Accordo trattamento dati di QR Code AI

ACCORDO TRATTAMENTO DATI (DPA)

Ultimo aggiornamento: 2 marzo 2026

Il presente Accordo sul trattamento dei dati ("DPA") costituisce parte integrante dei Termini di servizio ("Accordo") tra Supernovae, società registrata in Francia presso 27 Rue Wurtz, Juvisy-sur-Orge 91260, numero di partita IVA FR67948452891 ("Responsabile del trattamento", "noi", "ci"), e l’entità che accetta il presente DPA ("Titolare del trattamento", "tu"), congiuntamente denominate le "Parti".

Il presente DPA si applica quando trattiamo dati personali per tuo conto in relazione ai servizi QR Code AI, anche tramite l’API.

1. DEFINIZIONI

• "Dati personali" indica qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definito all’articolo 4(1) del GDPR.
• "Trattamento" indica qualsiasi operazione o insieme di operazioni eseguite su Dati personali, come definito all’articolo 4(2) del GDPR.
• "Interessato" indica la persona fisica identificata o identificabile a cui si riferiscono i Dati personali.
• "Sub-responsabile" indica qualsiasi terza parte incaricata dal Responsabile del trattamento di trattare Dati personali per conto del Titolare del trattamento.
• "GDPR" indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
• "UK GDPR" indica il GDPR come recepito nel diritto del Regno Unito dal Data Protection Act 2018.
• "SCC" indica le Clausole contrattuali standard approvate dalla Commissione europea per il trasferimento di Dati personali verso paesi terzi.
• "Violazione dei dati" indica una violazione della sicurezza che comporta la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati personali, in modo accidentale o illecito.

2. AMBITO DI APPLICAZIONE E RUOLI

2.1 Titolare e Responsabile del trattamento

Ai fini del presente DPA:

• Tu (Titolare del trattamento): determini finalità e mezzi del trattamento dei Dati personali quando utilizzi i nostri Servizi, in particolare quando usi la nostra API per generare codici QR per i tuoi clienti o integri i nostri Servizi nei tuoi prodotti.
• Noi (Responsabile del trattamento): trattiamo i Dati personali per tuo conto secondo le tue istruzioni, come descritto nel presente DPA e nell’Accordo.

2.2 Quando si applica questo DPA

Il presente DPA si applica quando:

• utilizzi l’API di QR Code AI per generare codici QR che trattano i dati dei tuoi utenti finali (ad esempio URL contenenti informazioni personali, dati vCard, dettagli di contatto codificati nei codici QR).
• utilizzi le funzionalità di tracciamento codici QR e analitiche di QR Code AI che raccolgono dati di scansione dai tuoi utenti finali.
• qualsiasi altro scenario in cui trattiamo Dati personali per tuo conto in qualità di responsabile del trattamento.

Quando utilizzi QR Code AI come utente individuale per finalità personali, agiamo come titolare del trattamento indipendente e il trattamento dei dati è disciplinato dalla nostra Informativa sulla privacy.

3. DETTAGLI DEL TRATTAMENTO

3.1 Oggetto e durata

Trattiamo i Dati personali per la durata dell’Accordo al fine di fornire i servizi QR Code AI, inclusi generazione di codici QR, tracciamento, analitiche e funzionalità correlate.

3.2 Natura e finalità del trattamento

• Generazione di codici QR sulla base dei dati di input forniti dal Titolare del trattamento
• Tracciamento delle scansioni dei codici QR e raccolta di dati per le analitiche
• Conservazione delle configurazioni dei codici QR e dei metadati associati
• Trattamento di richieste di arte codice QR generati dall’AI
• Fornitura di report e dashboard di analitiche

3.3 Tipi di Dati personali

I tipi di Dati personali trattati possono includere:

• Informazioni di contatto (nomi, indirizzi email, numeri di telefono) codificate nei codici QR
• URL e indirizzi web
• Dati di localizzazione derivanti dalle scansioni dei codici QR
• Informazioni sul dispositivo e indirizzi IP derivanti dalle scansioni dei codici QR
• Prompt testuali e immagini forniti per la generazione di codici QR con AI
• Qualsiasi altro dato che il Titolare del trattamento scelga di codificare nei codici QR

