← Documenti legali

Accordo sul trattamento dei dati (DPA)

Il servizio tratta dati di terzi per conto del cliente (responsabile del trattamento).

Versione 2026-07-01

Il presente Accordo sul trattamento dei dati (l’«Accordo» o «DPA») disciplina il trattamento dei dati personali che Codepress s.r.l. (il «Responsabile») effettua per conto del Cliente (il «Titolare») nell’erogazione della piattaforma «Soluzione Business» (il «Servizio»), ai sensi dell’art. 28 del Regolamento (UE) 2016/679 («GDPR»). L’Accordo integra i Termini di Servizio e si applica per tutta la durata del rapporto. In caso di contrasto sul trattamento dei dati per conto del Titolare, prevale il presente Accordo.

1. Ruoli delle parti

  • Il Cliente è il titolare del trattamento dei dati personali di terzi (clienti, fornitori, soci, collaboratori) inseriti o generati nel Servizio, e ne determina finalità e mezzi.
  • Codepress s.r.l. è il responsabile del trattamento e tratta tali dati esclusivamente per erogare il Servizio e su istruzione documentata del Titolare.
  • I dati di account e di utilizzo dell’Utente sono trattati dal Responsabile in qualità di titolare autonomo, secondo l’Informativa Privacy; non rientrano nell’oggetto del presente Accordo.

2. Oggetto, natura e finalità del trattamento

Il Responsabile tratta i dati per fornire le funzionalità del Servizio (gestione economico-finanziaria e fiscale, archiviazione di documenti e anagrafiche, calcoli e proiezioni, funzionalità di intelligenza artificiale di supporto). Le operazioni includono raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, cancellazione e ogni operazione tecnica necessaria all’erogazione del Servizio.

3. Tipologie di dati e categorie di interessati

  • Categorie di dati: dati anagrafici e di contatto, dati identificativi fiscali (es. P.IVA, C.F.), dati economico-contabili (movimenti, fatture, costi, compensi), dati relativi a soci e collaboratori del Titolare, contenuti dei documenti caricati.
  • Categorie di interessati: clienti, fornitori, soci, amministratori, dipendenti e collaboratori del Titolare, nonché altri soggetti i cui dati il Titolare inserisce nel Servizio.

Il Titolare si impegna a non conferire categorie particolari di dati (art. 9 GDPR) salvo che ciò sia necessario e assistito da idonea base giuridica, dandone informazione al Responsabile.

4. Obblighi del Responsabile (art. 28, par. 3 GDPR)

Il Responsabile si impegna a:

  • trattare i dati soltanto su istruzione documentata del Titolare — ivi compresi il presente Accordo, l’uso delle funzionalità e le eventuali indicazioni scritte — anche in caso di trasferimento verso Paesi terzi, salvo obblighi di legge (in tal caso informa il Titolare, ove non vietato);
  • garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • adottare le misure di sicurezza di cui all’art. 32 GDPR (v. §7 e Allegato B);
  • rispettare le condizioni per il ricorso a sub-responsabili (v. §6);
  • assistere il Titolare, con misure tecniche e organizzative adeguate, nel dare seguito alle richieste di esercizio dei diritti degli interessati (artt. 15-22 GDPR);
  • assistere il Titolare nel garantire il rispetto degli obblighi di sicurezza, notifica di violazioni, valutazione d’impatto e consultazione preventiva (artt. 32-36 GDPR);
  • su scelta del Titolare, cancellare o restituire i dati al termine del rapporto (v. §9), salvo obblighi di conservazione di legge;
  • mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi e consentire e contribuire ad attività di revisione (audit), comprese le ispezioni (v. §8).

5. Violazioni dei dati personali (data breach)

Il Responsabile informa il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali, fornendo le informazioni ragionevolmente disponibili per consentire al Titolare gli adempimenti di cui agli artt. 33 e 34 GDPR. Il canale di comunicazione è: codepress@pec.it.

