Accordo di Trattamento Dati tra Klipcard e Commerciante
Ultimo aggiornamento: Gennaio 2026 · Versione 1.0
Il presente Data Processing Agreement ("DPA") regola il trattamento dei dati personali effettuato da Klipcard per conto del Commerciante nell'ambito della fornitura del servizio di digital loyalty cards.
Commerciante (Data Controller): Il titolare del trattamento che determina finalità e mezzi del trattamento dei dati dei propri clienti.
Klipcard (Data Processor): Il responsabile del trattamento che tratta i dati per conto del Commerciante.
Dati Personali: Nome, cognome, email, telefono, data di nascita (giorno/mese) dei clienti del Commerciante.
Servizio: Piattaforma Klipcard per la gestione di programmi fedeltà digitali.
1. Klipcard tratta i Dati Personali esclusivamente per conto del Commerciante e secondo le sue istruzioni.
2. Finalità del trattamento: gestione programma fedeltà; tracciamento bollini/punti; comunicazioni relative al programma (se autorizzate); analytics aggregate per il Commerciante.
3. Klipcard NON utilizza i dati per propri scopi commerciali senza consenso esplicito.
Klipcard si impegna a: trattamento conforme alle istruzioni documentate; riservatezza del personale; misure di sicurezza (crittografia, backup, access control); notifica data breach entro 72 ore; assistenza per diritti degli interessati; cancellazione/restituzione dati a fine contratto; supporto audit.
Il Commerciante si impegna a: garantire base legale valida; fornire informativa privacy ai clienti (anche con identità Klipcard come responsabile); raccogliere consenso esplicito per marketing se applicabile; fornire istruzioni documentate a Klipcard.
| Nome | Servizio | Località | Garanzie |
|---|---|---|---|
| Google LLC (Firebase) | Database, Hosting, Cloud Functions | EU/USA | SCC, GDPR compliant |
| Stripe Inc. | Payment processing | EU/USA | PCI-DSS, GDPR compliant |
Klipcard notificherà eventuali aggiunte/modifiche con 30 gg di anticipo.
I dati possono essere trasferiti fuori UE solo con garanzie appropriate (SCC). Firebase/Google Cloud utilizzano Standard Contractual Clauses approvate dalla Commissione Europea.
In caso di violazione: Klipcard notifica il Commerciante entro 72 ore; la notifica include natura, categorie di interessati, conseguenze e misure adottate; il Commerciante valuta se notificare Garante e interessati.
Klipcard assiste il Commerciante per accesso, rettifica, cancellazione, limitazione, portabilità, opposizione (artt. 15–21 GDPR). La dashboard include strumenti per export e cancellazione dati.
Conservazione: durata contratto + 24 mesi. Cancellazione account commerciante: dati clienti eliminati entro 30 gg. Backup: eliminati entro 90 gg.
Klipcard responsabile solo per violazioni GDPR proprie; Commerciante per violazioni proprie (mancata informativa, assenza consenso, ecc.). Limite responsabilità: fees ultimi 12 mesi (salvo dolo/colpa grave).
Il DPA ha validità per tutta la durata del contratto. In caso di risoluzione: Klipcard cancella/restituisce i dati entro 30 gg; su richiesta fornisce export completo.
Data Processor (Klipcard): privacy@klipcard.app · DPO: dpo@klipcard.app (se nominato).
Data Controller (Commerciante): dati forniti in fase di registrazione.
Per reclami relativi al trattamento dati (ruolo di responsabile): contattare Klipcard a privacy@klipcard.app. Per controversie contrattuali vedi Termini di Servizio.
Accettazione: Il Commerciante accetta questo DPA al momento della registrazione su Klipcard. Versione corrente disponibile su: klipcard.app/dpa.html.