# Accordo sul Trattamento dei Dati Personali (DPA) di Claresia

**Versione**: 1.0 — BOZZA 2026-04-27
**Stato**: BOZZA — In attesa della revisione legale da parte di consulente esterno italiano. Il presente documento è fornito come base negoziale e non reca ancora la sottoscrizione del legale rappresentante autorizzato di Claresia.
**Strumento contrattuale di riferimento**: Master Subscription Agreement ("MSA") tra il Cliente e Claresia S.r.l.
**Lingua del documento**: italiano. È disponibile una traduzione di cortesia in inglese; in caso di conflitto prevale la versione italiana ai fini dell'esecuzione tra parti soggette al diritto italiano. La presente è traduzione di cortesia della versione inglese ai sensi dell'art. 17; la versione inglese controlla salvo elezione del diritto italiano.

Il presente Accordo sul Trattamento dei Dati Personali ("DPA") forma parte integrante dell'MSA e disciplina il Trattamento dei Dati Personali da parte di Claresia S.r.l. ("Claresia", "Responsabile") per conto del Cliente ("Titolare") in relazione all'utilizzo da parte del Cliente della Claresia Agent Operations Platform (il "Servizio"). È redatto in conformità al Regolamento (UE) 2016/679 ("GDPR"), al Decreto Legislativo 196/2003 e successive modifiche ("Codice della Privacy"), ai provvedimenti vincolanti del Garante per la Protezione dei Dati Personali ("Garante"), alla Direttiva (UE) 2022/2555 recepita in Italia con D.Lgs. 138/2024 ("NIS2") e alla sentenza Schrems II della Corte di Giustizia dell'Unione Europea (causa C-311/18).

---

## Articolo 1 — Definizioni

I termini in maiuscolo non definiti nel presente DPA assumono il significato attribuito dal GDPR. A scanso di equivoci:

- **Dati Personali**: qualsiasi informazione riguardante una persona fisica identificata o identificabile, Trattata da Claresia per conto del Cliente in forza dell'MSA.
- **Trattamento**: qualsiasi operazione compiuta sui Dati Personali, automatizzata o meno, ivi inclusi raccolta, conservazione, consultazione, uso, divulgazione, cancellazione.
- **Interessato**: la persona fisica identificata o identificabile cui i Dati Personali si riferiscono.
- **Titolare**: il Cliente, che determina le finalità e i mezzi del Trattamento.
- **Responsabile**: Claresia, che Tratta i Dati Personali per conto del Titolare.
- **Sub-responsabile**: qualsiasi terzo incaricato da Claresia di Trattare Dati Personali per conto del Titolare, elencato all'indirizzo https://claresia-trust.netlify.app/sub-processors.
- **Dati del Cliente**: tutti i dati che il Cliente o i suoi Utenti Autorizzati immettono o generano nel Servizio, ivi inclusi i Dati Personali.
- **Affiliata Autorizzata**: ogni soggetto che controlla, è controllato da o è sotto comune controllo del Cliente e parte dell'MSA.
- **Violazione dei Dati Personali**: una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai Dati Personali, come definito all'art. 4(12) GDPR.
- **Clausole Contrattuali Tipo** o **CCT**: le clausole contrattuali tipo di cui alla Decisione di Esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 per il trasferimento di dati personali verso Paesi terzi.

## Articolo 2 — Ambito e Durata

Il presente DPA si applica a tutti i Trattamenti di Dati Personali effettuati da Claresia nella prestazione del Servizio al Cliente. Entra in vigore alla Data di Decorrenza dell'MSA e rimane efficace fino alla risoluzione dell'MSA e all'adempimento degli obblighi di restituzione / cancellazione di cui all'Articolo 14.

## Articolo 3 — Ruoli e Responsabilità

Il Cliente è Titolare del Trattamento dei Dati del Cliente. Claresia è Responsabile del Trattamento e agisce esclusivamente sulla base di istruzioni documentate del Cliente. Qualora Claresia incarichi Sub-responsabili per specifiche attività di Trattamento, tali Sub-responsabili agiscono in qualità di sub-responsabili di Claresia e del Cliente.

Il Cliente garantisce di aver ottenuto tutti i consensi e le informative necessarie dagli Interessati e che le proprie istruzioni a Claresia rispettino la normativa applicabile. Claresia informerà il Cliente qualora, a suo parere, un'istruzione violi il GDPR o altra normativa applicabile in materia di protezione dei dati.

