{
  "metadata": {
    "framework": "Garante per la Protezione dei Dati Personali — Vendor Due-Diligence",
    "version": "v1.0",
    "publisher": "Claresia (mappato a GDPR + Codice della Privacy + provvedimenti del Garante)",
    "language": "it",
    "respondent": "Claresia S.r.l.",
    "respondent_contact": "dpo@claresia.com, security@claresia.com",
    "as_of": "2026-04-27",
    "status": "BOZZA — In attesa della revisione legale italiana. Documento primario in italiano per i clienti soggetti alla giurisdizione del Garante; traduzione di cortesia in inglese disponibile.",
    "context": "Il presente questionnario riflette l'enforcement specifico italiano del GDPR e i provvedimenti vincolanti del Garante. Versione di riferimento per i clienti italiani; in caso di conflitto tra versioni linguistiche prevale la versione italiana per le parti soggette al diritto italiano."
  },
  "questions": [
    {"id": "GAR-01", "topic": "Decisioni automatizzate (art. 22 GDPR + linee guida italiane)", "question": "I clienti utilizzando il vostro Servizio possono essere soggetti a decisioni basate unicamente su trattamento automatizzato che producano effetti giuridici o significativamente li riguardino?", "claresia_answer": "No per default. SCUDO Pilastro U (Uso conforme) classifica ogni skill IR alla deploy time per categoria di rischio Annex III; le skill che toccherebbero materie occupazionali, creditizie o sanitarie richiedono esplicitamente l'intervento umano (human-in-the-loop) e portano nel proprio output la riserva 'Decisione riservata all'umano' ai sensi dell'art. 22 GDPR e delle linee guida italiane. La modalità completamente automatizzata può essere abilitata solo dal cliente, per skill specifiche, con doppia approvazione admin + DPO e relativa registrazione nella catena di audit.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "active"},
    {"id": "GAR-02", "topic": "Provv. n. 232/2024 — Controllo dei lavoratori", "question": "Il Servizio comporta forme di controllo (anche indiretto) dei lavoratori? In tal caso, come viene rispettato lo Statuto dei Lavoratori art. 4?", "claresia_answer": "Sì — la telemetria per dipendente (cc-064 Telemetry Pipeline) costituisce controllo indiretto ai sensi del diritto italiano. Art. 16.1 DPA impegna espressamente il cliente alla previa stipula di accordo RSU/RSA o all'autorizzazione dell'Ispettorato Territoriale del Lavoro. Claresia mette a disposizione, attivabile dal cliente in qualsiasi momento e senza costi aggiuntivi, una modalità 'Soppressione Telemetria' che hashing-aggrega i dati per dipendente in metriche di coorte, eliminando l'identificazione individuale. Il provv. n. 232/2024 è espressamente recepito.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-03", "topic": "IA in contesti lavorativi — Provv. 2024 sui sistemi biometrici", "question": "Il Servizio utilizza riconoscimento biometrico, riconoscimento delle emozioni o categorizzazione biometrica dei lavoratori?", "claresia_answer": "No per default — vietato dalla policy restricted-topics italiana di default (cfr. site/src/data/restricted-topics-italy-default.json). Pilastro SCUDO S (Scansione) blocca a runtime ogni skill che tenti inferenza biometrica, riconoscimento emozioni o categorizzazione biometrica in contesto lavorativo. Il provv. Garante 2024 (n. 9978728) è recepito come trigger di blocco.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "active"},
    {"id": "GAR-04", "topic": "Provv. 2023 ChatGPT — Trasparenza verso l'utente", "question": "Quali misure assicurate per garantire la trasparenza degli output di IA all'utente finale?", "claresia_answer": "Pilastro SCUDO U (Uso conforme) appone automaticamente lo stamp di trasparenza dell'art. 50 EU AI Act in lingua italiana su ogni output che soddisfi i criteri di trigger (interazione con persona fisica, contenuto generato da IA, ecc.). Lo stamp identifica il sistema AI, il fornitore (Claresia) ed il tipo di trattamento. Il provv. ChatGPT 2023 e le successive linee guida sono recepiti.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "active"},
