ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR)
Adamo Paylink – BitBoss S.r.l.
1.1 Il presente Data Processing Agreement (di seguito "DPA") disciplina il trattamento di dati personali svolto da BitBoss S.r.l. (di seguito "Responsabile del Trattamento" o "Responsabile" o "Fornitore"), necessario all'erogazione dei servizi offerti tramite la piattaforma Adamo Paylink (di seguito i "Servizi") al Cliente (di seguito "Titolare del Trattamento" o "Titolare" o "Cliente").
1.2 Il presente DPA è parte integrante dei Termini e Condizioni di Adamo Paylink (disponibili all'indirizzo https://paylink.adamogestionale.it/termini-e-condizioni) e viene accettato dall'utente in fase di registrazione alla piattaforma. L'accettazione esplicita in fase di registrazione equivale a sottoscrizione del presente accordo ai sensi delle normative vigenti.
1.3 Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare, il Cliente potrà agire come Responsabile del Trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina del Fornitore quale ulteriore Responsabile, sono state autorizzate dal relativo Titolare del trattamento.
2.1 Il presente DPA garantisce che il trattamento dei Dati svolto dal Fornitore sia conforme al Regolamento UE 679/2016 ("GDPR") e alla normativa italiana ed europea vigente in materia di protezione dei dati personali (la "Legge Applicabile").
Il Responsabile tratta i Dati personali esclusivamente per le seguenti finalità:
• erogazione dei Servizi Adamo Paylink, inclusa la generazione e gestione dei link di pagamento;
• raccolta dei dati fiscali e personali inseriti dai clienti finali del Titolare attraverso le pagine di checkout generate da Adamo Paylink;
• trasmissione dei dati fiscali e di transazione ad Adamo Gestionale, se l'integrazione è attivata dal Titolare;
• invio di comunicazioni transazionali e operative via email;
• monitoraggio tecnico, sicurezza e prevenzione di utilizzi impropri della piattaforma.
Il Responsabile tratta, per conto del Titolare, le seguenti categorie di dati personali, dettagliate nel Sub-Allegato A.
I dati personali e fiscali (nome, cognome, codice fiscale, P.IVA, indirizzo, PEC, Codice Destinatario SDI) inseriti dai clienti finali del Titolare nelle pagine di checkout generate da Adamo Paylink vengono raccolti per conto del Titolare e nell'interesse esclusivo del Titolare medesimo, al fine di consentire la generazione della fattura elettronica. In relazione a tali dati, il Titolare è il Titolare del Trattamento e BitBoss S.r.l. agisce come Responsabile del Trattamento ai sensi dell'art. 28 GDPR. BitBoss S.r.l. non utilizza tali dati per finalità proprie né li condivide con soggetti terzi al di fuori di quanto previsto dal presente DPA.
4.1 Il Responsabile del Trattamento tratta i dati personali esclusivamente in conformità con le istruzioni documentate del Titolare, come specificate nei Termini e Condizioni di Adamo Paylink e nel presente DPA, salvo diversa disposizione della Legge Applicabile.
4.2 Il Titolare garantisce di trattare i dati personali in conformità alla normativa vigente e di disporre di adeguata base giuridica per la raccolta e il trattamento dei dati dei propri clienti finali tramite la piattaforma Adamo Paylink. Il Titolare è l'unico responsabile dell'esattezza, della qualità e della liceità dei dati caricati o raccolti tramite la piattaforma.
4.3 Il Responsabile informa il Titolare qualora ritenga che le istruzioni ricevute violino la Legge Applicabile, sospendendo l'esecuzione di tali istruzioni fino al loro riconoscimento come legittime.
5.1.1 Il Responsabile tratta tutti i dati personali come informazioni strettamente riservate. I dati non possono essere copiati, trasferiti o trattati in difformità dalle istruzioni del Titolare, salvo autorizzazione scritta.
