Cliccando su "Accetta", accetti la memorizzazione dei cookie sul tuo dispositivo per migliorare la navigazione del sito, analizzare l’utilizzo del sito e supportare i nostri sforzi di marketing. Consulta la nostra Informativa sulla Privacy per maggiori informazioni.

PreferenzeRifiutaAccetta
Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Preferenze

Data processing agreement

Il presente Accordo sul Trattamento dei Dati personali (Data Protection Agreement o DPA) disciplina il trattamento di dati personali  effettuato da parte di Indigo.ai S.r.l., con sede legale in Milano, Piazza Gae Aulenti 1 - Torre B, codice fiscale e partita IVA 04832520268, iscritta  al Registro delle Imprese presso la C.C.I.A.A. di Milano Monza Brianza Lodi al n. REA MI-20123, PEC indigoai@legalmail.it, per  conto del Cliente che sia avvale dei servizi di chatbot offerti da Indigo.ai, anche ai sensi dell'art. 28 del Regolamento 679/2016/UE  (anche GDPR).  

Il presente accordo costituisce parte integrante del Contratto stipulato tra Indigo.ai e il Cliente, avente ad oggetto il servizio offerto  a quest'ultimo da Indigo.ai, e decorre dalla data di sottoscrizione del contratto.  

Si precisa che:  

- laddove il Cliente committente rivesta, in relazione ai dati personali trattati per suo conto da Indigo.ai, la qualifica di Titolare del  trattamento, Indigo.ai rivestirà il ruolo di Responsabile del trattamento ex art. 28 par. 1 GDPR;  

- laddove, invece, il Cliente committente rivesta, in relazione a tali dati personali, il ruolo di Responsabile del trattamento, Indigo.ai  rivestirà il ruolo di Sub-Responsabile del trattamento ex art. 28 par. 2 GDPR. 

Le incombenze e le responsabilità oggetto del presente DPA vengono affidate a Indigo.ai sulla base delle dichiarazioni dallo  stesso fornite al Cliente circa le caratteristiche di esperienza, capacità e affidabilità che vengono richieste al soggetto che esercita  la funzione di Responsabile del trattamento ex art. 28 GDPR.  

Con la sottoscrizione del presente accordo, Indigo.ai si dichiara disponibile e competente per la piena attuazione di quanto previsto  dal GDPR, conferma la diretta ed approfondita conoscenza degli obblighi che assume in relazione al dettato del GDPR, accetta  la nomina, e conferma di disporre di una propria organizzazione che dichiara idonea a consentire il trattamento dei dati nel rispetto  delle prescrizioni legislative, ivi compreso il profilo della sicurezza dei dati personali, e si impegna a procedere al trattamento degli  stessi attenendosi alle istruzioni impartite nel pieno rispetto di quanto richiesto dall’art. 28, lettera a) del GDPR.  

Nei limiti delle proprie competenze e attribuzioni, Indigo.ai dovrà garantire l’osservanza degli obblighi di legge, sempre  conformemente alle direttive e sotto la vigilanza del Cliente.  

Onde consentire a Indigo.ai di espletare i compiti e le attribuzioni meglio specificati in seguito, vengono fornite le specifiche  istruzioni per l’assolvimento del compito assegnato.  

1. Definizioni.  

Laddove il presente DPA richiami nozioni, termini o prescrizioni in materia di trattamento di dati personali, i termini utilizzati  avranno il medesimo significato previsto dalla Normativa Applicabile e, in particolare, dall'art. 4 del GDPR. Laddove, invece, il termine non figuri tra le definizioni contenute nella Normativa Applicabile, il suo significato sarà quello indicato nelle precisazioni  a seguire.  

In particolare, si richiama l'attenzione del Cliente sulle seguenti definizioni: 

a. "Dato personale": qualunque informazione riconducibile a una persona fisica identificata o identificabile; 

b. "Trattamento": qualunque operazione effettuabile con e su i dati personali, sia in formato cartaceo che elettronico; c. “Cliente”: soggetto che commissiona a Indigo.ai srl il servizio di chatbot di cui al Contratto; 

d. "Contratto": accordo tra Indigo.ai srl e il Cliente in relazione al servizio offerto da Indigo.ai; 

e. “Titolare del trattamento": soggetto che decide finalità e modalità del trattamento dei dati; 

f. "Responsabile del trattamento”: soggetto che tratta i dati per conto del Titolare del trattamento, in conformità alle regole  previste dall'art. 28 GDPR;  

g. “Sub-responsabile" o "Ulteriore Responsabile": soggetto nominato Responsabile del trattamento da parte di un soggetto  che a sua volta già riveste la qualifica di Responsabile o Sub-responsabile del trattamento; 

