Conformità al GDPR

Ultimo aggiornamento: maggio 2026

Noi di Vanaheim SRL (“Lambda”, sito aziendale vanaheim.io, sito del prodotto onlambda.com), la protezione dei dati è al centro di come costruiamo e gestiamo la nostra piattaforma. In qualità di azienda con sede in Romania che fornisce strumenti di comunicazione basati sull'intelligenza artificiale per le imprese di servizi, prendiamo molto sul serio i nostri obblighi ai sensi del Regolamento generale sulla protezione dei dati dell'UE (GDPR — Regolamento 2016/679) e della Legge rumena 190/2018.

Questa pagina offre una panoramica delle nostre misure di conformità al GDPR. Per informazioni dettagliate su come trattiamo i dati personali, consulta la nostra Informativa sulla privacy.

1. Il nostro ruolo: Titolare e Responsabile del trattamento

Lambda opera in due vesti ai sensi del GDPR:

• Titolare del trattamento — Per i dati personali dei nostri clienti aziendali (informazioni sull'account, dati di fatturazione, visitatori del sito web). Siamo noi a determinare le finalità e le modalità del trattamento di questi dati.
• Responsabile del trattamento — Per i dati dei clienti trattati per conto dei nostri clienti aziendali. Le aziende sono i titolari del trattamento dei dati dei propri clienti e determinano le modalità di trattamento. Noi agiamo solo su loro istruzioni.

2. Accordo sul trattamento dei dati (DPA)

Offriamo un Accordo sul trattamento dei dati completo a tutti i clienti aziendali in conformità con l'articolo 28 del GDPR. Il DPA copre:

• L'ambito, la natura e le finalità del trattamento dei dati
• I tipi di dati personali trattati e le categorie di interessati
• Obblighi e diritti del titolare del trattamento (azienda) e del responsabile del trattamento (Lambda)
• Gestione dei sub-responsabili del trattamento e procedure di approvazione
• Requisiti e misure di sicurezza dei dati
• Obblighi di notifica in caso di violazione dei dati
• Restituzione e cancellazione dei dati alla cessazione del contratto
• Diritti di audit e ispezione

Per richiedere una copia del nostro DPA, contattaci all'indirizzo [email protected].

3. Residenza dei dati: Azure Europa occidentale

Tutti i dati dei clienti vengono trattati e archiviati all'interno dell'Unione Europea. La nostra infrastruttura opera nella regione Europa occidentale di Microsoft Azure (data center nei Paesi Bassi), garantendo:

• La residenza dei dati all'interno dell'UE in ogni momento
• Conformità ai requisiti di localizzazione dei dati previsti dal GDPR
• Accesso alle certificazioni di conformità di livello aziendale di Microsoft, tra cui ISO 27001, SOC 2 e attestati di conformità al GDPR
• Sicurezza fisica, ridondanza e capacità di ripristino di emergenza delle strutture Azure nell'UE

Non trasferiamo dati personali al di fuori dell'UE/SEE a meno che non siano in atto adeguate misure di salvaguardia (come le clausole contrattuali standard o una decisione di adeguatezza), e tali trasferimenti sono documentati nella nostra Informativa sulla privacy.

4. Misure di sicurezza

Adottiamo misure tecniche e organizzative complete per proteggere i dati personali in conformità con l'articolo 32 del GDPR:

Misure tecniche

• Crittografia in transito: tutti i dati trasmessi tra i clienti e i nostri server sono crittografati utilizzando TLS 1.2 o versioni successive.
• Crittografia in fase di archiviazione: tutti i dati archiviati vengono crittografati utilizzando la crittografia AES-256.
• Controlli di accesso: il controllo degli accessi basato sui ruoli (RBAC) limita l'accesso ai dati solo al personale autorizzato.
• Autenticazione: meccanismi di autenticazione sicuri proteggono l'accesso alla piattaforma e ai sistemi interni.
• Sicurezza di rete: Cloudflare fornisce protezione DDoS, firewall per applicazioni web (WAF) e filtraggio del traffico.
• Gestione delle vulnerabilità: valutazioni di sicurezza regolari, test di penetrazione e scansione delle dipendenze.
• Registrazione e monitoraggio: registrazione completa degli accessi ai dati e degli eventi di sistema.

