1. Parti
Titolare del Trattamento
Tu, il cliente (l'entità che determina le finalità e i mezzi del trattamento)
Responsabile del Trattamento
ClientFlow (tratta dati personali per tuo conto)
1.1 Ambito del Trattamento
Questo DPA si applica al trattamento di dati personali quando:
- ClientFlow tratta dati personali per conto del Titolare nell'ambito della fornitura del Servizio
- Il trattamento riguarda la gestione delle relazioni con i clienti del Titolare
- Gli interessati sono i clienti e i contatti commerciali del Titolare
Attività di Trattamento
- Archiviazione e organizzazione delle informazioni di contatto dei clienti
- Registrazione e tracciamento delle transazioni di pagamento
- Invio di comunicazioni autorizzate (promemoria, notifiche)
- Generazione di analisi e report basati su dati aggregati
2. Categorie di Dati
| Categoria | Esempi | Scopo |
|---|---|---|
| Dati Account | Email, nome, immagine profilo | Accesso al servizio |
| Dati Clienti | Nomi clienti, telefoni, email | Funzionalità CRM |
| Registri Pagamenti | Importi, date, stati | Tracciamento pagamenti |
| Dati Utilizzo | Orari accesso, utilizzo funzionalità | Sicurezza, miglioramento |
3. Obblighi del Responsabile
Noi Faremo:
- Trattare i dati solo secondo le tue istruzioni documentate
- Assicurare che il personale sia vincolato da riservatezza
- Implementare misure di sicurezza appropriate
- Assistere con le richieste degli interessati
- Notificarti le violazioni dei dati entro 72 ore
- Eliminare i dati alla cessazione (dopo il periodo di conservazione)
4. Misure di Sicurezza
Tecniche
- TLS 1.3 (transito)
- AES-256 (a riposo)
- Autenticazione OAuth 2.0
- Controllo accessi basato sui ruoli
- Monitoraggio in tempo reale
Organizzative
- Politiche di sicurezza
- Piano di risposta agli incidenti
- Audit regolari
- Revisioni sicurezza fornitori
- Formazione dipendenti
5. Sub-responsabili
Utilizziamo i seguenti sub-responsabili autorizzati:
| Fornitore | Servizio | Posizione | DPF |
|---|---|---|---|
| Google Cloud | Autenticazione | USA | Sì |
| iyzico | Pagamenti | Turchia | SCC |
| Meta (WhatsApp) | Messaggistica | USA | Sì |
| Invia di nuovo | USA | SCC | |
| Hetzner | Hosting e Database | Germania (UE) | SCC |
| Cloudflare | CDN e Archiviazione | UE | Sì |
DPF = Certificato EU-US Data Privacy Framework
Modifiche ai Sub-responsabili
Ti informeremo di eventuali modifiche previste ai sub-responsabili:
- Preavviso di almeno 14 giorni prima di aggiungere o sostituire sub-responsabili
- Notifica via email all'indirizzo email dell'account registrato
- Puoi opporti alle modifiche entro 14 giorni contattandoci
- Se la tua obiezione non può essere risolta, puoi risolvere i servizi interessati
5.1 Diritti di Audit
Il Titolare ha il diritto di verificare la conformità a questo DPA:
- Richiedere documentazione e certificazioni pertinenti
- Condurre audit con almeno 30 giorni di preavviso scritto
- Gli audit devono essere condotti durante il normale orario lavorativo
- L'auditor deve firmare un accordo di riservatezza
Ambito dell'Audit
- Misure di sicurezza e garanzie tecniche
- Conformità dei sub-responsabili
- Procedure di gestione dei dati
- Capacità di risposta agli incidenti
I costi degli audit sono a carico del Titolare, a meno che l'audit non riveli una non conformità sostanziale.
6. Conservazione ed Eliminazione Dati
I tuoi dati vengono preservati per il recupero dell'account e la conformità normativa.
| Tempistica | Azione |
|---|---|
| Immediatamente | Account disattivato |
| Indefinito | Dati preservati (archiviati) |
| In qualsiasi momento | L'account può essere riattivato |
7. Disposizioni CCPA
Ai sensi del CCPA, agiamo come "Fornitore di Servizi" e:
- Trattiamo i dati solo per scopi commerciali specificati
- Non vendiamo informazioni personali
- Assistiamo con le richieste di diritti dei consumatori
- Implementiamo misure di sicurezza ragionevoli
8. Notifica di Violazione dei Dati
In caso di violazione dei dati personali, ci impegniamo a quanto segue:
Tempistica di Notifica
- Notificarti entro 72 ore dalla scoperta di una violazione
- Fornire una valutazione iniziale della portata e dell'impatto della violazione
- Consegnare una notifica scritta dettagliata entro 5 giorni lavorativi
Contenuto della Notifica
- Natura della violazione incluse le categorie e il numero approssimativo di interessati coinvolti
- Nome e dati di contatto del nostro Responsabile della Protezione dei Dati
- Descrizione delle probabili conseguenze della violazione
- Misure adottate o proposte per affrontare la violazione
- Misure per mitigare i possibili effetti negativi
Collaboreremo pienamente con la tua indagine e qualsiasi richiesta normativa, e assisteremo con le notifiche di violazione alle autorità di controllo e agli interessati come richiesto dalla legge applicabile.
9. Trasferimenti Internazionali di Dati
Quando i dati personali vengono trasferiti al di fuori dello Spazio Economico Europeo (SEE), garantiamo garanzie appropriate:
Meccanismi di Trasferimento
Decisioni di Adeguatezza UE
Trasferimenti verso paesi ritenuti adeguati dalla Commissione Europea
Quadro sulla Privacy dei Dati UE-USA
Per i responsabili con sede negli USA certificati secondo il DPF
Clausole Contrattuali Standard (SCC)
Clausole approvate dalla Commissione UE (versione 2021) per altri trasferimenti
Conduciamo valutazioni dell'impatto dei trasferimenti quando richiesto e implementiamo misure supplementari (tecniche, organizzative e contrattuali) quando necessario per garantire un livello di protezione sostanzialmente equivalente.
Puoi richiedere copie dei meccanismi di trasferimento pertinenti su richiesta.
10. Responsabilità e Indennizzo
Responsabilità del Responsabile
ClientFlow sarà responsabile dei danni causati da un trattamento che non rispetta questo DPA o quando abbiamo agito al di fuori o contro le istruzioni legali del Titolare.
Responsabilità del Titolare
Il Titolare sarà responsabile dei danni causati da un trattamento che viola la legge applicabile sulla protezione dei dati o non rispetta gli obblighi del Titolare ai sensi di questo DPA.
Limitazioni
- Nessuna parte sarà responsabile per danni indiretti, incidentali o consequenziali
- La responsabilità totale aggregata ai sensi di questo DPA è limitata alle tariffe pagate nei 12 mesi precedenti il reclamo
- Queste limitazioni non si applicano a violazioni della riservatezza, condotta intenzionale o negligenza grave
Ciascuna parte si impegna a indennizzare l'altra contro reclami di terzi derivanti dalla violazione di questo DPA o delle leggi applicabili sulla protezione dei dati da parte della parte indennizzante.
11. Risoluzione e Restituzione dei Dati
Durata
Questo DPA rimane in vigore per la durata del Contratto di Servizio e finché trattiamo dati personali per tuo conto.
Alla Risoluzione
- A tua scelta, restituiremo o elimineremo tutti i dati personali entro 30 giorni
- Puoi richiedere l'esportazione dei dati in un formato di uso comune e leggibile da dispositivo automatico
- Certificheremo l'eliminazione su richiesta
- I dati possono essere conservati quando richiesto dalla legge applicabile
Le sezioni relative alla riservatezza, alla responsabilità e ai diritti di protezione dei dati sopravvivono alla risoluzione di questo DPA.