PREMESSE

Il presente Accordo sul Trattamento dei Dati Personali (di seguito "DPA" o "Accordo") è stipulato tra:

Diciassette S.r.l.s. (P.IVA IT04131570360), con sede in Via San Martino 40, 41121 Modena (MO), Italia, in qualità di Responsabile del trattamento (di seguito "Responsabile" o "Verto")

e

Il soggetto che ha sottoscritto il contratto di servizio per l'utilizzo della piattaforma Verto, in qualità di Titolare del trattamento (di seguito "Titolare" o "Cliente")

CONSIDERATO CHE:

a) Il Titolare utilizza la piattaforma Verto per la gestione automatizzata delle comunicazioni con i propri ospiti nell'ambito della propria attività di affitti brevi/ospitalità;

b) Nell'ambito di tale utilizzo, il Responsabile tratta dati personali degli ospiti del Titolare per conto di quest'ultimo;

c) L'art. 28 del Regolamento (UE) 2016/679 (GDPR) richiede che i trattamenti effettuati da un responsabile per conto di un titolare siano disciplinati da un contratto o altro atto giuridico;

d) Le Parti intendono regolare con il presente Accordo i rispettivi obblighi e responsabilità in materia di protezione dei dati personali.

TUTTO CIÒ PREMESSO, LE PARTI CONVENGONO QUANTO SEGUE:

Art. 1 - Definizioni

Ai fini del presente Accordo, i termini di seguito indicati hanno il seguente significato:

• "GDPR": il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016.

• "Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile, come definito dall'art. 4 GDPR.

• "Trattamento": qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali, come definito dall'art. 4 GDPR.

• "Interessato": la persona fisica a cui si riferiscono i Dati Personali (nel contesto del presente Accordo, gli ospiti del Titolare).

• "Sub-responsabile": qualsiasi soggetto terzo incaricato dal Responsabile per svolgere specifiche attività di trattamento per conto del Titolare.

• "Violazione dei Dati Personali" (Data Breach): una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali.

• "Contratto Principale": il contratto di servizio (Termini di Servizio) stipulato tra il Titolare e il Responsabile per l'utilizzo della piattaforma Verto.

Art. 2 - Oggetto e durata del trattamento

2.1 Il presente Accordo disciplina il trattamento dei Dati Personali che il Responsabile effettua per conto del Titolare nell'ambito dell'erogazione dei servizi della piattaforma Verto, come descritti nel Contratto Principale.

2.2 Il presente Accordo entra in vigore alla data di attivazione dell'account Verto da parte del Titolare e rimane efficace per tutta la durata del Contratto Principale.

2.3 Al termine del Contratto Principale, si applicano le disposizioni di cui all'Art. 12 del presente Accordo relative alla restituzione e cancellazione dei dati.

Art. 3 - Natura e finalità del trattamento

3.1 Il Responsabile tratta i Dati Personali esclusivamente per le seguenti finalità, tutte strumentali all'erogazione del servizio Verto:

• Importazione e sincronizzazione delle prenotazioni tramite feed iCal

• Identificazione degli ospiti e associazione alle rispettive prenotazioni e proprietà

• Invio di messaggi automatici programmati (conferma prenotazione, istruzioni check-in, etc.)

• Ricezione e gestione delle comunicazioni degli ospiti tramite WhatsApp

• Elaborazione dei messaggi tramite sistemi di intelligenza artificiale per generare risposte automatiche

• Conservazione dello storico delle conversazioni

• Generazione di report e statistiche aggregate per il Titolare

• Assistenza tecnica e risoluzione di problemi segnalati dal Titolare

Art. 4 - Tipologia di dati personali e categorie di interessati

4.1 Categorie di interessati:

• Ospiti del Titolare (persone fisiche che hanno effettuato prenotazioni presso le strutture gestite dal Titolare)

4.2 Tipologie di dati personali trattati:

• Dati identificativi: nome, cognome

• Dati di contatto: numero di telefono, indirizzo email

• Dati relativi alla prenotazione: date di check-in/check-out, numero di ospiti, importo, ID prenotazione, canale di provenienza, richieste speciali

• Dati di localizzazione indiretti: paese di provenienza, lingua preferita

• Contenuto delle comunicazioni: messaggi scambiati tramite WhatsApp, domande, richieste, segnalazioni

4.3 Il Responsabile non tratta intenzionalmente categorie particolari di dati personali (art. 9 GDPR) né dati relativi a condanne penali (art. 10 GDPR). Qualora tali dati fossero presenti nel contenuto delle comunicazioni degli ospiti, il Responsabile li tratterà esclusivamente nella misura strettamente necessaria alla gestione della conversazione, senza ulteriori elaborazioni.

