La presente traduzione è fornita a scopo puramente indicativo. In caso di discrepanza o incoerenza tra la presente traduzione e la versione in lingua inglese, prevarrà la versione in lingua inglese.

Oriora — Addendum sul Trattamento dei Dati

Ultimo aggiornamento: 2026-05-26 In vigore dal: 2026-05-26

1. Introduzione

Il presente Addendum sul Trattamento dei Dati ("DPA") costituisce parte integrante dei Termini di Servizio di Oriora tra Orioralabs OÜ ("Oriora", "Responsabile del trattamento") e il cliente ("Cliente", "Titolare del trattamento") (congiuntamente, le "Parti"). Esso disciplina il trattamento dei dati personali da parte di Oriora per conto del Cliente in relazione alla fornitura dei servizi di Oriora.

Il presente DPA è incorporato per riferimento nei Termini di Servizio di Oriora e diventa efficace al momento dell'accettazione dei Termini di Servizio da parte del Cliente al momento dell'iscrizione. Non è richiesta alcuna firma separata.

In caso di conflitto tra il presente DPA e i Termini di Servizio, il presente DPA prevarrà per quanto riguarda il trattamento dei dati personali.

2. Definizioni

I termini non definiti nel presente DPA hanno i significati attribuiti nei Termini di Servizio di Oriora o nel Regolamento Generale sulla Protezione dei Dati (GDPR) dell'UE.

• Titolare del trattamento, Responsabile del trattamento, Sub-responsabile del trattamento, Dati personali, Trattamento, Interessato — come definiti nel GDPR.
• Legge sulla Protezione dei Dati — il GDPR e qualsiasi legge nazionale di attuazione applicabile, incluse le leggi dell'Estonia.

3. Oggetto, durata, natura e finalità del trattamento

4. Ruoli delle Parti

Per il trattamento rientrante nell'ambito del presente DPA, il Cliente è il Titolare del trattamento e Oriora è il Responsabile del trattamento per quanto riguarda i Dati Personali del Cliente (ossia i dati personali degli utenti finali del Cliente o di altri interessati per conto dei quali il Cliente utilizza i servizi di Oriora).

Il presente DPA non stabilisce un accordo di contitolarità del trattamento ai sensi dell'Articolo 26 del GDPR. Il Cliente controlla l'insieme idoneo di fornitori di AI tramite la configurazione a livello di account del Cliente — inclusi l'interruttore Auto routing, la preferenza di priorità di routing, le preferenze di esclusione dei fornitori, la configurazione della chiave BYOK, la selezione dell'app e (dove Auto routing è disabilitato) l'elenco dei fornitori selezionati. Le decisioni di routing di Oriora operano esclusivamente entro i limiti stabiliti dalla configurazione del Cliente.

Oriora tratta i Service Data, i Log Data, i dati aggregati e i dati de-identificati come titolare del trattamento indipendente, esclusivamente ai fini dell'operatività, della sicurezza, della fatturazione, del supporto e del miglioramento dei servizi di Oriora. Il trattamento di tali dati da parte di Oriora è disciplinato dalla Privacy Policy di Oriora.

5. Obblighi di Oriora in qualità di Responsabile del trattamento

Oriora si impegna a:

• (a) trattare i dati personali solo su istruzioni documentate del Cliente, a meno che non sia richiesto diversamente dalla legge dell'UE o di uno Stato membro (nel qual caso Oriora informerà il Cliente di tale requisito legale prima del trattamento, a meno che tale legge non proibisca tale informazione per importanti motivi di interesse pubblico). Le istruzioni documentate del Cliente includono le scelte di configurazione a livello di account del Cliente rese disponibili da Oriora, come l'interruttore Auto routing, la preferenza di priorità di routing, le preferenze di esclusione dei fornitori, la configurazione della chiave BYOK, la selezione dell'app, i controlli di budget e (dove Auto routing è disabilitato) l'elenco dei fornitori selezionati. Il routing di Oriora opera all'interno dell'insieme di fornitori idonei definito dalla configurazione del Cliente;
• (b) assicurare che le persone autorizzate al trattamento dei dati personali siano soggette a un obbligo di riservatezza;
• (c) implementare misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, inclusi (ove applicabile) crittografia, controlli di accesso e fornitori di infrastrutture sicure;
• (d) coinvolgere sub-responsabili del trattamento solo come consentito nella Sezione 6;
• (e) assistere il Cliente, tenendo conto della natura del trattamento, con misure tecniche e organizzative appropriate, nell'adempimento degli obblighi del Cliente di rispondere alle richieste degli interessati come stabilito nella Sezione 7;
• (f) assistere il Cliente nel garantire la conformità con gli obblighi relativi alla sicurezza del trattamento, alla notifica delle violazioni, alle valutazioni d'impatto sulla protezione dei dati e alla consultazione preventiva con le autorità di controllo, tenendo conto della natura del trattamento e delle informazioni disponibili a Oriora;
• (g) al termine della fornitura dei servizi, cancellare o restituire i dati personali come stabilito nella Sezione 11;
• (h) mettere a disposizione del Cliente le informazioni necessarie per dimostrare la conformità con il presente DPA e consentire e contribuire agli audit come stabilito nella Sezione 9.

