STRUTTURA DEL DOCUMENTO
Parte A — Termini e Condizioni del Servizio (T&C)
Parte B — Data Processing Agreement (DPA, art. 28 GDPR)
Allegato 1 — Sub-responsabili autorizzati
Allegato 2 — Misure tecniche e organizzative di sicurezza
PARTE A — Termini e Condizioni del Servizio NeroStay
Termini e Condizioni che disciplinano la fornitura del servizio SaaS NeroStay tra Punto Nero Studio (Fornitore) e la struttura ricettiva sottoscrittrice (Cliente).
Premesse
Punto Nero Studio di Carlo Simone — Partita IVA 02865890418, Codice Fiscale SMNCRL97R28A662S, con sede in Via Sarnano 7, 61122 Pesaro (PU), e-mail info@nerostay.it, PEC carlo.simone@pec.it (di seguito "Fornitore" o "Punto Nero Studio")
e
La struttura ricettiva i cui dati identificativi sono indicati al momento della sottoscrizione del servizio (di seguito "Cliente" o "Hotel"),
congiuntamente "le Parti".
Premesso che (a) il Fornitore ha sviluppato e fornisce in modalità Software-as-a-Service la piattaforma NeroStay, strumento per la digitalizzazione dell'accoglienza degli ospiti delle strutture ricettive; (b) il Cliente intende avvalersi di tale piattaforma per la gestione del check-in, della raccolta dei dati degli ospiti, dei pagamenti della tassa di soggiorno e dei servizi accessori; le Parti convengono e stipulano quanto segue.
Art. 1 — Definizioni
Nel presente contratto i termini riportati con la lettera maiuscola hanno il significato di seguito indicato:
Servizio / Piattaforma: la piattaforma software NeroStay accessibile via web tramite browser, comprensiva della dashboard amministrativa e della web app destinata agli ospiti.
Account: l'account amministrativo del Cliente che permette l'accesso alla dashboard.
Ospite: la persona fisica che soggiorna presso la struttura del Cliente e che utilizza la web app NeroStay.
Dati del Cliente: tutti i dati inseriti dal Cliente o dagli Ospiti nella Piattaforma, ivi compresi i dati personali degli Ospiti.
GDPR: Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.
DPA: il Data Processing Agreement contenuto nella Parte B del presente contratto.
Art. 2 — Oggetto del contratto
2.1. Il Fornitore concede al Cliente, in modalità non esclusiva e non trasferibile, il diritto di utilizzare la Piattaforma NeroStay per le finalità di gestione dell'accoglienza degli ospiti della struttura ricettiva del Cliente.
2.2. La Piattaforma è offerta in modalità Software-as-a-Service: il software risiede su infrastruttura del Fornitore (e dei suoi sub-fornitori) e viene reso accessibile al Cliente via internet. Non è prevista alcuna installazione presso le sedi del Cliente, né la consegna di copie del software.
2.3. Le funzionalità della Piattaforma includono, a titolo non esaustivo: gestione anagrafica degli ospiti, generazione di codici PIN per l'accesso alla web app ospite, raccolta documenti d'identità, pagamento della tassa di soggiorno tramite Stripe, gestione preferenze colazione e check-in/check-out. Le funzionalità possono essere modificate, aggiornate o ampliate dal Fornitore senza preavviso.
Art. 3 — Attivazione, durata e rinnovo
3.1. Il contratto si intende concluso al momento del completamento della procedura di registrazione online da parte del Cliente e dell'accettazione espressa dei presenti Termini e Condizioni.
3.2. L'abbonamento ha durata annuale, con decorrenza dalla data di attivazione del Servizio. Salvo disdetta nei termini previsti all'art. 8, l'abbonamento si rinnova automaticamente per ulteriori periodi di pari durata.
3.3. Programma Founders. Per i clienti che aderiscono al programma "Founders" è previsto un periodo di prova gratuito di 45 giorni decorrenti dall'attivazione, durante il quale il Servizio è fornito senza addebito. I clienti Founders beneficiano inoltre di una tariffa scontata pari a 39,00 € al mese (468,00 € all'anno) anziché la tariffa standard, mantenuta per tutta la durata del rapporto contrattuale, salvo modifiche concordate per iscritto. Al termine del periodo di prova, in assenza di disdetta espressa, il Servizio prosegue regolarmente con addebito secondo la tariffa Founders.
Art. 4 — Corrispettivi e modalità di pagamento
4.1. Il corrispettivo per il Servizio è pari a 49,00 € al mese (588,00 € annui) oltre IVA come per legge, da corrispondersi annualmente in via anticipata con sconto applicato rispetto al pagamento mensile.
4.2. I clienti Founders si applica la tariffa di cui all'art. 3.3.
4.3. Il pagamento avviene tramite gli strumenti messi a disposizione dal Fornitore (Stripe). Il Cliente autorizza l'addebito automatico annuale del corrispettivo sul metodo di pagamento registrato.
4.4. In caso di mancato pagamento alla scadenza, il Fornitore si riserva il diritto di sospendere l'accesso al Servizio decorsi 7 giorni dalla scadenza, previa comunicazione via e-mail. Il mancato pagamento per oltre 30 giorni costituisce inadempimento grave e comporta la risoluzione del contratto ai sensi dell'art. 1456 c.c.
4.5. Il Fornitore si riserva il diritto di modificare i corrispettivi con un preavviso di almeno 60 giorni rispetto alla scadenza dell'abbonamento corrente. La modifica si applica al rinnovo successivo. Il Cliente che non intenda accettare la modifica può recedere senza oneri prima del rinnovo.
Art. 5 — Livello di servizio e manutenzione
5.1. Il Fornitore si impegna a fornire il Servizio con la diligenza professionale richiesta (best effort), avvalendosi di infrastrutture di terze parti di standard professionale (Vercel, Supabase, Stripe). Il Fornitore non garantisce un livello di disponibilità (uptime) specifico.
5.2. Il Fornitore si impegna a comunicare con ragionevole preavviso, salvo emergenze, gli interventi di manutenzione programmata che possano comportare temporanea indisponibilità del Servizio. Tali interventi sono di norma effettuati in fasce orarie di basso traffico.
5.3. Eventuali disservizi prolungati saranno tempestivamente comunicati al Cliente. Il Fornitore si impegna a ripristinare il Servizio nel più breve tempo possibile compatibilmente con la natura del disservizio.
5.4. Il Fornitore non è responsabile di disservizi derivanti da: (a) cause non imputabili al Fornitore, ivi inclusi guasti delle infrastrutture di terze parti (Vercel, Supabase, Stripe); (b) cause di forza maggiore; (c) attacchi informatici malgrado l'adozione di misure di sicurezza adeguate; (d) condotte del Cliente o di terzi non autorizzati che interferiscano con il Servizio.
Art. 6 — Obblighi del Cliente
6.1. Il Cliente si impegna a utilizzare il Servizio nel rispetto della legge applicabile, dei presenti Termini e Condizioni e con la diligenza dovuta.
6.2. Il Cliente è esclusivo responsabile della custodia delle credenziali di accesso al proprio Account. Eventuali accessi non autorizzati conseguenti a negligenza nella custodia delle credenziali ricadono nella responsabilità del Cliente.
6.3. Comunicazione obbligatoria alla Questura (Alloggiati Web). Il Cliente prende atto e accetta che la Piattaforma NeroStay non gestisce né effettua la comunicazione obbligatoria delle generalità degli alloggiati al portale Alloggiati Web della Polizia di Stato, ai sensi dell'art. 109 del R.D. 18 giugno 1931 n. 773 (T.U.L.P.S.) e del D.M. 7 gennaio 2013. Tale adempimento rimane di esclusiva responsabilità del Cliente, che dovrà provvedervi autonomamente attraverso i canali ufficiali messi a disposizione dalla Polizia di Stato. Il Fornitore non assume alcuna responsabilità per eventuali sanzioni amministrative o penali derivanti dal mancato o inesatto adempimento di tale obbligo da parte del Cliente.
6.4. Il Cliente si impegna a fornire informazioni veritiere e aggiornate al momento della registrazione e per tutta la durata del contratto.
6.5. Il Cliente non potrà: (a) cedere a terzi l'accesso al Servizio; (b) effettuare reverse engineering, decompilazione o disassemblaggio della Piattaforma; (c) utilizzare la Piattaforma per finalità illecite o in violazione dei diritti di terzi; (d) tentare di compromettere la sicurezza o l'integrità della Piattaforma.
6.6. Il Cliente è responsabile della correttezza dei dati inseriti nella Piattaforma e dell'adempimento degli obblighi di informativa privacy verso i propri Ospiti, in conformità a quanto previsto nel DPA (Parte B).
Art. 7 — Proprietà intellettuale
7.1. La Piattaforma NeroStay, comprensiva di software, codice sorgente, design grafico, marchi, loghi, documentazione e ogni elemento di proprietà intellettuale, rimane di esclusiva proprietà del Fornitore. Il presente contratto attribuisce al Cliente esclusivamente un diritto d'uso non esclusivo, non trasferibile, limitato alla durata del contratto.
7.2. I dati inseriti dal Cliente o dagli Ospiti nella Piattaforma rimangono di proprietà del Cliente o dei rispettivi titolari. Il Fornitore non rivendica alcun diritto sui Dati del Cliente, salvo quanto strettamente necessario all'erogazione del Servizio come disciplinato nel DPA.
7.3. Il Cliente concede al Fornitore il diritto non esclusivo di citare il Cliente nella propria comunicazione commerciale (sito web, casi studio, materiali di marketing) come cliente di riferimento, salvo espressa diversa richiesta scritta.
Art. 8 — Recesso e risoluzione
8.1. Recesso del Cliente. Il Cliente può recedere dal contratto in qualsiasi momento dandone comunicazione tramite l'apposita funzione presente nella dashboard amministrativa o tramite e-mail all'indirizzo info@nerostay.it. Il recesso ha efficacia immediata: il Cliente mantiene l'accesso al Servizio fino alla scadenza del periodo già pagato, senza diritto a rimborso pro-rata per la quota residua. Al termine del periodo pagato il Servizio cessa automaticamente.
8.2. Recesso del Fornitore. Il Fornitore può recedere dal contratto con preavviso di almeno 60 giorni mediante comunicazione scritta. In tal caso il Fornitore restituirà al Cliente la quota di corrispettivo eventualmente già pagata e non ancora maturata.
8.3. Risoluzione per inadempimento. Ciascuna Parte può risolvere il contratto ai sensi dell'art. 1453 c.c. in caso di inadempimento grave dell'altra Parte non sanato entro 30 giorni dalla diffida ad adempiere. Costituiscono inadempimenti gravi a titolo esemplificativo: il mancato pagamento del corrispettivo per oltre 30 giorni, l'utilizzo della Piattaforma per finalità illecite, la violazione degli obblighi del DPA che comporti rischi significativi per i dati personali.
8.4. Cessazione e dati del Cliente. Alla cessazione del contratto, per qualsiasi causa: (a) il Cliente potrà richiedere l'esportazione completa dei propri dati in formato strutturato (CSV/JSON) entro 30 giorni dalla cessazione; (b) trascorsi 60 giorni dalla cessazione, tutti i Dati del Cliente saranno cancellati definitivamente dai sistemi del Fornitore, fatta salva la conservazione di dati strettamente necessari ad adempiere obblighi di legge (es. fatturazione). I documenti d'identità degli Ospiti seguono il regime di cancellazione automatica al check-out previsto nella web app, a prescindere dalla cessazione del contratto.
Art. 9 — Limitazione di responsabilità
9.1. Il Fornitore si impegna a fornire il Servizio con la diligenza professionale richiesta. Tuttavia, il Fornitore non garantisce che il Servizio sarà ininterrotto, privo di errori o esente da vulnerabilità di sicurezza, fermi restando gli impegni di cui all'art. 5 e al DPA.
9.2. Tetto di responsabilità. Salvo i casi di dolo e colpa grave (per i quali la responsabilità è inderogabilmente piena ai sensi dell'art. 1229 c.c.), la responsabilità complessiva del Fornitore nei confronti del Cliente per qualsiasi titolo o causa connessa al presente contratto è limitata, per ogni anno contrattuale, a un importo non superiore al totale dei corrispettivi effettivamente pagati dal Cliente al Fornitore nei 12 mesi precedenti l'evento che ha generato la responsabilità.
9.3. Il Fornitore non risponde in alcun caso di danni indiretti, consequenziali, mancato guadagno, perdita di chance commerciali, danno di immagine, salvo nei casi di dolo e colpa grave.
9.4. Il Cliente accetta espressamente che, considerata la natura del Servizio e il livello di corrispettivo praticato, il presente regime di limitazione di responsabilità è equilibrato rispetto all'oggetto del contratto.
