Accordo sul Trattamento dei Dati (DPA)
1. Ambito e ruoli
Il presente Accordo sul Trattamento dei Dati ("DPA") è concluso tra l'Organizzatore (il "Titolare") e Rinoova S.r.L., P.IVA IT18432621003, sede legale Via Jacopo della Quercia 32, 00155 Roma (RM), Italia (il "Responsabile", "Rinoova"), e costituisce parte integrante dei Termini di Servizio. Si applica ogni volta che il Titolare, utilizzando il servizio Rifesta (il "Servizio"), determina il trattamento da parte di Rinoova dei dati personali degli Ospiti dell'evento e di altre persone ("Dati Personali del Titolare"). È disciplinato dall'articolo 28 del Regolamento (UE) 2016/679 ("GDPR"). Per i dati di account, fatturazione e sicurezza Rinoova agisce come titolare autonomo ai sensi della propria Informativa sulla Privacy e il presente DPA non si applica a tale trattamento.
2. Oggetto, durata, natura e finalità
Rinoova tratta i Dati Personali del Titolare per fornire il Servizio — raccolta, archiviazione, elaborazione, visualizzazione agli Ospiti dell'evento e sincronizzazione dei Contenuti dell'evento verso le destinazioni scelte dal Titolare — come descritto nell'Allegato 1. Il trattamento dura per tutta la vigenza dei Termini di Servizio e fino alla cancellazione di cui alla Sezione 9.
3. Obblighi del Responsabile
Rinoova si impegna a:
- trattare i Dati Personali del Titolare solo su istruzioni documentate del Titolare, incluse quelle incorporate nel Servizio e nel presente DPA, salvo che lo richieda il diritto UE o di uno Stato membro (informando in tal caso il Titolare, salvo che la legge lo vieti);
- garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza;
- attuare le misure tecniche e organizzative di sicurezza indicate nell'Allegato 2 (art. 32 GDPR);
- assistere il Titolare, con misure adeguate, nel dare seguito alle richieste degli interessati (artt. 12-23 GDPR);
- assistere il Titolare nel garantire il rispetto degli obblighi in materia di sicurezza, notifica delle violazioni, valutazioni d'impatto e consultazione preventiva (artt. 32-36 GDPR);
- mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto dell'art. 28 e consentire e contribuire alle attività di audit di cui alla Sezione 8;
- informare immediatamente il Titolare qualora ritenga che un'istruzione violi la normativa sulla protezione dei dati.
4. Obblighi del Titolare
Il Titolare garantisce di disporre di una base giuridica per raccogliere e far trattare i Dati Personali del Titolare, di aver fornito ai propri Ospiti l'informativa richiesta e che le proprie istruzioni a Rinoova sono conformi alla normativa sulla protezione dei dati. Il Titolare è responsabile dell'esattezza e della liceità dei dati caricati da sé e dai propri Ospiti.
5. Sub-responsabili
Il Titolare conferisce a Rinoova un'autorizzazione generale a ricorrere a sub-responsabili. I sub-responsabili attuali sono elencati nell'Allegato 3. Rinoova informerà il Titolare di qualunque aggiunta o sostituzione di un sub-responsabile con ragionevole preavviso, dando al Titolare la possibilità di opporsi per ragionevoli motivi di protezione dei dati. Rinoova impone contrattualmente a ciascun sub-responsabile obblighi di protezione dei dati equivalenti a quelli del presente DPA e resta pienamente responsabile verso il Titolare dell'adempimento degli obblighi di ciascun sub-responsabile.
6. Trasferimenti internazionali
Qualora il trattamento comporti un trasferimento di Dati Personali del Titolare fuori dal SEE, Rinoova assicura un meccanismo di trasferimento adeguato, quali le Clausole Contrattuali Standard della Commissione Europea o una decisione di adeguatezza, come ulteriormente descritto nell'Informativa sulla Privacy.
