Data Processing Agreement

Ultimo aggiornamento: 1 aprile 2025

1. Parti e ruoli

Nell'ambito del presente accordo:

• Titolare del trattamento (Controller) — Il Cliente che sottoscrive il servizio Chatbot Appuntamenti e che determina le finalità e i mezzi del trattamento dei dati dei propri clienti finali.
• Responsabile del trattamento (Processor) — [NOME AZIENDA], che gestisce la piattaforma Pronto e tratta i dati per conto del Titolare.

Il Responsabile tratta i dati esclusivamente su istruzione documentata del Titolare, salvo obblighi di legge contrari.

2. Oggetto del trattamento

Il presente DPA ha per oggetto il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'erogazione del servizio SaaS Pronto, che include:

• Ricezione ed elaborazione dei messaggi inviati dai clienti finali al chatbot
• Gestione delle prenotazioni di appuntamenti
• Invio di notifiche via email e SMS ai clienti finali
• Archiviazione dei dati di conversazione e prenotazione

3. Categorie di dati trattati

I dati personali trattati dal Responsabile per conto del Titolare includono:

• Dati dei clienti finali del Titolare — nome, cognome, numero di telefono, indirizzo email
• Messaggi chatbot — contenuto delle conversazioni tra i clienti finali e il chatbot configurato dal Titolare
• Dati di prenotazione — data, ora, tipo di servizio, note aggiuntive
• Dati tecnici — indirizzi IP, user agent, timestamp delle interazioni

Le categorie particolari di dati (dati sanitari, biometrici, ecc.) non devono essere inserite nel sistema, salvo esplicito accordo separato e adozione di misure aggiuntive di sicurezza.

4. Istruzioni del Titolare

Il Responsabile tratta i dati esclusivamente:

• Per erogare il servizio come descritto nei presenti Termini e nella Privacy Policy
• Su istruzione del Titolare, come configurata tramite la dashboard della piattaforma
• Nel rispetto della normativa applicabile in materia di protezione dei dati

Il Responsabile non utilizza i dati trattati per conto del Titolare per propri scopi commerciali, di profilazione o marketing. Se ritiene che un'istruzione violi il GDPR, il Responsabile ne informa il Titolare tempestivamente.

5. Misure di sicurezza tecniche e organizzative

Il Responsabile adotta le seguenti misure di sicurezza:

Misure tecniche

• Cifratura in transito — tutte le comunicazioni utilizzano protocolli TLS 1.2 o superiore
• Cifratura a riposo — i dati sensibili sono cifrati nel database
• Isolamento multi-tenant — ogni cliente dispone di un'area dati logicamente separata (directory e database dedicati)
• Autenticazione — accesso protetto da password con hashing bcrypt e protezione CSRF
• Backup — backup periodici con verifica di integrità
• Logging — registrazione degli accessi e delle operazioni sensibili

Misure organizzative

• Accesso ai dati limitato al personale strettamente necessario (principio del privilegio minimo)
• Impegni di riservatezza per tutto il personale che accede ai dati
• Procedure documentate per la gestione degli incidenti di sicurezza
• Revisione periodica delle misure di sicurezza

6. Sub-responsabili del trattamento

Il Titolare autorizza il Responsabile ad avvalersi dei seguenti sub-responsabili per l'erogazione del servizio:

Il Responsabile informa il Titolare di qualsiasi modifica prevista relativa all'aggiunta o alla sostituzione di sub-responsabili con un preavviso di almeno 30 giorni, durante i quali il Titolare può opporsi.

7. Assistenza per i diritti degli interessati

Il Responsabile assiste il Titolare nel dare seguito alle richieste degli interessati (accesso, rettifica, cancellazione, portabilità, ecc.) tramite:

• Funzionalità self-service nella dashboard per la gestione dei dati di conversazione
• Risposta alle richieste di cancellazione entro 30 giorni dalla notifica da parte del Titolare
• Fornitura, su richiesta, di un export dei dati in formato strutturato

8. Notifica di violazioni dei dati

In caso di violazione dei dati personali (data breach), il Responsabile:

• Notifica il Titolare entro 72 ore dalla rilevazione della violazione
• Fornisce le informazioni disponibili sulla natura della violazione, le categorie e il numero approssimativo di interessati e record coinvolti, le probabili conseguenze e le misure adottate o proposte
• Documenta tutte le violazioni, incluse quelle non soggette a notifica obbligatoria al Garante

9. Cancellazione e restituzione dei dati

Alla cessazione del rapporto contrattuale o su richiesta del Titolare:

• Il Responsabile fornisce un export completo dei dati in formato JSON entro 30 giorni dalla richiesta
• Procede alla cancellazione sicura e definitiva di tutti i dati del Titolare entro 30 giorni dalla cessazione del servizio o dall'export
• Fornisce attestazione scritta dell'avvenuta cancellazione, su richiesta

10. Audit e verifiche

Il Titolare ha il diritto di verificare il rispetto degli obblighi del presente DPA attraverso:

• Richiesta di documentazione e report di conformità
• Audit concordati con preavviso di almeno 30 giorni, a spese del Titolare

Il Responsabile collabora attivamente e fornisce tutte le informazioni necessarie a dimostrare la conformità al GDPR e al presente DPA.

11. Trasferimenti di dati extra UE

I trasferimenti di dati verso paesi terzi (USA) effettuati dai sub-responsabili avvengono sulla base delle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea con decisione del 4 giugno 2021, che offrono garanzie adeguate ai sensi dell'art. 46 GDPR.

12. Durata

Il presente DPA entra in vigore alla data di accettazione dei Termini di Servizio e rimane in vigore per tutta la durata del contratto. Le disposizioni relative alla cancellazione e alla riservatezza dei dati sopravvivono alla cessazione del rapporto contrattuale.

Per richieste relative al presente DPA: [EMAIL]