Nota all'art. 9 — clausole vessatorie Le clausole limitative di responsabilità sono considerate "vessatorie" ai sensi dell'art. 1341 c.c. e richiedono doppia sottoscrizione (firma sul contratto + specifica firma di approvazione delle clausole vessatorie elencate). In caso di sottoscrizione online, il Cliente dovrà esprimere doppia accettazione (es. due checkbox separate) di cui la seconda specifica per l'art. 9 e per le altre clausole indicate alla fine del contratto. Vedi modulo finale di sottoscrizione. |
Art. 10 — Forza maggiore
10.1. Nessuna delle Parti è responsabile per ritardi o inadempimenti causati da eventi di forza maggiore, intendendosi per tali tutti gli eventi imprevedibili e inevitabili al di fuori del ragionevole controllo della Parte interessata, ivi inclusi calamità naturali, guerre, pandemie, ordini delle autorità, interruzioni di servizi infrastrutturali essenziali (elettricità, telecomunicazioni).
10.2. La Parte impedita dalla forza maggiore deve darne tempestiva comunicazione all'altra Parte, indicando la causa e la durata presumibile dell'impedimento.
Art. 11 — Trattamento dei dati personali
11.1. Il trattamento dei dati personali è disciplinato dal Data Processing Agreement (DPA) di cui alla Parte B del presente contratto, che ne costituisce parte integrante e sostanziale.
11.2. Sottoscrivendo il presente contratto il Cliente accetta espressamente anche il DPA e nomina il Fornitore come Responsabile del trattamento ai sensi dell'art. 28 GDPR.
Art. 12 — Modifiche dei Termini e Condizioni
12.1. Il Fornitore si riserva il diritto di modificare i presenti Termini e Condizioni per esigenze tecniche, normative o commerciali. Le modifiche saranno comunicate al Cliente con preavviso di almeno 30 giorni tramite e-mail e/o notifica nella dashboard.
12.2. Le modifiche entrano in vigore alla scadenza del termine di preavviso. Il Cliente che non intenda accettare le modifiche può recedere senza oneri prima della loro entrata in vigore.
12.3. L'utilizzo continuato del Servizio dopo l'entrata in vigore delle modifiche costituisce accettazione delle stesse.
Art. 13 — Legge applicabile, foro competente, comunicazioni
13.1. Il presente contratto è regolato dalla legge italiana.
13.2. Per ogni controversia derivante dall'interpretazione, esecuzione o cessazione del presente contratto è competente in via esclusiva il Foro di Pesaro, fatto salvo, ove applicabile, il foro inderogabile del consumatore.
13.3. Tutte le comunicazioni tra le Parti relative al presente contratto sono valide se trasmesse via e-mail agli indirizzi indicati al momento della registrazione, o tramite PEC. Si presume conosciuta la comunicazione all'indirizzo e-mail dichiarato.
Art. 14 — Disposizioni finali
14.1. L'eventuale tolleranza da parte di una Parte verso comportamenti dell'altra Parte in violazione del presente contratto non costituisce rinuncia ai diritti contrattuali.
14.2. Qualora una clausola del presente contratto risulti nulla o invalida, le restanti clausole conservano piena efficacia.
14.3. Il presente contratto, comprensivo del DPA e degli allegati, costituisce l'intero accordo tra le Parti e supera ogni precedente accordo verbale o scritto sull'oggetto.
Sottoscrizione dei Termini e Condizioni
Il Cliente, dopo aver preso visione integrale dei presenti Termini e Condizioni e del Data Processing Agreement allegato, dichiara di accettarli espressamente.
Doppia sottoscrizione clausole vessatorie (art. 1341 c.c.)
Ai sensi e per gli effetti degli artt. 1341 e 1342 c.c., il Cliente dichiara di aver letto, compreso e specificamente approvato le seguenti clausole:
Art. 4.4 (sospensione del Servizio per mancato pagamento)
Art. 4.5 (modifica unilaterale dei corrispettivi al rinnovo)
Art. 5 (livello di servizio e assenza di SLA)
Art. 8.1 (recesso senza rimborso pro-rata)
Art. 9 (limitazione di responsabilità)
Art. 12 (modifica unilaterale dei Termini e Condizioni)
Art. 13.2 (foro competente esclusivo)
Nota implementativa: nella procedura online di sottoscrizione del Servizio devono essere previste due checkbox separate: la prima per l'accettazione generale del contratto, la seconda specifica per l'approvazione delle clausole vessatorie sopra elencate. Senza la seconda spunta il Cliente non può completare la registrazione.