h. “Data Breach”: violazione dei dati personali secondo l’art. 33 del GDPR;  

i. “Garante”: Autorità di riferimento in Italia per la protezione dei dati personali; 

j. “Misure tecniche e organizzative di sicurezza”: misure intese a proteggere i dati personali dalla distruzione accidentale o  illegale o dalla perdita, alterazione, divulgazione o accesso non autorizzato, in particolare quando il trattamento comporta la  trasmissione di dati su una rete, come previste dalla Normativa Applicabile e in particolare all’art. 32 GDPR, e tutte le ulteriori  misure tecniche ed organizzative necessarie a garantire un livello di sicurezza adeguato al rischio, tenuto conto della natura,  dell’oggetto, del contesto e delle finalità del trattamento posto in essere, come del rischio di varia probabilità e gravità per i  diritti e le libertà delle persone fisiche; 

k. “Normativa Applicabile”: insieme delle norme rilevanti in materia di trattamento di dati personali alle quali sono sottoposti i  soggetti che trattano dati personali in Italia, inclusi: (i) il Regolamento 679/2016/UE (o GDPR); (ii) il D.Lgs. 196/2003 o Codice  in materia di trattamento dati personali (o Codice); (iii) ogni linea guida, norma di legge, codice o provvedimento rilasciato o  emesso dagli organi competenti o da altre autorità di controllo, ivi inclusa la normativa nazionale di adeguamento al GDPR e  i provvedimenti del Garante di volta in volta applicabili; (iv) la normativa europea e i provvedimenti e i chiarimenti del European  Data Protection Board (o EDPB);  

2. Istruzioni generali ex art. 28 GDPR 

Indigo.ai sarà tenuto al rispetto di quanto previsto dall’art. 28 Reg. 679/2016 UE e avrà i compiti e le attribuzioni di seguito elencate  e dunque dovrà: 

i. tenere un registro, come previsto dall’art. 30 del GDPR, in formato elettronico, delle categorie di attività relative al trattamento  svolte per conto del Cliente;  

ii. organizzare le strutture, gli uffici e le competenze necessarie e idonee a garantire il corretto espletamento delle Attività, in  relazione all’adempimento alla Normativa Applicabile in materia di protezione dei dati;  

iii. non diffondere i dati trattati per conto del Cliente;  

iv. assicurare che le persone autorizzate al trattamento dei dati ricevano adeguate istruzioni e formazione con riferimento alla  protezione e gestione dei dati personali, e che siano vincolati al rispetto di un obbligo di riservatezza in relazione ai dati  trattati, compatibilmente con l’esecuzione del Contratto, o siano soggette ad un obbligo legale di riservatezza;  

v. adottare le Misure tecniche ed organizzative di sicurezza dei dati, richieste a norma dell’art. 32 GDPR;  

vi. assistere il Cliente nel garantire il rispetto degli obblighi di cui agli artt. 32-36 del GDPR, tenendo conto della natura del  trattamento e delle informazioni a disposizione del Sub-responsabile;  

vii. tenendo conto della natura del trattamento, assistere il Cliente con misure tecniche ed organizzative adeguate, nella misura  in cui ciò sia possibile, al fine di soddisfare l’obbligo del Cliente di dare seguito alle richieste per l’esercizio dei diritti  dell’interessato di cui a capo III del GDPR;  

viii. avvisare mediante notifica il Cliente, senza ingiustificato ritardo e comunque entro 72 ore da quando ne abbia avuto conoscenza, ai sensi dell’art.33 del GDPR, nel caso in cui si verifichi un Data Breach;  

ix. trattare i dati soltanto sulla base delle documentate istruzioni del Cliente o in conformità alle operazioni strettamente  necessarie per l'esecuzione del contratto con il Cliente medesimo ed astenersi dal trasferire tali dati al di fuori dell’Unione  Europea o dello Spazio Economico Europeo senza il previo consenso scritto del Cliente, salvo che lo richieda la Normativa  Applicabile; 

x. su richiesta scritta del Cliente, cancellare o restituire tutti i dati personali trattati per suo conto una volta non più vigente il  Contratto e cancellare le copie dei dati in proprio possesso, salvo che la Normativa Applicabile preveda la conservazione dei  dati. Le spese relative all’attuazione di tale obbligo sono a carico del Cliente. Indigo.ai si riserva tuttavia in ogni caso di  conservare i dati per i 10 anni successivi alla cessazione del Contratto di servizi al fine di adempiere ad obblighi di legge e di  tutelare l'esercizio del proprio diritto di difesa , fornendo, ove disponibili, le informazioni necessarie ai sensi dell’art. 33, par. 3 GDPR, limitatamente ai dati strettamente necessari e proporzionati per adempiere a obblighi di legge o per l’esercizio o difesa di diritti in sede giudiziaria, nel rispetto dei principi di minimizzazione e limitazione della conservazione.

