OplyonOplyon
Prova gratuita

DPA - Data processing agreement

DPA / ACCORDO DI TRATTAMENTO DATI – OPLYON (v1.3)

Nomina a Responsabile del trattamento ai sensi dell’art. 28 GDPR
Estensioni: UK GDPR + Canada + USA (se applicabili)

Ultimo aggiornamento: 10 febbraio 2026
Servizio: Oplyon – https://app.oplyon.com

1. Parti

1.1 Titolare del trattamento (“Titolare”)

Il Titolare è il soggetto giuridico (azienda/ente/professionista) che sottoscrive il servizio Oplyon e accetta il presente DPA tramite Accettazione elettronica (flag/checkbox) ai sensi dell’art. 19. Il soggetto che effettua l’accettazione dichiara di avere i poteri per vincolare il Titolare.

1.2 Responsabile del trattamento (“Responsabile”)

New Media Shop s.r.l.
Via Vincenzo Lupoli 22, 24, 26 – 81100 Caserta (CE) – Italia
P. IVA 04387950613 – PEC: newmediashop@pec.it
(“Responsabile” o “Fornitore”)

Titolare e Responsabile congiuntamente le “Parti”.

2. Premesse

a) Il Responsabile fornisce al Titolare il software gestionale Oplyon e i servizi correlati (hosting, manutenzione, sicurezza, assistenza via email).
b) Nell’ambito dell’uso di Oplyon, il Responsabile può trattare dati personali per conto del Titolare.
c) Premesse e Allegati sono parte integrante del presente accordo (“DPA”).

3. Oggetto e ambito

3.1 Con il presente DPA il Titolare nomina il Responsabile quale Responsabile del trattamento per i trattamenti descritti nell’Allegato 1.
3.2 Il Responsabile tratta i dati personali solo per:

erogare i Servizi Oplyon;

eseguire attività tecniche indispensabili (manutenzione, sicurezza, backup, supporto);
e su istruzioni documentate del Titolare, salvo obblighi di legge.
3.3 Il Titolare resta responsabile di: basi giuridiche, informative, consensi (se necessari), legittimità dei dati inseriti e configurazioni operative.

4. Durata

Il presente DPA è efficace per tutta la durata del contratto/abbonamento Oplyon (“Contratto Principale”) e, dopo la cessazione, per il tempo tecnico necessario a export/cancellazione e gestione backup (art. 12).

5. Istruzioni del Titolare

5.1 Le istruzioni del Titolare possono essere contenute in:

Contratto Principale e documentazione tecnica;

configurazioni disponibili in Oplyon;

richieste scritte via email/PEC/canali di supporto.
5.2 Il Responsabile informa il Titolare se un’istruzione risulta manifestamente in contrasto con la normativa.

6. Riservatezza e persone autorizzate

Il Responsabile assicura che persone autorizzate:

siano vincolate a riservatezza;

accedano ai dati solo quando necessario per erogazione/sicurezza/supporto.

7. Misure tecniche e organizzative (art. 32 GDPR)

7.1 Il Responsabile adotta misure adeguate come da Allegato 2 (TOMs).
7.2 Il Responsabile può aggiornare tali misure garantendo un livello di protezione non inferiore.

8. Sub-responsabili (sub-processors)

8.1 Il Titolare autorizza l’uso dei sub-responsabili indicati in Allegato 3.
8.2 Il Responsabile impone ai sub-responsabili obblighi di protezione dati equivalenti.
8.3 Variazioni elenco: preavviso tipico 15 giorni, salvo urgenze di sicurezza o continuità.

9. Localizzazione dati e trasferimenti internazionali

9.1 Infrastruttura cloud: Microsoft Azure.
9.2 Regioni Azure per i dati Oplyon: West Europe e Italy North.
9.3 Potrebbero verificarsi trattamenti/accessi tecnici con potenziali coinvolgimenti extra-SEE; in tali casi il Responsabile adotta garanzie adeguate ex artt. 44–49 GDPR (es. SCC o meccanismi equivalenti).
9.4 UK GDPR: per trasferimenti rilevanti si applicano strumenti idonei (UK Addendum/IDTA o equivalenti).
9.5 Su richiesta, il Responsabile fornisce informazioni sulle garanzie applicate.

10. Assistenza al Titolare

Il Responsabile assiste, per quanto ragionevolmente possibile:

nelle richieste degli interessati (accesso/rettifica/cancellazione/limitazione/portabilità/opposizione);

su DPIA/consultazioni preventive, ove necessario;

su sicurezza e gestione incidenti.

11. Data Breach

11.1 In caso di violazione dei dati personali trattati per conto del Titolare, il Responsabile notifica senza ingiustificato ritardo e, ove possibile, entro 48 ore dalla conferma ragionevole dell’evento, fornendo: natura, categorie e volumi, possibili conseguenze, misure adottate/mitigazioni.
11.2 Il Responsabile coopera con il Titolare per eventuali notifiche ad Autorità e comunicazioni agli interessati.

11-bis) Canada – se applicabile

Il Responsabile coopera fornendo informazioni utili al Titolare per valutazioni, notifiche e registrazioni di violazioni secondo la normativa applicabile in Canada.

12. Restituzione ed eliminazione dati (fine servizio)

12.1 A cessazione del Contratto Principale, su richiesta del Titolare il Responsabile:
a) rende disponibile export/restituzione dati (nei formati/funzionalità disponibili); e/o
b) esegue cancellazione dai sistemi attivi.
12.2 Tempi standard:

sistemi attivi: entro 30 giorni;

backup: persistenza tecnica fino a 30–90 giorni (rotazione), protetti e non utilizzati salvo disaster recovery.
12.3 Obblighi legali o tutela in giudizio possono imporre conservazione limitata.

13. Audit e verifiche (solo online)

13.1 Il Responsabile mette a disposizione informazioni ragionevoli per dimostrare conformità (policy, evidenze, questionari).
13.2 Audit solo da remoto, con preavviso 30 giorni, max 1 audit/anno, salvo incidenti o obblighi regolatori.

14. Supporto e ticketing (solo online)

14.1 Il supporto è fornito via email (canale online).
14.2 Il Titolare si impegna a minimizzare i dati inviati nei ticket ed evitare l’invio di categorie particolari (art. 9 GDPR) salvo indispensabile.

15. Integrazioni tramite API di terze parti (Marketplace / E-commerce)

15.1 Oplyon può, su iniziativa del Titolare e solo se attivate/configurate dal Titolare, integrare servizi di terze parti mediante API, inclusi a titolo esemplificativo: Amazon, eBay, Etsy, TikTok Shop, Zalando, Shopify, PrestaShop, WooCommerce (le “Integrazioni”).
15.2 Le Integrazioni sono attivate dal Titolare tramite credenziali/token, autorizzazioni o procedure fornite dalle terze parti. Il Titolare è responsabile di:

verificare di avere titolo e autorizzazione per collegare gli account e trattare i dati ottenuti;

rispettare i termini delle piattaforme terze e la normativa applicabile;

configurare correttamente permessi, scope e regole di sincronizzazione.
15.3 Il Responsabile tratta i dati provenienti dalle Integrazioni esclusivamente per erogare le funzionalità richieste dal Titolare (sincronizzazione ordini/prodotti, aggiornamenti, reportistica), secondo le istruzioni del Titolare.
15.4 Le terze parti collegate tramite Integrazioni agiscono normalmente come titolari autonomi o soggetti separati rispetto al Responsabile. Il Responsabile non controlla le loro politiche, disponibilità, modifiche API o qualità dei dati restituiti.

16. Dati inseriti dall’utente e responsabilità su contenuti/risultati

16.1 Il Titolare riconosce che i dati presenti su Oplyon (incluse anagrafiche, ordini, documenti, flussi gestionali, note, report, dati sincronizzati da Integrazioni) sono:

inseriti, caricati, configurati o comunque determinati dal Titolare/utenti del Titolare, oppure

ottenuti da terze parti tramite Integrazioni attivate dal Titolare.
16.2 Il Responsabile non è responsabile della veridicità, accuratezza, completezza, aggiornamento e liceità dei dati inseriti dal Titolare o ricevuti dalle Integrazioni, né delle istruzioni/configurazioni impostate dal Titolare.
16.3 Il Responsabile non fornisce garanzie che i risultati, output, report, statistiche o riconciliazioni generate dal sistema siano privi di errori se i dati di input sono incompleti/inesatti o se le fonti terze restituiscono informazioni errate o non aggiornate.
16.4 Resta inteso che il Responsabile è responsabile esclusivamente per la corretta erogazione tecnica del servizio secondo il Contratto Principale e per gli obblighi ex art. 28 GDPR, nei limiti di legge.

17. Clausole USA (CPRA/CCPA e altre leggi statali) – se applicabili

Se e nella misura in cui il Titolare sia soggetto a leggi privacy USA:

il Responsabile opera come service provider/processor;

non “vende” né “condivide” dati per advertising cross-context;

tratta i dati solo per erogare i Servizi e finalità compatibili (sicurezza, debug, prevenzione frodi, continuità).

18. Clausole Canada/Québec (Law 25) – se applicabili

Per dati soggetti a Québec Law 25 o altre normative canadesi, il presente DPA costituisce accordo scritto di comunicazione a fornitore e disciplina misure, sub-fornitori e retention.

19. Comunicazioni (online)

Comunicazioni privacy: via PEC/email aziendale.
Per il Responsabile: newmediashop@pec.it.

20. Legge applicabile e foro

Salvo diverso accordo nel Contratto Principale: legge italiana e foro indicato nel Contratto Principale (in mancanza: Caserta).

21. Accettazione elettronica (flag/checkbox) e prova del consenso contrattuale

21.1 Il presente DPA è accettato online tramite selezione di un flag/checkbox (“Accetto il DPA/Accordo di trattamento dati”) durante registrazione/attivazione o nelle impostazioni contrattuali di Oplyon (“Accettazione”).
21.2 Chi effettua l’Accettazione dichiara e garantisce di avere i poteri per vincolare il Titolare.
21.3 Il Responsabile conserva log di accettazione (TenantID, utente, timestamp, IP, versione DPA) per finalità probatorie e tutela dei diritti, tipicamente 10 anni o diverso termine previsto dalla legge.