Il presente Data Processing Agreement disciplina il trattamento dei dati personali effettuato da Cecilia Luxury Grooming (Fornitore) per conto del Cliente che utilizza Grooming Revolution.

1. Ruoli delle parti

Il Cliente agisce come Titolare del trattamento per i dati dei propri clienti finali e collaboratori. Il Fornitore agisce come Responsabile del trattamento ai sensi della normativa applicabile.

2. Oggetto e finalità del trattamento

Il trattamento è limitato all'erogazione del servizio SaaS, alla sicurezza, al supporto tecnico, alla manutenzione, al monitoraggio operativo e agli adempimenti legali collegati al servizio.

3. Categorie di dati e interessati

Dati account utenti del Cliente, dati anagrafici e di contatto dei clienti finali, dati pet, appuntamenti, dati operativi e log tecnici di sicurezza.

4. Istruzioni documentate del Cliente

Il Fornitore tratta i dati esclusivamente secondo le istruzioni documentate del Cliente, come risultanti da contratto, configurazioni attive in piattaforma e richieste supporto formalizzate.

5. Misure tecniche e organizzative

Il Fornitore adotta misure adeguate in rapporto ai rischi: autenticazione e controllo accessi, segregazione logica dei tenant, logging e monitoraggio, backup e procedure di gestione incidenti.

6. Sub-responsabili

Il Fornitore può avvalersi di sub-responsabili qualificati per infrastruttura, email, pagamenti e servizi tecnici. L'elenco aggiornato e disponibile nella pagina Subprocessors.

7. Trasferimenti internazionali

Se necessari, i trasferimenti internazionali avvengono con garanzie adeguate previste dalla normativa applicabile, incluse clausole contrattuali standard o meccanismi equivalenti.

8. Assistenza ai diritti degli interessati

Il Fornitore assiste il Cliente, per quanto ragionevolmente possibile, nella gestione di richieste di accesso, rettifica, cancellazione, limitazione, opposizione e portabilità.

9. Data breach

In caso di violazione dei dati personali, il Fornitore attiva le procedure di contenimento e analisi e, quando applicabile, informa il Cliente senza ingiustificato ritardo con informazioni utili alla gestione dell'evento.

10. Restituzione e cancellazione dati

Alla cessazione del servizio, il Cliente può richiedere esportazione dei dati disponibili entro un periodo tecnico ragionevole. Trascorso tale periodo, i dati possono essere cancellati o anonimizzati, salvo obblighi legali di conservazione.

11. Audit e verifiche

Il Cliente può richiedere informazioni ragionevoli sulle misure di sicurezza applicate. Eventuali audit specifici sono soggetti a pianificazione, riservatezza e limiti tecnici/organizzativi.

12. Prevalenza e aggiornamenti

Questo DPA integra Termini di Servizio e Privacy Policy. In caso di conflitto sui temi privacy, prevalgono le disposizioni del DPA per il trattamento conto terzi.