Accordo sul Trattamento dei Dati
Il Data Processing Agreement (DPA) definisce come i dati personali vengono trattati tra titolare e responsabile del trattamento in conformità al GDPR.
ultimo aggiornamento: 01/01/2026
Il presente Accordo sul Trattamento dei Dati (“Accordo” o “DPA”) costituisce parte integrante dell’accordo
tra GlobeID Limited e il Cliente che disciplina l’utilizzo dei servizi PassportScan.
1. Parti
1.1 Titolare del trattamento (Cliente)
La persona giuridica che utilizza i servizi PassportScan per trattare dati personali nell’ambito
delle proprie attività di ospitalità, alloggio o registrazione degli ospiti (“Cliente”).
1.2 Responsabile del trattamento
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, Irlanda
(“GlobeID” o “Responsabile del trattamento”).
2. Definizioni
I termini con iniziale maiuscola non definiti nel presente documento hanno il significato attribuito
dal Regolamento Generale sulla Protezione dei Dati (GDPR).
- Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile.
- Trattamento: qualsiasi operazione effettuata sui Dati personali ai sensi del GDPR.
- Interessato: la persona a cui si riferiscono i Dati personali.
- Normativa applicabile in materia di protezione dei dati: GDPR e ogni normativa nazionale di attuazione.
- Sub-responsabile: qualsiasi terza parte incaricata da GlobeID di trattare Dati personali per conto del Cliente.
3. Oggetto e durata
3.1 Oggetto
Il presente DPA disciplina il trattamento dei Dati personali da parte di GlobeID per conto del Cliente
attraverso la piattaforma PassportScan e i servizi correlati.
3.2 Durata
Il trattamento continuerà per tutta la durata dell’utilizzo dei Servizi da parte del Cliente, salvo diverso accordo scritto.
4. Natura e finalità del trattamento
4.1 Natura del trattamento
Il trattamento può includere raccolta, registrazione, organizzazione, conservazione, consultazione,
trasmissione ed eliminazione dei Dati personali.
4.2 Finalità del trattamento
Il trattamento è effettuato esclusivamente per:
- consentire il check-in e la registrazione degli ospiti
- scansionare ed estrarre dati dai documenti di identità
- trasmettere i dati richiesti ai sistemi PMS
- adempiere agli obblighi legali di comunicazione degli ospiti (es. polizia, immigrazione, autorità statistiche)
- supportare firme digitali e flussi di consenso
5. Categorie di Dati personali e Interessati
5.1 Categorie di Dati personali
A seconda dell’utilizzo dei Servizi da parte del Cliente, i Dati personali possono includere:
- nome completo
- data e luogo di nascita
- nazionalità e cittadinanza
- tipo, numero, autorità emittente e data di scadenza del documento di identità
- immagini dei documenti e dati MRZ (zona a lettura ottica)
- informazioni di prenotazione e soggiorno
- firme digitali e registrazioni del consenso
5.2 Categorie di Interessati
- ospiti del Cliente, inclusi bambini e minori ove richiesto dalla legge
- persone accompagnatrici collegate a una prenotazione
6. Ruoli e responsabilità
6.1 Obblighi del Cliente
Il Cliente:
- agisce in qualità di Titolare del trattamento
- determina finalità e base giuridica del trattamento
- garantisce la raccolta lecita dei Dati personali
- fornisce le informative privacy richieste agli Interessati
- stabilisce i periodi di conservazione
6.2 Obblighi di GlobeID
GlobeID dovrà:
- trattare i Dati personali solo su istruzioni documentate del Cliente
- garantire la riservatezza dei Dati personali
- implementare adeguate misure di sicurezza tecniche e organizzative
- assistere il Cliente nel rispetto degli obblighi GDPR
- non trattare i Dati personali per finalità proprie
7. Trattamento dei dati dei minori
Il Cliente riconosce che PassportScan può trattare Dati personali relativi a bambini e minori ove richiesto dalla legge durante la registrazione.
