Accordo sul trattamento dei dati (DPA)

Data di decorrenza: 10 febbraio 2026 · Versione: 1.0

Il presente Accordo sul trattamento dei dati (“DPA”) spiega come Rakenne tratta i dati personali per conto dei clienti che utilizzano la piattaforma Rakenne su rakenne.app (il “Servizio”). Esso integra ed è parte integrante dei Termini di utilizzo o di un altro accordo scritto o elettronico tra voi e Rakenne (l’“Accordo principale”).

In caso di conflitto tra il presente DPA e l’Accordo principale in merito al trattamento dei dati, prevale il DPA. Continuando a utilizzare il Servizio dopo la data di decorrenza sopra indicata, accettate il presente DPA. Se avete bisogno di una copia firmata, contattateci all’indirizzo privacy@rakenne.app .

1. Ruoli, base giuridica e panoramica

1.1 Chi fa cosa

  • Voi agite come “titolare del trattamento” dei dati personali ai sensi del GDPR e di altre leggi applicabili in materia di protezione dei dati.
  • Rakenne agisce come “responsabile del trattamento” quando tratta dati personali per vostro conto nell’ambito dell’erogazione del Servizio.

Voi decidete quali dati caricare, per quanto tempo conservarli, quali workspace creare e chi, dalla vostra organizzazione, ha accesso. Noi gestiamo l’infrastruttura e trattiamo i dati personali esclusivamente per fornire e proteggere il Servizio, in linea con le vostre istruzioni documentate.

1.2 Oggetto del DPA

Il presente DPA si applica ogniqualvolta:

  • utilizziate il Servizio per archiviare o trattare dati personali; e
  • il GDPR o normative analoghe considerino Rakenne come vostro responsabile del trattamento.

Il DPA descrive:

  • quali tipi di dati personali trattiamo e per quali finalità generali;
  • quali misure di sicurezza e salvaguardie applichiamo;
  • come collaboriamo con sub-responsabili del trattamento e gestiamo i trasferimenti internazionali di dati;
  • in che modo vi aiutiamo a soddisfare i vostri obblighi in qualità di titolare.

1.3 Descrizione di alto livello del trattamento

Rakenne è un ambiente assistito da IA per creare ed eseguire flussi di lavoro su documenti. In questo contesto:

  • ospitiamo tenant, progetti e workspace;
  • archiviamo e trattiamo documenti, flussi di lavoro e interazioni in chat;
  • eseguiamo inferenza IA con fornitori di modelli di terze parti selezionati;
  • manteniamo log e dati operativi per rendere il Servizio sicuro e affidabile.

Non utilizziamo i dati personali che trattiamo per vostro conto per addestrare modelli di IA generici e non vendiamo né noleggiamo tali dati.

2. Tipi di dati e operazioni di trattamento

2.1 Categorie di dati personali

A seconda della vostra configurazione e del vostro utilizzo, possiamo trattare:

  • Dati utente e account – nomi, indirizzi e-mail, identificativi di accesso, ruoli e appartenenza ai workspace;
  • Dati di contenuto – documenti, flussi di lavoro, commenti, prompt e trascrizioni di conversazioni che voi o i vostri utenti create o caricate;
  • Dati di utilizzo e tecnici – log di attività, timestamp, metriche di utilizzo delle funzionalità, indirizzi IP, informazioni sul browser e identificatori di dispositivo che possono costituire dati personali;
  • Dati di fatturazione – dati di fatturazione limitati gestiti principalmente dal nostro fornitore di pagamenti (Stripe), come identificativi di pagamento e dettagli di abbonamento;
  • Dati potenzialmente sensibili – informazioni che possono rientrare nelle categorie particolari ai sensi dell’articolo 9 GDPR o in altre categorie di dati sensibili, qualora decidiate di includerle (vedere la sezione 5.2).

Siete voi a decidere quali informazioni inserire nel Servizio e siete responsabili di garantire che tale inserimento sia lecito.