PARTE B — Data Processing Agreement (DPA)
Accordo sul trattamento dei dati personali ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR), allegato e parte integrante del Contratto di Servizio NeroStay.
Premesse
Il presente Data Processing Agreement (di seguito "DPA") disciplina il trattamento dei dati personali effettuato dal Fornitore nell'ambito dell'erogazione del Servizio NeroStay al Cliente.
Le Parti riconoscono che, in relazione ai dati personali degli Ospiti e di altri soggetti i cui dati sono trattati tramite la Piattaforma:
Il Cliente agisce in qualità di Titolare del trattamento (data controller), in quanto determina finalità e mezzi del trattamento;
Il Fornitore agisce in qualità di Responsabile del trattamento (data processor), trattando i dati per conto e secondo le istruzioni del Cliente.
Art. 1 — Definizioni (DPA)
I termini utilizzati nel presente DPA hanno il significato loro attribuito dal GDPR. In particolare:
Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile, trattata tramite la Piattaforma.
Trattamento: qualsiasi operazione effettuata sui Dati Personali, ivi compresa la raccolta, registrazione, organizzazione, conservazione, consultazione, comunicazione, cancellazione.
Interessato: la persona fisica cui si riferiscono i Dati Personali (principalmente l'Ospite).
Sub-responsabile: soggetto terzo cui il Fornitore si avvale per l'erogazione del Servizio e che può accedere ai Dati Personali (es. Vercel, Supabase, Stripe).
Violazione dei Dati Personali (Data Breach): la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai Dati Personali.
Art. 2 — Oggetto, natura e finalità del trattamento
2.1. Il Fornitore tratta i Dati Personali esclusivamente per le seguenti finalità: (a) erogazione del Servizio NeroStay come descritto nei T&C; (b) supporto tecnico al Cliente; (c) sicurezza della Piattaforma e prevenzione di abusi; (d) adempimento di obblighi di legge cui il Fornitore è soggetto.
2.2. Il trattamento ha la stessa durata del contratto principale e si estende al periodo strettamente necessario per la cancellazione o restituzione dei dati alla cessazione (vedi art. 11).
Categorie di dati trattati e categorie di interessati:
| Categorie di interessati | Categorie di dati | Origine |
|---|---|---|
| Ospiti della struttura | Nome, cognome, telefono, e-mail (opzionale), numero stanza, periodo di soggiorno, immagini documento d'identità, preferenze (colazione, orari), dati di pagamento (gestiti da Stripe) | Inseriti dall'hotel o caricati direttamente dall'ospite tramite web app |
| Accompagnatori dell'ospite principale | Nome, cognome, immagini documento d'identità | Caricati dall'ospite tramite web app |
| Personale dell'hotel autorizzato all'uso della dashboard | Email, password (hash), nome, cognome, ruolo | Inseriti dal Cliente in fase di configurazione |
Art. 3 — Istruzioni del Titolare
3.1. Il Fornitore tratta i Dati Personali esclusivamente sulla base delle istruzioni documentate del Cliente. Costituiscono "istruzioni documentate" le previsioni del presente DPA, dei T&C e le ulteriori istruzioni eventualmente comunicate dal Cliente per iscritto.
3.2. Il Fornitore informa immediatamente il Cliente qualora ritenga che un'istruzione violi il GDPR o altre normative applicabili in materia di protezione dei dati.
3.3. Il Cliente garantisce che le proprie istruzioni e l'utilizzo della Piattaforma sono conformi alla normativa applicabile, ivi compreso l'obbligo di fornire idonea informativa privacy agli Ospiti.
Art. 4 — Riservatezza
4.1. Il Fornitore garantisce che le persone autorizzate al trattamento dei Dati Personali (ivi compreso il personale e collaboratori) si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
4.2. Il Fornitore limita l'accesso ai Dati Personali al solo personale che ne abbia effettiva necessità per l'erogazione del Servizio (need-to-know basis).
Art. 5 — Misure di sicurezza
5.1. Il Fornitore adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza appropriato al rischio. Le misure adottate sono dettagliate nell'Allegato 2.
5.2. Le misure di sicurezza sono soggette a evoluzione tecnica. Il Fornitore può modificarle nel tempo a condizione che il livello di sicurezza non venga ridotto.