Tale trattamento:
- è effettuato esclusivamente su istruzioni del Cliente
- è limitato ai dati strettamente necessari alla conformità legale
- non è utilizzato per marketing, profilazione o analisi
8. Misure di sicurezza
GlobeID implementa adeguate misure tecniche e organizzative ai sensi dell’Articolo 32 del GDPR.
Tali misure includono, a titolo esemplificativo:
- crittografia a riposo dei Dati personali sensibili memorizzati in bucket Amazon S3 cifrati
- crittografia in transito tramite protocolli di comunicazione sicuri
- separazione logica dei dati dei clienti per regione e account
- controllo accessi basato sui ruoli e principio del privilegio minimo
- autenticazione sicura, logging e monitoraggio
- procedure di rilevamento e risposta agli incidenti
Documenti di identità sensibili e dati estratti sono memorizzati cifrati nell’infrastruttura AWS regionale applicabile.
9. Sub-responsabili
9.1 Autorizzazione generale
Il Cliente concede a GlobeID autorizzazione scritta generale a coinvolgere Sub-responsabili ove necessario per la fornitura, il funzionamento, la sicurezza e la manutenzione dei Servizi.
I Sub-responsabili possono fornire servizi quali hosting infrastrutturale, amministrazione di sistema, monitoraggio, autenticazione, logging e supporto operativo.
Tutti i Sub-responsabili sono vincolati contrattualmente da obblighi di riservatezza e protezione dei dati non inferiori a quelli previsti nel presente Accordo.
GlobeID rimane pienamente responsabile per gli atti e le omissioni dei propri Sub-responsabili.
9.2 Elaborazione OCR sul dispositivo
Quando PassportScan utilizza tecnologie OCR o analisi dei documenti, l’elaborazione dei documenti sensibili avviene localmente sul dispositivo mobile dell’utente finale.
Nessun documento di identità grezzo o dato sensibile estratto viene trasmesso a fornitori OCR terzi; pertanto tali fornitori non ricevono Dati personali e non sono considerati Sub-responsabili.
9.3 Trasparenza dei Sub-responsabili
GlobeID mantiene un elenco aggiornato dei Sub-responsabili autorizzati.
Il Cliente fornisce con la presente autorizzazione generale all’utilizzo dei Sub-responsabili elencati in tale posizione.
GlobeID informerà i Clienti di modifiche sostanziali all’elenco prima dell’ingaggio di un nuovo Sub-responsabile e fornirà la possibilità di opposizione ove richiesto dalla normativa applicabile.
10. Hosting dei dati e trasferimenti internazionali
10.1 Infrastruttura Cloud
I Dati personali sono ospitati su Amazon Web Services (AWS).
10.2 Residenza regionale dei dati
PassportScan applica un modello di archiviazione regionale allineato alla posizione dell’hotel del Cliente.
Regioni supportate al momento del presente Accordo:
| Zona geografica | Luogo di archiviazione dati |
|---|---|
| Europa | Irlanda |
| Asia | Singapore |
| Australia | Sydney |
| Nord America | North Virginia |
| Sud America | São Paulo |
I Dati personali sono memorizzati nella regione corrispondente alla sede operativa del Cliente salvo diverso accordo.
10.3 Trasferimenti transfrontalieri
In caso di trasferimenti internazionali, GlobeID garantisce adeguate salvaguardie, incluse le Clausole Contrattuali Standard UE ove richiesto.
ALLEGATO 1 – RIEPILOGO DEL TRATTAMENTO
| Elemento | Descrizione |
|---|---|
| Oggetto | Dati di identità e check-in degli ospiti |
| Finalità | Conformità legale e registrazione ospiti |
| Interessati | Ospiti, inclusi minori |
| Categorie di dati | Documenti di identità, dati ospite |
| Trattamento | Raccolta, conservazione, trasmissione |
| Durata | Durata contrattuale |
