0. Quadro riepilogativo (art. 28(3) GDPR)
| Elemento | Contenuto |
|---|---|
| Materia / oggetto | Trattamento dei dati dei Clienti finali per l'erogazione del servizio di vendita Buypass |
| Durata | Durata del contratto SaaS fino a cancellazione/restituzione dati |
| Natura e finalità | Raccolta, conservazione, elaborazione, comunicazione, cancellazione per ordini, pagamento, fulfillment, notifiche e (se attivati) marketing/scontrino |
| Tipo di dati | Anagrafici e di contatto, indirizzi e geolocalizzazione, dati d'ordine e pagamento, partecipazione a eventi, aggregati/tag, nessuna categoria particolare ex art. 9 |
| Categorie di interessati | Clienti finali del Merchant (acquirenti, destinatari, partecipanti/titolari di biglietti) |
| Obblighi/diritti del Titolare | Impartire istruzioni lecite, garantirne la liceità, esercitare audit, ricevere assistenza |
1. Premesse e ruoli
- Il Merchant è Titolare del trattamento.
- Apeyron S.r.l. è Responsabile, in quanto tratta i dati per conto del Merchant secondo le sue istruzioni documentate.
Le istruzioni documentate coincidono con: questo DPA, i Termini e Condizioni, le configurazioni del Merchant nel pannello e l'uso ordinario delle funzioni.
2. Oggetto, durata, natura e finalità
- Oggetto: trattamento dei dati dei Clienti finali per il servizio di vendita Buypass.
- Durata: per la durata del contratto SaaS e fino a cancellazione/restituzione (§9).
- Natura e finalità: gestione carrello/ordini, pagamento, fulfillment, notifiche e, solo se attivato dal Titolare, marketing/loyalty e scontrino elettronico.
3. Categorie di interessati e di dati
- Interessati: i Clienti finali del Merchant.
- Dati: anagrafici e contatto, indirizzi e geolocalizzazione, dati d'ordine e pagamento (via Stripe), partecipazione a eventi, aggregati e tag/segmenti.
- Nessuna categoria particolare ex art. 9; il Titolare si impegna a non immetterne nei campi liberi.
4. Obblighi del Responsabile (Apeyron)
- Trattare i dati solo su istruzione documentata del Titolare, salvo obblighi di legge.
- Vincolare alla riservatezza le persone autorizzate.
- Adottare misure di sicurezza adeguate ex art. 32 (cifratura, hashing, isolamento multi-tenant con RLS, RBAC, logging con redazione, backup).
- Rispettare le condizioni per i sub-responsabili (§5).
- Assistere il Titolare nelle richieste degli interessati (artt. 12-22) tramite export/cancellazione e supporto.
- Assistere il Titolare su sicurezza, notifica violazioni (artt. 32-36) e DPIA.
- Notificare ogni violazione di dati senza ingiustificato ritardo (art. 33(2) GDPR) con le informazioni utili ex artt. 33-34.
- Su scelta del Titolare, cancellare o restituire i dati al termine (§9).
- Mettere a disposizione le informazioni per dimostrare la conformità e consentire audit (§8).
5. Sub-responsabili
Il Titolare conferisce ad Apeyron un'autorizzazione generale scritta (art. 28(2) GDPR) ad avvalersi dei sub-responsabili necessari:
| Sub-responsabile | Funzione | Categorie di dati | Ubicazione |
|---|---|---|---|
| Stripe | Pagamenti clienti (Connect), abbonamenti merchant, payout affiliati, KYC | Email, nome, importi, identificativi di pagamento, dati KYC | UE + USA |
| OVHcloud | Hosting (Kubernetes MKS), database PostgreSQL, object storage S3 | Tutti i dati applicativi, immagini, QR | UE (Germania/Francia) |
| Google (Google Ireland Ltd / Google LLC) | Autenticazione OAuth "Accedi con Google"; Google Tag Manager, Google Ads e Google Analytics 4 sulle pagine di campagna (misurazione conversioni e remarketing), attivati solo previo consenso via banner cookie (Consent Mode v2) | Email, nome, foto profilo, ID Google; identificatori cookie (_ga, _gcl_au), IP, user-agent, eventi di navigazione e conversione (solo dopo consenso) | UE + USA |
| OpenAPI S.r.l. | Scontrino/fattura elettronica | Dati fiscali merchant, righe e importi d'ordine (no PII cliente) | Italia |
| Infomaniak (Infomaniak Network SA) | Invio email transazionali (SMTP) | Email, nome, contenuto notifica | Svizzera |
| Servizi push del browser (Google FCM, Mozilla, Apple APNs) | Recapito notifiche push allo Staff | Solo payload cifrato + endpoint di sottoscrizione | Variabile |
Apeyron impone obblighi equivalenti a ciascun sub-responsabile (art. 28(4)), restando pienamente responsabile verso il Titolare. Informa il Titolare di ogni modifica con ragionevole anticipo; il Titolare può opporsi entro 30 giorni per giustificati motivi.
6. Trasferimenti extra-UE
Eventuali trasferimenti fuori dallo SEE (Stripe, Google) avvengono sulla base di SCC e/o livello di protezione adeguato. L'hosting primario è in Unione Europea (OVHcloud).
7. Diritti degli interessati
Apeyron fornisce al Titolare gli strumenti tecnici (accesso, rettifica, export, cancellazione nel pannello e via API). Se un interessato si rivolge direttamente ad Apeyron per dati del Merchant, la richiesta è inoltrata al Titolare senza ritardo.
8. Audit
Ai sensi dell'art. 28(3)(h), Apeyron mette a disposizione le informazioni necessarie e contribuisce ad audit/ispezioni: su richiesta scritta con ragionevole preavviso (di norma 30 giorni), di norma non più di una volta l'anno, anche tramite terzo indipendente vincolato a riservatezza. Restano salvi audit straordinari in caso di incidente, sospetta violazione o richiesta dell'autorità. Il diritto del Titolare non può essere svuotato.
9. Termine del trattamento
Ai sensi dell'art. 28(3)(g), alla cessazione, a scelta del Titolare, Apeyron cancella o restituisce i dati e cancella le copie, salvo obblighi di legge (dati fiscali 10 anni). Il Titolare può esportare i dati entro 30 giorni. Le copie nei backup cifrati sono cancellate al completamento del ciclo di rotazione, nel frattempo protette e non oggetto di trattamento attivo.
10. Responsabilità
Ai sensi dell'art. 82 GDPR, ciascuna parte risponde dei danni cagionati dal trattamento quando non abbia adempiuto agli obblighi del Regolamento o abbia agito in modo difforme dalle istruzioni lecite del Titolare. Il Titolare resta responsabile della liceità del trattamento e delle istruzioni (§11).
11. Obblighi e garanzie del Titolare
- Garantisce una base giuridica valida e la liceità delle istruzioni impartite.
- È responsabile della liceità di marketing/loyalty e dei contenuti nei campi liberi; non vi inserisce categorie particolari ex art. 9.
- Rende le informative dovute quale Titolare e gestisce i diritti degli interessati, con l'assistenza di Apeyron (§7).
- Manleva Apeyron dalle pretese di terzi derivanti da istruzioni illecite o violazioni dei propri obblighi.
12. Sottoscrizione, prevalenza, modifiche
- Sottoscrizione: accettato per via elettronica in onboarding, con casella distinta da quella dei Termini.
- Prevalenza: in caso di contrasto sulla protezione dei dati, prevale il DPA, salvo norme imperative.
- Modifiche: Apeyron può aggiornare il DPA dandone comunicazione; le modifiche sostanziali sono notificate con anticipo.