Data Processing Agreement (DPA)

Accordo sul Trattamento dei Dati Personali

ai sensi del Regolamento UE 2016/679 (GDPR) e del Regolamento UE 2024/1689 (AI Act)

Data di entrata in vigore: [1/12/2025]

PREMESSA

Il presente Data Processing Agreement ("DPA") costituisce parte integrante dei Termini e Condizioni di Servizio Grip AI stipulato tra Crimp S.r.l., con sede legale in Strada Trossi, 41 - 13871 Verrone (BI) - P.IVA e C.F. 02805700024, in qualità di Responsabile del Trattamento ("Responsabile"), e l'utente del servizio ("Cliente" o "Titolare del Trattamento").

Il presente DPA regola il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito della fornitura del servizio Grip AI, incluse le funzionalità di analisi del sentiment, intent analysis e profilazione automatizzata.

1. DEFINIZIONI

Ai fini del presente DPA, si applicano le seguenti definizioni:

"GDPR": il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.
"AI Act": il Regolamento UE 2024/1689 del Parlamento Europeo e del Consiglio del 13 giugno 2024, che stabilisce regole armonizzate sull'intelligenza artificiale.
"Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile.
"Trattamento": qualsiasi operazione o insieme di operazioni compiute sui dati personali.
"Interessato": la persona fisica cui si riferiscono i dati personali.
"Titolare del Trattamento": l'entità che determina le finalità e i mezzi del trattamento dei dati personali.
"Responsabile del Trattamento": l'entità che tratta i dati personali per conto del Titolare.
"Violazione dei Dati Personali": una violazione di sicurezza che comporta la distruzione, perdita, modifica, divulgazione o accesso non autorizzato ai dati personali.
"Sub-Responsabile": qualsiasi altro responsabile del trattamento nominato dal Responsabile.
"Servizio": il servizio Grip AI di assistenza telefonica automatizzata basato su intelligenza artificiale, comprensivo delle funzionalità di Sentiment Analysis e Intent Analysis.
"Sentiment Analysis": la funzionalità di analisi automatizzata del tono emotivo delle conversazioni telefoniche tramite algoritmi di intelligenza artificiale.
"Intent Analysis": la funzionalità di classificazione automatizzata dell'intento del chiamante tramite algoritmi di intelligenza artificiale.
"Dati di Profilazione": i risultati generati dalle funzionalità di Sentiment Analysis e Intent Analysis, inclusi punteggi di sentiment, classificazioni dell'intento e report derivati.

2. OGGETTO E DURATA DEL TRATTAMENTO

2.1 Oggetto

Il presente DPA disciplina i diritti e gli obblighi delle parti in relazione al trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito della fornitura del Servizio.

2.2 Durata

Il presente DPA entra in vigore contestualmente ai Termini e Condizioni di Servizio e rimane efficace per tutta la durata degli stessi, incluse eventuali proroghe o rinnovi.

3. DESCRIZIONE DEL TRATTAMENTO

3.1 Natura e Finalità del Trattamento

Il Responsabile tratta i dati personali per le seguenti finalità:

Fornire il servizio di assistenza telefonica automatizzata.
Gestire e processare le chiamate telefoniche tramite l'Assistente AI.
Generare trascrizioni e registrazioni delle conversazioni.
Effettuare l'analisi automatizzata del sentiment (Sentiment Analysis) delle conversazioni, classificando il tono emotivo (es. positivo, neutro, negativo) e il livello di intensità emotiva (es. frustrazione, soddisfazione, urgenza).
Effettuare l'analisi automatizzata dell'intento (Intent Analysis) delle conversazioni, classificando la tipologia di richiesta del chiamante (es. richiesta informazioni, reclamo, richiesta urgente, feedback).
Generare Dati di Profilazione derivanti dalle analisi di cui sopra, rendendoli disponibili al Titolare tramite la dashboard del Servizio.
Fornire analytics e reportistica al Titolare.
Addestrare e ottimizzare l'Assistente AI sulla base della Knowledge Base fornita.
Eseguire azioni automatizzate configurate dal Titolare (es. escalation prioritaria, inoltro a operatore umano, fissazione appuntamenti, interazione con CRM e altri sistemi del Titolare tramite API).
Garantire la sicurezza e l'integrità del Servizio.

