IngreX
Accordo sul trattamento dei dati (DPA)
ai sensi dell'art. 28 GDPR
Versione 1.0 · in vigore dal 5 luglio 2026
ingrex.it/dpa

Accordo sul trattamento dei dati personali

Condizioni standard applicabili a tutti i Clienti del servizio IngreX (registro elettronico degli accessi), che disciplinano il trattamento dei dati personali effettuato dal Fornitore per conto del Cliente.

Come si applica questo accordo. Il presente DPA forma parte integrante del contratto di servizio IngreX e si intende accettato dal Cliente al momento della sottoscrizione o dell'utilizzo del servizio, senza necessità di ulteriore firma separata. Si applica a ogni Cliente in qualità di Titolare del trattamento. La versione vigente è sempre pubblicata su ingrex.it/dpa.

1. Definizioni

Fornitore (Responsabile del trattamento)
IngreX — Antonio Vaccher (impresa individuale), sede Via Mores di Sotto 4/2, 33082 Azzano Decimo (PN), P.IVA 01591290935, email info@ingrex.it. Tratta i dati personali per conto del Cliente nell'erogazione del servizio.
Cliente (Titolare del trattamento)
La persona fisica o giuridica che sottoscrive o utilizza il servizio IngreX e che determina finalità e mezzi del trattamento.
GDPR
Regolamento (UE) 2016/679 e normativa nazionale applicabile in materia di protezione dei dati personali.
Servizio
Il software IngreX per la gestione del registro elettronico degli accessi dei visitatori, erogato in modalità cloud (SaaS).

2. Oggetto e durata

Il presente accordo disciplina il trattamento dei dati personali effettuato dal Fornitore per conto del Cliente nell'ambito dell'erogazione del Servizio. Ha efficacia per tutta la durata del contratto di servizio e cessa con esso. In caso di conflitto tra il presente DPA e il contratto di servizio relativamente al trattamento dei dati personali, prevale il presente DPA.

3. Natura, finalità e dati trattati

ElementoDescrizione
NaturaRaccolta, registrazione, conservazione, consultazione, anonimizzazione e cancellazione, mediante strumenti informatici
FinalitàHosting e gestione tecnica del registro elettronico degli accessi, per le sole finalità del Cliente
Categorie di interessatiVisitatori e ospiti esterni del Cliente
Categorie di datiNome, cognome, azienda di appartenenza, referente interno, data/ora di entrata e uscita, codice badge. Nessun dato particolare (art. 9 GDPR)

4. Obblighi del Fornitore (art. 28.3)

Il Fornitore si impegna a:

  1. trattare i dati personali soltanto su istruzione documentata del Cliente — istruzioni che si intendono impartite tramite l'uso ordinario del Servizio e le sue configurazioni — salvo obblighi di legge; qualora un obbligo derivante dal diritto dell'Unione o dello Stato membro imponga un trattamento difforme dalle istruzioni, il Fornitore ne informa il Cliente prima del trattamento, salvo che il diritto lo vieti per rilevanti motivi di interesse pubblico;
  2. garantire che le persone autorizzate al trattamento siano vincolate a un adeguato obbligo di riservatezza;
  3. adottare le misure di sicurezza richieste dall'art. 32 GDPR, descritte nell'allegato "Scheda infrastruttura e sicurezza" (ingrex.it/sicurezza);
  4. rispettare le condizioni per il ricorso a sub-responsabili (art. 6);
  5. assistere il Cliente con misure tecniche adeguate per dar seguito alle richieste di esercizio dei diritti degli interessati (artt. 12-23) — il Servizio fornisce a tal fine strumenti di ricerca, anonimizzazione e cancellazione per nominativo;
  6. assistere il Cliente nel garantire il rispetto degli obblighi di sicurezza, notifica delle violazioni e valutazione d'impatto (artt. 32-36);
  7. a scelta del Cliente, cancellare o restituire tutti i dati personali al termine del Servizio (art. 8);
  8. mettere a disposizione del Cliente le informazioni necessarie a dimostrare il rispetto degli obblighi e consentire audit e verifiche, anche tramite la documentazione resa disponibile dal Fornitore.

