1. Definizioni
Titolare del Trattamento
Il professionista (avvocato, commercialista, consulente, etc.) che utilizza il servizio PREVIO per gestire comunicazioni con i propri clienti finali.
Responsabile del Trattamento
PREVIO di Tefras di Elia Narducci, in qualità di fornitore del servizio di automazione preventivi via WhatsApp.
- Sede: via Marsiglia 3, 06039, Trevi (PG)
- P.IVA: IT03924000544
Dati Personali
Qualsiasi informazione riguardante una persona fisica identificata o identificabile ("Interessato") trattata nell'ambito del Servizio PREVIO.
Violazione dei Dati Personali (Data Breach)
La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali.
Sub-Responsabile
Qualsiasi terzo soggetto nominato dal Responsabile per svolgere attività di trattamento dei Dati Personali per conto del Titolare.
2. Oggetto e Durata
2.1 Oggetto dell'Accordo
Il presente Accordo disciplina le modalità di trattamento dei Dati Personali da parte di PREVIO (Responsabile) per conto del Titolare, nell'ambito della fornitura del servizio di:
- Gestione automatizzata di richieste di preventivo tramite WhatsApp Business API
- Generazione di preventivi in formato PDF tramite intelligenza artificiale
- Archiviazione e gestione delle conversazioni con i clienti finali del Titolare
- Analisi conversazionale tramite Large Language Models (LLM)
2.2 Durata
Il presente Accordo entra in vigore alla data di sottoscrizione del contratto di servizio PREVIO e rimane valido per tutta la durata del rapporto contrattuale, salvo risoluzione anticipata o revoca della nomina a Responsabile del Trattamento.
3. Natura e Finalità del Trattamento
3.1 Finalità del Trattamento
PREVIO tratta i Dati Personali esclusivamente per le seguenti finalità:
1. Gestione comunicazioni WhatsApp
Ricezione, elaborazione e risposta automatizzata a messaggi WhatsApp inviati dai clienti finali del Titolare.
2. Generazione preventivi
Estrazione di informazioni dalle conversazioni e generazione automatica di documenti di preventivo personalizzati.
3. Analisi conversazionale
Utilizzo di modelli di intelligenza artificiale (Claude AI, OpenAI Whisper) per comprendere richieste vocali e testuali.
4. Archiviazione storico conversazioni
Conservazione delle conversazioni per finalità di assistenza, audit e conformità normativa.
5. Supporto tecnico
Accesso ai dati in caso di troubleshooting, assistenza tecnica o risoluzione di problematiche.
5. Obblighi del Responsabile del Trattamento (PREVIO)
5.1 Conformità alle Istruzioni del Titolare
- Trattare i Dati Personali esclusivamente su istruzione documentata del Titolare, salvo obblighi di legge contrari
- Informare immediatamente il Titolare qualora ritenga che un'istruzione violi il GDPR
- Non trasferire o condividere i dati con terzi non autorizzati
5.2 Riservatezza
- Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza
- Formare il personale sulle norme GDPR
5.3 Misure di Sicurezza Tecniche e Organizzative
Misure Tecniche:
🔐 Cifratura
End-to-end tramite WhatsApp Business API (protocollo Signal)
🔒 Cifratura a riposo
Database PostgreSQL con TDE (Transparent Data Encryption)
🛡️ Controllo accessi
Row Level Security (RLS) per segregazione multi-tenant
🔑 Autenticazione
Multi-fattore (MFA) per accesso amministrativo
📝 Logging
Registrazione accessi e operazioni critiche
💾 Backup
Giornalieri cifrati con retention 30 giorni
5.4 Assistenza al Titolare
Il Responsabile assiste il Titolare nell'adempimento degli obblighi di:
- Risposta alle richieste degli interessati (diritti GDPR) entro 48 ore lavorative
- Notifica di violazioni dei dati personali all'Autorità Garante
- Valutazione d'impatto sulla protezione dei dati (DPIA)
5.5 Cancellazione o Restituzione dei Dati
Al termine della fornitura del servizio, il Responsabile:
- Cancella tutti i Dati Personali entro 30 giorni
- Oppure, su richiesta, restituisce i dati in formato strutturato (JSON/CSV)
- Cancella tutte le copie esistenti, inclusi backup (salvo obblighi di legge)
6. Sub-Responsabili del Trattamento
6.1 Autorizzazione Generale
Il Titolare autorizza il Responsabile a ricorrere a Sub-Responsabili, purché:
- Il Sub-Responsabile offra garanzie sufficienti per misure di sicurezza adeguate
- Vengano imposti gli stessi obblighi previsti in questo DPA
- Il Responsabile informi il Titolare di modifiche con 30 giorni di preavviso
- Il Titolare possa opporsi alla nomina entro 15 giorni dalla notifica
6.2 Elenco Sub-Responsabili Autorizzati
| Sub-Responsabile | Attività | Sede |
|---|---|---|
| Meta Platforms Ireland | WhatsApp Business API | UE (Irlanda) |
| Anthropic PBC | Claude AI (LLM) | UE (hosting dedicato) |
| OpenAI Ireland | Whisper API (trascrizioni) | UE (Irlanda) |
| Hostinger International | Hosting VPS backend | UE (Paesi Bassi) |
| Resend Inc. | Email transazionali | UE (Irlanda) |
| Stripe Payments Europe | Pagamenti | UE (Irlanda) |
8. Notifica di Violazioni dei Dati Personali (Data Breach)
8.1 Obbligo di Notifica al Titolare
In caso di violazione dei dati personali, il Responsabile:
- Notifica al Titolare entro 24 ore dalla scoperta
- Fornisce natura della violazione
- Indica categorie e numero interessati coinvolti
- Descrive probabili conseguenze
- Propone misure per rimediare alla violazione
Il Responsabile assiste il Titolare nella preparazione della notifica all'Autorità Garante (da effettuarsi entro 72 ore ai sensi dell'art. 33 GDPR).
13. Contatti Data Protection
Responsabile del Trattamento (PREVIO)
Elia Narducci - Tefras
- Indirizzo: via Marsiglia 3, 06039, Trevi (PG)
- Email: info@tefras.it
- P.IVA: IT03924000544
14. Accettazione del DPA
Il presente Data Processing Agreement (DPA) viene automaticamente accettato al momento della sottoscrizione del contratto di servizio PREVIO o mediante click di accettazione durante la registrazione alla piattaforma.
Versione DPA: 1.0.0
Data ultima revisione: 23 marzo 2026
Prossima revisione prevista: 23 marzo 2027