IT
Accordo sul trattamento dei dati
Parti
Titolare del trattamento (Cliente): L'entità che ha accettato i Termini di utilizzo di Suunta.ai e utilizza i Servizi.
Responsabile del trattamento (Suunta.ai): Y4 Works Oy, Business ID: 2978296-6, Indirizzo: Finlandia, Email: privacy@suunta.ai
1. Definizioni
- Dati personali indica qualsiasi informazione relativa a una persona fisica identificata o identificabile ai sensi dell'Articolo 4(1) del GDPR.
- Trattamento indica qualsiasi operazione o insieme di operazioni effettuate su Dati personali, come definito all'Articolo 4(2) del GDPR.
- Interessato indica la persona fisica identificata o identificabile cui si riferiscono i Dati personali.
- Sub-responsabile indica qualsiasi terza parte incaricata da Suunta.ai di trattare Dati personali per conto del Cliente.
- Servizi indica la piattaforma Suunta.ai e i servizi correlati come descritti nei Termini di utilizzo.
- GDPR indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio (Regolamento generale sulla protezione dei dati).
- Standard Contractual Clauses (SCC) indica le clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi adottate dalla Commissione Europea.
- Incidente di sicurezza indica qualsiasi distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai Dati personali, accidentale o illecito.
2. Ambito e finalità
2.1 Ambito Questo DPA si applica a tutti i Trattamenti di Dati personali da parte di Suunta.ai per conto del Cliente in relazione ai Servizi.
2.2 Ruoli Il Cliente agisce come Titolare del trattamento. Suunta.ai agisce come Responsabile del trattamento. Quando Suunta.ai determina finalità e mezzi del trattamento (ad es. per analytics di miglioramento del servizio), Suunta.ai agisce come Titolare indipendente e tratterà tali dati in conformità alla propria Informativa sulla privacy.
2.3 Finalità del trattamento Suunta.ai tratta i Dati personali esclusivamente per fornire i Servizi come descritti nei Termini di utilizzo, inclusi:
- Gestione account utente e autenticazione
- Fornitura di funzionalità di pianificazione strategica basate su IA
- Trattamento e archiviazione dei dati aziendali inviati dagli Utenti
- Generazione di analisi e raccomandazioni assistite da IA
- Fatturazione e gestione abbonamenti
- Supporto clienti
- Sicurezza del servizio e prevenzione abusi
3. Categorie di dati e interessati
3.1 Categorie di interessati
- Dipendenti e collaboratori del Cliente che utilizzano i Servizi
- Altri individui i cui Dati personali sono inviati ai Servizi dal Cliente
3.2 Categorie di Dati personali
| Categoria | Elementi dei dati | Finalità |
|---|---|---|
| Dati account | Nome, email, telefono (opzionale), ruolo, titolo | Identificazione utente e accesso |
| Dati di autenticazione | Hash password, identificatori SSO, dati di sessione | Accesso sicuro |
| Dati organizzazione | Nome organizzazione, paese, città, settore, dimensione | Personalizzazione del servizio |
| Dati di utilizzo | Indirizzo IP, user agent, timestamp di accesso, log attività | Sicurezza e audit |
| Dati aziendali | Documenti strategici, OKR, KPI, progetti, attività | Erogazione del servizio principale |
| Dati di comunicazione | Messaggi chat, interazioni IA | Funzionalità del servizio |
| Dati di fatturazione | Stripe Customer ID, dettagli abbonamento | Elaborazione pagamenti |
3.3 Categorie particolari di dati Il Cliente accetta di non inviare categorie particolari di Dati personali (come definite dall'Articolo 9 del GDPR) ai Servizi senza il previo consenso scritto di Suunta.ai.
4. Obblighi del Responsabile
4.1 Istruzioni di trattamento Suunta.ai tratterà i Dati personali solo su istruzioni documentate del Cliente, informerà il Cliente se un'istruzione viola il GDPR e garantirà che le persone autorizzate siano vincolate alla riservatezza.
4.2 Misure di sicurezza
| Misura | Implementazione |
|---|---|
| Crittografia a riposo | AES-256 (AWS RDS) |
| Crittografia in transito | TLS 1.2+ |
| Controllo accessi | Accesso basato su ruoli, isolamento per organizzazione |
| Autenticazione | Hashing password (PBKDF2-SHA256), gestione sessione |
| Audit logging | Registrazione completa delle attività con politiche di conservazione |
| Backup | Backup giornalieri automatizzati con recupero point-in-time |
| Infrastruttura | AWS UE (Stoccolma, eu-north-1) |
4.3 Sub-processing Suunta.ai può coinvolgere Sub-responsabili alle condizioni della Sezione 6.
4.4 Assistenza al Titolare Suunta.ai assisterà il Cliente nel rispondere alle richieste degli interessati, garantendo la conformità agli Articoli 32-36 del GDPR e fornendo le informazioni necessarie a dimostrare la conformità.
