Accordo sul Trattamento dei Dati (DPA)

Ultimo aggiornamento: 29 maggio 2026

1. Parti

Il presente Accordo sul Trattamento dei Dati ("DPA") è stipulato tra:

  • Costplus OÜ, società registrata in Estonia, con sede legale in Pärnu mnt 139b, 11317 Tallinn, Estonia, numero di registrazione societaria 16936614 ("Responsabile del Trattamento, noi, ci, o Cost+"); e
  • il merchant che ha installato l'applicazione Shopify Cost+ Checkout, o che si è altrimenti integrato con il servizio Cost+ Checkout, accettando i nostri Termini di Servizio all'indirizzo https://costplus.io/shopify-app-terms.html ("Titolare del Trattamento, Merchant, o Lei"),

ciascuno una "Parte e congiuntamente le Parti".

Il presente DPA costituisce parte integrante dei Termini di Servizio tra le Parti ed è soggetto agli stessi. In caso di conflitto tra il presente DPA e i Termini di Servizio in merito al trattamento dei Dati Personali, prevale il presente DPA.

2. Definizioni

Salvo diversa definizione, i termini in maiuscolo hanno il significato attribuito loro dal Regolamento (UE) 2016/679 ("GDPR"). Per comodità:

  • "Dati Personali" ha il significato di cui all'articolo 4(1) GDPR.
  • "Trattamento" ha il significato di cui all'articolo 4(2) GDPR.
  • "Interessato" indica un cliente o utente finale di Shopify i cui Dati Personali sono trattati nell'ambito del presente DPA.
  • "Sub-responsabile del Trattamento" indica qualsiasi terza parte incaricata dal Responsabile del Trattamento di trattare Dati Personali per conto del Titolare del Trattamento.
  • "Servizi" indica il servizio Cost+ Checkout (l'app Shopify, le API associate e le pagine di checkout ospitate) fornito dal Responsabile del Trattamento al Titolare del Trattamento ai sensi dei Termini di Servizio.

3. Oggetto, natura, finalità e durata del trattamento

3.1 Oggetto

Il Responsabile del Trattamento tratta Dati Personali relativi ai clienti del Titolare del Trattamento al fine di fornire i Servizi. Cost+ Checkout è uno strumento di orchestrazione del funnel che indirizza gli acquirenti provenienti da punti di accesso controllati dal Merchant (ad esempio campagne email, landing page, annunci sui social media o link diretti allo store Shopify) attraverso un'esperienza di checkout unica e uniforme, e crea il corrispondente ordine nello store Shopify del Merchant dopo il pagamento.

3.2 Natura e finalità del trattamento

Il Responsabile del Trattamento tratta i Dati Personali per le seguenti finalità:

  • Raccolta delle informazioni di contatto e di spedizione dell'acquirente durante il checkout;
  • Calcolo delle imposte applicabili e dei costi di spedizione tramite i servizi di calcolo fiscale e di spedizione di Shopify;
  • Creazione del corrispondente ordine Shopify al completamento del pagamento da parte dell'acquirente;
  • Elaborazione dei pagamenti tramite l'infrastruttura di pagamento di Cost+ o il provider di pagamento configurato dal Merchant;
  • Gestione di rimborsi, cancellazioni ed eventi di evasione ordini avviati dal Merchant nel proprio pannello di amministrazione Shopify, riportandoli nella configurazione Cost+ Checkout del Merchant;
  • Risposta alle richieste degli Interessati inoltrate da Shopify tramite i webhook GDPR standard (customers/data_request, customers/redact, shop/redact);
  • Fornitura di analisi rivolte al merchant derivate da dati di sessione aggregati e pseudonimizzati.

3.3 Durata

Il Responsabile del Trattamento tratta i Dati Personali per tutta la durata dei Servizi e li conserva per i periodi indicati nella Sezione 9 di seguito.

