Documenti legali

Accordo sul Trattamento dei Dati (DPA)

Nomina a Responsabile ai sensi dell'art. 28 GDPR, tra Merchant (Titolare) e Apeyron S.r.l. (Responsabile).

Versione
1.0
Aggiornato
2026-07-03
Per i dati dei Clienti finali il Titolare è il Merchant e Apeyron è il Responsabile. Il presente accordo è parte integrante del contratto SaaS ed è accettato dal Merchant per via elettronica in fase di onboarding.

0. Quadro riepilogativo (art. 28(3) GDPR)

ElementoContenuto
Materia / oggettoTrattamento dei dati dei Clienti finali per l'erogazione del servizio di vendita Buypass
DurataDurata del contratto SaaS fino a cancellazione/restituzione dati
Natura e finalitàRaccolta, conservazione, elaborazione, comunicazione, cancellazione per ordini, pagamento, fulfillment, notifiche e (se attivati) marketing/scontrino
Tipo di datiAnagrafici e di contatto, indirizzi e geolocalizzazione, dati d'ordine e pagamento, partecipazione a eventi, aggregati/tag, nessuna categoria particolare ex art. 9
Categorie di interessatiClienti finali del Merchant (acquirenti, destinatari, partecipanti/titolari di biglietti)
Obblighi/diritti del TitolareImpartire istruzioni lecite, garantirne la liceità, esercitare audit, ricevere assistenza

1. Premesse e ruoli

  • Il Merchant è Titolare del trattamento.
  • Apeyron S.r.l. è Responsabile, in quanto tratta i dati per conto del Merchant secondo le sue istruzioni documentate.

Le istruzioni documentate coincidono con: questo DPA, i Termini e Condizioni, le configurazioni del Merchant nel pannello e l'uso ordinario delle funzioni.

Per i dati di cui Apeyron è invece Titolare autonomo (account, fatturazione merchant, identità globale del Cliente, log) si applica l'Informativa Privacy e non questo DPA.

2. Oggetto, durata, natura e finalità

  • Oggetto: trattamento dei dati dei Clienti finali per il servizio di vendita Buypass.
  • Durata: per la durata del contratto SaaS e fino a cancellazione/restituzione (§9).
  • Natura e finalità: gestione carrello/ordini, pagamento, fulfillment, notifiche e, solo se attivato dal Titolare, marketing/loyalty e scontrino elettronico.

3. Categorie di interessati e di dati

  • Interessati: i Clienti finali del Merchant.
  • Dati: anagrafici e contatto, indirizzi e geolocalizzazione, dati d'ordine e pagamento (via Stripe), partecipazione a eventi, aggregati e tag/segmenti.
  • Nessuna categoria particolare ex art. 9; il Titolare si impegna a non immetterne nei campi liberi.

4. Obblighi del Responsabile (Apeyron)

  1. Trattare i dati solo su istruzione documentata del Titolare, salvo obblighi di legge.
  2. Vincolare alla riservatezza le persone autorizzate.
  3. Adottare misure di sicurezza adeguate ex art. 32 (cifratura, hashing, isolamento multi-tenant con RLS, RBAC, logging con redazione, backup).
  4. Rispettare le condizioni per i sub-responsabili (§5).
  5. Assistere il Titolare nelle richieste degli interessati (artt. 12-22) tramite export/cancellazione e supporto.
  6. Assistere il Titolare su sicurezza, notifica violazioni (artt. 32-36) e DPIA.
  7. Notificare ogni violazione di dati senza ingiustificato ritardo (art. 33(2) GDPR) con le informazioni utili ex artt. 33-34.
  8. Su scelta del Titolare, cancellare o restituire i dati al termine (§9).
  9. Mettere a disposizione le informazioni per dimostrare la conformità e consentire audit (§8).

