Flowvenue – Accordo sul Trattamento dei Dati
Data Processing Agreement – DPA
Premessa
Accettando i Termini e Condizioni di Flowvenue (disponibili su /termini-di-servizio), di cui il presente Data Processing Agreement ("DPA") costituisce parte integrante e sostanziale, l'utente (il "Titolare" o la "Società") accede ai servizi forniti da Flowvenue SRL, con sede legale in Viale Giorgio Ribotta 11, 00144 Roma (il "Responsabile del trattamento" o il "Fornitore", e congiuntamente al Titolare, le "Parti") attraverso la propria piattaforma (la "Piattaforma").
Ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 ("GDPR") e, ove applicabile, del Regolamento generale sulla protezione dei dati del Regno Unito (UK GDPR), come incorporato nel Data Protection Act 2018 (congiuntamente, le "Norme Applicabili in materia di Protezione dei Dati" o "Legislazione Applicabile"), le Parti convengono quanto segue.
1. Definizioni
Nel presente DPA:
"Legislazione Applicabile" indica il GDPR, l'UK GDPR, il D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018), nonché qualsiasi altra normativa, regolamento o linea guida nazionale dell'UE o del Regno Unito in materia di protezione dei dati personali, incluse quelle emanate dal Garante per la Protezione dei Dati Personali e dall'Information Commissioner's Office (ICO) del Regno Unito.
"Misure di Sicurezza" indica le misure tecniche e organizzative previste dall'articolo 32 del GDPR e dalle corrispondenti disposizioni dell'UK GDPR.
"Sub-Responsabile" indica qualsiasi terza parte incaricata dal Fornitore di trattare dati personali per conto del Titolare.
"Incidente di Sicurezza" indica qualsiasi violazione della sicurezza che comporti la distruzione, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato a dati personali, in modo accidentale o illecito.
2. Finalità e Ruoli
Il Titolare nomina il Fornitore quale Responsabile esterno del trattamento per le operazioni necessarie all'esecuzione del Contratto, nei limiti specificati nell'Allegato 1.
Il Fornitore tratterà i Dati Personali esclusivamente per le finalità e secondo le istruzioni documentate del Titolare, assicurando il pieno rispetto della Legislazione Applicabile.
3. Obblighi del Fornitore
3.1 Finalità e Liceità
Il Fornitore si impegna a:
- trattare i Dati Personali esclusivamente per l'esecuzione del Contratto e secondo le istruzioni documentate del Titolare;
- garantire che il trattamento sia lecito, corretto e trasparente ai sensi dell'articolo 5 del GDPR e dell'UK GDPR;
- limitare il trattamento ai soli dati strettamente necessari per le finalità indicate.
3.2 Sicurezza e Riservatezza
Il Fornitore dovrà:
- implementare e mantenere Misure di Sicurezza adeguate in base allo stato dell'arte e alla natura dei dati trattati;
- aggiornare regolarmente tali misure alla luce dell'evoluzione tecnologica;
- garantire la riservatezza e la formazione del personale autorizzato al trattamento;
- adottare procedure per la gestione degli Incidenti di Sicurezza e notificare il Titolare entro 24 ore dalla conoscenza dell'evento, fornendo dettagli e misure correttive (in conformità con l'art. 33 GDPR e art. 33 UK GDPR);
- effettuare test di vulnerabilità e valutazioni del rischio almeno una volta all'anno, documentandone gli esiti e mettendoli a disposizione del Titolare su richiesta scritta.
3.3 Personale Autorizzato
Il Fornitore dovrà:
- designare per iscritto il personale autorizzato e garantire che operi sotto la propria diretta autorità;
- mantenere un elenco aggiornato di tale personale e verificarne annualmente la conformità.
3.4 Diritti degli Interessati
Il Fornitore assisterà il Titolare nel garantire l'esercizio dei diritti degli interessati ai sensi degli articoli 12–23 del GDPR e delle corrispondenti disposizioni dell'UK GDPR.
Qualsiasi richiesta ricevuta direttamente da un interessato dovrà essere inoltrata al Titolare entro tre (3) giorni lavorativi.
3.5 Trasferimenti di Dati al di fuori dello SEE o del Regno Unito
Qualsiasi trasferimento di dati personali al di fuori dello Spazio Economico Europeo (SEE) o del Regno Unito potrà avvenire esclusivamente:
- verso Paesi oggetto di decisione di adeguatezza della Commissione Europea o del Segretario di Stato del Regno Unito; oppure
- in conformità con le Clausole Contrattuali Standard (SCC) dell'UE e/o con l'Addendum internazionale del Regno Unito o altri meccanismi di trasferimento riconosciuti ai sensi del Capo V del GDPR o dell'UK GDPR.
