Accordo sul Trattamento dei Dati (DPA)

Versione: 1.0 — Data di efficacia: 1 maggio 2026.

Il presente Accordo sul Trattamento dei Dati ("DPA") è reso pubblico e pre-sottoscritto da Compiuta S.r.l. Esso costituisce parte integrante e sostanziale delle Condizioni Generali di Contratto tra il Cliente e Compiuta. L'immissione di dati nella piattaforma Connhex comporta l'accettazione integrale del presente DPA.

Il presente Accordo è stipulato tra:

Il Cliente — la persona fisica o giuridica registrata per l'utilizzo della piattaforma Connhex (la "Società" o il "Titolare"), e

Compiuta S.r.l. — con sede in Via T. Vecellio, 169 B, 35132 Padova (PD), Italia, P.IVA: IT 05375100285 (il "Responsabile")

(di seguito congiuntamente le "Parti")

PREMESSO CHE:

(A) La Società agisce in qualità di Titolare del trattamento in relazione ai Dati del Cliente immessi nella piattaforma Connhex.

(B) La Società intende avvalersi dei servizi di Compiuta, la quale agirà in qualità di Responsabile del trattamento ai sensi dell'art. 28 GDPR per il trattamento di determinati dati personali per conto della Società.

(C) Le Parti intendono disciplinare il trattamento dei dati in conformità ai requisiti del Regolamento (UE) 2016/679 ("GDPR") e della normativa nazionale vigente (D.Lgs. 196/2003 e successive modifiche).

(D) Le Parti intendono definire i rispettivi diritti e obblighi.

SI CONVIENE QUANTO SEGUE:

1. Definizioni e Interpretazione​

1.1 I termini utilizzati nel presente Accordo avranno il seguente significato:

• "Accordo": il presente Accordo sul Trattamento dei Dati e i relativi allegati;
• "Dati Personali della Società": ogni dato personale trattato da Compiuta per conto della Società in esecuzione dei Servizi;
• "SEE": Spazio Economico Europeo;
• "Normativa Privacy": il GDPR, il D.Lgs. 196/2003 e ogni altra disposizione normativa o provvedimento dell'Autorità Garante applicabile;
• "Sub-responsabile": ogni soggetto terzo nominato da Compiuta per l'esecuzione di specifiche attività di trattamento per conto della Società;
• "Servizi": la piattaforma SaaS Connhex, comprensiva delle funzionalità di gestione dispositivi, monitoraggio, alerting, archiviazione dati e visualizzazione, accessibile tramite dashboard.connhex.com e apis.connhex.com.

1.2 I termini "Titolare", "Responsabile", "Interessato", "Trattamento", "Violazione dei dati personali" e "Autorità di Controllo" avranno il significato loro attribuito dal GDPR.

2. Oggetto e Natura del Trattamento​

2.1 Oggetto: Il trattamento riguarda la telemetria dei dispositivi IoT, le letture dei sensori, i dati di configurazione, i metadati dei dispositivi e ogni altro dato immesso dalla Società nella piattaforma Connhex per finalità di gestione dispositivi, monitoraggio, alerting, archiviazione e visualizzazione dei dati.

2.2 Natura dei dati personali: Compiuta non determina né controlla la natura dei dati immessi dalla Società nella piattaforma. La Società, in qualità di Titolare, è l'unica responsabile della liceità, accuratezza e natura di qualsiasi dato immesso, inclusi eventuali dati personali. La Società garantisce di disporre di una valida base giuridica per il trattamento e di aver fornito l'informativa necessaria agli interessati i cui dati personali sono immessi nella piattaforma.

2.3 Categorie di interessati: Le persone fisiche i cui dati personali possono essere contenuti nei Dati del Cliente immessi dalla Società, determinate esclusivamente dalla Società stessa.

2.4 Durata: Il presente DPA ha la stessa durata del rapporto contrattuale principale disciplinato dalle Condizioni Generali.

