nagevo.← Torna alla home

ACCORDO SUL TRATTAMENTO DEI DATI

Data Processing Agreement (DPA)

Nagevo

Ultimo aggiornamento: 14 maggio 2026

1. Premessa

Il presente Accordo sul Trattamento dei Dati (di seguito "DPA" o "Accordo") è stipulato ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 ("GDPR"), dell'articolo 9 della Legge federale svizzera sulla protezione dei dati ("nLPD") e della normativa applicabile, tra:

(A) Il Cliente — la struttura ricettiva che ha sottoscritto il Contratto di Servizio con Nagevo, individuata nei dati di registrazione forniti al momento della sottoscrizione — in qualità di Titolare del trattamento ("Controller");

e

(B) Claudio Berardi (persona fisica), con domicilio in Via Silvio Calloni 11, 6900 Lugano, Svizzera, operante sotto il nome commerciale "Nagevo", in qualità di Responsabile del trattamento ("Processor"). Identificatore fiscale: persona fisica non esercente attività commerciale come ditta registrata al momento. L'identificatore (IDE Svizzero o equivalente) sarà aggiornato al momento dell'eventuale costituzione legale dell'attività.

Cliente e Nagevo sono di seguito congiuntamente indicate come "Parti" e singolarmente come "Parte".

Il presente DPA si applica a tutti i trattamenti di dati personali effettuati da Nagevo per conto del Cliente nell'ambito dell'erogazione del Servizio SaaS (piattaforma gestionale alberghiera). Il DPA è accettato dal Cliente al momento della registrazione al Servizio e costituisce parte integrante del Contratto di Servizio.

2. Definizioni

Ai fini del presente DPA valgono le definizioni fornite dall'art. 4 GDPR e dall'art. 5 nLPD. A maggior chiarezza:

TermineDefinizione
Dati PersonaliQualsiasi informazione riguardante una persona fisica identificata o identificabile ("Interessato") trattata da Nagevo per conto del Cliente.
InteressatiLe persone fisiche i cui Dati Personali sono oggetto di trattamento: principalmente gli ospiti della struttura ricettiva (clienti prenotanti), i loro eventuali accompagnatori, e altri soggetti i cui dati l'Hotel inserisce nel Servizio.
TrattamentoQualsiasi operazione o insieme di operazioni compiute sui Dati Personali (raccolta, registrazione, conservazione, consultazione, modifica, cancellazione, comunicazione, ecc.).
ServizioLa piattaforma SaaS Nagevo, come descritta nel Contratto di Servizio.
Sub-processorUn fornitore terzo che Nagevo incarica di effettuare trattamenti specifici per conto del Cliente (es. Supabase per il database, Stripe per i pagamenti).
Violazione dei Dati PersonaliViolazione di sicurezza che comporta accidentalmente o illecitamente la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali (art. 4(12) GDPR).

3. Oggetto, durata e finalità del trattamento

3.1 Oggetto

Il presente DPA disciplina le modalità con cui Nagevo, in qualità di Processor, tratta Dati Personali per conto del Cliente, Titolare del trattamento, nell'ambito dell'erogazione del Servizio.

3.2 Durata

Il DPA ha durata pari a quella del Contratto di Servizio tra le Parti. Cessa automaticamente alla cessazione del Contratto, fatti salvi gli obblighi che sopravvivono alla cessazione (art. 13 del presente DPA).

3.3 Natura e finalità del trattamento

Nagevo tratta i Dati Personali esclusivamente per le seguenti finalità, connesse all'erogazione del Servizio:

  • Gestione delle prenotazioni dirette e provenienti dal booking engine.
  • Calcolo dinamico di prezzi, disponibilità e tariffe.
  • Elaborazione dei pagamenti tramite integrazione Stripe Connect.
  • Generazione di export dati per adempimenti normativi (Alloggiati Web, tassa di soggiorno).
  • Invio di comunicazioni transazionali agli ospiti (conferme, promemoria, reset password).
  • Gestione della landing page pubblica dell'hotel e del booking engine.
  • Reportistica e prima nota operativa.
  • Supporto tecnico e manutenzione del Servizio.
  • Sicurezza, prevenzione frodi, log di accesso, backup.

