Accordo sul Trattamento dei Dati (DPA)

Ultimo aggiornamento: Gennaio 2026 · Versione 1.1

Accordo sul trattamento dei dati personali ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR), tra il Cliente di Verto ("Titolare") e Diciassette S.r.l.s. ("Responsabile").

Art. 1 — Definizioni

Ai fini del presente accordo si applicano le seguenti definizioni:

  • GDPR: Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
  • Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile.
  • Trattamento: qualsiasi operazione o insieme di operazioni compiute su dati personali.
  • Interessato: la persona fisica a cui si riferiscono i dati personali (in questo contesto, gli ospiti del Cliente).
  • Sub-responsabile: soggetto terzo incaricato dal Responsabile di effettuare specifiche operazioni di trattamento.
  • Violazione dei Dati (Data Breach):violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali.
  • Contratto Principale:il contratto di servizio tra il Cliente e Diciassette S.r.l.s. per l'utilizzo della piattaforma Verto.

Art. 2 — Oggetto e Durata

Il presente DPA disciplina il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare nell'ambito dell'erogazione dei servizi Verto. L'accordo entra in vigore contestualmente al Contratto Principale e resta efficace per tutta la durata dello stesso, fino alla completa restituzione o cancellazione dei dati personali.

Art. 3 — Natura e Finalità del Trattamento

Il Responsabile tratta i dati personali esclusivamente per le seguenti finalità, su istruzione documentata del Titolare:

  • Importazione e sincronizzazione delle prenotazioni
  • Identificazione degli ospiti e associazione alla prenotazione
  • Generazione e invio di messaggi automatici (check-in, check-out, benvenuto)
  • Gestione delle comunicazioni WhatsApp con gli ospiti
  • Elaborazione dei messaggi tramite modelli di intelligenza artificiale per la generazione di risposte contestuali
  • Conservazione della cronologia delle conversazioni
  • Generazione di report e statistiche aggregate
  • Fornitura di assistenza tecnica al Cliente

Art. 4 — Tipologie di Dati e Categorie di Interessati

Categorie di interessati

Ospiti delle strutture ricettive gestite dal Cliente tramite la piattaforma Verto.

Tipologie di dati personali

  • Dati identificativi: nome, cognome, lingua preferita
  • Dati di contatto: numero di telefono, indirizzo email
  • Dati relativi alla prenotazione: date di soggiorno, numero ospiti, importo, canale di provenienza, richieste speciali
  • Dati di localizzazione: paese di provenienza
  • Contenuto delle comunicazioni:messaggi WhatsApp scambiati tra l'ospite e il sistema

Art. 5 — Obblighi del Responsabile

Il Responsabile si impegna a:

  • Trattare i dati personali esclusivamente sulla base di istruzioni documentate del Titolare
  • Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza
  • Adottare tutte le misure di sicurezza richieste dall'art. 32 del GDPR
  • Rispettare le condizioni per il ricorso a sub-responsabili (art. 6 del presente accordo)
  • Assistere il Titolare nell'adempimento degli obblighi relativi ai diritti degli interessati
  • Assistere il Titolare nella conduzione di valutazioni d'impatto (DPIA) e consultazioni preventive
  • Al termine del servizio, restituire o cancellare i dati secondo le istruzioni del Titolare
  • Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e consentire audit

Art. 6 — Sub-responsabili

Il Titolare autorizza in via generale il ricorso ai seguenti sub-responsabili:

  • Meta Platforms Ireland Ltd — WhatsApp Business API, messaggistica
  • Twilio Inc. — Infrastruttura telefonica e numeri WhatsApp Business
  • Anthropic PBC — Claude AI, elaborazione linguaggio naturale
  • OpenAI, LLC — GPT, elaborazione linguaggio naturale
  • Stripe, Inc. — Gestione pagamenti
  • Provider hosting/cloud — Infrastruttura e storage

L'elenco aggiornato dei sub-responsabili è disponibile alla pagina Sub-responsabili. Il Responsabile informa il Titolare di eventuali modifiche con un preavviso di almeno 15 giorni. Il Titolare ha diritto di opporsi alla nomina di un nuovo sub-responsabile entro 15 giorni dalla comunicazione.

Art. 7 — Misure di Sicurezza

Misure tecniche

  • Crittografia dei dati in transito (TLS 1.2+) e a riposo (AES-256)
  • Controllo degli accessi basato sui ruoli (RBAC)
  • Autenticazione a più fattori (MFA) per l'accesso ai sistemi

Misure organizzative

  • Formazione periodica del personale sulla protezione dei dati
  • Procedure documentate di gestione degli incidenti
  • Revisione periodica delle autorizzazioni di accesso

Art. 8 — Trasferimenti Internazionali

I trasferimenti di dati personali verso paesi terzi (in particolare gli Stati Uniti) avvengono sulla base del EU-US Data Privacy Framework e/o delle Clausole Contrattuali Standard (SCCs) adottate dalla Commissione Europea.

I dati personali degli ospiti non vengono utilizzati per l'addestramento (training) dei modelli di intelligenza artificiale. Eventuali dati anonimizzati e aggregati possono essere utilizzati per il miglioramento del servizio.

Art. 9 — Data Breach

In caso di violazione dei dati personali, il Responsabile notifica il Titolare senza ingiustificato ritardo e comunque entro 48 ore dal momento in cui ne viene a conoscenza, fornendo tutte le informazioni necessarie per consentire al Titolare di adempiere ai propri obblighi di notifica ai sensi degli artt. 33 e 34 del GDPR.

Art. 10 — Diritti degli Interessati

Il Responsabile assiste il Titolare, con misure tecniche e organizzative adeguate, nell'adempimento dell'obbligo di dare seguito alle richieste degli interessati per l'esercizio dei diritti previsti dal Capo III del GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).

Art. 11 — Audit

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal presente accordo e consente audit e ispezioni con un preavviso di almeno 30 giorni. Il Titolare accetta che report di certificazione indipendenti (SOC 2, ISO 27001) possano essere utilizzati come prova di conformità.

Art. 12 — Restituzione e Cancellazione dei Dati

Al termine del Contratto Principale, il Titolare può richiedere la restituzione dei dati entro 30 giorni. In assenza di richiesta, i dati verranno cancellati entro 60 giorni dalla cessazione del servizio, salvo obblighi di conservazione previsti dalla legge.

Art. 13 — Responsabilità

La responsabilità complessiva del Responsabile derivante da o connessa al presente DPA è limitata agli importi effettivamente corrisposti dal Titolare nei 12 mesiprecedenti l'evento che ha dato origine alla responsabilità.

Art. 14 — Obblighi del Titolare

Il Titolare garantisce di aver acquisito tutti i consensi necessari e di disporre di una base giuridica valida per il trattamento dei dati personali degli ospiti. Il Titolare si impegna a fornire istruzioni conformi alla normativa vigente.

Art. 15 — Disposizioni Finali

Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia derivante dal presente accordo è competente in via esclusiva il Foro di Modena.