3. Trattamento dei Dati Personali della Società​

3.1 Compiuta si impegna a:

• trattare i Dati Personali della Società esclusivamente sulla base delle istruzioni documentate della Società (incluse quelle contenute nel presente Accordo);
• non trattare i Dati Personali della Società per finalità diverse, salvo obbligo derivante dal diritto dell'UE o degli Stati Membri, nel qual caso Compiuta informerà la Società del requisito legale prima del trattamento, salvo divieto di legge;
• informare immediatamente la Società qualora un'istruzione violi la Normativa Privacy;
• rispettare la Normativa Privacy applicabile nel trattamento dei Dati Personali della Società.

3.2 La Società incarica Compiuta di trattare i Dati Personali della Società per le finalità di erogazione dei Servizi descritte all'art. 2.

4. Personale Autorizzato​

Compiuta adotta misure ragionevoli per garantire che qualsiasi dipendente, collaboratore o appaltatore che possa avere accesso ai Dati Personali della Società: (a) sia soggetto ad adeguati obblighi di riservatezza o a obblighi professionali di riservatezza; e (b) abbia accesso esclusivamente nella misura strettamente necessaria all'esecuzione delle proprie mansioni in relazione all'erogazione dei Servizi.

5. Misure di Sicurezza​

5.1 Tenuto conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche, Compiuta implementa misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio, ai sensi dell'art. 32 GDPR, tra cui:

• Cifratura dei dati in transito (TLS) e a riposo;
• Controlli di accesso logico basati su ruoli (RBAC);
• Sistemi di logging e audit degli accessi ai Dati Personali della Società;
• Utilizzo di infrastrutture certificate ISO 27001 (Hetzner Online GmbH).

5.2 Compiuta tiene conto dei rischi presentati dal trattamento, in particolare derivanti da violazioni dei dati personali, nella valutazione e nel mantenimento di un adeguato livello di sicurezza.

6. Sub-trattamento​

6.1 Autorizzazione Generale: La Società concede un'autorizzazione generale a Compiuta per la nomina di Sub-responsabili. L'elenco aggiornato è disponibile su connhex.com/legal/subprocessors.

6.2 Informazione e Opposizione: Compiuta informerà la Società di ogni modifica relativa ai Sub-responsabili con un preavviso di trenta (30) giorni, aggiornando l'elenco e inviando notifica all'indirizzo email dell'account registrato. La Società può opporsi alla modifica per comprovati motivi di protezione dei dati entro tale termine, notificando Compiuta all'indirizzo info@compiuta.com. Qualora le Parti non riescano a risolvere l'opposizione entro un termine ragionevole, la Società potrà recedere dai Servizi interessati con comunicazione scritta.

6.3 Contrattualizzazione: Compiuta impone ai Sub-responsabili obblighi di protezione dei dati non meno stringenti di quelli previsti dal presente Accordo e rimane responsabile nei confronti della Società per gli atti e le omissioni di ciascun Sub-responsabile nella misura in cui Compiuta stessa sarebbe responsabile ai sensi del presente Accordo.

7. Diritti degli Interessati​

7.1 Assistenza: Tenuto conto della natura del trattamento, Compiuta assiste la Società, con misure tecniche e organizzative adeguate, nell'evasione delle richieste di esercizio dei diritti degli interessati ai sensi degli artt. 15-22 GDPR, inclusi diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione.

7.2 Notifica: Qualora Compiuta riceva direttamente una richiesta da un interessato riguardante i Dati Personali della Società, la trasmetterà senza ritardo alla Società e non vi darà riscontro, salvo istruzioni documentate della Società o obbligo di legge, nel qual caso Compiuta informerà la Società del requisito legale prima di rispondere, nella misura consentita dalla legge.

8. Violazione dei Dati Personali (Data Breach)​

8.1 Notifica: Compiuta notificherà alla Società ogni violazione dei dati personali senza ingiustificato ritardo e, in ogni caso, entro 72 ore dal momento in cui ne è venuta a conoscenza, fornendo le informazioni necessarie per gli adempimenti di cui agli artt. 33 e 34 GDPR.

8.2 Cooperazione: Compiuta collaborerà con la Società e adotterà le ragionevoli misure commerciali indicate dalla Società per assistere nell'investigazione, nella mitigazione e nel ripristino a seguito di ogni violazione dei dati personali.

