Data Processing Agreement (DPA)
Accordo sul Trattamento dei Dati Personali
ex Art. 28 Regolamento UE 2016/679 – GDPR
Versione 2.0 — 10 aprile 2026
Martuccio AI S.r.l.s.
Via Fontevivo 19/F, 19125 La Spezia (SP)
C.F./P.IVA: 01603100114 | PEC: martuccioai@pec.it
Email: info@martuccioai.com | dep.martuccioai.com
Ambito di Applicazione
Il presente Data Processing Agreement (di seguito "DPA") si applica automaticamente a qualsiasi Cliente che utilizzi la Piattaforma DEP – Digital Employee Platform e carichi, trasmetta o elabori sulla stessa dati personali di terzi (dipendenti, clienti, utenti finali, contraenti o qualsiasi altra persona fisica).
Non è richiesta alcuna firma separata. Accettando le Condizioni Generali di Utilizzo (CGU) della Piattaforma, il Cliente accetta integralmente il presente DPA, che costituisce parte integrante di quelle CGU.
Il Cliente agisce in qualità di Titolare del trattamento. Martuccio AI S.r.l.s. agisce in qualità di Responsabile del trattamento.
1. Definizioni
Ai fini del presente DPA valgono le definizioni di cui all'Art. 4 GDPR, nonché:
- "GDPR": Regolamento UE 2016/679.
- "Cliente": qualsiasi persona fisica o giuridica che accetta le CGU della Piattaforma.
- "Dati di Trattamento": dati personali che il Cliente carica, trasmette o elabora sulla Piattaforma.
- "Sub-Responsabile": soggetto terzo nominato da Martuccio AI per eseguire attività di trattamento per conto del Cliente.
- "SCCs": Clausole Contrattuali Standard approvate dalla Commissione europea con Decisione 2021/914/UE.
- "Piattaforma": il servizio SaaS DEP – Digital Employee Platform e tutte le sue componenti.
2. Oggetto e Finalità del Trattamento
2.1
Martuccio AI tratta i Dati di Trattamento esclusivamente per le seguenti finalità:
- erogazione del servizio Piattaforma al Cliente;
- supporto tecnico e risoluzione di problemi;
- sicurezza e integrità della Piattaforma;
- adempimento di obblighi di legge applicabili a Martuccio AI.
2.2
Martuccio AI non tratta i Dati di Trattamento per finalità proprie, commerciali o di marketing, né per addestrare modelli AI propri o di terze parti.
2.3
Il trattamento ha durata pari al periodo di utilizzo attivo della Piattaforma da parte del Cliente, salvo quanto previsto dall'Art. 9 sulla conservazione e cancellazione.
3. Tipologie di Dati e Categorie di Interessati
3.1
I Dati di Trattamento possono includere, a seconda di quanto caricato dal Cliente:
Dati comuni (Art. 6 GDPR): dati anagrafici, dati di contatto, dati professionali, contenuti di documenti aziendali, conversazioni con gli agenti AI.
Dati particolari (Art. 9 GDPR): il Cliente si impegna a non caricare dati appartenenti a categorie particolari (sanitari, genetici, biometrici, giudiziari, orientamento sessuale, convinzioni religiose o politiche) senza previa comunicazione scritta a Martuccio AI e valutazione congiunta delle misure aggiuntive necessarie.
3.2
Le categorie di interessati possono includere dipendenti, collaboratori, clienti, prospect e qualsiasi altra persona fisica i cui dati siano contenuti nei materiali caricati dal Cliente.
3.3
Il Cliente è esclusivamente responsabile di: (a) disporre di adeguata base giuridica per tutti i Dati di Trattamento caricati; (b) aver adempiuto agli obblighi informativi verso gli interessati ex Artt. 13–14 GDPR prima del caricamento.
4. Istruzioni del Cliente
4.1
Martuccio AI tratta i Dati di Trattamento esclusivamente sulla base delle istruzioni documentate del Cliente. Il presente DPA e le CGU costituiscono la documentazione completa di tali istruzioni.
4.2
Se Martuccio AI ritiene che un'istruzione violi il GDPR, ne informa il Cliente prima di eseguirla.
4.3
Istruzioni aggiuntive devono essere fornite per iscritto e accettate da Martuccio AI per essere vincolanti.
5. Obblighi di Martuccio AI
5.1 — Riservatezza
Le persone autorizzate ad accedere ai Dati di Trattamento sono vincolate da obbligo di riservatezza.
5.2 — Misure di sicurezza
Martuccio AI adotta le seguenti misure tecniche e organizzative ai sensi dell'Art. 32 GDPR:
| Misura | Dettaglio |
|---|---|
| Crittografia in transito | TLS 1.3 su tutte le connessioni |
| Crittografia a riposo | AES-256 su tutti i dati archiviati |
| Isolamento tenant | Row-Level Security PostgreSQL — accesso cross-tenant tecnicamente impossibile |
| Autenticazione | JWT con scadenza e refresh token rotation |
| API Key | Hash SHA-256 — mai conservate in chiaro |
| Accesso ai sistemi | Principio del minimo privilegio |
| Log di accesso | Conservati 90 giorni |
5.3 — Sub-responsabili
Martuccio AI è autorizzata a ricorrere ai Sub-Responsabili elencati nell'Allegato A. Per qualsiasi nuovo Sub-Responsabile non in elenco, Martuccio AI notifica il Cliente con 14 giorni di preavviso tramite aggiornamento del presente DPA pubblicato su dep.martuccioai.com/legal/dpa. Il continuato utilizzo della Piattaforma dopo tale termine costituisce accettazione.
