DPA - Resflow

DPA

ANEXO A

ACUERDO PARA EL TRATAMIENTO DE DATOS PERSONALES - DATA PROCESSING AGREEMENT

(ex art. 28 del Reglamento UE 2016/679)

El presente acuerdo para la protección de datos personales es celebrado entre:

  1. Resflow S.R.L., con sede en Via Andrea Costa n. 202/6, 40134 Bologna (BO), NIF 03953561200, en calidad de “Responsable del tratamiento", en la persona del representante legal pro tempore (en lo sucesivo también "el Proveedor" o "el Responsable"),

y

  1. El RESTAURADOR, en calidad de “Responsable del tratamiento", tal como se especifica en los acuerdos contractuales (el "Contrato") que regulan la relación comercial y la prestación del servicio (en lo sucesivo también "el Cliente" o "el Responsable del tratamiento"),

en adelante, conjuntamente, las “Partes” y cada una individualmente la “Parte”;

CONSIDERANDO QUE

  1. Resflow es una plataforma para la gestión de reservas y marketing, diseñada a medida para el sector de la Restauración;

  2. El Restaurador ha firmado un Contrato con el Proveedor (en adelante el “Contrato”) que prevé el uso de la citada plataforma software en modalidad SaaS (Software As A Service), para la gestión de reservas y del listado de clientes, así como eventuales servicios adicionales (mejor especificados cada vez en el Contrato) tales como: módulo de acceso Wifi, módulo online para recogida de datos, módulo de reserva de mesa, módulo delivery, módulo freebies, módulo newsletter, upsell.

  3. ​​las Partes desean regular en este “Acuerdo para el tratamiento de datos personales – Data Processing Agreement” (en adelante “DPA” o “Acuerdo”) las condiciones y modalidades del tratamiento de datos personales efectuado por el Proveedor en el marco del Contrato y de la prestación de los Servicios, así como las responsabilidades derivadas del tratamiento, incluido el compromiso asumido por el Proveedor como Responsable del tratamiento de datos personales en virtud del art. 28 del Reglamento General Europeo sobre Protección de Datos de 27 de abril de 2016 n. 679 (en adelante “GDPR”);

En virtud de lo anterior, las Partes, como se ha indicado arriba,

acuerdan y estipulan lo siguiente:

Artículo 1 - Preámbulo y definiciones

1.1 El preámbulo forma parte integrante y sustancial del presente acuerdo.

1.2 A los efectos del presente acuerdo, los términos que se indican a continuación tendrán el significado especificado, quedando entendido que cualquier otro término o expresión no definida expresamente deberá interpretarse conforme a la normativa vigente en materia de protección de datos personales, en particular el Reglamento (UE) 2016/679 (GDPR):

  1. Resflow: la plataforma para la gestión de reservas y marketing, utilizada por el Restaurador para gestionar sus propios clientes;

  2. Servicios: el conjunto de funcionalidades proporcionadas a través de la plataforma Resflow, ofrecidas en modalidad SaaS (Software as a Service), y disponibles para el Cliente según las condiciones descritas en el contrato, por ejemplo: Resflow (plataforma para la gestión de reservas y marketing utilizada por el Restaurador para la gestión de sus clientes), MODEMResflow (servicio de acceso Wi-Fi), PLATECALL (servicio que incluye el suministro y gestión de una central telefónica VoIP, incluido teléfono y gateway dedicado, lo que permite la comunicación de voz a través de conexiones internas).

  3. Modalidad SaaS: SAAS (Software As A Service): es un modelo de distribución de software donde un fabricante de software desarrolla, opera (directamente o mediante terceros) y gestiona una aplicación web que pone a disposición de sus propios clientes vía Internet (previo abono);

  4. Responsable del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que, individualmente o junto con otros, determina los fines y medios del tratamiento de los datos personales.

  5. Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio u otro organismo que trata datos personales por cuenta del Responsable.

  6. Interesado: la persona física identificada o identificable a quien se refieren los datos personales objeto de tratamiento. En el presente acuerdo, los Interesados son los usuarios de los servicios proporcionados por el Responsable a través de Resflow.

