Accordo sul Trattamento dei Dati

Ultimo aggiornamento: 15 maggio 2026

Il presente ATD è incorporato per riferimento nelle Condizioni d'uso Business e diventa efficace quando il Cliente accetta le Condizioni d'uso Business o utilizza per la prima volta il Servizio dopo la data sopra indicata, a seconda di quale evento si verifichi prima. Il Cliente che richiede una copia controfirmata del presente ATD su carta intestata aziendale può farne richiesta scrivendo a [email protected]. EasyWeek provvederà alla controfirma senza apportare modifiche alla sostanza del presente modello.

1. Definizioni

I termini in maiuscolo non definiti nel presente Accordo sul Trattamento dei Dati hanno il significato attribuito loro nei Termini di Servizio per le Imprese o nel GDPR. In particolare:

• "GDPR" — Regolamento (UE) 2016/679 (e il Codice in materia di protezione dei dati personali, D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018) e, ove applicabile, il UK GDPR e la FADP svizzera lette con le sostituzioni necessarie.
• "Titolare del trattamento", "Responsabile del trattamento", "Interessato", "Dati personali", "Violazione dei dati personali", "Trattamento", "Responsabile del trattamento secondario" ("Sub-responsabile"), "Autorità di controllo" — come definiti dall'art. 4 del GDPR.
• "Dati personali del Cliente" — Dati personali che il Cliente o i suoi utenti autorizzati trasmettono al Servizio o generano attraverso di esso e che sono trattati da EasyWeek per conto del Cliente.
• "Clausole contrattuali tipo" ("CCT") — le Clausole contrattuali tipo per il trasferimento di dati personali verso paesi terzi ai sensi del GDPR, adottate con Decisione di esecuzione della Commissione (UE) 2021/914 del 4 giugno 2021.

2. Ruoli

Il Cliente è il Titolare del trattamento dei Dati Personali del Cliente. EasyWeek è il Responsabile del trattamento e tratta i Dati Personali del Cliente esclusivamente sulla base di istruzioni documentate del Cliente e in conformità al presente DPA, alle Condizioni Generali di Servizio per le Imprese e alla normativa applicabile, inclusi il GDPR e il Codice Privacy (D.Lgs. 196/2003 modificato dal D.Lgs. 101/2018).

Le parti riconoscono che EasyWeek è il Titolare del trattamento per categorie limitate di dati personali che EasyWeek tratta per proprie finalità — ad esempio, le credenziali degli utenti autorizzati, i dati di fatturazione e la telemetria d'utilizzo del Servizio. Tale trattamento è disciplinato dall'Informativa sulla Privacy per le Imprese, non dal presente DPA.

3. Oggetto, durata, finalità

L'oggetto, la natura, la finalità, la durata, le categorie di Dati Personali e le categorie di Interessati sono descritti nell'Allegato I.

Il DPA è efficace per tutto il tempo in cui EasyWeek tratta Dati Personali del Cliente per conto del Cliente e sopravvive alla risoluzione delle Condizioni Generali di Servizio per tutto il tempo necessario all'adempimento della Sezione 13.

4. Istruzioni del Cliente

Il Servizio stesso, la configurazione applicata dal Cliente tramite l'interfaccia utente e l'API del Servizio, le Condizioni Generali di Business e il presente DPA costituiscono le istruzioni documentate complete e definitive del Cliente a EasyWeek in merito al trattamento dei Dati Personali del Cliente. Eventuali istruzioni aggiuntive o diverse richiedono un accordo scritto e possono comportare costi aggiuntivi.

EasyWeek informerà il Cliente senza indebito ritardo qualora, a suo giudizio, un'istruzione violi il GDPR e il Codice Privacy (D.Lgs. 196/2003 modificato dal D.Lgs. 101/2018) o un'altra disposizione in materia di protezione dei dati dell'UE o di uno Stato membro, e potrà sospendere l'istruzione contestata in attesa della conferma scritta del Cliente.

