LEGALE · ACCORDO SUL TRATTAMENTO DEI DATI

Accordo sul trattamento dei dati

L'accordo sul trattamento dei dati ai sensi dell'articolo 28 del GDPR tra lei (Titolare) e EDMA Group (Responsabile del trattamento). Costituisce parte integrante dei Termini di servizio e vincola entrambe le parti quando EDMA tratta dati personali per suo conto in TradeOS.

Versione

v1.0

In vigore dal

25 mag 2026

Ultimo aggiornamento

23 mag 2026

Stato

v1.0 · soggetto a modifiche

NOTA IN LINGUAGGIO SEMPLICE

Il presente documento è redatto in modo da essere leggibile. Si tratta di uno strumento giuridico vincolante — si prega di leggerlo con attenzione. Per chiarimenti, scrivere a [email protected] con oggetto [Legal]. EDMA Group si riserva il diritto di aggiornare il presente documento; le modifiche sostanziali saranno comunicate con almeno 30 giorni di anticipo via e-mail e pubblicate su /newsroom.

01 Contesto e rapporto tra le parti

Il presente Accordo sul trattamento dei dati (« DPA ») integra i Termini di servizio stipulati tra il Cliente (« Titolare del trattamento ») e EDMA Group (« Responsabile del trattamento ») e rispecchia l'accordo delle parti in merito al trattamento dei dati personali effettuato da EDMA per conto del Titolare nell'ambito del Servizio.

Il presente DPA è concepito per soddisfare i requisiti dell'articolo 28 del Regolamento generale sulla protezione dei dati dell'UE e del Regno Unito (« GDPR ») e i requisiti equivalenti previsti dalla normativa applicabile in materia di protezione dei dati. Qualora le Clausole contrattuali tipo della Commissione europea (Modulo 2: Titolare del trattamento - Responsabile del trattamento) si applichino a un trasferimento di dati personali, tali Clausole sono incorporate per riferimento nel presente DPA e prevalgono in caso di conflitto.

02 Definizioni

I termini utilizzati nel presente DPA hanno i significati loro attribuiti dal GDPR (tra cui « dati personali », « trattamento », « interessato », « titolare del trattamento », « responsabile del trattamento », « sub-responsabile del trattamento » e « violazione dei dati personali ») e, ove applicabile, i termini equivalenti previsti dall'UK GDPR, dal California Consumer Privacy Act (« CCPA ») e da altre leggi applicabili.

Dati del Cliente ha il significato attribuito nei Termini di servizio. Dati personali del Cliente indica i Dati del Cliente che costituiscono dati personali ai sensi della legge applicabile.

03 Oggetto e natura del trattamento

Oggetto

EDMA tratta i Dati Personali del Cliente al fine di fornire il Servizio al Titolare del trattamento in conformità con i Termini.

Durata

Per la durata dei Termini di Servizio e per il periodo di esportazione dei dati successivo alla cessazione previsto dai Termini, oltre a qualsiasi periodo di conservazione richiesto dalla legge.

Natura e finalità del trattamento

Hosting, archiviazione, trasmissione, visualizzazione, interrogazione, indicizzazione, ricerca, analisi, elaborazione (inclusi i meccanismi a cascata di regolamento) e instradamento dei dati personali tra le controparti nel tenant del Titolare, per le funzioni operative, finanziarie e assistite dall'intelligenza artificiale del Servizio.

Categorie di dati personali

  • dati identificativi (nomi, indirizzi e-mail di lavoro, qualifiche professionali, organizzazioni) dei dipendenti, fornitori, Clienti, finanziatori e altre controparti del Titolare del trattamento;
  • dati di contatto (numeri di telefono, indirizzi);
  • dati commerciali (dettagli degli Ordini, dati delle Spedizioni, metadati dei Documenti, registrazioni finanziarie);
  • dati di Comunicazioni (messaggi scambiati tramite i portali);
  • dati di autenticazione (credenziali di accesso, indirizzi IP, identificatori di sessione).

Il Servizio non è progettato per trattare categorie particolari di dati personali ai sensi dell'articolo 9 del GDPR (ad es. dati sanitari, biometrici, razziali o religiosi) né dati relativi a condanne penali. Il Titolare del trattamento si impegna a non inserire tali dati nel Servizio, salvo in casi di stretta necessità e unicamente con le garanzie appropriate.

