Premesse
Il presente Data Processing Agreement (di seguito "DPA" o "Accordo") è stipulato tra:
e
Titolare del Trattamento:
L'Utente Registrato che utilizza la piattaforma Luma per raccogliere e trattare dati personali degli Utenti Finali
(di seguito "Titolare" o "Cliente")
Il presente DPA costituisce parte integrante dei Termini e Condizioni di Servizio della piattaforma Luma e disciplina il trattamento dei dati personali effettuato da Nexum per conto del Cliente, in conformità all'articolo 28 del Regolamento (UE) 2016/679 (GDPR).
1. Definizioni
Ai fini del presente Accordo, oltre alle definizioni contenute nei Termini e Condizioni, si intende per:
- "GDPR": il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016
- "Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4, n. 1 GDPR)
- "Trattamento": qualsiasi operazione o insieme di operazioni compiute su dati personali (art. 4, n. 2 GDPR)
- "Titolare del Trattamento": il Cliente che determina le finalità e i mezzi del trattamento dei dati personali degli Utenti Finali
- "Responsabile del Trattamento": Nexum, che tratta i dati personali per conto del Titolare
- "Sub-responsabile": qualsiasi soggetto terzo incaricato da Nexum per svolgere specifiche attività di trattamento
- "Interessato": la persona fisica i cui dati personali sono oggetto di trattamento (Utente Finale)
- "Violazione dei Dati Personali": una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali (art. 4, n. 12 GDPR)
- "Clausole Contrattuali Standard" o "SCC": le clausole tipo adottate dalla Commissione Europea per i trasferimenti di dati verso paesi terzi
2. Oggetto e Ambito del Trattamento
2.1 Oggetto
Il presente Accordo disciplina i diritti e gli obblighi delle parti in relazione al trattamento dei dati personali degli Utenti Finali che il Cliente raccoglie tramite gli assistenti AI configurati sulla piattaforma Luma.
2.2 Ruoli delle Parti
- Il Cliente agisce come Titolare del Trattamento per i dati personali degli Utenti Finali
- Nexum agisce come Responsabile del Trattamento e tratta i dati esclusivamente per conto e su istruzione del Cliente
2.3 Dettagli del Trattamento
I dettagli specifici del trattamento sono descritti nell'Allegato 1 al presente Accordo e includono:
- Natura e finalità del trattamento
- Tipo di dati personali trattati
- Categorie di interessati
- Durata del trattamento
3. Obblighi del Titolare (Cliente)
Il Cliente, in qualità di Titolare del trattamento, si impegna a:
3.1 Liceità del Trattamento
- Garantire che il trattamento dei dati degli Utenti Finali sia basato su una valida base giuridica ai sensi dell'art. 6 GDPR
- Fornire agli Utenti Finali un'informativa privacy conforme agli artt. 13-14 GDPR
- Raccogliere, ove necessario, il consenso degli Utenti Finali
- Tenere un registro delle attività di trattamento ai sensi dell'art. 30 GDPR
3.2 Istruzioni al Responsabile
- Fornire a Nexum istruzioni documentate relative al trattamento dei dati
- Garantire che le istruzioni siano conformi alla normativa applicabile
- Non richiedere a Nexum trattamenti in violazione del GDPR o di altre norme
3.3 Diritti degli Interessati
- Gestire le richieste degli Utenti Finali relative ai loro diritti (accesso, rettifica, cancellazione, ecc.)
- Richiedere l'assistenza di Nexum quando necessario per rispondere a tali richieste
Responsabilità del Cliente: Il Cliente è l'unico responsabile per la liceità del trattamento dei dati raccolti tramite gli assistenti AI, incluse le finalità di utilizzo (es. ricontatto commerciale, marketing). Nexum non è responsabile per trattamenti illeciti effettuati dal Cliente sui dati degli Utenti Finali.
4. Obblighi del Responsabile (Nexum)
Nexum, in qualità di Responsabile del trattamento, si impegna a:
4.1 Trattamento su Istruzione
- Trattare i dati personali solo su istruzioni documentate del Titolare, salvo che lo richieda il diritto dell'Unione o nazionale (art. 28, par. 3, lett. a GDPR)
- Informare immediatamente il Titolare qualora ritenga che un'istruzione violi il GDPR o altre disposizioni
4.2 Riservatezza
- Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un obbligo legale di riservatezza (art. 28, par. 3, lett. b GDPR)
- Limitare l'accesso ai dati al personale strettamente necessario
4.3 Misure di Sicurezza
Adottare tutte le misure tecniche e organizzative richieste dall'art. 32 GDPR per garantire un livello di sicurezza adeguato al rischio, tra cui:
- La pseudonimizzazione e la cifratura dei dati personali
- La capacità di assicurare la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi
- La capacità di ripristinare tempestivamente la disponibilità dei dati in caso di incidente
- Una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure
Le misure di sicurezza specifiche adottate sono descritte nell'Allegato 2.
4.4 Sub-responsabili
- Rispettare le condizioni di cui all'art. 28, par. 2 e 4 GDPR per ricorrere a sub-responsabili
- Informare il Titolare di eventuali modifiche relative all'aggiunta o sostituzione di sub-responsabili
- Garantire che i sub-responsabili siano vincolati agli stessi obblighi di protezione dei dati
L'elenco dei sub-responsabili autorizzati è riportato nell'Allegato 3.
4.5 Assistenza al Titolare
- Assistere il Titolare nel dar seguito alle richieste degli interessati (art. 28, par. 3, lett. e GDPR)
- Assistere il Titolare negli adempimenti di cui agli artt. 32-36 GDPR (sicurezza, notifica violazioni, DPIA, consultazione preventiva)
4.6 Messa a Disposizione delle Informazioni
- Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità agli obblighi dell'art. 28 GDPR
- Consentire e contribuire alle attività di audit, comprese le ispezioni, condotte dal Titolare o da un altro soggetto da questi incaricato
4.7 Cancellazione o Restituzione
- Al termine del servizio, su scelta del Titolare, cancellare o restituire tutti i dati personali
- Cancellare le copie esistenti, salvo che il diritto dell'Unione o nazionale preveda la conservazione
5. Sub-responsabili
5.1 Autorizzazione Generale
Il Cliente autorizza Nexum a ricorrere ai sub-responsabili elencati nell'Allegato 3 per l'esecuzione di specifiche attività di trattamento.
5.2 Nuovi Sub-responsabili
Nexum informerà il Cliente con un preavviso di almeno 30 giorni prima di aggiungere o sostituire sub-responsabili, tramite comunicazione email o aggiornamento dell'Allegato 3.
Il Cliente può opporsi alla nomina di un nuovo sub-responsabile entro 15 giorni dalla notifica, fornendo motivazioni ragionevoli. In caso di opposizione, le parti si consulteranno in buona fede per trovare una soluzione. Se non si raggiunge un accordo, il Cliente può recedere dal contratto.
5.3 Obblighi verso i Sub-responsabili
Nexum impone ai sub-responsabili, mediante contratto o altro atto giuridico:
- Gli stessi obblighi di protezione dei dati contenuti nel presente DPA
- Garanzie sufficienti per l'attuazione di misure tecniche e organizzative adeguate
Nexum rimane pienamente responsabile nei confronti del Cliente per l'operato dei sub-responsabili.
6. Trasferimenti Internazionali
6.1 Principio Generale
I dati personali sono trattati all'interno dell'Unione Europea. Qualora sia necessario trasferire dati verso paesi terzi, Nexum garantirà l'adozione di garanzie adeguate ai sensi del Capo V del GDPR.
6.2 Garanzie per i Trasferimenti
Per i trasferimenti verso paesi che non garantiscono un livello adeguato di protezione, Nexum adotta:
- Decisione di adeguatezza: per i paesi riconosciuti dalla Commissione Europea
- EU-US Data Privacy Framework (DPF): per i fornitori USA certificati
- Clausole Contrattuali Standard (SCC): Decisione di Esecuzione (UE) 2021/914
- Misure supplementari: crittografia, pseudonimizzazione, valutazione d'impatto del trasferimento (TIA)
7. Violazione dei Dati Personali
7.1 Notifica al Titolare
In caso di violazione dei dati personali, Nexum:
- Notificherà il Titolare senza ingiustificato ritardo e comunque entro 48 ore dal momento in cui ne viene a conoscenza
- Fornirà tutte le informazioni necessarie per consentire al Titolare di adempiere agli obblighi di notifica all'Autorità di controllo (art. 33 GDPR) e di comunicazione agli interessati (art. 34 GDPR)
7.2 Contenuto della Notifica
La notifica includerà almeno:
- La descrizione della natura della violazione
- Le categorie e il numero approssimativo di interessati coinvolti
- Le categorie e il numero approssimativo di registrazioni di dati personali in questione
- Le probabili conseguenze della violazione
- Le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione
- I dati di contatto per ottenere maggiori informazioni
7.3 Collaborazione
Nexum collaborerà con il Titolare per:
- Investigare la violazione e determinarne le cause
- Mitigare gli effetti negativi
- Documentare la violazione nel registro interno
- Adottare misure correttive per prevenire violazioni future
8. Assistenza per le Richieste degli Interessati
8.1 Supporto al Titolare
Tenendo conto della natura del trattamento, Nexum assiste il Titolare con misure tecniche e organizzative adeguate per soddisfare l'obbligo di dar seguito alle richieste degli interessati relative all'esercizio dei loro diritti di cui agli artt. 15-22 GDPR:
- Diritto di accesso
- Diritto di rettifica
- Diritto alla cancellazione
- Diritto di limitazione
- Diritto alla portabilità
- Diritto di opposizione
8.2 Richieste Dirette
Se Nexum riceve una richiesta direttamente da un Utente Finale:
- Informerà tempestivamente il Cliente
- Non risponderà direttamente all'Utente Finale, salvo per confermare la ricezione della richiesta
- Seguirà le istruzioni del Cliente per gestire la richiesta
9. Audit
9.1 Diritto di Audit
Nexum mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità agli obblighi del presente DPA e consente l'esecuzione di audit, comprese ispezioni.
9.2 Modalità di Esecuzione
- Il Cliente (o un auditor terzo incaricato, soggetto a obbligo di riservatezza) può eseguire audit con un preavviso ragionevole di almeno 30 giorni
- L'audit deve essere condotto durante il normale orario lavorativo, senza interferire con le attività operative
- I costi dell'audit sono a carico del Cliente, salvo che l'audit riveli una non conformità materiale di Nexum
9.3 Report di Audit Esistenti
Il Cliente può richiedere a Nexum certificazioni o report di audit di terze parti indipendenti relativi alle misure di sicurezza implementate.
10. Durata e Cessazione
10.1 Durata
Il presente DPA entra in vigore al momento della registrazione del Cliente sulla piattaforma Luma e rimane efficace per tutta la durata del rapporto contrattuale.
10.2 Effetti della Cessazione
Alla cessazione del contratto di servizio:
- Il Cliente può richiedere l'esportazione dei dati personali entro 30 giorni
- Decorsi 90 giorni dalla cessazione, Nexum procederà alla cancellazione sicura di tutti i dati personali
- Nexum fornirà al Cliente, su richiesta, certificazione dell'avvenuta cancellazione
10.3 Obblighi Sopravviventi
Gli obblighi di riservatezza e le disposizioni relative alla gestione delle violazioni sopravvivono alla cessazione del presente Accordo.
11. Responsabilità
11.1 Responsabilità di Nexum
Nexum è responsabile per i danni derivanti dal trattamento solo se:
- Non ha adempiuto agli obblighi specificamente diretti ai responsabili dal GDPR
- Ha agito in modo difforme o contrario alle legittime istruzioni del Titolare
11.2 Limitazioni
La responsabilità di Nexum per danni derivanti dal presente DPA è soggetta alle limitazioni previste nei Termini e Condizioni di Servizio, nei limiti consentiti dalla legge applicabile.
12. Modifiche all'Accordo
Nexum può modificare il presente DPA per:
- Conformarsi a modifiche normative o a decisioni delle Autorità di controllo
- Riflettere modifiche ai servizi o ai sub-responsabili
- Migliorare le misure di protezione dei dati
Le modifiche sostanziali saranno comunicate con almeno 30 giorni di preavviso.
13. Disposizioni Finali
13.1 Prevalenza
In caso di conflitto tra il presente DPA e i Termini e Condizioni di Servizio, prevalgono le disposizioni del presente DPA in materia di protezione dei dati personali.
13.2 Legge Applicabile
Il presente DPA è regolato dalla legge italiana e dal GDPR.
13.3 Foro Competente
Per qualsiasi controversia derivante dal presente DPA, si applica il foro indicato nei Termini e Condizioni di Servizio.
14. Contatti
Per qualsiasi comunicazione relativa al presente DPA:
Allegato 1 - Dettagli del Trattamento
A. Natura e Finalità del Trattamento
| Elemento |
Descrizione |
| Oggetto del trattamento |
Fornitura di servizi di assistenti AI conversazionali tramite la piattaforma Luma |
| Natura del trattamento |
Raccolta, registrazione, conservazione, elaborazione, consultazione, comunicazione mediante trasmissione, cancellazione |
| Finalità del trattamento |
Erogazione del servizio di assistente AI; elaborazione delle conversazioni; generazione di risposte; raccolta dati tramite form; gestione prenotazioni |
| Durata del trattamento |
Per tutta la durata del rapporto contrattuale e per il periodo di conservazione previsto |
B. Categorie di Interessati
- Utenti Finali: persone fisiche che interagiscono con gli assistenti AI del Cliente
- Clienti degli Utenti Registrati (nel caso di attività B2C)
- Potenziali clienti che contattano l'assistente AI
C. Categorie di Dati Personali
| Categoria |
Esempi |
| Dati identificativi |
Nome, cognome (se forniti dall'Utente Finale) |
| Dati di contatto |
Email, numero di telefono (se raccolti tramite form) |
| Contenuto delle comunicazioni |
Testo dei messaggi scambiati con l'assistente AI |
| Dati di prenotazione |
Data, ora, numero persone, preferenze (per assistenti con funzionalità booking) |
| Metadati |
UUID conversazione, timestamp, User-Agent browser |
D. Categorie Particolari di Dati (Art. 9 GDPR)
Il trattamento non prevede la raccolta sistematica di categorie particolari di dati personali. Qualora l'Utente Finale inserisca spontaneamente tali dati nelle conversazioni, il Titolare (Cliente) ne è l'unico responsabile.
Allegato 2 - Misure di Sicurezza
A. Misure Tecniche
| Misura |
Descrizione |
| Crittografia in transito |
TLS 1.2/1.3 per tutte le comunicazioni |
| Crittografia a riposo |
Crittografia del database e dei backup |
| Hashing password |
Algoritmo bcrypt con salt |
| Controllo accessi |
RBAC (Role-Based Access Control) |
| Autenticazione |
Requisiti di complessità password |
| Protezione applicativa |
Difesa da CSRF, XSS, SQL Injection |
| Backup |
Backup giornalieri automatici con crittografia |
| Isolamento |
Containerizzazione servizi (Docker) |
| Firewall |
Regole di accesso restrittive |
| Monitoraggio |
Log di accesso e rilevamento anomalie |
B. Misure Organizzative
| Misura |
Descrizione |
| Principio del minimo privilegio |
Accesso ai dati limitato al personale strettamente necessario |
| Riservatezza |
Accordi di riservatezza con tutto il personale |
| Incident Response |
Procedure documentate di gestione incidenti |
| Registro trattamenti |
Registro delle attività di trattamento ex art. 30 GDPR |
| Valutazione fornitori |
Due diligence sui sub-responsabili |
Allegato 3 - Elenco dei Sub-responsabili
Il Cliente autorizza il ricorso ai seguenti sub-responsabili:
| Sub-responsabile |
Servizio |
Sede |
Garanzie Trasferimento |
| OVHcloud |
Hosting infrastruttura, server, database |
Francia (UE) |
Trattamento in UE |
| Mailgun (Sinch) |
Invio email transazionali (notifiche) |
USA/UE |
DPF + SCC |
| OpenAI, Inc. |
Elaborazione linguaggio naturale (LLM) |
USA |
DPA + SCC |
| Anthropic PBC |
Elaborazione linguaggio naturale (alternativa) |
USA |
DPA + SCC |
| Stripe, Inc. |
Elaborazione pagamenti |
USA/Irlanda |
DPF + SCC |
Ultimo aggiornamento elenco: 21 novembre 2025