3.2 Tipo di Dati Personali

Nell'ambito del Servizio, potrebbero essere trattati i seguenti tipi di dati personali:

Dati identificativi: nome, cognome, ragione sociale.
Dati di contatto: numero di telefono, indirizzo email.
Dati vocali: registrazioni audio delle conversazioni telefoniche.
Trascrizioni: testo generato automaticamente dal contenuto delle conversazioni.
Dati di profilazione: punteggi di sentiment, classificazioni dell'intento, indicatori emotivi e comportamentali derivanti dalla Sentiment Analysis e dalla Intent Analysis.
Dati di traffico telefonico: orario, durata, esito delle chiamate.
Contenuto delle conversazioni: informazioni comunicate durante le chiamate.
Dati contestuali: informazioni recuperate in tempo reale dai sistemi integrati del Titolare (es. storico ordini, ticket aperti, dati CRM) durante la chiamata, nei limiti configurati dal Titolare.
Metadati tecnici: ID chiamata, indirizzo IP, dati di sessione.

3.3 Categorie di Interessati

Le categorie di interessati i cui dati personali sono trattati includono:

Clienti attuali e potenziali del Titolare.
Utenti finali che contattano telefonicamente il Titolare.
Fornitori e partner commerciali del Titolare.
Dipendenti e collaboratori del Titolare (se applicabile).

3.4 Categorie Particolari di Dati

Il Responsabile non è autorizzato a trattare categorie particolari di dati personali di cui all'art. 9 GDPR (dati sensibili) o dati relativi a condanne penali e reati di cui all'art. 10 GDPR, salvo espressa autorizzazione scritta del Titolare.

Il Titolare riconosce che, data la natura del Servizio (conversazioni telefoniche e analisi del sentiment), potrebbero emergere involontariamente categorie particolari di dati (ad esempio, informazioni sullo stato di salute o sulle emozioni comunicate spontaneamente dal chiamante). In tal caso, il Responsabile non sarà ritenuto responsabile per tale eventualità, fermo restando l'obbligo di adottare misure di sicurezza adeguate e di non utilizzare tali dati per finalità diverse da quelle previste dal presente DPA.

4. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

4.1 Conformità al GDPR

Il Responsabile si impegna a:

Trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare.
Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza.
Adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR.
Rispettare le condizioni per il ricorso a sub-responsabili ai sensi dell'art. 28 GDPR.
Assistere il Titolare nell'adempimento degli obblighi GDPR.
Cancellare o restituire i dati al termine del contratto.
Mettere a disposizione del Titolare le informazioni necessarie per dimostrare la conformità.

4.2 Istruzioni del Titolare

Il Responsabile tratta i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare. Le istruzioni iniziali sono contenute nel presente DPA e nei Termini e Condizioni di Servizio.

Il Titolare può impartire ulteriori istruzioni scritte in qualsiasi momento. Se il Responsabile ritiene che un'istruzione violi il GDPR, l'AI Act o altre disposizioni normative, ne informa immediatamente il Titolare.

4.3 Riservatezza

Il Responsabile garantisce che tutte le persone autorizzate al trattamento dei dati personali:

Siano vincolate da un obbligo di riservatezza contrattuale o legale.
Abbiano ricevuto formazione adeguata sul GDPR e sulla protezione dei dati.
Accedano ai dati personali solo nella misura strettamente necessaria.

