Factory

Data Processing Agreement

Versione 2026-05-08

Il presente Data Processing Agreement (“DPA”) è parte integrante dei Termini di Servizio e disciplina il trattamento dei dati personali ai sensi dell’art. 28 GDPR.

1. Ruoli

Il Cliente agisce come Titolare del Trattamento per i dati personali dei propri clienti finali (visitatori del sito, prenotazioni ricevute).

Factory agisce come Responsabile del Trattamento ai sensi dell’art. 28 GDPR per conto del Cliente.

2. Oggetto e durata

Factory tratta i dati personali esclusivamente per erogare il Servizio descritto nei Termini. La durata coincide con quella del contratto principale, prolungata di 30 giorni successivi alla cessazione per consentire l’estrazione e cancellazione dei dati.

3. Categorie di dati e interessati

Categorie di interessati: visitatori del sito, soggetti che effettuano prenotazioni.

Categorie di dati: nome, email, telefono, dati di prenotazione, dati tecnici (IP hash, user-agent), preferenze cookie.

4. Obblighi di Factory

  • Trattare i dati solo su istruzioni documentate del Cliente
  • Garantire che il personale autorizzato sia vincolato al segreto
  • Adottare misure tecniche e organizzative adeguate (cifratura in transito TLS, in stato di riposo a livello DB e storage; backup giornalieri; controllo degli accessi RBAC)
  • Notificare al Cliente eventuali violazioni di dati entro 72 ore dalla scoperta
  • Assistere il Cliente nelle richieste degli interessati (artt. 15-22 GDPR)
  • Cancellare o restituire i dati al termine del contratto, su scelta del Cliente
  • Mettere a disposizione del Cliente tutte le informazioni necessarie per dimostrare la conformità

5. Sub-Responsabili

Il Cliente autorizza in modo generale l’uso dei sub-responsabili elencati nell’Informativa sulla Privacy. Factory comunicherà via email eventuali modifiche con almeno 30 giorni di preavviso, dando al Cliente la possibilità di opporsi.

6. Trasferimenti extra-UE

Quando i dati sono trasferiti fuori dall’Unione Europea (es. Anthropic, Stripe), il trasferimento avviene esclusivamente tramite Standard Contractual Clauses approvate dalla Commissione Europea.

7. Audit

Il Cliente ha diritto di richiedere, una volta l’anno e con preavviso di 30 giorni, la documentazione di conformità o un audit svolto da terzi indipendenti. Costi e tempistiche sono concordati separatamente.

8. Responsabilità

Le parti rispondono ciascuna per i propri obblighi GDPR. La responsabilità di Factory è limitata come previsto nei Termini di Servizio.

9. Modifiche

Modifiche al presente DPA seguono la procedura prevista nei Termini di Servizio (preavviso di 60 giorni).

Accettando i Termini di Servizio e l’informativa sulla Privacy, il Cliente sottoscrive il presente DPA.