Data Processing Agreement

1. Premessa

Il presente Data Processing Agreement disciplina il trattamento dei dati personali effettuato da Wadel per conto dei clienti/utenti che utilizzano la piattaforma per gestire workspace, cataloghi, ordini, prenotazioni, clienti, contenuti, pagamenti, comunicazioni o altre funzionalità SaaS.

Questo accordo si applica quando Wadel tratta dati personali in qualità di responsabile del trattamento per conto del cliente business, che agisce come titolare del trattamento rispetto ai propri clienti finali, utenti, collaboratori o altri interessati.

Il presente DPA integra i Termini di servizio, la Privacy Policy e le altre policy pubblicate nella sezione legale di Wadel.

2. Parti

Ai fini del presente DPA:

• Cliente/Utente: il soggetto che utilizza Wadel Platform per gestire la propria attività, workspace, moduli, cataloghi, ordini, prenotazioni o altri processi digitali.
• Wadel: il fornitore della piattaforma SaaS che tratta dati personali per conto del cliente business nei limiti necessari all’erogazione del servizio.
• Interessati: i clienti finali, utenti, collaboratori, contatti, operatori o altri soggetti i cui dati personali sono trattati tramite la piattaforma.

3. Ruoli privacy

Il cliente business agisce come titolare del trattamento per i dati personali dei propri clienti finali, utenti, dipendenti, collaboratori, fornitori o altri interessati trattati tramite Wadel Platform.

Wadel agisce come responsabile del trattamento quando tratta tali dati per conto del cliente business e secondo le istruzioni documentate del cliente, nei limiti necessari a fornire il servizio.

Wadel può agire come titolare autonomo per alcuni trattamenti propri, ad esempio gestione degli account Wadel, billing, sicurezza, prevenzione abusi, amministrazione della piattaforma, comunicazioni di servizio, adempimenti legali e tutela dei propri diritti. Tali trattamenti sono descritti nella Privacy Policy.

4. Oggetto e durata del trattamento

Il trattamento riguarda i dati personali caricati, generati, configurati o gestiti dal cliente business tramite Wadel.

Il trattamento ha durata pari al periodo di utilizzo del servizio da parte del cliente/utente e, successivamente, per il tempo necessario alla cancellazione, esportazione, backup, conservazione obbligatoria, tutela dei diritti o adempimento di obblighi legali.

5. Finalità del trattamento

Wadel tratta i dati personali per conto del cliente/utente esclusivamente per finalità connesse all’erogazione del servizio, tra cui:

• creazione e gestione di workspace e tenant;
• gestione di cataloghi, prodotti, servizi, prezzi e contenuti;
• gestione di ordini, prenotazioni, richieste o processi operativi;
• gestione di clienti finali, contatti e anagrafiche operative;
• autenticazione, autorizzazioni, ruoli e sicurezza;
• gestione di notifiche, comunicazioni e supporto tecnico;
• integrazione con provider di pagamento o altri servizi terzi;
• logging tecnico, audit, prevenzione abusi e diagnostica;
• backup, manutenzione, aggiornamenti e continuità del servizio;
• adempimento di obblighi legali applicabili al servizio.

6. Categorie di dati personali

Le categorie di dati personali trattate tramite Wadel possono includere, a seconda delle funzionalità attivate dal cliente business:

• dati identificativi, come nome e cognome;
• dati di contatto, come email, telefono e indirizzo;
• dati account, ruoli, permessi e identificativi utente;
• dati relativi a ordini, prenotazioni, richieste o acquisti;
• dati di consegna, ritiro, preferenze operative o note inserite;
• dati fiscali o commerciali, ove configurati dal cliente business;
• contenuti, comunicazioni, messaggi o file caricati nella piattaforma;
• dati tecnici, log, IP, user agent, eventi di sicurezza e audit log;
• dati di pagamento limitati a identificativi, stato pagamento, importi e riferimenti transazione, quando applicabile.

Wadel non richiede al cliente/utente di caricare dati particolari ai sensi dell’art. 9 GDPR, salvo che una specifica funzionalità o verticale lo preveda in futuro con adeguate condizioni e misure aggiuntive.

