Flowvenue – Accordo sul Trattamento dei Dati
Data Processing Agreement – DPA
Premessa
Accettando i Termini e Condizioni di Flowvenue (disponibili su /termini-di-servizio), di cui il presente Data Processing Agreement ("DPA") costituisce parte integrante e sostanziale, l'utente (il "Titolare" o la "Società") accede ai servizi forniti da Flowvenue Srls, con sede legale in Viale Giorgio Ribotta 11, 00144 Roma (il "Responsabile del trattamento" o il "Fornitore", e congiuntamente al Titolare, le "Parti") attraverso la propria piattaforma (la "Piattaforma").
Ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 ("GDPR") e, ove applicabile, del Regolamento generale sulla protezione dei dati del Regno Unito (UK GDPR), come incorporato nel Data Protection Act 2018 (congiuntamente, le "Norme Applicabili in materia di Protezione dei Dati" o "Legislazione Applicabile"), le Parti convengono quanto segue.
1. Definizioni
Nel presente DPA:
"Legislazione Applicabile" indica il GDPR, l'UK GDPR, il D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018), nonché qualsiasi altra normativa, regolamento o linea guida nazionale dell'UE o del Regno Unito in materia di protezione dei dati personali, incluse quelle emanate dal Garante per la Protezione dei Dati Personali e dall'Information Commissioner's Office (ICO) del Regno Unito.
"Misure di Sicurezza" indica le misure tecniche e organizzative previste dall'articolo 32 del GDPR e dalle corrispondenti disposizioni dell'UK GDPR.
"Sub-Responsabile" indica qualsiasi terza parte incaricata dal Fornitore di trattare dati personali per conto del Titolare.
"Incidente di Sicurezza" indica qualsiasi violazione della sicurezza che comporti la distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato a dati personali, in modo accidentale o illecito.
2. Finalità e Ruoli
Il Titolare nomina il Fornitore quale Responsabile esterno del trattamento per le operazioni necessarie all'esecuzione del Contratto, nei limiti specificati nell'Allegato 1.
Il Fornitore tratterà i Dati Personali esclusivamente per le finalità e secondo le istruzioni documentate del Titolare, assicurando il pieno rispetto della Legislazione Applicabile.
3. Obblighi del Fornitore
3.1 Finalità e Liceità
Il Fornitore si impegna a:
- trattare i Dati Personali esclusivamente per l'esecuzione del Contratto e secondo le istruzioni documentate del Titolare;
- garantire che il trattamento sia lecito, corretto e trasparente ai sensi dell'articolo 5 del GDPR e dell'UK GDPR;
- limitare il trattamento ai soli dati strettamente necessari per le finalità indicate.
3.2 Sicurezza e Riservatezza
Il Fornitore dovrà:
- implementare e mantenere Misure di Sicurezza adeguate in base allo stato dell'arte e alla natura dei dati trattati;
- aggiornare regolarmente tali misure alla luce dell'evoluzione tecnologica;
- garantire la riservatezza e la formazione del personale autorizzato al trattamento;
- adottare procedure per la gestione degli Incidenti di Sicurezza e notificare il Titolare entro 24 ore dalla conoscenza dell'evento, fornendo dettagli e misure correttive (in conformità con l'art. 33 GDPR e art. 33 UK GDPR);
- effettuare test di vulnerabilità e valutazioni del rischio almeno una volta all'anno, documentandone gli esiti e mettendoli a disposizione del Titolare su richiesta scritta.
3.3 Personale Autorizzato
Il Fornitore dovrà:
- designare per iscritto il personale autorizzato e garantire che operi sotto la propria diretta autorità;
- mantenere un elenco aggiornato di tale personale e verificarne annualmente la conformità.
3.4 Diritti degli Interessati
Il Fornitore assisterà il Titolare nel garantire l'esercizio dei diritti degli interessati ai sensi degli articoli 12–23 del GDPR e delle corrispondenti disposizioni dell'UK GDPR.
Qualsiasi richiesta ricevuta direttamente da un interessato dovrà essere inoltrata al Titolare entro tre (3) giorni lavorativi.
3.5 Trasferimenti di Dati al di fuori dello SEE o del Regno Unito
Qualsiasi trasferimento di dati personali al di fuori dello Spazio Economico Europeo (SEE) o del Regno Unito potrà avvenire esclusivamente:
- verso Paesi oggetto di decisione di adeguatezza della Commissione Europea o del Segretario di Stato del Regno Unito; oppure
- in conformità con le Clausole Contrattuali Standard (SCC) dell'UE e/o con l'Addendum internazionale del Regno Unito o altri meccanismi di trasferimento riconosciuti ai sensi del Capo V del GDPR o dell'UK GDPR.
Il Fornitore manterrà registrazioni scritte di tutti i trasferimenti effettuati.
3.6 Sub-Responsabili
Il Titolare concede al Fornitore un'autorizzazione generale all'utilizzo di Sub-Responsabili.
