Il presente Accordo sul Trattamento dei Dati (DPA) è stipulato ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR) tra Royaletiger (di seguito "Responsabile del Trattamento") e il Cliente che ha accettato le Condizioni Generali di Servizio (di seguito "Titolare del Trattamento"). Il presente DPA è parte integrante del contratto di servizio e ne costituisce allegato vincolante.
Art. 1 Definizioni
Ai fini del presente accordo si intende per:
- Titolare del Trattamento: il Cliente che ha acquistato i servizi Royaletiger e che determina le finalità e i mezzi del trattamento dei dati personali raccolti tramite il proprio sito web.
- Responsabile del Trattamento: Royaletiger, che tratta dati personali per conto del Titolare nell'ambito dell'erogazione dei servizi di realizzazione e hosting del sito web.
- Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile (es. nome, email, IP, dati di contatto) raccolta tramite il sito web del Cliente.
- Trattamento: qualsiasi operazione applicata ai dati personali (raccolta, registrazione, conservazione, trasmissione, cancellazione).
- Sub-Responsabile: qualsiasi terzo incaricato da Royaletiger di trattare dati per conto del Titolare.
Art. 2 Oggetto e durata del trattamento
Il presente DPA disciplina il trattamento dei dati personali degli utenti finali del sito web del Cliente effettuato da Royaletiger nell'ambito dei seguenti servizi:
- Realizzazione del sito web WordPress
- Hosting e gestione tecnica del sito web
- Manutenzione, aggiornamenti e assistenza tecnica
- Configurazione di form di contatto, plugin e strumenti di analisi
Il trattamento ha inizio dalla data di attivazione del servizio e cessa alla risoluzione del contratto o alla migrazione del sito su infrastruttura del Cliente.
Art. 3 Natura e finalità del trattamento
Royaletiger tratta i dati personali degli utenti del sito del Cliente esclusivamente per finalità tecniche necessarie all'erogazione del servizio:
| Tipologia di dato |
Finalità tecnica |
| Dati di navigazione (IP, log di accesso) |
Sicurezza del server, prevenzione abusi, diagnostica tecnica |
| Dati dei form di contatto |
Trasmissione al Titolare via email; conservazione temporanea per log tecnici |
| Cookie tecnici |
Funzionamento del sito (sessioni, preferenze) |
| Backup dei dati |
Ripristino del servizio in caso di guasto o perdita dati |
Royaletiger non utilizza i dati degli utenti finali del Cliente per finalità proprie (marketing, profilazione, cessione a terzi). I dati vengono trattati esclusivamente su istruzione del Titolare e per garantire la continuità del servizio.
Art. 4 Obblighi di Royaletiger (Responsabile)
Royaletiger si impegna a:
- Trattare i dati solo su istruzione documentata del Titolare, salvo obblighi di legge.
- Garantire la riservatezza: il personale autorizzato al trattamento è vincolato da obblighi di riservatezza.
- Adottare misure di sicurezza adeguate ai sensi dell'art. 32 GDPR (vedi art. 6 del presente DPA).
- Non coinvolgere sub-responsabili senza previa autorizzazione scritta del Titolare, salvo quelli indicati all'art. 7.
- Assistere il Titolare nell'esercizio dei diritti degli interessati (accesso, rettifica, cancellazione, portabilità) nei tempi tecnici ragionevoli.
- Notificare le violazioni (data breach) al Titolare entro 72 ore dalla scoperta, con le informazioni disponibili.
- Cancellare o restituire tutti i dati personali al termine del contratto, a scelta del Titolare.
- Mettere a disposizione le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA.
Art. 5 Obblighi del Cliente (Titolare)
Il Cliente, in qualità di Titolare del Trattamento, si impegna a:
- Garantire che il trattamento dei dati personali tramite il sito web avvenga nel rispetto del GDPR e della normativa vigente.
- Fornire agli utenti del sito un'informativa privacy adeguata e raccogliere i consensi necessari.
- Impartire istruzioni chiare e documentate a Royaletiger in caso di richieste specifiche di trattamento.
- Notificare tempestivamente a Royaletiger qualsiasi modifica alle finalità di trattamento che impatti i servizi erogati.
- Assumersi la piena responsabilità dei contenuti pubblicati sul sito e della loro conformità normativa.
Art. 6 Misure di sicurezza tecniche e organizzative
Royaletiger adotta le seguenti misure di sicurezza ai sensi dell'art. 32 GDPR:
| Misura |
Descrizione |
| Cifratura in transito |
Tutti i siti sono serviti tramite HTTPS/TLS 1.2+ con certificato SSL valido |
| Accesso limitato |
Accesso al server e ai dati limitato al personale tecnico autorizzato con credenziali individuali |
| Backup periodici |
Backup automatici del sito e del database con conservazione minima di 7 giorni |
| Aggiornamenti di sicurezza |
Aggiornamento periodico di WordPress, plugin e temi per prevenire vulnerabilità note |
| Firewall e protezione DDoS |
Protezione a livello di infrastruttura hosting contro attacchi comuni |
| Monitoraggio |
Log di accesso al server conservati per finalità di sicurezza e diagnostica |
Le misure di sicurezza vengono aggiornate periodicamente in base all'evoluzione delle minacce e alle best practice del settore.
