Data Processing Agreement
Rev. 1 — Maggio 2026 · Accordo per il trattamento dei dati personali
Il presente accordo (di seguito, "DPA") disciplina il trattamento dei dati personali che Florens Code S.r.l.(di seguito, "Responsabile" o "Verlio") effettua per conto del cliente del servizio Verlio (di seguito, "Titolare" o "Cliente") nei limiti delle istruzioni qui contenute, ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (di seguito, "GDPR").
Il presente DPA si applica automaticamente a tutti i Clienti che, nell'utilizzare il servizio Verlio, carichino contenuti audio o video contenenti dati personali di terzi (es. interlocutori intervistati, partecipanti a focus group, controparti in registrazioni professionali, pazienti, clienti) rispetto ai quali il Cliente sia titolare del trattamento. L'accettazione delle Condizioni Generali del Servizio comporta accettazione del presente DPA.
1. — Premesse e definizioni
Nel presente DPA, salvo diversa indicazione, i termini hanno il significato loro attribuito dal GDPR. In particolare:
- Titolare: il Cliente del servizio Verlio che, registrandosi e caricando Contenuti, determina finalità e mezzi del trattamento dei dati personali di terzi contenuti nei Contenuti;
- Responsabile: Florens Code S.r.l., che tratta i dati personali contenuti nei Contenuti del Cliente esclusivamente per fornire al Cliente il servizio Verlio;
- Contenuti: i file audio, video, i documenti di riferimento e le trascrizioni testuali generate, caricati o prodotti tramite il Servizio dal Cliente;
- Sub-responsabile: il fornitore di Florens Code S.r.l. che effettui parte del trattamento per conto di quest'ultima, secondo l'elenco pubblicato alla pagina /sub-responsabili;
- Interessato: la persona fisica i cui dati personali siano contenuti nei Contenuti.
2. — Oggetto del DPA
Il presente DPA disciplina il trattamento dei dati personali contenuti nei Contenuti che il Cliente carica sul Servizio. Il trattamento è effettuato dal Responsabile per conto del Titolare esclusivamente per le finalità descritte al successivo articolo 4 e nei limiti delle istruzioni documentate del Titolare, costituite dal presente DPA e dalle Condizioni Generali del Servizio.
3. — Categorie di interessati e tipologie di dati trattati
Il Cliente è esclusivamente responsabile della determinazione delle categorie di Interessati e delle tipologie di dati personali oggetto di trattamento attraverso il caricamento di Contenuti. A titolo esemplificativo e non esaustivo, le categorie di Interessati possono includere:
- intervistati e fonti, nel caso di registrazioni giornalistiche;
- partecipanti a focus group, interviste o studi qualitativi;
- parti di trattative o riunioni professionali registrate dal Cliente che vi prenda parte;
- clienti, fornitori o controparti del Cliente nell'ambito di colloqui registrati;
- studenti, docenti e relatori in registrazioni di lezioni o seminari;
- altre persone fisiche identificabili attraverso il contenuto della registrazione.
Le tipologie di dati trattati corrispondono a tutti i dati personali identificativi o identificabili contenuti nelle registrazioni e nei documenti di riferimento caricati dal Cliente (voce, nome, riferimenti personali pronunciati, contenuto delle dichiarazioni).
Il Cliente garantisce di essere legittimato a conferire al Responsabile i dati personali contenuti nei Contenuti, sulla base di un'idonea base giuridica ai sensi degli artt. 6 e — ove pertinente — 9 GDPR. Il Cliente è tenuto a non caricare sul Servizio dati personali per il cui trattamento non sia legittimato, in particolare:
- registrazioni effettuate senza essere parte della conversazione (registrazioni di terzi);
- intercettazioni vietate dalla legge;
- contenuti acquisiti in violazione dei diritti di terzi.
Si rinvia in proposito alla Policy d'uso accettabile.
4. — Natura e finalità del trattamento
Il Responsabile tratta i dati personali contenuti nei Contenuti del Cliente esclusivamente per le seguenti finalità:
- caricamento e archiviazione temporanea dei file audio o video sull'infrastruttura cloud del Servizio;
- elaborazione automatica della trascrizione mediante tecnologie di riconoscimento vocale, diarizzazione e cleanup testuale;
- generazione, archiviazione e messa a disposizione al Cliente delle trascrizioni nei formati richiesti (DOCX, PDF, TXT, SRT, VTT);
- conservazione temporanea dei Contenuti nei termini previsti dall'articolo 5 della Privacy Policy;
- esecuzione delle operazioni tecniche necessarie all'erogazione del Servizio (backup, log di sicurezza, monitoraggio).
Il Responsabile non utilizza i Contenuti per finalità ulteriori, in particolare:
- non addestra i propri modelli di intelligenza artificiale sui Contenuti del Cliente;
- non comunica i Contenuti a terzi, fatta eccezione per i sub-responsabili necessari all'erogazione del Servizio (vedi articolo 6);
- non aggrega né rielabora i Contenuti per finalità di profilazione o di analisi diverse dall'erogazione del Servizio.
5. — Durata del trattamento
Il trattamento ha durata pari al rapporto contrattuale tra Cliente e Responsabile. I termini di conservazione specifici dei Contenuti sono disciplinati alla sezione 7 della Privacy Policy e prevedono, in sintesi:
- cancellazione automatica dei file audio/video originali dopo 90 giorni dal caricamento;
- cancellazione automatica dei documenti di riferimento dopo 90 giorni dal completamento del lavoro;
- cancellazione delle trascrizioni testuali secondo le politiche di inattività dell'account, o anticipatamente su richiesta del Cliente.
