BOZZA — da sottoporre a revisione di un legale qualificato prima della pubblicazione.
Documento redatto in ottica protettiva per il Fornitore (Responsabile) e pienamente conforme al Regolamento (UE) 2016/679 (GDPR) e al D.lgs. 196/2003 (Codice Privacy, come modificato dal D.lgs. 101/2018). I segnaposto tra
[[...]]indicano dati o scelte da confermare prima della pubblicazione.
Accordo sul trattamento dei dati personali (DPA) — QBNB
Nomina a Responsabile del trattamento ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR")
Ultimo aggiornamento: [[data ultimo aggiornamento]] — Versione: [[n. versione, es. 1.0]] — In vigore dal: [[data entrata in vigore]]
Premessa
Il presente Accordo sul trattamento dei dati personali (di seguito "DPA", "Accordo" o "Nomina") costituisce parte integrante e sostanziale dei Termini e Condizioni d'uso del servizio QBNB (di seguito i "Termini") e disciplina il trattamento, da parte di Shakadabra in qualità di Responsabile del trattamento, dei dati personali degli Ospiti dei quali la Struttura è Titolare del trattamento, effettuato per erogare il Servizio QBNB.
Il presente DPA è concluso tra:
- la Struttura / il Cliente — la persona fisica o giuridica che si registra al Servizio per la propria struttura ricettiva extra-alberghiera, come identificata in fase di registrazione (di seguito la "Struttura", il "Cliente" o il "Titolare"); e
- Shakadabra S.r.l., con sede legale in Via Velasquez 19, 90141 Palermo (PA), Italia, C.F. e P.IVA 07262490829, PEC shakadabra@pec.it, contatto privacy/legale legal@qbnb.it (di seguito "Shakadabra", il "Fornitore" o il "Responsabile"),
di seguito congiuntamente le "Parti" e ciascuna una "Parte".
Il DPA si intende accettato e perfezionato con l'accettazione dei Termini in fase di onboarding e/o con l'utilizzo del Servizio. In caso di contrasto tra i Termini, la Privacy Policy e il presente DPA in materia di trattamento dei dati personali degli Ospiti, prevale il presente DPA.
Inquadramento. A causa dell'architettura del Servizio, i ruoli privacy differiscono per categoria di interessati: per i dati del Cliente/Struttura e dei lead Shakadabra è Titolare autonomo (cfr. Privacy Policy); per i dati degli Ospiti trattati tramite QBNB Shakadabra è Responsabile del trattamento ex art. 28 GDPR per conto della Struttura. Il presente DPA disciplina esclusivamente quest'ultimo rapporto.
1. Definizioni
1.1. Salvo diversa indicazione, i termini in maiuscolo hanno il significato loro attribuito nei Termini e nella Privacy Policy di QBNB. Inoltre, ai fini del presente DPA si intende per:
- GDPR: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, nonché, ove applicabile, il D.lgs. 196/2003 (Codice Privacy) come modificato dal D.lgs. 101/2018 e i provvedimenti del Garante per la protezione dei dati personali.
- Servizio o QBNB: la piattaforma SaaS di "receptionist e concierge AI" operante su WhatsApp, comprensiva della dashboard, della knowledge base ("Cervello") e di ogni funzionalità accessoria, come descritta nei Termini.
- Ospite: la persona fisica che comunica via WhatsApp con la Struttura assistita da QBNB e i cui dati personali sono trattati per generare le risposte ed erogare il Servizio.
- Dati degli Ospiti o Dati Personali: i dati personali degli Ospiti trattati da Shakadabra quale Responsabile per conto della Struttura nell'ambito del Servizio, come specificati all'Allegato 1.
- Cervello: la knowledge base configurata dalla Struttura con le informazioni sulla propria attività.
- Marketplace: il marketplace di esperienze e attività locali di Shakadabra, accessibile su shop.shakadabra.com, oggetto di un rapporto separato rispetto a QBNB (cfr. art. 12).
- Sub-responsabile: il soggetto terzo di cui Shakadabra si avvale per il trattamento dei Dati degli Ospiti, nominato ai sensi dell'art. 28(2) e (4) GDPR (Allegato 2).
- Istruzioni documentate: le istruzioni impartite dalla Struttura a Shakadabra sul trattamento dei Dati degli Ospiti, costituite dal presente DPA, dai Termini, dalla configurazione del Servizio e da eventuali ulteriori istruzioni scritte impartite secondo l'art. 4.
