Data Processing Agreement

Il presente documento (di seguito "DPA") integra i Termini di servizio Operhive e disciplina il trattamento dei dati personali effettuato da Operhive (di seguito "Responsabile") per conto della struttura ricettiva che utilizza la piattaforma (di seguito "Titolare" o "host"), ai sensi dell'art. 28 del Regolamento UE 2016/679 (GDPR) e della normativa nazionale italiana applicabile.

1. Definizioni

• Titolare: la struttura ricettiva (host) che, tramite l'account Operhive, determina finalità e mezzi del trattamento dei dati dei propri ospiti.
• Responsabile: Operhive, in qualità di fornitore della piattaforma, tratta i dati personali esclusivamente su istruzione documentata del Titolare.
• Sub-responsabile: soggetto terzo nominato da Operhive per fornire parti del servizio (es. infrastruttura, AI, email). Elenco aggiornato al §6.
• Interessato: persona fisica i cui dati personali sono trattati — tipicamente un ospite della struttura ricettiva.
• Violazione dei dati: qualsiasi violazione di sicurezza che comporti accesso, divulgazione, modifica o distruzione non autorizzata di dati personali.

2. Oggetto, natura e finalità del trattamento

Il Responsabile tratta dati personali per conto del Titolare al fine di erogare il servizio Operhive — piattaforma di gestione per strutture ricettive. Le finalità specifiche sono:

• Erogazione del servizio di gestione struttura ricettiva (art. 6.1.b GDPR)
• Comunicazione automatizzata e/o assistita con gli ospiti via WhatsApp
• Sincronizzazione disponibilità e prenotazioni con canali OTA
• Generazione documenti di conferma prenotazione e ricevute caparra
• Calcolo e gestione tassa di soggiorno e file Alloggiati Web (obbligo legale, art. 6.1.c)
• Reportistica operativa e finanziaria per l'host
• Sicurezza, audit, prevenzione frodi (legittimo interesse, art. 6.1.f)

3. Categorie di dati trattati

• Dati anagrafici degli ospiti (nome, cognome, numero WhatsApp, data di nascita)
• Dati di soggiorno (date check-in/check-out, numero ospiti, stanza assegnata)
• Contenuto delle conversazioni WhatsApp ospite ↔ host (testo, immagini, audio)
• Documenti di identità ospiti (solo per Alloggiati Web, ex art. 109 TULPS)
• Dati di pagamento (gestiti direttamente da Stripe, Operhive non memorizza dati carta)
• Dati di prenotazione OTA (sincronizzati da Booking.com, Airbnb, VRBO, Expedia)
• Preferenze ospite (allergie, esigenze dietetiche se fornite spontaneamente)
• Log tecnici (IP, user agent, timestamp eventi piattaforma)

Il Responsabile non tratta categorie particolari di dati (art. 9 GDPR) se non eccezionalmente e nella misura strettamente necessaria (es. esigenze dietetiche fornite spontaneamente dall'ospite).

4. Durata del trattamento

Il trattamento ha durata pari al rapporto contrattuale fra Titolare e Responsabile. Al termine del contratto, il Responsabile su richiesta del Titolare cancella o restituisce i dati personali, salvo obblighi di conservazione previsti dal diritto UE o nazionale italiano (es. fatturazione 10 anni ex art. 2220 C.C., Alloggiati Web 5 anni ex circolare Ministero Interno).

I backup offsite cifrati hanno rotazione 30 giorni: la cancellazione puntuale di un dato avviene anche dai backup alla rotazione successiva.

5. Obblighi del Responsabile (art. 28.3 GDPR)

Il Responsabile si impegna a:

• Trattare i dati personali esclusivamente su istruzione documentata del Titolare, ivi compresi i trasferimenti verso paesi terzi, salvo obblighi di legge.
• Garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
• Adottare tutte le misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (vedi §7).
• Rispettare le condizioni per ricorrere a sub-responsabili (vedi §6).
• Assistere il Titolare nel rispondere alle richieste di esercizio dei diritti degli interessati (artt. 15-22 GDPR), entro tempi ragionevoli e nei termini di legge.
• Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica violazioni, valutazione d'impatto).
• Su scelta del Titolare, cancellare o restituire tutti i dati personali alla cessazione del servizio.
• Mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR e consentire audit, anche tramite soggetto terzo incaricato dal Titolare (con preavviso ragionevole).

6. Sub-responsabili autorizzati

Il Titolare autorizza il Responsabile a ricorrere ai seguenti sub-responsabili per l'erogazione del servizio. Operhive rimane pienamente responsabile dell'adempimento degli obblighi del sub-responsabile.

Eventuali modifiche all'elenco dei sub-responsabili saranno notificate al Titolare con almeno 30 giorni di preavviso, tramite email all'indirizzo registrato sull'account. Il Titolare ha diritto di opporsi alla modifica entro il periodo di preavviso; in caso di opposizione, Operhive potrà a propria discrezione (a) cessare l'uso del nuovo sub-responsabile o (b) consentire al Titolare di recedere dal contratto senza penali.

