Accordo sul Trattamento dei Dati

Premesse

Il presente Accordo sul Trattamento dei Dati ("DPA") integra i Termini e Condizioni del servizio MenuFacile e disciplina il trattamento dei dati personali effettuato da Studio 121 Srls("Responsabile del trattamento") per conto del Cliente ("Titolare del trattamento") nell'ambito dell'erogazione del servizio MenuFacile.

Il presente DPA si applica automaticamente a tutti i Clienti che attivano il servizio MenuFacile e si considera accettato con l'accettazione dei Termini e Condizioni.

1. Definizioni

• Titolare: il Cliente, titolare dell'attivita di ristorazione che utilizza il servizio MenuFacile
• Responsabile: Studio 121 Srls, P.IVA 01815340888, che tratta i dati per conto del Titolare
• Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile
• Interessati: le persone fisiche i cui dati personali sono trattati (clienti del ristorante, utenti finali del menu)
• Sub-responsabile: qualsiasi soggetto terzo che tratta dati personali per conto del Responsabile

2. Oggetto e durata del trattamento

Il Responsabile tratta i seguenti dati per conto del Titolare:

2.1 Dati del menu e del ristorante

• Nome del ristorante, indirizzo, contatti, logo
• Contenuto del menu: nomi piatti, descrizioni, prezzi, allergeni, traduzioni
• Categorie, sottocategorie, cantine e vini
• Immagini caricate dal Titolare
• Credenziali di accesso al pannello admin (email, password criptata)

2.2 Dati analytics anonimi degli utenti finali

• Interazioni con il menu digitale (sezioni aperte, tempo di visualizzazione, scroll)
• Tipo di dispositivo e lingua selezionata
• Provenienza della visita (QR code, link diretto, social)

Nota importante: i dati analytics degli utenti finali sono raccolti in forma completamente anonima, senza cookie, senza indirizzo IP, senza identificativi persistenti. Ai sensi del Considerando 26 del GDPR, dati anonimi che non possono essere ricondotti a una persona fisica non costituiscono dati personali. Il presente DPA si applica comunque per massima cautela e trasparenza.

2.3 Durata

Il trattamento ha inizio con l'attivazione del servizio e termina con la cessazione del contratto. Alla cessazione, il Responsabile cancella tutti i dati entro 30 giorni, salvo obblighi di legge (es. conservazione fiscale).

3. Finalita del trattamento

Il Responsabile tratta i dati esclusivamente per le seguenti finalita:

• Erogazione del servizio MenuFacile (hosting, visualizzazione e gestione del menu digitale)
• Generazione di analytics aggregati e anonimi sull'utilizzo del menu
• Assistenza tecnica e manutenzione del servizio
• Backup e disaster recovery
• Invio di report settimanali e comunicazioni di servizio al Titolare

Il Responsabile non tratta i dati per finalita proprie, non li cede a terzi per finalita di marketing, e non li utilizza per profilazione.

4. Obblighi del Responsabile

Il Responsabile si impegna a:

• Trattare i dati personali soltanto su istruzione documentata del Titolare, incluso per quanto riguarda il trasferimento extra-UE
• Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza
• Adottare tutte le misure di sicurezza richieste dall'art. 32 del GDPR
• Rispettare le condizioni per ricorrere a sub-responsabili (art. 28, par. 2 e 4)
• Assistere il Titolare nel dare seguito alle richieste degli interessati (diritti di accesso, rettifica, cancellazione, ecc.)
• Assistere il Titolare nel garantire il rispetto degli obblighi relativi alla sicurezza, alla notifica delle violazioni e alla valutazione d'impatto
• Su scelta del Titolare, cancellare o restituire tutti i dati personali al termine del servizio
• Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi

5. Misure di sicurezza tecniche e organizzative

Il Responsabile adotta le seguenti misure di sicurezza (art. 32 GDPR):

