Addendum sul trattamento dei dati (DPA)

tra Cliente e fid.ai

Data ultimo aggiornamento: 9 Maggio 2025

Il presente Addendum sul Trattamento dei Dati ("DPA") è stipulato tra:

Il cliente (come definito nei termini di servizio di fid.ai, di seguito il "titolare del trattamento" o "controller")

E

fid.ai S.r.l., con sede legale in Torino, Italy, P.IVA IT01234567890 (di seguito "fid.ai", il "responsabile del trattamento" o "processor").

(Il titolare del trattamento e il responsabile del trattamento sono di seguito denominati congiuntamente le "parti" e singolarmente la "parte").

Data di efficacia: il presente DPA entra in vigore alla data di accettazione da parte del cliente dei termini di servizio di fid.ai ("ToS") o, se successiva, alla data in cui il cliente inizia a utilizzare i servizi fid.ai che comportano il trattamento di dati personali degli utenti finali del cliente.

Premesse

  1. Il titolare del trattamento ha sottoscritto i ToS di fid.ai ("contratto principale") per l'utilizzo della piattaforma SaaS "Segreteria Intelligente" ("servizio principale" o "piattaforma") fornita da fid.ai, che consente al titolare del trattamento di utilizzare il proprio numero di telefono WhatsApp Business per comunicare con i propri utenti finali ("interessati").
  2. Nell'ambito della fornitura del servizio principale, fid.ai tratterà dati personali per conto del titolare del trattamento.
  3. Il presente DPA ha lo scopo di garantire che tale trattamento avvenga in conformità con le leggi applicabili sulla protezione dei dati, in particolare con l'Articolo 28 del Regolamento (UE) 2016/679 ("GDPR").
  4. Il presente DPA è parte integrante e sostanziale del contratto principale. In caso di conflitto tra le disposizioni del presente DPA e quelle del contratto principale in materia di trattamento dei dati personali, prevarranno le disposizioni del presente DPA.

LE PARTI CONVENGONO QUANTO SEGUE:

1. Definizioni

1.1. I termini utilizzati nel presente DPA avranno il significato loro attribuito nel GDPR, salvo ove diversamente specificato. In particolare:

  • "Dati personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Ai fini del presente DPA, i dati personali si riferiscono ai dati degli utenti finali del titolare del trattamento.
  • "Trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
  • "Titolare del trattamento" (o "controller"): la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (in questo caso, il cliente di fid.ai).
  • "Responsabile del trattamento" (o "processor"): la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (in questo caso, fid.ai).
  • "Sub-responsabile del trattamento" (o "sub-processor"): qualsiasi soggetto terzo incaricato dal responsabile del trattamento per effettuare specifiche attività di trattamento di dati personali per conto del titolare del trattamento.
  • "Violazione dei dati personali" (o "data breach"): la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati.
  • "Leggi applicabili sulla protezione dei dati": tutte le leggi e i regolamenti applicabili in materia di protezione dei dati e privacy, inclusi, a titolo esemplificativo, il GDPR e le relative legislazioni nazionali di attuazione.
  • "Misure tecniche e organizzative adeguate": le misure volte a garantire un livello di sicurezza adeguato al rischio del trattamento, come previsto dall'Art. 32 del GDPR.

1.2. Altri termini con lettera maiuscola non definiti nel presente DPA avranno il significato loro attribuito nel contratto principale.

2. Oggetto, durata, natura e finalità del trattamento, tipi di dati personali e categorie di interessati

2.1. Oggetto del trattamento: la fornitura del servizio principale da parte di fid.ai al titolare del trattamento, che implica il trattamento di dati personali degli interessati del titolare del trattamento per consentire le comunicazioni tramite WhatsApp Business.

2.2. Durata del trattamento: la durata del trattamento dei dati personali da parte di fid.ai corrisponderà alla durata del contratto principale, salvo diversa istruzione scritta del titolare del trattamento o requisiti di conservazione imposti dalla legge.

2.3. Natura del trattamento: le operazioni di trattamento includono la ricezione, la trasmissione, la conservazione (temporanea o secondo le configurazioni del cliente), la visualizzazione, l'organizzazione, l'analisi (se prevista dalle funzionalità della piattaforma e attivata dal cliente) e la cancellazione dei messaggi WhatsApp e dei relativi metadati.

