Devaito Privacy & Hub Legale

Ultima revisione: 29 aprile 2026 · In vigore: 29 aprile 2026

Questa pagina consolida gli impegni di Devaito sulla privacy e sulla protezione dei dati. Contiene cinque documenti che insieme formano il nostro quadro completo sulla privacy. Ogni documento è identificato, datato e può essere consultato indipendentemente:

Navigazione rapida:

• Parte A — Politica sulla privacy — How we handle your Personal Data
• Parte B — Politica sui cookie — Cookies and similar technologies
• Parte C — Addendum al Trattamento dei Dati — For business customers (controllers)
• Parte D — Subprocessor — Service providers we rely on
• Parte E — Nota Legale — Statutory information about Devaito SAS

Se hai firmato un accordo scritto separato con Devaito (Accordo di servizi principali, Modulo d'ordine o simili), tale accordo può modificare i termini della Parte C (DPA) per l'uso dei servizi.

Parte A — Politica sulla privacy

Ultima revisione: 29 aprile 2026 · Identificativo sezione: PRIV-2026-04

Devaito SAS ("Devaito", "noi", "nostro", "ci") cares about your privacy. This Privacy Policy explains what Personal Data we collect, why we collect it, how we use it, who we share it with, how long we keep it, and what rights you have. It applies to all visitors and users of our websites, web applications, mobile applications, APIs, and related services (collectively, the "Servizi").

Utilizzando i servizi, confermi di aver letto questa Informativa sulla privacy. Se non sei d'accordo, interrompi l'uso dei servizi. Questa Informativa sulla privacy è inclusa nei nostri Termini di utilizzo.

A.1. Chi siamo

The data controller for the processing described in this Privacy Policy is Devaito SAS, a French société par actions simplifiée. Statutory information is available in Parte E (Nota Legale). For privacy enquiries, contact .

This Privacy Policy applies when Devaito acts as a controller. When you use the Services to process Personal Data of your visitors, customers, or members (your "Utenti finali"), Devaito acts as your processor, and Parte C (Addendum al Trattamento dei Dati) governs that processing.

A.2. Quali Dati Personali Raccogliamo

A.2.1 Informazioni Fornite

Quando crei un account, ci contatti, ti iscrivi alle comunicazioni, registri un dominio, acquisti un Servizio a pagamento o interagisci in altro modo con noi, puoi fornire:

Dati di identificazione: name, email address, phone number, postal address, country of residence, language preference.

Dati dell'account: username, password (stored hashed and salted, never in plaintext), profile picture, account preferences, role, organization name.

Dati di fatturazione: billing address, VAT number, business identification number, last four digits of payment card, payment provider tokens, invoice history. We do not store full payment-card numbers; these are handled by our PCI-DSS-compliant payment processors.

Dati delle comunicazioni: the content of support tickets, emails, chat messages, and call recordings (where applicable and notified).

Documenti di identificazione: where required for fraud prevention, sanctions screening, or KYC obligations, copies of ID cards, passports, or business-registration documents.

A.2.2 Informazioni Raccoglite Automaticamente

Quando utilizzi i Servizi, raccogliamo automaticamente:

Dati del dispositivo e di connessione: IP address, device identifiers, browser type and version, operating system, screen resolution, language, timezone.

Dati di utilizzo: pages viewed, clicks, features used, sessions, performance metrics, error logs, referring and exit pages, timestamps.

Dati sulla localizzazione: approximate location derived from IP address (city/country level only). We do not collect precise GPS location unless you grant explicit permission in a mobile app.

Cookie e tecnologie simili: see Parte B (Politica sui Cookie).

A.2.3 Informazioni da Terze Parti

Potremmo ricevere Dati Personali da:

Fornitori di identità e autenticazione (e.g. Google, Apple, Facebook) when you sign in via their services — limited to the data you authorize them to share.

Elaboratori di pagamento regarding the status of transactions.

Fornitori di prevenzione frodi e screening sanzioni for compliance and security.

Partner di analisi e pubblicità for measurement and attribution (only where we have a lawful basis).

Rivenditori e partner if you sign up through one of them.

A.2.4 Dati Sensibili

Non raccogliamo consapevolmente categorie speciali di Dati Personali (come dati che rivelano stato di salute, opinioni politiche, religione, orientamento sessuale, dati biometrici o appartenenza a sindacati) e ti chiediamo di non fornirci tali dati. Se carichi tali dati come parte dei tuoi Contenuti Utente, lo fai come titolare del trattamento e sei responsabile della loro base lecita.

A.3. Perché Elaboriamo i Tuoi Dati Personali e le Basi Legali

Ai sensi del GDPR, ogni attività di trattamento deve avere una base giuridica. Di seguito vengono illustrate le principali finalità per cui Devaito tratta Dati Personali e la base legale su cui ci affidiamo.

A.3.1 Fornire e Gestire i Servizi

Scopo: create your account, authenticate you, deliver the Services, process transactions, manage subscriptions, provide customer support.
Base giuridica: performance of the contract (Article 6(1)(b) GDPR).

A.3.2 Comunicare con Te sui Servizi

Scopo: send service announcements, security alerts, billing notices, account confirmations, transactional communications.
Base giuridica: performance of the contract and our legitimate interests (Article 6(1)(b) and (f) GDPR).

A.3.3 Per Sicurezza, Prevenzione delle Frodi e Conformità

Scopo: detect and prevent fraud, abuse, and security incidents; verify identity; screen for sanctions; comply with anti-money-laundering, tax, accounting, and other legal obligations.
Base giuridica: compliance with our legal obligations (Article 6(1)(c) GDPR) and our legitimate interests (Article 6(1)(f) GDPR).

