Home Come funziona Prezzi E-commerce
Accedi
Accordo Trattamento Dati

Data Processing Agreement

Accordo sul Trattamento dei Dati Personali ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (GDPR)

Ultimo aggiornamento: 29 Marzo 2026

Il presente Accordo sul Trattamento dei Dati ("DPA") regola il trattamento dei dati personali effettuato da SOLIDA Digital Advertising SRL ("Dresium", "Responsabile del Trattamento") per conto del Cliente ("Titolare del Trattamento") nell'ambito dell'utilizzo del servizio Dresium Virtual Try-On. Questo accordo integra e fa parte dei Termini di Servizio di Dresium.

1 Definizioni

Ai fini del presente Accordo, si applicano le seguenti definizioni:

  • "Titolare del Trattamento" o "Cliente": la persona fisica o giuridica che utilizza il servizio Dresium sul proprio e-commerce e determina le finalità del trattamento dei dati dei propri clienti finali
  • "Responsabile del Trattamento" o "Dresium": SOLIDA Digital Advertising SRL, che tratta i dati personali per conto del Titolare
  • "Sub-Responsabile": terza parte incaricata da Dresium per svolgere specifiche attività di trattamento
  • "Dati Personali": qualsiasi informazione riguardante una persona fisica identificata o identificabile
  • "Interessato": la persona fisica i cui dati personali sono oggetto di trattamento (cliente finale dell'e-commerce)
  • "Violazione dei Dati" (Data Breach): violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati personali
  • "GDPR": Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio

2 Oggetto e Durata

2.1 Oggetto

Il presente DPA disciplina il trattamento dei dati personali che Dresium effettua in qualità di Responsabile del Trattamento per conto del Cliente, nell'ambito dell'erogazione del servizio di Virtual Try-On tramite plugin WordPress/WooCommerce ed estensione browser.

2.2 Durata

Il presente Accordo ha effetto dalla data di attivazione del servizio Dresium e rimane in vigore per tutta la durata del rapporto contrattuale tra le parti. Gli obblighi relativi alla riservatezza e alla protezione dei dati sopravvivono alla cessazione del rapporto.

3 Natura del Trattamento

3.1 Finalità del trattamento

Dresium tratta i dati personali esclusivamente per:

  • Erogare il servizio di Virtual Try-On (generazione di immagini AI)
  • Gestire l'autenticazione e le sessioni utente
  • Conservare le immagini generate nella galleria personale dell'utente (su richiesta)
  • Fornire supporto tecnico e assistenza
  • Generare statistiche aggregate anonime sull'utilizzo del servizio

3.2 Tipi di dati personali trattati

CategoriaTipologia di DatiFinalità
Dati identificativi Nome, cognome, indirizzo e-mail Creazione account, autenticazione
Immagini Fotografie caricate dall'utente Generazione Virtual Try-On
Contenuto generato Immagini e video prodotti dall'AI Fruizione del servizio
Dati tecnici Indirizzo IP, user agent, timestamp Sicurezza, logging

3.3 Categorie di interessati

  • Clienti finali: utenti che utilizzano il servizio Virtual Try-On sui siti e-commerce dei merchant
  • Merchant: titolari di e-commerce che integrano il plugin Dresium

Nota importante: Dresium non tratta dati di categorie particolari (dati sensibili) ai sensi dell'art. 9 GDPR. Le fotografie vengono elaborate esclusivamente per la funzionalità di Virtual Try-On e non per finalità biometriche di identificazione.

