Accordo sul Trattamento dei Dati

Concluso ai sensi dell'articolo 28, paragrafo 3, del GDPR. Costituisce parte integrante dei Termini di Servizio e si applica automaticamente a ogni cliente di WorkAist Cloud.

In vigore dal: 2026-07-10

Questo documento è pubblicato in diverse lingue. In caso di discrepanza, fa fede la versione in lingua inglese.

1. Parti e ruoli

Il presente Accordo sul Trattamento dei Dati («DPA») è concluso tra il cliente identificato nell'account WorkAist (il «Titolare del trattamento») e ILIN & SADOVENKO, LDA, Rua de Xabregas, nº 2, Escritório 3.21, 1900-440 Lisboa, Portugal, NIF 517251876 (il «Responsabile del trattamento»).

Per quanto riguarda i Dati del Cliente trattati in WorkAist Cloud, il Titolare del trattamento determina le finalità e i mezzi del trattamento e il Responsabile del trattamento tratta per conto del Titolare del trattamento. Qualora il Titolare del trattamento sia esso stesso responsabile del trattamento per un terzo, il Titolare del trattamento garantisce di avere l'autorità per concludere il presente DPA e che le istruzioni impartite riflettono le istruzioni di tale terzo.

Il presente DPA non si applica a WorkAist Self-Hosted, in cui i Dati del Cliente non raggiungono i sistemi del Responsabile del trattamento, né ai dati per i quali il Responsabile del trattamento è esso stesso titolare del trattamento, disciplinati dall'Informativa sulla Privacy.

2. Ordine di prevalenza

Qualora il presente DPA sia in conflitto con i Termini di Servizio, il presente DPA prevale sulle questioni di protezione dei dati. Qualora sia in conflitto con un modulo d'ordine negoziato individualmente o con un accordo sul trattamento dei dati firmato, prevale tale documento.

3. Oggetto, durata, natura e finalità

L'oggetto è la fornitura di WorkAist Cloud. La natura e la finalità del trattamento consistono nell'hosting, nella memorizzazione, nella trasmissione e nel trattamento automatizzato dei Dati del Cliente affinché gli agenti, i connector e i processi configurati dal Titolare del trattamento possano funzionare, unitamente alle attività di supporto, sicurezza, misurazione e fatturazione necessarie per fornire il Servizio.

Il trattamento dura per tutto il periodo in cui il contratto del Titolare del trattamento per WorkAist Cloud è in vigore, oltre ai periodi di cancellazione di cui alla clausola 11.

4. Categorie di interessati e di dati personali

Il Titolare del trattamento decide cosa carica. Tipicamente il trattamento riguarda:

Categorie di interessatiCategorie di dati personali
Dipendenti e utenti autorizzati del Titolare del trattamentoNome, email di lavoro, ruolo, dati di autenticazione, voci di log di audit
Clienti, lead e contatti del Titolare del trattamentoNome, email, numero di telefono, azienda, corrispondenza, record CRM, qualsiasi identificatore che il Titolare del trattamento scelga di sincronizzare
Fornitori e partner del Titolare del trattamentoDati di contatto, dati contrattuali e di fatturazione
Qualsiasi interessato che compaia in documenti o messaggi trattati dal Titolare del trattamentoQualsiasi dato personale contenuto in file, email, trascrizioni, immagini o messaggi che il Titolare del trattamento invia al Servizio

Le categorie particolari di dati personali ai sensi dell'articolo 9 del GDPR e i dati personali relativi a condanne penali e reati ai sensi dell'articolo 10 del GDPR non devono essere trattati nel Servizio, salvo che le parti abbiano concordato per iscritto in anticipo ulteriori misure di garanzia.

Origine dei dati

I Dati del Cliente raggiungono il Servizio perché il Titolare del trattamento collega sistemi esterni, carica file o istruisce i propri agenti a recuperarli. Solo il Titolare del trattamento seleziona tali fonti e determina cosa viene importato.

Il Titolare del trattamento garantisce di disporre di una base giuridica ai sensi dell'articolo 6 del GDPR — e, ove applicabile, dell'articolo 9 — per raccogliere tali dati personali e per trasferirli al Responsabile del trattamento, e che qualsiasi informativa o consenso richiesto nel sistema di origine sia in essere. Il Responsabile del trattamento non ha accesso ai sistemi di origine del Titolare del trattamento, non li seleziona, e non verifica né è in grado di verificare se siano conformi alla normativa sulla protezione dei dati. Accertarlo è obbligo del Titolare del trattamento in qualità di titolare del trattamento.