2.2 Natura e finalità del trattamento

Per vostro conto svolgiamo una serie di operazioni su dati personali, tra cui:

  • archiviazione, recupero e organizzazione di dati di contenuto e di account;
  • trasmissione di dati tra il Servizio e i dispositivi dei vostri utenti;
  • analisi e generazione basate su IA (solo inferenza) con fornitori di modelli di terze parti configurati da noi o da voi (Bring Your Own Key);
  • logging, monitoraggio e troubleshooting per mantenere il Servizio affidabile e sicuro;
  • backup e ripristino dei dati, nel rispetto dei limiti di conservazione descritti nel presente DPA e nella nostra Informativa sulla privacy.

Svolgiamo tali attività esclusivamente:

  • per fornire, supportare, proteggere e migliorare il Servizio; e
  • per adempiere ai nostri obblighi di legge.

3. Istruzioni, riservatezza e sicurezza

3.1 Le vostre istruzioni

Trattiamo i dati personali esclusivamente in conformità:

  • al presente DPA e all’Accordo principale;
  • alla vostra configurazione e al vostro utilizzo del Servizio (ad esempio tenant, workspace, ruoli, impostazioni dei modelli, opzioni di conservazione);
  • alle vostre richieste scritte inviate tramite i canali di supporto documentati.

Se riteniamo, in buona fede, che una vostra istruzione sia in conflitto con la normativa applicabile in materia di protezione dei dati, vi informeremo e potremo sospendere il trattamento interessato fino a quando non riceveremo istruzioni chiarite o non saremo autorizzati a procedere.

3.2 Riservatezza

Solo il personale che ha bisogno di accedere ai dati per svolgere le proprie mansioni può trattare dati personali. Tali persone:

  • sono vincolate da obblighi di riservatezza (contrattuali o legali);
  • ricevono una formazione adeguata al loro ruolo;
  • accedono ai dati esclusivamente tramite canali autenticati e tracciati.

3.3 Misure di sicurezza

Manteniamo misure tecniche e organizzative progettate per proteggere i dati personali da distruzione, perdita, alterazione, divulgazione o accesso non autorizzati, accidentali o illeciti. Tali misure evolvono nel tempo, ma comprendono almeno:

  • Controllo degli accessi e segmentazione

    • Autenticazione per gli accessi utente e amministratore;
    • Isolamento di tenant e workspace per prevenire fughe di dati tra clienti;
    • Controlli di accesso basati sui ruoli per il personale, secondo il principio del privilegio minimo.

  • Cifratura

    • Cifratura dei dati in transito tramite TLS moderno;
    • Cifratura dei dati a riposo nei nostri sistemi di storage e database;
    • Gestione corretta di chiavi e segreti.

  • Resilienza e continuità operativa

    • Uso di infrastruttura cloud affidabile (attualmente Google Cloud in regioni degli Stati Uniti);
    • Backup programmati e testati;
    • Procedure di monitoraggio, allerta e risposta agli incidenti.

  • Governance e test

    • Revisione periodica della nostra postura di sicurezza;
    • Logging e monitoraggio degli eventi di sicurezza rilevanti;
    • Correzione prioritaria delle vulnerabilità identificate.

Ulteriori dettagli possono essere forniti su richiesta, soggetti a impegni ragionevoli di riservatezza.

4. Sub-responsabili del trattamento e terze parti

4.1 Uso di sub-responsabili del trattamento

Ci avvaliamo di terze parti accuratamente selezionate (“sub-responsabili del trattamento”) per effettuare determinate attività di trattamento necessarie alla fornitura del Servizio. Ci autorizzate a incaricare tali sub-responsabili, a condizione che:

  • ciascun sub-responsabile sia vincolato da condizioni di protezione dei dati almeno altrettanto rigorose di quelle del presente DPA; e
  • restiamo responsabili nei vostri confronti per l’adempimento degli obblighi in capo ai nostri sub-responsabili.

