Eativia

Accordo per il trattamento dei dati (DPA)

Versione 1.0.0 — ultimo aggiornamento: 6 maggio 2026

Il presente accordo («DPA») è stipulato ai sensi dell'art. 28 del Regolamento (UE) 2016/679 fra il Cliente Ristoratore («Titolare») ed Eativia («Responsabile»), e disciplina il trattamento dei dati personali dei Visitatori del menu pubblico per conto del Titolare. Il DPA è parte integrante dei Termini di servizio e si intende accettato all'atto della sottoscrizione dell'abbonamento.

1. Oggetto e durata

Il Responsabile tratta, per conto del Titolare, i dati personali dei Visitatori del menu digitale del Titolare, esclusivamente per le finalità descritte al paragrafo 3. Il trattamento ha la stessa durata del contratto principale e cessa alla risoluzione dell'abbonamento, salvo gli obblighi di restituzione e cancellazione di cui al paragrafo 8.

2. Categorie di interessati e dati

  • Interessati: Visitatori del menu pubblico (clienti finali del Titolare).
  • Dati: identificatore di sessione anonimo, tipo di dispositivo, sorgente di traffico, eventi di navigazione, eventuale feedback (rating + messaggio facoltativo). Nessun dato identificativo diretto.

3. Finalità e istruzioni del Titolare

Il Responsabile tratta i dati esclusivamente per:

  • Esporre il menu del Titolare ai Visitatori e tracciarne l'interazione in forma aggregata e anonima;
  • Fornire al Titolare statistiche di utilizzo del proprio menu;
  • Raccogliere e archiviare gli eventuali feedback dei Visitatori;
  • Garantire la sicurezza, la disponibilità e l'integrità della piattaforma.

Le presenti finalità costituiscono le istruzioni documentate del Titolare ex art. 28, par. 3, lett. a) GDPR. Eventuali ulteriori istruzioni andranno comunicate per iscritto a support@eativia.com.

4. Riservatezza

Il Responsabile si impegna affinché ogni soggetto autorizzato al trattamento sia vincolato da idoneo obbligo di riservatezza, tramite contratti di lavoro, accordi di non divulgazione o atti equivalenti.

5. Misure di sicurezza

Il Responsabile adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, fra cui:

  • cifratura TLS 1.2+ in transito e at-rest sui database gestiti;
  • hashing delle credenziali (bcrypt, cost 12) e degli indirizzi IP conservati per finalità anti-spam (SHA-256);
  • controllo degli accessi least-privilege, autenticazione MFA per il personale con accesso amministrativo;
  • backup automatici giornalieri, RPO target 24h, RTO target 8h;
  • rate-limiting e WAF a tutela dell'endpoint pubblico del menu;
  • logging delle azioni amministrative e revisione periodica dei permessi.

6. Sub-responsabili

Il Titolare autorizza il Responsabile a designare i seguenti sub-responsabili, già parte dell'infrastruttura del Servizio:

  • Supabase, Inc. — database, storage, autenticazione.
  • Vercel, Inc. — hosting front-end e funzioni serverless.
  • Stripe Payments Europe, Ltd. — pagamenti e fatturazione.
  • Google Ireland, Ltd. — autenticazione OAuth (opzionale).
  • Resend, Inc. (USA) — invio di email transazionali (verifica email, recupero password, inviti collaboratori, notifiche di sistema). Trasferimento extra-UE coperto da Standard Contractual Clauses. Politica privacy: resend.com/legal/privacy-policy.

Eventuali variazioni saranno comunicate al Titolare tramite aggiornamento di questa pagina con preavviso di 30 giorni; il Titolare potrà opporsi per giustificato motivo, in tal caso le parti collaboreranno per individuare una soluzione alternativa o, in difetto, il Titolare potrà recedere dal contratto principale.

7. Trasferimenti extra-UE

I trasferimenti verso fornitori extra-UE sono coperti dalle Standard Contractual Clauses approvate dalla Commissione UE e, ove applicabile, dal EU-US Data Privacy Framework.

8. Restituzione e cancellazione dei dati

Al termine del contratto, su richiesta del Titolare il Responsabile cancellerà o restituirà tutti i dati personali oggetto del trattamento, salvo gli obblighi di legge che impongano la conservazione (es. art. 2220 c.c.). Senza richiesta esplicita, i dati saranno comunque cancellati entro 90 giorni dalla cessazione dell'abbonamento.

9. Assistenza al Titolare

Il Responsabile assiste il Titolare, nella misura del possibile e tenuto conto della natura del trattamento, nell'adempimento degli obblighi di:

  • riscontro alle richieste degli interessati (artt. 15-22 GDPR);
  • notifica delle violazioni di dati personali entro 24 ore dalla conoscenza dell'evento (art. 33 GDPR);
  • valutazioni d'impatto e consultazioni preventive.

10. Audit

Il Titolare può richiedere, con preavviso scritto di almeno 30 giorni e non più di una volta l'anno (salvo casi di violazione conclamata), informazioni utili a verificare il rispetto degli obblighi del Responsabile. Eativia mette a disposizione, in alternativa ad audit in loco, le proprie certificazioni e i rapporti di audit dei sub-responsabili infrastrutturali.

11. Foro competente

Il presente DPA è regolato dalla legge italiana. Per ogni controversia è competente in via esclusiva il foro indicato nei Termini di servizio.