Categorie di interessati

  • dipendenti, collaboratori e Utenti autorizzati del Titolare del trattamento;
  • persone fisiche presso i fornitori, Clienti, operatori logistici e finanziatori del Titolare del trattamento;
  • qualsiasi altro individuo i cui dati personali il Titolare del trattamento scelga di inserire nel Servizio.

04 Obblighi del Titolare del trattamento

Il Titolare del trattamento è responsabile di:

  • stabilire una base giuridica per il trattamento dei Dati Personali del Cliente, incluso il reperimento dei consensi necessari e la fornitura delle informative richieste agli interessati;
  • l'accuratezza, la qualità, la liceità e l'integrità dei Dati Personali del Cliente;
  • la configurazione dei controlli di accesso, delle autorizzazioni degli utenti e delle impostazioni di visibilità dei portali all'interno del Servizio, in modo da riflettere i requisiti di protezione dei dati del Titolare del trattamento;
  • la gestione delle richieste degli interessati nei casi in cui EDMA le trasmetta ai sensi del §9 e il Titolare del trattamento sia il responsabile competente;
  • il rispetto della normativa applicabile in materia di protezione dei dati in qualità di titolare del trattamento.

05 Obblighi di EDMA

EDMA, in qualità di Responsabile del trattamento, si impegna a:

  • trattare i Dati Personali del Cliente esclusivamente sulla base di istruzioni documentate del Titolare del trattamento, incluse le istruzioni implicite derivanti dall'utilizzo delle funzionalità del Servizio da parte del Titolare, nonché nella misura richiesta dalla legge applicabile (nel qual caso EDMA informerà il Titolare di tale requisito legale prima del trattamento, salvo che la legge vieti tale notifica per importanti motivi di interesse pubblico);
  • garantire che le persone autorizzate al trattamento dei Dati Personali del Cliente siano soggette ad adeguati obblighi di riservatezza;
  • attuare le misure di sicurezza tecniche e organizzative descritte al §7 (l'Allegato II delle SCCs è soddisfatto dal §7);
  • avvalersi di sub-responsabili del trattamento esclusivamente nei termini previsti al §6;
  • assistere il Titolare nell'adempimento dei propri obblighi relativi alle richieste degli interessati, alla sicurezza, alle notifiche di violazioni, alle valutazioni d'impatto sulla protezione dei dati e alle consultazioni preventive, tenendo conto della natura del trattamento e delle informazioni disponibili per EDMA;
  • su scelta del Titolare, cancellare o restituire tutti i Dati Personali del Cliente al termine del Servizio, conformemente al §12;
  • mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto della presente DPA, fermo restando quanto previsto al §11.

Qualora EDMA ritenga che un'istruzione del Titolare violi la normativa applicabile in materia di protezione dei dati, EDMA ne informerà il Titolare senza indebito ritardo.

06 Sub-responsabili del trattamento

Il Titolare autorizza EDMA a coinvolgere i sub-responsabili del trattamento elencati di seguito per il trattamento dei Dati Personali del Cliente. EDMA imporrà a ciascun sub-responsabile obblighi di protezione dei dati non meno rigorosi di quelli previsti dalla presente DPA.

Sub-responsabili del trattamento attuali

Sub-responsabile del trattamentoFinalitàRegione
Amazon Web ServicesHosting, calcolo, archiviazione, databaseUE (Francoforte o Irlanda)
CloudflareCDN, WAF, gestione botRete edge globale
ResendRecapito di e-mail transazionaliUS / UE
AnthropicInferenza AI (Atlas, Accounting AI) — endpoint enterprise a zero conservazione dei datiUS
OpenAIInferenza AI di fallback — endpoint enterprise a zero conservazione dei datiUS
Google Cloud (Vertex AI / Gemini)Inferenza AI di fallbackUE / US
StripeElaborazione dei pagamentiUE / US
SentryMonitoraggio degli errori, dati personali rimossi alla fonteUE / US

L'elenco aggiornato e facente fede è mantenuto all'indirizzo edma.trade/legal/dpa (questa pagina). EDMA può avvalersi di ulteriori sub-responsabili del trattamento con un preavviso di almeno trenta (30) giorni ai contatti amministratori del Titolare del trattamento. Il Titolare può opporsi a un nuovo sub-responsabile per fondati motivi di protezione dei dati durante il periodo di preavviso; qualora EDMA non possa accogliere l'opposizione, il Titolare ha facoltà di risolvere il Periodo di abbonamento interessato con rimborso proporzionale delle quote non utilizzate.