Il Fornitore manterrà registrazioni scritte di tutti i trasferimenti effettuati.
3.6 Sub-Responsabili
Il Titolare concede al Fornitore un'autorizzazione generale all'utilizzo di Sub-Responsabili.
Il Fornitore dovrà informare il Titolare di qualsiasi nuovo o sostitutivo Sub-Responsabile con almeno 10 giorni di preavviso.
Il Titolare potrà opporsi per motivi legittimi e documentati entro tale termine; in assenza di opposizione, la nomina si intenderà accettata.
Il Fornitore garantirà che ciascun Sub-Responsabile sia vincolato da un accordo scritto equivalente al presente DPA e rimarrà pienamente responsabile delle loro attività.
L'elenco corrente dei Sub-Responsabili autorizzati è riportato nell'Allegato 2. Eventuali aggiornamenti seguono la procedura di preavviso di cui sopra.
4. Obblighi del Titolare
Il Titolare dichiara e garantisce di:
- trattare i dati personali in modo lecito, corretto e trasparente;
- fornire agli interessati informative conformi agli articoli 13 e 14 del GDPR;
- assicurare una valida base giuridica per ciascuna operazione di trattamento;
- fornire istruzioni documentate e aggiornate al Fornitore;
- non trattare categorie particolari di dati personali salvo espresso accordo scritto.
5. Utilizzo di Tecnologie di Intelligenza Artificiale
Il Titolare autorizza il Fornitore a utilizzare tecnologie di Intelligenza Artificiale generativa e modelli linguistici di grandi dimensioni (LLM) esclusivamente per le funzionalità della Piattaforma che le richiedono (assistente conversazionale, progettazione processi, traduzione assistita e casi d'uso analoghi).
5.1 Modalità di inferenza LLM
A seconda della configurazione del Titolare e del piano sottoscritto, l'inferenza LLM può avvenire secondo uno o più dei seguenti percorsi:
- LLM gestito dal Fornitore — il Fornitore utilizza credenziali e Sub-Responsabili LLM approvati (provider predefinito Anthropic con modello Claude Sonnet 4.6; modelli OpenAI o Anthropic alternativi tra quelli esplicitamente supportati e allowlistati, ove abilitati dal piano). I Sub-Responsabili LLM rilevanti sono elencati nell'Allegato 2.
- Bring Your Own Key (BYOK) — il Titolare configura credenziali proprie verso OpenAI, Anthropic o un endpoint compatibile (inclusi deployment cloud dedicati o infrastrutture LLM private/on‑premise). In tal caso l'inferenza LLM è eseguita dal fornitore scelto dal Titolare, che non rientra nell'Allegato 2 per tale percorso; le chiavi del Titolare sono memorizzate cifrate (AES-256-GCM) e utilizzate esclusivamente per le chiamate configurate.
- Client LLM esterni tramite MCP Server — il Titolare può collegare client LLM esterni (es. Claude, ChatGPT, Gemini, Copilot con supporto MCP) al MCP Server inbound del Fornitore. L'inferenza LLM avviene sull'ambiente scelto dal Titolare; il Fornitore eroga strumenti MCP, autorizzazione (OAuth 2.0 con PKCE), ambiti, rate limiting e audit delle chiamate tool.
I dettagli commerciali (BeeCoin, fasce modello, assenza di addebito BeeCoin su inferenza BYOK) sono nei Termini di Servizio, Sezione 10.
5.2 Garanzie del Fornitore
Il Fornitore garantisce che i sistemi di cui sopra, nella misura in cui l'inferenza è eseguita tramite Sub-Responsabili del Fornitore o credenziali gestite dal Fornitore:
- rispettino i principi di trasparenza, correttezza e non discriminazione;
- non utilizzino i Dati Personali del Titolare per l'addestramento di modelli a uso generale senza consenso esplicito del Titolare, secondo i termini dei rispettivi fornitori LLM;
- operino in conformità al Regolamento europeo sull'AI (AI Act) e alla corrispondente normativa del Regno Unito, una volta entrata in vigore.
5.3 Obblighi del Titolare (BYOK e MCP)
Nei percorsi BYOK e MCP con client LLM esterni, il Titolare è responsabile della liceità del trattamento verso il proprio fornitore LLM o ambiente privato, della sicurezza delle chiavi e credenziali, del consenso OAuth e della due diligence sui vendor LLM adottati. Il Fornitore resta responsabile dell'orchestrazione piattaforma, del runtime processi e dei controlli MCP da esso erogati.
6. Audit e Ispezioni
Il Titolare potrà, previo preavviso scritto di almeno 10 giorni lavorativi, effettuare (direttamente o tramite revisore indipendente) audit per verificare la conformità del Fornitore al presente DPA.
