Data Processing Agreement
Ultimo aggiornamento: Aprile 2026
Il presente Data Processing Agreement (di seguito, "DPA") è stipulato ai sensi dell'art. 28 del Regolamento UE 2016/679 (di seguito, "GDPR") tra:
- Il Ristorante (di seguito, "Titolare" o "Controller") — il soggetto che si registra sulla piattaforma Blero e utilizza il Servizio per gestire le prenotazioni dei propri clienti finali;
- Nexora Venture Studio Srl, con sede legale in Piazza della Repubblica 19, 20124 Milano, P. IVA IT00000000000 (di seguito, "Blero", "Responsabile" o "Processor") — il fornitore della piattaforma SaaS di gestione prenotazioni.
Il presente DPA è parte integrante dei Termini di Servizio e si applica automaticamente a tutti i Titolari che utilizzano la piattaforma Blero. L'utilizzo del Servizio implica l'accettazione del presente DPA.
1. Definizioni
I termini utilizzati nel presente DPA hanno il significato attribuito dal GDPR e dai Termini di Servizio. In particolare:
- Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile (art. 4 GDPR), trattata da Blero per conto del Titolare nell'ambito del Servizio.
- Trattamento: qualsiasi operazione o insieme di operazioni compiute su Dati Personali, con o senza l'ausilio di processi automatizzati (art. 4 GDPR).
- Interessato: la persona fisica i cui Dati Personali sono oggetto di trattamento — nel contesto del presente DPA, il cliente del ristorante che effettua una prenotazione.
- Violazione dei Dati Personali (Data Breach): la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati.
- Sub-responsabile: qualsiasi terzo incaricato da Blero per svolgere specifiche attività di trattamento per conto del Titolare.
2. Oggetto e durata del trattamento
2.1 Oggetto
Blero tratta i Dati Personali dei clienti del ristorante esclusivamente per fornire il Servizio di gestione prenotazioni, come descritto nei Termini di Servizio e nella presente DPA.
2.2 Durata
Il trattamento ha durata pari al periodo di utilizzo del Servizio da parte del Titolare, più un periodo massimo di 30 giorni dalla cessazione dell'account per le operazioni di cancellazione dei dati, salvo diversi obblighi di legge.
2.3 Natura e finalità del trattamento
Il trattamento comprende le seguenti operazioni, effettuate esclusivamente per le finalità indicate:
| Operazione | Finalità |
|---|---|
| Raccolta e conservazione dei dati identificativi (nome, cognome, telefono, email) | Gestione della prenotazione e comunicazioni di servizio |
| Invio di codici OTP via SMS | Verifica del numero di telefono e prevenzione di prenotazioni fraudolente e no-show |
| Invio di email transazionali (conferma, promemoria, modifica, cancellazione) | Esecuzione del servizio di prenotazione |
| Invio di richieste di recensione | Gestione della reputazione del ristorante (disattivabile) |
| Conservazione dello storico prenotazioni | Gestione del rapporto con il cliente |
| Pulizia automatica dei dati scaduti (cron GDPR) | Rispetto del periodo di conservazione definito dal Titolare |
| Conservazione del consenso marketing | Registrazione della volontà dell'interessato (se attivato dal Titolare) |
2.4 Categorie di Interessati
Clienti del ristorante che effettuano prenotazioni tramite la pagina pubblica o i cui dati vengono inseriti manualmente dallo staff del ristorante.
2.5 Categorie di Dati Personali
- Dati identificativi: nome, cognome
- Dati di contatto: numero di telefono (prefisso + numero), indirizzo email
- Dati relativi alla prenotazione: data, ora, numero di ospiti, preferenze (area, requisiti), note libere
- Dati tecnici: token di cancellazione/modifica (hash SHA-256), idempotency key, lingua preferita
- Dati aggregati: data prima/ultima prenotazione, contatore prenotazioni, stato verifica SMS
- Consenso marketing: flag e timestamp (se attivato dal Titolare)
Non vengono trattati dati di categorie particolari ai sensi dell'art. 9 GDPR, né dati relativi a condanne penali ai sensi dell'art. 10 GDPR.