4.4 Registri delle Attività di Trattamento

Il Responsabile mantiene per iscritto un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare, contenente:

Nome e dati di contatto del Responsabile e del Titolare.
Categorie di trattamenti effettuati per conto del Titolare.
Eventuale trasferimento di dati verso paesi terzi.
Descrizione generale delle misure di sicurezza tecniche e organizzative.

Tale registro è messo a disposizione dell'autorità di controllo su richiesta.

5. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO

5.1 Informativa agli Interessati

Il Titolare si impegna a fornire ai propri utenti finali, prima dell'interazione con l'Assistente Vocale AI, un'informativa privacy conforme agli artt. 13 e 14 del GDPR, che includa almeno:

L'indicazione che le chiamate sono gestite da un assistente vocale basato su intelligenza artificiale.
L'indicazione che le conversazioni vengono registrate e trascritte.
L'indicazione che viene effettuata un'analisi automatizzata del sentiment e dell'intento della conversazione (profilazione), con descrizione della logica utilizzata, del significato e delle conseguenze previste per l'interessato.
Le finalità e le basi giuridiche del trattamento.
Le informazioni sui diritti degli interessati, incluso il diritto di opporsi alla profilazione ai sensi dell'art. 21 GDPR e il diritto di cui all'art. 22 GDPR.
I dati di contatto del Titolare per l'esercizio dei diritti.

5.2 Raccolta del Consenso

Qualora la base giuridica per il trattamento (in particolare per l'analisi del sentiment e la profilazione automatizzata) sia il consenso dell'interessato, il Titolare è responsabile di:

Raccogliere un consenso libero, specifico, informato e inequivocabile, e, ove richiesto, esplicito ai sensi dell'art. 7 GDPR.
Documentare e conservare la prova del consenso prestato.
Gestire le revoche del consenso e comunicarle tempestivamente al Responsabile.

5.3 Informativa Vocale Pre-Chiamata

Il Titolare si impegna a configurare, nell'ambito del Servizio, un messaggio vocale informativo preliminare che venga riprodotto all'inizio di ogni chiamata, contenente almeno le seguenti informazioni:

Che la chiamata è gestita da un assistente vocale basato su intelligenza artificiale.
Che la conversazione è registrata e potrà essere analizzata.
Il riferimento all'informativa privacy completa del Titolare (ad esempio, indicando l'URL o l'indirizzo e-mail a cui rivolgersi per maggiori informazioni).

Il Responsabile mette a disposizione del Titolare gli strumenti tecnici per la configurazione di tale messaggio nell'ambito della piattaforma del Servizio.

5.4 Valutazione d'Impatto (DPIA)

Il Titolare riconosce che il trattamento effettuato nell'ambito del Servizio (in particolare la profilazione automatizzata tramite Sentiment Analysis e Intent Analysis, la registrazione e trascrizione di conversazioni telefoniche, e l'utilizzo di tecnologie AI) può rientrare tra i trattamenti che richiedono una Valutazione d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'art. 35 del GDPR.

Il Titolare è responsabile di valutare se effettuare una DPIA e, in caso affermativo, di condurla. Il Responsabile si impegna ad assistere il Titolare nella conduzione della DPIA, come previsto alla Sezione 10.

5.5 Conformità Normativa Complessiva

Il Titolare è responsabile di:

Garantire la liceità del trattamento e l'esistenza di una valida base giuridica per ciascuna finalità.
Rispettare gli obblighi derivanti dall'AI Act applicabili al deployer di sistemi di IA.
Garantire che l'utilizzo dei Dati di Profilazione avvenga in conformità alla normativa applicabile.
Astenersi dall'utilizzare i Dati di Profilazione per decisioni automatizzate con effetti giuridici o analogamente significativi sull'interessato ai sensi dell'art. 22 GDPR, salvo che sussistano le condizioni previste dal medesimo articolo.

