Rectangle

Accordo sul Trattamento dei Dati

Il Data Processing Agreement (DPA) definisce come i dati personali vengono trattati tra titolare e responsabile del trattamento in conformità al GDPR.

Versione: 2.0
Ultimo aggiornamento: 23/02/2026

 

1. Parti

Il presente Accordo sul Trattamento dei Dati (“DPA”) costituisce parte integrante del Contratto di Servizi tra:

Titolare del trattamento: Il cliente del settore hospitality che utilizza PassportScan Cloud

Responsabile del trattamento:
GlobeID Limited
The Black Church, St. Mary’s Place
Dublin 7, D07P4AX
Irlanda
Partita IVA: IE 3342103WH

Il Responsabile fornisce i servizi PassportScan Cloud al Titolare.

 

2. Finalità

Il presente DPA disciplina il trattamento dei Dati Personali da parte del Responsabile per conto del Titolare in conformità a:

  • Regolamento (UE) 2016/679 (GDPR)
  • Normativa locale applicabile in materia di protezione dei dati

Il Responsabile tratta i Dati Personali esclusivamente su istruzioni documentate del Titolare.

 

3. Natura e finalità del trattamento

PassportScan Cloud consente:

  • Registrazione digitale degli ospiti
  • Scansione dei documenti di identità ed estrazione OCR
  • Raccolta dei consensi
  • Esportazione ai fini normativi
  • Integrazione con PMS
  • Acquisto crediti e attivazione account

Il trattamento dei pagamenti è gestito esclusivamente da Stripe.

Il Responsabile non determina le finalità del trattamento.

 

4. Categorie di interessati

  • Ospiti dell’hotel
  • Ospiti minorenni (ove richiesto dalla legge)
  • Titolari di prenotazione
  • Utenti membri dello staff dell’hotel
  • Contatti per la fatturazione

 

5. Categorie di Dati Personali

Dati Identificativi

  • Nome, cognome
  • Data e luogo di nascita
  • Nazionalità
  • Numero del documento di identità
  • Tipo di documento
  • Data di scadenza
  • Immagini del documento (se abilitate)
  • Immagini della firma
  • Metadati relativi al consenso

Dati Tecnici

  • Indirizzo IP
  • Metadati di autenticazione
  • Metadati del dispositivo
  • Log di sistema

Metadati di Pagamento

  • ID transazione
  • Stato del pagamento
  • Importo
  • Valuta
  • Email di fatturazione (ove applicabile)

Il Responsabile non memorizza né tratta:

  • Numeri completi di carte di pagamento
  • Codici CVV
  • Date di scadenza delle carte

I dati delle carte di pagamento sono trattati esclusivamente da Stripe.

 

6. Obblighi del Responsabile

Il Responsabile si impegna a:

  • Trattare i Dati Personali esclusivamente su istruzioni documentate
  • Garantire la riservatezza
  • Implementare misure tecniche e organizzative adeguate
  • Assistere il Titolare nell’esercizio dei diritti degli interessati
  • Notificare eventuali violazioni dei dati personali senza ingiustificato ritardo
  • Cancellare o restituire i Dati Personali al termine del contratto

 

7. Misure tecniche e organizzative

Il Responsabile implementa:

  • Infrastruttura ospitata su AWS
  • Distribuzione Multi-AZ
  • Crittografia a livello applicativo / di campo (Modello B)
  • Crittografia AES-256 a riposo
  • Crittografia TLS 1.2+ in transito
  • Controllo degli accessi basato su ruoli
  • Supporto MFA
  • Logging e monitoraggio
  • Penetration test indipendenti

 

8. Sub-responsabili

Il Titolare autorizza il Responsabile a nominare sub-responsabili come indicato nel Registro pubblico dei Sub-responsabili.

Le categorie attuali includono:

  • Amazon Web Services (AWS) – Infrastruttura Cloud
  • Clerk – Autenticazione
  • Datadog – Monitoraggio
  • Google Workspace – Operazioni interne
  • Stripe – Gestione pagamenti

Il Responsabile garantisce che i sub-responsabili siano vincolati da obblighi conformi al GDPR.

 

9. Sicurezza del trattamento (Articolo 32 GDPR)

Il Responsabile garantisce misure di sicurezza adeguate considerando:

  • Lo stato dell’arte
  • I costi di attuazione
  • La natura, l’ambito, il contesto e le finalità del trattamento
  • Il rischio per i diritti e le libertà delle persone fisiche

Le misure includono crittografia, controllo degli accessi, resilienza dei sistemi e capacità di gestione degli incidenti.

 

10. Residenza dei dati e trasferimenti internazionali

10.1 Infrastruttura principale

L’infrastruttura principale della piattaforma, inclusi i servizi applicativi e i database primari, è ospitata esclusivamente in:

Amazon Web Services (AWS) – eu-west-1 (Irlanda, Unione Europea).

Non è configurata alcuna replica cross-region dei database principali.

10.2 Archiviazione regionale delle immagini dei documenti

Qualora la funzionalità di archiviazione delle immagini dei documenti sia attivata dal Titolare, lo storage oggetti (Amazon S3) può essere configurato nella regione AWS corrispondente alla giurisdizione operativa dell’hotel.

Tali regioni possono includere località al di fuori dello Spazio Economico Europeo (SEE), inclusi, a titolo esemplificativo:

  • Asia-Pacifico
  • Africa
  • Nord America
  • Sud America
  • Australia

La regionalizzazione consente:

  • Conformità ai requisiti di localizzazione dei dati
  • Ottimizzazione della latenza
  • Allineamento giurisdizionale

10.3 Garanzie per i trasferimenti internazionali

Qualora i Dati Personali siano trattati al di fuori del SEE, i trasferimenti sono disciplinati da:

  • AWS Data Processing Addendum
  • Clausole Contrattuali Standard (SCC), ove applicabili
  • Crittografia a riposo (AES-256)
  • Crittografia in transito (TLS 1.2+)

Il Responsabile garantisce adeguate garanzie ai sensi del Capitolo V del GDPR.

 

11. Audit e verifiche

Il Responsabile mette a disposizione le informazioni necessarie a dimostrare la conformità e può fornire:

  • Documentazione di sicurezza
  • Sintesi dei penetration test
  • Certificazioni (ove applicabili)

Gli audit possono essere effettuati previo ragionevole preavviso.

 

12. Violazione dei dati personali

Il Responsabile notifica al Titolare senza ingiustificato ritardo eventuali violazioni dei dati personali di cui venga a conoscenza.

La notifica includerà:

  • Natura della violazione
  • Categorie di dati coinvolti
  • Misure di mitigazione adottate

 

13. Cessazione

Alla cessazione dei servizi:

  • I Dati Personali saranno cancellati entro 30 giorni salvo obblighi di legge contrari
  • Gli accessi saranno revocati
  • Si applicano le policy di cancellazione dei backup

 

14. Legge applicabile e foro competente

Il presente Accordo sul Trattamento dei Dati e qualsiasi controversia o pretesa derivante da o connessa allo stesso (incluse controversie o pretese di natura extracontrattuale) sono disciplinati e interpretati secondo la legge spagnola. I tribunali della Spagna hanno competenza esclusiva per la risoluzione di qualsiasi controversia derivante da o connessa al presente DPA, salvo diversa previsione obbligatoria della normativa applicabile in materia di protezione dei dati.

Passportscan