POWERED BY
POWERED BY
Ultimo aggiornamento: 03.03.2026
Il presente Data Protection Addendum (“Addendum” o “DPA”) costituisce parte integrante dell’accordo/contratto principale che disciplina la fornitura dei servizi Syllex (il “Contratto”) tra Convivo S.r.l. – Startup Innovativa ai sensi del D.L. 179/2012, con sede legale in Piazzale Sant’Antonio 8/A, 67100 L’Aquila (AQ), Italia, P. IVA 02206750669, REA AQ-217165 (“Convivo” o “Responsabile” / “Processor”), e il cliente business (scuola/ente/azienda) che utilizza Syllex (“Cliente” o “Titolare” / “Controller”). Il presente DPA si applica ai Dati Personali che Convivo tratta per conto del Cliente nell’erogazione dei servizi Syllex (“Servizi”).
Salvo diversa indicazione, i termini con iniziale maiuscola hanno il significato attribuito dal Regolamento (UE) 2016/679 (“GDPR”). Inoltre: “Leggi Privacy” indica il GDPR e ogni normativa nazionale applicabile in materia di protezione dei dati personali. “Dati Personali del Cliente” indica i dati personali trattati da Convivo per conto del Cliente. “Sub-Responsabile” indica soggetti terzi nominati per trattare Dati Personali. “Trasferimento Soggetto a Restrizioni” indica trasferimenti verso Paesi terzi non coperti da decisione di adeguatezza. “SCC” indica le Clausole Contrattuali Standard approvate dalla Commissione Europea.
“Include” significa “include senza limitazione”, i riferimenti normativi includono successive modifiche e norme attuative. In caso di conflitto tra Contratto e DPA sulla materia privacy, prevale il DPA.
Il Cliente è Titolare dei Dati Personali, Convivo è Responsabile del trattamento limitatamente ai Dati Personali trattati per erogare i Servizi. I dati di contatto/gestione del personale possono essere trattati da Convivo anche come Titolare per finalità amministrative/contrattuali.
Il Cliente garantisce di trattare i dati e utilizzare i Servizi nel rispetto delle Leggi Privacy, di fornire le informative agli interessati, di impartire a Convivo istruzioni documentate lecite, di non caricare dati non necessari o illeciti, e di essere responsabile dei contenuti caricati e dei profili assegnati agli utenti.
Convivo tratta i Dati Personali del Cliente esclusivamente per erogare i Servizi e secondo le istruzioni documentate del Cliente, salvo obbligo di legge, nel qual caso Convivo informa il Cliente ove consentito.
Convivo assicura che il personale autorizzato sia vincolato da obblighi di riservatezza e acceda ai dati solo in base al principio di necessità (“need-to-know”).
Convivo implementa misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR per garantire un livello di sicurezza proporzionato al rischio, incluse, a titolo esemplificativo, cifratura dei dati in transito (TLS/HTTPS), controllo accessi e gestione credenziali, logging e monitoraggio, backup e procedure di ripristino, misure di sicurezza infrastrutturale e segregazione degli ambienti.
Il Cliente autorizza Convivo a nominare Sub-Responsabili per la fornitura dei Servizi, con la garanzia che ciascun Sub-Responsabile sia vincolato da obblighi contrattuali conformi al GDPR e sia soggetto a misure di sicurezza adeguate. Convivo può aggiornare l’elenco dei Sub-Responsabili e fornirne preavviso ove richiesto.
Alla data dell’ultimo aggiornamento, Convivo può utilizzare, tra gli altri: Amazon Web Services (AWS) per hosting/infrastruttura cloud, MongoDB per servizi database, Google (Gemini) per servizi di AI.
Qualora si renda necessario un transfert verso Paesi terzi non coperti da decisione di adeguatezza, i trasferimenti avverranno solo su basi giuridiche valide, mediante SCC e, ove richiesto, con misure supplementari necessarie, e Convivo fornirà informazioni utili per le valutazioni richieste.
Convivo assiste il Cliente, in base alle proprie capacità tecniche e operative, per consentire l’esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, opposizione, portabilità) secondo le istruzioni del Cliente. Se Convivo riceve direttamente una richiesta di interessato, la inoltra al Cliente senza indebito ritardo.
Convivo notificherà al Cliente, senza indebito ritardo, una violazione di dati personali che riguardi i Dati Personali del Cliente, fornendo informazioni ragionevolmente sufficienti per permettere al Cliente di adempiere agli obblighi di notifica alle Autorità e/o agli interessati.
Convivo fornirà assistenza al Cliente per lo svolgimento di Valutazioni d’Impatto sulla Protezione dei Dati (DPIA) e per eventuali consultazioni preventive, limitatamente ai trattamenti effettuati come Responsabile e con informazioni disponibili.
Alla cessazione dei Servizi, su richiesta del Cliente, Convivo restituirà i Dati Personali del Cliente in formato ragionevole ove possibile o li cancellerà, salvo obblighi legali che impongano la conservazione. Copie residuali in backup potranno perdurare per periodi tecnici limitati con accesso ristretto.
Convivo fornisce al Cliente informazioni necessarie a dimostrare la conformità al presente DPA. Il Cliente può richiedere audit o ispezioni in modo ragionevole durante orari lavorativi, con minimizzazione dell’impatto sui sistemi e sulla sicurezza. La conformità può essere dimostrata anche tramite documentazione, attestazioni o report disponibili.
L’assistenza richiesta ai sensi degli artt. 9–13 è inclusa nei servizi standard ove compatibile. Richieste straordinarie per complessità o urgenza possono comportare costi aggiuntivi concordati tra le Parti.
Le responsabilità tra le Parti in relazione al presente DPA sono disciplinate dal Contratto principale, fatte salve norme inderogabili di legge.
In caso di contrasto tra il presente DPA e qualsiasi altro documento tra le Parti relativo alla protezione dei dati, il presente DPA prevale per la materia privacy.
Elenco delle Parti: Titolare (Cliente) e Responsabile (Convivo).
Oggetto e durata del trattamento: erogazione dei Servizi Syllex per la durata del Contratto.
Finalità: gestione accessi e profili, hosting e conservazione contenuti, funzionalità didattiche, elaborazioni AI sui contenuti, sicurezza, logging, prevenzione abusi, supporto tecnico.
Tipologie di Dati Personali: anagrafiche utente, email istituzionali, identificativi tecnici (log), contenuti didattici caricati, metadati di utilizzo.
Categorie di interessati: docenti, personale dell’Ente, studenti autorizzati, collaboratori.
Misure tecniche e organizzative (TOMs): TLS/HTTPS, gestione accessi, logging/auditing, backup, disaster recovery, segregazione ambienti, contratti con Sub-Responsabili.