Accordo sul Trattamento dei Dati

Ultimo aggiornamento: 12 aprile 2026

Data di efficacia: 12 aprile 2026

1. Premessa

Il presente Accordo sul Trattamento dei Dati (di seguito "DPA") disciplina il trattamento di dati personali effettuato da Gitogi Srl, con sede legale in Piazza IV Novembre 4, 20124 Milano, P.IVA IT14288420962 (di seguito il "Responsabile del trattamento" o "Responsabile"), per conto del cliente che sottoscrive i servizi Gitogi (di seguito il "Titolare del trattamento" o "Titolare").

Il presente DPA è parte integrante e sostanziale dei Termini di Servizio e del contratto di fornitura dei servizi Gitogi (di seguito il "Contratto Principale"). Il DPA si applica nella misura in cui Gitogi tratti dati personali per conto del Titolare nell'ambito dell'erogazione dei servizi di AI Adoption & Governance.

Il presente DPA è redatto ai sensi e per gli effetti dell'Art. 28 del Regolamento (UE) 2016/679 (di seguito "GDPR") e dell'Art. 28 del D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 (di seguito "Codice Privacy").

2. Definizioni

• "Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile, ai sensi dell'Art. 4(1) GDPR.
• "Trattamento": qualsiasi operazione o insieme di operazioni compiute su dati personali, con o senza l'ausilio di processi automatizzati, ai sensi dell'Art. 4(2) GDPR.
• "Titolare del trattamento": il cliente che determina le finalità e i mezzi del trattamento dei dati personali, ai sensi dell'Art. 4(7) GDPR.
• "Responsabile del trattamento": Gitogi Srl, che tratta dati personali per conto del Titolare, ai sensi dell'Art. 4(8) GDPR.
• "Sub-responsabile": qualsiasi soggetto terzo incaricato dal Responsabile di effettuare specifiche attività di trattamento per conto del Titolare, ai sensi dell'Art. 28(2) e 28(4) GDPR.
• "Violazione dei dati personali": una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali, ai sensi dell'Art. 4(12) GDPR.
• "Autorità di Controllo": il Garante per la protezione dei dati personali (Garante Privacy), ai sensi dell'Art. 51 GDPR.
• "Interessato": la persona fisica a cui si riferiscono i dati personali oggetto di trattamento, ai sensi dell'Art. 4(1) GDPR.

3. Oggetto e durata

Il presente DPA ha ad oggetto la disciplina del trattamento dei dati personali che il Responsabile effettua per conto del Titolare nell'ambito dell'erogazione dei servizi previsti dal Contratto Principale, ivi inclusi a titolo esemplificativo: piattaforma di e-learning (Academy), assistente AI, assessment di maturità AI, consulenza AI governance, template documentali e strumenti di compliance.

Il presente DPA entra in vigore alla data di sottoscrizione del Contratto Principale e rimane efficace per tutta la durata dello stesso, nonché per il periodo necessario alla restituzione o cancellazione dei dati personali ai sensi della Sezione 13.

4. Natura e finalità del trattamento

Il Responsabile tratta i dati personali esclusivamente per le seguenti finalità, tutte strettamente necessarie all'erogazione dei servizi previsti dal Contratto Principale:

• Gestione degli account utente: registrazione, autenticazione (magic link OTP), gestione profili e preferenze.
• Erogazione dei servizi di formazione: tracciamento dei progressi formativi, quiz, certificazioni, passaporto delle competenze.
• Assistenza AI: elaborazione delle conversazioni con l'assistente AI per fornire risposte contestualizzate, estrazione di segnali lead da messaggi forniti volontariamente dall'utente.
• Assessment e consulenza: elaborazione dei dati inseriti negli assessment di maturità AI, generazione di report e raccomandazioni personalizzate.
• Gestione abbonamenti e pagamenti: elaborazione dei dati di fatturazione e delle transazioni tramite il gateway di pagamento Stripe.
• Comunicazioni di servizio: invio di email transazionali (conferme, notifiche, promemoria) e, previo consenso, comunicazioni commerciali.

5. Tipi di dati personali

Nell'ambito dell'erogazione dei servizi, il Responsabile può trattare le seguenti categorie di dati personali:

• Dati identificativi: nome, cognome, indirizzo email, indirizzo email PEC (ove fornito).
• Dati professionali: denominazione dello studio/azienda, ruolo professionale, settore di attività, dimensione organizzativa.
• Dati di fatturazione: ragione sociale, partita IVA, codice fiscale, indirizzo di fatturazione, codice SDI/PEC.
• Dati di utilizzo della piattaforma: progressi formativi, risultati quiz, certificazioni ottenute, tempo di studio, interazioni con l'assistente AI.
• Dati tecnici: indirizzo IP, dati di sessione, user-agent del browser, log di accesso.
• Contenuti generati dall'utente: messaggi inviati all'assistente AI, risposte agli assessment, note e annotazioni.