- Violazione dei dati personali (data breach): la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati degli Ospiti (art. 4, n. 12, GDPR).
- I termini "trattamento", "titolare del trattamento", "responsabile del trattamento", "interessato", "categorie particolari di dati", "autorità di controllo" hanno il significato di cui all'art. 4 GDPR.
2. Oggetto, ruoli e gerarchia
2.1. Oggetto. Con il presente DPA la Struttura nomina Shakadabra Responsabile del trattamento dei Dati degli Ospiti, e Shakadabra accetta tale nomina, per i soli trattamenti necessari all'erogazione del Servizio descritti all'art. 3 e all'Allegato 1.
2.2. Ruoli. La Struttura è Titolare del trattamento dei Dati degli Ospiti e determina finalità e mezzi del trattamento. Shakadabra è Responsabile del trattamento e tratta i Dati degli Ospiti esclusivamente per conto della Struttura e su sua Istruzione documentata.
2.3. Esclusione di finalità proprie. Shakadabra non tratta i Dati degli Ospiti per finalità proprie. In particolare, nel perimetro di QBNB, Shakadabra non effettua profilazione degli Ospiti, non svolge marketing diretto per conto proprio sui Dati degli Ospiti e non utilizza tali dati per finalità diverse da quelle istruite dalla Struttura, salvo gli obblighi di legge cui Shakadabra è direttamente soggetta e la difesa di un proprio diritto (art. 4.4). I suggerimenti di esperienze e attività locali proposti in chat hanno natura di contenuto commerciale contestuale e non profilato (cfr. art. 12).
2.4. Gerarchia. Il presente DPA prevale, limitatamente al trattamento dei Dati degli Ospiti, su ogni altra pattuizione tra le Parti. La Privacy Policy e i Termini integrano il presente DPA per quanto non espressamente disciplinato; in caso di contrasto, prevale il DPA.
3. Natura, finalità e durata del trattamento
3.1. Natura e finalità. Shakadabra tratta i Dati degli Ospiti per le seguenti finalità, tutte funzionali all'erogazione del Servizio per conto della Struttura:
a. risposta automatizzata 24/7 ai messaggi WhatsApp degli Ospiti, sulla base del Cervello configurato dalla Struttura (assistenza, informazioni sulla struttura e sul territorio);
b. invio di messaggi di utilità (a titolo esemplificativo: benvenuto, istruzioni di check-in, richieste di recensione/NPS), nei limiti delle policy di Meta/WhatsApp e secondo le basi giuridiche che spetta alla Struttura individuare e documentare;
c. inoltro a operatore umano (human handover) delle richieste che lo richiedano;
d. generazione e aggiornamento della "guest memory" — sintesi delle preferenze stabili dell'Ospite, isolata per singola Struttura — al fine di personalizzare l'assistenza nei soggiorni successivi presso la medesima Struttura;
e. erogazione, manutenzione, sicurezza e supporto del Servizio, inclusi log tecnici e di sicurezza strettamente necessari.
3.2. Suggerimenti commerciali (precisazione). Nell'ambito della funzione di concierge, QBNB può proporre in chat suggerimenti contestuali di esperienze e attività locali pertinenti al periodo di soggiorno e alla zona. Tali suggerimenti non si basano su profilazione automatizzata dei Dati degli Ospiti e non costituiscono un trattamento per finalità proprie di Shakadabra ai sensi del presente DPA. L'eventuale prenotazione/acquisto avviene su shop.shakadabra.com, che è un rapporto separato con proprie condizioni e informativa (cfr. art. 12).
3.3. Tipo di operazioni. Il trattamento comprende, a titolo esemplificativo: raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, uso, comunicazione mediante trasmissione, hashing/pseudonimizzazione, cifratura, oscuramento/minimizzazione, cancellazione e distruzione, eseguiti con strumenti automatizzati.
3.4. Durata. Il trattamento ha durata pari a quella del contratto di Servizio (i Termini) tra le Parti e cessa con la sua estinzione, fatti salvi gli obblighi di restituzione/cancellazione di cui all'art. 10 e gli obblighi di conservazione di legge.
3.5. Categorie di interessati e di dati. Le categorie di interessati (Ospiti) e di Dati degli Ospiti trattati sono dettagliate all'Allegato 1, che forma parte integrante del presente DPA.
4. Istruzioni documentate del Titolare
4.1. Shakadabra tratta i Dati degli Ospiti soltanto su Istruzione documentata della Struttura, anche in materia di trasferimento verso Paesi terzi, salvo che vi sia tenuta in forza del diritto dell'Unione o dello Stato membro cui Shakadabra è soggetta; in tal caso Shakadabra informa la Struttura circa tale obbligo giuridico prima del trattamento, a meno che il diritto applicabile lo vieti per rilevanti motivi di interesse pubblico (art. 28(3)(a) GDPR).
4.2. Costituiscono Istruzioni documentate iniziali il presente DPA, i Termini, la Privacy Policy e la configurazione del Servizio operata dalla Struttura (incluse impostazioni del Cervello, dei messaggi di utilità, della retention e delle preferenze di trattamento). Ulteriori istruzioni possono essere impartite per iscritto a legal@qbnb.it o tramite gli strumenti della dashboard.
4.3. Shakadabra informa immediatamente la Struttura qualora ritenga che un'istruzione violi il GDPR o altre disposizioni in materia di protezione dei dati (art. 28(3), ultimo periodo, GDPR). Shakadabra può sospendere l'esecuzione dell'istruzione potenzialmente illecita sino a conferma, modifica o revoca da parte della Struttura, senza che ciò costituisca inadempimento.
4.4. Trattamenti per obbligo di legge / difesa di un diritto. Limitatamente a quanto strettamente necessario per adempiere a obblighi di legge cui Shakadabra è direttamente soggetta, per garantire la sicurezza del Servizio o per accertare, esercitare o difendere un proprio diritto in sede giudiziaria, Shakadabra agisce quale Titolare autonomo per la sola misura indispensabile; al di fuori di tali ipotesi, Shakadabra non determina finalità proprie sui Dati degli Ospiti.
5. Obblighi del Responsabile (art. 28(3) GDPR)
Shakadabra, in qualità di Responsabile, si obbliga a:
5.1. (Istruzioni) trattare i Dati degli Ospiti soltanto su Istruzione documentata della Struttura, alle condizioni dell'art. 4;
5.2. (Riservatezza) garantire che le persone autorizzate al trattamento dei Dati degli Ospiti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e siano istruite e abilitate al trattamento secondo il principio del need-to-know (art. 28(3)(b) e art. 32(4) GDPR);
5.3. (Sicurezza) adottare tutte le misure tecniche e organizzative adeguate richieste dall'art. 32 GDPR, come descritte all'art. 6 e all'Allegato 3;
5.4. (Sub-responsabili) rispettare le condizioni di cui all'art. 28(2) e (4) GDPR per il ricorso a Sub-responsabili (art. 7);
5.5. (Assistenza ai diritti degli interessati) assistere la Struttura, con misure tecniche e organizzative adeguate e nella misura possibile, nel dar seguito alle richieste degli Ospiti per l'esercizio dei loro diritti (artt. 12-22 GDPR), secondo l'art. 8;
5.6. (Assistenza artt. 32-36) assistere la Struttura nel garantire il rispetto degli obblighi di sicurezza (art. 32), notifica e comunicazione delle violazioni (artt. 33-34), valutazione d'impatto (art. 35) e consultazione preventiva (art. 36), tenuto conto della natura del trattamento e delle informazioni a disposizione di Shakadabra (art. 28(3)(f) GDPR), secondo gli artt. 9 e 11;
5.7. (Cancellazione/restituzione) a scelta della Struttura, cancellare o restituire i Dati degli Ospiti al termine del rapporto e cancellare le copie esistenti, salvo obblighi di conservazione di legge (art. 10);
5.8. (Dimostrazione e audit) mettere a disposizione della Struttura tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consentire e contribuire ad attività di audit, comprese le ispezioni, secondo l'art. 13;
5.9. (Registro dei trattamenti) tenere il registro delle categorie di attività di trattamento svolte per conto della Struttura, ai sensi dell'art. 30(2) GDPR, e renderlo disponibile su richiesta dell'autorità di controllo o della Struttura;
5.10. (Punto di contatto) mantenere un punto di contatto in materia di protezione dei dati: legal@qbnb.it. [[Eventuale nomina di un Responsabile della protezione dei dati (DPO) da indicare se nominato; allo stato il punto di contatto è legal@qbnb.it.]]
