📄 DPA
Data Processing Agreement
Ultimo aggiornamento: 5 marzo 2026
Il presente Data Processing Agreement ("DPA") è parte integrante dei Termini di Servizio di Vertex e regola il trattamento dei dati personali da parte di VertexAI LLC ("Responsabile del trattamento" o "noi") per conto dell'utente ("Titolare del trattamento" o "tu"), in conformità con l'Art. 28 del Regolamento (UE) 2016/679 ("GDPR").
1. Definizioni
- "Dati Personali": qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definito dall'Art. 4 del GDPR.
- "Trattamento": qualsiasi operazione effettuata sui Dati Personali, inclusa raccolta, registrazione, conservazione, modifica, consultazione, utilizzo, comunicazione, cancellazione.
- "Sub-responsabile": qualsiasi terza parte incaricata da noi di trattare Dati Personali per conto del Titolare.
- "Servizio": la piattaforma Vertex e tutte le funzionalità ad essa connesse.
2. Oggetto e Finalità del Trattamento
Trattiamo i Dati Personali esclusivamente per le seguenti finalità, su istruzione del Titolare:
| Attività | Dati trattati | Durata |
| Gestione account utente | Nome, email, credenziali auth | Durata dell'account + 30 giorni |
| Elaborazione sessioni AI | Contenuto delle domande, risposte AI | 90 giorni (cancellazione automatica) |
| Elaborazione documenti caricati | File uploadati dall'utente | Fine della sessione |
| Elaborazione pagamenti | Dati di fatturazione | Obblighi fiscali applicabili |
| Sicurezza e audit | IP, log di accesso | 12 mesi |
3. Obblighi del Responsabile
In qualità di Responsabile del trattamento, ci impegniamo a:
- Trattare i Dati Personali solo su documentate istruzioni del Titolare, salvo obblighi di legge
- Garantire che le persone autorizzate al trattamento siano vincolate da obblighi di riservatezza
- Implementare misure tecniche e organizzative adeguate al livello di rischio (Art. 32 GDPR)
- Non ricorrere a Sub-responsabili senza autorizzazione scritta del Titolare
- Assistere il Titolare nell'adempimento degli obblighi relativi ai diritti degli interessati
- Cancellare o restituire tutti i Dati Personali al termine del Servizio, a scelta del Titolare
- Mettere a disposizione tutte le informazioni necessarie per dimostrare la conformità e consentire audit
4. Misure di Sicurezza (Art. 32 GDPR)
Implementiamo le seguenti misure tecniche e organizzative:
4.1 Misure tecniche
- Crittografia dei dati in transito (TLS 1.3)
- Crittografia dei dati a riposo (AES-256)
- Hashing delle password (bcrypt, cost 12)
- Autenticazione OAuth 2.0 con token JWT firmati
- Firewall applicativo (WAF) e protezione DDoS
- Backup giornalieri crittografati con test periodici di ripristino
- Segregazione dei dati a livello di database per utente
- Monitoraggio continuo e alerting automatico
4.2 Misure organizzative
- Controllo degli accessi basato su ruoli (RBAC)
- Principio del minimo privilegio per l'accesso ai dati
- Audit logging immutabile di tutte le operazioni sensibili
- Procedure di incident response documentate
- Revisione periodica delle politiche di sicurezza
5. Sub-responsabili
Il Titolare autorizza il ricorso ai seguenti Sub-responsabili per l'erogazione del Servizio:
| Sub-responsabile | Finalità | Ubicazione |
| Hostinger / Infrastruttura EU | Hosting server e database | Unione Europea |
| OpenAI (API) | Elaborazione AI delle sessioni | USA (SCC + DPF) |
| Anthropic (API) | Elaborazione AI delle sessioni | USA (SCC + DPF) |
| Google AI (API) | Elaborazione AI delle sessioni | USA / EU (SCC + DPF) |
| Mistral AI (API) | Elaborazione AI delle sessioni | Francia (EU) |
| DeepSeek (API) | Elaborazione AI delle sessioni | Cina (SCC) |
| Hugging Face (API) | Gateway AI multi-provider | USA / EU (SCC + DPF) |
| Stripe / Processore pagamenti | Elaborazione pagamenti | USA / EU (SCC + DPF) |
| Let's Encrypt | Certificati SSL/TLS | USA |
Notificheremo il Titolare di qualsiasi modifica alla lista dei Sub-responsabili con un preavviso di 30 giorni, durante i quali il Titolare può opporsi motivatamente.
6. Trasferimenti Internazionali
Per i trasferimenti di Dati Personali verso paesi terzi, utilizziamo:
- Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (Decisione 2021/914)
- EU-US Data Privacy Framework per i fornitori certificati
- Anonimizzazione dei dati prima della trasmissione ai provider AI, ove possibile
Conduciamo una Transfer Impact Assessment (TIA) per ciascun Sub-responsabile extra-EU per valutare il livello di protezione nel paese di destinazione.
7. Notifica delle Violazioni
In caso di violazione dei Dati Personali (Data Breach), ci impegniamo a:
- Notificare il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta
- Fornire tutte le informazioni necessarie affinché il Titolare possa adempiere ai propri obblighi di notifica (Art. 33 e 34 GDPR)
- Cooperare con il Titolare nella gestione dell'incidente e nell'adozione di misure correttive
8. Diritti degli Interessati
Assistiamo il Titolare nel rispondere alle richieste degli interessati relative ai diritti previsti dagli Art. 15-22 del GDPR, inclusi accesso, rettifica, cancellazione, limitazione, portabilità e opposizione. Risponderemo alle richieste di assistenza entro 5 giorni lavorativi.
9. Audit
Il Titolare ha il diritto di verificare la conformità del Responsabile al presente DPA attraverso audit, condotti direttamente o tramite un revisore indipendente. Gli audit saranno effettuati con un preavviso ragionevole di almeno 30 giorni e non più di una volta all'anno, salvo incidenti di sicurezza.
10. Durata e Cessazione
Il presente DPA è efficace per tutta la durata del rapporto contrattuale. Al termine:
- Su istruzione del Titolare, cancelleremo o restituiremo tutti i Dati Personali entro 30 giorni
- In assenza di istruzioni, i dati saranno cancellati automaticamente entro 30 giorni dalla cessazione del Servizio
- Certificheremo per iscritto l'avvenuta cancellazione, se richiesto
11. Contatti
Per questioni relative al presente DPA:
Documenti correlati