Art. 5 - Obblighi del Responsabile

Il Responsabile si impegna a:

5.1 Istruzioni documentate: Trattare i Dati Personali esclusivamente sulla base di istruzioni documentate del Titolare, incluse quelle relative ai trasferimenti verso paesi terzi, salvo che il diritto dell'Unione o dello Stato membro cui è soggetto il Responsabile non gli imponga di procedere al trattamento. In tal caso, il Responsabile informa il Titolare di tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.

5.2 Riservatezza del personale: Garantire che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.

5.3 Misure di sicurezza: Adottare tutte le misure tecniche e organizzative appropriate richieste ai sensi dell'art. 32 GDPR per garantire un livello di sicurezza adeguato al rischio, come dettagliato all'Art. 7 del presente Accordo.

5.4 Sub-responsabili: Rispettare le condizioni di cui all'Art. 6 per ricorrere a sub-responsabili del trattamento.

5.5 Assistenza al Titolare: Assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al Capo III del GDPR.

5.6 Supporto per obblighi GDPR: Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 GDPR (sicurezza, notifica violazioni, valutazione d'impatto, consultazione preventiva), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

5.7 Cancellazione/restituzione: Su scelta del Titolare, cancellare o restituire tutti i Dati Personali al termine della prestazione dei servizi e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati, secondo quanto previsto all'Art. 12.

5.8 Audit e ispezioni: Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato, secondo le modalità di cui all'Art. 11.

Art. 6 - Sub-responsabili del trattamento

6.1 Autorizzazione generale: Il Titolare autorizza in via generale il Responsabile a ricorrere a sub-responsabili per l'esecuzione di specifiche attività di trattamento, a condizione che il Responsabile rispetti gli obblighi di cui al presente articolo.

6.2 Elenco sub-responsabili: L'elenco aggiornato dei sub-responsabili autorizzati è pubblicato all'indirizzo vertoai.it/sub-responsabili e include almeno:

• Meta Platforms Ireland Ltd / Meta Platforms, Inc. – WhatsApp Business API (messaggistica) – Irlanda/USA

• Twilio Inc. – Infrastruttura telefonica e numeri WhatsApp Business – USA

• Anthropic PBC – Elaborazione linguaggio naturale (Claude AI) – USA

• OpenAI, LLC – Elaborazione linguaggio naturale (GPT) – USA

• Stripe, Inc. – Gestione pagamenti – USA

• Provider hosting/cloud – Infrastruttura e storage (dettagli nella pagina sub-responsabili)

6.3 Notifica modifiche: Il Responsabile informa il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili con un preavviso di almeno 15 (quindici) giorni, dando così al Titolare la possibilità di opporsi a tali modifiche.

6.4 Diritto di opposizione: Il Titolare può opporsi per iscritto all'aggiunta o sostituzione di un sub-responsabile entro 15 giorni dalla notifica, indicando ragioni oggettive e documentate relative alla protezione dei dati. In caso di opposizione motivata, le Parti si impegnano a negoziare in buona fede una soluzione. Se non viene raggiunto un accordo entro 30 giorni, il Titolare ha diritto di recedere dal Contratto Principale senza penali.

6.5 Obblighi contrattuali: Il Responsabile impone a ciascun sub-responsabile, mediante contratto o altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel presente Accordo. Il Responsabile rimane pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi del sub-responsabile.

