Accordo sul Trattamento dei Dati (DPA)
Ultimo aggiornamento: 24 giugno 2026
Il presente Accordo sul Trattamento dei Dati (il «DPA») disciplina il trattamento dei dati personali svolto da Coreform Limited («Avo», «Responsabile») per conto del gestore del locale che utilizza il Servizio (il «Gestore», «Titolare»), ai sensi dell'art. 28 del Regolamento (UE) 2016/679 («GDPR»). Il DPA costituisce parte integrante dei Termini di Servizio e si intende accettato dal Gestore con l'accettazione di questi ultimi.
1. Ruoli delle parti
In relazione ai dati personali dei Clienti finali e ai dati gestiti tramite il Servizio, il Gestore agisce in qualità di titolare del trattamento e Avo in qualità di responsabile del trattamento. Avo tratta tali dati esclusivamente sulla base di istruzioni documentate del Gestore, incluse quelle contenute nel presente DPA e nei Termini di Servizio.
2. Oggetto, durata, natura e finalità
- Oggetto e durata: il trattamento ha ad oggetto l'erogazione del Servizio e dura per tutta la vigenza del rapporto contrattuale, salvi gli obblighi di conservazione di legge.
- Natura e finalità: hosting, elaborazione, traduzione e visualizzazione dei Contenuti del menu; funzionamento del Cameriere AI; analisi anonima dell'utilizzo del menu; erogazione e supporto del Servizio.
3. Categorie di dati e di interessati
- Dati dell'account del Gestore: nome, email, numero di telefono dei referenti del locale.
- Contenuti del menu: dati inseriti dal Gestore (di norma non personali).
- Interazioni dei Clienti finali con il Cameriere AI: testo dei messaggi inviati (sessione anonima, non identificativa salvo dati eventualmente inseriti dall'utente nel messaggio).
- Eventi di utilizzo anonimi del menu pubblico.
- Categorie di interessati: referenti del Gestore e Clienti finali del locale.
4. Obblighi di Avo
- trattare i dati solo su istruzione documentata del Gestore;
- garantire che il personale autorizzato al trattamento sia vincolato ad adeguati obblighi di riservatezza;
- adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tra cui: cifratura dei dati in transito (TLS/HTTPS); controllo degli accessi e autenticazione del personale autorizzato; separazione logica dei dati tra i locali; backup periodici; ricorso esclusivamente a sub-responsabili vincolati ad adeguate garanzie;
- assistere il Gestore, nei limiti del possibile, nel dare riscontro alle richieste degli interessati e negli adempimenti di cui agli artt. 32-36 GDPR;
- mettere a disposizione del Gestore le informazioni necessarie a dimostrare il rispetto degli obblighi e consentire audit, fermo restando che gli audit avvengono previo ragionevole preavviso scritto, in orario lavorativo, nel rispetto della riservatezza e della sicurezza degli altri clienti, non più di una volta l'anno (salvo richiesta di un'autorità o a seguito di una violazione) e a spese del Gestore;
- non trasferire i dati a un paese terzo se non in presenza di adeguate garanzie (vedi §7).
5. Sub-responsabili (sub-processor)
Il Gestore autorizza Avo a ricorrere ai sub-responsabili elencati di seguito per l'erogazione del Servizio. Avo impone a ciascun sub-responsabile obblighi di protezione dei dati equivalenti a quelli del presente DPA. In caso di nuovi sub-responsabili, ne daremo avviso con ragionevole preavviso, lasciando al Gestore la possibilità di opporsi per giustificati motivi legati alla protezione dei dati. Qualora l'opposizione sia fondata e non sia possibile offrire una soluzione alternativa ragionevole, il Gestore potrà recedere dal Servizio interessato quale unico rimedio.
| Sub-responsabile | Finalità | Ubicazione |
|---|---|---|
| Vercel, Inc. | Hosting del sito e della dashboard | USA |
| Railway Corp. | Hosting del backend applicativo | USA |
| Supabase Inc. | Database e archiviazione immagini | Singapore / USA |
| PostHog Inc. | Analisi del prodotto (dati su server EU) | USA (hosting EU) |
| OpenRouter, Inc. | Instradamento delle richieste ai modelli AI | USA |
| Anthropic, PBC | Modello AI per il Cameriere AI | USA |
| OpenAI, L.L.C. | Trascrizione vocale (Whisper); audio non archiviato | USA |
| Stripe, Inc. | Gestione dei pagamenti e della fatturazione | USA / UE |
L'elenco aggiornato dei fornitori e dei trattamenti è riportato anche nella Privacy Policy, cui si rinvia per i dettagli.
6. Assistenza, violazioni e cancellazione
- Richieste degli interessati: Avo inoltra al Gestore le richieste ricevute dagli interessati e lo assiste nel relativo riscontro.
- Violazioni dei dati (data breach): Avo informa il Gestore senza ingiustificato ritardo dopo essere venuta a conoscenza di una violazione che riguardi i dati trattati per suo conto.
- Cancellazione o restituzione: al termine del rapporto, su scelta del Gestore, Avo cancella o restituisce i dati personali trattati per suo conto, salvo obblighi di conservazione di legge. Le tempistiche di cancellazione sono indicate nella Privacy Policy.
7. Trasferimenti internazionali
Ove i dati siano trasferiti al di fuori dello Spazio Economico Europeo o del Regno Unito, il trasferimento avviene sulla base di adeguate garanzie, in particolare le Clausole Contrattuali Standard della Commissione Europea e/o l'adesione dei fornitori al UK Extension to the EU-US Data Privacy Framework.
8. Obblighi del Titolare
Il Gestore, in qualità di titolare del trattamento, garantisce di:
- disporre di una base giuridica idonea per i trattamenti che affida ad Avo e impartire istruzioni lecite e conformi al GDPR;
- aver fornito agli interessati (Clienti finali e proprio personale) le informative e raccolto i consensi eventualmente necessari;
- essere responsabile dell'esattezza, della qualità e della liceità dei dati e dei Contenuti che inserisce nel Servizio, nonché di non inserire categorie particolari di dati o dati non necessari all'erogazione del Servizio.
9. Responsabilità
La responsabilità delle parti in relazione al presente DPA è soggetta ai limiti e alle esclusioni previsti dai Termini di Servizio, nei limiti consentiti dalla legge applicabile.
10. Contatti
Per richieste relative alla protezione dei dati scrivi a team@avomenu.com.