Data Processing Agreement (DPA)

Aggiornato l'8 luglio 2026

Questo Data Processing Agreement ("DPA") integra i Termini di servizio ed è stipulato tra il proprietario del sito ("Titolare") e l'operatore del servizio ("Responsabile"). Disciplina il trattamento dei dati personali che il Responsabile effettua per conto del Titolare nel fornire la ricerca AI gestita costruita su Google Vertex AI Search. Il DPA è accettato tramite click-accept durante l'onboarding (collegamento del sito); l'accettazione è registrata con un timestamp. In caso di conflitto tra questo DPA e i Termini in merito al trattamento dei dati personali, prevale questo DPA.

1. Ruoli delle parti

Il Titolare è il proprietario del sito che incorpora il widget: determina le finalità e i mezzi del trattamento dei dati dei suoi visitatori e dei suoi contenuti. Il Responsabile è l'operatore del servizio, che tratta tali dati esclusivamente in base alle istruzioni documentate del Titolare. Google Cloud è coinvolta come sub-responsabile (trattamento all'interno di Vertex AI Search / Gemini / Cloud Storage).

Per i dati dell'account del Titolare (email, impostazioni) e per il testo delle richieste usato in misura limitata per metriche di qualità e protezione dagli abusi, il Responsabile agisce come titolare autonomo — disciplinato dall'Informativa sulla privacy, non da questo DPA. I pagamenti sono gestiti da Paddle in qualità di Merchant of Record e titolare autonomo dei dati di pagamento, non come sub-responsabile.

2. Oggetto, durata, natura e finalità

  • Oggetto. Trattamento dei dati personali contenuti nei contenuti del sito del Titolare e nelle richieste dei suoi visitatori, per fornire la ricerca AI con risposte e link alle fonti.
  • Durata. Per la durata dei Termini di servizio e finché il progetto è attivo; alla cessazione si applica la sezione "Restituzione e cancellazione".
  • Natura del trattamento. Raccolta (scansione delle pagine pubbliche), indicizzazione, conservazione, ricerca, generazione delle risposte, logging e cancellazione.
  • Finalità. Esclusivamente per fornire e supportare il servizio secondo le istruzioni del Titolare; il trattamento per altre finalità non è consentito.

3. Categorie di dati e interessati

Categorie di interessati: visitatori del sito del Titolare; persone menzionate nei contenuti pubblici del sito.

Categorie di dati:

  • contenuti delle pagine pubbliche del sito (possono includere dati personali pubblicati dal Titolare);
  • testo delle richieste dei visitatori;
  • dati tecnici dei visitatori — indirizzo IP (elaborato transitoriamente e non conservato) e metadati della richiesta (per la protezione dagli abusi e la sicurezza);
  • identificatori di sessione del widget e metriche di utilizzo.

I dati di categorie particolari (art. 9 GDPR) non sono destinati al trattamento; il Titolare si impegna a non inviarli al servizio e a non indurre i visitatori a inserire dati sensibili nella ricerca.

4. Trattamento su istruzioni

Il Responsabile tratta i dati personali solo in base alle istruzioni documentate del Titolare, anche per i trasferimenti, salvo che vi sia obbligato dal diritto UE/dello Stato membro applicabile o dal diritto israeliano (nel qual caso il Responsabile informa il Titolare prima del trattamento, salvo che la legge lo vieti). Questo DPA, i Termini e le impostazioni configurate dal Titolare nella dashboard costituiscono l'insieme completo delle istruzioni. Il Responsabile informa tempestivamente il Titolare se, a suo parere, un'istruzione viola il GDPR, altro diritto UE/dello Stato membro o la PPL israeliana.

5. Riservatezza

Il Responsabile garantisce che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza, e che l'accesso sia concesso in base al principio della necessità di conoscere e del privilegio minimo.

6. Misure di sicurezza (art. 32 GDPR)

Il Responsabile attua misure tecniche e organizzative adeguate e proporzionate al rischio, tra cui: trasmissione tramite TLS; isolamento dei progetti (ogni progetto ha il proprio indice e la propria chiave); sanificazione delle richieste e rate limiting prima di qualsiasi chiamata a un servizio a pagamento; accesso a privilegio minimo; e logging. Le misure sono applicate in coerenza con le Protection of Privacy (Data Security) Regulations 2017 israeliane (vedi la sezione "Diritto israeliano"). L'elenco delle misure può essere aggiornato, ma il loro livello non viene abbassato.

7. Sub-responsabili

Il Titolare conferisce un'autorizzazione generale a coinvolgere sub-responsabili. L'elenco aggiornato è pubblicato sulla pagina Sub-responsabili e include Google Cloud (Vertex AI Search / Discovery Engine, Gemini, Cloud Storage). Il Responsabile impone a ciascun sub-responsabile obblighi di protezione dei dati non meno protettivi di quelli di questo DPA (in particolare, accetta il Cloud Data Processing Addendum di Google) e resta responsabile degli atti dei propri sub-responsabili.

Il Responsabile dà preavviso di qualsiasi aggiunta o sostituzione prevista di un sub-responsabile (procedura sulla pagina "Sub-responsabili"); il Titolare può opporsi per motivi ragionevoli di protezione dei dati. Se un'opposizione non può essere risolta, il Titolare può cessare di utilizzare il servizio per il trattamento interessato.