4. Tipologie di Dati Personali e categorie di Interessati

4.1 Tipologie di Dati Personali

  • Nome e cognome;
  • Indirizzo email;
  • Numero di telefono (se fornito);
  • Indirizzo di spedizione (via, città, codice postale, paese, seconda riga dell'indirizzo opzionale, provincia/stato);
  • Indirizzo di fatturazione (stessi campi);
  • Dettagli dell'ordine, inclusi articoli, identificatori di prodotto, quantità, prezzi, codici sconto applicati, totale ordine, valuta e stato dell'evasione;
  • Metadati relativi al pagamento (token o riferimento del metodo di pagamento, identificatori di autorizzazione e acquisizione) — si precisa che i numeri di conto primario completi (PAN) non entrano mai nei sistemi del Responsabile del Trattamento; vengono tokenizzati dall'infrastruttura di pagamento conforme PCI DSS di Cost+ o dal provider di pagamento configurato dal Merchant.

4.2 Categorie di Interessati

  • I clienti (acquirenti) del Titolare del Trattamento che completano il checkout tramite Cost+ Checkout.

5. Obblighi del Responsabile del Trattamento

Il Responsabile del Trattamento dovrà:

5.1 Istruzioni documentate

Trattare i Dati Personali solo sulla base delle istruzioni documentate del Titolare del Trattamento, anche con riguardo ai trasferimenti di Dati Personali verso un paese terzo o un'organizzazione internazionale, a meno che non sia obbligato a farlo dal diritto dell'Unione o dello Stato membro cui è soggetto il Responsabile del Trattamento. In tal caso, il Responsabile del Trattamento informerà il Titolare del Trattamento di tale obbligo legale prima di procedere al trattamento, salvo che tale normativa lo vieti per rilevanti motivi di interesse pubblico. Le Parti concordano che i Termini di Servizio, il presente DPA e l'utilizzo dei Servizi da parte del Titolare del Trattamento tramite le opzioni di configurazione standard costituiscono istruzioni documentate ai sensi dell'articolo 28(3)(a) GDPR.

5.2 Riservatezza

Assicurare che le persone autorizzate al trattamento dei Dati Personali abbiano assunto un impegno di riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

5.3 Misure di sicurezza

Adottare misure tecniche e organizzative adeguate a garantire un livello di sicurezza appropriato al rischio, come richiesto dall'articolo 32 GDPR. Una sintesi di tali misure è riportata nell'Allegato 1. Il Titolare del Trattamento prende atto che l'Allegato 1 potrà essere aggiornato periodicamente per riflettere i miglioramenti del livello di sicurezza del Responsabile del Trattamento e che eventuali aggiornamenti non comporteranno una riduzione sostanziale del livello di sicurezza.

5.4 Sub-responsabili del Trattamento

Ricorrere a Sub-responsabili del Trattamento esclusivamente alle condizioni della Sezione 7 di seguito.

5.5 Assistenza nell'esercizio dei diritti degli Interessati

Tenuto conto della natura del trattamento, assistere il Titolare del Trattamento mediante misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per dare seguito all'obbligo del Titolare del Trattamento di rispondere alle richieste di esercizio dei diritti degli Interessati ai sensi del Capitolo III del GDPR.

5.6 Assistenza per altri obblighi del Titolare del Trattamento

Assistere il Titolare del Trattamento nel garantire il rispetto degli obblighi ai sensi degli articoli da 32 a 36 GDPR, tenuto conto della natura del trattamento e delle informazioni disponibili al Responsabile del Trattamento.

5.7 Restituzione o cancellazione al termine dei Servizi

A scelta del Titolare del Trattamento, cancellare o restituire tutti i Dati Personali al Titolare del Trattamento al termine della prestazione dei Servizi relativi al trattamento, e cancellare le copie esistenti, a meno che il diritto dell'Unione o dello Stato membro richieda la conservazione dei Dati Personali. Il Responsabile del Trattamento cancellerà i Dati Personali entro 90 giorni dalla fine dei Servizi, salvo che sia richiesto un periodo di conservazione più lungo ai sensi della Sezione 9.

5.8 Registro delle attività di trattamento

Tenere un registro scritto di tutte le categorie di attività di trattamento svolte per conto del Titolare del Trattamento, come richiesto dall'articolo 30(2) GDPR.

5.9 Audit

Mettere a disposizione del Titolare del Trattamento tutte le informazioni necessarie a dimostrare la conformità all'articolo 28 GDPR, e consentire e contribuire ad audit, incluse ispezioni, condotti dal Titolare del Trattamento o da un altro revisore incaricato dallo stesso. Il Titolare del Trattamento sosterrà eventuali costi degli audit che vadano oltre la fornitura delle informazioni standard già disponibili tramite i Servizi. Il Titolare del Trattamento darà ragionevole preavviso (almeno 30 giorni), condurrà gli audit durante il normale orario lavorativo e non perturbherà le attività del Responsabile del Trattamento.

