Quanto costa un assistente AI per aziende?

Il costo di V Support dipende dall'utilizzo (minuti chiamate e messaggi chat). Offriamo piani flessibili a partire da poche centinaia di euro al mese. Servizio italiano con supporto dedicato. Richiedi una demo gratuita per un preventivo personalizzato.

Quanto tempo serve per attivare un assistente AI aziendale?

Dopo la demo, possiamo attivare il tuo assistente AI in 48-72 ore. La configurazione iniziale include personalizzazione delle risposte e integrazione col tuo gestionale. Supportiamo aziende in tutta Italia.

L'assistente AI può prendere prenotazioni automatiche?

Sì! V Support si integra con i principali gestionali di settore (studi medici, saloni, officine, ristoranti, hotel) via API per verificare disponibilità e inserire prenotazioni in tempo reale, sia tramite telefono che chat.

Posso usare sia AI Voice che AI Chatbot insieme?

Assolutamente sì. Molti clienti usano entrambi: AI Voice per le chiamate telefoniche e AI Chatbot per sito web e WhatsApp Business. Condividono la stessa knowledge base per risposte coerenti.

Quali lingue supporta l'assistente AI?

V Support supporta oltre 100 lingue automaticamente. L'AI rileva la lingua del cliente e risponde nella stessa lingua, ideale per aziende con clientela internazionale o turistica.

L'assistente AI è conforme al GDPR?

Sì, V Support è completamente GDPR compliant. I dati sono conservati su server europei con crittografia end-to-end. Non vendiamo né condividiamo i dati con terze parti. Supportiamo anche la conformità all'AI Act europeo.

Utilizzo dei Cookie

Utilizziamo cookie tecnici essenziali per garantire il corretto funzionamento della piattaforma. Con il tuo consenso, utilizziamo anche cookie analytics per migliorare i nostri servizi. Maggiori informazioni

Torna alla home

Data Processing Agreement (Art. 28 GDPR)

Ultimo aggiornamento: 20 aprile 2026 - Versione 1.0

1. Premessa e Ruoli

Il presente Data Processing Agreement (DPA) integra i Termini e Condizioni di V Support e disciplina il trattamento dei dati personali svolto dal Fornitore per conto del Cliente ai sensi dell'Art. 28 Regolamento UE 2016/679 (GDPR) e del D.Lgs 196/2003.

Titolare del trattamento	Il Cliente, per i dati dei propri utenti finali trattati tramite la Piattaforma
Responsabile del trattamento	V Digital di Victor Gobbetti, P.IVA 05092370237, Via Lavatoio Vecchio 42, 37010 Rivoli Veronese (VR)
Contatto privacy	assistenza@vsupport.it · PEC vdigital@pec.it

Il Fornitore agisce come Titolare autonomo per i soli dati di fatturazione, amministrazione, marketing diretto dei propri servizi e gestione del rapporto contrattuale con il Cliente.

2. Oggetto, Natura e Finalità del Trattamento

Il trattamento affidato al Fornitore ha le seguenti caratteristiche:

Oggetto	Erogazione del Servizio V Support: chatbot, voicebot, CRM, gestione contatti, integrazioni messaggistica, booking.
Natura	Raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, trasmissione, cancellazione.
Finalità	Fornire al Cliente le funzionalità della Piattaforma per le interazioni con i propri utenti finali, secondo le istruzioni documentate del Cliente.
Durata	Per tutta la durata del Contratto, più i periodi di retention tecnica e legale indicati nel presente DPA.

3. Tipologie di Dati e Categorie di Interessati

3.1 Categorie di interessati

utenti finali del Cliente (visitatori del sito, destinatari di chiamate voicebot, chat di messaggistica);
dipendenti e collaboratori del Cliente autorizzati ad accedere alla Dashboard;
contatti commerciali caricati dal Cliente nel CRM.

3.2 Categorie di dati trattati

Categoria	Base giuridica del Titolare	Retention
Dati identificativi (nome, email, telefono)	Art. 6(1)(b) GDPR (contratto) o 6(1)(f) (leg. interesse)	Durata contratto + 24 mesi
Contenuto conversazioni chatbot e trascrizioni	Art. 6(1)(b) GDPR	24 mesi
Registrazioni audio voicebot	Art. 6(1)(b) GDPR, con disclosure Art. 50 AI Act	24 mesi (salvo diversa configurazione)
Log di accesso e audit trail	Art. 6(1)(f) GDPR (sicurezza)	12 mesi
Embedding vettoriali della knowledge base	Art. 6(1)(b) GDPR	Durata contratto + 30gg
Semantic cache e cache delle risposte	Art. 6(1)(f) GDPR (performance)	Max 30 giorni rolling
Dati di fatturazione del Cliente (trattamento autonomo)	Obbligo legale ex Art. 2220 c.c.	10 anni

Categorie particolari (Art. 9 GDPR): il Fornitore non raccoglie intenzionalmente dati sensibili. Se il Cliente utilizza la Piattaforma in contesti che comportano il trattamento di categorie particolari, è tenuto a darne comunicazione scritta e a concordare misure supplementari.

Minori: il Cliente garantisce di non utilizzare la Piattaforma in contesti esposti a minori di 14 anni senza aver acquisito il consenso del genitore o tutore ai sensi dell'Art. 8 GDPR (soglia italiana di 14 anni ex Art. 2-quinquies D.Lgs 101/2018, in deroga al default UE di 16 anni).

4. Istruzioni del Titolare

Il Fornitore tratta i dati personali esclusivamente sulla base di istruzioni documentate del Cliente, incluse quelle impartite attraverso la configurazione della Piattaforma (parametri chatbot, prompt personalizzati, retention configurabile), il DPA, i Termini e Condizioni e istruzioni scritte successive. Il Fornitore informa immediatamente il Cliente se, a suo parere, un'istruzione viola il GDPR o altra normativa applicabile.

Il Fornitore si obbliga a non utilizzare, in alcun caso e per alcuna finalità, i dati del Cliente o dei suoi utenti finali per addestrare, migliorare o sviluppare modelli di intelligenza artificiale propri o di terzi. Tale divieto è ribaltato contrattualmente su tutti i sub-responsabili che operano modelli linguistici.

5. Obblighi del Responsabile

Il Fornitore si impegna a:

trattare i dati solo per le finalità indicate nel DPA e nei Termini;
garantire la riservatezza delle persone autorizzate al trattamento, vincolate per obbligo legale o contrattuale alla riservatezza;
adottare le misure di sicurezza di cui all'Art. 32 GDPR (Sezione 6);
assistere il Titolare nel rispondere alle richieste degli interessati (Sezione 8);
assistere il Titolare negli obblighi di cui agli Artt. 32-36 GDPR (sicurezza, breach, DPIA);
cancellare o restituire tutti i dati al termine del Contratto (Sezione 10);
mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA e consentire audit e ispezioni (Sezione 9).

6. Misure di Sicurezza (Art. 32 GDPR)

Il Fornitore adotta le seguenti misure tecniche e organizzative:

Autenticazione e accesso: accesso basato su autenticazione multi-fattore (MFA) per ruoli owner, sessioni firmate JWT, password hashing bcrypt, rate-limiting anti-brute-force.
Crittografia in transito: TLS 1.3 end-to-end su tutti gli endpoint pubblici e tra i servizi del provider di infrastruttura cloud UE.
Crittografia a riposo: il provider di infrastruttura cloud UE applica cifratura transparent data encryption (TDE) al filesystem del database e dei bucket storage (AES-256 o equivalente, gestita dal provider). Per dati particolarmente sensibili (es. credenziali vendor) applichiamo inoltre cifratura a livello colonna con chiavi segregate (pgsodium).
Pseudonimizzazione: tutti i record del database tracciano l'utente tramite UUID non parlanti; log e metriche aggregano dati senza esporre identificatori diretti quando possibile.
Isolamento multi-tenant: Row-Level Security (RLS) di Postgres applicata a ogni tabella contenente dati cliente, con test di non-regressione automatici.
Masking PII nei log: email, telefono e UUID sono mascherati quando inseriti in log applicativi.
Retention tiered: eliminazione automatica dei dati conversazionali dopo 24 mesi; cookie_consents dopo 13 mesi; metriche operative dopo 24 mesi.
Backup e disaster recovery: backup incrementali quotidiani, Point-in-Time Recovery (PITR) su 7 giorni, RPO 24h, RTO 4h.
Monitoraggio continuo: alerting automatico sui database audit, status page pubblica per incidenti.
misure anti prompt-injection e anti-jailbreak sui sistemi AI;
penetration test su base almeno annuale.

Le misure dei sub-responsabili sono certificate (ISO 27001, SOC 2 Type II, PCI-DSS Level 1 ove applicabile) e verificate periodicamente dal Fornitore.

7. Sub-Responsabili (Art. 28 par. 2-4 GDPR)

Il Cliente autorizza il Fornitore all'utilizzo dei sub-responsabili elencati per categoria nella pagina Elenco Sub-Responsabili, consultabile pubblicamente. L'elenco nominativo completo è disponibile su richiesta scritta a privacy@vsupport.it indicando "Privacy/GDPR" nell'oggetto.

