Accordo sul trattamento dei dati ai sensi dell'art. 28 GDPR

tra l'utente del servizio BonusVoice (di seguito "Titolare del trattamento") e

Bonus Service BS GmbH Dorotheenstr. 5, 45130 Essen E-mail: info@bonusvoice.de Telefono: 0201-89083160

(di seguito "Responsabile del trattamento")

§ 1 – Oggetto e durata del trattamento

(1) Il Responsabile del trattamento tratta dati personali per conto del Titolare del trattamento nell'ambito dell'utilizzo del servizio BonusVoice (trascrizione e riepilogo di registrazioni audio mediante IA).

(2) La durata del trattamento corrisponde alla durata del contratto di utilizzo. Con la cancellazione dell'account utente, il trattamento cessa. I dati personali vengono cancellati entro 30 giorni dalla cancellazione dell'account, salvo che sussistano obblighi legali di conservazione.

§ 2 – Tipo e finalità del trattamento

Il trattamento comprende le seguenti attività:

Archiviazione di registrazioni audio, trascrizioni e riepiloghi
Elaborazione IA per la trascrizione (voce-in-testo) e il riepilogo
Gestione utenti (creazione account, autenticazione, appartenenza organizzativa)
Invio e-mail (conferma account, notifiche, invio di trascrizioni)
Elaborazione dei pagamenti (gestione abbonamenti e fatturazione)

§ 3 – Tipo di dati personali

Vengono trattate le seguenti categorie di dati:

Nome e indirizzo e-mail
Password (memorizzata in forma crittografata)
Appartenenza organizzativa
Registrazioni audio e relative trascrizioni e riepiloghi
Metadati (titolo, descrizione, durata, lingua delle registrazioni)
Dati di pagamento (elaborati da Stripe, non memorizzati dal Responsabile del trattamento)
Dati di log del server (indirizzo IP, browser, timestamp)

§ 4 – Categorie di interessati

Utenti registrati del servizio
Persone coinvolte nelle registrazioni audio (parlanti)

§ 5 – Obblighi del Responsabile del trattamento

(1) Il Responsabile del trattamento tratta i dati personali esclusivamente su istruzione documentata del Titolare del trattamento, salvo che sia tenuto a un trattamento in virtù del diritto dell'Unione o del diritto degli Stati membri.

(2) Il Responsabile del trattamento garantisce che le persone autorizzate al trattamento si siano impegnate alla riservatezza.

(3) Il Responsabile del trattamento adotta tutte le misure richieste ai sensi dell'art. 32 GDPR, in particolare:

Crittografia SSL/TLS di tutti i trasferimenti di dati
Archiviazione crittografata di tutti i file audio nell'Object Storage
Archiviazione crittografata delle password
Controllo degli accessi e sistema di autorizzazioni
Aggiornamenti di sicurezza regolari di tutti i sistemi
Ubicazione dei server esclusivamente in Germania e nell'UE

(4) Il Responsabile del trattamento assiste il Titolare del trattamento nell'adempimento degli obblighi di cui agli artt. 32-36 GDPR.

(5) Al termine del trattamento, il Responsabile del trattamento cancella tutti i dati personali, salvo che sussista un obbligo legale di conservazione.

(6) Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR.

§ 6 – Sub-responsabili del trattamento

(1) Il Titolare del trattamento acconsente all'impiego dei seguenti sub-responsabili:

6.1 Hetzner Online GmbH

| | | |---|---| | Finalità | Hosting del server e archiviazione file (Object Storage) | | Indirizzo | Industriestr. 25, 91710 Gunzenhausen, Germania | | Ubicazione del server | Germania | | Dati trattati | Tutti i dati utente e di contenuto, file audio, trascrizioni | | Accordo | Accordo sul trattamento dei dati ai sensi dell'art. 28 GDPR |

6.2 Mistral AI

| | | |---|---| | Finalità | Elaborazione IA: trascrizione (modello Voxtral) e riepilogo | | Indirizzo | 15 Rue des Halles, 75001 Parigi, Francia | | Ubicazione del server | UE (Francia) | | Dati trattati | File audio (per la trascrizione), trascrizioni (per il riepilogo) | | Nota | Tutta l'elaborazione IA avviene esclusivamente nell'UE. Nessun trasferimento di dati in paesi terzi. |