5. Trattamento su istruzioni documentate

Il Responsabile del trattamento tratta i Dati del Cliente solo sulla base delle istruzioni documentate del Titolare del trattamento, anche per quanto riguarda i trasferimenti verso paesi terzi, salvo che sia tenuto a fare altrimenti dal diritto dell'Unione o degli Stati membri cui è soggetto. In tal caso il Responsabile del trattamento informa il Titolare del trattamento di tale obbligo giuridico prima del trattamento, salvo che il diritto in questione vieti tale informazione per rilevanti motivi di interesse pubblico.

I Termini di Servizio, il presente DPA e la configurazione e l'utilizzo del Servizio da parte del Titolare del trattamento costituiscono le istruzioni documentate complete del Titolare del trattamento. Qualsiasi istruzione aggiuntiva deve essere in forma scritta e, qualora richieda uno sforzo che va oltre la funzionalità standard del Servizio, può essere soggetta a un corrispettivo ragionevole concordato in anticipo.

Il Responsabile del trattamento informa il Titolare del trattamento senza ritardo ingiustificato qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni del diritto dell'Unione o degli Stati membri in materia di protezione dei dati.

6. Riservatezza

Il Responsabile del trattamento assicura che le persone autorizzate a trattare i Dati del Cliente si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo di riservatezza previsto dalla legge, e che l'accesso sia limitato a coloro che ne hanno bisogno per l'esecuzione del contratto.

7. Sicurezza del trattamento

Tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche, il Responsabile del trattamento attua le seguenti misure tecniche e organizzative ai sensi dell'articolo 32 del GDPR.

Allegato II — Misure tecniche e organizzative

MisuraAttuazione
Crittografia in transitoTutto il traffico da e verso il Servizio viene servito tramite TLS con certificati rinnovati automaticamente. Il traffico interno da servizio a servizio non lascia la rete host.
Crittografia dei segretiLe credenziali del cliente e i segreti dei connector sono crittografati a riposo con AES-256-GCM sotto una chiave conservata al di fuori del database applicativo.
PseudonimizzazioneI record di telemetria e di misurazione fanno riferimento a tenant e agenti tramite identificatore anziché tramite nome o email, ovunque l'identificatore sia sufficiente.
Riservatezza — controllo degli accessiControllo degli accessi basato sui ruoli per ogni spazio di lavoro. Ogni agente è limitato al proprio prefisso di archiviazione e al proprio schema di database; l'accesso tra tenant diversi è negato a livello di dati, non solo nell'interfaccia utente.
Riservatezza — personaleAccesso amministrativo con privilegio minimo, concesso individualmente e riesaminato in caso di cambio di ruolo. Tutte le azioni amministrative vengono registrate in un log di audit di sola aggiunta.
IntegritàValidazione degli input e query parametrizzate ovunque. Ogni modifica effettuata tramite l'API operativa registra una riga di log di audit che identifica l'autore.
Disponibilità e resilienzaHosting gestito in un data center di classe Tier III in Germania. Backup giornalieri automatizzati del database, conservati in forma crittografata e separata dall'ambiente di produzione.
RipristinoProcedura di ripristino documentata a partire dal backup più recente; il ripristino viene testato nell'ambito delle modifiche infrastrutturali.
Test e valutazioneScansione delle vulnerabilità delle dipendenze nell'integrazione continua, revisione del codice prima del merge e revisione periodica di queste misure almeno annualmente e in caso di modifiche sostanziali al Servizio.
Minimizzazione dei dati fin dalla progettazioneI connector sincronizzano solo i campi abilitati dal Titolare del trattamento. Il Titolare del trattamento può cancellare in qualsiasi momento qualsiasi tabella sincronizzata.

Il Responsabile del trattamento può aggiornare queste misure con l'evolversi della tecnologia, a condizione che il livello di protezione non venga ridotto. La versione attuale è sempre quella pubblicata su questa pagina.

8. Sub-responsabili del trattamento

Il Titolare del trattamento concede al Responsabile del trattamento un'autorizzazione scritta generale a incaricare sub-responsabili del trattamento. Il Responsabile del trattamento impone contrattualmente a ogni sub-responsabile del trattamento obblighi di protezione dei dati non meno rigorosi di quelli previsti dal presente DPA, e rimane pienamente responsabile nei confronti del Titolare del trattamento per l'operato del sub-responsabile del trattamento.

