Data Processing Agreement (DPA)
Versione template — Ultimo aggiornamento: 8 maggio 2026
Questo documento è un template DPA standard ai sensi dell'art. 28 GDPR per i clienti Vinacta tier Pro+ e Enterprise che richiedono un accordo formale di trattamento dati. Per i clienti Free e Pro, le condizioni standard di trattamento sono contenute nei Termini di servizio e nella Privacy Policy.
1. Definizioni
- Titolare: il Cliente Vinacta che inserisce dati personali nella piattaforma
- Responsabile: Vinacta, in qualità di provider del servizio
- Sub-responsabili: terze parti utilizzate da Vinacta per fornire il servizio (vedi sezione 6)
2. Oggetto del trattamento
Vinacta tratta dati personali per conto del Titolare al solo fine di erogare i servizi descritti nei Termini di servizio: gestione catalogo vini, cantina, carta vini digitale, ticket support, ecc.
3. Categorie di dati e di interessati
- Dati identificativi: nome, email, ruolo
- Dati operativi: catalogo, inventario, vendite, audit log
- Dati comportamentali: preferiti consumer (se rendi pubblica la carta vini)
- Categorie di interessati: dipendenti del Cliente, clienti del Cliente (consumer del ristorante)
4. Durata
Il trattamento dura per la durata del rapporto contrattuale + 30 giorni dopo la cessazione. Successivamente i dati sono cancellati o anonimizzati come da policy GDPR Art. 17.
5. Obblighi del Responsabile (Vinacta)
- Trattare i dati solo su istruzione documentata del Titolare
- Garantire confidenzialità del personale autorizzato
- Implementare misure tecniche e organizzative ex art. 32 GDPR
- Assistere il Titolare nei diritti degli interessati (Art. 15-22)
- Notificare data breach al Titolare entro 24 ore dalla scoperta
- Cancellare/restituire i dati al termine del contratto
- Permettere audit ragionevoli su appuntamento
6. Sub-responsabili autorizzati
- Hetzner (DE) — hosting infrastruttura
- Anthropic (US) — AI processing (con SCC + dati pseudonimizzati, attivato solo con feature flag)
- Stripe (IRL) — billing (attivato in tier Pro+)
- Sentry (US) — error tracking (con SCC + redaction PII)
Aggiornamenti alla lista sub-responsabili sono notificati al Titolare con preavviso di 30 giorni. Diritto di obiezione esercitabile entro tale termine.
7. Misure di sicurezza
- Cifratura TLS 1.3 in transito + AES-256 a riposo
- Multi-tenant isolation via Postgres Row-Level Security
- Backup nightly cifrati con retention 30gg
- Access control basato su ruoli (5 livelli)
- Audit log immutabile di ogni mutation
- Penetration test annuale programmato post-pilot Q3 2026
8. Trasferimenti extra-UE
I dati operativi sono ospitati in UE (server in Italia). Eventuali trasferimenti extra-UE avvengono solo per servizi specifici (AI, error tracking) con Standard Contractual Clauses (SCC) ex art. 46.2.c GDPR e dati pseudonimizzati.
9. Limitazione responsabilità
Le limitazioni di responsabilità sono quelle definite nei Termini di servizio.
10. Modifiche al DPA
Modifiche al template comunicate con preavviso di 60 giorni. Diritto di recesso del Titolare entro 30 giorni dalla notifica.
Per firmare un DPA personalizzato
Tier Pro+ e Enterprise possono richiedere un DPA firmato. Contattaci indicando "DPA" come oggetto.
Documento template generato. Per uso commerciale o per modifiche personalizzate, far validare da legale specializzato in GDPR/data protection.