Data Processing Agreement
Data Processing Agreement
Versione 2026-05-20
Questo Data Processing Agreement («DPA») integra il Master Subscription Agreement tra Trueings e la tua organizzazione. Disciplina il modo in cui i dati personali vengono trattati quando la tua organizzazione partecipa al canale B2B2C di Trueings.
1. Ruoli e responsabilità
I tuoi dipendenti sono gli interessati i cui dati personali transitano attraverso Trueings. Tu (l’organizzazione) sei l’acquirente del pool di licenze; Trueings è il titolare del trattamento per i dati dell’account dei dipendenti e per i contenuti del feedback; i tuoi dipendenti sono anch’essi titolari del trattamento rispetto ai propri account e alle persone che invitano a rispondere.
La tua organizzazione non ha accesso ai contenuti del feedback dei dipendenti. Il DPA conferma per iscritto tale confine.
2. Cosa trattiamo per conto dei tuoi dipendenti
- Dati dell’account: l’email dell’account scelta da ciascun dipendente che riscatta, il nome visualizzato, il paese, la professione e la credenziale di affiliazione al datore di lavoro (email di lavoro + nome visualizzato del datore, finestra di attività legata alla licenza).
- Contenuti del feedback: i turni di intervista conversazionale dei rispondenti invitati dal dipendente, memorizzati come trascrizioni grezze fino a 30 giorni dopo la sintesi, poi eliminati automaticamente.
- Output sintetizzato: il report anonimizzato e filtrato per riservatezza, accessibile solo al dipendente.
3. Confine di riservatezza
La tua organizzazione riceve solo metriche aggregate e cieche ai contenuti (tasso di riscatto, tasso di completamento, NPS di soddisfazione dello strumento una volta raccolto). La tua organizzazione non tenterà di identificare quale dipendente abbia riscattato quale licenza, né di dedurre i contenuti del feedback dai dati di coinvolgimento, né di obbligare i dipendenti a condividere i loro report.
4. Sub-responsabili
Utilizziamo i seguenti sub-responsabili. L’elenco riflette i fornitori attivamente in uso; le modifiche sostanziali sono notificate con almeno trenta giorni di preavviso.
- Supabase: Postgres gestito e autenticazione senza password. Regione UE.
- Anthropic: inferenza tramite modelli linguistici di grandi dimensioni. Ospitata negli USA; trasferimenti coperti da Clausole Contrattuali Tipo. Al traffico della nostra organizzazione si applica un accordo a zero conservazione, quindi i contenuti non vengono conservati oltre l’inferenza e non sono usati per l’addestramento.
- Resend: invio di email transazionali. Regione UE.
- Stripe: elaborazione dei pagamenti per i piani a pagamento. Non conserviamo i dettagli della carta.
5. Conservazione
- Trascrizioni grezze delle conversazioni: eliminate automaticamente trenta giorni dopo la finalizzazione del report di ciascun dipendente.
- Report sintetizzati: conservati per tutta la durata dell’account del dipendente (che sopravvive alla sua uscita dalla tua organizzazione).
- Registri delle licenze: conservati per tutta la durata dell’account della tua organizzazione più un periodo di archiviazione obbligatorio per la fatturazione.
6. Trasferimenti transfrontalieri
I dati sono trattati principalmente nell’Unione Europea. I trasferimenti verso sub-responsabili extra-UE (attualmente: Anthropic, USA) sono coperti da Clausole Contrattuali Tipo e ridotti al minimo necessario per il servizio (solo inferenza LLM; nessun dato identificativo transita in parallelo).
7. Misure di sicurezza
Manteniamo misure tecniche e organizzative coerenti con la sensibilità dei dati, tra cui la sicurezza a livello di riga sui dati personali, l’archiviazione crittografata in transito e a riposo, controlli di accesso basati sul principio del privilegio minimo e una superficie operatore sottoposta ad audit per qualsiasi accesso cross-tenant.
8. Diritti degli interessati
I dipendenti possono esercitare i propri diritti GDPR (accesso, rettifica, cancellazione, portabilità) direttamente dalla loro dashboard Trueings o scrivendo a privacy@trueings.com. La tua organizzazione non è coinvolta in queste richieste, coerentemente con il confine di riservatezza sopra descritto.
9. Durata e risoluzione
Questo DPA resta in vigore finché è in vigore l’MSA E finché Trueings conserva dati personali trattati per conto dei tuoi dipendenti. La risoluzione attiva le tempistiche di conservazione standard sopra indicate.
10. Contatti
DPA controfirmato, notifiche sui sub-responsabili, questionari di sicurezza: teams@trueings.com. Richieste degli interessati (dipendenti): privacy@trueings.com.