.cloud
.cloud
Data Processing Agreement (DPA)
Accordo sul trattamento dei Dati ai sensi dell’Art 28 GDPR
1. Ruoli delle Parti
Il Merchant che utilizza il servizio CartHub sul proprio sito e-commerce (Data Controller).
CartHub, SAVE THE BRAIN, Strada Provinciale 40 snc, 86044 Colletorto (CB) P.IVA 01830350706 (Data Processor).
2. Oggetto e Finalità del Trattamento
CartHub tratta i dati personali degli utenti finali del Merchant esclusivamente per le seguenti finalità, secondo le istruzioni documentate del Titolare:
- Monitoraggio dei carrelli abbandonati e invio di email di recupero
- Gestione delle notifiche Price Alert
- Analisi del contenuto del carrello tramite intelligenza artificiale per la personalizzazione delle comunicazioni
- Gestione delle preferenze di comunicazione (unsubscribe, suppression list)
3. Categorie di Dati Trattati
| Categoria | Dati specifici |
|---|---|
| Identificativi | Nome, cognome, indirizzo email |
| Commerciali | Prodotti nel carrello, quantità, prezzi, valuta, URL prodotti |
| Tecnici | Lingua di navigazione, identificativo di sessione anonimo, timestamp |
| Comportamentali | Apertura/click email, stato unsubscribe |
4. Sub-responsabili (Sub-processors)
Il Merchant autorizza CartHub ad avvalersi dei seguenti sub-responsabili:
| Sub-processor | Finalità | Sede |
|---|---|---|
| MailerSend Mailgun Technologies |
Invio email transazionali | UE / USA |
| OpenAI | Analisi carrello e personalizzazione contenuti | USA |
| Anthropic | Analisi carrello e personalizzazione contenuti | USA |
| Stripe | Gestione pagamenti e abbonamenti | USA / Irlanda |
CartHub informerà il Merchant di eventuali modifiche alla lista dei sub-responsabili con un preavviso di 30 giorni.
5. Misure di Sicurezza (Art. 32 GDPR)
- Crittografia TLS per tutti i dati in transito
- Autenticazione basata su API key e token JWT
- Accesso ai dati limitato al personale autorizzato
- Backup automatici periodici
- Log di accesso e audit trail
- Cancellazione/anonimizzazione automatica dei dati secondo la retention policy configurata
6. Obblighi di CartHub
- Trattare i dati esclusivamente su istruzioni documentate del Titolare
- Garantire che il personale autorizzato sia vincolato alla riservatezza
- Assistere il Titolare nel rispondere alle richieste degli interessati (Artt. 15-22 GDPR)
- Notificare al Titolare qualsiasi violazione dei dati (data breach) entro 48 ore dalla scoperta
- Cancellare o restituire tutti i dati al termine del rapporto contrattuale, su scelta del Titolare
- Rendere disponibili tutte le informazioni necessarie per dimostrare la conformità
7. Durata e Cessazione
Il presente accordo ha durata pari al contratto di servizio CartHub. Alla cessazione, CartHub cancellerà tutti i dati personali entro 30 giorni, salvo obblighi di legge che ne impongano la conservazione.
8. Contatti
Per richieste relative al DPA: privacy@carthub.cloud