5. Riservatezza

EasyWeek garantisce che il personale autorizzato a trattare i Dati Personali del Cliente si sia impegnato a rispettare la riservatezza (o sia soggetto a un adeguato obbligo legale di riservatezza) e sia vincolato da controlli di accesso e principi di privilegio minimo. L'accesso ai Dati Personali del Cliente è limitato al personale che ne ha necessità per gestire o migliorare il Servizio.

6. Sicurezza (Misure Tecniche e Organizzative)

EasyWeek implementa misure tecniche e organizzative adeguate per garantire un livello di sicurezza appropriato al rischio, come indicato nell'Allegato II. EasyWeek può aggiornare le proprie Misure Tecniche e Organizzative nel tempo, a condizione che il livello di protezione non venga ridotto.

7. Responsabili del trattamento secondari (Sub-processor)

Il Cliente concede con la presente ad EasyWeek un'autorizzazione scritta generale a ricorrere a Responsabili del trattamento secondari (di seguito: „Sub-processor"). L'elenco dei Sub-processor approvati alla data del presente DPA è riportato nell'Allegato III ed è disponibile all'indirizzo /business/subprocessors.

EasyWeek notificherà al Cliente con almeno trenta (30) giorni di anticipo qualsiasi aggiunta o sostituzione prevista di Sub-processor, tramite il centro notifiche in-app e, ove il Cliente vi abbia aderito, via e-mail. Il Cliente può opporsi per ragioni documentate e ragionevoli attinenti alla protezione dei dati entro trenta (30) giorni dalla notifica. Qualora le parti non riescano a concordare una soluzione, il Cliente ha facoltà di risolvere le Condizioni d'Uso Business con riferimento alla parte del Servizio che richiede il Sub-processor contestato, con rimborso proporzionale (pro-rata) delle tariffe prepagate per il periodo residuo.

EasyWeek impone a ciascun Sub-processor obblighi in materia di protezione dei dati mediante contratto scritto, che non siano meno protettivi di quelli stabiliti nel presente DPA. EasyWeek rimane pienamente responsabile nei confronti del Cliente per l'adempimento degli obblighi dei propri Sub-processor.

8. Trasferimenti internazionali

I Dati Personali del Cliente vengono trattati principalmente nello Spazio Economico Europeo. Qualora i Dati Personali del Cliente vengano trasferiti verso un paese al di fuori del SEE privo di una decisione di adeguatezza della Commissione europea, si applicano le Clausole Contrattuali Standard (di seguito «SCC») con le seguenti selezioni:

• Modulo Due (da Titolare a Responsabile) è incorporato per riferimento per i trasferimenti dal Cliente (o dal suo titolare del trattamento nel SEE) a EasyWeek laddove EasyWeek tratti Dati Personali del Cliente in un paese terzo.
• Modulo Tre (da Responsabile a Responsabile) è incorporato per riferimento per i trasferimenti successivi da EasyWeek agli Sottotitolari del trattamento in un paese terzo.
• Clausola 7 (clausola di adesione) è inclusa.
• Clausola 9(a) — Opzione 2 (autorizzazione scritta generale, preavviso di 30 giorni) si applica.
• Clausola 11(a) — l'organismo indipendente di risoluzione delle controversie non è selezionato.
• Clausola 17 — la legge applicabile è la legge della Germania.
• Clausola 18 — i tribunali competenti sono quelli di Düsseldorf, Germania.
• L'Allegato I delle SCC è compilato per riferimento all'Allegato I del presente DPA.
• L'Allegato II delle SCC è compilato per riferimento all'Allegato II del presente DPA.
• L'Allegato III delle SCC è compilato per riferimento all'Allegato III del presente DPA.

Una Valutazione d'Impatto sul Trasferimento che riassume la valutazione di EasyWeek delle leggi del paese di destinazione e qualsiasi misura tecnica, contrattuale od organizzativa supplementare è disponibile su richiesta scrivendo a [email protected].

Per i trasferimenti verso il Regno Unito si applica l'Addendum per il Trasferimento Internazionale di Dati del Regno Unito alle SCC (emesso dall'ICO e in vigore dal 21 marzo 2022). Per i trasferimenti verso la Svizzera, le SCC si leggono con le sostituzioni richieste dall'IFPDT.

9. Richieste degli interessati

Il Servizio mette a disposizione funzionalità self-service che consentono al Cliente di soddisfare le richieste degli interessati in materia di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione. Qualora un interessato contatti direttamente EasyWeek, EasyWeek trasmetterà la richiesta al Cliente senza ingiustificato ritardo e non risponderà all'interessato se non per confermare la ricezione e inoltrare la richiesta al Cliente.

EasyWeek assisterà il Cliente, tenendo conto della natura del trattamento, mediante adeguate misure tecniche e organizzative, nell'adempimento degli obblighi del Cliente in materia di risposta alle richieste degli interessati ai sensi degli artt. 12–22 del GDPR e del D.Lgs. 196/2003 (Codice Privacy) come modificato dal D.Lgs. 101/2018.

10. Violazione dei dati personali

EasyWeek notificherà al Cliente senza ingiustificato ritardo e comunque entro settantadue (72) ore dal momento in cui viene a conoscenza di una Violazione dei Dati Personali riguardante i Dati Personali del Cliente. La notifica includerà, come minimo, le informazioni richieste dall'art. 33, paragrafo 3, del GDPR e dal D.Lgs. 196/2003 (Codice Privacy), come modificato dal D.Lgs. 101/2018, nella misura in cui siano note: la natura della Violazione, le categorie e il numero approssimativo degli Interessati e dei registri coinvolti, le probabili conseguenze, nonché le misure adottate o proposte.

EasyWeek adotterà misure ragionevoli per contenere e rimediare alla Violazione e per fornire al Cliente le informazioni necessarie affinché il Cliente possa adempiere ai propri obblighi di notifica nei confronti del Garante per la protezione dei dati personali (https://www.garanteprivacy.it/) e degli Interessati coinvolti.

11. DPIA e consultazione preventiva

EasyWeek fornirà al Cliente una ragionevole assistenza in relazione a qualsiasi Valutazione d'Impatto sulla Protezione dei Dati o consultazione preventiva che il Cliente sia tenuto a effettuare ai sensi degli artt. 35 o 36 del GDPR e del D.Lgs. 196/2003 (Codice Privacy, come modificato dal D.Lgs. 101/2018), nella misura in cui tale assistenza sia ragionevolmente necessaria e le informazioni siano in possesso di EasyWeek.

12. Audit

EasyWeek metterà a disposizione del Cliente tutte le informazioni necessarie a dimostrare la conformità al presente DPA, tra cui:

• Copie aggiornate delle certificazioni e dei rapporti di audit più rilevanti (come ISO 27001, ove disponibile, e i rapporti SOC 2 di tipo II dei Sub-responsabili del trattamento pertinenti).
• Risposte scritte a un questionario di sicurezza ragionevole, una volta per ogni periodo di dodici mesi, a titolo gratuito.

Qualora le informazioni di cui sopra non siano sufficienti e il Cliente sia tenuto dalla propria Autorità di Controllo a effettuare un audit in loco, il Cliente potrà condurre o incaricare un revisore indipendente di condurre un audit a spese del Cliente, previo preavviso scritto di almeno sessanta (60) giorni, durante l'orario lavorativo, non più di una volta per ogni periodo di dodici mesi (salvo che si sia verificata una Violazione dei Dati Personali), nel rispetto di ragionevoli obblighi di riservatezza e senza interrompere le operazioni aziendali di EasyWeek né la sicurezza degli altri clienti. L'ambito dell'audit è limitato alla verifica della conformità di EasyWeek al presente DPA.

