Glor.IA

Glor.IA

Termini e Condizioni

I soggetti

Tra:

Il Titolare del Trattamento dei Dati

e

Mea S.r.l., con sede legale in

Via Niccolò Machiavelli n. 24
, C.F./P.IVA 02069030472, in persona del legale rappresentante pro tempore Marco Bellia (di seguito “Responsabile del Trattamento” o “Responsabile”).

Premesso che:

  • il Titolare intende avvalersi del servizio di "Assistente Virtuale AI" fornito da Mea S.r.l. per lo svolgimento di attività di segreteria quali gestione di email, calendario, ricerche di informazioni, trascrizioni e servizi analoghi di supporto organizzativo;
  • per l'erogazione di tale Servizio è necessario che il Responsabile tratti determinati dati personali per conto del Titolare;
  • ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR"), il Titolare, in qualità di Titolare del trattamento, deve obbligatoriamente nominare per iscritto Mea S.r.l. quale Responsabile del trattamento dei dati personali, disciplinando con atto giuridico vincolante le materie oggetto del trattamento e gli obblighi a carico del Responsabile;
  • Mea S.r.l., nell'ambito del Servizio, fornisce la piattaforma tecnologica e l'infrastruttura di hosting del sistema di intelligenza artificiale, nonché il supporto tecnico e la personalizzazione software necessari all'utilizzo dell'Assistente Virtuale AI da parte del Titolare;
  • il Responsabile potrà avvalersi di sub-responsabili esterni per specifiche funzionalità (ad esempio, OpenAI, Inc. per servizi API di intelligenza artificiale), avendo stipulato con tali soggetti appositi accordi di trattamento dati in conformità all'art. 28 GDPR;
  • il Responsabile dichiara affidabilità e risorse idonee a garantire che il trattamento dei dati personali affidatogli avvenga in conformità alle disposizioni del GDPR, assicurando la tutela dei diritti degli interessati tramite l'adozione di adeguate misure tecniche e organizzative di sicurezza;

Tutto ciò premesso, le Parti convengono e stipulano quanto segue.

Art. 1 – Oggetto dell'accordo

Il presente Data Processing Agreement (DPA) ha ad oggetto la disciplina del trattamento dei dati personali effettuato dal Responsabile per conto del Titolare in relazione all’erogazione del Servizio di Assistente Virtuale AI descritto nelle premesse. In particolare, ai sensi e per gli effetti dell’art. 28 GDPR, il Titolare nomina sin d’ora formalmente Mea S.r.l. quale Responsabile del Trattamento dei dati personali necessari per lo svolgimento del Servizio, alle condizioni e istruzioni stabilite nel presente accordo. Mea S.r.l., in qualità di Responsabile, accetta la nomina ed i relativi obblighi mediante sottoscrizione del presente atto.

Art. 2 – Durata del trattamento e termine dell'accordo

Il presente accordo entra in vigore alla data della sua sottoscrizione da parte di entrambe le Parti e rimane efficace per tutta la durata del rapporto di fornitura del Servizio tra Titolare e Responsabile. La durata del trattamento dei dati personali affidato al Responsabile coincide pertanto con il periodo di erogazione del Servizio.

In caso di cessazione, scadenza o risoluzione, per qualsiasi motivo, del rapporto contrattuale principale relativo al Servizio, il presente accordo cesserà automaticamente di efficacia alla data di cessazione del Servizio stesso. Resteranno comunque in vigore, anche dopo tale data, tutte le clausole del presente accordo destinate per loro natura a produrre effetti anche successivamente (a titolo esemplificativo: le obbligazioni di riservatezza e sicurezza). Al termine del trattamento il Responsabile procederà alla restituzione o cancellazione dei dati personali trattati, secondo le disposizioni dell’Art. 13 infra.

Art. 3 – Natura, finalità e categorie di dati personali trattati

Il trattamento dei dati personali affidato al Responsabile ha natura informatizzata/automatizzata ed è strettamente connesso all’utilizzo dell’Assistente Virtuale AI per le attività di segreteria del Titolare. In particolare, il Responsabile utilizzerà la propria piattaforma di intelligenza artificiale per svolgere, su istruzioni del Titolare, operazioni di gestione ed organizzazione di informazioni quali: smistamento e archiviazione di email e comunicazioni, gestione di calendari e appuntamenti, effettuazione di ricerche testuali o vocali su richiesta, trascrizione automatica di registrazioni audio o messaggi vocali, ed ulteriori funzioni ausiliarie analoghe richieste dal Titolare nell’ambito del Servizio. Le finalità del trattamento sono esclusivamente quelle di consentire e ottimizzare l’esecuzione di tali compiti di assistenza virtuale.

Le categorie di dati personali trattati includono:

  • Dati anagrafici e di contatto (es. nome, cognome, email, telefono).
  • Dati contenuti nelle email e nei documenti gestiti dall'Assistente Virtuale AI.
  • Dati relativi al calendario (date, orari, luoghi, partecipanti, dettagli).
  • Registrazioni audio o vocali fornite per finalità di trascrizione.

Le categorie di interessati includono personale e collaboratori del Titolare, nonché soggetti esterni (clienti, fornitori, partner, contatti professionali).

Le Parti concordano che non rientra nell’oggetto del presente accordo il trattamento deliberato di categorie particolari di dati ex art. 9 GDPR né di dati relativi a condanne penali e reati ex art. 10 GDPR. Eventuali dati di tal genere inseriti incidentalmente saranno gestiti secondo l’Art. 15.

Art. 4 – Obblighi e impegni generali del Responsabile del Trattamento

  • Trattare i dati solo su istruzioni documentate del Titolare.
  • Garantire riservatezza e formazione alle persone autorizzate.
  • Adottare misure di sicurezza adeguate ai sensi dell'art. 32 GDPR.
  • Condizioni per i sub-responsabili secondo l'art. 28 GDPR.
  • Registro dei trattamenti (art. 30, par. 2, GDPR) se richiesto.
  • Assistenza al Titolare per i diritti degli interessati e adempimenti.
  • Informare il Titolare se un'istruzione viola la normativa.
  • Cancellare o restituire i dati a fine servizio (Art. 13).
  • Mettere a disposizione informazioni e consentire audit (Art. 14).

Art. 5 – Obblighi del Titolare del Trattamento

  • Istruzioni adeguate e base giuridica dei trattamenti; minimizzazione.
  • Limitare i dati comunicati; evitare dati ex artt. 9–10 GDPR salvo casi indispensabili e concordati.
  • Collaborazione attiva con il Responsabile.
  • Vigilanza e DPIA ove necessario; responsabilità primaria del Titolare.
  • Gestione diritti/interessati e notifiche (artt. 15–22, 33–34 GDPR).
  • Autorizzare sub-responsabili secondo Art. 8.

Art. 6 – Misure di sicurezza tecniche e organizzative

Misure adottate ai sensi dell’art. 32 GDPR per garantire riservatezza, integrità, disponibilità e resilienza.

  • Pseudonimizzazione e cifratura dei dati personali ove opportuno.
  • Controllo degli accessi (autenticazione, autorizzazioni per ruolo).
  • Logging e monitoraggio delle attività sui sistemi.
  • Backup, disaster recovery e piani di business continuity.
  • Test e valutazioni periodiche (VA/PT, audit interni).

Le misure sono aggiornate proattivamente e documentate; evidenze fornite su richiesta.

Art. 7 – Sub-responsabili del trattamento (Sub-processors)

  • Autorizzazione generale con preavviso e diritto di obiezione del Titolare.
  • Contratti con sub-responsabili conformi all'art. 28 GDPR e garanzie.
  • Responsabilità del Responsabile verso il Titolare per l'operato dei sub-responsabili.

