Come funziona Funzionalità Prezzi Scarica le app
IT EN
Prova gratis — 30 giorni

Accordo di Contitolarità del Trattamento dei Dati (DPA)

Versione 1.0 — Ultimo aggiornamento: 18 aprile 2026

Allegato al Contratto Esercenti tra Ritorna e l'Esercente.

Il presente accordo costituisce l'atto giuridicamente vincolante ai sensi dell'art. 26 del Regolamento (UE) 2016/679 (GDPR) per la disciplina dei rapporti di contitolarità del trattamento.

Definizioni

Nel presente accordo:

  • GDPR: Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016
  • Codice della Privacy: D.lgs. 196/2003 come modificato dal D.lgs. 101/2018
  • Contitolari o Parti: Ritorna e l'Esercente, congiuntamente
  • Interessati: i Clienti (consumatori) che utilizzano l'app Ritorna e aderiscono al programma loyalty dell'Esercente
  • Dati: i dati personali degli Interessati che sono trattati congiuntamente dalle Parti nell'ambito dei Servizi
  • Servizi: la Piattaforma Ritorna, come definita nei Termini e Condizioni d'Uso
  • Violazione di Dati: violazione della sicurezza che comporta accidentalmente o illecitamente la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai Dati (art. 4(12) GDPR)

Gli altri termini in maiuscolo hanno il significato loro attribuito nei Termini e Condizioni d'Uso (ritorna.io/terms) e nell'Informativa Privacy (ritorna.io/privacy), che costituiscono parte integrante del presente accordo.

1. Natura del rapporto di contitolarità

1.1 Qualificazione giuridica

Ritorna e l'Esercente determinano congiuntamente le finalità e i mezzi del trattamento dei Dati relativi ai Clienti che, tramite la Piattaforma, partecipano al programma loyalty presso le sedi dell'Esercente.

Le Parti sono pertanto contitolari del trattamento ai sensi dell'art. 26 GDPR, limitatamente ai trattamenti descritti nel §2.

1.2 Ambito

Il presente accordo riguarda esclusivamente i trattamenti svolti congiuntamente dalle Parti. Non riguarda:

  • trattamenti in cui Ritorna agisce come titolare autonomo (es. gestione account, analytics piattaforma, comunicazioni interne a Ritorna)
  • trattamenti in cui l'Esercente agisce come titolare autonomo al di fuori della Piattaforma (es. fatturazione, scontrinatura, videosorveglianza, trattamenti per prodotti non-loyalty)

2. Oggetto e finalità dei trattamenti congiunti

2.1 Finalità

Le Parti trattano congiuntamente i Dati per le seguenti finalità:

  1. Erogazione del programma loyalty: registrazione dei Timbri, riconoscimento dei Premi al Cliente presso le sedi dell'Esercente
  2. Gestione dell'identità del Cliente ai fini del programma (QR Code, masking, regole antifrode)
  3. Comunicazioni di servizio legate al programma loyalty (notifiche di Timbri accumulati, premi disponibili, scadenze)
  4. Analytics del programma: statistiche aggregate per l'Esercente sui propri clienti aderenti al programma
  5. Prevenzione abusi del programma loyalty

2.2 Tipologie di dati trattati congiuntamente

  • Identificativo interno del Cliente (user ID pseudonimizzato)
  • Cronologia Timbri e Riscatti presso le sedi dell'Esercente
  • Nome mascherato del Cliente (es. "Marco R***i")
  • Email mascherata
  • Ruolo nel programma (nuovo, ricorrente, premium)
  • Dati forniti dal Cliente con consenso esplicito all'Esercente (nome completo, data di nascita, preferenze alimentari)

2.3 Categorie di Interessati

Clienti (persone fisiche consumatori, di almeno 16 anni) che aderiscono al programma loyalty dell'Esercente.

