Questo accordo sul trattamento dei dati è disponibile in italiano, inglese e tedesco. In caso di discrepanze, fa fede la versione tedesca.

Accordo sul trattamento dei dati (DPA) ai sensi dell’art. 28 GDPR

Premessa

Tra il Cliente di Invoice-Converter.com (di seguito "Titolare") e Felix Graeber, CAYA Postbox 652326, 96035 Bamberg, Germania, Email: (di seguito "Responsabile"), viene stipulato il seguente accordo.

1. Oggetto, durata e specificazione del trattamento

1.1 Oggetto dell’incarico

L’oggetto dell’incarico è l’esecuzione dei servizi concordati nel Contratto principale, in particolare la conversione automatizzata di documenti di fattura (es. PDF, XML) in formati di fattura elettronica strutturati (es. ZUGFeRD, XRechnung) mediante intelligenza artificiale (IA). Ciò include estrazione, validazione, standardizzazione e conversione dei dati di fattura.

1.2 Durata dell’incarico

La durata del presente DPA corrisponde alla durata del Contratto principale tra Titolare e Responsabile. Il DPA termina automaticamente con la cessazione del Contratto principale.

2. Tipo e finalità del trattamento, tipologie di dati personali e categorie di interessati

2.1 Tipo e finalità del trattamento

La finalità del trattamento è consentire le funzionalità di Invoice-Converter.com descritte nel Contratto principale, in particolare la conversione dei documenti di fattura. Il Responsabile tratta dati personali esclusivamente per fornire i servizi secondo il Contratto principale e le istruzioni del Titolare.

2.2 Tipologie di dati personali

Nell’ambito dell’utilizzo di Invoice-Converter.com possono essere trattate le seguenti tipologie di dati personali, nella misura in cui siano contenuti nei documenti di fattura caricati dal Titolare o siano generati durante l’uso:

Dati anagrafici di emittenti e destinatari fattura (nome, azienda, indirizzo)
Dati di contatto (numero di telefono, indirizzo email)
Dati bancari (IBAN, BIC)
Identificativi fiscali (codice fiscale/numero fiscale, partita IVA)
Dettagli della fattura (numero, data, importi, descrizioni delle prestazioni)
Dati utente del Titolare (nome, email dell’account)
Metadati tecnici (indirizzo IP al caricamento, timestamp dell’elaborazione)

2.3 Categorie di interessati

Le categorie di interessati includono:

Clienti (destinatari fattura) del Titolare
Fornitori (emittenti fattura) del Titolare
Referenti presso clienti e fornitori
Eventualmente dipendenti del Titolare, se i loro dati sono contenuti nelle fatture
Utenti dell’account Invoice-Converter.com presso il Titolare

3. Misure tecniche e organizzative (TOM)

Ai sensi dell’art. 32 GDPR, il Responsabile attua misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio per i dati personali trattati. Tali misure sono descritte in dettaglio nell’Allegato 2 del presente accordo e includono, in particolare, misure per garantire riservatezza, integrità, disponibilità e resilienza dei sistemi.

4. Rettifica, limitazione e cancellazione dei dati

Il Responsabile rettifica, cancella o limita il trattamento dei dati trattati per conto del Titolare solo su istruzione documentata del Titolare. Se un interessato contatta direttamente il Responsabile, la richiesta viene inoltrata al Titolare immediatamente, e comunque entro 24 ore. Alla cessazione del Contratto principale, i dati vengono cancellati secondo quanto previsto nella Sezione 11 del presente DPA.

5. Obblighi del Responsabile

Il Responsabile garantisce in particolare:

Trattamento dei dati personali solo su istruzioni documentate del Titolare.
Che le persone autorizzate al trattamento siano vincolate per iscritto alla riservatezza.
Attuazione e rispetto delle TOM descritte nell’Allegato 2.
Assistenza al Titolare nell’adempimento dei suoi obblighi (es. diritti degli interessati, notifica di violazioni, valutazioni d’impatto).
Abilitazione e supporto agli audit del Titolare ai sensi della Sezione 8.
Nessuna correzione, cancellazione o limitazione del trattamento non autorizzata.
Informare il Titolare se ritiene che un’istruzione violi la normativa privacy applicabile.
Cooperazione con l’autorità di controllo competente nei limiti del possibile e fornitura al Titolare delle informazioni necessarie.

Non è stato nominato un Responsabile della Protezione dei Dati (DPO) presso il Responsabile, poiché non ricorrono i requisiti dell’art. 37 GDPR. Referente: Felix Graeber, .

6. Sub‑responsabili

Il Responsabile è autorizzato a coinvolgere sub‑responsabili per l’erogazione dei servizi contrattuali. I sub‑responsabili attualmente impiegati e approvati dal Titolare sono elencati nell’Allegato 1 del presente accordo. Il Responsabile informa il Titolare 14 giorni di calendario prima di coinvolgere un nuovo sub‑responsabile via email e concede al Titolare la possibilità di opporsi per iscritto entro tale termine. Con i sub‑responsabili saranno stipulati contratti conformi ai requisiti dell’art. 28 GDPR.

7. Diritti e obblighi del Titolare

Il Titolare è l’unico responsabile della valutazione della liceità del trattamento e della tutela dei diritti degli interessati. Il Titolare impartisce ordini e istruzioni in forma documentata. Le istruzioni verbali devono essere confermate immediatamente per iscritto o in forma testuale.

8. Diritti di audit del Titolare

Il Titolare ha il diritto di verificare, nella misura necessaria, la conformità del Responsabile alle disposizioni di legge in materia di protezione dei dati e agli accordi contrattuali. Il Responsabile si impegna a fornire al Titolare, su richiesta, le informazioni necessarie e la relativa documentazione (es. TOM, certificazioni).

Se le evidenze da remoto risultano oggettivamente insufficienti, il Titolare può effettuare un audit in loco con preavviso di almeno 14 giorni durante il normale orario lavorativo. I costi dell’audit in loco sono a carico del Titolare, salvo che l’audit rilevi una violazione sostanziale del presente accordo o della normativa privacy applicabile da parte del Responsabile. L’impegno del Responsabile è limitato a quattro (4) ore lavorative.

9. Notifica di violazioni

Il Responsabile informa il Titolare senza ingiustificato ritardo di qualsiasi violazione delle disposizioni in materia di protezione dei dati o degli accordi contrattuali connessi al trattamento dei dati del Titolare. Ciò vale in particolare per le violazioni dei dati personali ai sensi dell’art. 33 GDPR.

10. Diritto di istruzione del Titolare

Il Responsabile può trattare i dati solo nell’ambito degli accordi stipulati e secondo le istruzioni del Titolare. Il Responsabile informa immediatamente il Titolare se ritiene che un’istruzione violi la normativa privacy applicabile.

11. Cancellazione e restituzione dei dati personali

Alla cessazione del Contratto principale o in qualsiasi momento su richiesta del Titolare, il Responsabile, a scelta del Titolare, cancella o restituisce tutti i dati personali oggetto del presente DPA, salvo obblighi legali di conservazione in capo al Responsabile. Se il Titolare non impartisce istruzioni entro 30 giorni dalla fine del contratto, tutti i dati personali saranno cancellati per impostazione predefinita.
I documenti caricati vengono cancellati immediatamente dopo l’elaborazione nell’ambito del normale funzionamento e non vengono conservati in modo persistente.

12. Responsabilità

Le parti rispondono verso gli interessati ai sensi dell’art. 82 GDPR in solido. Nei rapporti interni vale quanto segue: ciascuna parte risarcisce l’altra per i danni di propria competenza; il Responsabile manleva il Titolare da pretese nella misura in cui siano fondate su una violazione colposa dei doveri da parte del Responsabile.

13. Disposizioni finali

Modifiche e integrazioni del presente DPA devono essere effettuate per iscritto.
Qualora singole disposizioni del presente DPA siano o diventino invalide, la validità delle restanti disposizioni rimane invariata.
Si applica il diritto tedesco.
Le parti concordano che la conclusione del presente accordo può avvenire anche in forma elettronica tramite spunta di una casella e registrazione di data, ora, indirizzo IP e User ID, soddisfacendo così il requisito della forma scritta di cui all’art. 28 (9) GDPR.
Il foro competente, nella misura consentita, è Bamberg.

Versione: 28 aprile 2025

Allegato 1: Sub‑responsabili autorizzati

Il Titolare acconsente all'ingaggio dei seguenti sub‑responsabili a condizione che venga stipulato un accordo contrattuale conforme all'art. 28 (2–4) GDPR:

N.	Azienda	Indirizzo	Servizio	Luogo del trattamento	Accesso ai dati
1	Render, Inc.	525 Brannan St STE 300, San Francisco, CA 94107, USA	Hosting dell’applicazione web e dell’infrastruttura backend	Francoforte (Germania)	Contenuti e metadati
2	OpenAI Ireland Ltd. / OpenAI, L.L.C.	6th Floor, South Bank House, Barrow Street, Dublin 4, Irlanda / 3180 18th St, San Francisco, CA 94110, USA	Fornitura di API IA (modelli GPT) per l’estrazione dei dati	UE/SEE (primario), USA (con SCC)	Contenuti e metadati
3	Mistral AI	15 Rue des Halles, 75001 Paris, Francia	Fornitura di API IA per l’estrazione dei dati	UE	Contenuti e metadati
4	Google Ireland Ltd. / Google LLC	Gordon House, Barrow Street, Dublin 4, Irlanda / 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Fornitura di API IA per l’estrazione dei dati	UE/SEE, USA (con SCC)	Contenuti e metadati
5	Cloudflare, Inc.	101 Townsend St, San Francisco, CA 94107, USA	Content Delivery Network (CDN), Web Application Firewall (WAF), protezione DDoS	Globale (trattamento dati principalmente in UE/SEE, USA con SCC)	Metadati
6	Stripe Technology Europe, Limited / Stripe, Inc.	The One Building, 1 Grand Canal Street Lower, Dublin 2, Irlanda / 354 Oyster Point Blvd, South San Francisco, CA 94080, USA	Elaborazione dei pagamenti per gli abbonamenti	UE/SEE, USA (con SCC)	Metadati
7	Supabase, Inc.	970 Terra Bella Ave, Mountain View, CA 94043, USA	Autenticazione, database utenti	Francoforte (Germania), USA (con SCC per supporto/amministrazione)	Metadati
8	Google Ireland Ltd. / Google LLC	Gordon House, Barrow Street, Dublin 4, Irlanda / 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA	Google Tag Manager e Google Analytics (analisi web, gestione tag)	UE/SEE, USA (con SCC)	Metadati
9	Vercel, Inc.	340 S Lemon Ave #4133, Walnut, CA 91789, USA	Hosting del frontend	UE/SEE, USA (con SCC)	Metadati
10	Koyeb SAS	15 Rue des Halles, 75001 Paris, Francia	Hosting dell’applicazione web e dell’infrastruttura backend	UE	Contenuti e metadati

I trasferimenti verso paesi terzi (es. USA) si basano su Standard Contractual Clauses (SCC) ai sensi dell’art. 46 GDPR, integrate da misure aggiuntive ove necessario.

Allegato 2: Misure tecniche e organizzative (TOM)

1. Riservatezza (art. 32, par. 1, lett. b GDPR)

Controllo accesso (fisico): l’accesso fisico ai server è controllato dall’operatore del data center (Render tramite AWS Francoforte) con misure standard di settore (servizio di sicurezza, videosorveglianza, sistemi di accesso). Nessun accesso fisico diretto per il personale del Responsabile.
Controllo accesso (logico): protezione dei sistemi da utilizzi non autorizzati mediante: firewall (Cloudflare WAF, firewall di sistema), cifratura delle comunicazioni (SSL/TLS), policy robuste di password e autenticazione a più fattori (MFA) per gli accessi amministrativi, autorizzazioni basate su ruoli con principio del minimo privilegio.
Controllo accesso (dati): garanzia che le persone autorizzate possano accedere solo ai dati per i quali hanno permesso e che i dati non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento, l’uso e dopo l’archiviazione tramite: modello di autorizzazioni dettagliato, logging degli accessi a livello di sistema, cifratura dei supporti (ove rilevante, pur non essendoci archiviazione persistente dei documenti dei clienti), impegno alla riservatezza.
Separazione: separazione logica dei dati dei clienti tramite multi‑tenant nell’applicazione. Separazione rigorosa tra ambienti di produzione, test e sviluppo.

2. Integrità (art. 32, par. 1, lett. b GDPR)

Controllo trasmissione: garanzia che i dati non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione elettronica o il trasporto mediante: cifratura (SSL/TLS) per tutte le connessioni esterne (frontend utenti, chiamate API ai sub‑responsabili). Uso di protocolli sicuri (HTTPS, SSH).
Controllo inserimento: tracciabilità di se e da chi i dati sono stati inseriti, modificati o rimossi mediante: registrazione delle fasi essenziali di trattamento e degli eventi di sistema (audit log). Nessuna possibilità per l’utente di modificare direttamente i dati caricati dopo l’avvio dell’elaborazione.

3. Disponibilità e resilienza (art. 32, par. 1, lett. b GDPR)

Controllo disponibilità: protezione da distruzione o perdita accidentale mediante: sistemi ridondanti presso il provider di hosting (Render tramite AWS), backup regolari della configurazione di sistema e dei dati applicativi (non dei documenti dei clienti elaborati), monitoraggio della disponibilità, protezione DDoS tramite Cloudflare.
Ripristino rapido (art. 32, par. 1, lett. c GDPR): capacità di ripristinare tempestivamente disponibilità e accesso ai dati personali in caso di incidente fisico o tecnico mediante: processi di backup e recovery dei componenti di sistema, uso di Infrastructure‑as‑Code per ripristini rapidi dell’ambiente.

4. Procedure di test, valutazione e verifica periodica (art. 32, par. 1, lett. d GDPR; art. 25, par. 1 GDPR)

Verifica regolare delle impostazioni di sicurezza e delle TOM.
Uso di strumenti per rilevamento vulnerabilità e patch management automatizzato.
Privacy by design e by default: minimizzazione dei dati (nessuna conservazione dei documenti elaborati oltre l’operazione di trattamento), limitazione della finalità.
Gestione incidenti (Incident Response) per reagire a eventi di sicurezza.
Controllo dell’incarico: garanzia di trattamento vincolato alle istruzioni tramite processi chiari e documentazione.