Data Processing Agreement

StudioAgent S.r.l.

Ultimo aggiornamento: 25 Giugno 2026


Il presente Accordo per il Trattamento dei Dati Personali ("DPA") costituisce parte integrante e sostanziale dei Termini e Condizioni di Servizio stipulati tra lo Studio di Amministrazione Condominiale / Cliente (di seguito "Titolare del Trattamento" o "Titolare") e StudioAgent S.r.l., con sede legale e operativa in Italia (di seguito "Responsabile del Trattamento", "Responsabile" o "StudioAgent").

Accettando i Termini di Servizio o utilizzando la piattaforma fornita da StudioAgent, il Cliente accetta integralmente le disposizioni contenute in questo documento, redatto ai sensi dell'Art. 28 del Regolamento (UE) 2016/679 (GDPR).


1. Oggetto dell'Incarico

Con il presente DPA, il Titolare nomina formalmente StudioAgent quale Responsabile del Trattamento per le finalità strettamente connesse all'erogazione del servizio software in abbonamento (piattaforma web, assistente AI WhatsApp, assistente vocale AI, gestione smistamento email). StudioAgent tratterà i dati unicamente nel rispetto delle istruzioni documentate dal Titolare, ovvero quelle derivanti dalle normali interazioni con le funzionalità tecniche della Piattaforma.


2. Dettagli del Trattamento (Allegato 1)

  • Oggetto e Natura del Trattamento: Il trattamento consiste nell'acquisizione, elaborazione tramite algoritmi di Intelligenza Artificiale (LLM), memorizzazione, archiviazione e instradamento di messaggi di testo, email e audio vocali generati durante l'interazione tra condòmini/fornitori e la piattaforma StudioAgent configurata per conto del Cliente.
  • Finalità: Erogazione dei servizi automatizzati di risposta e gestione ticket per lo studio di amministrazione condominiale, incluso — su istruzione documentata e per conto del Titolare — l'invio di comunicazioni di servizio/informative ai condòmini (es. annuncio di nuovi canali di assistenza), anche in forma massiva tramite provider email sub-responsabili, eventualmente da un dominio mittente di StudioAgent recante in modo trasparente l'indicazione del Titolare per conto del quale la comunicazione è inviata.
  • Durata: Il trattamento avrà durata pari al periodo di validità dell'abbonamento sottoscritto. Alla disdetta o risoluzione del contratto, StudioAgent procederà alla cancellazione o pseudonimizzazione dei dati entro i tempi tecnici standard (60 giorni dai sistemi primari, 180 giorni dai backup di sicurezza).
  • Categorie di Dati Personali trattati: Informazioni anagrafiche e di contatto (Nome, Cognome, Indirizzo email, Numero di telefono, Indirizzo di residenza/condominio), credenziali di accesso, e il contenuto libero testuale e vocale dei messaggi inviati dagli utenti al centralino AI/WhatsApp/Email (che potrebbero occasionalmente contenere dati finanziari come IBAN o reclami circostanziati).
  • Categorie di Interessati: Utenti della piattaforma, dipendenti del Cliente, condòmini, proprietari, inquilini, portinai e fornitori dei condomìni amministrati dal Cliente.

3. Obblighi di StudioAgent (Il Responsabile)

Il Responsabile del Trattamento si impegna a:

  1. 1.Personale autorizzato: Garantire che le persone (es. dipendenti, collaboratori) autorizzate al trattamento dei Dati Personali si siano impegnate alla massima riservatezza o abbiano un adeguato obbligo legale di riservatezza, e siano formate in materia di protezione dei dati e sicurezza informatica.
  2. 2.Misure di Sicurezza (Art. 32 GDPR): Adottare tutte le misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato ai rischi dell'elaborazione AI, come dettagliato nell'Allegato 2 (Misure Tecniche e Organizzative di Sicurezza), che costituisce parte integrante del presente DPA. Tutti i dati sono crittografati in transito e a riposo, con segregazione logica per ciascun Titolare (tenant isolation).
  3. 3.Assistenza sui Diritti degli Interessati: Supportare il Titolare (con misure tecniche/organizzative e nei limiti del possibile) qualora un suo condòmino/fornitore eserciti i propri diritti privacy (es. richiesta di cancellazione dei messaggi in chat, richiesta di rettifica), rispondendo celermente alle richieste del Titolare.
  4. 4.Data Breach (Violazione dei dati): Comunicare tempestivamente, e comunque preferibilmente entro 48 ore dalla scoperta, al Titolare del Trattamento ogni eventuale violazione dei dati personali (Data Breach) per permettere al Cliente di compiere le valutazioni verso il Garante Privacy.
  5. 5.Valutazione di Impatto (DPIA): Offrire collaborazione documentale ove il Titolare decida di redigere una Valutazione di Impatto sulla Protezione dei Dati legata all'uso spinto dell'Intelligenza Artificiale nel proprio studio.
  6. 6.Audit e Ispezioni (Art. 28.3.h GDPR): Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi ex Articolo 28 GDPR e consentire e contribuire alle attività di verifica, comprese le ispezioni documentali, realizzate dal Titolare o da un soggetto da questi incaricato. Tali verifiche dovranno essere svolte con un preavviso minimo di 15 giorni lavorativi, durante il normale orario d'ufficio e senza interferire con l'operatività ordinaria dei sistemi di StudioAgent, con spese a carico del Titolare.

