Accordo sul Trattamento dei Dati / Data Processing Agreement

Italian text is authoritative. The English text is provided as a courtesy for non-Italian-speaking signatories; in case of any discrepancy, the Italian version prevails.

Template version 1.0, effective from 2026-04-27. Structured metadata (sub-processors, TOMs, retention windows) is defined in pkg/dpa.py; changes there propagate to this rendered template via the GET /legal/dpa route.

---

ITALIANO (testo prevalente)

1. Parti

Titolare del trattamento ("Cliente"): - Ragione sociale: [NOME CLIENTE] - Partita IVA / Codice Fiscale: [P.IVA CLIENTE] - Sede legale: [INDIRIZZO CLIENTE] - Email di contatto: [EMAIL CLIENTE]

Responsabile del trattamento ("Econova-AI"): - Ragione sociale: Econova-AI s.r.l. - Partita IVA: IT00000000000 (da sostituire con la P.IVA effettiva al primo DPA firmato) - Sede legale: Milano, Italia - Email di contatto per privacy: gmmensi@gmail.com - DPO: non designato (le soglie dell'Art. 37 GDPR non sono raggiunte allo stato attuale; il contatto privacy gestisce ogni richiesta in materia di protezione dei dati).

2. Oggetto del trattamento

Il Cliente, in qualità di titolare, affida a Econova-AI il trattamento di dati personali nell'ambito della piattaforma SaaS ECOVSME, finalizzata alla generazione di report di sostenibilità VSME conformi allo standard EFRAG VSME 1.0.

3. Durata

Il presente DPA decorre dalla data della prima sottoscrizione di un report sulla piattaforma ECOVSME e termina alla cessazione del rapporto contrattuale fra le Parti, fatti salvi gli obblighi di conservazione previsti per legge o nelle finestre di retention definite all'Allegato III.

4. Natura e finalità del trattamento

Le operazioni di trattamento svolte da Econova-AI sono limitate a:

a. estrazione strutturata di dati da file Excel e MUD PDF caricati dal Cliente; b. invocazione di un modello linguistico AI (Google Gemini) per la generazione delle sezioni narrative del report, sotto la supervisione per-claim del Cliente (modalità Human-in-the-Loop); c. consolidamento dei dati e della narrativa in un documento DOCX finale conforme allo standard EFRAG VSME; d. logging append-only delle operazioni a fini di audit (Allegato II); e. archiviazione temporanea dei file caricati e del DOCX prodotto, secondo le finestre di retention dell'Allegato III.

5. Tipi di dati personali trattati

I dati personali trattati hanno carattere prevalentemente aggregato e si limitano a:

• dati relativi alla forza lavoro del Cliente: numero totale di FTE, ripartizione per genere, totale ore di formazione, tasso di turnover — in forma aggregata, senza nominativi individuali;
• dati di soggetti terzi presenti nei documenti caricati: ragione sociale e partita IVA dei trasportatori e gestori di rifiuti riportati nelle dichiarazioni MUD, ove applicabile;
• dati identificativi degli utenti della piattaforma: nome, cognome, email aziendale e ruolo della persona designata dal Cliente per l'utilizzo della piattaforma.

6. Categorie di interessati

a. Dipendenti del Cliente (in forma aggregata); b. Fornitori e gestori terzi citati nei documenti caricati; c. Persone fisiche autorizzate dal Cliente all'utilizzo della piattaforma.

7. Obblighi di Econova-AI (Art. 28(3) GDPR)

Econova-AI si obbliga a:

a. trattare i dati personali soltanto su istruzioni documentate del Cliente, comprese quelle relative al trasferimento di dati verso un paese terzo. Costituiscono istruzioni documentate il presente DPA, le condizioni d'uso della piattaforma e ogni richiesta inviata via email all'indirizzo di contatto privacy;

b. garantire che le persone autorizzate al trattamento siano vincolate a un obbligo di riservatezza o sottoposte ad adeguato obbligo legale di segretezza;

c. adottare le misure tecniche e organizzative di cui all'Art. 32 GDPR come dettagliate nell'Allegato II;

d. rispettare le condizioni per il ricorso a un altro responsabile del trattamento (sub-responsabile) come previste ai paragrafi 2 e 4 dell'Art. 28 GDPR e dettagliate all'Allegato I;

