flow-e
Torna al sito
Tutti i documenti

Data Processing Agreement

Accordo ex art. 28 GDPR tra Flow-e e il Merchant per i dati dei clienti finali trattati dal widget.

Aggiornato il 16 giugno 2026Versione 0.9 — bozza
Merchant (contratto)Flow-e: Responsabile del trattamento
Bozza tecnica allineata alle norme vigenti (GDPR, Codice Privacy, ePrivacy, AI Act). Non costituisce consulenza legale: prima della pubblicazione va validata da un avvocato e i campi evidenziati in ambra vanno compilati con i dati reali.

Accordo tra FLOW-E S.R.L. (Società a responsabilità limitata), “Flow-e” o “Responsabile”, e il cliente che sottoscrive il Contratto di servizio (“Merchant” o “Titolare”).

Stipulato ai sensi dell'art. 28 GDPR, forma parte integrante del Contratto di servizio. Disciplina il trattamento dei dati dei clienti finali del Merchant che Flow-e tratta per suo conto. Per i dati che Flow-e tratta come Titolare (account, fatturazione) si applica la Privacy Policy.

Premesse e descrizione del trattamento (art. 28(3))

ElementoContenuto
OggettoTrattamento dei dati dei clienti finali necessario all'erogazione del widget di chat AI e dei servizi connessi
DurataPer tutta la durata del Contratto e fino al completamento delle operazioni di restituzione/cancellazione (art. 11)
Natura e finalitàAssistente conversazionale AI: ricezione ed elaborazione messaggi, generazione risposte e suggerimenti, gestione richieste/ticket, lettura in sola lettura dei dati di catalogo/ordine del Merchant
Tipi di datiContenuto conversazioni (testo libero, eventuali dati di contatto e, in via incidentale, categorie particolari); identificativi di sessione e dati tecnici; inferenze di preferenza; dati di contatto forniti dall'utente; dati di prodotto/ordine letti in sola lettura
Categorie di interessatiClienti finali, visitatori e utenti dei siti del Merchant che interagiscono con il widget

1. Ruoli delle parti

Il Merchant è Titolare dei dati dei clienti finali; Flow-e è Responsabile e li tratta esclusivamente per conto del Merchant. Le parti escludono una contitolarità (art. 26).

Riqualificazione (art. 28(10)).Qualora Flow-e, in violazione del DPA, determinasse autonomamente finalità o mezzi essenziali, sarà considerata Titolare per quel solo trattamento. Flow-e si obbliga a non trattare i dati per finalità proprie (in particolare: addestramento di propri modelli, analisi a proprio beneficio), salvo quanto previsto all'art. 8.

2. Istruzioni del Titolare

  • Flow-e tratta i dati solo su istruzioni documentate del Merchant, anche in materia di trasferimenti.
  • Costituiscono istruzioni documentate: il DPA, il Contratto e le configurazioni impostate dal Merchant tramite la dashboard.
  • Flow-e informa immediatamente il Merchant se un'istruzione viola il GDPR.

3. Riservatezza

Le persone autorizzate al trattamento sono vincolate alla riservatezza e operano solo su istruzione (artt. 29 e 32(4)).

4. Sicurezza del trattamento (art. 32)

Flow-e adotta misure tecniche e organizzative adeguate (Allegato 2), valutate periodicamente in funzione del rischio e dello stato dell'arte.

5. Sub-responsabili

  • Il Merchant conferisce autorizzazione generale scritta al ricorso a sub-responsabili (Allegato 1).
  • Flow-e informa di eventuali modifiche con preavviso di almeno [30] giorni, con possibilità di opposizione per motivi ragionevoli.
  • Flow-e impone ai sub-responsabili gli stessi obblighi (art. 28(4)) e resta pienamente responsabile.

6. Assistenza per i diritti degli interessati

  • Flow-e assiste il Merchant per dar seguito alle richieste (artt. 15-22).
  • Mette a disposizione strumenti per estrarre, rettificare o cancellare, su base per-organizzazione, i dati dei clienti finali.
  • Se un interessato si rivolge a Flow-e, questa inoltra la richiesta al Merchant senza darvi autonomamente seguito.

7. Violazioni, valutazioni d'impatto

Notifica delle violazioni. Flow-e notifica al Merchant ogni violazione senza ingiustificato ritardo e comunque entro [24-48] oredalla conoscenza, in tempo utile a consentire il rispetto del termine di 72 ore verso l'autorità (art. 33).

Gli obblighi di notifica all'autorità (72 ore) e di comunicazione agli interessati gravano sul Merchant come Titolare; Flow-e, come Responsabile, non è tenuta a tali notifiche dirette.

8. Limiti d'uso e divieto di trattamento per finalità proprie

  • Divieto di addestramento. Flow-e e i sub-responsabili non usano conversazioni o profili per addestrare modelli AI. I fornitori di modelli (OpenAI, Anthropic) sono configurati per non usare i dati per il training.
  • Nessuna analisi cross-merchant. Flow-e non combina i dati di un Merchant a beneficio di altri.
  • Eccezione. Flow-e può trattare i dati per finalità proprie solo se (a) resi irreversibilmente anonimi (Considerando 26; la pseudonimizzazione, incluso l'hashing di un'email, non è anonimizzazione), oppure (b) il Merchant ha fornito base giuridica autonoma e informativa.