4.5 Cancellazione e restituzione Alla cessazione dei Servizi o su richiesta del Cliente: (a) il Cliente può richiedere l'esportazione dei Dati del Cliente entro 30 giorni dalla cessazione; (b) Suunta.ai eliminerà i Dati personali entro 90 giorni dalla cessazione, salvo obblighi di conservazione per legge; (c) l'esportazione dei dati è fornita in formati JSON e CSV tramite i Servizi.
5. Trattamento dei dati specifico per l'IA
5.1 Trattamento IA Quando i Dati del Cliente sono trattati tramite funzionalità IA: (a) prompt e risposte vengono trasmessi ai Fornitori di IA di terze parti per l'elaborazione; (b) Suunta.ai NON conserva i prompt o le risposte IA nel proprio database; (c) vengono registrati solo metadati di utilizzo (token, latenza, modello, costo) per fatturazione e analytics; (d) la cronologia delle conversazioni chat è conservata per garantire la continuità della conversazione.
5.2 Nessun addestramento sui Dati del Cliente Suunta.ai NON utilizzerà i Dati del Cliente per addestrare, fine-tuning o migliorare modelli di IA senza consenso scritto esplicito. Suunta.ai configura i Fornitori di IA di terze parti per disabilitare la conservazione dei dati dove disponibile, escludere l'uso dei dati per addestramento e applicare politiche di zero data retention dove supportate.
5.3 Trattamento documenti RAG I documenti caricati vengono trattati per estrarre il testo, convertiti in embedding vettoriali e il testo grezzo viene eliminato entro 24 ore dall'indicizzazione. Il contenuto dei chunk e gli embedding vengono conservati per la funzionalità del servizio; alla cancellazione della fonte, tutti i chunk e gli embedding associati vengono rimossi.
6. Sub-responsabili
6.1 Sub-responsabili autorizzati Il Cliente fornisce un'autorizzazione generale a Suunta.ai per coinvolgere i Sub-responsabili elencati nell'Appendice A.
6.2 Requisiti per i Sub-responsabili Suunta.ai stipulerà accordi scritti con i Sub-responsabili imponendo obblighi di protezione dei dati non meno protettivi di questo DPA, rimarrà responsabile della conformità dei Sub-responsabili e svolgerà adeguata due diligence.
6.3 Modifiche ai Sub-responsabili Suunta.ai manterrà un elenco aggiornato dei Sub-responsabili su https://suunta.ai/legal/subprocessors, notificherà al Cliente almeno 30 giorni prima di coinvolgere un nuovo Sub-responsabile e offrirà al Cliente l'opportunità di opporsi per ragionevoli motivi di protezione dei dati.
6.4 Procedura di opposizione Se non si raggiunge una risoluzione entro 30 giorni, il Cliente può terminare i Servizi interessati senza penali. Tale risoluzione è l'unico rimedio del Cliente per le opposizioni ai Sub-responsabili.
7. Diritti degli interessati
7.1 Assistenza Suunta.ai assisterà il Cliente nel rispondere alle richieste degli interessati per esercitare i propri diritti ai sensi del Capitolo III del GDPR, inclusi accesso, rettifica, cancellazione, limitazione, portabilità dei dati e opposizione.
7.2 Richieste degli interessati Se Suunta.ai riceve una richiesta direttamente da un interessato, Suunta.ai notificherà prontamente il Cliente, non risponderà direttamente salvo autorizzazione o obbligo legale e fornirà ragionevole assistenza.
7.3 Funzionalità self-service I Servizi includono funzionalità self-service che consentono agli Utenti di:
- Visualizzare ed esportare i propri Dati personali
- Correggere le informazioni dell'account
- Eliminare il proprio account utente
- Richiedere l'esportazione dei dati dell'organizzazione
- Richiedere la cancellazione dell'organizzazione
8. Incidenti di sicurezza
8.1 Notifica Suunta.ai notificherà il Cliente di qualsiasi Incidente di sicurezza senza ingiustificato ritardo e in ogni caso entro 72 ore da quando ne viene a conoscenza, fornendo una descrizione dell'incidente, i soggetti e i record interessati, un punto di contatto, le probabili conseguenze e le misure adottate.
8.2 Cooperazione Suunta.ai coopererà con l'indagine del Cliente, adotterà misure ragionevoli per mitigare gli effetti, fornirà aggiornamenti e assisterà nelle notifiche alle autorità di controllo e agli interessati.
8.3 Registri Suunta.ai mantiene un log di audit di conformità immutabile per eventi rilevanti ai fini della sicurezza con conservazione estesa.
9. Trasferimenti internazionali
9.1 Località di trattamento Il trattamento principale dei dati avviene nell'UE (AWS eu-north-1, Stoccolma). Alcuni trattamenti possono avvenire negli USA tramite Fornitori di IA di terze parti.
9.2 Meccanismi di trasferimento Per trasferimenti verso paesi senza decisione di adeguatezza UE, Suunta.ai si basa sulle Standard Contractual Clauses (Modulo 2: titolare-responsabile, Modulo 3: responsabile-responsabile), misure supplementari e certificazioni dei Sub-responsabili ove applicabili.