6. Misure tecniche e organizzative (art. 32 GDPR)
6.1. Tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà degli Ospiti, Shakadabra adotta misure tecniche e organizzative adeguate, tra cui in particolare:
a. Hashing del numero WhatsApp dell'Ospite con algoritmo SHA-256 e "salt" segreto specifico per ciascuna Struttura, ai fini della memorizzazione persistente; il numero non è conservato in chiaro per la persistenza;
b. cifratura del numero, ove la sua conservazione sia necessaria alla continuità del servizio (crittografia simmetrica lato database), e cifratura dei dati in transito (TLS);
c. isolamento logico multi-tenant dei dati tra le diverse Strutture, di modo che i Dati degli Ospiti (inclusa la guest memory) siano segregati per singola Struttura e non comunicanti tra Strutture diverse;
d. minimizzazione e oscuramento automatico delle PII superflue presenti nei contenuti generati (a titolo esemplificativo: oscuramento di numeri di telefono presenti nel testo della guest memory);
e. controlli di accesso basati sui ruoli (RBAC), principio del minimo privilegio e autenticazione degli operatori;
f. registrazione delle operazioni rilevanti (audit log) e monitoraggio di sicurezza;
g. misure di resilienza, backup e ripristino, e procedure di gestione degli incidenti;
h. procedure di test, verifica e valutazione periodica dell'efficacia delle misure.
6.2. Il dettaglio aggiornato delle misure è riportato all'Allegato 3. Shakadabra può aggiornare le misure nel tempo, purché il livello di sicurezza non risulti complessivamente diminuito.
6.3. Le Parti danno atto che le misure di cui all'art. 6.1 lett. (a)-(d) integrano tecniche di pseudonimizzazione e cifratura ai sensi dell'art. 32(1)(a) GDPR, idonee a ridurre il rischio per gli Ospiti.
7. Sub-responsabili (art. 28(2) e (4) GDPR)
7.1. Autorizzazione generale. La Struttura conferisce a Shakadabra autorizzazione generale scritta al ricorso ai Sub-responsabili elencati all'Allegato 2, necessari all'erogazione del Servizio.
7.2. Obblighi equivalenti. Shakadabra impone a ciascun Sub-responsabile, mediante contratto o altro atto giuridico, obblighi di protezione dei dati equivalenti a quelli del presente DPA, in particolare per quanto riguarda le garanzie di cui all'art. 32 GDPR. Shakadabra rimane pienamente responsabile verso la Struttura dell'adempimento degli obblighi del Sub-responsabile.
7.3. Modifiche all'elenco. Shakadabra può aggiungere o sostituire Sub-responsabili dandone preventiva informazione alla Struttura (ad esempio tramite aggiornamento dell'elenco pubblicato e/o comunicazione via email/dashboard), con un congruo preavviso. [[Indicare termine di preavviso, es. 30 giorni, e URL/modalità di pubblicazione dell'elenco sub-responsabili.]]
7.4. Diritto di opposizione. La Struttura può opporsi per giustificati motivi connessi alla protezione dei dati a una nuova nomina o sostituzione, entro il termine indicato. In tal caso le Parti collaborano in buona fede per una soluzione; ove non sia possibile evitare il ricorso al Sub-responsabile senza pregiudicare il Servizio, ciascuna Parte può recedere dalla parte di Servizio interessata secondo i Termini, restando esclusa ogni ulteriore responsabilità di Shakadabra.
7.5. Trasferimenti. Ove un Sub-responsabile tratti i Dati degli Ospiti al di fuori dello Spazio Economico Europeo (SEE), si applica l'art. 11.
8. Assistenza all'esercizio dei diritti degli Ospiti (artt. 12-22 GDPR)
8.1. Tenuto conto della natura del trattamento, Shakadabra assiste la Struttura, con misure tecniche e organizzative adeguate e nella misura possibile, affinché la Struttura possa dar seguito alle richieste degli Ospiti per l'esercizio dei diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione (artt. 15-21 GDPR), nonché in relazione all'art. 22 GDPR.
8.2. Qualora un Ospite rivolga direttamente a Shakadabra una richiesta relativa ai propri dati (ad esempio tramite i canali in chat, come la digitazione di parole-chiave dedicate o la richiesta di "operatore"), Shakadabra non vi dà autonomamente seguito ma la inoltra senza ingiustificato ritardo alla Struttura competente e/o mette a disposizione gli strumenti affinché la Struttura possa gestirla, salvo diversa Istruzione documentata.
8.3. La Struttura può gestire autonomamente, tramite la dashboard, talune richieste (ad esempio rettifica, cancellazione o revisione della guest memory dei propri Ospiti, esportazione dei dati). Per le richieste non gestibili in autonomia, Shakadabra fornisce ragionevole supporto.
8.4. Eventuali costi dell'assistenza che eccedano quanto ragionevolmente incluso nel Servizio (ad esempio richieste manifestamente eccessive o ripetitive) possono essere addebitati alla Struttura secondo tariffe ragionevoli e previamente comunicate. [[Definire eventuale tariffario per assistenza straordinaria.]]
9. Violazioni dei dati personali (artt. 33-34 GDPR)
9.1. Shakadabra notifica alla Struttura senza ingiustificato ritardo dopo esserne venuta a conoscenza ogni Violazione dei dati personali relativa ai Dati degli Ospiti, in modo da consentire alla Struttura di adempiere ai propri obblighi di notifica all'autorità di controllo (art. 33) e di comunicazione agli interessati (art. 34). [[Valutare termine massimo espresso, es. entro 48 ore dalla conoscenza.]]
9.2. La notifica contiene, nella misura disponibile e progressivamente integrabile: la natura della violazione, le categorie e il numero approssimativo di interessati e di record coinvolti, le probabili conseguenze, le misure adottate o proposte per porvi rimedio e attenuarne gli effetti, e i recapiti del punto di contatto.
9.3. Shakadabra coopera con la Struttura e adotta le misure ragionevoli per identificare, contenere e rimediare alla violazione. La Struttura, quale Titolare, è responsabile delle eventuali notifiche all'autorità e agli Ospiti; salvo diversa Istruzione documentata, Shakadabra non effettua tali notifiche per conto proprio.
9.4. Shakadabra documenta le violazioni rilevanti e le misure adottate, e rende tale documentazione disponibile alla Struttura su richiesta.
10. Cancellazione o restituzione dei dati a fine rapporto
10.1. Al termine del rapporto di Servizio, a scelta della Struttura, Shakadabra provvede a cancellare ovvero a restituire i Dati degli Ospiti e a cancellare le copie esistenti, salvo che il diritto dell'Unione o dello Stato membro richieda la conservazione dei dati (art. 28(3)(g) GDPR).
10.2. Salvo diversa Istruzione documentata, la Struttura può richiedere l'esportazione dei Dati degli Ospiti entro [[n. giorni, es. 30]] giorni dalla cessazione; decorso tale termine, Shakadabra procede alla cancellazione secondo i criteri di retention di cui all'art. 10.4.
10.3. La cancellazione include i dati presenti nei sistemi di Shakadabra e l'attivazione delle procedure di cancellazione presso i Sub-responsabili, secondo i rispettivi termini contrattuali e tecnici; i backup sono cancellati o sovrascritti secondo i normali cicli di rotazione.
10.4. Retention. Salvo diversa Istruzione documentata o obbligo di legge, i Dati degli Ospiti sono conservati secondo i seguenti criteri indicativi, allineati alla Privacy Policy e all'AI Policy [[da confermare/parametrizzare per piano]]:
| Dato | Conservazione indicativa |
|---|---|
| Contenuto dei messaggi | 90 giorni dalla data di invio |
| Numero WhatsApp in forma hashed/cifrata | fino a 24 mesi |
| Guest memory | per la durata del rapporto con la Struttura e finché utile alla personalizzazione, salvo cancellazione anticipata |
| Log tecnici / dati aggregati | fino a 12 mesi |
10.5. Su richiesta, Shakadabra fornisce ragionevole attestazione dell'avvenuta cancellazione o restituzione.
11. Trasferimenti verso Paesi terzi (Capo V GDPR)
11.1. Eventuali trasferimenti dei Dati degli Ospiti al di fuori del SEE avvengono esclusivamente in presenza di adeguate garanzie ai sensi del Capo V del GDPR, in particolare le Clausole Contrattuali Standard (SCC) adottate dalla Commissione europea, eventualmente integrate da misure supplementari, e/o sulla base di una decisione di adeguatezza (ad esempio l'EU-US Data Privacy Framework — "DPF" —, ove applicabile al fornitore).
