Definizioni
"GDPR": Reg. (UE) 2016/679. "Codice Privacy": D.lgs. 196/2003 e s.m.i. "Dati": i dati personali trattati da TOWRO per conto del Cliente. "Titolare", "Responsabile", "Sub-responsabile", "Interessato", "Violazione" hanno il significato di cui al GDPR.
1Parti e ruoli
- Titolare del trattamento: il Cliente (dati identificativi nel contratto).
- Responsabile del trattamento: TOWRO S.r.l.s. a socio unico, P.IVA e C.F. 12731220013, sede in Torino, PEC towro.media@pec.it, email staff@towro.it.
TOWRO tratta i Dati esclusivamente per conto del Titolare e non ne determina finalità e mezzi.
2Oggetto, durata, natura e finalità
TOWRO tratta i Dati al solo fine di erogare i Servizi sottoscritti (gestione contatti/clienti, CRM, campagne, prenotazioni, automazioni). Natura, finalità, categorie di interessati e di dati sono dettagliate nell'Allegato A. La durata coincide con quella del contratto di servizio.
3Istruzioni documentate
TOWRO tratta i Dati solo su istruzione documentata del Titolare (incluso il presente accordo e il contratto), anche per i trasferimenti extra-UE. Se ritiene che un'istruzione violi il GDPR o altre norme, TOWRO ne informa immediatamente il Titolare.
4Obblighi del Responsabile (art. 28.3)
TOWRO si impegna a: (a) trattare i Dati solo su istruzione; (b) garantire la riservatezza delle persone autorizzate; (c) adottare le misure di sicurezza ex art. 32 (Allegato B); (d) rispettare le condizioni per i sub-responsabili (art. 7); (e) assistere il Titolare per dar seguito alle richieste degli interessati (artt. 12-22); (f) assistere il Titolare negli obblighi ex artt. 32-36; (g) cancellare o restituire i Dati a fine rapporto (art. 12); (h) mettere a disposizione le informazioni per dimostrare la conformità e consentire audit (art. 13).
5Riservatezza
Le persone autorizzate al trattamento sono vincolate a un adeguato obbligo legale o contrattuale di riservatezza.
6Misure di sicurezza
TOWRO adotta misure tecniche e organizzative adeguate al rischio (art. 32), descritte nell'Allegato B, riesaminandole periodicamente.
7Sub-responsabili
Il Titolare conferisce autorizzazione generale all'impiego dei sub-responsabili elencati nell'Allegato C. TOWRO comunica in anticipo eventuali modifiche; il Titolare può opporsi entro 15 giorni per motivi legittimi. TOWRO impone ai sub-responsabili, per contratto, obblighi di protezione equivalenti a quelli del presente accordo, restando responsabile del loro operato.
8Assistenza al Titolare
TOWRO assiste il Titolare, con misure tecniche e organizzative adeguate, a rispondere alle richieste di esercizio dei diritti degli interessati e a garantire la sicurezza, la notifica delle violazioni e le eventuali valutazioni d'impatto (DPIA).
9Violazioni dei dati (Data Breach)
TOWRO notifica al Titolare ogni Violazione senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta, fornendo natura della violazione, categorie e numero approssimativo di interessati e dati, probabili conseguenze e misure adottate/proposte, così da consentire al Titolare gli adempimenti ex artt. 33-34.
10Trasferimenti extra-UE
Eventuali trasferimenti avvengono solo verso Paesi con decisione di adeguatezza o sulla base di Clausole Contrattuali Tipo (SCC) della Commissione UE, con misure supplementari ove necessarie.
11Registro dei trattamenti
TOWRO tiene il registro dei trattamenti svolti per conto del Titolare ex art. 30.2 GDPR.
12Cancellazione o restituzione
Al termine del rapporto, a scelta del Titolare, TOWRO cancella o restituisce tutti i Dati entro 30 giorni e cancella le copie esistenti, salvo obblighi di conservazione di legge.
13Audit e ispezioni
TOWRO mette a disposizione le informazioni necessarie a dimostrare la conformità e consente, con ragionevole preavviso e senza pregiudizio per la sicurezza/riservatezza di terzi, audit del Titolare o di un incaricato.
14Responsabilità
Ciascuna parte risponde dei danni cagionati dal trattamento per inosservanza degli obblighi ad essa imputabili, nei limiti dell'art. 82 GDPR e del contratto di servizio.
15Legge applicabile e foro
Il presente accordo è regolato dalla legge italiana; foro esclusivo Torino, in coerenza con il contratto di servizio.
All. ADettagli del trattamento
- Oggetto: erogazione dei Servizi sottoscritti.
- Durata: durata del contratto.
- Natura e finalità: gestione di marketing, CRM, prenotazioni, comunicazioni e automazioni per conto del Titolare.
- Categorie di interessati: clienti, prospect, contatti e utenti del Titolare.
- Categorie di dati: dati anagrafici e di contatto, dati di comunicazione, dati di acquisto/prenotazione, dati di navigazione e marketing. Nessuna categoria particolare (art. 9) salvo diversa pattuizione scritta.
All. BMisure di sicurezza (art. 32)
Controllo accessi basato sui ruoli e autenticazione (ove possibile a più fattori); cifratura in transito (TLS) e, ove applicabile, a riposo; backup periodici e procedure di continuità/ripristino; segregazione degli ambienti e dei ruoli; log e monitoraggio degli accessi; gestione delle credenziali e politiche di password; gestione documentata degli incidenti; formazione del personale autorizzato; valutazione periodica dell'efficacia delle misure. (Dettaglio tecnico allineato all'infrastruttura Vercel/TOWRO Core — da finalizzare.)
All. CSub-responsabili autorizzati
| Sub-responsabile | Servizio | Sede / base trasferimento |
|---|---|---|
| HighLevel (LeadConnector) | Piattaforma marketing/CRM alla base di TOWRO Boost | USA — SCC |
| Vercel | Hosting / applicazione | USA-UE — SCC |
| Cloudflare | DNS / sicurezza di rete / CDN | UE-USA — SCC |
| Zoho | Posta elettronica | UE/extra-UE — SCC |
| Stripe | Servizi di pagamento | UE-USA — SCC |
| Statistiche / advertising / Business Profile | UE-USA — SCC | |
| Meta | Advertising / remarketing | UE-USA — SCC |
(Il nome del fornitore della piattaforma è indicato qui, in sede contrattuale, come richiesto dalla trasparenza GDPR; nelle comunicazioni pubbliche resta "TOWRO Boost".)
Titolare (Cliente) — Luogo, data, firma: __________________________
Responsabile — TOWRO S.r.l.s. a socio unico — Luogo, data, firma: __________________________