4 Obblighi del Responsabile del Trattamento

Dresium, in qualità di Responsabile del Trattamento, si impegna a:

  • Trattare i dati solo su istruzione documentata del Titolare, salvo che il diritto dell'Unione o degli Stati membri cui è soggetto il Responsabile non gli imponga di procedere diversamente
  • Garantire la riservatezza assicurando che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza
  • Adottare le misure di sicurezza richieste dall'articolo 32 del GDPR
  • Rispettare le condizioni per il ricorso a sub-responsabili di cui all'articolo 28, paragrafi 2 e 4
  • Assistere il Titolare nel garantire il rispetto degli obblighi relativi alla sicurezza, alle violazioni, alla valutazione d'impatto e alla consultazione preventiva
  • Cancellare o restituire tutti i dati personali al termine della prestazione dei servizi, salvo obblighi di legge
  • Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi e contribuire alle attività di revisione

5 Sub-Responsabili Autorizzati

Il Titolare autorizza Dresium a ricorrere ai seguenti sub-responsabili per l'erogazione del servizio:

Google AI (Gemini)

Fornitore: Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA

Attività: Generazione immagini AI per Virtual Try-On

Dati trattati: Fotografie utente, immagini prodotto

Data Processing Addendum | Privacy Policy

xAI (Grok)

Fornitore: xAI Corp., USA

Attività: Generazione immagini e video AI per Virtual Try-On

Dati trattati: Fotografie utente, immagini prodotto

Terms of Service | Privacy Policy

Anthropic (Claude)

Fornitore: Anthropic PBC, 548 Market St, San Francisco, CA 94104, USA

Attività: Agente AI per supporto clienti

Dati trattati: Messaggi chat e contesto conversazione (nessuna fotografia)

Commercial Terms | Privacy Policy

Stripe

Fornitore: Stripe, Inc., 354 Oyster Point Blvd, South San Francisco, CA 94080, USA

Attività: Elaborazione pagamenti

Dati trattati: Dati di pagamento (Stripe agisce come titolare autonomo)

Data Processing Agreement | Privacy Policy

5.1 Modifica dei sub-responsabili

Dresium informerà il Titolare di eventuali modifiche all'elenco dei sub-responsabili con un preavviso di 30 giorni mediante comunicazione via e-mail. Il Titolare può opporsi alla nomina di un nuovo sub-responsabile entro 15 giorni dalla comunicazione, fornendo motivazioni ragionevoli e documentate. In assenza di opposizione, il consenso si intende accordato.

6 Trasferimenti Internazionali

Alcuni sub-responsabili hanno sede al di fuori dello Spazio Economico Europeo. I trasferimenti di dati verso paesi terzi avvengono nel rispetto del Capo V del GDPR, attraverso:

  • Data Privacy Framework (DPF) UE-USA: per i fornitori certificati (Google, Stripe)
  • Clausole Contrattuali Standard (SCC): adottate con Decisione della Commissione Europea 2021/914
  • Misure supplementari: crittografia end-to-end, pseudonimizzazione ove applicabile, valutazione del rischio del trasferimento (TIA)

Garanzia: Dresium si impegna a non trasferire dati personali verso paesi terzi in assenza di adeguate garanzie ai sensi degli articoli 44-49 del GDPR.

7 Misure di Sicurezza Tecniche e Organizzative

Ai sensi dell'art. 32 del GDPR, Dresium implementa le seguenti misure di sicurezza:

7.1 Misure tecniche

  • Crittografia in transito: TLS 1.3 per tutte le comunicazioni
  • Crittografia a riposo: AES-256 per i dati memorizzati
  • Autenticazione: OAuth2/OpenID Connect con supporto MFA
  • Controllo accessi: RBAC (Role-Based Access Control) con principio del minimo privilegio
  • Logging e monitoraggio: registrazione degli accessi e delle operazioni sui dati
  • Backup: copie di sicurezza giornaliere con crittografia
  • Isolamento dati: separazione logica dei dati per tenant

7.2 Misure organizzative

  • Policy interne: procedure documentate per la gestione dei dati
  • Formazione: training periodico del personale su privacy e sicurezza
  • Accordi di riservatezza: NDA con tutti i dipendenti e collaboratori
  • Gestione incidenti: procedure per la rilevazione e gestione delle violazioni
  • Business continuity: piani di continuità operativa e disaster recovery