## Articolo 4 — Categorie di Interessati e di Dati Personali

**Categorie di Interessati**: dipendenti, collaboratori, partner e altri Utenti Autorizzati del Cliente; utenti finali ai quali sono erogati i servizi del Cliente; soggetti menzionati nei documenti di business immessi nel Servizio.

**Categorie di Dati Personali**: dati identificativi (nome, indirizzo e-mail, identificativo dipendente, ruolo organizzativo, gerarchia di riporto); dati professionali (competenze, certificazioni, output lavorativi); metadati di comunicazione (timestamp, canali, fingerprint del dispositivo nella misura strettamente necessaria alla sicurezza); contenuto di artefatti aziendali ingeriti o generati attraverso il Servizio. Claresia non Tratta Categorie Particolari di Dati Personali (art. 9 GDPR) per progettazione; il Cliente garantisce di non immettere Categorie Particolari senza preventivo accordo scritto che istituisca ulteriori garanzie.

## Articolo 5 — Istruzioni di Trattamento

Claresia Tratta i Dati Personali esclusivamente nella misura necessaria a (a) erogare il Servizio in base all'MSA, (b) attenersi alle istruzioni documentate del Cliente, ivi incluse quelle contenute nel presente DPA e nella configurazione del Portale di Onboarding, (c) adempiere alla normativa applicabile (con preavviso al Cliente ove consentito dalla legge). L'MSA, il presente DPA e le configurazioni effettuate dal Cliente attraverso il Servizio costituiscono l'integralità delle istruzioni documentate.

## Articolo 6 — Riservatezza

Claresia garantisce che tutto il personale autorizzato a Trattare Dati Personali sia vincolato da appropriati obblighi scritti di riservatezza o da analogo obbligo legale. L'accesso ai Dati Personali è concesso secondo il principio del bisogno di sapere ed è registrato nella catena di audit governance di Claresia (cfr. framework SCUDO, Pilastro C — Catena di custodia).

## Articolo 7 — Sicurezza del Trattamento

Claresia attua e mantiene misure tecniche e organizzative adeguate ad assicurare un livello di sicurezza adeguato al rischio, tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del Trattamento. L'inventario completo è riportato nell'**Allegato II**. In sintesi:

- **Cifratura**: AES-256 a riposo per tutti i Dati del Cliente; TLS 1.3 in transito; CMEK per tenant nelle modalità di deployment Mode B e Mode C.
- **Controllo degli accessi**: SSO via WorkOS con MFA imposta tramite l'IdP del Cliente; controllo accessi basato sui ruoli con default a privilegio minimo; deprovisioning SCIM 2.0 alla rimozione dell'identità.
- **Controlli di rete**: isolamento di rete per tenant; allowlisting IP disponibile; endpoint di rete privati (AWS PrivateLink / Azure Private Link / GCP Private Service Connect) in Mode B/C.
- **Audit**: catena di audit crittografica (in stile Merkle SHA-256) di ogni azione privilegiata, conservata per sette (7) anni; streaming SIEM per tenant.
- **Continuità Operativa e Disaster Recovery (BCDR)**: RPO ≤ 1 ora, RTO ≤ 4 ore per Mode A/B; replica cross-region (eu-south-1 Milano primaria, eu-central-1 Francoforte di failover per i clienti UE).
- **Ciclo di sviluppo sicuro**: revisione fra pari per ogni modifica; SAST + SCA + scansione dei segreti in CI; penetration test annuale di terze parti; programma di bug bounty.
- **Gestione dei Sub-responsabili**: revisione di sicurezza del fornitore prima dell'onboarding; rivalutazione annuale; preavviso di trenta (30) giorni per i nuovi sub-responsabili ai sensi dell'Articolo 8.

## Articolo 8 — Sub-trattamento

Il Cliente autorizza Claresia ad incaricare i Sub-responsabili elencati all'indirizzo https://claresia-trust.netlify.app/sub-processors. Claresia mantiene la lista aggiornata con stato di deployment (attivo / pianificato), categorie di dati Trattati, regione di trattamento e accordo applicabile in materia di protezione dei dati.

