Nota operativa: Il presente DPA è pensato per l’uso con il servizio SaaS accessibile al dominio loymatic.com (“Piattaforma”).
Questo DPA integra e completa i Termini di Servizio. In caso di conflitto tra DPA e Termini in materia di protezione dei dati, prevale il DPA; per tutto il resto prevalgono i Termini.
Il presente Accordo (“DPA”) è stipulato tra:
Ruoli GDPR: per i dati personali caricati dal Cliente nella Piattaforma, il Cliente agisce in qualità di Titolare del trattamento e Loymatic agisce quale Responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (“GDPR”).
2.1 Oggetto – Il presente DPA disciplina il trattamento dei dati personali che Loymatic effettua per conto del Cliente nell’erogazione del servizio SaaS (es. gestione loyalty, gift card, clienti, transazioni, comunicazioni transazionali).
2.2 Durata – Il DPA resta in vigore per la durata dell’account del Cliente sulla Piattaforma e, successivamente, per il tempo necessario a completare le operazioni di restituzione/cancellazione secondo l’art. 11.
2.3 Descrizione del trattamento – La descrizione delle categorie di dati, interessati, operazioni e finalità è riportata nell’Allegato 1.
3.1 Loymatic tratta i dati personali esclusivamente su istruzioni documentate del Cliente. Le istruzioni documentate sono costituite da:
3.2 Se Loymatic ritiene che un’istruzione violi il GDPR o altre disposizioni in materia di protezione dei dati, ne informa il Cliente senza ingiustificato ritardo e può sospendere l’esecuzione dell’istruzione nella misura necessaria a prevenire violazioni.
3.3 Eventuali attività ulteriori (sviluppi custom, attività manuali, migrazioni su richiesta) devono essere concordate per iscritto e possono essere soggette a corrispettivo.
3.4 Il Cliente prende atto che Loymatic utilizza strumenti di analytics e monitoraggio dell'esperienza utente (attualmente Google Analytics e Microsoft Clarity) anche nelle aree della Piattaforma in cui sono visualizzati dati personali dei clienti finali del Cliente. Loymatic adotta misure tecniche di minimizzazione (content masking, oscuramento dei campi contenenti dati personali, anonimizzazione) per impedire o limitare la raccolta di dati personali degli interessati da parte di tali strumenti. Questo trattamento avviene per finalità proprie di Loymatic (miglioramento dell'usabilità e delle prestazioni della Piattaforma) in qualità di Titolare autonomo ai sensi dell'Art. 6.1.f) GDPR. L'elenco degli strumenti utilizzati e le relative misure di minimizzazione sono documentati nel Registro delle Attività di Trattamento.
4.1 Loymatic assicura che le persone autorizzate al trattamento:
4.2 Loymatic limita l’accesso ai dati personali secondo il principio del minimo privilegio.
5.1 Loymatic implementa misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura/ambito/contesto/finalità del trattamento e dei rischi per i diritti e le libertà delle persone fisiche.
5.2 Le misure minime attualmente adottate sono descritte nell’Allegato 2 (TOM) e possono essere aggiornate nel tempo per migliorare sicurezza ed efficienza, mantenendo un livello di protezione adeguato.
6.1 Autorizzazione generale – Il Cliente autorizza Loymatic, in via generale, a nominare sub-responsabili per l’erogazione del servizio (es. hosting/cloud, invio email, sicurezza, monitoraggio, CDN).
6.2 Obblighi verso i sub-responsabili – Loymatic:
6.3 Aggiornamenti e diritto di opposizione – Loymatic informa il Cliente di modifiche rilevanti ai sub-responsabili con preavviso indicativo di 10 (dieci) giorni (via email o avviso in dashboard/sito). Il Cliente può opporsi per motivi legittimi entro tale termine. In caso di opposizione, le Parti cooperano in buona fede per trovare una soluzione ragionevole; se non possibile, il Cliente può recedere dal Servizio ed esportare i dati secondo le funzionalità disponibili.
6.4 Elenco – L’elenco (o le categorie) dei sub-responsabili è reso disponibile su richiesta all’indirizzo [email protected] oppure mediante pagina informativa del sito.
6.5 Google LLC (Google Analytics) e Microsoft Corporation (Microsoft Clarity) non operano come sub-responsabili ai sensi del presente DPA, in quanto trattano dati per finalità proprie di Loymatic in qualità di Titolare autonomo (v. Art. 3.4). Sono elencati tra i responsabili del trattamento di Loymatic nel Registro delle Attività di Trattamento.
7.1 Qualora, per esigenze tecniche, i dati siano trasferiti verso Paesi extra SEE, Loymatic garantisce che i trasferimenti avvengano nel rispetto del GDPR mediante:
7.2 Qualora un fornitore aderisca a framework riconosciuti come base di adeguatezza (es. decisioni UE pertinenti), Loymatic potrà farne uso nella misura applicabile.