  7. Datos personales: cualquier información relativa a una persona física identificada o identificable (Interesado), según el art. 4(1) del GDPR.

  8. Tratamiento: cualquier operación o conjunto de operaciones realizadas con o sin el auxilio de procesos automatizados y aplicadas a los datos personales, como la recogida, registro, organización, conservación, modificación, extracción, consulta, uso, comunicación, divulgación, cancelación o destrucción.

  9. Data Breach: cualquier violación de la seguridad que provoque accidental o ilícitamente la destrucción, pérdida, alteración, divulgación no autorizada o acceso a los datos personales tratados.

  10. Sub-encargado: cualquier tercero que el Encargado del tratamiento designe para llevar a cabo actividades específicas de tratamiento por cuenta del Responsable, conforme a las obligaciones establecidas por el DPA y la normativa vigente.

Artículo 2 - Objeto del acuerdo y Finalidad del tratamiento

2.1 El presente DPA tiene por objeto las modalidades y condiciones del tratamiento de todos los datos personales (en adelante, “Datos Personales”) tratados por Resflow S.r.l. en la prestación de los “Servicios” indicados en el Contrato firmado, datos de los que es Responsable el Restaurador; respecto a dichos Datos, Resflow S.r.l. asumirá por tanto el rol de Encargado del tratamiento conforme al art. 28 GDPR.

2.2 Con la firma del presente acuerdo, las Partes se comprometen a respetar la normativa vigente, nacional y supranacional, en materia de protección de datos personales de las personas físicas.

2.3 Las categorías de datos personales tratados por el Encargado por cuenta del Responsable se indican a modo ejemplificativo y no exhaustivo en el Artículo 3. El Encargado realiza exclusivamente las actividades de tratamiento necesarias y relevantes para asegurar la prestación de los Servicios al Responsable mediante la puesta a disposición en modalidad SaaS de la plataforma Resflow.

2.4 Las Partes reconocen y aceptan que cualquier violación del presente acuerdo, por parte del Encargado o del Responsable, constituye también una violación del Contrato de prestación de servicios. En tal caso, sin perjuicio de otros derechos o vías legales disponibles, el Responsable o el Encargado podrán resolver de inmediato el Contrato, conforme a las disposiciones previstas en el mismo.

Artículo 3 - Datos personales tratados

3.1 El Encargado tratará los datos personales identificativos exclusivamente para ejecutar el Contrato, dentro de los límites y según las modalidades dispuestas por el mismo, por el presente DPA, por la normativa en materia de protección de datos personales y cumpliendo las obligaciones legales.

3.2 Los datos personales tratados se refieren a los Usuarios finales que utilizan los servicios proporcionados por el Responsable en los establecimientos gestionados por este.

3.3 Los datos personales recogidos por el Responsable y procesados por el Encargado podrán referirse, en función del servicio objeto del Contrato (lista ejemplificativa y no exhaustiva): nombre, apellidos, dirección de correo electrónico, número de teléfono, posibles preferencias alimentarias o alergias (si son comunicadas por el Interesado en el momento de la reserva).

3.4 El Responsable del tratamiento garantiza que los datos personales objeto del presente acuerdo son y serán recogidos de forma lícita y conforme a la normativa vigente, asegurando que la información transmitida al Encargado no infringe en modo alguno los derechos de los Interesados.

Artículo 4 - Autorización para el tratamiento de datos personales como Encargado

4.1 El presente nombramiento como Encargado del tratamiento de los Datos comienza desde la fecha de firma del Contrato, tiene validez durante toda la duración de la relación jurídica entre las Partes y podrá ser revocado a discreción del Responsable.

4.2 El Encargado se compromete a realizar el tratamiento de forma lícita, leal y en pleno cumplimiento con la normativa vigente en materia de protección de datos personales, así como de conformidad con las instrucciones específicas proporcionadas por el Responsable.

