Data Processing Agreement (DPA) di Normax

Il presente Data Processing Agreement ("DPA") intercorre tra:

• Not a Design Company S.r.l., con sede in Via Cipro 1, 25124 Brescia (BS), Italia, C.F. e P. IVA 04730070986 ("Responsabile" o "NaDC");
• il cliente che utilizza Normax nell'ambito della propria attività professionale o imprenditoriale ("Titolare" o "Cliente").

Ai fini del presente DPA:

• il Cliente agisce, di regola, quale titolare del trattamento dei dati personali caricati, trasmessi o altrimenti trattati tramite Normax;
• Not a Design Company S.r.l. agisce quale responsabile del trattamento limitatamente ai trattamenti necessari per fornire Normax al Cliente;
• restano esclusi dal presente DPA i trattamenti che NaDC svolge quale titolare autonomo per finalità proprie, quali registrazione account, sicurezza del servizio, prevenzione abusi, fatturazione, adempimenti legali e assistenza, come descritto nella Privacy Policy.

Il presente DPA disciplina il trattamento dei dati personali effettuato da NaDC per conto del Cliente in relazione all'utilizzo di Normax.

Il DPA decorre dalla data di accettazione dei Termini e Condizioni o dall'inizio del trattamento per conto del Cliente, se anteriore, e resta efficace per tutta la durata del rapporto contrattuale e per il periodo strettamente necessario alla cancellazione, restituzione o messa inaccessibile dei dati personali del Cliente secondo quanto previsto dal presente DPA e dai Termini.

NaDC tratta i dati personali del Cliente esclusivamente nella misura necessaria a:

• ospitare, conservare, organizzare e rendere disponibili documenti, prompt, output e altri dati caricati dal Cliente;
• autenticare gli utenti autorizzati e gestire l'accesso al servizio;
• eseguire ricerche, classificazioni, sintesi, analisi e altre funzionalità richieste dal Cliente;
• garantire sicurezza, logging tecnico, backup, continuità operativa, manutenzione e supporto;
• adempiere a istruzioni lecite del Cliente compatibili con il funzionamento del servizio.

NaDC non tratta i dati personali del Cliente per finalità proprie incompatibili con quelle sopra indicate e non vende i dati del Cliente a terzi.

Le categorie di dati personali trattati possono includere, a seconda dell'uso che il Cliente fa di Normax:

• dati identificativi e di contatto contenuti nei documenti o nei prompt;
• dati professionali, amministrativi, contrattuali e di compliance;
• metadati, log applicativi e dati tecnici strettamente necessari al funzionamento del servizio;
• qualsiasi altro dato personale inserito dal Cliente o dai suoi utenti autorizzati.

Le categorie di interessati possono includere:

• dipendenti, collaboratori, consulenti e rappresentanti del Cliente;
• clienti, fornitori, partner o controparti del Cliente;
• qualsiasi altra persona fisica i cui dati siano contenuti nei materiali caricati dal Cliente.

Il Cliente istruisce NaDC a trattare i dati personali esclusivamente:

• per fornire Normax secondo i Termini e Condizioni, la documentazione tecnica e le configurazioni attivate dal Cliente;
• sulla base delle istruzioni impartite tramite l'uso del servizio da parte del Cliente e dei suoi utenti autorizzati;
• nei limiti necessari ad adempiere a obblighi di legge applicabili al Responsabile.

Qualora NaDC ritenga che un'istruzione del Cliente violi la normativa applicabile in materia di protezione dei dati, ne darà informazione al Cliente senza ingiustificato ritardo, salvo divieti di legge.

Il Cliente:

• garantisce di avere un'idonea base giuridica per il trattamento dei dati personali tramite Normax e per la loro comunicazione a NaDC;
• resta responsabile dell'accuratezza, qualità, pertinenza e liceità dei dati caricati;
• si impegna a non utilizzare Normax per trattamenti che richiedano misure o garanzie non offerte dal servizio, salvo diverso accordo scritto;
• si impegna a non caricare dati eccedenti o non necessari rispetto alle finalità perseguite.