2.4. Finalità del trattamento: il trattamento dei dati personali è effettuato al solo scopo di:

  1. Eseguire le istruzioni documentate del titolare del trattamento, come specificato nel contratto principale e nel presente DPA.
  2. Consentire al titolare del trattamento di inviare, ricevere e gestire le comunicazioni WhatsApp con i propri interessati attraverso la piattaforma fid.ai.
  3. Fornire le funzionalità della piattaforma sottoscritte dal titolare del trattamento.

2.5. Tipi di dati personali trattati:

  1. Numeri di telefono degli interessati.
  2. Identificativi WhatsApp (es. WhatsApp ID).
  3. Contenuto dei messaggi scambiati tra il titolare del trattamento e i suoi interessati tramite WhatsApp (testo, immagini, video, audio, documenti, a seconda di quanto trasmesso).
  4. Metadati relativi ai messaggi (es. data, ora, stato di consegna, tipo di messaggio).
  5. Informazioni del profilo WhatsApp dell'interessato (se visibili e trasmesse).
  6. Dati relativi al consenso (opt-in) e alla revoca del consenso (opt-out) degli interessati, se gestiti o registrati tramite la piattaforma su istruzione del titolare del trattamento.
  7. Qualsiasi altro dato personale che il titolare del trattamento sceglie di far transitare o memorizzare sulla piattaforma in relazione alle comunicazioni con i propri interessati.

2.6. Categorie di interessati: gli interessati sono i clienti, i pazienti, i contatti commerciali o qualsiasi altra persona fisica con cui il titolare del trattamento comunica utilizzando il servizio principale.

3. Obblighi del responsabile del trattamento (fid.ai)

fid.ai, in qualità di responsabile del trattamento, si impegna a:

3.1. Trattamento secondo le istruzioni: trattare i dati personali esclusivamente su istruzione documentata del titolare del trattamento, che si considera fornita attraverso il contratto principale, il presente DPA, l'utilizzo e la configurazione della piattaforma da parte del titolare del trattamento e qualsiasi altra istruzione scritta fornita dal titolare del trattamento. fid.ai informerà immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati.

3.2. Riservatezza: garantire che le persone autorizzate al trattamento dei dati personali (es. dipendenti, collaboratori) si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

3.3. Misure di sicurezza (Art. 32 GDPR): adottare e mantenere misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio del trattamento, tenendo conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche. Tali misure sono descritte più in dettaglio nell'Allegato 1 ("Misure tecniche e organizzative di sicurezza") al presente DPA.

3.4. Ricorso a sub-responsabili (Art. 28.2 e 28.4 GDPR):

  1. Autorizzazione generale: il titolare del trattamento, con la sottoscrizione del presente DPA, concede a fid.ai un'autorizzazione generale a ricorrere a sub-responsabili per l'erogazione del servizio principale.
  2. Sub-responsabili essenziali: il titolare del trattamento riconosce e accetta specificamente che fid.ai utilizzerà i sub-responsabili essenziali Twilio Ireland Limited (o Twilio Inc.) e Meta Platforms Ireland Limited (o Meta Platforms, Inc.) per la fornitura dei servizi di messaggistica WhatsApp.
  3. Elenco degli altri sub-responsabili: fid.ai manterrà un elenco aggiornato degli altri sub-responsabili utilizzati per servizi accessori (es. hosting, IA, pagamenti, supporto), disponibile nell'Allegato 2 ("Elenco dei sub-responsabili autorizzati").
  4. Obblighi contrattuali con i sub-responsabili: fid.ai si impegna a stipulare con ciascun sub-responsabile un accordo scritto che imponga obblighi di protezione dei dati non meno rigorosi di quelli previsti dal presente DPA.
  5. Notifica di nuovi sub-responsabili e diritto di obiezione: fid.ai informerà il titolare del trattamento di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili (diversi da Twilio e Meta), dando al titolare del trattamento la possibilità di opporsi entro 14 giorni. In caso di obiezione motivata e persistente, e qualora non sia possibile trovare una soluzione alternativa, il titolare del trattamento potrà recedere dal contratto principale limitatamente ai servizi impattati.
  6. Responsabilità: fid.ai rimane pienamente responsabile nei confronti del titolare del trattamento per l'operato dei propri sub-responsabili.

