Accordo sul Trattamento dei Dati (DPA)

Data di efficacia: Marzo 2026 Versione: 2026-03

Il presente Accordo sul Trattamento dei Dati ("DPA") costituisce parte integrante dei Termini di Servizio tra le parti ed è stipulato ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 ("GDPR") e dell'articolo 28 del Decreto Legislativo 196/2003 e successive modificazioni.

1. Parti

1.1. Titolare del Trattamento

L'Utente Business (Titolare della Struttura / Tenant) che registra un account sulla piattaforma Tocqo e gestisce una struttura nel settore dell'ospitalità.

Il Titolare determina le finalità e i mezzi del trattamento dei dati personali dei Clienti Finali attraverso la piattaforma Tocqo.

1.2. Responsabile del Trattamento

Gledian Kruja San Colombano al Lambro (MI), Italia P.IVA: In fase di registrazione Contatto DPO: privacy@tocqo.it

Il Responsabile gestisce la piattaforma Tocqo e tratta i dati personali per conto del Titolare al solo fine di fornire i servizi descritti nei Termini di Servizio.

2. Ambito e Finalità del Trattamento

2.1. Oggetto

Il presente DPA disciplina il trattamento dei dati personali che avviene quando i Clienti Finali effettuano ordini attraverso la piattaforma Tocqo presso la struttura del Titolare.

2.2. Natura e Finalità del Trattamento

Il Responsabile tratta i dati personali per le seguenti finalità:

| Finalità | Attività di Trattamento | |---|---| | Gestione ordini | Ricezione, archiviazione e visualizzazione degli ordini effettuati tramite codice QR; tracciamento dello stato dell'ordine (Nuovo, In Preparazione, Pronto, In Consegna, Consegnato, Annullato) | | Elaborazione pagamenti | Facilitazione del pagamento tramite Stripe Connect (online), registrazione dello stato di pagamento in contanti/POS | | Gestione sessioni | Creazione e gestione di sessioni di ordinazione anonime (basate su UUID) legate a zone di servizio | | Strumenti operativi | Display cucina, gestione runner, tracciamento delle modifiche agli ordini | | Analisi | Statistiche aggregate e non personalmente identificabili sugli ordini per l'attività del Titolare | | Gestione coupon/sconti | Applicazione e tracciamento dell'utilizzo dei coupon sugli ordini |

2.3. Categorie di Interessati

• Clienti Finali: Persone che scansionano i codici QR ed effettuano ordini presso la struttura del Titolare

2.4. Tipologie di Dati Personali Trattati

| Elemento del Dato | Categoria | Note | |---|---|---| | UUID sessione | Identificativo pseudonimizzato | Casuale, non collegabile all'identità | | Codice ombrellone/zona | Identificativo di posizione | Punto di servizio, non personale | | Articoli ordinati, quantità, prezzi | Dati transazionali | | | Note dell'ordine | Testo libero (fornito volontariamente) | Può contenere dati personali a discrezione dell'interessato | | Selezione metodo di pagamento | Dati transazionali | Contanti, POS o Online | | ID sessione checkout Stripe | Riferimento di pagamento | Solo per pagamenti online | | ID payment intent Stripe | Riferimento di pagamento | Solo per pagamenti online | | Importo mancia | Dati transazionali | | | Codice coupon utilizzato | Dati transazionali | | | Timestamp dell'ordine | Metadati | Creazione, accettazione, pronto, consegnato, annullato | | Etichetta pagante (pagamenti divisi) | Identificativo pseudonimizzato | Fornito volontariamente dal Cliente Finale |

Importante: Tocqo non raccoglie nomi, indirizzi email, numeri di telefono, indirizzi IP o identificatori di dispositivo dei Clienti Finali. Non è richiesta alcuna registrazione di account per i Clienti Finali.

2.5. Durata del Trattamento

Il trattamento prosegue per tutta la durata dell'account attivo del Titolare sulla piattaforma Tocqo, più un periodo di 30 giorni per l'esportazione dei dati successivo alla cessazione dell'account.