6. Obblighi del Titolare del Trattamento

Il Titolare del Trattamento garantisce che:

  • Ha stabilito una valida base giuridica ai sensi dell'articolo 6 GDPR (e, ove applicabile, dell'articolo 9 GDPR) per tutti i Dati Personali messi a disposizione del Responsabile del Trattamento tramite i Servizi;
  • Ha fornito agli Interessati tutte le informazioni sulla trasparenza richieste dagli articoli 13 e 14 GDPR, incluso il fatto che Cost+ Checkout è utilizzato per il trattamento dei dati di checkout e degli ordini;
  • Ha configurato correttamente Cost+ Checkout (incluse le regole di flusso, i paesi ammessi, i metodi di pagamento e qualsiasi script o blocco personalizzato) in modo che i Servizi trattino esclusivamente i Dati Personali necessari per le finalità lecite del Merchant;
  • Risponderà alle richieste degli Interessati inoltrate dal Responsabile del Trattamento entro i termini previsti dalla legge.

7. Sub-responsabili del Trattamento

7.1 Autorizzazione generale

Il Titolare del Trattamento fornisce un'autorizzazione generale al Responsabile del Trattamento a ricorrere a Sub-responsabili del Trattamento per l'esecuzione dei Servizi. L'elenco degli attuali Sub-responsabili è riportato nell'Allegato 2 e viene aggiornato periodicamente.

7.2 Comunicazione delle modifiche

Il Responsabile del Trattamento informerà il Titolare del Trattamento di qualsiasi modifica prevista all'elenco dei Sub-responsabili (aggiunta o sostituzione) con almeno 30 giorni di preavviso, consentendo al Titolare del Trattamento di sollevare obiezioni per ragioni fondate. Se il Titolare del Trattamento solleva obiezioni e le Parti non riescono a concordare una soluzione entro 30 giorni, il Titolare del Trattamento potrà recedere dalla parte dei Servizi interessata per convenienza.

7.3 Obblighi a cascata

Il Responsabile del Trattamento imporrà a ogni Sub-responsabile del Trattamento, tramite contratto, gli stessi obblighi in materia di protezione dei dati previsti dal presente DPA, e rimarrà pienamente responsabile nei confronti del Titolare del Trattamento per l'adempimento degli obblighi di ciascun Sub-responsabile.

8. Trasferimenti internazionali di dati

8.1 Hosting primario

Il Responsabile del Trattamento ospita i Servizi nell'Unione Europea e tratta i Dati Personali principalmente all'interno dell'UE/SEE. Alcuni Sub-responsabili del Trattamento autorizzati (ad esempio, alcuni partner di acquiring di pagamenti) sono situati al di fuori del SEE; in tali casi, il Responsabile del Trattamento assicura che il trasferimento sia protetto da una decisione di adeguatezza o da Clausole Contrattuali Standard come indicato nella Sezione 8.2, e identifica i Sub-responsabili rilevanti nell'Allegato 2.

8.2 Trasferimenti verso Sub-responsabili del Trattamento

Qualora un Sub-responsabile del Trattamento sia situato al di fuori dell'UE/SEE, il Responsabile del Trattamento garantisce che i trasferimenti siano coperti da una decisione di adeguatezza ai sensi dell'articolo 45 GDPR, o da Clausole Contrattuali Standard adottate dalla Commissione Europea (Modulo 2: da titolare a responsabile o Modulo 3: da responsabile a responsabile, a seconda dei casi), oppure da un altro meccanismo di trasferimento valido ai sensi del Capitolo V GDPR.

8.3 Trasferimenti successivi

Shopify agisce come titolare del trattamento indipendente con riguardo ai dati dei clienti inseriti dal Titolare del Trattamento nel proprio store Shopify. La ricezione di tali dati da parte del Responsabile del Trattamento da Shopify, e il ritorno dei dati degli ordini creati da Shopify a Shopify, sono disciplinati dai termini sulla protezione dei dati di Shopify con il Merchant e non costituiscono trasferimenti successivi ai sensi del presente DPA.