3.5. Diritti degli interessati: assistere il titolare del trattamento, per quanto possibile, con misure tecniche e organizzative adeguate, a soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato (Capo III del GDPR).

3.6. Assistenza al titolare del trattamento (Art. 32-36 GDPR): assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR (sicurezza, notifica data breach, DPIA, consultazione preventiva).

3.7. Cancellazione o restituzione dei dati: al termine della prestazione dei servizi, su scelta del titolare del trattamento (da comunicare entro 30 giorni), fid.ai cancellerà o restituirà tutti i dati personali e cancellerà le copie esistenti, salvo obblighi di legge. In assenza di comunicazione, fid.ai procederà alla cancellazione entro 60-90 giorni dai sistemi attivi, e successivamente dai backup.

3.8. Informazioni e audit (Art. 28.3.h GDPR): mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire e contribuire alle attività di verifica, su richiesta scritta (non più di una volta all'anno, salvo incidenti) e a spese del titolare.

3.9. Trasferimenti internazionali di dati personali: non trasferire dati personali extra-SEE senza adeguate garanzie (Capo V GDPR). L'uso di Twilio e Meta può comportare trasferimenti verso Paesi extra-SEE (es. USA), per i quali fid.ai garantisce che tali sub-responsabili abbiano meccanismi di trasferimento validi (es. SCC, DPF).

3.10. Notifica di violazioni dei dati personali al titolare del trattamento: in caso di violazione dei dati personali, fid.ai informerà il titolare del trattamento senza ingiustificato ritardo, fornendo i dettagli necessari e collaborando per gli adempimenti di notifica.

4. Obblighi del titolare del trattamento (cliente)

Il titolare del trattamento si impegna a:

4.1. Liceità del trattamento e delle istruzioni: garantire che il trattamento dei dati personali e le istruzioni fornite a fid.ai siano leciti e conformi alle leggi applicabili, inclusa la responsabilità dell'ottenimento di una valida base giuridica (es. consenso) per l'invio di comunicazioni WhatsApp.

4.2. Accuratezza e qualità dei dati: essere responsabile dell'accuratezza, qualità e liceità dei dati personali forniti a fid.ai.

4.3. Informativa agli interessati: fornire ai propri interessati tutte le informazioni necessarie sul trattamento dei loro dati personali (Art. 13-14 GDPR).

4.4. Gestione delle richieste degli interessati: essere l'unico responsabile della gestione delle richieste degli interessati per l'esercizio dei loro diritti.

4.5. Notifica di requisiti specifici: informare fid.ai di eventuali requisiti di trattamento specifici.

4.6. Rispetto delle policy di terze parti: garantire che l'utilizzo dei servizi WhatsApp tramite fid.ai sia conforme alle policy di Meta/WhatsApp e Twilio.

5. Misure tecniche e organizzative di sicurezza

Le misure tecniche e organizzative di sicurezza adottate da fid.ai per proteggere i dati personali sono descritte nell'Allegato 1 al presente DPA. fid.ai si riserva il diritto di aggiornare tali misure, purché il livello di sicurezza complessivo non venga ridotto.

6. Elenco dei sub-processor autorizzati

L'elenco dei sub-responsabili autorizzati da fid.ai, oltre a Twilio e Meta, è disponibile nell'Allegato 2 al presente DPA. Tale elenco include il nome del sub-responsabile, il servizio fornito e il Paese in cui il servizio è prevalentemente erogato o dove i dati potrebbero essere trattati.

7. Disposizioni finali

7.1. Legge applicabile e foro competente: il presente DPA è disciplinato dalla legge italiana. Foro competente esclusivo: Torino.

7.2. Prevalenza: in caso di conflitto tra DPA e contratto principale sui dati personali, prevale il DPA.

7.3. Modifiche al DPA: fid.ai si riserva il diritto di modificare il DPA. Le modifiche sostanziali saranno comunicate con preavviso. L'uso continuato implica l'accettazione.

