Accordo sul Trattamento dei Dati (DPA)
Concluso in applicazione dell'articolo 28 del Regolamento (UE) 2016/679 (GDPR) (fonte: gdpr-info.eu/art-28-gdpr)
Servizio interessato: SYAGA Audit -- audit di sicurezza e conformità Microsoft 365, sola lettura
Versione: 1.0 -- Data: 27 giugno 2026 -- Data di entrata in vigore: 27 giugno 2026
Identificazione delle Parti
Il Responsabile del trattamento per conto terzi:
SYAGA CONSULTING, società a responsabilità limitata (SARL) di diritto francese con capitale di 20 000 euro, iscritta al RCS di Aix-en-Provence con SIREN 518 489 471, costituita l'8/12/2009, rappresentata dal suo amministratore Sébastien Questier, con sede legale in 2 Impasse Paul Langevin, 13110 Port-de-Bouc (Francia), editrice del servizio SYAGA Audit, di seguito denominata il Responsabile del trattamento per conto terzi.
E
Il Titolare del trattamento: il Cliente che ha sottoscritto il servizio SYAGA Audit alle condizioni delle CGV disponibili all'indirizzo cgu.html, i cui recapiti sono quelli indicati al momento della sottoscrizione, di seguito denominato il Titolare del trattamento.
Di seguito denominate insieme le Parti.
Preambolo
Il presente Accordo sul Trattamento dei Dati (DPA) è concluso in applicazione dell'articolo 28 del GDPR, che impone che un trattamento effettuato da un responsabile del trattamento per conto terzi per conto di un titolare del trattamento sia disciplinato da un contratto che definisca l'oggetto, la durata, la natura e la finalità del trattamento, il tipo di dati personali, le categorie di interessati, nonché gli obblighi e i diritti del titolare del trattamento.
Il presente DPA è accessorio alle Condizioni Generali di Vendita e di Servizio (CGV) SYAGA Audit (il Contratto principale). In caso di contraddizione tra il presente DPA e il Contratto principale su una questione relativa alla protezione dei dati, prevale il presente DPA. In caso di contraddizione relativa alla protezione dei dati personali, il presente DPA prevale sui Termini di utilizzo.
Sottoscrivendo il servizio SYAGA Audit, il Cliente accetta i termini del presente DPA. L'accettazione elettronica equivale ad accettazione del DPA conformemente alle disposizioni applicabili alla conclusione di contratti per via elettronica.
Articolo 1 -- Oggetto e dottrina del servizio
Il presente DPA definisce le condizioni alle quali il Responsabile del trattamento per conto terzi si impegna a effettuare, per conto e su istruzione documentata del Titolare del trattamento, le operazioni di trattamento di dati personali necessarie alla fornitura del servizio SYAGA Audit.
SYAGA Audit effettua un audit di sicurezza e conformità dell'ambiente Microsoft 365 del Titolare del trattamento in sola lettura: il Servizio non scrive, non modifica né elimina alcun dato nel tenant sottoposto ad audit.
Il Responsabile del trattamento per conto terzi applica una dottrina zero-knowledge: la raccolta e la pseudonimizzazione avvengono nel browser del Cliente (estensione). Il Responsabile del trattamento per conto terzi non riceve mai i dati grezzi del tenant né il token di accesso Microsoft del Cliente: soltanto impronte pseudonimizzate. I risultati di audit tokenizzati sono conservati nell'area cliente per consentire al Cliente di riaprirli, finché è attivo; vengono ricontestualizzati in chiaro solo sul dispositivo del Cliente.
Articolo 2 -- Natura, finalità e durata del trattamento
2.1 Natura delle operazioni. Le operazioni consistono in: raccolta (lettura, minimo privilegio) tramite le API Microsoft, effettuata da un'estensione browser eseguita sul dispositivo del Cliente; pseudonimizzazione locale; analisi da parte del Responsabile del trattamento per conto terzi delle sole impronte pseudonimizzate rispetto a referenziali di sicurezza (ANSSI, raccomandazioni Microsoft, GDPR, NIS2); restituzione sotto forma di rapporti ricontestualizzati sul dispositivo del Cliente.
2.2 Finalità esclusiva. La finalità è la valutazione della postura di sicurezza e conformità del tenant Microsoft 365 del Titolare del trattamento e la produzione dei relativi rapporti di audit. Nessun'altra finalità (marketing, profilazione, riutilizzo per fini propri del Responsabile del trattamento per conto terzi) è autorizzata.
