Accordo sul trattamento dei dati
Ultimo aggiornamento: 3 aprile 2026
1. Parti
Titolare del trattamento: Tu ("Cliente") — il deployer AI, l'agenzia o la piattaforma che utilizza i servizi Audact.
Responsabile del trattamento: Audact Ltd ("Audact") — tratta i metadati delle interazioni per tuo conto.
2. Ambito del trattamento
Categorie di dati: Metadati delle chiamate (timestamp, identificatori di giurisdizione, decisioni delle policy, risultati di validazione, hash delle prove, registrazioni del consenso).
Non trattati: Contenuto delle conversazioni, registrazioni audio, dati personali oltre quanto necessario per la validazione della compliance. Tutti i dati personali sono crittografati con chiavi per soggetto e soggetti a crypto-shredding su richiesta di cancellazione.
Scopo: Validazione della compliance, generazione delle prove e mantenimento dell'audit trail secondo le istruzioni del Cliente.
3. Sub-responsabili del trattamento
Tutte le terze parti che trattano dati per conto di Audact o dei nostri clienti. Questo elenco è mantenuto come richiesto ai sensi del RGPD Article 28.
| Sub-responsabile | Scopo | Dati trattati | Luogo |
|---|---|---|---|
| AWS (Frankfurt) | Hosting infrastruttura | Tutti i dati della piattaforma | UE (Frankfurt) |
| Cloudflare | CDN, DNS, protezione DDoS | Metadati delle richieste | UE + edge globale |
| Telnyx | Telefonia SIP | Audio chiamate in transito, metadati telefonici | PoP UE — SCC |
| LiveKit Cloud | Trasporto WebRTC, rilevamento turni | Audio in transito (nessuna conservazione) | Regione UE |
| Deepgram Nova-3 | Speech-to-text (predefinito) | Audio in transito (nessuna conservazione configurata) | US (endpoint UE) — SCC |
| ElevenLabs Flash | Text-to-speech (predefinito) | Testo generato da LLM | US/UE — SCC |
| OpenAI / Anthropic | Inferenza LLM (GPT-4o-mini predefinito, Claude Sonnet premium) | Testo conversazionale (nessuna conservazione configurata) | US (endpoint UE dove disponibile) — SCC |
| Google Workspace | E-mail, documenti | Comunicazioni aziendali | US/UE — SCC |
| Slack | Comunicazioni interne | Messaggi interni | US — SCC |
| Notion | Wiki / gestione progetti | Dati operativi interni | US — SCC |
| 1Password | Gestione credenziali | Credenziali crittografate | Canada/UE |
| Stripe (quando attivo) | Elaborazione pagamenti | Dati di fatturazione | US/IE — SCC |
I sub-responsabili con sede negli USA operano ai sensi delle Clausole contrattuali standard (SCC) come meccanismo di trasferimento ai sensi del Capitolo V del RGPD.
Ti notificheremo 30 giorni prima di aggiungere o sostituire un sub-responsabile. Puoi opporti entro 14 giorni.
Ultimo aggiornamento: 12 aprile 2026
4. Residenza dei dati
Tutti i dati di compliance dei Clienti (metadati delle interazioni, catene di prove, log di audit) sono conservati ed elaborati esclusivamente all'interno dello Spazio economico europeo (SEE) su AWS eu-central-1 (Frankfurt).
Alcuni sub-responsabili elencati sopra hanno sede negli USA ed elaborano dati operativi limitati ai sensi delle Clausole contrattuali standard (SCC). Nessun dato di compliance del Cliente lascia il SEE.
5. Misure di sicurezza (RGPD Art. 32)
- Crittografia a riposo (AES-256) e in transito (TLS 1.3)
- Chiavi di crittografia per soggetto per i dati personali (capacità di crypto-shredding)
- Catene di hash SHA-256 per l'integrità delle prove
- Controllo degli accessi basato sui ruoli (RBAC)
- SOC 2 Type II previsto nel 2027
- Penetration testing e scansione delle vulnerabilità regolari
6. Diritti degli interessati
Audact assiste il Cliente nell'adempimento delle richieste degli interessati (accesso, rettifica, cancellazione, portabilità) entro 72 ore dalla notifica. La cancellazione viene implementata tramite crypto-shredding: la chiave di crittografia per soggetto viene distrutta, rendendo i dati personali permanentemente illeggibili preservando l'integrità della catena delle prove.
7. Notifica di violazione
Audact notificherà al Cliente qualsiasi violazione di dati personali entro 36 ore dal momento in cui ne viene a conoscenza. La notifica include: natura della violazione, categorie di dati interessati, numero approssimativo di registrazioni, conseguenze probabili e misure adottate.
8. Durata e recesso
Il presente DPA è efficace per tutta la durata del contratto di servizio. Alla cessazione, Audact eliminerà o restituirà tutti i dati del Cliente entro 30 giorni, salvo nei casi in cui la conservazione sia richiesta dalla legge (requisiti di conservazione delle prove dell'EU AI Act).
9. Contatti
Richieste DPA: dpo@audact.ai