xi. avvertire il Cliente, entro un termine ragionevole, in merito alle eventuali richieste degli interessati che dovessero pervenire  a Indigo.ai, inviando copia delle istanze ricevute all’indirizzo e-mail o pec sopra indicato e collaborare al fine di garantire la  facoltà di esercizio da parte degli interessati dei diritti degli stessi previsti dalla Normativa Applicabile;  

xii. avvisare entro un termine ragionevole il Cliente di qualsiasi richiesta o comunicazione da parte del Garante o dall’Autorità  Giudiziaria eventualmente ricevuta da Indigo.ai al fine di concordare congiuntamente il riscontro;  

xiii. inviare al Cliente tutte le comunicazioni previste nel presente atto ai recapiti indicati dal Cliente in fase di stipula del Contratto  o a quello diverso che verrà eventualmente comunicato dal Cliente per iscritto; 

xiv. astenersi dal trattare i dati trattati per conto del Cliente per finalità proprie.  

xv. consentire, nei limiti di ragionevolezza e previa comunicazione, allo svolgimento di attività di audit o verifica da parte del Cliente o di soggetti da questo incaricati, al solo fine di dimostrare il rispetto degli obblighi di cui al presente Accordo e all’art. 28 GDPR.

3. Precisazioni in merito alla durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali trattati  e le categorie di interessati 

Ai sensi dell’art. 28 del GDPR, si precisa che:  

i. la durata del trattamento dei dati da parte di Indigo.ai per conto del Cliente coincide con la durata di vigenza del presente Data Processing Agreement, la quale a sua volta coincide con la durata del Contratto; i dati saranno successivamente  conservati per il periodo strettamente necessario per l'adempimento degli obblighi di legge e, comunque, non oltre il termine  di 10 anni dalla interruzione del rapporto contrattuale, e comunque limitatamente ai dati strettamente necessari e proporzionati per adempiere a obblighi di legge o per l’esercizio o difesa di diritti in sede giudiziaria, nel rispetto dei principi di minimizzazione e limitazione della conservazione. 

ii. il trattamento dei dati, in relazione all’adempimento del Contratto, consiste nel trattamento dei dati personali dei soggetti che  usufruiscono del servizio di chatbot offerto dal Cliente tramite i servizi di Indigo.ai;  

iii. la finalità del trattamento consiste nel corretto e puntuale adempimento del Contratto;  

iv. i dati personali trattati consistono nei dati personali volontariamente inseriti dai soggetti che usufruiscono del servizio di  chatbot offerto dal Cliente tramite i servizi di Indigo.ai;  

v. le categorie di interessati a cui i dati personali si riferiscono sono persone fisiche clienti del Cliente e, più in generale, gli utenti  del chatbot. 

4. Sub-responsabili del trattamento 

Il Cliente autorizza Indigo.ai ad avvalersi di Ulteriori responsabili che siano in grado di fornire delle garanzie sufficienti in merito al  possesso di misure tecniche ed organizzative adeguate al trattamento dei dati ai sensi del GDPR. Indigo.ai informa il Cliente di  eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al medesimo  l'opportunità di opporsi a tali modifiche. Quando Indigo.ai ricorre a un sub-responsabile per l'esecuzione di specifiche attività di  trattamento per conto del Cliente, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto  giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel  contratto o in altro atto giuridico tra Indigo.ai e il Sub-responsabile del trattamento, prevedendo, in particolare, garanzie sufficienti  per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente  regolamento. Qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati,  Indigo.ai conserva, nei confronti del Cliente, l'intera responsabilità dell'adempimento degli obblighi del sub-responsabile a cui sia  ricorso.  

L’elenco dei sub-responsabili a cui Indigo.ai ricorre è disponibile su richiesta del Cliente.  

Indigo ai ha adottato un processo formale di approvazione periodica o aggiornamento dell’elenco dei subresponsabili.

5. Trattamento AI 

Trattamento dei dati tramite AI e chatbot

  1. Indigo.ai garantisce che i dati personali trattati tramite i sistemi di chatbot/voicebot siano gestiti conformemente al GDPR e alla Normativa Applicabile, compresa l’interpretazione fornita dall’EDPB nelle opinioni recenti (ad esempio Opinion 28/2024).
  2. Indigo.ai documenta e valuta regolarmente l’eventuale trattamento di dati personali nei modelli di AI, distinguendo chiaramente tra dati anonimizzati e dati personali, e adotta misure tecniche e organizzative per garantire la protezione dei dati.
  3. Gli interessati possono esercitare i loro diritti (accesso, rettifica, cancellazione, opposizione, limitazione) anche in relazione ai dati elaborati tramite AI. Indigo.ai assiste il Cliente nel dare seguito a tali richieste nei termini previsti dalla normativa.
  4. Qualora i modelli di AI generassero dati che possono indirettamente identificare un individuo, questi saranno trattati come dati personali ai sensi del GDPR, con tutte le misure di sicurezza, conservazione e documentazione applicabili.