2.3 Durata. Il trattamento viene effettuato per la durata di esecuzione del Contratto principale. I dati grezzi vengono cancellati immediatamente alla consegna del Rapporto.
Articolo 3 -- Categorie di dati personali trattati
Il Responsabile del trattamento per conto terzi tratta le seguenti categorie di dati:
- Dati di configurazione e metadati di sicurezza: parametri del tenant, policy di accesso condizionale, configurazione MFA, ruoli e permessi amministrativi, impostazioni di condivisione, stati di attivazione delle funzionalità di sicurezza
- Metadati di identità e directory: identificativi degli account (UPN), nomi visualizzati, appartenenza a gruppi, attributi di directory rilevanti per l'audit
- Log e metadati di eventi di sicurezza: log di connessione, eventi di audit, metadati necessari alla valutazione dei controlli
Esclusioni espresse. Il Responsabile del trattamento per conto terzi non tratta il contenuto di email, file o documenti. Vengono trattati solo metadati e dati di configurazione.
Categorie particolari. Il trattamento non ha per oggetto categorie particolari di dati ai sensi dell'articolo 9 del GDPR. Il Titolare del trattamento si impegna a non configurare il servizio in modo da determinare un tale trattamento.
Articolo 4 -- Categorie di interessati
Gli interessati sono i titolari di account e identità all'interno del tenant Microsoft 365 del Titolare del trattamento: dipendenti, dirigenti, amministratori, fornitori e ospiti con un account nella directory sottoposta ad audit.
Articolo 5 -- Istruzioni documentate del Titolare del trattamento
Il Responsabile del trattamento per conto terzi tratta i dati esclusivamente su istruzione documentata del Titolare del trattamento (art. 28.3.a GDPR), anche per quanto riguarda i trasferimenti verso un paese terzo, salvo obbligo legale imperativo (nel qual caso ne informa il Titolare del trattamento prima del trattamento, salvo divieto di legge).
Il presente DPA, i suoi allegati e le CGV costituiscono le istruzioni documentate iniziali. Il Responsabile del trattamento per conto terzi informa immediatamente il Titolare del trattamento qualora ritenga che un'istruzione costituisca una violazione del GDPR (art. 28.3, ultimo comma GDPR).
Articolo 6 -- Riservatezza
Il Responsabile del trattamento per conto terzi assicura che le persone autorizzate a trattare i dati si impegnino a rispettare la riservatezza o siano soggette a un adeguato obbligo legale di riservatezza (art. 28.3.b GDPR), e ricevano la formazione necessaria in materia di protezione dei dati. Questo impegno sopravvive alla cessazione delle funzioni e al termine del presente DPA.
Articolo 7 -- Misure di sicurezza (art. 32 GDPR) e allineamento referenziali
Il Responsabile del trattamento per conto terzi mette in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adatto al rischio (art. 32 GDPR). Le misure in essere comprendono in particolare:
- Architettura zero-knowledge: raccolta e pseudonimizzazione eseguite nel browser del Cliente (estensione); il Responsabile del trattamento per conto terzi riceve solo impronte pseudonimizzate; i dati grezzi del tenant e il token Microsoft non gli vengono mai trasmessi
- Minimo privilegio: connessione tramite OAuth Microsoft con i permessi più ristretti proposti da Microsoft per ciascun perimetro; il Servizio non scrive, non modifica né elimina mai alcun dato del tenant sottoposto ad audit
- Cifratura in transito: TLS 1.2/1.3 su tutte le comunicazioni; SPF, DKIM e DMARC attivati
- Token Microsoft: non lascia mai il browser del Cliente; il Responsabile del trattamento per conto terzi non lo riceve né lo memorizza mai
- Hosting in Francia: infrastruttura OVH (Francia) gestita per SYAGA CONSULTING
- Gestione degli accessi: principio del minimo privilegio; autorizzazioni nominative; revisione periodica
- Anti-abuso: limite di 2 audit/giorno/tenant; misure anti-DDoS
- Registrazione dei log: tracciabilità degli accessi ai dati
- Test periodici dell'efficacia delle misure di sicurezza
Allineamento con i framework di sicurezza riconosciuti
