Accordo sul Trattamento dei Dati (DPA)

• «Dati personali»: Qualsiasi informazione relativa a una persona fisica identificata o identificabile. • «Trattamento»: Qualsiasi operazione eseguita sui dati personali (raccolta, registrazione, conservazione, modifica, consultazione, trasmissione, cancellazione). • «Titolare del trattamento» (Controller): Il Cliente che determina le finalità e i mezzi del trattamento dei dati personali. • «Responsabile del trattamento» (Processor): Numezis SA, che tratta i dati personali per conto del Titolare. • «Sub-responsabile» (Sub-processor): Qualsiasi fornitore di servizi incaricato da Numezis di trattare dati personali. • «Violazione dei dati»: Qualsiasi violazione della sicurezza che comporta la distruzione, la perdita, l'alterazione o la divulgazione non autorizzata di dati personali.

2.1 Oggetto Il presente DPA disciplina il trattamento dei dati personali effettuato da Numezis nell'ambito della fornitura dei servizi SaaS descritti nei TCG. 2.2 Natura del trattamento Il trattamento consiste nella raccolta, conservazione, organizzazione, strutturazione, estrazione, consultazione, utilizzo e cancellazione dei dati personali necessari alla fornitura dei servizi. 2.3 Durata Il trattamento dura per tutto il tempo in cui il contratto di servizio è in vigore. Alla cessazione del contratto, i dati vengono trattati conformemente alla sezione 10 del presente DPA.

Le categorie di dati personali trattati possono includere: • Dati identificativi: Nome, cognome, posizione, recapiti professionali • Dati di connessione: Indirizzo email, credenziali crittografate, log di accesso • Dati finanziari: Informazioni contenute in fatture, estratti conto bancari, note spese • Dati HR: Informazioni relative ai dipendenti del Cliente (se viene utilizzato il modulo HR) • Dati tecnici: Indirizzi IP, metadati di navigazione, log di utilizzo Il Cliente è responsabile di garantire che nessun dato sensibile (origine razziale, opinioni politiche, dati sulla salute, ecc.) venga trattato tramite la piattaforma senza previo accordo esplicito di Numezis.

Gli interessati dal trattamento possono includere: • Utenti della piattaforma (dipendenti del Cliente) • Clienti e potenziali clienti del Cliente • Fornitori e partner del Cliente • Dipendenti del Cliente (se viene utilizzato il modulo HR) • Qualsiasi altra persona i cui dati vengono caricati sulla piattaforma dal Cliente

Numezis si impegna a: 5.1 Istruzioni documentate Trattare i dati personali solo su istruzioni documentate del Titolare, anche per quanto riguarda i trasferimenti verso paesi terzi. 5.2 Riservatezza Garantire che le persone autorizzate a trattare i dati personali siano soggette a un obbligo di riservatezza contrattuale o legale. 5.3 Sicurezza Implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio (vedere sezione 7). 5.4 Sub-responsabili Non ricorrere a un altro responsabile senza previa autorizzazione generale o specifica del Titolare (vedere sezione 6). 5.5 Assistenza Assistere il Titolare nel garantire il rispetto dei suoi obblighi (richieste di esercizio dei diritti, notifica di violazioni, valutazioni d'impatto). 5.6 Cancellazione o restituzione Al termine del contratto, cancellare o restituire tutti i dati personali secondo la scelta del Titolare (vedere sezione 10). 5.7 Audit Mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi e consentire lo svolgimento di audit (vedere sezione 9).

6.1 Autorizzazione generale Il Titolare concede un'autorizzazione generale a Numezis per incaricare sub-responsabili. L'elenco aggiornato dei sub-responsabili è disponibile su richiesta all'indirizzo dpa@numezis.ch. 6.2 Obblighi dei sub-responsabili Numezis impone ai suoi sub-responsabili gli stessi obblighi di protezione dei dati previsti dal presente DPA. 6.3 Notifica di modifica Numezis informerà il Titolare di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili, dando al Titolare la possibilità di opporsi. In caso di opposizione giustificata, le parti cercheranno una soluzione in buona fede. 6.4 Elenco attuale dei sub-responsabili I principali sub-responsabili includono: • Hosting cloud (Svizzera) • Servizi di email transazionali • Monitoraggio e diagnostica • Servizi di pagamento (Stripe) Un elenco dettagliato viene fornito su richiesta.