    {"id": "GAR-05", "topic": "Cookies — Provvedimento Garante 2021 + linee guida 2024", "question": "Le superfici pubbliche del Servizio (es. claresia.com, trust.claresia.com) sono conformi al provvedimento Garante sui cookie?", "claresia_answer": "Sì — claresia.com e trust.claresia.com adottano cookie banner conformi al Garante: cookie tecnici attivi senza consenso, cookie di profilazione bloccati di default, scelta granulare via cookie banner conforme alle linee guida 2024 (no dark patterns, equivalente onere di accettazione e rifiuto). Categorie di cookie e finalità documentate nella cookie policy.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-06", "topic": "Trasferimenti extra-UE — Schrems II + interpretazione italiana", "question": "Come gestite i trasferimenti di dati personali verso Paesi terzi senza decisione di adeguatezza?", "claresia_answer": "Default: nessun trasferimento extra-SEE. Per i trasferimenti necessari verso Paesi terzi: CCT Modulo 2 (Cliente-Claresia) + Modulo 3 (Claresia-Sub-responsabile) di cui alla Decisione UE 2021/914 (Allegato IV DPA); UK IDTA per il Regno Unito. TIA documentata per ciascun sub-responsabile in Paese terzo. Misure tecniche supplementari: pseudonimizzazione, cifratura con chiavi nello SEE, region pinning Pilastro SCUDO D. Allineamento esplicito all'interpretazione del Garante post-Schrems II.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-07", "topic": "Codice fiscale e dati identificativi italiani", "question": "Il Servizio tratta codici fiscali, partite IVA o altri dati identificativi italiani? Quali misure di protezione applicate?", "claresia_answer": "Solo se il Cliente li immette deliberatamente. La policy restricted-topics italiana di default classifica codice fiscale come Restricted; il Pilastro SCUDO D (Gateway LLM) applica redazione PII bidirezionale via Microsoft Presidio + NER custom — il codice fiscale viene redatto a livello di prompt verso il modello LLM e a livello di risposta. Egress senza redazione richiede esplicito sign-off del cliente per skill specifiche.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "GAR-08", "topic": "Ruolo del DPO Italiano", "question": "Avete designato un DPO ai sensi dell'art. 37 GDPR e siete registrati nella directory del Garante?", "claresia_answer": "Sì — DPO designato, contattabile a dpo@claresia.com e presso la sede legale di Claresia S.r.l. in Milano. Registrazione presso la directory DPO del Garante in corso (target Q3 2026 con la prima firma cliente).", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "planned"},
    {"id": "GAR-09", "topic": "Notifica delle violazioni al Garante", "question": "Cooperate con la notifica delle violazioni di dati personali al Garante ai sensi dell'art. 33 GDPR?", "claresia_answer": "Sì — Art. 11 DPA impegna alla notifica al Cliente entro 72 ore. Claresia fornisce al Cliente la bozza di narrazione tecnica per la notifica al Garante, che resta responsabilità del Cliente in qualità di Titolare. Cooperazione piena su richiesta del Garante.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-10", "topic": "Diritti dell'Interessato — accesso, rettifica, cancellazione, portabilità (artt. 15-21 GDPR)", "question": "Come supportate l'esercizio dei diritti dell'Interessato per i dati trattati nel Servizio?", "claresia_answer": "Self-service nel Command Center cc-059 per esportazione (art. 20), rettifica (art. 16), cancellazione (art. 17) di Dati Personali riconducibili a un singolo Interessato. SLA: risposta del Titolare entro 30 giorni; supporto tecnico Claresia entro 5 giorni lavorativi.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-11", "topic": "Conservazione dei dati — principio di minimizzazione (art. 5(1)(c) GDPR)", "question": "Come applicate il principio di minimizzazione dei dati e quali sono i periodi di conservazione?", "claresia_answer": "Dati del Cliente conservati per la durata MSA + 30 giorni di cancellazione (Art. 14 DPA). Catena di audit conservata 7 anni (art. 12 EU AI Act). Telemetria conservata 13 mesi default. Conservazione per tenant configurabile in Mode B/C. Pilastro SCUDO D applica redazione PII automatica per minimizzare l'esposizione.