A.3.4 Per Migliorare i Servizi

Scopo: analyze usage, debug, A/B test, develop new features.
Base giuridica: our legitimate interests, balanced against your privacy rights (Article 6(1)(f) GDPR). For non-essential analytics that rely on cookies, we rely on your consent (Article 6(1)(a) GDPR and Article 82 of the French Loi Informatique et Libertés).

A.3.5 Per il Marketing

Scopo: send promotional emails about features, offers, and events; show personalized advertising; measure campaign performance.
Base giuridica: your consent (Article 6(1)(a) GDPR), withdrawable at any time. For existing customers, we may rely on the soft opt-in under Article L.34-5 of the French Code des postes et des communications électroniques to send you marketing about similar services, with an easy unsubscribe.

A.3.6 Per Addestrare e Migliorare i Nostri Modelli di AI

Scopo: as further described in Section A.4, improve our AI models and features.
Base giuridica: your explicit opt-in consent (Article 6(1)(a) GDPR). We do not rely on legitimate interests for training-related processing of Personal Data.

A.3.7 Per Reclami Legali e Contenziosi

Scopo: establish, exercise, or defend legal claims; respond to lawful requests from authorities.
Base giuridica: our legitimate interests and compliance with legal obligations (Article 6(1)(c) and (f) GDPR).

A.3.8 Decisioni Automatizzate

We do not use solely-automated decision-making producing legal effects on you within the meaning of Article 22 GDPR. We do use automated systems for fraud detection, abuse prevention, and content moderation, but human review is available where these systems produce decisions that materially affect you (such as account suspension). To request human review, contact .

A.4. Servizi AI e Dati Personali

A.4.1 Cosa Fanno i Servizi di AI

I Servizi AI ti consentono di generare testo, immagini, codice, progetti e altro contenuto a partire da prompt ("Input") per produrre risultati ("Output"). Input e Output possono contenere Dati Personali se decidi di includerli.

A.4.2 Come Elaboriamo Input e Output

Inputs and Outputs are processed to provide the AI Services to you, including by transmitting them to and from third-party AI model providers. The list of current AI providers is in Parte D (Subprocessor).

A.4.3 Uso per l'Addestramento dei Modelli di AI

Piani a pagamento: Devaito does non use the content of your Inputs or Outputs to train its proprietary AI models. We use only anonymized usage signals (latency, error rates, feature usage).

Piani gratuiti: we will not use your Inputs or Outputs to train AI models a meno che non opti esplicitamente through your account settings. This consent is granular, separate from your acceptance of the Terms, and revocable at any time. Withdrawal does not affect the lawfulness of prior processing.

Fornitori terzi: we contractually require our third-party AI providers not to train their models on your Inputs and Outputs unless you have separately opted in.

A.4.4 Dati Sensibili e AI

Ti consigliamo vivamente di non includere Dati Personali sensibili negli Input ai Servizi AI. Se lo fai, sei responsabile di assicurarti di avere una base lecita ai sensi dell'Articolo 9 GDPR.

A.4.5 Trasparenza dell'AI

Dove richiesto dal Regolamento (UE) 2024/1689 (il Regolamento sull'IA dell'UE), ti informeremo che stai interagendo con un sistema di intelligenza artificiale e ti forniremo contenuti generati o modificati dall'IA. Rimani responsabile degli obblighi di divulgazione dell'IA sulla tua piattaforma utente.

A.5. Con Chi Condividiamo i Tuoi Dati Personali

Condividiamo Dati Personali solo con le parti che ne hanno un bisogno legittimo per processarli.

A.5.1 Fornitori di Servizi (Subappaltatori)

We rely on selected service providers to operate the Services. Each is contractually bound to protect your Personal Data and to process it only on our instructions. The current list is in Parte D (Subprocessor).

A.5.2 Affiliati

Potremmo condividere Dati Personali con le nostre affiliati e entità del gruppo per le finalità descritte in questa Informativa sulla Privacy. I trasferimenti intra-gruppo sono regolamentati da misure appropriate, comprese le Clausole Contrattuali Standard, ove applicabile.

A.5.3 Autorità e Requisiti Legali

Potremmo divulgare Dati Personali quando richiesto legalmente, inclusi in risposta a validi ordini di comparizione, decisioni giudiziarie o altre richieste legittime; per rispettare obblighi fiscali, contabili o normativi; o per proteggere i nostri diritti, i nostri utenti o il pubblico. Valutiamo ogni richiesta di legalità e necessità e ti avviseremo ove legalmente permesso.

A.5.4 Trasferimenti Commerciali

Se Devaito è coinvolto in una fusione, acquisizione, vendita di asset, finanziamento o insolvenza, i tuoi Dati Personali potrebbero essere trasferiti alle parti coinvolte, nel rispetto degli obblighi di riservatezza e dei termini di questa Informativa sulla Privacy.

A.5.5 Con la Tua Direzione o Consenso

Condividiamo Dati Personali con terze parti quando ci indichi di farlo (ad esempio, quando colleghi un'app di terze parti tramite il nostro marketplace) o con il tuo consenso separato.

A.5.6 Nessuna Vendita di Dati Personali

Devaito non vende i tuoi Dati Personali nel senso comune di "vendita". Ai fini di alcune leggi statali degli Stati Uniti (vedi Sezione A.13), alcune condivisioni per la pubblicità comportamentale cross-context potrebbero qualificarsi come "vendita" o "condivisione" secondo le ampie definizioni statutarie; hai il diritto di opporverti.

A.6. Trasferimenti Internazionali di Dati

Devaito ha sede in Francia. Potremmo trasferire Dati Personali verso paesi al di fuori dello Spazio Economico Europeo (SEE), del Regno Unito o della Svizzera. In questi casi, ci affidiamo a:

(a) Decisioni di adeguatezza issued by the European Commission, the UK Government, or the Swiss Federal Council.

(b) Clausole contrattuali standard approved by the European Commission (Decision 2021/914) and, for UK transfers, the UK International Data Transfer Addendum.

(c) Quadro sulla privacy dei dati UE-Stati Uniti, where the recipient is certified.

(d) Altri meccanismi di trasferimento riconosciuti as permitted by applicable law.

We have conducted transfer-impact assessments where required and implement supplementary measures (encryption, pseudonymization, access controls) where appropriate. To request a copy of the safeguards in place for a specific transfer, contact .

A.7. Per Quanto Tempo Conserviamo i Tuoi Dati Personali

Manteniamo i Dati Personali solo per il tempo necessario agli scopi descritti in questa Informativa sulla Privacy o come previsto dalla legge:

Dati dell'account: for the duration of your account, plus up to ninety (90) days after account closure.

Registri di fatturazione e fiscali: ten (10) years from the end of the relevant financial year (Article L.123-22 of the French Code de commerce; Article L.102 B of the French Livre des procédures fiscales).

Registri di verifica dell'identità: five (5) years after the end of the relationship (anti-money-laundering rules).

Dati di marketing: three (3) years from your last interaction (CNIL guidance).

Registri di assistenza clienti: five (5) years from closure of the support case.

Cookie: as set out in Part B; maximum thirteen (13) months for analytics and advertising cookies (CNIL guidance).

Log del server: twelve (12) months for security and debugging.

Input e output dell'IA: stored for as long as your account exists, unless deleted earlier by you.

Dopo il periodo di conservazione applicabile, eliminiamo o anonymizziamo i Dati Personali. Alcuni dati possono essere conservati più a lungo per rispettare obblighi legali o difendere pretese; l'accesso è limitato a questi scopi.

A.8. Come Proteggiamo i Tuoi Dati Personali

Implementiamo misure tecniche e organizzative appropriate, tra cui:

– Crittografia durante il transito (TLS) e a riposo per dati sensibili.

– Controlli di accesso basati sul principio del minimo privilegio.

– Autenticazione multi-fattore per l'accesso amministrativo.

– Valutazioni di sicurezza periodiche, test di penetrazione e gestione delle vulnerabilità.

– Conformità PCI-DSS per la gestione dei dati delle carte di pagamento.

– Formazione dei dipendenti sulla sicurezza e sulla protezione dei dati.

– Procedure di risposta agli incidenti e protocolli di notifica delle violazioni.

No system can be guaranteed fully secure. You are responsible for the security of your account credentials and for using strong unique passwords. If you suspect unauthorized access, contact immediately.

A.9. I Tuoi Diritti

Fatto salvo quanto previsto dalla legge applicabile, hai i seguenti diritti:

Diritto di accesso: obtain confirmation of whether we process your Personal Data and a copy.

Diritto di rettifica: have inaccurate or incomplete data corrected.

Diritto alla cancellazione: have your Personal Data deleted in certain circumstances.

Diritto alla limitazione: ask us to restrict processing.

Diritto alla portabilità dei dati: receive your Personal Data in a structured, commonly used, machine-readable format.

Diritto di opposizione: object to processing based on legitimate interests, including profiling, and to direct marketing.

Diritto di revocare il consenso: withdraw consent at any time without affecting the lawfulness of prior processing.

Diritto di presentare reclamo: with a supervisory authority (in France, the CNIL: cnil.fr).

Diritto di definire direttive riguardo al destino dei tuoi dati dopo la morte: under Article 85 of the French Loi Informatique et Libertés.

A.9.1 Come Esercitare i Tuoi Diritti

To exercise any of these rights: (a) use the privacy controls in your account settings, including data export and account-deletion features; or (b) contact .

Rispondiamo entro un (1) mese dal ricevimento, prorogabile di due (2) mesi per richieste complesse (Articolo 12 GDPR). Potremmo verificare la tua identità. Potremmo addebitare una tassa ragionevole o rifiutare richieste manifestamente infondate o eccessive.

A.9.2 Cancellazione dell'Account

Puoi eliminare il tuo account in qualsiasi momento tramite le impostazioni. L'eliminazione rimuove definitivamente i tuoi Contenuti Utente dai sistemi attivi entro novanta (90) giorni, salvo quando previsto dalla legge o per scopi legittimi.

A.10. Privacy dei Minori

The Services are not directed to children under sixteen (16) (or the higher minimum digital-consent age in your jurisdiction). We do not knowingly collect Personal Data from children under that age. If you believe a child has provided Personal Data to us, contact . If you operate a User Platform that collects data from children, you are responsible for obtaining verifiable parental consent and complying with applicable laws (including the GDPR, the U.S. Children's Online Privacy Protection Act, and the UK Age-Appropriate Design Code).

A.11. Comunicazioni da Devaito

A.11.1 Comunicazioni di Servizio e Fatturazione

Invieremo comunicazioni essenziali sul tuo account, sicurezza, fatturazione e modifiche materiali ai Servizi. Queste non possono essere annullate mentre mantieni un account.