5.4 — Assistenza al Cliente
Martuccio AI assiste il Cliente nell'adempimento degli obblighi relativi a: (a) richieste di esercizio dei diritti degli interessati (risposta entro 5 giorni lavorativi dalla richiesta del Cliente); (b) sicurezza del trattamento; (c) notifica di violazioni dei dati al Garante; (d) valutazioni d'impatto (DPIA).
5.5 — Notifica data breach
In caso di violazione dei dati personali, Martuccio AI notifica il Cliente senza ingiustificato ritardo e comunque entro 24 ore dalla scoperta, con descrizione della natura della violazione, categorie di interessati coinvolti, misure adottate e dati di contatto del referente.
5.6 — Audit
Martuccio AI mette a disposizione del Cliente le informazioni necessarie a dimostrare la conformità al presente DPA e consente attività di audit con preavviso scritto di 10 giorni lavorativi. I costi dell'audit sono a carico del Cliente.
6. Obblighi del Cliente
Il Cliente si impegna a: (a) fornire istruzioni conformi al GDPR; (b) disporre di adeguata base giuridica per tutti i Dati di Trattamento caricati; (c) aver adempiuto agli obblighi informativi verso gli interessati; (d) non caricare dati ex Art. 9 GDPR senza previa comunicazione a Martuccio AI; (e) notificare tempestivamente a Martuccio AI qualsiasi richiesta di esercizio dei diritti ricevuta da un interessato.
7. Trasferimenti Extra-UE
I Dati di Trattamento possono essere trasferiti verso Sub-Responsabili situati al di fuori dello Spazio Economico Europeo. Tutti i trasferimenti avvengono nel rispetto delle garanzie appropriate previste dall'Art. 46 GDPR mediante SCCs ex Decisione 2021/914/UE, come dettagliato nell'Allegato A.
8. Responsabilità
8.1
Ciascuna parte risponde dei danni causati dal trattamento in violazione del GDPR nella misura in cui ne sia responsabile, ai sensi dell'Art. 82 GDPR.
8.2
La responsabilità di Martuccio AI nei confronti del Cliente è limitata ai danni diretti e documentati, nel rispetto dei cap previsti dalle CGU. Tale limitazione non si applica in caso di dolo o colpa grave.
8.3
Il Cliente manleva Martuccio AI da qualsiasi pretesa derivante da: (a) istruzioni non conformi al GDPR; (b) caricamento di dati senza adeguata base giuridica; (c) violazioni degli obblighi del Cliente ai sensi del presente DPA.
9. Conservazione e Cancellazione dei Dati
9.1
I Dati di Trattamento sono conservati per tutta la durata del periodo di utilizzo attivo della Piattaforma.
9.2
Alla cessazione del rapporto, il Cliente può richiedere entro 30 giorni: (a) esportazione in formato strutturato (JSON/CSV); oppure (b) cancellazione sicura con attestazione scritta. In assenza di richiesta, Martuccio AI procede alla cancellazione entro 30 giorni dalla cessazione.
9.3
I dati conservati per obbligo di legge (es. dati fiscali) sono mantenuti esclusivamente per il tempo previsto dalla norma applicabile.
10. Aggiornamenti al DPA
Martuccio AI si riserva di aggiornare il presente DPA in caso di modifiche normative o tecnologiche rilevanti. Gli aggiornamenti sono comunicati tramite: (a) notifica email all'indirizzo registrato; (b) aggiornamento della versione pubblicata su dep.martuccioai.com/legal/dpa, con almeno 30 giorni di preavviso. Il continuato utilizzo della Piattaforma dopo tale termine costituisce accettazione della versione aggiornata.
11. Legge Applicabile
Il presente DPA è disciplinato dalla legge italiana e dal GDPR. Per qualsiasi controversia è competente in via esclusiva il Tribunale di La Spezia.
Allegato A — Sub-Responsabili Autorizzati
| Sub-Responsabile | Servizio | Sede | Base trasferimento extra-SEE |
|---|---|---|---|
| Supabase Inc. | Database, autenticazione | USA (server EU) | SCCs ex Dec. 2021/914 + TIA |
| Railway Corp. | Hosting backend | USA | SCCs ex Dec. 2021/914 |
| Vercel Inc. | Hosting frontend | USA | SCCs ex Dec. 2021/914 |
| Anthropic PBC | LLM Claude — solo API, no training | USA | SCCs ex Dec. 2021/914 |
| OpenAI LLC | LLM GPT — solo API, no training | USA | SCCs ex Dec. 2021/914 |
| Langfuse GmbH | Osservabilità AI | Germania (UE) | Intra-UE |
| Stripe Inc. | Pagamenti | USA | SCCs + EU-US DPF |
| Upstash Inc. | Cache Redis, code messaggi | USA | SCCs ex Dec. 2021/914 |
I provider LLM (Anthropic, OpenAI) ricevono i dati esclusivamente per l'elaborazione in tempo reale tramite API e non li utilizzano per addestrare i propri modelli, secondo i rispettivi termini contrattuali API.
L'elenco aggiornato è sempre disponibile su dep.martuccioai.com/legal/dpa.