9. Valutazione d'Impatto e Consultazione Preventiva​

Compiuta fornirà ragionevole assistenza alla Società per l'effettuazione di Valutazioni d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 GDPR e per le consultazioni preventive con le Autorità di Controllo ai sensi dell'art. 36 GDPR, esclusivamente in relazione al trattamento dei Dati Personali della Società da parte di Compiuta e tenendo conto della natura del trattamento e delle informazioni a disposizione di Compiuta.

10. Cancellazione e Restituzione dei Dati​

10.1 Alla cessazione del rapporto, Compiuta provvederà, su scelta della Società, alla restituzione o alla cancellazione definitiva di tutti i Dati Personali della Società entro 30 giorni dalla data di cessazione, fatti salvi gli obblighi di conservazione previsti dalla legge.

10.2 Su richiesta scritta della Società nel corso del rapporto, Compiuta provvederà tempestivamente alla cancellazione o alla restituzione dei Dati Personali della Società in un formato strutturato, di uso comune e leggibile da dispositivo automatico.

10.3 Al completamento della cancellazione, Compiuta fornirà, su richiesta, conferma scritta alla Società.

11. Diritti di Audit​

11.1 Compiuta mette a disposizione della Società, su richiesta scritta, le informazioni ragionevolmente necessarie per dimostrare il rispetto dei propri obblighi e consente attività di verifica e ispezione (audit) condotte dalla Società o da un auditor da essa incaricato, a condizione che:

• la Società fornisca a Compiuta un ragionevole preavviso (non inferiore a trenta (30) giorni);
• l'audit si svolga durante il normale orario lavorativo e non interferisca irragionevolmente con le attività di Compiuta; e
• la Società e ogni auditor incaricato sottoscrivano un accordo di riservatezza accettabile per Compiuta prima dell'avvio dell'audit. Le spese di audit sono a carico della Società.

11.2 Compiuta può soddisfare le richieste di audit, in tutto o in parte, fornendo rapporti di audit di terze parti o certificazioni aggiornate (quali la certificazione ISO 27001 per l'infrastruttura Hetzner), ove questi soddisfino adeguatamente le esigenze di verifica della Società.

12. Trasferimenti Internazionali​

12.1 Compiuta non trasferisce né autorizza il trasferimento dei Dati Personali della Società verso paesi al di fuori dell'UE o del SEE senza il previo consenso scritto della Società, salvo quanto previsto dal presente articolo.

12.2 I Dati Personali della Società sono conservati esclusivamente su infrastruttura Hetzner Online GmbH situata nell'UE (Germania e Finlandia). Qualora un Sub-responsabile tratti dati al di fuori del SEE, Compiuta si assicura che siano in vigore adeguate garanzie ai sensi del Capitolo V del GDPR, incluse, ove applicabili, le Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea o il Data Privacy Framework UE–USA.

13. Riservatezza​

Ciascuna Parte è tenuta a mantenere riservate le informazioni ricevute dall'altra Parte in connessione con il presente Accordo, e non può utilizzarle o divulgarle senza il previo consenso scritto dell'altra Parte, salvo: (a) obbligo di legge applicabile; ovvero (b) nella misura in cui le informazioni rilevanti siano già di dominio pubblico senza inadempimento del presente Accordo.

14. Legge Applicabile e Foro Competente​

14.1 Il presente Accordo è regolato dalla legge italiana.

14.2 Ogni controversia in connessione con il presente Accordo che le Parti non riescano a risolvere in via amichevole sarà devoluta alla competenza esclusiva del Foro di Padova.

Allegato A — Modalità di Accettazione​

Il presente DPA si intende perfezionato e vincolante tramite:

• Accettazione online in fase di registrazione o nelle impostazioni della piattaforma, che genera un registro auditabile con marca temporale associata all'account della Società; oppure
• Sottoscrizione per adesione tramite invio di copia firmata a info@compiuta.com.

Per Compiuta S.r.l. (Il Responsabile): Via T. Vecellio, 169 B - 35132 Padova (PD) Data: 1 maggio 2026

Per domande relative al presente DPA, contattare: info@compiuta.com

Compiuta S.r.l. Via T. Vecellio, 169 B - 35132 Padova (PD) - Italy P.IVA: IT 05375100285