Data Processing Agreement

Prevelox

Data Processing Agreement (DPA)

Accordo sul Trattamento dei Dati Personali — Art. 28 Reg. UE 2016/679 (GDPR)

Versione 1.1 · Giugno 2026

Accettazione: Il presente Accordo è accettato automaticamente al momento della registrazione a Prevelox, contestualmente all'accettazione dei Termini di Servizio e della Privacy Policy. Non è richiesta firma manuale. L'accettazione è registrata con timestamp e indirizzo IP.

Art. 1 — Parti del presente Accordo

Titolare del Trattamento (Cliente)

Il soggetto che si registra al servizio Prevelox e accetta il presente Accordo al momento della creazione dell'account. I dati identificativi del Titolare sono quelli forniti in fase di registrazione e/o onboarding.

Responsabile del Trattamento

Nome commerciale	Prevelox
Attività	Software as a Service per automazione preventivi
Paese	Italia
Email di contatto	info@prevelox.it
Sito web	https://prevelox.it

I dati identificativi completi (codice fiscale, P.IVA, sede legale) saranno aggiornati non appena disponibili a seguito dell'apertura della posizione fiscale.

Art. 2 — Premesse e Oggetto

Prevelox fornisce al Cliente un servizio software (SaaS) che, per conto e su istruzione del Cliente:

legge le email in arrivo sulla casella postale indicata dal Cliente tramite alias di inoltro dedicato;
identifica e classifica le richieste di preventivo inviate da terzi;
elabora automaticamente tramite AI una bozza di preventivo fedele al modello documentale del Cliente;
presenta la bozza al Cliente per revisione e approvazione — nessun invio avviene in modo automatico.

Art. 3 — Dettagli del Trattamento

3.1 Base giuridica

Il trattamento avviene sulla base dell'esecuzione del contratto (Art. 6.1.b GDPR) e del legittimo interesse del Cliente (Art. 6.1.f GDPR).

3.2 Natura e finalità

Trattamento automatizzato finalizzato esclusivamente all'erogazione del servizio: classificazione email, estrazione informazioni, generazione bozza documentale.

3.3 Tipologie di dati trattati

Dati anagrafici e di contatto dei mittenti (nome, cognome, email, eventuale telefono);
Contenuto delle email ricevute dal Cliente;
Eventuali allegati nella misura in cui contengono dati personali;
Dati aziendali del Cliente (ragione sociale, logo, modelli di preventivo caricati).

3.4 Categorie di interessati

Clienti finali del Cliente che inviano richieste di preventivo via email.

3.5 Durata del trattamento

Pari alla vigenza del contratto di servizio. Alla cessazione, Prevelox cancella tutti i dati entro 30 giorni, salvo diverso obbligo di legge.

Art. 4 — Obblighi di Prevelox (Responsabile)

Trattare i dati esclusivamente su istruzione documentata del Cliente;
Garantire che i soggetti autorizzati siano vincolati da riservatezza;
Adottare misure di sicurezza adeguate ai sensi dell'Art. 32 GDPR (TLS, AES-256, RLS, minimo privilegio, monitoraggio errori);
Non ricorrere a sub-responsabili non elencati all'Art. 5 senza previa comunicazione con 30 giorni di anticipo;
Assistere il Cliente nell'adempimento degli obblighi verso gli interessati entro i termini GDPR;
Notificare qualsiasi data breach al Cliente entro 72 ore dalla scoperta;
Mettere a disposizione le informazioni necessarie a dimostrare la conformità al presente DPA.

Art. 5 — Sub-Responsabili del Trattamento

Provider	Paese	Ruolo	Garanzie GDPR
Anthropic PBC	USA	Elaborazione AI — dati eliminati entro 7 giorni, mai usati per training	SCC + DPA
Supabase Inc.	USA (server EU)	Database e autenticazione — server eu-central-1 Frankfurt	SCC + DPA
Resend Inc.	USA	Inbound email routing e webhook	SCC · DPA in verifica
Cloudflare Inc.	USA (bucket EU)	Storage documenti generati (R2) — bucket EU configurato	SCC + DPA
Vercel Inc.	USA	Hosting e deployment applicativo	SCC + DPA
Langfuse GmbH	Germania 🇩🇪	Osservabilità pipeline AI — server EU nativi	GDPR nativo + DPA
Sentry Inc.	USA	Monitoraggio errori applicativi	SCC + DPA
Stripe Inc.	USA	Gestione pagamenti e abbonamenti	DPF + DPA
Inngest Inc.	USA	Elaborazione job in background	SCC · DPA in verifica

L'elenco aggiornato è disponibile su prevelox.it/legal/sub-processors. Prevelox comunicherà con almeno 30 giorni di anticipo qualsiasi aggiunta o sostituzione di sub-responsabili.

Art. 6 — Obblighi del Cliente (Titolare)

Disporre di una base giuridica valida (Art. 6 GDPR) per il trattamento dei dati dei propri clienti finali;
Fornire ai propri clienti finali un'informativa completa (Art. 13 GDPR) che includa Prevelox come responsabile del trattamento;
Non trasmettere a Prevelox categorie particolari di dati (Art. 9 GDPR) salvo accordo scritto preventivo;
Non trasmettere dati personali di minori senza il consenso esplicito dei tutori legali.

Art. 7 — Intelligenza Artificiale e Human-in-the-Loop

7.1 Prevelox utilizza sistemi AI per classificare email e generare bozze. Tale elaborazione produce esclusivamente una BOZZA documentale e non costituisce una decisione automatizzata vincolante ai sensi dell'Art. 22 GDPR.

7.2 Nessuna email o documento viene inviato automaticamente senza la previa revisione e approvazione esplicita del Cliente. L'intervento umano è strutturalmente obbligatorio.

7.3 Il Cliente è interamente responsabile del contenuto dei preventivi inviati dopo approvazione.

7.4 I dati trasmessi all'API Anthropic sono eliminati entro 7 giorni e non vengono utilizzati per l'addestramento di modelli AI.

Art. 8 — Dati Aggregati e Anonimi

Prevelox si riserva il diritto di elaborare dati aggregati e anonimizzati — non riconducibili al singolo Cliente o ai suoi clienti finali — per finalità di miglioramento del Servizio e analisi statistiche interne.

Art. 9 — Misure di Sicurezza

Cifratura in transito TLS 1.2+ su tutte le connessioni;
Cifratura a riposo AES-256 su database e storage;
Row Level Security (RLS) attiva su tutte le tabelle del database;
Accesso ai sistemi basato sul principio del minimo privilegio;
Procedura documentata di risposta agli incidenti con notifica al Cliente entro 72 ore.

Art. 10 — Trasferimenti verso Paesi Terzi

I trasferimenti avvengono tramite Clausole Contrattuali Standard (SCC, Art. 46 GDPR) e Data Privacy Framework UE-USA per i provider certificati (Stripe). I dati del database Supabase sono fisicamente in eu-central-1 (Frankfurt).

Art. 11 — Cessazione e Restituzione dei Dati

Prevelox cessa immediatamente ogni trattamento dei dati del Cliente;
Mette a disposizione un'esportazione completa entro 15 giorni dalla richiesta scritta;
Elimina in modo sicuro tutti i dati entro 30 giorni, salvo diverso obbligo di legge;
Su richiesta scritta, fornisce attestazione dell'avvenuta cancellazione.

Art. 12 — Legge Applicabile

Il presente DPA è disciplinato dalla legge italiana e dal Reg. UE 2016/679 (GDPR). Per qualsiasi controversia le Parti si sottopongono alla giurisdizione del Tribunale competente per il luogo di residenza del Responsabile del trattamento.

Art. 13 — Modifiche

Prevelox aggiornerà il presente DPA comunicando le modifiche via email con almeno 30 giorni di anticipo. Il proseguimento nell'utilizzo del Servizio costituisce accettazione delle modifiche aggiornate.