Aller au contenu principal
QronoPlay
QronoPlay

Accordo sul Trattamento dei Dati (DPA)

Accordo sul Trattamento dei Dati (DPA)

Accordo sul trattamento dei dati applicabile ai clienti B2B che utilizzano QronoPlay per raccogliere e trattare dati personali tramite le loro campagne di marketing QR code.

Questa traduzione è fornita solo a scopo informativo. La versione francese è quella giuridicamente vincolante.

Premessa

Il presente accordo sul trattamento dei dati (il «DPA» o «Accordo») è concluso tra:

  • Il Cliente, persona giuridica che ha sottoscritto il servizio QronoPlay, in qualità di titolare del trattamento ai sensi dell’articolo 4, paragrafo 7, del GDPR («Titolare del trattamento (RT)» o «Cliente»).
  • SAS Jalimani, SIREN 833 142 631, editrice del servizio QronoPlay, in qualità di responsabile del trattamento ai sensi dell’articolo 4, paragrafo 8, del GDPR («Responsabile del trattamento (ST)» o «QronoPlay»).

Il presente DPA è stipulato in applicazione dell’articolo 28 del Regolamento (UE) 2016/679 (GDPR) e costituisce parte integrante del contratto di servizio QronoPlay. In caso di contraddizione tra il DPA e le Condizioni Generali di Utilizzo, prevarrà il DPA in materia di protezione dei dati.

Articolo 1 — Definizioni

  • Titolare del trattamento (RT): il soggetto che determina le finalità e i mezzi del trattamento (art. 4, par. 7, GDPR).
  • Responsabile del trattamento (ST): il soggetto che tratta i dati per conto del titolare (art. 4, par. 8, GDPR).
  • Sub-responsabile: fornitore terzo incaricato dal responsabile per svolgere specifiche attività di trattamento.
  • Dati di carattere personale (DCP): qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4, par. 1, GDPR).
  • Trattamento: qualsiasi operazione effettuata su dati personali (raccolta, registrazione, conservazione, consultazione, cancellazione, ecc.; art. 4, par. 2, GDPR).
  • Interessati: le persone fisiche i cui DCP sono trattati nell’ambito del servizio.
  • Violazione di DCP: violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati personali (art. 4, par. 12, GDPR).

Articolo 2 — Oggetto e durata

Oggetto: QronoPlay tratta DCP per conto del Cliente nell’ambito del servizio SaaS di giochi di marketing tramite QR code (concorsi pubblicitari, instant win, giochi di engagement).

Durata: il presente DPA si applica per tutta la durata del contratto di servizio, prolungato di un periodo di conservazione di 6 mesi per i vincitori conformemente alla politica di conservazione (raccomandazione CNIL IS001).

Articolo 3 — Natura e finalità del trattamento

QronoPlay tratta i DCP esclusivamente per le seguenti finalità definite dal Cliente:

  • Raccolta di lead (e-mail, nome, cognome, telefono opzionale) tramite i giochi configurati dal Cliente.
  • Sorteggio e attribuzione dei premi per i concorsi pubblicitari.
  • Conservazione tecnica necessaria all’erogazione del servizio.
  • Lotta alle frodi (deduplicazione, rilevamento di account multipli, rate limiting).
  • Produzione di statistiche anonimizzate per la dashboard del Cliente.

Articolo 4 — Categorie di DCP trattati

  • Dati identificativi: e-mail, nome, cognome, telefono (opzionale, in base alla configurazione del Cliente).
  • Dati di localizzazione IP: indirizzo IP anonimizzato a /24 al momento della raccolta (mai conservato in chiaro).
  • Metadati tecnici: user-agent, deviceHash, timestamp della partecipazione.
  • Dati di gioco: codice campagna, esito di vincita, premio attribuito ove applicabile.
  • Dati di consenso: registrazioni con timestamp dei consensi rilasciati (GDPR, marketing partner).

Non sono trattati dati sensibili ai sensi dell’articolo 9 GDPR (salute, religione, orientamento sessuale, ecc.).

Articolo 5 — Categorie di interessati

  • Giocatori che partecipano ai giochi tramite QR code o link diretto.
  • Vincitori dei premi attribuiti dal Cliente.

Articolo 6 — Obblighi del Cliente (Titolare del trattamento (RT))

Il Cliente si impegna a:

  • Definire le finalità del trattamento e individuare la base giuridica applicabile (art. 6 GDPR).
  • Informare i propri giocatori conformemente agli articoli 13 e 14 GDPR (informativa, periodi di conservazione, diritti).
  • Garantire l’avvenuta acquisizione dei consensi necessari (in particolare per la prospezione commerciale, art. 7 GDPR).
  • Tenere il registro delle attività di trattamento di propria competenza (art. 30 GDPR).
  • Effettuare una valutazione d’impatto sulla protezione dei dati (DPIA) qualora richiesta dall’articolo 35 GDPR.
  • Documentare ogni istruzione fornita a QronoPlay relativa al trattamento.
  • Cooperare con QronoPlay per dare seguito alle richieste degli interessati e ai controlli delle autorità.

Articolo 7 — Obblighi di QronoPlay (Responsabile del trattamento (ST))

QronoPlay si impegna a:

  • Trattare i DCP esclusivamente su istruzioni documentate del Cliente, anche in materia di trasferimenti extra UE, salvo diverso obbligo di legge (nel qual caso QronoPlay informa preventivamente il Cliente).
  • Garantire la riservatezza dei DCP: impegno di riservatezza sottoscritto da ciascun dipendente e sub-responsabile con accesso ai dati.
  • Adottare misure tecniche e organizzative (TOM) adeguate ai sensi dell’articolo 32 GDPR (cfr. Articolo 8).
  • Assistere il Cliente nell’adempimento dei propri obblighi in materia di sicurezza, notifica delle violazioni di DCP, DPIA e consultazione preventiva del CNIL (artt. da 32 a 36 GDPR).
  • Cooperare, su richiesta, con il CNIL o con qualsiasi altra autorità di controllo competente.
  • Al termine del contratto, restituire o distruggere i DCP, a scelta del Cliente, con relativa certificazione scritta (cfr. Articolo 14).
  • Mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dall’articolo 28 GDPR.

Articolo 8 — Misure tecniche e organizzative (TOM)

QronoPlay attua le seguenti misure per garantire un livello di sicurezza adeguato al rischio (art. 32 GDPR):

  • Hosting sovrano in Francia: server OVH Roubaix (Francia).
  • Cifratura: TLS 1.3 per i dati in transito, AES-256 per i dati a riposo.
  • Controllo degli accessi: accesso limitato al personale autorizzato tramite autenticazione multi-fattore (MFA), ruoli RBAC e principio del minimo privilegio.
  • Tracciamento: i log di accesso e operazione sono conservati per un massimo di 12 mesi.
  • Backup: backup cifrati giornalieri, ripristino testato regolarmente.
  • Segregazione: isolamento degli ambienti (produzione, staging, sviluppo) e isolamento logico dei dati tra Clienti.
  • Audit: revisione periodica di accessi e log, test di intrusione periodici.
  • Formazione: sensibilizzazione del personale su GDPR e sicurezza al momento dell’assunzione e a intervalli regolari.
  • Anonimizzazione: gli indirizzi IP sono anonimizzati a /24 al momento della raccolta.
  • Continuità operativa: procedure documentate di ripristino dopo incidenti.

Articolo 9 — Sub-responsabili

Il Cliente autorizza QronoPlay a ricorrere ai sub-responsabili elencati di seguito (situazione al 5 maggio 2026):

  • OVH SAS — Francia — hosting di server e archiviazione.
  • Resend, Inc. — Stati Uniti (DPF) — invio di e-mail transazionali.
  • Mollie B.V. — Paesi Bassi — elaborazione dei pagamenti.
  • Stripe Payments Europe Ltd. — Irlanda — elaborazione dei pagamenti (legacy).
  • Tawk.to LLC — Stati Uniti (DPF) — chat di supporto in tempo reale.
  • Cloudflare, Inc. — Stati Uniti (DPF) — CDN, DNS, protezione anti-DDoS.
  • Twilio Ireland Ltd. — Irlanda — invio di SMS (opzionale, a seconda della configurazione del Cliente).
  • n8n.jalimani.com — Francia — workflow di automazione interni (auto-ospitati da SAS Jalimani).

QronoPlay informerà il Cliente via e-mail prima di qualsiasi aggiunta o sostituzione di un sub-responsabile. Il Cliente disporrà di un termine di 15 giorni dalla notifica per opporsi in modo motivato. Qualora un’opposizione legittima non possa essere risolta, il Cliente potrà recedere dal contratto di servizio senza penali.

QronoPlay imporrà a ciascun sub-responsabile, mediante contratto scritto, gli stessi obblighi di protezione dei dati previsti dal presente DPA. QronoPlay rimarrà pienamente responsabile nei confronti del Cliente dell’adempimento da parte del sub-responsabile dei propri obblighi.

Articolo 10 — Trasferimenti extra UE

I DCP sono conservati esclusivamente in Francia (OVH Roubaix). Alcuni sub-responsabili possono trattare DCP negli Stati Uniti (Resend, Tawk.to, Cloudflare) o al di fuori della Francia all’interno dell’UE (Mollie, Stripe, Twilio).

  • I trasferimenti verso gli Stati Uniti sono disciplinati dalla certificazione Data Privacy Framework (DPF) UE–USA qualora il sub-responsabile vi aderisca.
  • In assenza di tale certificazione, i trasferimenti sono disciplinati dalle Clausole contrattuali tipo (CCT) della Commissione europea (Decisione 2021/914) e, ove necessario, da misure supplementari (cifratura, pseudonimizzazione).

Il Cliente può richiedere in qualsiasi momento l’elenco dettagliato dei trasferimenti e delle garanzie applicabili scrivendo a [email protected].

Articolo 11 — Notifica di violazione dei dati

QronoPlay notificherà al Cliente qualsiasi violazione di DCP che possa interessare i dati trattati per suo conto entro 72 ore dalla scoperta della violazione, ai sensi dell’articolo 33 GDPR.

La notifica scritta (e-mail + messaggio nell’admin) include:

  • La natura della violazione e la data di scoperta.
  • Le categorie e il numero approssimativo di interessati coinvolti.
  • Le categorie e la quantità approssimativa di DCP interessati.
  • Le probabili conseguenze della violazione.
  • Le misure adottate o proposte per porre rimedio alla violazione e attenuarne gli effetti.
  • Il punto di contatto dedicato alla gestione dell’incidente.

QronoPlay assisterà il Cliente nell’adempimento dei suoi obblighi di notifica al CNIL e, ove applicabile, agli interessati (artt. 33 e 34 GDPR).

Articolo 12 — Assistenza ai diritti degli interessati

QronoPlay fornisce al Cliente gli strumenti necessari per dare seguito alle richieste degli interessati ai sensi degli articoli da 15 a 22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione, decisioni automatizzate).

  • Script di esportazione e cancellazione disponibili nella piattaforma admin.
  • Tempo di risposta: 5 giorni lavorativi dalla richiesta scritta del Cliente.
  • Qualora un interessato si rivolga direttamente a QronoPlay, la richiesta sarà trasmessa senza indugio al Cliente, senza fornire una risposta nel merito.

Articolo 13 — Audit e ispezione

Il Cliente (o un revisore terzo indipendente da esso designato, vincolato da un obbligo di riservatezza equivalente) può sottoporre ad audit la conformità di QronoPlay agli obblighi del presente DPA al massimo una volta all’anno, su richiesta scritta con un preavviso di 30 giorni.

L’audit è condotto durante l’orario lavorativo, senza interferire con le operazioni e nel rispetto della riservatezza degli altri clienti di QronoPlay.

I costi dell’audit sono a carico del Cliente richiedente, salvo nel caso in cui venga riscontrata una non conformità grave imputabile a QronoPlay; in tal caso QronoPlay sosterrà i costi ragionevoli.

QronoPlay può, in alternativa, fornire una relazione di audit indipendente recente (tipo ISO 27001, SOC 2 o pentest esterno) che copra l’ambito richiesto.

Articolo 14 — Restituzione / distruzione dei dati

Al termine del contratto di servizio, e salvo obblighi legali di conservazione, il Cliente sceglie tra:

  • Restituzione: esportazione strutturata dei DCP (CSV/JSON) entro 30 giorni dalla richiesta scritta.
  • Distruzione certificata: cancellazione irreversibile dei DCP entro 30 giorni, con certificato scritto di distruzione.

Backup: i DCP presenti nei backup saranno distrutti al più tardi entro 90 giorni dalla scadenza del ciclo di conservazione dei backup.

In assenza di istruzioni del Cliente entro 30 giorni dal termine del contratto, QronoPlay procederà per impostazione predefinita alla distruzione certificata dei DCP.

Articolo 15 — Responsabilità

Ciascuna parte risponde dei danni causati dal mancato rispetto degli obblighi GDPR a essa imputabili. QronoPlay è responsabile, in qualità di responsabile del trattamento, ai sensi dell’articolo 82 GDPR per i danni derivanti da violazioni imputabili a propri atti od omissioni o a quelli dei propri sub-responsabili.

La responsabilità complessiva di QronoPlay ai sensi del presente DPA è limitata alle condizioni previste dalle Condizioni Generali di Utilizzo, salvo i casi di colpa grave, dolo o quando la legge applicabile imponga una responsabilità più estesa.

Articolo 16 — Modifica del DPA

Ogni modifica del presente DPA deve essere accettata per iscritto da entrambe le parti (e-mail con conferma di ricezione o atto aggiuntivo firmato).

QronoPlay potrà modificare unilateralmente il DPA per conformarsi a un’evoluzione normativa (GDPR, ePrivacy, decisioni del CNIL/EDPB, giurisprudenza). In tal caso, il Cliente sarà informato almeno 30 giorni prima dell’entrata in vigore. In caso di disaccordo sostanziale, il Cliente potrà recedere dal contratto di servizio senza penali.

Articolo 17 — Contatto / Legge applicabile

DPO QronoPlay: [email protected]
Contatto generale: [email protected]
Indirizzo: SAS Jalimani, [adresse à compléter par Nicolas]
SIREN: 833 142 631

Il presente DPA è disciplinato dal diritto francese e dal GDPR. Ogni controversia relativa alla sua interpretazione o esecuzione è di competenza esclusiva dei tribunali di Cherbourg-en-Cotentin (Francia), fatte salve le norme imperative sulla competenza.

Data di entrata in vigore: alla firma del contratto di servizio QronoPlay.

Documento fornito a titolo di modello standard. Per esigenze specifiche (Enterprise, settori regolamentati), può essere negoziato un atto aggiuntivo su misura.

Link utili: Informativa sulla privacy · Termini di utilizzo · Regolamento dei giochi · Contatti.

Ultimo aggiornamento :
Torna alla home

© 2025 QronoPlay • [email protected]

vv177860162