3. Obblighi del Responsabile (Blero)
Blero si impegna a:
3.1 Trattare i Dati Personali esclusivamente sulla base delle istruzioni documentate del Titolare, incluse quelle contenute nei Termini di Servizio, nella configurazione del ristorante e nel presente DPA, salvo che il diritto dell'Unione o degli Stati membri cui è soggetto il Responsabile non gli imponga di procedere al trattamento.
3.2 Garantire che le persone autorizzate al trattamento dei Dati Personali si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.
3.3 Adottare tutte le misure tecniche e organizzative richieste dall'art. 32 GDPR, come descritte nella Sezione 7 del presente DPA.
3.4 Rispettare le condizioni per ricorrere a Sub-responsabili di cui alla Sezione 5 del presente DPA.
3.5 Assistere il Titolare, tenendo conto della natura del trattamento, mediante misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'Interessato di cui al Capo III del GDPR.
3.6 Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.
3.7 Su scelta del Titolare, cancellare o restituire tutti i Dati Personali al termine della prestazione dei servizi relativi al trattamento, e cancellare le copie esistenti salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei Dati Personali.
3.8 Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato.
4. Obblighi del Titolare (Ristorante)
Il Titolare si impegna a:
4.1 Fornire ai propri clienti un'informativa privacy completa e conforme all'art. 13 GDPR, utilizzando gli strumenti messi a disposizione dalla piattaforma (editor privacy nel pannello di configurazione) o un'informativa propria.
4.2 Garantire la liceità del trattamento, inclusa l'individuazione di una base giuridica appropriata per ciascuna finalità di trattamento.
4.3 Definire il periodo di conservazione dei dati attraverso la configurazione disponibile nel pannello di amministrazione (campo "Conservazione dati" nella tab Privacy).
4.4 Comunicare a Blero, senza ingiustificato ritardo, qualsiasi modifica alle istruzioni di trattamento che possa incidere sulla capacità di Blero di conformarsi al presente DPA.
4.5 Se il Titolare attiva la funzionalità di raccolta del consenso marketing, garantire che tale raccolta avvenga nel rispetto delle normative applicabili ed assumersi la piena responsabilità per le successive comunicazioni promozionali inviate ai clienti sulla base di tale consenso.
5. Sub-responsabili
5.1 Autorizzazione generale
Il Titolare autorizza Blero a ricorrere a Sub-responsabili per l'esecuzione di specifiche attività di trattamento per suo conto. Blero si impegna a stipulare con ciascun Sub-responsabile un accordo che imponga obblighi di protezione dei dati sostanzialmente equivalenti a quelli previsti dal presente DPA.
5.2 Elenco dei Sub-responsabili
Alla data del presente DPA, Blero si avvale dei seguenti Sub-responsabili:
| Sub-responsabile | Servizio | Sede | Garanzie trasferimento |
|---|---|---|---|
| Xano, Inc. | Backend, database PostgreSQL | UE (Germania) | Dati in UE, DPA |
| Vercel, Inc. | Hosting frontend | USA | Standard Contractual Clauses (SCC), DPA |
| Paddle.com Market Ltd | Pagamenti (Merchant of Record) | UK / UE | DPA, Paddle Privacy Policy |
| SMSAPI (MessageBird) | Invio SMS OTP | UE (Polonia) | Dati in UE, DPA |
| Resend, Inc. | Email transazionali | USA | Standard Contractual Clauses (SCC), DPA |
Nota: Paddle agisce come Merchant of Record e tratta i dati di pagamento (carta di credito, fatturazione) in modo autonomo come Titolare indipendente. I dati di pagamento non transitano mai dai server di Blero.
5.3 Modifiche ai Sub-responsabili
Blero informerà il Titolare di eventuali modifiche all'elenco dei Sub-responsabili (aggiunta o sostituzione) con almeno 30 giorni di preavviso, mediante comunicazione email all'indirizzo registrato nell'account. Il Titolare potrà opporsi alla modifica entro 15 giorni dalla comunicazione; in caso di opposizione le parti si consulteranno in buona fede per trovare una soluzione ragionevole. Qualora non sia raggiungibile un accordo, il Titolare potrà risolvere il contratto per la parte di Servizio interessata dal Sub-responsabile contestato.
5.4 Responsabilità
Blero rimane pienamente responsabile nei confronti del Titolare per l'adempimento degli obblighi dei Sub-responsabili.
6. Trasferimenti internazionali di dati
6.1 Principio generale
I Dati Personali sono trattati prevalentemente all'interno dello Spazio Economico Europeo (SEE). Il database principale (Xano) e il servizio SMS (SMSAPI) hanno sede nell'Unione Europea.
6.2 Trasferimenti verso paesi terzi
Alcuni Sub-responsabili (Vercel, Resend) hanno sede negli Stati Uniti. Tali trasferimenti avvengono esclusivamente sulla base di:
- Standard Contractual Clauses (SCC) approvate dalla Commissione Europea con Decisione di esecuzione (UE) 2021/914;
- Misure supplementari tecniche e organizzative adeguate, inclusa la crittografia dei dati in transito (TLS/HTTPS) e, ove disponibile, la crittografia a riposo.
6.3 Informazioni aggiuntive
Il Titolare può richiedere a Blero copia delle SCC sottoscritte con i Sub-responsabili scrivendo a privacy@blero.io.
7. Misure di sicurezza
Blero adotta le seguenti misure tecniche e organizzative ai sensi dell'art. 32 GDPR:
7.1 Misure tecniche
- Crittografia in transito: HTTPS/TLS su tutte le comunicazioni tra client, frontend e backend.
- Autenticazione sicura: hash bcrypt per le password utente; hash SHA-256 con salt dedicato per API key e chiavi staff.
- Gestione sessioni: JWT con scadenza 24 ore; sessione singola per chiave staff (single session enforcement).
- Isolamento multi-tenant: ogni query al database è filtrata per
account_id, impedendo l'accesso a dati di altri ristoranti. - Rate limiting: limiti configurabili per endpoint, con soglie specifiche per le API pubbliche di booking (100 req/min per IP).
- Protezione anti-abuso SMS: limite giornaliero di invio SMS per numero di telefono; codici OTP con scadenza temporale e numero massimo di tentativi.
- Token sicuri: i token di cancellazione e modifica prenotazione sono generati tramite hash SHA-256 e non contengono dati personali.
- Sanitizzazione input: validazione e sanitizzazione di tutti gli input utente; CORS configurato.
- Anonimizzazione automatica: cron job GDPR che anonimizza i dati dei clienti alla scadenza del periodo di conservazione configurato dal Titolare.
7.2 Misure organizzative
- Accesso ai sistemi di produzione limitato al personale strettamente necessario.
- Revisione periodica delle autorizzazioni di accesso.
- Formazione del personale in materia di protezione dei dati.
- Procedure documentate di gestione degli incidenti di sicurezza.
8. Violazione dei Dati Personali (Data Breach)
8.1 Notifica
Blero notificherà al Titolare qualsiasi Violazione dei Dati Personali senza ingiustificato ritardo e, ove possibile, entro 48 ore dal momento in cui ne sia venuto a conoscenza. La notifica sarà inviata all'indirizzo email dell'account del Titolare e conterrà:
- La natura della violazione, incluse, ove possibile, le categorie e il numero approssimativo di Interessati coinvolti;
- Il nome e i dati di contatto del punto di contatto presso il quale ottenere maggiori informazioni;
- Le probabili conseguenze della violazione;
- Le misure adottate o proposte per porre rimedio alla violazione e attenuarne i possibili effetti negativi.
8.2 Assistenza
Blero assisterà il Titolare nell'adempimento degli obblighi di notifica di cui agli artt. 33 e 34 GDPR, fornendo le informazioni ragionevolmente disponibili sulla violazione.
8.3 Documentazione
Blero documenterà qualsiasi Violazione dei Dati Personali, compresi i fatti relativi alla violazione, i suoi effetti e i provvedimenti adottati, mediante registrazione nei log di sistema (webhook_logs).
9. Diritti degli Interessati
9.1 Assistenza
Blero assisterà il Titolare, mediante misure tecniche e organizzative adeguate, nel soddisfare le richieste degli Interessati relative all'esercizio dei diritti previsti dagli artt. 15-22 GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).