8 Violazione dei Dati Personali (Data Breach)

8.1 Notifica al Titolare

In caso di violazione dei dati personali, Dresium si impegna a:

  • Notificare il Titolare senza ingiustificato ritardo e comunque entro 48 ore dalla scoperta della violazione
  • Fornire tutte le informazioni necessarie affinché il Titolare possa adempiere all'obbligo di notifica all'Autorità di controllo (art. 33 GDPR)
  • Assistere il Titolare nella comunicazione agli interessati, se richiesta (art. 34 GDPR)

8.2 Contenuto della notifica

La notifica includerà, ove possibile:

  • Descrizione della natura della violazione
  • Categorie e numero approssimativo di interessati coinvolti
  • Categorie e numero approssimativo di registrazioni di dati coinvolte
  • Probabili conseguenze della violazione
  • Misure adottate o proposte per porre rimedio e attenuare gli effetti negativi

9 Assistenza per i Diritti degli Interessati

Dresium assiste il Titolare nel rispondere alle richieste degli interessati relative all'esercizio dei diritti previsti dagli articoli 15-22 del GDPR:

  • Accesso: fornire copia dei dati trattati
  • Rettifica: correggere dati inesatti
  • Cancellazione: eliminare i dati ("diritto all'oblio")
  • Limitazione: limitare il trattamento
  • Portabilità: esportare i dati in formato strutturato
  • Opposizione: cessare il trattamento

Le richieste saranno gestite entro 15 giorni lavorativi dalla ricezione. Per richieste complesse, Dresium informerà tempestivamente il Titolare dei tempi necessari.

10 Audit e Verifiche

Dresium mette a disposizione del Titolare le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA e contribuisce alle attività di revisione, comprese le ispezioni:

  • Documentazione: su richiesta, Dresium fornirà report sulle misure di sicurezza implementate
  • Audit in loco: il Titolare può richiedere un audit con preavviso di almeno 30 giorni, a proprie spese
  • Audit di terze parti: Dresium può mettere a disposizione certificazioni o report di audit indipendenti (SOC 2, ISO 27001, ove disponibili)

Limitazioni: Gli audit non devono compromettere la sicurezza o la riservatezza dei dati di altri clienti. L'auditor deve sottoscrivere un accordo di riservatezza.

11 Restituzione e Cancellazione dei Dati

Al termine del rapporto contrattuale, su scelta del Titolare:

  • Restituzione: Dresium restituirà tutti i dati personali in formato strutturato e di uso comune (JSON, CSV)
  • Cancellazione: Dresium cancellerà definitivamente tutti i dati personali entro 30 giorni dalla cessazione del servizio

Fanno eccezione i dati che Dresium è tenuta a conservare per obblighi di legge (es. documentazione fiscale: 10 anni).

Su richiesta, Dresium fornirà certificazione scritta dell'avvenuta cancellazione.

12 Disposizioni Finali

12.1 Legge applicabile e foro competente

Il presente Accordo è regolato dalla legge italiana. Per qualsiasi controversia derivante dall'interpretazione o esecuzione del presente DPA sarà competente in via esclusiva il Foro di Palermo.

12.2 Modifiche

Dresium può modificare il presente DPA per adeguarlo a modifiche normative o per migliorare il servizio. Le modifiche saranno comunicate con un preavviso di almeno 30 giorni. La prosecuzione dell'utilizzo del servizio dopo tale periodo costituisce accettazione delle modifiche.

12.3 Contatti

SOLIDA Digital Advertising SRL

Via M. Stabile 160 — 90139 Palermo (PA), Italia

P.IVA IT06962150824

E-mail DPO: dpo@dresium.com

E-mail Privacy: privacy@dresium.com

PEC: solidadigitaladvertisingsrl@pec.it

Data Processing Agreement redatto in conformità all'art. 28 del Regolamento (UE) 2016/679 (GDPR)
© 2026 Dresium — SOLIDA Digital Advertising SRL — Tutti i diritti riservati