NaDC garantisce che le persone autorizzate al trattamento dei dati personali:

• siano vincolate da obblighi di riservatezza legali o contrattuali;
• ricevano istruzioni adeguate sui limiti di accesso e sulle misure di sicurezza applicabili;
• accedano ai dati personali solo nella misura strettamente necessaria allo svolgimento delle rispettive mansioni.

Tenuto conto dello stato dell'arte, dei costi di attuazione, della natura del servizio e dei rischi per i diritti e le libertà delle persone fisiche, NaDC adotta misure tecniche e organizzative adeguate, tra cui:

• autenticazione degli utenti tramite Firebase Authentication;
• segregazione tra accessi del Cliente e accessi amministrativi;
• cifratura dei dati in transito mediante protocolli sicuri;
• protezioni a riposo offerte da Firebase Storage, Firebase Firestore e dall'infrastruttura cloud utilizzata;
• logging tecnico, monitoraggio di sicurezza, backup e procedure di risposta agli incidenti;
• gestione di bot, traffico malevolo e abuso tramite Google reCaptcha Enterprise;
• processi di manutenzione, patching e gestione delle vulnerabilità applicati all'infrastruttura e alla logica del servizio.

Normax non offre cifratura end-to-end personalizzata per singolo Cliente né una data residency diversa da quella indicata nel presente DPA e nei Termini.

Tenuto conto della natura del trattamento e delle informazioni ragionevolmente a disposizione, NaDC assisterà il Cliente, nella misura ragionevolmente necessaria, per:

• rispondere a richieste di esercizio dei diritti degli interessati;
• gestire violazioni dei dati personali, notifiche all'autorità competente e comunicazioni agli interessati, ove applicabili;
• svolgere valutazioni d'impatto sulla protezione dei dati e consultazioni preventive, quando richieste dalla legge e pertinenti al trattamento effettuato tramite Normax.

Qualora NaDC riceva direttamente una richiesta di un interessato relativa a dati trattati per conto del Cliente, la inoltrerà al Cliente, salvo che sia legalmente tenuta a gestirla diversamente.

In caso di violazione dei dati personali riguardante i dati trattati da NaDC per conto del Cliente, NaDC informerà il Cliente senza ingiustificato ritardo dopo esserne venuta a conoscenza, fornendo le informazioni ragionevolmente disponibili e utili per consentire al Cliente di adempiere ai propri obblighi di legge.

Il Cliente autorizza NaDC a ricorrere ai servizi terzi utilizzati da Normax alla data del presente DPA, 1 aprile 2026.

I servizi utilizzati sono i seguenti:

• Firebase Authentication per registrazione, accesso e gestione dell'identità degli utenti;
• Firebase App Hosting per l'hosting dell'applicazione;
• Firebase Functions per l'esecuzione della logica server;
• Firebase Storage per la conservazione dei file e dei documenti caricati;
• Firebase Firestore per il database applicativo e i metadati operativi;
• Google Analytics per analytics e misurazione d'uso;
• Google reCaptcha Enterprise per prevenzione di bot, spam, abuso e traffico malevolo;
• Anthropic Claude per funzionalità di elaborazione AI;
• Stripe per pagamenti, abbonamenti e fatturazione.

Ai fini del presente DPA:

• Firebase Authentication, Firebase App Hosting, Firebase Functions, Firebase Storage, Firebase Firestore e Anthropic Claude operano quali fornitori utilizzati da NaDC per l'erogazione del Servizio e, quando trattano dati personali del Cliente per conto di NaDC, operano quali sub-responsabili o fornitori autorizzati;
• Google Analytics e Google reCaptcha Enterprise sono utilizzati da NaDC per finalità di analytics, sicurezza e prevenzione abusi e non sono utilizzati per analizzare il contenuto dei documenti caricati dal Cliente;
• Stripe tratta i dati di pagamento secondo i propri termini e, per tali attività, opera come soggetto autonomo secondo la normativa e la documentazione contrattuale applicabile.

Quando un fornitore tratta dati personali del Cliente per conto di NaDC, NaDC impone a tale fornitore obblighi di protezione dei dati sostanzialmente coerenti con quelli previsti dal presente DPA, nella misura richiesta dalla normativa applicabile.