A.11.2 Comunicazioni di Marketing

We send marketing only to recipients who have provided consent or who are existing customers receiving information about similar services (soft opt-in). You can unsubscribe at any time using the link in any marketing email or by contacting .

A.12. Dati dell'Utente Finale

If you use the Services to operate a User Platform, you collect Personal Data from your own End Users. For that processing, you are the controller and Devaito is your processor. Parte C (DPA) governs this relationship. You must:

(a) avere una base giuridica per l'elaborazione dei dati End-User;

(b) mantenere una politica sulla privacy trasparente sulla tua Piattaforma Utente;

(c) rispettare i diritti dell'End-User ai sensi della legge applicabile;

(d) implementare misure di sicurezza appropriate e rispondere alle richieste del soggetto dei dati come responsabile del trattamento.

Devaito non ha una relazione diretta con i tuoi End Users. Gli End Users che desiderano esercitare i loro diritti riguardo ai dati elaborati tramite la tua Piattaforma Utente devono contattarti direttamente.

A.13. Informazioni Specifiche per i Residenti degli Stati Uniti

Questa sezione si applica se sei residente di uno stato degli USA con una legge sulla privacy dei consumatori applicabile, inclusi California (CCPA/CPRA), Virginia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon, Montana, Iowa, Tennessee, Indiana, New Jersey, Delaware, New Hampshire, Minnesota, Maryland, e altri.

A.13.1 Categorie di Informazioni Personali

Categorie raccolte (categorie CCPA): identificatori; informazioni commerciali; attività su internet o altre reti elettroniche; dati di geolocalizzazione (solo approssimativi); informazioni audio, elettroniche, visive o simili (ad esempio registrazioni di chiamate di supporto); informazioni professionali o relative all'impiego (quando le fornisci); inferenze tratte da quanto sopra.

A.13.2 Fonti, Finalità, Divulgazioni

Vedi Sezioni A.2, A.3 e A.5.

A.13.3 Dati Personali Sensibili

Non elaboriamo consapevolmente informazioni personali sensibili oltre quanto necessario per fornire i servizi e rispettare la legge. Non utilizziamo le informazioni personali sensibili per inferire caratteristiche su di te.

A.13.4 Vendita e Condivisione

Non vendiamo informazioni personali per compenso monetario. Potremmo impegnarci in "condivisione" o "pubblicità mirata" come definito dalle leggi statali degli USA quando utilizziamo cookie pubblicitari. Hai il diritto di opt-out.

A.13.5 I Tuoi Diritti negli Stati Uniti

Fatto salvo la legge del tuo stato, potresti avere il diritto di: (a) conoscere / accedere; (b) correggere; (c) eliminare; (d) opt-out dalla vendita o condivisione; (e) limitare l'uso di informazioni personali sensibili; (f) non discriminare; (g) fare ricorso.

A.13.6 Come esercitare i diritti negli Stati Uniti

– Email with subject "U.S. State Privacy Request" and your state of residence.

– Usa il link "Non vendere o condividere le mie informazioni personali" nel nostro piè di pagina.

– Invia un segnale di Controllo sulla Privacy Globale (GPC) tramite il tuo browser; rispettiamo GPC come richiesta di opt-out dove previsto dalla legge.

Potremmo verificare la tua identità. Rispondiamo entro i tempi previsti dalla legge del tuo stato (generalmente 45 giorni, prorogabili di altri 45 giorni). Per fare ricorso, rispondi con oggetto "Ricorso".

A.13.7 Rappresentanti autorizzati

Puoi designare un agente autorizzato. Richiederemo la prova dell'autorizzazione e potremmo chiederti di verificare la tua identità direttamente con noi.

A.13.8 California Shine the Light

California residents may request a list of categories of Personal Information disclosed to third parties for direct marketing in the previous calendar year. Send to .

A.13.9 Bambini sotto i 16 anni (California)

Non vendiamo o condividiamo consapevolmente le informazioni personali dei residenti della California sotto i sedici (16) anni senza autorizzazione affermativa.

A.14. Informazioni Specifiche per i Residenti nel Regno Unito

Il GDPR del Regno Unito e il Data Protection Act 2018 si applicano. I diritti sono equivalenti. L'autorità di controllo è l'Office of the UK Information Commissioner (ICO), accessibile su ico.org.uk.

A.15. Altre Regioni

If you reside in a country with a specific data-protection law not addressed above (Brazil's LGPD, Canada's PIPEDA, Australia's Privacy Act, etc.), you may have additional rights. Contact .

A.16. Aggiornamenti alla Politica sulla Privacy

Per modifiche sostanziali — inclusi cambiamenti che espandono le categorie di dati raccolti, le finalità dell'elaborazione o i destinatari della divulgazione — forniremo almeno trenta (30) giorni di preavviso tramite i Servizi o via email. Aggiornamenti non sostanziali vengono pubblicati con una data di "Ultima revisione" aggiornata. L'uso continuato dopo la data di efficacia costituisce accettazione, salvo quanto previsto dalla legge applicabile.

Parte B — Politica sui cookie

Ultima revisione: 29 aprile 2026 · Identificativo sezione: COOK-2026-04

B.1. Cos'è un Cookie

Cookies are small text files placed on your device when you visit a website. Similar technologies include pixels, web beacons, local storage, and software development kits (SDKs). In this Cookie Policy, "Cookie" refers to all of these.

