StudioAcquista

DPA — Art. 28 GDPR

Accordo sul trattamento dei dati personali

Questo accordo disciplina il trattamento che Invoxa effettua come responsabile per conto dell'utente sui dati personali caricati in piattaforma. È parte integrante dei Termini e Condizioni e viene accettato contestualmente ad essi.

Versione: 2026-06-15

1. Oggetto, ruoli e durata

Il presente Accordo sul trattamento dei dati personali ("DPA") disciplina, ai sensi dell’art. 28 del Regolamento (UE) 2016/679 ("GDPR"), il trattamento di dati personali che Bemart Italia S.r.l. ("Invoxa") effettua per conto dell’utente nell’erogazione dei servizi della piattaforma Invoxa.

In relazione ai dati personali di clienti, fornitori, dipendenti o altri interessati che l’utente carica o fa transitare in piattaforma, l’utente agisce come titolare del trattamento (o come responsabile per conto dei propri clienti, ove applicabile) e Invoxa come responsabile del trattamento. Per i dati di registrazione e fatturazione del proprio account, l’utente è interessato e Invoxa titolare, come descritto nella Privacy policy.

Il DPA è parte integrante dei Termini e Condizioni, viene accettato contestualmente ad essi e resta efficace per tutta la durata del contratto, fino alla cancellazione o restituzione dei dati di cui all’art. 8.

2. Natura e finalità del trattamento

Il trattamento ha ad oggetto le operazioni necessarie all’erogazione dei servizi: raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, elaborazione, trasmissione (inclusa la trasmissione al Sistema di Interscambio), estrazione, comunicazione ai soggetti autorizzati, cancellazione.

La finalità è esclusivamente l’esecuzione dei servizi richiesti dall’utente tramite la piattaforma: gestione anagrafiche, emissione e ricezione di documenti commerciali e fatture elettroniche, adempimenti connessi, assistenza e sicurezza. Invoxa non tratta i dati per finalità proprie.

3. Tipi di dati e categorie di interessati

Tipi di dati: dati identificativi e di contatto, dati fiscali e contabili (partita IVA, codice fiscale, coordinate di pagamento, importi), contenuto di fatture e documenti commerciali, allegati caricati dall’utente.

Categorie di interessati: clienti e fornitori dell’utente (e relativi referenti), dipendenti e collaboratori dell’utente, altri soggetti i cui dati siano contenuti nei documenti gestiti in piattaforma.

La piattaforma non è destinata al trattamento di categorie particolari di dati (art. 9 GDPR) o di dati relativi a condanne penali (art. 10 GDPR); l’utente si impegna a non caricarli se non strettamente indispensabili e sotto la propria responsabilità.

4. Obblighi di Invoxa

Invoxa tratta i dati solo su istruzione documentata dell’utente, risultante dal contratto, dai presenti termini e dalle configurazioni e comandi impartiti tramite la piattaforma; garantisce che le persone autorizzate al trattamento siano vincolate alla riservatezza; adotta le misure tecniche e organizzative di cui all’art. 32 GDPR, descritte nella pagina Sicurezza.

Invoxa notifica all’utente, senza ingiustificato ritardo dopo esserne venuta a conoscenza, le violazioni di dati personali che riguardano i dati trattati per suo conto, fornendo le informazioni utili agli adempimenti degli artt. 33 e 34 GDPR.

5. Sub-responsabili

L’utente autorizza in via generale il ricorso a sub-responsabili per le seguenti categorie di servizi: hosting e infrastruttura cloud, autenticazione, invio email transazionali, servizi di pagamento, trasmissione e firma dei documenti fiscali, strumenti di assistenza e monitoraggio.

Invoxa impone a ciascun sub-responsabile, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente DPA e resta pienamente responsabile verso l’utente dell’operato dei sub-responsabili. L’elenco aggiornato è disponibile su richiesta a [email protected]; eventuali modifiche sostanziali vengono comunicate con un preavviso ragionevole, durante il quale l’utente può opporsi per motivi legittimi.

6. Assistenza al titolare

Tenuto conto della natura del trattamento, Invoxa assiste l’utente con misure tecniche e organizzative adeguate per dare seguito alle richieste di esercizio dei diritti degli interessati (artt. 15-22 GDPR) e, ove necessario, per gli adempimenti in materia di sicurezza, notifica delle violazioni e valutazione d’impatto (artt. 32-36 GDPR).

Le funzionalità della piattaforma (esportazione, rettifica, cancellazione dei dati) costituiscono lo strumento primario di assistenza; per esigenze non coperte, l’utente può contattare [email protected].

7. Verifiche e audit

Invoxa mette a disposizione dell’utente le informazioni necessarie a dimostrare il rispetto degli obblighi dell’art. 28 GDPR e consente, con preavviso ragionevole e senza pregiudicare sicurezza e riservatezza degli altri utenti della piattaforma, le verifiche e ispezioni previste dalla legge, anche tramite documentazione, certificazioni o relazioni di soggetti terzi indipendenti.

8. Cancellazione e restituzione

Alla cessazione del contratto, l’utente può esportare i propri dati tramite le funzionalità della piattaforma. Decorso il termine comunicato in fase di chiusura, Invoxa cancella i dati personali trattati per conto dell’utente, salvo gli obblighi di conservazione previsti dalla normativa applicabile (in particolare fiscale e contabile), nel qual caso i dati restano conservati solo per il tempo e le finalità imposti da tali obblighi.

9. Trasferimenti extra-SEE

Eventuali trasferimenti di dati personali al di fuori dello Spazio Economico Europeo da parte di Invoxa o dei suoi sub-responsabili avvengono solo in presenza di garanzie adeguate ai sensi del Capo V del GDPR: decisioni di adeguatezza, clausole contrattuali standard o misure equivalenti.