Al termine del rapporto contrattuale, il Responsabile cancellerà o restituirà al Cliente, a sua scelta, tutti i Contenuti residui, salvo gli obblighi di conservazione previsti dalla normativa applicabile.
6. — Sub-responsabili
Il Titolare autorizza in via generale il Responsabile a ricorrere ad altri sub-responsabili del trattamento per l'erogazione del Servizio, secondo l'elenco aggiornato pubblicato alla pagina /sub-responsabili. Tale autorizzazione generale è rilasciata ai sensi dell'art. 28, par. 2, GDPR.
Il Responsabile si impegna a vincolare contrattualmente ogni sub-responsabile al rispetto degli stessi obblighi di protezione dei dati previsti dal presente DPA. In caso di nuovi sub-responsabili che comportino trasferimenti di dati extra-SEE, il Responsabile fornirà al Cliente preavviso ragionevole sulla pagina dei sub-responsabili, riconoscendo al Cliente il diritto di opporsi per motivi giustificati e — qualora l'opposizione non possa essere accolta — di risolvere il contratto.
7. — Trasferimento dei dati extra-SEE
Per alcuni servizi tecnici essenziali (in particolare la computazione GPU per la trascrizione e il modello linguistico di cleanup), il Responsabile si avvale di sub-responsabili ubicati negli Stati Uniti d'America. Tali trasferimenti sono effettuati in conformità all'art. 46 GDPR sulla base di Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea con Decisione 2021/914, integrate da misure tecniche supplementari quali la cifratura del trasporto e — ove applicabile — la non persistenza dei dati sui sistemi del sub-responsabile.
L'elenco specifico dei sub-responsabili extra-SEE e delle relative basi giuridiche è riportato alla pagina /sub-responsabili.
8. — Obblighi del Responsabile
Il Responsabile si impegna a:
- trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare, costituite dal presente DPA e dalle Condizioni Generali;
- garantire che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a obblighi di riservatezza di natura legale;
- adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (vedi articolo 9 del presente DPA);
- rispettare le condizioni previste dall'art. 28, par. 2 e par. 4, GDPR per ricorrere ad altri sub-responsabili;
- assistere il Titolare, con misure tecniche e organizzative adeguate, nell'adempimento degli obblighi di risposta alle richieste degli Interessati;
- assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile;
- cancellare o restituire al Titolare tutti i dati personali al termine della prestazione, salvo gli obblighi di conservazione previsti dalla normativa;
- mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR;
- informare immediatamente il Titolare qualora ritenga che un'istruzione violi il GDPR o altre disposizioni applicabili.
9. — Misure di sicurezza tecniche e organizzative
Il Responsabile, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, attua misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, ai sensi dell'art. 32 GDPR. In particolare:
- cifratura dei dati in transito (TLS 1.2 o superiore) e cifratura dei dati a riposo sui sistemi di storage;
- autenticazione mediante password salvate in forma cifrata one-way (bcrypt);
- controllo degli accessi al sistema mediante autenticazione, autorizzazione e principio di minimo privilegio;
- monitoraggio continuo dei log di sicurezza e dei tentativi di accesso anomali;
- backup periodici dei dati con conservazione cifrata;
- conservazione dei dati su infrastrutture ubicate prevalentemente nell'Unione Europea;
- formazione del personale autorizzato sui rischi di sicurezza informatica;
- procedure documentate di gestione degli incidenti di sicurezza;
- revisione periodica delle misure adottate.
10. — Notifica di data breach
Il Responsabile si impegna a notificare al Titolare qualunque violazione dei dati personali di cui venga a conoscenza, senza ingiustificato ritardo e comunque, ove possibile, entro 48 oredall'avvenuta conoscenza, fornendo al Titolare tutte le informazioni necessarie per consentirgli — ove richiesto — di adempiere agli obblighi di notifica all'autorità di controllo (art. 33 GDPR) e di comunicazione agli Interessati (art. 34 GDPR).
11. — Audit
Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consente, contribuendovi attivamente, le attività di revisione (audit) effettuate dal Titolare o da un soggetto incaricato dal Titolare, previo ragionevole preavviso scritto e con modalità che non interferiscano con il regolare svolgimento del Servizio. I costi degli audit sono a carico del Titolare richiedente, salvo diversa pattuizione.
12. — Diritti degli Interessati
Il Titolare resta unico responsabile della relazione con gli Interessati. Il Responsabile assiste il Titolare, mediante misure tecniche e organizzative adeguate, nell'esercizio dei diritti previsti dagli articoli 15-22 GDPR. Qualora il Responsabile riceva direttamente da un Interessato una richiesta di esercizio dei propri diritti, ne darà tempestiva comunicazione al Titolare senza prendere autonomamente decisioni in merito, salvo i casi in cui ciò sia richiesto dalla legge.
13. — Responsabilità
Ciascuna parte risponde dei danni cagionati nei limiti delle violazioni del GDPR o degli obblighi qui assunti, secondo il regime di responsabilità previsto dall'art. 82 GDPR. Le limitazioni di responsabilità previste alle Condizioni Generali si applicano anche al presente DPA per quanto compatibile.
14. — Validità del DPA
Il presente DPA produce effetti tra le parti per tutta la durata del rapporto contrattuale tra Cliente e Florens Code S.r.l. Per i Clienti enterprise che richiedano la sottoscrizione di un DPA in forma separata, controfirmato da entrambe le parti, è possibile inoltrare richiesta a info@verlio.ai.
15. — Foro e legge applicabile
Il presente DPA è regolato dalla legge italiana e dal GDPR. Per qualunque controversia, il foro competente è quello indicato all'art. 12 delle Condizioni Generali del Servizio.