Le misure sopra descritte sono concepite in coerenza con i seguenti referenziali. SYAGA non rivendica alcuna certificazione formale su questi referenziali: le misure sono allineate ai requisiti della norma ISO/IEC 27001, essendo stato avviato un percorso di certificazione, senza che sia stata a oggi ottenuta alcuna certificazione; si tratta di un allineamento funzionale:
| Referenziale | Rilevanza per SYAGA Audit | Fonte ufficiale |
|---|---|---|
| GDPR (UE) 2016/679 | Base normativa direttamente applicabile. Art. 32: misure tecniche e organizzative. Architettura effimera = misura di minimizzazione conforme all'art. 5.1.e. | eur-lex.europa.eu CELEX:32016R0679 |
| Direttiva NIS2 (UE) 2022/2555 | Misure di gestione dei rischi di cybersicurezza (art. 21 NIS2): continuità operativa, gestione degli incidenti, sicurezza delle reti, cifratura. SYAGA Audit aiuta i clienti a valutare la propria conformità NIS2 nel proprio tenant M365. SYAGA, il cui organico e fatturato sono al di sotto delle soglie delle entità importanti ai sensi della direttiva (UE) 2022/2555 (50 dipendenti o 10 milioni di EUR), non rientra nel campo di applicazione delle entità soggette a NIS2. SYAGA Audit aiuta comunque i propri clienti a misurare la loro conformità a questo referenziale. | eur-lex.europa.eu CELEX:32022L2555 |
| Regolamento DORA (UE) 2022/2554 | Resilienza operativa digitale per le entità finanziarie regolamentate. SYAGA Audit può aiutare i clienti del settore finanziario a documentare la loro postura DORA nel proprio tenant M365. Non essendo SYAGA un'entità finanziaria regolamentata, DORA non le è direttamente applicabile; possono tuttavia applicarsi obblighi contrattuali caso per caso per i clienti del settore finanziario soggetti a DORA. | eur-lex.europa.eu CELEX:32022R2554 |
| ISO/IEC 27001 | Framework SGSI: politica di sicurezza, gestione dei rischi, controlli di accesso, cifratura, registrazione dei log. Le misure di SYAGA Audit sono allineate ai controlli ISO 27002 corrispondenti. Le misure di SYAGA Audit sono allineate ai requisiti della norma ISO/IEC 27001, essendo stato avviato un percorso di certificazione, senza che sia stata a oggi ottenuta alcuna certificazione. | iso.org/standard/27001 |
| Raccomandazioni ANSSI | Guida all'igiene informatica, raccomandazioni sulla sicurezza dei sistemi informativi. Misure ispirate alle raccomandazioni ANSSI sulla gestione degli account, la cifratura e la registrazione dei log. SYAGA Audit valuta le configurazioni M365 rispetto alle raccomandazioni ANSSI. | ssi.gouv.fr |
Il dettaglio completo delle misure tecniche e organizzative figura nell'Allegato 1.
Articolo 8 -- Ricorso a sub-responsabili del trattamento
Il Titolare del trattamento autorizza il Responsabile del trattamento per conto terzi a ricorrere ai sub-responsabili del trattamento elencati nell'Allegato 2. Per ogni nuovo sub-responsabile o sostituzione, il Responsabile del trattamento per conto terzi informa il Titolare del trattamento per iscritto almeno trenta (30) giorni prima dell'entrata in vigore, disponendo il Titolare del trattamento di un termine di trenta (30) giorni per opporsi per motivi ragionevoli legati alla protezione dei dati (art. 28.2 e 28.4 GDPR). Questi termini e modalità si applicano salvo diverso accordo tra le Parti.
Il Responsabile del trattamento per conto terzi impone contrattualmente ai sub-responsabili gli stessi obblighi di protezione dei dati previsti dal presente DPA (art. 28.4 GDPR) e resta pienamente responsabile nei confronti del Titolare del trattamento della loro esecuzione.
Articolo 9 -- Assistenza al Titolare del trattamento
9.1 Diritti degli interessati (art. da 12 a 22 e 28.3.e GDPR). Il Responsabile del trattamento per conto terzi trasmette senza ritardo al Titolare del trattamento ogni richiesta di esercizio dei diritti ricevuta direttamente da un interessato e lo assiste nel darvi risposta.
9.2 Sicurezza e DPIA (art. da 32 a 36 e 28.3.f GDPR). Il Responsabile del trattamento per conto terzi assiste il Titolare del trattamento per la sicurezza del trattamento, la realizzazione di una valutazione d'impatto (DPIA) se necessaria, e una consultazione preventiva della CNIL ove applicabile.
