Il presente addendum integra il DPA Art. 28 GDPR tra BISC8 (Hysen Drogu, Roma) e il Cliente (Owner del dominio registrato in BISC8). Disciplina lo specifico servizio "Stamps": installazione automatica via boot.js di script terzi configurati dal Cliente.
2. Ruoli ai sensi del GDPR
Cliente: Titolare del trattamento sui dati raccolti dal proprio sito.
BISC8: Responsabile del trattamento ai sensi dell'Art. 28 GDPR limitatamente a: (a) custodia delle credenziali Stamp cifrate AES-256-GCM at rest; (b) interpolazione delle credenziali nei template di installazione lato server; (c) consegna del payload al CDN script attivato sul sito Cliente.
Vendor terzi delle Stamps (Google, Meta, HubSpot, Stripe, ecc.): Responsabili del trattamento downstream nominati dal Cliente. BISC8 non opera come sub-responsabile per conto dei vendor terzi né riceve copia dei dati che il Cliente trasmette loro.
3. Autorizzazione del Cliente
Accettando il presente addendum il Cliente autorizza espressamente BISC8 a iniettare gli script Stamp pre-configurati sui domini registrati dell'Account, esclusivamente dopo che il visitatore finale abbia espresso consenso valido per la categoria associata allo Stamp (Necessari / Funzionali / Analitici / Marketing).
BISC8 non installa Stamps in violazione del consenso del visitatore. Il Cliente riconosce che il gating è enforced lato boot.js e il rispetto del consenso è verificabile via il log immutabile dei consensi (consent_logs).
4. Garanzie e responsabilità del Cliente
Accuratezza credenziali: il Cliente è il solo responsabile dell'esattezza delle credenziali fornite (Measurement ID, Pixel ID, API keys, ecc.). BISC8 non verifica la validità funzionale delle credenziali oltre la validazione regex.
Disclosure nei propri documenti privacy: il Cliente deve includere nei propri informativa privacy + cookie policy l'elenco dei vendor Stamps installati come responsabili esterni (downstream processors). La cookie policy generata da BISC8 include automaticamente gli Stamps attivi: il Cliente verifica il contenuto prima della pubblicazione.
Conformità del vendor terzo: il Cliente è responsabile della stipula di eventuali Standard Contractual Clauses (SCC) o ricorso al Data Privacy Framework (DPF) con ciascun vendor Stamp che riceva dati al di fuori SEE.
DPIA: per Stamps che effettuano profilazione su larga scala (es. Hotjar, FullStory, LogRocket session replay) il Cliente valuta autonomamente la necessità di Data Protection Impact Assessment ai sensi dell'Art. 35 GDPR.
5. Obblighi e limiti di BISC8
BISC8 cifra le credenziali at rest con AES-256-GCM e chiave di cifratura ruotata.
BISC8 conserva la copia decifrata in memoria solo il tempo strettamente necessario alla risposta /api/v1/config.
BISC8 NON modifica i template di installazione vendor senza notifica scritta al Cliente con almeno 30 giorni di preavviso.
BISC8 NON è responsabile di: (a) malfunzionamenti dei vendor terzi (es. tempi di indisponibilità Google Analytics); (b) modifiche di API o template lato vendor che rendano obsoleti gli Stamps catalog; (c) addebiti dei vendor terzi (Cliente paga vendor in modo diretto, BISC8 non intermedia); (d) violazioni del GDPR commesse dal Cliente nell'impostare gli Stamps su categorie errate (es. installare un pixel marketing nella categoria Funzionale).
6. Recesso e cancellazione Stamps
Il Cliente può disinstallare qualunque Stamp in qualunque momento dalla dashboard (/domains/<id>/stamps). La disinstallazione cessa immediatamente l'iniezione lato boot.js al successivo caricamento del sito Cliente. Le credenziali cifrate vengono eliminate dal database entro 24h.
7. Modifiche all'Addendum
BISC8 può aggiornare il presente addendum (es. nuove categorie di Stamps, modifiche regolatorie). Aggiornamenti sostanziali notificati via email + dashboard banner con almeno 30 giorni di anticipo. Versioning: stamps_addendum_version persistito sull'account per ogni accettazione.