4.2 Sub-responsabili principali

I nostri sub-responsabili principali includono, in genere:

  • Google Cloud – hosting, database e storage;
  • Stripe – fatturazione delle sottoscrizioni e elaborazione dei pagamenti;
  • Fornitori di LLM – Anthropic, OpenAI o Google quando forniamo noi la chiave API e voi non utilizzate Bring Your Own Key.

Possiamo utilizzare sub-responsabili aggiuntivi per logging, monitoraggio, operazioni di supporto o altre funzioni ausiliarie. Un registro dettagliato e periodicamente aggiornato dei nostri fornitori, dei loro ruoli, delle loro sedi e delle categorie di dati è disponibile nella nostra pagina Sub-responsabili & Trattamento dei dati , che va letta insieme al presente DPA.

4.3 Modifiche e diritto di opposizione

Se intendiamo aggiungere o sostituire un sub-responsabile che tratterà dati personali per vostro conto, vi forniremo un preavviso (ad esempio via e-mail, notifiche in-app o aggiornamento pubblico) almeno 30 giorni prima che la modifica diventi effettiva, salvo che un’urgenza operativa richieda un periodo più breve che non riduca in modo sostanziale il livello di protezione.

Se avete un’obiezione ragionevole basata su motivi di protezione dei dati, dovete comunicarcela entro tale periodo. Collaboreremo in buona fede per affrontare le vostre preoccupazioni, il che può includere adeguamenti di configurazione per il vostro account. Se non è disponibile alcuna soluzione accettabile, il vostro unico rimedio consiste nel cessare la parte interessata del Servizio, conformemente all’Accordo principale.

5. Le vostre responsabilità in quanto titolare

5.1 Base giuridica e trasparenza

Siete responsabili in particolare di:

  • identificare e documentare una base giuridica valida per ciascuna attività di trattamento effettuata tramite il Servizio;
  • informare gli interessati su come utilizzate il Servizio e su come Rakenne agisce come vostro responsabile del trattamento;
  • garantire che le vostre politiche, informative e prassi siano coerenti con il presente DPA e con la normativa applicabile.

5.2 Categorie particolari e dati sensibili

Il Servizio è stato progettato per flussi di lavoro professionali su documenti, non per il trattamento su larga scala di categorie particolari di dati personali. Se scegliete di caricare dati che rientrano nelle categorie particolari di cui all’art. 9 GDPR (ad esempio dati relativi alla salute, origine etnica o convinzioni) o altri dati sensibili:

  • dovete assicurarvi che siano soddisfatte le condizioni specifiche previste dalla legge applicabile per il trattamento di tali dati (ad esempio consenso esplicito o esercizio/difesa di diritti in sede giudiziaria); e
  • dovete configurare accessi e tempi di conservazione in modo proporzionato al profilo di rischio elevato.

In generale, raccomandiamo di evitare l’inclusione non necessaria nel Servizio di dati appartenenti a categorie particolari o altamente sensibili.

5.3 Configurazione, conservazione e housekeeping

Siete voi a controllare per quanto tempo la maggior parte delle categorie di dati personali rimane nel Servizio. In particolare, dovreste:

  • configurare workspace, permessi e parametri di conservazione in linea con le vostre politiche interne;
  • rivedere regolarmente i dati ed eliminare quelli non più necessari;
  • usare i meccanismi di esportazione e cancellazione che mettiamo a disposizione come parte della gestione del ciclo di vita dei dati.

5.4 Diritti degli interessati e comunicazioni con le autorità

Voi siete il punto di contatto principale per gli interessati e per le autorità di controllo. Siete responsabili di:

  • ricevere e rispondere alle richieste degli interessati che esercitano i loro diritti (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione);
  • decidere se e come notificare le autorità di controllo o gli interessati in caso di incidenti.

Noi vi assisteremo come descritto nella sezione 6.