Le modifiche all'elenco sono notificate con 60 giorni di preavviso; il Cliente può opporsi entro 30 giorni per motivi ragionevoli e documentati, secondo la procedura descritta nella pagina citata.

I trasferimenti verso Paesi terzi (extra-SEE) sono disciplinati dalle Clausole Contrattuali Standard della Decisione UE 2021/914 e dal Transfer Impact Assessment mantenuto dal Fornitore, disponibile su richiesta previa firma di NDA.

8. Diritti degli Interessati

Il Fornitore assiste il Cliente nell'adempimento degli obblighi relativi all'esercizio dei diritti degli interessati (Artt. 15-22 GDPR) tramite funzioni di Dashboard e, ove necessario, operazioni manuali. Le richieste rispettano i seguenti SLA:

Accesso (Art. 15): export JSON/CSV entro 15 giorni;
Rettifica (Art. 16): entro 5 giorni lavorativi su istruzione del Titolare;
Cancellazione (Art. 17): entro 72 ore, salvo obblighi legali di conservazione;
Limitazione (Art. 18): sospensione immediata su istruzione del Titolare;
Portabilità (Art. 20): formato JSON/CSV strutturato e leggibile da dispositivo automatico;
Opposizione (Art. 21): sospensione trattamenti basati su legittimo interesse.

Se l'interessato si rivolge direttamente al Fornitore, la richiesta viene inoltrata al Cliente entro 5 giorni lavorativi, senza rispondere nel merito salvo istruzione contraria o obblighi di legge.

9. Audit e Ispezioni (Art. 28 par. 3 lett. h GDPR)

Il Cliente ha diritto di verificare il rispetto degli obblighi del presente DPA mediante:

accettazione dei report di audit dei sub-responsabili (SOC 2, ISO 27001) messi a disposizione dal Fornitore come surrogato di audit diretto;
richiesta di documentazione aggiuntiva con risposta entro 30 giorni;
ispezione diretta o tramite auditor terzo indipendente (non concorrente del Fornitore) con preavviso 30 giorni, massimo 1 volta all'anno, nei giorni lavorativi, con costi a carico del Cliente.

Audit aggiuntivi rispetto a quello annuale sono consentiti in caso di data breach che coinvolga il Cliente o di richiesta motivata di un'autorità di controllo.

10. Data Breach (Artt. 33-34 GDPR)

In caso di violazione di dati personali, il Fornitore:

notifica il Cliente senza ingiustificato ritardo, di norma entro 48 ore dalla presa di conoscenza dell'incidente, con eventuale primo preavviso ove tecnicamente possibile;
fornisce al Cliente la notifica definitiva con tutti gli elementi utili in ogni caso in tempo utile per consentire al Titolare la notifica al Garante entro 72 ore ex Art. 33 GDPR;
documenta l'incidente, le misure di contenimento, le azioni correttive e l'impatto stimato sugli interessati;
coopera con il Titolare nelle comunicazioni agli interessati ove richieste dall'Art. 34 GDPR.

Le comunicazioni pubbliche relative al breach sono coordinate tra le Parti ove la legge lo consenta.

11. Cessazione e Cancellazione Dati

Al termine del Contratto, il Fornitore mette a disposizione del Cliente i dati in formato JSON/CSV strutturato per un periodo di 30 giorni. Entro 72 ore dal termine di tale periodo, i dati attivi sono cancellati in modo irreversibile dai sistemi di produzione.

I backup cifrati residuali sono cancellati automaticamente entro 90 giorni dalla cessazione. Le copie in cache o in sistemi di log sono sovrascritte entro il medesimo termine secondo le politiche di rotazione.

Un certificato di avvenuta cancellazione firmato dal legale rappresentante del Fornitore è rilasciato d'ufficio al Cliente al completamento del processo.

12. Responsabilità

Il regime di responsabilità per il trattamento è disciplinato dall'Art. 82 GDPR. La responsabilità contrattuale del Fornitore verso il Cliente per violazione del presente DPA è soggetta ai limiti dei Termini e Condizioni, fermo restando che tali limiti non operano per dolo, colpa grave e per sanzioni del Garante derivanti da inadempimento del Fornitore.

13. Conflitti e Modifiche

In caso di conflitto tra il presente DPA e i Termini e Condizioni in materia di protezione dei dati, prevale il presente DPA. Le modifiche al DPA richieste da evoluzioni normative (es. Schrems III, nuove Linee Guida EDPB) sono comunicate con almeno 30 giorni di preavviso e accettate via Dashboard.