7.4. Accordo integrale: DPA, allegati e contratto principale costituiscono l'intero accordo.

7.5. Validità: se una clausola è invalida, le altre rimangono efficaci. La clausola invalida sarà sostituita.

Allegato 1: Misure tecniche e organizzative di sicurezza

Il responsabile del trattamento (fid.ai S.r.l.) adotta le seguenti misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio del trattamento dei dati personali per conto del titolare del trattamento, in conformità all'Art. 32 del GDPR:

A. Pseudonimizzazione e crittografia dei dati personali:

  • Crittografia in transito: tutte le comunicazioni tra il cliente e la piattaforma fid.ai, tra la piattaforma fid.ai e i servizi di terze parti (inclusi Twilio e Meta), e le comunicazioni interne tra i servizi della piattaforma avvengono tramite protocolli crittografati sicuri (es. HTTPS con TLS 1.2 o superiore).
  • Crittografia a riposo: i dati personali sensibili, inclusi i contenuti dei messaggi WhatsApp e le credenziali di accesso, sono conservati in forma crittografata nei database e nei sistemi di storage (es. utilizzando crittografia a livello di database come AES-256 o meccanismi di crittografia forniti dal provider cloud AWS). Le chiavi di crittografia sono gestite in modo sicuro.
  • Pseudonimizzazione: ove possibile e appropriato per finalità di analisi o sviluppo, i dati vengono pseudonimizzati o aggregati per ridurre i rischi per la privacy.

B. Misure per garantire la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento:

  • Controllo degli accessi logici:
    • Autenticazione: accesso ai sistemi di gestione della piattaforma e ai database protetto da credenziali univoche. Per il personale di fid.ai con accesso a sistemi critici o dati sensibili, è implementata l'autenticazione a più fattori (MFA). Le policy per le password richiedono complessità adeguata e cambi periodici.
    • Autorizzazioni: applicazione del principio del minimo privilegio ("least privilege"). L'accesso ai dati personali da parte del personale di fid.ai è limitato ai soli individui che ne hanno necessità per lo svolgimento delle proprie mansioni e sulla base di ruoli definiti. Gli accessi sono regolarmente revisionati.
  • Integrità dei dati: utilizzo di meccanismi per garantire l'integrità dei dati durante la trasmissione e la conservazione (es. checksum, logging delle modifiche ove appropriato).
  • Disponibilità e resilienza: la piattaforma è ospitata su infrastruttura cloud (AWS) progettata per alta disponibilità e resilienza, con ridondanza dei componenti critici e meccanismi di failover. Viene effettuato un monitoraggio continuo delle prestazioni e della disponibilità del servizio.

C. Misure per ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico:

  • Backup dei dati: vengono eseguiti backup regolari e automatizzati dei dati personali trattati sulla piattaforma. I backup sono conservati in modo sicuro, crittografati e in località geograficamente separate dalla infrastruttura di produzione (sfruttando le funzionalità di AWS).
  • Disaster recovery: esiste un piano di disaster recovery volto a ripristinare i servizi e l'accesso ai dati entro tempi definiti in caso di grave incidente. Tale piano è periodicamente testato e aggiornato.

D. Procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative:

  • Gestione delle vulnerabilità: vengono effettuate scansioni periodiche di vulnerabilità sui sistemi e sulle applicazioni. Le vulnerabilità identificate sono valutate e corrette in base alla loro criticità. Viene implementato un processo di patch management per applicare tempestivamente gli aggiornamenti di sicurezza.
  • Test di sicurezza: vengono condotti test di sicurezza, inclusi penetration test (da terze parti o interni), con frequenza commisurata al rischio, per identificare e correggere potenziali debolezze.
  • Revisioni interne: le policy e le procedure di sicurezza sono soggette a revisione e aggiornamento periodici.

E. Sicurezza fisica:

  • Data center: i server e l'infrastruttura che ospitano la piattaforma fid.ai sono localizzati presso data center di Amazon Web Services (AWS) all'interno dello Spazio Economico Europeo (SEE) (principalmente Francoforte e/o Irlanda). Questi data center sono protetti da rigorose misure di sicurezza fisica implementate da AWS. AWS detiene certificazioni di sicurezza riconosciute (es. ISO 27001, SOC 2).
  • Locali di fid.ai: l'accesso fisico ai locali di fid.ai S.r.l. è controllato e limitato al personale autorizzato.