Art. 6 — Sub-responsabili del trattamento
6.1. Autorizzazione generale. Il Cliente autorizza il Fornitore ad avvalersi dei sub-responsabili indicati nell'Allegato 1 per le finalità connesse all'erogazione del Servizio. L'autorizzazione si intende prestata al momento della sottoscrizione del presente DPA.
6.2. Modifiche all'elenco. Il Fornitore comunica al Cliente, con preavviso di almeno 30 giorni, l'eventuale aggiunta o sostituzione di un sub-responsabile. Il Cliente ha diritto di opporsi a tale modifica per motivi ragionevoli legati alla protezione dei dati. In caso di opposizione, il Fornitore valuterà soluzioni alternative; qualora non sia possibile raggiungere un accordo, il Cliente potrà recedere dal contratto senza penali per la quota di abbonamento residua.
6.3. Il Fornitore impone ai propri sub-responsabili obblighi di protezione dei dati equivalenti a quelli previsti nel presente DPA, mediante stipula di accordi scritti ai sensi dell'art. 28.4 GDPR. Il Fornitore rimane pienamente responsabile nei confronti del Cliente per l'operato dei propri sub-responsabili.
Art. 7 — Trasferimenti di dati al di fuori dello Spazio Economico Europeo
7.1. Alcuni sub-responsabili autorizzati hanno sede o utilizzano infrastrutture al di fuori dello Spazio Economico Europeo, in particolare negli Stati Uniti. Il dettaglio è riportato nell'Allegato 1.
7.2. I trasferimenti avvengono in presenza di adeguate garanzie ai sensi del Capo V del GDPR, in particolare:
decisione di adeguatezza relativa al EU-U.S. Data Privacy Framework, applicabile ai sub-responsabili certificati;
Clausole Contrattuali Standard (Standard Contractual Clauses) approvate dalla Commissione Europea con decisione 2021/914;
misure supplementari tecniche e organizzative, ove necessarie a garantire un livello di protezione equivalente.
7.3. Il Fornitore può fornire al Cliente, su richiesta scritta, copia delle garanzie adottate per i trasferimenti extra-UE.
7.4. I documenti d'identità degli Ospiti, in considerazione della loro particolare delicatezza, sono memorizzati su infrastruttura collocata all'interno dello Spazio Economico Europeo (Supabase, regione UE).
Art. 8 — Assistenza al Titolare
8.1. Diritti degli Interessati. Il Fornitore assiste il Cliente, mediante misure tecniche e organizzative adeguate e nella misura del possibile, nell'adempimento dell'obbligo di dare seguito alle richieste degli Interessati esercitate ai sensi degli artt. 15-22 GDPR. Qualora un Interessato esercitasse direttamente verso il Fornitore un diritto, il Fornitore inoltrerà tempestivamente la richiesta al Cliente competente.
8.2. Valutazioni d'impatto. Il Fornitore assiste il Cliente, in misura ragionevole, nell'esecuzione di valutazioni d'impatto sulla protezione dei dati (DPIA) e nelle eventuali consultazioni preventive con l'autorità di controllo, ai sensi degli artt. 35 e 36 GDPR.
Art. 9 — Notifica di violazioni dei dati
9.1. Notifica al Cliente. Il Fornitore notifica al Cliente qualsiasi Violazione dei Dati Personali senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta della violazione, fornendo le informazioni necessarie al Cliente per adempiere ai propri obblighi di notifica all'autorità di controllo (art. 33 GDPR) e, ove necessario, agli Interessati (art. 34 GDPR).
9.2. La notifica del Fornitore include almeno: (a) descrizione della natura della violazione; (b) categorie e numero approssimativo di Interessati e di Dati coinvolti; (c) probabili conseguenze; (d) misure adottate o proposte per porre rimedio.
9.3. Resta inteso che la responsabilità della notifica all'autorità di controllo (Garante) e agli Interessati spetta al Cliente in quanto Titolare. Il Fornitore non effettua direttamente tali notifiche.
9.4. Il Fornitore documenta tutte le violazioni dei dati in un registro interno, a disposizione del Cliente su richiesta scritta.
Art. 10 — Audit e ispezioni
10.1. Il Fornitore mette a disposizione del Cliente, su richiesta scritta, tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e al presente DPA.