7. Misure tecniche e organizzative (art. 32 GDPR)

• Cifratura in transito (TLS 1.3) e a riposo (AES-256) su tutti i dati personali
• Autenticazione multi-fattore (TOTP) per host e amministratori
• Row-Level Security (RLS) sul database PostgreSQL: ogni host accede solo ai dati della propria struttura
• Backup giornalieri cifrati offsite, retention 30 giorni con rotazione
• Monitoraggio real-time (Better Stack) con alert automatici su anomalie
• Audit di sicurezza periodici e penetration test pre-rilascio
• Security headers conformi OWASP (CSP, HSTS preload, X-Frame-Options, CORP)
• Procedura di gestione data breach con notifica al Garante entro 72h (artt. 33-34 GDPR)
• Hardening database: 50+ stored procedure su service_role con audit log
• Zero Data Retention sui modelli AI (OpenAI ZDR API attivata)

Le misure di sicurezza sono riviste periodicamente e adeguate all'evoluzione delle minacce e dello stato dell'arte.

8. Diritti degli interessati

Il Responsabile assiste il Titolare nell'adempiere alle richieste degli interessati (ospiti) relative ai diritti di accesso (art. 15), rettifica (art. 16), cancellazione (art. 17), limitazione (art. 18), portabilità (art. 20), opposizione (art. 21) e non sottoposizione a processi decisionali automatizzati (art. 22).

Strumenti messi a disposizione del Titolare:

• Export dati strutturati (CSV/JSON) di prenotazioni e messaggi
• RPC delete_guest_data_v2 per cancellazione cascade ospite (15+ tabelle + storage)
• Anonimizzazione automatica log AI dopo 30 giorni (cron interno)
• Procedura documentata per richieste a privacy@operhive.com con risposta entro 30 giorni

9. Notifica violazione dei dati (art. 33 GDPR)

In caso di violazione dei dati personali trattati per conto del Titolare, il Responsabile notifica il Titolare senza ingiustificato ritardo (e comunque entro 48 ore dalla scoperta) tramite email all'indirizzo registrato, fornendo:

• Natura della violazione e categorie di dati coinvolti
• Numero approssimativo di interessati e record interessati
• Dati di contatto del Responsabile per ulteriori informazioni
• Conseguenze probabili della violazione
• Misure adottate o proposte per mitigare la violazione e attenuare eventuali effetti negativi

La notifica al Garante della protezione dei dati personali (entro 72 ore) e agli interessati (senza ingiustificato ritardo, se ricorre l'ipotesi di cui all'art. 34 GDPR) resta a cura del Titolare. Il Responsabile fornisce piena assistenza.

10. Audit

Il Titolare può richiedere, con preavviso ragionevole (almeno 30 giorni) e non più di una volta l'anno (salvo motivata esigenza), audit sulla conformità del Responsabile a questo DPA. Operhive metterà a disposizione: documentazione di compliance, report di audit di terze parti (es. SOC 2 dei sub-responsabili), e risposte a questionari di sicurezza ragionevoli. Costi dell'audit a carico del Titolare salvo riscontri di non-conformità sostanziale.

11. Trasferimenti extra-UE

Per i sub-responsabili con sede al di fuori dello Spazio Economico Europeo (es. OpenAI, Stripe, Vercel — vedi §6), i trasferimenti avvengono sulla base delle Clausole Contrattuali Standard approvate dalla Commissione Europea (Decisione 2021/914) e, ove applicabile, del EU-US Data Privacy Framework. Operhive ha sottoscritto Data Processing Agreement conformi al GDPR con tutti i sub-responsabili.

11 bis. Backup e ripristino

I dati personali persistono in backup cifrati su Cloudflare R2 (bucket operhive-backups, encryption at-rest) per un massimo di 30 giornidopo la cancellazione richiesta dall'interessato o dal Titolare. Backup giornalieri (pg_dump 03:15 UTC + n8n tar 03:05 UTC) con rotazione automatica. La cancellazione puntuale di un dato avviene anche dai backup alla rotazione successiva; durante il periodo di retention residua nessuna risorsa applicativa accede al backup, la sola finalità è il disaster recovery.

11 ter. Funzionalità future — chiamate vocali AI (non attiva)

Stato attuale: funzionalità non attiva. Operhive ha integrato a livello di scaffold un sistema di chiamate vocali AI (basato su Retell) oggi disabilitato in produzione su tutte le strutture. Le condizioni descritte di seguito si applicheranno solo al momento dell'attivazione operativa.

• Disclosure inizio chiamata: ogni chiamata avviata o ricevuta dall'agente AI annuncerà all'inizio della telefonata che l'interlocutore sta parlando con un sistema di intelligenza artificiale e potrà richiedere il trasferimento a una persona (Reg. UE 2024/1689 — AI Act art. 50).
• Registrazioni raw: conservate per un massimo di 7 giorni, poi eliminate automaticamente.
• Trascrizioni: anonimizzate (rimozione PII via regex deterministico + LLM cleaner) entro 30 giorni dalla chiamata.
• Sub-responsabili extra: al momento dell'attivazione Retell verrà aggiunto all'elenco §6 con DPA art. 28 sottoscritto e SCC per trasferimenti extra-UE.

Il presente DPA sarà aggiornato e il Titolare riceverà comunicazione via email con almeno 30 giorni di preavviso prima dell'attivazione.

12. Responsabilità e contatto

Per qualsiasi questione relativa a questo DPA, l'esercizio dei diritti degli interessati o segnalazioni di sicurezza, contatta:

• Privacy & DPA: privacy@operhive.com
• Segnalazioni di sicurezza: security@operhive.com
• Contatto generale: hello@operhive.com

13. Modifiche al DPA

Operhive può aggiornare il presente DPA per riflettere modifiche normative o all'architettura del servizio. Le modifiche sostanziali verranno comunicate al Titolare con almeno 30 giorni di preavviso. La data di ultimo aggiornamento è riportata in cima a questa pagina.