13. Restituzione e cancellazione

Entro trenta (30) giorni dalla cessazione delle Condizioni Generali di Servizio per le Imprese, il Cliente può esportare i Dati Personali del Cliente tramite gli strumenti di esportazione self-service forniti dal Servizio. Dopo questo periodo di tolleranza di trenta giorni, EasyWeek cancellerà o anonimizzerà i Dati Personali del Cliente entro un termine ragionevole e comunque entro novanta (90) giorni, salvo nella misura in cui EasyWeek sia tenuta dal diritto dell'UE o di uno Stato membro, ovvero dalla normativa italiana applicabile, a conservarne la totalità o una parte (nel qual caso i dati conservati restano soggetti agli obblighi di riservatezza e sicurezza del presente DPA).

I backup contenenti Dati Personali del Cliente vengono sovrascritti su base rotante entro il periodo standard di conservazione dei backup e rimangono soggetti al presente DPA fino alla relativa scadenza.

14. Responsabilità e disposizioni varie

La responsabilità di ciascuna parte ai sensi del presente DPA o in connessione con esso è soggetta alle limitazioni ed esclusioni di responsabilità previste nelle Condizioni Generali di Servizio per le Imprese.

Il presente DPA costituisce parte integrante delle Condizioni Generali di Servizio per le Imprese. In caso di conflitto tra il presente DPA e le Condizioni Generali di Servizio per le Imprese in relazione al trattamento dei Dati Personali del Cliente, il presente DPA prevale. In caso di conflitto tra il presente DPA e le Clausole Contrattuali Standard, le Clausole Contrattuali Standard prevalgono.

Il presente DPA è disciplinato dalle leggi della Repubblica Federale di Germania. I tribunali di Düsseldorf, Germania, hanno giurisdizione esclusiva, fatti salvi i diritti di protezione obbligatoria degli Interessati ai sensi del diritto del luogo di residenza abituale.

Allegato I – Descrizione del trattamento

Oggetto del trattamento Il trattamento necessario per fornire il Servizio Business EasyWeek al Cliente.

Durata Per la durata dei Termini di Servizio Business e per qualsiasi periodo di conservazione successivo alla cessazione richiesto ai fini dell'Articolo 13.

Natura e finalità del trattamento Hosting, archiviazione, recupero, organizzazione, modifica, trasmissione, cancellazione, anonimizzazione, analisi statistica e altre operazioni di trattamento necessarie per erogare prenotazione online, gestione delle relazioni con i clienti, finanza e fatturazione, automazione del marketing, creazione di siti web, promemoria e notifiche, inserzione nel marketplace, funzionalità assistite dall'intelligenza artificiale e funzioni accessorie.

Categorie di interessati

• I clienti finali e potenziali del Cliente
• I dipendenti, i liberi professionisti, i collaboratori e gli altri utenti autorizzati del Cliente
• I visitatori delle pagine di prenotazione online e dei widget incorporati del Cliente
• I mittenti e i destinatari delle comunicazioni inoltrate tramite il Servizio

Categorie di dati personali

• Dati identificativi (nome, foto, genere)
• Dati di contatto (e-mail, telefono, indirizzo)
• Credenziali degli account degli utenti autorizzati del Cliente
• Cronologia di prenotazioni e appuntamenti
• Note, file, foto, documenti caricati dal Cliente
• Dati del programma fedeltà, saldi delle gift card, segmenti di clientela
• Contenuto delle comunicazioni (SMS, WhatsApp, corpo dell'e-mail, corpo delle notifiche push, chat in-app)
• Dati finanziari (registrazioni di fatture, stato dei pagamenti, ultime 4 cifre delle carte di pagamento — i dati completi della carta sono trattati direttamente da Stripe e non sono memorizzati da EasyWeek)
• Dati tecnici (indirizzo IP, identificatore del dispositivo, browser, lingua, timestamp)
• Ove il Cliente scelga di registrarle: note relative alla salute (in contesti di bellezza, benessere, medicina o odontoiatria). Il Cliente è responsabile di garantire di disporre di una base giuridica valida ai sensi dell'art. 9 del GDPR e del D.Lgs. 196/2003 (Codice Privacy) prima di registrare tali dati.

