Data Processing Agreement (DPA)

PREMESSA

Il presente Data Processing Agreement ("DPA") costituisce parte integrante dei Termini e Condizioni di Servizio Grip AI stipulato tra Crimp S.r.l., con sede legale in Strada Trossi, 41 - 13871 Verrone (BI) - P.IVA e C.F. 02805700024, in qualità di Responsabile del Trattamento ("Responsabile"), e l'utente del servizio ("Cliente" o "Titolare del Trattamento").

Il presente DPA regola il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito della fornitura del servizio Grip AI.

1. DEFINIZIONI

Ai fini del presente DPA, si applicano le seguenti definizioni:

• "GDPR": il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016
• "Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile
• "Trattamento": qualsiasi operazione o insieme di operazioni compiute sui dati personali
• "Interessato": la persona fisica cui si riferiscono i dati personali
• "Titolare del Trattamento": l'entità che determina le finalità e i mezzi del trattamento dei dati personali
• "Responsabile del Trattamento": l'entità che tratta i dati personali per conto del Titolare
• "Violazione dei Dati Personali": una violazione di sicurezza che comporta la distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali
• "Sub-Responsabile": qualsiasi altro responsabile del trattamento nominato dal Responsabile
• "Servizio": il servizio Grip AI di assistenza telefonica automatizzata basato su intelligenza artificiale

2. OGGETTO E DURATA DEL TRATTAMENTO

2.1 Oggetto

Il presente DPA disciplina i diritti e gli obblighi delle parti in relazione al trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito della fornitura del Servizio.

2.2 Durata

Il presente DPA entra in vigore contestualmente ai Termini e Condizioni di Servizio e rimane efficace per tutta la durata degli stessi, incluse eventuali proroghe o rinnovi.

3. DESCRIZIONE DEL TRATTAMENTO

3.1 Natura e Finalità del Trattamento

Il Responsabile tratta i dati personali per le seguenti finalità:

• Fornire il servizio di assistenza telefonica automatizzata
• Gestire e processare le chiamate telefoniche tramite l'Assistente AI
• Generare trascrizioni e registrazioni delle conversazioni
• Fornire analytics e reportistica al Titolare
• Addestrare e ottimizzare l'Assistente AI sulla base della Knowledge Base fornita
• Garantire la sicurezza e l'integrità del Servizio

3.2 Tipo di Dati Personali

Nell'ambito del Servizio, potrebbero essere trattati i seguenti tipi di dati personali:

• Dati identificativi: nome, cognome, ragione sociale
• Dati di contatto: numero di telefono, indirizzo email
• Dati vocali: registrazioni audio delle conversazioni telefoniche
• Dati di traffico telefonico: orario, durata, esito delle chiamate
• Contenuto delle conversazioni: informazioni comunicate durante le chiamate
• Metadati tecnici: ID chiamata, indirizzo IP, dati di sessione

3.3 Categorie di Interessati

Le categorie di interessati i cui dati personali sono trattati includono:

• Clienti attuali e potenziali del Titolare
• Utenti finali che contattano telefonicamente il Titolare
• Fornitori e partner commerciali del Titolare
• Dipendenti e collaboratori del Titolare (se applicabile)

3.4 Categorie Particolari di Dati

Il Responsabile non è autorizzato a trattare categorie particolari di dati personali di cui all'art. 9 GDPR (dati sensibili) o dati relativi a condanne penali e reati di cui all'art. 10 GDPR, salvo espressa autorizzazione scritta del Titolare.

Il Titolare riconosce che, data la natura del Servizio (conversazioni telefoniche), potrebbero emergere involontariamente categorie particolari di dati. In tal caso, il Responsabile non sarà ritenuto responsabile per tale eventualità, fermo restando l'obbligo di adottare misure di sicurezza adeguate.

4. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

4.1 Conformità al GDPR

Il Responsabile si impegna a:

• Trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare
• Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza
• Adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR
• Rispettare le condizioni per il ricorso a sub-responsabili ai sensi dell'art. 28 GDPR
• Assistere il Titolare nell'adempimento degli obblighi GDPR
• Cancellare o restituire i dati al termine del contratto
• Mettere a disposizione del Titolare le informazioni necessarie per dimostrare la conformità

4.2 Istruzioni del Titolare

Il Responsabile tratta i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare. Le istruzioni iniziali sono contenute nel presente DPA e nei Termini e Condizioni di Servizio.

Il Titolare può impartire ulteriori istruzioni scritte in qualsiasi momento. Se il Responsabile ritiene che un'istruzione violi il GDPR o altre disposizioni normative, ne informa immediatamente il Titolare.

4.3 Riservatezza

Il Responsabile garantisce che tutte le persone autorizzate al trattamento dei dati personali:

• Siano vincolate da un obbligo di riservatezza contrattuale o legale
• Abbiano ricevuto formazione adeguata sul GDPR e sulla protezione dei dati
• Accedano ai dati personali solo nella misura strettamente necessaria

4.4 Registri delle Attività di Trattamento

Il Responsabile mantiene per iscritto un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare, contenente:

• Nome e dati di contatto del Responsabile e del Titolare
• Categorie di trattamenti effettuati per conto del Titolare
• Eventuale trasferimento di dati verso paesi terzi
• Descrizione generale delle misure di sicurezza tecniche e organizzative

Tale registro è messo a disposizione dell'autorità di controllo su richiesta.

5. MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE

5.1 Principi Generali

Il Responsabile implementa misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'oggetto, del contesto e delle finalità del trattamento.

5.2 Misure Tecniche

Il Responsabile adotta le seguenti misure tecniche di sicurezza:

• Crittografia dei dati in transito utilizzando protocolli TLS/SSL
• Crittografia dei dati a riposo ove supportata dai sub-responsabili
• Firewall e sistemi di rilevamento/prevenzione delle intrusioni
• Antivirus e anti-malware aggiornati
• Backup automatici regolari con conservazione per 30 giorni
• Monitoraggio continuo della sicurezza
• Logging completo degli accessi e delle attività

5.3 Misure Organizzative

Il Responsabile adotta le seguenti misure organizzative:

• Politiche di sicurezza documentate e aggiornate
• Formazione periodica del personale sulla sicurezza e privacy
• Controllo degli accessi basato sul principio del "need-to-know"
• Clausole di riservatezza nei contratti con dipendenti e fornitori
• Valutazione dei fornitori terzi in termini di sicurezza
• Revisioni periodiche delle misure di sicurezza

6. SUB-RESPONSABILI DEL TRATTAMENTO

6.1 Autorizzazione Generale

Il Titolare autorizza il Responsabile a nominare sub-responsabili del trattamento per l'esecuzione di specifiche attività di trattamento, a condizione che:

• Il sub-responsabile sia vincolato da obblighi contrattuali equivalenti a quelli del presente DPA
• Il Responsabile rimanga pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi del sub-responsabile

6.2 Elenco dei Sub-Responsabili Attuali

Il Responsabile utilizza attualmente i seguenti sub-responsabili:

6.3 Obblighi dei Sub-Responsabili

Tutti i Sub-Responsabili sono contrattualmente obbligati a:

• Trattare i dati personali solo in conformità alle nostre istruzioni
• Implementare misure di sicurezza tecniche e organizzative appropriate
• Mantenere la riservatezza dei dati personali
• Assisterci nel rispondere alle richieste degli interessati
• Notificarci eventuali violazioni dei dati
• Rispettare le leggi applicabili in materia di protezione dei dati

6.4 Modifica dei Sub-Responsabili

Il Responsabile informa il Titolare di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili con almeno 30 giorni di preavviso tramite aggiornamento di questa pagina.

Il Titolare ha il diritto di opporsi alla nomina di un nuovo sub-responsabile entro 15 giorni dalla notifica, per motivi legittimi relativi alla protezione dei dati, contattando [email protected].

7. TRASFERIMENTI INTERNAZIONALI DI DATI

7.1 Principio Generale

I dati personali possono essere trasferiti e trattati in paesi al di fuori dello Spazio Economico Europeo (SEE). Alcuni dei nostri sub-responsabili hanno sede o operano data center negli Stati Uniti e in altri paesi terzi.

7.2 Garanzie per i Trasferimenti

Per i trasferimenti verso paesi terzi non riconosciuti dalla Commissione UE come dotati di un livello adeguato di protezione, il Responsabile garantisce l'applicazione di una delle seguenti misure:

• Clausole contrattuali standard (SCC) approvate dalla Commissione Europea
• Altre garanzie appropriate come richiesto dalla legge
• Conformità ai framework di protezione dei dati applicabili
• Valutazione supplementare delle garanzie ai sensi della sentenza Schrems II

7.3 Documentazione

Il Responsabile mette a disposizione del Titolare, su richiesta:

• Copia delle clausole contrattuali standard stipulate con i sub-responsabili
• Documentazione relativa alle misure supplementari adottate
• Valutazione del rischio per i trasferimenti verso paesi terzi

8. ASSISTENZA PER I DIRITTI DEGLI INTERESSATI

8.1 Diritti Supportati

Il Responsabile assiste il Titolare nell'adempimento dell'obbligo di dare seguito alle richieste per l'esercizio dei diritti degli interessati previsti dal Capo III del GDPR:

• Diritto di accesso (art. 15)
• Diritto di rettifica (art. 16)
• Diritto alla cancellazione / "diritto all'oblio" (art. 17)
• Diritto di limitazione di trattamento (art. 18)
• Diritto alla portabilità dei dati (art. 20)
• Diritto di opposizione (art. 21)

8.2 Procedura

Se il Responsabile riceve una richiesta diretta da un interessato:

1. Il Responsabile inoltrerà la richiesta al Titolare entro 2 giorni lavorativi
2. Il Titolare valuterà la richiesta e fornirà istruzioni al Responsabile
3. Il Responsabile assisterà il Titolare nell'esecuzione delle istruzioni entro i termini concordati

8.3 Tempi e Costi

L'assistenza per l'esercizio dei diritti degli interessati rientra negli obblighi ordinari del Responsabile e non comporta costi aggiuntivi, salvo che le richieste siano manifestamente infondate, eccessive o ripetitive.

