Data Processing Agreement (DPA)

Il presente accordo disciplina il trattamento dei dati personali effettuato da FrontFi (il Responsabile del trattamento) per conto del Merchant che ha sottoscritto un abbonamento al servizio (il Titolare del trattamento), ai sensi dell'art. 28 GDPR.

1. Definizioni

• Titolare: il Merchant (commerciante/negozio) che utilizza FrontFi come strumento SaaS
• Responsabile: FrontFi, che tratta i dati personali dei clienti finali per conto e su istruzioni del Titolare
• Interessato: i clienti finali del Merchant, persone fisiche i cui dati sono trattati
• Dati personali: email, nome, cognome, telefono, data di nascita (se comunicata), storico timbri/premi, recensioni, messaggi, token push, preferenze di comunicazione
• Trattamento: memorizzazione, organizzazione, consultazione, invio notifiche, anonimizzazione, cancellazione dei Dati personali come descritto nella documentazione pubblica di FrontFi

2. Oggetto e Durata

Il Responsabile tratta i Dati personali esclusivamente per le finalità del servizio FrontFi sottoscritto dal Titolare: gestione carta fedeltà, vetrina pubblica, notifiche push ed email (se previsto dall'add-on Pro), analisi statistiche, assistenza tecnica.

La durata del trattamento coincide con quella dell'abbonamento del Titolare. Al termine (o su richiesta scritta), FrontFi restituirà o eliminerà i Dati entro 30 giorni, salvo obblighi di legge.

3. Natura, Ambito e Finalità

• Natura: trattamento elettronico, automatizzato, in cloud
• Ambito: clienti finali registrati alla carta fedeltà del singolo Merchant (dati segregati per shop)
• Finalità: erogazione del servizio, notifiche transazionali, email marketing (solo se piano Pro attivo), backup, log tecnici, assistenza
• Categorie di Interessati: clienti finali maggiorenni che hanno fornito esplicito consenso al Merchant

4. Obblighi del Responsabile (FrontFi)

FrontFi si impegna a:

• (a) Trattare i Dati solo su istruzioni documentate del Titolare, salvo obblighi di legge che impongano diverso trattamento (in tal caso ne darà comunicazione al Titolare prima del trattamento, salvo divieti di legge)
• (b) Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza
• (c) Adottare misure di sicurezza tecniche e organizzative adeguate al rischio (art. 32 GDPR), incluse: crittografia in transito (HTTPS/TLS), crittografia a riposo (Firestore + Google Cloud Storage), hashing password (Firebase Auth), autenticazione JWT, rate limiting email, idempotency check sui webhook di pagamento, backup automatici, monitoraggio accessi
• (d) Assistere il Titolare nell'adempimento degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica violazioni, valutazioni d'impatto, consultazione autorità)
• (e) Assistere il Titolare nel rispondere alle richieste degli Interessati (artt. 15-22 GDPR): accesso, rettifica, cancellazione, portabilità, opposizione, limitazione. FrontFi mette a disposizione strumenti self-service nel pannello my-card del cliente.
• (f) Al termine del servizio, a scelta del Titolare, cancellare o restituire tutti i Dati personali, salvo obblighi di conservazione previsti dalla legge
• (g) Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dall'art. 28 GDPR
• (h) Notificare al Titolare ogni violazione dei dati personali ai sensi dell'art. 33 GDPR entro 24 ore dalla conoscenza dell'evento, con le informazioni richieste dal comma 3

5. Sub-Responsabili (Sub-processors)

Il Titolare autorizza FrontFi a utilizzare i seguenti Sub-responsabili per l'erogazione del servizio. FrontFi si impegna a imporre loro obblighi contrattuali analoghi a quelli del presente DPA.

• Google Firebase (Alphabet Inc.): Authentication, Firestore, Cloud Functions, Cloud Storage, Cloud Messaging. Regione: europe-west1 (Belgio). DPA: cloud.google.com/terms/data-processing-addendum
• Cloudflare: hosting statico (Pages), CDN, DNS, registrar per domini custom. Regioni: edge mondiale con compliance GDPR.
• Stripe Payments Europe Ltd.: gestione pagamenti e abbonamenti Merchant. I dati carta NON transitano mai dai sistemi FrontFi (integrazione tokenizzata PCI DSS).
• Resend (o altro provider SMTP transazionale scelto da FrontFi): invio email marketing ed eventualmente notifiche automatiche. I dati inviati si limitano a: destinatario, oggetto, corpo messaggio del Merchant.

Eventuali modifiche alla lista dei Sub-responsabili saranno comunicate al Titolare almeno 15 giorni prima dell'entrata in vigore. Il Titolare potrà opporsi per motivi ragionevoli; in caso di accordo non raggiunto, entrambe le parti potranno recedere dal contratto.

6. Trasferimenti Extra-UE

I dati sono primariamente trattati in regione EU (europe-west1). Alcuni Sub-responsabili (Google, Cloudflare, Stripe) possono elaborare dati in paesi terzi per ragioni di servizio (backup, anti-frode, ecc.). In tali casi si applicano:

• Clausole Contrattuali Standard UE (Standard Contractual Clauses) approvate dalla Commissione Europea
• Data Privacy Framework UE-USA per i trasferimenti verso gli Stati Uniti (dove applicabile)
• Misure supplementari tecniche (crittografia end-to-end in transito) e organizzative

7. Audit e Ispezioni

Il Titolare ha diritto di richiedere, con preavviso di 30 giorni, documentazione relativa al rispetto del presente DPA. FrontFi fornirà evidenze di conformità (certificazioni ISO, report SOC dei Sub-responsabili, audit interni). Audit in loco sono esclusi in quanto non tecnicamente possibili su infrastruttura cloud condivisa.

8. Violazioni dei Dati

In caso di data breach, FrontFi:

• Notifica al Titolare entro 24 ore dalla scoperta, con descrizione natura, categorie/numero Interessati coinvolti, conseguenze probabili, misure adottate/proposte
• Collabora con il Titolare per la notifica al Garante (art. 33 GDPR, 72 ore) e agli Interessati (art. 34 GDPR) se richiesto
• Documenta l'incidente e le azioni di rimedio in un registro interno disponibile al Titolare

9. Responsabilità

Ciascuna parte è responsabile per i danni causati dal proprio inadempimento. FrontFi risponde esclusivamente dei danni causati da trattamento non conforme alle istruzioni documentate del Titolare o in violazione del GDPR. Il Titolare è esclusivamente responsabile della base giuridica del trattamento dei propri clienti (raccolta consensi, informativa privacy, gestione delle loro richieste).

10. Legge Applicabile e Foro

Il presente DPA è disciplinato dalla legge italiana e dal GDPR. Per ogni controversia è competente il Foro di Torino.

11. Accettazione

Il presente DPA si intende accettato dal Titolare al momento della spunta della relativa casella nel flusso di registrazione a FrontFi. L'accettazione viene registrata nel sistema (campo shops.consent.dpaAcceptedAt con timestamp e versione DPA), ed è recuperabile dal Titolare in qualsiasi momento scrivendo a info@frontfi.com.

Torna alla home