Termini e Condizioni Generali di Servizio

Il presente Accordo per il Trattamento dei Dati Personali – Data Processing Agreement (di seguito "DPA") è concluso tra:

• MenuChat SRL, con sede in Via del Francione 26, 50143 Firenze (FI), P.IVA IT07521420484, in qualità di Responsabile del trattamento, nella persona dei legali rappresentanti pro tempore (di seguito "il Fornitore" o "il Responsabile");

• Il Ristoratore, in qualità di Titolare del trattamento, così come specificato nel Contratto che regola il rapporto commerciale e la fornitura del Servizio (di seguito "il Cliente" o "il Titolare").

PREMESSO CHE: MenuChat è una piattaforma per la gestione di menù digitali, messaggistica WhatsApp e marketing, realizzata per il settore della Ristorazione; il Ristoratore ha sottoscritto un Contratto con il Fornitore che prevede l'utilizzo della piattaforma in modalità SaaS; le Parti intendono disciplinare nel presente DPA le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore e le responsabilità connesse, ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR).

Ai fini del presente DPA, i termini di seguito indicati hanno il seguente significato. Ogni altro termine non espressamente definito dovrà essere interpretato in conformità al GDPR:

• Piattaforma: il software MenuChat per la gestione di menù digitali, messaggistica WhatsApp e marketing, erogato in modalità SaaS.

• Servizi: l'insieme delle funzionalità fornite tramite la Piattaforma, tra cui: menù digitali interattivi, bot WhatsApp per l'invio automatico del menù, campagne marketing WhatsApp, raccolta prenotazioni, raccolta e gestione recensioni, analytics.

• Titolare del trattamento: la persona fisica o giuridica che determina le finalità e i mezzi del trattamento dei dati personali. Nel presente DPA, il Ristoratore.

• Responsabile del trattamento: la persona fisica o giuridica che tratta dati personali per conto del Titolare. Nel presente DPA, MenuChat SRL.

• Interessato: la persona fisica identificata o identificabile cui si riferiscono i dati personali. Nel presente DPA, i clienti finali (avventori) del Ristoratore.

• Dati personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile, ai sensi dell'art. 4(1) del GDPR.

• Data Breach: qualsiasi violazione della sicurezza che comporti accidentalmente o illecitamente la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai dati personali trattati.

• Sub-responsabile: qualsiasi soggetto terzo incaricato dal Responsabile per svolgere specifiche attività di trattamento per conto del Titolare.

2.1. Il presente DPA ha ad oggetto le modalità e le condizioni di trattamento di tutti i dati personali trattati da MenuChat SRL nell'erogazione dei Servizi di cui al Contratto sottoscritto, dati di cui è Titolare il Ristoratore; in relazione a tali dati, MenuChat SRL assume il ruolo di Responsabile del trattamento ex art. 28 GDPR.

2.2. Con la sottoscrizione del presente DPA (che avviene automaticamente con l'accettazione dei Termini e Condizioni), le Parti si impegnano a rispettare la normativa vigente in materia di protezione dei dati personali.

2.3. Il Responsabile svolge esclusivamente le attività di trattamento necessarie e rilevanti ad assicurare l'esecuzione dei Servizi al Titolare, in particolare:

• Invio di menù digitali ai clienti finali tramite WhatsApp

• Raccolta e gestione del consenso marketing dei clienti finali

• Invio di campagne di marketing WhatsApp ai clienti con consenso esplicito

• Raccolta e gestione delle prenotazioni tavoli

• Invio di richieste di recensione e raccolta feedback

• Fornitura di analytics anonime e aggregate sull'utilizzo del menù

2.4. MenuChat non tratta i dati per finalità proprie, salvo diverso accordo scritto.

3.1. Il Responsabile tratterà i dati personali esclusivamente per dare esecuzione al Contratto, nei limiti e secondo le modalità di quanto disposto dallo stesso, dal presente DPA e dalla normativa vigente.

3.2. I dati personali trattati riguardano gli utenti finali (avventori) che usufruiscono dei servizi forniti dal Titolare.