Il Responsabile non tratta categorie particolari di dati personali (Art. 9 GDPR) né dati relativi a condanne penali (Art. 10 GDPR). Il Titolare si impegna a non inserire tali dati nella piattaforma.

6. Categorie di interessati

I dati personali trattati riguardano le seguenti categorie di interessati:

• Dipendenti e collaboratori del Titolare registrati sulla piattaforma
• Professionisti e soci dello studio del Titolare
• Referenti amministrativi e di fatturazione del Titolare
• Eventuali clienti del Titolare i cui dati siano inseriti nella piattaforma per finalità di consulenza

7. Obblighi del Responsabile del trattamento

Ai sensi dell'Art. 28(3) GDPR, il Responsabile si obbliga a quanto segue:

7.1 Istruzioni documentate — Art. 28(3)(a)

Il Responsabile tratta i dati personali esclusivamente sulla base di istruzioni documentate del Titolare, anche in caso di trasferimento verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o dello Stato membro cui è soggetto il Responsabile; in tal caso, il Responsabile informa il Titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico. Le istruzioni del Titolare sono contenute nel Contratto Principale, nel presente DPA e in eventuali istruzioni scritte successive.

7.2 Riservatezza — Art. 28(3)(b)

Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza. Tutto il personale di Gitogi che accede ai dati personali del Titolare è vincolato da accordi di riservatezza e riceve formazione periodica in materia di protezione dei dati personali.

7.3 Misure di sicurezza — Art. 28(3)(c) e Art. 32

Il Responsabile adotta tutte le misure tecniche e organizzative necessarie per garantire un livello di sicurezza adeguato al rischio, ai sensi dell'Art. 32 GDPR. Le misure di sicurezza sono descritte in dettaglio nella pagina Misure di sicurezza.

• Cifratura dei dati: dati cifrati in transito (TLS 1.3) e a riposo (AES-256). Dati sensibili (token, chiavi API) cifrati a livello applicativo.
• Controllo degli accessi: autenticazione a fattori multipli, principio del privilegio minimo (Row Level Security), separazione dei ruoli.
• Resilienza dei sistemi: backup automatici giornalieri, disaster recovery, monitoraggio continuo con alerting.
• Gestione degli incidenti: procedura documentata di incident response, log di audit immutabili.
• Minimizzazione dei dati: raccolta limitata allo stretto necessario, pseudonimizzazione ove tecnicamente fattibile, retention policy con cancellazione automatica.
• Test periodici: valutazione e testing regolare dell'efficacia delle misure tecniche e organizzative, ai sensi dell'Art. 32(1)(d) GDPR.

7.4 Sub-responsabili — Art. 28(2) e 28(4)

Il Titolare conferisce al Responsabile un'autorizzazione generale al ricorso ad altri responsabili del trattamento (sub-responsabili), ai sensi dell'Art. 28(2) GDPR. Il Responsabile informa il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili, dando così al Titolare l'opportunità di opporsi a tali modifiche con un preavviso di almeno 30 giorni. L'elenco aggiornato dei sub-responsabili è disponibile alla pagina Elenco sub-responsabili.

7.5 Assistenza per i diritti degli interessati — Art. 28(3)(e)

Il Responsabile assiste il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al Capo III del GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). Il Responsabile notifica tempestivamente al Titolare qualsiasi richiesta ricevuta direttamente da un interessato, senza darvi seguito autonomamente salvo diversa istruzione del Titolare.

7.6 Assistenza per le violazioni — Art. 28(3)(f), Art. 33 e 34

Il Responsabile assiste il Titolare nel garantire il rispetto degli obblighi di notifica delle violazioni dei dati personali all'Autorità di Controllo (Art. 33 GDPR) e di comunicazione agli interessati (Art. 34 GDPR), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile. Le modalità di notifica sono disciplinate dalla Sezione 11 del presente DPA.

7.7 Cancellazione o restituzione — Art. 28(3)(g)

Al termine della prestazione dei servizi relativi al trattamento, il Responsabile, a scelta del Titolare, cancella o restituisce tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell'Unione o dello Stato membro non ne preveda la conservazione. Le modalità sono disciplinate dalla Sezione 13 del presente DPA.

7.8 Audit — Art. 28(3)(h)

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'Art. 28 GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato. Le modalità sono disciplinate dalla Sezione 14 del presente DPA.

