Accordo sul trattamento dei dati (DPA)

Ultimo aggiornamento: dicembre 2025

Il presente Accordo sul trattamento dei dati (“DPA”) costituisce parte integrante ed è soggetto al contratto principale di servizio e/o ai Termini di servizio (l’“Accordo”) tra:

  • Ampliro AB, reg. no. 559488-1517, Warfvinges väg 31, 112 51 Stockholm, Sweden, che agisce per conto di e in qualità di fornitore della piattaforma Diplino disponibile su diplino.com (“Diplino”, il “Servizio”, il Responsabile del trattamento), e
  • Il cliente identificato nell’Accordo (il Titolare del trattamento).

Il presente DPA stabilisce i termini in base ai quali Ampliro tratta Dati personali per conto del Titolare del trattamento in relazione alla fornitura dei servizi di gestione di certificati e credenziali Diplino.

In caso di conflitto tra il presente DPA e l’Accordo in merito al trattamento dei Dati personali, il presente DPA prevarrà nella misura di tale conflitto.


1. Definizioni

Ai fini del presente DPA, i seguenti termini avranno i significati indicati di seguito. I termini non definiti nel presente DPA avranno il significato loro attribuito nell’Accordo o ai sensi della Normativa applicabile in materia di protezione dei dati.

  • “Normativa applicabile in materia di protezione dei dati” indica tutte le leggi e i regolamenti in materia di protezione dei dati e privacy applicabili al trattamento dei Dati personali ai sensi del presente DPA, incluso, ove applicabile, il Regolamento generale sulla protezione dei dati dell’UE (Regolamento (UE) 2016/679 – “GDPR”), l’UK GDPR e qualsiasi legislazione nazionale di attuazione.

  • “Titolare del trattamento” indica l’entità che determina le finalità e i mezzi del trattamento dei Dati personali.

  • “Responsabile del trattamento” indica l’entità che tratta Dati personali per conto del Titolare del trattamento.

  • “Dati personali” indica qualsiasi informazione riguardante una persona fisica identificata o identificabile (“Interessato”).

  • “Trattamento”, “Interessato”, “Violazione dei dati personali”, “Autorità di controllo”, “Sub-responsabile del trattamento”, “Paese terzo” e gli altri termini con iniziale maiuscola avranno il significato loro attribuito nel GDPR.

  • “Servizi” indica i servizi Diplino di gestione di certificati e credenziali forniti da Ampliro al Titolare del trattamento ai sensi dell’Accordo.


2. Ruoli delle Parti

2.1 Titolare del trattamento e Responsabile del trattamento
Per il Trattamento dei Dati personali descritto nel presente DPA, il Titolare del trattamento è il “titolare del trattamento” e Ampliro è il “responsabile del trattamento” ai sensi della Normativa applicabile in materia di protezione dei dati.

2.2 Attività in qualità di titolare autonomo del trattamento
Il Titolare del trattamento prende atto che Ampliro può trattare determinati Dati personali in qualità di titolare autonomo del trattamento per proprie finalità legittime, quali fatturazione, adempimento di obblighi legali, mantenimento di registri di sicurezza, prevenzione delle frodi e analisi del Servizio, come descritto nell’Informativa sulla privacy di Ampliro/Diplino. Tale trattamento esula dall’ambito del presente DPA ed è disciplinato dalle informative sulla privacy applicabili.


3. Oggetto, natura, finalità e durata del Trattamento

3.1 Oggetto
Ampliro tratterà Dati personali per conto del Titolare del trattamento in relazione alla fornitura dei Servizi Diplino, inclusa la creazione, gestione, archiviazione e verifica di certificati e credenziali digitali.

3.2 Natura e finalità del Trattamento
Le attività di Trattamento includono, nella misura necessaria per fornire e supportare i Servizi:

  • Generazione, rilascio e gestione di certificati e credenziali digitali;
  • Archiviazione e gestione di informazioni relative a partecipanti e destinatari;
  • Fornitura di funzionalità di verifica e convalida dei certificati;
  • Gestione di account utente e ruoli (ad es. amministratori, istruttori, emittenti);
  • Invio di notifiche e-mail relative ai certificati e al Servizio (ad es. rilascio, aggiornamenti o promemoria);
  • Fornitura di supporto, manutenzione, risoluzione dei problemi e monitoraggio della sicurezza;
  • Hosting, backup, logging e operazioni tecniche necessarie per erogare il Servizio.