3.4 Categorie di interessati

• Utenti finali che scansionano codici QR creati dal Titolare del trattamento
• Persone le cui informazioni di contatto sono codificate nei codici QR
• Utenti dei prodotti o servizi del Titolare del trattamento che interagiscono con i codici QR

4. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

4.1 Istruzioni di trattamento

Tratteremo i Dati personali esclusivamente sulla base delle tue istruzioni documentate, salvo che siamo tenuti a farlo in virtù del diritto dell’UE o dello Stato membro a cui siamo soggetti. In tal caso, ti informeremo di tale obbligo legale prima del trattamento, a meno che la legge vieti tale informazione per importanti motivi di interesse pubblico.

4.2 Riservatezza

Garantiamo che le persone autorizzate a trattare i Dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

4.3 Misure di sicurezza

Adottiamo misure tecniche e organizzative adeguate per garantire un livello di sicurezza commisurato al rischio, inclusi:

• Crittografia dei Dati personali in transito (TLS/HTTPS) e a riposo
• Controlli di accesso e autenticazione basata sui ruoli per i sistemi interni
• Valutazioni di sicurezza regolari e scansioni delle vulnerabilità
• Infrastruttura ospitata presso fornitori certificati ISO 27001
• Protezione DDoS e web application firewall (Cloudflare)
• Backup regolari con archiviazione crittografata
• Registrazione e monitoraggio degli accessi ai Dati personali

4.4 Sub-responsabili

Utilizziamo i sub-responsabili elencati nella nostra pagina dei Sub-responsabili. Ti informeremo di eventuali modifiche previste ai sub-responsabili aggiornando tale pagina. Puoi opporti a un nuovo sub-responsabile contattandoci all’indirizzo [email protected] entro 30 giorni dall’aggiornamento. Se ti opponi e non possiamo ragionevolmente accogliere la tua opposizione, ciascuna parte può risolvere la parte dei Servizi interessata.

Stipuliamo accordi scritti con tutti i sub-responsabili che impongono obblighi di protezione dei dati non meno tutelanti di quelli previsti dal presente DPA.

4.5 Diritti degli interessati

Ti assisteremo nel rispondere alle richieste degli Interessati che esercitano i loro diritti ai sensi della normativa applicabile in materia di protezione dei dati (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione). Se riceviamo una richiesta direttamente da un Interessato, la reindirizzeremo tempestivamente a te, salvo diverse istruzioni.

4.6 Assistenza alla conformità

Ti assisteremo nel garantire la conformità ai tuoi obblighi ai sensi degli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a nostra disposizione.

5. NOTIFICA DI VIOLAZIONE DEI DATI

5.1 Tempistiche di notifica

Ti notificheremo una Violazione dei dati senza ingiustificato ritardo e, in ogni caso, entro 72 ore dal momento in cui ne veniamo a conoscenza. La notifica sarà inviata all’indirizzo email associato al tuo account.

5.2 Contenuto della notifica

La notifica includerà, nella misura in cui disponibile:

• Una descrizione della natura della Violazione dei dati, incluse le categorie e il numero approssimativo di Interessati e di registrazioni interessate.
• Il nome e i recapiti del nostro punto di contatto per la protezione dei dati.
• Una descrizione delle probabili conseguenze della Violazione dei dati.
• Una descrizione delle misure adottate o proposte per affrontare la Violazione dei dati, incluse le misure per attenuarne i possibili effetti negativi.

5.3 Cooperazione continuativa

Coopereremo con te e forniremo ragionevole assistenza per indagare, mitigare e porre rimedio a qualsiasi Violazione dei dati, nonché per effettuare eventuali notifiche alle autorità di controllo o agli Interessati che sei tenuto a effettuare.

