Accordo per il trattamento dei dati

1. Parti e ambito di applicazione

Il presente accordo per il trattamento dei dati ("DPA") è stipulato tra il cliente che utilizza Bungaflow ("Titolare del trattamento") e Redor AS, numero di organizzazione [in corso di registrazione], gestore della piattaforma Bungaflow ("Responsabile del trattamento").

Il presente DPA disciplina il trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento ai sensi del Regolamento generale sulla protezione dei dati (GDPR), in particolare l'articolo 28. Il DPA costituisce parte integrante del contratto di servizio tra le parti e integra l'informativa sulla privacy e i termini di utilizzo.

2. Definizioni

• Dati personali: Qualsiasi informazione relativa a una persona fisica identificata o identificabile.
• Trattamento: Qualsiasi operazione compiuta su dati personali, inclusi raccolta, conservazione, modifica, consultazione, comunicazione o cancellazione.
• Titolare del trattamento:La parte che determina le finalità e i mezzi del trattamento dei dati personali (il cliente — proprietario dell'unità o amministratore dell'organizzazione).
• Responsabile del trattamento: La parte che tratta i dati personali per conto del Titolare del trattamento (Redor AS / Bungaflow).
• Sub-responsabile: Un terzo incaricato dal Responsabile del trattamento per svolgere attività di trattamento specifiche.
• Interessato: La persona fisica i cui dati personali sono oggetto di trattamento.
• Autorità di controllo:L'autorità pubblica indipendente incaricata di vigilare sull'applicazione della legislazione in materia di protezione dei dati (in Italia: il Garante per la protezione dei dati personali).

3. Oggetto e durata

Il Responsabile del trattamento tratta i dati personali per conto del Titolare del trattamento al fine di fornire la piattaforma Bungaflow, inclusi, a titolo esemplificativo: gestione delle prenotazioni, suddivisione delle spese, gestione delle attività, messaggistica, registro di manutenzione, archiviazione documenti, portale ospiti, assistente IA e funzionalità correlate.

Il trattamento dura finché il Titolare del trattamento mantiene un account attivo sulla piattaforma Bungaflow. In caso di cancellazione o eliminazione dell'account, il trattamento cessa e i dati vengono eliminati conformemente alla sezione 12 del presente accordo.

4. Tipi di dati personali trattati

Il Responsabile del trattamento tratta le seguenti categorie di dati personali per conto del Titolare del trattamento:

• Nomi e indirizzi e-mail dei membri dell'unità
• Dati di prenotazione (date, tipi, associazioni dei membri)
• Dati delle spese (importi, descrizioni, immagini delle ricevute)
• Messaggi e voci del libro degli ospiti
• Registri di manutenzione
• Assegnazioni di attività
• Dati del portale ospiti (nomi degli ospiti, informazioni sul check-in)
• Password WiFi (crittografate con AES-256-GCM)
• Conversazioni chat con IA
• Abbonamenti alle notifiche push
• Registri di attività

5. Categorie di interessati

Il trattamento riguarda le seguenti categorie di interessati:

• Membri dell'unità (amministratori e membri lite)
• Ospiti (tramite il portale ospiti)
• Membri dell'organizzazione

6. Obblighi del Responsabile del trattamento

Il Responsabile del trattamento si impegna a:

• Trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare del trattamento, salvo che il diritto dell'Unione o degli Stati membri lo richieda.
• Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
• Adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, tra cui:
  • Crittografia TLS per tutti i dati in transito
  • Crittografia AES-256-GCM per campi sensibili (ad es. password WiFi)
  • Header HSTS e Content Security Policy
  • Controllo degli accessi basato sui ruoli (ruoli Admin / Lite)
  • Pipeline CI/CD automatizzata con scansione di sicurezza
  • Sicurezza a livello di database con sicurezza a livello di riga e criteri di eliminazione a cascata
• Assistere il Titolare del trattamento nell'adempimento delle richieste degli interessati, incluso il diritto di accesso, rettifica, cancellazione, portabilità dei dati e limitazione del trattamento.
• Assistere il Titolare del trattamento nel garantire la conformità agli articoli 32-36 del GDPR (sicurezza, notifica delle violazioni, valutazioni d'impatto sulla protezione dei dati).
• A scelta del Titolare del trattamento, cancellare o restituire tutti i dati personali al termine della prestazione dei servizi, e cancellare le copie esistenti salvo che il diritto dell'Unione o degli Stati membri ne richieda la conservazione. La cancellazione dell'account rimuove tutti i dati dell'unità tramite eliminazione a cascata.
• Mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi previsti dall'articolo 28 del GDPR.

7. Sub-responsabili

Il Titolare del trattamento conferisce autorizzazione generale al Responsabile del trattamento per avvalersi dei seguenti sub-responsabili:

Il Responsabile del trattamento informerà il Titolare del trattamento di eventuali modifiche previste riguardo all'aggiunta o alla sostituzione di sub-responsabili, concedendo al Titolare del trattamento la possibilità di opporsi a tali modifiche entro 14 giorni dalla notifica.

8. Trasferimenti internazionali di dati

Alcuni sub-responsabili (Resend, OpenAI, rete edge di Vercel) possono trattare dati personali al di fuori dell'UE/SEE. Tali trasferimenti sono tutelati dal quadro UE-USA per la protezione dei dati e/o dalle clausole contrattuali tipo (SCC) adottate dalla Commissione europea, in conformità con il capo V del GDPR.

9. Notifica di violazione dei dati

Il Responsabile del trattamento notificherà il Titolare del trattamento senza indebito ritardo, e comunque entro 48 ore, dopo essere venuto a conoscenza di una violazione dei dati personali, ai sensi dell'articolo 33 del GDPR. La notifica includerà la natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le probabili conseguenze e le misure adottate o proposte per porre rimedio alla violazione.

10. Diritti di audit

Il Titolare del trattamento ha il diritto di verificare, o far verificare da un terzo indipendente, la conformità del Responsabile del trattamento al presente DPA e alla legislazione applicabile in materia di protezione dei dati. Il Responsabile del trattamento metterà a disposizione tutte le informazioni necessarie per dimostrare la conformità e collaborerà a tali verifiche.

11. Responsabilità

Ciascuna parte è responsabile dei danni causati da un trattamento in violazione del GDPR ai sensi dell'articolo 82. La responsabilità complessiva del Responsabile del trattamento ai sensi del presente DPA è limitata all'importo totale dei corrispettivi versati dal Titolare del trattamento al Responsabile del trattamento nei 12 mesi precedenti l'evento che ha dato origine al reclamo.

12. Durata e risoluzione

Il presente DPA entra in vigore quando il Titolare del trattamento crea un account sulla piattaforma Bungaflow e resta in vigore finché il Responsabile del trattamento tratta dati personali per conto del Titolare del trattamento. In caso di cessazione o cancellazione dell'account del Titolare del trattamento, tutti i dati personali vengono cancellati entro 30 giorni. La cancellazione avviene tramite eliminazione a cascata, che rimuove tutti i dati dell'unità associati (prenotazioni, spese, membri, messaggi, attività, documenti, ecc.).

13. Contatto

Per qualsiasi domanda relativa al presente accordo per il trattamento dei dati o al trattamento dei dati personali, contattaci all'indirizzo privacy@bungaflow.com.