Data Processing Addendum (DPA)

1. Premessa e accettazione

Il presente Data Processing Addendum ("DPA" o "Addendum") è parte integrante dei Termini di Servizio MINOMO e integra le disposizioni ivi contenute in materia di trattamento dei dati personali.

Le parti del presente Addendum sono:

• AVi Kairos Srl, società di diritto rumeno, con sede legale in Strada Lungă 188, Corp C2, Ap. 2, 500051 Brașov, România (CUI 52477194 · J08/68/2025 · EUID ROONRC.J2025068492002), di seguito "MINOMO", "Responsabile" o "Noi";
• il commerciante persona fisica o giuridica che ha accettato i Termini di Servizio MINOMO e che, per le attività descritte all'art. 3 del presente Addendum, determina autonomamente le finalità e i mezzi del trattamento, di seguito "Commerciante", "Titolare" o "Tu".

Accettando i Termini di Servizio MINOMO, il Commerciante accetta anche il presente Addendum, che entra in vigore contestualmente alla prima attivazione di una delle funzionalità elencate all'art. 3. Se non sei d'accordo con queste condizioni, non attivare le funzionalità in questione e contattaci a [email protected].

Il presente Addendum disciplina esclusivamente i trattamenti in cui MINOMO opera come responsabile del trattamento ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR"). Tutti gli altri trattamenti effettuati da MINOMO per erogare la piattaforma restano disciplinati dall'Informativa sulla Privacy MINOMO, in cui AVi Kairos Srl opera come titolare autonomo.

2. Definizioni

Ai fini del presente Addendum si intende per:

• "GDPR": il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;
• "Dati personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile ai sensi dell'art. 4(1) GDPR;
• "Trattamento": qualsiasi operazione o insieme di operazioni compiute su dati personali, con o senza l'ausilio di processi automatizzati, ai sensi dell'art. 4(2) GDPR;
• "Titolare del trattamento" (o "Titolare"): il Commerciante, nella misura in cui determina le finalità e i mezzi dei trattamenti disciplinati dal presente Addendum;
• "Responsabile del trattamento" (o "Responsabile"): AVi Kairos Srl / MINOMO, nella misura in cui tratta i dati personali per conto del Titolare, su sua istruzione e nell'ambito delle funzionalità elencate all'art. 3;
• "Sub-responsabile" o "subprocessor": qualsiasi soggetto terzo nominato da MINOMO per svolgere, in tutto o in parte, attività di trattamento per conto del Titolare, nel contesto del presente Addendum;
• "Interessati": le persone fisiche i cui dati personali sono trattati nell'ambito del presente Addendum. Nella piattaforma MINOMO, si tratta prevalentemente dei follower del Commerciante e dei partecipanti attivi a sue campagne fedeltà;
• "Violazione dei dati personali" (o "data breach"): una violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o altrimenti trattati, ai sensi dell'art. 4(12) GDPR;
• "SCC": le Clausole Contrattuali Standard approvate dalla Commissione Europea con decisione di esecuzione 2021/914/UE del 4 giugno 2021, come integrate e aggiornate;
• "SEE": lo Spazio Economico Europeo, comprendente gli Stati membri dell'Unione Europea, nonché l'Islanda, il Liechtenstein e la Norvegia.

3. Ambito di applicazione — quando si applica questo DPA

Il presente Addendum si applica esclusivamente ai trattamenti in cui il Commerciante determina autonomamente le finalità del trattamento e si avvale di MINOMO come strumento di esecuzione. I trattamenti in scope sono:

• Invio di notifiche push targettizzate: quando usi la funzione "invia a sottoselezione" del tuo pannello commerciante per indirizzare una notifica push a un segmento specifico dei tuoi follower (es. solo i membri del tuo programma fedeltà, solo chi ha raggiunto una certa soglia di punti, solo chi ha attivato la carta entro una determinata data). In questo caso sei tu a definire il criterio di selezione e il contenuto del messaggio; MINOMO esegue tecnicamente l'invio;
• Gestione di campagne fedeltà digitali con profilazione per singolo follower: quando il tuo programma fedeltà genera, al di là del semplice conteggio punti, dati tracciabili riconducibili a singoli utenti identificati (es. storico delle transazioni per follower, segmentazione comportamentale basata su premi riscattati);
• Reportistica e analisi aggregate richieste dal Commerciante su sue campagne: quando richiedi elaborazioni che partono da dati personali degli interessati — anche se il risultato finale è aggregato — per valutare l'efficacia di una tua campagna specifica.

