Accordo sul Trattamento dei Dati (DPA)
Ai sensi dell'art. 28 Regolamento UE 2016/679 (GDPR)
Questo Accordo sul Trattamento dei Dati (“DPA”) costituisce parte integrante dei Termini e Condizioni tra il gestore dell'attività commerciale (di seguito “Titolare del trattamento” o “Cliente”) e IsOpen S.r.l. (di seguito “Responsabile del trattamento” o “IsOpen”).
1. Definizioni e Ruoli
Nell'erogazione del servizio di aggiornamento e notifica orari:
- Il Cliente (Gestore dell'attività) assume il ruolo di Titolare del Trattamento rispetto ai dati personali dei propri clienti e dei follower che si iscrivono per ricevere aggiornamenti o notifiche push relativi alla propria attività.
- IsOpen S.r.l. assume il ruolo di Responsabile del Trattamento, in quanto elabora e conserva tali dati esclusivamente per conto del Cliente e in base alle sue istruzioni.
2. Categorie di Dati e Interessati
L'accordo riguarda il trattamento delle seguenti tipologie di dati personali:
- Interessati: Clienti finali e follower dell'attività commerciale.
- Categorie di dati: Indirizzo email (per avvisi via posta elettronica) e token crittografici di sessione/endpoint del dispositivo (per l'invio di notifiche push di apertura/chiusura).
3. Obblighi del Responsabile del Trattamento
IsOpen si impegna a:
- Trattare i dati personali degli interessati solo ed esclusivamente in base alle istruzioni documentate fornite dal Cliente (ad es. per l'abilitazione e l'invio automatico degli alert di riapertura configurati in dashboard).
- Garantire che il proprio personale autorizzato al trattamento dei dati abbia sottoscritto un accordo di riservatezza.
- Adottare adeguate misure di sicurezza tecniche e organizzative per proteggere i dati (cifratura nei database, crittografia SSL in transito, controllo degli accessi basato su ruoli).
- Assistere il Cliente nel rispondere alle richieste degli interessati volte ad esercitare i propri diritti ai sensi del Capo III del GDPR (accesso, rettifica, cancellazione).
- Cancellare definitivamente tutti i dati personali relativi ai follower e alle attività su richiesta del Cliente o a seguito della disattivazione/cancellazione definitiva dell'account del gestore.
4. Sub-responsabili Autorizzati
Il Cliente autorizza espressamente IsOpen a servirsi dei seguenti sub-responsabili tecnologici per lo svolgimento delle attività di trattamento:
- AWS / Supabase: hosting del database e delle immagini dell'attività (EU).
- Resend Inc.: instradamento e invio delle email transazionali ed alert.
- Stripe Payments Europe Ltd: elaborazione dei dati di fatturazione e dei canoni di abbonamento.
5. Segnalazione di Violazioni (Data Breach)
IsOpen informerà il Cliente senza ingiustificato ritardo, e comunque entro 48 ore dal momento in cui ne viene a conoscenza, di qualsiasi violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica o la divulgazione non autorizzata dei dati personali trattati per conto del Cliente.