7. Violazione dei dati personali
Rinoova notifica al Titolare, senza ingiustificato ritardo dopo esserne venuta a conoscenza, ogni violazione dei dati personali che riguardi i Dati Personali del Titolare, fornendo le informazioni ragionevolmente disponibili per consentire al Titolare di adempiere ai propri obblighi di notifica ai sensi degli artt. 33-34 GDPR.
8. Richieste degli interessati e audit
Se Rinoova riceve una richiesta da un interessato relativa ai Dati Personali del Titolare, la inoltra al Titolare e non vi dà riscontro direttamente, se non per indirizzare l'interessato al Titolare. Il Titolare può verificare il rispetto del presente DPA da parte di Rinoova esaminando la documentazione e le informazioni di sicurezza messe a disposizione; ove ciò non sia sufficiente, il Titolare può richiedere un audit con ragionevole preavviso, non più di una volta l'anno (salvo giustificato motivo o richiesta di un'autorità di controllo), a spese del Titolare e nel rispetto della riservatezza.
9. Cancellazione o restituzione dei dati
Alla cessazione del Servizio, o prima su richiesta scritta del Titolare, Rinoova cancella o restituisce i Dati Personali del Titolare a scelta del Titolare, e cancella le copie esistenti, salvo che la conservazione sia richiesta dalla legge. I Contenuti dell'evento sono in ogni caso cancellati secondo il periodo di conservazione del piano del Titolare. Le copie presenti nei backup cifrati di routine sono cancellate alla rotazione dei backup.
10. Responsabilità
La responsabilità derivante dal presente DPA è soggetta alle limitazioni ed esclusioni previste dai Termini di Servizio. Il presente DPA non estende la responsabilità complessiva di Rinoova oltre il limite ivi indicato, salvo nella misura in cui tale limitazione non sia consentita da norme inderogabili.
11. Durata e legge applicabile
Il presente DPA acquista efficacia con l'accettazione da parte del Titolare (anche all'atto dell'attivazione di un piano a pagamento) e resta in vigore finché Rinoova tratta Dati Personali del Titolare. È disciplinato dalla legge italiana; in caso di discrepanza tra le versioni linguistiche prevale la versione inglese.
Allegato 1 — Dettagli del trattamento
- Oggetto: fornitura del servizio Rifesta di raccolta foto di eventi.
- Durata: la vigenza dei Termini di Servizio, oltre al periodo di conservazione del piano del Titolare.
- Natura e finalità: raccolta, hosting, archiviazione, elaborazione, visualizzazione agli Ospiti e sincronizzazione dei Contenuti dell'evento.
- Tipi di dati personali: dati identificativi e di contatto degli Ospiti; foto e video e relativi metadati, che possono ritrarre persone identificabili.
- Categorie di interessati: gli Ospiti degli eventi del Titolare e altre persone ritratte nei o associate ai Contenuti.
Allegato 2 — Misure tecniche e organizzative
- Cifratura dei dati in transito (TLS); archiviazione cifrata dei token di accesso di terze parti.
- Isolamento dei tenant a livello di database tramite row-level security.
- Credenziali sottoposte ad hash; accessi a privilegio minimo per personale e servizi.
- Audit log immutabile degli eventi di autenticazione e di consenso.
- Gestione transitoria degli originali caricati e conservazione configurabile.
- Aggiornamenti, backup e monitoraggio regolari.
Allegato 3 — Sub-responsabili
| Sub-responsabile | Finalità | Ubicazione |
|---|---|---|
| Cloudflare R2 | Storage oggetti media | Regione UE |
| OVHcloud | Hosting, elaborazione e database | Unione Europea (SEE) |
| Stripe | Pagamenti e fatturazione | Irlanda / USA |
| Google (Google Workspace) | Invio email transazionali | UE / USA |
| Google LLC | Esportazione opzionale a Google Photos, attivata dal Titolare | USA |
Google Analytics è utilizzato da Rinoova come titolare per i propri siti e non è un sub-responsabile dei Dati Personali del Titolare.
Contatti
Rinoova S.r.L. — legal@rinoova.com.