2.4 Basi giuridiche

  • Erogazione del programma (finalità 1-3): esecuzione del contratto di loyalty tra Cliente, Ritorna ed Esercente (art. 6(1)(b) GDPR), cui il Cliente aderisce scaricando l'app e confermando l'adesione al programma
  • Analytics del programma (finalità 4): legittimo interesse dei Contitolari al miglioramento del servizio e all'analisi della clientela (art. 6(1)(f) GDPR)
  • Prevenzione abusi (finalità 5): legittimo interesse alla tutela dell'integrità del programma (art. 6(1)(f) GDPR)

3. Ripartizione delle responsabilità

Ai sensi dell'art. 26(1) GDPR, le Parti stabiliscono la seguente ripartizione:

3.1 Responsabilità di Ritorna (Titolare Tecnologico)

Ritorna è responsabile di:

a) Fornitura e manutenzione della infrastruttura tecnologica (app, database, API, cifratura, backup) b) Autenticazione degli utenti e gestione degli account Cliente c) Misure tecniche di sicurezza del sistema (cifratura, controllo accessi, log) d) Implementazione del sistema di masking dei dati per gli Esercenti e) Gestione dei consensi del Cliente (raccolta, audit trail, revoca) f) Notifiche tecniche di servizio al Cliente g) Prima linea per le richieste GDPR degli Interessati (vedi §4) h) Esecuzione dei trasferimenti extra-UE nei limiti descritti nell'Informativa Privacy i) Notifica al Garante delle violazioni di dati che coinvolgono l'infrastruttura (art. 33 GDPR) j) Conservazione e cancellazione dei Dati secondo le policy dichiarate k) Fornitura agli Esercenti di strumenti per adempiere ai propri obblighi GDPR (es. export dati, modalità per rispondere alle richieste degli Interessati)

3.2 Responsabilità dell'Esercente (Contitolare Operativo)

L'Esercente è responsabile di:

a) Informativa ai Clienti nel punto vendita (cartellonistica, avvisi, sito): informare i clienti dell'adesione al programma loyalty e del trattamento dei loro dati da parte sua e di Ritorna b) Gestione dello staff autorizzato (invitare, rimuovere, formare il personale sull'uso della Piattaforma) c) Uso corretto dei dati visibili: non tentare di ottenere dati oltre quanto mostrato in app, non condividere dati con terzi, rispettare le regole di masking d) Configurazione del proprio programma (soglie, premi, regole antifrode nei limiti consentiti) e) Risposta a richieste dei propri clienti relative al programma loyalty (es. "che premi posso ottenere?", "perché non ho ricevuto il timbro?"), inoltrandole a Ritorna quando richiedono accesso a dati o operazioni non disponibili dalla dashboard f) Non uso dei Dati per finalità diverse dal programma loyalty senza consenso esplicito del Cliente g) Rispetto del DPA e delle istruzioni tecniche di Ritorna h) Notifica tempestiva a Ritorna di Violazioni di Dati a propria conoscenza (entro 24 ore dalla scoperta), per consentire la valutazione congiunta e l'eventuale notifica al Garante i) Rispetto delle condizioni economiche del contratto (pagamento, fatturazione)

3.3 Responsabilità condivise

Entrambe le Parti sono responsabili di:

  • Tenere al corrente le rispettive informazioni di contatto per i Clienti
  • Cooperare in caso di richiesta GDPR complessa (es. portabilità di dati che richiedono intervento di entrambe)
  • Cooperare in caso di indagine del Garante o di altra autorità
  • Tenere registri aggiornati dei trattamenti di propria competenza (art. 30 GDPR)

4. Esercizio dei diritti degli Interessati

4.1 Punto di contatto principale

Ai sensi dell'art. 26(1) GDPR, le Parti designano Ritorna come punto di contatto principale per gli Interessati.

Gli Interessati che desiderano esercitare i propri diritti GDPR (artt. 15-22) possono rivolgersi a:

  • info@ritorna.io (canale principale, indicato nell'Informativa Privacy)
  • direttamente all'Esercente (nel qual caso l'Esercente inoltra a Ritorna ai sensi del §4.2)

Gli Interessati possono comunque scegliere liberamente con quale Contitolare esercitare i propri diritti (art. 26(3) GDPR). Nessuna delle Parti può rifiutarsi di ricevere una richiesta o pretendere che sia inoltrata all'altra parte.