3. Obblighi del Responsabile

Il Responsabile, in conformità all'articolo 28, paragrafo 3 del GDPR:

3.1. Trattamento Lecito

Tratta i dati personali esclusivamente sulla base delle istruzioni documentate del Titolare (come definite nei Termini di Servizio e nel presente DPA), salvo che il trattamento sia richiesto dal diritto dell'Unione o dello Stato membro. In tal caso, il Responsabile informa il Titolare di tale obbligo giuridico prima del trattamento, a meno che la legge lo vieti.

3.2. Riservatezza

Garantisce che tutte le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

3.3. Misure di Sicurezza (Articolo 32)

Adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tra cui:

Misure Tecniche:

• Cifratura dei dati in transito (TLS 1.2+)
• Cifratura dei dati a riposo (cifratura a livello di database)
• Hashing delle password con bcrypt e salt
• Autenticazione basata su JWT con cookie sicuri HTTP-only
• Isolamento dei dati multi-tenant (i dati di ciascun Titolare sono logicamente separati a livello di database tramite chiavi esterne `tenant_id`)
• Rate limiting su tutti gli endpoint API
• Blocco automatico dell'account dopo ripetuti tentativi di autenticazione falliti
• Hashing SHA-256 dei token di sicurezza prima dell'archiviazione
• Tracciamento dell'idempotenza dei webhook Stripe per prevenire elaborazioni duplicate

Misure Organizzative:

• Controllo degli accessi basato sui ruoli (RBAC): ruoli Proprietario, Manager, Cucina, Runner con permessi graduali
• Registrazione degli audit a livello di piattaforma per le azioni amministrative
• Gestione degli account staff da parte del Titolare (creazione, disattivazione, assegnazione ruoli)
• Minimizzazione dei dati: gli ordini dei Clienti Finali utilizzano sessioni anonime (nessuna raccolta di PII richiesta)
• Pseudonimizzazione: gli identificatori di sessione sono UUID casuali senza correlazione con l'identità personale

3.4. Sub-Responsabili

Il Responsabile non ricorre a un altro responsabile del trattamento senza previa autorizzazione scritta specifica o generale del Titolare. L'elenco attuale dei sub-responsabili autorizzati è fornito nella Sezione 5 del presente DPA.

Qualora il Responsabile ricorra a un sub-responsabile, esso:

• Impone gli stessi obblighi in materia di protezione dei dati previsti dal presente DPA
• Rimane pienamente responsabile nei confronti del Titolare per l'adempimento del sub-responsabile
• Informa il Titolare di qualsiasi modifica prevista ai sub-responsabili, consentendo al Titolare 30 giorni per opporsi

3.5. Assistenza per i Diritti degli Interessati

Il Responsabile assiste il Titolare nel rispondere alle richieste degli interessati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione) fornendo:

• Endpoint di esportazione dati: `GET /api/t/{tenant_slug}/staff/gdpr/export` -- fornisce un'esportazione JSON di tutti i dati associati a un utente staff, inclusi i dati del tenant e gli ordini
• Endpoint di cancellazione account: `DELETE /api/t/{tenant_slug}/staff/gdpr/delete-account` -- anonimizza i record utente (username anonimizzato, email annullata, password cancellata, account disattivato)
• Assistenza tecnica per qualsiasi richiesta dell'interessato che il Titolare non possa soddisfare attraverso gli strumenti self-service della Piattaforma

3.6. Incidenti di Sicurezza e Notifica di Violazione

In caso di violazione dei dati personali (come definita dall'articolo 4, punto 12 del GDPR), il Responsabile:

1. Notifica il Titolare entro 72 ore dal momento in cui viene a conoscenza della violazione, fornendo: - Natura della violazione, comprese le categorie e il numero approssimativo di interessati coinvolti - Categorie e numero approssimativo di registrazioni di dati personali coinvolti - Probabili conseguenze della violazione - Misure adottate o proposte per affrontare la violazione e attenuarne gli effetti - Nome e dati di contatto del DPO o altro punto di contatto

