Trust center / Privacy & GDPR
Privacy & GDPR
docs365.ai agisce come responsabile del trattamento ai sensi del GDPR — la tua organizzazione rimane il titolare del trattamento per i dati personali nei documenti che governi. Come ci mappiamo alle responsabilità dell'Articolo 28, e i confini che contano.
Ruoli
Titolare, responsabile, sub-responsabile
Tu
Titolare del trattamento
La tua organizzazione determina perché i dati personali vengono trattati, quali documenti li contengono, chi vi ha accesso e per quanto tempo vengono conservati.
docs365.ai
Responsabile del trattamento
Il nostro livello tratta i dati personali solo sulle tue istruzioni documentate, nei termini del nostro DPA. Non determiniamo scopo o ambito; operiamo.
Microsoft + DocuSign
Sub-responsabili
Microsoft è la piattaforma su cui tutto funziona. DocuSign (se abilitato) è la cerimonia di firma PAdES. Entrambi coperti nel DPA.
Mappatura Articolo 28
Come il nostro DPA affronta ogni clausola
| Art. 28 | Cosa richiede | Come lo affrontiamo |
|---|---|---|
| 28(1) | Garanzie sufficienti per attuare misure tecniche + organizzative appropriate | ISMS interno allineato ai controlli ISO 27001; le proprie attestazioni di Microsoft si applicano alla piattaforma |
| 28(3)(a) | Trattare solo su istruzioni documentate del titolare | DPA + configurazione cliente definiscono tutto il trattamento; non trattiamo di nostra iniziativa |
| 28(3)(b) | Obblighi di riservatezza sul personale | Contratti di lavoro + NDA + formazione sulla sicurezza; documentato nel DPA |
| 28(3)(c) | Misure di sicurezza ex Art. 32 | Vedi la pagina sulla postura di sicurezza per i dettagli |
| 28(3)(d) | Coinvolgere sub-responsabili solo con autorizzazione del titolare | Sub-responsabili attuali elencati nel DPA; modifiche notificate con 30 giorni di anticipo |
| 28(3)(e) | Assistere il titolare nel rispondere alle richieste degli interessati | Operazioni di recupero, esportazione e cancellazione dati disponibili tramite SharePoint + nostri strumenti admin |
| 28(3)(f) | Assistere il titolare con Artt. 32-36 (sicurezza, notifica violazione, DPIA, consultazione preventiva) | Documentazione di sicurezza, processo di notifica violazione, input DPIA — tutti forniti su richiesta |
| 28(3)(g) | Restituire o cancellare i dati personali al termine dei servizi | I documenti rimangono nel tuo SharePoint (non ne facciamo copie); l'accesso del nostro account di servizio viene revocato al termine del contratto |
| 28(3)(h) | Rendere disponibili le informazioni necessarie per dimostrare la conformità; consentire audit | Documentazione di sicurezza disponibile per i clienti; richieste di audit ragionevoli accolte sotto NDA |
Diritti degli interessati
Supporto per accesso, rettifica, cancellazione
Le richieste degli interessati (Artt. 15–22 GDPR) sono dirette a te come titolare. Il nostro ruolo è garantire che la capacità tecnica per rispondere esista.
Accesso (Art. 15)
I documenti contenenti dati personali sono ricercabili in SharePoint. I log di audit mostrano quali azioni sono avvenute su documenti specifici. Entrambi fanno parte della risposta all'accesso.
Rettifica (Art. 16)
I documenti possono essere revisionati attraverso il normale workflow di approvazione. La modifica viene catturata nel log di audit. Le versioni precedenti rimangono disponibili (secondo la tua policy di conservazione).
Cancellazione (Art. 17)
I documenti possono essere eliminati o archiviati. Nota che gli obblighi di cancellazione devono essere bilanciati rispetto agli obblighi di conservazione dei registri previsti dalle normative di settore (eccezioni Art. 17(3)).
Portabilità (Art. 20)
I documenti sono in formato Office nativo (Word, PDF, Excel, PowerPoint). I metadati vengono esportati tramite SharePoint. La portabilità dei dati non è un ostacolo tecnico.
Articolo 33
Notifica delle violazioni
Se una violazione dei dati personali colpisce i dati dei clienti trattati attraverso il nostro livello, notifichiamo il contatto compliance principale del cliente entro 24 ore dalla nostra presa di conoscenza. La notifica include: la natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le probabili conseguenze e le misure adottate o proposte per affrontare la violazione.
Questo è più rapido del termine di 72 ore che hai ai sensi dell'Art. 33(1) con la tua autorità di controllo — dando al tuo team compliance il tempo di valutare la violazione e preparare la propria notifica prima della scadenza regolatoria.
Contatto
Contatto privacy + DPO
Richieste privacy, richieste DPA, supporto DPIA, coordinamento notifica violazioni, collegamento diritti degli interessati — tutto a contact@intranet.ai. Il nostro obiettivo di risposta è 3 giorni lavorativi per le richieste di routine; più rapido per escalation di violazioni o richieste di diritti.
Hai bisogno del DPA o di un pacchetto input DPIA?
DPA in forma standard disponibile durante la contrattualizzazione. DPA addendum specifici per cliente, input DPIA e questionari di vendor risk assessment di solito vengono evasi in meno di un giorno lavorativo.