Claresia fornirà al Cliente preavviso scritto di trenta (30) giorni (tramite la sottoscrizione del Trust Center, banner in-app ed e-mail al referente nominato dal Cliente) di qualsiasi aggiunta o sostituzione prevista nell'elenco dei Sub-responsabili. Il Cliente potrà opporsi per iscritto entro tale termine sulla base di motivi ragionevoli e documentati attinenti alla protezione dei dati; le parti cercheranno una soluzione in buona fede; in mancanza di soluzione, il Cliente potrà recedere dalla porzione di Servizio interessata senza penale.

Claresia impone a ciascun Sub-responsabile obblighi di protezione dei dati non meno protettivi di quelli del presente DPA e resta integralmente responsabile nei confronti del Cliente per l'operato di ciascun Sub-responsabile.

## Articolo 9 — Diritti degli Interessati

Il Cliente è responsabile della risposta alle richieste degli Interessati ai sensi degli artt. 12-23 GDPR. Claresia, tenuto conto della natura del Trattamento, assisterà il Cliente con misure tecniche e organizzative adeguate, nella misura del possibile, per adempiere all'obbligo di rispondere. Claresia mette a disposizione nel Command Center strumenti self-service per la gestione delle richieste degli Interessati relative a esportazione, rettifica e cancellazione dei Dati Personali riconducibili a un singolo Interessato.

## Articolo 10 — Valutazione di Impatto e Consultazione Preventiva

Claresia fornisce al Cliente tutte le informazioni ragionevolmente disponibili necessarie all'effettuazione di una Valutazione di Impatto sulla Protezione dei Dati ai sensi dell'art. 35 GDPR e, ove applicabile, di una consultazione preventiva ai sensi dell'art. 36 GDPR. La documentazione tecnica AI Act Allegato IV di Claresia (auto-generata per tenant ai sensi del Pilastro SCUDO U — Uso conforme) costituisce uno di tali input.

## Articolo 11 — Notifica di Violazione di Dati Personali

Claresia notificherà al Cliente, senza ingiustificato ritardo e comunque entro settantadue (72) ore dal momento in cui ne sia venuta a conoscenza, qualsiasi Violazione di Dati Personali che riguardi Dati del Cliente. La notifica descriverà (a) la natura della violazione, ivi incluse le categorie ed il numero approssimativo di Interessati e di registrazioni interessate, (b) le probabili conseguenze, (c) le misure adottate o proposte per affrontare la violazione e mitigarne gli effetti negativi, e (d) il nome e i contatti del Data Protection Officer (DPO) di Claresia.

Qualora la normativa italiana o di altro Stato Membro richieda la notifica diretta all'autorità di controllo (Garante ai sensi dell'art. 33 GDPR e art. 34 NIS2), il Cliente resta responsabile di tale notifica; Claresia coopererà come richiesto e, su richiesta del Cliente, fornirà una bozza di narrazione della notifica.

## Articolo 12 — Trasferimenti Transfrontalieri

La regione di Trattamento di default è lo Spazio Economico Europeo, con l'Italia (`eu-south-1` Milano) come regione primaria per i Clienti italiani. Qualora i Dati Personali siano trasferiti verso un Paese terzo al di fuori del SEE in assenza di una decisione di adeguatezza ai sensi dell'art. 45 GDPR, Claresia ed il Cliente si avvalgono delle Clausole Contrattuali Tipo, incorporate per riferimento nel presente DPA come segue:

- **CCT Modulo 2 (Titolare a Responsabile)** — si applica laddove il Cliente trasferisca Dati Personali a Claresia al di fuori del SEE.
- **CCT Modulo 3 (Responsabile a Sub-responsabile)** — si applica laddove Claresia trasferisca Dati Personali a un Sub-responsabile al di fuori del SEE.
- **United Kingdom International Data Transfer Addendum** — incorporato laddove i trasferimenti riguardino Dati Personali britannici.

Claresia conduce e documenta una Transfer Impact Assessment ("TIA") per ciascun Sub-responsabile situato in Paese terzo ed applica misure tecniche supplementari (ivi inclusa la pseudonimizzazione, la cifratura con chiavi detenute nello SEE e le restrizioni di egress per tenant tramite il gateway ai sensi del Pilastro SCUDO D — Dati controllati). Claresia allinea la propria postura sui trasferimenti verso Paesi terzi all'interpretazione di Schrems II del Garante e al Codice della Privacy italiano.