6. PROFILAZIONE AUTOMATIZZATA, SENTIMENT ANALYSIS E AI ACT

6.1 Descrizione delle Funzionalità di Profilazione

Il Servizio include le seguenti funzionalità di trattamento automatizzato:

a) Sentiment Analysis: Il sistema analizza, tramite modelli di elaborazione del linguaggio naturale (NLP), il tono emotivo della conversazione telefonica, assegnando un punteggio di sentiment (es. positivo, neutro, negativo) e indicatori di intensità emotiva (es. frustrazione, soddisfazione, urgenza, rabbia, calma).

b) Intent Analysis: Il sistema classifica automaticamente l'intento del chiamante (es. richiesta informazioni, reclamo, richiesta urgente, feedback, richiesta assistenza tecnica).

c) Reportistica e Dashboard: I Dati di Profilazione sono resi disponibili al Titolare tramite la dashboard del Servizio, in forma sia dettagliata (per singola chiamata) sia aggregata (report periodici, trend, KPI).

d) Azioni Automatizzate: Il Titolare può configurare azioni automatiche basate sui risultati dell'analisi (es. escalation prioritaria per sentiment fortemente negativo, instradamento differenziato per tipologia di intento). La configurazione e l'attivazione di tali azioni sono sotto l'esclusivo controllo del Titolare.

6.2 Logica del Trattamento Automatizzato

L'analisi del sentiment e dell'intento si basa su modelli di intelligenza artificiale (NLP - Natural Language Processing) che valutano parametri linguistici, lessicali, semantici e prosodici della conversazione. Il sistema:

Elabora il contenuto testuale (trascrizione) e/o vocale della conversazione.
Assegna un punteggio numerico di sentiment e una classificazione dell'intento.
Non effettua decisioni automatizzate con effetti giuridici o analogamente significativi sull'interessato.
Opera come strumento di supporto informativo per il Titolare, che mantiene il pieno controllo sulle decisioni finali.

6.3 Conformità al Regolamento (UE) 2024/1689 (AI Act)

Il Responsabile dichiara e garantisce che il sistema di intelligenza artificiale utilizzato per le funzionalità di Sentiment Analysis e Intent Analysis è progettato, sviluppato e gestito in conformità al Regolamento (UE) 2024/1689 (AI Act). In particolare:

a) Classificazione del rischio: Il sistema è stato sottoposto a una valutazione del rischio per determinare la categoria applicabile ai sensi dell'AI Act. Il Responsabile mette a disposizione del Titolare, su richiesta, la documentazione relativa a tale valutazione.

b) Trasparenza: Sono implementate misure di trasparenza conformi all'AI Act, inclusa l'informazione all'utente finale che sta interagendo con un sistema di intelligenza artificiale. Il Titolare si impegna a garantire che tali informazioni siano effettivamente comunicate all'utente finale (si veda Sezione 5.3).

c) Supervisione umana: I risultati dell'analisi del sentiment e dell'intento sono resi disponibili al Titolare come strumento informativo. Il Titolare mantiene il controllo finale sulle azioni intraprese sulla base di tali risultati, assicurando la supervisione umana richiesta dall'AI Act.

d) Accuratezza e non discriminazione: Il sistema è sottoposto a monitoraggio continuo per garantire accuratezza, robustezza, cybersicurezza e non discriminazione. Il Responsabile si impegna a segnalare al Titolare eventuali criticità riscontrate nel funzionamento del sistema.

e) Documentazione tecnica: Il Responsabile mantiene la documentazione tecnica prevista dall'AI Act e la mette a disposizione delle autorità competenti su richiesta.

6.4 Limitazioni d'Uso dei Dati di Profilazione

Il Titolare prende atto e accetta che:

I Dati di Profilazione sono generati tramite algoritmi di intelligenza artificiale e possono contenere imprecisioni.
I Dati di Profilazione non devono essere utilizzati come unica base per decisioni che producano effetti giuridici o analogamente significativi sull'interessato (art. 22 GDPR).
L'utilizzo dei Dati di Profilazione per finalità diverse da quelle previste dal presente DPA e dai Termini e Condizioni di Servizio non è consentito senza preventiva autorizzazione scritta del Responsabile.
Il Titolare è l'unico responsabile dell'utilizzo dei Dati di Profilazione e delle decisioni assunte sulla base degli stessi.