3.3 Durata del Trattamento
Il Trattamento inizierà alla Data di efficacia dell’Accordo e continuerà per tutto il tempo in cui Ampliro fornisce i Servizi al Titolare del trattamento e per qualsiasi periodo di conservazione richiesto o consentito dall’Accordo o dalla Normativa applicabile in materia di protezione dei dati. Alla cessazione o scadenza dell’Accordo, il Trattamento cesserà e i Dati personali saranno cancellati o restituiti in conformità alla Sezione 12 del presente DPA.


4. Categorie di Interessati e tipi di Dati personali

4.1 Categorie di Interessati
I Dati personali trattati da Ampliro per conto del Titolare del trattamento possono riguardare le seguenti categorie di Interessati:

  • Destinatari di certificati (ad es. partecipanti a corsi, discenti, dipendenti, contraenti) i cui certificati sono rilasciati dal Titolare del trattamento tramite Diplino;
  • Utenti dell’organizzazione Diplino del Titolare del trattamento (ad es. amministratori, istruttori, emittenti);
  • Altre persone le cui informazioni possono comparire sui certificati o all’interno dei metadati, come determinato dal Titolare del trattamento.

4.2 Tipi di Dati personali
I Dati personali trattati possono includere, a titolo esemplificativo:

  • Dati identificativi e di contatto:
    • Nome, indirizzo e-mail (facoltativo a seconda della configurazione del Titolare del trattamento);
  • Informazioni professionali:
    • Nome della società/organizzazione, dipartimento, titolo professionale o ruolo;
  • Dati relativi a certificati e credenziali:
    • Dettagli del certificato (ad es. nome del corso, stato di completamento, data di rilascio, data di scadenza, identificativi univoci del certificato);
    • Dati di verifica e convalida (ad es. firme crittografiche, hash, registri di verifica);
  • Dati di account e utilizzo:
    • Ruolo dell’utente all’interno dell’organizzazione Diplino del Titolare del trattamento (ad es. admin, istruttore);
    • ID utente, timestamp di accesso e registri di attività all’interno del Servizio;
  • Dati tecnici e di sicurezza:
    • Indirizzo IP, tipo di browser, ubicazione approssimativa (basata sull’IP), registri di sicurezza e registri di audit relativi ad accessi e modifiche.

Il Titolare del trattamento si impegna a non inviare intenzionalmente nel Servizio alcuna categoria particolare di Dati personali (articolo 9 GDPR) né Dati personali relativi a condanne penali e reati (articolo 10 GDPR), salvo esplicito accordo scritto con Ampliro e fatta salva l’applicazione di garanzie aggiuntive.


5. Obblighi del Responsabile del trattamento

Ampliro, agendo in qualità di Responsabile del trattamento, dovrà:

5.1 Istruzioni
Trattare i Dati personali solo su istruzioni documentate del Titolare del trattamento, anche in relazione ai trasferimenti di Dati personali verso un Paese terzo, salvo che ciò sia richiesto dal diritto dell’UE o degli Stati membri o da altra Normativa applicabile in materia di protezione dei dati. In tal caso, Ampliro informerà il Titolare del trattamento di tale requisito legale prima del Trattamento, salvo che la legge vieti tale informazione.

5.2 Riservatezza
Garantire che le persone autorizzate al trattamento dei Dati personali si siano impegnate ad adeguati obblighi di riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

5.3 Sicurezza del Trattamento
Implementare e mantenere misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, come ulteriormente descritto nella Sezione 8 e nell’Allegato 1 – Misure tecniche e organizzative.

5.4 Assistenza con i diritti degli Interessati
Tenendo conto della natura del Trattamento, assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, nell’adempimento dell’obbligo del Titolare del trattamento di rispondere alle richieste di esercizio dei diritti degli Interessati ai sensi della Normativa applicabile in materia di protezione dei dati (si veda la Sezione 10).

5.5 Assistenza alla conformità
Assistere il Titolare del trattamento nel garantire il rispetto degli obblighi ai sensi degli articoli da 32 a 36 GDPR (o disposizioni equivalenti ai sensi di altra Normativa applicabile in materia di protezione dei dati), tenendo conto della natura del Trattamento e delle informazioni a disposizione di Ampliro, anche in relazione a sicurezza, valutazioni d’impatto sulla protezione dei dati e consultazioni con le autorità di controllo.

5.6 Registri e informazioni
Mettere a disposizione del Titolare del trattamento tutte le informazioni ragionevolmente necessarie per dimostrare la conformità al presente DPA e alla Normativa applicabile in materia di protezione dei dati, nonché consentire e contribuire ad audit e ispezioni come descritto nella Sezione 11.