9.3 Violazioni di dati (art. 33 e 34 GDPR). Il Responsabile del trattamento per conto terzi notifica al Titolare del trattamento ogni violazione di dati entro un termine massimo di quarantotto (48) ore dal momento in cui ne è venuto a conoscenza, quanto prima possibile, in modo da consentire al titolare del trattamento di rispettare il termine di 72 ore previsto dall'articolo 33 del GDPR, fornendo le informazioni utili all'eventuale notifica.
Articolo 10 -- Sorte dei dati alla fine del contratto
Al termine del presente DPA, il Responsabile del trattamento per conto terzi procede, entro un termine di trenta (30) giorni dalla fine del contratto, secondo la scelta del Titolare del trattamento notificata per iscritto (art. 28.3.g GDPR):
Nota: tenuto conto dell'architettura effimera del servizio, nessun dato di audit viene conservato al termine della prestazione; solo i dati di fatturazione sono conservati secondo gli obblighi di legge (10 anni).
- sia alla restituzione al Titolare del trattamento dei dati personali trattati, in un formato strutturato (JSON o CSV secondo disponibilità);
- sia alla cancellazione sicura di tutti i dati, comprese le copie, salvo obbligo legale di conservazione.
Conformemente all'architettura effimera del servizio, i dati grezzi di audit sono già cancellati alla consegna del Rapporto. Il Responsabile del trattamento per conto terzi fornisce, su richiesta, un'attestazione di cancellazione.
Articolo 11 -- Audit e controlli
Il Responsabile del trattamento per conto terzi mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi dell'articolo 28 GDPR e consente lo svolgimento di audit, comprese le ispezioni (art. 28.3.h GDPR).
Gli audit sono soggetti alle seguenti condizioni: preavviso scritto di almeno trenta (30) giorni lavorativi, svolgimento durante l'orario lavorativo, frequenza massima di un (1) audit ogni dodici (12) mesi salvo circostanza eccezionale (in particolare incidente di sicurezza accertato), spese a carico del Titolare del trattamento, riservatezza delle informazioni ottenute.
Articolo 12 -- Trasferimenti al di fuori dell'Unione europea
12.1 Localizzazione principale. I dati sono trattati e ospitati in Francia. SYAGA CONSULTING è un'entità di diritto francese. Un'esposizione indiretta al CLOUD Act tramite fornitori terzi non può essere del tutto esclusa; SYAGA la limita tramite l'hosting in Francia (OVH SAS) e soprattutto tramite la pseudonimizzazione: il servizio riceve solo token, mai i vostri dati in chiaro.
12.2 Ricorso a Microsoft. Il Titolare del trattamento riconosce che l'API Microsoft Graph è gestita da Microsoft Corporation (Stati Uniti). I trasferimenti che coinvolgono Microsoft sono disciplinati dalle clausole contrattuali tipo approvate dalla Commissione europea e, ove applicabile, dal quadro EU-U.S. Data Privacy Framework. I dati sottoposti ad audit sono quelli del tenant Microsoft 365 proprio del Cliente, consultati in sola lettura per suo conto tramite Microsoft Graph. Microsoft agisce come fornitore del Cliente; SYAGA non ne è il sub-responsabile del trattamento.
12.3 Garanzie generali. Ogni trasferimento extra-UE effettuato dal Responsabile del trattamento per conto terzi o da un sub-responsabile è subordinato all'attuazione di un meccanismo valido ai sensi del capo V del GDPR (decisione di adeguatezza, clausole contrattuali tipo o altra garanzia appropriata).
Articolo 13 -- Contatto protezione dei dati
Responsabile del trattamento per conto terzi (SYAGA CONSULTING): punto di contatto protezione dei dati -- contact@syaga.fr. La designazione di un responsabile della protezione dei dati non è obbligatoria ai sensi dell'articolo 37 del GDPR; il responsabile della protezione dei dati è l'amministratore, Sébastien Questier, punto di contatto per qualsiasi domanda relativa ai dati personali.
Titolare del trattamento: contatto GDPR designato dal Cliente secondo i propri obblighi.
Articolo 14 -- Durata, modifica e diritto applicabile
Il presente DPA entra in vigore al momento della sottoscrizione del servizio SYAGA Audit e resta in vigore per tutta la durata del trattamento effettuato per conto del Titolare del trattamento.