8. Obblighi del Titolare del trattamento

Il Titolare si impegna a:

• Liceità del trattamento: garantire che il trattamento dei dati personali affidato al Responsabile sia conforme al GDPR, al Codice Privacy e alla normativa applicabile, e si fondi su una valida base giuridica.
• Istruzioni documentate: fornire istruzioni di trattamento documentate, lecite e ragionevoli. Il Titolare è responsabile di garantire che le istruzioni impartite siano conformi alla normativa applicabile.
• Informativa agli interessati: assicurare che gli interessati siano stati adeguatamente informati circa il trattamento dei loro dati personali, ivi incluso il ricorso a responsabili e sub-responsabili del trattamento, ai sensi degli Artt. 13 e 14 GDPR.
• Categorie particolari di dati: non inserire nella piattaforma categorie particolari di dati personali (Art. 9 GDPR) o dati relativi a condanne penali (Art. 10 GDPR), salvo previo accordo scritto con il Responsabile.
• Cooperazione: cooperare con il Responsabile per l'adempimento degli obblighi derivanti dal GDPR, inclusa la risposta alle richieste degli interessati e alle richieste dell'Autorità di Controllo.

9. Sub-responsabili del trattamento

Il Titolare conferisce al Responsabile un'autorizzazione generale preventiva al ricorso a sub-responsabili del trattamento, ai sensi dell'Art. 28(2) GDPR. Il Responsabile impone a ciascun sub-responsabile, mediante contratto o altro atto giuridico a norma del diritto dell'Unione o dello Stato membro, i medesimi obblighi in materia di protezione dei dati contenuti nel presente DPA, ai sensi dell'Art. 28(4) GDPR.

Il Responsabile informa il Titolare di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili con un preavviso minimo di 30 giorni, per consentire al Titolare di esprimere eventuali obiezioni. In assenza di obiezioni entro il termine indicato, la modifica si intende approvata. In caso di obiezione motivata, le parti si impegnano a negoziare in buona fede una soluzione. Qualora non sia possibile raggiungere un accordo, il Titolare ha diritto di risolvere il Contratto Principale limitatamente ai servizi interessati.

L'elenco completo e aggiornato dei sub-responsabili è disponibile alla pagina Elenco sub-responsabili.

10. Trasferimenti internazionali di dati

Il Responsabile archivia i dati personali primari nell'Unione Europea (Supabase, regione eu-central-1, Francoforte). Alcuni sub-responsabili possono trattare dati personali al di fuori dello Spazio Economico Europeo, esclusivamente nei limiti strettamente necessari all'erogazione dei servizi.

Per tutti i trasferimenti verso paesi terzi, il Responsabile garantisce l'applicazione di uno o più dei seguenti meccanismi di trasferimento previsti dal Capo V del GDPR:

• Decisione di adeguatezza: EU-US Data Privacy Framework (DPF), ai sensi dell'Art. 45 GDPR e della Decisione di esecuzione (UE) 2023/1795 della Commissione del 10 luglio 2023.
• Clausole contrattuali tipo (SCCs): moduli approvati dalla Commissione con la Decisione di esecuzione (UE) 2021/914, integrate ove necessario da misure supplementari ai sensi della sentenza Schrems II (C-311/18) e delle Raccomandazioni EDPB 01/2020.
• Valutazione di impatto del trasferimento (TIA): il Responsabile effettua una valutazione documentata del livello di protezione offerto dal paese terzo per ciascun sub-responsabile extra-UE, ai sensi delle Raccomandazioni EDPB 01/2020.

11. Notifica delle violazioni dei dati personali

In caso di violazione dei dati personali che interessi i dati trattati per conto del Titolare, il Responsabile notifica il Titolare senza ingiustificato ritardo e comunque entro 48 ore dal momento in cui ne viene a conoscenza, al fine di consentire al Titolare di adempiere all'obbligo di notifica all'Autorità di Controllo entro 72 ore ai sensi dell'Art. 33 GDPR. La notifica contiene almeno:

• Descrizione della violazione: natura della violazione, categorie e numero approssimativo di interessati e di registrazioni di dati personali coinvolti.
• Punto di contatto: nome e recapiti del referente privacy del Responsabile.
• Conseguenze probabili: descrizione delle probabili conseguenze della violazione.
• Misure adottate: descrizione delle misure adottate o di cui si propone l'adozione per porre rimedio alla violazione e, se del caso, per attenuarne i possibili effetti negativi.
• Cronologia: sequenza temporale degli eventi noti al momento della notifica.
• Dati coinvolti: tipologie di dati personali coinvolti nella violazione.

Il Responsabile coopera con il Titolare e adotta tutte le misure ragionevoli per assistere nelle indagini, nella mitigazione e nella risoluzione della violazione. Il Responsabile documenta ogni violazione in un registro interno ai sensi dell'Art. 33(5) GDPR.