5.1 Misure tecniche

• Crittografia di tutte le comunicazioni tramite HTTPS/TLS 1.3
• Password degli utenti criptate con algoritmo bcrypt
• Cookie di sessione con flag Secure, HttpOnly e SameSite=Strict
• Header di sicurezza HTTP: HSTS, CSP, X-Content-Type-Options, Referrer-Policy
• Firewall, fail2ban e aggiornamenti di sicurezza automatici sul server
• Backup giornalieri automatici del database
• Separazione logica dei dati tra clienti diversi (architettura multi-tenant)
• Accesso al pannello admin protetto da autenticazione con sessioni crittografate
• Protezione CSRF su tutte le operazioni di scrittura
• Rate limiting sulle API per prevenire abusi

5.2 Misure organizzative

• Accesso ai dati limitato al personale strettamente necessario
• Formazione del personale sulla protezione dei dati
• Procedura di gestione degli incidenti di sicurezza
• Revisione periodica delle misure di sicurezza

6. Sub-responsabili

Il Titolare autorizza in via generale il ricorso a sub-responsabili da parte del Responsabile, a condizione che il Responsabile: (a) informi preventivamente il Titolare di qualsiasi modifica, (b) imponga ai sub-responsabili gli stessi obblighi del presente DPA.

Elenco dei sub-responsabili attualmente utilizzati:

7. Trasferimenti extra-UE

I trasferimenti di dati verso gli Stati Uniti (Vercel, GitHub) avvengono sulla base di:

• EU-US Data Privacy Framework (DPF) — decisione di adeguatezza della Commissione Europea del 10 luglio 2023
• Standard Contractual Clauses (SCC) approvate dalla Commissione Europea — come garanzia supplementare

8. Notifica delle violazioni

In caso di violazione dei dati personali (data breach), il Responsabile si impegna a:

• Notificare il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta della violazione
• Fornire al Titolare tutte le informazioni necessarie per la notifica all'Autorita Garante (art. 33 GDPR) e agli interessati (art. 34 GDPR)
• Cooperare con il Titolare per contenere e rimediare alla violazione
• Documentare la violazione, i suoi effetti e le misure correttive adottate

9. Diritti degli interessati

Il Responsabile assiste il Titolare nel dare seguito alle richieste degli interessati relative ai diritti previsti dagli artt. 15-22 del GDPR (accesso, rettifica, cancellazione, portabilita, opposizione, limitazione).

Le richieste degli utenti finali del menu saranno indirizzate al Titolare (il ristoratore), che le inoltrera al Responsabile per gli aspetti tecnici. Il Responsabile si impegna a rispondere entro 15 giorni lavorativi.

10. Audit

Il Titolare ha il diritto di verificare il rispetto del presente DPA, anche mediante audit condotti da un revisore indipendente concordato tra le parti. Il Responsabile si impegna a collaborare e a mettere a disposizione le informazioni necessarie.

Gli audit devono essere concordati con almeno 30 giorni di anticipo e svolgersi durante il normale orario lavorativo, senza interferire con l'erogazione del servizio.

11. Restituzione e cancellazione dei dati

Alla cessazione del servizio, il Titolare puo richiedere:

• Restituzione: esportazione completa dei dati in formato JSON o CSV, entro 15 giorni lavorativi dalla richiesta
• Cancellazione: eliminazione definitiva di tutti i dati entro 30 giorni dalla cessazione, con conferma scritta

In assenza di istruzioni, il Responsabile cancella tutti i dati entro 30 giorni dalla cessazione del contratto, fatti salvi gli obblighi di conservazione previsti dalla legge (es. documentazione fiscale per 10 anni).

12. Responsabilita

La responsabilita del Responsabile ai sensi del presente DPA e soggetta alle stesse limitazioni previste nei Termini e Condizioni del servizio MenuFacile, incluso il tetto massimo pari all'importo dei canoni versati nei 12 mesi precedenti.

13. Legge applicabile

Il presente DPA e regolato dalla legge italiana e dal Regolamento UE 2016/679 (GDPR). Per qualsiasi controversia, le parti concordano la competenza esclusiva del Foro di Ragusa.