I servizi Firebase sono forniti da Google e sono disciplinati dai relativi Firebase Data Processing and Security Terms e dalla documentazione Privacy and Security in Firebase.

Per i servizi di pagamento e fatturazione, il Cliente deve inoltre consultare la documentazione di Stripe, inclusi Stripe Services Agreement, Stripe Services Terms e Stripe Privacy Policy.

Qualora NaDC introduca, sostituisca o rimuova un sub-responsabile rilevante per l'erogazione di Normax, ne dara comunicazione al Cliente mediante aggiornamento del presente DPA, dei Termini e Condizioni, della documentazione privacy applicabile o tramite email all'indirizzo associato all'account, prima dell'efficacia della modifica o con il massimo preavviso ragionevolmente possibile.

Per alcune funzionalità di analisi o generazione di output, Normax utilizza Anthropic Claude.

In relazione a tale fornitore:

• NaDC trasmette a Claude solo dati, estratti documentali, prompt tecnici, istruzioni e metadati strettamente necessari alla specifica operazione richiesta;
• prima dell'invio a Claude, NaDC applica criteri di minimizzazione e non trasmette il nome dell'azienda del Cliente o dati personali quando tali elementi non sono necessari per l'elaborazione richiesta;
• i contenuti inviati a Claude non sono utilizzati da NaDC o da Anthropic per addestrare modelli generalisti;
• Anthropic conserva i dati inviati a Claude fino a 30 giorni esclusivamente per finalità di sicurezza e abuse monitoring, secondo la documentazione richiamata nel presente DPA.

Per ulteriori dettagli, il Cliente deve consultare la documentazione pubblica di Anthropic richiamata nel presente DPA:

• Anthropic legal terms - archive
• Anthropic privacy / retention details - archive

Alla data del presente DPA, 1 aprile 2026, i dati del Cliente conservati direttamente da NaDC per l'erogazione di Normax sono ospitati nell'Unione Europea tramite Firebase App Hosting, Firebase Storage e Firebase Firestore.

I trasferimenti o gli accessi a dati personali al di fuori dello SEE avvengono esclusivamente nella misura strettamente necessaria all'uso di:

• Anthropic Claude, per le funzionalità AI;
• Stripe, per pagamenti, abbonamenti e fatturazione;
• Google Analytics e Google reCaptcha Enterprise, limitatamente a dati tecnici, telemetrici, di navigazione e di sicurezza necessari alle rispettive funzioni.

Qualora tali trasferimenti siano soggetti al GDPR o a normativa equivalente, NaDC adotterà le misure richieste dalla legge applicabile, che possono includere:

• decisioni di adeguatezza;
• clausole contrattuali standard;
• misure supplementari ragionevoli;
• altri strumenti di trasferimento leciti previsti dalla normativa vigente.

Su richiesta del Cliente e tenuto conto della natura self-service del servizio, NaDC mette a disposizione informazioni sulle misure di sicurezza applicabili e sulla conformità al presente DPA, nei limiti consentiti da obblighi di riservatezza, sicurezza e tutela degli altri clienti.

Audit on-site, verifiche personalizzate, questionari estesi e richieste enterprise richiedono un accordo separato.

Alla cessazione del rapporto contrattuale, NaDC cancellerà o renderà inaccessibili i dati personali trattati per conto del Cliente secondo i tempi di retention applicabili al servizio, salvo che la conservazione sia richiesta dalla legge o sia strettamente necessaria per la gestione di contestazioni, sicurezza o prevenzione frodi per il tempo minimo necessario.

Se l'utente o il Cliente desidera richiedere la cancellazione dell'account, deve scrivere a info@normax.it dall'indirizzo associato all'account. Ricevuta la richiesta e completate le verifiche ragionevolmente necessarie, NaDC si impegna a cancellare dai propri server tutti i dati dell'utente associati all'account, inclusi i documenti caricati, salvo i limiti di conservazione sopra indicati.

Il presente DPA integra i Termini e Condizioni di Normax e la documentazione privacy applicabile. In caso di conflitto tra il presente DPA e i Termini, prevale il presente DPA per gli aspetti relativi al trattamento dei dati personali effettuato da NaDC per conto del Cliente.