e. assistere il Cliente con misure tecniche e organizzative adeguate, per quanto possibile, al fine di soddisfare l'obbligo del Cliente di dare seguito alle richieste degli interessati che esercitano i loro diritti (Capo III GDPR);

f. assistere il Cliente nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 GDPR (sicurezza, notifica violazioni, valutazione d'impatto), tenendo conto della natura del trattamento e delle informazioni a disposizione di Econova-AI;

g. a scelta del Cliente, cancellare o restituire tutti i dati personali dopo la cessazione delle attività di trattamento, e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati. Le tempistiche operative sono indicate nell'Allegato III;

h. mettere a disposizione del Cliente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'Art. 28 GDPR, e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Cliente o da altro soggetto da questi incaricato.

8. Notifica di violazione (Art. 33 GDPR)

Econova-AI notificherà al Cliente, entro 24 ore dall'effettiva conoscenza, ogni violazione di dati personali che riguardi i dati del Cliente. La notifica includerà, ove disponibili al momento dell'invio:

a. la natura della violazione e, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni interessate; b. i dati di contatto della persona presso Econova-AI in grado di fornire ulteriori informazioni; c. le probabili conseguenze della violazione; d. le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione.

L'SLA di 24 ore è più stringente del minimo legale ("senza ingiustificato ritardo") affinché il Cliente disponga delle restanti 48 ore (sulle 72 ore previste dall'Art. 33) per la propria notifica all'autorità di controllo.

9. Trasferimenti internazionali

I dati del Cliente sono ospitati in regione UE (Allegato I, sub-responsabile di object storage). Il sub-responsabile Google LLC, fornitore del modello AI, può effettuare trattamenti su infrastrutture extra-UE: tale trasferimento si fonda sulla certificazione EU-US Data Privacy Framework di Google LLC, con clausole contrattuali tipo come fallback. Nessun ulteriore trasferimento extra-UE avviene allo stato attuale del servizio.

10. Diritto di audit

Il Cliente, con preavviso scritto di almeno 30 giorni, può richiedere verifiche documentali sull'osservanza del presente DPA da parte di Econova-AI. Audit in loco sono possibili previo accordo sui costi e sulle modalità di esecuzione, salvo i casi in cui la normativa preveda diversamente. Econova-AI fornisce su richiesta:

• l'ultimo report di riconciliazione dei fattori di emissione (eval/factor_audit_YYYY.md);
• l'ultimo report di valutazione qualitativa (eval/runs/eval_run_<timestamp>.md);
• estratti del log audit append-only filtrati per trace_id;
• evidenze del rispetto delle misure tecniche e organizzative dell'Allegato II.

11. Cancellazione e restituzione dei dati

Alla cessazione del rapporto:

• i file caricati dal Cliente e i DOCX generati sono cancellati entro 30 giorni (vedi Allegato III);
• gli eventi di audit sono conservati per 2 anni dalla data di registrazione, in forma pseudonimizzata, conformemente all'impegno §B Layer 4 di ECOVSME (assenza di PII in chiaro nel log audit);
• la riga del Tenant nel database operativo può persistere per la durata del periodo statutario di conservazione delle scritture contabili (10 anni D.Lgs. 39/2010), con tutti i dati personali in essa contenuti pseudonimizzati.

Il Cliente può richiedere in qualsiasi momento, via email all'indirizzo di contatto privacy, la cancellazione anticipata dei propri dati al di fuori dei periodi statutari obbligatori.

12. Responsabilità e indennizzo

La responsabilità complessiva di Econova-AI ai sensi del presente DPA è limitata, salvo dolo o colpa grave, a un importo pari al canone effettivamente corrisposto dal Cliente nei dodici mesi precedenti l'evento da cui è derivata la pretesa risarcitoria.

13. Legge applicabile e foro competente

Il presente DPA è regolato dalla legge italiana. Per ogni controversia è competente in via esclusiva il Foro di Milano.