Frequenza dei trasferimenti Continua.

Conservazione I dati personali del Cliente sono conservati per il tempo in cui il Cliente lo istruisce e come ulteriormente descritto nell'Articolo 13.

Allegato II – Misure tecniche e organizzative

EasyWeek implementa almeno le seguenti misure, che potrà aggiornare di volta in volta a condizione che il livello di protezione non venga ridotto:

• Pseudonimizzazione e cifratura — TLS 1.3 per i dati in transito su reti pubbliche; AES-256 per i dati a riposo (archiviazione in database, archiviazione su oggetti, backup); chiavi di cifratura per tenant per i campi sensibili ove applicabile.
• Riservatezza — controllo degli accessi basato sui ruoli con principio del privilegio minimo, autenticazione a più fattori obbligatoria per tutti gli accessi amministrativi, timeout automatico della sessione, controlli degli accessi basati su IP per i sistemi di produzione, obblighi di riservatezza scritti per tutto il personale.
• Integrità — gestione delle modifiche, revisione del codice, scansione automatizzata delle dipendenze, artefatti di distribuzione firmati, controlli di integrità sui backup.
• Disponibilità e resilienza — hosting di produzione nei data center Hetzner in Germania con alimentazione elettrica e rete ridondanti, orchestrazione Kubernetes con ripristino automatico, backup giornalieri con replica cross-zone, piano di disaster recovery documentato con esercitazioni tabletop annuali, pagina di stato all'indirizzo status.easyweek.io.
• Ripristino — conservazione dei backup sufficiente a ripristinare il servizio a seguito di un incidente fisico o tecnico; test di ripristino trimestrali.
• Test e valutazione — test di penetrazione annuale da parte di terzi sull'ambiente di produzione, test di sicurezza delle applicazioni statici e dinamici continui in CI/CD, processo di gestione delle vulnerabilità con SLA di rimediazione definiti.
• Segregazione di rete — gli ambienti di produzione, staging e sviluppo sono logicamente e fisicamente separati; accesso amministrativo esclusivamente tramite bastion host.
• Registrazione e monitoraggio — log di audit centralizzati per autenticazione, autorizzazione, modifiche alla configurazione ed eventi di esportazione dei dati, conservati per almeno un anno; monitoraggio delle informazioni e degli eventi di sicurezza con allerta sulle anomalie.
• Sviluppo sicuro — SDLC con threat modelling, revisione tra pari, scansione dei segreti, conformità delle licenze e standard di codifica allineati a OWASP.
• Gestione dei fornitori — contratti scritti con tutti gli Incaricati secondari del trattamento che impongono obblighi equivalenti; revisione periodica.
• Sicurezza del personale — verifiche dei precedenti ove consentito dalla legge; formazione sulla consapevolezza della sicurezza e sulla protezione dei dati all'assunzione e annualmente.
• Gestione degli incidenti — reperibilità 24/7; playbook di risposta agli incidenti documentato; notifica delle violazioni entro 72 ore ai sensi della Sezione 10.
• Sicurezza fisica — l'accesso fisico agli impianti di trattamento è controllato dall'Incaricato secondario del trattamento che gestisce l'impianto (Hetzner, Google Cloud) nell'ambito di controlli certificati ISO 27001 / SOC 2.

Allegato III – Sotto-responsabili del trattamento approvati

L'elenco aggiornato dei Sotto-responsabili del trattamento di EasyWeek è pubblicato e mantenuto all'indirizzo /business/subprocessors. L'elenco disponibile a tale URL è qui incorporato per riferimento nel presente DPA e nell'Allegato III.