Accordo sul Trattamento dei Dati (DPA)

Il presente Accordo sul Trattamento dei Dati (di seguito “DPA”, Data Processing Agreement) disciplina il trattamento dei dati personali effettuato da FaiPreventivo(P.IVA 03326730607, di seguito il “Responsabile”) per conto dell'utente del Servizio (di seguito il “Titolare”), ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (“GDPR”).

Il presente DPA costituisce parte integrante dell' Informativa sulla Privacy e dei Termini di Servizio e si applica in particolare alle funzionalità con cui FaiPreventivo tratta dati personali di soggetti terzi per conto del Titolare, segnatamente l'invio gestito della fattura elettronica al Sistema di Interscambio (SDI). Si applica automaticamente all'attivazione di tali funzionalità, senza necessità di sottoscrizione separata.

1. Parti e ruoli

• Titolare del trattamento:l'utente di FaiPreventivo che emette le fatture e determina finalità e mezzi del trattamento dei dati dei propri clienti.
• Responsabile del trattamento: FaiPreventivo, che tratta tali dati esclusivamente per conto e su istruzione del Titolare.
• Interessati: i clienti del Titolare (destinatari delle fatture) e gli altri soggetti i cui dati sono contenuti nei documenti trasmessi.

2. Oggetto, durata, natura e finalità del trattamento

Oggetto e natura: generazione, gestione, conservazione e trasmissione di fatture elettroniche al SDI per conto del Titolare, comprese le operazioni di accodamento, invio tramite canale accreditato e ricezione delle ricevute e notifiche restituite dal SDI.

Finalità: erogazione del servizio di fatturazione elettronica richiesto dal Titolare e adempimento dei connessi obblighi di legge (fiscali e contabili).

Durata:per tutta la durata del rapporto contrattuale con il Titolare e, successivamente, per il tempo necessario all'adempimento degli obblighi legali di conservazione dei documenti fiscali (di norma 10 anni per le fatture e 7 anni per i log di trasmissione).

3. Tipi di dati personali e categorie di interessati

I dati personali trattati per conto del Titolare comprendono, in via tipica:

• dati identificativi del cliente: denominazione o nome e cognome;
• dati fiscali: partita IVA, codice fiscale, codice destinatario / PEC;
• dati di contatto e indirizzo: sede, indirizzo, CAP, comune, provincia;
• dati economici contenuti nella fattura: descrizioni delle voci, importi, aliquote, condizioni e modalità di pagamento (incluso eventuale IBAN);
• metadati di trasmissione: data e ora di invio, identificativo SDI, stato di consegna, ricevute e notifiche.

Le categorie di interessati sono i clienti del Titolare e gli altri soggetti i cui dati compaiono nei documenti. Il Servizio non è destinato al trattamento di categorie particolari di dati (art. 9 GDPR): il Titolare si impegna a non inserire tali dati nelle fatture.

4. Obblighi del Responsabile (art. 28, par. 3 GDPR)

FaiPreventivo, in qualità di Responsabile, si impegna a:

• trattare i dati personali soltanto su istruzione documentatadel Titolare (incluso l'avvio dell'invio al SDI), anche in caso di trasferimento di dati verso un paese terzo o un'organizzazione internazionale, salvo che il trattamento sia richiesto dal diritto dell'Unione o nazionale cui è soggetto il Responsabile; in tale caso FaiPreventivo informa il Titolare di detto obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
• informare immediatamente il Titolarequalora ritenga che una sua istruzione violi il GDPR o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati, fermo restando che FaiPreventivo non è tenuta a svolgere un esame giuridico sistematico delle istruzioni ricevute;
• garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza (vedi sezione 5);
• adottare misure tecniche e organizzative adeguateai sensi dell'art. 32 GDPR (vedi sezione 9);
• rispettare le condizioni per il ricorso a sub-responsabili (art. 28, par. 2 e 4 — vedi sezione 7);
• assistere il Titolare, con misure adeguate, nel dare seguito alle richieste di esercizio dei diritti degli interessati (artt. 15–22 GDPR — vedi sezione 11);
• assistere il Titolare nel garantire il rispetto degli obblighi di sicurezza, notifica delle violazioni e valutazione d'impatto (artt. 32–36 GDPR), e notificare senza ingiustificato ritardo al Titolare ogni violazione di dati personali di cui venga a conoscenza (vedi sezione 10);
• su scelta del Titolare, cancellare o restituire i dati personali al termine della prestazione, salvo che la conservazione sia richiesta dalla legge (es. obbligo decennale sulle fatture);
• mettere a disposizionedel Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, secondo le modalità della sezione 12.