Nagevo non tratta i Dati Personali per finalità proprie diverse da quelle istruite dal Cliente tramite il presente DPA e il Contratto di Servizio.

4. Categorie di Dati Personali e Interessati

4.1 Categorie di Dati Personali trattati

Nagevo tratta, per conto del Cliente, le seguenti categorie di Dati Personali:

  • Dati anagrafici degli ospiti: nome, cognome, data di nascita, luogo di nascita, cittadinanza.
  • Dati di contatto: indirizzo, email, numero di telefono.
  • Dati di documento d'identità: tipo documento, numero, data ed ente di rilascio (per adempimenti di pubblica sicurezza).
  • Dati di soggiorno: date check-in/check-out, camera assegnata, numero e composizione ospiti, eventuali preferenze.
  • Dati di prenotazione: importo, modalità di pagamento, stato della prenotazione, note.
  • Dati di pagamento: gestiti direttamente da Stripe; Nagevo non memorizza numeri di carta, ma può ricevere dati token (ID transazione, ultime 4 cifre, tipo di carta) per finalità di gestione.
  • Dati di comunicazione: corrispondenza email con gli ospiti, messaggi automatici di conferma prenotazione.
  • Dati di navigazione sul booking engine: cookie tecnici e, previo consenso, dati analitici aggregati.

4.2 Categorie di Interessati

  • Ospiti paganti prenotanti la struttura ricettiva.
  • Accompagnatori degli ospiti registrati nella stessa prenotazione.
  • Persone di contatto indicate dall'Hotel (se rilevanti per il Servizio).
  • Visitatori del booking engine e della landing page pubblica dell'hotel.

4.3 Categorie particolari di Dati Personali

Nagevo non tratta intenzionalmente categorie particolari di Dati Personali ai sensi dell'art. 9 GDPR (dati sanitari, orientamento sessuale, opinioni politiche, ecc.) né dati di condanne penali ai sensi dell'art. 10 GDPR.

Qualora l'Hotel inserisca tali dati all'interno del Servizio (ad esempio, preferenze dietetiche in campo note, annotazioni su esigenze mediche), l'Hotel è l'unico responsabile della legittimità di tale inserimento e del rispetto delle condizioni richieste dalla normativa per il trattamento di tali categorie.

5. Obblighi del Responsabile del trattamento (Nagevo)

Ai sensi dell'art. 28 GDPR e dell'art. 9 nLPD, Nagevo si impegna a:

5.1 Trattamento conforme alle istruzioni

Trattare i Dati Personali esclusivamente sulla base delle istruzioni documentate del Cliente, incluso in relazione a trasferimenti extra-UE. Le istruzioni del Cliente sono incorporate nel Contratto di Servizio, nel presente DPA e nell'utilizzo delle funzionalità del Servizio tramite il pannello di controllo.

Nel caso in cui Nagevo ritenga che un'istruzione violi il GDPR, la nLPD o altra normativa applicabile, ne informerà tempestivamente il Cliente.

5.2 Riservatezza

Garantire che le persone autorizzate a trattare i Dati Personali (inclusi dipendenti, collaboratori e consulenti) si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

5.3 Sicurezza

Adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, come dettagliate nell'Allegato 1 del presente DPA.

5.4 Assistenza al Cliente

Assistere il Cliente, tenendo conto della natura del trattamento, per:

  • L'adempimento dei propri obblighi di rispondere alle richieste degli Interessati che esercitano i diritti previsti dal Capo III del GDPR e dalla nLPD.
  • L'adempimento degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica violazioni, DPIA) ove applicabili.

5.5 Cancellazione o restituzione

Al termine del Contratto di Servizio, procedere secondo la scelta del Cliente, alla cancellazione o alla restituzione dei Dati Personali, salvo obblighi di legge di conservazione, secondo le modalità dell'art. 13 del presente DPA.

5.6 Trasparenza

Mettere a disposizione del Cliente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA, secondo le modalità di audit dell'art. 10.

5.7 Notifica violazioni

Notificare al Cliente qualsiasi Violazione dei Dati Personali secondo le modalità dell'art. 9.

