Accordo sul Trattamento dei Dati (DPA)

1. Parti

Responsabile del Trattamento dei Dati:

Stellar Tourism Innovations GmbH
Torstrasse 105-107
10119 Berlin, Germany
Email: hello@myxentra.com
Commercial Register: HRB 259754 B (Amtsgericht Charlottenburg)

Titolare del Trattamento dei Dati: Il cliente che ha stipulato un contratto di servizio con il Responsabile del Trattamento per l'utilizzo di Xentra.

2. Oggetto e Durata

2.1 Il Responsabile del Trattamento elabora i dati personali per conto del Titolare del Trattamento nell'ambito della fornitura della piattaforma di gestione degli affitti brevi Xentra ("Servizi").

2.2 La durata del presente DPA corrisponde alla durata del contratto di servizio sottostante. Il trattamento inizia con l'attivazione dei Servizi e termina con la risoluzione del contratto di servizio e la cancellazione o la restituzione di tutti i dati personali.

2.3 L'oggetto del trattamento include il funzionamento della piattaforma SaaS Xentra, inclusi, a titolo esemplificativo, la gestione della proprietà, la comunicazione con gli ospiti, la gestione delle prenotazioni, il controllo degli accessi, i servizi di check-in e la reportistica finanziaria.

3. Tipo e Finalità del Trattamento

Il Responsabile del Trattamento elabora i dati personali esclusivamente allo scopo di fornire i Servizi come descritto nel contratto di servizio. Ciò include:

• Archiviazione e gestione dei dati di prenotazione
• Comunicazione con gli ospiti (email, SMS, WhatsApp) tramite servizi di messaggistica integrati
• Registrazione degli ospiti e gestione del check-in, inclusa la verifica dell'identità
• Sincronizzazione dei dati con i sistemi di gestione della proprietà (PMS) collegati
• Generazione e trasmissione di codici di accesso per serrature intelligenti
• Reportistica finanziaria, fatturazione e contabilità
• Conformità agli obblighi legali di registrazione degli ospiti (ad esempio, segnalazione alla polizia)
• Ottimizzazione dinamica dei prezzi

4. Categorie di Interessati

Le seguenti categorie di interessati sono coinvolte nel trattamento:

• Ospiti di proprietà in affitto per le vacanze gestite dal Titolare del Trattamento
• Dipendenti e personale del Titolare del Trattamento
• Contatti commerciali del Titolare del Trattamento (proprietari, fornitori di servizi)

5. Tipi di Dati Personali

Possono essere trattati i seguenti tipi di dati personali:

• Nome, data di nascita, nazionalità
• Dati di contatto (email, numero di telefono, indirizzo)
• Dati del documento d'identità (numero di passaporto/carta d'identità, data di emissione, autorità emittente)
• Dati di prenotazione (date di check-in/check-out, numero di ospiti, prezzi)
• Dati di pagamento (elaborati tramite Stripe - non archiviati dal Responsabile del Trattamento)
• Dati di comunicazione (messaggi, timestamp)
• Registri degli accessi (eventi di accesso a serrature intelligenti, codici PIN)
• Dati biometrici per la verifica dell'identità (elaborati tramite Stripe Identity)
• Indirizzi IP e dati di utilizzo (analisi della piattaforma)

6. Obblighi del Responsabile del Trattamento

6.1 Il Responsabile del Trattamento elabora i dati personali solo su istruzioni documentate del Titolare del Trattamento, a meno che non sia richiesto dalle leggi applicabili dell'UE o degli Stati membri.

6.2 Il Responsabile del Trattamento assicura che le persone autorizzate a trattare i dati personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

6.3 Il Responsabile del Trattamento implementa misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, tra cui:

• Crittografia dei dati personali in transito (TLS) e a riposo
• Controllo degli accessi basato sui ruoli con principio del minimo privilegio
• Valutazioni di sicurezza e test di vulnerabilità regolari
• Backup automatizzati con archiviazione crittografata
• Registrazione e monitoraggio degli accessi ai dati
• Procedure di risposta agli incidenti

6.4 Il Responsabile del Trattamento assiste il Titolare del Trattamento nel garantire la conformità agli obblighi di cui agli Art. 32-36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del Trattamento.

6.5 A scelta del Titolare del Trattamento, il Responsabile del Trattamento cancella o restituisce tutti i dati personali dopo la fine della prestazione dei Servizi e cancella le copie esistenti a meno che la legge applicabile non richieda un'ulteriore conservazione.

6.6 Il Responsabile del Trattamento mette a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi stabiliti nell'Art. 28 GDPR e consente e contribuisce a audit e ispezioni.

7. Sub-responsabili del Trattamento

7.1 Il Titolare del Trattamento concede un'autorizzazione generale per il coinvolgimento di sub-responsabili del trattamento. Il Responsabile del Trattamento informa il Titolare del Trattamento di qualsiasi modifica prevista relativa all'aggiunta o alla sostituzione di sub-responsabili del trattamento, dando al Titolare del Trattamento l'opportunità di opporsi.

