Legal · Clienti B2B
Accordo sul Trattamento dei Dati (DPA)
Ultimo aggiornamento: 21 aprile 2026 — Versione 1.0
Ai sensi dell'art. 28 GDPR, quando OMNEX esegue un audit di sicurezza per conto di un'azienda cliente, può trattare dati personali di terzi (utenti, dipendenti, clienti del Cliente). Per tale motivo le Parti sottoscrivono un DPA che disciplina il rapporto Titolare-Responsabile.
⚠ Nota operativa: il DPA è allegato standard al
contratto di audit. Viene firmato insieme al contratto. La versione qui sotto è il
template standard; clausole specifiche possono essere aggiunte in trattativa.
Sintesi del DPA in 10 punti
- Ruoli: il Cliente è il Titolare del trattamento; OMNEX agisce come Responsabile.
- Durata: pari al contratto di audit, salvo obblighi residui di restituzione / cancellazione dati.
- Dati trattati: indirizzi IP, header HTTP, cookie, dati di test forniti dal Cliente, eventuali dati personali rilevati accidentalmente durante PoC di vulnerabilità (principio di minimizzazione).
- Misure di sicurezza: cifratura at-rest e in-transit, access control, log di accesso 180 giorni, backup cifrati.
- Sub-responsabili: solo su autorizzazione scritta del Cliente. Elenco aggiornato: provider LLM (Anthropic, OpenAI quando abilitati dal Cliente), cloud hosting.
- Notifica data breach: al Cliente entro 24 ore dalla scoperta (inferiore al termine GDPR di 72h per consentire al Cliente di rispettare le proprie notifiche al Garante).
- Diritti degli interessati: OMNEX assiste il Cliente nell'evasione delle richieste (artt. 15-22 GDPR).
- Trasferimenti extra-UE: solo con SCC (Standard Contractual Clauses) ex art. 46 + Transfer Impact Assessment.
- Audit: il Cliente può richiedere audit annuali (o su emergenza) con preavviso di 15 giorni.
- Termine: entro 30 giorni dalla cessazione, restituzione o cancellazione irreversibile di tutti i dati, con attestazione scritta.
Elenco sub-responsabili esterni
| Sub-responsabile | Servizio | Paese trattamento | Base legale |
|---|
| Anthropic PBC | LLM API (solo se Cliente abilita Agent AI) | USA | SCC + TIA |
| OpenAI L.P. | LLM API (solo se Cliente abilita, opt-in) | USA | SCC + TIA |
| Google LLC | Analytics sito web (solo previo consenso utente) | USA | SCC + IP anonymization |
| Provider hosting UE | Infrastruttura server sito | UE | N/A |
Modifiche all'elenco vengono comunicate al Cliente con almeno 30 giorni di preavviso; il Cliente può opporsi in forma scritta.
Richiedere il testo completo del DPA
Il testo completo del DPA (10 articoli + allegati) è inviato via email insieme al contratto di audit. Per richiederne copia in anticipo:
Richiedi DPA via email
Riferimenti normativi
- Reg. UE 2016/679 (GDPR) — art. 28 «Responsabile del trattamento»
- EDPB Guidelines 07/2020 on the concepts of controller and processor under the GDPR
- EDPB Recommendations 01/2020 on supplementary measures to ensure EU level of protection
Contatti
Domande sul DPA: omnexsecurity@gmail.com