Termine MSA + periodo di cancellazione (Art. 14).
• Natura e finalità: hosting, elaborazione e fornitura di skill, agenti ed output AI configurati dal Cliente, telemetria, audit.
• Categorie di Dati Personali: come da Articolo 4.
• Categorie di Interessati: come da Articolo 4.
• Frequenza: continuativa per la durata di utilizzo del Servizio.
• Conservazione: Dati del Cliente per la durata MSA + Art. 14; catena di audit sette (7) anni (art. 12 EU AI Act, Pilastro SCUDO C).

Allegato II — Misure Tecniche e Organizzative (TOM)

Allineate alla checklist ENISA TOM e all'Annex A della ISO/IEC 27001:2022.

1. Pseudonimizzazione e cifratura — AES-256 a riposo, TLS 1.3 in transito, CMEK per tenant in Mode B/C, redazione PII al Gateway LLM (Pilastro SCUDO D).
2. Riservatezza, integrità, disponibilità e resilienza — Postgres multi-AZ, quote risorse per tenant, OpenTelemetry, SLA 99,9% Mode B.
3. Ripristino disponibilità e accesso — RPO 1h / RTO 4h Mode B; failover Milano → Francoforte; esercitazioni DR trimestrali.
4. Test, valutazione e riesame — penetration test annuale, SAST + SCA + scansione segreti continua, revisione accessi mensile.
5. Backup e conservazione — backup giornalieri cifrati, rotazione 90 giorni, replica cross-region.
6. Identità, accesso e autenticazione — SSO WorkOS, SCIM 2.0, MFA via IdP, accessi privilegiati just-in-time.
7. Sicurezza fisica — provider cloud certificati ISO 27001 + SOC 2; accessi a zone riservate registrati.
8. Gestione fornitori e sub-responsabili — risk assessment preventivo, rivalutazione annuale, flow-down GDPR + NIS2.

Allegato III — Lista dei Sub-responsabili

Lista live mantenuta all'indirizzo https://claresia-trust.netlify.app/sub-processors con: nome, categoria, finalità, regione, categorie di dati, stato contratto, URL DPA, flag zero-retention, data ultimo riesame.

Allegato IV — Clausole Contrattuali Tipo

Le CCT di cui alla Decisione di Esecuzione (UE) 2021/914 sono incorporate per riferimento. Modulo 2: trasferimento Cliente-Claresia. Modulo 3: trasferimento Claresia-Sub-responsabile. Docking Clause abilitata. Clausole Opzionali 7 e 11 accettate. UK IDTA incorporato laddove applicabile.

Allegato V — Dichiarazione di Conformità ai Provvedimenti del Garante

Claresia si impegna alla forza interpretativa vincolante dei provvedimenti del Garante in contesti lavorativi, di marketing e consumer. In caso di nuovo provvedimento materiale, notifica entro trenta (30) giorni e aggiornamento del DPA al successivo ciclo trimestrale.

---