Accordo ai sensi dell'art. 28 GDPR tra il ristorante (Titolare) e NB Studio (Responsabile del trattamento), relativo ai dati dei clienti finali raccolti tramite AurelTable.
Il Responsabile tratta i dati personali dei clienti finali esclusivamente per fornire al Titolare le funzionalità di AurelTable (gestione di prenotazioni e ordini, invio delle relative email, statistiche aggregate). L'accordo ha durata pari a quella del contratto di servizio e cessa con esso.
| Categorie di interessati | Tipi di dati personali |
|---|---|
| Clienti che effettuano una prenotazione | Nome, telefono, WhatsApp, email, numero di ospiti, note |
| Clienti che effettuano un ordine d'asporto/consegna | Nome, telefono, email, indirizzo di consegna, articoli ordinati |
Non sono previste categorie particolari di dati (art. 9 GDPR). Il Titolare si impegna a non inserire tali dati nei campi liberi (es. note).
NB Studio si impegna a:
Le istruzioni del Titolare sono rappresentate da questo accordo, dal contratto di servizio e dall'uso che il Titolare fa delle funzioni del pannello. Se il Responsabile ritiene che un'istruzione violi la normativa, ne informa il Titolare.
Il Titolare autorizza il Responsabile ad avvalersi dei sub-responsabili necessari all'erogazione del servizio, elencati di seguito. Il Responsabile impone ai sub-responsabili obblighi di protezione dei dati equivalenti a quelli del presente accordo e resta responsabile del loro operato. In caso di nuovi sub-responsabili, il Titolare ne sarà informato e potrà opporsi per motivi legittimi.
| Sub-responsabile | Attività | Ubicazione | Garanzia |
|---|---|---|---|
| Supabase (Supabase, Inc.) | Database e autenticazione. Dati ospitati su infrastruttura Amazon Web Services, regione di Londra (eu-west-2). | Dati: UK (Londra). Società: extra-UE (Singapore). | Adeguatezza UK + SCC |
| Amazon Web Services (AWS) | Infrastruttura cloud su cui opera Supabase | Società: USA. Dati: Londra (UK). | SCC + adeguatezza UK |
| Cloudflare | Hosting, CDN, anti-bot (Turnstile), archiviazione immagini (R2) | USA | SCC |
| Stripe | Pagamenti e caparre | USA / Irlanda | SCC |
| Resend | Invio email transazionali | USA | SCC |
| OpenAI | OCR menu, assistente AI, traduzioni | USA | SCC |
Il Responsabile assiste il Titolare, nei limiti tecnicamente possibili, per: dare seguito alle richieste degli interessati (accesso, rettifica, cancellazione, ecc.); garantire la sicurezza; gestire le violazioni di dati personali (data breach), informando il Titolare senza ingiustificato ritardo dopo esserne venuto a conoscenza, con le informazioni utili a consentire al Titolare le eventuali notifiche al Garante e agli interessati.
Eventuali trasferimenti verso Paesi terzi avvengono solo verso i sub-responsabili elencati e sulla base di una decisione di adeguatezza (Regno Unito) o delle Clausole Contrattuali Standard della Commissione Europea (fornitori USA).
Al termine del servizio, su scelta del Titolare, il Responsabile cancella o restituisce tutti i dati personali dei clienti finali e cancella le copie esistenti, salvo obblighi di legge di conservazione. Salvo diversa indicazione, i dati dell'account vengono cancellati entro 30 giorni dalla cessazione; prenotazioni e ordini sono comunque cancellati entro 12 mesi dalla loro data. Il Titolare può inoltre esportare i dati in autonomia dal pannello ("Scarica i miei dati").
Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi e consente verifiche ragionevoli, anche tramite documentazione, con preavviso e nel rispetto della riservatezza degli altri clienti.
Il presente accordo si intende sottoscritto e accettato dal Titolare al momento dell'attivazione e dell'utilizzo del servizio AurelTable, e costituisce parte integrante del contratto e dei Termini di Servizio.