3.3. Categorie di dati personali trattati (elenco esemplificativo e non esaustivo):

• Numero di telefono (per contatti WhatsApp con consenso) o hash SHA-256 del numero (per contatti senza consenso)

• Nome (da profilo WhatsApp o fornito dall'interessato)

• Stato del consenso marketing e menu opt-in, con data, ora, indirizzo IP e user agent al momento del consenso

• Contenuto dei messaggi WhatsApp scambiati

• Dati di prenotazione: nome, cognome, email, telefono, data/ora, numero ospiti, note

• Feedback e valutazioni (rating 1-5, testo libero)

3.4. Categorie particolari di dati (Art. 9 GDPR): nessuna. Il Responsabile non tratta dati relativi a salute, origine razziale, opinioni politiche o altre categorie particolari.

3.5. Il Titolare garantisce che i dati personali trasmessi al Responsabile sono raccolti in modo lecito e conforme alla normativa vigente e non violano i diritti degli interessati.

4.1. Il presente DPA decorre dalla data di sottoscrizione del Contratto (ovvero dalla data di accettazione dei Termini e Condizioni) e ha validità per tutta la durata del rapporto giuridico tra le Parti.

4.2. Il DPA potrà essere revocato dal Titolare in qualsiasi momento, fermo restando che la revoca comporterà la cessazione dei Servizi.

4.3. Le disposizioni del presente DPA continueranno ad applicarsi fino alla definitiva cancellazione o restituzione dei dati personali.

5.1. Istruzioni del Titolare: Il Responsabile si impegna a trattare i dati personali esclusivamente per le finalità indicate nel presente DPA e per l'esecuzione delle prestazioni contrattuali. Se il Responsabile ritiene che un'istruzione del Titolare sia non conforme al GDPR, ne informerà immediatamente il Titolare.

5.2. Riservatezza: Il Responsabile garantisce che il personale autorizzato al trattamento sia soggetto a obbligo di riservatezza e abbia ricevuto formazione in materia di protezione dei dati personali. L'accesso ai dati è limitato ai soci fondatori e al personale strettamente necessario.

5.3. Sicurezza: Il Responsabile adotta le misure tecniche e organizzative di cui all'Art. 10 del presente DPA, idonee a garantire un livello di sicurezza adeguato al rischio, in conformità all'art. 32 del GDPR.

5.4. Autorizzati al trattamento: Il trattamento è effettuato esclusivamente da personale previamente autorizzato ai sensi dell'art. 29 del GDPR e dell'art. 2-quaterdecies del D.lgs. 196/2003, debitamente istruito e soggetto a vigilanza.

5.5. Assistenza al Titolare: Il Responsabile assiste il Titolare nell'adempimento degli obblighi relativi alle richieste degli interessati (Art. 15-22 GDPR), alla sicurezza del trattamento (Art. 32), alla notifica delle violazioni (Art. 33-34) e alle valutazioni d'impatto (Art. 35).

5.6. Audit: Su richiesta del Titolare, il Responsabile fornisce le informazioni necessarie a dimostrare la conformità al presente DPA. Il Titolare ha il diritto di effettuare audit, avvalendosi di personale interno o revisori esterni vincolati da obblighi di riservatezza. Il Responsabile si impegna a rispondere a richieste di documentazione o programmazione di audit entro 30 giorni dalla ricezione.

5.7. Messa a disposizione delle informazioni: Il Responsabile fornisce al Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR.

6.1. Liceità del trattamento: Il Titolare dichiara di raccogliere e trattare i dati personali in modo lecito, garantendo il rispetto dei diritti degli interessati.

6.2. Conformità nella raccolta: Il Titolare assicura che la raccolta dei dati personali soddisfi tutti i requisiti di legge, includendo informative privacy conformi e raccolta di consensi validi per ciascuna finalità (es. marketing WhatsApp).

6.3. Istruzioni conformi: Il Titolare garantisce che le istruzioni fornite al Responsabile siano conformi alla legge e non comportino violazioni normative.

6.4. Il Titolare si impegna a informare tempestivamente il Responsabile di eventuali richieste degli interessati relative ai dati trattati tramite la Piattaforma.

6.5. Il Titolare si impegna a non impartire istruzioni che richiedano al Responsabile di violare il GDPR o altra normativa applicabile.

7.1. Nell'esecuzione del Contratto, il Responsabile potrà avvalersi, mediante autorizzazione generale ai sensi dell'art. 28, comma 2, del GDPR, di Sub-responsabili nel rispetto delle condizioni e prescrizioni ivi previste.

7.2. Alla data di accettazione del presente DPA, il Responsabile utilizza i Sub-responsabili elencati nel Sub-Allegato A. L'elenco aggiornato è sempre disponibile alla presente pagina.