6. Obblighi del Titolare del trattamento (Cliente)

Il Cliente, in qualità di Titolare del trattamento, è responsabile di:

  • Avere una base giuridica valida per il trattamento dei Dati Personali degli Interessati, ai sensi dell'art. 6 GDPR e della normativa applicabile.
  • Fornire agli Interessati informative privacy conformi agli artt. 13-14 GDPR e alle normative applicabili, con particolare riferimento ai dati raccolti tramite il booking engine e durante il check-in.
  • Raccogliere il consenso degli Interessati ove richiesto dalla normativa (es. per invii marketing all'ospite).
  • Impartire a Nagevo istruzioni lecite, chiare e conformi alla normativa applicabile.
  • Garantire di non inserire nel Servizio Dati Personali per cui non ha adeguata base giuridica.
  • Adempiere autonomamente agli obblighi di legge connessi alla propria attività di ricezione (Alloggiati Web, tassa di soggiorno, fatturazione), utilizzando gli strumenti messi a disposizione dal Servizio.
  • Gestire in autonomia le richieste degli Interessati, salvo l'assistenza tecnica fornita da Nagevo.

7. Sub-processor

7.1 Autorizzazione generale

Con la sottoscrizione del presente DPA, il Cliente conferisce a Nagevo un'autorizzazione generale a nominare Sub-processor per l'esecuzione di attività specifiche di trattamento connesse all'erogazione del Servizio.

7.2 Elenco dei Sub-processor

L'elenco aggiornato dei Sub-processor utilizzati da Nagevo è pubblicato sulla pagina nagevo.com/subprocessors. L'elenco contiene, per ciascun Sub-processor: denominazione, finalità del trattamento, Paese di stabilimento, garanzie applicate.

A titolo informativo, i Sub-processor principali al momento della pubblicazione del presente DPA sono:

Sub-processorFinalitàSede
Supabase Inc.Database, autenticazione, storageUSA / UE
Vercel Inc.Hosting applicazioneGlobale
Cloudflare Inc.CDN, R2 object storage, sicurezzaGlobale
Stripe Payments Europe Ltd.Elaborazione pagamentiIrlanda / USA
Resend Inc.Email transazionaliUSA
Google LLC (Workspace)Email aziendale e comunicazioniIrlanda / USA
Google Ireland Ltd. (Analytics 4)Analytics aggregato (con consenso)Irlanda / USA
Meta Platforms Ireland Ltd. (Pixel + Conversions API)Marketing e conversioni (con consenso)Irlanda / USA

7.3 Notifica di modifiche

Nagevo informerà il Cliente, tramite comunicazione sulla pagina dedicata, nel pannello di controllo o via email, di qualsiasi intenzione di aggiungere o sostituire Sub-processor con un preavviso minimo di 30 (trenta) giorni rispetto all'effettiva adozione.

7.4 Diritto di opposizione

Il Cliente ha il diritto di opporsi a nuovi Sub-processor entro 30 giorni dalla comunicazione, per motivi legittimi e documentati relativi alla protezione dei dati. In caso di opposizione:

  • Le Parti collaboreranno in buona fede per identificare una soluzione alternativa.
  • Qualora non sia possibile individuare una soluzione alternativa e il Sub-processor contestato sia essenziale all'erogazione del Servizio, il Cliente può risolvere il Contratto di Servizio entro ulteriori 30 giorni, con diritto al rimborso pro-rata dei periodi pagati e non goduti.

7.5 Obblighi contrattuali verso i Sub-processor

Nagevo impone ai propri Sub-processor, tramite contratto scritto, obblighi in materia di protezione dei dati equivalenti a quelli assunti nel presente DPA. Nagevo resta pienamente responsabile nei confronti del Cliente per l'adempimento degli obblighi dei Sub-processor.

8. Trasferimenti extra-UE ed extra-Svizzera

Taluni Sub-processor possono trattare Dati Personali in Paesi al di fuori dello Spazio Economico Europeo o della Svizzera. Tali trasferimenti avvengono in ogni caso nel rispetto della normativa applicabile, sulla base di:

  • Decisioni di adeguatezza della Commissione Europea (art. 45 GDPR) o dell'Incaricato federale svizzero (IFPDT), ove applicabili.
  • Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea ai sensi dell'art. 46.2.c GDPR.
  • Addendum svizzeri alle SCC riconosciuti dal Consiglio federale svizzero.
  • Eventuali ulteriori garanzie tecniche e organizzative supplementari, qualora richieste dalla valutazione d'impatto trasferimento (TIA).

