INCI APIINCI API

Accordo sul trattamento dei dati

Data di entrata in vigore: 26 marzo 2026 · Ultimo aggiornamento: 26 marzo 2026

Scarica PDF

Il presente Accordo sul trattamento dei dati («DPA») fa parte dei Termini di servizio tra Andrii Sukhanov, operante come INCI API («Responsabile del trattamento», «noi», «ci»), autónomo registrato in Spagna (NIE: Z2338955K), e il soggetto che accetta questi termini («Titolare del trattamento», «tu», «Cliente»).

Il presente DPA è stipulato ai sensi dell'articolo 28 del Regolamento generale sulla protezione dei dati dell'UE (Regulation 2016/679, «GDPR») e riflette l'accordo delle parti riguardo al trattamento dei Dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento.

1. Definizioni

  • «Dati personali» indica qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato»), come definita all'articolo 4(1) del GDPR.
  • «Trattamento» indica qualsiasi operazione o insieme di operazioni effettuate su Dati personali, automatizzate o meno, inclusa raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione, cancellazione o distruzione.
  • «Sub-responsabile» indica qualsiasi terza parte incaricata dal Responsabile del trattamento di trattare Dati personali per conto del Titolare del trattamento.
  • «Interessato» indica la persona fisica identificata o identificabile a cui si riferiscono i Dati personali.
  • «GDPR» indica il Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e del Consiglio.
  • «Clausole contrattuali standard» (SCC) indica le clausole contrattuali approvate dalla Commissione europea per il trasferimento di Dati personali verso paesi terzi.

2. Ambito e finalità

Il Responsabile del trattamento tratta i Dati personali per conto del Titolare del trattamento esclusivamente per le seguenti finalità:

  • Fornitura del servizio INCI API, incluse analisi degli ingredienti, ricerca prodotti, scoring di sicurezza, rilevamento allergeni e analisi di compatibilità cutanea
  • Gestione account, autenticazione e autorizzazione
  • Tracciamento dell'utilizzo, limitazione del rate e fatturazione
  • Miglioramento del servizio, monitoraggio delle prestazioni e analisi
  • Assistenza clienti e comunicazione

Il Responsabile del trattamento non tratta Dati personali per finalità diverse da quelle specificate nel presente DPA o documentate per iscritto dal Titolare del trattamento.

3. Tipi di dati personali trattati

  • Dati account: nome, indirizzo e-mail, password con hash
  • Dati di utilizzo dell'API: log delle richieste, timestamp, indirizzi IP, endpoint utilizzati, codici di risposta, identificativi di chiave API
  • Dati di fatturazione: livello di abbonamento, metadati del metodo di pagamento (i dati di pagamento completi sono trattati esclusivamente da Stripe e mai memorizzati sui nostri server)
  • Dati tecnici: tipo di browser, informazioni sul dispositivo, sistema operativo, URL di referral (raccolti tramite analisi per il miglioramento del servizio)

Il Responsabile del trattamento non tratta categorie particolari di Dati personali (Articolo 9 GDPR) né Dati personali relativi a condanne penali (Articolo 10 GDPR).

4. Categorie di interessati

I Dati personali trattati ai sensi del presente DPA si riferiscono alle seguenti categorie di Interessati:

  • Dipendenti e collaboratori del Cliente che accedono e utilizzano INCI API
  • Utenti finali delle applicazioni del Cliente integrate con INCI API (nella misura in cui i loro dati siano trasmessi tramite richieste API)

5. Obblighi del Responsabile del trattamento

Il Responsabile del trattamento si impegna a:

  1. Trattare i Dati personali solo su istruzioni documentate del Titolare del trattamento, anche in relazione ai trasferimenti verso un paese terzo, salvo che ciò sia richiesto dal diritto dell'Unione o dello Stato membro a cui è soggetto il Responsabile
  2. Garantire che le persone autorizzate al trattamento dei Dati personali si siano impegnate alla riservatezza o siano soggette a un obbligo legale appropriato di riservatezza
  3. Implementare misure di sicurezza tecniche e organizzative appropriate ai sensi dell'articolo 32 del GDPR per garantire un livello di sicurezza adeguato al rischio
  4. Non incaricare un altro responsabile (sub-responsabile) senza l'autorizzazione scritta preventiva, specifica o generale, del Titolare del trattamento. In caso di autorizzazione scritta generale, il Responsabile informerà il Titolare di eventuali modifiche previste relative all'aggiunta o sostituzione dei sub-responsabili, dando al Titolare la possibilità di obiettare
  5. Tenuto conto della natura del trattamento, assistere il Titolare con misure tecniche e organizzative appropriate, ove possibile, per l'adempimento dell'obbligo di rispondere alle richieste di esercizio dei diritti dell'Interessato
  6. Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile
  7. A scelta del Titolare, cancellare o restituire tutti i Dati personali al Titolare al termine della prestazione dei servizi, ed eliminare le copie esistenti, salvo che il diritto dell'Unione o di uno Stato membro richieda la conservazione
  8. Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'articolo 28 del GDPR e consentire e contribuire ad audit, comprese le ispezioni, condotti dal Titolare o da altro revisore da esso incaricato

6. Misure di sicurezza

Il Responsabile del trattamento implementa le seguenti misure tecniche e organizzative per proteggere i Dati personali in conformità all'articolo 32 del GDPR:

  • Crittografia in transito: Tutti i dati trasmessi tra client e server sono crittografati con TLS 1.2 o superiore (HTTPS)
  • Crittografia a riposo: L'archiviazione del database utilizza la crittografia a riposo MongoDB per tutti i Dati personali memorizzati
  • Controlli di accesso: Autenticazione tramite token JWT e chiavi API; controllo di accesso basato sui ruoli; principio del minimo privilegio
  • Sicurezza delle password: Le password degli utenti sono memorizzate con hashing bcrypt con cost factor appropriati; le chiavi API sono memorizzate come hash sicuri
  • Sicurezza dell'infrastruttura: Infrastruttura protetta da firewall (UFW con porte limitate), aggiornamenti di sicurezza e patch periodici
  • Posizione del server: Infrastruttura DigitalOcean (attualmente negli USA; pianificata migrazione a un data center UE/SEE)
  • Dati di pagamento: Nessun archivio dei dati delle carte di pagamento sui nostri server. Tutti i pagamenti sono gestiti da Stripe, conforme PCI DSS Livello 1
  • Monitoraggio: Monitoraggio, logging e alert automatizzati per eventi di sicurezza e anomalie

7. Sub-responsabili

Il Titolare del trattamento concede al Responsabile l'autorizzazione generale a incaricare i seguenti sub-responsabili. Il Responsabile notificherà al Titolare eventuali modifiche previste in merito all'aggiunta o sostituzione di sub-responsabili con un preavviso scritto di almeno 30 giorni, dando così al Titolare la possibilità di obiettare a tali modifiche.

Sub-responsabili incaricati da INCI API
Sub-responsabileFinalitàPosizione
DigitalOceanHosting dell'infrastrutturaUSA (migrazione UE pianificata)
StripeElaborazione pagamentiUSA (data center UE)
Google AnalyticsAnalisi del sito webUSA (trattamento dati nell'UE)
Microsoft ClarityAnalisi delle sessioniUSA

Se il Titolare obietta a un nuovo sub-responsabile per motivi ragionevoli legati alla protezione dei dati, le parti discuteranno la questione in buona fede. Se non si raggiunge una soluzione entro 30 giorni, il Titolare potrà risolvere i servizi interessati senza penali.

