Data Processing Agreement (DPA)

Versione 1.0 - Ultimo aggiornamento: 13 gennaio 2026

1. Definizioni

Titolare del Trattamento (Data Controller):

Il Cliente che utilizza Business Tuner per raccogliere e analizzare dati tramite interviste.

Responsabile del Trattamento (Data Processor):

Voler AI S.r.l., fornitore di Business Tuner, che tratta i dati per conto del Titolare.

Dati Personali:

Qualsiasi informazione relativa a una persona fisica identificata o identificabile raccolta tramite interviste (es. risposte, email di contatto se fornite, metadata).

Trattamento:

Qualsiasi operazione eseguita sui dati: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modifica, estrazione, analisi, cancellazione.

Sub-Responsabile:

Servizi terzi autorizzati da Voler AI per supportare l'erogazione del servizio (es. hosting, AI providers).

2. Oggetto e durata

Questo DPA regola le modalità con cui Voler AI tratta i Dati Personali per conto del Cliente nell'ambito dell'utilizzo di Business Tuner, in conformità al Regolamento (UE) 2016/679 (GDPR) e alla normativa italiana applicabile.

Durata: Questo accordo è valido per tutta la durata del contratto di servizio tra Cliente e Voler AI, e termina al momento della cancellazione dell'account e della definitiva rimozione dei dati.

3. Ruoli e responsabilità

3.1 Il Cliente (Titolare) è responsabile di:

• Determinare le finalità e i mezzi del trattamento dei dati
• Garantire che i partecipanti alle interviste siano informati e abbiano fornito consenso esplicito
• Configurare correttamente le privacy notice e i consensi nelle interviste
• Rispettare i diritti degli interessati (accesso, rettifica, cancellazione, portabilità)
• Condurre DPIA (Data Protection Impact Assessment) se necessario per trattamenti ad alto rischio

3.2 Voler AI (Responsabile) è responsabile di:

• Trattare i dati solo su istruzione documentata del Cliente
• Garantire la riservatezza del personale autorizzato al trattamento
• Implementare misure tecniche e organizzative adeguate per la sicurezza dei dati
• Assistere il Cliente nel rispondere alle richieste degli interessati
• Notificare prontamente eventuali data breach
• Cancellare o restituire i dati al termine del servizio, su richiesta del Cliente
• Mettere a disposizione informazioni necessarie per dimostrare la conformità

4. Natura e finalità del trattamento

Tipologie di dati trattati:

• Dati delle interviste: Risposte testuali, metadata (timestamp, durata, IP address anonimizzato)
• Dati di contatto (opzionali): Email, nome, telefono se richiesti dal Cliente nel setup dell'intervista
• Dati di recruitment (opzionali): Skill, esperienze, location se attivata la modalità Data Collection
• Dati analitici: Sentiment score, topic coverage, quotes estratte da AI

Finalità del trattamento:

• Raccolta di risposte via chatbot AI
• Analisi qualitativa automatica (sentiment, themes, key quotes)
• Archiviazione sicura dei transcript
• Generazione report e export per il Cliente
• Miglioramento del servizio (solo con dati aggregati e anonimizzati)

Categorie di interessati:

• Partecipanti a interviste di ricerca qualitativa
• Candidati a processi di selezione (se modalità recruitment attivata)
• Stakeholder aziendali (dipendenti, clienti, partner) del Cliente

5. Misure di sicurezza tecniche e organizzative

5.1 Misure tecniche:

• Cifratura: Tutti i dati in transito sono cifrati via TLS 1.3. API keys cifrate con AES-256-GCM.
• Controllo accessi: Autenticazione multi-fattore disponibile, RBAC (Role-Based Access Control)
• Database security: PostgreSQL con SSL obbligatorio, backup automatici giornalieri cifrati
• Pseudonimizzazione: IP address mascherati per impostazione predefinita nelle interviste pubbliche
• Logging: Audit log di accessi e modifiche ai dati sensibili
• Vulnerability management: Scansioni di sicurezza periodiche, patch tempestive

5.2 Misure organizzative:

• Formazione: Personale formato su GDPR e data protection best practices
• Confidenzialità: Accordi di riservatezza firmati da tutti i dipendenti
• Incident response: Piano di risposta a data breach documentato
• Accesso limitato: Principio del "least privilege", accesso ai dati solo per personale autorizzato

6. Sub-responsabili autorizzati

Voler AI si avvale dei seguenti sub-responsabili per l'erogazione del servizio:

Nota: Tutti i sub-responsabili hanno firmato accordi di data processing conformi al GDPR. Per trasferimenti extra-UE, Voler AI utilizza Standard Contractual Clauses approvate dalla Commissione Europea.

