GDPR e protezione dei dati

Trattiamo un dato solo se una base giuridica lo giustifica (articolo 6 del GDPR): l'esecuzione del contratto che ci lega al professionista, il legittimo interesse a garantire la continuità della sua accoglienza telefonica, oppure il consenso quando è richiesto. Quando una chiamata viene registrata per costituire la prova di un appuntamento o di un impegno, la registrazione è conservata solo se è realmente necessaria a tale scopo. Ogni finalità è definita in anticipo; nessun dato viene riutilizzato per un uso non previsto.

Raccogliamo lo stretto necessario per la qualificazione della chiamata e la presa di appuntamento, nulla di più. Le trascrizioni e le registrazioni sono conservate per una durata limitata, proporzionata alla loro finalità, poi cancellate o anonimizzate.

• Periodi di conservazione definiti per finalità e documentati nella nostra informativa sulla privacy.
• Database e archiviazione ospitati nell'Unione europea (Supabase, regione UE, Francoforte).
• Accessi limitati alle sole persone autorizzate, nell'ambito delle loro mansioni.

Far funzionare un agente vocale comporta il ricorso a fornitori tecnici (telefonia, trascrizione, modello linguistico, hosting, e-mail). Ciascuno interviene in qualità di responsabile del trattamento, vincolato da un accordo sul trattamento dei dati (DPA, articolo 28 del GDPR) che precisa il trattamento esclusivamente secondo le nostre istruzioni, la riservatezza, le misure di sicurezza e il destino dei dati al termine del contratto.

Privilegiamo un hosting europeo. Quando un trasferimento al di fuori dell'Unione europea è necessario, si basa sul meccanismo adatto al fornitore interessato: o una decisione di adeguatezza della Commissione europea (ad esempio il Data Privacy Framework per le entità statunitensi certificate), oppure delle clausole contrattuali tipo accompagnate da una valutazione delle garanzie offerte. Non presentiamo mai un trasferimento come inesistente: descriviamo il reale inquadramento che si applica.

Conformemente all'articolo 32 del GDPR, mettiamo in atto misure tecniche e organizzative adeguate al rischio: controllo degli accessi, cifratura dei dati in transito e a riposo presso i nostri fornitori di hosting e registrazione delle operazioni sensibili. In caso di violazione di dati suscettibile di presentare un rischio, il titolare del trattamento ne viene informato nel più breve tempo possibile affinché possa adempiere ai propri obblighi.

Ogni persona interessata — in primo luogo il chiamante — può esercitare i diritti previsti dal GDPR: accesso (art. 15), rettifica (art. 16), cancellazione (art. 17), limitazione (art. 18), portabilità (art. 20) e opposizione (art. 21). Quando una decisione che produce effetti significativi viene presa in modo interamente automatizzato, l'articolo 22 prevede anche un diritto all'intervento umano. Queste richieste ricevono una risposta entro il termine di un mese (art. 12), prorogabile se necessario.

Per saperne di più sui trattamenti effettuati, consultate la nostra informativa sulla privacy. Per esercitare un diritto o porre una domanda, scriveteci tramite la pagina contatti.