Il presente Addendum non si applica ai seguenti trattamenti, in cui MINOMO agisce come titolare autonomo:

• l'account del Commerciante (email, hash password, dati di fatturazione, dati DSA ex art. 30 del Regolamento (UE) 2022/2065);
• la pagina commerciale pubblica del Commerciante e i suoi contenuti editoriali;
• il wallet prepagato e lo storico delle transazioni di credito;
• la relazione di follow tra l'utente consumer e la pagina del Commerciante (MINOMO gestisce questa relazione come titolare; il Commerciante non ha accesso ai dati identificativi dei suoi follower, ma solo a conteggi aggregati);
• le notifiche push di broadcasting inviato all'intera città o a un segmento geografico ampio, in cui la selezione dei destinatari è effettuata da MINOMO sulla base di parametri di sistema.

In caso di dubbio sulla qualificazione giuridica di un determinato trattamento, ti invitiamo a scriverci a [email protected] prima di avviarlo.

4. Istruzioni del Titolare

MINOMO tratta i dati personali degli interessati esclusivamente su istruzione documentata del Titolare, salvo che ne sia richiesto il trattamento dal diritto dell'Unione Europea o dal diritto dello Stato membro cui MINOMO è soggetta; in tal caso MINOMO ti informa in anticipo del trattamento, a meno che il diritto applicabile vieti tale informazione per motivi di interesse pubblico.

Le istruzioni del Titolare si intendono impartite esclusivamente tramite la piattaforma MINOMO — le funzionalità tecniche disponibili nel pannello commerciante, la configurazione delle campagne, la selezione dei criteri di segmentazione. Non trattiamo dati su istruzioni verbali, telefoniche o comunicate via email informale. Se hai esigenze specifiche che la piattaforma non copre, contattaci a [email protected] per valutare una soluzione documentata.

Se MINOMO ritiene che una tua istruzione violi il GDPR o altra normativa applicabile in materia di protezione dei dati, te lo comunichiamo per iscritto senza indugio. In tal caso, MINOMO si riserva il diritto di sospendere l'esecuzione dell'istruzione fino alla risoluzione della questione.

La responsabilità della legittimità delle istruzioni — inclusa la verifica che il trattamento in questione sia sorretto da una base giuridica valida (consenso degli interessati, esecuzione di un contratto, legittimo interesse, ecc.) — resta interamente a tuo carico in quanto Titolare. MINOMO fornisce gli strumenti tecnici; la governance del trattamento è tua.

5. Obblighi di MINOMO come Responsabile

Per i trattamenti in scope (art. 3), MINOMO si impegna a:

• Trattare esclusivamente su istruzione: non utilizzare i dati degli interessati per finalità proprie di MINOMO, per attività di marketing interno, per profilazione pubblicitaria o per qualsiasi scopo diverso dall'esecuzione dell'istruzione ricevuta;
• Garantire la riservatezza: assicurarsi che le persone autorizzate a trattare i dati siano vincolate da obblighi di riservatezza, contrattuali o di legge;
• Adottare misure di sicurezza adeguate ai sensi dell'art. 32 GDPR, come descritte nell'Allegato II del presente Addendum;
• Rispettare le condizioni sui sub-responsabili di cui all'art. 6;
• Assistere il Titolare nell'adempimento degli obblighi descritti agli artt. 9, 10 e 11;
• Cancellare o restituire i dati al termine del trattamento secondo le modalità dell'art. 13;
• Mettere a disposizione le informazioni necessarie per dimostrare il rispetto degli obblighi dell'art. 28 GDPR e consentire le attività di audit di cui all'art. 12.

6. Sub-responsabili (subprocessor)

Per eseguire le attività di trattamento in scope, MINOMO si avvale di fornitori terzi — i "sub-responsabili" — che trattano dati personali per suo conto. Ai sensi dell'art. 28(2) GDPR, ti comunichiamo quanto segue.

