Crea un account
Crea un account

Accordo sul Trattamento dei Dati

ReportSecurely
Skiwo AS · Pilestredet 17, 0164 Oslo · privacy@reportsecurely.com
Effective date: 23 January 2026

Questo documento è stato tradotto per comodità. In caso di discrepanza, prevarrà la versione inglese.

Il presente Accordo sul Trattamento dei Dati ("DPA") costituisce parte integrante dell'accordo tra il cliente ("Titolare") e Skiwo AS, che gestisce la piattaforma Report Securely ("Responsabile"), per la fornitura di servizi di whistleblowing e segnalazione sicura (il "Servizio").

Il presente DPA è stipulato in conformità ai requisiti dell'Articolo 28 del Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 ("GDPR") e disciplina il trattamento dei dati personali da parte del Responsabile per conto del Titolare.

1. Definizioni

I termini utilizzati nel presente DPA hanno lo stesso significato del GDPR salvo diversa definizione. "Dati Personali" indica qualsiasi dato personale trattato dal Responsabile per conto del Titolare in relazione al Servizio. "Sub-responsabile" indica qualsiasi terza parte incaricata dal Responsabile di trattare Dati Personali per conto del Titolare.

2. Ambito e finalità del trattamento

Il Responsabile tratta i Dati Personali esclusivamente allo scopo di fornire il Servizio al Titolare, come descritto nell'accordo di servizio principale e nel presente DPA.

Le categorie di interessati includono: segnalanti (whistleblower), persone menzionate nelle segnalazioni, gestori dei casi e utenti autorizzati all'interno dell'organizzazione del Titolare. Le tipologie di dati personali trattati possono includere: nomi, recapiti, contenuto delle segnalazioni, comunicazioni tra segnalanti e gestori dei casi, metadati dei casi e log di audit.

La durata del trattamento corrisponde alla durata dell'accordo di servizio principale, più eventuali periodi di conservazione richiesti dalla legge applicabile o concordati tra le parti.

3. Obblighi del Responsabile del trattamento

Il Responsabile del trattamento deve:

  • Trattare i Dati personali solo su istruzioni documentate del Titolare del trattamento, salvo quando richiesto dalla legge applicabile
  • Garantire che le persone autorizzate a trattare i Dati personali siano vincolate da obblighi di riservatezza
  • Implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio
  • Non ricorrere a un altro responsabile del trattamento (sub-responsabile) senza previa autorizzazione scritta del Titolare del trattamento
  • Assistere il Titolare del trattamento nel rispondere alle richieste degli interessati ai sensi degli articoli 15–22 del GDPR
  • Assistere il Titolare del trattamento nel garantire la conformità agli articoli 32–36 del GDPR (sicurezza, notifica di violazione, valutazioni d'impatto)
  • A scelta del Titolare del trattamento, cancellare o restituire tutti i Dati personali al termine del Servizio, salvo quando la conservazione è richiesta dalla legge applicabile
  • Mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi stabiliti nel presente DPA e nell'articolo 28 del GDPR

4. Misure di sicurezza

Il Responsabile del trattamento implementa e mantiene le seguenti misure di sicurezza tecniche e organizzative:

  • Crittografia dei dati in transito (TLS 1.2 o superiore) e a riposo (AES-256)
  • Controllo degli accessi basato sui ruoli con principio del privilegio minimo
  • Registrazione di audit di tutte le azioni significative all'interno della piattaforma
  • Test di sicurezza regolari e valutazioni delle vulnerabilità
  • Pratiche di sviluppo software sicuro secondo le linee guida OWASP
  • Backup automatici con archiviazione crittografata
  • Header di sicurezza rigorosi (HSTS, CSP, X-Frame-Options)

Il Responsabile del trattamento rivede e aggiorna regolarmente queste misure per riflettere lo stato dell'arte attuale e la natura, l'ambito e le finalità del trattamento.

5. Sub-responsabili del trattamento

Il Titolare del trattamento fornisce un'autorizzazione generale al Responsabile del trattamento per coinvolgere sub-responsabili, soggetto alle condizioni di questa sezione.

Il Responsabile del trattamento deve informare il Titolare del trattamento di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili, dando al Titolare l'opportunità di opporsi a tali modifiche.

Quando il Responsabile del trattamento coinvolge un sub-responsabile, deve imporre gli stessi obblighi di protezione dei dati stabiliti in questo DPA mediante contratto, garantendo che il sub-responsabile fornisca garanzie sufficienti per implementare misure tecniche e organizzative appropriate.

Il Responsabile del trattamento rimane pienamente responsabile nei confronti del Titolare del trattamento per l'adempimento degli obblighi del sub-responsabile.

6. Trasferimenti di dati

Tutti i Dati Personali sono archiviati ed elaborati all'interno dello Spazio Economico Europeo (SEE).

Il Responsabile del Trattamento non trasferirà Dati Personali verso un paese al di fuori del SEE o verso un'organizzazione internazionale a meno che: (a) il Titolare del Trattamento abbia fornito autorizzazione scritta preventiva, e (b) siano in atto garanzie adeguate in conformità al Capitolo V del GDPR, quali le Clausole Contrattuali Standard dell'UE o una decisione di adeguatezza della Commissione Europea.

7. Notifica di violazione dei dati

Il Responsabile del Trattamento notificherà al Titolare del Trattamento senza indebito ritardo dopo essere venuto a conoscenza di una violazione dei dati personali che interessa i Dati Personali trattati ai sensi del presente DPA.

La notifica includerà: una descrizione della natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le probabili conseguenze della violazione e le misure adottate o proposte per affrontare la violazione.

8. Diritti di verifica

Il Responsabile del Trattamento metterà a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi stabiliti nell'Articolo 28 del GDPR e nel presente DPA, e consentirà e contribuirà alle verifiche, comprese le ispezioni, condotte dal Titolare del Trattamento o da un altro revisore incaricato dal Titolare del Trattamento.

Le verifiche saranno condotte con ragionevole preavviso e durante il normale orario lavorativo, e non dovranno interrompere irragionevolmente le operazioni del Responsabile del Trattamento.

9. Cancellazione e restituzione dei dati

Al termine del Servizio, il Responsabile del Trattamento, a scelta del Titolare del Trattamento, cancellerà o restituirà tutti i Dati Personali al Titolare del Trattamento e cancellerà le copie esistenti, a meno che la legge applicabile non richieda la conservazione continuata.

Il Titolare del Trattamento può richiedere l'esportazione dei dati in un formato di uso comune e leggibile da dispositivo automatico prima della cessazione.

10. Responsabilità

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni ed esclusioni stabilite nell'accordo di servizio principale tra le parti.

Nulla nel presente DPA limita la responsabilità di ciascuna parte per violazioni della legge sulla protezione dei dati nella misura in cui tale responsabilità non può essere limitata ai sensi della legge applicabile.

11. Legge applicabile

Il presente DPA è disciplinato dalla legge norvegese. Qualsiasi controversia derivante da o in connessione con il presente DPA sarà soggetta alla giurisdizione esclusiva del Tribunale Distrettuale di Oslo, salvo diversa disposizione di legge imperativa.

12. Contatti

Per domande riguardanti il presente DPA o questioni relative alla protezione dei dati, contattare:
Skiwo AS
Pilestredet 17, 0164 Oslo, Norway
Email: privacy@reportsecurely.com