14. Sottoscrizione

Parte	Firma	Data
Per il Cliente — il legale rappresentante	______	__ / __ / 2026
Per Econova-AI s.r.l. — l'Amministratore Unico	______	__ / __ / 2026

---

Allegato I — Sub-responsabili autorizzati / Authorised Sub-processors

L'elenco aggiornato dei sub-responsabili è anche pubblicato nel codice sorgente in pkg/dpa.py::SUB_PROCESSORS; ogni modifica è oggetto di notifica al Cliente con preavviso ai sensi dell'Art. 28(2) GDPR.

1. Google (Gemini API)

• Entità giuridica: Google LLC
• Ruolo: estrazione di testo da PDF tramite AI e generazione narrativa delle sezioni del report VSME.
• Categorie di dati: dati operativi aggregati di azienda (consumi energetici, tonnellaggi rifiuti, FTE), descrizioni testuali di policy fornite dal Cliente, codici EWC e ragioni sociali dei gestori terzi riportati nelle dichiarazioni MUD.
• Paese di trattamento: Stati Uniti, con endpoint EU regionali ove configurati; il transito può attraversare l'infrastruttura globale di Google.
• Base giuridica per il trasferimento: certificazione EU-US Data Privacy Framework di Google LLC, con Clausole Contrattuali Tipo come fallback.
• Privacy policy: https://policies.google.com/privacy
• DPA del sub-responsabile: https://cloud.google.com/terms/data-processing-addendum

2. Object storage UE (Hetzner / Scaleway / OVH)

• Entità giuridica: Hetzner Online GmbH OPPURE Scaleway SAS OPPURE OVH SAS — la specifica entità è indicata di volta in volta nel DPA firmato.
• Ruolo: archiviazione cifrata at-rest dei file caricati dal Cliente (Excel, PDF) e del DOCX generato.
• Categorie di dati: tutti i file caricati dal Cliente sulla piattaforma ECOVSME e il DOCX di output.
• Paese di trattamento: Germania, Francia o altra regione UE — pinning regionale obbligatorio.
• Base giuridica per il trasferimento: non è effettuato alcun trasferimento al di fuori dello SEE.
• Privacy policy: vedi privacy policy del fornitore selezionato.
• DPA del sub-responsabile: vedi DPA del fornitore selezionato.

Phase 5 — Stripe. All'attivazione della funzionalità di pagamento, Stripe Payments Europe Ltd. (Irlanda) sarà aggiunto come sub-responsabile con notifica preventiva al Cliente. La P.IVA del Cliente, l'ammontare del pagamento e i metadati della transazione saranno gli unici dati condivisi.

---

Allegato II — Misure Tecniche e Organizzative (Art. 32 GDPR)

Le misure di seguito elencate sono direttamente verificabili nel codice sorgente del prodotto; ciascuna voce indica il modulo o la configurazione che la implementa.

#	Misura	Riferimento implementativo
1	Hosting solo UE. Tutti i dati a riposo risiedono in object storage di regione UE (Hetzner Frankfurt / Scaleway Paris by default). Nessun bucket US è configurato.	web/settings.py: s3_region (default eu-central-1)
2	Cifratura in transito. Tutto il traffico HTTP è esclusivamente HTTPS. I cookie di sessione sono HttpOnly, SameSite=Lax, e Secure in staging e produzione.	web/main.py: SessionMiddleware (https_only)
3	Isolamento per tenant. Ogni operazione di persistenza è limitata al tenant_id tramite dependency injection FastAPI; le query cross-tenant restituiscono 404 anziché 403 per evitare existence-leak. Verificato in tests/web/test_tenant_isolation.py.	web/deps.py: CurrentTenant
4	Audit log append-only (Layer 4). Ogni evento rilevante per la governance è registrato in tabella Postgres append-only con trace_id per richiesta.	pkg/observability.py + web/observability.py
5	Pseudonimizzazione PII nell'audit. I campi free-text potenzialmente contenenti PII sono SHA-256-hashed prima del write nel log audit; il DB operativo conserva il plaintext solo per la UI del Cliente.	pkg/observability.py: hash_pii()
6	Kill-switch LLM. L'env var ECOVSME_AI_ENABLED=false blocca immediatamente ogni invocazione del modello AI senza necessità di redeploy.	pkg/safety.py + ECOVSME_AI_ENABLED
7	Rate-limit anti-abuso. Throttle per IP sul signup e quota mobile-24h per tenant sulla creazione di report, applicate server-side e tracciate via eventi RATE_LIMITED.	web/rate_limit.py
8	Human-in-the-Loop per claim. Ogni claim numerico nella narrativa generata dall'AI è confermato o sostituito individualmente dall'utente del Cliente prima della consegna del DOCX. Gate vincolante server-side.	web/routers/review.py + web/routers/download.py
9	Riconciliazione annuale dei fattori ISPRA. La tabella dei fattori di emissione viene riconciliata annualmente contro la pubblicazione ISPRA corrente, con audit document pubblicato.	pkg/factor_audit.py + docs/factor-audit.md
10	Eval harness ripetibile. Una valutazione qualitativa contro un golden-set viene eseguita ad ogni model bump, prompt change, e con cadenza minimo trimestrale, con gate vincolante ≥95% di claim-trace ratio.	pkg/eval_harness.py + docs/eval-harness.md

