Accordo per il Trattamento dei Dati Personali

Data Processing Agreement ai sensi dell'Art. 28 del Regolamento UE 2016/679 (GDPR)
Versione 2.2 — Data di redazione: 7 aprile 2026
Ultimo aggiornamento: 10 aprile 2026

1. Premesse e definizioni

Il presente Accordo per il Trattamento dei Dati Personali (di seguito "DPA") disciplina il trattamento dei dati personali effettuato da Marketing35100 Srls (di seguito "Responsabile del trattamento") per conto del Cliente (di seguito "Titolare del trattamento"), nell'ambito della fornitura del servizio Sofia AI.

Le definizioni contenute nel Regolamento UE 2016/679 ("GDPR") si applicano al presente DPA. In aggiunta:

• Servizio: il servizio di agente telefonico basato su intelligenza artificiale denominato "Sofia AI", comprensivo di chiamate outbound e inbound, qualificazione lead, prenotazione appuntamenti e gestione CRM.
• Dati del Cliente: qualsiasi dato personale trattato dal Responsabile per conto del Titolare nell'ambito del Servizio.

2. Oggetto e finalità del trattamento

Il Responsabile tratta i Dati del Cliente esclusivamente per le seguenti finalità, su istruzione documentata del Titolare:

• Esecuzione di chiamate telefoniche automatizzate per la qualificazione di lead e potenziali clienti;
• Registrazione e trascrizione delle conversazioni telefoniche;
• Prenotazione automatica di appuntamenti su calendario;
• Aggiornamento e gestione dei dati nel sistema CRM del Titolare;
• Generazione di report sull'attività svolta.

3. Categorie di dati e soggetti interessati

3.1 Categorie di dati personali trattati

• Dati anagrafici: nome, cognome;
• Dati di contatto: indirizzo email, numero di telefono;
• Dati aziendali: denominazione azienda, settore di attività;
• Registrazioni vocali: registrazioni audio delle conversazioni telefoniche;
• Trascrizioni: versione testuale delle conversazioni;
• Dati relativi agli appuntamenti: data, ora, note;
• Dati di qualificazione: tag, punteggi, note inseriti nel CRM.

3.2 Categorie di soggetti interessati

• Lead e potenziali clienti del Titolare;
• Clienti esistenti del Titolare;
• Contatti e referenti aziendali forniti dal Titolare.

4. Obblighi del Responsabile

Il Responsabile si impegna a:

1. Trattare i Dati del Cliente esclusivamente sulla base delle istruzioni documentate del Titolare, salvo che il trattamento sia richiesto dal diritto dell'Unione o dello Stato membro;
2. Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza;
3. Adottare le misure tecniche e organizzative di cui all'Art. 7 del presente DPA;
4. Rispettare le condizioni per il ricorso a sub-responsabili di cui all'Art. 8;
5. Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli Artt. 32–36 del GDPR, tenuto conto della natura del trattamento e delle informazioni disponibili;
6. Assistere il Titolare nel rispondere alle richieste degli interessati relative all'esercizio dei diritti di cui al Capo III del GDPR;
7. Su richiesta del Titolare, cancellare o restituire tutti i Dati del Cliente al termine del Servizio, secondo quanto stabilito all'Art. 10;
8. Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente DPA e consentire le attività di revisione, comprese le ispezioni.

5. Obblighi del Titolare

Il Titolare dichiara, garantisce e si impegna a:

1. Assicurare la liceità del trattamento dei Dati del Cliente, inclusa l'acquisizione di un consenso valido, specifico, libero, informato e documentabile ove necessario;
2. Aver acquisito, in particolare, il consenso specifico al contatto telefonico tramite sistemi automatizzati ai sensi dell'Art. 130, commi 1 e 2, del D.Lgs. 196/2003 (Codice Privacy) da parte di ciascun soggetto interessato i cui dati vengono trasmessi al Responsabile;
3. Aver verificato che i numeri telefonici dei soggetti interessati non siano iscritti al Registro Pubblico delle Opposizioni (RPO) di cui al D.P.R. 178/2010, ovvero di disporre di un consenso specifico e successivo all'iscrizione al RPO;
4. Aver fornito a ciascun soggetto interessato un'informativa privacy completa e conforme agli Artt. 13 e 14 del GDPR, che includa l'indicazione dell'utilizzo di sistemi di intelligenza artificiale e della registrazione delle conversazioni;
5. Garantire di avere il diritto di trasmettere i Dati del Cliente al Responsabile ai fini del Servizio;
6. Garantire la liceità, correttezza e aggiornamento di tutti i dati personali trasmessi al Responsabile;
7. Non trasmettere al Responsabile dati personali appartenenti a categorie particolari (dati sensibili) ai sensi dell'Art. 9 del GDPR, salvo diverso accordo scritto;
8. Fornire istruzioni documentate al Responsabile in merito al trattamento dei Dati del Cliente;
9. Informare tempestivamente il Responsabile di qualsiasi reclamo, richiesta di esercizio dei diritti degli interessati o procedimento da parte di Autorità garanti che riguardi i dati trattati nell'ambito del Servizio;
10. Utilizzare il Servizio in conformità con la normativa applicabile, inclusi il GDPR, il Codice Privacy, il Codice delle Comunicazioni Elettroniche e il Regolamento UE sull'Intelligenza Artificiale.