Laddove il Cliente richieda assistenza ai sensi del presente DPA che vada oltre quanto ragionevolmente possibile nell'ambito della normale fornitura del servizio — ad esempio, una cooperazione estesa su una valutazione d'impatto sulla protezione dei dati, un'indagine da parte di un'autorità di regolamentazione o un audit oltre la Sezione 9 — il Cliente rimborserà a Oriora i costi ragionevoli per tale assistenza alle tariffe concordate tra le Parti in anticipo.

6. Sub-responsabili del trattamento

Il Cliente autorizza Oriora a coinvolgere i sub-responsabili del trattamento elencati nel documento Oriora Sub-processors, che è incorporato nel presente DPA per riferimento.

Oriora fornirà al Cliente un preavviso di qualsiasi aggiunta o sostituzione di sub-responsabili del trattamento attraverso il meccanismo stabilito nel documento Sub-processors. Il Cliente può opporsi a un nuovo sub-responsabile del trattamento per motivi ragionevoli relativi alla protezione dei dati, notificando Oriora per iscritto entro sette (7) giorni da tale avviso. Se il Cliente si oppone e Oriora non è in grado di rendere disponibile un'alternativa ragionevole entro un periodo commercialmente ragionevole, il Cliente può risolvere la parte interessata del servizio.

Il periodo di preavviso e di opposizione di sette giorni è più breve del periodo di 30 giorni comunemente utilizzato dai responsabili del trattamento più grandi perché Oriora non può vincolare i suoi fornitori di infrastrutture a monte a finestre più lunghe.

Oriora rimane responsabile per gli atti e le omissioni dei suoi sub-responsabili del trattamento nella stessa misura in cui Oriora sarebbe responsabile se eseguisse direttamente i servizi di ciascun sub-responsabile del trattamento ai sensi del presente DPA. Questa responsabilità è soggetta alla limitazione di responsabilità stabilita nella Sezione 12.

7. Diritti degli interessati

Oriora, tenendo conto della natura del trattamento, assisterà il Cliente con misure tecniche e organizzative appropriate, per quanto possibile, nell'adempimento dell'obbligo del Cliente di rispondere alle richieste degli interessati che esercitano i loro diritti ai sensi della Legge sulla Protezione dei Dati (inclusi i diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione).

Laddove Oriora riceva una richiesta direttamente da un interessato in relazione al trattamento del Cliente, Oriora, a meno che non sia proibito dalla legge, inoltrerà la richiesta al Cliente senza indebito ritardo e non risponderà alla richiesta stessa se non su istruzioni documentate del Cliente.

Laddove Oriora sia tenuta a divulgare dati personali a un'agenzia governativa, un tribunale o un'autorità di polizia giudiziaria in base alla legge applicabile o a un processo legale, Oriora, ove legalmente consentito, informerà il Cliente in anticipo e limiterà la divulgazione a quanto richiesto.

8. Notifica di violazione di dati personali

Oriora notificherà il Cliente senza indebito ritardo dopo essere venuta a conoscenza di una violazione di dati personali che interessi i dati personali del Cliente, fornendo le informazioni ragionevolmente disponibili a Oriora al momento della notifica.

Oriora assisterà inoltre il Cliente, tenendo conto della natura del trattamento e delle informazioni disponibili a Oriora, nell'adempimento degli obblighi di notifica delle violazioni del Cliente alle autorità di controllo e agli interessati coinvolti ai sensi della Legge sulla Protezione dei Dati.

9. Diritti di audit

Oriora gestisce un servizio stateless esclusivamente basato su cloud senza alcuna struttura fisica di trattamento dei dati. Oriora non conserva il contenuto dei prompt o degli output del Cliente.

Su ragionevole richiesta scritta, Oriora fornirà:

• (a) documentazione sull'architettura che dimostri il trattamento stateless, incluso lo schema del database che dimostri l'assenza di tabelle di archiviazione dei contenuti;
• (b) politiche di sicurezza;
• (c) l'elenco attuale dei Sub-responsabili del trattamento e le Clausole Contrattuali Standard applicabili con i sub-responsabili del trattamento;
• (d) dati specifici dell'account che Oriora detiene per il Cliente;
• (e) procedure di risposta agli incidenti.

