Note legali

Accordo sul trattamento dei dati

Data di entrata in vigore

9 luglio 2026

1. Parti e premesse

Il presente accordo sul trattamento dei dati («DPA») è concluso tra Notakey Latvia, SIA, numero di registrazione unificato 40103993632, sede legale Ganu iela 3 – 12, Rīga, LV-1010, Lettonia («Notakey» o il «Responsabile del trattamento») e il cliente identificato nel Modulo d'ordine o nell'abbonamento applicabile («Cliente» o il «Titolare del trattamento»). Esso costituisce parte integrante ed è incorporato nelle Condizioni di servizio di Notakey (il «Contratto»).

Il presente DPA si applica qualora Notakey tratti dati personali per conto del Cliente nel corso della fornitura dei Servizi, ai sensi del regolamento (UE) 2016/679 (il «GDPR»). I termini quali «dati personali», «trattamento», «titolare del trattamento», «responsabile del trattamento» e «interessato» hanno il significato loro attribuito nel GDPR.

2. Oggetto, durata, natura e finalità

Oggetto: la fornitura al Cliente dei Servizi di autenticazione e di firma delle transazioni di Notakey (notakey.cloud o il Notakey Appliance, unitamente all'applicazione mobile Notakey).

Durata: la durata del Contratto, maggiorata del periodo che decorre fino alla cancellazione o restituzione di tutti i Dati personali del Cliente ai sensi della sezione 10.

Natura e finalità: l'hosting, la trasmissione e il trattamento dei dati di autenticazione e di approvazione delle transazioni, affinché gli utenti autorizzati del Cliente possano registrare dispositivi, ricevere richieste di approvazione e approvare o rifiutare operazioni di autenticazione e di firma.

Categorie di interessati: i dipendenti, collaboratori, clienti, membri o altri utenti finali del Cliente che il Cliente registra ai Servizi.

Tipi di dati personali: identificativi dell'utente (quali nome utente, indirizzo e-mail o numero di telefono); dati di verifica della registrazione (quali codici monouso recapitati tramite SMS o WhatsApp, asserzioni di directory o OpenID Connect, o l'approvazione manuale di un amministratore); dati del dispositivo (modello del dispositivo, versione del sistema operativo, token di notifica push, chiave pubblica e certificato del dispositivo); e attività di autenticazione/approvazione (metadati delle richieste, esiti di approvazione/rifiuto, marche temporali, firme). Le chiavi private sono generate e archiviate sui dispositivi degli utenti finali e non sono mai trasmesse a Notakey né conservate da quest'ultima. Non è previsto il trattamento di categorie particolari di dati personali (articolo 9 del GDPR); la verifica biometrica, ove utilizzata, avviene interamente sul dispositivo dell'utente finale e non è ricevuta da Notakey.

3. Ruoli e istruzioni

Il Cliente è il titolare del trattamento e Notakey è il responsabile del trattamento dei Dati personali del Cliente. Notakey tratterà i Dati personali del Cliente esclusivamente sulla base di istruzioni documentate del Cliente, ivi comprese quelle stabilite nel Contratto, nel presente DPA e nella configurazione dei Servizi da parte del Cliente, salvo che il trattamento sia richiesto dal diritto dell'Unione o di uno Stato membro cui Notakey è soggetta — in tal caso Notakey informerà il Cliente di tale obbligo giuridico prima di procedere al trattamento, salvo che la legge lo vieti. Notakey informerà il Cliente qualora, a suo parere, un'istruzione violi il GDPR.

4. Riservatezza

Notakey garantisce che le persone autorizzate a trattare i Dati personali del Cliente siano vincolate da obblighi di riservatezza contrattuali o di legge.

5. Sicurezza

Notakey attua e mantiene misure tecniche e organizzative appropriate per proteggere i Dati personali del Cliente, tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come richiesto dall'articolo 32 del GDPR. Le misure attuali sono descritte nell'Allegato 2. Notakey può aggiornarle di volta in volta, a condizione che il livello complessivo di protezione non sia ridotto.

6. Sub-responsabili del trattamento

Il Cliente concede a Notakey un'autorizzazione generale a ricorrere ai sub-responsabili del trattamento elencati nell'Allegato 3. Notakey informerà il Cliente almeno 30 giorni prima di aggiungere o sostituire un sub-responsabile del trattamento; il Cliente può opporvisi per ragionevoli motivi attinenti alla protezione dei dati entro tale termine, nel qual caso le parti collaboreranno in buona fede per trovare una soluzione e, in mancanza, il Cliente potrà risolvere i Servizi interessati. Notakey impone a ciascun sub-responsabile del trattamento obblighi di protezione dei dati equivalenti a quelli del presente DPA e resta responsabile del loro operato.

