Data processing agreement

ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI (DPA) (Ai sensi dell’Art. 28 del Regolamento UE 2016/679 – GDPR)

Tra

IL FORNITORE (RESPONSABILE DEL TRATTAMENTO): Glofu Srl Unipersonale Sede legale: Via Merula, 7 – 20142 Milano (MI) P.IVA/C.F.: 10121290968 | Numero REA: MI – 2506784 Capitale Sociale: € 10.000 i.v. (di seguito “Glofu” o “Fornitore” o “Responsabile” o “Futuria CRM” o “ActiveFuturia”)

E

IL CLIENTE (TITOLARE DEL TRATTAMENTO): L’utente o l’azienda che sottoscrive i servizi di Futuria CRM. (di seguito “Cliente” o “Titolare”)

1. OGGETTO E DEFINIZIONI

1.1 Questo Accordo regola il trattamento dei Dati Personali che Glofu esegue per conto del Cliente nell’ambito della fornitura del software “Futuria CRM” (il “Servizio”).
1.2 I termini “Titolare”, “Responsabile”, “Trattamento”, “Dati Personali” e “Violazione dei Dati” hanno il significato definito nel Regolamento (UE) 2016/679 (“GDPR”).

2. RUOLI DELLE PARTI

2.1 Il Cliente agisce in qualità di Titolare del Trattamento (Data Controller), determinando le finalità e i mezzi del trattamento dei dati inseriti nel CRM.
2.2 Glofu agisce in qualità di Responsabile del Trattamento (Data Processor), trattando i dati esclusivamente per fornire il Servizio e seguendo le istruzioni del Cliente.

3. OBBLIGHI DI GLOFU (RESPONSABILE)

Glofu si impegna a:

• a) Trattare i Dati Personali esclusivamente in base alle istruzioni documentate del Cliente e per l’erogazione del Servizio.
• b) Garantire che le persone autorizzate al trattamento (dipendenti e collaboratori) si siano impegnate alla riservatezza.
• c) Adottare tutte le misure di sicurezza tecniche e organizzative adeguate ai sensi dell’Art. 32 del GDPR (vedi Allegato 2).
• d) Assistere il Cliente, per quanto possibile, nell’evadere le richieste di esercizio dei diritti degli interessati (es. accesso, cancellazione, rettifica).
• e) Cancellare o restituire tutti i Dati Personali al termine della fornitura del Servizio, salvo obblighi di legge contrari.

4. SUB-RESPONSABILI DEL TRATTAMENTO (SUB-PROCESSORS)

4.1 Il Cliente autorizza Glofu ad avvalersi di sub-responsabili del trattamento per l’erogazione tecnica del servizio (es. hosting, infrastruttura cloud).
4.2 Il fornitore principale dell’infrastruttura tecnologica di Futuria CRM è HighLevel Inc. (con sede a Dallas, Texas, USA). Glofu ha sottoscritto con HighLevel Inc. un accordo conforme all’Art. 28 GDPR che include le Clausole Contrattuali Standard (SCC) per garantire la sicurezza dei dati trasferiti.
4.3 I dati sono ospitati fisicamente su server gestiti da Google Cloud Platform e Amazon Web Services (AWS) negli Stati Uniti, che agiscono come sub-processori di HighLevel Inc..

4-bis. STRUMENTI DI INTELLIGENZA ARTIFICIALE AD USO OPERATIVO DEL RESPONSABILE

4-bis.1 Per finalità di supporto operativo, assistenza tecnica, automazione di flussi interni e gestione efficiente degli account, Glofu utilizza assistenti basati su intelligenza artificiale generativa offerti da fornitori terzi (di seguito “Strumenti AI”), tra cui:

• Anthropic, PBC (548 Market Street, PMB 90375, San Francisco, CA 94104, USA) — assistente Claude, incluso l’utilizzo tramite Claude Code;
• OpenAI, L.L.C. (3180 18th Street, San Francisco, CA 94110, USA), operante nello Spazio Economico Europeo tramite OpenAI Ireland Limited (1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Irlanda) — assistente ChatGPT.

4-bis.2 Tali Strumenti AI sono utilizzati dal personale autorizzato di Glofu come supporto al proprio lavoro e non costituiscono Sub-Responsabili del trattamento ai sensi dell’art. 28 GDPR: il loro utilizzo è episodico, sotto controllo umano, finalizzato a coadiuvare gli operatori del Responsabile nelle attività di gestione del Servizio. Non è prevista alcuna decisione automatizzata significativa ai sensi dell’art. 22 GDPR.

4-bis.3 Glofu adotta le seguenti misure organizzative e tecniche per limitare l’esposizione dei Dati Personali del Cliente:

• a) Configurazione delle impostazioni di privacy dei Strumenti AI in modalità “no training”: i dati eventualmente trasmessi non vengono utilizzati per addestrare i modelli dei fornitori;
• b) Principio di minimizzazione: il personale è istruito a non condividere con gli Strumenti AI dati identificativi o di contatto degli interessati salvo quando strettamente necessario al compito operativo richiesto;
• c) Periodo di conservazione standard dei provider pari a 30 giorni per finalità antiabuso, decorso il quale i dati eventualmente trasmessi sono cancellati dai sistemi del provider;
• d) Esclusione dell’uso di Strumenti AI per categorie particolari di dati ex art. 9 GDPR salvo specifica autorizzazione scritta del Cliente.

4-bis.4 Tenuto conto che i fornitori degli Strumenti AI hanno sede negli Stati Uniti, eventuali trasferimenti incidentali di Dati Personali avvengono sulla base delle garanzie adeguate previste dal Capo V GDPR, incluse — ove applicabili — le Clausole Contrattuali Standard adottate dai fornitori nei propri termini di servizio e, ove pertinente, le certificazioni nell’ambito del EU–U.S. Data Privacy Framework.

4-bis.5 L’elenco aggiornato dei Strumenti AI in uso, dei provider e delle relative impostazioni di privacy è disponibile e mantenuto aggiornato nella pagina “Sicurezza e Compliance”.

5. TRASFERIMENTI DI DATI FUORI DALLO SPAZIO ECONOMICO EUROPEO (SEE)

5.1 Il Cliente prende atto che, per la natura tecnica del servizio (Whitelabel di HighLevel), i dati potrebbero essere trasferiti negli Stati Uniti.
5.2 Glofu garantisce che tale trasferimento avviene nel rispetto del Capo V del GDPR, basandosi sulle Clausole Contrattuali Standard (Standard Contractual Clauses – SCC) firmate con il fornitore dell’infrastruttura.

6. NOTIFICA DELLE VIOLAZIONI (DATA BREACH)

Nel caso in cui Glofu venga a conoscenza di una violazione dei Dati Personali, si impegna a notificare il Cliente senza ingiustificato ritardo dopo esserne venuto a conoscenza, fornendo dettagli sulla natura della violazione e le misure adottate.