Allegato III — Sub-responsabili del trattamento autorizzati

I seguenti sub-responsabili del trattamento sono incaricati per ogni cliente di WorkAist Cloud, poiché fanno parte dell'infrastruttura su cui il Servizio funziona.

Sub-responsabile del trattamentoFinalitàLuogoGaranzia per il trasferimento
Hetzner Online GmbHHosting dei server applicativi, del database e dei backupGermania (UE)Non applicabile
Cloudflare, Inc.DNS, reverse proxy, terminazione TLS, protezione DDoSRete edge globale, inclusa l'UESCC; EU-US Data Privacy Framework
Stripe Payments Europe, Ltd.Elaborazione dei pagamenti e degli abbonamentiIrlanda (UE)SCC per trasferimenti infragruppo successivi; EU-US Data Privacy Framework
Resend, Inc.Consegna di email transazionaliStati UnitiSCC

Fornitori di modelli

I fornitori di modelli linguistici di grandi dimensioni sono trattati diversamente, poiché è il Titolare del trattamento a sceglierli.

  • Se il Titolare del trattamento fornisce le proprie credenziali del fornitore, tale fornitore è incaricato dal Titolare del trattamento, secondo le istruzioni del Titolare del trattamento e nell'ambito del suo accordo con esso. Non è un sub-responsabile del trattamento del Responsabile del trattamento. Il Responsabile del trattamento si limita a trasmettere la richiesta utilizzando le credenziali fornite e non offre alcuna garanzia in merito alla sicurezza, alla localizzazione del trattamento, alle prassi di addestramento o alla conformità di tale fornitore.
  • Se il Titolare del trattamento utilizza la fatturazione gestita dei token del Responsabile del trattamento, è il Responsabile del trattamento a selezionare il fornitore, che è un sub-responsabile del trattamento del Responsabile del trattamento. Il fornitore attualmente incaricato in tale veste è Anthropic PBC (Stati Uniti), per l'inferenza di modelli linguistici di grandi dimensioni, nell'ambito di clausole contrattuali standard e con divieto contrattuale di addestrarsi sui dati che gli vengono inviati.

Il Titolare del trattamento può vedere quale fornitore di modelli utilizza ciascuno dei propri agenti, e può modificarlo, in qualsiasi momento all'interno del Servizio.

Modifiche ai sub-responsabili del trattamento

Il Responsabile del trattamento dà al Titolare del trattamento un preavviso di almeno 30 giorni via email prima di aggiungere o sostituire un sub-responsabile del trattamento. Il Titolare del trattamento può opporsi per motivi ragionevoli connessi alla protezione dei dati entro tali 30 giorni. Se le parti non riescono a risolvere l'obiezione, il Titolare del trattamento può risolvere la parte interessata del Servizio senza penali e ricevere un rimborso proporzionale delle tariffe prepagate.

9. Assistenza per i diritti degli interessati

Tenuto conto della natura del trattamento, il Responsabile del trattamento assiste il Titolare del trattamento mediante misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, nell'adempimento dell'obbligo del Titolare del trattamento di rispondere alle richieste di esercizio dei diritti dell'interessato ai sensi del capo III del GDPR.

Il Servizio dà al Titolare del trattamento accesso diretto ai Dati del Cliente in modo che possa individuare, esportare, correggere e cancellare autonomamente i dati personali. Qualora una richiesta richieda comunque il coinvolgimento del Responsabile del trattamento, quest'ultimo risponde senza ritardo ingiustificato e comunque entro 10 giorni lavorativi. Se un interessato contatta direttamente il Responsabile del trattamento in merito ai Dati del Cliente, il Responsabile del trattamento non risponde nel merito; inoltra la richiesta al Titolare del trattamento senza ritardo ingiustificato.

10. Assistenza per gli articoli da 32 a 36

Il Responsabile del trattamento assiste il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento — in particolare per quanto riguarda la sicurezza del trattamento, la notifica delle violazioni dei dati personali, la comunicazione agli interessati, le valutazioni d'impatto sulla protezione dei dati e la consultazione preventiva.

