Art. 28 GDPR — fra te e noi.
In vigore dal 2 maggio 2026
Il presente Data Processing Agreement (“DPA”) integra le Condizioni d'uso e regola il trattamento di dati personali da parte di Passero Sara — Ditta Individuale (“Responsabile”) per conto dell'Utente (“Titolare”) ai sensi dell'art. 28 del Regolamento UE 2016/679 (“GDPR”).
Si applica automaticamente a chi usa FlowNote per trattare dati di propri clienti, contatti o terzi durante l'erogazione del proprio servizio professionale.
01. Scopo
Definire diritti e obblighi delle parti riguardo al trattamento dei dati personali che il Titolare carica o genera tramite FlowNote (audio scartato dopo trascrizione; trascrizione, appunti, riassunto, action items, preventivo, eventuali dati anagrafici del cliente finale del Titolare).
02. Ruoli — Controller / Processor split
- Titolare del trattamentodei dati dei propri clienti finali è l'Utente di FlowNote (es. il freelance che registra una call con il proprio cliente).
- Responsabile del trattamento di tali dati è Passero Sara — Ditta Individuale, che li tratta esclusivamente per fornire il Servizio e secondo le istruzioni dell'Utente.
- Per i dati di account e fatturazione dell'Utente stesso, Passero Sara — Ditta Individuale agisce come Titolare autonomo (vedi informativa privacy).
03. Oggetto, durata, natura del trattamento
- Categorie di interessati: clienti finali del Titolare, partecipanti alle riunioni registrate.
- Tipi di dati: contenuto verbale di riunioni professionali, dati anagrafici e fiscali del cliente finale del Titolare quando inseriti dal Titolare nel preventivo (nome, P.IVA, email, indirizzo).
- Finalità: trascrizione, generazione bozza preventivo, supporto chat sui contenuti della call, esportazione PDF, invio email al cliente finale, archiviazione e ricerca per conto del Titolare.
- Durata: per tutta la durata del rapporto contrattuale e fino a cancellazione esplicita da parte del Titolare.
04. Istruzioni documentate
Il Responsabile tratta i dati personali esclusivamente sulla base di istruzioni documentate del Titolare, qui rappresentate dalle Condizioni d'uso, dall'informativa privacy e dall'interfaccia del Servizio (azioni che il Titolare compie tramite la piattaforma valgono come istruzioni). Il Responsabile informa il Titolare se ritiene che un'istruzione violi il GDPR.
05. Riservatezza
Il personale del Responsabile autorizzato al trattamento è vincolato a obblighi di riservatezza, contrattuali o di legge. L'accesso ai dati di un singolo Titolare è limitato al minimo necessario per erogare e mantenere il Servizio.
06. Misure tecniche e organizzative
- Cifratura dei dati a riposo gestita dal provider (Supabase) e in transito (TLS 1.2+).
- Row-level security su tutte le tabelle: ogni utente vede e modifica solo i propri dati.
- Storage dei logo in bucket privato, con RLS sul percorso utente.
- Audio mai persistito: la registrazione viene inviata in tempo reale al servizio di trascrizione e scartata dalla memoria a fine elaborazione.
- Controlli di accesso basati su ruoli, segreti server-side mai esposti al browser, audit log su operazioni amministrative.
- Backup giornalieri automatici del database con conservazione ragionevole, residenti in UE.
- Cancellazione contrattuale entro 30 giorni dei dati transitati per i fornitori di modelli AI (Anthropic via Vercel AI Gateway, Deepgram).
07. Subprocessor autorizzati
Il Titolare autorizza in via generale il Responsabile a coinvolgere i subprocessor elencati nell'informativa privacy, sezione 06. Il Responsabile garantisce che ciascun subprocessor sia vincolato da obblighi contrattuali equivalenti a quelli del presente DPA.
Modifiche all'elenco vengono notificate via email al Titolare con almeno 30 giorni di anticipo. Il Titolare ha diritto di opporsi recedendo dal contratto entro la data di efficacia.
08. Assistenza ai diritti degli interessati
Il Responsabile assiste il Titolare con misure tecniche e organizzative appropriate per rispondere alle richieste degli interessati ex artt. 15-22 GDPR (accesso, rettifica, cancellazione, portabilità, opposizione). La cancellazione di un account utente tramite la pagina impostazioni elimina in modo immediato e definitivo tutti i contenuti associati.
09. Notifica di data breach
In caso di violazione dei dati personali ai sensi dell'art. 4(12) GDPR, il Responsabile notifica al Titolare l'evento senza ingiustificato ritardo dopo esserne venuto a conoscenza, fornendo le informazioni ragionevolmente disponibili (natura della violazione, categorie e numero approssimativo di interessati e dati coinvolti, conseguenze probabili, misure adottate o proposte).
10. Audit e ispezioni
Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA. A richiesta scritta motivata, il Responsabile consente audit ragionevoli (max 1/anno, salvo eventi straordinari) condotti dal Titolare o da un revisore indipendente vincolato a riservatezza, con modalità concordate per minimizzare l'impatto sul Servizio.
11. Restituzione e cancellazione
Al termine del rapporto contrattuale, su scelta del Titolare, il Responsabile cancella o restituisce tutti i dati personali trattati per suo conto, salvo obblighi di conservazione previsti dalla legge. La cancellazione automatica viene applicata al momento dell'eliminazione dell'account, in modo immediato e irreversibile.
Per richieste di portabilità ex Art. 20 GDPR, l'Utente può scaricare in autonomia un export JSON completo dei propri contenuti tramite /app/settings→ “Esporta i miei dati”, senza inviare richieste formali.
12. Successione del Responsabile
Il Responsabile può trasferire i propri obblighi a un nuovo soggetto giuridico — in particolare in occasione del passaggio del Servizio al soggetto giuridico personale del fondatore di FlowNote, previsto per agosto 2026 — con preavviso scritto al Titolare di almeno 30 giorni. Il subentrante assumerà i medesimi obblighi del presente DPA. Il Titolare ha facoltà di recedere prima della data di efficacia.
13. Disposizioni varie
In caso di conflitto fra il presente DPA e le Condizioni d'uso, prevale il DPA per quanto attiene al trattamento di dati personali. Le comunicazioni relative al presente DPA possono essere inviate a privacy@flownote.it.
Il presente DPA è regolato dalla legge italiana. Ogni controversia è soggetta alla giurisdizione del foro della sede di Italia (P.IVA in apertura).