# Accordo sul Trattamento dei Dati (DPA)
## NAAI Vocal Assistant — Versione 1.0

**Versione**: 1.0 — draft v1, in attesa di revisione legale
**Data emissione**: 2026-05-18
**Riferimento normativo**: Regolamento (UE) 2016/679 (GDPR), art. 28

---

## 1. Parti

**Titolare del trattamento** ("Titolare"):
Lo Studio Cliente, come identificato nel Contratto di Servizio NAAI Vocal Assistant sottoscritto.

**Responsabile del trattamento** ("Responsabile"):
NAAI House — software house operante sotto il marchio "NAAI House" (sede legale in via di formalizzazione; per comunicazioni: privacy@naaihouse.space).

Il presente Accordo (Data Processing Agreement, "DPA") integra e forma parte del Contratto di Servizio e disciplina il trattamento dei dati personali da parte del Responsabile per conto del Titolare in relazione al servizio NAAI Vocal Assistant ("Servizio").

---

## 2. Oggetto e finalità del trattamento

### 2.1 Oggetto
Trattamento di dati personali tramite il Servizio NAAI Vocal Assistant: assistente vocale AI che riceve chiamate telefoniche entranti dello Studio, qualifica il chiamante, prende appuntamenti, gestisce urgenze e produce trascrizioni / riassunti delle conversazioni.

### 2.2 Finalità
- Gestione delle chiamate entranti dello Studio
- Pianificazione di appuntamenti su calendario / gestionale dello Studio
- Qualifica del chiamante (motivo della chiamata, urgenza)
- Trascrizione e archiviazione delle conversazioni
- Produzione di riassunti post-chiamata
- Invio di SMS di promemoria / notifica al chiamante (se attivato)

### 2.3 Durata
Per tutta la durata del Contratto di Servizio, salvo proroghe esplicite per archiviazione obbligatoria (vedi §7).

---

## 3. Categorie di dati e interessati

### 3.1 Tipologie di dati personali trattati
- Identificativi del chiamante (nome, cognome, numero di telefono)
- Contenuto audio della conversazione
- Trascrizione testuale della conversazione
- Riassunto e classificazione della conversazione (incl. flag "contenuto clinico")
- Dati di calendario (data, ora, motivo dell'appuntamento)
- Metadati di chiamata (durata, timestamp, stato)

### 3.2 Categorie particolari (art. 9 GDPR)
Il Servizio può accidentalmente registrare informazioni sanitarie riferite al chiamante (es. sintomi, patologie, terapie). Il Responsabile applica salvaguardie specifiche per tali dati: classificazione automatica al post-call, retention dedicata (vedi §7), cifratura at-rest e in-transit, accesso limitato.

### 3.3 Categorie di interessati
- Pazienti / clienti / chiamanti dello Studio
- Personale dello Studio (utenti della dashboard)

---

## 4. Obblighi del Responsabile

Il Responsabile si impegna a:

1. Trattare i dati solo su istruzione documentata del Titolare, incluso per trasferimenti extra-UE
2. Garantire che le persone autorizzate al trattamento siano vincolate da obbligo di riservatezza
3. Adottare misure tecniche e organizzative adeguate (vedi §6)
4. Assistere il Titolare nel dare seguito alle richieste degli interessati (art. 12-23 GDPR)
5. Assistere il Titolare nel garantire la sicurezza, la valutazione d'impatto (DPIA) e la consultazione preventiva
6. Notificare al Titolare qualsiasi violazione di dati personali entro 24 ore dalla scoperta
7. Cancellare o restituire i dati al termine del rapporto (vedi §10)
8. Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità

---

## 5. Sub-responsabili

### 5.1 Sub-responsabili autorizzati al 2026-05-18

| Sub-responsabile | Servizio | Sede | Misure |
|---|---|---|---|
| Twilio Italy S.r.l. | Telefonia / SMS | Italia (UE) | DPA Twilio, dati IT |
| OpenAI, L.L.C. | Voice AI Realtime | USA | SCC + misure supplementari |
| Anthropic PBC | Riassunto / classificazione | USA | SCC + misure supplementari |
| Supabase Inc. | Database, autenticazione | EU (eu-west-1, Irlanda) | DPA Supabase, dati UE |
| Cloudflare Inc. | Storage R2 audio | EU (Francoforte/Amsterdam) | DPA Cloudflare, dati UE |
| Fly.io Inc. | Hosting voice-gateway / dashboard | Amsterdam (UE) | DPA Fly, dati UE |
| Google LLC | Calendar API (opzionale) | USA | SCC + autorizzazione esplicita per integrazione |
| ElevenLabs Inc. | Voce premium (tier Enterprise) | USA | SCC + opt-in esplicito |

### 5.2 Modifiche all'elenco
Il Responsabile notificherà al Titolare ogni modifica all'elenco dei sub-responsabili con preavviso di almeno **30 giorni**. Il Titolare può obiettare per giustificato motivo entro 15 giorni; in caso di obiezione non risolvibile, ciascuna parte può recedere dal Contratto di Servizio.