5. Persone autorizzate al trattamento (artt. 29 e 32, par. 4 GDPR)

FaiPreventivo garantisce che ai dati personali trattati per conto del Titolare accedano esclusivamente le persone che operano sotto la sua autorità e che necessitano di tale accesso per l'esecuzione del Servizio, secondo il principio di minimizzazione e di necessità di conoscere.

Tali persone sono autorizzate al trattamento con istruzioni vincolanti, sono assoggettate a un obbligo di riservatezza di natura contrattuale o legale e trattano i dati personali soltanto secondo le istruzioni di FaiPreventivo, salvo che lo richieda il diritto dell'Unione o nazionale. FaiPreventivo adotta misure ragionevoli per assicurare l'affidabilità delle persone autorizzate e revoca l'accesso al venir meno delle esigenze che lo giustificano.

6. Registro delle attività di trattamento (art. 30, par. 2 GDPR)

FaiPreventivo tiene un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, ai sensi dell'art. 30, par. 2, del GDPR. Il registro contiene le informazioni previste dalla norma, comprese le categorie dei trattamenti effettuati, le eventuali categorie di sub-responsabili e una descrizione generale delle misure di sicurezza adottate.

Su richiesta motivata del Titolare o dell'Autorità di controllo, FaiPreventivo mette a disposizione le informazioni del registro pertinenti al trattamento svolto per conto del Titolare.

7. Sub-responsabili

Il Titolare autorizza in via generale FaiPreventivo ad avvalersi di sub-responsabili per l'esecuzione di specifiche attività di trattamento. L'elenco completo e aggiornato dei sub-responsabili è pubblicato nella pagina Sub-responsabili.

FaiPreventivo impone a ciascun sub-responsabile, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente DPA e resta responsabile nei confronti del Titolare dell'adempimento degli obblighi del sub-responsabile. Eventuali modifiche sostanziali dell'elenco saranno comunicate con congruo preavviso, dando al Titolare la possibilità di opporsi.

8. Trasferimenti di dati al di fuori dell'UE/SEE

L'infrastruttura dedicata all'invio gestito della fattura al SDI è ospitata all'interno dell'Unione Europea. Alcuni sub-responsabili relativi ad altre funzionalità della Piattaforma possono avere sede negli Stati Uniti e operare in conformità all'EU-U.S. Data Privacy Framework e/o alle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea, con eventuali misure supplementari. I dettagli per ciascun fornitore sono indicati nella pagina Sub-responsabili e nell' Informativa sulla Privacy.

9. Misure di sicurezza (art. 32 GDPR)

FaiPreventivo adotta misure tecniche e organizzative adeguate al rischio, tra cui:

• cifratura dei dati in transito (TLS) e autenticazione reciproca (mTLS) verso il SDI;
• controllo degli accessi basato sui ruoli e isolamento delle credenziali e dei certificati;
• row-level security e segregazione dei dati tra i diversi titolari sul database;
• registrazione delle attività di trasmissione (audit log) e monitoraggio degli errori;
• backup periodici e procedure di gestione delle violazioni di dati personali.

Protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25 GDPR).FaiPreventivo progetta e configura le componenti del Servizio dedicate al trattamento per conto del Titolare tenendo conto dei principi di protezione dei dati fin dalla progettazione e per impostazione predefinita, applicando in particolare la minimizzazione dei dati, la segregazione tra i diversi titolari e l'adozione di misure tecniche adeguate al rischio, e assiste il Titolare, nei limiti del proprio ruolo, nell'adempimento dei corrispondenti obblighi.