7.2 Il Responsabile del Trattamento attualmente coinvolge i seguenti sub-responsabili del trattamento:

• Twilio Inc. (San Francisco, USA) - SMS, WhatsApp, and voice messaging
• Stripe Inc. (San Francisco, USA) - Payment processing and identity verification
• Chekin Soluciones Digitales S.L. (Sevilla, Spain) - Guest registration and online check-in
• Smoobu GmbH (Berlin, Germany) - PMS synchronization
• Guesty Inc. (New York, USA) - PMS synchronization
• Hostaway Oy (Helsinki, Finland) - PMS synchronization
• Beds24 GmbH (Fürstenberg, Germany) - PMS synchronization
• Octorate S.r.l. (Rome, Italy) - PMS synchronization
• Lodgify S.L. (Barcelona, Spain) - PMS synchronization
• Hostfully Inc. (San Francisco, USA) - PMS synchronization
• Nuki Home Solutions GmbH (Graz, Austria) - Smart lock access control
• igloohome Pte. Ltd. (Singapore) - Smart lock access control
• SALTO Systems S.L. (Oiartzun, Spain) - Access control
• Ring LLC (Amazon) (Santa Monica, USA) - Intercom access control
• PriceLabs Inc. (Chicago, USA) - Dynamic pricing optimization
• Google LLC (Mountain View, USA) - AI language model processing (Gemini API) for guest messaging, content generation, invoice scanning, and natural language queries

7.3 Il Responsabile del Trattamento impone gli stessi obblighi di protezione dei dati ai sub-responsabili del trattamento stabiliti nel presente DPA tramite contratto o altro strumento legale.

7.4 Un elenco aggiornato dei sub-responsabili del trattamento e delle loro politiche sulla privacy è disponibile nella nostra Informativa sulla privacy (Sezione 10).

8. Trasferimenti di Dati Verso Paesi Terzi

8.1 Qualora i dati personali vengano trasferiti in paesi al di fuori dello Spazio Economico Europeo (SEE), il Responsabile del Trattamento assicura che siano in atto adeguate garanzie in conformità al Capitolo V del GDPR.

8.2 Per i trasferimenti verso gli Stati Uniti, il Responsabile del Trattamento si basa sul “Quadro per la protezione dei dati UE-USA” (DPF) ove applicabile, o sulle Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea.

8.3 I trasferimenti a sub-responsabili del trattamento in paesi terzi si applicano attualmente a: Twilio Inc., Stripe Inc., Guesty Inc., Hostfully Inc., Ring LLC, PriceLabs Inc., Google LLC (tutti USA) e igloohome Pte. Ltd. (Singapore).

9. Notifica di Violazione dei Dati

9.1 Il Responsabile del trattamento notificherà al Titolare del trattamento senza indebito ritardo dopo essere venuto a conoscenza di una violazione dei dati personali.

9.2 La notifica dovrà includere:

• Una descrizione della natura della violazione dei dati personali
• Le categorie e il numero approssimativo di interessati e record interessati
• Le probabili conseguenze della violazione
• Le misure adottate o proposte per affrontare la violazione

9.3 Il Responsabile del trattamento coopererà con il Titolare del trattamento e adotterà ragionevoli misure commerciali per assistere nell'indagine, mitigazione e rimedio della violazione.

10. Diritti dell'interessato

10.1 Il Responsabile del trattamento assisterà il Titolare del trattamento nell'adempimento del suo obbligo di rispondere alle richieste degli interessati che esercitano i loro diritti ai sensi del Capo III del GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).

10.2 Se un interessato contatta direttamente il Responsabile del trattamento, il Responsabile del trattamento inoltrerà prontamente la richiesta al Titolare del trattamento.

11. Diritti di Audit

11.1 Il Titolare del trattamento ha il diritto di condurre audit, inclusi ispezioni, per verificare la conformità del Responsabile del trattamento al presente DPA. Gli audit possono essere eseguiti dal Titolare del trattamento o da un revisore indipendente incaricato dal Titolare del trattamento.

11.2 Il Responsabile del trattamento fornirà assistenza e accesso ragionevoli a informazioni, locali e sistemi pertinenti durante tali audit.

11.3 Gli audit saranno condotti durante il normale orario lavorativo con un ragionevole preavviso (almeno 14 giorni) e non interferiranno irragionevolmente con le operazioni del Responsabile del trattamento.

12. Responsabilità

12.1 La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni ed esclusioni di responsabilità stabilite nel contratto di servizio sottostante.

12.2 Il Responsabile del trattamento è responsabile per i danni causati da un trattamento che viola gli obblighi specificamente indirizzati ai responsabili del trattamento ai sensi del GDPR o che si discosta dalle istruzioni legali del Titolare del trattamento.

13. Durata e risoluzione

13.1 Il presente DPA rimarrà in vigore per la durata del contratto di servizio sottostante.

13.2 Alla risoluzione, il Responsabile del trattamento, a scelta del Titolare del trattamento, restituirà o cancellerà tutti i dati personali entro 30 giorni, a meno che la conservazione non sia richiesta dalla legge applicabile.

13.3 Il Responsabile del trattamento fornirà al Titolare del trattamento una conferma scritta della cancellazione su richiesta.

14. Disposizioni finali

14.1 Il presente DPA è regolato dalle leggi della Repubblica Federale di Germania.

14.2 Il foro competente è Berlino, Germania.

14.3 Se una qualsiasi disposizione del presente DPA viene ritenuta non valida, le restanti disposizioni rimarranno in pieno vigore ed effetto.

14.4 Il presente DPA può essere aggiornato di volta in volta per riflettere le modifiche alla legislazione applicabile in materia di protezione dei dati o alle nostre attività di trattamento. Notificheremo i Titolari del trattamento attivi in caso di modifiche sostanziali.