6. Informazioni ed istruzioni del Cliente in violazione alla Normativa Applicabile 

Indigo.ai si impegna a mettere a disposizione del Cliente le informazioni necessarie a fine di dimostrare il rispetto degli obblighi  di cui all’art. 28 del GDPR. Indigo.ai si impegna inoltre ad informare il Cliente qualora ritenga che un’istruzione da questi fornita  violi il disposto della Normativa Applicabile. A seguito di tale comunicazione, Indigo.ai non sarà tenuto ad osservare l'istruzione  contestata.  

7. Durata - Legge applicabile e foro competente  

Il presente Data Processing Agreement decorre dalla data della sottoscrizione del Contratto e rimarrà in vigore per il periodo di  vigenza del Contratto medesimo. Il presente Data Processing Agreement, nonché qualsiasi reclamo, pretesa o rivendicazione  relativi da esso, sono governati dalla Normativa Applicabile. Si stabilisce la competenza esclusiva del Tribunale di Milano per  qualsiasi controversia relativa al presente accordo, con esclusione di ogni altro Foro.  

8. Responsabilità  

La responsabilità di Indigo.ai, con riguardo all’inadempimento degli obblighi derivanti dal presente Data Processing Agreement e  dalla Normativa Applicabile in materia di protezione dei dati, anche con riguardo all’attività degli eventuali Sub-responsabili del  trattamento, sarà limitata al danno attuale effettivamente occorso al Cliente come conseguenza immediata e diretta di colpa grave  o dolo di Indigo.ai o di un suo Sub-responsabile.  

9. Clausola finale  

Indigo.ai è vincolato agli obblighi di cui alla Normativa Applicabile, oltre che a quelli di cui al Contratto e al presente Data  Processing Agreement, e gode dei diritti stabiliti dalle medesime fonti normative e contrattuali.  

10. Trasferimento dei Dati trattati al di fuori dell’Unione Europea  

In caso di richiesta scritta del Cliente di trasferire i dati personali fuori dallo Spazio Economico Europeo, il Cliente - assumendosene la totale responsabilità - garantisce di avere posto in essere le misure adeguate e prescritte dal Capo V del  GDPR al fine di consentire a Indigo.ai il trasferimento dei suddetti Dati. 

Qualora i dati personali debbano essere trasferiti al di fuori dello Spazio Economico Europeo, Indigo.ai potrà procedere solo su istruzione scritta del Cliente.

Il Cliente garantisce che siano implementate le misure adeguate ai sensi del Capo V del GDPR per consentire il trasferimento dei dati (ad es. Clausole Contrattuali Standard approvate dalla Commissione Europea, Binding Corporate Rules, deroghe specifiche).

Indigo.ai verifica che tali trasferimenti siano conformi alle Linee guida EDPB 02/2024, in particolare relativamente alle richieste di autorità extra‑UE, e documenta le misure di protezione applicate.

Qualora l’autorità extra‑UE richieda dati personali, Indigo.ai informa prontamente il Cliente e collabora con esso per valutare la compatibilità del trasferimento con il GDPR e con le garanzie adottate.

Tutti i trasferimenti extra‑UE devono essere tracciati e documentati, con evidenza delle basi legali utilizzate e delle misure supplementari applicate per garantire protezione equivalente a quella UE.Fermo restando quanto previsto nella presente clausola, Indigo.ai, in qualità di responsabile del trattamento nell’ambito dei Servizi, verifica, per quanto di propria competenza e nella misura applicabile, che eventuali trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali effettuati nel contesto della prestazione dei Servizi si basino su strumenti di trasferimento validi ai sensi del GDPR, quali, a titolo esemplificativo, le Clausole Contrattuali Standard (SCC), le Binding Corporate Rules (BCR) o altri meccanismi riconosciuti ai sensi degli articoli 44 e seguenti del GDPR.Indigo.ai documenta tali verifiche e mette la relativa documentazione a disposizione del Cliente su richiesta, cooperando ragionevolmente con il Cliente ai fini della dimostrazione della conformità ai requisiti applicabili, restando inteso che il Cliente rimane responsabile, in qualità di titolare del trattamento, della valutazione del quadro giuridico applicabile al proprio specifico trattamento e ai relativi casi d’uso.

Ultima modifica: 12/01/2026.