4.2 Inoltro delle richieste

Se l'Esercente riceve direttamente una richiesta GDPR che non può gestire in autonomia (ad esempio perché richiede accesso a dati al di fuori della dashboard, o cancellazione completa dell'account):

  1. L'Esercente informa il Cliente che la richiesta sarà inoltrata a Ritorna per l'evasione completa
  2. L'Esercente inoltra la richiesta a Ritorna entro 5 giorni lavorativi scrivendo a info@ritorna.io con oggetto "Richiesta GDPR inoltrata da Esercente — [nome]"
  3. Ritorna gestisce la risposta entro i termini previsti dall'art. 12(3) GDPR (30 giorni + eventuali 60 aggiuntivi per casi complessi)

4.3 Richieste di rettifica di dati visibili all'Esercente

Se la richiesta riguarda dati visibili e modificabili dall'Esercente nella dashboard (es. correzione di un Timbro erroneamente assegnato), l'Esercente può gestire direttamente la rettifica tramite dashboard, informando Ritorna del cambiamento.

5. Violazioni di Dati

5.1 Notifica tra le Parti

Ciascuna Parte si impegna a notificare tempestivamente all'altra Parte qualsiasi Violazione di Dati di cui venga a conoscenza, entro 24 ore dalla scoperta.

La notifica deve includere, per quanto noto:

  • natura della violazione
  • categorie e numero approssimativo di Interessati coinvolti
  • categorie di dati coinvolti
  • conseguenze probabili
  • misure adottate o proposte

5.2 Gestione della violazione

Le Parti cooperano per:

  • Contenere la violazione
  • Valutare il rischio per gli Interessati
  • Decidere se notificare al Garante (art. 33 GDPR) entro 72 ore dalla scoperta
  • Decidere se notificare agli Interessati in caso di rischio elevato (art. 34 GDPR)
  • Documentare l'evento nei registri delle violazioni interni

5.3 Responsabilità della notifica al Garante

La notifica al Garante è effettuata, in via di principio, dalla Parte che ha il rapporto più diretto con il fatto:

  • Se la violazione riguarda l'infrastruttura di Ritorna (es. intrusione nel database, perdita di dati, malfunzionamento): notifica da Ritorna
  • Se la violazione riguarda la sfera operativa dell'Esercente (es. credenziali staff compromesse, dati comunicati a terzi in modo illecito): notifica dall'Esercente

Le Parti possono comunque accordarsi per una notifica congiunta o per una gestione coordinata caso per caso.

6. Misure di sicurezza

6.1 Misure tecniche di Ritorna

Ritorna attua le misure tecniche e organizzative descritte nell'Informativa Privacy §9 (cifratura in transito e a riposo, hash salato password, token firmati ES256, audit log immutabile, backup giornalieri cifrati).

6.2 Misure operative dell'Esercente

L'Esercente si impegna a:

a) Proteggere le credenziali di accesso alla dashboard e dell'app staff b) Autorizzare solo personale necessario (principio del least privilege) c) Formare lo staff sulle regole di uso dei dati visibili (masking, divieto di screenshot non autorizzati, ecc.) d) Usare dispositivi sicuri per accedere alla Piattaforma (blocco schermo, antivirus aggiornato se usati PC) e) Rinnovare le credenziali periodicamente e dopo cambi di personale f) Non condividere account tra più persone fisiche g) Segnalare tempestivamente smarrimenti, furti o compromissioni di dispositivi

6.3 Sub-responsabili

Ritorna può avvalersi dei Responsabili del trattamento elencati nell'Informativa Privacy §5.1 (Supabase, Google, Apple, Cloudflare) e di eventuali altri fornitori che saranno comunicati con almeno 30 giorni di preavviso.

L'Esercente, nell'adesione al presente DPA, autorizza Ritorna ad avvalersi dei Responsabili elencati, che sono vincolati da contratti conformi all'art. 28 GDPR.

L'Esercente può avvalersi a sua volta di propri responsabili del trattamento (es. consulenti, fornitori IT) per la gestione dei dati che gli pervengono dalla dashboard, assumendosi piena responsabilità ai sensi del GDPR.

7. Trasferimenti extra-UE

I trasferimenti di Dati extra-UE avvengono esclusivamente tramite Ritorna, limitatamente ai Responsabili del trattamento elencati nell'Informativa Privacy §5.4.

L'Esercente non effettua autonomamente trasferimenti extra-UE dei Dati ricevuti tramite la Piattaforma. Qualora intendesse farlo, dovrà comunicarlo preventivamente a Ritorna e assumersi piena responsabilità ai sensi del Capo V GDPR.

