Accordo per il Trattamento dei Dati Personali
Data Processing Agreement (DPA) ai sensi dell'art. 28 del Regolamento (UE) 2016/679
Ultimo aggiornamento: 30 gennaio 2026
1. Premesse
Il presente Accordo per il Trattamento dei Dati Personali (di seguito "DPA") è stipulato tra:
- Il Titolare del trattamento ("Titolare"): l'utente registrato alla piattaforma Rentevo, in qualità di gestore di strutture ricettive e titolare del trattamento dei dati personali dei propri ospiti;
- Il Responsabile del trattamento ("Responsabile"): FEVEN S.R.L., con sede legale in Via Carlo Sigonio 16, 41043 Formigine (MO), Italia, P.IVA 04071030367, che tratta i dati personali per conto del Titolare nell'ambito dell'erogazione del servizio Rentevo.
Il presente DPA è parte integrante dei Termini e Condizioni di Servizio e si applica automaticamente a tutti gli utenti registrati alla piattaforma Rentevo. Con la registrazione al Servizio, il Titolare accetta integralmente il presente DPA.
2. Oggetto e Durata
Il presente DPA disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito della fornitura del servizio Rentevo. Il DPA ha efficacia per l'intera durata del rapporto contrattuale e cessa automaticamente alla cancellazione dell'account del Titolare.
3. Natura, Finalità e Oggetto del Trattamento
| Elemento | Descrizione |
|---|---|
| Natura del trattamento | Raccolta, conservazione, organizzazione, consultazione, elaborazione automatizzata (AI), traduzione, comunicazione, cancellazione |
| Finalità | Erogazione del servizio Rentevo: risposta automatica AI ai messaggi degli ospiti, sincronizzazione con channel manager, comunicazione WhatsApp, costruzione knowledge base, traduzione, notifiche |
| Categorie di interessati | Ospiti delle strutture ricettive gestite dal Titolare |
| Categorie di dati | Nome, email, numero di telefono, codici di prenotazione, date di soggiorno, lingua, contenuto dei messaggi |
4. Obblighi del Responsabile
Il Responsabile si impegna a:
- Trattare i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare, incluse quelle relative ai trasferimenti di dati verso paesi terzi, salvo che lo richieda il diritto dell'Unione o dello Stato membro;
- Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un obbligo legale di riservatezza;
- Adottare tutte le misure di sicurezza richieste dall'art. 32 del GDPR, tra cui:
- Cifratura dei dati sensibili a riposo (Fernet) e in transito (TLS);
- Autenticazione forte (JWT/JWKS);
- Controllo degli accessi basato sui ruoli;
- Verifica delle firme webhook (HMAC-SHA256);
- Backup e procedure di ripristino;
- Monitoraggio continuo della sicurezza.
- Rispettare le condizioni per il ricorso a sub-responsabili di cui alla Sezione 6;
- Assistere il Titolare nel rispondere alle richieste degli interessati per l'esercizio dei diritti previsti dal Capo III del GDPR;
- Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 del GDPR (sicurezza, notifica violazioni, DPIA);
- Su scelta del Titolare, cancellare o restituire tutti i dati personali al termine della prestazione dei servizi. La piattaforma consente l'esportazione dei dati (portabilità) e la cancellazione dell'account con eliminazione a cascata di tutti i dati;
- Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA e consentire le attività di audit, comprese le ispezioni, condotte dal Titolare o da un altro soggetto da questi incaricato.
5. Notifica delle Violazioni
In caso di violazione dei dati personali (data breach), il Responsabile si impegna a:
- Notificare il Titolare senza ingiustificato ritardo e comunque entro 48 ore dal momento in cui viene a conoscenza della violazione;
- Fornire al Titolare tutte le informazioni necessarie per la notifica al Garante ai sensi dell'art. 33 del GDPR, tra cui:
- Natura della violazione;
- Categorie e numero approssimativo di interessati coinvolti;
- Probabili conseguenze della violazione;
- Misure adottate o proposte per porvi rimedio.
- Collaborare con il Titolare per la gestione dell'incidente e per la comunicazione agli interessati, ove necessaria.