B.2. Categorie di Cookie che Utilizziamo

B.2.1 Cookie strettamente necessari (sempre attivi)

Essenziale per il funzionamento dei Servizi. Questi non richiedono consenso ai sensi dell'Articolo 82 della Loi Informatique et Libertés francese.

Esempi: session authentication, CSRF protection, load balancing, language preference, security challenge tokens (e.g. Cloudflare Turnstile).

Durata tipica: session to 12 months.

B.2.2 Cookie funzionali (autorizzazione richiesta)

Ricorda le tue preferenze e impostazioni per migliorare la tua esperienza.

Esempi: theme preference, recently viewed items, dismissed banners.

Durata tipica: up to 13 months.

B.2.3 Cookie analitici (autorizzazione richiesta)

Aiutaci a capire come vengono usati i Servizi.

Esempi: page views, clicks, session duration, error tracking.

Durata tipica: up to 13 months (CNIL guidance).

B.2.4 Cookie pubblicitari e di marketing (autorizzazione richiesta)

Abituato a consegnare e misurare la pubblicità su Devaito e piattaforme di terze parti.

Esempi: conversion tracking, audience-building, retargeting, attribution.

Durata tipica: up to 13 months.

B.3. Come Gestire i Cookie

Puoi accettare o rifiutare i Cookies non essenziali tramite il nostro banner sui cookie mostrato alla prima visita, e cambiare le tue scelte in qualsiasi momento tramite il link "Impostazioni Cookie" nel nostro piè di pagina.

Puoi anche gestire i Cookie attraverso le impostazioni del tuo browser (eliminare, bloccare o ricevere notifiche). Le istruzioni dettagliate per i principali browser sono disponibili su allaboutcookies.org. Nota che disattivare i Cookie strettamente necessari potrebbe interrompere alcune parti dei Servizi.

B.3.1 Controllo della privacy globale

Riconosciamo il segnale di Controllo della Privacy Globale (GPC) laddove si applichi ai sensi della legge statale degli Stati Uniti. Al momento non rispondiamo ai segnali del browser "Non tracciare" perché non vi è un consenso industriale sulla loro interpretazione.

B.4. Cookie Impostati da Terze Parti

Some Cookies are set by service providers acting on our behalf. These are listed with their purpose and lifespan in Parte D (Subprocessor). The current detailed Cookie inventory, with names and durations, is available through our cookie banner under "Cookie Settings".

B.5. Aggiornamenti alla Politica sui Cookie

Potremmo aggiornare questa Cookie Policy quando aggiungiamo, rimuoviamo o cambiamo i Cookie. Le modifiche sostanziali saranno riflesse nel nostro banner sui cookie e ti verrà chiesto di aggiornare il consenso ove richiesto dalla legge.

Parte C — Addendum al trattamento dei dati (DPA)

Ultima revisione: 29 aprile 2026 · Identificativo sezione: DPA-2026-04

Questa Parte C si applica ai Clienti che utilizzano i Servizi per elaborare Dati Personali dei loro Utenti Finali in qualità di titolari del trattamento ai sensi del GDPR, UK GDPR o FADP svizzero. It forms part of the Devaito Terms. Where you have signed a separate negotiated Data Processing Agreement with Devaito, that agreement prevails over this Part C in case of conflict.

For convenience and signature evidence, a downloadable PDF version of this DPA, including pre-completed Standard Contractual Clauses, is available at devaito.com/legal/dpa.pdf. Contact to request a counter-signed copy.

C.1. Definizioni

Capitalized terms used in this Part C have the meanings given in the Devaito Terms or in applicable data-protection law. In particular: "Cliente" means you, the entity using the Services; "Dati Personali del Cliente" means Personal Data of Customer's End Users processed by Devaito on Customer's behalf; "Leggi sulla Protezione dei Dati" means the GDPR, UK GDPR, Swiss FADP, U.S. state privacy laws, and any other applicable data-protection law.

C.2. Ruoli delle Parti

Per i Dati Personali del Cliente trattati nell’ambito dei Servizi:

(a) Customer is the responsabile del trattamento (or processor on behalf of a third-party controller).

(b) Devaito is the responsabile del trattamento (or sub-processor, where Customer is itself a processor).

(c) Devaito elabora i Dati Personali del Cliente solo su istruzioni documentate del Cliente, comprese le istruzioni fornite attraverso la configurazione e l’uso dei Servizi da parte del Cliente.

C.3. Oggetto, Durata, Natura, Scopo, Categorie di Dati e Interessati

The processing details required by Article 28(3) GDPR are set out in Allegato 1 of this Part C. In summary:

Oggetto: the processing of Customer Personal Data by Devaito as necessary to provide the Services.
Durata: for as long as Customer uses the Services, plus the retention periods set out in Section A.7.
Caratteristiche e scopo: hosting, storage, transmission, retrieval, and processing of Customer Personal Data to provide the Services described in the Devaito Terms.
Categorie di soggetti interessati: Customer's End Users (visitors, customers, members, employees, contacts).
Categorie di Dati Personali: identifiers, contact information, account credentials, transactional data, content uploaded by Customer or its End Users, and any other Personal Data Customer chooses to process through the Services.

