Accordo sul Trattamento dei Dati (DPA)
Ultimo aggiornamento: 24 febbraio 2026
In conformità con l'Articolo 28 del Regolamento (UE) 2016/679 (GDPR).
Chi ha bisogno di questo DPA? Questo Accordo sul Trattamento dei Dati si applica ai clienti aziendali ("Titolari") che utilizzano Veluvanto per trattare i dati personali dei propri clienti, dipendenti o altri individui nel corso delle loro attività commerciali. Se utilizzi Veluvanto esclusivamente per uso personale, si applica l'informativa standard sulla Informativa sulla Privacy.
Utilizzando Veluvanto come cliente aziendale, accetti i termini di questo DPA. Per un DPA firmato o un DPA enterprise personalizzato, contatta legal@veluvanto.com.
1. Parti e Definizioni
Il presente Accordo sul Trattamento dei Dati ("DPA") è stipulato tra:
- Titolare del trattamento: Il cliente aziendale o l'organizzazione che ha accettato i Termini di Servizio di Veluvanto e utilizza Veluvanto per trattare dati personali per conto della propria attività ("tu").
- Responsabile del trattamento: Veluvanto s.r.o., Korunní 2569/108, Vinohrady, 101 00 Praha 10, IČO: 249 15 122 ("Veluvanto", "noi").
I termini non definiti nel presente documento hanno il significato attribuito loro dal GDPR (Regolamento (UE) 2016/679).
2. Oggetto e natura del trattamento
Veluvanto tratta i dati personali per conto del Titolare allo scopo di fornire servizi di gestione documentale, tra cui:
- Archiviazione e indicizzazione dei documenti caricati dal Titolare
- Analisi, categorizzazione ed estrazione di metadati dai documenti tramite AI
- Ricerca full-text e semantica sui documenti
- Risposte dell'assistente chat AI basate sul contenuto dei documenti
- Traduzione e riassunto dei documenti
- Promemoria automatici basati sul contenuto dei documenti
- Qualsiasi altra funzionalità descritta nella documentazione del servizio Veluvanto
3. Categorie di dati personali trattati
legal.dpa.section3.prose
Categorie particolari di dati: Il Titolare non deve caricare documenti contenenti categorie particolari di dati personali (dati sanitari, origine razziale/etnica, ecc.) come definiti nell'Articolo 9 del GDPR, a meno che non abbia ottenuto il previo consenso scritto di Veluvanto e disponga di una base giuridica appropriata per tale trattamento. Contatta legal@veluvanto.com per accordi specifici.
4. Categorie di interessati
Gli interessati i cui dati personali possono essere trattati includono: clienti, fornitori, partner commerciali, dipendenti, collaboratori del Titolare o qualsiasi altra persona fisica i cui dati personali compaiano nei documenti caricati su Veluvanto.
5. Durata del trattamento
Il trattamento prosegue per tutta la durata del contratto di servizio di Veluvanto. Al termine del contratto, i dati vengono gestiti come descritto nella Sezione 12 (Restituzione e cancellazione dei dati).