### 5.3 Twilio BAA
Il Responsabile NON sottoscrive Business Associate Agreement (BAA) con Twilio, in quanto requisito HIPAA non applicabile in Italia. La conformità al trattamento di dati sanitari è garantita dalle misure GDPR descritte nel presente DPA.

---

## 6. Misure tecniche e organizzative (art. 32 GDPR)

### 6.1 Misure tecniche
- Cifratura TLS 1.2+ in transito su tutte le comunicazioni
- Cifratura at-rest dei record audio (Cloudflare R2 SSE-S3)
- Accesso al database via service role key non esposta al browser
- Row-Level Security (RLS) attiva su tutte le tabelle multi-tenant
- Audit log degli accessi alla dashboard
- Disclosure GDPR automatica all'inizio di ogni chiamata (informativa orale)
- Region lock: dati UE per Supabase, R2, Fly

### 6.2 Misure organizzative
- Personale del Responsabile vincolato da NDA
- Principio "least privilege" sugli accessi infrastruttura
- Backup giornalieri cifrati su Supabase, retention 7 giorni
- Procedure di Incident Response documentate
- Revisione annuale delle misure

---

## 7. Conservazione dei dati

### 7.1 Audio non-clinico
**90 giorni** dalla data della chiamata. Cancellazione automatica via lifecycle rule R2 (`calls/non-healthcare/`).

### 7.2 Audio classificato come clinico
**7 anni** dalla data della chiamata, in conformità al Codice di Deontologia Medica IT e alla normativa sulla documentazione sanitaria. Conservato in prefisso dedicato (`calls/healthcare/`) senza lifecycle automatico.

### 7.3 Trascrizioni testuali
**30 giorni** dalla data della chiamata. Cancellazione automatica.

### 7.4 Riassunti, metadati appuntamenti
Conservati per tutta la durata del Contratto, e per ulteriori 12 mesi a fini di documentazione contrattuale.

### 7.5 Override Titolare
Il Titolare può richiedere periodi di retention più brevi per finalità specifiche, fermi restando gli obblighi di legge.

---

## 8. Trasferimenti extra-UE

Sub-responsabili con sede USA (OpenAI, Anthropic, Google, ElevenLabs) trattano dati personali sulla base di Standard Contractual Clauses (SCC, Decisione UE 2021/914) e misure supplementari documentate (cifratura, pseudonimizzazione ove possibile, accesso limitato).

Il Responsabile valuta annualmente l'adeguatezza del trasferimento ai sensi della giurisprudenza Schrems II.

---

## 9. Diritti degli interessati

Il Responsabile assiste il Titolare nel dare seguito alle richieste degli interessati relative ai diritti di:
- Accesso (art. 15)
- Rettifica (art. 16)
- Cancellazione (art. 17)
- Limitazione del trattamento (art. 18)
- Portabilità (art. 20)
- Opposizione (art. 21)

Il Titolare resta responsabile della relazione diretta con l'interessato e dell'esercizio dei diritti.

---

## 10. Cessazione del rapporto

Alla cessazione del Contratto di Servizio, il Responsabile, su scelta del Titolare:

1. **Restituisce** tutti i dati personali in formato strutturato (JSON / CSV) entro 30 giorni; oppure
2. **Cancella** tutti i dati personali entro 30 giorni e fornisce certificato di cancellazione.

Eccezione: dati audio classificati come clinici (§7.2) conservati per obbligo di legge fino alla scadenza dei 7 anni, con accesso limitato alle sole finalità di adempimento normativo.

---

## 11. Audit

Il Titolare ha diritto a verifiche annuali della conformità del Responsabile, con preavviso scritto di almeno **30 giorni**. L'audit può essere svolto in forma documentale (questionario, certificazioni) o, su accordo, tramite ispezione presso le sedi del Responsabile, a spese del Titolare salvo accordo diverso.

---

## 12. Violazione dei dati

In caso di violazione di dati personali, il Responsabile notifica al Titolare **entro 24 ore** dalla scoperta, fornendo:
- Natura della violazione
- Categorie e numero approssimativo di interessati / record coinvolti
- Conseguenze probabili
- Misure adottate o proposte

Il Responsabile assiste il Titolare nella notifica all'Autorità di controllo (Garante Privacy) ai sensi dell'art. 33 GDPR.

---

## 13. Disposizioni finali

### 13.1 Legge applicabile
Il presente DPA è disciplinato dal diritto italiano e dal GDPR.

### 13.2 Foro competente
Foro di Torino, fatti salvi i fori inderogabili per legge.

### 13.3 Modifiche
Modifiche al presente DPA richiedono accordo scritto delle Parti.

---

## Firme

**Titolare** (Studio Cliente):
Nome / Ragione sociale: ______________________________
Legale rappresentante: ______________________________
Data: ______________________________
Firma: ______________________________

**Responsabile** (NAAI House):
Legale rappresentante: Alberto Nitto
Data: ______________________________
Firma: ______________________________

---

*Versione 1.0 — 2026-05-18. Documento in attesa di revisione legale finale. Per la versione aggiornata: https://vocal.naaihouse.space/dpa*