7. MISURE DI SICUREZZA TECNICHE E ORGANIZZATIVE

7.1 Principi Generali

Il Responsabile implementa misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, dell'oggetto, del contesto e delle finalità del trattamento.

7.2 Misure Tecniche

Il Responsabile adotta le seguenti misure tecniche di sicurezza:

Crittografia dei dati in transito utilizzando protocolli TLS/SSL.
Crittografia dei dati a riposo ove supportata dai sub-responsabili.
Firewall e sistemi di rilevamento/prevenzione delle intrusioni.
Antivirus e anti-malware aggiornati.
Backup automatici regolari con conservazione per 30 giorni.
Monitoraggio continuo della sicurezza.
Logging completo degli accessi e delle attività.

7.3 Misure Organizzative

Il Responsabile adotta le seguenti misure organizzative:

Politiche di sicurezza documentate e aggiornate.
Formazione periodica del personale sulla sicurezza e privacy.
Controllo degli accessi basato sul principio del "need-to-know".
Clausole di riservatezza nei contratti con dipendenti e fornitori.
Valutazione dei fornitori terzi in termini di sicurezza.
Revisioni periodiche delle misure di sicurezza.

8. SUB-RESPONSABILI DEL TRATTAMENTO

8.1 Autorizzazione Generale

Il Titolare autorizza il Responsabile a nominare sub-responsabili del trattamento per l'esecuzione di specifiche attività di trattamento, a condizione che:

Il sub-responsabile sia vincolato da obblighi contrattuali equivalenti a quelli del presente DPA.
Il Responsabile rimanga pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi del sub-responsabile.

8.2 Elenco dei Sub-Responsabili Attuali

Il Responsabile utilizza attualmente i seguenti sub-responsabili:

Infrastruttura e Hosting

Heroku (Salesforce)

Servizio: Piattaforma cloud per applicazioni e hosting

Ubicazione: EU

Finalità: Hosting applicazioni, ambiente di runtime e gestione infrastruttura

Dati Trattati: Dati applicazione, dati utente, log di sistema

Vercel Inc.

Servizio: Hosting frontend e rete di distribuzione contenuti (CDN)

Ubicazione: EU

Finalità: Hosting sito web, distribuzione asset statici ed edge computing

Dati Trattati: Dati utilizzo sito web, indirizzi IP, log delle richieste

Google Cloud Platform (Google LLC)

Servizio: Infrastruttura cloud, hosting e servizi di elaborazione

Ubicazione: EU

Finalità: Hosting applicazioni, elaborazione dati, storage e servizi infrastrutturali

Dati Trattati: Dati applicazione, dati utente, log di sistema, dati elaborati

Data Processing Addendum: https://cloud.google.com/terms/data-processing-addendum

Amazon Web Services - AWS (Amazon Web Services, Inc.)

Servizio: Infrastruttura cloud, hosting, storage e servizi computazionali

Ubicazione: EU

Finalità: Hosting applicazioni, archiviazione dati, elaborazione e gestione infrastruttura cloud

Dati Trattati: Dati applicazione (customer content), dati utente, log di sistema, metadati

Data Processing Addendum: https://d1.awsstatic.com/legal/aws-gdpr/AWS_GDPR_DPA.pdf

Servizi Database

MongoDB Atlas

Servizio: Servizio database MongoDB gestito

Ubicazione: EU

Finalità: Archiviazione e gestione database principale

Dati Trattati: Tutti i dati applicazione, dati utente, dati di configurazione

Qdrant

Servizio: Database vettoriale e ricerca per similarità

Ubicazione: EU

Finalità: Archiviazione embeddings vettoriali e ricerca semantica

Dati Trattati: Embeddings vettoriali, metadati, query di ricerca

Servizi Code di Messaggi

CloudAMQP

Servizio: Servizio gestito code di messaggi (RabbitMQ/AMQP)