Art. 7 - Misure di sicurezza

7.1 Il Responsabile adotta le seguenti misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio:

Misure tecniche:

• Cifratura dei dati in transito (TLS 1.2 o superiore)

• Cifratura dei dati a riposo (AES-256 o equivalente)

• Hashing delle credenziali di accesso con algoritmi sicuri (bcrypt o equivalente)

• Controllo degli accessi basato su ruoli (RBAC)

• Autenticazione a più fattori per gli accessi amministrativi

• Logging e monitoraggio degli accessi ai dati

• Backup regolari con procedure di recovery testate

• Firewall e sistemi di rilevamento intrusioni

• Aggiornamenti di sicurezza regolari dei sistemi

Misure organizzative:

• Formazione del personale in materia di protezione dei dati

• Accordi di riservatezza con tutto il personale

• Principio del minimo privilegio per gli accessi

• Procedure documentate per la gestione degli incidenti

• Revisione periodica delle misure di sicurezza

7.2 Il Responsabile si impegna a rivedere e aggiornare periodicamente le misure di sicurezza in relazione all'evoluzione dei rischi e dello stato dell'arte tecnologico.

Art. 8 - Trasferimenti di dati verso paesi terzi

8.1 Il Responsabile può trasferire Dati Personali verso paesi al di fuori dello Spazio Economico Europeo esclusivamente nel rispetto delle condizioni previste dal Capo V del GDPR.

8.2 Per i trasferimenti verso gli Stati Uniti d'America, il Responsabile si avvale delle seguenti garanzie:

• Data Privacy Framework (DPF): per i sub-responsabili certificati ai sensi della decisione di adeguatezza della Commissione Europea del 10 luglio 2023 (Meta, Twilio, OpenAI, Stripe)

• Clausole Contrattuali Standard (SCCs): per i sub-responsabili non certificati DPF (Anthropic), integrate da misure supplementari tecniche e organizzative

8.3 Garanzie specifiche per i provider AI:

• Anthropic (Claude): SCCs in essere secondo il DPA del fornitore; Verto utilizza le API in modalità che, secondo i termini contrattuali vigenti, non prevede conservazione dei dati per training.

• OpenAI (GPT): Verto utilizza le API con le opzioni contrattuali e tecniche che, secondo la documentazione del fornitore, disabilitano la conservazione e l'uso per training.

8.4 Il Titolare autorizza espressamente i trasferimenti verso i sub-responsabili elencati all'Art. 6.2. Copia delle Clausole Contrattuali Standard e della documentazione relativa alle garanzie adottate è disponibile su richiesta.

8.5 Divieto di utilizzo dei dati per training e miglioramento:

Il Responsabile si impegna a NON utilizzare i Dati Personali degli ospiti (conversazioni, prenotazioni, informazioni identificative) per:

• addestrare, migliorare o sviluppare modelli di intelligenza artificiale propri o di terzi

• finalità di ricerca e sviluppo

• qualsiasi altra finalità diversa dall'erogazione del servizio per conto del Titolare

Eccezione per miglioramento del servizio: qualora il Responsabile intendesse in futuro utilizzare dati derivanti dall'utilizzo del servizio per migliorare la piattaforma Verto, ciò avverrà esclusivamente su dati completamente anonimizzati in modo irreversibile (con rimozione di ogni elemento identificativo: numeri di telefono, nomi, indirizzi, codici di accesso, importi) oppure previo consenso esplicito del Titolare documentato in apposito allegato.

Art. 9 - Violazioni dei dati personali (Data Breach)

9.1 Il Responsabile notifica al Titolare qualsiasi Violazione dei Dati Personali di cui venga a conoscenza senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta.

9.2 La notifica contiene almeno:

• Descrizione della natura della violazione, incluse, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni coinvolti

• Nome e dati di contatto del punto di contatto del Responsabile

• Descrizione delle probabili conseguenze della violazione

• Descrizione delle misure adottate o proposte per porre rimedio alla violazione e per attenuarne i possibili effetti negativi

9.3 Il Responsabile collabora con il Titolare e fornisce tutta l'assistenza ragionevolmente necessaria per consentire al Titolare di adempiere ai propri obblighi di notifica all'Autorità di controllo e, ove applicabile, di comunicazione agli interessati.

Art. 10 - Assistenza per l'esercizio dei diritti degli interessati

10.1 Il Responsabile assiste il Titolare nel dare seguito alle richieste degli interessati per l'esercizio dei loro diritti ai sensi del Capo III del GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).