9.2 Procedura
Qualora Blero riceva direttamente una richiesta da un Interessato relativa ai dati trattati per conto del Titolare, Blero ne informerà prontamente il Titolare e non darà seguito alla richiesta autonomamente, salvo autorizzazione del Titolare o obbligo di legge.
9.3 Funzionalità della piattaforma
La piattaforma Blero offre al Titolare strumenti per la gestione dei dati dei clienti, tra cui: visualizzazione, modifica e cancellazione dei record cliente; esportazione dei dati; configurazione del periodo di conservazione con pulizia automatica.
10. Audit e ispezioni
10.1 Informazioni
Blero metterà a disposizione del Titolare le informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi previsti dall'art. 28 GDPR e dal presente DPA.
10.2 Audit
Il Titolare, o un revisore terzo da esso incaricato (che non sia un concorrente di Blero), ha il diritto di condurre verifiche, previo preavviso scritto di almeno 30 giorni, in orario lavorativo e con modalità che non compromettano la sicurezza o la disponibilità del Servizio per gli altri utenti. Il Titolare sosterrà i costi dell'audit, salvo che l'audit rilevi una non conformità materiale di Blero.
10.3 Audit aggregati
Qualora più Titolari richiedano audit nello stesso periodo, Blero potrà soddisfare tali richieste mediante un unico audit condotto da un revisore terzo indipendente, condividendo i risultati con i Titolari richiedenti, fatte salve le esigenze di riservatezza.
11. Restituzione e cancellazione dei dati
11.1 Durante il rapporto contrattuale
Il Titolare può in qualsiasi momento esportare i propri dati attraverso le funzionalità della piattaforma o richiedendo assistenza a Blero.
11.2 Alla cessazione del rapporto
Alla cessazione dell'utilizzo del Servizio (cancellazione dell'account):
- Blero cancellerà tutti i Dati Personali trattati per conto del Titolare entro 30 giorni dalla cessazione, salvo obblighi di conservazione previsti dal diritto dell'Unione o degli Stati membri.
- Su richiesta del Titolare, formulata prima della cessazione, Blero fornirà una copia dei dati in formato esportabile.
11.3 Certificazione
Su richiesta del Titolare, Blero fornirà conferma scritta dell'avvenuta cancellazione dei dati.
12. Responsabilità
12.1 Responsabilità di Blero
Blero è responsabile nei confronti del Titolare per i danni causati dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificamente diretti ai Responsabili del trattamento o se ha agito in modo difforme o contrario alle istruzioni legittime del Titolare.
12.2 Limitazione
La responsabilità complessiva di Blero nei confronti del Titolare ai sensi del presente DPA è soggetta alle limitazioni previste nei Termini di Servizio (Sezione 11).
13. Disposizioni finali
13.1 Prevalenza
In caso di conflitto tra il presente DPA e i Termini di Servizio, prevalgono le disposizioni del presente DPA per quanto riguarda il trattamento dei Dati Personali.
13.2 Modifiche
Blero può modificare il presente DPA per conformarsi a modifiche normative o per riflettere cambiamenti nel Servizio. Le modifiche sostanziali saranno comunicate al Titolare con almeno 30 giorni di preavviso via email. Il proseguimento nell'utilizzo del Servizio dopo l'entrata in vigore delle modifiche costituisce accettazione delle nuove condizioni.
13.3 Legge applicabile
Il presente DPA è regolato dalla legge italiana. Per qualsiasi controversia è competente il foro indicato nei Termini di Servizio.
13.4 Contatti
Per qualsiasi richiesta relativa al presente DPA è possibile scrivere a privacy@blero.io.
Allegato A — Istruzioni di trattamento
Le istruzioni di trattamento del Titolare sono documentate nei seguenti strumenti:
- Termini di Servizio — definiscono l'ambito generale del Servizio.
- Configurazione del ristorante — le impostazioni definite dal Titolare nel pannello di amministrazione (orari, notifiche, privacy, conservazione dati, consenso marketing, no-show prevention).
- Il presente DPA — definisce le condizioni specifiche del trattamento.
Ogni modifica alla configurazione del ristorante da parte del Titolare costituisce un aggiornamento delle istruzioni di trattamento.