Autorizzazione generale

Accettando il presente Addendum, autorizzi MINOMO ad avvalersi dei sub-responsabili elencati nella pagina minomo.io/legal/subprocessors/, che è aggiornata in tempo reale e costituisce parte integrante del presente DPA. Quella pagina indica per ciascun sub-responsabile: la denominazione, la categoria di trattamento, il paese di stabilimento e le garanzie di trasferimento applicabili.

Preavviso per nuovi sub-responsabili

Prima di aggiungere o sostituire un sub-responsabile, ti informiamo con un preavviso di almeno 30 giorni via email all'indirizzo associato al tuo account commerciante e tramite avviso nel pannello. L'informazione include la denominazione del nuovo fornitore, la categoria di trattamento e il paese di stabilimento.

Diritto di opposizione

Hai il diritto di opporti all'aggiunta di un nuovo sub-responsabile entro 10 giorni dalla ricezione del preavviso, inviando comunicazione motivata a [email protected]. Se l'opposizione è fondata su ragioni legittime e non siamo in grado di trovare un'alternativa adeguata, puoi recedere dalle funzionalità in scope senza penali. Il recesso non incide sulle altre funzionalità MINOMO per cui non operi come titolare autonomo.

Responsabilità verso i sub-responsabili

MINOMO impone contrattualmente a ciascun sub-responsabile obblighi equivalenti a quelli del presente Addendum in materia di protezione dei dati. Se un sub-responsabile non adempie ai propri obblighi in materia di protezione dei dati, MINOMO resta pienamente responsabile nei tuoi confronti dell'adempimento degli obblighi del sub-responsabile, ai sensi dell'art. 28(4) GDPR.

7. Trasferimenti internazionali di dati personali

Alcuni dei sub-responsabili di MINOMO hanno sede al di fuori dello Spazio Economico Europeo. Per i trattamenti in scope, i trasferimenti verso paesi terzi sono effettuati nel rispetto delle garanzie previste dal Capo V del GDPR.

In particolare:

• dove applicabile, MINOMO utilizza le Clausole Contrattuali Standard (SCC) 2021/914/UE, Modulo 2 (Controller-to-Processor), integrate da valutazioni di impatto sui trasferimenti (Transfer Impact Assessment, TIA) e, ove necessario, da misure supplementari di natura tecnica e organizzativa;
• per i trasferimenti verso gli Stati Uniti, se il fornitore aderisce al EU-U.S. Data Privacy Framework (decisione di adeguatezza CE del 10 luglio 2023), ci avvaliamo di tale strumento in aggiunta alle SCC;
• per il trasferimento verso il Regno Unito, applichiamo la decisione di adeguatezza CE del 28 giugno 2021.

Il dettaglio per singolo fornitore — paese, strumento di garanzia, data dell'ultima verifica — è disponibile alla pagina minomo.io/legal/subprocessors/. Puoi richiedere copia delle SCC applicabili a un determinato sub-responsabile scrivendo a [email protected].

Monitoriamo costantemente l'evoluzione della giurisprudenza dell'UE sui trasferimenti internazionali e adeguiamo le garanzie adottate non appena si rendesse necessario.

8. Sicurezza

Le misure tecniche e organizzative che MINOMO adotta per proteggere i dati personali trattati nell'ambito del presente Addendum sono descritte nell'Allegato II del presente DPA. Tali misure sono periodicamente riesaminate e aggiornate in funzione dell'evoluzione tecnologica e dei rischi identificati.

Qualora, nell'ambito del tuo utilizzo della piattaforma, identificassi un potenziale rischio per la sicurezza dei dati degli interessati, ti chiediamo di segnalarlo immediatamente a [email protected].

9. Assistenza al Titolare

MINOMO ti assiste nell'adempimento degli obblighi che il GDPR pone a carico del Titolare, nella misura in cui tali obblighi attengono ai trattamenti in scope:

9.1 Richieste di esercizio dei diritti (DSAR)

Se un tuo follower o un partecipante a una tua campagna fedeltà ti trasmette una richiesta di esercizio dei diritti ai sensi degli artt. 15-22 GDPR (accesso, rettifica, cancellazione, portabilità, ecc.), MINOMO ti fornisce assistenza tecnica per individuare ed estrarre i dati pertinenti dai sistemi della piattaforma. Forniremo riscontro alla tua richiesta di assistenza entro 10 giorni lavorativi.