Art. 7 Sub-responsabili del trattamento
Il Cliente autorizza Royaletiger a coinvolgere i seguenti sub-responsabili del trattamento per l'erogazione del servizio:
| Sub-responsabile |
Ruolo |
Sede |
| Provider hosting (cPanel) |
Infrastruttura server, storage, datacenter |
UE / IT |
| Cloudflare Inc. (se attivo) |
CDN, protezione DDoS, ottimizzazione |
USA – SCCs |
| Google LLC (se Google Analytics attivo) |
Analisi delle visite al sito |
USA – SCCs |
Royaletiger si impegna a stipulare accordi di trattamento dati adeguati con ciascun sub-responsabile e a notificare il Titolare in caso di variazioni significative.
Art. 8 Trasferimento dati extra-UE
Laddove il trattamento coinvolga sub-responsabili con sede al di fuori dello Spazio Economico Europeo (SEE), Royaletiger garantisce che il trasferimento avvenga nel rispetto del Capo V del GDPR, mediante:
- Clausole Contrattuali Standard (SCC) adottate dalla Commissione Europea
- Decisioni di adeguatezza della Commissione Europea
- Garanzie appropriate ai sensi dell'art. 46 GDPR
Art. 9 Diritti degli interessati
Il Titolare è responsabile di gestire le richieste degli interessati (utenti del sito) relative ai diritti previsti dagli artt. 15-22 GDPR (accesso, rettifica, cancellazione, portabilità, opposizione).
Royaletiger si impegna a collaborare tecnicamente con il Titolare per dare esecuzione a tali richieste entro i termini ragionevoli compatibili con le attività di gestione del server (tipicamente entro 30 giorni lavorativi dalla richiesta documentata del Titolare).
Le richieste di cancellazione dei dati dal server devono essere inoltrate a Royaletiger tramite email all'indirizzo indicato nei Contatti.
Art. 10 Violazioni dei dati (Data Breach)
In caso di violazione della sicurezza che comporti la distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai dati personali trattati, Royaletiger si impegna a:
- Notificare il Titolare entro 72 ore dalla scoperta della violazione, con le informazioni disponibili.
- Fornire aggiornamenti progressivi man mano che le informazioni diventano disponibili.
- Collaborare con il Titolare per contenere l'impatto e ripristinare la sicurezza.
Il Titolare rimane responsabile della notifica all'Autorità Garante (Garante Privacy) e, se necessario, agli interessati, nei termini previsti dagli artt. 33 e 34 GDPR.
Art. 11 Cessazione del contratto e restituzione dei dati
Alla cessazione del contratto di servizio, Royaletiger si impegna a:
- Fornire al Titolare, su richiesta, un backup completo del sito e del database entro 30 giorni dalla cessazione.
- Cancellare definitivamente i dati dai propri server entro 60 giorni dalla cessazione, salvo obblighi di conservazione previsti dalla legge.
- Rilasciare attestazione scritta dell'avvenuta cancellazione su richiesta del Titolare.
Importante: Royaletiger non è responsabile della perdita di dati derivante dalla mancata richiesta di backup da parte del Cliente entro i termini indicati.
Art. 12 Responsabilità e indennizzo
Ciascuna parte è responsabile delle violazioni del GDPR direttamente imputabili alla propria condotta. In particolare:
- Il Titolare risponde delle violazioni derivanti dalle proprie istruzioni, dai contenuti pubblicati sul sito e dalla gestione dei consensi degli utenti.
- Il Responsabile (Royaletiger) risponde delle violazioni derivanti dal mancato rispetto degli obblighi specificamente assunti con il presente DPA.
Il Cliente manleva Royaletiger da qualsiasi sanzione, pretesa o azione legale derivante da violazioni del GDPR imputabili al Titolare o ai contenuti del sito.
Art. 13 Modifiche al DPA
Royaletiger si riserva il diritto di aggiornare il presente DPA per adeguarlo a modifiche normative o all'evoluzione dei servizi erogati. Le modifiche sostanziali saranno comunicate al Cliente con almeno 30 giorni di preavviso via email. L'utilizzo continuato del servizio dopo tale termine costituisce accettazione delle modifiche.
Art. 14 Legge applicabile e foro competente
Il presente DPA è regolato dalla legge italiana e dal Regolamento UE 2016/679. Per qualsiasi controversia derivante dall'interpretazione o esecuzione del presente accordo, le parti eleggono come foro competente il Tribunale di Cagliari, salvo diverso accordo scritto.