5.1.2 Il personale del Responsabile autorizzato al trattamento dei dati è soggetto a obbligo contrattuale di riservatezza e ha ricevuto adeguata formazione in materia di protezione dei dati.
5.1.3 I dati personali sono trattati esclusivamente dal personale strettamente necessario all'erogazione dei Servizi.
5.2.1 Il Responsabile adotta le misure tecniche e organizzative appropriate ai sensi dell'art. 32 GDPR, dettagliate nel Sub-Allegato B. Tali misure possono essere aggiornate nel tempo, a condizione che il livello complessivo di sicurezza non venga ridotto.
5.3.1 Ove necessario e pertinente, il Responsabile assiste il Titolare nella predisposizione di valutazioni d'impatto sulla protezione dei dati (DPIA) ai sensi dell'art. 35 GDPR e in eventuali consultazioni preventive ai sensi dell'art. 36 GDPR.
5.4.1 Qualora il Titolare riceva una richiesta da un interessato per l'esercizio dei diritti previsti dagli artt. 15-22 GDPR, il Responsabile assiste il Titolare fornendo, entro un termine ragionevole, le informazioni e la documentazione necessarie.
5.4.2 Qualora il Responsabile riceva direttamente una richiesta da un interessato relativa a dati trattati per conto del Titolare, il Responsabile inoltra tempestivamente la richiesta al Titolare senza rispondere direttamente all'interessato.
5.5.1 In caso di violazione dei dati personali che possa comportare distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai dati trattati per conto del Titolare, il Responsabile notifica la violazione al Titolare entro 48 (quarantotto) ore dal momento in cui ne viene a conoscenza.
5.5.2 La notifica include, nella misura disponibile: natura della violazione, categorie e numero approssimativo di interessati coinvolti, categorie e numero approssimativo di registrazioni coinvolte, misure adottate o proposte per rimediare alla violazione.
5.5.3 Il Responsabile compie ogni ragionevole sforzo per identificare la causa della violazione e adottare le misure necessarie a impedirne il ripetersi.
5.6.1 Su richiesta del Titolare, il Responsabile mette a disposizione tutte le informazioni necessarie a dimostrare la conformità al presente DPA.
5.6.2 Il Responsabile riconosce il diritto del Titolare di effettuare audit, direttamente o tramite revisori esterni previamente vincolati da obblighi di riservatezza, per verificare la conformità agli obblighi del presente DPA.
5.6.3 Il Responsabile risponde alle richieste di documentazione o audit entro 30 (trenta) giorni dal ricevimento della richiesta scritta.
5.7.1 I dati sono ospitati su server localizzati in Germania (Francoforte) nell'ambito dello Spazio Economico Europeo (SEE). Eventuali trasferimenti al di fuori del SEE, necessari per l'utilizzo di specifici sub-responsabili, avvengono nel rispetto degli artt. 44-50 GDPR, mediante Clausole Contrattuali Standard o altri strumenti di garanzia adeguati.
6.1 Con l'accettazione del presente DPA, il Titolare conferisce al Responsabile l'autorizzazione generale a nominare i sub-responsabili elencati nel Sub-Allegato C, senza necessità di ulteriori autorizzazioni scritte specifiche.
6.2 Il Responsabile notifica al Titolare l'intenzione di nominare un nuovo sub-responsabile con congruo preavviso. Il Titolare può opporsi per iscritto entro 10 (dieci) giorni lavorativi dalla notifica. L'assenza di obiezioni equivale a consenso.
6.3 Qualora il Titolare si opponga a un nuovo sub-responsabile e il Responsabile non possa accogliere l'obiezione, il Titolare può recedere dal contratto di servizio con comunicazione scritta.
6.4 Il Responsabile stipula con ciascun sub-responsabile un accordo che prevede obblighi di protezione dei dati almeno equivalenti a quelli del presente DPA e ne verifica periodicamente la conformità.
