GIORMO
ES IT
← Note legali

Accordo per il trattamento dei dati personali (DPA)

Modello conforme all'articolo 28 del Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 (Codice Privacy italiano). Ultima revisione: 22 maggio 2026.

Come usare questo documento: il modello viene completato con i dati del cliente, firmato da entrambe le parti e diventa parte integrante del contratto di prestazione del servizio SaaS. I campi [tra parentesi arancioni] devono essere compilati prima della firma. Richiedi la versione modificabile (DOCX/PDF) a info@giormo.com.

1. Parti

Titolare del trattamento ("Cliente")

Denominazione: [Ragione sociale del Cliente]
P. IVA / CF: [P. IVA]
Sede: [Sede legale]
Rappresentante: [Nome e ruolo]
Email di contatto: [email]

Responsabile del trattamento ("Giormo")

Denominazione: Giormo, S.L.
P. IVA: ES B13389770
Sede: Av. de la Ciencia 1, 13005 Ciudad Real, Spagna
Rappresentante: [Nome e ruolo del firmatario per Giormo]
Email di contatto: info@giormo.com

Le parti si riconoscono reciprocamente la piena capacità legale di sottoscrivere il presente Accordo per il trattamento dei dati personali (di seguito, "Accordo" o "DPA").

2. Definizioni

Salvo diversa definizione nel presente Accordo, i termini in maiuscolo hanno il significato attribuito loro dal GDPR. In particolare:

3. Oggetto, natura e finalità del trattamento

  1. Il presente Accordo regola il trattamento dei Dati Personali che Giormo effettua per conto del Cliente nell'ambito della prestazione del Servizio.
  2. Giormo tratta i Dati Personali esclusivamente sulla base di istruzioni documentate del Cliente, comprese quelle contenute nel presente Accordo, nel contratto principale e quelle che il Cliente comunica per iscritto durante la sua vigenza.
  3. Qualora Giormo ritenga che un'istruzione del Cliente violi il GDPR o altra normativa applicabile, ne informerà immediatamente il Cliente.
  4. La descrizione dettagliata del trattamento (categorie di interessati, categorie di dati, finalità e durata) è riportata nell'Allegato I.

4. Durata

Il presente Accordo entra in vigore alla data di firma e rimane valido per tutta la durata del rapporto contrattuale tra le parti per la prestazione del Servizio. Cessato tale rapporto, restano applicabili gli obblighi di restituzione o cancellazione dei dati (clausola 11) e di riservatezza.

5. Obblighi del Responsabile

Giormo, ai sensi dell'art. 28.3 GDPR, si impegna a:

  1. Trattare i Dati Personali esclusivamente per la finalità di prestazione del Servizio e secondo le istruzioni del Cliente.
  2. Garantire che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o abbiano un obbligo legale di riservatezza.
  3. Adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, descritte nell'Allegato II.
  4. Rispettare le condizioni per ricorrere a Sub-responsabili secondo la clausola 6.
  5. Assistere il Cliente nella gestione dei diritti degli Interessati e nell'adempimento degli obblighi degli articoli 32-36 GDPR, secondo la clausola 8.
  6. Cancellare o restituire i Dati Personali al termine della prestazione del Servizio, secondo la clausola 11.
  7. Mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR, secondo la clausola 12.
  8. Tenere il registro delle attività di trattamento di cui all'art. 30.2 GDPR.

6. Sub-responsabili

  1. Il Cliente autorizza in via generale Giormo a ricorrere ai Sub-responsabili elencati nell'Allegato III.
  2. Giormo informerà il Cliente con almeno 30 giorni di anticipo di qualsiasi modifica all'elenco dei Sub-responsabili, sia per aggiunta che per sostituzione, mediante notifica via email al contatto designato dal Cliente.
  3. Il Cliente potrà opporsi motivatamente al nuovo Sub-responsabile entro tale termine. In caso di opposizione, le parti negozieranno in buona fede una soluzione; in difetto, il Cliente potrà risolvere la prestazione del Servizio senza penali.
  4. Giormo imporrà a ciascun Sub-responsabile, mediante contratto, gli stessi obblighi di protezione dei dati assunti nel presente Accordo (art. 28.4 GDPR), e risponderà nei confronti del Cliente dell'inadempimento del Sub-responsabile.

7. Misure di sicurezza

Giormo applica le misure tecniche e organizzative descritte nell'Allegato II, valutate ai sensi dell'art. 32 GDPR tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli Interessati.