Copia delle SCC e degli altri strumenti di trasferimento applicati è disponibile su richiesta, scrivendo all'indirizzo di contatto indicato all'art. 15.

9. Gestione delle Violazioni dei Dati Personali (Data Breach)

9.1 Notifica a Nagevo

In caso di accertamento di una Violazione dei Dati Personali, Nagevo attiverà tempestivamente la propria procedura interna di gestione incidenti.

9.2 Notifica al Cliente

Nagevo notificherà al Cliente qualsiasi Violazione dei Dati Personali di cui venga a conoscenza senza ingiustificato ritardo, e in ogni caso entro 72 (settantadue) ore dall'accertamento, tramite email all'indirizzo del referente privacy indicato dal Cliente nel pannello di controllo, o in mancanza all'indirizzo principale dell'account.

9.3 Contenuto della notifica

La notifica di Nagevo al Cliente conterrà, nei limiti delle informazioni disponibili al momento:

  • Descrizione della natura della Violazione, incluse, ove possibile, le categorie e il numero approssimativo di Interessati e di record coinvolti.
  • Punto di contatto per ulteriori informazioni.
  • Probabili conseguenze della Violazione.
  • Misure adottate o proposte da Nagevo per affrontare la Violazione e mitigarne gli effetti.

Ove non sia possibile fornire tutte le informazioni contestualmente, queste saranno comunicate in forma progressiva, senza ulteriore ingiustificato ritardo.

9.4 Obbligo di notifica del Cliente alle Autorità

Resta inteso che il Cliente, in qualità di Titolare del trattamento, è l'unico soggetto tenuto a valutare se procedere alla notifica della Violazione all'Autorità di controllo competente ai sensi dell'art. 33 GDPR e agli Interessati ai sensi dell'art. 34 GDPR, e che tali adempimenti ricadono esclusivamente nella sua responsabilità.

Nagevo fornirà al Cliente tutta la collaborazione ragionevolmente necessaria per consentirgli di adempiere a tali obblighi.

10. Audit e verifiche

10.1 Diritto del Cliente

Il Cliente, in qualità di Titolare del trattamento, ha il diritto di verificare il rispetto da parte di Nagevo degli obblighi del presente DPA.

10.2 Modalità di audit

Nagevo fornisce al Cliente, su richiesta scritta motivata e con ragionevole preavviso, le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA, attraverso una o più delle seguenti modalità:

  • Documentazione scritta delle misure tecniche e organizzative adottate (come descritte nell'Allegato 1).
  • Risposta a questionari di sicurezza ragionevoli, forniti dal Cliente in forma strutturata.
  • Certificazioni di sicurezza dei Sub-processor di infrastruttura (es. ISO 27001 di Supabase, Vercel, Stripe) quando disponibili.
  • Report di assessment indipendenti o scan di sicurezza condotti da Nagevo o da terzi incaricati, ove disponibili.

10.3 Audit on-site

Audit in loco o ispezioni fisiche presso le sedi di Nagevo o dei Sub-processor sono limitati ai seguenti casi:

  • Incidente di sicurezza grave o Violazione dei Dati Personali accertata che abbia coinvolto il Cliente.
  • Richiesta motivata di un'Autorità di controllo competente.
  • Obbligo di legge a cui il Cliente sia assoggettato e che richieda specificamente audit fisico.

In tali casi, le Parti concorderanno in buona fede le modalità operative (tempistica, durata, ambito, riservatezza, costi). Gli audit saranno effettuati con preavviso minimo di 30 giorni, durante l'orario di lavoro, in modo da non compromettere l'operatività del Servizio.

10.4 Oneri e confidenzialità

Gli audit sono condotti a spese del Cliente, salvo il caso in cui l'audit rilevi inadempimenti significativi da parte di Nagevo, nel qual caso i costi ragionevoli saranno a carico di Nagevo.