4.3 Asimismo, el Responsable del tratamiento declara haber considerado adecuadas las garantías adoptadas por el Encargado para la aplicación de medidas técnicas y organizativas, asegurando que el tratamiento sea conforme a los requisitos del Reglamento (UE) 2016/679 (GDPR) y proteja los derechos de los Interesados.

Artículo 5 - Duración del encargo

5.1 El presente Data Processing Agreement (DPA) y las autorizaciones en él contenidas permanecerán en vigor hasta la finalización del Contrato de servicio.

Artículo 6 - Gestión de los Autorizados por parte del Encargado del tratamiento

6.1 El tratamiento de los datos personales será realizado exclusivamente por personal del Encargado previamente autorizado, conforme al art. 29 del GDPR y art. 2-quaterdecies del D.Lgs. 196/2003, debidamente instruido sobre sus responsabilidades.

6.2 El Encargado, también en cumplimiento de lo dispuesto por el art. 32.4 del Reglamento, se compromete a:

  1. permitir el tratamiento de los Datos Personales únicamente a los Autorizados que:

  2. por experiencia, capacidad y formación, resulten idóneos para asegurar el cumplimiento de la normativa en materia de protección de datos personales;

  3. hayan sido designados como Autorizados mediante nombramiento formal y por escrito para las operaciones de tratamiento de los Datos Personales, y a quienes se les hayan impartido por escrito instrucciones operativas detalladas sobre las obligaciones relativas al tratamiento y, en particular, sobre las precauciones a adoptar para:

  4. asegurar el tratamiento de los Datos Personales de conformidad con el presente DPA y con la normativa de protección de datos personales;

  5. evitar violaciones de los Datos Personales y poner en marcha las actividades oportunas en caso de incidente de seguridad;

  6. responder a las eventuales solicitudes de ejercicio de derechos por parte de los Interesados;

  7. sean sometidos a vigilancia sobre el exacto cumplimiento de las instrucciones recibidas y de los deberes que les corresponden;

  8. asegurar que los Autorizados solo tengan acceso a los Datos Personales estrictamente necesarios para la correcta ejecución del Contrato o para cumplir obligaciones legales, en conformidad con el presente DPA y la normativa aplicable;

  9. garantizar que el personal encargado de la ejecución del Contrato haya sido informado sobre la naturaleza confidencial de la información recibida del Responsable y actúe conforme a las obligaciones de confidencialidad.

Artículo 7 - Controles y obligaciones del Encargado

7.1 El Encargado se compromete a observar las siguientes obligaciones para la ejecución del Contrato:

  1. Instrucciones del Responsable: El Encargado del tratamiento se compromete a tratar los datos personales exclusivamente para las finalidades indicadas en este DPA y para la ejecución de las prestaciones contractuales previstas en el Contrato. El tratamiento se realizará conforme a las instrucciones proporcionadas por el Responsable y en cumplimiento del art. 32 del GDPR.

  2. Lugar del tratamiento: Los datos personales serán almacenados y tratados por el Encargado dentro del territorio de la Unión Europea, en particular en los servidores de Amazon y Digital Ocean (en sus sedes en Frankfurt). Si en el futuro es necesario un tratamiento en países fuera de la UE, el Encargado deberá notificarlo al Responsable, acordando las garantías adecuadas en función de la jurisdicción implicada. Si el Encargado está obligado a transferir datos a un tercer país u organización internacional por imperativo legal de la Unión o del Estado miembro correspondiente, informará previamente al Responsable para obtener la autorización necesaria.

  3. Confidencialidad: El Encargado garantiza la confidencialidad de los datos personales tratados en el marco de la ejecución del Contrato. También asegura que su personal autorizado haya suscrito un deber legal de confidencialidad y haya recibido la formación necesaria en materia de tratamiento y protección de datos personales.

