Data Processing Agreement (DPA)
Versione 1.0 — Ultimo aggiornamento: aprile 2026
Il presente Accordo sul Trattamento dei Dati ("DPA") è stipulato tra Eniteo S.r.l. ("Responsabile del Trattamento" o "Eniteo") e il Cliente che utilizza i Servizi Eniteo AI ("Titolare del Trattamento").
Il presente DPA si integra ai Termini di Servizio di Eniteo e si applica al trattamento dei dati personali effettuato da Eniteo per conto del Cliente nell'ambito dell'erogazione dei Servizi, in conformità al Regolamento UE 2016/679 (GDPR), art. 28.
1. Definizioni
- Dati Personali: qualsiasi informazione relativa a persone fisiche identificate o identificabili trattata nell'ambito dei Servizi.
- Trattamento: qualsiasi operazione effettuata su dati personali (raccolta, registrazione, organizzazione, conservazione, elaborazione, comunicazione, cancellazione).
- Sub-Responsabile: fornitore terzo designato da Eniteo per trattare dati per conto del Cliente.
2. Oggetto e natura del trattamento
Eniteo tratta i Dati Personali esclusivamente per erogare i Servizi di generazione contenuti AEO/GEO, analisi del dominio, monitoraggio citazioni AI e funzionalità correlate, secondo le istruzioni documentate del Cliente.
3. Tipologie di dati trattati
| Categoria | Esempi | Finalità |
|---|---|---|
| Dati di contatto | Nome, email aziendale | Autenticazione, comunicazioni |
| Dati aziendali | Ragione sociale, settore, dominio | Personalizzazione contenuti |
| Dati tecnici | IP, user agent, log di sessione | Sicurezza, audit |
| Contenuti generati | Articoli, risposte, domande | Erogazione del servizio |
4. Obblighi di Eniteo (Responsabile)
- Trattare i Dati Personali esclusivamente su istruzione documentata del Titolare.
- Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza.
- Adottare misure di sicurezza tecniche e organizzative adeguate (art. 32 GDPR).
- Non ricorrere a Sub-Responsabili senza previa autorizzazione scritta del Titolare.
- Assistere il Titolare nell'esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità).
- Notificare eventuali violazioni di dati personali entro 72 ore dalla scoperta.
- Restituire o cancellare tutti i Dati Personali al termine dei Servizi, salvo obblighi di legge.
- Mettere a disposizione tutte le informazioni necessarie a dimostrare la conformità al GDPR e consentire audit.
5. Sub-Responsabili autorizzati
| Sub-Responsabile | Paese | Trattamento |
|---|---|---|
| Anthropic (Claude API) | USA (SCCs) | Generazione contenuti AI |
| OpenAI (GPT-4o-mini) | USA (SCCs) | Generazione domande, embeddings |
| Stripe | USA / IE (SCCs) | Elaborazione pagamenti |
| Resend | USA (SCCs) | Email transazionali |
| Hetzner Cloud | DE (UE) | Hosting e storage |
I trasferimenti verso paesi terzi avvengono con le salvaguardie previste dal Capo V del GDPR (Clausole Contrattuali Standard — SCCs). Il Titolare può richiedere l'elenco aggiornato a [email protected].
6. Sicurezza del trattamento
Eniteo adotta misure di sicurezza che includono: cifratura dei dati in transito (TLS 1.3) e a riposo (AES-256), controllo degli accessi basato su ruoli, autenticazione a due fattori, log di audit, backup giornalieri, penetration test periodici.
7. Diritti degli interessati
Il Cliente (Titolare) è responsabile di rispondere alle richieste degli interessati. Eniteo fornisce supporto tecnico su richiesta scritta entro 30 giorni. Gli utenti Eniteo possono esercitare i propri diritti tramite il pannello Impostazioni → Esporta dati / Elimina account, o scrivendo a [email protected].
8. Durata e cancellazione
Il DPA ha la stessa durata del contratto di servizio. Alla cessazione, Eniteo elimina o restituisce tutti i Dati Personali entro 30 giorni, salvo diversi obblighi di legge.
9. Legge applicabile e foro competente
Il presente DPA è disciplinato dalla legge italiana e dal GDPR. Foro esclusivo: Milano (IT).
10. Contatti DPO
Per questioni relative al trattamento dei dati: [email protected]