Violazione dei dati personali

Il Responsabile del trattamento notifica al Titolare del trattamento senza ritardo ingiustificato, e comunque entro 48 ore, dal momento in cui viene a conoscenza di una violazione dei dati personali che riguarda i Dati del Cliente. La notifica descrive la natura della violazione, le categorie e il numero approssimativo di interessati e record coinvolti, le probabili conseguenze, le misure adottate o proposte e un punto di contatto. Qualora non tutte le informazioni siano disponibili contemporaneamente, vengono fornite in fasi successive senza ulteriore ritardo ingiustificato. Il Responsabile del trattamento non notifica un'autorità di controllo né gli interessati per conto del Titolare del trattamento, salvo istruzione in tal senso.

11. Cancellazione e restituzione dei Dati del Cliente

A scelta del Titolare del trattamento, il Responsabile del trattamento cancella o restituisce tutti i Dati del Cliente al termine della prestazione dei servizi relativi al trattamento, e cancella le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri richieda la conservazione dei dati personali.

  • Per 30 giorni dopo la cessazione del contratto, il Titolare del trattamento può esportare i Dati del Cliente dal Servizio, o richiederne la restituzione in un formato strutturato, di uso comune e leggibile da dispositivo automatico.
  • Il Responsabile del trattamento cancella i Dati del Cliente dai sistemi in produzione entro 30 giorni dalla chiusura di tale finestra di esportazione.
  • I backup crittografati contenenti Dati del Cliente vengono sovrascritti secondo la loro normale rotazione e comunque entro 90 giorni dalla cancellazione dai sistemi in produzione.
  • Su richiesta scritta, il Responsabile del trattamento conferma per iscritto l'avvenuta cancellazione.

12. Audit e informazioni

Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità all'articolo 28 del GDPR, e consente e contribuisce ad attività di audit, comprese le ispezioni, condotte dal Titolare del trattamento o da un altro revisore da questo incaricato.

In pratica, il Responsabile del trattamento fornisce anzitutto la propria documentazione aggiornata sulle misure tecniche e organizzative, il proprio elenco di sub-responsabili del trattamento e risposte scritte a un questionario di sicurezza. Qualora ciò non sia sufficiente a dimostrare la conformità, il Titolare del trattamento può condurre un audit in loco o da remoto, con preavviso scritto di 30 giorni, non più di una volta per anno solare, salvo che si sia verificata una violazione dei dati personali o che un'autorità di controllo lo richieda. Gli audit si svolgono durante l'orario lavorativo, non devono disturbare in modo irragionevole le operazioni del Responsabile del trattamento e sono soggetti a riservatezza. Il Titolare del trattamento sostiene i propri costi di audit; il Responsabile del trattamento sostiene i propri, salvo che l'audit riveli una violazione sostanziale del presente DPA.

13. Trasferimenti internazionali

Il Responsabile del trattamento memorizza i Dati del Cliente a riposo in Germania. I trasferimenti verso sub-responsabili del trattamento situati al di fuori dello Spazio Economico Europeo, elencati nell'Allegato III, avvengono nell'ambito delle clausole contrattuali standard della Commissione Europea (decisione di esecuzione (UE) 2021/914), Modulo Tre, laddove il Responsabile del trattamento agisce in qualità di responsabile del trattamento che incarica un sub-responsabile del trattamento, integrate ove opportuno da ulteriori garanzie, e — quando il destinatario è certificato — nell'ambito della decisione di adeguatezza per l'EU-US Data Privacy Framework.

Concludendo il presente DPA, il Titolare del trattamento incarica il Responsabile del trattamento di stipulare tali clausole contrattuali standard con ciascun sub-responsabile del trattamento in nome e per conto del Titolare del trattamento.

14. Responsabilità

La responsabilità ai sensi del presente DPA è disciplinata dalla limitazione di responsabilità prevista nei Termini di Servizio, fermo restando che nulla limita la responsabilità di ciascuna delle parti nei confronti di un interessato ai sensi dell'articolo 82 del GDPR o nei confronti di un'autorità di controllo.

15. Durata, legge applicabile e contatti

Il presente DPA entra in vigore quando inizia il contratto del Titolare del trattamento per WorkAist Cloud e rimane in vigore per tutto il tempo in cui il Responsabile del trattamento tratta i Dati del Cliente. È disciplinato dalla legge del Portogallo, e i tribunali di Lisbona hanno giurisdizione esclusiva, fatto salvo l'articolo 79 del GDPR.

Contatto per tutte le questioni relative al presente DPA: [email protected].