Accordo sul Trattamento dei Dati (DPA)

Data Processing Agreement (DPA)

Il presente Accordo sul Trattamento dei Dati è stipulato ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR) tra:

• Responsabile del Trattamento: Nicolò Sgarra (Prenotaly), fornitore della piattaforma SaaS;
• Titolare del Trattamento: il Tenant (il professionista o l'azienda che utilizza la piattaforma Prenotaly per erogare servizi ai propri clienti finali).

1. Oggetto del Trattamento

Il Responsabile tratta, per conto e su istruzione del Titolare, i dati personali dei clienti finali del Tenant necessari per l'erogazione del servizio di prenotazione online tramite la piattaforma Prenotaly.

2. Categorie di Dati Trattati

I dati trattati per conto del Titolare includono:

• Dati identificativi: nome, cognome, indirizzo email, numero di telefono;
• Storico delle prenotazioni e dei servizi fruiti;
• Consensi raccolti dal Tenant verso i propri clienti finali;
• Eventuali note inserite dagli operatori del Tenant.

3. Durata del Trattamento

Il presente Accordo ha validità per tutta la durata del contratto di abbonamento SaaS tra il Titolare e il Responsabile. Alla cessazione del contratto, il Responsabile provvederà alla cancellazione o restituzione dei dati entro 30 giorni, salvo diversi obblighi di legge.

4. Natura e Finalità del Trattamento

Il trattamento è finalizzato esclusivamente all'erogazione del servizio di gestione prenotazioni online, come descritto nei Termini di Servizio di Prenotaly. Il Responsabile non tratterà i dati per finalità proprie.

5. Istruzioni del Titolare

Il Titolare è responsabile della liceità del trattamento dei dati personali dei propri clienti finali e deve assicurarsi di disporre di una base giuridica adeguata (es. consenso, contratto) prima di inserire tali dati nella piattaforma Prenotaly. Le istruzioni vincolanti del Titolare sono contenute nel presente DPA e nelle impostazioni configurate nella piattaforma.

6. Misure di Sicurezza

Il Responsabile implementa le seguenti misure tecniche e organizzative:

• Crittografia TLS per tutte le comunicazioni in transito;
• Database isolati per ciascun tenant (separazione logica dei dati);
• Backup giornalieri cifrati con conservazione di 30 giorni;
• Server localizzati nell'Unione Europea (OVH, Francia/Italia);
• Controllo degli accessi basato sui ruoli con autenticazione sicura.

7. Sub-Responsabili Autorizzati

Il Responsabile si avvale dei seguenti sub-responsabili, ciascuno soggetto ad obblighi equivalenti in materia di protezione dei dati:

• Stripe Inc. (USA) — gestione pagamenti. Trasferimento regolato da SCC;
• OVH SAS (Francia, UE) — hosting e infrastruttura cloud;
• Google LLC / Firebase (USA) — servizi di notifica push. Trasferimento regolato da SCC.

Il Titolare autorizza il ricorso a questi sub-responsabili. In caso di variazioni all'elenco, il Responsabile darà comunicazione preventiva con almeno 30 giorni di anticipo.

8. Diritti degli Interessati

Il Responsabile supporta il Titolare nell'adempimento degli obblighi relativi ai diritti degli interessati (accesso, rettifica, cancellazione, portabilità, opposizione) mettendo a disposizione funzionalità di export e cancellazione dei dati tramite la piattaforma e, su richiesta motivata, tramite assistenza diretta.

9. Notifica di Violazioni (Data Breach)

In caso di violazione dei dati personali, il Responsabile notificherà il Titolare senza ingiustificato ritardo e, ove possibile, entro 24 ore dalla scoperta, fornendo tutte le informazioni necessarie perché il Titolare possa adempiere agli obblighi di notifica previsti dall'art. 33 GDPR.

10. Foro Competente e Legge Applicabile

Il presente Accordo è regolato dalla legge italiana e dal diritto europeo in materia di protezione dei dati. Per qualsiasi controversia è competente il Foro di Milano.