Prenora – Siti web professionali per strutture ricettive, prenotazioni dirette senza commissioni

PrenoraTorna al sito
Documento legale GDPR

Data Processing Agreement

Accordo sul trattamento dei dati ai sensi dell'art. 28 GDPR

Ultima revisione: 10 maggio 2026

Titolare del trattamento

La struttura ricettiva

Cliente che utilizza la piattaforma Prenora

Responsabile del trattamento

Prenora

Piattaforma SaaS — prenora.it

Il presente DPA regola i rapporti tra la struttura ricettiva (Titolare) e Prenora (Responsabile) in merito al trattamento dei dati personali degli ospiti e visitatori del sito web generato dalla piattaforma. L'accettazione del DPA è obbligatoria per l'utilizzo dei servizi Prenora.

1. Premessa e definizioni

Il presente Accordo sul Trattamento dei Dati ("DPA" o "Accordo") è stipulato ai sensi dell'art. 28 del Regolamento UE 2016/679 ("GDPR") tra:

Titolare del trattamento: la struttura ricettiva ("Cliente") che utilizza i servizi Prenora;
Responsabile del trattamento: Prenora ("Fornitore"), piattaforma SaaS per la creazione e gestione di siti web per strutture ricettive.

Il presente DPA si applica a tutti i trattamenti di dati personali effettuati da Prenora per conto del Cliente nell'ambito dell'erogazione dei servizi descritti nei Termini di Servizio Prenora.

Definizioni (ai sensi del GDPR):

Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile;
Trattamento: qualsiasi operazione effettuata su dati personali (raccolta, registrazione, conservazione, consultazione, utilizzo, cancellazione);
Interessato: la persona fisica i cui dati personali sono trattati (ospiti, visitatori, contatti);
Violazione dei dati: una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata di dati personali.

2. Oggetto e durata

Con il presente Accordo, il Cliente incarica Prenora di trattare i dati personali degli ospiti e visitatori del sito web generato dalla piattaforma, esclusivamente per le finalità connesse all'erogazione del servizio.

Dati oggetto del trattamento:

Nome e cognome degli ospiti/visitatori;
Indirizzi email;
Numeri di telefono (dove forniti);
Messaggi inviati tramite form di contatto;
Testi e valutazioni di recensioni;
Dati tecnici di navigazione (anonimi);
Ogni altro dato personale fornito dall'ospite tramite il sito della struttura.

Durata: Il presente Accordo ha la stessa durata del contratto di abbonamento tra il Cliente e Prenora. Alla cessazione del rapporto contrattuale, Prenora procederà alla cancellazione o restituzione dei dati personali secondo quanto previsto all'art. 9.

3. Ruoli e responsabilità GDPR

Il Cliente (struttura ricettiva) è il TITOLARE del trattamento e in quanto tale:

Determina le finalità e i mezzi del trattamento dei dati personali degli ospiti;
È responsabile di fornire agli ospiti l'informativa privacy adeguata;
È responsabile di raccogliere i consensi necessari;
È l'interlocutore diretto degli interessati per l'esercizio dei diritti previsti dal GDPR;
Garantisce che il trattamento sia conforme alla normativa applicabile.

Prenora è il RESPONSABILE del trattamento e in quanto tale:

Tratta i dati personali esclusivamente su istruzione documentata del Titolare;
Non tratta i dati per finalità proprie diverse da quelle contrattualmente previste;
Assiste il Titolare nell'adempimento degli obblighi previsti dal GDPR;
Garantisce la riservatezza delle persone autorizzate al trattamento;
Notifica al Titolare qualsiasi violazione dei dati personali nel più breve tempo possibile.

4. Istruzioni di trattamento

Prenora tratta i dati personali esclusivamente sulla base delle istruzioni documentate del Cliente.

Le istruzioni generali di trattamento sono:

Raccogliere i dati personali forniti dagli ospiti tramite i form del sito (contatti, recensioni);
Conservare i dati sul database sicuro della piattaforma Prenora (Supabase, infrastruttura UE);
Rendere i dati accessibili al Cliente tramite l'area privata della piattaforma;
Consentire l'esportazione dei dati da parte del Cliente su richiesta;
Procedere alla cancellazione dei dati su istruzione esplicita del Cliente o degli interessati.

Qualora Prenora ritenga che un'istruzione violi il GDPR o altre disposizioni in materia di protezione dei dati, ne informerà il Cliente per iscritto. In tal caso, Prenora potrà sospendere l'esecuzione dell'istruzione contestata fino alla ricezione di una risposta da parte del Cliente.

5. Misure di sicurezza tecniche e organizzative

Prenora si impegna ad adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio del trattamento, ai sensi dell'art. 32 GDPR.

Misure tecniche:

Trasmissione dei dati cifrata tramite protocollo HTTPS/TLS;
Database protetti con accesso autenticato e policy di accesso minimo;
Separazione logica dei dati tra clienti diversi (isolamento dei dati);
Backup automatici periodici con replica geografica;
Autenticazione forte per l'accesso all'area privata;
Monitoraggio continuo per rilevare accessi non autorizzati;
Aggiornamenti regolari delle dipendenze per correggere vulnerabilità note.

Misure organizzative:

Accesso ai dati personali riservato al personale strettamente necessario;
Accordi di riservatezza con tutto il personale che ha accesso ai dati;
Formazione periodica del personale in materia di protezione dei dati;
Registro delle attività di trattamento (art. 30 GDPR);
Procedura documentata per la gestione delle violazioni dei dati.

6. Sub-responsabili del trattamento

Il Cliente autorizza Prenora ad avvalersi dei seguenti sub-responsabili del trattamento per l'erogazione del servizio:

Supabase Inc. (supabase.com): infrastruttura database e autenticazione. Sede principale: USA, con elaborazione dati in regioni UE. Accordo DPA conforme GDPR disponibile su supabase.com/legal;
Cloudflare Inc. (cloudflare.com): CDN, DNS e protezione DDoS. Clausole contrattuali standard UE in vigore;
Stripe Inc. (stripe.com): elaborazione pagamenti degli abbonamenti Prenora. Dati degli ospiti non trasmessi a Stripe;
Resend Inc. (resend.com): servizio di invio email transazionali (notifiche di sistema). Dati degli ospiti non trasmessi a Resend.

Prenora garantisce che tutti i sub-responsabili siano vincolati da obblighi di protezione dei dati equivalenti a quelli del presente Accordo. In caso di sostituzione o aggiunta di sub-responsabili, Prenora darà comunicazione preventiva al Cliente con almeno 30 giorni di anticipo.

7. Assistenza al Titolare

Prenora assiste il Cliente nell'adempimento dei seguenti obblighi:

Diritti degli interessati (artt. 15-22 GDPR):

Prenora fornisce al Cliente gli strumenti tecnici per gestire le richieste degli interessati relative a: accesso, rettifica, cancellazione, portabilità, limitazione e opposizione del trattamento. Il Cliente rimane responsabile di rispondere alle richieste degli interessati entro i termini previsti dal GDPR (generalmente 30 giorni).

Valutazione d'impatto (DPIA, art. 35 GDPR):

Qualora il Cliente debba condurre una Valutazione d'Impatto sulla Protezione dei Dati, Prenora fornirà le informazioni necessarie sull'infrastruttura tecnica del servizio.

Gestione delle violazioni (art. 33 GDPR):

In caso di violazione dei dati personali, Prenora notificherà il Cliente entro 72 ore dalla scoperta, fornendo tutte le informazioni disponibili per consentire al Cliente di adempiere all'obbligo di notifica all'Autorità Garante e, se necessario, agli interessati.

8. Cancellazione e restituzione dei dati

Alla cessazione del contratto, Prenora si impegna, a scelta del Cliente:

A cancellare in modo sicuro tutti i dati personali trattati per conto del Cliente;
Oppure a restituire i dati in formato esportabile standard (CSV, JSON) entro 30 giorni dalla richiesta.

Dopo la cancellazione, Prenora conserverà solo i dati strettamente necessari per adempiere a obblighi legali propri (es. obblighi fiscali e contabili relativi al rapporto con il Cliente).

Su richiesta del Cliente, Prenora può procedere alla cancellazione di specifici dati personali di singoli interessati (diritto all'oblio) entro 30 giorni dalla ricezione dell'istruzione documentata. La cancellazione include anche i backup, salvo vincoli tecnici per i quali i dati saranno sovrascritti nel ciclo di backup successivo.

Prenora fornisce conferma scritta dell'avvenuta cancellazione su richiesta del Cliente.

9. Audit e conformità

Prenora mette a disposizione del Cliente tutte le informazioni necessarie per dimostrare la conformità agli obblighi del presente Accordo e al GDPR.

Informazioni disponibili:

Documentazione tecnica delle misure di sicurezza;
Copia del presente DPA;
Lista dei sub-responsabili e relativi accordi di protezione dei dati;
Politiche di sicurezza dell'infrastruttura.

Ispezioni: Su richiesta scritta del Cliente con almeno 30 giorni di preavviso, Prenora coopererà con audit condotti dal Cliente o da un revisore indipendente da esso designato, nei limiti di quanto tecnicamente e operativamente possibile, e a condizione che tale attività non comprometta la sicurezza o la riservatezza dei dati di altri clienti.

I costi dell'audit sono a carico del Cliente.

10. Legge applicabile

Il presente Accordo è disciplinato dal Regolamento UE 2016/679 (GDPR), dalla normativa italiana D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018) e dalle leggi italiane applicabili.

Per qualsiasi controversia relativa al presente Accordo, le parti si impegnano a ricercare una soluzione amichevole. In assenza di accordo, la controversia sarà devoluta alla competenza del Tribunale indicato nei Termini di Servizio Prenora.

Il presente Accordo fa parte integrante del contratto di utilizzo dei servizi Prenora. In caso di contrasto, le disposizioni del presente Accordo prevalgono sui Termini di Servizio per quanto concerne il trattamento dei dati personali.

Domande sul DPA o trattamento dati?

Per qualsiasi domanda relativa al presente Accordo o al trattamento dei dati personali, contattaci.

info@prenora.it
Privacy PolicyTermini di Servizio
Torna alla home