6. Obblighi del Responsabile (Veluvanto)
Veluvanto (in qualità di Responsabile) dovrà:
- Trattare i dati personali solo su istruzioni documentate del Titolare (i Termini di Servizio e il presente DPA costituiscono tali istruzioni)
- Garantire che le persone autorizzate al trattamento dei dati personali siano vincolate da obblighi di riservatezza
- Implementare misure di sicurezza tecniche e organizzative adeguate (Articolo 32 GDPR)
- Non ricorrere a sub-responsabili senza previa autorizzazione, specifica o generale, del Titolare (si veda la Sezione 9 per l'elenco attuale dei sub-responsabili autorizzati)
- Assistere il Titolare nell'evasione delle richieste di esercizio dei diritti degli interessati (Articoli 15–22 GDPR)
- Assistere il Titolare negli obblighi di sicurezza, notifica di violazioni, DPIA e consultazione con le autorità di controllo
- Cancellare o restituire tutti i dati personali al termine del servizio (si veda la Sezione 12)
- Fornire al Titolare tutte le informazioni necessarie per dimostrare la conformità all'Articolo 28 GDPR
- Notificare al Titolare una violazione dei dati personali senza indebito ritardo (entro 72 ore dalla scoperta)
7. Obblighi del Titolare
Il Titolare dovrà:
- Garantire l'esistenza di una base giuridica valida per il trattamento dei dati personali caricati su Veluvanto
- Fornire le informazioni necessarie agli interessati sul trattamento (incluso l'uso di Veluvanto come responsabile)
- Garantire che i dati personali forniti a Veluvanto siano accurati e pertinenti
- Non istruire Veluvanto a trattare i dati personali in modo da violare il GDPR o la legge applicabile
- Rispettare i propri obblighi in qualità di Titolare ai sensi del GDPR
8. Misure di sicurezza tecniche e organizzative
Veluvanto implementa le seguenti misure di sicurezza per proteggere i dati personali:
8.1 Crittografia
- Dati in transito: crittografia TLS 1.2+ per tutti i trasferimenti di dati
- Dati a riposo: crittografia AES-256 per i dati e i documenti archiviati
8.2 Controlli di accesso
- Controllo degli accessi basato sui ruoli (RBAC) per tutti gli accessi al sistema
- Autenticazione a più fattori richiesta per l'accesso amministrativo
- Principio del privilegio minimo applicato a tutto il personale
- Registri di accesso (log) mantenuti per ogni accesso ai dati
8.3 Sicurezza dell'infrastruttura
- Documenti e dati archiviati su Backblaze B2 object storage in data center UE (Amsterdam, Paesi Bassi); Backblaze possiede la certificazione SOC 2 Type II
- Server applicativi ospitati su infrastruttura Hetzner Online GmbH in data center UE (Germania/Finlandia); Hetzner possiede la certificazione ISO/IEC 27001:2022 (SOCOTEC, valida 2025–2028)
- Valutazioni periodiche della sicurezza e penetration test
- Procedure di gestione delle vulnerabilità e di gestione delle patch
- Protezione DDoS e monitoraggio della sicurezza della rete
8.4 Misure organizzative
- Accordi di riservatezza del personale e formazione sulla protezione dei dati
- Procedure di risposta agli incidenti e piano di risposta alle violazioni dei dati
- Principi di minimizzazione dei dati applicati in tutto il servizio
9. Sub-responsabili
Accettando il presente DPA, il Titolare fornisce un'autorizzazione generale a Veluvanto per avvalersi delle seguenti categorie di sub-responsabili:
| Sub-responsabile | Scopo | Sede |
|---|---|---|
| Google LLC | Provider di identità (autenticazione OAuth) | USA (SCC) |
| Microsoft Corporation | Provider di identità (autenticazione OAuth) | UE/USA (si applica il Microsoft Data Protection Addendum) |
| Paddle.com Market Ltd. | Elaborazione dei pagamenti (merchant of record) | Regno Unito (Decisione di adeguatezza UK) |
| Google LLC (Vertex AI) | Inferenza di modelli AI (modelli Gemini) per l'elaborazione dei documenti, la ricerca semantica e la chat AI | UE (regione Google Cloud europe-west; nessun trasferimento al di fuori dello SEE; si applica il Google Cloud Data Processing Addendum; i dati API non vengono utilizzati per l'addestramento dei modelli per impostazione predefinita) |
| Backblaze, Inc. | Archiviazione a oggetti primaria per documenti e backup (B2 Cloud Storage) | UE (Amsterdam, Paesi Bassi; certificazione SOC 2 Type II) |
| IDrive, Inc. | Archiviazione a oggetti per il disaster recovery | UE (Francoforte, Germania) |
| Hetzner Online GmbH | Infrastruttura cloud e server applicativi | UE (Germania / Finlandia; certificazione ISO/IEC 27001:2022) |
| Cloudflare, Inc. | Content delivery network, protezione DDoS e sicurezza di rete (elabora i metadati delle richieste HTTP: indirizzi IP, stringhe user-agent, timestamp delle richieste) | USA (SCC) |
Veluvanto informerà il Titolare di eventuali modifiche previste ai sub-responsabili aggiornando questo elenco con un preavviso di almeno 14 giorni (tramite email o aggiornamento del sito web). Il Titolare può opporsi ai nuovi sub-responsabili entro 14 giorni dalla notifica. Se Veluvanto non può accogliere l'obiezione, il Titolare può recedere dal servizio.
Tutti i sub-responsabili sono vincolati da accordi sul trattamento dei dati che contengono obblighi di protezione dei dati equivalenti al presente DPA.
10. Trasferimenti internazionali di dati
Qualora i dati personali siano trasferiti a sub-responsabili al di fuori dello SEE, tali trasferimenti sono protetti dalle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea (Decisione di esecuzione (UE) 2021/914 della Commissione) o da altre garanzie adeguate ai sensi dell'Articolo 46 GDPR. Il Titolare può richiedere copie di tali garanzie a legal@veluvanto.com.
11. Assistenza per i diritti degli interessati
Veluvanto assisterà il Titolare nell'evasione delle richieste di esercizio dei diritti degli interessati ai sensi degli Articoli 15–22 GDPR. Laddove tecnicamente fattibile, il Titolare può soddisfare molti diritti direttamente tramite l'applicazione Veluvanto (es. esportazione dei dati, cancellazione dell'account).
Per le richieste che richiedono il coinvolgimento diretto di Veluvanto, contattare privacy@veluvanto.com. Veluvanto risponderà entro 5 giorni lavorativi e fornirà assistenza entro un arco di tempo che consenta al Titolare di rispettare i termini di risposta previsti dal GDPR.
12. Restituzione e cancellazione dei dati
Al termine del servizio o su richiesta del Titolare:
- Esportazione dei dati: Il Titolare può esportare tutti i documenti e i dati tramite la funzione di esportazione dell'applicazione in qualsiasi momento durante il servizio
- Cancellazione al termine del servizio: Entro 30 giorni dalla cancellazione dell'account o dal termine del servizio, Veluvanto cancellerà definitivamente tutti i dati personali, inclusi documenti, metadati e contenuti generati dall'AI, a meno che la conservazione non sia richiesta dalla legge applicabile
- Conferma: Su richiesta, Veluvanto fornirà una conferma scritta dell'avvenuta cancellazione
I record di fatturazione e i log di audit richiesti per legge possono essere conservati come richiesto dalla legge contabile ceca (Legge n. 563/1991 Racc.) per un periodo massimo di 10 anni.
13. Diritti di audit
Veluvanto metterà a disposizione tutte le informazioni necessarie per dimostrare la conformità al presente DPA. Il Titolare può richiedere un audit delle attività di trattamento dei dati di Veluvanto:
- Richiedendo la documentazione delle misure di sicurezza e i report di conformità
- Richiedendo report di audit di terze parti (certificazione ISO 27001, SOC 2, ecc.) ove disponibili
- Conducendo audit o ispezioni su appuntamento (con un preavviso di almeno 30 giorni, a spese del Titolare e nel rispetto di ragionevoli obblighi di riservatezza)
14. Notifica di violazione dei dati
In caso di violazione dei dati personali che interessi i dati del Titolare, Veluvanto informerà il Titolare senza indebito ritardo ed entro 72 ore dalla scoperta della violazione. La notifica includerà le informazioni disponibili su: natura della violazione, categorie e numero approssimativo di interessati coinvolti, probabili conseguenze e misure adottate o proposte. Ulteriori informazioni saranno fornite non appena disponibili.
15. Legge applicabile
Il presente DPA è disciplinato dalle leggi della Repubblica Ceca e dal diritto dell'UE applicabile, incluso il GDPR. Eventuali controversie saranno risolte in conformità con le disposizioni sulla legge applicabile dei Termini di Servizio di Veluvanto.
16. DPA firmato
Se la vostra organizzazione richiede un DPA firmato separatamente (ad esempio, per requisiti di conformità aziendale), vi preghiamo di contattarci all'indirizzo legal@veluvanto.com. Forniremo una copia firmata entro un tempo ragionevole.
17. Contatti
Per tutte le richieste relative al DPA:
Veluvanto s.r.o.
Korunní 2569/108, Vinohrady, 101 00 Praga 10
Email: legal@veluvanto.com
Privacy: privacy@veluvanto.com