2. Documenta tutte le violazioni in un registro delle violazioni, indipendentemente dal fatto che richiedano notifica all'autorità di controllo

3. Coopera con il Titolare nell'adempimento degli obblighi del Titolare ai sensi degli articoli 33 (notifica all'autorità di controllo) e 34 (comunicazione all'interessato) del GDPR

3.7. Valutazione d'Impatto sulla Protezione dei Dati

Il Responsabile assiste il Titolare, ove necessario, nello svolgimento delle Valutazioni d'Impatto sulla Protezione dei Dati (DPIA) ai sensi dell'articolo 35 del GDPR e nelle consultazioni preventive con l'autorità di controllo ai sensi dell'articolo 36.

3.8. Diritti di Audit

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'articolo 28, e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un revisore incaricato dal Titolare.

Il Responsabile informa immediatamente il Titolare qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni dell'Unione o degli Stati membri in materia di protezione dei dati.

4. Obblighi del Titolare

Il Titolare:

• Garantisce l'esistenza di una base giuridica per il trattamento dei dati personali dei Clienti Finali (tipicamente articolo 6, paragrafo 1, lettera b) -- esecuzione di un contratto, o articolo 6, paragrafo 1, lettera f) -- legittimo interesse)
• Fornisce informative sulla privacy adeguate ai Clienti Finali al momento della raccolta dei dati (ad esempio, tramite cartellonistica presso la struttura o l'interfaccia di ordinazione QR)
• Risponde alle richieste degli interessati provenienti dai Clienti Finali
• Determina i periodi di conservazione appropriati per i dati degli ordini
• Garantisce la conformità a tutta la normativa applicabile in materia di protezione dei dati in qualità di soggetto che determina le finalità e i mezzi del trattamento

5. Sub-Responsabili Autorizzati

Il Titolare fornisce autorizzazione scritta generale per i seguenti sub-responsabili alla data di efficacia del presente DPA:

| Sub-Responsabile | Sede Legale | Attività di Trattamento | Dati Trattati | Ubicazione | |---|---|---|---|---| | Stripe, Inc. | 354 Oyster Point Blvd, South San Francisco, CA 94080, USA | Elaborazione pagamenti (Stripe Connect, Stripe Checkout, Stripe Billing) | ID payment intent, ID sessione checkout, importi transazioni, valuta | USA (certificato EU-US DPF) | | Fornitore di Hosting | [Da specificare] | Hosting dell'applicazione, archiviazione database, calcolo | Tutti i dati dell'applicazione inclusi i dati degli ordini | UE | | Fornitore Servizio Email | [Da specificare] | Invio email transazionali | Indirizzi email degli Utenti Staff (non dei Clienti Finali), token di verifica | UE/USA |

Modifiche ai Sub-Responsabili: Il Responsabile notificherà il Titolare almeno 30 giorni prima di aggiungere o sostituire un sub-responsabile. Qualora il Titolare si opponga per motivi ragionevoli, le parti discuteranno l'obiezione in buona fede. Se non si raggiunge una soluzione, il Titolare potrà recedere dai servizi interessati.

6. Trasferimenti Internazionali di Dati

6.1. Principio Generale

I dati personali sono trattati all'interno dello Spazio Economico Europeo (SEE) ove possibile.

6.2. Trasferimenti verso Paesi Terzi

Qualora i dati personali siano trasferiti al di fuori del SEE (attualmente limitato a Stripe, Inc. negli Stati Uniti), si applicano i seguenti meccanismi di trasferimento:

• EU-US Data Privacy Framework: Stripe è certificata nell'ambito dell'EU-US Data Privacy Framework (Decisione di Adeguatezza della Commissione Europea del 10 luglio 2023, ai sensi dell'articolo 45 del GDPR)
• Clausole Contrattuali Standard: Come misura supplementare di garanzia, le SCC approvate con Decisione di Esecuzione (UE) 2021/914 della Commissione Europea del 4 giugno 2021 sono incorporate per riferimento
• Valutazioni d'Impatto sui Trasferimenti: Il Responsabile conduce e mantiene Valutazioni d'Impatto sui Trasferimenti per ciascun sub-responsabile situato al di fuori del SEE

6.3. Misure Supplementari

Ove richiesto dalla Valutazione d'Impatto sui Trasferimenti, vengono implementate misure supplementari tecniche, contrattuali o organizzative in conformità alle Raccomandazioni EDPB 01/2020.

7. Cancellazione e Restituzione dei Dati

7.1. Durante il Rapporto Contrattuale

Il Titolare può richiedere l'esportazione dei dati in qualsiasi momento tramite l'endpoint di esportazione GDPR (`GET /api/t/{tenant_slug}/staff/gdpr/export`), che restituisce i dati in formato JSON strutturato (soddisfacendo i requisiti di portabilità di cui all'articolo 20 del GDPR).

7.2. Alla Cessazione del Rapporto

Alla cessazione dei Termini di Servizio:

1. Il Titolare dispone di 30 giorni per esportare tutti i dati tramite l'endpoint di esportazione GDPR 2. Trascorso il periodo di 30 giorni, il Responsabile cancella definitivamente tutti i dati personali trattati per conto del Titolare, inclusi: - Tutti i dati degli ordini e le registrazioni degli articoli ordinati - Tutti gli account e i profili degli utenti staff - Tutti i dati di sessione - Tutte le registrazioni di checkout e transazioni di pagamento (fatti salvi gli obblighi di conservazione previsti dalla legge) - Tutti i dati di configurazione e personalizzazione del tenant 3. Il Responsabile certifica la cancellazione per iscritto su richiesta 4. Eccezione: Le registrazioni delle transazioni di pagamento possono essere conservate per un massimo di 10 anni come previsto dalla normativa fiscale italiana (DPR 633/1972, Art. 39)

7.3. Dati Anonimizzati

Gli account utente cancellati sono anonimizzati (username sostituito con `deleted_user_{id}`, email impostata su null, nome visualizzato e hash della password cancellati). La registrazione anonimizzata è conservata esclusivamente per l'integrità referenziale del database e non può essere ricollegata a una persona identificabile.

8. Responsabilità

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni di responsabilità stabilite nei Termini di Servizio, fermo restando che:

• Il Responsabile è responsabile per il danno causato dal trattamento che viola il presente DPA o il GDPR
• Il Titolare è responsabile per il danno causato dal trattamento che viola il GDPR o le proprie istruzioni

La responsabilità per le sanzioni amministrative irrogate dalle autorità di controllo è a carico della parte la cui azione od omissione ha causato la violazione.

9. Durata e Cessazione

Il presente DPA diventa efficace al momento dell'accettazione da parte del Titolare durante la registrazione dell'account (registrata come `legal_consented_at` con `dpa_version`) e rimane in vigore per tutta la durata dei Termini di Servizio.

Gli obblighi relativi alla cancellazione dei dati, alla riservatezza e alla cooperazione con le autorità di controllo sopravvivono alla cessazione del rapporto.

10. Legge Applicabile

Il presente DPA è disciplinato da:

• Regolamento (UE) 2016/679 (GDPR), in particolare gli articoli 28-36
• Decreto Legislativo 196/2003 (Codice della Privacy), come modificato dal D.Lgs. 101/2018
• La legge italiana per tutte le materie non disciplinate dal GDPR

11. Contatti

Per domande relative al presente DPA o per segnalare una violazione dei dati:

• DPO del Responsabile: privacy@tocqo.it
• Responsabile: Gledian Kruja, San Colombano al Lambro (MI), Italia, P.IVA: In fase di registrazione

Per le richieste degli interessati relative ai dati dei Clienti Finali, contattare direttamente il Titolare (Titolare della Struttura).