6. TRASFERIMENTI INTERNAZIONALI DI DATI

6.1 Localizzazione dei dati

I Dati personali sono principalmente archiviati e trattati nell’Unione europea:

• Francia (UE) tramite Scaleway
• Paesi Bassi (UE) tramite DigitalOcean

6.2 Trasferimenti al di fuori di UE/SEE

Alcuni dei nostri sub-responsabili si trovano al di fuori di UE/SEE, principalmente negli Stati Uniti. Per tali trasferimenti, ci basiamo su:

• EU-US Data Privacy Framework: ove applicabile, per trasferimenti verso fornitori statunitensi certificati ai sensi del framework.
• Clausole contrattuali standard (SCC): incorporiamo le SCC approvate dalla Commissione europea (Decisione di esecuzione (UE) 2021/914) nei nostri accordi con sub-responsabili situati al di fuori di UE/SEE quando il Data Privacy Framework non si applica.

6.3 Valutazione d’impatto del trasferimento

Eseguiamo valutazioni d’impatto dei trasferimenti verso paesi terzi e implementiamo misure supplementari ove necessario per garantire un livello adeguato di protezione dei dati.

7. AUDIT E ISPEZIONI

7.1 Diritti di audit

Hai il diritto di verificare la nostra conformità al presente DPA. Metteremo a tua disposizione tutte le informazioni necessarie per dimostrare la conformità e consentiremo e contribuiremo agli audit, incluse le ispezioni, condotti da te o da un revisore da te incaricato.

7.2 Procedura di audit

Gli audit sono soggetti alle seguenti condizioni:

• Devi fornire un preavviso scritto di almeno 30 giorni prima di qualsiasi audit.
• Gli audit possono essere condotti non più di una volta all’anno, salvo richiesta di un’autorità di controllo o a seguito di una Violazione dei dati.
• Gli audit devono essere condotti durante il normale orario lavorativo e non devono interferire in modo irragionevole con le nostre attività.
• Sei responsabile dei costi di qualsiasi audit, salvo che l’audit riveli una violazione sostanziale del presente DPA.
• Le informazioni riservate degli altri nostri clienti non devono essere esposte durante l’audit.

8. CONSERVAZIONE E CANCELLAZIONE DEI DATI

8.1 Durante l’Accordo

Conserviamo i Dati personali per la durata dell’Accordo nella misura necessaria a fornire i Servizi.

8.2 Alla cessazione

Alla cessazione dell’Accordo o su tua richiesta scritta:

• Cancelleremo i Dati personali dai nostri sistemi attivi entro 30 giorni.
• I Dati personali presenti negli archivi di backup saranno eliminati entro 6 mesi.
• Possiamo conservare i Dati personali nella misura richiesta dalla normativa applicabile (ad esempio obblighi fiscali o contabili); in tal caso, isoleremo e proteggeremo tali dati e limiteremo ogni ulteriore trattamento a quanto richiesto dalla legge.

8.3 Certificazione

Su tua richiesta, forniremo conferma scritta che i Dati personali sono stati cancellati in conformità alla presente sezione.

9. RESPONSABILITÀ

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni di responsabilità stabilite nell’Accordo. Nulla nel presente DPA limita la responsabilità di una delle parti nei confronti degli Interessati o delle autorità di controllo ai sensi della normativa applicabile in materia di protezione dei dati.

10. LEGGE APPLICABILE

Il presente DPA è disciplinato dalle leggi della Francia. Per gli Interessati nell’UE si applica il GDPR. Per gli Interessati nel Regno Unito si applica l’UK GDPR. Eventuali controversie derivanti dal presente DPA saranno risolte in conformità alle disposizioni sulla risoluzione delle controversie previste dall’Accordo.

11. COME ESEGUIRE QUESTO DPA

Il presente DPA è incorporato e costituisce parte integrante dei Termini di servizio. Utilizzando i Servizi QR Code AI, accetti il presente DPA.

Se ti serve una copia del presente DPA firmata separatamente per i tuoi archivi, contattaci all’indirizzo [email protected] e te ne forniremo una entro 10 giorni lavorativi.

12. CONTATTI

Per domande su questo DPA o sulle nostre pratiche di trattamento dei dati:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]