Vertex. ← Torna alla home
📄 DPA

Data Processing Agreement

Ultimo aggiornamento: 5 marzo 2026

Il presente Data Processing Agreement ("DPA") è parte integrante dei Termini di Servizio di Vertex e regola il trattamento dei dati personali da parte di VertexAI LLC ("Responsabile del trattamento" o "noi") per conto dell'utente ("Titolare del trattamento" o "tu"), in conformità con l'Art. 28 del Regolamento (UE) 2016/679 ("GDPR").

1. Definizioni

  • "Dati Personali": qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definito dall'Art. 4 del GDPR.
  • "Trattamento": qualsiasi operazione effettuata sui Dati Personali, inclusa raccolta, registrazione, conservazione, modifica, consultazione, utilizzo, comunicazione, cancellazione.
  • "Sub-responsabile": qualsiasi terza parte incaricata da noi di trattare Dati Personali per conto del Titolare.
  • "Servizio": la piattaforma Vertex e tutte le funzionalità ad essa connesse.

2. Oggetto e Finalità del Trattamento

Trattiamo i Dati Personali esclusivamente per le seguenti finalità, su istruzione del Titolare:

AttivitàDati trattatiDurata
Gestione account utenteNome, email, credenziali authDurata dell'account + 30 giorni
Elaborazione sessioni AIContenuto delle domande, risposte AI90 giorni (cancellazione automatica)
Elaborazione documenti caricatiFile uploadati dall'utenteFine della sessione
Elaborazione pagamentiDati di fatturazioneObblighi fiscali applicabili
Sicurezza e auditIP, log di accesso12 mesi

3. Obblighi del Responsabile

In qualità di Responsabile del trattamento, ci impegniamo a:

  • Trattare i Dati Personali solo su documentate istruzioni del Titolare, salvo obblighi di legge
  • Garantire che le persone autorizzate al trattamento siano vincolate da obblighi di riservatezza
  • Implementare misure tecniche e organizzative adeguate al livello di rischio (Art. 32 GDPR)
  • Non ricorrere a Sub-responsabili senza autorizzazione scritta del Titolare
  • Assistere il Titolare nell'adempimento degli obblighi relativi ai diritti degli interessati
  • Cancellare o restituire tutti i Dati Personali al termine del Servizio, a scelta del Titolare
  • Mettere a disposizione tutte le informazioni necessarie per dimostrare la conformità e consentire audit

4. Misure di Sicurezza (Art. 32 GDPR)

Implementiamo le seguenti misure tecniche e organizzative:

4.1 Misure tecniche

  • Crittografia dei dati in transito (TLS 1.3)
  • Crittografia dei dati a riposo (AES-256)
  • Hashing delle password (bcrypt, cost 12)
  • Autenticazione OAuth 2.0 con token JWT firmati
  • Firewall applicativo (WAF) e protezione DDoS
  • Backup giornalieri crittografati con test periodici di ripristino
  • Segregazione dei dati a livello di database per utente
  • Monitoraggio continuo e alerting automatico

4.2 Misure organizzative

  • Controllo degli accessi basato su ruoli (RBAC)
  • Principio del minimo privilegio per l'accesso ai dati
  • Audit logging immutabile di tutte le operazioni sensibili
  • Procedure di incident response documentate
  • Revisione periodica delle politiche di sicurezza

5. Sub-responsabili

Il Titolare autorizza il ricorso ai seguenti Sub-responsabili per l'erogazione del Servizio:

Sub-responsabileFinalitàUbicazione
Hostinger / Infrastruttura EUHosting server e databaseUnione Europea
OpenAI (API)Elaborazione AI delle sessioniUSA (SCC + DPF)
Anthropic (API)Elaborazione AI delle sessioniUSA (SCC + DPF)
Google AI (API)Elaborazione AI delle sessioniUSA / EU (SCC + DPF)
Mistral AI (API)Elaborazione AI delle sessioniFrancia (EU)
DeepSeek (API)Elaborazione AI delle sessioniCina (SCC)
Hugging Face (API)Gateway AI multi-providerUSA / EU (SCC + DPF)
Stripe / Processore pagamentiElaborazione pagamentiUSA / EU (SCC + DPF)
Let's EncryptCertificati SSL/TLSUSA

Notificheremo il Titolare di qualsiasi modifica alla lista dei Sub-responsabili con un preavviso di 30 giorni, durante i quali il Titolare può opporsi motivatamente.

6. Trasferimenti Internazionali

Per i trasferimenti di Dati Personali verso paesi terzi, utilizziamo:

  • Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (Decisione 2021/914)
  • EU-US Data Privacy Framework per i fornitori certificati
  • Anonimizzazione dei dati prima della trasmissione ai provider AI, ove possibile

Conduciamo una Transfer Impact Assessment (TIA) per ciascun Sub-responsabile extra-EU per valutare il livello di protezione nel paese di destinazione.

7. Notifica delle Violazioni

In caso di violazione dei Dati Personali (Data Breach), ci impegniamo a:

  • Notificare il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta
  • Fornire tutte le informazioni necessarie affinché il Titolare possa adempiere ai propri obblighi di notifica (Art. 33 e 34 GDPR)
  • Cooperare con il Titolare nella gestione dell'incidente e nell'adozione di misure correttive

8. Diritti degli Interessati

Assistiamo il Titolare nel rispondere alle richieste degli interessati relative ai diritti previsti dagli Art. 15-22 del GDPR, inclusi accesso, rettifica, cancellazione, limitazione, portabilità e opposizione. Risponderemo alle richieste di assistenza entro 5 giorni lavorativi.

9. Audit

Il Titolare ha il diritto di verificare la conformità del Responsabile al presente DPA attraverso audit, condotti direttamente o tramite un revisore indipendente. Gli audit saranno effettuati con un preavviso ragionevole di almeno 30 giorni e non più di una volta all'anno, salvo incidenti di sicurezza.

10. Durata e Cessazione

Il presente DPA è efficace per tutta la durata del rapporto contrattuale. Al termine:

  • Su istruzione del Titolare, cancelleremo o restituiremo tutti i Dati Personali entro 30 giorni
  • In assenza di istruzioni, i dati saranno cancellati automaticamente entro 30 giorni dalla cessazione del Servizio
  • Certificheremo per iscritto l'avvenuta cancellazione, se richiesto

11. Contatti

Per questioni relative al presente DPA:

  • Email privacy: privacy@vertex.medialives.com
  • Email legale: legal@vertex.medialives.com

Documenti correlati

🛡️ Pratiche di Sicurezza 🇪🇺 GDPR Compliance 🔒 Privacy Policy 📋 Termini di Servizio
© 2026 VertexAI LLC. All rights reserved.