8. Trasferimenti di dati

I Dati personali possono essere trasferiti e trattati in paesi al di fuori dell'Unione europea e dello Spazio economico europeo. In tali casi, il Responsabile garantisce che siano in atto le garanzie appropriate ai sensi del Capo V del GDPR, tra cui:

  • Clausole contrattuali standard (SCC) approvate dalla Commissione europea (Decisione di esecuzione (UE) 2021/914)
  • Decisioni di adeguatezza della Commissione europea, ove applicabili
  • Misure tecniche e organizzative aggiuntive a integrazione dei meccanismi di trasferimento, ove necessario, in conformità alla sentenza Schrems II (Causa C-311/18)

9. Notifica di violazione dei dati

Il Responsabile notificherà al Titolare senza ingiustificato ritardo, e comunque entro 72 ore, dopo essere venuto a conoscenza di una violazione dei Dati personali come definita all'articolo 4(12) del GDPR. La notifica includerà:

  • Una descrizione della natura della violazione, comprese le categorie e il numero approssimativo di Interessati e di registri interessati
  • Il nome e i dati di contatto del referente per la protezione dei dati presso cui ottenere ulteriori informazioni
  • Una descrizione delle probabili conseguenze della violazione
  • Una descrizione delle misure adottate o proposte per affrontare la violazione, comprese le misure per attenuarne i possibili effetti negativi

Il Responsabile coopererà con il Titolare e adotterà ragionevoli misure commerciali per assistere nelle indagini, mitigazione e rimedio di ciascuna violazione.

10. Diritti degli interessati

Il Responsabile assisterà il Titolare nell'adempimento degli obblighi di rispondere alle richieste degli Interessati che esercitano i loro diritti ai sensi del Capo III del GDPR, tra cui:

  • Diritto di accesso (Articolo 15)
  • Diritto di rettifica (Articolo 16)
  • Diritto di cancellazione / diritto all'oblio (Articolo 17)
  • Diritto di limitazione del trattamento (Articolo 18)
  • Diritto alla portabilità dei dati (Articolo 20)
  • Diritto di opposizione (Articolo 21)

Se il Responsabile riceve una richiesta direttamente da un Interessato, ne darà tempestiva comunicazione al Titolare e non risponderà alla richiesta senza la previa autorizzazione scritta del Titolare, salvo obbligo di legge.

11. Diritti di audit

Il Titolare può verificare il rispetto del presente DPA da parte del Responsabile. Gli audit saranno soggetti alle seguenti condizioni:

  • Il Titolare fornirà un preavviso scritto di almeno 30 giorni
  • Gli audit saranno effettuati al massimo una volta per anno solare, salvo richiesta di un'autorità di controllo o a seguito di una violazione dei Dati personali
  • Gli audit saranno effettuati durante il normale orario lavorativo e non interferiranno irragionevolmente con le operazioni del Responsabile
  • Il Titolare sosterrà i costi dell'audit, salvo che l'audit riveli un'inadempienza sostanziale del Responsabile
  • Il Titolare potrà incaricare un revisore terzo qualificato e indipendente, soggetto a ragionevoli obblighi di riservatezza

12. Durata e risoluzione

Il presente DPA rimarrà in vigore per la durata dell'accordo di servizio tra le parti. Alla risoluzione dell'accordo di servizio:

  • Il Responsabile, a scelta del Titolare, cancellerà o restituirà tutti i Dati personali entro 30 giorni dalla data di risoluzione
  • Il Responsabile cancellerà le copie esistenti dei Dati personali, salvo che il diritto dell'Unione o di uno Stato membro richieda la conservazione (ad es., registri fiscali e finanziari richiesti dalla legge spagnola)
  • Il Responsabile fornirà certificazione scritta della cancellazione su richiesta del Titolare

13. Legge applicabile

Il presente DPA è disciplinato e interpretato in conformità alle leggi del Regno di Spagna, senza riguardo alle disposizioni in materia di conflitto di leggi. Il GDPR si applica a tutte le questioni relative al trattamento dei Dati personali. Eventuali controversie derivanti dal presente DPA saranno soggette alla giurisdizione esclusiva dei tribunali delle Isole Canarie, Spagna (Santa Cruz de Tenerife).

14. Contatti

Per domande, dubbi o richieste relative al presente Accordo sul trattamento dei dati, contattaci:

Contatto Protezione Dati

Andrii Sukhanov

Av. Marítima 2, puerta 05c
Los Silos, Santa Cruz de Tenerife, España

E-mail: privacy@inciapi.com

Sito web: inciapi.com

Documenti correlati