Il Fornitore dovrà informare il Titolare di qualsiasi nuovo o sostitutivo Sub-Responsabile con almeno 10 giorni di preavviso.
Il Titolare potrà opporsi per motivi legittimi e documentati entro tale termine; in assenza di opposizione, la nomina si intenderà accettata.
Il Fornitore garantirà che ciascun Sub-Responsabile sia vincolato da un accordo scritto equivalente al presente DPA e rimarrà pienamente responsabile delle loro attività.
4. Obblighi del Titolare
Il Titolare dichiara e garantisce di:
- trattare i dati personali in modo lecito, corretto e trasparente;
- fornire agli interessati informative conformi agli articoli 13 e 14 del GDPR;
- assicurare una valida base giuridica per ciascuna operazione di trattamento;
- fornire istruzioni documentate e aggiornate al Fornitore;
- non trattare categorie particolari di dati personali salvo espresso accordo scritto.
5. Utilizzo di Tecnologie di Intelligenza Artificiale
Il Titolare autorizza il Fornitore a utilizzare tecnologie di Intelligenza Artificiale generativa e modelli conversazionali esclusivamente per le funzionalità della Piattaforma che le richiedono.
Il Fornitore garantisce che tali sistemi:
- rispettino i principi di trasparenza, correttezza e non discriminazione;
- non utilizzino i Dati Personali del Titolare per l'addestramento di modelli a uso generale senza consenso esplicito;
- operino in conformità al Regolamento europeo sull'AI (AI Act) e alla corrispondente normativa del Regno Unito, una volta entrata in vigore.
6. Audit e Ispezioni
Il Titolare potrà, previo preavviso scritto di almeno 10 giorni lavorativi, effettuare (direttamente o tramite revisore indipendente) audit per verificare la conformità del Fornitore al presente DPA.
Tali verifiche non potranno essere effettuate più di una volta all'anno, salvo casi di incidente documentato.
Le spese connesse all'audit saranno a carico del Titolare.
7. Durata e Cessazione
Il presente DPA rimane in vigore per tutta la durata del Contratto.
Alla cessazione, per qualsiasi motivo:
- il Fornitore cancellerà o restituirà tutti i dati personali entro 30 giorni, salvo obbligo legale di conservazione;
- la cancellazione sarà confermata per iscritto;
- eventuali backup saranno distrutti in modo sicuro entro 90 giorni.
Su richiesta del Titolare, i dati saranno esportati in un formato interoperabile (es. CSV, JSON).
8. Responsabilità e Manleva
Ciascuna Parte sarà responsabile per i danni derivanti da trattamenti che violino i rispettivi obblighi previsti dal GDPR, dall'UK GDPR o dal presente DPA.
Il Fornitore manleverà e terrà indenne il Titolare da qualsiasi reclamo derivante da violazioni imputabili al Fornitore o ai propri Sub-Responsabili.
9. Disposizioni Finali
Assenza di Compenso Ulteriore: salvo diverso accordo scritto, il Fornitore non percepirà alcun compenso aggiuntivo per il ruolo di Responsabile del trattamento.
Legge Applicabile e Foro Competente:
- per i Titolari stabiliti nell'UE, il presente DPA è regolato dalla legge italiana e dal GDPR; le controversie saranno di competenza esclusiva del Tribunale di Roma, Italia;
- per i Titolari stabiliti nel Regno Unito, il presente DPA è regolato dalla legge di Inghilterra e Galles e dall'UK GDPR; le controversie saranno devolute alla competenza esclusiva dei tribunali di Londra (Regno Unito).
Modifiche: qualsiasi modifica dovrà risultare da atto scritto e sottoscritto da entrambe le Parti.
Clausola di Salvaguardia: l'invalidità o inefficacia di una disposizione non pregiudica la validità delle restanti clausole.
Allegato 1 – Descrizione del Trattamento
Categorie di Interessati:
- ☒ Prospect
- ☒ Clienti
- ☒ Ex Clienti
- ☒ Agenti
- ☒ Fornitori
- ☒ Utenti della Piattaforma/Sito
Categorie di Dati:
- ☒ Dati anagrafici (nome, cognome)
- ☒ Dati di contatto (email, telefono, indirizzo)
- ☒ Dati di navigazione (IP, cookie, log)
- ☒ Dati professionali (azienda, ruolo)
- ☒ Dati social (nickname, immagine profilo)
Categorie Particolari di Dati:
- ☒ Nessuna
Operazioni di Trattamento:
- ☒ Raccolta
- ☒ Conservazione
- ☒ Estrazione
- ☒ Consultazione
- ☒ Utilizzo
- ☒ Comunicazione
- ☒ Cancellazione
- ☒ Distruzione
Finalità:
Esecuzione dei servizi SaaS conversazionali e di automazione dei processi aziendali forniti da Flowvenue, inclusa la gestione degli utenti, delle conversazioni, dei flussi di lavoro e delle comunicazioni omnicanale.