Tali verifiche non potranno essere effettuate più di una volta all'anno, salvo casi di incidente documentato.
Le spese connesse all'audit saranno a carico del Titolare.
7. Durata e Cessazione
Il presente DPA rimane in vigore per tutta la durata del Contratto.
Alla cessazione, per qualsiasi motivo:
- il Fornitore cancellerà o restituirà tutti i dati personali entro 30 giorni, salvo obbligo legale di conservazione;
- la cancellazione sarà confermata per iscritto;
- eventuali backup saranno distrutti in modo sicuro entro 90 giorni.
Su richiesta del Titolare, i dati saranno esportati in un formato interoperabile (es. CSV, JSON).
8. Responsabilità e Manleva
Ciascuna Parte sarà responsabile per i danni derivanti da trattamenti che violino i rispettivi obblighi previsti dal GDPR, dall'UK GDPR o dal presente DPA.
Il Fornitore manleverà e terrà indenne il Titolare da qualsiasi reclamo derivante da violazioni imputabili al Fornitore o ai propri Sub-Responsabili.
9. Disposizioni Finali
Assenza di Compenso Ulteriore: salvo diverso accordo scritto, il Fornitore non percepirà alcun compenso aggiuntivo per il ruolo di Responsabile del trattamento.
Legge Applicabile e Foro Competente:
- per i Titolari stabiliti nell'UE, il presente DPA è regolato dalla legge italiana e dal GDPR; le controversie saranno di competenza esclusiva del Tribunale di Roma, Italia;
- per i Titolari stabiliti nel Regno Unito, il presente DPA è regolato dalla legge di Inghilterra e Galles e dall'UK GDPR; le controversie saranno devolute alla competenza esclusiva dei tribunali di Londra (Regno Unito).
Modifiche: qualsiasi modifica dovrà risultare da atto scritto e sottoscritto da entrambe le Parti.
Clausola di Salvaguardia: l'invalidità o inefficacia di una disposizione non pregiudica la validità delle restanti clausole.
Allegato 1 – Descrizione del Trattamento
Categorie di Interessati:
- ☒ Prospect
- ☒ Clienti
- ☒ Ex Clienti
- ☒ Agenti
- ☒ Fornitori
- ☒ Utenti della Piattaforma/Sito
Categorie di Dati:
- ☒ Dati anagrafici (nome, cognome)
- ☒ Dati di contatto (email, telefono, indirizzo)
- ☒ Dati di navigazione (IP, cookie, log)
- ☒ Dati professionali (azienda, ruolo)
- ☒ Dati social (nickname, immagine profilo)
Categorie Particolari di Dati:
- ☒ Nessuna
Operazioni di Trattamento:
- ☒ Raccolta
- ☒ Conservazione
- ☒ Estrazione
- ☒ Consultazione
- ☒ Utilizzo
- ☒ Comunicazione
- ☒ Cancellazione
- ☒ Distruzione
Finalità:
Esecuzione dei servizi SaaS conversazionali e di automazione dei processi aziendali forniti da Flowvenue, inclusa la gestione degli utenti, delle conversazioni, dei flussi di lavoro, delle comunicazioni omnicanale e delle funzionalità assistite da intelligenza artificiale (LLM platform-managed, BYOK o MCP, secondo la configurazione del Titolare).
Allegato 2 – Sub-Responsabili autorizzati
Il Fornitore si avvale, ove necessario per l'erogazione del Contratto, dei seguenti Sub-Responsabili (elenco indicativo, aggiornabile con preavviso ai sensi dell'art. 3.6):
- Amazon Web Services (AWS) — hosting cloud, database e storage (regione UE, Milano eu-south-1, salvo diversa configurazione contrattuale).
- Auth0 (Okta) — autenticazione e gestione identità (tenant in regione UE).
- Anthropic PBC — inferenza LLM con credenziali gestite dal Fornitore (provider predefinito).
- OpenAI — inferenza LLM con credenziali gestite dal Fornitore, ove abilitato (regime Enterprise ove applicabile).
- Meta Platforms Ireland Ltd — WhatsApp Business e servizi di messaggistica correlati, ove abilitati dal Titolare.
Esclusioni: nei percorsi BYOK e MCP con client LLM esterni, il fornitore LLM o l'ambiente di inferenza scelto dal Titolare (inclusi stack privati o on‑premise) non rientra in questo elenco per l'inferenza LLM su tale percorso. Ulteriori Sub-Responsabili (es. provider email transazionali, pagamenti) possono essere comunicati su richiesta o in aggiornamento dell'Allegato 2.
Documentazione di compliance sui fornitori LLM platform-managed: sezione Information Security del sito Flowvenue.