(ai sensi dell’art. 28 del Regolamento UE 2016/679 – “GDPR”)
Versione del 26 maggio 2025
| Ruolo GDPR | Soggetto("Parte") |
|---|---|
| Titolare del trattamento (Controller) | Qualsiasi persona fisica o giuridica che si registra a Normo.ai (di seguito “Cliente”) |
| Responsabile del trattamento (Processor) | Normo S.r.l. – Via Cesare Battisti 12, 20122 Milano (MI) – Italia – P.IVA IT12345678901 – [email protected] (di seguito “Normo”) |
Il Cliente nomina Normo Responsabile del trattamento per le sole operazioni strettamente necessarie all’erogazione, manutenzione e miglioramento della piattaforma SaaS “Normo.ai”, ivi incluse le funzionalità basate su modelli linguistici di grandi dimensioni (“LLM”).
La presente nomina ha la stessa durata dei Termini di Servizio sottoscritti dal Cliente.
Utenti finali del Cliente; Clienti del Cliente; collaboratori/dipendenti del Cliente; visitatori che interagiscono con il servizio.
Normo esegue i trattamenti principalmente in data‑center ubicati nello Spazio Economico Europeo (AWS Francoforte e Dublino).
Il Cliente autorizza i seguenti trasferimenti effettuati tramite sub‑responsabili, basati su Standard Contractual Clauses (SCC 2021/914) o EU‑US Data Privacy Framework (DPF):
| Paese | Trattamento | Base giuridica art. 45‑46 GDPR | Fornitore |
|---|---|---|---|
| USA / UE | CDN / WAF | DPF | Cloudflare Inc. |
| USA / UE | AI / LLM | SCC | Anthropic Ireland, Limited |
| USA / UE | AI / LLM | SCC | OpenAI Ireland Limited |
| USA / UE | Hosting / AI / LLM | SCC | Google Ireland Limited |
| USA / UE | Pagamenti | DPF | Stripe Payments EU |
| USA | Autenticazione | DPF | Clerk Inc. |
| USA / UE | Hosting / DB | DPF | MongoDB Cloud |
| USA / UE | Monitoring infrastruttura cloud | DPF | Datadog Ireland Limited |
3.1. Il Responsabile adotta e mantiene misure tecniche e organizzative adeguate ai sensi degli artt. 5, 28 § 3 lett. c) e 32 GDPR, volte a garantire un livello di sicurezza proporzionato ai rischi per riservatezza, integrità, disponibilità e resilienza dei dati personali trattati.
3.2. Nella valutazione di adeguatezza sono presi in considerazione lo stato dell’arte, i costi di attuazione, la natura, l’ambito, il contesto e le finalità del trattamento, nonché la probabilità e la gravità dei potenziali impatti sui diritti e le libertà delle persone fisiche (art. 32 § 1 GDPR).
3.3. Le misure, soggette a costante evoluzione tecnica, possono essere sostituite da soluzioni equivalenti o superiori senza che il livello di protezione sia mai ridotto. Elenco delle principali misure adottate:
Questo insieme di misure riflette lo stato dell’arte alla data del presente DPA e sarà rivisto periodicamente per assicurare un livello di protezione mai inferiore a quello qui descritto.
4.1. Il Responsabile s'impegna a cooperare con il Titolare ed a fornire la più ampia assistenza, nei limiti in cui ciò è ragionevole o possibile, al fine di agevolare il Titolare nel riscontro delle richieste degli interessati per l'esercizio dei loro diritti.
4.2. In particolare, il Responsabile s'impegna a (i) comunicare immediatamente al Titolare ciascuna richiesta pervenutagli dagli interessati in merito all'esercizio dei loro diritti e, se fattibile o del caso, ad (ii) assistere il Titolare nel progettare e implementare tutte le misure tecniche ed organizzative necessarie per rispondere a tali richieste.
4.3. Fermo restando che la responsabilità di riscontrare e soddisfare le richieste degli interessati grava esclusivamente sul Titolare, il Responsabile può essere incaricato di evadere alcune specifiche richieste, sempre che ciò non richieda sforzi sproporzionati e su istruzioni specifiche fornite per iscritto dal Titolare.
Alla data attuale Normo non è tenuta a designare un DPO, non trattando su larga scala categorie particolari di dati; la valutazione è riesaminata annualmente.
Tutto il personale è vincolato da accordi di riservatezza e adeguatamente istruito.
Normo coopera con l’Autorità di controllo e con il Cliente per DPIA, consultazioni preventive, data‑breach e altre attività previste dagli artt. 32‑36 GDPR.
