Vai al contenuto
atenplit
← apartmentsite.at

Accordo sul trattamento dei dati (art. 28 GDPR)

La versione italiana è fornita esclusivamente a scopo informativo. Fa fede il testo tedesco.

Stato: 5 maggio 2026. Il presente accordo sul trattamento dei dati («DPA») concretizza gli obblighi derivanti dall'art. 28 GDPR. È concluso tra il cliente professionale («titolare del trattamento») e Studio Apps Sp. z o.o. («responsabile del trattamento») al momento della conclusione del contratto avente ad oggetto l'hosting di un sito di prenotazione o prestazioni analoghe, qualora vengano trattati dati personali di terzi.

§ 1 Oggetto e durata

(1) Oggetto del DPA è il trattamento di dati personali che il titolare affida al responsabile nell'ambito delle prestazioni di hosting convenute — in particolare le richieste di prenotazione che pervengono tramite il modulo del sito del cliente.

(2) Il DPA ha la durata del contratto principale. Si estingue automaticamente con la cessazione delle prestazioni di hosting.

§ 2 Natura e finalità del trattamento

Messa a disposizione e gestione del sito di prenotazione, ricezione e conservazione delle richieste di prenotazione, invio di e-mail di conferma e di notifica al titolare e agli utenti finali, monitoraggio della sicurezza (difesa da spam/bot).

§ 3 Categorie di dati e interessati

Categorie di dati personali: nome e cognome, indirizzo e-mail, numero di telefono (se indicato), data/periodo della prenotazione desiderata, numero di persone, messaggio, metadati tecnici (indirizzo IP, user-agent, marca temporale).

Categorie di interessati: utenti finali (ospiti/potenziali clienti) del sito di prenotazione del titolare.

§ 4 Obblighi del responsabile del trattamento

(1) Trattamento esclusivamente su istruzione documentata del titolare.

(2) Riservatezza: le persone autorizzate al trattamento sono tenute alla riservatezza, ove non già soggette a un adeguato obbligo legale di segretezza.

(3) Misure tecniche e organizzative adeguate (TOM) ai sensi dell'art. 32 GDPR — si veda l'allegato 1.

(4) Assistenza al titolare nell'esercizio dei diritti degli interessati (artt. 12-22 GDPR) nonché nelle valutazioni d'impatto sulla protezione dei dati (artt. 35 e segg. GDPR).

(5) Notifica senza indebito ritardo delle violazioni dei dati al titolare, al più tardi entro 48 ore dalla conoscenza (per consentire al titolare il rispetto del termine di 72 ore di cui all'art. 33 GDPR).

(6) A scelta del titolare, cancellazione o restituzione di tutti i dati personali al termine delle prestazioni di trattamento, salvo che sussista un obbligo di conservazione più lungo.

(7) Messa a disposizione di tutte le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti dall'art. 28 GDPR.

§ 5 Sub-responsabili del trattamento

(1) Il titolare acconsente all'impiego dei sub-responsabili indicati nell'allegato 2 (autorizzazione generale ai sensi dell'art. 28 par. 2 prima frase GDPR).

(2) In caso di modifiche previste relative all'aggiunta o alla sostituzione di sub-responsabili, il titolare è informato con un preavviso di almeno 30 giorni (via e-mail all'indirizzo indicato nel contratto principale). Il titolare può opporsi alla modifica entro 14 giorni dalla ricezione della comunicazione per motivi legittimi. In caso di opposizione legittima, le parti hanno diritto di recedere dal contratto con un preavviso ragionevole.

(3) Il responsabile conclude con ogni sub-responsabile un accordo con lo stesso livello di protezione dei dati del presente DPA.

§ 6 Trasferimenti internazionali

I trasferimenti verso Paesi terzi (in particolare gli USA) avvengono esclusivamente sulla base delle clausole contrattuali tipo dell'UE di cui alla decisione di esecuzione 2021/914 (modulo 3 — da responsabile a sub-responsabile) e di misure tecniche e organizzative supplementari nonché — ove applicabile — della decisione di adeguatezza 2023/1795 (EU-US Data Privacy Framework).

§ 7 Diritti di verifica

(1) Il responsabile dimostra periodicamente il rispetto del presente DPA mediante certificazioni aggiornate (ad es. ISO 27001 dei sub-responsabili) e descrizioni scritte delle TOM, messe a disposizione del titolare su richiesta.

(2) Le verifiche in loco sono ammesse previa comunicazione con un preavviso ragionevole (almeno 30 giorni) e durante il consueto orario lavorativo. Non devono pregiudicare in modo sproporzionato la normale attività aziendale. Per ogni verifica il responsabile addebita al titolare un importo forfettario a copertura degli oneri; sono escluse le verifiche dovute a indizi concreti di violazioni dei dati.

§ 8 Responsabilità

La responsabilità è disciplinata dall'art. 82 GDPR e dalle disposizioni del contratto principale.

Allegato 1 — Misure tecniche e organizzative (art. 32 GDPR)

  • Cifratura della trasmissione dei dati (TLS) e cifratura a riposo presso i sub-responsabili
  • Controllo degli accessi tramite autorizzazioni basate sui ruoli e autenticazione sicura
  • Backup periodici e procedure di ripristino
  • Pseudonimizzazione e minimizzazione dei dati ove possibile
  • Registrazione e monitoraggio degli accessi
  • Hosting in data center nell'UE

Allegato 2 — Sub-responsabili del trattamento

  • Supabase Inc. — database e hosting, regione UE (Francoforte)
  • Vercel Inc. — hosting del sito e CDN; clausole contrattuali tipo dell'UE
  • Resend Inc. — invio di e-mail; clausole contrattuali tipo dell'UE