Annex SCC - Trasferimenti Internazionali di Dati Personali
Allegato al DPA Vora versione 3.2.0 Versione: 3.2.0 Data di entrata in vigore: 13 maggio 2026 Ultimo aggiornamento: 26 maggio 2026 Lingua autoritativa: Italiano. Traduzione inglese di cortesia in dpa-annex-sccs.en.md.
Il presente Annex costituisce parte integrante e sostanziale del DPA Vora 3.1.0 (dpa.it.md) e disciplina i meccanismi di trasferimento internazionale di dati personali da Vora S.r.l. (Responsabile UE) ai sub-responsabili stabiliti al di fuori dell'Area Economica Europea, secondo le diverse normative applicabili in funzione della giurisdizione di provenienza dell'interessato.
1. Standard Contractual Clauses UE (Decisione di Esecuzione UE 2021/914)
Per i flussi di dati personali di interessati residenti nell'UE/SEE dalla Società verso sub-responsabili extra-UE, le Parti incorporano per riferimento il Modulo 3 (processor-to-processor) delle Standard Contractual Clauses adottate con Decisione di Esecuzione (UE) 2021/914 della Commissione Europea del 4 giugno 2021. Il testo integrale degli SCC è disponibile all'indirizzo ufficiale eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX:32021D0914 ed è messo a disposizione del Cliente su richiesta a privacy@voiceofthenewera.com.
1.1 Annex I.A - Elenco delle Parti
Esportatore dei dati (Data Exporter):
- Vora S.r.l., sede legale [INDIRIZZO SEDE LEGALE], Italia
- Ruolo: Responsabile del trattamento (data processor) per conto del Cliente
- Punto di contatto: privacy@voiceofthenewera.com
- Attività di trattamento: erogazione tecnica della Piattaforma Vora
Importatori dei dati (Data Importers): ciascuno dei seguenti sub-responsabili, individualmente:
| # | Sub-responsabile | Sede legale | Attività di trattamento |
|---|---|---|---|
| 1 | Amazon Web Services Inc. | Seattle, WA, USA | Compute / Database / Storage (accesso operativo USA) |
| 2 | Resend Inc. | Wilmington, Delaware, USA | Recapito email transazionali |
| 3 | Google LLC | Mountain View, CA, USA | Recapito token Google OAuth 2.0 |
| 4 | Anthropic PBC | San Francisco, CA, USA | Modelli AI di terze parti (se attivati) |
Ciascun importatore agisce come ulteriore Responsabile del trattamento (further processor / sub-processor) per conto della Società, che agisce a sua volta per conto del Cliente Titolare.
1.2 Annex I.B - Descrizione del Trasferimento
Categorie di interessati: Utenti Finali della Piattaforma Vora (Partecipanti, votanti, autori di idee, vincitori di reward) residenti nell'UE/SEE.
Categorie di dati personali trasferiti: email, nome (opzionale), preferenze di lingua, indirizzo IP, user-agent, contenuti delle idee sottomesse, voti espressi (in forma di metadata, mai contenuto di voto in chiaro), commenti, partecipazioni, timestamp di interazione.
Dati sensibili o particolari: nessuno (cfr. DPA art. 3.3).
Frequenza del trasferimento: continuo / on-demand al fine dell'erogazione del servizio.
Natura del trattamento: archiviazione, comunicazione, recapito email, autenticazione, modellazione AI (se attivata) - vd. DPA art. 2.4.
Finalità: erogazione tecnica della Piattaforma Vora per conto del Titolare-Cliente; vd. DPA art. 2.4.
Periodo di conservazione: per la durata necessaria all'erogazione del servizio e secondo i termini di conservazione di cui al DPA art. 11.
Per i sub-responsabili successivi: i sub-responsabili degli importatori (es. data center AWS, fornitori di backbone di rete) sono indicati nei rispettivi DPA pubblici dei singoli importatori.
1.3 Annex I.C - Autorità di Controllo Competente
Garante per la Protezione dei Dati Personali della Repubblica Italiana, Piazza Venezia 11, 00187 Roma, Italia. Email: garante@gpdp.it. PEC: protocollo@pec.gpdp.it. Sito: www.gpdp.it.
La Società, in qualità di stabilimento principale nell'UE (sede legale italiana), individua il Garante italiano come autorità di controllo capofila ai sensi dell'art. 56 GDPR.
1.4 Annex II - Misure Tecniche e Organizzative Supplementari
Le misure di cui al DPA art. 6 (TOMs) costituiscono integralmente le misure tecniche e organizzative dell'Annex II degli SCC UE 2021/914. In sintesi:
- Cifratura at-rest AES-256 a livello AWS + AES-256-GCM applicativo per immagini e dati di voto sensibili;
- Cifratura in-transit TLS 1.2+ obbligatoria;
- Controllo accessi IAM least-privilege + MFA + segregazione di rete;
- Audit log strutturato JSON con CloudWatch + CloudTrail;
- Backup Aurora snapshot + DLM EC2;
- Resilienza multi-AZ + rate limiting;
- Misure organizzative NDA, need-to-know access, formazione periodica.
