Accordo per il trattamento dei dati personali (DPA)
Modello conforme all'articolo 28 del Regolamento (UE) 2016/679 (GDPR) e al D.Lgs. 196/2003 (Codice Privacy italiano). Ultima revisione: 22 maggio 2026.
1. Parti
Denominazione: [Ragione sociale del Cliente]
P. IVA / CF: [P. IVA]
Sede: [Sede legale]
Rappresentante: [Nome e ruolo]
Email di contatto: [email]
Denominazione: Giormo, S.L.
P. IVA: ES B13389770
Sede: Av. de la Ciencia 1, 13005 Ciudad Real, Spagna
Rappresentante: [Nome e ruolo del firmatario per Giormo]
Email di contatto: info@giormo.com
Le parti si riconoscono reciprocamente la piena capacità legale di sottoscrivere il presente Accordo per il trattamento dei dati personali (di seguito, "Accordo" o "DPA").
2. Definizioni
Salvo diversa definizione nel presente Accordo, i termini in maiuscolo hanno il significato attribuito loro dal GDPR. In particolare:
- "Servizio": la piattaforma SaaS di gestione logistica operata da Giormo e accessibile tramite il sottodominio [cliente.giormo.com], insieme a tutti i moduli contrattualizzati (ordini, pianificazione, fatturazione, GPS, qualità, officina, PWA autista, ecc.).
- "Dati Personali": i dati personali trattati dal Responsabile per conto del Titolare nell'ambito del Servizio, descritti nell'Allegato I.
- "Interessati": le persone fisiche cui si riferiscono i Dati Personali (autisti, dipendenti amministrativi del Cliente, contatti di terzi, clienti finali del Cliente, ecc.).
- "Sub-responsabile": qualsiasi terzo incaricato da Giormo per trattare Dati Personali per conto del Titolare.
- "Violazione": qualsiasi violazione di sicurezza che comporti distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai Dati Personali (art. 4.12 GDPR).
3. Oggetto, natura e finalità del trattamento
- Il presente Accordo regola il trattamento dei Dati Personali che Giormo effettua per conto del Cliente nell'ambito della prestazione del Servizio.
- Giormo tratta i Dati Personali esclusivamente sulla base di istruzioni documentate del Cliente, comprese quelle contenute nel presente Accordo, nel contratto principale e quelle che il Cliente comunica per iscritto durante la sua vigenza.
- Qualora Giormo ritenga che un'istruzione del Cliente violi il GDPR o altra normativa applicabile, ne informerà immediatamente il Cliente.
- La descrizione dettagliata del trattamento (categorie di interessati, categorie di dati, finalità e durata) è riportata nell'Allegato I.
4. Durata
Il presente Accordo entra in vigore alla data di firma e rimane valido per tutta la durata del rapporto contrattuale tra le parti per la prestazione del Servizio. Cessato tale rapporto, restano applicabili gli obblighi di restituzione o cancellazione dei dati (clausola 11) e di riservatezza.
5. Obblighi del Responsabile
Giormo, ai sensi dell'art. 28.3 GDPR, si impegna a:
- Trattare i Dati Personali esclusivamente per la finalità di prestazione del Servizio e secondo le istruzioni del Cliente.
- Garantire che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o abbiano un obbligo legale di riservatezza.
- Adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, descritte nell'Allegato II.
- Rispettare le condizioni per ricorrere a Sub-responsabili secondo la clausola 6.
- Assistere il Cliente nella gestione dei diritti degli Interessati e nell'adempimento degli obblighi degli articoli 32-36 GDPR, secondo la clausola 8.
- Cancellare o restituire i Dati Personali al termine della prestazione del Servizio, secondo la clausola 11.
- Mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR, secondo la clausola 12.
- Tenere il registro delle attività di trattamento di cui all'art. 30.2 GDPR.
6. Sub-responsabili
- Il Cliente autorizza in via generale Giormo a ricorrere ai Sub-responsabili elencati nell'Allegato III.
- Giormo informerà il Cliente con almeno 30 giorni di anticipo di qualsiasi modifica all'elenco dei Sub-responsabili, sia per aggiunta che per sostituzione, mediante notifica via email al contatto designato dal Cliente.
- Il Cliente potrà opporsi motivatamente al nuovo Sub-responsabile entro tale termine. In caso di opposizione, le parti negozieranno in buona fede una soluzione; in difetto, il Cliente potrà risolvere la prestazione del Servizio senza penali.
- Giormo imporrà a ciascun Sub-responsabile, mediante contratto, gli stessi obblighi di protezione dei dati assunti nel presente Accordo (art. 28.4 GDPR), e risponderà nei confronti del Cliente dell'inadempimento del Sub-responsabile.
7. Misure di sicurezza
Giormo applica le misure tecniche e organizzative descritte nell'Allegato II, valutate ai sensi dell'art. 32 GDPR tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi per i diritti e le libertà degli Interessati.