6. Manleva del Titolare

Il Titolare si obbliga a manlevare e tenere indenne il Responsabile, i suoi amministratori, dipendenti e collaboratori da e contro qualsiasi reclamo, azione legale, sanzione, multa, provvedimento, richiesta di risarcimento, costo, spesa od onorario legale derivante da o connesso a:

• La violazione da parte del Titolare degli obblighi di cui all'Art. 5 del presente DPA;
• La mancata o invalida acquisizione del consenso da parte dei soggetti interessati;
• La violazione del Registro Pubblico delle Opposizioni;
• L'inesattezza, illiceità o incompletezza dei dati trasmessi dal Titolare;
• Qualsiasi violazione della normativa sulla protezione dei dati personali imputabile al Titolare.

L'obbligo di manleva sopravvive alla cessazione del presente DPA.

7. Misure di sicurezza

Ai sensi dell'Art. 32 del GDPR, il Responsabile adotta le seguenti misure tecniche e organizzative, adeguate al rischio:

• Cifratura dei dati in transito tramite protocollo TLS;
• Controllo degli accessi con autenticazione forte per l'accesso ai sistemi contenenti Dati del Cliente;
• Autenticazione HMAC sui webhook per garantire l'integrità delle comunicazioni tra sistemi;
• Separazione logica dei dati tra diversi clienti;
• Monitoraggio e registrazione degli accessi ai sistemi;
• Revisioni periodiche delle misure di sicurezza adottate;
• Formazione del personale autorizzato sulle procedure di sicurezza e protezione dei dati.

8. Sub-responsabili del trattamento

Il Titolare autorizza il Responsabile a ricorrere ai seguenti sub-responsabili del trattamento:

Sub-responsabile	Funzione	Sede dei dati
ElevenLabs, Inc.	Sintesi vocale e comprensione del linguaggio	UE / USA
Telnyx LLC	Infrastruttura telefonica (SIP trunk) e invio SMS (ove attivato)	UE / USA
ActiveCampaign, LLC	CRM e automazione marketing	USA
Google LLC	Google Calendar (prenotazione appuntamenti)	UE / USA
Make (Celonis SE)	Automazione flussi di lavoro	UE
Meta Platforms, Inc.	Messaggistica WhatsApp Business (ove attivato)	USA / UE
Manychat, Inc.	Automazione messaggistica (ove attivato)	USA

Per i trasferimenti di dati verso gli Stati Uniti, il Responsabile fa affidamento sulla decisione di adeguatezza della Commissione Europea (EU-US Data Privacy Framework) ove applicabile, e in subordine sulle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea.

Il Responsabile informerà per iscritto il Titolare di qualsiasi modifica relativa all'aggiunta o alla sostituzione di sub-responsabili con almeno 30 giorni di anticipo, concedendo al Titolare la possibilità di opporsi. In assenza di obiezione entro tale termine, la modifica si intende approvata.

La documentazione dettagliata relativa al flusso dei dati tra i sub-responsabili è disponibile su richiesta scritta del Titolare.

Il Titolare riconosce e accetta che i sub-responsabili sopra indicati e i loro rispettivi affiliati e sub-fornitori dispongono di un diritto non esclusivo di trattare e utilizzare i Dati del Cliente al fine di erogare e supportare il Servizio, nei limiti delle finalità di cui all'Art. 2 del presente DPA e nel rispetto delle misure di sicurezza di cui all'Art. 7.

9. Violazione dei dati personali (Data Breach)

Ai sensi degli Artt. 33 e 34 del GDPR, il Responsabile si impegna a:

1. Notificare al Titolare qualsiasi violazione dei dati personali di cui venga a conoscenza entro 48 ore dalla scoperta;
2. Fornire al Titolare tutte le informazioni disponibili sulla natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le probabili conseguenze e le misure adottate o proposte per porvi rimedio;
3. Cooperare con il Titolare per la gestione della violazione e per l'adempimento degli obblighi di notifica all'Autorità Garante e agli interessati.

10. Conservazione e cancellazione dei dati

• Registrazioni delle chiamate: conservate per un periodo massimo di 90 giorni dalla data della chiamata, dopodiché vengono cancellate automaticamente;
• Dati nel CRM: conservati per tutta la durata del contratto di servizio;
• Alla cessazione del Servizio: il Responsabile cancella tutti i Dati del Cliente entro 30 giorni dalla data di cessazione, salvo diversa istruzione scritta del Titolare o obbligo di conservazione previsto dalla legge.

Su richiesta, il Responsabile rilascerà al Titolare una conferma scritta dell'avvenuta cancellazione.

Il Titolare prende atto che, decorso il termine di conservazione, le registrazioni vengono cancellate in modo irreversibile e il Responsabile non sarà in alcun modo tenuto né in grado di recuperarle per qualsivoglia finalità, incluse finalità probatorie.

11. Diritti di verifica e ispezione

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal presente DPA e dall'Art. 28 del GDPR.

Il Titolare, o un revisore terzo da esso incaricato, ha il diritto di effettuare verifiche e ispezioni, previo preavviso scritto di almeno 15 giorni lavorativi. Le attività di ispezione si svolgeranno durante il normale orario lavorativo e non dovranno interferire in modo irragionevole con le attività del Responsabile.

12. Durata

Il presente DPA entra in vigore alla data di sottoscrizione del contratto di servizio per Sofia AI e resta in vigore per tutta la durata del medesimo contratto. Gli obblighi relativi alla riservatezza e alla cancellazione dei dati sopravvivono alla cessazione del DPA.

13. Legge applicabile e foro competente

Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia derivante dall'interpretazione o dall'esecuzione del presente DPA è competente in via esclusiva il Foro di Padova.

14. Dati del Responsabile del trattamento

Marketing35100 Srls
Sottopassaggio Mario Saggin n. 2, 35131 Padova (PD), Italia
P.IVA / C.F.: 05725910284
REA: PD – 488080
Email: info@marketing35100.com
PEC: marketing35100@namirialpec.it