C.4. Obblighi di Devaito come Processore

Devaito:

(a) elabora i Dati Personali del Cliente solo su istruzioni documentate del Cliente, tranne nei casi in cui Devaito sia obbligato dalla legge dell’UE o di uno Stato membro a elaborare tali dati, caso in cui informerà il Cliente prima dell’elaborazione, a meno che la legge vieti tale comunicazione;

(b) garantisce che le persone autorizzate a trattare i Dati Personali del Cliente siano soggette a obblighi di riservatezza o obblighi di riservatezza statutari appropriati;

(c) implement appropriate technical and organizational measures as set out in Allegato 2;

(d) rispetta le condizioni per l’engagement di sub-processors come stabilito nella Sezione C.7;

(e) assiste il Cliente, tenendo conto della natura dell'elaborazione, con misure tecniche e organizzative adeguate, nella misura del possibile, per adempiere all’obbligo del Cliente di rispondere alle richieste di esercizio dei diritti dei soggetti interessati;

(f) aiuta il Cliente a garantire la conformità agli Articoli da 32 a 36 del GDPR (sicurezza, notifica delle violazioni, valutazioni d’impatto sulla protezione dei dati, consultazioni preliminari), tenendo conto della natura dell'elaborazione e delle informazioni a disposizione di Devaito;

(g) a scelta del Cliente, elimina o restituisce tutti i Dati Personali al Cliente dopo la fine della fornitura dei Servizi, e elimina le copie esistenti a meno che la legge dell’UE o di uno Stato membro richieda la conservazione;

(h) rende disponibili al Cliente tutte le informazioni necessarie per dimostrare la conformità all’Articolo 28 del GDPR e consente e partecipa a audit, comprese ispezioni, condotti dal Cliente o da un altro auditor incaricato dal Cliente (nel rispetto delle condizioni della Sezione C.9).

C.5. Obblighi del Cliente come Titolare

Il Cliente dichiara e garantisce che:

(a) ha fornito tutte le comunicazioni richieste ai soggetti interessati ed ha ottenuto o possiede una base legale alternativa per il trattamento effettuato ai sensi dei Servizi;

(b) le istruzioni fornite a Devaito (inclusa la configurazione dei Servizi) sono conformi alle leggi sulla protezione dei dati applicabili;

(c) non fornirà a Devaito dati personali sensibili in misura superiore a quella ragionevolmente necessaria, e riconosce che i Servizi non sono progettati per trattare categorie speciali di dati a meno che non siano specificamente supportati e configurati;

(d) è responsabile della precisione, qualità e legalità dei Dati Personali del Cliente e dei mezzi con cui ha acquisito tali dati.

C.6. Sicurezza

Devaito implements and maintains appropriate technical and organizational measures designed to ensure a level of security appropriate to the risk, as further described in Allegato 2. Devaito reviews and updates these measures regularly to maintain effectiveness.

C.7. Sub-processor

(a) Il Cliente fornisce autorizzazione scritta generale affinché Devaito coinvolga sub-processor per elaborare i Dati Personali del Cliente, soggetto a questa Sezione C.7.

(b) Devaito maintains a current list of sub-processors in Parte D.

(c) Devaito will inform Customer of any intended additions or replacements of sub-processors at least venti (30) giorni before the change takes effect, by email to the address Customer designates and/or by updating Part D and notifying through the Services. Customer may object to such change on reasonable grounds related to data protection within fifteen (15) days of notification by emailing . If the parties cannot reach a resolution, Customer may terminate the affected Services without penalty for the period not yet provided.

(d) Devaito impone obblighi relativi alla protezione dei dati a ogni sub-processor che siano almeno altrettanto protettivi di quelli previsti in questa Parte C, tramite contratto scritto.

(e) Devaito rimane pienamente responsabile nei confronti del Cliente per l’adempimento degli obblighi di ogni sub-processor.

C.8. Trasferimenti Internazionali di Dati

Quando i Dati Personali del Cliente vengono trasferiti fuori dall’EEA, dal Regno Unito o dalla Svizzera da parte di Devaito o dei suoi sub-processor, le parti concordano che:

(a) the European Commission's Clausole contrattuali standard (Decision 2021/914) are incorporated by reference and apply to such transfers, with Customer as data exporter and Devaito (or the relevant sub-processor) as data importer. The applicable module is determined by the parties' roles for the transfer in question (typically Module 2: controller to processor; or Module 3: processor to processor where Customer is itself a processor);

(b) for transfers subject to UK GDPR, the Appendice sul trasferimento internazionale dei dati dell'UK issued by the UK Information Commissioner under Section 119A of the Data Protection Act 2018 is incorporated by reference and applies in addition to or in modification of the SCCs as required;

(c) per trasferimenti soggetti al FADP svizzero, si applicano i SCC con le modifiche raccomandate dal Commissario federale svizzero per la protezione dei dati e l'informazione;

(d) è selezionata la clausola di docking e l'opzione della Clausola 7 degli SCC; l'opzione della Clausola 9 (autorizzazione scritta generale per sub-processor) è selezionata con il periodo di preavviso di 30 giorni previsto nella Sezione C.7(c); il linguaggio opzionale nella Clausola 11 riguardante la risoluzione indipendente delle controversie non è adottato; la legge applicabile nella Clausola 17 è la legge della Francia; il foro nella Clausola 18 sono i tribunali di Parigi, Francia;

(e) Devaito ha condotto una valutazione dell'impatto sul trasferimento e applica misure supplementari ove appropriato.

C.9. Verifiche

(a) Su richiesta del Cliente, Devaito fornirà tutte le informazioni ragionevolmente necessarie a dimostrare la conformità con questa Parte C, inclusi rapporti di audit di terze parti, certificazioni (come ISO 27001, SOC 2) e questionari sulla sicurezza.