---

Allegato III — Finestre di retention

Categoria di dati	Finestra	Razionale
File caricati dal Cliente (Excel, PDF)	30 giorni post-consegna	Ritenzione per la durata del flusso di generazione + 30 giorni per consentire la rigenerazione del report in caso di errore di estrazione. Cancellazione su richiesta del Cliente o automatica al termine, qualunque venga prima.
DOCX generato	30 giorni post-consegna	Ritenzione 30 giorni post-consegna affinché il Cliente possa ri-scaricare senza dover rigenerare. Cancellazione su richiesta o automatica al termine.
Eventi audit (Layer 4)	2 anni	Ritenzione 2 anni a supporto dell'impegno §B Layer 4 e di eventuali indagini di compliance. Pseudonimizzato al write-time, quindi nessun PII in chiaro nello scope di ritenzione.
Tenant + utenti (DB operativo)	Durata contrattuale + 10 anni statutari	Conservazione per la durata del rapporto contrattuale + periodo statutario di conservazione delle scritture contabili (D.Lgs. 39/2010). Alla cessazione del contratto, i dati personali del Cliente nelle righe Tenant sono cancellati entro 30 giorni; la riga "scheletro" può persistere per la finestra statutaria con tutti i dati personali pseudonimizzati.

---

ENGLISH (informative translation)

1. Parties

Controller ("Customer"): - Legal name: [CUSTOMER NAME] - VAT ID / Tax code: [CUSTOMER VAT] - Registered office: [CUSTOMER ADDRESS] - Contact email: [CUSTOMER EMAIL]

Processor ("Econova-AI"): - Legal name: Econova-AI s.r.l. - VAT ID: IT00000000000 (to be replaced with the actual VAT before the first signed DPA) - Registered office: Milan, Italy - Privacy contact: gmmensi@gmail.com - DPO: not appointed (the Art. 37 GDPR thresholds are not currently met; the privacy contact handles all data-protection inquiries).

2-13. Substantive clauses

The English text mirrors the Italian clauses 2 through 13 above. In case of any discrepancy, the Italian text prevails.

The substantive commitments are:

• Processing only on documented controller instructions; the DPA itself, the platform terms of use, and any email to the privacy contact are documented instructions.
• Confidentiality obligation on every staff member with access.
• Technical and organizational measures per Annex II.
• Sub-processor authorisation per Annex I, with prior notice of any change.
• Assistance with data-subject rights and Art. 32–36 obligations.
• Deletion or return of data per Annex III at the end of the engagement.
• All compliance evidence available on request — the factor-audit and eval-run documents are published in the repository.
• 24-hour breach-notification SLA from awareness (tighter than the legal minimum so the controller has the remaining 48 hours for the supervisory authority).
• EU-region storage; only the AI sub-processor (Google) processes outside the EU under DPF + SCC.
• Audit rights with 30 days' notice; on-site audits by separate agreement.
• Liability cap at the fees paid in the trailing 12 months, save for willful misconduct or gross negligence.
• Italian law and Milan jurisdiction.

14. Signatures

Party	Signature	Date
For the Customer — legal representative	______	__ / __ / 2026
For Econova-AI s.r.l. — Sole Director	______	__ / __ / 2026

---

Source of truth for the structured metadata referenced in the annexes: pkg/dpa.py. Any sub-processor change, TOM change, or retention-window change in that module triggers the Article 28(2) notification workflow documented in docs/dpa-runbook.md.