## Articolo 13 — Diritto di Audit

Claresia mette a disposizione del Cliente la più recente relazione SOC 2 Tipo 2, il certificato ISO 27001:2022, il certificato ISO 42001:2023 (quando rilasciato) e l'Allegato II Misure Tecniche e Organizzative. Il Cliente accetta tali relazioni come prova sufficiente di conformità ai fini di audit ordinari.

Qualora il regolatore del Cliente o la legge applicabile richiedano un audit in loco o da remoto specifico, oltre alle relazioni standard, il Cliente fornirà a Claresia preavviso scritto di sessanta (60) giorni. L'audit avverrà in orario lavorativo, non interferirà irragionevolmente con le operazioni di Claresia e sarà soggetto a riservatezza. Il Cliente sosterrà i propri costi e i ragionevoli costi di cooperazione di Claresia, salvo che l'audit riveli una non conformità sostanziale.

## Articolo 14 — Restituzione e Cancellazione dei Dati Personali

In caso di risoluzione o scadenza dell'MSA, Claresia, a scelta del Cliente, restituirà tutti i Dati del Cliente al Cliente o cancellerà tutti i Dati del Cliente entro trenta (30) giorni, salvo nella misura in cui la legge applicabile imponga la conservazione. Su richiesta del Cliente verrà rilasciato un Certificato di Cancellazione. Le copie di backup vengono cancellate secondo il programma di rotazione dei backup documentato nell'Allegato II §5 (non oltre novanta (90) giorni).

## Articolo 15 — Responsabilità e Manleva

La responsabilità aggregata di ciascuna Parte ai sensi del presente DPA è disciplinata e soggetta alle limitazioni di responsabilità previste dall'MSA. Nulla nel presente DPA limita la responsabilità che non possa essere esclusa ai sensi della legge applicabile.

## Articolo 16 — Addendum Italiano

Le seguenti disposizioni si applicano ai Clienti italiani e ai Trattamenti che attivino obblighi regolatori italiani.

**16.1 Statuto dei Lavoratori (Legge 300/1970), art. 4 — Controllo dei Lavoratori.** Claresia riconosce che il Servizio include la telemetria per dipendente sull'invocazione di skill (cc-064 Telemetry Pipeline) la quale costituisce controllo indiretto dei lavoratori ai sensi del diritto italiano. Il Cliente dichiara e garantisce che, prima di rendere il Servizio disponibile a dipendenti basati in Italia, abbia (a) sottoscritto un accordo scritto con la Rappresentanza Sindacale Unitaria (RSU) o le Rappresentanze Sindacali Aziendali (RSA), oppure (b) ottenuto autorizzazione dall'Ispettorato Territoriale del Lavoro. Claresia mette a disposizione nel Command Center una modalità "Soppressione Telemetria" attivabile dal Cliente in qualsiasi momento e senza costi aggiuntivi, in cui i dati per dipendente sono sottoposti a hashing e aggregati in metriche di coorte.

**16.2 Provvedimenti del Garante.** Claresia si impegna a monitorare ed allineare la propria postura di Trattamento ai provvedimenti vincolanti del Garante, ivi inclusi a titolo esemplificativo: il provv. n. 232/2024 (controllo dei lavoratori nei sistemi di IA aziendali), la decisione 2023 su ChatGPT e le successive linee guida, i provv. 2024 sui sistemi di IA biometrici e il provvedimento sui cookie. Gli aggiornamenti sostanziali sono recepiti nel presente DPA con preavviso di trenta (30) giorni.

**16.3 Recapito del Data Protection Officer (DPO) Italiano.** Il DPO di Claresia è raggiungibile all'indirizzo `dpo@claresia.com` e presso la sede legale di Claresia S.r.l. in Milano, Italia.

**16.4 Foro Italiano Competente.** Laddove in base all'Articolo 17 sia eletto il diritto italiano, il Tribunale Ordinario di Milano avrà giurisdizione esclusiva sulle controversie inerenti il presente DPA.

## Articolo 17 — Legge Applicabile

Il presente DPA è regolato dalla legge italiana qualora il Cliente sia stabilito in Italia. Per gli altri Clienti, il presente DPA è regolato dalla legge eletta nell'MSA, fermo restando che, per le materie di applicazione del GDPR, si applica la legge dello Stato Membro SEE dell'Interessato/i interessato/i.

