Data Processing Agreement

Ultimo aggiornamento: aprile 2026

La presente versione in lingua italiana costituisce il testo giuridicamente vincolante.

Premessa

Il presente Accordo sul Trattamento dei Dati (“DPA”) viene stipulato tra il Cliente (di seguito “Titolare del Trattamento”) e Obsidian Technologies, con sede legale in Via Campania 4, 61032 Fano (PU) , P.IVA 02864680414 (di seguito “Responsabile del Trattamento”), ai sensi e per gli effetti dell’art. 28 del Regolamento (UE) 2016/679 (“GDPR”).

Il presente DPA integra e costituisce parte integrante dei Termini e Condizioni di Servizio di DeepNeural (di seguito “Contratto Principale”) e disciplina il trattamento dei dati personali effettuato dal Responsabile del Trattamento per conto del Titolare del Trattamento nell’ambito dell’utilizzo della piattaforma DeepNeural.

Accettando i Termini e Condizioni di Servizio o utilizzando la piattaforma DeepNeural, il Titolare del Trattamento accetta integralmente il presente DPA.

Art. 1 — Oggetto e Durata

1.1 Il presente DPA disciplina le condizioni alle quali il Responsabile del Trattamento tratta i dati personali per conto del Titolare del Trattamento attraverso la piattaforma DeepNeural.

1.2 Il DPA entra in vigore alla data di attivazione dell’account DeepNeural da parte del Titolare del Trattamento e rimane efficace per tutta la durata del Contratto Principale.

1.3 Gli obblighi relativi alla restituzione e cancellazione dei dati sopravvivono alla cessazione del Contratto Principale secondo quanto previsto dall’Art. 12.

Art. 2 — Natura e Finalità del Trattamento

2.1 Il Responsabile del Trattamento tratta i dati personali esclusivamente per le seguenti finalità, strettamente connesse all’erogazione del servizio DeepNeural:

Archiviazione documenti: conservazione dei documenti caricati dal Titolare del Trattamento sulla piattaforma;
Estrazione testuale: elaborazione e indicizzazione del contenuto testuale dei documenti caricati;
Analisi AI: elaborazione dei contenuti tramite modelli di intelligenza artificiale per generare analisi, riassunti e risposte alle interrogazioni del Titolare;
Generazione riassunti: produzione automatica di sintesi dei documenti caricati;
Risposte a interrogazioni: elaborazione delle domande poste dal Titolare e generazione di risposte basate sui documenti e dati disponibili;
Registrazione delle attività: logging delle operazioni effettuate sulla piattaforma per finalità di sicurezza e supporto tecnico.

2.2 Il Responsabile del Trattamento non tratta i dati personali per finalità proprie, né per finalità diverse da quelle indicate nel presente articolo, salvo ove diversamente disposto dalla legge.

Art. 3 — Tipo di Dati Personali Trattati

3.1 Le categorie di dati personali oggetto del trattamento comprendono:

Documenti caricati dal Titolare: file in vari formati che possono contenere dati personali di terzi (es. dati anagrafici, dati di contatto, dati finanziari, dati organizzativi);
Dati dell’account utente: nome, cognome, indirizzo email, credenziali di autenticazione (in forma cifrata);
Dati delle conversazioni: messaggi inviati dagli utenti e risposte generate dall’intelligenza artificiale;
Log di utilizzo: timestamp delle operazioni, indirizzi IP, tipo di azioni eseguite, metadati tecnici delle sessioni.

3.2 Il Titolare del Trattamento è l’unico responsabile della tipologia di dati personali contenuti nei documenti caricati sulla piattaforma.

Art. 4 — Categorie di Interessati

4.1 Le categorie di interessati i cui dati personali possono essere oggetto di trattamento includono:

Dipendenti e collaboratori dell’organizzazione del Titolare del Trattamento che utilizzano la piattaforma DeepNeural;
Soggetti terzi i cui dati personali possono essere contenuti nei documenti caricati dal Titolare (es. clienti, fornitori, partner commerciali del Titolare);
Utenti dell’account DeepNeural del Titolare del Trattamento (amministratori, membri del team).

Art. 5 — Obblighi del Responsabile del Trattamento (Obsidian Technologies)

Il Responsabile del Trattamento si obbliga a:

5.1 Trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare del Trattamento, compreso il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che il trattamento sia richiesto dal diritto dell’Unione o dello Stato membro cui è soggetto il Responsabile; in tal caso, il Responsabile informa il Titolare prima del trattamento, a meno che la legge lo vieti per rilevanti motivi di interesse pubblico.

5.2 Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.

5.3 Adottare tutte le misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, ai sensi dell’art. 32 del GDPR, come dettagliato nell’Art. 9 del presente DPA.

5.4 Non ricorrere a un altro responsabile del trattamento (sub-responsabile) senza previa autorizzazione scritta, specifica o generale, del Titolare del Trattamento, ai sensi dell’art. 28, paragrafo 2, del GDPR. I sub-responsabili attualmente autorizzati sono elencati nell’Art. 7.

5.5 Assistere il Titolare del Trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, nell’adempimento dell’obbligo di dare seguito alle richieste per l’esercizio dei diritti degli interessati (art. 28, paragrafo 3, lettera e, del GDPR).

5.6 Assistere il Titolare del Trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

5.7 Su scelta del Titolare, cancellare o restituire tutti i dati personali al termine della prestazione dei servizi, e cancellare le copie esistenti, salvo che il diritto dell’Unione o dello Stato membro ne preveda la conservazione.

5.8 Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato.

Art. 6 — Obblighi del Titolare del Trattamento (il Cliente)

Il Titolare del Trattamento si obbliga a:

6.1 Garantire che esista una base giuridica valida ai sensi del GDPR per il trattamento dei dati personali caricati sulla piattaforma DeepNeural, ivi inclusa la comunicazione dei dati al Responsabile del Trattamento.

6.2 Informare adeguatamente gli interessati circa il trattamento dei loro dati personali tramite la piattaforma DeepNeural, in conformità agli articoli 13 e 14 del GDPR.

6.3 Non caricare categorie particolari di dati personali di cui all’art. 9 del GDPR (dati relativi alla salute, origine razziale o etnica, opinioni politiche, convinzioni religiose, dati genetici, dati biometrici, vita sessuale o orientamento sessuale) senza disporre di un’adeguata base giuridica e senza aver adottato le misure di garanzia previste dalla normativa applicabile.

6.4 Fornire al Responsabile del Trattamento istruzioni documentate relative al trattamento dei dati personali.

6.5 Rispettare tutte le disposizioni in materia di protezione dei dati personali applicabili, incluso il GDPR e il D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.

Art. 7 — Sub-responsabili

7.1 Il Titolare del Trattamento autorizza il ricorso ai seguenti sub-responsabili del trattamento:

Sub-responsabile	Sede legale	Finalità del trattamento	Paese dei server
Supabase Inc.	San Francisco, USA	Database, autenticazione utenti, storage documenti	UE (Francoforte, Germania)
Anthropic PBC	San Francisco, USA	Elaborazione AI tramite modelli Claude	USA
Google LLC	Mountain View, USA	Elaborazione AI tramite modelli Gemini, autenticazione OAuth	USA
OpenAI LLC	San Francisco, USA	Elaborazione AI tramite modelli OpenAI	USA
Stripe Inc.	San Francisco, USA / Dublino, Irlanda	Gestione pagamenti e fatturazione	UE / USA
Resend Inc.	San Francisco, USA	Invio email transazionali (conferme, notifiche, reset password)	USA
Vercel Inc.	San Francisco, USA	Hosting e distribuzione applicazione frontend	Globale (CDN)
Railway Corp.	San Francisco, USA	Hosting e esecuzione backend applicativo	USA

7.2 Il Responsabile del Trattamento informerà il Titolare del Trattamento di qualsiasi modifica prevista riguardante l’aggiunta o la sostituzione di sub-responsabili, concedendo un periodo ragionevole di almeno 30 (trenta) giorni per presentare obiezioni. Qualora il Titolare sollevi un’obiezione motivata e le parti non raggiungano un accordo, il Titolare avrà diritto di risolvere il Contratto Principale senza penali.

7.3 Il Responsabile del Trattamento garantisce che ciascun sub-responsabile sia vincolato da obblighi in materia di protezione dei dati personali equivalenti a quelli previsti dal presente DPA, mediante contratto o altro atto giuridico conforme al diritto dell’Unione o degli Stati membri.

7.4 Il Responsabile del Trattamento rimane pienamente responsabile nei confronti del Titolare per l’adempimento degli obblighi dei sub-responsabili.

