Accordo per il Trattamento dei Dati Personali

Data Processing Agreement ai sensi dell'Art. 28 del Regolamento UE 2016/679 (GDPR)
Ultimo aggiornamento: aprile 2026

1. Premesse e definizioni

Il presente Accordo per il Trattamento dei Dati Personali (di seguito "DPA") disciplina il trattamento dei dati personali effettuato da Marketing35100 Srls (di seguito "Responsabile del trattamento") per conto del Cliente (di seguito "Titolare del trattamento"), nell'ambito della fornitura del servizio Sofia AI.

Le definizioni contenute nel Regolamento UE 2016/679 ("GDPR") si applicano al presente DPA. In aggiunta:

• Servizio: il servizio di agente telefonico basato su intelligenza artificiale denominato "Sofia AI", comprensivo di chiamate outbound e inbound, qualificazione lead, prenotazione appuntamenti e gestione CRM.
• Dati del Cliente: qualsiasi dato personale trattato dal Responsabile per conto del Titolare nell'ambito del Servizio.

2. Oggetto e finalità del trattamento

Il Responsabile tratta i Dati del Cliente esclusivamente per le seguenti finalità, su istruzione documentata del Titolare:

• Esecuzione di chiamate telefoniche automatizzate per la qualificazione di lead e potenziali clienti;
• Registrazione e trascrizione delle conversazioni telefoniche;
• Prenotazione automatica di appuntamenti su calendario;
• Aggiornamento e gestione dei dati nel sistema CRM del Titolare;
• Generazione di report sull'attività svolta.

3. Categorie di dati e soggetti interessati

3.1 Categorie di dati personali trattati

• Dati anagrafici: nome, cognome;
• Dati di contatto: indirizzo email, numero di telefono;
• Dati aziendali: denominazione azienda, settore di attività;
• Registrazioni vocali: registrazioni audio delle conversazioni telefoniche;
• Trascrizioni: versione testuale delle conversazioni;
• Dati relativi agli appuntamenti: data, ora, note;
• Dati di qualificazione: tag, punteggi, note inseriti nel CRM.

3.2 Categorie di soggetti interessati

• Lead e potenziali clienti del Titolare;
• Clienti esistenti del Titolare;
• Contatti e referenti aziendali forniti dal Titolare.

4. Obblighi del Responsabile

Il Responsabile si impegna a:

1. Trattare i Dati del Cliente esclusivamente sulla base delle istruzioni documentate del Titolare, salvo che il trattamento sia richiesto dal diritto dell'Unione o dello Stato membro;
2. Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza;
3. Adottare le misure tecniche e organizzative di cui all'Art. 6 del presente DPA;
4. Rispettare le condizioni per il ricorso a sub-responsabili di cui all'Art. 7;
5. Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli Artt. 32–36 del GDPR, tenuto conto della natura del trattamento e delle informazioni disponibili;
6. Assistere il Titolare nel rispondere alle richieste degli interessati relative all'esercizio dei diritti di cui al Capo III del GDPR;
7. Su richiesta del Titolare, cancellare o restituire tutti i Dati del Cliente al termine del Servizio, secondo quanto stabilito all'Art. 9;
8. Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente DPA e consentire le attività di revisione, comprese le ispezioni.

5. Obblighi del Titolare

Il Titolare si impegna a:

1. Assicurare la liceità del trattamento dei Dati del Cliente, inclusa l'acquisizione di un consenso valido ove necessario;
2. Garantire di avere il diritto di trasmettere i Dati del Cliente al Responsabile ai fini del Servizio;
3. Informare adeguatamente i soggetti interessati circa il trattamento dei loro dati tramite sistemi automatizzati di intelligenza artificiale;
4. Fornire istruzioni documentate al Responsabile in merito al trattamento dei Dati del Cliente;
5. Verificare la conformità del trattamento svolto dal Responsabile alle proprie istruzioni.