(b) Il Cliente può, non più di una volta ogni dodici (12) mesi e previa ragionevole comunicazione anticipata (almeno trenta (30) giorni, fatta eccezione in caso di una violazione dei dati personali confermata), condurre o commissionare un audit di terza parte sulle pratiche di protezione dei dati di Devaito nella misura strettamente necessaria per verificare la conformità con questa Parte C.

(c) Gli audit devono essere condotti durante l'orario lavorativo, non devono interferire ingiustificatamente con le operazioni di Devaito, e l'auditor deve eseguire adeguate comunicazioni di riservatezza. Il Cliente sostiene i propri costi di audit salvo che l'audit riveli una non conformità materiale, nel qual caso Devaito rimborserà i costi ragionevoli.

C.10. Violazioni dei Dati Personali

Devaito notificherà al Cliente senza ingiustificato ritardo, e in ogni caso entro settanta-due (72) ore, dopo aver preso coscienza di una Violazione dei Dati Personali che interessa i Dati Personali del Cliente. La notifica, nella misura nota, descriverà la natura della violazione, le categorie e il numero approssimativo di soggetti e record interessati, le conseguenze probabili, e le misure adottate o proposte. Devaito fornirà ragionevole cooperazione per assistere il Cliente nel rispettare i propri obblighi di notifica di violazione.

C.11. Richieste dell'interessato

Devaito fornirà al Cliente un'assistenza ragionevole, inclusa attraverso misure tecniche e organizzative appropriate, per soddisfare l'obbligo del Cliente di rispondere alle richieste dei soggetti dei dati che esercitano i loro diritti ai sensi delle Leggi sulla Protezione dei Dati. Qualora Devaito riceva una richiesta direttamente da un soggetto dei dati relativa ai Dati Personali del Cliente, Devaito trasmetterà prontamente la richiesta al Cliente e non risponderà direttamente se non richiesto dalla legge.

C.12. Ritorno o Eliminazione dei Dati

Alla cessazione dei Servizi, il Cliente può esportare i Dati Personali del Cliente utilizzando gli strumenti di esportazione forniti nei Servizi. Dopo novant (90) giorni dalla cessazione (o qualsiasi periodo più lungo necessario per adempiere agli obblighi legali), Devaito eliminerà i Dati Personali del Cliente dai sistemi attivi. Le copie di backup vengono eliminate nel normale svolgimento delle attività entro il periodo di rotazione del sistema di backup pertinente.

C.13. Responsabilità

La responsabilità di ciascuna parte ai sensi di questa Parte C è soggetta alle limitazioni stabilite nei Termini di Devaito (in particolare il limite aumentato per le violazioni della protezione dei dati), senza pregiudizio alla responsabilità che non può essere limitata ai sensi della legge applicabile.

C.14. Allegati

Appendice 1 — Descrizione del trattamento

Categorie di soggetti interessati: Customer's End Users, including visitors, registered users, customers, members, contacts, and any other individual whose Personal Data Customer chooses to process through the Services.

Categorie di Dati Personali: identifiers (name, email, username), contact details, IP address and device data, login credentials (hashed), transaction data, communications, content uploaded, and any other Personal Data Customer chooses to include.

Categorie sensibili: none by default. The Services are not designed for processing special categories of data within the meaning of Article 9 GDPR. If Customer chooses to process such data, Customer is responsible for ensuring it has the required legal basis.

Frequenza di elaborazione: continuous, for the duration of the Services.

Natura dell'elaborazione: hosting, storage, retrieval, transmission, display, backup, deletion, and other operations necessary to provide the Services.

Scopo: provision of the Services as described in the Devaito Terms.

Periodo di conservazione: as set out in Section A.7 of this document and in Customer's configuration of the Services.

Appendice 2 — Misure tecniche e organizzative

Devaito implementa le seguenti misure per garantire la sicurezza dei Dati Personali del Cliente:

Crittografia: data encrypted in transit using TLS 1.2 or higher; sensitive data at rest encrypted using industry-standard algorithms.

Controllo degli accessi: role-based access control with the principle of least privilege; multi-factor authentication for administrative access; access logs reviewed regularly.

Sicurezza di rete: firewalls, intrusion detection and prevention systems, DDoS protection.

Sicurezza delle applicazioni: secure development lifecycle, code review, static and dynamic application security testing, regular dependency vulnerability scanning.

Sicurezza fisica: data center providers compliant with ISO 27001 or equivalent; restricted physical access; environmental controls.

Personale: background checks where lawful; confidentiality undertakings; mandatory security and privacy training.

Backup e recupero: regular automated backups with tested recovery procedures; geographically redundant backup storage.

Risposta agli incidenti: documented incident-response plan with breach-notification procedures; security operations monitoring.

Gestione dei fornitori: due diligence on sub-processors; contractual security obligations; regular review.

Gestione delle vulnerabilità: regular penetration testing; bug-bounty program; patch-management procedures.

Continuità aziendale: documented business-continuity and disaster-recovery plans; periodic testing.

Registrazione e monitoraggio: security event logging with appropriate retention; log analysis for anomaly detection.

Appendice 3 — Elenco dei sub-processori

The list of authorized sub-processors is maintained in Parte D of this document.

Parte D — Subprocessor

Ultima revisione: 29 aprile 2026 · Identificatore di sezione: SUBP-2026-04

This Part D lists the third-party service providers (sub-processors) that Devaito engages to process Personal Data in connection with the Services. Devaito has data-protection contracts with each sub-processor that are no less protective than the obligations in Parte C (DPA).