6.3 ALL-INKL.COM - Neue Medien Münnich

| | | |---|---| | Finalità | Invio e-mail (conferma account, notifiche, invio trascrizioni) | | Indirizzo | Hauptstraße 68, 02742 Friedersdorf, Germania | | Ubicazione del server | Germania | | Dati trattati | Indirizzo e-mail, nome, contenuto e-mail |

6.4 Stripe, Inc.

| | | |---|---| | Finalità | Elaborazione dei pagamenti (carte di credito, SEPA, gestione abbonamenti) | | Indirizzo | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | | Elaborazione dati | UE (Stripe elabora i dati di pagamento europei nell'UE) | | Dati trattati | Informazioni di pagamento (dati carte di credito, dati SEPA). Questi vengono elaborati esclusivamente da Stripe e non memorizzati dal Responsabile del trattamento. | | Nota | Stripe è responsabile esclusivamente dell'elaborazione dei pagamenti. Nessun dato audio, di trascrizione o di contenuto viene trasmesso a Stripe. | | Garanzie | EU-US Data Privacy Framework, clausole contrattuali standard (SCC) |

6.5 Google Ireland Limited (opzionale)

| | | |---|---| | Finalità | Autenticazione (Google OAuth 2.0) — solo se l'utente sceglie attivamente l'accesso con Google | | Indirizzo | Gordon House, Barrow Street, Dublin 4, Irlanda | | Elaborazione dati | UE (Irlanda) | | Dati trattati | Nome e indirizzo e-mail dell'utente (solo per l'identificazione dell'account) | | Nota | Google OAuth è completamente opzionale. Gli utenti possono in qualsiasi momento accedere tramite e-mail/password o Magic Link. Nessuna registrazione audio, trascrizione, riepilogo o altro dato di contenuto viene trasmesso a Google. | | Garanzie | EU-US Data Privacy Framework, clausole contrattuali standard (SCC) |

(2) Il Responsabile del trattamento informerà il Titolare del trattamento di ogni modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili. Il Titolare del trattamento può opporsi a tali modifiche.

§ 7 – Trasferimento in paesi terzi

(1) Un trasferimento di dati personali in paesi terzi (al di fuori del SEE) fondamentalmente non ha luogo.

(2) Eccezioni:

Stripe (elaborazione dei pagamenti): Stripe, Inc. ha sede negli USA, tuttavia elabora i dati europei nell'UE. Per il trasferimento dei dati si applicano l'EU-US Data Privacy Framework e le clausole contrattuali standard.
Google (solo in caso di Google OAuth): Google Ireland Limited elabora i dati nell'UE. Solo in caso di scelta attiva dell'accesso con Google da parte dell'utente.

(3) L'elaborazione IA (trascrizione e riepilogo) e l'archiviazione di tutti i dati di contenuto e utente avviene esclusivamente in Germania e nell'UE.

§ 8 – Diritti degli interessati

Il Responsabile del trattamento assiste il Titolare del trattamento nell'adempimento dei diritti degli interessati ai sensi degli artt. 12-22 GDPR, in particolare:

Diritto di accesso (art. 15 GDPR)
Diritto di rettifica (art. 16 GDPR)
Diritto alla cancellazione (art. 17 GDPR)
Diritto alla limitazione del trattamento (art. 18 GDPR)
Diritto alla portabilità dei dati (art. 20 GDPR)

Gli utenti possono in qualsiasi momento consultare, esportare e cancellare i propri dati tramite il proprio account utente.

§ 9 – Obbligo di notifica in caso di violazione dei dati

Il Responsabile del trattamento informa il Titolare del trattamento senza indugio, al più tardi entro 48 ore, di ogni violazione della protezione dei dati personali ai sensi dell'art. 33 GDPR.

§ 10 – Diritti di controllo

(1) Il Titolare del trattamento ha il diritto di verificare in modo adeguato il rispetto del presente accordo.

(2) Il Responsabile del trattamento mette a disposizione del Titolare del trattamento, su richiesta, tutte le informazioni necessarie e consente verifiche, comprese ispezioni.

§ 11 – Durata e risoluzione

Il presente accordo ha validità per la durata dell'utilizzo del servizio BonusVoice. Entra in vigore con la registrazione e termina con la cancellazione dell'account utente.

§ 12 – Disposizioni finali

(1) Qualora singole disposizioni del presente accordo dovessero risultare invalide, la validità delle restanti disposizioni non ne viene pregiudicata.

(2) Si applica il diritto della Repubblica Federale di Germania.

(3) Il foro competente è Essen.

Stato: Marzo 2026

Contatto per questioni relative alla protezione dei dati: info@bonusvoice.de