6. Misure di sicurezza

Ai sensi dell'Art. 32 del GDPR, il Responsabile adotta le seguenti misure tecniche e organizzative, adeguate al rischio:

• Cifratura dei dati in transito tramite protocollo TLS;
• Controllo degli accessi con autenticazione forte per l'accesso ai sistemi contenenti Dati del Cliente;
• Autenticazione HMAC sui webhook per garantire l'integrità delle comunicazioni tra sistemi;
• Separazione logica dei dati tra diversi clienti;
• Monitoraggio e registrazione degli accessi ai sistemi;
• Revisioni periodiche delle misure di sicurezza adottate;
• Formazione del personale autorizzato sulle procedure di sicurezza e protezione dei dati.

7. Sub-responsabili del trattamento

Il Titolare autorizza il Responsabile a ricorrere ai seguenti sub-responsabili del trattamento:

Sub-responsabile	Funzione	Sede dei dati
ElevenLabs, Inc.	Sintesi vocale e comprensione del linguaggio	UE / USA
Telnyx LLC	Infrastruttura telefonica (SIP trunk)	UE / USA
ActiveCampaign, LLC	CRM e automazione marketing	USA
Google LLC	Google Calendar (prenotazione appuntamenti)	UE / USA
Make (Celonis SE)	Automazione flussi di lavoro	UE

Per i trasferimenti di dati verso gli Stati Uniti, il Responsabile fa affidamento sulla decisione di adeguatezza della Commissione Europea (EU-US Data Privacy Framework) ove applicabile, e in subordine sulle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea.

Il Responsabile informerà per iscritto il Titolare di qualsiasi modifica relativa all'aggiunta o alla sostituzione di sub-responsabili con almeno 30 giorni di anticipo, concedendo al Titolare la possibilità di opporsi. In assenza di obiezione entro tale termine, la modifica si intende approvata.

8. Violazione dei dati personali (Data Breach)

Ai sensi degli Artt. 33 e 34 del GDPR, il Responsabile si impegna a:

1. Notificare al Titolare qualsiasi violazione dei dati personali di cui venga a conoscenza entro 48 ore dalla scoperta;
2. Fornire al Titolare tutte le informazioni disponibili sulla natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le probabili conseguenze e le misure adottate o proposte per porvi rimedio;
3. Cooperare con il Titolare per la gestione della violazione e per l'adempimento degli obblighi di notifica all'Autorità Garante e agli interessati.

9. Conservazione e cancellazione dei dati

• Registrazioni delle chiamate: conservate per un periodo massimo di 90 giorni dalla data della chiamata, dopodiché vengono cancellate automaticamente;
• Dati nel CRM: conservati per tutta la durata del contratto di servizio;
• Alla cessazione del Servizio: il Responsabile cancella tutti i Dati del Cliente entro 30 giorni dalla data di cessazione, salvo diversa istruzione scritta del Titolare o obbligo di conservazione previsto dalla legge.

Su richiesta, il Responsabile rilascerà al Titolare una conferma scritta dell'avvenuta cancellazione.

10. Diritti di verifica e ispezione

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal presente DPA e dall'Art. 28 del GDPR.

Il Titolare, o un revisore terzo da esso incaricato, ha il diritto di effettuare verifiche e ispezioni, previo preavviso scritto di almeno 15 giorni lavorativi. Le attività di ispezione si svolgeranno durante il normale orario lavorativo e non dovranno interferire in modo irragionevole con le attività del Responsabile.

11. Durata

Il presente DPA entra in vigore alla data di sottoscrizione del contratto di servizio per Sofia AI e resta in vigore per tutta la durata del medesimo contratto. Gli obblighi relativi alla riservatezza e alla cancellazione dei dati sopravvivono alla cessazione del DPA.

12. Legge applicabile e foro competente

Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia derivante dall'interpretazione o dall'esecuzione del presente DPA è competente in via esclusiva il Foro di Padova.

13. Dati del Responsabile del trattamento

Marketing35100 Srls
Sottopassaggio Mario Saggin n. 2, 35131 Padova (PD), Italia
P.IVA / C.F.: 05725910284
REA: PD – 488080
Email: info@marketing35100.com
PEC: marketing35100@namirialpec.it