7.1 La responsabilità del Responsabile nei confronti del Titolare per perdite causate da o connesse alle disposizioni del presente DPA è soggetta ai limiti stabiliti nei Termini e Condizioni di Adamo Paylink.
8.1 Il presente DPA rimane in vigore per tutta la durata del rapporto contrattuale relativo ai Servizi Adamo Paylink e cessa automaticamente alla sua risoluzione o scadenza.
9.1 Alla cessazione del contratto di servizio, il Responsabile cancella o restituisce al Titolare, secondo la sua scelta, tutti i dati personali trattati per conto del Titolare, entro 30 (trenta) giorni dalla cessazione, salvo diverso obbligo di conservazione previsto dalla Legge Applicabile.
9.2 I file caricati dall'utente sulla piattaforma (documenti, allegati digitali) sono conservati sul server fino alla cancellazione del link o dell'account da parte del Titolare, e comunque non oltre 30 giorni dalla cessazione del contratto. Il Titolare è responsabile dell'esportazione dei propri dati entro tale termine.
9.3 I dati fiscali e di transazione che devono essere conservati per obbligo di legge (es. 10 anni per le fatture) sono archiviati e non ulteriormente trattati per finalità diverse da quelle previste dalla Legge Applicabile.
10.1 Il Responsabile del Trattamento è:
BitBoss S.r.l.
Sede legale: Corso Castelfidardo 30/A, 10128 – Torino (TO)
P.IVA: IT11921690019
Email: [email protected]
PEC: [email protected]
10.2 Il Responsabile ha nominato un Responsabile per la Protezione dei Dati (RPD/DPO) raggiungibile all'indirizzo: [email protected]
1. Categorie di dati personali trattati
Il Responsabile tratta, per conto del Titolare, le seguenti categorie di dati personali:
Categoria | Dati specifici | Provenienza |
|---|---|---|
Dati identificativi dell'utente (Titolare) | Nome, cognome, indirizzo email, password (cifrata) | Inseriti dall'utente in fase di registrazione |
Dati fiscali e aziendali dell'utente (Titolare) | Ragione sociale, P.IVA, indirizzo, Codice Fiscale | Inseriti dall'utente nella piattaforma |
Dati fiscali dei clienti finali del Titolare | Nome, cognome, P.IVA, Codice Fiscale, indirizzo, PEC, Codice Destinatario SDI | Inseriti dai clienti finali del Titolare nelle pagine di checkout |
Dati di transazione | Importo, stato pagamento, metodo di pagamento, ID transazione Stripe, metadati | Ricevuti da Stripe al completamento del pagamento |
Contenuti dei link di pagamento | Descrizione del servizio/prodotto, importo, aliquota IVA, note operative | Inseriti dall'utente nella creazione del link |
File e contenuti digitali | Documenti, PDF, ebook e file caricati dall'utente come delivery post-pagamento | Caricati dall'utente sulla piattaforma |
Dati tecnici e di sicurezza | Indirizzo IP, user agent, data/ora degli accessi, log delle operazioni | Generati automaticamente dall'utilizzo della piattaforma |
• Utenti registrati ad Adamo Paylink (professionisti, freelance, aziende con P.IVA italiana)
• Clienti finali degli utenti (persone fisiche o giuridiche che effettuano pagamenti tramite i link generati)
1. Infrastruttura server
Adamo Paylink è un'applicazione web sviluppata con il framework Laravel (PHP), gestita tramite Laravel Forge su un server virtualizzato presso il fornitore DigitalOcean, fisicamente localizzato a Francoforte, Germania (Spazio Economico Europeo).