07 Misure di sicurezza

EDMA implementa le seguenti misure tecniche e organizzative (le «TOM»), che costituiscono l'Allegato II delle SCCs ove applicabile.

Cifratura

  • TLS 1.2+ per tutti i dati in transito tra client e server, nonché tra server e sub-responsabile del trattamento;
  • cifratura AES-256 (o superiore) per i dati a riposo negli archivi primari e di backup;
  • snapshot del database cifrati; gestione delle chiavi tramite il KMS gestito del provider di hosting con politica di rotazione.

Controllo degli accessi

  • autenticazione a più fattori per tutto il personale EDMA con accesso agli ambienti di produzione;
  • controllo degli accessi basato sui ruoli con impostazioni predefinite a privilegi minimi;
  • elevazione just-in-time per le operazioni sensibili, con registrazione di audit;
  • separazione logica per tenant; l'accesso tra tenant è negato a livello di applicazione.

Rete & perimetro

  • WAF e protezione DDoS davanti agli endpoint pubblici;
  • connettività di rete privata tra i livelli applicativo e dati;
  • controlli di egress sul traffico in uscita dalla produzione.

Sviluppo software

  • revisione del codice obbligatoria per tutte le modifiche in produzione;
  • scansione delle dipendenze e rimedio delle vulnerabilità secondo SLAs definiti;
  • gestione dei segreti tramite il secret store del provider di hosting; nessun segreto nel codice sorgente.

Operativo

  • logging strutturato con oscuramento dei campi sensibili alla fonte ;
  • monitoraggio continuo e alerting per gli eventi di sicurezza ;
  • penetration test annuali da terze parti ;
  • procedure di risposta agli incidenti con ruoli definiti e percorsi di escalation ;
  • procedure di backup e disaster recovery con RPO/RTO documentati.

Personale

  • verifica dei precedenti del personale con accesso alla produzione, ove consentito dalla legge ;
  • formazione sulla sicurezza informatica all'assunzione e almeno annualmente in seguito ;
  • obblighi contrattuali di riservatezza per il personale e i collaboratori esterni ;
  • revoca immediata degli accessi alla cessazione del rapporto.

08 Trasferimenti internazionali

Quando i dati personali vengono trasferiti dallo SEE, dal Regno Unito o dalla Svizzera verso un paese che non garantisce un livello di protezione adeguato, le parti si avvalgono di:

  • le Clausole Contrattuali Standard della Commissione europea (2021/914, Modulo 2: Titolare-Responsabile del trattamento) e dell'addendum britannico ove si applichi il UK GDPR;
  • le misure tecniche e organizzative di cui al §7 quali garanzie supplementari;
  • la valutazione da parte del Titolare dei rischi connessi al trasferimento, tenuto conto della legislazione e della prassi del paese di destinazione.

Quando EDMA si avvale di un sub-responsabile del trattamento situato al di fuori dello SEE, EDMA garantisce che al trasferimento ulteriore si applichino garanzie identiche o equivalenti.

09 Diritti degli interessati

Qualora EDMA riceva direttamente da un interessato una richiesta relativa ai Dati Personali del Cliente (ad es. accesso, rettifica, cancellazione, limitazione, portabilità, opposizione), EDMA trasmetterà la richiesta al Titolare senza ingiustificato ritardo e non vi risponderà direttamente, salvo istruzione del Titolare o obbligo di legge.

EDMA assisterà il Titolare, tenuto conto della natura del trattamento e delle informazioni a disposizione di EDMA, al fine di rispondere alle richieste degli interessati entro i termini legali applicabili. L'assistenza comprende la messa a disposizione di meccanismi tecnici per accedere ai dati personali, esportarli o cancellarli nell'ambito del Servizio.