10.2 Qualora un interessato (ospite) rivolga direttamente al Responsabile una richiesta relativa ai propri diritti, il Responsabile:

• Inoltra tempestivamente la richiesta al Titolare

• Informa l'interessato che il Titolare è il soggetto competente a gestire la richiesta

• Fornisce al Titolare tutta l'assistenza tecnica necessaria per evadere la richiesta

10.3 Il Responsabile mette a disposizione del Titolare funzionalità tecniche per facilitare l'esercizio dei diritti degli interessati, inclusa la possibilità di esportare e cancellare i dati relativi a specifici ospiti.

Art. 11 - Audit e verifiche

11.1 Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dal presente Accordo e dall'art. 28 GDPR.

11.2 Il Titolare o un revisore terzo da questi incaricato può effettuare audit e ispezioni, previo preavviso scritto di almeno 30 giorni, durante il normale orario lavorativo e senza interrompere le attività del Responsabile.

11.3 I costi dell'audit sono a carico del Titolare, salvo che l'audit rilevi una violazione significativa degli obblighi del Responsabile.

11.4 In alternativa all'audit in loco, il Responsabile può fornire al Titolare rapporti di audit di terze parti indipendenti (es. SOC 2, ISO 27001) o questionari di sicurezza compilati, che il Titolare accetta come prova sufficiente di conformità, salvo ragionevoli motivi per richiedere verifiche ulteriori.

Art. 12 - Restituzione e cancellazione dei dati

12.1 Al termine del Contratto Principale, su richiesta del Titolare formulata entro 30 giorni dalla cessazione, il Responsabile:

• Restituisce al Titolare tutti i Dati Personali in formato elettronico standard (es. CSV, JSON), oppure

• Cancella tutti i Dati Personali e le copie esistenti

12.2 In assenza di istruzioni specifiche del Titolare entro il termine di 30 giorni, il Responsabile procede alla cancellazione dei Dati Personali entro i successivi 60 giorni.

12.3 Il Responsabile può conservare i Dati Personali oltre i termini indicati esclusivamente nella misura in cui ciò sia richiesto dal diritto dell'Unione o degli Stati membri (es. obblighi fiscali, contenzioso pendente). In tal caso, il Responsabile informa il Titolare e garantisce la riservatezza dei dati conservati.

Art. 13 - Responsabilità

13.1 Ciascuna Parte è responsabile per i danni causati da un trattamento non conforme al GDPR secondo quanto previsto dall'art. 82 GDPR.

13.2 Il Responsabile è esonerato dalla responsabilità ai sensi dell'art. 82, par. 3, GDPR se dimostra che l'evento dannoso non gli è in alcun modo imputabile.

13.3 Fermo restando quanto previsto dalla legge, la responsabilità complessiva del Responsabile ai sensi del presente Accordo è limitata all'importo totale pagato dal Titolare al Responsabile nei 12 mesi precedenti l'evento che ha dato origine alla richiesta di risarcimento.

Art. 14 - Obblighi del Titolare

Il Titolare si impegna a:

• Garantire la liceità del trattamento dei dati degli ospiti e la sussistenza di una valida base giuridica

• Fornire agli interessati le informazioni richieste dagli artt. 13 e 14 GDPR, incluse le informazioni relative al trattamento effettuato tramite Verto

• Impartire istruzioni di trattamento conformi alla legge

• Verificare che i dati importati nella piattaforma siano accurati e aggiornati

• Rispondere tempestivamente alle richieste del Responsabile relative all'esecuzione del presente Accordo

Art. 15 - Disposizioni finali

15.1 Gerarchia: In caso di conflitto tra le disposizioni del presente Accordo e quelle del Contratto Principale, prevalgono le disposizioni del presente Accordo per quanto riguarda la protezione dei dati personali.

15.2 Modifiche: Il presente Accordo può essere modificato dal Responsabile per adeguarlo a modifiche normative o per migliorare le garanzie di protezione dei dati. Le modifiche vengono comunicate al Titolare con preavviso di 30 giorni. L'utilizzo continuato del servizio dopo tale termine costituisce accettazione delle modifiche.

15.3 Legge applicabile: Il presente Accordo è regolato dalla legge italiana.

15.4 Foro competente: Per qualsiasi controversia relativa al presente Accordo è competente in via esclusiva il Foro di Modena.

Ultimo aggiornamento: Gennaio 2026

Versione: 1.1

Il presente Accordo si intende accettato dal Titolare al momento della creazione dell'account Verto e costituisce parte integrante dei Termini di Servizio.