1. Parti
Il presente Data Processing Agreement ("DPA") è stipulato tra:
- Titolare del trattamento ("Titolare"): il cliente che utilizza i servizi ANAME AI.
- Responsabile del trattamento ("Responsabile"): ANAME AI, che tratta i dati per conto del Titolare.
2. Oggetto e finalità del trattamento
ANAME AI tratta dati personali contenuti nei documenti caricati dal Titolare (atti notarili, visure catastali, certificati energetici, mutui ipotecari e altri documenti) al fine di:
- Estrarre dati strutturati tramite OCR e modelli AI
- Costruire il fascicolo digitale della pratica
- Eseguire verifiche incrociate tra documenti
- Fornire assistenza AI per analisi documentale
3. Tipologia di dati trattati
- Dati anagrafici: nomi, cognomi, date di nascita, codici fiscali
- Dati immobiliari: indirizzi, dati catastali, rendite
- Dati finanziari: importi, tassi, IBAN, modalità di pagamento
- Dati energetici: classe energetica, prestazioni, tecnici certificatori
4. Misure di sicurezza
ANAME AI implementa le seguenti misure tecniche e organizzative:
- Anonimizzazione: i dati sensibili (nomi, codici fiscali, IBAN) vengono anonimizzati prima di essere inviati ai modelli AI di terze parti (OpenAI). I modelli AI ricevono solo placeholder, mai dati reali.
- Crittografia: trasmissione dati via HTTPS/TLS. Database PostgreSQL con accesso crittografato.
- Localizzazione dati: database e server applicativi in Europa (Render, Francoforte).
- Autenticazione: accesso protetto da JWT con scadenza, rate limiting sugli endpoint.
- Isolamento: ogni organizzazione accede solo ai propri documenti (multi-tenancy con organization_id).
- No training: i dati personali non vengono mai utilizzati per il training dei modelli AI di terze parti.
5. Sub-responsabili
| Servizio | Fornitore | Finalità | Localizzazione |
|---|
| Hosting | Render | Server applicativo e database | Francoforte, EU |
| AI / Estrazione | OpenAI | Estrazione dati da testo (riceve solo dati anonimizzati) | USA (DPA con SCCs) |
| OCR | Google Cloud Vision | Conversione PDF/immagini in testo | UE/USA (DPA con SCCs) |
| Frontend | Vercel | Hosting interfaccia web | EU |
| Email | Resend | Invio email transazionali | USA (DPA con SCCs) |
6. Diritti dell'interessato
Il Titolare garantisce agli interessati i diritti previsti dal GDPR (artt. 15-22): accesso, rettifica, cancellazione, portabilità, limitazione del trattamento, opposizione.
ANAME AI supporta il Titolare nell'esercizio di tali diritti fornendo strumenti di esportazione dati e cancellazione account.
7. Durata e cessazione
Il presente DPA ha la stessa durata del contratto di servizio. Alla cessazione, ANAME AI cancella tutti i dati del Titolare entro 30 giorni, salvo obblighi di legge.
8. Data Breach
In caso di violazione dei dati personali (data breach), ANAME AI si impegna a:
- Notificare il Titolare entro 72 ore dal momento in cui viene a conoscenza della violazione, ai sensi dell'art. 33 del GDPR.
- Fornire al Titolare tutte le informazioni necessarie per la valutazione dell'impatto: natura della violazione, categorie e numero di interessati, conseguenze probabili, misure adottate o proposte.
- Collaborare con il Titolare per la notifica all'Autorità Garante e, se necessario, la comunicazione agli interessati (art. 34 GDPR).
- Documentare ogni violazione, le sue conseguenze e i provvedimenti adottati.
9. Contatti
Per richieste relative al trattamento dati: privacy@anameai.com