Le informazioni acquisite durante l'audit sono da considerarsi strettamente riservate e possono essere utilizzate solo ai fini della verifica della conformità al presente DPA.

11. Diritti degli Interessati

Il Cliente è responsabile di rispondere alle richieste degli Interessati che esercitano i diritti previsti dagli artt. 15-22 GDPR e dagli artt. 25-29 nLPD (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, revoca del consenso).

Nagevo fornirà al Cliente, tramite le funzionalità del Servizio o, ove queste non siano sufficienti, tramite assistenza dedicata, gli strumenti e le informazioni necessarie per rispondere tempestivamente a tali richieste.

Qualora Nagevo riceva direttamente da un Interessato una richiesta di esercizio dei diritti, inoltrerà tempestivamente la richiesta al Cliente, astenendosi dal rispondere direttamente salvo il caso in cui la risposta diretta sia necessaria a fini di identificazione del Cliente competente.

12. Responsabilità

Ciascuna Parte è responsabile nei confronti dell'altra Parte e degli Interessati per i danni derivanti dalla propria violazione degli obblighi assunti con il presente DPA e dalla normativa applicabile.

La responsabilità di Nagevo nei confronti del Cliente per violazioni del presente DPA è soggetta alle limitazioni di responsabilità previste dall'art. 13 del Contratto di Servizio, salvo il caso di dolo o colpa grave e salvi gli importi dovuti a titolo di indennizzo nei confronti degli Interessati in forza di provvedimenti inappellabili.

Resta inteso che ciascuna Parte è direttamente responsabile nei confronti delle Autorità di controllo e degli Interessati per le sanzioni amministrative e i risarcimenti derivanti dalla propria violazione dei rispettivi obblighi di legge.

13. Cessazione del trattamento

Alla cessazione del Contratto di Servizio, per qualsiasi causa, Nagevo procederà come segue:

13.1 Export dei dati

Entro il periodo di conservazione post-cessazione previsto dal Contratto di Servizio (90 giorni per disdetta volontaria; fino a 60 giorni per archiviazione per mancato pagamento, come descritto all'art. 9 dei Terms of Service), il Cliente può richiedere l'export integrale dei Dati Personali trattati per suo conto in formato strutturato e comunemente utilizzato (CSV, JSON o formato equivalente).

13.2 Cancellazione

Decorso il periodo di conservazione di cui al paragrafo precedente, Nagevo procede alla cancellazione dei Dati Personali dai propri sistemi attivi e dai sistemi dei Sub-processor, salvo:

  • Dati che Nagevo è tenuta a conservare per obbligo di legge (es. dati di fatturazione per 10 anni, ex art. 2220 c.c. italiano e art. 957 CO svizzero).
  • Copie di backup che saranno sovrascritte secondo i cicli di rotazione standard (massimo 90 giorni).
  • Dati strettamente necessari alla difesa in giudizio, in caso di controversie in corso.

13.3 Conferma di cancellazione

Su richiesta scritta del Cliente, Nagevo fornisce conferma scritta dell'avvenuta cancellazione dei Dati Personali nei propri sistemi.

14. Disposizioni finali

14.1 Modifiche

Il presente DPA può essere modificato da Nagevo in caso di: (i) evoluzione normativa; (ii) pronunce delle Autorità di controllo; (iii) modifiche sostanziali al Servizio o ai Sub-processor.

Le modifiche saranno comunicate al Cliente con almeno 30 (trenta) giorni di preavviso tramite email e avviso nel pannello di controllo. La prosecuzione dell'utilizzo del Servizio oltre la data di entrata in vigore delle modifiche costituisce accettazione delle stesse. In caso di disaccordo, il Cliente può disdire il Contratto di Servizio secondo le modalità ivi previste.

14.2 Prevalenza del DPA

In caso di conflitto tra il presente DPA e il Contratto di Servizio, in materia di trattamento dei Dati Personali prevalgono le disposizioni del presente DPA.

14.3 Legge applicabile e foro competente

Il presente DPA è disciplinato dal diritto svizzero, fatta salva l'applicazione diretta delle norme imperative del GDPR e della normativa italiana applicabile.

Per qualsiasi controversia derivante dal presente DPA, è competente in via esclusiva il foro del Cantone Ticino, con riferimento a Lugano, Svizzera.