9. Intelligenza artificiale (AI Act e L. 132/2025)

  • Flow-e fornisce di default la disclosure di interazione con un'AI (art. 50 AI Act).
  • Il Merchant si obbliga a non rimuovere tale disclosure né i meccanismi di opposizione/intervento umano, e tiene indenne Flow-e.
  • In modalità white-label sotto proprio marchio, il Merchant può essere qualificato “deployer” o “provider” (artt. 25 e 50 AI Act).
  • Sorveglianza umana per qualsiasi decisione con effetti giuridici o significativi (art. 22 GDPR; art. 3 L. 132/2025).

10. Audit

Flow-e mette a disposizione le informazioni necessarie e consente audit con ragionevole preavviso ([30] giorni), anche tramite certificazioni e report indipendenti (es. SOC 2, ISO 27001).

11. Restituzione e cancellazione

Al termine dei servizi, a scelta del Merchant, Flow-e cancella o restituisce i dati e cancella le copie, salvo obblighi di legge. La cancellazione può attuarsi tramite anonimizzazione irreversibile(tombstone/anonimizzazione delle sessioni). L'obbligo decennale fiscale (art. 2220 c.c.) riguarda solo i dati che Flow-e tratta come Titolare.

12. Conservazione dei dati dei clienti finali

I periodi di conservazione sono determinati dal Merchant e impostati tramite la piattaforma. Flow-e propone valori predefiniti prudenziali e un limite tecnico massimo, ma spetta al Merchant giustificare e documentareil periodo prescelto (incluse esigenze probatorie e prescrizione, art. 2946 c.c., e l'onere di provare il consenso, art. 7(1)).

13. Responsabilità e regresso (art. 82(4)-(5))

Verso gli interessati, la responsabilità è disciplinata in via inderogabile dall'art. 82 (solidale per l'intero danno). Nei rapporti interni, ciascuna parte tiene indenne l'altra per la quota attribuibile alla propria responsabilità (art. 82(5)). In particolare il Merchant tiene indenne Flow-e per: istruzioni illecite, assenza di base giuridica, omessa informativa, contenuti/configurazioni del Merchant, violazione del DPA o del Contratto.

14. Disposizioni finali

DPA regolato dalla legge italiana. Foro competente: [FORO COMPETENTE]. Allegati: 1 — Sub-responsabili; 2 — Misure di sicurezza; 3 — Clausole Contrattuali Tipo applicabili.

Allegato 1 — Sub-responsabili e trasferimenti

Da completare/verificare prima della firma (voci [VERIFICARE]): hosting reale di n8n, provider email, stato ZDR OpenAI, EU residency, status DPF live.

Sub-responsabileFunzioneUbicazioneMeccanismo di trasferimentoTraining
SupabaseAutenticazione, base dati, storage, edge functions (dati a riposo)Provisioning UE — Francoforte (eu-central-1)Dati a riposo nell'UE; SCC nel DPA del fornitore per accessi residuali di supporton/a
VercelHosting frontend (sito + dashboard) e proxy APIVercel Inc. — USA (edge UE solo cache effimera)Data Privacy Framework + SCC (fallback) + TIANo
OpenAIEmbedding semantici del catalogo (via n8n)OpenAI Ireland Ltd → affiliata USASCC (Modulo Tre, da responsabile a responsabile) + TIA — non DPFNo (training disattivato; retention abuse 30 gg salvo accordo ZDR [VERIFICARE])
AnthropicModello di chat AI (via n8n)Anthropic Ireland Ltd → USASCC (Modulo Tre) + TIA — non DPFNo di default — cancellazione entro 30 gg; contenuti segnalati fino a 2 anni
n8nOrchestrazione delle operazioni di backend[VERIFICARE: self-hosted UE / cloud][Intra-UE se self-hosted UE; altrimenti SCC]n/a
[Provider email]Email transazionali (conferma account, reset password)[VERIFICARE vendor / ubicazione][Da mappare in base al vendor]n/a
Shopify (fonte dati, sola lettura)Lettura catalogo/ordini del Merchant per contestualizzare le risposteCanada (USA)SCC + adeguatezza Canadan/a

Stripe non è sub-responsabile per i dati dei clienti finali: opera come Titolare autonomo per i pagamenti dei Merchant. Shopify è la fonte dei dati di prodotto/ordine, letti in sola lettura.

Allegato 2 — Misure di sicurezza (art. 32)

  • Cifratura in transito: TLS/HTTPS su tutte le comunicazioni.
  • Cifratura a riposo: base dati e storage cifrati (AES-256, infrastruttura Supabase).
  • Isolamento multi-tenant: segregazione per organizzazione (Row-Level Security; ogni query vincolata all'org_id).
  • Controllo accessi: cookie di sessione httpOnly; ruoli con privilegi minimi; autenticazione delle chiamate di backend.
  • Minimizzazione AI: fornitori configurati con divieto di addestramento e retention minima/ZDR ove disponibile.
  • Trasparenza AI: disclosure art. 50 AI Act attiva per default.
  • Continuità: backup e procedure di ripristino; monitoraggio errori e verifiche periodiche.

Allegato 3 — Clausole Contrattuali Tipo

Per i trasferimenti extra-UE non coperti da adeguatezza si applicano le SCC (decisione di esecuzione (UE) 2021/914). Poiché Flow-e agisce come Responsabile, il collegamento con i sub-responsabili extra-UE avviene tramite il Modulo Tre (da responsabile a responsabile), integrato da una valutazione d'impatto sui trasferimenti (TIA).

Tutti i documenti