9. Conservazione e cancellazione

Il Responsabile del Trattamento conserva i Dati Personali per i seguenti periodi:

  • Dati di sessione attiva (sessioni di checkout in corso che non sono state completate): cancellati 30 giorni dopo la scadenza della sessione;
  • Dati degli ordini completati (sessioni che hanno generato un ordine Shopify): conservati per 7 anni per soddisfare i requisiti di conservazione previsti dalla normativa fiscale e contabile in Estonia e nella maggior parte delle giurisdizioni UE, poi cancellati;
  • Token di pagamento e registrazioni di autorizzazione: conservati per il periodo di conservazione del metodo di pagamento sottostante (tipicamente 7 anni);
  • Dati di log (log delle richieste, log di consegna dei webhook): conservati per 90 giorni, poi eliminati;
  • Log di audit / eventi di sicurezza: conservati per 1 anno.

Alla cessazione dei Servizi, il Responsabile del Trattamento cancellerà o restituirà i Dati Personali come indicato nella Sezione 5.7 di cui sopra, fatti salvi i periodi di conservazione imposti dalla normativa applicabile.

10. Notifica di violazione dei dati

Il Responsabile del Trattamento notificherà al Titolare del Trattamento, senza ingiustificato ritardo e comunque entro 48 ore, qualsiasi violazione dei Dati Personali che interessi i dati del Titolare del Trattamento. La notifica conterrà almeno le informazioni richieste dall'articolo 33(3) GDPR nella misura in cui siano disponibili, e sarà aggiornata man mano che emergeranno ulteriori informazioni.

11. Responsabilità

La responsabilità delle Parti ai sensi del presente DPA è soggetta alle disposizioni sulla responsabilità dei Termini di Servizio, fatta eccezione per il fatto che qualsiasi limitazione di responsabilità nei Termini di Servizio non esclude né limita la responsabilità per qualsiasi materia per la quale tale esclusione o limitazione sarebbe illegale ai sensi della normativa applicabile in materia di protezione dei dati.

12. Legge applicabile e giurisdizione

Il presente DPA è disciplinato dalle leggi dell'Estonia, senza tener conto delle relative norme sul conflitto di leggi. Le Parti si sottomettono alla giurisdizione esclusiva dei tribunali della Contea di Harju, Estonia, per qualsiasi controversia derivante dal presente DPA o ad esso connessa, fatte salve eventuali disposizioni imperative di legge in materia di giurisdizione su controversie relative a consumatori o a Interessati.

13. Durata e risoluzione

Il presente DPA entra in vigore alla data in cui il Titolare del Trattamento installa o utilizza per la prima volta i Servizi e si risolve automaticamente alla cessazione dei Termini di Servizio. Le clausole che per loro natura devono sopravvivere alla risoluzione (incluse le Sezioni 5.7, 9, 10 e 12) rimarranno in vigore.

14. Accordo integrale

Il presente DPA, unitamente ai Termini di Servizio all'indirizzo https://costplus.io/shopify-app-terms.html e all'Informativa sulla Privacy all'indirizzo https://costplus.io/privacy-policy.html, costituisce l'accordo integrale tra le Parti con riferimento all'oggetto del presente documento e sostituisce qualsiasi precedente intesa.

Allegato 1 — Misure tecniche e organizzative

Il Responsabile del Trattamento adotta le seguenti misure tecniche e organizzative per proteggere i Dati Personali:

Crittografia

  • Tutti i dati in transito sono crittografati tramite TLS 1.2 o superiore, con certificati gestiti tramite Let's Encrypt e rotazione automatica.
  • I token di accesso all'API Shopify e le credenziali dei provider di pagamento di terze parti sono crittografati a riposo tramite AES-256-GCM con chiavi a livello applicativo gestite tramite HashiCorp Vault Transit o un sistema equivalente di gestione delle chiavi.
  • I backup del database sono crittografati prima del trasferimento verso lo storage off-site.

Controllo degli accessi

  • L'accesso ai sistemi di produzione è limitato a un insieme definito di personale autorizzato con account individualmente identificabili, autenticazione basata su chiave SSH per l'accesso ai server e autenticazione a più fattori hardware o TOTP per le interfacce amministrative.
  • Le password dei merchant a livello applicativo sono sottoposte ad hashing tramite Argon2id con parametri memory-hard.
  • L'accesso ai Dati Personali è registrato e conservato conformemente alla Sezione 9 del DPA.

