Accordo obbligatorio ai sensi del GDPR
Il presente Data Processing Agreement (DPA) è stipulato tra AgentHub in qualità di Responsabile del trattamento e il Professionista del benessere in qualità di Titolare del trattamento, come richiesto dall'art. 28 del Regolamento (UE) 2016/679. L'accettazione dei Termini di Servizio al momento della registrazione include l'accettazione del presente DPA.
Art. 1 — Definizioni
Ai fini del presente accordo si intendono per:
- "GDPR": il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
- "Titolare": il professionista del benessere che sottoscrive il presente accordo e che determina le finalità e i mezzi del trattamento dei dati dei propri clienti.
- "Responsabile": AgentHub, nella persona di Giovanni Mazzeo (Luros SAS di Mazzeo Giovanni & C.), che tratta i dati per conto del Titolare nell'erogazione del Servizio.
- "Servizio": la piattaforma AgentHub, che fornisce un agente AI su WhatsApp per la gestione automatizzata degli appuntamenti del professionista.
- "Dati personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile, inclusi numero di telefono e nome dei clienti.
- "Sub-responsabile": qualsiasi soggetto terzo nominato dal Responsabile per eseguire attività di trattamento per conto del Titolare.
Art. 2 — Oggetto e durata
Il presente accordo disciplina il trattamento dei dati personali che il Responsabile effettua per conto del Titolare nell'ambito dell'erogazione del Servizio AgentHub.
La durata del presente accordo coincide con quella del contratto di servizio tra le parti. Al termine del rapporto contrattuale, il Responsabile cancellerà o restituirà tutti i dati personali trattati per conto del Titolare, salvo diversa indicazione di legge.
Art. 3 — Natura, finalità e tipo di dati trattati
3.1 Natura del trattamento
Il trattamento consiste nella ricezione e nell'elaborazione automatizzata di messaggi WhatsApp provenienti dai clienti del Titolare, al fine di gestire prenotazioni, disponibilità e comunicazioni relative agli appuntamenti.
3.2 Finalità
- Risposta automatica ai clienti tramite WhatsApp Business
- Verifica della disponibilità del professionista tramite Google Calendar
- Creazione e gestione di appuntamenti sul calendario del professionista
- Escalation verso il professionista in caso di richieste fuori dall'ambito del Servizio
3.3 Categorie di dati trattati
| Dato |
Modalità |
| Numero di telefono |
Conservato in whitelist (database) su autorizzazione esplicita del Titolare |
| Nome del cliente |
Se comunicato dal cliente o inserito dal Titolare in whitelist |
| Testo dei messaggi |
Elaborato esclusivamente in memoria RAM — mai scritto su disco o database |
| Data/ora messaggi |
Solo per deduplication tecnica (TTL 5 minuti), poi eliminata |
| Statistiche aggregate |
Token AI utilizzati, numero conversazioni — nessun contenuto testuale |
3.4 Categorie di interessati
Clienti del Titolare che contattano il numero WhatsApp dello studio.
Art. 4 — Istruzioni del Titolare
Il Responsabile tratta i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare. Le istruzioni principali sono:
- Elaborare i messaggi in ingresso solo dei numeri presenti nella whitelist del Titolare; ignorare silenziosamente tutti gli altri.
- Non conservare il contenuto testuale dei messaggi su disco o database.
- Utilizzare i dati esclusivamente per la gestione degli appuntamenti e per le funzionalità del Servizio.
- Non comunicare i dati a terzi se non ai sub-responsabili necessari all'erogazione del Servizio (art. 7).
- Eliminare dalla memoria RAM i dati di conversazione entro 24 ore dall'ultimo messaggio o al termine della prenotazione.
4.1 Autorizzazione all'uso di strumenti AI
Il Titolare autorizza espressamente il Responsabile a trasmettere agli strumenti di intelligenza artificiale indicati all'art. 7 (sub-responsabili) le informazioni strettamente necessarie all'esecuzione del Servizio, nei limiti seguenti:
- I dati trasmessi si limitano al contenuto del messaggio WhatsApp ricevuto e al nome del cliente, esclusivamente per generare la risposta di prenotazione.
- Eventuali dati personali di terzi vengono trasmessi esclusivamente nella misura in cui contenuti nel messaggio originale del cliente — il Responsabile non aggiunge né elabora ulteriori dati di terzi.
- Nessun dato viene utilizzato dai sub-responsabili per addestrare modelli AI (zero data retention policy di Anthropic, Inc.).
Senza la presente autorizzazione, l'elaborazione AI dei messaggi costituirebbe trattamento privo di base giuridica ai sensi del GDPR. Il Titolare è responsabile di informare i propri clienti di tale elaborazione nell'informativa privacy che fornisce loro.
Art. 5 — Obblighi del Responsabile
Il Responsabile si impegna a:
- Trattare i dati personali soltanto per le finalità indicate nel presente accordo.
- Garantire la riservatezza dei dati e che le persone autorizzate al trattamento si siano impegnate alla riservatezza.
- Adottare tutte le misure di sicurezza richieste dall'art. 32 GDPR (art. 6 del presente accordo).
- Assistere il Titolare nell'adempimento degli obblighi di risposta alle richieste degli interessati (artt. 15–22 GDPR).
- Notificare al Titolare qualsiasi violazione dei dati personali (data breach) senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza.
- Fornire al Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi del presente accordo e consentire attività di audit.
- Non trasferire dati personali verso paesi terzi al di fuori dello SEE senza adeguate garanzie, salvo quanto indicato all'art. 7.
Art. 6 — Misure di sicurezza
Il Responsabile adotta le seguenti misure tecniche e organizzative:
Architettura zero-storage
Il contenuto dei messaggi WhatsApp non viene mai scritto nel database. Elaborazione esclusivamente in memoria RAM con TTL 24h — nessun dato clinico su disco.
| Misura |
Descrizione |
| Whitelist |
Solo i numeri autorizzati dal Titolare ricevono risposta. Tutti gli altri messaggi ignorati silenziosamente, senza alcuna chiamata API esterna. |
| Autenticazione webhook |
Verifica firma HMAC-SHA256 su ogni richiesta in ingresso da Meta. |
| Deduplication |
Prevenzione elaborazioni duplicate tramite ID messaggio (wamid) con TTL 5 minuti. |
| Database |
SQLite con WAL mode, foreign key ON. Nessun contenuto clinico o testuale dei messaggi. |
| Accesso dashboard |
Autenticazione con credenziali, cookie di sessione HMAC, auto-logout 10 minuti di inattività. |
| Infrastruttura |
VPS Hetzner (UE — Norimberga, Germania), HTTPS con certificato Let's Encrypt, firewall UFW. |
| Log |
Solo eventi tecnici (connessione, errori, statistiche aggregate). Nessun log di contenuto messaggi. |
Art. 7 — Sub-responsabili del trattamento
Il Titolare autorizza il Responsabile a nominare i seguenti sub-responsabili, necessari all'erogazione del Servizio:
| Sub-responsabile |
Finalità |
Sede |
Garanzie GDPR |
| Anthropic, Inc. |
Elaborazione AI dei messaggi (Claude Haiku 4.5). Zero data retention policy: i messaggi non vengono usati per training. |
USA |
Standard Contractual Clauses (SCC) + DPA Anthropic |
| Meta Platforms Ireland Ltd. |
Trasmissione messaggi WhatsApp Business (Meta Cloud API). Meta elabora già il traffico WhatsApp come titolare autonomo. |
UE/USA |
GDPR Art. 46 — DPA Meta |
| Hetzner Online GmbH |
Hosting VPS (server fisico in Germania, Norimberga). |
UE — DE |
Conforme GDPR UE |
| Google LLC |
Google Calendar API — creazione/lettura appuntamenti sul calendario del professionista. |
USA |
Google Workspace DPA + SCC |
Il Responsabile notificherà al Titolare qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili, dando al Titolare la possibilità di opporsi a tali modifiche.
Art. 8 — Diritti degli interessati
Il Responsabile assiste il Titolare nel dare seguito alle richieste degli interessati (clienti) per l'esercizio dei diritti previsti dagli artt. 15–22 GDPR:
- Diritto di accesso ai propri dati personali
- Diritto di rettifica
- Diritto alla cancellazione ("diritto all'oblio")
- Diritto alla portabilità dei dati
- Diritto di opposizione al trattamento
Il Titolare è responsabile di ricevere e gestire le richieste degli interessati. Il Responsabile fornisce supporto tecnico entro 5 giorni lavorativi dalla richiesta del Titolare.
Art. 9 — Violazioni dei dati (Data Breach)
In caso di violazione della sicurezza che comporti la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali, il Responsabile:
- Notifica il Titolare senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla conoscenza dell'evento.
- Fornisce tutte le informazioni necessarie per permettere al Titolare di valutare la necessità di notifica al Garante e agli interessati.
- Collabora con il Titolare per contenere l'incidente e prevenire ulteriori danni.
Le notifiche vanno inviate via email all'indirizzo comunicato dal Titolare al momento dell'iscrizione al Servizio.
Art. 10 — Cancellazione e restituzione dei dati
Al termine del contratto di servizio, il Responsabile:
- Elimina tutti i dati personali del Titolare e dei suoi clienti presenti nel database (whitelist, escalazioni, statistiche) entro 30 giorni dalla cessazione del rapporto.
- I dati in memoria RAM vengono eliminati automaticamente entro 24 ore (TTL automatico).
- Fornisce conferma scritta dell'avvenuta cancellazione su richiesta del Titolare.
La conservazione di eventuali dati di natura contabile o fiscale rimane disciplinata dalla normativa applicabile.
Art. 11 — Audit e verifiche
Il Titolare ha il diritto di verificare il rispetto del presente accordo. Il Responsabile:
- Mette a disposizione tutte le informazioni necessarie a dimostrare la conformità agli obblighi del presente accordo.
- Permette e contribuisce alle attività di audit e ispezione condotte dal Titolare o da un revisore da esso incaricato, con preavviso di almeno 15 giorni lavorativi.
- Può soddisfare il requisito di audit fornendo certificazioni o report di conformità di terze parti, ove disponibili.
Art. 12 — Disposizioni finali
12.1 Legge applicabile e foro competente
Il presente accordo è regolato dalla legge italiana. Per qualsiasi controversia è competente il Foro di Cremona (CR).
12.2 Modifiche
Qualsiasi modifica al presente accordo deve essere concordata per iscritto tra le parti. Il Responsabile può aggiornare il DPA con almeno 30 giorni di preavviso; l'uso continuato del Servizio dopo tale termine costituisce accettazione.
12.3 Prevalenza
In caso di conflitto tra il presente accordo e il contratto di servizio, prevalgono le disposizioni del presente accordo relativamente al trattamento dei dati personali.
Firme
Le parti dichiarano di aver letto e compreso il presente accordo e si impegnano a rispettarne tutti i termini. L'accettazione avviene in forma digitale tramite la procedura di iscrizione al Servizio.
Titolare del trattamento
Il Professionista
Nome e cognome / timbro studio
Firma: ___________________________
Data e luogo: ____________________
Responsabile del trattamento
Giovanni Mazzeo
AgentHub / Luros SAS di Mazzeo Giovanni & C.
Firma: ___________________________
Data e luogo: ____________________
Accettazione digitale
Il presente DPA è accettato digitalmente al momento della registrazione al Servizio AgentHub. L'accettazione è tracciata con timestamp e versione del documento. Per richiedere copia firmata o per domande:
app.agenthub@gmail.com