5.7 Cancellazione e restituzione dei dati
Alla cessazione o scadenza dei Servizi, cancellare o restituire tutti i Dati personali trattati per conto del Titolare del trattamento in conformità alla Sezione 12, salvo che la conservazione sia richiesta dalla Normativa applicabile in materia di protezione dei dati.


6. Obblighi del Titolare del trattamento

Il Titolare del trattamento dovrà:

  • Garantire di disporre di una valida base giuridica per il Trattamento dei Dati personali e per l’incarico ad Ampliro quale Responsabile del trattamento in conformità alla Normativa applicabile in materia di protezione dei dati;
  • Garantire che tutte le necessarie informative sulla privacy siano state fornite agli Interessati e, ove richiesto, che i consensi siano stati ottenuti;
  • Non impartire ad Ampliro istruzioni di trattare Dati personali in modo tale da violare la Normativa applicabile in materia di protezione dei dati;
  • Essere responsabile dell’accuratezza, qualità e liceità dei Dati personali forniti ad Ampliro e del modo in cui il Titolare del trattamento sceglie di utilizzare i Servizi.

7. Sub-responsabili del trattamento

7.1 Sub-responsabili del trattamento autorizzati
Il Titolare del trattamento concede ad Ampliro un’autorizzazione generale a ricorrere a Sub-responsabili del trattamento per il Trattamento dei Dati personali per conto del Titolare del trattamento, a condizione che Ampliro:

  • Garantisca che ciascun Sub-responsabile del trattamento sia vincolato da obblighi scritti in materia di protezione dei dati non meno protettivi di quelli stabiliti nel presente DPA; e
  • Rimanga pienamente responsabile nei confronti del Titolare del trattamento per l’adempimento degli obblighi del Sub-responsabile del trattamento.

7.2 Sub-responsabili del trattamento attuali
L’elenco attuale dei Sub-responsabili del trattamento utilizzati in relazione ai Servizi è disponibile all’indirizzo:

Tale elenco può essere aggiornato di tanto in tanto.

7.3 Modifiche ai Sub-responsabili del trattamento
Ampliro fornirà avviso di eventuali modifiche previste ai Sub-responsabili del trattamento (ad esempio, aggiornando l’Elenco dei sub-responsabili del trattamento e/o tramite il Servizio o e-mail). Il Titolare del trattamento può opporsi a tali modifiche per ragionevoli motivi connessi alla protezione dei dati. Se il Titolare del trattamento si oppone ragionevolmente e le parti non riescono a raggiungere una soluzione reciprocamente accettabile, il Titolare del trattamento può cessare i Servizi interessati in conformità all’Accordo.


8. Trasferimenti internazionali di dati

8.1 Trasferimenti
Nella misura in cui Ampliro o i suoi Sub-responsabili del trattamento trasferiscano Dati personali dal SEE, dal Regno Unito o dalla Svizzera verso un Paese terzo, tale trasferimento sarà effettuato in conformità alla Normativa applicabile in materia di protezione dei dati, incluso, ove pertinente:

  • L’uso delle clausole contrattuali tipo della Commissione europea (SCCs) per il trasferimento di Dati personali verso Paesi terzi; e/o
  • Qualsiasi meccanismo di trasferimento equivalente o sostitutivo riconosciuto ai sensi della Normativa applicabile in materia di protezione dei dati (ad es. l’Addendum del Regno Unito sul trasferimento internazionale dei dati).

8.2 Ulteriori garanzie
Ampliro dovrà, su richiesta scritta, fornire al Titolare del trattamento informazioni sui meccanismi di trasferimento in essere per gli scenari di trasferimento pertinenti e, ove necessario, stipulare accordi supplementari e garanzie adeguati.


9. Misure di sicurezza

Ampliro implementerà e manterrà misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto della natura, dell’ambito, del contesto e delle finalità del Trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà degli Interessati. Tali misure includono, a titolo esemplificativo, quelle descritte nell’Allegato 1 – Misure tecniche e organizzative, e possono includere:

  • Cifratura dei dati a riposo e in transito (ad es. TLS 1.3 per i dati in transito);
  • Uso di firme crittografiche robuste (ad es. Ed25519) per l’integrità e la verifica dei certificati;
  • Controlli di accesso, autenticazione e principi del privilegio minimo per personale e componenti di sistema;
  • Monitoraggio regolare della sicurezza, logging e audit degli accessi ai Dati personali;
  • Prassi sicure di sviluppo e distribuzione del software.