Numezis implementa le seguenti misure tecniche e organizzative: 7.1 Controllo degli accessi fisici • Data center certificati ISO 27001 e Tier IV • Accesso biometrico e sorveglianza 24/7 • Ubicazione esclusiva in Svizzera 7.2 Controllo degli accessi logici • Autenticazione forte (MFA obbligatoria per gli amministratori) • Principio del privilegio minimo • Gestione centralizzata delle identità 7.3 Crittografia • Crittografia TLS 1.3 per i dati in transito • Crittografia AES-256 per i dati a riposo • Gestione sicura delle chiavi di crittografia 7.4 Isolamento dei dati • Architettura multi-tenant con partizionamento rigoroso • Separazione logica e fisica dei dati dei clienti 7.5 Registrazione e monitoraggio • Log di accesso e attività • Rilevamento delle intrusioni in tempo reale • Conservazione dei log per 12 mesi 7.6 Continuità operativa • Backup giornalieri crittografati • Replica geografica (solo Svizzera) • Piano di disaster recovery testato annualmente

8.1 Ubicazione dei dati Tutti i dati personali sono archiviati e trattati esclusivamente in Svizzera. La Svizzera beneficia di una decisione di adeguatezza della Commissione europea. 8.2 Trasferimenti verso paesi terzi Numezis non trasferisce dati personali verso paesi al di fuori della Svizzera e dello Spazio Economico Europeo (SEE), salvo: • Con l'accordo esplicito del Titolare • Verso un paese che beneficia di una decisione di adeguatezza • Con garanzie appropriate (clausole contrattuali standard, BCR) 8.3 Sub-responsabili al di fuori della Svizzera/SEE Se un sub-responsabile è ubicato al di fuori della Svizzera/SEE, Numezis garantisce che siano in atto garanzie appropriate e ne informa il Titolare.

9.1 Accesso alle informazioni Numezis mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA, tra cui: • Attestazioni di conformità (SOC 2, ISO 27001) • Report dei test di penetrazione (versione sintetica) • Documentazione delle misure di sicurezza 9.2 Audit in loco Il Titolare può, con un ragionevole preavviso di 30 giorni e durante il normale orario lavorativo, condurre o far condurre un audit per verificare il rispetto degli obblighi. L'audit non deve perturbare le attività di Numezis né compromettere la riservatezza di altri clienti. 9.3 Costi I costi dell'audit sono a carico del Titolare, a meno che l'audit non riveli una violazione significativa degli obblighi di Numezis.

10.1 Tempistica della notifica In caso di violazione dei dati personali, Numezis informerà il Titolare senza indebito ritardo e comunque entro 48 ore dalla conoscenza della violazione. 10.2 Contenuto della notifica La notifica includerà: • La natura della violazione e le categorie di dati interessate • Il numero approssimativo di interessati coinvolti • Le probabili conseguenze della violazione • Le misure adottate o proposte per porre rimedio alla violazione 10.3 Assistenza Numezis assisterà il Titolare nei suoi obblighi di notifica alle autorità di controllo e, ove applicabile, agli interessati.

11.1 Alla fine del contratto Alla scadenza o risoluzione del contratto di servizio, il Titolare ha 30 giorni per esportare i propri dati tramite le funzionalità standard della piattaforma. 11.2 Cancellazione Trascorso tale periodo, Numezis procederà alla cancellazione sicura di tutti i dati personali del Titolare, salvo obblighi legali di conservazione. 11.3 Certificato di distruzione Su richiesta del Titolare, Numezis fornirà un certificato di cancellazione dei dati.

Per qualsiasi domanda relativa al presente DPA o alla protezione dei dati: Numezis SA Responsabile della protezione dei dati Ginevra, Svizzera Email: dpa@numezis.ch Email alternativa: privacy@numezis.ch Il Titolare si impegna a designare un punto di contatto per le questioni relative alla protezione dei dati e a comunicarne i recapiti a Numezis.