9.3 Transfer Impact Assessment Suunta.ai ha condotto valutazioni di impatto per i trasferimenti verso gli USA, considerando:
- Natura dei dati trasferiti (principalmente prompt/query, non dati personali in massa)
- Misure tecniche (crittografia, configurazioni di zero data retention)
- Quadro giuridico del paese di destinazione
- Protezione contrattuale con i Sub-responsabili
10. Diritti di audit
10.1 Informazioni per audit Su richiesta scritta del Cliente (non più di una volta all'anno), Suunta.ai fornirà una sintesi delle misure di sicurezza, risultati di audit di terze parti (soggetti a riservatezza), conferma della conformità dei Sub-responsabili e registri di Incidenti di sicurezza che hanno interessato i Dati del Cliente.
10.2 Audit on-site Gli audit in loco richiedono un preavviso scritto di 30 giorni, sono condotti in orario lavorativo con minima interruzione, a spese del Cliente, sotto riservatezza e limitati alla conformità del DPA.
10.3 Certificazioni Suunta.ai sta lavorando verso le certificazioni SOC 2 Type II e ISO 27001. Al raggiungimento, i report di audit saranno resi disponibili ai Clienti sotto NDA.
11. Conservazione dei dati
11.1 Periodi di conservazione
| Categoria dati | Periodo di conservazione | Note |
|---|---|---|
| Dati account attivi | Durata dei Servizi | Eliminati alla cancellazione account |
| Account utente eliminati | Anonimizzati immediatamente | Conservazione backup 90 giorni |
| Metadati di utilizzo IA | 365 giorni | Conteggio token, costi |
| Log di audit (standard) | 24 mesi | Operazioni CRUD |
| Log di audit (critici) | 36 mesi | Cancellazioni, eventi di sicurezza |
| Log di audit di conformità | 7 anni | Immutabili, conservazione regolatoria |
| Registrazioni di fatturazione | 6 anni | Legge contabile finlandese |
| Backup | 30 giorni | Rotazione automatizzata |
11.2 Processo di cancellazione La cancellazione dell'organizzazione segue un processo strutturato: richiesta di cancellazione con conferma password; periodo di grazia di 30 giorni (annullabile); cancellazione dell'abbonamento Stripe; cancellazione sistematica di tutti i dati dell'organizzazione; registrazione immutabile di audit di conformità.
12. Responsabilità
La responsabilità di ciascuna parte ai sensi di questo DPA è soggetta alle limitazioni stabilite nei Termini di utilizzo. Ciascuna parte manleverà l'altra per perdite derivanti da violazione di questo DPA o delle leggi sulla protezione dei dati applicabili.
13. Durata e risoluzione
Questo DPA rimane in vigore per la durata dei Termini di utilizzo. Le Sezioni 5 (Trattamento dei dati specifico per l'IA), 8 (Incidenti di sicurezza), 11 (Conservazione dei dati) e 12 (Responsabilità) sopravvivono alla risoluzione.
14. Legge applicabile
Questo DPA è regolato dalle leggi della Finlandia. Le controversie saranno risolte secondo le disposizioni di risoluzione delle controversie dei Termini di utilizzo.
15. Contatto
Per richieste di protezione dei dati: Y4 Works Oy (Suunta.ai), Email: privacy@suunta.ai
Appendice A: Sub-responsabili autorizzati
Ultimo aggiornamento: 27 gennaio 2025. Consulta l'elenco completo su https://suunta.ai/legal/subprocessors.
Appendice B: Misure tecniche e organizzative
1. Controllo accessi
- Controllo accessi basato sui ruoli (RBAC)
- Isolamento dei dati a livello di organizzazione (architettura multi-tenant)
- Account utente univoci con autenticazione sicura
- Gestione sessioni con timeout configurabili
- Protezione da brute-force con blocco account
2. Crittografia
- Dati a riposo: crittografia AES-256 (AWS RDS)
- Dati in transito: TLS 1.2+ per tutte le connessioni
- Conservazione password: hashing PBKDF2-SHA256
3. Disponibilità e resilienza
- Infrastruttura AWS con alta disponibilità
- Backup giornalieri automatizzati con recupero point-in-time
- Procedure di disaster recovery
4. Monitoraggio e logging
- Audit logging completo delle attività degli utenti
- Tracciamento utilizzo IA (solo metadati)
- Monitoraggio eventi di sicurezza
- Conservazione dei log secondo la Sezione 11
5. Risposta agli incidenti
- Procedure di risposta agli incidenti documentate
- Impegno di notifica delle violazioni entro 72 ore
- Traccia di audit di conformità immutabile
6. Personale
- Obblighi di riservatezza per tutto il personale
- Formazione sulla sicurezza
- Principio del minimo privilegio
7. Gestione fornitori
- Due diligence sui Sub-responsabili
- Requisiti contrattuali di protezione dei dati
- Revisione regolare della conformità dei Sub-responsabili