Versione bozza v1.0 · ultimo aggiornamento: 23/06/2026 · revisionato dal legale, in attesa dei dati societari definitivi
Ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR"), il presente Accordo regola il trattamento dei dati personali tra il cliente che utilizza la piattaforma ARIA (il "Tenant", Titolare del trattamento) e HaiAria (il "Responsabile del trattamento"), quale allegato ai Termini di Servizio.
Il Responsabile tratta dati personali per conto del Titolare esclusivamente per l'erogazione dei servizi ARIA sottoscritti, per tutta la durata del contratto.
Il Responsabile tratta i dati solo su istruzione documentata del Titolare (le configurazioni effettuate dal Titolare nel portale costituiscono istruzioni). Il Responsabile informa il Titolare se un'istruzione viola, a suo avviso, il GDPR.
Le persone autorizzate al trattamento sono vincolate da obblighi di riservatezza.
Il Responsabile adotta, tra l'altro: cifratura in transito (TLS) su tutti i canali; isolamento logico dei dati per tenant (row-level security); controllo accessi con autenticazione e sessioni a scadenza; backup giornalieri cifrati con rotazione 14 giorni e test di ripristino; monitoraggio continuo dei servizi; registrazione degli accessi amministrativi; ambienti separati per i sistemi di terze parti.
Il Titolare autorizza in via generale il ricorso ai sub-responsabili elencati nell'Allegato 2. Il Responsabile informa il Titolare di ogni modifica con 15 giorni di anticipo; il Titolare può opporsi per motivi legittimi (con facoltà di recesso). Il Responsabile impone ai sub-responsabili gli stessi obblighi del presente Accordo. Per i trasferimenti extra-UE si applicano le Clausole Contrattuali Standard (SCC) della Commissione Europea.
Il Responsabile assiste il Titolare: (a) nell'evasione delle richieste degli interessati (accesso, rettifica, cancellazione, opposizione) tramite le funzioni del portale o su richiesta; (b) negli obblighi ex artt. 32-36 GDPR (sicurezza, notifica violazioni, DPIA), tenuto conto delle informazioni disponibili.
Il Responsabile notifica al Titolare senza ingiustificato ritardo, e comunque entro 48 ore dalla scoperta, ogni violazione dei dati personali, fornendo le informazioni di cui all'art. 33.3 GDPR man mano disponibili.
Alla cessazione del contratto, su scelta del Titolare: esportazione dei dati in formato strutturato (CSV/JSON) e/o cancellazione entro 30 giorni, salvo obblighi di legge. I backup sono sovrascritti secondo il ciclo di rotazione (massimo 14 giorni successivi).
Il Responsabile mette a disposizione le informazioni necessarie a dimostrare la conformità e consente audit documentali, con preavviso di 15 giorni, massimo una volta l'anno, a spese del Titolare e senza accesso a dati di altri tenant.
| Sub-responsabile | Servizio | Sede / trasferimento |
|---|---|---|
| Contabo GmbH | Hosting infrastruttura | Germania (UE) |
| Telnyx LLC | Connettività telefonica | USA — SCC |
| Groq Inc. | Elaborazione linguistica (LLM) | USA — SCC |
| Google LLC (Gemini API) | Sintesi/comprensione vocale | USA — SCC |
| Meta Platforms (WhatsApp) | Canale di messaggistica | USA/Irlanda — SCC |
| Brevo (Sendinblue) | Invio email transazionali | Francia (UE) |
| Aruba S.p.A. | Storage di backup | Italia (UE) |
Campi da completare prima della pubblicazione definitiva: dati societari delle parti, firma/accettazione elettronica con versioning.