---

## Allegato I — Descrizione del Trattamento

- **Oggetto**: erogazione della Claresia Agent Operations Platform.
- **Durata**: Termine dell'MSA più il periodo di cancellazione di cui all'Articolo 14.
- **Natura e finalità**: hosting, elaborazione e fornitura di skill, agenti ed output AI configurati dal Cliente, oltre a telemetria e conservazione dell'audit.
- **Categorie di Dati Personali**: di cui all'Articolo 4.
- **Categorie di Interessati**: di cui all'Articolo 4.
- **Frequenza**: continuativa per la durata di utilizzo del Servizio.
- **Conservazione**: Dati del Cliente conservati per la durata dell'MSA più il periodo di cancellazione di cui all'Articolo 14; catena di audit conservata sette (7) anni ai sensi dell'art. 12 EU AI Act e del Pilastro SCUDO C.

## Allegato II — Misure Tecniche e Organizzative (TOM)

Allineate alla checklist TOM raccomandata dall'ENISA e all'Annex A della ISO/IEC 27001:2022.

1. **Pseudonimizzazione e cifratura** — AES-256 a riposo, TLS 1.3 in transito, CMEK per tenant in Mode B/C, redazione PII degli utenti finali al Gateway LLM ai sensi del Pilastro SCUDO D.
2. **Riservatezza, integrità, disponibilità e resilienza** — Postgres multi-AZ, quote di risorse per tenant, osservabilità OpenTelemetry, SLA del Servizio del 99,9% in Mode B.
3. **Ripristino della disponibilità e dell'accesso** — RPO 1h / RTO 4h Mode B; failover cross-region Milano → Francoforte; esercitazioni DR trimestrali.
4. **Procedure di test, valutazione e riesame** — penetration test annuale di terze parti, SAST + SCA + scansione dei segreti continua, ciclo mensile di revisione degli accessi.
5. **Backup e conservazione** — backup giornalieri cifrati; conservazione a rotazione di 90 giorni; replica cross-region.
6. **Identità, accesso e autenticazione** — SSO WorkOS, SCIM 2.0, MFA imposta via IdP, accessi privilegiati a tempo tramite token just-in-time.
7. **Sicurezza fisica** — i provider cloud sub-responsabili (AWS, Azure, GCP) garantiscono sicurezza fisica certificata ISO 27001 + SOC 2; gli accessi del personale Claresia a zone riservate sono registrati.
8. **Gestione fornitori e sub-responsabili** — risk assessment fornitore prima dell'onboarding, rivalutazione annuale, flow-down contrattuale degli obblighi GDPR + NIS2.

## Allegato III — Lista dei Sub-responsabili

Lista live mantenuta all'indirizzo https://claresia-trust.netlify.app/sub-processors con le seguenti colonne per ciascuna voce: nome, categoria, finalità, regione di trattamento, categorie di dati, stato del contratto (attivo / pianificato), URL del DPA, flag zero-retention, data ultimo riesame.

## Allegato IV — Clausole Contrattuali Tipo

Le Clausole Contrattuali Tipo di cui alla Decisione di Esecuzione (UE) 2021/914 della Commissione del 4 giugno 2021 sono incorporate per riferimento. Il Modulo 2 si applica al trasferimento Cliente-Claresia; il Modulo 3 si applica ai trasferimenti Claresia-Sub-responsabile. La Docking Clause è abilitata. Le Clausole Opzionali 7 (Docking) e 11 (Risoluzione Indipendente) sono accettate da entrambe le parti. Lo United Kingdom International Data Transfer Addendum è incorporato laddove vi siano Dati Personali britannici nell'ambito.

## Allegato V — Dichiarazione di Conformità ai Provvedimenti del Garante

Claresia si impegna alla forza interpretativa vincolante dei provvedimenti del Garante applicabili al Trattamento AI in contesti lavorativi, di marketing e consumer, ivi incluse le materie elencate all'Articolo 16.2. Qualora un nuovo provvedimento incida materialmente sul Servizio, Claresia notificherà il Cliente attraverso il Trust Center entro trenta (30) giorni e aggiornerà il presente DPA al successivo ciclo di versionamento trimestrale.

---

**Sottoscritto in**: ________________________
**Data**: ________________________

Per il **Cliente (Titolare)**:
Nome: ________________________
Qualifica: ________________________

Per **Claresia S.r.l. (Responsabile)**:
Nome: ________________________
Qualifica: ________________________