6. Sub-responsabili del Trattamento
Il Titolare autorizza il Responsabile a ricorrere ai seguenti sub-responsabili del trattamento, con i quali il Responsabile ha stipulato accordi conformi all'art. 28 del GDPR:
| Sub-responsabile | Servizio | Paese | Garanzia trasferimento |
|---|---|---|---|
| Hetzner Online GmbH | Hosting infrastruttura, database, storage | Germania (UE) | Trasferimento intra-UE, nessuna garanzia aggiuntiva richiesta |
| OpenAI, L.L.C. | Generazione risposte AI | USA | DPF + SCC |
| Google LLC (Gemini) | Traduzione, estrazione conoscenza, embeddings | USA / UE | DPF + SCC |
| Meta Platforms, Inc. | WhatsApp Business API | USA / UE | DPF + SCC |
| Stripe, Inc. | Pagamenti e abbonamenti | USA / UE | DPF + SCC |
| Telegram FZ-LLC | Notifiche operative | EAU | SCC |
| Resend, Inc. | Email transazionali | USA | DPF + SCC |
| Comet ML, Inc. (Opik) | Monitoraggio AI | USA | SCC |
| Google LLC (Serper) | Ricerca web per risposte ospiti | USA | DPF + SCC |
Il Responsabile informerà il Titolare con 30 giorni di preavviso in caso di aggiunta o sostituzione di sub-responsabili, mediante comunicazione all'indirizzo email associato all'account. Il Titolare ha il diritto di opporsi alla modifica entro 15 giorni dalla comunicazione. In caso di opposizione motivata, le parti si consulteranno in buona fede per trovare una soluzione alternativa. Se non si raggiunge un accordo, il Titolare può recedere dal contratto senza penali.
7. Trasferimenti Internazionali
Il Responsabile può trasferire dati personali verso paesi terzi (extra-SEE) esclusivamente sulla base di:
- Decisioni di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework);
- Clausole Contrattuali Tipo (SCC) adottate dalla Commissione Europea con Decisione 2021/914;
- Misure tecniche supplementari adeguate (cifratura end-to-end, pseudonimizzazione).
Il Responsabile ha condotto una valutazione d'impatto del trasferimento (Transfer Impact Assessment) per ciascun sub-responsabile situato in paesi terzi e mantiene tale documentazione a disposizione del Titolare.
8. Diritti di Audit
Il Titolare ha il diritto di verificare la conformità del Responsabile al presente DPA tramite:
- Richiesta di informazioni e documentazione scritta sulla conformità;
- Audit condotti dal Titolare o da un soggetto terzo qualificato, previo preavviso ragionevole di almeno 30 giorni;
- Verifica delle certificazioni e dei report di sicurezza dei sub-responsabili.
Gli audit saranno condotti in modo da non interferire irragionevolmente con le attività del Responsabile e nel rispetto degli obblighi di riservatezza. I costi dell'audit sono a carico del Titolare, salvo che l'audit evidenzi una violazione del presente DPA.
9. Periodi di Conservazione per Categoria di Dato
I dati personali trattati per conto del Titolare sono conservati secondo i seguenti periodi, salvo diversa istruzione del Titolare o obblighi di legge:
| Categoria di dato | Periodo di conservazione |
|---|---|
| Dati anagrafici degli ospiti (nome, email, telefono, lingua) | Per tutta la durata del contratto + 30 giorni dalla cessazione |
| Contenuto dei messaggi scambiati con gli ospiti | 24 mesi dalla ricezione, quindi anonimizzazione o cancellazione |
| Dati di prenotazione (codici, date, dettagli soggiorno) | Per tutta la durata del contratto + 30 giorni dalla cessazione |
| Knowledge base e documenti caricati dal Titolare | Per tutta la durata del contratto, cancellazione immediata alla chiusura account |
| Log tecnici e di sicurezza (access log, audit log) | 6 mesi dalla registrazione |
| Backup del database | 30 giorni rolling, poi sovrascrittura automatica |
| Dati di fatturazione | 10 anni (obbligo fiscale ex art. 2220 c.c.) |
10. Restituzione e Cancellazione dei Dati
Al termine del rapporto contrattuale:
- Il Titolare può esportare tutti i propri dati dalla piattaforma in formato strutturato (ZIP contenente file JSON) tramite la funzionalità di esportazione dati;
- Alla cancellazione dell'account, il Responsabile eliminerà in modo permanente tutti i dati personali trattati per conto del Titolare, mediante cancellazione a cascata nel database, nel rispetto dei periodi di conservazione di cui alla sezione precedente;
- I dati la cui conservazione è richiesta da obblighi di legge (es. fatturazione) saranno mantenuti per il periodo strettamente necessario e successivamente eliminati;
- I dati già trasmessi ai sub-responsabili saranno cancellati secondo le rispettive policy di conservazione (es. Meta/WhatsApp: 30 giorni).
11. Responsabilità
Ciascuna parte è responsabile per i danni causati dal trattamento che violi il GDPR, conformemente a quanto previsto dall'art. 82 del GDPR. Il Responsabile è responsabile dei danni causati dal trattamento solo se non ha rispettato gli obblighi del GDPR specificamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario alle istruzioni del Titolare.
12. Legge Applicabile
Il presente DPA è regolato dalla legge italiana e dal Regolamento (UE) 2016/679. Per quanto non espressamente previsto, si rimanda ai Termini e Condizioni di Servizio.
13. Contatti
Per qualsiasi richiesta relativa al presente DPA, il Titolare può contattare il Responsabile a:
- Email: privacy@rentevoai.com
- PEC: feven.srl@pec.it
- Sede: FEVEN S.R.L. - Via Carlo Sigonio 16, 41043 Formigine (MO), Italia