Accordo sul Trattamento dei Dati (DPA)
Ultimo aggiornamento: 12/03/2026
Il presente Accordo sul Trattamento dei Dati ("DPA") è parte integrante dei Termini di Servizio di SagraFacile e si applica a tutti gli Organizzatori che utilizzano la Piattaforma SaaS (app.sagrafacile.it). Accettando i Termini di Servizio, l'Organizzatore accetta anche il presente DPA ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR).
1. Definizioni e Ruoli
Ai fini del presente DPA:
- "Titolare del Trattamento" è l'Organizzatore: l'associazione, Pro Loco o altra entità che utilizza la Piattaforma SaaS per gestire il proprio evento e raccoglie dati personali dei propri Clienti Finali.
- "Responsabile del Trattamento" è SagraFacile (gestito da Agostini Lab Srl, P.IVA/C.F. 04767140280): eroga la Piattaforma SaaS e tratta i dati personali per conto dell'Organizzatore.
- "Dati Personali degli Interessati" sono i dati dei Clienti Finali (nome, email, dettagli ordine) e degli operatori dell'Organizzatore (nome, email, credenziali account) trattati tramite la Piattaforma.
2. Oggetto, Natura e Durata del Trattamento
SagraFacile tratta i Dati Personali degli Interessati esclusivamente al fine di erogare i servizi descritti nei Termini di Servizio: gestione degli ordini, configurazione degli eventi, elaborazione dei pre-ordini, invio di comunicazioni di servizio. Il trattamento ha durata pari a quella del rapporto contrattuale tra l'Organizzatore e SagraFacile, salvo diversi obblighi di conservazione previsti dalla legge.
3. Categorie di Dati e Interessati
| Categoria di interessati | Dati trattati |
|---|---|
| Clienti Finali (utenti B2C degli eventi) | Nome, indirizzo email, dettagli dell'ordine (articoli, quantità, note) |
| Operatori dell'Organizzatore | Nome, cognome, indirizzo email, password (hashed), ruolo assegnato |
SagraFacile non tratta categorie particolari di dati ai sensi dell'art. 9 GDPR (dati sanitari, biometrici, ecc.).
4. Obblighi di SagraFacile come Responsabile del Trattamento
SagraFacile si impegna a:
a) Trattare solo su istruzioni documentate. I Dati Personali degli Interessati saranno trattati esclusivamente secondo le istruzioni dell'Organizzatore, così come espresse nell'utilizzo della Piattaforma e nei presenti Termini. Qualora una norma di legge imponga un trattamento diverso, SagraFacile ne informerà l'Organizzatore salvo divieto di legge.
b) Garantire la riservatezza. Il personale autorizzato ad accedere ai dati è vincolato da obblighi di riservatezza contrattuali o di legge.
c) Adottare misure di sicurezza adeguate. In conformità all'art. 32 GDPR, SagraFacile adotta misure tecniche e organizzative appropriate, tra cui: cifratura dei dati in transito (HTTPS/TLS), hashing delle password, controllo degli accessi ai sistemi di produzione, backup regolari con storage offsite, monitoraggio degli errori tramite Sentry.
d) Rispettare le condizioni per il ricorso a sub-responsabili. SagraFacile può avvalersi di sub-responsabili del trattamento (elencati nell'Informativa sulla Privacy, sezione 7). I sub-responsabili sono vincolati da obblighi di protezione dei dati equivalenti a quelli del presente DPA. SagraFacile rimane pienamente responsabile nei confronti dell'Organizzatore per l'operato dei sub-responsabili. In caso di variazioni rilevanti all'elenco dei sub-responsabili, SagraFacile ne darà comunicazione con ragionevole preavviso tramite aggiornamento dell'Informativa sulla Privacy.
e) Assistere l'Organizzatore nell'esercizio dei diritti degli Interessati. Tenuto conto della natura del trattamento, SagraFacile assiste l'Organizzatore, nella misura del possibile, nell'adempimento dell'obbligo di rispondere alle richieste di esercizio dei diritti degli Interessati (accesso, rettifica, cancellazione, portabilità, limitazione, opposizione). L'Organizzatore può esercitare tali richieste tramite gli strumenti disponibili nel pannello di amministrazione o contattando info@sagrafacile.it.
f) Assistere l'Organizzatore negli adempimenti di sicurezza e compliance. SagraFacile assiste l'Organizzatore nell'adempimento degli obblighi di cui agli artt. 32–36 GDPR (misure di sicurezza, notifica di violazioni, valutazione d'impatto), tenuto conto delle informazioni a sua disposizione.
g) Notificare le violazioni dei dati. In caso di violazione dei dati personali (data breach) che coinvolga i dati trattati per conto dell'Organizzatore, SagraFacile notificherà l'Organizzatore senza ingiustificato ritardo e, ove possibile, entro 72 ore dalla scoperta, fornendo le informazioni necessarie a consentire all'Organizzatore di adempiere ai propri obblighi di notifica ai sensi degli artt. 33–34 GDPR.
h) Restituire o cancellare i dati al termine del servizio. Alla cessazione del rapporto contrattuale, SagraFacile procederà alla cancellazione o all'anonimizzazione dei Dati Personali degli Interessati secondo il processo descritto nell'Informativa sulla Privacy (sezione 9 — soft-delete 30 giorni, hard-delete successivo), salvo obblighi di conservazione previsti dalla legge applicabile.
i) Fornire informazioni e supportare le verifiche. SagraFacile mette a disposizione dell'Organizzatore le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA. Su richiesta motivata e con ragionevole preavviso, SagraFacile supporta le verifiche documentali condotte dall'Organizzatore o da un revisore da esso incaricato, purché tali verifiche non interferiscano con le normali operazioni del servizio.
5. Trasferimenti Internazionali di Dati
Alcuni sub-responsabili di SagraFacile hanno sede al di fuori dello Spazio Economico Europeo (USA). I trasferimenti avvengono nel rispetto del GDPR (Capo V) tramite Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea. Per i dettagli, vedi la sezione 8 dell'Informativa sulla Privacy.
6. Responsabilità dell'Organizzatore
L'Organizzatore, in qualità di Titolare del Trattamento, è responsabile di:
- Disporre di una base giuridica valida (art. 6 GDPR) per raccogliere e trattare i dati dei propri Clienti Finali tramite la Piattaforma.
- Fornire adeguata informativa privacy ai propri Clienti Finali prima della raccolta dei loro dati.
- Configurare la Piattaforma in modo coerente con le proprie policy di trattamento dei dati.
7. Contatti
Per questioni relative al presente DPA:
SagraFacile — Agostini Lab Srl Sede legale: Via Montebello 3, 35141 Padova (PD) P.IVA/C.F.: 04767140280 PEC: pec@pec.agostinilab.it Email: info@sagrafacile.it