Ubicazione: EU

Finalità: Elaborazione messaggi asincrona e gestione code di task

Dati Trattati: Payload messaggi, metadati code, log di elaborazione

Servizi Email

Resend

Servizio: Servizio di invio email

Ubicazione: EU

Finalità: Invio email

Dati Trattati: Dati email, metadati email, log di invio

Servizi di Pagamento

Stripe

Servizio: Servizio di gestione pagamenti online

Ubicazione: EU

Finalità: Gestione pagamenti online

Dati Trattati: Dati pagamento, metadati pagamento, log di gestione

Servizi AI e Machine Learning

OpenAI

Servizio: Servizi API di intelligenza artificiale e machine learning

Ubicazione: Stati Uniti (con data center globali)

Finalità: Elaborazione linguaggio naturale, generazione testo e funzionalità basate su AI

Dati Trattati: Query utente, input di testo, dati conversazioni, risposte generate

Anthropic (Claude AI)

Servizio: Servizi API di intelligenza artificiale conversazionale

Ubicazione: Stati Uniti

Finalità: Elaborazione linguaggio naturale, generazione risposte conversazionali

Dati Trattati: Query utente, input di testo, dati conversazioni, risposte generate

Servizi di Telecomunicazione

Twilio Ireland Limited

Servizio: Infrastruttura di telecomunicazioni VoIP e servizi voce

Ubicazione: EU

Finalità: Gestione chiamate telefoniche, routing, registrazione audio

Dati Trattati: Numeri di telefono, registrazioni audio chiamate, metadati chiamate

8.3 Obblighi dei Sub-Responsabili

Tutti i Sub-Responsabili sono contrattualmente obbligati a:

Trattare i dati personali solo in conformità alle nostre istruzioni.
Implementare misure di sicurezza tecniche e organizzative appropriate.
Mantenere la riservatezza dei dati personali.
Assisterci nel rispondere alle richieste degli interessati.
Notificarci eventuali violazioni dei dati.
Rispettare le leggi applicabili in materia di protezione dei dati.
Non utilizzare i dati personali per l'addestramento dei propri modelli AI, salvo espressa autorizzazione scritta.

8.4 Modifica dei Sub-Responsabili

Il Responsabile informa il Titolare di qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili con almeno 30 giorni di preavviso tramite aggiornamento di questa pagina.

Il Titolare ha il diritto di opporsi alla nomina di un nuovo sub-responsabile entro 15 giorni dalla notifica, per motivi legittimi relativi alla protezione dei dati, contattando [email protected].

9. TRASFERIMENTI INTERNAZIONALI DI DATI

9.1 Principio Generale

I dati personali possono essere trasferiti e trattati in paesi al di fuori dello Spazio Economico Europeo (SEE). Alcuni dei nostri sub-responsabili hanno sede o operano data center negli Stati Uniti e in altri paesi terzi.

9.2 Garanzie per i Trasferimenti

Per i trasferimenti verso paesi terzi non riconosciuti dalla Commissione UE come dotati di un livello adeguato di protezione, il Responsabile garantisce l'applicazione di una delle seguenti misure:

Decisioni di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework).
Clausole contrattuali standard (SCC) approvate dalla Commissione Europea.
Altre garanzie appropriate come richiesto dalla legge.
Conformità ai framework di protezione dei dati applicabili.
Valutazione supplementare delle garanzie ai sensi della sentenza Schrems II.

9.3 Documentazione

Il Responsabile mette a disposizione del Titolare, su richiesta:

Copia delle clausole contrattuali standard stipulate con i sub-responsabili.
Documentazione relativa alle misure supplementari adottate.
Valutazione del rischio per i trasferimenti verso paesi terzi.