4. Sub-Responsabili (Subprocessors)

Il Titolare del Trattamento autorizza in via generale StudioAgent a ricorrere a sub-responsabili esterni per l'esecuzione di specifiche attività di trattamento o fornitura tecnologica cloud (es. provider Cloud, provider AI, provider servizi SMS/Voice).

  1. 1.L'elenco costantemente aggiornato dei Sub-responsabili attualmente approvati da StudioAgent è disponibile alla pagina pubblica Elenco Sub-Responsabili (Subprocessors).
  2. 2.StudioAgent si impegna a stipulare con ciascun Sub-Responsabile accordi contrattuali stringenti, trasferire le medesime obbligazioni privacy previste in questo documento e accertarsi che i dati risiedano in Europa o in Paesi con normative adeguate o Standard Contractual Clauses legalmente valide.
  3. 3.In caso di aggiunta o sostituzione di un Sub-responsabile, StudioAgent aggiornerà preventivamente la pagina sopra indicata con un preavviso di almeno 30 giorni. L'uso continuato della Piattaforma da parte del Cliente rappresenterà l'implicita accettazione del nuovo elenco.

5. Destino dei Dati a Fine Rapporto

Al termine della fornitura dei Servizi (disdetta abbonamento o chiusura account), a discrezione del Titolare che può estrarne tempestivamente copia documentale dalle funzionalità della dashboard temporanea, StudioAgent cancellerà in modo definitivo i Dati Personali dei log elaborati per quel Tenant dai propri sistemi primari in produzione entro 60 giorni, e dai backup di sicurezza secondo cicli di durata massima di 180 giorni o come previsto da norme di legge inderogabili in materia contabile/amministrativa.


Allegato 2 — Misure Tecniche e Organizzative di Sicurezza (Art. 32 GDPR)

StudioAgent S.r.l. implementa e mantiene le seguenti misure di sicurezza tecniche e organizzative per proteggere i Dati del Cliente da trattamenti non autorizzati, perdite accidentali o accessi abusivi:

  1. 1.Sicurezza Fisica e Cloud Hosting: l'infrastruttura è ospitata presso data center leader di mercato (Google Cloud EMEA, Supabase) conformi agli standard internazionali di sicurezza, certificati SOC 2 Tipo II, ISO/IEC 27001, 27017 e 27018. Accesso fisico ai server rigorosamente controllato e monitorato 24/7 dai provider cloud.
  2. 2.Cifratura dei Dati: tutte le comunicazioni, le connessioni API e i flussi webhooks sono crittografati con protocolli TLS 1.3 (o superiore) e HTTPS (cifratura in transito); tutti i dati personali strutturati, i log dei messaggi, le trascrizioni e le registrazioni audio sono crittografati a livello di storage e database mediante lo standard AES-256 (cifratura a riposo).
  3. 3.Controllo degli Accessi e Sicurezza Logica: separazione logica multi-tenant (tenant isolation) a livello di database e applicazione; autenticazione forte con supporto nativo alla 2FA; accesso del personale ai dati in produzione limitato secondo il principio del privilegio minimo, previa autorizzazione temporanea e con tracciamento completo (audit logging).
  4. 4.Resilienza e Disaster Recovery: backup di sicurezza automatici e incrementali con frequenza giornaliera, cifrati e con ridondanza geografica in Unione Europea; procedure di business continuity e disaster recovery testate annualmente (RTO < 12 ore, RPO < 24 ore).
  5. 5.Trattamento Etico e Privacy by Design nell'AI (Art. 25 GDPR): No-Training Policy (accordi vincolanti con i fornitori dei modelli AI — Anthropic PBC, ElevenLabs, Google Vertex AI — che escludono l'utilizzo dei Dati del Cliente per addestramento, fine-tuning o miglioramento dei modelli) e pseudonimizzazione automatica (PII masking/redaction) prima della trasmissione alle API LLM esterne.
  6. 6.Verifiche e Vulnerability Testing: scansioni periodiche di vulnerabilità del codice e dell'infrastruttura; log completi delle attività di sistema e degli accessi amministrativi, conservati per almeno 6 mesi in formato protetto da scrittura.

Documenti correlati


StudioAgent S.r.l.

P.IVA/C.F.: 14642270962

Sede legale: Via Martin Lutero 5, Milano

📧 info@studioagent.it

🌐 www.studioagent.it