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-12", "topic": "Marketing e profilazione (D.Lgs. 196/2003 art. 130 + GDPR)", "question": "Il Servizio svolge attività di marketing diretto o profilazione? Come è gestito il consenso?", "claresia_answer": "Il Servizio non svolge marketing diretto verso interessati cliente. L'unico marketing è il sito Claresia (claresia.com) che richiede consenso esplicito opt-in per la newsletter, conforme all'art. 130 D.Lgs. 196/2003 + GDPR. La profilazione interna ai workflow del Cliente è configurabile dal Cliente nel rispetto delle proprie informative.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-13", "topic": "Sub-responsabili — trasparenza ai sensi dell'art. 28 GDPR", "question": "La lista dei sub-responsabili è pubblica e aggiornata? Come notificate le modifiche?", "claresia_answer": "Sì — lista pubblica a https://claresia-trust.netlify.app/sub-processors con categoria, finalità, regione, categorie di dati, stato contratto, URL DPA, flag zero-retention, data ultimo riesame. Notifica al Cliente con preavviso di 30 giorni per ogni nuovo sub-responsabile o modifica sostanziale (Art. 8 DPA).", "evidence_link": "https://claresia-trust.netlify.app/sub-processors", "status": "active"},
    {"id": "GAR-14", "topic": "Audit e ispezioni del Garante", "question": "Cooperate con eventuali ispezioni del Garante presso il Cliente?", "claresia_answer": "Sì — Art. 13 DPA impegna Claresia a fornire al Cliente le evidenze necessarie per cooperare con le ispezioni del Garante. Disponibili: SOC 2 Type 2 (Q1 2027), ISO 27001:2022 (Q3 2026), ISO 42001:2023 (Q4 2026), Annex II TOM, export della catena di audit SCUDO.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "planned"},
    {"id": "GAR-15", "topic": "ROPA — Registro delle Attività di Trattamento (art. 30 GDPR)", "question": "Mantenete il ROPA per il vostro ruolo di Responsabile e supportate il ROPA del Cliente come Titolare?", "claresia_answer": "Sì — ROPA Claresia mantenuto e disponibile su richiesta al Cliente. Per il ROPA del Cliente: la documentazione DPA + Annex I (Descrizione del Trattamento) + Annex II (TOM) + lista sub-responsabili contengono tutti gli elementi richiesti dall'art. 30 GDPR.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-16", "topic": "DPIA — Valutazione di Impatto (art. 35 GDPR)", "question": "Fornite supporto al Cliente per la DPIA, in particolare per i trattamenti di IA ad alto rischio?", "claresia_answer": "Sì — Art. 10 DPA. La documentazione tecnica AI Act Allegato IV (auto-generata per tenant ai sensi del Pilastro SCUDO U) costituisce input chiave per la DPIA. Fornito anche template DPIA per scenari AI (decisione automatizzata, profilazione, trattamento di dati di lavoratori) tramite Trust Center.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "planned"},
    {"id": "GAR-17", "topic": "Minori (art. 8 GDPR + Codice della Privacy)", "question": "Il Servizio tratta dati di minori?", "claresia_answer": "Default no. Il Servizio è indirizzato a contesti lavorativi e B2B; i Termini di Servizio escludono espressamente l'uso da parte di minori. Eventuale uso in contesti scolastici richiede addendum DPA dedicato e configurazione restricted-topics specifica.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-18", "topic": "Sicurezza tecnica — art. 32 GDPR", "question": "Quali misure di sicurezza tecnica garantite ai sensi dell'art. 32 GDPR?", "claresia_answer": "Cifratura AES-256 a riposo + TLS 1.3 in transito + CMEK per tenant in Mode B/C. SSO + MFA via WorkOS. Catena di audit SHA-256 conservata 7 anni. Penetration test annuale (Q2 2026). ISO 27001:2022 in corso (Q3 2026). Dettaglio completo in Allegato II DPA.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-19", "topic": "EU AI Act + interpretazione del Garante", "question": "Come gestite la conformità all'EU AI Act in linea con le linee guida del Garante?", "claresia_answer": "Pilastro SCUDO U (Uso conforme) implementa lo stamp art. 50 (trasparenza), la documentazione tecnica art. 11 + Allegato IV (auto-generata per tenant), classificazione Annex III delle skill IR a deploy time. L'interpretazione del Garante (in particolare per IA in contesti lavorativi) è recepita nelle policy restricted-topics di default.", "evidence_link": "https://claresia-trust.netlify.app/architecture", "status": "active"},