10. ASSISTENZA PER I DIRITTI DEGLI INTERESSATI

10.1 Diritti Supportati

Il Responsabile assiste il Titolare nell'adempimento dell'obbligo di dare seguito alle richieste per l'esercizio dei diritti degli interessati previsti dal Capo III del GDPR:

Diritto di accesso (art. 15).
Diritto di rettifica (art. 16).
Diritto alla cancellazione / "diritto all'oblio" (art. 17).
Diritto di limitazione di trattamento (art. 18).
Diritto alla portabilità dei dati (art. 20).
Diritto di opposizione (art. 21), inclusa l'opposizione alla profilazione.
Diritto di non essere sottoposto a decisioni automatizzate (art. 22).

10.2 Procedura

Se il Responsabile riceve una richiesta diretta da un interessato:

Il Responsabile inoltrerà la richiesta al Titolare entro 2 giorni lavorativi.
Il Titolare valuterà la richiesta e fornirà istruzioni al Responsabile.
Il Responsabile assisterà il Titolare nell'esecuzione delle istruzioni entro i termini concordati.

10.3 Opposizione alla Profilazione

In caso di opposizione alla profilazione da parte di un interessato:

Il Titolare comunica la richiesta al Responsabile.
Il Responsabile disattiva le funzionalità di Sentiment Analysis e Intent Analysis per le future chiamate dell'interessato, nei limiti delle possibilità tecniche (es. identificazione tramite numero telefonico).
Il Responsabile cancella i Dati di Profilazione relativi all'interessato entro 30 giorni dalla richiesta.

10.4 Tempi e Costi

L'assistenza per l'esercizio dei diritti degli interessati rientra negli obblighi ordinari del Responsabile e non comporta costi aggiuntivi, salvo che le richieste siano manifestamente infondate, eccessive o ripetitive.

11. NOTIFICA DI VIOLAZIONI DEI DATI PERSONALI

11.1 Obbligo di Notifica

In caso di violazione dei dati personali, il Responsabile notifica al Titolare la violazione senza ingiustificato ritardo e, ove possibile, entro 24 ore dal momento in cui ne è venuto a conoscenza.

11.2 Contenuto della Notifica

La notifica al Titolare include, ove possibile:

Descrizione della natura della violazione.
Categorie e numero approssimativo di interessati coinvolti.
Categorie e numero approssimativo di registrazioni di dati coinvolte.
Nome e dati di contatto del punto di contatto.
Probabili conseguenze della violazione.
Misure adottate o proposte per rimediare alla violazione e attenuarne gli effetti negativi.
Indicazione se la violazione coinvolge Dati di Profilazione o dati vocali.

11.3 Documentazione e Cooperazione

Il Responsabile documenta qualsiasi violazione dei dati personali, comprese le circostanze, le conseguenze e i provvedimenti adottati. Il Responsabile coopera con il Titolare e fornisce tutte le informazioni ragionevolmente necessarie per consentire al Titolare di adempiere ai propri obblighi di notifica all'autorità di controllo e agli interessati.

12. VALUTAZIONE D'IMPATTO E CONSULTAZIONE PREVENTIVA

12.1 Assistenza per DPIA

Il Responsabile assiste il Titolare, su richiesta e nella misura ragionevolmente necessaria, nell'esecuzione di una valutazione d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR, fornendo:

Informazioni sulla natura, l'ambito, il contesto e le finalità del trattamento, incluse le funzionalità di Sentiment Analysis e Intent Analysis.
Descrizione dettagliata della logica del trattamento automatizzato e dei modelli AI utilizzati.
Descrizione delle misure di sicurezza implementate.
Valutazione dei rischi per i diritti e le libertà degli interessati derivanti dalla profilazione automatizzata.
Informazioni sui sub-responsabili e sui trasferimenti internazionali.
Documentazione relativa alla classificazione del rischio AI ai sensi dell'AI Act.