D.1. Come Notifichiamo le Modifiche

Devaito may add, remove, or change sub-processors. We will notify Customers of changes at least venti (30) giorni before the change takes effect, by email to the address Customer designates and/or by updating this Part D and notifying through the Services. Customers with an active DPA may object on reasonable data-protection grounds within fifteen (15) days of notification, in accordance with Section C.7.

To receive proactive email notifications of subprocessor changes, subscribe at devaito.com/legal/subprocessor-updates or contact .

D.2. Categorie di Sub-processors

Gli attuali sub-processor sono organizzati per categoria. La tabella dettagliata sottostante identifica, per ciascun sub-processor: il nome legale, la categoria di servizio, il tipo di Dati Personali trattati, il paese di trattamento e il meccanismo di trasferimento dati applicabile quando i dati escono dall'EEA.

D.2.1 Infrastruttura e hosting

Hosting cloud, consegna dei contenuti, DNS, infrastruttura di sicurezza.

D.2.2 Comunicazioni

Consegna di email transazionali e di marketing, SMS, messaggi in-app, strumenti di supporto clienti.

D.2.3 Pagamenti e fatturazione

Elaborazione dei pagamenti, rilevamento frodi per transazioni, fatturazione, servizi fiscali.

D.2.4 Identità, sicurezza e conformità

Autenticazione, rilevamento frodi e abusi (inclusi servizi di rilevamento bot come Cloudflare Turnstile), screening delle sanzioni, monitoraggio della sicurezza.

D.2.5 Fornitori di modelli di intelligenza artificiale

Fornitori di IA di terze parti utilizzati per offrire funzionalità basate sull'IA. Ogni fornitore è vincolato da restrizioni contrattuali tra cui un impegno a non addestrare, salvo opzione separata per migliorare il modello.

D.2.6 Analisi e prodotto

Analisi del prodotto, monitoraggio degli errori, monitoraggio delle prestazioni.

D.2.7 Operazioni interne

Archiviazione documenti, collaborazione interna, contabilità, sistemi HR.

D.3. Tabella Dettagliata dei Sub-processors

L'elenco dettagliato attuale con nomi dei fornitori, servizi, località di elaborazione e meccanismi di trasferimento è pubblicato e aggiornato su devonsato.com/legal/subprocessors. Per obbligo contrattuale, questa lista viene mantenuta sincronizzata con i sub-processori effettivi in uso.

Parte E — Avviso legale (Mentions Légales)

Ultima revisione: 29 aprile 2026 · Identificatore di sezione: LEGN-2026-04

Le informazioni di seguito sono pubblicate ai sensi dell'Articolo 6 III della Loi pour la Confiance dans l'Économie Numérique (LCEN) francese e dell'Articolo L.111-1 del Codice francese dei consumatori.

E.1. Editore

Devaito SAS
Legal form: société par actions simplifiée
Registered office: [registered office address to insert]
Share capital: [share capital amount in EUR to insert]
RCS registration: [city of registration] B [SIREN number]
SIRET: [SIRET number to insert]
VAT number: [intracommunity VAT number to insert]
APE/NAF code: [activity code to insert]
Director of publication: [name and title of legal representative to insert]
Contact:

E.2. Provider di Hosting

[Nome legale del provider di hosting]
[Address]
[Contact information]

E.3. Proprietà Intellettuale

I Servizi, inclusa la loro struttura, contenuto (testi, immagini, video, suoni, software, banche dati, layout e marchi), sono protetti dai diritti di proprietà intellettuale di Devaito SAS o dei suoi licenzianti. Qualsiasi riproduzione, rappresentazione, modifica, pubblicazione o adattamento di tutto o parte dei Servizi, con qualsiasi mezzo, è proibita senza autorizzazione scritta preventiva di Devaito SAS, eccetto quanto espressamente consentito dai Termini di Devaito.

E.4. Segnalazione di Contenuti Illegali

In accordance with Article 6 of the LCEN and Regulation (EU) 2022/2065 (Digital Services Act), illegal content hosted on Devaito or on a User Platform may be reported to . Reports should include the elements required by law to enable assessment.

E.5. Mediazione per i Consumatori

Ai sensi degli Articoli L.611-1 e seguenti del Codice francese dei consumatori, i consumatori francesi possono ricorrere a un mediatore dei consumatori dopo aver tentato di risolvere una controversia con il nostro servizio clienti. Le informazioni sul mediatore attuale verranno pubblicate su devaito.com/legal/mediation quando designato.

E.6. Risoluzione delle Controversie Online (UE)

In conformità con il Regolamento (UE) n. 524/2013, i consumatori dell'UE possono accedere alla piattaforma di Risoluzione Online delle Controversie della Commissione Europea su ec.europa.eu/consumers/odr.

Contatti

Devaito SAS
Privacy & Data Protection:
Legal:
Security:
Copyright:
Billing:
General support:

Indirizzo postale: vedere la Parte E (Nota Legale).

Se non sei soddisfatto della nostra risposta, hai il diritto di presentare un reclamo all'autorità di vigilanza locale. Per i residenti francesi, la CNIL è raggiungibile su cnil.fr o tramite posta a 3 Place de Fontenoy, TSA 80715, 75334 Parigi Cedex 07, Francia.

Questo documento è originariamente scritto in inglese. Potrebbero essere disponibili traduzioni per motivi di convenienza; in caso di conflitto, prevale la versione inglese, salvo dove la legge francese richieda altrimenti per i consumatori francesi.