    {"id": "GAR-20", "topic": "Foro competente e legge applicabile", "question": "Quale è il foro competente e la legge applicabile per il Cliente italiano?", "claresia_answer": "Art. 17 DPA + Art. 16.4 — laddove sia eletto il diritto italiano (default per Clienti stabiliti in Italia), il Tribunale Ordinario di Milano avrà giurisdizione esclusiva. Per le materie GDPR, si applica comunque la legge dello Stato Membro dell'Interessato.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-21", "topic": "Informativa privacy (artt. 13-14 GDPR)", "question": "L'informativa privacy è disponibile in italiano e copre tutti gli elementi richiesti?", "claresia_answer": "Sì — informativa privacy a claresia.com/privacy in IT + EN. Copre: titolare, DPO, finalità, basi giuridiche, categorie dati, destinatari, trasferimenti extra-UE, conservazione, diritti dell'Interessato, diritto di reclamo al Garante, fonti dei dati.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-22", "topic": "Codice della Privacy art. 122 — Posizionamento informazioni in dispositivi", "question": "Quali misure adottate per il posizionamento di informazioni sui dispositivi degli utenti (cookie, local storage, fingerprinting)?", "claresia_answer": "Cookie banner conforme al provvedimento Garante 2021 + linee guida 2024. Local storage utilizzato solo per stato della sessione SSO (cookie tecnico, escluso da consenso ai sensi dell'art. 122 D.Lgs. 196/2003). Nessun fingerprinting per profilazione. Telemetria di sessione strettamente necessaria alla sicurezza.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"},
    {"id": "GAR-23", "topic": "Diritti dei lavoratori — Rappresentanze sindacali", "question": "Mettete a disposizione una guida operativa per il Cliente per ottenere l'accordo RSU/RSA prima del deployment?", "claresia_answer": "Sì — il Trust Center ospiterà (Q3 2026) un one-pager 'Guida all'accordo RSU/RSA per il deployment Claresia' che il Cliente può presentare alle proprie rappresentanze sindacali. Include: descrizione della telemetria, opzione 'Soppressione Telemetria' (cohort-only), schema contrattuale tipo. Disponibile su richiesta a security@claresia.com nel frattempo.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "planned"},
    {"id": "GAR-24", "topic": "Provvedimenti di urgenza del Garante", "question": "Come reagite a provvedimenti di urgenza del Garante (es. limitazione provvisoria del trattamento)?", "claresia_answer": "Procedura di emergency-response documentata in incident-response.md. In caso di provvedimento del Garante che limita o sospende un trattamento, Claresia disabilita la funzionalità interessata via toggle nel Command Center entro 24 ore lavorative dalla notifica scritta + cooperazione piena al ripristino conforme.", "evidence_link": "https://claresia-trust.netlify.app/security-whitepaper", "status": "active"},
    {"id": "GAR-25", "topic": "Aggiornamenti normativi italiani", "question": "Come tracciate gli aggiornamenti normativi italiani (provvedimenti del Garante, linee guida ACN, evoluzione di D.Lgs. 138/2024)?", "claresia_answer": "Monitoraggio continuo: iscrizione alla newsletter del Garante, partecipazione a CSIRT-IT, monitoraggio Gazzetta Ufficiale, partecipazione a tavoli ACN. Aggiornamenti sostanziali recepiti nel DPA con preavviso di 30 giorni (Art. 16.2) e nel framework SCUDO al successivo ciclo trimestrale.", "evidence_link": "https://claresia-trust.netlify.app/dpa", "status": "active"}
  ]
}