8. Assistenza al Titolare

  1. Diritti degli Interessati: Giormo assisterà il Cliente, mediante misure tecniche e organizzative adeguate, affinché possa adempiere all'obbligo di rispondere alle richieste di esercizio dei diritti di cui agli artt. 15-22 GDPR. In particolare, la piattaforma mette a disposizione del Cliente strumenti amministrativi per accedere, rettificare, esportare e cancellare Dati Personali di Interessati specifici.
  2. Valutazioni d'impatto: Giormo assisterà il Cliente, su richiesta e a sue spese, nella redazione di valutazioni d'impatto sulla protezione dei dati (art. 35 GDPR) e nelle consultazioni preventive con l'autorità di controllo (art. 36 GDPR).

9. Notifica di violazioni dei dati

  1. Giormo notificherà al Cliente, senza ingiustificato ritardo e comunque entro un termine massimo di 48 ore dalla scoperta, qualsiasi Violazione di Dati Personali che interessi il Servizio.
  2. La notifica includerà, per quanto possibile: descrizione della natura della Violazione, categorie e numero approssimativo di Interessati e registri coinvolti, dati di contatto del DPO o punto di contatto presso cui ottenere maggiori informazioni, conseguenze probabili e misure adottate o proposte per mitigarne gli effetti.
  3. Qualora non sia possibile fornire le informazioni contemporaneamente, le stesse saranno fornite per fasi senza ulteriore ingiustificato ritardo.
  4. Giormo collaborerà con il Cliente per la notifica all'autorità di controllo e, ove necessario, agli Interessati, senza che ciò implichi riconoscimento di responsabilità.

10. Trasferimenti internazionali

  1. Giormo tratta i Dati Personali all'interno dello Spazio Economico Europeo (SEE). L'infrastruttura principale (Google Cloud Platform) si trova nella regione europe-southwest1 (Madrid, Spagna).
  2. Qualora, per la prestazione del Servizio, fosse necessario effettuare un trasferimento internazionale al di fuori del SEE, lo stesso verrà attuato in conformità con uno dei meccanismi previsti dal Capo V del GDPR (decisione di adeguatezza, clausole contrattuali tipo, norme vincolanti d'impresa, ecc.) e con preventiva informazione al Cliente.

11. Restituzione o cancellazione alla fine del trattamento

  1. Cessata la prestazione del Servizio, Giormo, a scelta del Cliente comunicata per iscritto entro 30 giorni dalla cessazione, procederà a:
    1. Restituire al Cliente i Dati Personali in formato strutturato, di uso comune e leggibile da dispositivo automatico (SQL, CSV, JSON, secondo i casi); oppure
    2. Cancellare i Dati Personali dai propri sistemi e da quelli dei Sub-responsabili, comprese le copie esistenti.
  2. Decorso tale termine senza istruzioni del Cliente, Giormo procederà alla cancellazione dei Dati Personali.
  3. Le copie di backup cifrate saranno conservate per un massimo di 90 giorni aggiuntivi per motivi di continuità operativa e cancellate automaticamente alla scadenza.
  4. Giormo potrà conservare i Dati Personali ove una norma giuridica gli imponga la conservazione, limitando il trattamento all'adempimento di tale obbligo.

12. Audit

  1. Giormo metterà a disposizione del Cliente, su richiesta, la documentazione necessaria a dimostrare il rispetto del presente Accordo e consentirà l'esecuzione di audit, inclusi ispezioni, da parte del Cliente o di un revisore autorizzato.
  2. Gli audit si svolgeranno con preavviso di almeno 30 giorni, in orario lavorativo, senza interferire con l'operatività di Giormo, e con un massimo di un audit all'anno salvo in caso di incidente accertato.
  3. Il costo ragionevole dell'audit sarà a carico del Cliente, salvo qualora venga accertato un inadempimento imputabile a Giormo, nel qual caso il costo sarà a carico di Giormo.

13. Responsabilità

Ciascuna parte risponderà nei confronti dell'altra, delle autorità di controllo e degli Interessati per i danni derivanti dall'inadempimento dei rispettivi obblighi ai sensi dell'art. 82 GDPR. Il Responsabile risponderà specificamente dell'inadempimento degli obblighi del GDPR rivolti specificamente ai responsabili e delle istruzioni lecite del Titolare.