10 Violazione dei dati personali

EDMA notificherà al Titolare senza ingiustificato ritardo e, in ogni caso, entro 72 ore dal momento in cui EDMA viene a conoscenza di una violazione dei dati personali che interessa i Dati Personali del Cliente. La notifica includerà, nella misura in cui tali informazioni siano disponibili al momento:

  • la natura della violazione, incluse le categorie e il numero approssimativo di interessati e di registrazioni coinvolti;
  • le probabili conseguenze;
  • le misure adottate o proposte per far fronte alla violazione e attenuarne gli effetti;
  • i riferimenti per ottenere ulteriori informazioni.

EDMA fornirà ulteriori aggiornamenti con il progredire dell'indagine e collaborerà con gli obblighi del Titolare in materia di risposta alle violazioni ai sensi della normativa applicabile. La notifica da parte di EDMA al Titolare non costituisce riconoscimento di colpa o di responsabilità.

11 Audit e ispezioni

EDMA metterà a disposizione del Titolare, su ragionevole richiesta e non più di una volta nel corso di qualsiasi periodo di dodici mesi (salvo richiesta di un'autorità di controllo o a seguito di una violazione dei dati personali), le informazioni necessarie a dimostrare la conformità al presente DPA. EDMA adempirà a tale obbligo fornendo:

  • il presente DPA e l'ultima versione pubblicata delle misure di sicurezza;
  • sintesi dei rapporti di audit indipendenti di terze parti ove disponibili;
  • risposte a un ragionevole questionario sulla sicurezza.

Qualora quanto sopra risulti insufficiente, potrà essere effettuato un audit in loco subordinatamente a: (a) ragionevole preavviso; (b) impegni di riservatezza; (c) svolgimento degli audit durante il normale orario lavorativo senza arrecare un pregiudizio irragionevole alle operazioni di EDMA; e (d) assunzione da parte del Titolare dei propri costi, salvo che l'audit non riveli una violazione sostanziale. Gli audit possono essere condotti da un revisore terzo indipendente concordato da entrambe le parti.

12 Restituzione & cancellazione

Alla scadenza della Subscription Term, EDMA mette a disposizione una finestra di esportazione di 30 giorni durante la quale il Titolare del trattamento può recuperare i Dati personali del cliente in un formato strutturato, comunemente utilizzato e leggibile da dispositivo automatico. Trascorsa tale finestra, EDMA cancella i Dati personali del cliente dai sistemi attivi entro 30 giorni e dai backup in conformità al ciclo di conservazione dei backup documentato da EDMA (generalmente entro 90 giorni), salvo obbligo di conservazione previsto dalla legge.

Su richiesta scritta del Titolare del trattamento prima della scadenza della finestra di esportazione, EDMA fornisce una certificazione scritta dell'avvenuta cancellazione.

13 Responsabilità & prevalenza

La responsabilità di ciascuna parte ai sensi della presente DPA o in connessione con essa è soggetta alla limitazione di responsabilità prevista nelle Condizioni di servizio. Nella misura in cui un massimale di responsabilità si applichi separatamente alla responsabilità in materia di protezione dei dati, esso è indicato nelle Condizioni.

In caso di conflitto tra la presente DPA e le Condizioni, la presente DPA prevale sulle questioni relative alla protezione dei dati. Laddove le Clausole contrattuali standard siano incorporate, tali Clausole prevalgono nella misura del conflitto.

La presente DPA può essere aggiornata per recepire modifiche alla normativa applicabile, ai sub-responsabili del trattamento o alle misure tecniche. Le modifiche sostanziali vengono notificate ai contatti amministratori del Titolare del trattamento almeno trenta (30) giorni prima della loro entrata in vigore.

DOMANDE

Scrivici.

Per chiarimenti, reclami o per esercitare un diritto sui dati ai sensi del presente documento — scrivere a [email protected] con oggetto [Legal]. Rispondiamo entro un giorno lavorativo.

ENTITÀ LEGALE

EDMA Group

L'entità che opera dietro TradeOS, il Marketplace e le attività più ampie di EDMA Group. I dati di registrazione societaria sono disponibili su richiesta all'indirizzo indicato sopra. edma.co →

ARCHIVIO

Versioni precedenti.

Le versioni precedenti di questo documento sono archiviate. Per richiedere una versione specifica, scrivere a [email protected] con oggetto [Legal archive].

Accordo sul trattamento dei dati | TradeOS