8.1 Richieste degli interessati – Tenuto conto della natura del trattamento, Loymatic assiste ragionevolmente il Cliente nell’adempimento dell’obbligo di rispondere alle richieste degli interessati (artt. 12–22 GDPR) principalmente tramite funzionalità standard (export, cancellazione, rettifica, log).
8.2 Sicurezza e compliance – Loymatic assiste il Cliente nel rispetto degli obblighi relativi a sicurezza del trattamento e data breach (artt. 32–34 GDPR), nei limiti delle informazioni ragionevolmente disponibili.
8.3 DPIA e consultazione preventiva – Ove applicabile, Loymatic fornisce assistenza ragionevole al Cliente per la conduzione di valutazioni d’impatto (DPIA) e consultazioni preventive con l’Autorità (artt. 35–36 GDPR), nei limiti della natura del trattamento e delle informazioni disponibili.
8.4 Costi – L’assistenza ordinaria è resa nei limiti delle funzionalità standard; attività straordinarie o manuali possono essere soggette a corrispettivo.
9.1 Loymatic notifica al Cliente senza ingiustificato ritardo ogni violazione di dati personali di cui venga a conoscenza che riguardi i dati trattati per conto del Cliente.
9.2 La notifica includerà, per quanto ragionevolmente disponibile: natura della violazione, categorie e numero indicativo di interessati/record coinvolti, possibili conseguenze, misure adottate o proposte per porre rimedio e mitigare gli effetti.
9.3 Il Cliente resta responsabile delle decisioni e degli adempimenti di notifica verso Autorità e interessati, salvo quanto previsto dal GDPR.
10.1 Loymatic mette a disposizione del Cliente le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 GDPR.
10.2 Audit documentale prioritario – Il diritto di audit si esercita prioritariamente mediante audit documentale (questionari, policy, evidenze tecniche ragionevolmente disponibili).
10.3 Ispezioni on-site / tecniche – Ispezioni dirette sono ammesse solo se:
10.4 Costi – Salvo obblighi inderogabili di legge o accordo diverso, i costi ragionevoli dell’audit (incluso tempo tecnico) sono a carico del Cliente.
11.1 Restituzione/portabilità – Alla cessazione del servizio, il Cliente può esportare i dati tramite gli strumenti messi a disposizione dalla Piattaforma.
11.2 Cancellazione – Trascorsi 30 giorni dalla chiusura dell’account, Loymatic cancellerà i dati dai sistemi di produzione, salvo obblighi di conservazione di legge.
11.3 Backup – La cancellazione dai backup può avvenire con differimento tecnico legato ai cicli di rotazione (indicativamente 30–90 giorni). Durante tale periodo, i dati restano protetti e non accessibili in uso ordinario.
12.1 Le Parti riconoscono che il servizio può essere offerto in modalità gratuita e/o sperimentale. Le responsabilità sono disciplinate nei limiti massimi consentiti dalla legge e senza esclusione di dolo o colpa grave.
12.2 Per quanto riguarda limiti di responsabilità, cap e manleve (incluse responsabilità connesse all’uso illecito, mancanza di basi giuridiche, comunicazioni non richieste/spam e gestione consensi), si rinvia a quanto previsto nei Termini di Servizio, che si intendono qui richiamati e coordinati.
Le comunicazioni legali relative al presente DPA devono essere inviate agli indirizzi indicati nella sezione contatti del sito loymatic.com (o agli indirizzi privacy/legal comunicati in dashboard). Per richieste privacy: [email protected].
Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia sarà competente in via esclusiva il Foro del luogo in cui il Fornitore ha il proprio domicilio/sede al momento della domanda giudiziale.
Erogazione del servizio SaaS Loymatic per la durata dell’account e per i tempi tecnici di restituzione/cancellazione.
Trattamenti necessari a fornire le funzionalità: raccolta, registrazione, organizzazione, conservazione, consultazione, utilizzo, comunicazione (solo su istruzioni del Cliente), cancellazione.
Finalità: esecuzione tecnica del servizio (loyalty, gift card, clienti, transazioni, comunicazioni transazionali impostate dal Cliente), sicurezza e log tecnici.
Clienti finali del Cliente (consumatori) e utenti autorizzati del Cliente (dipendenti/collaboratori).
Dati anagrafici e di contatto (nome, email, telefono, data di nascita), dati di fidelizzazione (saldo punti, storico transazioni, premi), eventuali identificativi interni (customer ID), dati tecnici e log.
Divieto di caricare dati particolari (art. 9 GDPR) o giudiziari, salvo accordo scritto. In caso di caricamento accidentale, il Cliente autorizza Loymatic ad adottare misure ragionevoli di minimizzazione, inclusa eventuale rimozione/cancellazione per ridurre i rischi.
Il Cliente:
Le misure includono, in modo proporzionato ai rischi: