Accordo sul Trattamento dei Dati
In vigore da: Marzo 2026 · Versione 1.0
Questo Accordo sul Trattamento dei Dati ("DPA") regola il trattamento dei dati personali da parte di dailyOps per conto del Cliente ("Titolare del Trattamento"), ai sensi dell'Art. 28 del GDPR.
1. Definizioni
- "Dati Personali" — Qualsiasi informazione relativa a una persona fisica identificata o identificabile (Art. 4(1) GDPR)
- "Trattamento" — Qualsiasi operazione eseguita sui Dati Personali (Art. 4(2) GDPR)
- "Titolare del Trattamento" — Il Cliente che determina finalità e mezzi del trattamento
- "Responsabile del Trattamento" — dailyOps, che tratta i dati per conto del Titolare
- "Sub-responsabile" — Un terzo incaricato di trattare dati per conto del Titolare
2. Oggetto e Durata
Il Responsabile del Trattamento tratta i Dati Personali per fornire servizi di conformità HACCP digitale inclusi gestione registri, estrazione dati assistita da IA, gestione team e reportistica di conformità. Questo DPA rimane in vigore per la durata dell'abbonamento del Cliente.
3. Natura e Finalità del Trattamento
| Finalità | Descrizione |
|---|---|
| Erogazione servizio | Conservazione e visualizzazione registri di conformità HACCP |
| Estrazione dati IA | Elaborazione immagini etichette tramite IA per estrarre informazioni prodotto |
| Assistente chat IA | Elaborazione query in linguaggio naturale per azioni HACCP |
| Gestione team | Gestione account utente, ruoli, permessi e compiti |
| Comunicazioni email | Invio inviti e reset password tramite Resend |
| Elaborazione pagamenti | Gestione abbonamenti e pagamenti tramite Stripe |
| Log di audit | Registri immutabili di tutte le modifiche ai dati |
4. Tipi di Dati Personali
Dati identificativi (nome, email), dati di autenticazione (password con hash, sessioni), dati organizzativi (nome org, paese, ruolo), dati operativi HACCP (registri attribuiti agli utenti), dati di interazione IA (immagini etichette, messaggi chat), dati di comunicazione (email), dati tecnici (IP, user agent) e dati di audit (ID utente, timestamp, snapshot modifiche).
5. Categorie di Interessati
Proprietari dell'organizzazione, manager e membri dello staff — tutti dipendenti o rappresentanti autorizzati dell'attività alimentare del Cliente.
6. Obblighi del Responsabile del Trattamento
- Trattare i dati solo su istruzioni documentate del Titolare
- Assicurare che le persone autorizzate siano vincolate dalla riservatezza
- Implementare misure di sicurezza appropriate (vedi Appendice)
- Non coinvolgere Sub-responsabili senza previa autorizzazione
- Assistere con le richieste di esercizio dei diritti degli Interessati
- Notificare al Titolare le violazioni dei dati entro 72 ore
- Assistere con le valutazioni d'impatto sulla protezione dei dati
- Consentire audit di conformità da parte del Titolare
- Restituire o eliminare i dati alla cessazione dell'abbonamento
7. Sub-responsabili
Il Titolare autorizza i seguenti Sub-responsabili:
| Sub-responsabile | Finalità | Ubicazione | Garanzie |
|---|---|---|---|
| Anthropic | Estrazione etichette IA e chat (effimero) | Stati Uniti | SCC |
| Stripe | Elaborazione pagamenti | Stati Uniti / UE | SCC, PCI-DSS Livello 1 |
| Resend | Email transazionali | Stati Uniti | SCC |
| Autenticazione OAuth (opzionale) | Stati Uniti | SCC |
Il Responsabile notificherà al Titolare almeno 30 giorni prima di aggiungere o sostituire un Sub-responsabile. Il Titolare può opporsi; le obiezioni non risolte permettono la cessazione dell'abbonamento.
8. Trasferimenti Internazionali di Dati
I Dati Personali possono essere trasferiti a Sub-responsabili negli Stati Uniti. Tutti i trasferimenti sono protetti da Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea.
9. Obblighi del Titolare del Trattamento
Il Titolare deve assicurare una base giuridica per il trattamento, fornire dati accurati, informare gli Interessati ai sensi degli Artt. 13/14 GDPR, rispondere alle richieste degli Interessati e notificare al Responsabile le modifiche alle istruzioni.
10. Responsabilità
La responsabilità di ciascuna parte è soggetta alle limitazioni previste nei Termini di Servizio.
11. Durata e Cessazione
Questo DPA è efficace dall'inizio del servizio per la durata dell'abbonamento. Alla cessazione, i dati saranno restituiti o eliminati entro 90 giorni a scelta del Titolare, salvo che la conservazione sia richiesta dalla legge.
Appendice: Misure di Sicurezza Tecniche e Organizzative
TLS 1.3 in transito, crittografia database a riposo, hashing crittografico delle password.
Email/password con credenziali con hash, cookie di sessione HTTP-only, RBAC a tre ruoli, isolamento multi-tenant tramite tenantId su ogni query.
Validazione input Zod, query parametrizzate Prisma, protezione CSRF Better Auth, verifica webhook Stripe, protezioni XSS Next.js.
Traccia di audit immutabile in sola aggiunta, integrità transazionale PostgreSQL 16.
Immagini etichette elaborate in modo effimero, chat elaborata in modo effimero (non conservata per addestramento), ridimensionamento immagini lato client, approvazione esplicita utente per azioni di scrittura IA.
Obblighi di riservatezza, notifica violazione entro 72 ore, accordi sul trattamento dati con tutti i Sub-responsabili.
Contatti
Per richieste relative al DPA, contatta il nostro team per la protezione dei dati.