9.2 Valutazione d'impatto (DPIA)

Se il trattamento in scope rientra tra quelli per cui il GDPR richiede una Valutazione d'impatto sulla protezione dei dati (art. 35 GDPR), MINOMO ti fornisce le informazioni disponibili sulla propria architettura tecnica e sulle misure di sicurezza adottate, affinché tu possa condurre la DPIA con cognizione di causa. Non siamo in grado di condurre la DPIA al posto tuo: quella responsabilità è tua in quanto Titolare. Possiamo supportarti con documentazione tecnica e con un colloquio dedicato, previo accordo a [email protected].

9.3 Consultazione preventiva

Se, a esito della DPIA, la residua valutazione del rischio richiede la consultazione preventiva dell'autorità di controllo (art. 36 GDPR), ti assistiamo fornendo le informazioni tecniche necessarie a corredo della richiesta.

10. Notifica delle violazioni dei dati personali

Se MINOMO identifica una violazione dei dati personali che coinvolge dati trattati nell'ambito del presente Addendum — ossia una violazione che impatta sugli interessati per cui tu sei Titolare — procediamo come segue:

1. ti notifichiamo la violazione entro 48 ore dall'accertamento, via email all'indirizzo del tuo account commerciante. La notifica include: la descrizione della natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le misure adottate o proposte per rimediare;
2. ti forniamo assistenza per la redazione della notifica all'autorità di controllo competente, se la violazione rientra nei casi dell'art. 33 GDPR (che prevede la notifica entro 72 ore dalla conoscenza). La decisione finale sulla notifica all'autorità e la relativa responsabilità restano in capo a te come Titolare;
3. ti assistiamo nella valutazione sull'eventuale necessità di comunicare la violazione direttamente agli interessati ai sensi dell'art. 34 GDPR.

La notifica di una violazione a te come Titolare non costituisce riconoscimento da parte di MINOMO di responsabilità o negligenza in relazione alla violazione stessa.

11. Diritti degli interessati

Per i trattamenti in scope, sei tu, in qualità di Titolare, il soggetto responsabile di rispondere alle richieste di esercizio dei diritti degli interessati ai sensi degli artt. 15-22 GDPR.

MINOMO non risponde direttamente alle richieste degli interessati che attengono a trattamenti di cui sei Titolare. Se un interessato ci contatta direttamente — ad esempio scrivendo a [email protected] — relativamente a un trattamento in scope, ti trasmettiamo la richiesta senza indugio e senza rispondervi nel merito.

Fai presente ai tuoi interessati, nell'informativa privacy che sei tenuto a pubblicare in qualità di Titolare, che per i trattamenti gestiti tramite la piattaforma MINOMO il punto di contatto per l'esercizio dei diritti sei tu. Ti chiediamo di indicare nelle tue comunicazioni agli interessati un indirizzo email o un modulo di contatto raggiungibile.

MINOMO ti fornisce gli strumenti tecnici per la gestione delle richieste: in particolare, la funzione di cancellazione dal programma fedeltà e di rimozione dei dati di un singolo interessato è accessibile dal pannello commerciante. Per richieste che non sei in grado di soddisfare autonomamente dalla piattaforma, scrivi a [email protected]: ti assistiamo entro 10 giorni lavorativi.

12. Audit e ispezioni

Hai il diritto di verificare il rispetto, da parte di MINOMO, degli obblighi del presente Addendum. Le modalità di esercizio di questo diritto sono le seguenti.

12.1 Documentazione standard

MINOMO mette a tua disposizione, su richiesta, la documentazione tecnica relativa alle misure di sicurezza adottate (vedi Allegato II), i log di trattamento pertinenti ai dati in scope, eventuali sintesi di assessment o questionari di conformità (ad esempio CAIQ — Consensus Assessment Initiative Questionnaire del Cloud Security Alliance). Per richiedere la documentazione, scrivi a [email protected].

12.2 Audit on-site

Puoi richiedere un audit on-site o affidato a un terzo ispettore — massimo 1 audit per anno solare, salvo necessità motivata da una violazione documentata. L'audit è soggetto alle seguenti condizioni:

• preavviso scritto di almeno 30 giorni a [email protected], con descrizione del perimetro e degli obiettivi;
• accordo preventivo sulle modalità operative, per evitare interferenze con l'operatività della piattaforma e garantire la riservatezza delle informazioni di altri clienti;
• tutti i costi dell'audit (incluso il tempo del personale MINOMO impegnato nelle attività di supporto) sono a carico del richiedente;
• il terzo ispettore deve firmare un accordo di riservatezza con MINOMO prima di accedere a qualsiasi informazione.

13. Cancellazione e restituzione dei dati al termine del trattamento

Al termine del rapporto contrattuale — sia per recesso del Commerciante, sia per cessazione del servizio da parte di MINOMO, sia per disattivazione delle funzionalità in scope — procediamo come segue:

• entro 30 giorni dalla cessazione, MINOMO cancella i dati personali degli interessati trattati nell'ambito del presente Addendum dai propri sistemi attivi (database operativo, cache, sistemi di analytics). La cancellazione riguarda le copie nei sistemi di backup entro i successivi 90 giorni (per il completamento del ciclo di rotazione dei backup);
• se lo richiedi per iscritto prima della cancellazione, MINOMO ti restituisce una copia dei dati in formato strutturato (JSON o CSV, a seconda della tipologia). La richiesta deve essere inviata a [email protected] entro la cessazione del rapporto;
• MINOMO può conservare i dati oltre i 30 giorni nella misura strettamente necessaria ad adempiere a obblighi di legge (ad esempio, conservazione dei log di audit ai fini fiscali o per ottemperare a ordini dell'autorità). In tal caso ti informiamo della conservazione e della sua durata.

Su tua richiesta, MINOMO rilascia una dichiarazione scritta di avvenuta cancellazione dei dati in scope, con indicazione della data e delle modalità operative.

14. Limitazione di responsabilità

La responsabilità di MINOMO per danni derivanti dal trattamento effettuato nell'ambito del presente Addendum è limitata nei termini e con le esclusioni previsti dai Termini di Servizio MINOMO, che si intendono integralmente incorporati per riferimento.

In particolare: MINOMO non è responsabile dei danni derivanti da istruzioni errate, incomplete o illegittime del Titolare; dall'utilizzo non conforme della piattaforma da parte del Commerciante; dall'accesso non autorizzato alle credenziali del pannello commerciante causato da negligenza del Commerciante stesso; da violazioni imputabili a sub-responsabili che abbiano adottato misure di sicurezza equivalenti a quelle richieste dal presente DPA.

Se MINOMO ha agito in qualità di responsabile del trattamento ma ha contribuito direttamente e causalmente a una violazione del GDPR, la responsabilità verso gli interessati è quella prevista dall'art. 82 GDPR. In tal caso, MINOMO e il Titolare sono corresponsabili solidali verso l'interessato, con diritto di rivalsa tra le parti proporzionale alla rispettiva quota di colpa.

15. Legge applicabile e foro competente

Il presente Addendum è disciplinato dal diritto rumeno, nel rispetto del Regolamento (UE) 2016/679 e delle normative di protezione dei dati applicabili negli Stati membri in cui operano i Commercianti.

Per qualsiasi controversia relativa all'interpretazione, alla validità o all'esecuzione del presente Addendum, le parti concordano la competenza esclusiva del Tribunale di Brașov (România), salvo che il Commerciante sia un consumatore residente nell'Unione Europea, nel qual caso si applicano le norme inderogabili di tutela del consumatore vigenti nel paese di residenza abituale.

Nulla in questo articolo limita il diritto del Commerciante di proporre reclamo all'autorità di controllo per la protezione dei dati personali competente nel proprio Stato membro (art. 77 GDPR).

16. Modifiche al DPA

MINOMO può aggiornare il presente Addendum per riflettere cambiamenti normativi, evoluzioni tecnologiche, nuove funzionalità della piattaforma o indicazioni delle autorità di controllo. Quando lo facciamo:

• le modifiche non sostanziali (aggiornamenti redazionali, correzioni di riferimenti normativi, aggiunta di nuovi sub-responsabili già comunicati tramite il processo dell'art. 6) hanno efficacia immediata;
• le modifiche sostanziali — che incidono sui tuoi diritti come Titolare, sulle categorie di dati trattati, sulle finalità, sui sub-responsabili chiave o sui meccanismi di garanzia per i trasferimenti internazionali — ti vengono comunicate con almeno 30 giorni di preavviso, via email e tramite avviso nel pannello commerciante;
• se non accetti una modifica sostanziale, puoi disattivare le funzionalità in scope entro il periodo di preavviso senza penali. La prosecuzione dell'utilizzo delle funzionalità oltre il termine costituisce accettazione delle modifiche.

