Ultimo aggiornamento:
Riepilogo in linguaggio semplice. Quando i tuoi clienti prenotano un armadietto tramite LockMe, tu (l'operatore) sei il titolare del trattamento dei loro dati personali e LockMe è il tuo responsabile del trattamento. Questo DPA stabilisce come trattiamo quei dati per tuo conto, le misure di sicurezza che applichiamo, i sub-responsabili che usiamo e cosa succede se qualcosa va storto. Si applica automaticamente a ogni contratto LockMe a pagamento; non devi firmare una copia separata.
Avviso. Questa è una traduzione assistita dall'IA del testo originale in inglese, in attesa di revisione legale. In caso di qualsiasi discrepanza, prevale la versione inglese su /legal/dpa.
Nota. Questa pagina è una bozza di lavoro in attesa di revisione da parte di un consulente esterno prima del lancio. Se ti serve una copia firmata su carta intestata per il tuo ufficio acquisti, scrivi a legal@lock-me.com e ti invieremo la nostra.
1. Ruoli
- Titolare del trattamento: l'entità operatrice (tu).
- Responsabile del trattamento: LockMe S.L.
- Interessati: i clienti finali che prenotano e usano gli armadietti nei tuoi negozi.
- Dati personali: nome, email, telefono (quando raccolto), dettagli della prenotazione, metadati di pagamento, token di accesso all'armadietto.
2. Oggetto e durata
LockMe tratta i dati personali per conto dell'operatore per la durata del contratto di servizio LockMe e fino a 90 giorni dopo la sua cessazione, per la conservazione dei backup.
3. Natura e finalità del trattamento
Fornire i servizi descritti nel modulo d'ordine dell'operatore: vetrina, dashboard, orchestrazione dei pagamenti, comunicazioni con i clienti e prompt di recensione post-stay.
4. Obblighi di LockMe come responsabile del trattamento
LockMe si impegna a:
- Trattare i dati personali solo sulla base di istruzioni documentate dell'operatore, salvo che la legge disponga diversamente.
- Assicurare che il personale autorizzato a trattare i dati personali sia vincolato da un obbligo di riservatezza.
- Adottare misure tecniche e organizzative adeguate a proteggere i dati personali da distruzione, perdita, alterazione, divulgazione o accesso accidentali o illeciti (vedi Allegato II).
- Assistere l'operatore nella risposta alle richieste degli interessati e nel rispetto degli articoli 32–36 del GDPR.
- Notificare all'operatore senza ingiustificato ritardo (e in ogni caso entro 72 ore) la conoscenza di una violazione dei dati personali.
- Alla cessazione, restituire o cancellare i dati personali a scelta dell'operatore (fatti salvi gli obblighi di conservazione di legge).
- Mettere a disposizione tutte le informazioni necessarie a dimostrare la conformità e consentire audit, nel rispetto di una ragionevole riservatezza e pianificazione.
5. Sub-responsabili
L'operatore autorizza LockMe ad avvalersi di sub-responsabili. L'elenco corrente (Allegato III) è pubblicato qui sotto e l'operatore sarà notificato almeno 30 giorni prima di ogni aggiunta o sostituzione di un sub-responsabile. L'operatore può opporsi per ragionevoli motivi di protezione dei dati; se le parti non trovano una soluzione, l'operatore può risolvere il servizio interessato per inadempimento sostanziale.
6. Trasferimenti internazionali
Quando i dati personali sono trasferiti fuori dal SEE, LockMe si baserà su un meccanismo di trasferimento valido (Clausole Contrattuali Tipo o decisione di adeguatezza) e applicherà misure supplementari ove richiesto dalla giurisprudenza (in particolare Schrems II).
7. Responsabilità
Le disposizioni sulla responsabilità del contratto di servizio principale si applicano al presente DPA come se fossero riprodotte integralmente qui.
Allegato I — Descrizione del trattamento
| Campo | Dettaglio |
|---|---|
| Categorie di interessati | Clienti finali dei negozi dell'operatore |
| Categorie di dati personali | Identificativi (nome, email, telefono), metadati di prenotazione, metadati di pagamento (nessun PAN completo), token di accesso all'armadietto, testo opzionale di recensione |
| Dati sensibili | Nessuno |
| Frequenza | Continuativa |
| Natura del trattamento | Conservazione, trasmissione, elaborazione per vetrina, dashboard e comunicazioni |
| Finalità | Erogazione del servizio LockMe |
| Durata | Durata del contratto LockMe + 90 giorni di conservazione dei backup |
Allegato II — Misure tecniche e organizzative
Elenco non esaustivo:
- Tutti i dati cifrati in transito (TLS 1.2+) e a riposo.
- Accesso a produzione tramite SSO con MFA a chiave hardware; RBAC a privilegio minimo; log di audit completo.
- Test di penetrazione trimestrali; revisione di sicurezza interna a ogni rilascio.
- Backup cifrati, conservati in una seconda regione UE, ripristinati trimestralmente per verificarne l'integrità.
- Revisioni di sicurezza per ogni sub-responsabile; audit interno annuale allineato a SOC 2.
- Piano documentato di risposta agli incidenti; reperibilità 24/7 sui piani a pagamento.
Allegato III — Sub-responsabili (elenco corrente)
| Sub-responsabile | Ruolo | Ubicazione |
|---|---|---|
| Google Cloud Platform | Hosting (elaborazione, archiviazione, database) | UE (europe-west4, Paesi Bassi) |
| Stripe Payments Europe Ltd. | Elaborazione pagamenti | UE + USA con SCC |
| Postmark | Email transazionale | UE (Francoforte) |
| Twilio | SMS per conferme di prenotazione | UE/globale con SCC |
| Sentry | Monitoraggio errori e performance | UE (Francoforte) |
| Plausible Insights | Analytics web senza cookie | UE (Germania) |
Questo elenco è mantenuto su https://lock-me.com/legal/dpa e sostituisce qualsiasi elenco precedentemente diffuso via email.
Contatti
DPO e contatto privacy: privacy@lock-me.com.
Domande su questo documento? Scrivi a legal@lock-me.com. Questa pagina è pubblicata per trasparenza; non sostituisce una consulenza legale specifica per la tua operatività.