DPA enterprise

Il presente Data Processing Agreement ("DPA") integra i Termini di Servizio di VoxFlow AI e disciplina il trattamento dei dati personali effettuato da MetaWeb Studio S.r.l. ("Responsabile" o "noi") per conto del Cliente ("Titolare") ai sensi dell'articolo 28 del Regolamento UE 2016/679 ("GDPR").

Il presente DPA si applica a tutti i dati personali che il Cliente carica nella Piattaforma VoxFlow AI, inclusi ma non limitati a: dati dei Lead, registrazioni audio delle chiamate, trascrizioni, vocal order e log operativi.

Il Responsabile tratta i dati personali esclusivamente su documentata istruzione del Titolare, come definito nei Termini di Servizio e nelle impostazioni della Piattaforma configurate dal Cliente stesso.

Le istruzioni predefinite includono: erogazione del servizio, esecuzione delle campagne outbound configurate dal Cliente, generazione di vocal order, esportazione dati verso sistemi del Cliente, conservazione nei termini stabiliti.

Il Responsabile informerà prontamente il Titolare qualora ritenga che un'istruzione violi il GDPR o altre disposizioni di legge applicabili.

Il Responsabile implementa e mantiene misure tecniche e organizzative appropriate ai sensi dell'art. 32 GDPR, incluse:

• Crittografia in transito: TLS 1.3 su tutte le comunicazioni;
• Crittografia a riposo: AES-256 su tutti i dati archiviati;
• Autenticazione a più fattori (MFA) obbligatoria per tutto il personale con accesso ai dati;
• Penetration test annuale condotto da terze parti indipendenti;
• Backup giornalieri con retention 90 giorni e test di ripristino trimestrale;
• Audit log immutabile di ogni accesso ai dati sensibili.

Il dettaglio aggiornato delle misure di sicurezza è disponibile nel Centro fiducia.

Il Responsabile si avvale di sub-responsabili per l'erogazione di servizi tecnici necessari alla Piattaforma. L'elenco aggiornato dei sub-responsabili è pubblicato nel Centro fiducia.

Il Responsabile si impegna a:

• Vincolare contrattualmente i sub-responsabili agli stessi obblighi in materia di protezione dei dati previsti dal presente DPA;
• Notificare al Titolare con almeno 30 giorni di preavviso l'aggiunta o la sostituzione di sub-responsabili;
• Restare responsabile verso il Titolare per gli atti e le omissioni dei sub-responsabili.

Il Responsabile notificherà al Titolare senza ingiustificato ritardo, e comunque entro 72 ore dalla presa di coscienza, qualsiasi violazione dei dati personali che possa comportare un rischio per i diritti e le libertà degli interessati.

La notifica includerà: natura della violazione, categorie e numero approssimativo di interessati e di dati personali coinvolti, conseguenze probabili, misure adottate o proposte.

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA, e consente e contribuisce alle attività di audit e ispezione eseguite dal Titolare o da un revisore autorizzato dallo stesso.

Gli audit possono essere effettuati previa comunicazione scritta con almeno 30 giorni di preavviso, non più di una volta l'anno, e senza interferire con le normali operazioni del Responsabile.

Al termine del rapporto contrattuale, il Responsabile cancella o restituisce tutti i dati personali al Titolare, secondo la scelta di quest'ultimo espressa entro 30 giorni dalla cessazione.

Il Titolare dispone di 90 giorni dalla cessazione del contratto per esportare i propri dati dalla Piattaforma. Scaduto tale termine, i dati vengono cancellati in modo sicuro e definitivo.

I log di audit e i dati richiesti per obbligo di legge (es. registro conformità Garante) sono conservati per i termini previsti dalla normativa applicabile.