Le versioni precedenti del DPA restano accessibili tramite il changelog pubblicato in calce a questa pagina.

Storico delle versioni

17. Contatti

Per qualsiasi questione relativa al presente Addendum:

• Corrispondenza formale DPA: [email protected]
• Questioni privacy specifiche: [email protected]
• Posta ordinaria: AVi Kairos Srl — Strada Lungă 188, Corp C2, Ap. 2, Brașov 500051, România

Ci impegniamo a fornire riscontro entro 10 giorni lavorativi dalla ricezione. Per le segnalazioni urgenti relative a violazioni dei dati personali in corso, usa la riga oggetto "DATA BREACH — URGENTE" per garantire la priorità nella gestione.

Il presente Allegato descrive le caratteristiche dei trattamenti per i quali MINOMO opera come Responsabile del trattamento ai sensi dell'art. 3 del presente DPA.

I.A — Categorie di interessati

I.B — Categorie di dati personali

I.C — Finalità del trattamento

• Esecuzione tecnica delle notifiche push indirizzate a segmenti specifici di follower definiti dal Titolare;
• Gestione del registro di punti fedeltà per singolo utente nell'ambito del programma del Titolare;
• Produzione di reportistica e analisi aggregate sull'efficacia delle campagne del Titolare.

I.D — Durata del trattamento

Il trattamento ha inizio con la prima attivazione da parte del Titolare di una delle funzionalità in scope e termina con la disattivazione definitiva delle stesse o con la cessazione del rapporto contrattuale. Le modalità di cancellazione al termine sono disciplinate dall'art. 13 del presente DPA.

Le misure descritte in questo Allegato sono quelle che MINOMO adotta, nell'ambito dei trattamenti in scope, ai sensi dell'art. 32 GDPR. Costituiscono il riferimento per la valutazione dell'adeguatezza tecnica e organizzativa richiesta dal presente DPA.

II.1 — Cifratura dei dati

• In transito: tutti i dati trasmessi tra i client (browser, app native, pannello commerciante) e i server MINOMO sono protetti da TLS 1.2 o superiore, con certificati gestiti tramite Let's Encrypt o equivalente. L'utilizzo di protocolli obsoleti (SSL 3.0, TLS 1.0, TLS 1.1) è disabilitato a livello di configurazione del server.
• A riposo: i database e i file system che ospitano i dati degli interessati sono cifrati a livello di storage, con chiavi gestite dall'infrastruttura di hosting (cifratura AES-256 o equivalente). Le chiavi di cifratura a riposo sono separate dai dati cifrati.
• Payload delle notifiche push: il contenuto delle notifiche push (testo, titolo, immagini, link) è cifrato end-to-end tra il mittente e il dispositivo del destinatario. I server MINOMO e i gateway di terze parti (FCM, APNs, Web Push) non accedono al payload in chiaro. Questa misura è specifica del meccanismo push e non si estende agli altri tipi di dati gestiti dalla piattaforma.

II.2 — Controllo degli accessi

• Principio del minimo privilegio: l'accesso ai dati degli interessati è limitato al personale MINOMO che ne ha effettiva necessità operativa. I diritti di accesso sono assegnati su base role-based e rivisti periodicamente.
• Autenticazione del personale: gli accessi ai sistemi di produzione (database, pannelli di amministrazione, infrastruttura cloud) richiedono autenticazione a più fattori (MFA). L'utilizzo di password deboli o riutilizzate è bloccato a livello di policy.
• Accesso dei commercianti: il pannello commerciante è protetto da autenticazione con email verificata e password. L'autenticazione a due fattori è disponibile e fortemente raccomandata per gli account con accesso a funzionalità in scope.
• Log di audit: gli accessi privilegiati ai sistemi che ospitano i dati degli interessati sono registrati in log di audit con timestamp, identificativo dell'operatore e natura dell'operazione. I log sono conservati per almeno 12 mesi e non sono modificabili dagli operatori ordinari.