14. Legge applicabile e foro competente

Il presente Accordo è regolato dalla legge spagnola e dal GDPR. Per la risoluzione di qualsiasi controversia derivante dallo stesso, le parti si sottopongono espressamente al Foro di Ciudad Real, con rinuncia a qualsiasi altro foro che potesse competere loro. Resta impregiudicato il diritto inderogabile degli Interessati di rivolgersi al Garante per la protezione dei dati personali italiano e al foro del proprio luogo di residenza.

Allegato I — Descrizione del trattamento

Oggetto del trattamentoGestione logistica integrata (ordini, pianificazione, fatturazione, tracciamento GPS, qualità, officina, comunicazione con gli autisti) per l'operatività del Cliente.
DurataPer tutta la vigenza della prestazione del Servizio.
Natura e finalitàConservazione, consultazione, modifica, trasmissione, comunicazione interna tra utenti del Cliente, generazione di documenti (PDF, fattura elettronica), analisi statistiche interne.
Tipologia di Dati Personali
  • Dati identificativi: nome, cognome, codice fiscale/passaporto, data di nascita.
  • Dati di contatto: telefono, email, indirizzo postale.
  • Dati professionali: ruolo, azienda, patenti di guida, formazione.
  • Dati di geolocalizzazione: posizioni GPS dei veicoli assegnati.
  • Dati economici: coordinate bancarie (SEPA), fatture emesse/ricevute.
  • Dati del veicolo e del trasporto: targhe, chilometraggio, cronotachigrafo, tempi di guida (Reg. 561/2006).
  • Documentazione allegata: CMR, bolle, foto di carico/scarico.
Categorie particolari (art. 9 GDPR)Non sono trattate in via strutturale. Il Cliente si impegna a non inserire nella piattaforma dati sanitari, biometrici o altri di cui all'art. 9 senza previa notifica e senza un accordo specifico integrativo.
Categorie di Interessati
  • Dipendenti amministrativi del Cliente con accesso alla piattaforma.
  • Autisti dipendenti o subcontrattati del Cliente.
  • Contatti di aziende terze (clienti finali, fornitori, caricatori, scaricatori, lavaggi, dogane, officine).

Allegato II — Misure tecniche e organizzative

Giormo applica le seguenti misure, valutate ai sensi dell'art. 32 GDPR:

Cifratura in transito

Cifratura a riposo

Controllo accessi

Sicurezza dell'infrastruttura

Continuità e backup

Organizzazione

Allegato III — Elenco dei sub-responsabili autorizzati

Alla data di firma del presente Accordo, Giormo ricorre ai seguenti Sub-responsabili che trattano Dati Personali per conto del Cliente per la prestazione del Servizio:

Sub-responsabileFinalitàUbicazione
Google Cloud EMEA Ltd.Hosting dell'applicazione principale e del databaseSpagna (UE)
Contabo GmbHServer di posta elettronica utilizzato dal Cliente dalla piattaformaGermania (UE)
Google Ireland Ltd. (Firebase Cloud Messaging)Invio di notifiche push all'applicazione dell'autistaIrlanda (UE); in caso di transito occasionale fuori dal SEE, si applicano le clausole contrattuali tipo del fornitore
Google Ireland Ltd. (servizi di IA documentale)Solo se il Cliente attiva la lettura assistita di documenti (fatture, bolle, schede tecniche)Irlanda (UE)

Le restanti componenti tecniche del Servizio (motore di calcolo dei percorsi, ricezione di posizioni GPS, antivirus, rilevamento intrusioni, gestione dei certificati, ecc.) sono gestite direttamente da Giormo, S.L. sull'infrastruttura indicata nella prima riga e non costituiscono sub-responsabili ai sensi dell'art. 28 GDPR.

Aggiornamenti: Giormo pubblicherà su https://giormo.com/legal/dpa/it/ la versione vigente del presente elenco e notificherà al Cliente, secondo la clausola 6, qualsiasi aggiunta o sostituzione di Sub-responsabili con il preavviso ivi previsto.

Integrazioni opzionali: qualora il Cliente contrattualizzi moduli che richiedano fornitori aggiuntivi (es. piattaforme telematiche GPS specifiche, gateway di fatturazione elettronica o servizi di cronotachigrafo), verrà sottoscritta apposita appendice che identifica tali Sub-responsabili.

Per il Cliente (Titolare)

Nome: [Nome]
Ruolo: [Ruolo]
Data: [GG/MM/AAAA]

Per Giormo, S.L. (Responsabile)

Nome: [Nome]
Ruolo: [Ruolo]
Data: [GG/MM/AAAA]