L’elenco completo e aggiornato è disponibile su https://www.normo.ai/subprocessors. A seguire la situazione alla data del 26 maggio 2025:
| Sub‑responsabile | Paese | Attività | Base trasferimento |
|---|---|---|---|
| Google Ireland Limited | USA / UE | Hosting / AI / LLM | DPF |
| OpenAI Ireland Limited | USA / UE | AI / LLM | SCC |
| Anthropic Ireland, Limited | USA / UE | AI / LLM | SCC |
| Mistral AI | UE | AI / LLM | intra‑UE |
| Cloudflare Inc. | USA / UE | CDN / WAF | DPF |
| MongoDB Cloud | USA / UE | Hosting / DB | DPF |
| Stripe Payments EU | USA / UE | Pagamenti | DPF |
| Brevo (Sendinblue) | UE | Email transazionali | intra-UE |
| Clerk Inc. | USA | Autenticazione | DPF |
| Hotjar Ltd | UE | Heat‑mapping | intra-UE |
| Langfuse GmbH | UE | LLM Monitoring | intra-UE |
| Datadog Ireland Limited | USA / UE | Monitoring infrastruttura cloud | DPF |
Nuove nomine o sostituzioni saranno comunicate al Cliente con 30 giorni di preavviso; in caso di opposizione motivata il Cliente potrà recedere senza penali.
6.1. Il Titolare ha il diritto di svolgere ispezioni o farle svolgere ad un revisore di volta in volta incaricato. Il revisore dovrà valutare il rispetto di questo contratto di nomina da parte del Responsabile nel corso delle proprie attività d'impresa per mezzo di verifiche causali, le quali dovranno di regola essere notificate in anticipo.
6.2. Il Responsabile deve permettere al Titolare di verificare l'adempimento alle proprie obbligazioni, come previsto dall'art. 28 RGPD. Su richiesta, il Responsabile fornisce al Titolare ogni informazione necessaria nonché, segnatamente, la prova di aver adottato le misure tecniche ed organizzative.
6.3. La prova dell'adozione di tali misure, che potranno riferirsi anche ad attività non rientranti nell'ambito di questo contratto, potrà essere fornita anche per mezzo di
6.4. Il Responsabile può addebitare al Titolare un compenso di entità ragionevole per l'esecuzione delle ispezioni.
7.1. Il Responsabile assiste il Titolare nell'adempimento degli obblighi relativi alla sicurezza dei dati personali, nella segnalazione di violazioni dei dati, nelle valutazioni d'impatto sulla protezione dei dati e nelle consultazioni preventive di cui agli articoli da 32 a 36 RGPD, tra l'altro
7.2. Il Responsabile può richiedere al Titolare un compenso ragionevole per servizi di assistenza che non sono compresi nella descrizione dei servizi e che non sono dovuti a errori, violazioni o condotte imputabili al Responsabile.
8.1. Ciascuna parte del presente contratto si impegna a risarcire l'altra parte per danni o spese derivanti dal proprio inadempimento colposo del presente contratto, compreso qualsiasi inadempimento colposo commesso dal proprio rappresentante legale, sub-contraenti, dipendenti o altri agenti. Inoltre, ciascuna parte si impegna a tenere indenne l'altra parte da qualsiasi pretesa fatta valere da terzi a causa di o in relazione a qualsiasi violazione colposa commessa dall'altra parte.
8.2. Resta ferma la previsione dell'art. 82 RGPD.
9.1. Il Responsabile non crea copie o duplicati dei dati ad insaputa e senza il consenso del Titolare, fatta eccezione per le copie di sicurezza, nella misura in cui siano necessarie a garantire la corretta elaborazione dei dati, nonché per i dati la cui conservazione è prevista dalla legge.
9.2. A conclusione della prestazione di servizi, a scelta del Titolare, il Responsabile cancella in maniera conforme alla protezione dei dati o restituisce al Titolare tutti i dati personali raccolti ed elaborati ai sensi della presente nomina, a meno che le disposizioni di legge applicabili non richiedano un'ulteriore conservazione dei dati personali.
9.3. In ogni caso, il Responsabile può conservare tutte le informazioni utili a dimostrare la corretta e conforme esecuzione delle attività di trattamento anche oltre la cessazione del contratto.
9.4. La documentazione di cui al punto 9.3 che precede, deve comunque essere conservata dal Responsabile in ottemperanza ai periodi di conservazione previsti dalla legge o altrimenti stabiliti. Il Responsabile può consegnare tale documentazione al Titolare al termine della durata del contratto per sollevarsi dall'obbligo contrattuale di conservazione.
La registrazione al servizio Normo.ai e la sottoscrizione di un abbonamento costituisce firma elettronica ai sensi dell’art. 28 §3 GDPR.