Infrastruttura

  • I Servizi sono ospitati in data center di livello Tier-III o equivalente situati all'interno dell'Unione Europea.
  • Separazione logica tra ambienti di test e di produzione; nessun dato di produzione viene utilizzato negli ambienti di sviluppo o test.
  • Aggiornamento regolare di sistemi operativi, ambienti di runtime e dipendenze di terze parti.

Personale

  • Il personale con accesso ai Dati Personali è vincolato da obblighi scritti di riservatezza che sopravvivono alla cessazione del rapporto di lavoro.
  • Formazione di onboarding e periodica sulla consapevolezza della sicurezza per tutto il personale con accesso ai Dati Personali o all'infrastruttura di produzione.

Risposta agli incidenti

  • Procedura documentata di risposta agli incidenti di sicurezza che comprende rilevamento, contenimento, indagine, notifica (inclusa quella al Titolare del Trattamento entro 48 ore ai sensi della Sezione 10) e revisione post-incidente.
  • Revisione trimestrale delle procedure di risposta agli incidenti e delle informazioni di contatto.

Prevenzione della perdita di dati

  • Controlli di accesso a livello applicativo limitati ai singoli merchant e alle singole sessioni; nessun merchant può accedere ai dati di un altro merchant tramite l'API.
  • Registro di audit di tutti gli accessi ai Dati Personali, conservato ai sensi della Sezione 9.
  • Test di ripristino periodici dei backup cifrati.

Sviluppo sicuro

  • Codice sorgente ospitato in un repository privato con revisione obbligatoria di tutte le modifiche prima del merge.
  • Scansione automatica delle dipendenze e aggiornamenti regolari delle librerie di terze parti.
  • Penetration testing almeno annuale una volta che i Servizi raggiungono la disponibilità generale.

Allegato 2 — Sub-responsabili autorizzati

Alla data di ultimo aggiornamento del presente DPA, i seguenti Sub-responsabili sono autorizzati a trattare Dati Personali per conto del Titolare:

Sub-responsabile del TrattamentoFinalitàUbicazioneMeccanismo di trasferimento
OVH SASHosting infrastruttura cloud (calcolo, storage, rete) e backup cifrati fuori sedeFrancia (UE)Intra-EEA
SMTP2GOE-mail transazionali e di notificaEUIntra-EEA
Cost+ infrastruttura di pagamento (Costplus OÜ)Tokenizzazione, autorizzazione, acquisizione e rimborso dei pagamentiEUIntra-EEA
Ginger PaymentsGateway di pagamento / instradamento delle transazioniPaesi Bassi (UE)Intra-EEA
FinteqHubGateway di pagamento / orchestrazioneCipro e Lituania (UE)Intra-EEA
ComplyPayFornitore di Banking-as-a-Service (BaaS)Danimarca (UE)Intra-EEA
RapydAcquiring / elaborazione dei pagamentiUE / Regno UnitoIntra-EEA; trasferimenti verso il Regno Unito ai sensi della decisione di adeguatezza UE–Regno Unito
SHIFT4Acquiring / elaborazione dei pagamentiUE / Regno UnitoIntra-EEA; trasferimenti verso il Regno Unito ai sensi della decisione di adeguatezza UE–Regno Unito
ElavonAcquiring / elaborazione dei pagamentiUE / Regno UnitoIntra-EEA; trasferimenti verso il Regno Unito ai sensi della decisione di adeguatezza UE–Regno Unito
ClearhausAcquiring / elaborazione dei pagamentiDanimarca (UE)Intra-EEA
PayneticsAcquiring di pagamenti / emissione di moneta elettronicaBulgaria (UE)Intra-EEA
DiditVerifica dell'identità, conformità KYB / KYC / AMLStati Uniti / Spagna (UE)Clausole Contrattuali Standard (Art. 46 GDPR)

Il Responsabile manterrà una versione aggiornata di questo elenco all'indirizzo https://costplus.io/dpa/sub-processors e comunicherà al Titolare eventuali aggiunte o sostituzioni in conformità alla Sezione 7.2 del presente DPA.

Fine del Contratto di Trattamento dei Dati.