9. NOTIFICA DI VIOLAZIONI DEI DATI PERSONALI

9.1 Obbligo di Notifica

In caso di violazione dei dati personali, il Responsabile notifica al Titolare la violazione senza ingiustificato ritardo e, ove possibile, entro 24 ore dal momento in cui ne è venuto a conoscenza.

9.2 Contenuto della Notifica

La notifica al Titolare include, ove possibile:

• Descrizione della natura della violazione
• Categorie e numero approssimativo di interessati coinvolti
• Categorie e numero approssimativo di registrazioni di dati coinvolte
• Nome e dati di contatto del punto di contatto
• Probabili conseguenze della violazione
• Misure adottate o proposte per rimediare alla violazione e attenuarne gli effetti negativi

9.3 Documentazione e Cooperazione

Il Responsabile documenta qualsiasi violazione dei dati personali, comprese le circostanze, le conseguenze e i provvedimenti adottati. Il Responsabile coopera con il Titolare e fornisce tutte le informazioni ragionevolmente necessarie per consentire al Titolare di adempiere ai propri obblighi di notifica all'autorità di controllo e agli interessati.

10. VALUTAZIONE D'IMPATTO E CONSULTAZIONE PREVENTIVA

10.1 Assistenza per DPIA

Il Responsabile assiste il Titolare, su richiesta e nella misura ragionevolmente necessaria, nell'esecuzione di una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR, fornendo:

• Informazioni sulla natura, l'ambito, il contesto e le finalità del trattamento
• Descrizione delle misure di sicurezza implementate
• Valutazione dei rischi per i diritti e le libertà degli interessati
• Informazioni sui sub-responsabili e sui trasferimenti internazionali

10.2 Consultazione Preventiva

Il Responsabile assiste il Titolare, su richiesta, nella consultazione preventiva con l'autorità di controllo ai sensi dell'art. 36 GDPR, fornendo tutte le informazioni e la documentazione necessarie.

11. AUDIT E ISPEZIONI

11.1 Diritto di Audit

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità agli obblighi del presente DPA. Su richiesta ragionevole e con adeguato preavviso, il Responsabile consente audit condotti dal Titolare o da suoi rappresentanti autorizzati, nel rispetto di appropriati obblighi di riservatezza.

11.2 Report di Terze Parti

Il Responsabile può soddisfare l'obbligo di audit fornendo al Titolare report di certificazione o audit eseguiti da terze parti qualificate e indipendenti (es. SOC 2, ISO 27001), purché tali report coprano adeguatamente le aree di interesse del Titolare.

12. CANCELLAZIONE E RESTITUZIONE DEI DATI

12.1 Alla Cessazione del Servizio

Al termine del servizio o su richiesta del Titolare, il Responsabile, a scelta del Titolare:

• Cancella tutti i dati personali e le copie esistenti, salvo che il diritto dell'Unione o nazionale imponga la conservazione
• Restituisce tutti i dati personali al Titolare in un formato strutturato e di uso comune

12.2 Modalità e Tempi

La cancellazione o restituzione avviene:

• Entro 30 giorni dalla cessazione del servizio o dalla richiesta del Titolare
• Con metodi di cancellazione sicura che rendano i dati non recuperabili
• Con certificazione scritta dell'avvenuta cancellazione/restituzione

12.3 Backup

I dati contenuti nei backup di sicurezza possono essere conservati per il periodo di retention standard dei backup (30 giorni), dopodiché vengono cancellati secondo il normale ciclo di rotazione.

13. RESPONSABILITÀ E RISARCIMENTO

13.1 Responsabilità ai sensi del GDPR

Il Responsabile è responsabile per i danni causati dal trattamento solo qualora non abbia adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare.

13.2 Limitazioni

Fatte salve le disposizioni inderogabili del GDPR e del presente DPA, la responsabilità del Responsabile è limitata in conformità a quanto stabilito nei Termini e Condizioni di Servizio.

14. MODIFICHE AL DPA

Possiamo aggiornare questo DPA periodicamente per riflettere cambiamenti nei nostri servizi o nelle leggi applicabili. Le modifiche sostanziali saranno notificate, e l'uso continuato dei nostri servizi dopo tale notifica costituisce accettazione del DPA aggiornato.

15. LEGGE APPLICABILE E FORO

Il presente DPA è regolato dalla legge italiana e dal GDPR. Questo DPA è regolato dalle leggi applicabili ai Termini e Condizioni di Servizio, senza riguardo ai principi di conflitto di leggi.

16. CONTATTI

Per qualsiasi questione relativa al presente DPA o alle nostre pratiche di trattamento dei dati, si prega di contattare:

Crimp S.r.l. (Grip AI)

Strada Trossi, 41 - 13871 Verrone (BI)

P.IVA: IT02805700024

Email: [email protected]

PEC: [email protected]

Ultimo Aggiornamento: 01 Dicembre 2025