Accordo sul Trattamento dei Dati

Questo Accordo sul Trattamento dei Dati ("DPA") è stipulato tra:

• Titolare del Trattamento ("Cliente"): L'entità o la persona che ha accettato i Termini di Utilizzo di AgentIA e utilizza la piattaforma AgentIA.
• Responsabile del Trattamento ("AgentIA"): L'operatore della piattaforma AgentIA, accessibile su agentia.work.

• Dati Personali: Qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definito nell'Articolo 4(1) del GDPR.
• Trattamento: Qualsiasi operazione eseguita sui Dati Personali, inclusa raccolta, conservazione, recupero, utilizzo, divulgazione e cancellazione.
• Sub-Responsabile: Una terza parte incaricata da AgentIA di trattare Dati Personali per conto del Cliente.
• Violazione dei Dati: Una violazione della sicurezza che comporta la distruzione accidentale o illecita, la perdita, l'alterazione o la divulgazione non autorizzata di Dati Personali.

AgentIA tratta i Dati Personali esclusivamente allo scopo di fornire il servizio della piattaforma AgentIA al Cliente. Questo include:

• Categorie di interessati: Dipendenti del Cliente, utenti finali e contatti
• Tipi di dati personali: Nome, indirizzo email, titolo professionale, nome dell'azienda, indirizzo IP, metadati del browser, log di utilizzo
• Finalità: Gestione dell'account, erogazione del servizio, analytics e supporto clienti
• Durata: Per la durata dell'utilizzo del servizio da parte del Cliente, più eventuali periodi di conservazione richiesti dalla legge

AgentIA dovrà:

• Trattare i Dati Personali solo su istruzioni documentate del Cliente
• Assicurare che le persone autorizzate al trattamento dei Dati Personali siano vincolate da obblighi di riservatezza
• Implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio
• Assistere il Cliente nell'adempimento degli obblighi relativi ai diritti degli interessati (accesso, rettifica, cancellazione, portabilità)
• Cancellare o restituire tutti i Dati Personali al termine del rapporto di servizio, a scelta del Cliente
• Mettere a disposizione tutte le informazioni necessarie per dimostrare la conformità all'Articolo 28 del GDPR

AgentIA utilizza i seguenti sub-responsabili:

| Sub-Responsabile | Scopo | Ubicazione | |---|---|---| | Vercel | Hosting applicazione e CDN | Globale (AWS) | | Neon | Hosting database | EU-West-2 (AWS) | | Redis Labs | Caching | EU-Central-1 (AWS) | | Clerk | Autenticazione e identità | US | | Brevo | Email transazionali | UE | | MailerLite | Gestione liste email | UE | | Google Analytics | Analytics di utilizzo | US |

AgentIA notificherà il Cliente di qualsiasi modifica prevista ai sub-responsabili, dando al Cliente l'opportunità di opporsi.

AgentIA implementa le seguenti misure di sicurezza:

• Crittografia in transito: TLS 1.2+ per tutta la trasmissione dati
• Crittografia a riposo: AES-256 per lo storage del database
• Controllo accessi: Accesso basato su ruoli con autenticazione Clerk
• Header di sicurezza: X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy
• Protezione bot: Cloudflare Turnstile
• Verifica webhook: Validazione firma Svix
• Isolamento ambiente: Segreti memorizzati come variabili di ambiente crittografate

In caso di Violazione dei Dati, AgentIA dovrà:

• Notificare il Cliente senza indebito ritardo, e non oltre 72 ore dalla conoscenza della violazione
• Fornire dettagli tra cui: natura della violazione, categorie di dati interessati, numero approssimativo di interessati, probabili conseguenze e misure adottate per affrontare la violazione
• Cooperare con il Cliente e fornire tutta l'assistenza ragionevole per adempiere agli obblighi di notifica della violazione ai sensi degli Articoli 33 e 34 del GDPR

AgentIA assisterà il Cliente nel rispondere alle richieste degli interessati ai sensi del GDPR, tra cui:

• Diritto di accesso (Articolo 15)
• Diritto di rettifica (Articolo 16)
• Diritto alla cancellazione (Articolo 17)
• Diritto alla limitazione del trattamento (Articolo 18)
• Diritto alla portabilità dei dati (Articolo 20)
• Diritto di opposizione (Articolo 21)

Le richieste saranno elaborate entro 30 giorni dal ricevimento.

Quando i Dati Personali vengono trasferiti al di fuori dello Spazio Economico Europeo (SEE), AgentIA garantisce che siano in atto adeguate garanzie, tra cui:

• Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
• Verifica che il destinatario mantenga standard adeguati di protezione dei dati
• I sub-responsabili con sede negli USA (Clerk, Google Analytics) operano secondo meccanismi di trasferimento appropriati

Al termine del contratto di servizio:

• AgentIA cesserà il trattamento dei Dati Personali entro 30 giorni
• Su richiesta del Cliente, AgentIA cancellerà o restituirà tutti i Dati Personali
• AgentIA potrà conservare i Dati Personali solo se richiesto dalla legge applicabile, e solo per la durata richiesta
• La conferma della cancellazione sarà fornita su richiesta

Per richieste relative al DPA, per richiedere una copia firmata o per esercitare i diritti previsti da questo accordo:

• Email: security@agentia.work
• Richieste generali: info@agentia.work

Questo DPA è disciplinato dalla legge applicabile all'accordo principale dei Termini di Utilizzo tra le parti.