Laddove il Cliente ritenga ragionevolmente tali informazioni insufficienti, il Cliente può, con un preavviso scritto di almeno trenta (30) giorni, condurre un'ispezione remota (tramite revisione della documentazione e dimostrazione tecnica in sola lettura) non più di una volta ogni dodici mesi, da parte di un revisore indipendente concordato reciprocamente dalle Parti (non un concorrente di Oriora) e soggetto a obblighi di riservatezza. Non sono concessi diritti di ispezione fisica in loco data l'assenza di qualsiasi struttura fisica di trattamento dei dati.

Il Cliente sostiene tutti i costi ragionevoli di qualsiasi audit, inclusi i costi del suo revisore indipendente e i costi ragionevoli di Oriora per fornire l'accesso. I costi di Oriora saranno alle tariffe concordate tra le Parti in anticipo. Laddove un audit sia condotto su richiesta di un'autorità di controllo competente, le Parti cooperano come richiesto dalla legge.

I periodi di preavviso e i limiti di frequenza in questa Sezione 9 sono derogati laddove richiesto da un'autorità di controllo competente.

10. Trasferimenti internazionali

Nella misura in cui i dati personali trattati ai sensi del presente DPA siano trasferiti al di fuori dello Spazio Economico Europeo, le Parti si baseranno su garanzie appropriate ai sensi del Capo V del GDPR.

Laddove il trasferimento richieda Clausole Contrattuali Standard, le Parti incorporano per riferimento le Clausole Contrattuali Standard della Commissione Europea (Decisione di Esecuzione (UE) 2021/914 della Commissione):

• Laddove il Cliente agisca come titolare del trattamento dei dati personali trasferiti a Oriora in qualità di responsabile del trattamento: Modulo 2 (Titolare del trattamento a Responsabile del trattamento), con il Cliente come esportatore di dati e Oriora come importatore di dati.
• Laddove il Cliente agisca come responsabile del trattamento dei dati personali trasferiti a Oriora in qualità di sub-responsabile del trattamento (ad esempio, laddove il Cliente utilizzi Managed API BYOK per alimentare il proprio prodotto che tratta i dati personali degli utenti finali del Cliente): Modulo 3 (Responsabile del trattamento a Sub-responsabile del trattamento), con il Cliente come esportatore di dati e Oriora come importatore di dati.

In ogni caso: la clausola di aggancio opzionale è incorporata; la clausola opzionale di risoluzione indipendente delle controversie è esclusa; la legge applicabile è la legge dell'Estonia; l'autorità di controllo competente è l'Ispettorato Estone per la Protezione dei Dati.

Laddove i dati personali siano ulteriormente trasferiti da Oriora a un sub-responsabile del trattamento situato al di fuori del SEE, tale trasferimento è protetto da Clausole Contrattuali Standard o da un'altra garanzia appropriata stipulata tra Oriora e il sub-responsabile del trattamento.

11. Restituzione e cancellazione dei dati personali

Al termine della fornitura dei servizi relativi al trattamento, Oriora, a scelta del Cliente, cancellerà o restituirà i dati personali del Cliente, a meno che la legge dell'UE o di uno Stato membro non richieda un'ulteriore conservazione.

I dati dell'account e i registri di fatturazione conservati per scopi di obbligo legale (come la legge fiscale estone) non possono essere cancellati prima della scadenza del periodo di conservazione legale.

Il contenuto dei prompt, il contenuto degli output e la cronologia delle conversazioni multi-turno non sono conservati da Oriora in nessun momento ai sensi del presente DPA, in coerenza con l'architettura stateless di Oriora.

12. Responsabilità

La responsabilità di ciascuna Parte ai sensi del presente DPA è soggetta alle disposizioni sulla limitazione di responsabilità contenute nei Termini di Servizio di Oriora. Nulla in questa Sezione limita la responsabilità di una Parte laddove tale limitazione non sia consentita ai sensi della Legge sulla Protezione dei Dati applicabile.

13. Durata e risoluzione

Il presente DPA è efficace a partire dalla Data di Efficacia sopra indicata e rimane in vigore per tutta la durata dell'utilizzo dei servizi di Oriora da parte del Cliente. Le Sezioni 9, 10, 11 e qualsiasi altra disposizione che per sua natura dovrebbe sopravvivere alla risoluzione, sopravvivranno.

14. Legge applicabile

Il presente DPA è regolato dalle leggi della Repubblica di Estonia. Le controversie derivanti dal presente DPA saranno risolte come stabilito nella Sezione 19 dei Termini di Servizio di Oriora.

15. Contatti

Per domande relative al presente DPA o per esercitare i diritti ai sensi dello stesso, contattare [email protected].