Premesso che:

• Il Titolare ha sottoscritto con il Responsabile i Termini e Condizioni di Servizio per l’utilizzo della piattaforma Easybuk.it.
• L’esecuzione di tale servizio comporta il trattamento di dati personali di cui il Titolare determina finalità e mezzi.
• Con il presente atto, le Parti intendono disciplinare tale trattamento in conformità all’art. 28 del GDPR.

Tutto ciò premesso

si conviene e stipula quanto segue:

1. Oggetto, Durata, Natura, Finalità del Trattamento e periodo di conservazione dati

Oggetto: fornitura di servizi di manutenzione, supporto e gestione tecnica della Piattaforma Easybuk.it.

Durata: per l’intera durata del Contratto di Servizio principale.

Natura delle operazioni: raccolta, registrazione, organizzazione, conservazione, consultazione, utilizzo, comunicazione mediante trasmissione (al Titolare e a terzi autorizzati), blocco, cancellazione e distruzione dei dati.

Finalità: consentire al Titolare la gestione delle prenotazioni dei propri clienti, l’invio di comunicazioni transazionali, la gestione di un CRM e l’applicazione delle proprie policy commercial, porre in essere esecuzione tecnica di operazioni di marketing diretto e promozionale per conto del Titolare, limitatamente agli Utenti Finali per i quali il Titolare abbia acquisito il preventivo consenso specifico e documentato ai sensi dell’art. 6, par. 1, lett. a), del GDPR.

Periodo di conservazione dei dati personali: i dati personali trattati da Micso per conto del Titolare sono conservati per i periodi di seguito indicati, differenziati per finalità di trattamento:

• a) Gestione delle prenotazioni, comunicazioni transazionali e CRM: i dati degli Utenti Finali raccolti ai fini della gestione delle prenotazioni sono conservati per l’intera durata del Contratto di Servizio principale. Alla cessazione del Contratto, Micso conserva i dati per un periodo non superiore a 30 (trenta) giorni dalla cessazione stessa, al solo fine di consentire al Titolare di richiederne la restituzione in formato standard e interoperabile, come previsto dall’Art. 12.3 dei Termini e Condizioni Generali di Servizio. Decorso tale termine senza che il Titolare abbia formulato richiesta, Micso procederà alla cancellazione sicura dei dati secondo quanto disposto all’Art. 3, lettera g) del presente Accordo.
• b) Operazioni di marketing diretto eseguite per conto del Titolare: i dati degli Utenti Finali trattati per finalità di marketing diretto, sulla base del consenso specifico preventivamente acquisito dal Titolare ai sensi dell’art. 6, par. 1, lett. a) del GDPR, sono conservati per la durata indicata dal Titolare nelle proprie istruzioni documentate e, comunque, non oltre la revoca del consenso da parte dell’interessato o la sua opposizione al trattamento. Il Titolare si impegna a comunicare tempestivamente a Micso ogni revoca di consenso ricevuta, affinché questa possa dare immediata esecuzione all’interruzione del trattamento per tale finalità.
• c) Obblighi legali di conservazione: in deroga ai termini di cui alle lettere a) e b), ove specifiche norme di legge dell’Unione o nazionali impongano obblighi di conservazione ulteriori (a titolo esemplificativo: obblighi di natura fiscale e contabile ai sensi del D.P.R. 600/1973 e del D.P.R. 633/1972, o altri obblighi di legge applicabili), i dati potranno essere conservati per il periodo strettamente necessario all’adempimento di tali obblighi. In tale ipotesi, Micso informerà per iscritto il Titolare dell’obbligo legale che impone la conservazione ulteriore, salvo che il diritto dell’Unione o nazionale vieti tale informazione per rilevanti motivi di interesse pubblico, ai sensi dell’art. 28, par. 3, lett. a) del GDPR.
• d) Criteri generali: il Titolare è responsabile della determinazione dei periodi di conservazione appropriati per i dati trattati per finalità di propria competenza. Micso si attiene alle istruzioni documentate del Titolare e non conserva i dati per periodi superiori a quelli indicati. In conformità ai principi di privacy by design e privacy by default di cui all’art. 25 del GDPR, Micso adotta procedure sistematiche per la cancellazione o l’anonimizzazione automatica dei dati allo scadere dei termini di conservazione applicabili.

2. Tipi di dati personali e categorie di interessati

Categorie di interessati: utenti finali (clienti e potenziali clienti del Titolare).