11.2. L'Allegato 2 indica, per ciascun Sub-responsabile, l'ubicazione del trattamento e il meccanismo di trasferimento applicabile (SCC e/o DPF e/o adeguatezza).
11.3. Ove richiesto, Shakadabra fornisce alla Struttura informazioni ragionevoli sui meccanismi di trasferimento adottati e copia/estratto delle garanzie pertinenti, nei limiti degli obblighi di riservatezza verso i fornitori. La Struttura, quale Titolare, è informata che valutazioni d'impatto dei trasferimenti (TIA) possono essere necessarie e collabora con Shakadabra ove richiesto.
12. Marketplace shop.shakadabra.com (rapporto separato)
12.1. Natura dei suggerimenti in chat. Nell'ambito del Servizio QBNB, i suggerimenti di esperienze e attività locali proposti in chat sono contestuali (pertinenti al periodo di soggiorno e alla zona) e di natura commerciale generale: non sono basati su profilazione automatizzata dei Dati degli Ospiti. La natura commerciale dei suggerimenti è resa riconoscibile agli Ospiti.
12.2. Nessuna contitolarità nel perimetro QBNB. All'interno del perimetro di QBNB non sussiste alcuna contitolarità ai sensi dell'art. 26 GDPR tra le Parti per il marketplace, né alcuna profilazione, né alcun trattamento dei Dati degli Ospiti per finalità proprie di Shakadabra.
12.3. Rapporto separato. La prenotazione/acquisto delle esperienze avviene su shop.shakadabra.com, che costituisce un rapporto distinto e autonomo dell'Ospite con Shakadabra, governato da proprie condizioni e informativa. Un'eventuale profilazione ha luogo solo se e quando l'Ospite si iscriva autonomamente a shop.shakadabra.com; in tal caso Shakadabra è Titolare autonomo per quel rapporto separato, disciplinato dalle policy del marketplace e non dal presente DPA.
12.4. Coordinamento informativo. Resta inteso che la Struttura, quale Titolare verso i propri Ospiti, dà evidenza nell'informativa resa agli Ospiti della natura commerciale dei suggerimenti e dell'esistenza del marketplace, in coerenza con la Privacy Policy e l'AI Policy di QBNB.
13. Diritto di audit (art. 28(3)(h) GDPR)
13.1. Shakadabra mette a disposizione della Struttura tutte le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA e dell'art. 28 GDPR, e consente e contribuisce ad attività di audit, comprese le ispezioni, realizzate dalla Struttura o da un soggetto terzo da essa incaricato.
13.2. Modalità. Per tutelare la sicurezza e la riservatezza degli altri Clienti e l'integrità del Servizio in ambiente multi-tenant, l'obbligo di cui all'art. 13.1 è anzitutto assolto mediante la messa a disposizione di attestazioni, report, sintesi di policy e/o certificazioni disponibili, e mediante risposta a ragionevoli questionari di sicurezza. [[Indicare eventuali certificazioni/attestazioni disponibili.]]
13.3. Ispezioni in loco. Qualora le informazioni di cui all'art. 13.2 non siano sufficienti a dimostrare la conformità, la Struttura può richiedere un audit in loco, con ragionevole preavviso scritto [[es. 30 giorni]], in orario lavorativo, non più di una volta l'anno (salvo violazione accertata o richiesta di un'autorità di controllo), per il tramite di un auditor indipendente vincolato alla riservatezza, secondo modalità concordate e proporzionate, senza accesso ai dati di altri Clienti né a informazioni confidenziali di Shakadabra o di terzi.
13.4. Costi. Salvo il caso in cui l'audit riveli un inadempimento sostanziale imputabile a Shakadabra, i costi ragionevoli dell'attività di assistenza all'audit e delle ispezioni in loco sono a carico della Struttura, secondo un tariffario ragionevole e previamente comunicato. [[Definire modalità e costi degli audit.]]
13.5. Shakadabra informa immediatamente la Struttura qualora ritenga che un'istruzione di audit violi il GDPR o altre disposizioni applicabili.