Elenco su richiesta. Tra i sub-responsabili rientra, a titolo esemplificativo, OpenAI, Inc., con adeguate garanzie (SCC) sottoscritte.

Art. 8 – Localizzazione dei dati e trasferimenti verso Paesi terzi

Trattamenti principalmente in UE/SEE. Eventuali trasferimenti verso Paesi terzi avvengono nel rispetto degli artt. 44–49 GDPR (es. Clausole Contrattuali Standard e misure supplementari), informando il Titolare e mettendo a disposizione la documentazione rilevante.

Art. 9 – Obbligo di riservatezza

Impegno alla riservatezza dei dati e delle informazioni oggetto dell’accordo; accessi solo a personale autorizzato; divieto di comunicazione/diffusione salvo istruzioni o obblighi di legge. L’obbligo permane dopo la cessazione (fino a 6 mesi), salvo diverso accordo o fatti non imputabili al Responsabile.

Art. 10 – Assistenza al Titolare e gestione dei diritti degli interessati

  • Supporto nell'evasione delle richieste dei diritti ex Capo III GDPR; inoltro al Titolare delle richieste ricevute direttamente.
  • Cooperazione su sicurezza, data breach, DPIA e consultazioni preventive (artt. 32–36 GDPR).

Eventuali attività extra potranno essere valorizzate economicamente previa intesa scritta.

Art. 11 – Notifica delle violazioni di dati personali (Data Breach)

In caso di violazione dei dati personali, notifica al Titolare senza ingiustificato ritardo con le seguenti informazioni (ove disponibili):

  1. Descrizione della violazione (categorie/numero interessati e dati).
  2. Referente (contatti del responsabile della sicurezza o punto di contatto).
  3. Conseguenze note o potenziali.
  4. Misure di rimedio adottate o previste e tempi di ripristino.

Il Responsabile coopera nell’indagine, nel ripristino e nel supporto alle eventuali notifiche all’Autorità e comunicazioni agli interessati (onere che incombe al Titolare, salvo diversa previsione di legge).

Art. 12 – Restituzione e cancellazione dei dati al termine del servizio

A fine rapporto, il Titolare può scegliere restituzione o cancellazione dei dati (art. 28, par. 3, lett. g) GDPR). In caso di restituzione, i dati saranno forniti entro 30 giorni in formato strutturato (es. CSV, XLS, JSON) tramite modalità sicure. In mancanza di istruzioni, si procederà alla cancellazione definitiva, salvo obblighi di legge.

I backup eventualmente non eliminabili immediatamente saranno protetti e non trattati attivamente, venendo sovrascritti secondo i cicli di rotazione (entro un termine massimo previsto dalle policy, salvo obblighi di legge).

Art. 13 – Limitazione di responsabilità per dati di categorie particolari

Il Servizio non prevede il trattamento intenzionale di dati ex artt. 9–10 GDPR. Il Titolare si impegna a non fornire tali dati salvo stretta necessità, liceità e previo accordo. In caso di conferimento non autorizzato, il Responsabile non è responsabile del trattamento; oneri e responsabilità ricadono sul Titolare. Il Responsabile informerà e interromperà il trattamento appena ne abbia conoscenza.

Art. 14 – Disposizioni finali

Rapporto con altri accordi – il presente DPA è parte del contratto principale; in caso di contrasto prevale per gli aspetti privacy.

Modifiche e aggiornamenti – solo per atto scritto sottoscritto da entrambe le Parti; revisione in buona fede al mutare di norme o organizzazione.

Legge applicabile e foro competente – legge italiana e diritto UE; foro esclusivo del luogo in cui ha sede il Titolare (Pistoia), fatti salvi fori inderogabili.

Nullità parziale – eventuali clausole nulle non incidono sulle altre; le Parti sostituiranno le clausole invalide con equivalenti lecite.

Lingua e copie – accordo in lingua italiana, in due copie di eguale contenuto; ammesse firme elettroniche qualificate o digitali.