Accordo sul Trattamento dei Dati
ai sensi dell'Art. 28 del GDPR
Ultimo aggiornamento: Gennaio 2026
Parti Contraenti
Il presente Accordo sul Trattamento dei Dati (ATD) è stipulato tra:
Titolare del trattamento (Cliente): Il cliente che utilizza la piattaforma QUALLEE e accetta così il presente ATD.
Responsabile del trattamento: QUALLEE UG (haftungsbeschränkt) Kollwitzstr. 76 10435 Berlino Germania E-mail: info@quallee.de
§ 1 Oggetto e Durata del Trattamento
1.1 Oggetto
Il presente accordo copre il trattamento dei dati personali da parte di QUALLEE nell'ambito della fornitura della piattaforma QUALLEE, incluso:
- Conduzione di interviste qualitative assistite da IA
- Trascrizione di registrazioni audio e video
- Analisi e valutazione dei dati delle interviste mediante IA
- Archiviazione e gestione dei dati di ricerca
- Fornitura di funzioni di esportazione e reportistica
1.2 Durata
Il trattamento inizia con l'accettazione dei Termini di Servizio e termina con la cessazione del rapporto d'uso. La cancellazione dei dati avviene in conformità al § 10 del presente accordo.
§ 2 Natura e Finalità del Trattamento
2.1 Natura del Trattamento
Il trattamento include: raccolta (mediante partecipazione alle interviste), conservazione (su server in Germania), trasmissione (a sub-responsabili IA per l'analisi), valutazione e analisi (mediante tecnologia IA), cancellazione (alla scadenza dei periodi di conservazione).
2.2 Finalità
Il trattamento serve esclusivamente a fornire i servizi contrattualmente concordati nel campo della ricerca qualitativa assistita da IA.
§ 3 Tipi di Dati Personali
Vengono trattate le seguenti categorie di dati personali:
Dati degli utenti della piattaforma (Titolare del trattamento):
- Dati di contatto (nome, indirizzo e-mail, numero di telefono)
- Dati di accesso (password crittografate)
- Dati di utilizzo (registri di attività, dati di progetto)
Dati dei partecipanti alle interviste:
- Contenuto delle interviste (trascrizioni, registrazioni audio/video)
- Dati tecnici (indirizzo IP, informazioni del browser)
- Dati di consenso (timestamp, versioni del consenso)
Nota: Non è previsto il trattamento di categorie particolari di dati personali (Art. 9 GDPR). Qualora tali dati vengano menzionati nelle interviste, il Titolare del trattamento è responsabile della liceità del trattamento.
§ 4 Categorie di Interessati
- Dipendenti e incaricati del Titolare del trattamento
- Partecipanti alle interviste (rispondenti, partecipanti allo studio)
- Altre persone menzionate nei dati di ricerca
§ 5 Obblighi del Responsabile del Trattamento
5.1 Istruzioni
Il trattamento avviene esclusivamente sulla base di istruzioni documentate del Titolare del trattamento. L'utilizzo delle funzioni della piattaforma costituisce un'istruzione. QUALLEE informerà immediatamente il Titolare del trattamento se un'istruzione viola la normativa sulla protezione dei dati.
5.2 Riservatezza
Tutte le persone coinvolte nel trattamento sono soggette a obblighi di riservatezza. Ciò vale anche dopo la cessazione delle loro attività.
5.3 Misure Tecniche e Organizzative
QUALLEE implementa e mantiene misure tecniche e organizzative appropriate ai sensi dell'Art. 32 GDPR (vedi Allegato 1).
5.4 Obblighi di Assistenza
QUALLEE assiste il Titolare del trattamento nell'adempimento dei suoi obblighi, in particolare per quanto riguarda: rispondere alle richieste degli interessati, notificare le violazioni dei dati, condurre valutazioni d'impatto sulla protezione dei dati.
§ 6 Sub-responsabili
6.1 Autorizzazione
Il Titolare del trattamento concede con la presente un'autorizzazione generale per l'impiego di sub-responsabili. QUALLEE informerà il Titolare del trattamento delle modifiche almeno 14 giorni prima della loro entrata in vigore via e-mail. Il Titolare del trattamento può opporsi entro 14 giorni.
6.2 Sub-responsabili Attuali
| Fornitore | Funzione | Sede | Base Giuridica |
|---|---|---|---|
| Anthropic, PBC | Interviste IA (Claude API) | USA | DPF, SCC, ATD |
| OpenAI, Inc. | Trascrizione, Analisi | USA / Irlanda | DPF, SCC, ATD |
| Hetzner Online GmbH | Hosting, Archiviazione | Germania | ATD |
| Stripe, Inc. | Elaborazione pagamenti | USA / Irlanda | DPF, SCC, ATD |
6.3 Nessun Utilizzo per l'Addestramento dell'IA
Importante: Tutti i sub-responsabili IA si sono impegnati contrattualmente a non utilizzare i dati API per l'addestramento dei loro modelli. Ciò è esplicitamente escluso nei rispettivi ATD.
