Definizioni
I termini chiave dell'accordo (ad esempio dati personali, trattamento, titolare, responsabile, violazione dei dati personali, sub-responsabile) sono interpretati in conformità alla normativa applicabile in materia di protezione dei dati e, in assenza di definizione, secondo la prassi contrattuale SaaS B2B.
Oggetto e ambito
Oggetto. Il presente DPA disciplina il trattamento da parte di Numezis, in qualità di responsabile del trattamento, dei dati personali che il Cliente, in qualità di titolare del trattamento, fornisce o rende disponibili a Numezis tramite l’utilizzo del Servizio.
Durata. Il presente DPA si applica per tutta la durata del rapporto contrattuale, oltre al tempo necessario per restituire o cancellare i dati personali in conformità alla sezione Restituzione ed eliminazione.
Categorie di dati
In funzione dell'uso del servizio, i dati trattati possono includere dati di account e autenticazione, contatti professionali, metadati di utilizzo e sicurezza, documenti caricati dal cliente e dati operativi generati nei workflow aziendali.
Interessati
Gli interessati possono includere utenti autorizzati del cliente, dipendenti, collaboratori, partner, fornitori e qualsiasi altra persona i cui dati siano trattati dal cliente tramite il servizio.
Natura e finalità del trattamento
Numezis tratta i dati personali solo per le seguenti finalità e nella misura necessaria:
- fornitura, configurazione e manutenzione del Servizio;
- autenticazione e gestione degli accessi;
- fatturazione e gestione dei pagamenti (tramite Stripe);
- supporto tecnico e risoluzione di incidenti;
- sicurezza, rilevazione abusi e prevenzione frodi;
- backup, ripristino e disaster recovery;
- miglioramento continuo del Servizio (con anonimizzazione/aggregazione ove applicabile); e
- adempimento di obblighi legali.
Obblighi del responsabile del trattamento
Numezis tratta i dati personali esclusivamente su istruzioni documentate del cliente, incluse quelle contenute nel contratto, nella configurazione del servizio e nella documentazione prodotto applicabile. Numezis assicura che il personale autorizzato sia vincolato da obblighi di riservatezza e formato sui requisiti privacy e sicurezza.
Sub‑responsabili
Numezis può avvalersi di sub-responsabili per specifiche componenti del servizio (ad esempio infrastruttura, sicurezza, comunicazioni transazionali, osservabilità). Numezis impone obblighi di protezione dati equivalenti ai sub-responsabili e resta responsabile delle loro prestazioni nei limiti contrattuali.
Misure di sicurezza
Numezis adotta misure tecniche e organizzative proporzionate al rischio, incluse gestione degli accessi, separazione dei privilegi, logging, comunicazioni sicure, procedure di backup e ripristino, gestione incidenti e miglioramento continuo della sicurezza.
Trasferimenti internazionali
Quando sono necessari trasferimenti internazionali di dati personali, Numezis applica garanzie adeguate previste dalla normativa applicabile (ad esempio clausole contrattuali standard o meccanismi equivalenti) e adotta misure supplementari ove ragionevolmente richiesto dal contesto del trasferimento.
Violazioni dei dati personali
In caso di violazione rilevante dei dati personali, Numezis informa il cliente senza ingiustificato ritardo e fornisce le informazioni disponibili su natura dell'incidente, categorie di dati coinvolte, impatti potenziali e misure correttive adottate. Numezis coopera in buona fede per consentire al cliente di adempiere agli obblighi legali di notifica.
Assistenza e diritti degli interessati
Numezis assiste il Cliente, per quanto ragionevolmente possibile e tenuto conto della natura del trattamento, nel rispondere alle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità).
Restituzione ed eliminazione
Alla cessazione del contratto, Numezis restituisce o elimina i dati personali secondo istruzioni del cliente, tempi e formati contrattualmente previsti, salvo obblighi legali di conservazione, richieste dell'autorità competente o esigenze probatorie in caso di controversia.
Audit e informazioni
Numezis mette a disposizione informazioni ragionevolmente necessarie per dimostrare la conformità agli obblighi di protezione dei dati. Su richiesta motivata e proporzionata, possono essere supportati audit secondo modalità che salvaguardino la sicurezza dei sistemi, la riservatezza degli altri clienti e la continuità del servizio.
Diritto applicabile e foro competente
Diritto svizzero.
Foro esclusivo: tribunali ordinari del domicilio legale di Numezis SA (Losanna).
Contatto
Per qualsiasi richiesta relativa al presente DPA, alla privacy o alla conformità in materia di protezione dei dati, contattare privacy@numezis.com (oppure contact@numezis.com con oggetto « Richiesta GDPR / LPD »).