Data Processing Addendum
Il presente DPA regola il trattamento dei dati personali che Vensent effettua per conto del Cliente nell'erogazione dei servizi. È parte integrante dei Termini di servizio.
1. Ruoli
- Cliente (titolare) — determina finalità e mezzi del trattamento dei dati dei propri clienti finali (ordini, prenotazioni, marketing, contenuti).
- Vensent (responsabile) — tratta i dati per conto del Cliente per erogare i servizi concordati.
- Per i dati di account Vensent, fatturazione e sicurezza, Vensent agisce come titolare autonomo secondo la propria Privacy Policy.
2. Oggetto e durata
Il trattamento riguarda i dati personali dei clienti finali del Cliente e dei suoi collaboratori, limitatamente a quanto necessario all'erogazione dei servizi Vensent. La durata del trattamento corrisponde al periodo di attività del servizio e si estende per il tempo necessario a: adempimenti fiscali (10 anni), gestione di contestazioni (fino a 5 anni dalla cessazione), backup tecnici (fino a 90 giorni dalla cancellazione).
3. Categorie di dati e interessati
- Dati account sito: nome, email, telefono, ruolo, piano del titolare del locale.
- Dati dei clienti finali: nome, telefono, email, indirizzo, cronologia ordini, prenotazioni, preferenze, consenso marketing.
- Dati del personale: nome, ruolo, turni, contatti (se il Cliente usa i moduli dipendenti).
- Dati tecnici: IP, user agent, log operativi, token dispositivo (push).
4. Obblighi di Vensent
- Trattare i dati solo per le finalità documentate e secondo le istruzioni del Cliente.
- Garantire la riservatezza del personale autorizzato al trattamento.
- Assicurare misure tecniche e organizzative adeguate (v. sezione 6).
- Assistere il Cliente nell'adempimento degli obblighi GDPR (diritti interessati, data breach, valutazioni d'impatto).
- Notificare al Cliente senza ingiustificato ritardo qualsiasi violazione di dati personali (data breach) di cui venga a conoscenza.
- Cancellare o restituire tutti i dati personali alla cessazione del servizio, salvo obblighi di legge.
5. Sub-responsabili
Vensent può avvalersi di sub-responsabili per l'erogazione dei servizi. L'elenco aggiornato è disponibile nel Registro sub-responsabili.
- Vensent notificherà al Cliente eventuali modifiche all'elenco con almeno 14 giorni di preavviso.
- Il Cliente può opporsi alla variazione entro 7 giorni; in caso di opposizione Vensent valuterà soluzioni alternative.
- Ogni sub-responsabile è vincolato da obblighi contrattuali equivalenti al presente DPA.
6. Misure di sicurezza
Vensent applica le seguenti misure tecniche e organizzative:
- Isolamento logico tra progetti cliente su infrastruttura condivisa.
- Crittografia TLS 1.3 per tutte le comunicazioni in transito.
- Segreti e chiavi gestiti tramite Secret Manager, mai esposti al browser o nei sorgenti.
- Firebase App Check e rate limiting per prevenire abusi e accessi non autorizzati.
- Autenticazione obbligatoria su tutte le superfici operative (Console, dashboard admin, API).
- Controllo degli accessi basato su ruoli e minimo privilegio.
- Backup automatici con retention limitata e隔离 geografica.
7. Data breach
In caso di violazione dei dati personali che coinvolga dati trattati per conto del Cliente, Vensent si impegna a:
- Notificare il Cliente entro 48 ore dalla conferma della violazione.
- Fornire dettagli sulla natura, portata e possibili conseguenze della violazione.
- Assistere il Cliente nella notifica all'autorità di controllo, se richiesta.
- Documentare e conservare la registrazione della violazione.
8. Diritti degli interessati
Vensent assiste il Cliente nell'evasione delle richieste degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). Il Cliente resta responsabile della verifica dell'identità del richiedente e della tempestiva risposta. Per richieste che coinvolgono dati trattati da Vensent, il Cliente può inoltrarle a info@vensent.eu.
9. Audit
Il Cliente può richiedere informazioni ragionevoli per verificare la conformità di Vensent al presente DPA, inclusa la possibilità di audit documentale su richiesta, con frequenza non superiore a una volta ogni 12 mesi, salvo violazione accertata. Gli audit che richiedono accesso fisico o test di vulnerabilità vanno concordati con almeno 30 giorni di preavviso.
10. Trasferimenti internazionali
Qualora i dati personali siano trasferiti al di fuori dello SEE, Vensent garantisce che il trasferimento avvenga nel rispetto del GDPR tramite clausole contrattuali standard (SCC) o decisioni di adeguatezza. L'elenco dei fornitori e le garanzie applicabili sono disponibili nel Registro sub-responsabili.
11. Cancellazione e cessazione
Alla cessazione del servizio, il Cliente può richiedere la cancellazione dei propri dati e di quelli dei propri clienti finali. Vensent cancellerà i dati dai sistemi attivi entro 90 giorni. I backup tecnici possono conservare i dati fino a 90 giorni aggiuntivi, dopodiché vengono sovrascritti. Gli obblighi fiscali possono richiedere la conservazione dei dati contabili per 10 anni.
12. Legge applicabile
Il presente DPA è regolato dalla legge italiana. Foro competente: Catania.