Accordo sul trattamento dei dati
Data di entrata in vigore: 26 marzo 2026
1. Parti
Questo DPA è stipulato tra:
- Titolare del trattamento ("Titolare"): L'entità cliente che ha stipulato un accordo di abbonamento per i servizi AgentForge e che determina i scopi e i mezzi dell'elaborazione dei dati personali.
- Responsabile del trattamento ("Responsabile"): KOWEX Co. Holding, una società registrata nella Repubblica Ceca, che gestisce la piattaforma AgentForge su agentforge.community.
2. Ambito del trattamento
Il Responsabile del trattamento elaborerà i dati personali per conto del Titolare del trattamento esclusivamente allo scopo di fornire i servizi della piattaforma AgentForge, inclusi:
- Fornitura di accesso all'API e alla dashboard di AgentForge
- Hosting e servizio delle configurazioni del server MCP
- Elaborazione delle richieste API tra agenti e server MCP
- Mantenimento dei log di utilizzo e delle analitiche
- Gestione dell'autenticazione e del controllo di accesso
- Elaborazione delle operazioni di abbonamento e fatturazione
Il Responsabile del trattamento elaborerà i dati personali solo secondo le istruzioni documentate del Titolare del trattamento, a meno che non sia richiesto di farlo dalla legge dell'UE o di uno stato membro.
3. Categorie di dati elaborati
Le seguenti categorie di dati personali possono essere elaborate secondo questo DPA:
| Categoria | Elementi dati | Interessati |
|---|---|---|
| Informazioni di account | Indirizzo email, nome visualizzato, credenziali di autenticazione (hashed) | Dipendenti del Titolare, utenti autorizzati |
| Dati di utilizzo API | Endpoint chiamati, timestamp, codici di risposta, contatori di rate-limit | Dipendenti del Titolare, agenti |
| Metadati del server | Nomi server MCP, descrizioni, definizioni di strumenti, capacità | Dipendenti del Titolare |
| Dati tecnici | Indirizzi IP, stringhe user agent, metadati di richiesta | Dipendenti del Titolare, agenti |
4. Misure di sicurezza
Il Responsabile del trattamento implementa e mantiene le seguenti misure tecniche e organizzative per assicurare la sicurezza dei dati personali in conformità all'articolo 32 del GDPR:
- Crittografia a riposo: Tutta l'archiviazione del database è crittografata utilizzando AES-256. Le chiavi API sono archiviate come hash salati.
- Crittografia in transito: Tutti i dati trasmessi tra client, server e sotto-responsabili del trattamento sono protetti da TLS 1.2 o superiore.
- Controlli di accesso: Controllo di accesso basato su ruolo (RBAC) con principi di privilegio minimo. Autenticazione multi-fattore per l'accesso amministrativo. Row Level Security (RLS) applicato a livello di database.
- Logging di controllo: Tutte le operazioni di accesso API e amministrative sono registrate con timestamp, identificazione dell'attore e dettagli dell'azione. I log sono conservati per 90 giorni.
- Sicurezza dell'infrastruttura: Hosting gestito su Supabase (SOC 2 Tipo II) e Vercel con patch automatiche e scansione di vulnerabilità .
- Risposta agli incidenti: Procedure di risposta ai incidenti documentate con ruoli e protocolli di comunicazione definiti.
5. Sotto-responsabili del trattamento
Il Titolare del trattamento autorizza a livello generale il Responsabile del trattamento ad impegnare i seguenti sotto-responsabili del trattamento. Il Responsabile del trattamento notificherà il Titolare del trattamento almeno 30 giorni in anticipo di qualsiasi modifica prevista ai sotto-responsabili del trattamento, dando al Titolare del trattamento l'opportunità di opporsi.
| Sotto-responsabile del trattamento | Scopo | Ubicazione |
|---|---|---|
| Supabase Inc. | Hosting database, autenticazione, archiviazione | EU (Francoforte, Germania) |
| Stripe Inc. | Elaborazione pagamenti, gestione abbonamenti | EU |
| Vercel Inc. | Hosting delle applicazioni, consegna edge | Edge EU (CDN globale) |
| Anthropic PBC | Funzioni alimentate da IA (raccomandazioni degli agenti) | USA (con CCS) |
6. Notifica di violazione dei dati
In caso di violazione di dati personali, il Responsabile del trattamento dovrà :
- Notificare il Titolare del trattamento senza ingiustificato ritardo e non oltre 72 ore dopo essere venuto a conoscenza della violazione, in conformità all'articolo 33 del GDPR.