8. Conservazione e cancellazione

I periodi di conservazione dei Dati sono quelli indicati nell'Informativa Privacy §6.

Alla cancellazione dell'account di un Cliente:

  • Ritorna anonimizza i dati identificativi entro 30 giorni
  • I Timbri e la cronologia del Cliente presso il locale dell'Esercente sono anonimizzati nei sistemi di Ritorna
  • L'Esercente non deve conservare copie locali dei Dati ricevuti tramite la Piattaforma, salvo obblighi di legge (es. contestazioni pendenti)

Alla cessazione del rapporto tra Ritorna e l'Esercente:

  • Ritorna mette a disposizione dell'Esercente un export dei Dati di sua pertinenza per 90 giorni
  • Dopo 90 giorni, i Dati sono anonimizzati o cancellati
  • L'Esercente cancella eventuali copie locali ricevute

9. Informazione degli Interessati (art. 26(2) GDPR)

Ai sensi dell'art. 26(2) GDPR, gli elementi essenziali del presente accordo sono resi disponibili agli Interessati tramite:

  • Informativa Privacy di Ritorna, sezione §4 (Cosa vedono gli esercenti) e §14 (Note specifiche per esercenti)
  • Cartellonistica/avviso nel locale dell'Esercente (a cura dell'Esercente ai sensi del §3.2(a))
  • Accesso completo al presente DPA su richiesta a info@ritorna.io

10. Reciproca indemnità e responsabilità

10.1 Principio generale

Ciascuna Parte è responsabile nei confronti degli Interessati e del Garante per le violazioni del GDPR imputabili a sé, secondo i principi dell'art. 26(3) GDPR (responsabilità solidale verso l'Interessato) e dell'art. 82 GDPR (diritto al risarcimento).

10.2 Indennizzo reciproco

Ciascuna Parte indenizza l'altra per i danni, le sanzioni e i costi (inclusi legali ragionevoli) derivanti da violazioni del GDPR imputabili alla propria condotta, salvo i limiti di responsabilità previsti nei Termini e Condizioni d'Uso Parte B.

10.3 Responsabilità solidale

Resta ferma la responsabilità solidale dei Contitolari verso l'Interessato ai sensi dell'art. 26(3) GDPR: il Cliente può agire contro entrambe le Parti. La Parte che risarcisce integralmente ha diritto di regresso nei confronti dell'altra in misura proporzionale alla rispettiva responsabilità.

11. Durata e modifiche

11.1 Durata

Il presente DPA è efficace per tutta la durata del Contratto Esercenti e, successivamente, per il periodo necessario all'adempimento degli obblighi residuali (es. conservazione dei log, cancellazione dei Dati).

11.2 Modifiche

Modifiche al presente DPA possono essere necessarie in caso di:

  • evoluzione della normativa applicabile (es. nuove linee guida del Garante o EDPB)
  • modifiche significative della Piattaforma
  • aggiunta di nuove categorie di trattamenti

Le modifiche sono comunicate all'Esercente con almeno 60 giorni di preavviso via email e dashboard. L'Esercente può recedere dal Contratto Esercenti se non le accetta, entro 30 giorni dall'entrata in vigore.

12. Legge applicabile e foro

Il presente DPA è regolato dalla legge italiana. Per ogni controversia, il foro esclusivo è il Foro di Brescia, ferme restando le competenze del Garante per la protezione dei dati personali.

13. Accettazione

L'adesione dell'Esercente ai Servizi e al Contratto Esercenti comporta l'accettazione del presente DPA, che ne costituisce parte integrante.

La firma digitale o l'accettazione elettronica tramite processo di onboarding vale come accettazione specifica delle clausole di cui agli artt. 1341-1342 c.c., incluse, in particolare: §3 (Ripartizione responsabilità), §5 (Violazioni), §10 (Indennizzo reciproco e responsabilità solidale), §11 (Modifiche), §12 (Foro competente).

Documento redatto internamente. Si raccomanda revisione da avvocato esperto in protezione dati prima della prima adozione con Esercenti reali, specialmente per la prima versione destinata al pilota commerciale.

Per domande sul presente DPA: info@ritorna.io