Componente | Dettaglio |
|---|---|
Provider hosting | DigitalOcean (Francoforte, Germania – SEE) |
Tipo di server | App server virtualizzato (Droplet) |
Framework applicativo | Laravel (PHP), gestito tramite Laravel Forge |
Database | MySQL 8.0, sulla stessa macchina dell'applicazione |
Accesso al server | Esclusivamente via SSH con autenticazione a chiave RSA |
Firewall | Configurato per consentire esclusivamente le porte necessarie (80, 443, SSH) |
Protocollo | HTTPS obbligatorio per tutte le comunicazioni |
2. Applicazione
L'applicazione è sviluppata seguendo le best practice di sicurezza dello stato dell'arte, incluse tra l'altro: protezione CSRF, accesso esclusivamente via HTTPS, prevenzione SQL Injection, hashing sicuro delle password tramite bcrypt.
3. Database
Le informazioni degli utenti sono memorizzate in un database MySQL 8.0 installato sulla stessa macchina dell'applicazione. La connessione avviene in locale. L'accesso al database da parte del personale avviene esclusivamente via SSH. Tutte le password degli utenti sono oscurate tramite algoritmo di hashing bcrypt e non è possibile risalire alla password originale.
4. File e contenuti caricati
I file caricati dagli utenti (documenti, allegati digitali da consegnare ai clienti finali dopo il pagamento) sono conservati localmente sul server DigitalOcean. Il Titolare è responsabile del mantenimento di copie proprie dei file caricati. BitBoss S.r.l. effettua backup regolari come descritto al punto 5.
5. Backup
Viene eseguito un backup automatico giornaliero incrementale del database. Con cadenza settimanale viene eseguito un backup completo. I backup sono conservati su storage sicuro e accessibili solo al personale autorizzato.
6. Monitoraggio e log degli errori
Per finalità diagnostiche e di sicurezza vengono raccolti log degli errori applicativi tramite il servizio esterno Sentry (vedi Sub-Allegato C). I log tecnici includono messaggi di errore, indirizzo IP e user agent dell'utente e vengono conservati per un massimo di 90 giorni.
7. Strumenti di analisi e tracciamento
La piattaforma Adamo Paylink (inclusa l'area autenticata) può fare utilizzo di strumenti di
analisi comportamentale e tracciamento (Hotjar, Google Analytics, Meta Pixel, Google Ads).
L'utilizzo di tali strumenti nell'area autenticata è subordinato all'acquisizione del consenso
esplicito dell'utente, separato dall'accettazione dei presenti termini.
8. Misure organizzative
Tutto il personale autorizzato all'accesso ai dati degli utenti è vincolato da apposita lettera
d'incarico alla riservatezza. L'accesso ai dati è limitato al personale strettamente necessario
all'erogazione dei Servizi (principio di minimizzazione dell'accesso).
Di seguito l'elenco dei sub-responsabili autorizzati al momento dell'adozione del presente
DPA:
Nome | Sede | Finalità | Riferimenti privacy |
|---|---|---|---|
DigitalOcean, Inc. | 101 6th Avenue, New York (NY), USA | Hosting e infrastruttura server (datacenter Francoforte, Germania) | |
Stripe, Inc. | 510 Townsend Street, San Francisco, CA 94103, USA | Elaborazione dei pagamenti tramite Stripe Connect | |
Mailgun Technologies, Inc. | 112 E Pecan St. #1135, San Antonio, TX 78205, USA | Invio di email transazionali e notifiche operative | |
Sentry (Functional Software, Inc.) | 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA | Monitoraggio errori applicativi e diagnostica | |
Hotjar Ltd. | Hotjar Ltd, Level 2, St Julians Business Centre, 3 Elia Zammit Street, St Julians STJ 1000, Malta | Analisi comportamentale della piattaforma (inclusa area autenticata) | |
Google LLC | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA | Analytics (Google Analytics) e advertising (Google Ads) | |
Meta Platforms Ireland Ltd. | 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irlanda | Tracciamento conversioni e remarketing (Meta Pixel) |
Il Responsabile si impegna ad aggiornare il presente Sub-Allegato C in caso di aggiunta o sostituzione di sub-responsabili, previa notifica al Titolare con le modalità previste all'art. 6 del presente DPA.