1.5 Annex III - Elenco dei Sub-Responsabili
L'elenco aggiornato dei sub-responsabili è quello pubblicato in privacy-policy.it.md § 6 (e replicato nella sezione 1.1 supra).
1.6 Modulo e Clausole Specifiche
Per i trasferimenti la Società → AWS / Resend / Google / Anthropic, le Parti applicano il Modulo 3 (P2P) degli SCC. Le clausole opzionali sono compilate come segue:
- Clausola 7 (Docking Clause): applicata - ulteriori soggetti possono aderire al meccanismo SCC su sottoscrizione del relativo addendum;
- Clausola 9 (Sub-processors): opzione 2 - autorizzazione generale con preavviso di 30 giorni (cfr. DPA art. 7.4);
- Clausola 11 (Reclami): senza l'opzione di mediazione indipendente; il reclamo può essere indirizzato all'autorità di controllo competente o all'autorità giudiziaria italiana;
- Clausola 17 (Legge applicabile): legge italiana;
- Clausola 18 (Foro): Foro esclusivo di Milano per controversie con interessati UE/SEE/UK/CH; arbitrato CAM Milano per controversie con interessati extra-UE/SEE/UK/CH (cfr. Contratto principale art. 13).
1.7 Misure Supplementari ex Schrems II (C-311/18)
La Società ha condotto una Transfer Impact Assessment (TIA) per ciascun importatore extra-UE alla data della v3.1.0, valutando:
a) il diritto del paese di destinazione (in particolare 50 U.S. Code § 1881a - FISA 702 - ed Executive Order 12333 per gli importatori USA);
b) la natura dei dati trasferiti (esclusione di dati sensibili; minimizzazione contenuto);
c) le tutele tecniche supplementari (cifratura at-rest sotto chiave del Responsabile UE; cifratura in-transit; pseudonimizzazione ove possibile);
d) gli impegni contrattuali aggiuntivi degli importatori a contestare richieste sproporzionate (clausola 14 e 15 SCC UE);
e) i Trump-era e Biden-era Executive Orders sulla sorveglianza dei dati personali (in particolare l'Executive Order 14086 del 7 ottobre 2022 alla base dell'EU-US Data Privacy Framework).
L'esito della TIA è disponibile su richiesta a privacy@voiceofthenewera.com.
1.8 EU-US Data Privacy Framework (DPF)
Per gli importatori USA certificati nell'EU-US Data Privacy Framework alla data della v3.1.0 (AWS Inc., Google LLC - verifica al publish; Anthropic PBC e Resend Inc. - verifica al publish), il trasferimento beneficia altresì della decisione di adeguatezza della Commissione Europea del 10 luglio 2023 (Decisione di Esecuzione UE 2023/1795), come meccanismo di trasferimento alternativo e aggiuntivo agli SCC. La certificazione DPF è verificata caso per caso all'indirizzo https://www.dataprivacyframework.gov/list.
2. UK International Data Transfer Addendum (UK IDTA)
Per i flussi di dati personali di interessati residenti nel Regno Unito dalla Società verso sub-responsabili extra-UK, le Parti incorporano per riferimento il UK International Data Transfer Addendum B1.0 del 21 marzo 2022, emesso dall'Information Commissioner's Office (ICO) ai sensi della section 119A del Data Protection Act 2018.
L'UK IDTA si applica come addendum agli SCC UE di cui alla sezione 1, con i seguenti adattamenti:
- Riferimento al UK GDPR e al DPA 2018 in luogo del GDPR UE;
- Autorità di controllo competente: Information Commissioner's Office (ICO) - Wycliffe House, Water Lane, Wilmslow, Cheshire SK9 5AF, United Kingdom -
ico.org.uk; - Foro: in funzione dello status di consumatore vs. professionista dell'interessato (cfr. Contratto principale art. 13);
- Diritto sostanziale: legge italiana (in linea con il DPA), salvo le tutele inderogabili del UK Consumer Rights Act 2015.
Per gli importatori USA certificati nel UK Extension to the EU-US DPF, il trasferimento beneficia altresì del riconoscimento di adeguatezza da parte del Regno Unito (UK Adequacy Regulations 2023).
3. Trasferimenti dalla Svizzera (FADP)
Per i flussi di dati personali di interessati residenti nella Confederazione Svizzera, le Parti incorporano gli SCC UE 2021/914 come adattati per la Svizzera, ai sensi della dichiarazione del Federal Data Protection and Information Commissioner (FDPIC) del 27 agosto 2021 e del revFADP (Federal Act on Data Protection rivisto) del 25 settembre 2020, entrato in vigore il 1 settembre 2023.
Adattamenti principali:
- Riferimento al revFADP svizzero in luogo del GDPR UE per il diritto sostanziale applicabile agli interessati svizzeri;
- Autorità di controllo competente: Federal Data Protection and Information Commissioner (FDPIC) - Feldeggweg 1, 3003 Berna, Svizzera -
edoeb.admin.ch; - Riconoscimento del diritto alla denuncia all'FDPIC.
4. Trasferimenti dal Brasile (LGPD)
Per i flussi di dati personali di interessati residenti in Brasile, le Parti incorporano le clausole contrattuali specifiche ai sensi dell'art. 33 della Lei 13.709/2018 (LGPD), come integrate negli SCC UE 2021/914 con adattamento brasiliano. Tali clausole prevedono:
a) il rispetto delle basi legali LGPD (artt. 7, 11) da parte dell'importatore;
b) il riconoscimento dei diritti dell'interessato LGPD (art. 18) - inclusi accesso, rettifica, anonimizzazione/cancellazione, portabilità, revoca del consenso;
c) la collaborazione con l'Autoridade Nacional de Proteção de Dados (ANPD) - gov.br/anpd - per ogni richiesta di esercizio dei diritti o ispezione;
d) i termini di notifica di violazione LGPD (tempo razoável) ai sensi dell'art. 48 LGPD;
e) l'allocazione di responsabilità controlador / operador coerente con la LGPD.
5. Dati di Interessati Californiani (CCPA / CPRA)
Per i dati personali di interessati residenti in California (USA) ai sensi del California Consumer Privacy Act (CCPA) come modificato dal California Privacy Rights Act (CPRA):
5.1 Dichiarazione di non-vendita / non-condivisione. La Società dichiara di NON vendere né condividere dati personali ai sensi del Cal. Civ. Code § 1798.140(ad) ("sale") e (ah) ("sharing"), né di averlo fatto nei 12 mesi precedenti la presente v3.1.0, né di intenderlo fare. Tutti i trasferimenti verso sub-responsabili (Resend, Google, Anthropic) avvengono nell'ambito di rapporti di service provider / processor ai sensi del Cal. Civ. Code § 1798.140(ag) e non integrano sale né sharing.
5.2 Service Provider Agreement. I contratti di trattamento con i sub-responsabili contengono le clausole obbligatorie ai sensi del Cal. Civ. Code § 1798.140(ag)(1), tra cui:
a) divieto al sub-responsabile di vendere, condividere o trattenere, usare o divulgare i dati personali per finalità diverse dalle specifiche finalità di servizio;
b) divieto di trattenere, usare o divulgare i dati al di fuori del rapporto contrattuale;
c) divieto di combinare i dati ricevuti con dati di altre fonti per costruire profili individuali;
d) certificazione di comprensione e adempimento delle limitazioni CCPA.
5.3 Diritti CCPA/CPRA degli interessati. La Società, in qualità di business + service provider, supporta il Cliente nell'esercizio dei seguenti diritti CCPA/CPRA degli interessati californiani:
- right to know (Cal. Civ. Code § 1798.110);
- right to delete (Cal. Civ. Code § 1798.105);
- right to correct (Cal. Civ. Code § 1798.106);
- right to opt-out of sale / sharing (Cal. Civ. Code § 1798.120) - non applicabile in quanto la Società non vende né condivide;
- right to limit use of sensitive personal information (Cal. Civ. Code § 1798.121) - non applicabile in quanto la Società non tratta SPI;
- right to non-discrimination (Cal. Civ. Code § 1798.125).
5.4 Autorità di controllo: California Privacy Protection Agency (CPPA) - cppa.ca.gov.
6. Altre Giurisdizioni
Per i trasferimenti riguardanti interessati residenti in giurisdizioni non disciplinate nelle sezioni 1-5 (Canada - PIPEDA; Australia - Privacy Act 1988; Giappone - APPI; Singapore - PDPA; Sudafrica - POPIA; etc.), la Società applica come baseline gli SCC UE 2021/914 di cui alla sezione 1 e, ove l'ordinamento locale richieda meccanismi addizionali, li integra contestualmente. La documentazione specifica è resa disponibile su richiesta a privacy@voiceofthenewera.com.
7. Aggiornamenti del Presente Annex
La Società può aggiornare il presente Annex (in particolare l'elenco dei sub-responsabili in sezione 1.1, lo status DPF in sezione 1.8, la documentazione TIA in sezione 1.7) senza necessità di rinegoziazione, con preavviso di 30 giorni al Cliente ai sensi del DPA art. 7.4.
Le modifiche strutturali del presente Annex (aggiunta di nuovi moduli SCC, modifica delle giurisdizioni di destinazione, modifica del foro arbitrale) costituiscono modifica sostanziale del DPA e seguono il procedimento di versionamento e accettazione del Contratto principale (cfr. customer-tos.it.md art. 15).
Vora S.r.l. - [INDIRIZZO SEDE LEGALE] - P.IVA: [P.IVA: ____] - privacy@voiceofthenewera.com
Documento sorgente in markdown: docs/legal/dpa-annex-sccs.it.md (v3.1.0 - 2026-05-13).