Kai

Data Processing Agreement

Ultimo aggiornamento: Aprile 2026

Questo Data Processing Agreement (DPA) fa parte dei Termini di Servizio tra Kai e qualsiasi cliente (Controller) i cui dati personali vengono trattati da Kai (Processor) nel corso della fornitura dei servizi della piattaforma.

Ambito del Trattamento

Kai tratta i dati personali esclusivamente allo scopo di fornire la piattaforma di gestione degli asset condivisi come descritto nei Termini di Servizio. Il trattamento include archiviazione, recupero, visualizzazione ed eliminazione dei dati come indicato dal Controller attraverso il normale utilizzo della piattaforma.

Categorie di Dati Trattati

Vengono trattate le seguenti categorie di dati personali:

  • Dati di identità: nome, indirizzo e-mail, foto del profilo
  • Dati di contatto: numero di telefono, indirizzo di fatturazione
  • Dati finanziari: IBAN, informazioni di fatturazione, registri delle fatture
  • Dati di utilizzo: prenotazioni, registri di utilizzo, registri delle spese, registri di manutenzione
  • Dati di comunicazione: messaggi, ticket di supporto
  • Dati tecnici: indirizzo IP, tipo di browser, registri del consenso

Misure di Sicurezza

Kai implementa le seguenti misure tecniche e organizzative per proteggere i dati personali:

  • Crittografia in transito (TLS 1.3) e a riposo (AES-256)
  • Sicurezza a livello di riga per l'isolamento dei dati tra gruppi
  • Controllo degli accessi basato sui ruoli con principio del minimo privilegio
  • Backup giornalieri automatizzati con recupero point-in-time
  • Audit di sicurezza regolari e test di penetrazione
  • Nessuna informazione di identificazione personale inviata al monitoraggio degli errori

Subprocessors

Kai utilizza i seguenti subprocessors. Il Controller verrà informato di qualsiasi modifica a questa lista:

  • Supabase (AWS Frankfurt, EU) — Database e autenticazione
  • Stripe (EU/US, SCC) — Elaborazione dei pagamenti
  • Resend (US, SCC) — Consegna e-mail
  • Sentry (EU) — Monitoraggio degli errori (senza PII)
  • Vercel (EU) — Hosting delle applicazioni
  • Google Analytics & Ads (US, DPF) — Analisi e pubblicità (dipendente dal consenso)
  • Firebase / Google Cloud (EU) — Archiviazione file
  • Cloudinary (US, SCC) — Ottimizzazione delle immagini

Notifica di Violazione dei Dati

In caso di violazione dei dati personali, Kai informerà il Controller senza indebito ritardo e non oltre 72 ore dopo essere venuto a conoscenza della violazione. La notifica includerà la natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le probabili conseguenze e le misure adottate o proposte per affrontare la violazione.

Diritti degli Interessati

Kai assiste il Controller nell'adempimento delle richieste degli interessati, tra cui:

  • Diritto di accesso — gli utenti possono visualizzare tutti i propri dati sulla piattaforma
  • Diritto di rettifica — gli utenti possono aggiornare il proprio profilo e i propri dati
  • Diritto alla cancellazione — l'eliminazione dell'account rimuove tutti i dati personali
  • Diritto alla portabilità dei dati — gli utenti possono esportare tutti i propri dati in formato JSON
  • Diritto di revocare il consenso — le preferenze sui cookie possono essere modificate in qualsiasi momento

Restituzione ed Eliminazione dei Dati

Alla cessazione dell'accordo, Kai eliminerà tutti i dati personali trattati per conto del Controller entro 30 giorni, salvo che la conservazione sia richiesta dalla legge applicabile. Il Controller può esportare i propri dati in qualsiasi momento prima della cessazione utilizzando le funzionalità di esportazione integrate della piattaforma.

Contatto

Per domande su questo DPA o per richiedere una copia firmata, contattaci a [email protected]

Data Processing Agreement | Kai | Kai