12.2 Consultazione Preventiva

Il Responsabile assiste il Titolare, su richiesta, nella consultazione preventiva con l'autorità di controllo ai sensi dell'art. 36 GDPR, fornendo tutte le informazioni e la documentazione necessarie.

13. AUDIT E ISPEZIONI

13.1 Diritto di Audit

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità agli obblighi del presente DPA. Su richiesta ragionevole e con adeguato preavviso, il Responsabile consente audit condotti dal Titolare o da suoi rappresentanti autorizzati, nel rispetto di appropriati obblighi di riservatezza.

13.2 Report di Terze Parti

Il Responsabile può soddisfare l'obbligo di audit fornendo al Titolare report di certificazione o audit eseguiti da terze parti qualificate e indipendenti (es. SOC 2, ISO 27001), purché tali report coprano adeguatamente le aree di interesse del Titolare.

14. CANCELLAZIONE E RESTITUZIONE DEI DATI

14.1 Alla Cessazione del Servizio

Al termine del servizio o su richiesta del Titolare, il Responsabile, a scelta del Titolare:

Cancella tutti i dati personali e le copie esistenti, inclusi i Dati di Profilazione, le registrazioni audio e le trascrizioni, salvo che il diritto dell'Unione o nazionale imponga la conservazione.
Restituisce tutti i dati personali al Titolare in un formato strutturato e di uso comune.

14.2 Modalità e Tempi

La cancellazione o restituzione avviene:

Entro 30 giorni dalla cessazione del servizio o dalla richiesta del Titolare.
Con metodi di cancellazione sicura che rendano i dati non recuperabili.
Con certificazione scritta dell'avvenuta cancellazione/restituzione.

14.3 Backup

I dati contenuti nei backup di sicurezza possono essere conservati per il periodo di retention standard dei backup (30 giorni), dopodiché vengono cancellati secondo il normale ciclo di rotazione.

15. RESPONSABILITÀ E RISARCIMENTO

15.1 Responsabilità ai sensi del GDPR

Il Responsabile è responsabile per i danni causati dal trattamento solo qualora non abbia adempiuto gli obblighi del GDPR specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare.

15.2 Responsabilità del Titolare

Il Titolare è responsabile per:

La liceità del trattamento e l'esistenza di una valida base giuridica.
L'adempimento degli obblighi informativi verso gli interessati.
La raccolta e la gestione dei consensi.
L'utilizzo dei Dati di Profilazione in conformità alla normativa applicabile.
La conduzione della DPIA, ove necessaria.
Il rispetto degli obblighi previsti dall'AI Act in capo al deployer.

15.3 Limitazioni

Fatte salve le disposizioni inderogabili del GDPR e del presente DPA, la responsabilità del Responsabile è limitata in conformità a quanto stabilito nei Termini e Condizioni di Servizio.

16. MODIFICHE AL DPA

Possiamo aggiornare questo DPA periodicamente per riflettere cambiamenti nei nostri servizi o nelle leggi applicabili. Le modifiche sostanziali saranno notificate, e l'uso continuato dei nostri servizi dopo tale notifica costituisce accettazione del DPA aggiornato.

17. LEGGE APPLICABILE E FORO

Il presente DPA è regolato dalla legge italiana e dal GDPR. Questo DPA è regolato dalle leggi applicabili ai Termini e Condizioni di Servizio, senza riguardo ai principi di conflitto di leggi.

18. CONTATTI

Per qualsiasi questione relativa al presente DPA o alle nostre pratiche di trattamento dei dati, si prega di contattare:

Crimp S.r.l. (Grip AI)

Strada Trossi, 41 - 13871 Verrone (BI)

P.IVA: IT02805700024

Email: [email protected]

PEC: [email protected]

Ultimo Aggiornamento: [1/12/2025]