12. Assistenza per la valutazione d'impatto (DPIA)

Il Responsabile assiste il Titolare nello svolgimento della valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'Art. 35 GDPR e nell'eventuale consultazione preventiva dell'Autorità di Controllo ai sensi dell'Art. 36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

L'assistenza include la fornitura di informazioni relative alle misure di sicurezza tecniche e organizzative adottate, ai sub-responsabili coinvolti, alle categorie di dati trattati e a ogni altro elemento utile alla conduzione della DPIA da parte del Titolare.

13. Restituzione e cancellazione dei dati

Al termine della prestazione dei servizi di trattamento o alla risoluzione del Contratto Principale, il Responsabile, entro 30 giorni dalla richiesta del Titolare e a scelta di quest'ultimo:

• Restituisce tutti i dati personali al Titolare in un formato strutturato, di uso comune e leggibile da dispositivo automatico (CSV, JSON), e cancella le copie esistenti.
• Cancella tutti i dati personali e le copie esistenti, certificando per iscritto l'avvenuta cancellazione.

In assenza di istruzioni scritte del Titolare entro 30 giorni dalla cessazione del servizio, il Responsabile procede alla cancellazione automatica dei dati personali e di tutte le copie entro ulteriori 30 giorni. Resta salvo l'obbligo di conservazione previsto dal diritto dell'Unione o dello Stato membro applicabile, nel qual caso il Responsabile informa il Titolare e limita il trattamento alla sola conservazione, proteggendo i dati con adeguate misure di sicurezza.

14. Diritti di audit

Ai sensi dell'Art. 28(3)(h) GDPR, il Titolare o un revisore terzo indipendente da questi incaricato ha il diritto di effettuare audit per verificare la conformità del Responsabile agli obblighi previsti dal presente DPA, nel rispetto delle seguenti modalità:

• Preavviso: il Titolare comunica la richiesta di audit con un preavviso scritto di almeno 30 giorni lavorativi.
• Frequenza: un audit ordinario all'anno, salvo che una violazione dei dati o una richiesta dell'Autorità di Controllo ne richieda uno straordinario.
• Modalità: l'audit può consistere nella verifica documentale (questionari, certificazioni, report di audit di terze parti) o, se ritenuto necessario dal Titolare e previa ragionevole giustificazione, in un'ispezione in loco presso le sedi del Responsabile.
• Riservatezza: il revisore è vincolato da obblighi di riservatezza. L'audit non deve compromettere la sicurezza dei sistemi o la riservatezza dei dati di altri clienti del Responsabile.

Il Responsabile mette a disposizione del Titolare le certificazioni e i report di audit pertinenti dei propri sub-responsabili (ove disponibili), quali SOC 2 Type II, ISO 27001 e penetration test di terze parti, al fine di ridurre la necessità di ispezioni in loco.

15. Responsabilità

Ciascuna parte è responsabile nei confronti dell'altra per i danni derivanti dalla violazione del presente DPA, nel rispetto di quanto previsto dall'Art. 82 GDPR. Il Responsabile è esonerato dalla responsabilità ai sensi dell'Art. 82(3) GDPR se dimostra che l'evento dannoso non gli è in alcun modo imputabile.

Le limitazioni di responsabilità eventualmente previste dal Contratto Principale si applicano anche al presente DPA, salvo che la normativa applicabile non consenta la limitazione della responsabilità per violazioni della normativa sulla protezione dei dati personali.

16. Durata e risoluzione

Il presente DPA entra in vigore contestualmente al Contratto Principale e resta efficace per tutta la durata del Contratto Principale e per il periodo ulteriore necessario al completamento delle operazioni di restituzione o cancellazione dei dati di cui alla Sezione 13.

La risoluzione del Contratto Principale comporta automaticamente la cessazione del presente DPA, fatti salvi gli obblighi di restituzione, cancellazione e riservatezza che sopravvivono alla cessazione.

17. Legge applicabile e foro competente

Il presente DPA è regolato dalla legge italiana e dal Regolamento (UE) 2016/679 (GDPR). Per quanto non espressamente disciplinato, si applicano le disposizioni del Codice Civile italiano e del D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.

Per qualsiasi controversia derivante dall'interpretazione o dall'esecuzione del presente DPA, le parti si impegnano a un tentativo di conciliazione stragiudiziale. In caso di mancata conciliazione, il Foro di Milano avrà competenza esclusiva.

18. Contatti

Per qualsiasi questione relativa al presente DPA o al trattamento dei dati personali:

• Ragione sociale: Gitogi Srl — IT14288420962
• Sede legale: Piazza IV Novembre 4, 20124 Milano
• Email: privacy@gitogi.com
• PEC: pec@pec.gitogi.com

Documenti correlati:

• Informativa Privacy
• Elenco sub-responsabili
• Misure di sicurezza tecniche e organizzative
• Termini di servizio
• Trasparenza AI