6. Assistenza, gestione delle violazioni e DPIA

6.1 Supporto per i diritti degli interessati

Tenendo conto della natura del trattamento e delle informazioni a nostra disposizione, forniremo un’assistenza ragionevole, tramite strumenti o supporto, per aiutarvi a:

  • individuare, esportare, correggere o cancellare dati personali conservati nel Servizio, ove tecnicamente possibile; e
  • rispondere alle richieste degli interessati relative a trattamenti che svolgiamo in qualità di vostro responsabile del trattamento.

Se riceviamo direttamente una richiesta da un interessato che riguarda chiaramente dati personali che trattiamo per vostro conto, e nella misura consentita dalla legge, la inoltreremo a voi invece di rispondere in modo autonomo.

6.2 Violazioni di dati personali

Se veniamo a conoscenza di una violazione di dati personali che riguardi dati trattati per vostro conto, noi:

  • vi informeremo senza ingiustificato ritardo dopo la conferma della violazione; e
  • condivideremo le informazioni che siamo ragionevolmente in grado di fornire in quella fase, tra cui:
    • una descrizione della natura della violazione (ove nota);
    • le categorie e il numero approssimativo di interessati e di record coinvolti (ove determinabili);
    • le probabili conseguenze della violazione;
    • le misure adottate o proposte per porre rimedio alla violazione e mitigarne gli effetti.

Collaboreremo con voi per supportare la vostra valutazione e qualsiasi notifica che decidiate di effettuare alle autorità di controllo o agli interessati. Voi restate responsabili del rispetto degli obblighi legali di notifica delle violazioni.

6.3 Valutazioni d’impatto e consultazioni preventive

Quando siete tenuti a svolgere una Valutazione d’impatto sulla protezione dei dati (DPIA) o a consultare un’autorità di controllo in relazione al vostro uso del Servizio, forniremo una ragionevole assistenza:

  • mettendo a disposizione informazioni sulle nostre attività di trattamento, sui controlli di sicurezza e sui sub-responsabili; e
  • rispondendo a questionari scritti ragionevoli relativi al Servizio.

7. Localizzazione dei dati e trasferimenti internazionali

7.1 Dove vengono trattati i dati

Attualmente il Servizio è ospitato su Google Cloud negli Stati Uniti. Di conseguenza, i dati personali possono essere archiviati o trattati negli USA e in altre giurisdizioni in cui operano i nostri sub-responsabili.

7.2 Garanzie per i trasferimenti

Quando il GDPR o leggi analoghe qualificano un trasferimento come “internazionale” (ad esempio dall’SEE, dal Regno Unito o dalla Svizzera verso un paese privo di decisione di adeguatezza), ci assicuriamo che siano in atto garanzie adeguate, quali:

  • Clausole contrattuali tipo adottate dalla Commissione europea; e/o
  • altri strumenti di trasferimento riconosciuti dalla legge, insieme a misure tecniche e organizzative supplementari.

Le informazioni sulle garanzie utilizzate dai principali sub-responsabili (Google Cloud, Stripe e fornitori di LLM) sono disponibili nella loro documentazione pubblica e, quando opportuno, nei nostri materiali sulla privacy o su richiesta.

8. Conservazione, cancellazione e diritti di audit

8.1 Conservazione e cancellazione al termine del rapporto

Quando l’Accordo principale termina o quando ci impartite istruzioni scritte in tal senso, e fatte salve le nostre obbligazioni legali di conservazione:

  • cancelleremo dai sistemi attivi i dati personali trattati per vostro conto entro un periodo commercialmente ragionevole (in genere entro 30 giorni); oppure
  • restituiremo i dati personali in un formato di uso comune e leggibile da dispositivo automatico, se richiesto prima della cancellazione; e
  • rimuoveremo i dati personali dai backup attraverso il nostro normale ciclo di rotazione delle copie di sicurezza (in genere entro 90 giorni).

Potremo conservare dati che siano stati irreversibilmente anonimizzati o aggregati, tali da non costituire più dati personali.

8.2 Diritti di audit e verifica

Per consentirvi di verificare la conformità al presente DPA, noi:

  • manterremo documentazione descrittiva delle nostre misure tecniche e organizzative rilevanti; e
  • risponderemo a questionari ragionevoli in materia di sicurezza e protezione dei dati.