7. Assistenza al Cliente

Tenuto conto della natura del trattamento, Notakey assisterà il Cliente con misure tecniche e organizzative appropriate, nella misura del possibile, nell'adempimento degli obblighi del Cliente di dare seguito alle richieste degli interessati (Capo III del GDPR), e degli obblighi del Cliente ai sensi degli articoli 32–36 del GDPR (sicurezza, notifica delle violazioni, valutazioni d'impatto sulla protezione dei dati e consultazione preventiva), in ciascun caso su ragionevole richiesta del Cliente. Qualora un interessato contatti direttamente Notakey in merito all'utilizzo dei Servizi da parte del Cliente, Notakey trasmetterà la richiesta al Cliente senza ingiustificato ritardo.

8. Notifica delle violazioni di dati personali

Notakey notificherà al Cliente, senza ingiustificato ritardo dopo esserne venuta a conoscenza, qualsiasi violazione di dati personali che riguardi i Dati personali del Cliente, e fornirà le informazioni ragionevolmente a disposizione di Notakey per aiutare il Cliente a rispettare i propri obblighi di notifica ai sensi degli articoli 33 e 34 del GDPR, integrando la notifica man mano che si rendono disponibili ulteriori informazioni.

9. Trasferimenti internazionali

Notakey tratta i Dati personali del Cliente nello Spazio economico europeo. notakey.cloud è ospitato su Oracle Cloud Infrastructure. Qualora un sub-responsabile del trattamento tratti dati personali al di fuori dello SEE (si veda l'Allegato 3), Notakey garantisce che sia in essere una garanzia di trasferimento appropriata, quale le clausole contrattuali tipo della Commissione europea o una decisione di adeguatezza (incluso il quadro UE–USA sulla privacy dei dati (EU–US Data Privacy Framework), qualora il destinatario sia certificato).

10. Cancellazione e restituzione dei dati

Alla risoluzione o alla scadenza dei Servizi, Notakey, a scelta del Cliente, cancellerà o restituirà tutti i Dati personali del Cliente e cancellerà le copie esistenti senza ingiustificato ritardo, salvo che il diritto dell'Unione o di uno Stato membro ne richieda l'ulteriore conservazione.

11. Audit

Notakey metterà a disposizione del Cliente le informazioni ragionevolmente necessarie a dimostrare il rispetto del presente DPA, e consentirà e contribuirà agli audit, ivi comprese le ispezioni, condotti dal Cliente o da un revisore incaricato dal Cliente, fatto salvo un ragionevole preavviso, al massimo una volta in ogni periodo di 12 mesi salvo che una violazione di dati personali o un'autorità di controllo richieda diversamente, durante il normale orario lavorativo e nel rispetto di obblighi di riservatezza. Notakey può, in prima istanza, soddisfare una richiesta di audit fornendo relazioni di audit o certificazioni esistenti, ove queste rispondano ragionevolmente all'oggetto della richiesta.

12. Responsabilità e ordine di prevalenza

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni di responsabilità previste nel Contratto. In caso di conflitto tra il presente DPA e il Contratto in merito al trattamento dei dati personali, prevale il presente DPA.

Allegato 1 — Dettagli del trattamento

Come stabilito nella sezione 2 del presente DPA (oggetto, durata, natura e finalità, categorie di interessati e tipi di dati personali).

Allegato 2 — Misure tecniche e organizzative

  • Le chiavi private degli utenti finali sono generate e archiviate nella memoria sicura basata su hardware del dispositivo e non sono mai trasmesse a Notakey né conservate da quest'ultima; ogni approvazione è firmata crittograficamente sul dispositivo.
  • I dati in transito sono cifrati mediante TLS.
  • I contenuti delle richieste di approvazione sono recapitati al dispositivo solo dopo che l'utente ha accettato la notifica push; i fornitori di notifiche push (APNs/FCM) ricevono token, non il contenuto delle richieste.
  • Ulteriori dettagli sulle misure tecniche e organizzative di Notakey sono disponibili per il Cliente, su richiesta, all'indirizzo info@notakey.com.

Allegato 3 — Sub-responsabili del trattamento autorizzati

  • Oracle Cloud Infrastructure — hosting di notakey.cloud.
  • Apple Inc. (Apple Push Notification service) — recapito delle notifiche push ai dispositivi iOS.
  • Google LLC (Firebase Cloud Messaging) — recapito delle notifiche push ai dispositivi Android.
  • Functional Software, Inc. (Sentry) — diagnostica degli errori e dei crash dell'applicazione.

Qualora la configurazione di onboarding del Cliente utilizzi il recapito di codici monouso tramite SMS o WhatsApp, il fornitore di recapito dei messaggi riceve il numero di telefono dell'utente finale a fini di recapito. Un elenco aggiornato dei sub-responsabili del trattamento è disponibile su richiesta all'indirizzo info@notakey.com.