Data Processing Agreement (DPA)
Ai sensi dell'art. 28 GDPR — versione 1.0 del 29 maggio 2026
1. Parti
Titolare: il Cliente Vendooly, come identificato nell'account.
Responsabile: Coralis S.r.l.s. ("Vendooly"), P.IVA 03305740593, REA LT-327139, con sede legale in Via Alessandro Manzoni 58, 04100 Latina (LT), Italia.
2. Oggetto e natura del trattamento
Vendooly tratta dati personali per conto del Cliente nell'ambito dell'erogazione del Servizio SaaS di gestione vendite Amazon. Le operazioni includono: raccolta, archiviazione, consultazione, modifica, cancellazione, trasmissione tramite API.
3. Durata
Il presente DPA è in vigore per tutta la durata del contratto principale e fino alla restituzione o cancellazione di tutti i dati.
4. Categorie di interessati e dati
- Interessati: utenti del Cliente, clienti finali del Cliente (acquirenti Amazon, in forma anonimizzata/pseudonimizzata).
- Categorie di dati: identificativi seller, contatti aziendali, dati di catalogo, dati di ordine pseudonimizzati, dati di pagamento processati da Stripe.
5. Obblighi del Responsabile
Vendooly si impegna a:
- trattare i dati solo su istruzione documentata del Titolare;
- garantire la riservatezza del personale autorizzato;
- adottare le misure di sicurezza di cui all'art. 32 GDPR (cifratura, controllo accessi, audit log, resilienza, test periodici);
- assistere il Titolare nel rispondere alle richieste degli interessati;
- notificare data breach entro 48 ore dalla scoperta;
- restituire o cancellare i dati al termine del contratto (entro 30 giorni);
- mettere a disposizione la documentazione necessaria per audit (max una volta l'anno, salvo incidenti).
6. Sub-responsabili autorizzati
Il Cliente autorizza in via generale i seguenti sub-responsabili:
| Fornitore | Servizio | Sede |
|---|---|---|
| IONOS SE | Hosting webspace + MySQL | DE |
| Aruba S.p.A. | SMTP transazionale | IT |
| Stripe Payments Europe Ltd. | Pagamenti | IE |
| Amazon Services Europe S.à.r.l. | SP-API | LU |
| Sentry Inc. | Error monitoring (opzionale) | US (SCC) |
| UptimeRobot | Monitoring uptime | US (SCC) |
| Anthropic PBC | Assistente IA Claude (solo se attivato dal Cliente via MCP) | US (DPF/SCC) |
| OpenAI, L.L.C. | Assistente IA ChatGPT (solo se attivato dal Cliente via MCP) | US (DPF/SCC) |
| Google LLC | Assistente IA Gemini (solo se attivato dal Cliente via MCP) | US (DPF/SCC) |
Eventuali modifiche all'elenco saranno notificate con almeno 30 giorni di preavviso; il Cliente potrà opporsi recedendo dal contratto.
Nota sui provider IA. I provider di assistenti IA sono coinvolti esclusivamente quando il Cliente attiva volontariamente il connettore MCP dal proprio account: in tal caso il Cliente sceglie il provider, l'invio dei dati avviene su sua iniziativa ed è revocabile in qualsiasi momento con la disconnessione. Al trattamento effettuato dal provider IA si applicano i termini e le condizioni del provider stesso, che il Cliente è tenuto a verificare (incluse le impostazioni di conservazione e addestramento dei modelli).
7. Trasferimenti extra-UE
I trasferimenti verso paesi extra-UE avvengono in base al EU-US Data Privacy Framework (ove applicabile) e/o a Standard Contractual Clauses (Decisione UE 2021/914), con misure supplementari (cifratura at-rest e in-transit, segregazione tenant).
8. Sicurezza — Misure tecniche e organizzative
- TLS 1.3 per tutte le comunicazioni;
- password con bcrypt (cost 10);
- token OAuth Amazon cifrati AES-256-GCM con chiave separata;
- segregazione multi-tenant tramite
org_ida livello applicativo; - audit log completo di tutte le azioni amministrative;
- backup notturni cifrati con retention 30 giorni;
- controllo accessi role-based (utente, admin, superadmin);
- monitoring intrusioni e rate limiting;
- formazione periodica del personale sulla data protection.
9. Accettazione
Il presente DPA si intende automaticamente accettato dal Cliente all'attivazione del Servizio e con la registrazione di un piano a pagamento. Per richiederne copia firmata: legal@vendooly.com.