Qualora ciò non sia sufficiente, voi (o un revisore indipendente da voi designato e da noi approvato, approvazione che non sarà irragionevolmente negata) potrete, non più di una volta ogni 12 mesi – salvo diversa previsione di legge o in caso di violazione confermata – effettuare un audit che:

  • sia limitato ai trattamenti dei vostri dati personali disciplinati dal presente DPA;
  • sia svolto durante il normale orario di lavoro e con un preavviso ragionevole; e
  • sia progettato in modo da evitare indebite interruzioni delle nostre operazioni.

Sosterrete i vostri costi e i nostri costi ragionevoli e documentati per il supporto di tale audit, salvo che dallo stesso emerga una violazione materiale del presente DPA a noi imputabile.

9. Responsabilità, durata e modifiche

9.1 Regime di responsabilità

La ripartizione e la limitazione della responsabilità tra voi e Rakenne per questioni derivanti dal presente DPA o ad esso connesse seguono le regole stabilite nell’Accordo principale, unitamente all’articolo 82 GDPR, ove applicabile. In particolare, siamo responsabili solo per la parte di danno causata da un trattamento in cui:

  • non abbiamo rispettato obblighi rivolti specificamente ai responsabili del trattamento in forza della normativa in materia di protezione dei dati; oppure
  • abbiamo agito al di fuori o in contrasto con le vostre istruzioni lecite.

9.2 Manleva

Voi accettate di tenere indenne e manlevare Rakenne da richieste, sanzioni o perdite derivanti da:

  • una vostra violazione delle leggi applicabili in materia di protezione dei dati in relazione ai dati personali trattati tramite il Servizio; oppure
  • vostre istruzioni illecite o incompatibili con tali leggi; oppure
  • vostra omissione nel fornire informative necessarie o nel raccogliere i consensi richiesti dagli interessati.

9.3 Durata del presente DPA

Il presente DPA entra in vigore alla data indicata all’inizio e rimane in vigore finché trattiamo dati personali per vostro conto ai sensi dell’Accordo principale, incluso l’eventuale trattamento successivo alla cessazione per la cancellazione o la restituzione dei dati, come sopra descritto.

9.4 Modifiche al DPA

Possiamo modificare periodicamente il presente DPA, ad esempio per:

  • recepire cambiamenti nella normativa in materia di protezione dei dati o nelle linee guida delle autorità;
  • riflettere adeguamenti nel funzionamento del Servizio o nell’elenco dei sub-responsabili;
  • chiarire o migliorare la descrizione dei nostri impegni.

In caso di modifiche materiali, vi informeremo in anticipo (ad esempio almeno 30 giorni prima dell’entrata in vigore delle modifiche). Se vi opponete per iscritto e non siamo in grado di affrontare ragionevolmente le vostre preoccupazioni, il vostro unico rimedio consiste nel cessare l’utilizzo della parte interessata del Servizio e, se del caso, nel recedere da essa conformemente all’Accordo principale.

10. Legge applicabile e contatti

10.1 Legge applicabile e foro competente

Il presente DPA è disciplinato dalla stessa legge che regola l’Accordo principale, e le controversie derivanti dal DPA o ad esso collegate sono deferite agli stessi tribunali o organismi arbitrali, fatti salvi i diritti degli interessati o delle autorità di controllo previsti dalla normativa applicabile.

10.2 Come contattarci

Per domande sul presente DPA o per esercitare diritti o impartire istruzioni relative al nostro ruolo di responsabile del trattamento, potete contattarci a:

Indicate “DPA” nell’oggetto e fornite informazioni sufficienti a consentirci di identificare il vostro account e rispondere in modo efficiente.

Pronto a mettere la tua competenza al comando?

Basta lottare con template rigidi e strumenti complessi. Scrivi il tuo processo in markdown, l’agente si occupa del resto. Inizia a creare workflow documentali con Rakenne oggi stesso.

Inizia gratis — Senza registrazione