Accordo art. 28 GDPR sul trattamento dati.

Titolare del trattamento(di seguito «Titolare»): il locale o l'impresa che utilizza il servizio attraverso un account «Gestore».

Responsabile del trattamento(di seguito «Responsabile»): Lorenzo Biondi, C.F. BNDLNZ06L18E730C, residente in Ravenna Via Lunga 57 A, fornitore del software Gestionale.

Interessati: ospiti delle serate i cui dati vengono inseriti dal Titolare o dal suo staff (PR), e utenti staff (PR Master, PR Base, Ingressisti).

Le definizioni non riportate hanno il significato attribuito loro dal Regolamento (UE) 2016/679 («GDPR») e dal D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018.

Il presente accordo disciplina il trattamento dei dati personali svolto dal Responsabile per conto del Titolare, nell'esecuzione dei Termini di Servizio del software Gestionale.

Durata: l'accordo ha efficacia dalla creazione dell'account e prosegue per tutta la durata del rapporto di servizio. Al termine si applicano gli obblighi di restituzione/cancellazione di cui all'art. 11.

Natura del trattamento: raccolta, registrazione, organizzazione, conservazione, consultazione, comunicazione (invio del messaggio WhatsApp di invito), cancellazione.

Finalità: gestione di eventi, tavoli, inviti QR a ospiti e ingressi del locale Cliente.

Categorie di interessati:

• Ospiti invitati alle serate del locale.
• Utenti dello staff del Titolare (PR, Ingressisti).

Categorie di dati personali trattati:

• Ospiti: nome, numero di telefono in formato E.164, stato ingresso (pending / sent / entered / cancelled), evento e tavolo associato.
• Staff: nome, email, password cifrata, ruolo, telefono opzionale, log di accesso.

Non vengono trattate categorie particolari di dati ex art. 9 GDPR né dati relativi a condanne penali ex art. 10 GDPR.

Il Titolare si impegna a:

• Trattare i dati nel rispetto del GDPR e della normativa nazionale applicabile, individuando una base giuridica valida per ciascuna finalità (in particolare consenso ex art. 6.1.a GDPR per l'invio del messaggio WhatsApp all'ospite).
• Fornire agli interessati l'informativa ex artt. 13-14 GDPR e informarli del coinvolgimento del Responsabile come fornitore tecnico.
• Inserire nel sistema solo dati esatti, pertinenti e necessari alle finalità dichiarate.
• Gestire correttamente abilitazioni e revoche del proprio staff; disattivare prontamente account non più necessari.
• Non utilizzare il servizio per finalità di marketing massivo né per comunicazioni non sollecitate vietate dal GDPR e dalla policy di WhatsApp Business.
• Tenere indenne il Responsabile da pretese di terzi derivanti dalla violazione degli obblighi di cui sopra.

Il Responsabile, ai sensi dell'art. 28 GDPR, si impegna a:

• Trattare i dati esclusivamente su istruzioni documentate del Titolare (i Termini di Servizio e questo DPA costituiscono le istruzioni di base; istruzioni ulteriori possono essere comunicate via email).
• Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
• Adottare tutte le misure di sicurezza ex art. 32 GDPR descritte all'art. 06.
• Rispettare le condizioni per il ricorso a sub-responsabili indicate all'art. 07.
• Assistere il Titolare con misure tecniche e organizzative adeguate per rispondere alle richieste degli interessati (artt. 12-23 GDPR).
• Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica di data breach, valutazione d'impatto, consultazione preventiva), tenuto conto della natura del trattamento e delle informazioni disponibili.
• Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consentire attività di revisione, ai sensi dell'art. 10.

Il Responsabile adotta misure tecniche e organizzative adeguate al rischio, fra cui:

• Cifratura in transito: tutto il traffico avviene su HTTPS/TLS 1.2+.
• Cifratura a riposo: i dati nel database PostgreSQL gestito da Supabase sono cifrati con AES-256.
• Isolamento multi-tenant: ogni Titolare accede esclusivamente ai propri dati tramite Row-Level Security (RLS) PostgreSQL.
• Controllo accessi: autenticazione username/password con hashing bcrypt, ruoli granulari, principio del minimo privilegio.
• Password: archiviate cifrate, mai accessibili in chiaro nemmeno al Responsabile.
• Backup: backup periodici del database; conservazione limitata.
• Log e monitoraggio: log di accesso ai sistemi conservati per finalità di sicurezza per massimo 6 mesi.
• Aggiornamenti: dipendenze software e infrastruttura aggiornate periodicamente per applicare patch di sicurezza.
• Test: revisioni periodiche delle policy RLS e del codice prima del rilascio in produzione.