  4. Seguridad: El Encargado garantiza el cumplimiento de las medidas de seguridad previstas en la normativa de protección de datos personales, en el presente DPA, y en los procedimientos de las Autoridades competentes cuando sean aplicables respecto a medidas lógicas, técnicas, físicas y organizativas que se apliquen para proteger los Datos frente a sustracción o destrucción accidental o intencionada, pérdida accidental, alteraciones, uso no autorizado, modificaciones, divulgación, difusión, accesos no previstos y cualquier otra forma de tratamiento ilícito. El Encargado garantiza que las medidas de seguridad implementadas son idóneas para asegurar de manera permanente la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y datos tratados, así como un nivel de seguridad adecuado a los riesgos que presenta el tratamiento. Estas medidas podrán ser actualizadas o modificadas, siempre que no comporten un nivel de seguridad inferior respecto al actual. El Encargado también se compromete a comunicar sin demora indebida y por escrito al Responsable cualquier incidente que pueda comprometer sus sistemas y/o los del Responsable, y a tomar las acciones necesarias para su resolución.

  5. Información sobre instrucciones recibidas: Si el Encargado considera que una instrucción recibida del Responsable no es conforme con el GDPR, la normativa nacional o cualquier otra normativa aplicable en materia de protección de datos, deberá informar de inmediato al Responsable, quien proporcionará aclaraciones o indicaciones alternativas.

  6. Evaluación de impacto y consulta previa: El Encargado proporcionará una asistencia razonable al Responsable para cualquier evaluación de impacto que este desee llevar a cabo en materia de protección de datos conforme al art. 35 del GDPR y, si es necesario, para la consulta previa con la Autoridad de control, de conformidad con el art. 36 del GDPR, limitándose a los tratamientos realizados por cuenta del Responsable.

  7. Auditoría: A petición del Responsable, el Encargado deberá proporcionar toda la información necesaria para demostrar el cumplimiento del presente DPA. El Responsable tendrá derecho a realizar auditorías para verificar el cumplimiento de las obligaciones establecidas en el DPA y en la normativa aplicable. Para ello, podrá utilizar personal propio o auditores externos, siempre que estén sujetos a deberes de confidencialidad. El Encargado podrá oponerse por escrito a la designación de auditores externos que, a su juicio exclusivo, no estén suficientemente calificados, sean independientes o resulten competidores directos. En tales circunstancias, el Responsable deberá designar otros auditores o realizar las verificaciones por sí mismo. El Encargado se compromete a responder a las solicitudes de documentación o programación de auditorías en un plazo de 30 días desde la recepción de la solicitud.

  8. Derechos de los interesados: Si el Responsable recibe una solicitud de un Interesado para el ejercicio de sus derechos conforme a la normativa aplicable y necesita la colaboración del Encargado para responder correctamente y conforme a la ley, el Encargado proporcionará la información y documentación requerida en plazos razonables. Si la solicitud la recibe directamente el Encargado, este deberá remitirla inmediatamente al Responsable, sin responder directamente al Interesado.

  9. Violación de Datos personales (Data Breach): En caso de violación de datos personales (Data Breach) que pueda conllevar destrucción, pérdida, alteración, divulgación o acceso no autorizado a los datos tratados por cuenta del Responsable, el Encargado deberá comunicarlo al Responsable en un plazo de 48 horas desde el descubrimiento del incidente. El Encargado se compromete a realizar todos los esfuerzos razonables para identificar las causas de la violación y aplicar las medidas necesarias para evitar su repetición.

  10. Transferencia de datos: Por norma general, el Encargado no transferirá datos personales fuera del Espacio Económico Europeo (EEE). Sin embargo, en caso de que sea necesario para determinadas actividades (p. ej., copia de seguridad, alojamiento), la transferencia se efectuará exclusivamente con Sub-encargados que hayan adoptado las garantías adecuadas conforme a los arts. 44-50 del GDPR, entre ellas:

  11. Decisiones de adecuación de la Comisión Europea;

  12. Cláusulas contractuales tipo (Standard Contractual Clauses - SCC);

  13. Otros mecanismos reconocidos por la normativa vigente.

Artículo 8 - Obligaciones y responsabilidad del Responsable del tratamiento

8.1 El Responsable del tratamiento garantiza su conformidad con la normativa vigente y se compromete a respetar las siguientes obligaciones:

  1. Licitud del tratamiento: el Responsable declara recoger y tratar los datos personales de forma lícita, garantizando el respeto de los derechos de los Interesados y de las obligaciones previstas por la normativa aplicable.