Misure organizzative

• Formazione sulla protezione dei dati per tutti i membri del team
• Politiche e procedure interne sulla protezione dei dati
• Principio del privilegio minimo per l'accesso al sistema
• Due diligence dei fornitori e requisiti DPA per tutti i sub-responsabili del trattamento
• Revisione e aggiornamento periodici delle misure di sicurezza

5. Notifica delle violazioni dei dati

In caso di violazione dei dati personali, seguiamo un processo strutturato di risposta agli incidenti in conformità con gli articoli 33 e 34 del GDPR:

• Rilevamento e valutazione: disponiamo di sistemi di monitoraggio per rilevare tempestivamente potenziali violazioni e valutarne la portata, la gravità e il potenziale impatto.
• Notifica all'autorità di controllo: se una violazione può comportare un rischio per i diritti e le libertà delle persone, ne daremo comunicazione all'autorità di controllo rumena (ANSPDCP) entro 72 ore dal momento in cui veniamo a conoscenza della violazione, come previsto dall'articolo 33 del GDPR.
• Notifica ai titolari del trattamento: se agiamo in qualità di responsabili del trattamento, informeremo l'azienda interessata (titolare del trattamento) senza indebito ritardo dopo aver preso conoscenza della violazione, consentendole di adempiere ai propri obblighi di notifica.
• Notifica agli interessati: se una violazione può comportare un rischio elevato per i diritti e le libertà delle persone, informeremo direttamente le persone interessate (o aiuteremo l'azienda a farlo) in conformità con l'articolo 34 del GDPR.
• Documentazione: tutte le violazioni, comprese quelle che non richiedono la notifica, vengono documentate con i dettagli della violazione, i suoi effetti e le azioni correttive intraprese.

6. Diritti degli interessati

Sosteniamo e facilitiamo l'esercizio dei diritti degli interessati ai sensi degli articoli 15-22 del GDPR:

• Diritto di accesso (art. 15) — Le persone possono chiedere conferma del trattamento dei propri dati e ottenerne una copia.
• Diritto di rettifica (art. 16) — Le persone possono richiedere la correzione di dati inesatti.
• Diritto alla cancellazione (Art. 17) — Le persone possono chiedere la cancellazione dei propri dati, fatti salvi gli obblighi di conservazione previsti dalla legge.
• Diritto di limitazione del trattamento (art. 18) — Gli interessati possono richiedere la limitazione del trattamento in determinate circostanze.
• Diritto di notifica (Art. 19) — Informiamo i destinatari interessati quando i dati vengono rettificati, cancellati o il trattamento viene limitato.
• Diritto alla portabilità dei dati (Art. 20) — Puoi ricevere i tuoi dati in un formato strutturato e leggibile da un dispositivo elettronico.
• Diritto di opposizione (Art. 21) — Puoi opporti al trattamento basato su un interesse legittimo.
• Diritti relativi al processo decisionale automatizzato (Art. 22) — Gli utenti hanno il diritto di non essere soggetti a decisioni basate esclusivamente sul trattamento automatizzato con effetti giuridici o significativi.

Per i clienti aziendali: invia le richieste direttamente a [email protected]. Risponderemo entro 30 giorni.

Per i clienti: poiché il tuo fornitore di servizi è il titolare del trattamento, ti preghiamo di contattarlo per primo. Collaboreremo con l'azienda per soddisfare tempestivamente le richieste.

7. Sub-responsabili del trattamento

Selezioniamo con cura i sub-responsabili del trattamento e stipuliamo accordi sul trattamento dei dati con ciascuno di essi. I nostri attuali sub-responsabili del trattamento sono:

• Microsoft Azure — Infrastruttura cloud, hosting ed elaborazione AI (UE Europa occidentale — Paesi Bassi)
• Meta Platforms / WhatsApp — Infrastruttura di messaggistica WhatsApp Business API (UE Irlanda / Globale)
• Cloudflare — CDN, protezione DDoS e sicurezza del sito web (globale con routing preferenziale UE)

I clienti aziendali vengono informati delle modifiche al nostro elenco di sub-responsabili del trattamento in conformità con l'accordo sul trattamento dei dati.

8. Autorità di controllo

La nostra autorità di controllo principale è l'Autorità nazionale rumena per il trattamento dei dati personali:

ANSPDCP (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal)
Sito web: anspdcp.ro

Le persone fisiche in qualsiasi Stato membro dell'UE possono inoltre presentare un reclamo alla propria autorità di controllo locale.

9. Contattaci

Per qualsiasi domanda sulla nostra conformità al GDPR, per richiedere un DPA o per esercitare i tuoi diritti in qualità di interessato, contattaci all'indirizzo:

Vanaheim SRL
Romania, Unione Europea
Sito web aziendale: vanaheim.io
Sito web del prodotto: onlambda.com
E-mail:
[email protected] Richieste relative alla privacy / ai dati: [email protected]