10.2. Il Cliente ha diritto di effettuare audit, anche tramite terzi indipendenti vincolati a obblighi di riservatezza, sulle attività del Fornitore relative al trattamento dei Dati Personali. Gli audit dovranno: (a) essere richiesti con preavviso scritto di almeno 30 giorni; (b) essere effettuati in orari di lavoro, in modo da non interferire con la normale operatività; (c) essere a carico del Cliente, salvo che l'audit riveli inadempimenti significativi del Fornitore.
10.3. Il Fornitore si riserva la facoltà di soddisfare gli obblighi di audit fornendo al Cliente certificazioni, attestazioni o report di audit di terze parti (es. SOC 2, ISO 27001) propri o dei sub-responsabili, ove disponibili.
Art. 11 — Cessazione del trattamento
11.1. Alla cessazione del contratto principale (per qualunque causa), il Fornitore, a scelta del Cliente espressa entro 30 giorni:
rende disponibile l'esportazione completa dei Dati Personali in formato strutturato (CSV/JSON) accessibile dalla dashboard, ovvero
cancella i Dati Personali.
11.2. In assenza di richiesta espressa di esportazione entro 30 giorni dalla cessazione, il Fornitore procede comunque alla cancellazione.
11.3. Trascorsi 60 giorni dalla cessazione del contratto, il Fornitore cancella definitivamente i Dati Personali dai propri sistemi e dai sistemi dei sub-responsabili, salvo conservazione strettamente necessaria ad adempiere obblighi di legge (es. fatturazione, contenzioso). I dati eventualmente conservati nei backup di sicurezza sono cancellati nei tempi previsti dalla rotazione dei backup, comunque non oltre 30 giorni dalla cancellazione operativa.
11.4. Il Fornitore conferma per iscritto al Cliente, su richiesta, l'avvenuta cancellazione dei Dati Personali.
Art. 12 — Responsabilità nell'ambito del DPA
12.1. Il Fornitore risponde per i danni causati dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificamente diretti ai responsabili del trattamento, o ha agito in modo difforme o contrario alle legittime istruzioni del Cliente, ai sensi dell'art. 82.2 GDPR.
12.2. Il regime di limitazione di responsabilità di cui all'art. 9 dei T&C si applica anche alle obbligazioni derivanti dal presente DPA, salvo i casi in cui sia inderogabile per norma imperativa una responsabilità diversa.
12.3. Le Parti collaborano in buona fede in caso di reclami o sanzioni dell'autorità di controllo, ripartendo le responsabilità in funzione delle rispettive condotte.
Art. 13 — Disposizioni finali (DPA)
13.1. In caso di conflitto tra il presente DPA e i T&C, prevale il DPA per le materie relative al trattamento dei dati personali.
13.2. Il presente DPA può essere modificato dal Fornitore per esigenze di adeguamento normativo. Le modifiche sono comunicate al Cliente con preavviso di almeno 30 giorni e si applicano automaticamente, salvo recesso del Cliente prima dell'entrata in vigore.
13.3. Il presente DPA è regolato dalla legge italiana e, per le controversie, è competente il Foro di Pesaro come previsto dai T&C.
Allegato 1 — Sub-responsabili autorizzati
Elenco dei sub-responsabili del trattamento di cui il Fornitore si avvale per l'erogazione del Servizio NeroStay, autorizzati dal Cliente con la sottoscrizione del DPA. L'elenco è aggiornato alla data della presente versione del contratto.
| Sub-responsabile | Servizio fornito | Sede / Luogo trattamento | Garanzie trasferimento extra-UE |
|---|---|---|---|
| Vercel Inc. | Hosting della Piattaforma (frontend e backend serverless) | Stati Uniti d'America | EU-U.S. Data Privacy Framework + Standard Contractual Clauses |
| Supabase Inc. (operatività in UE) | Database, autenticazione, archiviazione (storage documenti d'identità) | Unione Europea (regione configurata in UE) | Trattamento principale in UE; società madre USA con SCC + DPF |
| Stripe Payments Europe Ltd. | Gestione pagamenti tassa di soggiorno | Irlanda — Unione Europea | Trattamento in UE; non si applicano trasferimenti extra-UE per dati di pagamento |
| [Provider email transazionali — da specificare al momento dell'attivazione, es. Resend Inc.] | Invio di email di sistema (notifiche, reset password) | Da definire in fase di attivazione | Da definire in fase di attivazione |
| Anthropic, Inc. e/o altri provider IA | Eventuali funzionalità basate su intelligenza artificiale (se attivate in futuro) | Da definire all'attivazione | Da definire all'attivazione |
Note: l'elenco dei sub-responsabili è soggetto a modifica con il preavviso e le modalità previste dall'art. 6 del DPA. La versione aggiornata è sempre disponibile nella dashboard del Cliente, alla sezione "Privacy & Compliance".
