ACCORDO SUL TRATTAMENTO DEI DATI
L'Accordo sul trattamento dei dati, in lettura semplice.
v1.2.1 · In vigore dalla data di pubblicazione
Scritto perché il tuo DPO possa approvarlo in una sola seduta. Ogni termine, sub-responsabile e garanzia documentati per intero. Il PDF firmato riporta lo stesso contenuto.
AMBITO E RUOLI
Chi fa cosa, con i dati di chi.
Ai sensi del presente DPA, il Cliente è il titolare del trattamento e Sageio agisce come responsabile del trattamento per conto del Cliente. Sageio tratta i dati personali esclusivamente per fornire i servizi contrattualizzati — traduzione, trascrizione e riepilogo delle riunioni in tempo reale — e solo in base alle istruzioni documentate del Cliente. Il presente DPA è parte integrante del Contratto di abbonamento tra Sageio e il Cliente; in caso di conflitto, il DPA prevale per le questioni relative al trattamento dei dati personali. Si applica a tutte le attività di trattamento svolte in relazione alla piattaforma Sageio.
DATI TRATTATI
Cosa trattiamo, e perché possiamo farlo.
| Categoria di dati | Finalità del trattamento | Base giuridica (Art. 6 GDPR) | Conservazione |
|---|---|---|---|
| Audio della riunione | Trascrizione da voce a testo e traduzione durante la riunione. | Art. 6(1)(b) — esecuzione del contratto. | Trasmesso in streaming per la trascrizione in tempo reale ed elaborato solo in memoria; mai scritto su disco. Non usato per l'addestramento dei modelli. |
| Trascrizioni e traduzioni delle riunioni | Archiviazione e recupero da parte dei membri dello spazio di lavoro del Cliente. | Art. 6(1)(b) — esecuzione del contratto. | Conservate fino all'eliminazione da parte del Cliente o all'eliminazione dell'account. |
| Riassunti e azioni da intraprendere | Risultati di riunione generati dall'IA e derivati dalla trascrizione. | Art. 6(1)(b) — esecuzione del contratto. | Segue la conservazione della trascrizione. |
| Identificativi dell'account (nome, email, ruolo) | Autenticazione, accesso allo spazio di lavoro e registrazione di audit. | Art. 6(1)(b) — esecuzione del contratto. | Durata dell'account più 30 giorni dopo la chiusura. |
| Metadati dello spazio di lavoro e di utilizzo | Funzionamento del servizio, riconciliazione della fatturazione e prevenzione degli abusi. | Art. 6(1)(b) e Art. 6(1)(f) — legittimo interesse all'integrità del servizio. | 12 mesi dalla generazione. |
| Log di audit | Monitoraggio della sicurezza e revisione degli accessi da parte del Cliente. | Art. 6(1)(f) — legittimo interesse alla sicurezza. | 12 mesi dalla generazione. |
| Identificativi di fatturazione | Gestione dell'abbonamento. I dati delle carte di pagamento sono trattati da LemonSqueezy in qualità di Merchant of Record e non sono conservati da Sageio. | Art. 6(1)(b) — esecuzione del contratto. | Durata dell'account più 7 anni per le registrazioni fiscali. |
SUB-RESPONSABILI
L'intera catena di custodia.
| Sub-responsabile | Finalità | Luogo di trattamento |
|---|---|---|
| Amazon Web Services | Hosting cloud, storage di oggetti, gestione delle chiavi di crittografia. | Regione selezionata dal Cliente (predefinita: Singapore, Asia-Pacifico). UE e USA sui piani Enterprise. |
| Neon | Database PostgreSQL gestito per i dati applicativi. | Regione abbinata alla regione AWS principale del Cliente. |
| Vercel | Hosting per il sito di marketing e l'applicazione web rivolta ai clienti. | Rete edge globale. Origine: regione selezionata dal Cliente. |
| Clerk | Autenticazione, single sign-on e gestione delle identità. | Stati Uniti. |
| Deepgram | Trascrizione da voce a testo dell'audio della riunione. | Stati Uniti. |
| OpenAI | Trascrizione in tempo reale da voce a testo dell'audio della riunione (motore predefinito per i nuovi spazi di lavoro) e trascrizione dei file audio caricati. | Stati Uniti. |
| DeepL | Traduzione dei segmenti intermedi della trascrizione e traduzione finale per le lingue di destinazione selezionate. | Germania (UE). |
| Google (Gemini API) | Affinamento della traduzione dei segmenti finalizzati della trascrizione; riassunti e azioni da intraprendere generati dall'IA. | Stati Uniti. I dati non vengono usati per addestrare i modelli di Google secondo i termini a pagamento dell'API Gemini. |
| Resend | Consegna di email transazionali (avvisi di account e di servizio; email di riepilogo delle riunioni inviate su richiesta dell'utente). | Stati Uniti. |
Lemon Squeezy (una società Stripe) non è un sub-responsabile: in qualità di Merchant of Record determina le proprie finalità per pagamenti, imposte e fatturazione, e agisce come titolare autonomo del trattamento ai sensi della propria informativa sulla privacy.
Plausible (analisi del sito web senza cookie) opera solo sul nostro sito di marketing e non tratta dati personali della piattaforma ai sensi del presente DPA; è indicato nell'Informativa sulla privacy.
IMPEGNI DEL RESPONSABILE
L'articolo 28, scritto nel contratto.
Questi impegni sono parte integrante del DPA. Il testo inglese è la versione che fa fede; le traduzioni localizzate seguiranno il testo approvato.
- Modifiche ai sub-responsabili
- Sageio mantiene l'elenco aggiornato dei sub-responsabili su sageio.net/subprocessors. Sageio darà al Cliente un preavviso di almeno 30 giorni (via email o tramite avviso in-app) prima di aggiungere o sostituire un sub-responsabile. Il Cliente può opporsi per ragionevoli motivi di protezione dei dati entro il periodo di preavviso; se le parti non riescono a risolvere l'obiezione, il Cliente può recedere dai servizi interessati e ricevere un rimborso pro rata dei canoni prepagati per il periodo non utilizzato. Sageio impone a ciascun sub-responsabile obblighi di protezione dei dati equivalenti a quelli del presente DPA e resta responsabile del loro operato.
- Notifica di violazione dei dati personali
- Sageio notificherà il Cliente senza ingiustificato ritardo e, in ogni caso, entro 24 ore dalla conferma di una violazione dei dati personali che riguardi i dati personali del Cliente, e fornirà le informazioni ragionevolmente necessarie per gli obblighi del Cliente ai sensi degli articoli 33-34 del GDPR, con aggiornamenti man mano che l'indagine procede.
- Cancellazione e restituzione
- Alla cessazione o alla scadenza dei servizi, Sageio, a scelta del Cliente, cancellerà o restituirà tutti i dati personali del Cliente entro 30 giorni, ed eliminerà le copie residue, salvo i casi in cui la legge applicabile imponga la conservazione. I dati personali nei backup crittografati vengono eliminati nel normale ciclo di rotazione dei backup di 30 giorni.
- Assistenza e audit
- Tenendo conto della natura del trattamento, Sageio assisterà il Cliente con misure tecniche e organizzative adeguate nel rispondere alle richieste degli interessati e nell'adempimento degli obblighi del Cliente ai sensi degli articoli 32-36 del GDPR, comprese le valutazioni d'impatto sulla protezione dei dati e le consultazioni preventive. Sageio metterà a disposizione le informazioni ragionevolmente necessarie a dimostrare la conformità all'articolo 28 — compresi i riepiloghi dei penetration test e, ove disponibili, i report di audit — e consentirà audit, comprese le ispezioni, da parte del Cliente o del suo revisore incaricato, non più di una volta ogni dodici mesi, con preavviso di 30 giorni, a spese del Cliente e nel rispetto della riservatezza.
- Riservatezza e istruzioni
- Sageio garantisce che le persone autorizzate a trattare i dati personali si impegnino alla riservatezza. Sageio informerà il Cliente senza ingiustificato ritardo qualora, a suo parere, un'istruzione violi la normativa applicabile in materia di protezione dei dati.
- Garanzie del Cliente
- Il Cliente garantisce di aver stabilito una base giuridica per il trattamento che istruisce ai sensi del presente DPA, comprese le eventuali informative e i consensi dei partecipanti alla riunione richiesti dalla legge applicabile e — qualora il contenuto della riunione contenga incidentalmente categorie particolari di dati personali — una condizione ai sensi dell'articolo 9(2) del GDPR. Sageio non utilizza il contenuto delle riunioni per identificare alcuna persona dalla voce e non crea modelli biometrici.
- Durata, legge applicabile e responsabilità
- Il presente DPA ha effetto con il Contratto di abbonamento e ne dura per tutta la durata; è disciplinato dalla stessa legge, e ad esso si applicano le limitazioni di responsabilità previste nei Termini di servizio, salvo ove la normativa imperativa sulla protezione dei dati disponga diversamente.