14. Responsabilità e garanzie della Struttura (Titolare)
14.1. La Struttura, quale Titolare, garantisce di:
a. aver fornito agli Ospiti un'informativa adeguata ai sensi degli artt. 13-14 GDPR, comprensiva della presenza dell'assistente AI e della natura commerciale dei suggerimenti, e di disporre di una valida base giuridica per i trattamenti che istruisce, incluse le comunicazioni di utilità/promozionali e l'eventuale invio di messaggi su WhatsApp (compreso l'opt-in richiesto da Meta);
b. impartire istruzioni lecite e conformi al GDPR;
c. essere il legittimo titolare/gestore della struttura ricettiva e dell'utenza WhatsApp Business collegata;
d. non sollecitare il conferimento di categorie particolari di dati (art. 9 GDPR) tramite il Servizio e di gestire tali dati, ove spontaneamente conferiti dagli Ospiti, in conformità alla normativa.
14.2. La Struttura manleva e tiene indenne Shakadabra, nei limiti di legge, dalle conseguenze derivanti dalla violazione degli obblighi di cui all'art. 14.1, ivi incluse pretese di Ospiti, terzi o autorità riconducibili all'assenza di idonea base giuridica, informativa o consenso che spettava alla Struttura acquisire. (Clausola di ripartizione del rischio coerente con le manleve dei Termini.)
15. Responsabilità, limitazioni e foro
15.1. Ciascuna Parte risponde dei danni cagionati dal trattamento secondo l'art. 82 GDPR. La responsabilità di Shakadabra ai sensi del presente DPA è inoltre soggetta alle limitazioni ed esclusioni previste dai Termini, nei limiti consentiti dalla normativa imperativa applicabile.
15.2. Per quanto non disciplinato dal presente DPA in materia di limitazione di responsabilità, massimale, esclusione di garanzie, legge applicabile e foro competente si rinvia ai Termini (in particolare agli articoli ivi dedicati a esclusione/limitazione di responsabilità, legge applicabile e foro), che si intendono qui richiamati. È competente in via esclusiva il Foro di Palermo, salvo il foro inderogabile eventualmente applicabile.
15.3. Salvaguardia consumatore. Ove, in concreto, il Cliente dovesse qualificarsi come consumatore ai sensi del Codice del Consumo (D.lgs. 206/2005), le previsioni del presente DPA che determinino un significativo squilibrio a suo carico si applicano nei soli limiti consentiti dalla normativa imperativa, restando ferme le tutele inderogabili (incluso il foro del consumatore).
16. Durata, modifiche e disposizioni finali
16.1. Durata. Il presente DPA è efficace dalla data di accettazione dei Termini e rimane in vigore per tutta la durata del trattamento dei Dati degli Ospiti, sopravvivendo alla cessazione dei Termini per quanto necessario all'adempimento degli obblighi di cui agli artt. 9, 10 e 13.
16.2. Modifiche. Shakadabra può aggiornare il presente DPA per adeguarlo a modifiche normative, all'evoluzione del Servizio o all'elenco dei Sub-responsabili, dandone informazione alla Struttura con le modalità dei Termini. Le modifiche sostanziali e sfavorevoli sono comunicate con preavviso e, in caso di mancata accettazione, la Struttura può recedere secondo i Termini.
16.3. Invalidità parziale. L'eventuale nullità o inefficacia di una clausola non pregiudica la validità delle restanti.
16.4. Lingua. La versione in lingua italiana del presente DPA prevale su eventuali traduzioni.
16.5. Contatti. Per ogni comunicazione relativa al presente DPA: Shakadabra S.r.l., Via Velasquez 19, 90141 Palermo (PA), PEC shakadabra@pec.it, e-mail legal@qbnb.it.
Allegato 1 — Categorie di interessati e di dati; finalità
Categorie di interessati: gli Ospiti della Struttura, ossia le persone fisiche che comunicano via WhatsApp con la Struttura assistita da QBNB.
Categorie di Dati degli Ospiti trattati:
- Numero di telefono WhatsApp dell'Ospite, sottoposto ad hash SHA-256 con salt segreto per-Struttura ai fini della persistenza e/o conservato in forma cifrata (mai in chiaro per la persistenza);
- nome / identificativo del profilo WhatsApp dell'Ospite;
- contenuto dei messaggi scambiati (testo ed eventuali altri contenuti inviati dall'Ospite) e delle risposte generate;
- metadati della conversazione: data e ora, lingua rilevata, intento (intent) classificato, stato della conversazione;
- "guest memory": sintesi delle preferenze stabili dell'Ospite, isolata per singola Struttura, con oscuramento automatico delle PII superflue.
