Hooki Pro Logo
HookiPro.

Data Processing Agreement (DPA)

Versione 1.1 · Aggiornato giugno 2026

Il presente Accordo sul Trattamento dei Dati (DPA) disciplina il trattamento dei dati personali effettuato da Hooki Pro de Daniele Pisu (info@hooki.pro) in qualità di Responsabile del Trattamento, per conto del Cliente in qualità di Titolare del Trattamento, nell'ambito dell'utilizzo della piattaforma Hooki Pro.

1. Oggetto e durata

Il presente DPA si applica a tutti i dati personali trattati da Hooki Pro nell'erogazione del servizio e rimane in vigore per tutta la durata contrattuale, cessando automaticamente alla risoluzione o scadenza dell'abbonamento.

2. Natura dei dati trattati

  • Numeri di telefono e identificativi WhatsApp dei destinatari
  • Contenuto dei messaggi WhatsApp inviati/ricevuti tramite la piattaforma
  • Media allegati ai messaggi (immagini, documenti, audio)
  • Dati di account (email, credenziali crittografate)
  • Dati di fatturazione (Customer ID Stripe, ID abbonamento, metadati fattura — la carta non transita da Hooki)
  • Log tecnici e dati di sessione

3. Finalità del trattamento

I dati sono trattati esclusivamente per erogare il servizio Hooki Pro: gestione delle sessioni WhatsApp, instradamento dei messaggi, invio di webhook, archiviazione dello storico conversazioni, gestione degli abbonamenti e fatturazione tramite Stripe, e funzionalità correlate.

4. Conservazione dei dati

  • Messaggi e media: 90 giorni dal ricevimento/invio
  • Dati account post-terminazione: eliminati entro 30 giorni dalla cessazione del contratto
  • Log tecnici: 30 giorni (rotazione automatica)

5. Misure di sicurezza

  • Cifratura a riposo del database (disco cifrato sui server)
  • Cifratura forte standard di settore per le credenziali WhatsApp
  • Isolamento dei dati per cliente garantito a livello del motore database
  • Autenticazione a due fattori (2FA) disponibile per tutti i ruoli
  • Backup cifrati off-site presso provider certificato in Unione Europea
  • Accesso amministrativo al server solo con chiavi crittografiche, mai password

6. Sub-responsabili (Sub-processor)

Hooki Pro si avvale dei seguenti sub-responsabili, tutti operanti nell'Unione Europea o con adeguate garanzie di trasferimento (SCC/DPF):

IONOS SE

Germania (EU)

DPA

Hosting VPS, database PostgreSQL, Redis, MinIO object storage — infrastruttura principale della piattaforma

Base giuridica: EU-based — nessun trasferimento extra-SEE

Categorie di dati: Dati account, messaggi WhatsApp, media, log tecnici

Vercel Inc.

USA (edge EU — Francoforte, Germania)

DPA

Hosting frontend (login.hooki.pro, admin.hooki.pro, hooki.pro) e CDN globale

Base giuridica: Standard Contractual Clauses (SCC) + EU-US Data Privacy Framework (DPF)

Categorie di dati: Dati di navigazione, IP, user agent dei visitatori del frontend

MailerSend

Lituania (EU)

DPA

Invio email transazionali (notifiche, reset password, onboarding)

Base giuridica: EU-based — ISO 27001

Categorie di dati: Indirizzo email destinatario, contenuto email transazionale

Scaleway SAS

Francia (EU)

DPA

Backup off-site cifrati del database PostgreSQL (bucket fr-par, Parigi)

Base giuridica: EU-based — ISO 27001, nessun trasferimento extra-SEE

Categorie di dati: Backup completo del database (tutti i dati della piattaforma in forma cifrata)

Stripe Payments Europe Ltd.

Irlanda (EU) + USA

DPA

Elaborazione pagamenti e gestione abbonamenti delle agenzie/maker. I dati della carta non transitano mai dai sistemi Hooki — sono custoditi direttamente da Stripe (PCI-DSS Level 1).

Base giuridica: Standard Contractual Clauses (SCC) + EU-US Data Privacy Framework (DPF) — PCI-DSS Level 1

Categorie di dati: Ragione sociale agenzia, email di contatto, dati della carta di pagamento (custoditi da Stripe), metadati fatturazione

7. Trasferimenti extra-SEE

I dati sono processati primariamente all'interno dell'Unione Europea. Trasferimenti extra-SEE avvengono per: (a) metadata di navigazione del frontend (Vercel, USA) e (b) elaborazione dei pagamenti tramite Stripe Payments Europe Ltd. (Irlanda, con trasferimenti verso USA coperti da SCC + EU-US Data Privacy Framework). I dati della carta di pagamento non transitano mai da Hooki e sono custoditi esclusivamente da Stripe (certificazione PCI-DSS Level 1). L'elenco completo dei sub-responsabili è disponibile alla pagina Sub-responsabili.

8. Diritti dell'interessato

Il Cliente (Titolare) è responsabile di gestire le richieste degli interessati. Hooki Pro supporta l'esercizio di tali diritti fornendo strumenti di esportazione ed eliminazione dati disponibili nel pannello di controllo o su richiesta all'indirizzo info@hooki.pro.

9. Notifica violazioni

In caso di violazione dei dati personali, Hooki Pro notificherà il Cliente entro 72 ore dalla presa di conoscenza, fornendo le informazioni necessarie per adempiere agli obblighi di notifica previsti dal GDPR (art. 33-34).

10. Contatti

Per qualsiasi questione relativa al presente DPA: info@hooki.pro