Ogni modifica sostanziale è oggetto di notifica preventiva al Titolare del trattamento. La prosecuzione dell'uso del servizio dopo il termine di notifica equivale ad accettazione delle modifiche. Queste modalità di modifica sono conformi ai requisiti dell'articolo 28 del GDPR per gli accordi sul trattamento dei dati.
Il presente DPA è soggetto al diritto francese. Ogni controversia rientra nella competenza dei tribunali del distretto di Aix-en-Provence, fatte salve le norme di ordine pubblico applicabili alle controversie transfrontaliere.
Allegato 1 -- Descrizione dettagliata del trattamento e misure di sicurezza (art. 32 GDPR)
| Parametro | Descrizione |
|---|---|
| Finalità | Audit di sicurezza e conformità M365 -- produzione di rapporti |
| Categorie di dati | Metadati di configurazione, metadati di identità (UPN, nomi), log di sicurezza |
| Categorie particolari (art. 9) | Nessuna |
| Interessati | Account e identità del tenant Microsoft 365 del Cliente |
| Conservazione lato server | Dati grezzi del tenant: mai trasmessi (pseudonimizzazione nel browser). Risultati tokenizzati: conservati nell'area cliente finché il Cliente è attivo. |
| Luogo di trattamento | Francia (infrastruttura SYAGA CONSULTING) |
| Cifratura in transito | TLS 1.2/1.3 -- tutte le comunicazioni; SPF/DKIM/DMARC |
| Token Microsoft | Non lascia mai il browser del Cliente; mai ricevuto dal Responsabile del trattamento per conto terzi |
| Architettura | Raccolta e pseudonimizzazione tramite un'estensione nel browser del Cliente; il Responsabile del trattamento per conto terzi analizza solo impronte |
| Gestione degli accessi | Principio del minimo privilegio; autorizzazioni nominative |
| Anti-abuso | Limite 2 audit/giorno/tenant; anti-DDoS |
| Registrazione dei log | Log tecnici minimi di esercizio e sicurezza, senza dati di audit personali, conservati circa 12 mesi conformemente alle raccomandazioni della CNIL. |
| Allineamento referenziali di sicurezza | Misure allineate al GDPR art. 32, ISO/IEC 27001 (percorso di certificazione avviato, senza certificazione ottenuta a oggi), raccomandazioni ANSSI. |
Allegato 2 -- Elenco dei sub-responsabili del trattamento autorizzati
| Sub-responsabile del trattamento | Prestazione | Localizzazione | Garanzie di trasferimento |
|---|---|---|---|
| Microsoft Corporation | API Microsoft Graph -- accesso in lettura ai dati di configurazione del tenant | UE + Stati Uniti (infrastruttura Microsoft) | Microsoft agisce come fornitore del Cliente (non sub-responsabile del trattamento di SYAGA). Trasferimenti disciplinati dalle clausole contrattuali tipo della Commissione europea e dalla partecipazione di Microsoft al quadro EU-U.S. Data Privacy Framework. |
| OVH SAS (hosting, Roubaix, Francia) | Hosting piattaforma SYAGA Audit | Francia | Non applicabile (UE) |
| Stripe Inc. | Pagamento -- solo dati di fatturazione del Cliente (esclusi i dati del tenant) | Stati Uniti / UE | EU-U.S. Data Privacy Framework (Stripe certificata) e, in via sussidiaria, Clausole Contrattuali Tipo CE (2021) -- Data Transfers Addendum di Stripe. |
Riferimenti normativi
- CNIL -- responsabile del trattamento per conto terzi, obblighi art. 28 GDPR: cnil.fr/fr/sous-traitant
- Regolamento (UE) 2016/679 (GDPR), articoli 4, 9, da 12 a 22, 28, da 32 a 36: EUR-Lex CELEX:32016R0679
- Direttiva NIS2 (UE) 2022/2555, art. 21: EUR-Lex CELEX:32022L2555
- Regolamento DORA (UE) 2022/2554: EUR-Lex CELEX:32022R2554
- ISO/IEC 27001: iso.org/standard/27001
- ANSSI -- Guida all'igiene informatica: ssi.gouv.fr
- Legge francese n. 78-17 del 6 gennaio 1978 e successive modifiche: Légifrance