8. Assistenza al Titolare
- Diritti degli Interessati: Giormo assisterà il Cliente, mediante misure tecniche e organizzative adeguate, affinché possa adempiere all'obbligo di rispondere alle richieste di esercizio dei diritti di cui agli artt. 15-22 GDPR. In particolare, la piattaforma mette a disposizione del Cliente strumenti amministrativi per accedere, rettificare, esportare e cancellare Dati Personali di Interessati specifici.
- Valutazioni d'impatto: Giormo assisterà il Cliente, su richiesta e a sue spese, nella redazione di valutazioni d'impatto sulla protezione dei dati (art. 35 GDPR) e nelle consultazioni preventive con l'autorità di controllo (art. 36 GDPR).
9. Notifica di violazioni dei dati
- Giormo notificherà al Cliente, senza ingiustificato ritardo e comunque entro un termine massimo di 48 ore dalla scoperta, qualsiasi Violazione di Dati Personali che interessi il Servizio.
- La notifica includerà, per quanto possibile: descrizione della natura della Violazione, categorie e numero approssimativo di Interessati e registri coinvolti, dati di contatto del DPO o punto di contatto presso cui ottenere maggiori informazioni, conseguenze probabili e misure adottate o proposte per mitigarne gli effetti.
- Qualora non sia possibile fornire le informazioni contemporaneamente, le stesse saranno fornite per fasi senza ulteriore ingiustificato ritardo.
- Giormo collaborerà con il Cliente per la notifica all'autorità di controllo e, ove necessario, agli Interessati, senza che ciò implichi riconoscimento di responsabilità.
10. Trasferimenti internazionali
- Giormo tratta i Dati Personali all'interno dello Spazio Economico Europeo (SEE). L'infrastruttura principale (Google Cloud Platform) si trova nella regione europe-southwest1 (Madrid, Spagna).
- Qualora, per la prestazione del Servizio, fosse necessario effettuare un trasferimento internazionale al di fuori del SEE, lo stesso verrà attuato in conformità con uno dei meccanismi previsti dal Capo V del GDPR (decisione di adeguatezza, clausole contrattuali tipo, norme vincolanti d'impresa, ecc.) e con preventiva informazione al Cliente.
11. Restituzione o cancellazione alla fine del trattamento
- Cessata la prestazione del Servizio, Giormo, a scelta del Cliente comunicata per iscritto entro 30 giorni dalla cessazione, procederà a:
- Restituire al Cliente i Dati Personali in formato strutturato, di uso comune e leggibile da dispositivo automatico (SQL, CSV, JSON, secondo i casi); oppure
- Cancellare i Dati Personali dai propri sistemi e da quelli dei Sub-responsabili, comprese le copie esistenti.
- Decorso tale termine senza istruzioni del Cliente, Giormo procederà alla cancellazione dei Dati Personali.
- Le copie di backup cifrate saranno conservate per un massimo di 90 giorni aggiuntivi per motivi di continuità operativa e cancellate automaticamente alla scadenza.
- Giormo potrà conservare i Dati Personali ove una norma giuridica gli imponga la conservazione, limitando il trattamento all'adempimento di tale obbligo.
12. Audit
- Giormo metterà a disposizione del Cliente, su richiesta, la documentazione necessaria a dimostrare il rispetto del presente Accordo e consentirà l'esecuzione di audit, inclusi ispezioni, da parte del Cliente o di un revisore autorizzato.
- Gli audit si svolgeranno con preavviso di almeno 30 giorni, in orario lavorativo, senza interferire con l'operatività di Giormo, e con un massimo di un audit all'anno salvo in caso di incidente accertato.
- Il costo ragionevole dell'audit sarà a carico del Cliente, salvo qualora venga accertato un inadempimento imputabile a Giormo, nel qual caso il costo sarà a carico di Giormo.
13. Responsabilità
Ciascuna parte risponderà nei confronti dell'altra, delle autorità di controllo e degli Interessati per i danni derivanti dall'inadempimento dei rispettivi obblighi ai sensi dell'art. 82 GDPR. Il Responsabile risponderà specificamente dell'inadempimento degli obblighi del GDPR rivolti specificamente ai responsabili e delle istruzioni lecite del Titolare.
14. Legge applicabile e foro competente
Il presente Accordo è regolato dalla legge spagnola e dal GDPR. Per la risoluzione di qualsiasi controversia derivante dallo stesso, le parti si sottopongono espressamente al Foro di Ciudad Real, con rinuncia a qualsiasi altro foro che potesse competere loro. Resta impregiudicato il diritto inderogabile degli Interessati di rivolgersi al Garante per la protezione dei dati personali italiano e al foro del proprio luogo di residenza.
Allegato I — Descrizione del trattamento
| Oggetto del trattamento | Gestione logistica integrata (ordini, pianificazione, fatturazione, tracciamento GPS, qualità, officina, comunicazione con gli autisti) per l'operatività del Cliente. |
|---|---|
| Durata | Per tutta la vigenza della prestazione del Servizio. |
| Natura e finalità | Conservazione, consultazione, modifica, trasmissione, comunicazione interna tra utenti del Cliente, generazione di documenti (PDF, fattura elettronica), analisi statistiche interne. |
| Tipologia di Dati Personali |
|
| Categorie particolari (art. 9 GDPR) | Non sono trattate in via strutturale. Il Cliente si impegna a non inserire nella piattaforma dati sanitari, biometrici o altri di cui all'art. 9 senza previa notifica e senza un accordo specifico integrativo. |
| Categorie di Interessati |
|
Allegato II — Misure tecniche e organizzative
Giormo applica le seguenti misure, valutate ai sensi dell'art. 32 GDPR:
Cifratura in transito
- HTTPS/TLS 1.2+ obbligatorio su tutti i domini tramite certificati Let's Encrypt con rinnovo automatico.
- HSTS abilitato.
Cifratura a riposo
- Credenziali sensibili (account IMAP/SMTP, token di integrazione) cifrate con AES-256-GCM e chiave derivata per tenant.
- Password utente memorizzate con bcrypt (10 rounds).
- Backup del database cifrati.
Controllo accessi
- Autenticazione basata su token (JWT) con scadenza.
- Controllo degli accessi basato sui ruoli (RBAC) configurabile dal Cliente.
- Isolamento stretto multi-tenant: ogni Cliente dispone di un database logico separato con politiche di Row Level Security (RLS) che impediscono l'accesso incrociato a livello di motore PostgreSQL.
- Tracciabilità delle operazioni critiche (ordini, fatturazione, accessi amministrativi) in log di audit.
Sicurezza dell'infrastruttura
- Rilevamento intrusioni con CrowdSec e ban automatico di IP malevoli.
- Antivirus ClamAV su ogni file caricato dagli utenti.
- Container Docker isolati, principio del minimo privilegio, segreti gestiti fuori dal repository.
- Monitoraggio con healthcheck e allarmi automatizzati.
- Deploy atomico con possibilità di rollback in secondi.
Continuità e backup
- Backup automatici giornalieri del database, cifrati, con retention 30 giorni.
- Replica off-site (regione geograficamente distinta) per i Clienti che la contrattualizzano.
Organizzazione
- Accesso all'ambiente di produzione limitato al personale tecnico strettamente necessario, con impegni di riservatezza sottoscritti.
- Procedura documentata di gestione incidenti e notifica delle Violazioni.
- Revisione periodica di log e permessi.
Allegato III — Elenco dei sub-responsabili autorizzati
Alla data di firma del presente Accordo, Giormo ricorre ai seguenti Sub-responsabili che trattano Dati Personali per conto del Cliente per la prestazione del Servizio:
| Sub-responsabile | Finalità | Ubicazione |
|---|---|---|
| Google Cloud EMEA Ltd. | Hosting dell'applicazione principale e del database | Spagna (UE) |
| Contabo GmbH | Server di posta elettronica utilizzato dal Cliente dalla piattaforma | Germania (UE) |
| Google Ireland Ltd. (Firebase Cloud Messaging) | Invio di notifiche push all'applicazione dell'autista | Irlanda (UE); in caso di transito occasionale fuori dal SEE, si applicano le clausole contrattuali tipo del fornitore |
| Google Ireland Ltd. (servizi di IA documentale) | Solo se il Cliente attiva la lettura assistita di documenti (fatture, bolle, schede tecniche) | Irlanda (UE) |
Le restanti componenti tecniche del Servizio (motore di calcolo dei percorsi, ricezione di posizioni GPS, antivirus, rilevamento intrusioni, gestione dei certificati, ecc.) sono gestite direttamente da Giormo, S.L. sull'infrastruttura indicata nella prima riga e non costituiscono sub-responsabili ai sensi dell'art. 28 GDPR.
Aggiornamenti: Giormo pubblicherà su https://giormo.com/legal/dpa/it/ la versione vigente del presente elenco e notificherà al Cliente, secondo la clausola 6, qualsiasi aggiunta o sostituzione di Sub-responsabili con il preavviso ivi previsto.
Integrazioni opzionali: qualora il Cliente contrattualizzi moduli che richiedano fornitori aggiuntivi (es. piattaforme telematiche GPS specifiche, gateway di fatturazione elettronica o servizi di cronotachigrafo), verrà sottoscritta apposita appendice che identifica tali Sub-responsabili.
Nome: [Nome]
Ruolo: [Ruolo]
Data: [GG/MM/AAAA]
Nome: [Nome]
Ruolo: [Ruolo]
Data: [GG/MM/AAAA]