  2. Conformidad en la recogida de datos: el Responsable asegura que el procedimiento de recogida de datos personales cumple todos los requisitos legales, incluyendo:

  3. La inclusión de políticas de privacidad redactadas de acuerdo con la normativa vigente;

  4. La recogida de declaraciones de consentimiento para todas las finalidades para las que se utilizarán los datos, cuando sea necesario (ejemplo: servicio de newsletter).

Dichas medidas deben permitir al Encargado del tratamiento realizar los servicios acordados sin incurrir en violaciones normativas.

  1. Instrucciones conformes a la normativa: el Responsable garantiza que las instrucciones proporcionadas al Encargado del tratamiento cumplen la ley y que el tratamiento de datos efectuado por el Encargado de acuerdo con dichas instrucciones no supone violaciones de leyes, reglamentos u otras disposiciones aplicables, incluidas las de protección de datos personales.

Artículo 9 - Autorización general para la designación de sub-encargados

9.1 En la ejecución del Contrato, el Proveedor podrá valerse, mediante autorización general conforme al art. 28.2 del GDPR, de Sub-encargados en cumplimiento de las condiciones y prescripciones previstas en dicho artículo.

9.2 En la fecha de firma del presente DPA, el Encargado utiliza los Sub-encargados indicados en el Sub-Anexo A. En caso de que se nombren nuevos Sub-encargados, estos deberán añadirse al listado mencionado.

9.2 El Encargado se compromete a informar al Responsable antes de firmar acuerdos con un nuevo Sub-encargado y antes de que este comience a tratar los datos personales recogidos por el Responsable.

9.3 Si el Responsable del tratamiento desea oponerse al nombramiento de un nuevo Sub-encargado, deberá notificar su oposición por escrito al Encargado en un plazo de diez (10) días laborables desde la comunicación recibida. No habiendo oposición dentro de dicho plazo, el nombramiento se considerará aceptado.

9.4 En el caso de que el Responsable del tratamiento se oponga al nombramiento de un nuevo Sub-encargado y el Encargado no pueda aceptar tal objeción, el Responsable podrá interrumpir los Servicios, previa notificación escrita al Encargado.

9.5 El Encargado del tratamiento está obligado a firmar un DPA con cada Sub-encargado, garantizando que dicho acuerdo prevea, al menos, las mismas obligaciones de protección de datos aplicables al Encargado, incluidas las previstas en este DPA. El Encargado supervisará y verificará periódicamente la conformidad de sus Sub-encargados con la ley aplicable y, previa solicitud escrita del Responsable, proporcionará la documentación relativa a dichos controles. En caso de grandes proveedores de servicios con estándares contractuales rigurosos, los Data Processing Agreements a menudo no serán negociables. Dichos acuerdos estándar reflejan las políticas y procedimientos de los proveedores, concebidos para garantizar un alto nivel de protección de datos a gran escala. En consecuencia, en tales casos, los acuerdos deberán ser aceptados 'sic et simpliciter' sin posibilidad de modificaciones personalizadas que pudieran ser requeridas o consideradas necesarias por el Responsable. El Encargado limitará en lo posible el acceso de los subcontratistas a los Datos exclusivamente a lo necesario para la prestación de los servicios pactados contractualmente.

Artículo 10 - Cancelación o devolución de datos personales

10.1 Al finalizar o resolverse el Contrato, el Encargado procederá a cancelar o devolver al Responsable todos los datos personales en su poder, según lo previsto en el Contrato.

10.2 Tras la rescisión, el Responsable podrá recuperar la lista de clientes hasta la fecha de caducidad de la licencia. El Encargado proporcionará instrucciones para la exportación de los datos, garantizando el acceso a los archivos necesarios para la recuperación. El Proveedor no será responsable en caso de pérdida de datos que no hayan sido exportados por el Responsable dentro del plazo establecido.