Ampliro può aggiornare le proprie misure tecniche e organizzative di tanto in tanto, a condizione che tali aggiornamenti non riducano sostanzialmente il livello complessivo di protezione.


10. Notifica delle violazioni dei dati

In caso di Violazione dei dati personali che interessi Dati personali trattati per conto del Titolare del trattamento, Ampliro dovrà:

  • Notificare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuta a conoscenza della Violazione dei dati personali e, ove fattibile, non oltre 72 ore; e
  • Fornire le informazioni ragionevolmente disponibili ad Ampliro riguardo a:
    • La natura della Violazione dei dati personali;
    • Le categorie e il numero approssimativo di Interessati e di registrazioni di Dati personali interessati;
    • Le probabili conseguenze della Violazione dei dati personali;
    • Le misure adottate o proposte per porre rimedio alla Violazione dei dati personali e mitigarne i possibili effetti negativi.

Ampliro coopererà con il Titolare del trattamento e adotterà misure ragionevoli per assistere il Titolare del trattamento nell’adempimento di qualsiasi obbligo di notifica alle autorità di controllo o agli Interessati ai sensi della Normativa applicabile in materia di protezione dei dati.


11. Diritti degli Interessati

Tenendo conto della natura del Trattamento, Ampliro assisterà il Titolare del trattamento mediante misure tecniche e organizzative adeguate, nella misura possibile, nell’adempimento dell’obbligo del Titolare del trattamento di rispondere alle richieste di esercizio dei diritti degli Interessati, inclusi:

  • Diritto di accesso (articolo 15 GDPR);
  • Diritto di rettifica (articolo 16 GDPR);
  • Diritto alla cancellazione (articolo 17 GDPR);
  • Diritto di limitazione del trattamento (articolo 18 GDPR);
  • Diritto alla portabilità dei dati (articolo 20 GDPR);
  • Diritto di opposizione (articolo 21 GDPR).

Se un Interessato contatta direttamente Ampliro con una richiesta relativa a Dati personali trattati ai sensi del presente DPA, Ampliro, nella misura consentita dalla legge, informerà l’Interessato che la richiesta deve essere indirizzata al Titolare del trattamento pertinente e inoltrerà tempestivamente tale richiesta al Titolare del trattamento.


12. Diritti di audit e ispezione

12.1 Documentazione e informazioni
Ampliro metterà a disposizione del Titolare del trattamento le informazioni ragionevolmente necessarie per dimostrare la conformità ai propri obblighi ai sensi del presente DPA e della Normativa applicabile in materia di protezione dei dati, che possono includere:

  • Documentazione che descriva le misure tecniche e organizzative pertinenti;
  • Documentazione standard di sicurezza e/o attestazioni di terzi (se disponibili).

12.2 Audit
Qualora tale documentazione non sia sufficiente a dimostrare la conformità, il Titolare del trattamento può, a proprie spese e previo ragionevole preavviso (almeno 30 giorni), condurre o incaricare un audit, incluse ispezioni, delle strutture, dei sistemi e della documentazione pertinente di Ampliro, limitato a quanto necessario per verificare la conformità di Ampliro al presente DPA. Qualsiasi audit dovrà:

  • Essere condotto durante il normale orario lavorativo;
  • Non interferire irragionevolmente con le operazioni di Ampliro;
  • Essere soggetto ad adeguati obblighi di riservatezza;
  • Essere limitato a una volta ogni 12 mesi, salvo che la Normativa applicabile in materia di protezione dei dati richieda audit più frequenti a seguito di una Violazione dei dati personali o in virtù di specifici requisiti dell’autorità di controllo.

13. Cancellazione e restituzione dei Dati personali

13.1 Alla cessazione
Alla cessazione o scadenza dell’Accordo, o su richiesta scritta del Titolare del trattamento, Ampliro dovrà:

  • Cancellare o anonimizzare i Dati personali trattati per conto del Titolare del trattamento; o
  • Restituire i Dati personali al Titolare del trattamento in un formato elettronico di uso comune, se richiesto e tecnicamente fattibile,

salvo che Ampliro sia tenuta dalla Normativa applicabile in materia di protezione dei dati a conservare alcuni o tutti i Dati personali per un periodo più lungo (ad esempio, per finalità legali, fiscali o contabili).

13.2 Backup e registri
I Dati personali conservati in backup o registri archiviati saranno protetti in modo sicuro e, ove fattibile, sovrascritti o cancellati in conformità ai cicli standard di backup e conservazione di Ampliro.