Il Titolare autorizza in via generale il Responsabile a ricorrere ai seguenti sub-responsabili (art. 28.2 GDPR), già impegnati con garanzie equivalenti tramite i rispettivi accordi contrattuali:

• Supabase Inc.— hosting del database PostgreSQL, servizio di autenticazione e storage. Server localizzati nell'Unione Europea (Francoforte). Privacy Policy: supabase.com/privacy.
• Railway Corporation— hosting dell'applicazione Next.js. Server in USA con Standard Contractual Clauses UE. railway.app/legal/privacy.
• Meta Platforms Ireland Ltd. — invio dei messaggi WhatsApp Business agli ospiti. Server UE per i dati dei residenti UE. whatsapp.com/legal/business-policy.
• Functional Software, Inc. (Sentry)— monitoraggio degli errori applicativi e diagnostica. Può trattare l'indirizzo IP e i dettagli tecnici della richiesta. Dati conservati nella regione UE (Germania) con DPA e Clausole Contrattuali Standard. sentry.io/privacy.

Eventuali modifiche o aggiunte all'elenco dei sub-responsabili saranno comunicate al Titolare con preavviso di almeno 14 giorni via email; il Titolare potrà opporsi per motivi documentati, con facoltà di recedere dal contratto entro 30 giorni dalla comunicazione.

I dati personali sono primariamente conservati in infrastrutture ubicate nell'Unione Europea. Eventuali trasferimenti verso Paesi terzi (es. USA per il livello applicativo) avvengono esclusivamente sulla base di:

• Decisioni di adeguatezza della Commissione Europea (es. EU-U.S. Data Privacy Framework), ove applicabili; oppure
• Clausole Contrattuali Standard UE (SCC) approvate con Decisione 2021/914; o
• Altre garanzie adeguate ex art. 46 GDPR.

Il Responsabile assiste il Titolare, con misure tecniche e organizzative ragionevoli, nel dare seguito alle richieste degli interessati relative all'esercizio dei diritti di cui agli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).

Le richieste ricevute direttamente dal Responsabile vengono inoltrate al Titolare entro 5 giorni lavorativi senza fornire risposta diretta all'interessato, salvo istruzione contraria del Titolare.

In caso di violazione di dati personali (art. 4.12 GDPR) di cui il Responsabile venga a conoscenza, lo stesso si impegna a:

• Notificare il Titolare senza ingiustificato ritardo e comunque entro 48 oredalla scoperta della violazione, via email all'indirizzo di contatto del Gestore.
• Fornire al Titolare tutte le informazioni utili a valutare la natura, le categorie e l'entità della violazione, gli interessati coinvolti, le misure adottate o proposte.
• Cooperare con il Titolare nella gestione, nelle indagini e nell'eventuale comunicazione agli interessati o al Garante.

La notifica del Responsabile al Titolare non sostituisce gli obblighi del Titolare ex artt. 33-34 GDPR.

Alla cessazione del rapporto, su scelta del Titolare comunicata per iscritto entro 30 giorni:

• Il Responsabile cancella tutti i dati personali trattati per conto del Titolare entro 90 giorni dalla cessazione, salvo obblighi di conservazione di legge; oppure
• Restituisce i dati al Titolare in formato strutturato (CSV / SQL dump) e procede successivamente alla cancellazione.

In assenza di scelta espressa entro 30 giorni dalla cessazione, si procede automaticamente alla cancellazione.

Il Titolare può richiedere, con preavviso ragionevole (almeno 30 giorni) e non più di una volta all'anno (salvo incidenti di sicurezza), le informazioni necessarie a dimostrare il rispetto degli obblighi del Responsabile.

Le verifiche avvengono in via primaria attraverso documentazione scritta e, ove necessario, audit a distanza. Ispezioni in loco sono ammesse solo per motivate esigenze e a carico del Titolare per i costi sostenuti dal Responsabile.

La responsabilità del Responsabile, salvi i casi di dolo o colpa grave, è limitata nei termini previsti dai Termini di Servizio (art. 06 dei Termini), e comunque ai limiti inderogabili previsti dall'art. 82 GDPR.

Ciascuna parte tiene indenne l'altra dalle conseguenze derivanti dalla propria violazione del GDPR o del presente DPA, nei limiti delle rispettive responsabilità ex art. 82.4 GDPR.

Il presente DPA è regolato dalla legge italiana e integrato dal GDPR. Per ogni controversia è competente in via esclusiva il Foro di Ravenna.

Per richiedere una copia firmata del DPA o per qualsiasi comunicazione relativa al trattamento dei dati, scrivere a lorenzobiondi06@gmail.com.