10.3 Si la ley aplicable obliga al Encargado a conservar algunos o todos los datos personales, estos serán archivados y se adoptarán medidas razonables para impedir cualquier tratamiento posterior, salvo lo que sea estrictamente necesario para el cumplimiento de obligaciones legales.

10.5 Todas las licencias son reactivables en cualquier momento, según las necesidades del Responsable.

10.4 En cualquier caso, los términos del presente DPA continuarán aplicándose a dichos datos personales hasta su definitiva eliminación.

Art. 11 - Plantillas documentales facilitadas por el Encargado

El Encargado pone a disposición del Responsable plantillas documentales útiles para facilitar el cumplimiento de las obligaciones en materia de protección de datos personales (tales como, entre otros, avisos de privacidad, netiqueta o instrucciones operativas), adjuntas al presente nombramiento y/o ya disponibles dentro de la plataforma Resflow cuando sea necesario (ejemplo: aviso de privacidad de módulo de reserva y aviso de privacidad de newsletter). Con la firma del presente documento, el Responsable declara haberlas consultado y comprende que dichos documentos son proporcionados únicamente a modo de apoyo y referencia ejemplificativa, quedando bajo su responsabilidad verificar su idoneidad respecto al contexto específico y realizar las adaptaciones oportunas. La aplicabilidad y uso de los documentos puestos a disposición depende de los módulos y servicios efectivamente activados por el Responsable.

Artículo 12 - Datos de contacto

12.1 El Encargado puede ser contactado en la siguiente dirección de correo electrónico: privacy@Resflow.app.

12.2 El Responsable puede ser contactado en la dirección de correo electrónico facilitada en el momento de la inscripción.

Artículo 13 - Remisión

Para todo lo no expresamente previsto y regulado en el presente DPA, las Partes remiten al Contrato, a la normativa aplicable en materia de privacidad, con especial referencia al GDPR, y a la normativa sectorial aplicable a los Servicios prestados conforme al Contrato.

Sub-anexos:

  1. Listado de los principales sub-encargados;

  2. Aviso de privacidad módulo de reserva

  3. Aviso de privacidad módulo wi-fi

  4. Aviso de privacidad newsletter

  5. Netiqueta para el envío de comunicaciones promocionales a través de Resflow.

Sub-Anexo A

Listado de los principales Sub-Encargados


Nombre

Dirección

Referencias

Stripe Inc

510 Townsend Street, San Francisco, CA 94103

https://stripe.com/us/privacy

Amazon Web Services (AWS) (Amazon)

Amazon Web Services EMEA SARL, 5 rue Plaetis, L-2338, Luxemburg, ATTN: AWS EMEA Legal

https://aws.amazon.com/it/privacy/

DigitalOcean Inc.

101 6th Avenue, New York (NY), USA

https://www.digitalocean.com/legal/privacy/

Google LLC

1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

https://policies.google.com/privacy?hl=it

Infobip


https://www.infobip.com/policies/privacy-notice

SendGrid


https://sendgrid.com/policies/privacy/

MessageNet S.p.A.

Via Lanzone 4, 20123 Milano (MI), Italia

https://www.messagenet.com/it/privacy-policy/

ChargeBee

Chargebee Inc., 340 South Lemon Avenue, Suite 1537, Los Angeles, CA 91789, Estados Unidos

https://www.chargebee.com/privacy/

Nexis

Via Andrea Costa, 202/6 - 40134 – Bologna - (Italia)


OVH

OVH Groupe SAS, 2 Rue Kellermann, 59100 Roubaix, Francia

https://www.ovhcloud.com/it/terms-and-conditions/privacy-policy/

Satispay Europe S.A.

53 Boulevard Royal, L-2449 Luxemburgo

https://www.satispay.com/it-it/legal-hub/privacy/generale/

PayPal (Europe) S.à r.l. et Cie, S.C.A.

22-24 Boulevard Royal, L-2449 Luxemburgo

https://www.paypal.com/it/legalhub/privacy-full