6. Sub-responsabili del trattamento

Il Titolare autorizza in via generale il Responsabile a nominare sub-responsabili per l’erogazione del Servizio. I sub-responsabili attualmente impiegati sono:

  • Contabo GmbH (Germania, UE) — hosting e infrastruttura;
  • Google (Gemini API) — modelli di intelligenza artificiale per le relative funzionalità.

Le funzionalità di fatturazione elettronica/SdI e di conservazione a norma sono, allo stato, in modalità simulazione/anteprima e non comportano il ricorso a un sub-responsabile SdI o di conservazione, salvo attivazione esplicita.

Il Responsabile impone a ciascun sub-responsabile, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente Accordo. In caso di modifiche o aggiunte di sub-responsabili, il Responsabile ne dà preavviso al Titolare (30 giorni), il quale può opporsi per giustificati motivi legati alla protezione dei dati; il Responsabile resta responsabile dell’operato dei propri sub-responsabili.

7. Misure di sicurezza (art. 32 GDPR)

Tenuto conto dello stato dell’arte e dei rischi, il Responsabile adotta in particolare:

  • cifratura dei contenuti riservati a riposo (AES-256-GCM, applicata per colonna ai dati riservati e ai file/documenti);
  • controllo degli accessi basato su ruoli e isolamento dei dati per società (multi-tenant), con verifica dell’autorizzazione a ogni richiesta;
  • misure applicative: limitazione della frequenza delle richieste (rate limiting) su autenticazione e funzioni sensibili, intestazioni di sicurezza, registri di audit delle operazioni;
  • hosting nell’Unione Europea, gestione delle credenziali in forma non reversibile e misure di continuità/backup.

8. Assistenza e audit

Il Responsabile presta al Titolare ragionevole assistenza per l’esercizio dei diritti degli interessati e per gli adempimenti di sicurezza, notifica e DPIA. Su richiesta motivata e con ragionevole preavviso, il Titolare può verificare il rispetto del presente Accordo mediante la documentazione fornita dal Responsabile o audit condotti, anche tramite terzo incaricato vincolato alla riservatezza, con modalità che non compromettano la sicurezza e la continuità del Servizio né la riservatezza dei dati di altri clienti.

9. Trasferimenti verso Paesi terzi

L’hosting e l’archiviazione dei dati avvengono nello Spazio Economico Europeo. Ove l’erogazione delle funzionalità di intelligenza artificiale comporti un trasferimento verso un fornitore soggetto a legislazione extra-UE, il trasferimento è assistito dalle garanzie adeguate di cui agli artt. 44 ss. GDPR (Clausole Contrattuali Tipo – SCC – ed eventuali misure supplementari).

10. Durata, cessazione e sorte dei dati

Il presente Accordo ha efficacia per tutta la durata del trattamento dei dati per conto del Titolare. Alla cessazione del Servizio, su scelta del Titolare, il Responsabile restituisce o cancella i dati trattati per suo conto e le copie esistenti, entro 30 giorni, salvo diverso obbligo di conservazione previsto dal diritto dell’Unione o nazionale. Fino a tale termine il Titolare può esportare i propri dati tramite le funzionalità del Servizio.

11. Responsabilità e legge applicabile

La responsabilità delle parti è disciplinata dal GDPR e dai Termini di Servizio. Il presente Accordo è regolato dalla legge italiana; per ogni controversia si applica il foro indicato nei Termini di Servizio. L’eventuale invalidità di una clausola non pregiudica le restanti.

12. Allegati

  • Allegato A – Dettagli del trattamento: oggetto, natura e finalità (§2), categorie di dati e di interessati (§3), durata (§10).
  • Allegato B – Misure tecniche e organizzative di sicurezza: come descritte al §7.
  • Allegato C – Elenco dei sub-responsabili: come indicato al §6.

Ultimo aggiornamento: 3 luglio 2026. Per informazioni: codepress@pec.it.