Tipi di Dati Personali: dati identificativi e di contatto (nome, cognome, email, telefono); dettagli della prenotazione (data, ora, numero di persone, servizio richiesto); dati inseriti volontariamente nel campo note (che potrebbero includere categorie particolari di dati ex art. 9 GDPR, il cui trattamento è di esclusiva responsabilità del Titolare); dati di navigazione e tecnici relativi all’interazione con la Piattaforma.

3. Obblighi del Responsabile del Trattamento (Micso)

Micso si impegna a:

• a) trattare i dati personali esclusivamente su istruzione documentata del Titolare, salvo che lo richieda il diritto dell’Unione o nazionale.
• b) garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza.
• c) adottare, e mantenere aggiornate nel tempo, misure tecniche e organizzative adeguate a garantire un livello di sicurezza commisurato al rischio presentato dal trattamento, ai sensi dell’art. 32 del GDPR. Tali misure tengono conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà degli Utenti Finali.

Le misure di sicurezza adottate da Micso comprendono, senza pretesa di esaustività:

i. Misure di sicurezza dei dati: Cifratura dei dati personali in transito mediante protocolli TLS/SSL e, ove applicabile, cifratura dei dati a riposo; pseudonimizzazione dei dati personali ove tecnicamente possibile e coerente con la finalità del trattamento; controllo degli accessi basato sul principio del need-to-know, con autenticazione a due fattori per gli accessi ai sistemi che trattano dati personali; separazione logica e/o fisica dei dati trattati per conto di Titolari distinti.

ii. Misure di continuità operativa e resilienza: Capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; procedure di backup regolari con verifica periodica del ripristino dei dati; capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico (Disaster Recovery Plan).

iii. Misure organizzative e di controllo: Procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento, con cadenza almeno annuale o a seguito di modifiche significative dei sistemi; formazione periodica del personale autorizzato al trattamento in materia di protezione dei dati personali e sicurezza informatica; adozione di una procedura interna per la gestione e la notifica delle violazioni dei dati personali (data breach) ai sensi degli artt. 33 e 34 del GDPR, con obbligo di notifica al Titolare senza ingiustificato ritardo e, ove possibile, entro 24 ore dalla conoscenza dell’evento; registro delle attività di trattamento svolte per conto dei Titolari, ai sensi dell’art. 30, par. 2 del GDPR.

iv. Misure specifiche per i sub-responsabili: Micso si assicura che i sub-responsabili del trattamento di cui all’Art. 4 del presente Accordo adottino misure di sicurezza equivalenti a quelle sopra descritte, imponendo loro contrattualmente i medesimi obblighi, ai sensi dell’art. 28, par. 4 del GDPR.

v. Aggiornamento delle misure: Micso si impegna a riesaminare e aggiornare le misure di sicurezza qualora emergano nuovi rischi o mutino le circostanze del trattamento. Il Titolare può richiedere a Micso, con cadenza annuale, evidenza documentata dell’efficacia delle misure adottate, nell’ambito del diritto di audit di cui alla lettera h) del presente articolo.

• d) rispettare le condizioni di cui ai paragrafi 2 e 4 dell’art. 28 del GDPR per ricorrere a sub-responsabili.
• e) assistere il Titolare, per quanto possibile, con misure tecniche e organizzative adeguate, a soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato.
• f) assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR.

g) alla cessazione del Contratto di Servizio principale, per qualsiasi causa (comprese la disdetta, la risoluzione, il recesso o la scadenza), Micso è tenuta ad adempiere ai seguenti obblighi, in conformità all’art. 28, par. 3, lett. g) del GDPR e a quanto previsto dall’Art. 12.3 dei Termini e Condizioni Generali di Servizio:

• i. Restituzione dei dati su richiesta del Titolare: su richiesta del Titolare, da formularsi per iscritto entro 30 (trenta) giorni dalla data di cessazione del Contratto, Micso metterà a disposizione del Titolare tutti i dati personali degli Utenti Finali trattati per suo conto, in un formato standard, strutturato, di uso comune e leggibile da dispositivo automatico (a titolo esemplificativo: CSV, JSON o XML), al fine di garantire la portabilità e la continuità operativa del Titolare. La messa a disposizione avverrà entro 15 (quindici) giorni dalla ricezione della richiesta.
• ii. Cancellazione sicura in assenza di richiesta: in assenza di richiesta di restituzione entro il termine di cui al punto i), ovvero successivamente alla consegna dei dati al Titolare, Micso provvederà alla cancellazione sicura e irreversibile di tutti i dati personali degli Utenti Finali trattati per conto del Titolare, incluse tutte le copie di backup che li contengano, entro e non oltre 15 (quindici) giorni dalla scadenza del termine per la richiesta di restituzione. La cancellazione avverrà con modalità tecniche che rendano i dati definitivamente inaccessibili e non recuperabili (es. sovrascrittura, degaussing o distruzione fisica dei supporti), nel rispetto degli standard tecnici applicabili. Micso fornirà al Titolare, su richiesta, una attestazione scritta di avvenuta cancellazione dei dati, redatta dal responsabile tecnico designato.
• iii. Eccezioni per obblighi di legge: in deroga ai punti i) e ii), Micso è autorizzata a conservare i dati personali, o una parte di essi, per il periodo strettamente necessario ad adempiere a obblighi di conservazione previsti dal diritto dell’Unione o nazionale (es. obblighi fiscali, contabili o di altra natura). In tale eventualità: Micso informerà per iscritto il Titolare della specifica norma di legge che impone la conservazione ulteriore e della durata prevista; i dati conservati per tali obblighi legali saranno isolati e non potranno essere utilizzati per alcuna finalità diversa da quella che giustifica la conservazione; alla cessazione dell’obbligo legale, Micso procederà alla cancellazione sicura dei dati residui secondo le modalità di cui al punto ii).
• iv. Obblighi dei sub-responsabili: Micso si assicura che i medesimi obblighi di cancellazione e restituzione siano contrattualmente imposti ai sub-responsabili del trattamento che abbiano avuto accesso ai dati degli Utenti Finali del Titolare, conformemente all’art. 28, par. 4 del GDPR. Micso è responsabile nei confronti del Titolare per l’adempimento di tali obblighi da parte dei sub-responsabili.
• v. Periodo transitorio: durante il periodo intercorrente tra la cessazione del Contratto e la cancellazione definitiva dei dati (come sopra disciplinato), Micso si impegna a non compiere alcuna nuova operazione di trattamento sui dati, al di fuori di quelle strettamente necessarie per la loro conservazione temporanea e successiva restituzione o cancellazione; mantenere attive tutte le misure di sicurezza di cui alla lettera c) del presente articolo; non consentire l’accesso ai dati da parte di soggetti terzi non autorizzati.

h) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consentire e contribuire alle attività di revisione.

4. Sub-responsabili del Trattamento

4.1. Autorizzazione generale ed elenco dei Sub-responsabili

Il Titolare conferisce a Micso un’autorizzazione generale, ai sensi dell’art. 28, par. 2, del GDPR, a ricorrere ad altri responsabili del trattamento (di seguito “Sub-responsabili”) per l’esecuzione di specifiche attività di trattamento necessarie all’erogazione dei servizi. Il Titolare autorizza sin d’ora Micso a ricorrere, tra gli altri, ai seguenti Sub-responsabili per le attività indicate:

• a) Meta Platforms, Inc. (o sue consociate), per l’erogazione dei servizi di notifica e comunicazione tramite la piattaforma WhatsApp.
• b) Google LLC (o sue consociate), per l’erogazione dei servizi di prenotazione integrati tramite la piattaforma Google Reservation.
• c) Altri fornitori di servizi essenziali quali hosting, invio email e gestione dei pagamenti, il cui elenco aggiornato e specifico è reso disponibile al Titolare su richiesta e/o tramite apposita sezione riservata della Piattaforma.

4.2. Meccanismo di notifica e diritto di opposizione

In conformità all’art. 28, par. 2, del GDPR, Micso si impegna a informare il Titolare per iscritto di ogni modifica prevista riguardante l’aggiunta o la sostituzione di Sub-responsabili, indicando le attività di trattamento loro sub-delegate. Tale comunicazione sarà fornita con un preavviso di almeno 30 (trenta) giorni, durante i quali il Titolare avrà la facoltà di opporsi a tali modifiche per motivi documentati e ragionevoli relativi alla protezione dei dati. In caso di opposizione, le Parti si consulteranno in buona fede per trovare una soluzione alternativa. La mancata opposizione entro il termine di preavviso equivale ad autorizzazione della modifica.

4.3. Obblighi e trasferimenti

Micso imporrà contrattualmente a ciascun Sub-responsabile i medesimi obblighi in materia di protezione dei dati previsti nel presente Accordo, in particolare per quanto riguarda la fornitura di garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate. Qualora il ricorso a un Sub-responsabile comporti un trasferimento di dati personali al di fuori dello Spazio Economico Europeo (SEE), Micso si impegna a porre in essere idonei strumenti di trasferimento ai sensi del Capo V del GDPR (artt. 44 e ss.), quali le Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea, e a condurre, ove necessario, una Valutazione d’Impatto sul Trasferimento (TIA).