Diritto di obiezione:

Il Cliente ha il diritto di obiettare all'ingaggio di un nuovo sub-responsabile entro 30 giorni dalla notifica. In caso di obiezione motivata, le parti cercheranno una soluzione alternativa o, se non possibile, il Cliente potrà recedere dal contratto.

7. Assistenza al Cliente

7.1 Richieste degli interessati (DSAR):

Voler AI fornisce strumenti self-service per consentire al Cliente di gestire le richieste degli interessati:

• Accesso: Export CSV/PDF delle risposte tramite dashboard
• Rettifica: Modifica manuale dei transcript tramite interfaccia admin
• Cancellazione: Eliminazione permanente di conversazioni specifiche o intere interviste
• Portabilità: Export in formato machine-readable (JSON, CSV)

Per richieste complesse, il Cliente può contattare Voler AI a businesstuner@voler.ai e riceverà assistenza entro 72 ore lavorative.

7.2 Data Protection Impact Assessment (DPIA):

Voler AI fornirà informazioni necessarie per consentire al Cliente di condurre DPIA quando richiesto dal GDPR (Art. 35). Documentazione tecnica e misure di sicurezza sono disponibili su richiesta.

8. Data Breach Notification

In caso di violazione dei dati personali (data breach), Voler AI:

1. Notifica al Cliente: Entro 72 ore dalla scoperta, via email a tutti gli admin dell'account
2. Informazioni fornite:
   • Natura della violazione (tipo di dati coinvolti, numero di interessati)
   • Probabili conseguenze
   • Misure adottate o proposte per mitigare effetti
3. Documentazione: Incident report completo fornito entro 7 giorni

Importante: Il Cliente, in qualità di Titolare, rimane responsabile della notifica all'Autorità Garante e agli interessati se richiesto dall'Art. 33 e 34 del GDPR.

9. Conservazione e cancellazione dati

Retention policy:

• Dati interviste attive: Conservati finché il Cliente mantiene l'account
• Dati account cancellato: Cancellazione entro 30 giorni dalla richiesta
• Backup: Sovrascritti automaticamente dopo 30 giorni
• Log di sicurezza: Conservati per 90 giorni per finalità di audit

Modalità di cancellazione:

Al termine del contratto, il Cliente può scegliere:

1. Export completo: Download di tutti i dati in formato JSON prima della cancellazione
2. Cancellazione immediata: Rimozione permanente da database e backup (non reversibile)

10. Audit e conformità

Il Cliente ha il diritto di verificare la conformità di Voler AI al presente DPA tramite:

• Questionari di audit (forniti entro 30 giorni dalla richiesta)
• Certificazioni di sicurezza (SOC 2, ISO 27001 se disponibili)
• Audit on-site (previo accordo, a carico del Cliente, max 1 volta l'anno)

11. Modifiche al DPA

Voler AI si riserva il diritto di modificare questo DPA per motivi di conformità legale o miglioramento del servizio. Modifiche sostanziali saranno notificate con almeno 30 giorni di preavviso via email e banner in-app.

12. Legge applicabile e foro competente

• Legge applicabile: Legge italiana e Regolamento UE 2016/679 (GDPR)
• Foro competente: Tribunale di Milano, Italia

13. Contatti DPO

Per questioni relative al trattamento dei dati:

• Email DPO: dpo@voler.ai
• Email generale: businesstuner@voler.ai
• Oggetto email: "DPA - [Nome Cliente] - [Richiesta]"

Voler AI S.r.l.
Via della Tecnologia, 123 - 20100 Milano (MI)
P.IVA: IT12345678901
REA: MI-1234567
Email: businesstuner@voler.ai | DPO: dpo@voler.ai