MISURE DI SICUREZZA
L'ingegneria incontra l'impegno.
Sageio adotta misure tecniche e organizzative adeguate al rischio del trattamento, comprese la crittografia in transito (TLS 1.3) e a riposo (AES-256-GCM), il controllo degli accessi basato sui ruoli, la registrazione di audit, regolari penetration test e un processo documentato di risposta agli incidenti. L'accesso alla produzione richiede una giustificazione aziendale esplicita, è limitato nel tempo ed è registrato. Il catalogo completo delle misure, compreso lo stato attuale del programma di conformità, è pubblicato nella pagina Sicurezza e aggiornato man mano che il programma evolve.
TRASFERIMENTI INTERNAZIONALI
Dati transfrontalieri, trasferiti legalmente.
Qualora i dati personali siano trasferiti al di fuori dello Spazio economico europeo, del Regno Unito o di altre giurisdizioni con restrizioni equivalenti, Sageio si avvale delle Clausole Contrattuali Standard della Commissione europea (Modulo Due: da titolare a responsabile) e, ove applicabile, dell'Addendum britannico sul trasferimento internazionale dei dati. Per i trasferimenti verso giurisdizioni coperte da una decisione di adeguatezza, Sageio si avvale di tale decisione. I sub-responsabili sono vincolati a obblighi equivalenti tramite il trasferimento contrattuale a cascata. Per ciascun sub-responsabile che tratta dati personali al di fuori della giurisdizione dell'esportatore dei dati vengono effettuate valutazioni d'impatto sul trasferimento.
Le SCC (Modulo Due: da titolare a responsabile) e l'Addendum britannico sul trasferimento internazionale dei dati sono incorporate nel presente DPA mediante riferimento. L'Allegato I (parti; descrizione del trattamento) è costituito dai dettagli delle parti e dalla tabella "Dati trattati" di cui sopra, che può includere incidentalmente categorie particolari di dati contenute nel contenuto delle riunioni; l'Allegato II (misure tecniche e organizzative) dalla sezione "Misure di sicurezza"; l'Allegato III (sub-responsabili autorizzati) dalla tabella "Sub-responsabili". In caso di conflitto, prevalgono le SCC.
DIRITTI DEGLI INTERESSATI
I diritti dei tuoi utenti, i nostri obblighi.
- Diritto di accesso — conferma e copia dei dati personali trattati.
- Diritto di rettifica — correzione di dati inesatti o incompleti.
- Diritto alla cancellazione — eliminazione entro 30 giorni da una richiesta valida, fatti salvi gli obblighi legali di conservazione.
- Diritto di limitazione — limitazione del trattamento in circostanze definite.
- Diritto alla portabilità dei dati — esportazione in un formato strutturato e leggibile da dispositivo automatico.
- Diritto di opposizione — anche al trattamento basato sul legittimo interesse.
- Diritto di proporre reclamo all'autorità di controllo competente.
CONTATTI
Persone reali, caselle con nome.
- Privacy: privacy@sageio.net
- Security: security@sageio.net
Sageio is operated by 好客網路股份有限公司 (Unified Business No. 29041135), a company registered in Taiwan. Registered address: No. 205, Hulin Street, Xinyi District, Taipei City, Taiwan (臺北市信義區虎林街205號). Privacy contact: privacy@sageio.net.
Cronologia delle versioni
- v1.2.114 giugno 2026Completata la conferma del piano a pagamento di Gemini (nota provvisoria rimossa); l'impegno sui sub-responsabili rimanda ora alla pagina /subprocessors attiva; aggiunta la traduzione in cinese tradizionale degli impegni del responsabile e dell'incorporazione delle SCC.
- v1.213 giugno 2026Correzione della tabella dei sub-responsabili: aggiunto OpenAI (trascrizione in tempo reale da voce a testo, motore predefinito per i nuovi spazi di lavoro); finalità di DeepL estesa alla traduzione finale per le lingue selezionate; finalità di Resend comprende le email di riepilogo delle riunioni; base dei termini di Gemini corretta all'API del piano a pagamento (conferma in corso). Rimosse le dichiarazioni sulla finestra di conservazione configurabile per allinearsi all'attuale comportamento del sistema.
- v1.113 giugno 2026Aggiunti gli impegni del responsabile ai sensi dell'articolo 28; tabella dei sub-responsabili ampliata (DeepL, Resend); voci di conservazione corrette per allinearsi al comportamento del sistema; SCC e Addendum britannico incorporati con la mappatura degli Allegati.
- v1.0In vigore dalla pubblicazionePubblicazione iniziale.