F. Sviluppo sicuro (Secure Software Development Lifecycle - SSDLC):

  • fid.ai adotta pratiche di sviluppo sicuro, inclusa la considerazione dei principi di "security by design" e "privacy by design".
  • Il personale di sviluppo riceve formazione sulle pratiche di codifica sicura.
  • Vengono effettuate revisioni del codice (code review) focalizzate anche sugli aspetti di sicurezza.

G. Monitoraggio e logging:

  • Vengono raccolti e conservati log di accesso e di attività sui sistemi e sulla piattaforma per finalità di sicurezza, audit e troubleshooting (conservazione per 12 mesi come da informativa privacy).
  • I sistemi di monitoraggio sono configurati per rilevare attività sospette o non autorizzate.

H. Gestione degli incidenti di sicurezza:

fid.ai ha implementato un piano di gestione e risposta agli incidenti di sicurezza, che include procedure per l'identificazione, la valutazione, il contenimento, l'eradicazione, il recupero e le lezioni apprese, inclusa la gestione di una violazione dei dati personali e le relative notifiche.

I. Formazione del personale:

Tutto il personale di fid.ai con accesso ai dati personali riceve formazione periodica obbligatoria in materia di protezione dei dati, privacy e sicurezza.

J. Sicurezza dei sub-processor (due diligence):

fid.ai adotta un processo di valutazione per i nuovi sub-responsabili e stipula DPA che impongono obblighi di sicurezza e protezione dei dati.

Nota: Questa sezione è fornita come bozza rappresentativa delle misure tipicamente adottate e dovrà essere ulteriormente personalizzata da fid.ai S.r.l. per riflettere accuratamente le misure tecniche e organizzative effettivamente in atto.

Allegato 2: Elenco dei sub-responsabili autorizzati

Il titolare del trattamento autorizza il responsabile del trattamento (fid.ai S.r.l.) a ricorrere ai seguenti sub-responsabili per il trattamento dei dati personali:

Sub-responsabili essenziali (come da Sezione 3.4.b del DPA):

Nome del sub-responsabile Servizio fornito Paese di trattamento principale Meccanismo di trasferimento (se extra-SEE)
Twilio Ireland Limited (o Twilio Inc. per alcuni servizi) Infrastruttura API WhatsApp Business, trasmissione messaggi Irlanda, USA SCC, DPF (EU-U.S.)
Meta Platforms Ireland Limited (o Meta Platforms, Inc.) Piattaforma WhatsApp Business Irlanda, USA SCC, DPF (EU-U.S.)

Altri sub-responsabili autorizzati:

Nome del sub-responsabile Servizio fornito Paese di trattamento principale Meccanismo di trasferimento (se extra-SEE)
AWS EMEA SARL (Amazon Web Services) Servizi di hosting e cloud infrastruttura SEE (es. Francoforte, Irlanda) N/A (Dati nel SEE) / SCC (se backup o servizi di gestione da USA)
Google Cloud EMEA Limited / Google LLC (per servizi Gemini 1.5 Flash) Servizi di intelligenza artificiale generativa (elaborazione contenuto messaggi per risposte automatiche) USA, SEE DPF (EU-U.S.), SCC
Stripe Payments Europe, Ltd. Elaborazione pagamenti online Irlanda (SEE) N/A (Dati nel SEE) / SCC (per alcuni servizi di supporto da USA)
SendGrid, Inc. (parte di Twilio) Invio email transazionali e di servizio USA DPF (EU-U.S.), SCC
Zendesk, Inc. Piattaforma per supporto clienti USA, SEE DPF (EU-U.S.), SCC
Google Ireland Limited / Google LLC Analisi utilizzo sito web (Google Analytics - dati aggregati/pseudonimizzati) Irlanda, USA DPF (EU-U.S.), SCC

Il responsabile del trattamento si impegna a mantenere aggiornato questo elenco e a informare il titolare del trattamento di qualsiasi modifica conformemente a quanto previsto nella Sezione 3.4.e del presente DPA.