Categorie particolari di dati (art. 9 GDPR): non previste; il Servizio non è progettato per raccoglierle. Eventuali dati particolari conferiti spontaneamente dall'Ospite in chat sono trattati solo per dar seguito alla specifica richiesta e nella misura strettamente necessaria, sotto la responsabilità della Struttura.
Finalità del trattamento: quelle indicate all'art. 3.1 (risposta automatizzata 24/7; messaggi di utilità; inoltro a operatore umano; guest memory; erogazione, sicurezza e supporto del Servizio). Esclusi: profilazione degli Ospiti e trattamenti per finalità proprie di Shakadabra.
Allegato 2 — Sub-responsabili autorizzati
Elenco aggiornato pubblicato/reso disponibile alle Strutture. [[Indicare URL o modalità di pubblicazione e termine di preavviso per le modifiche.]]
| Sub-responsabile | Finalità | Ubicazione / trasferimento e garanzie |
|---|---|---|
| Meta Platforms Ireland Ltd | WhatsApp Business Platform — recapito dei messaggi tra Ospite e Struttura | UE (Irlanda); possibili trasferimenti extra-UE coperti da SCC e/o altre garanzie del Capo V |
| Fornitore modelli AI — [[Anthropic — confermare entità contraente]] | Classificazione dell'intento e generazione delle risposte; regime di non addestramento / zero data retention [[confermare]] | Possibile trattamento extra-UE coperto da SCC e/o DPF [[confermare meccanismo]] |
| Supabase | Database e autenticazione | Hosting in UE [[confermare regione UE]]; eventuali sub-fornitori coperti da garanzie |
| Fly.io | Hosting del backend applicativo | Regione UE (Francoforte, Germania); fornitore con sede USA, trasferimenti coperti da SCC ove pertinente |
| Vercel | Hosting del frontend (dashboard, landing) | Fornitore con sede USA / CDN; trasferimenti coperti da SCC e/o DPF ove pertinente |
| Zoho | Posta elettronica e comunicazioni di servizio | Trasferimenti coperti da SCC ove pertinente |
| Stripe (ove attivo per il billing) | Gestione dei pagamenti e fatturazione | Trasferimenti coperti da SCC e/o DPF; [[attivare se billing in produzione]] |
Per i fornitori che operano come autonomi titolari per finalità proprie (es. il processore dei pagamenti), il trattamento dei relativi dati è retto dalle rispettive informative; rispetto ai Dati degli Ospiti trattati per conto della Struttura essi operano quali Sub-responsabili.
Allegato 3 — Misure tecniche e organizzative (art. 32 GDPR)
- Pseudonimizzazione: hashing del numero WhatsApp dell'Ospite con SHA-256 e salt segreto per-Struttura; nessuna persistenza del numero in chiaro.
- Cifratura: cifratura in transito (TLS) e cifratura del numero a riposo ove conservato per la continuità del servizio.
- Isolamento multi-tenant: segregazione logica dei dati per Struttura; guest memory isolata e non comunicante tra Strutture.
- Minimizzazione / oscuramento PII: rimozione automatica delle PII superflue dai contenuti generati (es. oscuramento di numeri di telefono nel testo della guest memory).
- Controllo degli accessi: RBAC, minimo privilegio, autenticazione degli operatori; accessi tracciati.
- Riservatezza del personale: impegni di riservatezza e formazione del personale autorizzato.
- Logging e monitoraggio: audit log delle operazioni rilevanti; monitoraggio di sicurezza.
- Resilienza, backup e ripristino: procedure di backup, continuità e disaster recovery.
- Gestione degli incidenti: procedura di rilevazione, gestione e notifica delle violazioni (art. 9 del DPA).
- Gestione dei fornitori: selezione di Sub-responsabili con garanzie adeguate e imposizione di obblighi equivalenti (art. 7 del DPA).
- Verifica periodica: test e valutazione periodica dell'efficacia delle misure.
[[Allegato da mantenere aggiornato; il livello di sicurezza non potrà essere complessivamente diminuito.]]
Il presente DPA è parte integrante dei Termini e Condizioni di QBNB e va letto congiuntamente alla Privacy Policy, alla Cookie Policy e all'AI Policy di QBNB.
BOZZA — da sottoporre a revisione di un legale qualificato prima della pubblicazione. I segnaposto tra [[...]] devono essere completati con i dati definitivi prima della messa online.