Data Processing Agreement
Accordo sul trattamento dei dati personali ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR), parte integrante dei Termini di Servizio.
1. Ruoli delle parti
Il cliente di Swavo (l'azienda utente) agisce come Titolare del trattamento dei dati dei propri clienti finali. Swavo agisce come Responsabile del trattamento (data processor) e tratta tali dati esclusivamente per conto del Titolare e secondo le sue istruzioni documentate.
2. Oggetto e durata
Il trattamento ha ad oggetto i dati personali gestiti tramite la piattaforma Swavo (voice agent Giulia, WhatsApp AI, portale, brain) e dura per tutta la vigenza del contratto di servizio, salvo obblighi di conservazione di legge.
3. Tipologie di dati e categorie di interessati
Dati anagrafici e di contatto, contenuti conversazionali (chiamate, chat), dati di appuntamento e di fatturazione. Categorie di interessati: clienti finali, contatti e fornitori dell'azienda utente.
4. Istruzioni del Titolare
Swavo tratta i dati solo su istruzione documentata del Titolare, incluso l'uso della piattaforma e le configurazioni scelte. Swavo informa il Titolare qualora un'istruzione violi il GDPR o altra normativa applicabile.
5. Riservatezza
Il personale autorizzato di Swavo è vincolato a un obbligo di riservatezza e accede ai dati solo nella misura necessaria all'erogazione del servizio.
6. Misure di sicurezza (art. 32)
Cifratura in transito e a riposo, controllo degli accessi basato su ruoli, isolamento multi-tenant, log di audit, backup periodici e procedure di ripristino. I server sono localizzati nell'Unione Europea (Supabase EU, Vercel EU, Hetzner Germania).
7. Sub-responsabili
Swavo si avvale di sub-responsabili (tra cui Supabase, Vercel, Hetzner, OpenAI, Anthropic, ElevenLabs, Deepgram, Twilio, Meta WhatsApp Business, Stripe), tutti vincolati da accordi conformi al GDPR. Il Titolare autorizza tale ricorso e sarà informato in caso di modifiche, con facoltà di opposizione motivata.
8. Assistenza al Titolare
Swavo assiste il Titolare nel rispondere alle richieste di esercizio dei diritti degli interessati e nell'adempimento degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica violazioni, valutazioni d'impatto), nei limiti tecnicamente possibili.
9. Violazioni dei dati (data breach)
Swavo notifica al Titolare senza ingiustificato ritardo, e comunque entro 48 ore dalla conoscenza, ogni violazione di dati personali che lo riguarda, fornendo le informazioni necessarie agli adempimenti di legge.
10. Restituzione e cancellazione
Al termine del contratto, su scelta del Titolare, Swavo restituisce o cancella i dati personali trattati ed elimina le copie esistenti, salvo obblighi di conservazione previsti dalla legge.
11. Audit
Swavo mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto dell'art. 28 GDPR e consente audit, anche tramite un soggetto incaricato, con ragionevole preavviso e senza compromettere la sicurezza degli altri clienti.
12. Trasferimenti extra-UE
Eventuali trasferimenti verso sub-responsabili extra-UE avvengono sulla base delle Standard Contractual Clauses approvate dalla Commissione UE e, ove applicabile, del Data Privacy Framework.