Allegato 2 — Misure tecniche e organizzative di sicurezza
Misure adottate dal Fornitore ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza adeguato al rischio del trattamento.
1. Cifratura dei dati
In transito: tutte le comunicazioni client-server avvengono tramite protocollo HTTPS con TLS 1.2 o superiore.
A riposo: dati e file (compresi i documenti d'identità) sono cifrati at-rest tramite AES-256 fornito dall'infrastruttura Supabase.
Password: le password degli utenti sono memorizzate esclusivamente in forma di hash cifrato, mai in chiaro (gestione tramite Supabase Auth).
2. Controllo degli accessi
Autenticazione obbligatoria per accedere alla dashboard amministrativa (email + password).
Sistema di autorizzazione basato su Row Level Security (RLS) di Supabase, che impedisce a un cliente di accedere ai dati di altri clienti.
Accesso ai documenti d'identità tramite signed URL con scadenza breve, mai esposti pubblicamente.
Accesso del personale del Fornitore ai dati limitato al solo strettamente necessario (principio del need-to-know).
3. Logging e monitoraggio
Log delle operazioni di accesso e modifica sui dati sensibili, conservati per finalità di audit.
Monitoraggio dell'infrastruttura per il rilevamento di anomalie e tentativi di accesso non autorizzato.
4. Cancellazione automatica
Documenti d'identità: cancellati automaticamente dal sistema al momento del check-out dell'ospite. Permangono fino a 7 giorni nei backup di sicurezza, dopodiché sono cancellati anche da quelli.
Dati alla cessazione: cancellati come previsto dall'art. 11 del DPA.
5. Backup e disaster recovery
Backup giornalieri automatici dei dati tramite l'infrastruttura Supabase.
Procedure di ripristino testate periodicamente.
Conservazione dei backup nel territorio dell'Unione Europea.
6. Gestione delle vulnerabilità
Aggiornamento regolare di tutte le dipendenze software e dei componenti dell'infrastruttura.
Monitoraggio dei security advisor delle dipendenze utilizzate (npm audit, Dependabot e analoghi).
Adozione tempestiva delle patch di sicurezza critiche.
7. Misure organizzative
Impegno di riservatezza sottoscritto da tutti i collaboratori del Fornitore che hanno accesso ai dati personali.
Formazione periodica del personale sulla protezione dei dati e sulla sicurezza informatica.
Procedure documentate per la gestione delle violazioni dei dati.
Revisione periodica delle misure di sicurezza adottate.
8. Sicurezza dei sub-responsabili
Il Fornitore seleziona sub-responsabili che offrono garanzie di sicurezza adeguate, generalmente certificati secondo standard internazionali (SOC 2, ISO 27001 o equivalenti). Le certificazioni dei principali sub-responsabili sono pubblicamente verificabili sui rispettivi siti istituzionali.
Le presenti misure sono soggette a evoluzione. Il Fornitore può modificarle a condizione che il livello di sicurezza non sia ridotto. La versione aggiornata è disponibile nella dashboard del Cliente.
Sottoscrizione del Contratto
Il Cliente, mediante completamento della procedura di registrazione online o sottoscrizione del presente contratto in altra forma, dichiara:
di aver letto, compreso e accettato integralmente i Termini e Condizioni (Parte A);
di aver letto, compreso e accettato integralmente il Data Processing Agreement (Parte B) e relativi allegati;
di aver specificamente approvato le clausole vessatorie ai sensi degli artt. 1341 e 1342 c.c. come elencate al termine della Parte A;
di nominare il Fornitore quale Responsabile del trattamento ai sensi dell'art. 28 GDPR per i trattamenti effettuati tramite la Piattaforma.
Il presente contratto si conclude per via telematica al completamento della procedura di registrazione e accettazione, in conformità al D.Lgs. 70/2003 e al D.Lgs. 82/2005 (Codice dell'Amministrazione Digitale).
Per il Fornitore: Punto Nero Studio di Carlo Simone — Pesaro, 29 aprile 2026
Per il Cliente: accettazione tramite procedura online