Accordo sul trattamento dei dati (DPA)

1. Oggetto e durata

Trattamento dei dati personali esclusivamente per fornire le prestazioni concordate, per la durata del rapporto di utilizzo.

2. Natura e finalità

Archiviazione, strutturazione, analisi (inclusa IA) e messa a disposizione di dati di gara, aziendali e di offerte.

3. Categorie

• Collaboratori e utenti del titolare;
• dati personali contenuti in referenze, CV e offerte;
• dati di utilizzo e di registrazione.

4. Obblighi del responsabile

• Trattamento solo su istruzione documentata;
• riservatezza delle persone incaricate;
• misure tecniche e organizzative adeguate;
• assistenza per le richieste degli interessati;
• cancellazione o restituzione dopo la fine.

5. Sub-responsabili

Il titolare approva i sub-responsabili indicati nell'informativa sulla protezione dei dati. I clienti Enterprise possono sostituire il sub-responsabile IA tramite « Bring-Your-Own-Key ».

6. Misure tecniche e organizzative

Crittografia TLS, separazione dei tenant (RLS), controllo degli accessi, 2FA/SSO, AES-256 per le chiavi sensibili, registrazione di audit, backup.

7. Cancellazione e restituzione

Dopo la fine, cancellazione o restituzione, salvo obbligo legale di conservazione. Self-service tramite esportazione e cancellazione dell'account.

8. Trasferimento verso paesi terzi

Trasferimenti solo con garanzie adeguate, in particolare le clausole contrattuali tipo (CCT).

9. Responsabilità

Si applicano le regole di responsabilità delle CG. In materia di protezione dei dati prevale il presente DPA. Diritto svizzero, foro Zugo.