- Fornire dettagli completi inclusa la natura della violazione, categorie e numero approssimativo di interessati interessati, probabili conseguenze e misure intraprese o proposte per mitigare la violazione.
- Cooperare pienamente con il Titolare del trattamento nell'investigazione della violazione e nell'adempimento degli obblighi di notifica del Titolare del trattamento alle autorità di vigilanza e agli interessati interessati.
- Documentare tutte le violazioni indipendentemente dalla gravità , mantenendo record dei fatti, degli effetti e delle azioni correttive intraprese.
7. Restituzione e cancellazione dei dati
Alla fine o scadenza dell'accordo di servizio, il Responsabile del trattamento dovrà , a scelta del Titolare del trattamento:
- Restituire tutti i dati personali al Titolare del trattamento in un formato strutturato, comunemente utilizzato e leggibile da macchina (esportazione JSON), inclusi dati di account, configurazioni di server e log di utilizzo.
- Eliminare tutti i dati personali entro 30 giorni dalla data di scadenza, incluse tutte le copie nei sistemi attivi e nei backup, eccetto laddove la conservazione sia richiesta dalla legge dell'UE o di uno stato membro.
Il Responsabile del trattamento fornirà una conferma scritta dell'eliminazione su richiesta. I record di fatturazione possono essere conservati fino a 10 anni come richiesto dalla legge contabile ceca (Legge n. 563/1991 Coll.).
8. Diritti di controllo
Il Titolare del trattamento ha il diritto di verificare la conformità del Responsabile del trattamento a questo DPA:
- Controlli annuali: Il Titolare del trattamento può condurre o commissionare un controllo indipendente delle attività di elaborazione dei dati del Responsabile del trattamento una volta per anno solare, con almeno 30 giorni di preavviso scritto.
- Ambito: I controlli possono coprire misure di sicurezza, gestione dei sotto-responsabili del trattamento, procedure di gestione dei dati e capacità di risposta alle violazioni.
- Cooperazione: Il Responsabile del trattamento fornirà tutte le informazioni necessarie per dimostrare la conformità , incluso l'accesso alle strutture, ai sistemi e al personale pertinenti durante le normali ore di lavoro.
- Alternativa di certificazione: Il Responsabile del trattamento può soddisfare i requisiti di controllo fornendo report SOC 2 Tipo II attuali, certificazioni ISO 27001 o valutazioni indipendenti equivalenti.
9. Trasferimenti internazionali
Il Responsabile del trattamento non trasferirà dati personali al di fuori dello Spazio economico europeo (SEE) se non dove:
- La Commissione europea ha emesso una decisione di adeguatezza per il paese di destinazione (articolo 45 GDPR).
- Sono in vigore salvaguardie appropriate, incluse le Clausole Contrattuali Standard (CCS) approvate dalla Commissione europea (articolo 46(2)(c) GDPR).
- Una Transfer Impact Assessment (TIA) è stata condotta e documentata per il trasferimento specifico.
Attualmente, l'unico sotto-responsabile del trattamento ubicato al di fuori del SEE è Anthropic PBC (Stati Uniti), per il quale sono in vigore CCS e l'elaborazione IA non comporta l'archiviazione persistente di dati personali.
10. Contatto per l'esecuzione del DPA
Per richiedere l'esecuzione di questo DPA, discutere i termini o indagare sulla Nostra pratica di protezione dei dati:
KOWEX Co. Holding — Team aziendale
Email: enterprise@agentforge.community
Responsabile della protezione dei dati: privacy@agentforge.community
Questo DPA è disciplinato dalle leggi della Repubblica Ceca. Qualsiasi controversia derivante da questo DPA sarà soggetta alla giurisdizione esclusiva dei tribunali della Repubblica Ceca. Questo DPA rimarrà in vigore per la durata dell'uso di AgentForge da parte del Titolare del trattamento e finché il Responsabile del trattamento conserva dati personali elaborati per conto del Titolare del trattamento.