Accordo sul Trattamento dei Dati

1.1 Maplo tratta i Dati Personali esclusivamente per fornire il Servizio ordinato dal Cliente (ricerca, audit, salvataggio, generazione outreach, invio, tracking risposte).

1.2 Il Cliente è il Titolare. Maplo è il Responsabile del trattamento. Il Cliente determina finalità e mezzi del trattamento; Maplo esegue il trattamento secondo le istruzioni documentate del Cliente (la configurazione del Servizio + questi termini).

Oggetto

Fornitura della piattaforma di lead-generation Maplo.

Durata

Per la durata dell'abbonamento del Cliente più 30 giorni per l'export, poi cancellazione.

Natura e scopo

Archiviazione, recupero, trasmissione e analisi di dati aziendali e di outreach per l'attività B2B legittima del Cliente.

Categorie di interessati

• Utenti autorizzati dell'account del Cliente.
• Decision-maker / contatti delle aziende che il Cliente sceglie di contattare.

Categorie di dati personali

• Account: nome, email, lingua, hash password / identificatore OAuth.
• Contesto outreach: nome del lead (quando è una persona fisica), telefono/email aziendale, storico conversazioni.
• Utilizzo: IP, timestamp, interazioni con le funzionalità.

Maplo tratterà i Dati Personali solo in base alle istruzioni documentate del Cliente, inclusa la configurazione del Servizio da parte del Cliente. Maplo informerà il Cliente se, a suo parere, un'istruzione viola la legge applicabile sulla protezione dei dati.

Tutto il personale Maplo con accesso ai Dati Personali è vincolato da obblighi scritti di riservatezza e formato sulla protezione dei dati. L'accesso è concesso su base di minimo privilegio e rivisto trimestralmente.

• TLS 1.3 in transito; AES-256 a riposo.
• SSO + 2FA su tutti i sistemi di produzione; audit log conservati 12 mesi.
• Isolamento di rete: il database di produzione non è accessibile pubblicamente.
• Backup giornalieri cifrati; test di restore trimestrali.
• Scansione vulnerabilità ad ogni deploy; monitoraggio dipendenze continuo.
• Piano documentato di incident response, con impegno di notifica entro 72h al Cliente.

Il Cliente autorizza Maplo a coinvolgere i sub-responsabili elencati di seguito. Maplo trasferisce loro obblighi di protezione dei dati equivalenti.

• Supabase Inc. (USA, regione UE) — Postgres gestito + auth.
• Vercel Inc. (USA, edge UE) — hosting applicazione.
• Whop Inc. (USA) — pagamenti / fatturazione.
• Resend Inc. (USA) — email transazionali.
• Anthropic PBC (USA) — inferenza LLM. Gli input non vengono usati per il training.
• Mapbox Inc. (USA) — tile mappa.
• Plausible Insights OÜ (Estonia, UE) — analytics.

Maplo darà al Cliente preavviso di 30 giorni (via email) di qualsiasi nuovo sub-responsabile. Il Cliente può opporsi per ragionevoli motivi di protezione dati; se le parti non risolvono, il Cliente può cessare il servizio interessato con rimborso dei corrispettivi pagati e non usati.

Quando i Dati Personali vengono trasferiti fuori dallo SEE/UK, Maplo si basa sulle Clausole Contrattuali Standard dell'UE (Modulo 2: Titolare → Responsabile) e, dove applicabile, sul UK Addendum e sull'EU-US Data Privacy Framework. Le SCC si intendono incorporate per riferimento; copie disponibili su richiesta.

Maplo, tenendo conto della natura del trattamento, assisterà il Cliente con misure tecniche e organizzative adeguate, nei limiti del possibile, ad adempiere ai propri obblighi di risposta alle richieste degli interessati che esercitano i propri diritti ai sensi del Capo III GDPR. La maggior parte delle richieste può essere soddisfatta direttamente in self-service dalla dashboard del Cliente; per le altre contatta privacy@trymaplo.com.

Maplo notificherà al Cliente senza indebito ritardo e, in ogni caso, entro 72 ore dalla scoperta di una Violazione di Dati Personali confermata. La notifica includerà le informazioni previste dall'Art. 33(3) GDPR per quanto conosciute al momento, con aggiornamenti successivi man mano che l'indagine procede.

Su richiesta scritta ragionevole (non più di una volta all'anno, salvo a seguito di una violazione confermata) e a spese del Cliente, Maplo metterà a disposizione le più recenti attestazioni SOC 2 / ISO 27001 dei suoi sub-responsabili critici e la propria checklist di sicurezza, e collaborerà ragionevolmente alle richieste del Cliente.

Alla cessazione del Servizio, il Cliente può esportare tutti i Dati Personali del Cliente dalla dashboard per 30 giorni. Dopo questo periodo Maplo cancellerà o anonimizzerà tutti i Dati Personali del Cliente nei suoi sistemi e confermerà la cancellazione per iscritto su richiesta, salvo i dati che Maplo è legalmente tenuto a conservare (es. registri fiscali, metriche aggregate anonimizzate).

La responsabilità di ciascuna parte ai sensi di questo DPA è soggetta alle limitazioni ed esclusioni di responsabilità stabilite nei Termini di Servizio, eccetto le responsabilità che non possono essere limitate ai sensi della legge applicabile sulla protezione dei dati.