§ 7 Trasferimenti verso Paesi Terzi
Quando i dati personali vengono trasferiti negli USA, ciò avviene sulla base di:
- Quadro sulla Privacy dei Dati UE-USA (DPF) ai sensi della decisione di adeguatezza della Commissione Europea del 10 luglio 2023
- Clausole Contrattuali Standard (SCC) ai sensi della Decisione di Esecuzione (UE) 2021/914
- Accordi sul Trattamento dei Dati con i rispettivi fornitori
I dati grezzi (trascrizioni, audio) sono conservati esclusivamente su server in Germania. Solo il contenuto testuale necessario per il rispettivo trattamento viene trasmesso alle API IA.
§ 8 Diritti degli Interessati
QUALLEE assiste il Titolare del trattamento nell'adempimento dei diritti degli interessati (Art. 12-22 GDPR). La piattaforma fornisce funzioni self-service a tale scopo:
- Accesso: Esportazione dati in formato leggibile da macchina (JSON)
- Rettifica: Tramite le impostazioni dell'account
- Cancellazione: Eliminazione dell'account con anonimizzazione
- Revoca: Gestione del consenso nelle impostazioni sulla privacy
§ 9 Notifica delle Violazioni dei Dati
QUALLEE notificherà le violazioni dei dati al Titolare del trattamento senza indebito ritardo, al più tardi entro 24 ore dalla conoscenza. La notifica includerà: natura della violazione e categorie di dati interessate, numero approssimativo di persone/record interessati, probabili conseguenze, misure adottate e misure correttive proposte.
§ 10 Cancellazione e Restituzione
10.1 Periodi di Conservazione
| Tipo di Dati | Periodo di Conservazione |
|---|---|
| Dati di progetto (attivi) | Durante la durata del contratto |
| Sessioni archiviate | 12 mesi dopo l'archiviazione |
| Ticket di supporto | 24 mesi |
| Registri di consenso | 36 mesi dopo la revoca/cancellazione |
10.2 Dopo la Cessazione del Contratto
Alla cessazione del rapporto d'uso: periodo di transizione di 30 giorni per l'esportazione dei dati, successiva cancellazione di tutti i dati personali, eccezione: obblighi legali di conservazione.
§ 11 Diritti di Audit
QUALLEE consente al Titolare del trattamento di verificare la conformità al presente accordo mediante: fornitura di documentazione (MTO, certificati), risposta a richieste scritte, previo accordo: audit in loco (a spese del Titolare del trattamento).
§ 12 Disposizioni Finali
12.1 Ordine di Precedenza
In caso di conflitto tra il presente accordo e i Termini di Servizio, prevarrà il presente accordo.
12.2 Modifiche
Le modifiche al presente accordo saranno comunicate con 30 giorni di preavviso via e-mail. L'uso continuato della piattaforma dopo la scadenza di tale periodo costituisce accettazione.
12.3 Legge Applicabile
Si applica il diritto della Repubblica Federale di Germania. Il foro competente è Berlino.
12.4 Formazione del Contratto
Il presente ATD entra in vigore con l'accettazione dei Termini di Servizio di QUALLEE. Non è richiesta firma separata.
Allegato 1: Misure Tecniche e Organizzative
1. Riservatezza (Art. 32(1)(b) GDPR)
Controllo dell'Accesso Fisico
- Hosting in data center certificati ISO 27001 (Hetzner, Germania)
- Misure di sicurezza fisica da parte del fornitore di hosting
Controllo dell'Accesso al Sistema
- Politiche sulle password (lunghezza minima, complessità)
- Archiviazione crittografata delle password (bcrypt)
- Gestione delle sessioni con timeout automatico
Controllo dell'Accesso ai Dati
- Concetto di autorizzazione basato sui ruoli
- Isolamento dei dati per progetto
- Registrazione degli accessi
Controllo della Separazione
- Separazione logica dei tenant a livello di database
- Archiviazione separata dei dati di produzione e di test
2. Integrità (Art. 32(1)(b) GDPR)
Controllo del Trasferimento
- Crittografia TLS 1.3 per tutte le trasmissioni di dati
- Crittografia dei dati a riposo (AES-256)
Controllo dell'Input
- Registri di audit completi per le modifiche ai dati
- Documentazione del consenso a prova di manomissione
3. Disponibilità e Resilienza (Art. 32(1)(b), (c) GDPR)
- Backup automatizzati giornalieri
- Archiviazione ridondante (RAID)
- Monitoraggio e alerting
- Disponibilità target: 99,5% annuale
4. Procedure per la Revisione Periodica (Art. 32(1)(d) GDPR)
- Revisione periodica delle misure di sicurezza
- Routine di cancellazione automatizzate secondo i periodi di conservazione
- Procedura documentata di risposta agli incidenti
Per domande su questo ATD, contattare: info@quallee.de