7. Categorie di interessati

Le categorie di interessati possono includere:

• clienti finali del cliente business;
• utenti registrati su storefront o servizi collegati;
• dipendenti, collaboratori o operatori del cliente business;
• contatti commerciali o richieste di supporto;
• fornitori, partner o soggetti coinvolti nei processi gestiti dal workspace.

8. Istruzioni documentate del cliente

Wadel tratta i dati personali secondo le istruzioni documentate del cliente business. Le istruzioni includono i presenti Termini, le configurazioni effettuate nella console, le funzionalità attivate, le richieste di supporto e gli accordi eventualmente sottoscritti.

Se Wadel ritiene che un’istruzione violi il GDPR o altre norme applicabili, potrà informare il cliente business e sospendere l’esecuzione dell’istruzione nei limiti necessari a evitare la violazione.

9. Obblighi di Wadel

In qualità di responsabile del trattamento, Wadel si impegna a:

• trattare i dati personali solo nei limiti necessari all’erogazione del servizio;
• non utilizzare i dati del cliente per finalità incompatibili con il servizio;
• garantire che le persone autorizzate al trattamento siano soggette a obblighi di riservatezza;
• adottare misure tecniche e organizzative adeguate al rischio;
• assistere il cliente, nei limiti ragionevoli, nella gestione delle richieste degli interessati;
• assistere il cliente, ove applicabile, negli obblighi relativi a sicurezza, data breach e valutazioni d’impatto;
• mettere a disposizione informazioni ragionevoli per dimostrare il rispetto del presente DPA;
• gestire i sub-responsabili secondo quanto previsto dal presente DPA.

10. Obblighi del cliente business

Il cliente business, in qualità di titolare del trattamento, è responsabile di:

• determinare finalità e basi giuridiche del trattamento;
• fornire informative privacy adeguate ai propri clienti finali e interessati;
• raccogliere eventuali consensi quando necessari;
• garantire che i dati caricati nella piattaforma siano leciti, corretti e pertinenti;
• gestire i diritti degli interessati quando rientrano nella propria responsabilità;
• configurare correttamente workspace, ruoli, accessi e permessi;
• evitare il caricamento di dati non necessari, eccessivi o non autorizzati;
• rispettare le normative settoriali applicabili alla propria attività.

11. Misure di sicurezza

Wadel adotta misure tecniche e organizzative ragionevoli e proporzionate al rischio del trattamento, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito, del contesto e delle finalità del trattamento.

Le misure possono includere, ove applicabile:

• autenticazione e gestione degli accessi;
• controllo dei ruoli e delle autorizzazioni;
• separazione logica dei tenant;
• protezione delle comunicazioni tramite protocolli sicuri;
• logging tecnico e audit degli eventi rilevanti;
• backup e procedure di ripristino;
• monitoraggio tecnico e gestione degli incidenti;
• limitazione degli accessi amministrativi;
• aggiornamenti, patching e manutenzione dell’infrastruttura;
• procedure interne per ridurre accessi non autorizzati o trattamenti non necessari.

Le misure potranno evolvere nel tempo in base allo sviluppo del prodotto, alla crescita della piattaforma e ai requisiti tecnici o normativi applicabili.

12. Sub-responsabili

Il cliente business autorizza Wadel a utilizzare sub-responsabili del trattamento per fornire il servizio, inclusi provider di hosting, cloud, database, autenticazione, pagamenti, email, storage, sicurezza, monitoraggio e infrastruttura.

Wadel si impegna a utilizzare fornitori che offrano garanzie ragionevoli in materia di protezione dei dati personali e a imporre obblighi coerenti con il presente DPA, nei limiti applicabili.

A titolo esemplificativo, i sub-responsabili o fornitori tecnici possono includere:

• Vercel, per hosting, deployment e infrastruttura frontend;
• provider cloud/backend/database utilizzati per API e persistenza;
• Stripe, per pagamenti e servizi finanziari collegati;
• provider di autenticazione e identity management;
• provider email e comunicazioni di servizio;
• strumenti di logging, sicurezza e monitoraggio tecnico.

Wadel potrà aggiornare l’elenco dei fornitori nel tempo, anche tramite una pagina dedicata ai sub-responsabili o aggiornando la presente sezione.

13. Trasferimenti internazionali

Alcuni fornitori o sub-responsabili potrebbero trattare dati personali al di fuori dello Spazio Economico Europeo.

In tali casi, Wadel si impegna a utilizzare strumenti di trasferimento riconosciuti dalla normativa applicabile, come decisioni di adeguatezza, clausole contrattuali standard o altri meccanismi previsti dal GDPR.

14. Assistenza per i diritti degli interessati

Wadel assiste il cliente business, nei limiti ragionevoli e tenendo conto della natura del trattamento, nella gestione delle richieste degli interessati relative ad accesso, rettifica, cancellazione, limitazione, portabilità, opposizione o altri diritti previsti dalla normativa applicabile.

Quando una richiesta riguarda dati gestiti dal cliente business, Wadel Platform potrà indirizzare l’interessato al cliente business o collaborare con il cliente per dare seguito alla richiesta.

15. Data breach

In caso di violazione dei dati personali che riguardi dati trattati per conto del cliente business, Wadel informerà il cliente senza ingiustificato ritardo dopo esserne venuta a conoscenza, nei limiti delle informazioni disponibili e degli obblighi applicabili.

La comunicazione potrà includere, ove disponibili, la natura dell’incidente, le categorie di dati coinvolti, le misure adottate o previste e le informazioni ragionevolmente necessarie al cliente per valutare eventuali obblighi di notifica.

Il cliente business resta responsabile di valutare se notificare la violazione all’autorità di controllo o agli interessati, quando agisce come titolare del trattamento.

16. Audit e informazioni

Wadel mette a disposizione del cliente business informazioni ragionevoli per dimostrare il rispetto del presente DPA, tenendo conto della natura del servizio, della sicurezza della piattaforma e della tutela degli altri clienti.

Eventuali richieste di audit dovranno essere ragionevoli, proporzionate, preventivamente concordate e non dovranno compromettere sicurezza, riservatezza, segreti commerciali, dati di altri clienti o continuità del servizio.

17. Cancellazione o restituzione dei dati

Alla cessazione del servizio, Wadel potrà cancellare o rendere disponibili per esportazione i dati trattati per conto del cliente business, secondo le funzionalità disponibili, gli accordi applicabili e i termini tecnici ragionevoli.

Alcuni dati potranno essere conservati per il tempo necessario ad adempiere obblighi legali, fiscali, contabili, sicurezza, prevenzione abusi, backup, audit o tutela dei diritti.

I dati presenti nei backup potranno essere eliminati secondo i cicli tecnici ordinari di conservazione e rotazione.

18. Dati particolari e dati ad alto rischio

Salvo accordo specifico o funzionalità espressamente prevista, il cliente business non deve caricare su Wadel dati appartenenti a categorie particolari ai sensi dell’art. 9 GDPR, dati giudiziari, dati sanitari, dati relativi a minori o altri dati ad alto rischio non necessari all’utilizzo ordinario del servizio.

Se il cliente business intende utilizzare Wadel in settori regolamentati o per trattamenti ad alto rischio, dovrà verificare preventivamente l’idoneità della piattaforma, adottare misure aggiuntive e, se necessario, concludere accordi specifici.

19. Limitazioni

Wadel non determina autonomamente le finalità commerciali, fiscali, organizzative o operative per cui il cliente business tratta i dati dei propri clienti finali tramite la piattaforma.

Il cliente business resta responsabile della conformità della propria attività, delle informative fornite ai clienti finali, delle basi giuridiche applicabili e delle configurazioni effettuate nella console.

20. Modifiche al DPA

Wadel può aggiornare il presente DPA per riflettere modifiche normative, tecniche, organizzative, infrastrutturali o relative ai fornitori utilizzati.

La versione aggiornata sarà pubblicata su questa pagina con indicazione della data di ultimo aggiornamento. In caso di modifiche rilevanti, Wadel potrà informare i clienti business tramite console, email o altri canali ragionevoli.

21. Collegamenti utili

Il presente DPA deve essere letto insieme alle altre policy della piattaforma:

• Privacy Policy
• Cookie Policy
• Termini di servizio
• Acceptable Use Policy
• Refund & Cancellation Policy
• Informazioni legali

22. Contatti privacy

Per richieste relative al presente DPA o al trattamento dei dati personali è possibile contattare Wadel ai seguenti recapiti: