Accordo sul Trattamento dei Dati (DPA)

Art. 1 — Parti e ruoli

Ruolo GDPR	Soggetto	Responsabilità principale
Titolare del Trattamento (art. 4.7 GDPR)	Il Cliente (persona giuridica o professionista che si registra al servizio)	Determina finalità e mezzi del trattamento dei dati personali nell'ambito della propria attività
Responsabile del Trattamento (art. 4.8 GDPR)	Eniteo AI OÜ (società in corso di costituzione in Estonia)	Tratta i dati personali per conto del Cliente esclusivamente ai fini dell'erogazione dei Servizi e secondo le istruzioni documentate del Titolare

Art. 2 — Oggetto, natura e durata del trattamento

Oggetto: Eniteo tratta i Dati Personali del Cliente per erogare i Servizi di generazione contenuti AEO/GEO, analisi del dominio, knowledge base building, monitoraggio citazioni AI e funzionalità correlate.

Natura del trattamento: Raccolta, organizzazione, strutturazione, conservazione, consultazione, trasmissione a sub-responsabili AI, utilizzo per generazione contenuti, cancellazione.

Finalità: Esclusivamente quelle specificate nei Termini di Servizio e nella Privacy Policy. Nessun trattamento ulteriore senza istruzione scritta del Titolare.

Durata: Per l'intera durata del contratto. Alla cessazione, i Dati Personali sono eliminati o restituiti entro 30 giorni (v. Art. 8), salvo obblighi legali di conservazione.

Art. 3 — Tipologie di dati personali e categorie di interessati

Categorie di dati	Esempi	Categorie di interessati
Dati identificativi e di contatto	Nome, email aziendale, IP di accesso	Utente/rappresentante del Cliente
Dati aziendali	Ragione sociale, settore, dominio, descrizione, pubblico target, prodotti, concorrenti	Cliente (persona giuridica o professionista)
Dati di consenso	Timestamp di accettazione Privacy Policy, Termini, DPA; IP del consenso	Utente registrato
Contenuti generati	Articoli, risposte, domande, knowledge base claim	Cliente
Dati di log tecnici	IP, user agent, log autenticazione, log generazione AI	Utente registrato

Non sono trattate categorie particolari di dati ai sensi dell'art. 9 GDPR.

Art. 4 — Obblighi di Eniteo (Responsabile del Trattamento)

Eniteo si impegna a:

1. Trattare i Dati Personali esclusivamente su istruzione documentata del Titolare e ai fini dei Servizi, salvo obblighi di legge (in tal caso Eniteo ne informerà il Titolare, salvo divieti di legge).
2. Garantire che le persone autorizzate al trattamento abbiano assunto un obbligo di riservatezza contrattuale o legale.
3. Adottare le misure di sicurezza tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (v. Art. 5 del presente DPA).
4. Non ricorrere ad ulteriori sub-responsabili senza previa autorizzazione scritta del Titolare (autorizzazione generale concessa per i sub-responsabili elencati nell'Art. 6, con diritto di opposizione).
5. Assistere il Titolare, per quanto possibile e con mezzi tecnici adeguati, nell'adempimento degli obblighi relativi ai diritti degli interessati (artt. 15–22 GDPR).
6. Assistere il Titolare nell'adempimento degli obblighi di cui agli artt. 32–36 GDPR (sicurezza, notifica data breach, DPIA).
7. Notificare eventuali violazioni dei dati personali (data breach) al Titolare entro 72 ore dalla scoperta (art. 33 GDPR), con le informazioni di cui all'art. 33.3 GDPR.
8. Al termine dei Servizi, eliminare o restituire tutti i Dati Personali e le eventuali copie esistenti, salvo obblighi di conservazione previsti dal diritto UE o italiano (art. 28.3.g GDPR).
9. Mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare la conformità agli obblighi del presente DPA e consentire ispezioni ragionevoli, anche tramite auditor autorizzati dal Titolare, con preavviso di almeno 30 giorni (art. 28.3.h GDPR).

Art. 5 — Misure di sicurezza (art. 32 GDPR)

Eniteo adotta le seguenti misure tecniche e organizzative:

• Cifratura in transito: TLS 1.3 obbligatorio su tutti gli endpoint.
• Cifratura a riposo: Database cifrato; backup con AES-256.
• Controllo accessi: Principio del minimo privilegio (RBAC); autenticazione a due fattori per gli amministratori.
• Password: Hashing bcrypt con costo 12; nessuna conservazione in chiaro.
• Log di audit: Tracciatura accessi, modifiche ai dati e operazioni di generazione AI.
• Backup: Backup giornalieri cifrati con verifica di integrità.
• Penetration test: Test periodici di sicurezza.
• Gestione vulnerabilità: Dependency scanning automatizzato; patching tempestivo.
• Rate limiting: Protezione da attacchi brute force e DDoS su tutti gli endpoint.
• Separazione dati: Ogni cliente accede esclusivamente ai propri dati tramite scoping by client_id con global scope Laravel.

Art. 6 — Sub-responsabili del trattamento autorizzati

Il Titolare autorizza Eniteo a ricorrere ai seguenti sub-responsabili del trattamento. Tutti i sub-responsabili sono vincolati contrattualmente a garanzie di protezione dei dati equivalenti a quelle del presente DPA (art. 28.4 GDPR):

Sub-responsabile	Paese	Trattamento specifico	Salvaguardia trasferimento	Sito DPA
Anthropic PBC	USA	Elaborazione prompt per generazione contenuti AI (Claude API). I prompt contengono dati aziendali del knowledge base; non contengono dati identificativi personali (nome, email). Anthropic non addestra i propri modelli AI sui dati inviati via API.	Clausole Contrattuali Standard ex art. 46 GDPR	anthropic.com/legal/privacy
OpenAI LLC	USA	Generazione domande, creazione embeddings vettoriali (GPT-4o-mini, text-embedding-3-small). I dati inviati via API non vengono utilizzati per addestrare i modelli OpenAI.	SCCs ex art. 46 GDPR	openai.com/policies
Stripe Inc. / Stripe Payments Europe Ltd.	USA / Irlanda (UE)	Elaborazione pagamenti. Eniteo non conserva dati di carte di credito.	SCCs; Stripe Europe Ltd. regolata da Banca d'Irlanda	stripe.com/it/privacy
Resend Inc.	USA	Invio email transazionali (verifica email, notifiche di servizio, digest settimanale). Solo nome e indirizzo email del destinatario.	SCCs ex art. 46 GDPR	resend.com/legal
Hetzner Online GmbH	Germania (UE)	Hosting dell'infrastruttura server, database PostgreSQL, storage file.	Nessun trasferimento extra-UE — fornitore UE con sede in Germania	hetzner.com/datenschutz

Modifica dei sub-responsabili (art. 28.2 GDPR)

Eniteo notificherà al Titolare qualsiasi modifica all'elenco dei sub-responsabili (aggiunta o sostituzione) con un preavviso di almeno 30 giorni via email. Il Titolare ha il diritto di opporsi alla modifica entro tale termine scrivendo a [email protected]. In assenza di opposizione entro il termine, la modifica si intende accettata.

Art. 7 — Diritti degli interessati

Il Titolare (Cliente) è responsabile di ricevere e rispondere alle richieste degli interessati (utenti finali). Eniteo fornisce assistenza tecnica su richiesta scritta entro 5 giorni lavorativi per le seguenti operazioni:

• Accesso ai dati (export JSON disponibile autonomamente dal dashboard).
• Rettifica dei dati.
• Cancellazione dei dati (account deletion disponibile autonomamente dal dashboard).
• Portabilità dei dati (export strutturato JSON).
• Limitazione del trattamento.

Gli utenti Eniteo possono esercitare i propri diritti direttamente dal pannello Impostazioni → Account (export e cancellazione) oppure scrivendo a [email protected].

Art. 8 — Cancellazione e restituzione dei dati

Alla cessazione del rapporto contrattuale Eniteo:

1. Anonimizza i dati dell'account entro 24 ore dalla richiesta di cancellazione.
2. Elimina definitivamente i dati anonimizzati entro il termine del periodo di conservazione previsto dalla legge (7 anni per obblighi contabili ai sensi dell'Estonian Accounting Act — Raamatupidamise seadus, § 12).
3. Il processo di eliminazione definitiva notturno (eniteo:gdpr-purge) garantisce la cancellazione automatizzata nel rispetto dei tempi di legge.

Su richiesta scritta del Titolare, Eniteo può fornire conferma scritta dell'avvenuta cancellazione dei dati entro 30 giorni.

Art. 9 — Trasferimenti di dati verso paesi terzi (Cap. V GDPR)

I trasferimenti verso USA (Anthropic, OpenAI, Stripe, Resend) avvengono esclusivamente tramite Clausole Contrattuali Standard (SCCs) approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914 del 4 giugno 2021. Eniteo ha stipulato addendum DPA specifici con ciascun sub-responsabile USA.

In assenza di una decisione di adeguatezza per gli USA (GDPR art. 45), le SCCs costituiscono la salvaguardia appropriata ai sensi dell'art. 46 GDPR.

Art. 10 — Audit e ispezioni (art. 28.3.h GDPR)

Il Titolare ha il diritto di effettuare ispezioni e audit delle pratiche di trattamento di Eniteo, direttamente o tramite un revisore autorizzato, previo:

• Preavviso scritto di almeno 30 giorni.
• Accordo sulla portata e sui tempi dell'ispezione per minimizzare l'impatto operativo.
• Firma di un accordo di riservatezza da parte del revisore esterno.

In alternativa, Eniteo può fornire documentazione di certificazioni, risultati di penetration test o relazioni di audit di sicurezza in sostituzione dell'ispezione fisica.

Art. 11 — Notifica data breach (artt. 33–34 GDPR)

1. Eniteo notifica al Titolare qualsiasi violazione dei dati personali entro 72 ore dalla scoperta, via email a [email protected] (o all'email di contatto del Cliente).
2. La notifica include: natura della violazione, categorie e numero approssimativo di interessati, possibili conseguenze, misure adottate o proposte.
3. Il Titolare è responsabile della notifica al Garante (art. 33 GDPR) e agli interessati (art. 34 GDPR) nei termini di legge.

Art. 12 — Legge applicabile e foro competente

Il presente DPA è disciplinato dalla legge estone e dal Regolamento UE 2016/679 (GDPR). Per qualsiasi controversia è competente in via esclusiva il Tribunale di Harju (Harju Maakohus), Tallinn, Estonia.

Art. 13 — Contatti e referente GDPR

Eniteo AI OÜ — Responsabile del Trattamento (società in corso di costituzione in Estonia)
Referente GDPR / Privacy: [email protected]
Per richiedere copia firmata del DPA o per notifiche relative a sub-responsabili: [email protected]