5. Misure di sicurezza (art. 32)

Le misure tecniche e organizzative adottate sono descritte nella Scheda infrastruttura e sicurezza pubblicata dal Fornitore, che costituisce parte integrante del presente accordo e comprende, tra l'altro: cifratura delle comunicazioni (TLS), isolamento delle istanze per Cliente, controllo degli accessi mediante chiave crittografica, esposizione delle sole porte necessarie, backup su due livelli e cancellazione automatica dei dati. Le copie di backup che lasciano il server sono cifrate per impostazione predefinita. Il Fornitore può aggiornare le misure nel tempo, purché il livello di sicurezza non sia ridotto.

6. Sub-responsabili

Il Cliente autorizza in via generale il Fornitore ad avvalersi dei sub-responsabili elencati di seguito per l'erogazione del Servizio:

Sub-responsabileAttivitàUbicazione
Hetzner Online GmbHHosting dell'infrastruttura e dei backupUnione Europea (Germania / Finlandia)

Il Fornitore impone ai sub-responsabili, mediante contratto, obblighi di protezione dei dati equivalenti a quelli del presente accordo. In caso di aggiunta o sostituzione di un sub-responsabile, il Fornitore aggiorna l'elenco pubblicato e ne dà comunicazione con preavviso di almeno 30 giorni; entro tale termine il Cliente può opporsi per motivi legittimi e, in difetto di accordo, sospendere il trattamento interessato o recedere dal contratto di servizio. Il Fornitore conserva nei confronti del Cliente l'intera responsabilità dell'adempimento degli obblighi del sub-responsabile (art. 28, co. 4 GDPR).

7. Trasferimenti verso paesi terzi

Tutti i dati sono trattati e conservati esclusivamente all'interno dell'Unione Europea. Non sono previsti trasferimenti verso paesi terzi o organizzazioni internazionali. Qualora ciò dovesse rendersi necessario, il Fornitore adotterà le garanzie di cui agli artt. 44-49 GDPR e ne informerà il Cliente.

8. Violazioni dei dati personali (art. 33)

Il Fornitore informa il Cliente senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali, fornendo le informazioni necessarie a consentire al Cliente l'eventuale notifica all'autorità di controllo e la comunicazione agli interessati. La comunicazione include almeno: la natura della violazione, le categorie e il numero approssimativo di interessati e di record coinvolti, le probabili conseguenze e le misure adottate o proposte per porvi rimedio.

9. Cessazione del trattamento

Al termine del Servizio, su scelta del Cliente comunicata entro 30 giorni, il Fornitore provvede a restituire o cancellare tutti i dati personali e le copie esistenti, salvo che la conservazione sia richiesta dal diritto dell'Unione o nazionale. Decorso tale termine senza indicazioni, il Fornitore procede alla cancellazione. Il Fornitore esegue l'operazione entro 30 giorni e rilascia al Cliente attestazione di avvenuta cancellazione.

10. Audit e verifiche

Il Fornitore mette a disposizione del Cliente le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Cliente o da altro soggetto da questi incaricato. Le verifiche si svolgono previo preavviso scritto di almeno 15 giorni, in orario lavorativo, con modalità tali da non pregiudicare l'operatività del Servizio e nel rispetto degli obblighi di riservatezza. Il Fornitore può assolvere agli obblighi del presente articolo anche mediante la messa a disposizione di certificazioni o report di audit indipendenti (ad esempio ISO 27001) relativi alla propria infrastruttura e a quella dei sub-responsabili.

11. Modifiche del presente accordo

Il Fornitore può aggiornare il presente DPA per adeguarlo a evoluzioni normative o del Servizio. Le modifiche sostanziali sono comunicate al Cliente con ragionevole preavviso e la versione vigente, con relativo numero e data, è sempre pubblicata su ingrex.it/dpa.

12. Legge applicabile e foro

Il presente accordo è regolato dalla legge italiana. Per ogni controversia è competente il foro di Pordenone, salvo norme inderogabili a tutela del Cliente consumatore.