II.3 — Segregazione degli ambienti

I dati degli utenti in produzione sono segregati dagli ambienti di sviluppo e staging. L'accesso ai dati di produzione in ambienti non-produzione avviene esclusivamente tramite dati anonimizzati o sintetici. I deploy in produzione seguono una procedura documentata con revisione del codice e test automatizzati prima del rilascio.

II.4 — Backup e ripristino

• I database vengono sottoposti a backup giornalieri automatici, con conservazione per un periodo minimo di 30 giorni.
• Le procedure di ripristino sono documentate e testate periodicamente per verificare l'integrità dei backup e il tempo di recupero.
• I backup sono archiviati in posizioni fisicamente separate dalla sede principale dei dati attivi.

II.5 — Gestione degli incidenti

MINOMO dispone di una procedura documentata di gestione degli incidenti di sicurezza, che include: la catena di escalation interna, i criteri di classificazione della gravità, le modalità di contenimento e remediation, i tempi di notifica verso il Titolare (art. 10 del presente DPA) e verso le autorità di controllo (art. 33 GDPR). Il personale addetto alla sicurezza è formato annualmente sulle procedure di risposta agli incidenti.

II.6 — Formazione del personale

Il personale MINOMO che ha accesso ai dati degli interessati riceve formazione periodica in materia di protezione dei dati, sicurezza informatica e gestione degli incidenti. La formazione è documentata. I nuovi assunti con accesso a sistemi contenenti dati personali ricevono formazione dedicata prima dell'accesso operativo.

II.7 — Sicurezza dei sub-responsabili

Prima di nominare un nuovo sub-responsabile, MINOMO verifica che il fornitore adotti misure di sicurezza almeno equivalenti a quelle descritte nel presente Allegato, attraverso la revisione della documentazione di sicurezza del fornitore (SOC 2 report, ISO/IEC 27001 o equivalente, CAIQ, o altra documentazione comparabile) e la stipula di un DPA con il fornitore. MINOMO seleziona fornitori con controlli di sicurezza ispirati alla famiglia di standard ISO/IEC 27000 o a framework equivalenti; non dichiariamo certificazioni specifiche per conto dei fornitori se non è da loro stessi certificata.

II.8 — Test di sicurezza

MINOMO effettua attività di vulnerability scanning continuativo e penetration test periodici (almeno una volta all'anno) sulle componenti della piattaforma che ospitano dati degli interessati. I risultati sono documentati e le vulnerabilità rilevate vengono rimediate secondo una policy di priorità basata sulla gravità. Non dichiariamo di aver ottenuto certificazioni di sicurezza specifiche (SOC 2 Type II, ISO 27001) a meno che non siano state effettivamente conseguite; le misure adottate sono ispirate ai controlli di questi framework.

La lista completa, aggiornata e versionata dei sub-responsabili di MINOMO — con denominazione, categoria di trattamento, paese di stabilimento, garanzie di trasferimento applicabili e data dell'ultimo aggiornamento — è pubblicata e mantenuta in tempo reale alla pagina:

minomo.io/legal/subprocessors/

Quella pagina costituisce parte integrante del presente Allegato III e del presente DPA. Viene aggiornata ogni volta che un sub-responsabile viene aggiunto, modificato o rimosso, con indicazione della data della modifica nel relativo changelog.

Le categorie generali di sub-responsabili che intervengono nei trattamenti in scope del presente DPA includono:

• Infrastruttura applicativa e database: server su cui gira la piattaforma MINOMO, incluse le componenti che gestiscono le campagne fedeltà e i registri di segmentazione push;
• Gateway per notifiche push: i fornitori che curano il trasporto fisico delle notifiche push verso i dispositivi degli interessati (Google Firebase Cloud Messaging per Android, Apple Push Notification service per iOS, Web Push standard per la PWA). Questi fornitori ricevono il payload già cifrato end-to-end;
• Rete di distribuzione dei contenuti (CDN): per la distribuzione di asset statici associati alle campagne (immagini, loghi);
• Archiviazione di backup: il servizio di storage remoto su cui sono archiviati i backup dei database.

Per qualsiasi richiesta relativa ai sub-responsabili, scrivici a [email protected].