HACCPConsult
✓ Versione Vigente

Accordo di Trattamento dei Dati (DPA)

Data Processing Agreement — GDPR Regolamento UE 2016/679

Versione 3.0

Aggiornato: 10 aprile 2026

1. Definizioni

In questo Accordo di Trattamento dei Dati ("DPA"), i termini seguenti hanno i significati indicati:

  • Titolare del Trattamento: HACCP International S.r.l., con sede legale in Italia ("Titolare")
  • Responsabile del Trattamento: Qualsiasi terza parte che tratta dati personali per conto del Titolare
  • Interessato: La persona fisica a cui si riferiscono i dati personali
  • Dati Personali: Qualsiasi informazione relativa a una persona fisica identificata o identificabile
  • Trattamento: Qualsiasi operazione effettuata su dati personali (raccolta, registrazione, organizzazione, conservazione, consultazione, utilizzo, comunicazione, cancellazione)

2. Oggetto e Durata

Questo DPA regola il trattamento dei dati personali nell'ambito della fornitura dei servizi di consulenza HACCP da parte di HACCP International S.r.l. ("Servizi").

La durata di questo DPA è pari alla durata del contratto di fornitura dei Servizi, salvo diversa comunicazione scritta.

3. Natura e Finalità del Trattamento

I dati personali sono trattati per le seguenti finalità:

  • Erogazione dei servizi di consulenza HACCP e supporto tecnico
  • Gestione del rapporto contrattuale e amministrativo
  • Adempimento di obblighi legali e fiscali
  • Comunicazioni relative ai servizi (fatturazione, assistenza, aggiornamenti)
  • Analisi e miglioramento dei servizi (con dati anonimizzati)
  • Conformità a normative sulla sicurezza alimentare (HACCP, Reg. CE 852/2004)

4. Categorie di Dati Personali

Il Titolare tratta le seguenti categorie di dati personali:

  • Dati di Identificazione: nome, cognome, email, numero di telefono
  • Dati Aziendali: ragione sociale, partita IVA, indirizzo sede legale, settore ATECO
  • Dati di Contatto: indirizzi email, numeri di telefono, indirizzi postali
  • Dati di Accesso: credenziali di login, indirizzi IP, log di accesso
  • Dati di Utilizzo: pagine visitate, funzionalità utilizzate, durata sessioni
  • Dati Tecnici: tipo di browser, sistema operativo, dispositivo utilizzato
  • Dati Finanziari: informazioni di fatturazione, metodi di pagamento (non memorizzati direttamente)

5. Base Giuridica del Trattamento

Il trattamento dei dati personali si basa su:

  • Art. 6.1.b GDPR: Esecuzione di un contratto di cui l'interessato è parte
  • Art. 6.1.c GDPR: Adempimento di un obbligo legale (fiscale, contabile, sicurezza alimentare)
  • Art. 6.1.f GDPR: Legittimo interesse del Titolare (miglioramento servizi, sicurezza, prevenzione frodi)
  • Art. 6.1.a GDPR: Consenso esplicito dell'interessato (per comunicazioni marketing)

6. Misure di Sicurezza

Il Titolare adotta le seguenti misure tecniche e organizzative per proteggere i dati personali:

  • Crittografia dei dati in transito (TLS 1.3) e a riposo (AES-256)
  • Autenticazione a due fattori (2FA) per l'accesso alla piattaforma
  • Controllo degli accessi basato sui ruoli (RBAC)
  • Audit log completo di tutte le operazioni sui dati
  • Backup giornalieri con retention di 30 giorni
  • Monitoraggio continuo delle anomalie di sicurezza
  • Procedure di risposta agli incidenti (Data Breach Notification entro 72 ore)

7. Sub-Responsabili del Trattamento

Il Titolare si avvale dei seguenti sub-responsabili del trattamento, tutti conformi al GDPR:

  • Supabase Inc. — Infrastruttura database e autenticazione (server EU)
  • Stripe Inc. — Elaborazione pagamenti (certificato PCI DSS Level 1)
  • Resend Inc. — Invio email transazionali
  • Vercel Inc. — Hosting e CDN (server EU disponibili)
  • Twilio Inc. — Invio SMS e notifiche

8. Trasferimenti Internazionali

Alcuni sub-responsabili hanno sede negli Stati Uniti. I trasferimenti sono regolati da:

  • Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea
  • Adeguatezza del paese terzo ai sensi dell'art. 45 GDPR (dove applicabile)
  • Garanzie appropriate ai sensi dell'art. 46 GDPR

9. Diritti degli Interessati

Ai sensi degli artt. 15-22 GDPR, gli interessati hanno il diritto di:

  • Accesso (art. 15): Ottenere conferma del trattamento e copia dei dati
  • Rettifica (art. 16): Correggere dati inesatti o incompleti
  • Cancellazione (art. 17): Richiedere la cancellazione dei dati ("diritto all'oblio")
  • Limitazione (art. 18): Limitare il trattamento in determinate circostanze
  • Portabilità (art. 20): Ricevere i dati in formato strutturato e leggibile
  • Opposizione (art. 21): Opporsi al trattamento per legittimo interesse

Per esercitare questi diritti: privacy@haccpint.com

10. Reclami

Hai il diritto di presentare reclamo all'Autorità Garante per la Protezione dei Dati Personali (Garante Privacy):

11. Modifiche al DPA

Il Titolare si riserva il diritto di modificare questo DPA. Le modifiche sostanziali saranno comunicate via email con almeno 30 giorni di preavviso. Tutte le versioni precedenti sono archiviate e accessibili tramite il pannello di controllo versioni.

12. Contatti DPO

Per qualsiasi questione relativa al trattamento dei dati personali:

Questo DPA è conforme al Regolamento UE 2016/679 (GDPR), al D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018, e alle linee guida del Garante Privacy italiano. Versione 3.010 aprile 2026.

Privacy PolicyCookie PolicyTermini di ServizioPrivacy Dashboard