Accordo sul trattamento dei dati (DPA)
tra
[Nome del cliente] – di seguito denominato «Titolare del trattamento» ai sensi dell’art. 4 n. 7 GDPR –
e
insiba Engineering, Käthe-Kollwitz-Ring 83, 76676 Graben-Neudorf, Germania – di seguito denominato «Responsabile del trattamento» ai sensi dell’art. 4 n. 8 GDPR
I. Premessa
Le parti sono collegate mediante la conclusione dei Termini e Condizioni (T&C) validi al momento della stipula del contratto per l’utilizzo della soluzione SaaS «eCommerce One». Nell’ambito di tale rapporto contrattuale, il Responsabile del trattamento tratta dati personali per conto del Titolare del trattamento.
Il presente accordo sul trattamento dei dati specifica i diritti e gli obblighi delle parti in materia di protezione dei dati ai sensi dell’art. 28 GDPR. Esso disciplina la natura, l’ambito e le finalità del trattamento dei dati personali nonché i requisiti relativi alle misure tecniche e organizzative e all’impiego di sub-responsabili del trattamento.
Il presente accordo integra i Termini e Condizioni (T&C) validi al momento della conclusione del contratto. In caso di contraddizioni, prevalgono le disposizioni del presente accordo sul trattamento dei dati.
II. Ambito di applicazione
(1) Il presente accordo si applica a tutte le attività del Responsabile del trattamento nelle quali vengono trattati dati personali del Titolare del trattamento.
(2) Il Titolare del trattamento rimane l’unico responsabile del rispetto delle disposizioni applicabili in materia di protezione dei dati.
(3) Il presente accordo si applica a tutte le operazioni di trattamento effettuate nell’ambito dell’utilizzo della piattaforma SaaS «eCommerce One».
III. Oggetto, natura, finalità e durata del trattamento
(1) Oggetto del trattamento sono i dati personali trattati nell’ambito dell’utilizzo della piattaforma eCommerce One, in particolare in relazione all’importazione degli ordini, alla gestione dei clienti e dei prodotti, alla creazione di documenti, alla gestione delle spedizioni nonché alle funzioni di automazione.
(2) La natura del trattamento comprende in particolare la raccolta, la memorizzazione, l’organizzazione, l’utilizzo, la trasmissione, la limitazione o la cancellazione dei dati personali.
(3) La finalità del trattamento è la fornitura dei servizi SaaS concordati contrattualmente.
(4) Il trattamento inizia con l’attivazione dell’account cliente e termina con la cancellazione completa o la restituzione dei dati personali dopo la cessazione del rapporto contrattuale.
(5) Il trattamento avviene di norma all’interno dell’Unione Europea o dello Spazio Economico Europeo. I trasferimenti verso paesi terzi avvengono solo nel rispetto degli articoli 44 e seguenti del GDPR.
IV. Obblighi del Responsabile del trattamento
(1) Il Responsabile del trattamento tratta i dati personali esclusivamente su istruzioni documentate del Titolare del trattamento.
(2) Tutte le persone autorizzate al trattamento dei dati personali sono soggette a obblighi di riservatezza.
(3) Il Responsabile del trattamento implementa misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR.
(4) Il Responsabile del trattamento supporta il Titolare del trattamento nell’esercizio dei diritti degli interessati ai sensi degli artt. 12–23 GDPR.
(5) Il Responsabile del trattamento assiste il Titolare del trattamento nell’adempimento degli obblighi previsti dagli artt. 32–36 GDPR.
(6) Il Responsabile del trattamento informa immediatamente il Titolare del trattamento qualora ritenga che un’istruzione violi la normativa in materia di protezione dei dati.
V. Obblighi del Titolare del trattamento
(1) Il Titolare del trattamento è responsabile della liceità del trattamento dei dati personali.
(2) Il Titolare del trattamento garantisce di essere autorizzato al trattamento dei dati personali.
(3) Il Titolare del trattamento verifica regolarmente le misure tecniche e organizzative implementate dal Responsabile del trattamento.
(4) Il Titolare del trattamento informa immediatamente il Responsabile del trattamento di eventuali violazioni della protezione dei dati rilevate.
VI. Istruzioni
(1) Le istruzioni devono essere fornite di norma per iscritto o in forma testuale.
(2) Il Responsabile del trattamento ha il diritto di sospendere l’esecuzione di un’istruzione qualora essa violi la normativa sulla protezione dei dati.
(3) Le istruzioni al di fuori dell’ambito dei servizi concordati sono considerate richieste di modifica.
VII. Misure tecniche e organizzative (TOM)
Il Responsabile del trattamento implementa misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, in particolare misure per garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi nonché procedure per il ripristino della disponibilità dei dati personali.
VIII. Diritti di controllo
(1) Il Titolare del trattamento ha il diritto di verificare il rispetto del presente accordo.
(2) Le prove idonee possono includere in particolare certificazioni, rapporti di audit di terze parti indipendenti o audit sulla protezione dei dati.
(3) I controlli devono essere annunciati in anticipo e non devono compromettere in modo sproporzionato le attività del Responsabile del trattamento.
IX. Sub-responsabili del trattamento
(1) Il Titolare del trattamento concede un’autorizzazione generale all’impiego di sub-responsabili del trattamento.
(2) Il Responsabile del trattamento obbliga contrattualmente i sub-responsabili al rispetto del GDPR.
(3) Le modifiche relative ai sub-responsabili saranno comunicate al Titolare del trattamento.
X. Cancellazione e restituzione dei dati
(1) Dopo la cessazione del rapporto contrattuale, i dati personali saranno cancellati o restituiti al Titolare del trattamento su richiesta.
(2) Restano impregiudicati eventuali obblighi legali di conservazione.
XI. Responsabilità
Le parti rispondono conformemente alle disposizioni legali del GDPR, in particolare all’art. 82 GDPR.
Versione: 02.03.2026