7.3. Il Responsabile si impegna a informare il Titolare prima di stipulare accordi con un nuovo Sub-responsabile, tramite comunicazione email o avviso sulla Piattaforma, almeno 15 giorni prima che il nuovo Sub-responsabile inizi a trattare dati personali.

7.4. Se il Titolare intende opporsi alla nomina di un nuovo Sub-responsabile, dovrà notificare la propria opposizione per iscritto entro 10 giorni lavorativi dal ricevimento della comunicazione. In assenza di obiezioni, la nomina sarà considerata accettata.

7.5. Qualora il Titolare si opponga e il Responsabile non possa accogliere l'obiezione, il Titolare avrà facoltà di interrompere i Servizi, previa comunicazione scritta.

7.6. Il Responsabile stipula un DPA con ciascun Sub-responsabile, garantendo almeno gli stessi obblighi di protezione dei dati previsti dal presente DPA. Per i grandi fornitori di servizi (es. Twilio, MongoDB, Stripe) i cui DPA standard non sono negoziabili, tali accordi sono accettati in quanto predisposti per garantire un elevato livello di protezione su larga scala.

7.7. Il Responsabile limita l'accesso dei Sub-responsabili ai dati strettamente necessari per l'espletamento dei servizi concordati.

8.1. I dati personali sono conservati e trattati dal Responsabile prevalentemente all'interno dello Spazio Economico Europeo. Tuttavia, alcuni Sub-responsabili hanno sede negli Stati Uniti (come indicato nel Sub-Allegato A).

8.2. Ogni trasferimento verso paesi al di fuori dello SEE avviene esclusivamente sulla base di garanzie adeguate previste dagli artt. 44-50 del GDPR, in particolare:

• Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea (Decisione 2021/914)

• Data Privacy Framework EU-US, ove il destinatario sia certificato

• Decisioni di adeguatezza della Commissione Europea (es. Israele)

8.3. Se il Responsabile fosse obbligato a trasferire dati verso un paese terzo in virtù di normative dell'Unione o nazionali, informerà preventivamente il Titolare, salvo che la legge vieti tale informazione per motivi di interesse pubblico.

9.1. In caso di violazione dei dati personali (Data Breach) che possa comportare distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai dati trattati per conto del Titolare, il Responsabile dovrà comunicarlo al Titolare entro 48 ore dalla scoperta dell'incidente.

9.2. La comunicazione dovrà contenere almeno le informazioni previste dall'art. 33, par. 3 del GDPR: natura della violazione, categorie e numero approssimativo degli interessati coinvolti, conseguenze probabili, misure adottate o proposte per porvi rimedio.

9.3. Il Responsabile si impegna a compiere ogni ragionevole sforzo per individuare le cause della violazione e adottare le misure necessarie per prevenirne il ripetersi.

9.4. Il Responsabile assiste il Titolare nell'adempimento degli obblighi di notifica al Garante (Art. 33) e di comunicazione agli interessati (Art. 34).

10.1. Se il Titolare riceve una richiesta da parte di un interessato per l'esercizio dei diritti previsti dagli artt. 15-22 del GDPR e necessita dell'assistenza del Responsabile, quest'ultimo fornirà le informazioni e la documentazione richiesta in tempi ragionevoli.

10.2. Se la richiesta è ricevuta direttamente dal Responsabile, quest'ultimo la trasmetterà immediatamente al Titolare, senza rispondere direttamente all'interessato.

10.3. Il Responsabile mette a disposizione del Titolare funzionalità tecniche per facilitare la gestione dei diritti degli interessati, tra cui l'esportazione dei dati dei contatti e la cancellazione su richiesta.

11.1. Alla scadenza o risoluzione del Contratto, il Responsabile provvederà a cancellare o restituire al Titolare tutti i dati personali in suo possesso, secondo quanto previsto dal Contratto.

11.2. Dopo la disdetta, il Titolare avrà la possibilità di esportare la lista clienti e i dati associati entro la data di scadenza della licenza. Il Responsabile fornirà istruzioni e funzionalità per l'esportazione dei dati.

11.3. Decorsi 30 giorni dalla scadenza senza che il Titolare abbia esportato i dati, il Responsabile procederà alla cancellazione definitiva.

11.4. Il Responsabile non è responsabile in caso di perdita dei dati non esportati dal Titolare entro il termine stabilito.

11.5. Qualora la legge applicabile imponga la conservazione di alcuni dati, questi saranno archiviati e ne sarà impedito qualsiasi ulteriore trattamento, salvo quanto strettamente necessario per adempiere agli obblighi legali.

11.6. I termini del presente DPA continueranno ad applicarsi ai dati eventualmente conservati fino alla loro definitiva cancellazione.

12.1. Il Responsabile adotta le seguenti misure tecniche e organizzative ai sensi dell'art. 32 del GDPR:

Misure tecniche:

• Crittografia in transito: HTTPS/TLS su tutte le comunicazioni

• Crittografia a riposo: bcrypt con salt factor 12 per le password; cifratura AES-256 del database (MongoDB Atlas)

• Pseudonimizzazione: hash SHA-256 irreversibile per i numeri di telefono dei contatti senza consenso

• Autenticazione: JWT con scadenza 7 giorni; segreto JWT obbligatorio senza fallback insicuri

• Controllo degli accessi: middleware di autenticazione su tutte le route protette; accesso basato su ruoli (utente, premium, admin)

• Rate limiting: 5 richieste/15min per autenticazione, 100/15min per API generali, 1000/15min limite globale

• Webhook: validazione firma crittografica Twilio (HMAC-SHA1); segreto con confronto timing-safe su tutte le route webhook

• Log: sanitizzazione automatica dei dati personali in produzione (email, telefono, nomi mascherati)

• Minimizzazione automatica: cancellazione giornaliera dei dati non più necessari; indici TTL per cancellazione automatica dei dati scaduti

Misure organizzative:

• Nomine formali degli autorizzati e degli amministratori di sistema

• Istruzioni operative documentate per il trattamento dei dati

• Credenziali e chiavi API conservate esclusivamente in variabili d'ambiente

• Repository di codice sorgente privati

• Procedura documentata di gestione Data Breach

12.2. Tali misure potranno essere aggiornate o modificate nel tempo, a condizione che non comportino un livello di sicurezza inferiore rispetto a quello attuale.

13.1. Il presente DPA costituisce parte integrante e sostanziale del Contratto e dei Termini e Condizioni Generali di Servizio.

13.2. In caso di conflitto tra il presente DPA e il Contratto, prevalgono le disposizioni del presente DPA per quanto concerne il trattamento dei dati personali.

13.3. Il presente DPA è regolato dalla legge italiana e dal diritto dell'Unione Europea in materia di protezione dei dati personali.

13.4. Per qualsiasi controversia relativa al presente DPA sarà competente in via esclusiva il Foro di Firenze.

13.5. Il Responsabile può essere contattato all'indirizzo email: hello@menuchat.it.

13.6. Per quanto non espressamente previsto, le Parti rinviano al Contratto e alla normativa applicabile, con specifico riferimento al GDPR e al D.lgs. 196/2003.

Elenco dei Sub-responsabili autorizzati alla data di ultimo aggiornamento del presente documento:

• Twilio Inc. – 101 Spear Street, San Francisco, CA 94105, USA – Messaggistica WhatsApp (invio e ricezione messaggi, numeri di telefono) – Garanzia: SCC + DPA Twilio – https://www.twilio.com/legal/data-protection-addendum

• MongoDB Inc. (Atlas) – 1633 Broadway, New York, NY 10019, USA – Database principale (tutti i dati personali della piattaforma) – Garanzia: SCC + DPA MongoDB – https://www.mongodb.com/legal/dpa

• Stripe Inc. – 510 Townsend Street, San Francisco, CA 94103, USA – Elaborazione pagamenti (metadata pagamento, nessun dato carta memorizzato) – Garanzia: SCC + DPA Stripe – https://stripe.com/legal/dpa

• Resend Inc. – USA – Email transazionali e notifiche (indirizzi email destinatari, contenuto email) – Garanzia: SCC + DPA Resend – https://resend.com/legal/dpa

• Render Services Inc. – San Francisco, USA – Hosting backend applicativo (dati in transito) – Garanzia: SCC – https://render.com/legal/dpa

• Vercel Inc. – San Francisco, USA – Hosting frontend applicativo (log accesso, dati in transito) – Garanzia: SCC – https://vercel.com/legal/dpa

Il presente elenco è aggiornato alla data indicata in testa ai Termini e Condizioni. Eventuali variazioni saranno comunicate ai sensi dell'Art. 7 del DPA.