8. Assistenza con i diritti degli interessati

Tenuto conto della natura del trattamento, il Responsabile assiste il Titolare, nella misura possibile e con misure tecniche e organizzative adeguate, nell'adempiere al suo obbligo di rispondere alle richieste degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione ai sensi degli artt. 15–22 GDPR). Se una richiesta di un interessato raggiunge direttamente il Responsabile, questi la inoltra al Titolare senza indebito ritardo e non risponde autonomamente salvo su istruzione del Titolare. Gli strumenti della dashboard (pulizia dei log, cancellazione del progetto) supportano l'adempimento di tali richieste.

9. Notifica di violazione dei dati personali (doppio regime)

Il Responsabile notifica al Titolare una violazione dei dati personali senza indebito ritardo dopo esserne venuto a conoscenza, fornendo le informazioni ragionevolmente necessarie affinché il Titolare adempia ai propri obblighi di notifica (artt. 33–34 GDPR — di norma la notifica all'autorità di controllo da parte del Titolare entro 72 ore).

Inoltre, poiché il Responsabile ha sede in Israele, per un incidente di sicurezza grave notifica immediatamente la Privacy Protection Authority (PPA) israeliana, come richiesto dalla PPL come modificata dall'Amendment 13, e assiste nella notifica agli interessati secondo le indicazioni della PPA. La notifica non costituisce ammissione di responsabilità.

10. Restituzione e cancellazione dei dati

Al termine della fornitura dei servizi, il Responsabile, a scelta del Titolare, cancella o restituisce i dati personali e cancella le copie esistenti, salvo che la conservazione sia richiesta dalla legge applicabile. In pratica, alla chiusura di un progetto, l'indice del sito e le risorse Vertex correlate, gli artefatti intermedi di indicizzazione e i log vengono cancellati (fatti salvi i periodi di conservazione dell'Informativa sulla privacy: testo delle richieste — 90 giorni, artefatti di indicizzazione — di norma 7 giorni; gli indirizzi IP non vengono conservati).

11. Audit e informazioni

Il Responsabile mette a disposizione del Titolare le informazioni ragionevolmente necessarie a dimostrare la conformità ai suoi obblighi ai sensi dell'art. 28 GDPR, e consente e contribuisce ad audit, comprese ispezioni, effettuati dal Titolare o da un auditor da esso incaricato, in misura ragionevole, con preavviso, durante l'orario lavorativo e nel rispetto della riservatezza, in modo da non compromettere la sicurezza degli altri clienti. Le assicurazioni dei sub-responsabili (ad esempio, i report e le certificazioni di conformità di Google, incluso ISO 27001) possono essere usate per dimostrare la conformità.

12. Trasferimenti internazionali

I trasferimenti di dati personali dallo SEE al Responsabile in Israele si basano sulla decisione di adeguatezza della Commissione europea per Israele; per questa tratta non sono necessarie Standard Contractual Clauses separate, ma se l'adeguatezza viene revocata le parti ricorrono alle SCC.

I trasferimenti verso i servizi di Google sono regolati dal Cloud Data Processing Addendum di Google e, ove necessario, dalle SCC e/o dall'EU-US Data Privacy Framework. A scelta del Titolare, per i dati dei clienti UE viene usata una regione Google UE per ridurre al minimo il trasferimento transfrontaliero.

I trasferimenti da Israele a Google si basano sulle Privacy Protection (Transfer of Data Abroad) Regulations 2001 israeliane, Reg. 2(4) (obbligo del destinatario di garantire condizioni di conservazione e uso equivalenti al diritto israeliano). Per i dati SEE, si applicano inoltre le EEA Data Regulations 2023 israeliane (Regs. 3–7) al trattamento dei dati degli interessati SEE.

13. Clausole CCPA / diritto statale USA

Nella misura in cui si applica il CCPA/CPRA, il Responsabile agisce come service provider e tratta le informazioni personali solo per la specifica finalità aziendale di fornire il servizio. Il Responsabile non vende e non "condivide" le informazioni personali, non le conserva, usa o divulga al di fuori del rapporto commerciale diretto con il Titolare o per qualsiasi altra finalità, e non le combina con dati provenienti da altre fonti salvo quanto consentito dal CCPA. Il Responsabile garantisce obblighi equivalenti per i propri sub-responsabili.

14. Diritto israeliano (PPL / Amendment 13)

Poiché il Responsabile ha sede in Israele, al trattamento si applica la Protection of Privacy Law (PPL) come modificata dall'Amendment 13 (in vigore dal 14 August 2025); essa ha allineato il diritto israeliano al GDPR (terminologia titolare/responsabile, trasparenza sul trattamento con AI, rafforzamento dell'enforcement della PPA, notifica delle violazioni). Il Responsabile rispetta le Protection of Privacy (Data Security) Regulations 2017 per i dati che tratta. Per un incidente grave si applica il regime di notifica alla PPA della sezione "Notifica di violazione". Le parti confermano che è nominato un contatto privacy (Privacy Officer / contatto — vedi l'Informativa sulla privacy).

15. Disposizioni generali

La scelta del diritto israeliano e la giurisdizione dei tribunali di Tel Aviv-Jaffa (vedi i Termini) non deroga agli obblighi imperativi previsti dal GDPR, dal CCPA e dalla PPL — la ripartizione delle responsabilità è determinata dalla legge. In caso di conflitto, questo DPA prevale per il trattamento dei dati personali. I contatti del Responsabile (titolare del servizio) e il contatto privacy sono indicati nell'Informativa sulla privacy.