7.5 Esclusione di sub-responsabili AI su richiesta. Su richiesta scritta del Titolare del Trattamento, il Responsabile può escludere specifici sub-responsabili di elaborazione AI dall’elaborazione dei dati dell’Organizzazione richiedente. La richiesta deve pervenire al canale di supporto e ha effetto entro 5 (cinque) giorni lavorativi dalla conferma di presa in carico.

Art. 8 — Trasferimenti Internazionali

8.1 I dati personali trattati dai sub-responsabili con sede negli Stati Uniti d’America sono trasferiti sulla base delle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea con Decisione di Esecuzione (UE) 2021/914 del 4 giugno 2021, integrate, ove necessario, da misure supplementari adeguate.

8.2 Ove applicabile, il quadro normativo EU-US Data Privacy Framework (DPF), istituito dalla Decisione di Adeguatezza della Commissione Europea del 10 luglio 2023, fornisce garanzie supplementari per i trasferimenti verso sub-responsabili certificati nell’ambito del DPF.

8.3 Lo storage principale dei documenti caricati dal Titolare del Trattamento è situato esclusivamente nell’Unione Europea, presso il data center di Francoforte (Germania) gestito da Supabase Inc.

8.4 Il Responsabile del Trattamento si impegna a monitorare costantemente l’evoluzione del quadro normativo relativo ai trasferimenti internazionali e ad adottare tempestivamente le misure necessarie per garantire la conformità dei trasferimenti.

Art. 9 — Misure di Sicurezza Tecniche e Organizzative

9.1 Il Responsabile del Trattamento adotta le seguenti misure tecniche e organizzative ai sensi dell’art. 32 del GDPR:

Misure tecniche:

Cifratura in transito: tutte le comunicazioni tra client e server avvengono tramite protocollo TLS 1.2 o superiore;
Cifratura a riposo: i dati archiviati su Supabase sono cifrati con algoritmo AES-256;
Hashing delle password: le credenziali degli utenti sono protette tramite algoritmo bcrypt con salt;
Isolamento dati per organizzazione: implementazione di Row Level Security (RLS) a livello di database PostgreSQL per garantire che ciascuna organizzazione possa accedere esclusivamente ai propri dati;
Autenticazione JWT: sistema di autenticazione basato su JSON Web Token con rotazione periodica dei token;
Rate limiting: limitazione del numero di richieste API per prevenire abusi e attacchi di tipo denial-of-service;
Logging degli accessi: registrazione di tutti gli accessi e delle operazioni effettuate sulla piattaforma;
Sospensione automatica: blocco automatico dell’accesso in caso di mancato pagamento, a tutela contro accessi non autorizzati;
Aggiornamenti di sicurezza: applicazione regolare di patch di sicurezza a tutti i componenti software;
Validazione input: validazione rigorosa di tutti i dati in ingresso tramite schemi di validazione (Zod) su ogni endpoint API;
Validazione file: controllo del tipo MIME reale dei file caricati mediante analisi dei magic bytes, non basato sulla sola estensione del file;
Sanitizzazione dati sensibili: scrubbing dei dati sensibili nei log applicativi e nei sistemi di error tracking.

Misure organizzative:

Principio del minimo privilegio: accesso ai sistemi e ai dati limitato al minimo necessario per l’espletamento delle funzioni assegnate;
Riservatezza del personale: tutto il personale con accesso ai dati è vincolato da obblighi di riservatezza;
Gestione incidenti: procedure documentate per la gestione e la notifica delle violazioni dei dati personali;
Revisione periodica: revisione periodica delle misure di sicurezza adottate in funzione dell’evoluzione delle minacce e delle tecnologie disponibili.

Art. 10 — Notifica di Violazione dei Dati Personali

10.1 Il Responsabile del Trattamento notificherà al Titolare del Trattamento, senza ingiustificato ritardo e comunque entro 72 (settantadue) ore dal momento in cui ne viene a conoscenza, qualsiasi violazione dei dati personali ai sensi dell’art. 33 del GDPR.

10.2 La notifica al Titolare conterrà almeno le seguenti informazioni:

la natura della violazione dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni di dati personali coinvolte;
il nome e i dati di contatto del punto di contatto presso cui ottenere maggiori informazioni;
le probabili conseguenze della violazione;
le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e, se del caso, per attenuarne i possibili effetti negativi.

10.3 Il Responsabile del Trattamento assisterà il Titolare del Trattamento nell’adempimento degli obblighi di notifica all’autorità di controllo (Garante per la Protezione dei Dati Personali) e di comunicazione agli interessati, ai sensi degli articoli 33 e 34 del GDPR.

10.4 Qualora non sia possibile fornire tutte le informazioni contestualmente, le informazioni potranno essere comunicate in fasi successive senza ulteriore ingiustificato ritardo.

Art. 11 — Assistenza al Titolare

11.1 Il Responsabile del Trattamento assiste il Titolare del Trattamento nel dare riscontro alle richieste degli interessati per l’esercizio dei diritti previsti dal Capo III del GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione), attraverso misure tecniche e organizzative adeguate.

11.2 Il Responsabile del Trattamento assiste il Titolare del Trattamento nello svolgimento di Valutazioni d’Impatto sulla Protezione dei Dati (DPIA) ai sensi dell’art. 35 del GDPR, ove richiesto, fornendo le informazioni necessarie relative ai trattamenti effettuati tramite la piattaforma.

11.3 Il Responsabile del Trattamento fornisce al Titolare le informazioni e l’accesso necessari per lo svolgimento di audit e ispezioni, come disciplinato dall’Art. 13 del presente DPA.

Art. 12 — Restituzione e Cancellazione Dati

12.1 Al termine del Contratto Principale, il Titolare del Trattamento ha la possibilità di esportare i propri dati dalla piattaforma prima della chiusura dell’account.

12.2 Trascorso il periodo di grazia, tutti i dati personali del Titolare saranno cancellati in modo permanente e irreversibile dai sistemi del Responsabile del Trattamento e dei sub-responsabili. Il periodo di grazia è di 30 (trenta) giorni dalla data della richiesta volontaria di cessazione del servizio da parte del Titolare, oppure di 37 (trentasette) giorni dalla data di sospensione del servizio per mancato pagamento, preceduti da avvisi al Titolare a 7, 15 e 30 giorni dalla sospensione.

12.3 I dati di fatturazione sono conservati per un periodo di 10 (dieci) anni ai sensi della normativa fiscale italiana applicabile (art. 2220 c.c. e normativa tributaria vigente).

12.4 Dati aggregati e completamente anonimizzati, da cui non è in alcun modo possibile risalire a persone fisiche identificate o identificabili, potranno essere conservati per finalità di miglioramento del servizio e analisi statistiche.

Art. 13 — Audit

13.1 Il Titolare del Trattamento ha il diritto di effettuare audit, direttamente o tramite un revisore terzo indipendente vincolato da obblighi di riservatezza, per verificare la conformità del Responsabile del Trattamento agli obblighi previsti dal presente DPA.

13.2 Le richieste di audit devono essere comunicate per iscritto al Responsabile del Trattamento con un preavviso minimo di 30 (trenta) giorni.

13.3 Gli audit devono essere condotti in modo da non interferire in modo irragionevole con le normali attività operative del Responsabile del Trattamento e devono svolgersi durante il normale orario lavorativo.

13.4 I costi dell’audit sono a carico del Titolare del Trattamento, salvo il caso in cui l’audit rilevi una violazione sostanziale degli obblighi previsti dal presente DPA, nel qual caso i costi ragionevoli saranno a carico del Responsabile del Trattamento.

13.5 Il Responsabile del Trattamento potrà fornire, in alternativa all’audit in loco, certificazioni, report di audit di terze parti indipendenti o altra documentazione equivalente che dimostri la conformità alle misure di sicurezza previste.

Art. 14 — Disposizioni Finali

14.1 Il presente DPA è disciplinato dalla legge italiana. Per qualsiasi controversia derivante dal presente DPA è competente in via esclusiva il Foro di Via Campania 4, 61032 Fano (PU) .

14.2 In caso di conflitto tra le disposizioni del presente DPA e quelle del Contratto Principale (Termini e Condizioni di Servizio), le disposizioni del presente DPA prevalgono limitatamente alle questioni relative alla protezione dei dati personali.

14.3 Il presente DPA può essere modificato dal Responsabile del Trattamento per adeguarlo a nuove disposizioni normative o a mutate esigenze operative. Le modifiche sostanziali saranno comunicate al Titolare con un preavviso di almeno 30 (trenta) giorni.

14.4 Se una disposizione del presente DPA è ritenuta invalida o inapplicabile, le restanti disposizioni rimangono pienamente efficaci.

14.5 Per qualsiasi comunicazione relativa al presente DPA:

Obsidian Technologies Sede legale: Via Campania 4, 61032 Fano (PU) P.IVA: 02864680414 Email: support@deepneural.tech