13.3 Dati aggregati e anonimizzati
Nulla nel presente DPA impedirà ad Ampliro di conservare o utilizzare dati anonimizzati o aggregati che non possano essere utilizzati per identificare una persona, in conformità alla Normativa applicabile in materia di protezione dei dati.


14. Varie

14.1 Limitazione di responsabilità
Qualsiasi limitazione di responsabilità concordata tra le parti nell’Accordo si applicherà anche al presente DPA, nella misura consentita dalla Normativa applicabile in materia di protezione dei dati.

14.2 Separabilità
Se una qualsiasi disposizione del presente DPA è ritenuta invalida o inapplicabile, le restanti disposizioni rimarranno pienamente valide ed efficaci.

14.3 Legge applicabile e giurisdizione
Il presente DPA sarà regolato e interpretato in conformità alla legge applicabile e alla giurisdizione indicate nell’Accordo, salvo ove diversamente richiesto dalla Normativa applicabile in materia di protezione dei dati.


15. Contatto

Per richieste relative alla protezione dei dati e alla privacy concernenti il presente DPA o il trattamento dei Dati personali da parte di Ampliro in relazione a Diplino, il Titolare del trattamento può contattare:

  • E-mail: privacy@diplino.com
  • Indirizzo postale:
    Ampliro AB
    Attn: Privacy / Diplino
    Warfvinges väg 31
    112 51 Stockholm
    Sweden

Allegato 1 – Misure tecniche e organizzative

Fermo restando l’obbligo di Ampliro di implementare misure adeguate ai sensi dell’articolo 32 GDPR e di altra Normativa applicabile in materia di protezione dei dati, le seguenti misure illustrano le principali garanzie implementate in relazione al Servizio Diplino:

  1. Cifratura e crittografia

    • Cifratura dei dati in transito utilizzando protocolli standard di settore (ad es. TLS 1.3 o equivalente).
    • Cifratura dei dati a riposo nei database e nei sistemi di archiviazione sottostanti.
    • Uso di firme crittografiche robuste (ad es. Ed25519) per la firma e la verifica dei certificati, assicurando integrità e autenticità.
  2. Controllo degli accessi e gestione delle identità

    • Controllo degli accessi basato sui ruoli (RBAC) all’interno del Servizio per limitare l’accesso ai Dati personali in base ai ruoli degli utenti (ad es. admin, istruttore).
    • Meccanismi di autenticazione forte per l’accesso amministrativo.
    • Principio del privilegio minimo applicato al personale interno e ai sistemi che accedono ai Dati personali.
  3. Sicurezza della rete e dell’infrastruttura

    • Utilizzo di infrastruttura cloud sicura e segmentazione della rete ove appropriato.
    • Firewall, gruppi di sicurezza e controlli di rete simili per proteggere i sistemi di produzione.
    • Applicazione regolare di patch e aggiornamenti di sicurezza.
  4. Logging, monitoraggio e audit

    • Registrazione di audit delle attività degli utenti e degli accessi relativi a certificati e Dati personali.
    • Logging centralizzato e monitoraggio degli eventi infrastrutturali per rilevamento di anomalie e risposta agli incidenti.
    • Conservazione dei registri di audit in linea con le esigenze di sicurezza e conformità.
  5. Sviluppo e gestione delle modifiche

    • Prassi sicure di sviluppo software, inclusi revisione del codice, controllo delle versioni e test.
    • Processi di distribuzione controllati con accesso limitato agli ambienti di produzione.
    • Separazione degli ambienti di sviluppo, staging e produzione.
  6. Misure organizzative e formazione

    • Obblighi di riservatezza per dipendenti e contraenti con accesso ai Dati personali.
    • Formazione e sensibilizzazione del personale sulle prassi di protezione dei dati e sicurezza delle informazioni.
    • Politiche interne riguardanti protezione dei dati, conservazione e risposta agli incidenti.
  7. Continuità operativa e backup

    • Backup regolari dei dati e procedure di ripristino testate per garantire disponibilità e integrità del Servizio.
    • Piani di continuità operativa e disaster recovery per sistemi critici.
  8. Gestione e revisione dei rischi

    • Valutazioni periodiche dei rischi per la sicurezza e dei rischi per la privacy relativi al Servizio.
    • Revisione e miglioramento dei controlli di sicurezza alla luce di nuovi rischi, prassi di settore e requisiti legali.

Ampliro può aggiornare o perfezionare tali misure nel tempo, a condizione che tali modifiche non comportino una riduzione sostanziale del livello complessivo di sicurezza.