Accordo sul trattamento dei dati

1. Oggetto e durata

L'oggetto del trattamento è la fornitura della piattaforma di liberatorie digitali WaiverKit al Titolare. Il trattamento continua per tutto il tempo in cui il Titolare mantiene un account attivo e per qualsiasi periodo di conservazione post-risoluzione applicabile descritto nella Sezione 11.

2. Natura e finalità del trattamento

Il Responsabile tratta i dati personali esclusivamente per ospitare, fornire, proteggere e supportare il servizio WaiverKit: raccolta e archiviazione di liberatorie firmate, generazione di documenti PDF, invio di email transazionali, autenticazione degli utenti, elaborazione dei pagamenti e produzione di analisi per conto del Titolare.

3. Tipi di dati personali e categorie di interessati

I dati personali trattati possono includere:

• Dati identificativi del firmatario (nome, data di nascita, indirizzo, email, telefono)
• Immagini di firma e firme digitate
• Dati del tutore per i firmatari minori
• Dati dell'account utente aziendale (nome, email, identificativi di autenticazione, indirizzo IP)

Le categorie di interessati includono: partecipanti che firmano liberatorie, tutori di partecipanti minori e dipendenti o utenti autorizzati del Titolare.

4. Obblighi e diritti del Titolare

Il Titolare è responsabile della liceità della raccolta e del trattamento dei dati personali, dell'ottenimento di tutti i consensi necessari dagli interessati, dell'accuratezza delle istruzioni fornite al Responsabile e di garantire che i modelli di liberatoria e i flussi di lavoro configurati siano conformi alla legge applicabile. Il Titolare conserva tutti i diritti sui dati personali e può emettere istruzioni documentate al Responsabile in qualsiasi momento.

5. Sub-responsabili

Il Titolare autorizza il Responsabile a coinvolgere i seguenti sub-responsabili per fornire il servizio:

• Clerk (autenticazione, gestione delle sessioni e directory utenti).
• Stripe (elaborazione dei pagamenti e fatturazione degli abbonamenti).
• Resend (consegna di email transazionali).
• Cloudflare R2 (archiviazione di oggetti per immagini di firme e artefatti PDF).
• Vercel (hosting dell'applicazione, rete edge e routing delle richieste).
• Neon (Postgres) (hosting gestito del database Postgres per i dati strutturati).

Il Responsabile notificherà al Titolare qualsiasi aggiunta o sostituzione prevista di sub-responsabili con una ragionevole possibilità di opposizione per motivi legittimi.

6. Misure di sicurezza

Il Responsabile attua misure tecniche e organizzative appropriate per proteggere i dati personali, tra cui:

• Crittografia in transito (TLS 1.2+) e a riposo per database e archiviazione di oggetti
• Controlli di accesso basati su ruoli e IAM con privilegi minimi su tutta l'infrastruttura
• Isolamento tra tenant applicato a livello di applicazione e query
• Registro di audit delle azioni amministrative e dell'accesso ai PII
• Backup regolari, scansione automatica delle dipendenze e procedure di risposta agli incidenti

7. Diritti dell'interessato

Tenendo conto della natura del trattamento, il Responsabile assisterà il Titolare con misure tecniche e organizzative appropriate per adempiere all'obbligo del Titolare di rispondere alle richieste degli interessati che esercitano i loro diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione ai sensi degli articoli da 15 a 22 del GDPR.

8. Notifica di violazione dei dati

Il Responsabile notificherà al Titolare senza indebito ritardo e in ogni caso entro 72 ore dalla presa di conoscenza di una violazione dei dati personali che interessa i dati del Titolare. La notifica descriverà la natura della violazione, le probabili conseguenze, le misure adottate o proposte e un punto di contatto per ulteriori informazioni.

9. Trasferimenti internazionali

Quando i dati personali vengono trasferiti al di fuori dello Spazio economico europeo, del Regno Unito o della Svizzera verso un paese senza decisione di adeguatezza, tali trasferimenti sono regolati dalle Clausole contrattuali standard (SCC) della Commissione europea e, ove applicabile, dall'Addendum sul trasferimento internazionale di dati del Regno Unito e dall'addendum svizzero, insieme a eventuali misure supplementari richieste dalla valutazione d'impatto sul trasferimento.

10. Diritti di audit

Il Responsabile metterà a disposizione del Titolare tutte le informazioni ragionevolmente necessarie per dimostrare la conformità al presente DPA e consentirà e contribuirà ad audit, comprese ispezioni, condotti dal Titolare o da un revisore incaricato dal Titolare, fatti salvi i ragionevoli obblighi di riservatezza e non più di una volta per anno solare, salvo il caso di un incidente di sicurezza documentato o di una richiesta normativa.

11. Risoluzione, restituzione e cancellazione

Al termine dell'accordo, il Responsabile, a scelta del Titolare, cancellerà o restituirà tutti i dati personali trattati per conto del Titolare e cancellerà le copie esistenti, salvo che la legge applicabile richieda una conservazione continua. I backup contenenti dati personali verranno cancellati nel normale corso del ciclo di conservazione dei backup.