← swavo.ai

Data Processing Agreement

Accordo sul trattamento dei dati ai sensi dell'Art. 28 GDPR

Versione v0.1 · Ultimo aggiornamento: 2026-05-24

Versione v0.1 — documento preliminareDa revisionare da consulente legale prima del go-live commerciale. I termini definitivi saranno comunicati con preavviso di 30 giorni via email.

1. Identità delle parti

Titolare del trattamento: il cliente persona giuridica che sottoscrive il servizio Swavo, identificato dai dati account inseriti durante la registrazione.

Responsabile esterno del trattamento: Swavo, sede legale Italia (P.IVA TBD), contattabile a admin@swavo.ai.

2. Oggetto, durata e natura del trattamento

Il Responsabile tratta i dati personali per conto del Titolare al solo fine di erogare il servizio Swavo (CRM, agenda, ticket, assistente AI vocale e WhatsApp, automazioni) per la durata del contratto sottoscritto. Le operazioni includono raccolta, registrazione, organizzazione, conservazione, consultazione, comunicazione e cancellazione.

3. Tipologie di dati personali trattati

  • Dati identificativi clienti finali del Titolare (nome, cognome, telefono, email)
  • Registrazioni e trascrizioni di conversazioni vocali gestite da Giulia voice agent
  • Messaggi WhatsApp scambiati con i clienti finali
  • Storico operativo: appuntamenti, ticket, preventivi, fatture
  • Metadata operativi: orari interazione, durata, esito

4. Categorie di interessati

Clienti finali, prospect, dipendenti e collaboratori del Titolare i cui dati sono inseriti nella piattaforma o catturati durante le interazioni vocali/WhatsApp gestite dagli agenti AI.

5. Obblighi del Responsabile

  • Confidenzialità: il personale autorizzato è vincolato da accordo di riservatezza.
  • Misure di sicurezza: crittografia in transito (TLS) e a riposo (AES-256), segregazione multi-tenant tramite Row Level Security PostgreSQL, principio di privilegio minimo, audit log degli accessi a dati sensibili.
  • Sub-processors: l'elenco aggiornato è disponibile alla pagina /subprocessors. Modifiche all'elenco saranno notificate con 30 giorni di preavviso via email; il Titolare può opporsi entro tale termine richiedendo la cessazione del servizio.
  • Breach notification: in caso di violazione di dati personali, il Responsabile notifica il Titolare entro 24 ore dalla conoscenza dell'evento con tutte le informazioni utili.
  • Supporto agli adempimenti del Titolare: cooperazione per rispondere a richieste degli interessati, valutazioni d'impatto, audit del Garante.

6. Sub-processors autorizzati

Lista completa, sede legale, ubicazione dati e base giuridica del trasferimento extra-UE sono disponibili alla pagina /subprocessors. Tutti i sub-processors USA operano sulla base della certificazione EU-US Data Privacy Framework o di Standard Contractual Clauses approvate dalla Commissione UE.

7. Diritti del Titolare

  • Richiedere documentazione delle misure di sicurezza adottate
  • Audit periodico (su richiesta motivata, max 1/anno, preavviso 30 giorni)
  • Esportazione dei dati in formato strutturato (JSON/CSV) in qualsiasi momento
  • Cancellazione di tutti i dati su richiesta, salvo obblighi legali di conservazione

8. Restituzione e cancellazione dati a fine contratto

Alla cessazione del contratto, il Titolare può scaricare un export completo dei propri dati dal pannello durante un periodo di grace di 30 giorni. Trascorso tale termine, tutti i dati sono cancellati definitivamente, salvo log di sicurezza e dati fiscali conservati per i tempi previsti dalla normativa italiana.

9. Contatti

Per domande: info@swavo.ai