15. Contatti per questioni privacy

Per qualsiasi comunicazione relativa al presente DPA, tra cui notifiche di Violazione, richieste di audit, richieste di informazioni sui Sub-processor:

E-mail privacy: legal@nagevo.com

Rappresentante UE (ex art. 27 GDPR): in fase di nomina. I riferimenti saranno pubblicati in questa sezione una volta finalizzata la nomina.

Indirizzo postale: Nagevo — Claudio Berardi — Via Silvio Calloni 11, 6900 Lugano, Svizzera

ALLEGATO 1

Misure tecniche e organizzative di sicurezza

Ai sensi dell'art. 32 GDPR e dell'art. 8 nLPD, Nagevo adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza dei Dati Personali appropriato al rischio. Si riporta di seguito il dettaglio delle misure adottate.

A. Misure tecniche

A.1 Crittografia

  • Comunicazioni cifrate tramite protocollo TLS/HTTPS su tutte le pagine del Servizio, inclusi booking engine e pannello di controllo.
  • Password degli utenti memorizzate con algoritmi di hashing sicuri (bcrypt o equivalenti).
  • Dati sensibili e credenziali di sistema protetti tramite segreti cifrati gestiti dall'infrastruttura Vercel (Environment Variables Sensitive Mode).

A.2 Controllo accessi

  • Autenticazione a livello applicativo tramite Supabase Auth con token di sessione a scadenza.
  • Separazione logica dei dati tra Clienti (multi-tenancy con Row Level Security a livello database).
  • Controllo degli accessi basato su ruoli (RBAC) all'interno del pannello di controllo del Cliente.
  • Accesso amministrativo ai sistemi di Nagevo riservato a personale autorizzato, con autenticazione forte.

A.3 Resilienza e backup

  • Infrastruttura ridondante fornita dai Sub-processor (Supabase, Vercel) con replicazione geografica.
  • Backup automatici giornalieri del database con ritenzione secondo standard del fornitore di infrastruttura.
  • Monitoraggio continuo dello stato del Servizio (uptime e performance).

A.4 Integrità

  • Log di accesso e di modifica dei dati tracciati a livello applicativo.
  • Validazione dei dati in input per prevenire attacchi di tipo injection.
  • Aggiornamenti regolari di dipendenze software e valutazione di vulnerabilità note.

A.5 Test e valutazione

  • Revisioni periodiche delle misure di sicurezza.
  • Valutazione delle vulnerabilità tramite strumenti automatizzati di scansione.
  • Audit di sicurezza in caso di modifiche architetturali significative.

B. Misure organizzative

B.1 Riservatezza del personale

  • Impegno alla riservatezza scritto da parte di tutto il personale che tratta Dati Personali.
  • Formazione periodica in materia di protezione dei dati.
  • Accesso ai dati limitato al principio di "minimo privilegio necessario" per lo svolgimento delle mansioni.

B.2 Gestione dei fornitori

  • Selezione dei Sub-processor sulla base di garanzie di sicurezza e conformità GDPR/nLPD.
  • Stipula di DPA con tutti i Sub-processor, con obblighi equivalenti a quelli del presente DPA.
  • Revisione periodica dei Sub-processor e delle loro certificazioni.

B.3 Gestione incidenti

  • Procedura interna documentata per la rilevazione, valutazione e gestione delle Violazioni dei Dati Personali.
  • Canali di comunicazione dedicati per la segnalazione di incidenti da parte del Cliente e di terzi.
  • Tempistica di notifica al Cliente entro 72 ore dall'accertamento di una Violazione.

B.4 Revisione continua

  • Aggiornamento periodico delle presenti misure in funzione dell'evoluzione delle minacce e delle best practice del settore.
  • Integrazione di misure supplementari a fronte di modifiche significative al Servizio, ai volumi di dati trattati o alle categorie di Interessati.

Le misure descritte nel presente Allegato sono aggiornate periodicamente. Nagevo si riserva il diritto di modificare le misure di sicurezza per adeguarle a evoluzioni tecnologiche o normative, a condizione che il livello di sicurezza non sia diminuito rispetto a quello descritto nel presente Allegato.