Accordo di trattamento dei dati (DPA)

« GDPR » indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.

« Titolare del trattamento » indica il Cliente, che determina le finalità e i mezzi del trattamento.

« Responsabile esterno » indica MAGIC PRICES SAS, che tratta i dati per conto del Titolare del trattamento nell'ambito della fornitura del Servizio CSS.

Il presente DPA si applica esclusivamente ai dati personali trattati da MAGIC PRICES SAS nell'esecuzione del Servizio a favore del Cliente.

Natura del trattamento: associazione tecnica dell'Account Merchant Center del Cliente al CSS MagicPrices, trasmissione delle offerte Shopping a Google, monitoraggio dello stato dell'abbonamento, supporto tecnico.

Finalità del trattamento: fornitura del Servizio CSS ordinato dal Cliente in conformità ai Termini Generali di Servizio.

Durata del trattamento: per tutta la durata dell'abbonamento, prolungata di un periodo di tre (3) anni dopo la risoluzione per esigenze di archiviazione legale e contestazioni eventuali.

Categorie di dati trattati: identificativi Google Merchant Center, identificativi di campagna Google Ads (se applicabile), dati tecnici di attivazione CSS, stati di sincronizzazione.

Categorie di interessati: rappresentanti legali del Cliente, collaboratori del Cliente autorizzati ad amministrare l'account Google Ads/Merchant Center.

Nessun dato sensibile ai sensi dell'articolo 9 del GDPR (origine razziale, opinioni politiche, salute, biometrici, ecc.) è trattato nell'ambito del Servizio.

Trattare i dati personali esclusivamente su istruzioni documentate del Titolare del trattamento, salvo obbligo legale contrario.

Garantire la riservatezza dei dati trattati da parte di qualsiasi persona autorizzata ad accedervi.

Implementare le misure tecniche e organizzative adeguate dettagliate nell'Allegato 1 del presente DPA.

Assistere il Titolare del trattamento nel rispetto dei suoi obblighi in materia di sicurezza, notifica di violazione, valutazioni di impatto (DPIA) e gestione delle richieste di esercizio dei diritti.

Il Responsabile esterno è autorizzato a ricorrere ai seguenti sub-responsabili: Stripe Payments Europe Ltd (Irlanda), Brevo / SendInBlue SAS (Francia), Cloudflare Inc. (Stati Uniti, sotto Clausole Contrattuali Standard), Google LLC (Stati Uniti e UE, sotto Clausole Contrattuali Standard e Data Privacy Framework).

Il Responsabile esterno informa il Titolare del trattamento via email con preavviso di trenta (30) giorni in caso di aggiunta o sostituzione di un sub-responsabile.

Crittografia dei dati in transito (TLS 1.3) e a riposo (AES-256).

Controllo di accesso rigoroso basato sul principio del minimo privilegio, con autenticazione multi-fattore per tutti gli amministratori.

Logging degli accessi e delle operazioni sensibili, conservato per dodici (12) mesi.

Backup giornalieri crittografati, testati trimestralmente.

Politica di gestione degli incidenti documentata, con procedura di notifica di violazione entro settantadue (72) ore.

Hosting dei server principali nell'Unione europea (Francia e Paesi Bassi) presso fornitori conformi ISO 27001.

In caso di violazione dei dati personali, il Responsabile esterno notifica il Titolare del trattamento nel più breve tempo possibile e al massimo entro settantadue (72) ore dalla effettiva presa di conoscenza della violazione.

La notifica precisa: la natura della violazione, le categorie e il volume approssimativo dei dati e delle persone interessate, le conseguenze probabili, le misure adottate o previste per rimediare alla violazione e attenuarne gli effetti.

Il Responsabile esterno assiste il Titolare del trattamento, con misure tecniche e organizzative adeguate, nella gestione delle richieste di esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).

Tale assistenza è fornita nei limiti del possibile tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile esterno.

Alla scadenza o risoluzione del contratto di servizio, e a scelta del Titolare del trattamento, il Responsabile esterno restituisce tutti i dati personali o li cancella in modo sicuro entro un termine di trenta (30) giorni.

Sono esclusi da tale obbligo i dati per i quali il diritto dell'Unione o il diritto francese impongono la conservazione (in particolare fatture e dati contabili conservati dieci (10) anni).

Il Responsabile esterno mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA e consentire la realizzazione di audit, comprese ispezioni, in condizioni di riservatezza e preavviso ragionevole (minimo trenta (30) giorni).

Il presente DPA prende effetto alla data di accettazione dei Termini Generali di Servizio da parte del Cliente e rimane in vigore per tutta la durata del contratto di servizio, nonché per il periodo di conservazione post-risoluzione necessario.