5. Sub-responsabili

Il Titolare conferisce ad Apeyron un'autorizzazione generale scritta (art. 28(2) GDPR) ad avvalersi dei sub-responsabili necessari:

Sub-responsabileFunzioneCategorie di datiUbicazione
StripePagamenti clienti (Connect), abbonamenti merchant, payout affiliati, KYCEmail, nome, importi, identificativi di pagamento, dati KYCUE + USA
OVHcloudHosting (Kubernetes MKS), database PostgreSQL, object storage S3Tutti i dati applicativi, immagini, QRUE (Germania/Francia)
Google (Google Ireland Ltd / Google LLC)Autenticazione OAuth "Accedi con Google"; Google Tag Manager, Google Ads e Google Analytics 4 sulle pagine di campagna (misurazione conversioni e remarketing), attivati solo previo consenso via banner cookie (Consent Mode v2)Email, nome, foto profilo, ID Google; identificatori cookie (_ga, _gcl_au), IP, user-agent, eventi di navigazione e conversione (solo dopo consenso)UE + USA
OpenAPI S.r.l.Scontrino/fattura elettronicaDati fiscali merchant, righe e importi d'ordine (no PII cliente)Italia
Infomaniak (Infomaniak Network SA)Invio email transazionali (SMTP)Email, nome, contenuto notificaSvizzera
Servizi push del browser (Google FCM, Mozilla, Apple APNs)Recapito notifiche push allo StaffSolo payload cifrato + endpoint di sottoscrizioneVariabile

Apeyron impone obblighi equivalenti a ciascun sub-responsabile (art. 28(4)), restando pienamente responsabile verso il Titolare. Informa il Titolare di ogni modifica con ragionevole anticipo; il Titolare può opporsi entro 30 giorni per giustificati motivi.

6. Trasferimenti extra-UE

Eventuali trasferimenti fuori dallo SEE (Stripe, Google) avvengono sulla base di SCC e/o livello di protezione adeguato. L'hosting primario è in Unione Europea (OVHcloud).

7. Diritti degli interessati

Apeyron fornisce al Titolare gli strumenti tecnici (accesso, rettifica, export, cancellazione nel pannello e via API). Se un interessato si rivolge direttamente ad Apeyron per dati del Merchant, la richiesta è inoltrata al Titolare senza ritardo.

8. Audit

Ai sensi dell'art. 28(3)(h), Apeyron mette a disposizione le informazioni necessarie e contribuisce ad audit/ispezioni: su richiesta scritta con ragionevole preavviso (di norma 30 giorni), di norma non più di una volta l'anno, anche tramite terzo indipendente vincolato a riservatezza. Restano salvi audit straordinari in caso di incidente, sospetta violazione o richiesta dell'autorità. Il diritto del Titolare non può essere svuotato.

9. Termine del trattamento

Ai sensi dell'art. 28(3)(g), alla cessazione, a scelta del Titolare, Apeyron cancella o restituisce i dati e cancella le copie, salvo obblighi di legge (dati fiscali 10 anni). Il Titolare può esportare i dati entro 30 giorni. Le copie nei backup cifrati sono cancellate al completamento del ciclo di rotazione, nel frattempo protette e non oggetto di trattamento attivo.

10. Responsabilità

Ai sensi dell'art. 82 GDPR, ciascuna parte risponde dei danni cagionati dal trattamento quando non abbia adempiuto agli obblighi del Regolamento o abbia agito in modo difforme dalle istruzioni lecite del Titolare. Il Titolare resta responsabile della liceità del trattamento e delle istruzioni (§11).

11. Obblighi e garanzie del Titolare

  1. Garantisce una base giuridica valida e la liceità delle istruzioni impartite.
  2. È responsabile della liceità di marketing/loyalty e dei contenuti nei campi liberi; non vi inserisce categorie particolari ex art. 9.
  3. Rende le informative dovute quale Titolare e gestisce i diritti degli interessati, con l'assistenza di Apeyron (§7).
  4. Manleva Apeyron dalle pretese di terzi derivanti da istruzioni illecite o violazioni dei propri obblighi.

12. Sottoscrizione, prevalenza, modifiche

  • Sottoscrizione: accettato per via elettronica in onboarding, con casella distinta da quella dei Termini.
  • Prevalenza: in caso di contrasto sulla protezione dei dati, prevale il DPA, salvo norme imperative.
  • Modifiche: Apeyron può aggiornare il DPA dandone comunicazione; le modifiche sostanziali sono notificate con anticipo.