10. Violazioni di dati personali (artt. 28 e 33 GDPR)

Qualora FaiPreventivo venga a conoscenza di una violazione di dati personali trattati per conto del Titolare, ne informa il Titolare senza ingiustificato ritardo dopo esserne venuta a conoscenza, fornendo, nei limiti delle informazioni disponibili al momento e con successivi aggiornamenti ove necessario:

• la descrizione della natura della violazione, comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni di dati coinvolti;
• i sistemi e gli archivi interessati e il momento, o l'intervallo temporale stimato, in cui la violazione si è verificata;
• le probabili conseguenze della violazione;
• le misure adottate o di cui si propone l'adozione per porvi rimedio e per attenuarne i possibili effetti negativi.

Resta inteso che gli obblighi di notifica all'Autorità di controllo e di comunicazione agli interessati di cui agli artt. 33 e 34 GDPR competono al Titolare, che FaiPreventivo assiste con le informazioni in suo possesso. FaiPreventivo conserva traccia delle violazioni di cui è venuta a conoscenza e delle relative misure adottate.

11. Diritti degli interessati e cancellazione

Gli interessati conservano i diritti previsti dagli articoli 15–22 GDPR. Poiché le fatture trasmesse al SDI e i relativi documenti fiscali sono soggetti a obblighi di conservazione di legge, le richieste di cancellazione o rettifica sono soddisfatte nei limiti consentiti dalla normativa fiscale. Le richieste vanno indirizzate al Titolare; FaiPreventivo assiste il Titolare e può ricevere le richieste all' indirizzo support.faipreventivo@gmail.com.

Qualora FaiPreventivo riceva direttamente da un interessato una richiesta di esercizio dei diritti relativa a dati trattati per conto del Titolare, non vi dà autonomamente seguito ma ne informa il Titolare senza ingiustificato ritardo, assistendolo nel riscontro. In caso di richiesta o ordine vincolante di un'Autorità di controllo o giudiziaria avente ad oggetto i dati trattati per conto del Titolare, FaiPreventivo ne informa il Titolare prima di darvi seguito, salvo che ciò sia vietato dal diritto dell'Unione o nazionale.

12. Verifiche e ispezioni (art. 28, par. 3, lett. h GDPR)

Per dimostrare il rispetto degli obblighi del presente DPA, FaiPreventivo mette a disposizione del Titolare, su sua richiesta motivata e per iscritto, le informazioni e la documentazione ragionevolmente necessarie.

Qualora tali informazioni non siano sufficienti, il Titolare ha diritto di svolgere, o di far svolgere da un soggetto terzo indipendente da esso incaricato e vincolato a riservatezza, una verifica (audit) sul rispetto del presente DPA, limitatamente ai trattamenti svolti per suo conto. La verifica è soggetta a un preavviso scritto ragionevole, di norma non inferiore a quindici (15) giorni, si svolge durante il normale orario di lavoro, con modalità tali da non pregiudicare la sicurezza dei dati degli altri titolari e la continuità del Servizio, e di norma non più di una volta per anno solare, salvo il caso di una violazione di dati personali accertata o di una specifica richiesta dell'Autorità di controllo. Gli oneri della verifica sono a carico del Titolare, salvo che l'audit accerti un inadempimento rilevante imputabile a FaiPreventivo.

13. Decorrenza e durata del presente DPA

Il presente DPA ha effetto a partire dall'attivazione, da parte del Titolare, delle funzionalità che comportano il trattamento di dati personali per suo conto, e rimane in vigore per tutta la durata del rapporto contrattuale. Alla cessazione del rapporto, FaiPreventivo cessa il trattamento dei dati personali trattati per conto del Titolare e, secondo la scelta di quest'ultimo, li cancella o glieli restituisce, salvi gli obblighi di conservazione previsti dalla legge di cui alla sezione 2. Le disposizioni del presente DPA destinate a sopravvivere alla cessazione, per loro natura o per espressa previsione di legge, restano efficaci nei limiti necessari.

14. Contatti

Per ogni richiesta relativa al trattamento dei dati personali ai sensi del presente DPA, il Titolare può contattare FaiPreventivo all'indirizzo indicato di seguito. FaiPreventivo non ha nominato un responsabile della protezione dei dati (DPO), non sussistendone i presupposti di obbligatorietà ai sensi dell'art. 37 GDPR; il punto di contatto sotto indicato è competente a ricevere le comunicazioni di cui al presente DPA.