DATA PROCESSING AGREEMENT - Antherica Srl

  1. Home
  2. DATA PROCESSING AGREEMENT

DATA PROCESSING AGREEMENT

Accordo sul Trattamento dei Dati Personali

ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 ("GDPR")

Versione 1.0

Tra

Antherica S.r.l.
Via Passo Buole n. 82
42123 Reggio Emilia (RE) – Italia
P.IVA / C.F. 02058130358
privacy@antherica.it
dpo@antherica.it

(di seguito "Responsabile" o "Antherica")

e

il soggetto giuridico che sottoscrive o accetta i Termini di Servizio della piattaforma AnthericaMail

(di seguito "Titolare" o "Cliente")

congiuntamente denominate le "Parti".

ARTICOLO 1 – PREMESSE

1.1 Le premesse costituiscono parte integrante e sostanziale del presente Accordo.

1.2 Il Titolare utilizza la piattaforma software "AnthericaMail" per la gestione di campagne email, mailing list, comunicazioni elettroniche, marketing automation e servizi correlati.

1.3 Nell'ambito dell'erogazione del Servizio, Antherica tratta dati personali per conto del Titolare e assume pertanto il ruolo di Responsabile del Trattamento ai sensi dell'articolo 28 GDPR.

1.4 Il presente Accordo disciplina i diritti, gli obblighi e le responsabilità delle Parti relativamente al trattamento dei dati personali.

ARTICOLO 2 – DEFINIZIONI

Ai fini del presente Accordo si applicano le definizioni contenute nel GDPR.

In particolare:

a) "Dati Personali" indica qualsiasi informazione riguardante una persona fisica identificata o identificabile;

b) "Trattamento" indica qualsiasi operazione effettuata sui dati personali;

c) "Interessato" indica la persona fisica cui si riferiscono i dati;

d) "Violazione dei Dati Personali" indica una violazione di sicurezza che comporti distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai dati;

e) "Sub-Responsabile" indica qualsiasi soggetto nominato dal Responsabile per lo svolgimento di specifiche attività di trattamento.

ARTICOLO 3 – OGGETTO DELL'ACCORDO

3.1 Il presente Accordo disciplina il trattamento effettuato dal Responsabile nell'ambito dell'erogazione della piattaforma AnthericaMail.

3.2 Le attività comprendono:

  • hosting dell'applicazione;

  • gestione dell'infrastruttura;

  • manutenzione ordinaria e straordinaria;

  • monitoraggio dei sistemi;

  • backup;

  • supporto tecnico;

  • sicurezza informatica;

  • gestione degli account utente.

3.3 Il Responsabile non determina autonomamente le finalità del trattamento svolto dal Titolare.

ARTICOLO 4 – DURATA

4.1 Il presente Accordo entra in vigore contestualmente all'attivazione del Servizio.

4.2 L'Accordo rimane efficace per tutta la durata del rapporto contrattuale.

4.3 Gli obblighi di riservatezza sopravvivono alla cessazione del rapporto.

ARTICOLO 5 – NATURA E FINALITÀ DEL TRATTAMENTO

Il trattamento viene effettuato esclusivamente per:

  • gestione delle liste di distribuzione;

  • invio di newsletter;

  • invio di comunicazioni transazionali;

  • marketing automation;

  • gestione delle disiscrizioni;

  • gestione dei bounce;

  • analisi statistiche delle campagne;

  • monitoraggio tecnico delle consegne;

  • prevenzione di utilizzi abusivi del servizio.

ARTICOLO 6 – CATEGORIE DI DATI TRATTATI

I dati trattati possono includere:

  • nome;

  • cognome;

  • indirizzo email;

  • numero telefonico;

  • azienda;

  • ruolo professionale;

  • indirizzo IP;

  • dati relativi alle aperture;

  • dati relativi ai clic;

  • dati relativi alle disiscrizioni;

  • log di sistema;

  • dati contenuti nei campi personalizzati creati dal Cliente.

ARTICOLO 7 – CATEGORIE DI INTERESSATI

Possono essere interessati:

  • clienti del Titolare;

  • prospect;

  • iscritti a newsletter;

  • utenti registrati;

  • fornitori;

  • collaboratori;

  • dipendenti del Titolare.

ARTICOLO 8 – ISTRUZIONI DEL TITOLARE

8.1 Il Responsabile tratta i dati esclusivamente sulla base delle istruzioni documentate del Titolare.

8.2 L'utilizzo della piattaforma costituisce istruzione documentata relativamente alle funzionalità utilizzate dal Cliente.

8.3 Qualora un'istruzione appaia manifestamente contraria al GDPR o ad altre normative applicabili, il Responsabile ne informerà il Titolare.

ARTICOLO 9 – OBBLIGHI DEL TITOLARE

Il Titolare garantisce:

a) di disporre di una valida base giuridica per il trattamento;

b) di aver fornito le informative richieste dalla normativa;

c) di aver raccolto eventuali consensi necessari;

d) che i dati caricati siano pertinenti e leciti;

e) che il trattamento sia conforme alla normativa applicabile.

ARTICOLO 10 – UTILIZZO DELLA PIATTAFORMA

10.1 Il Cliente è l'unico responsabile dei contenuti caricati.

10.2 Il Cliente è l'unico responsabile della provenienza delle mailing list.

10.3 Il Cliente si impegna a non utilizzare il Servizio per attività di spam, phishing o comunicazioni illecite.

10.4 Antherica potrà sospendere l'erogazione del servizio in presenza di attività che compromettano la sicurezza o la reputazione dell'infrastruttura.

ARTICOLO 11 – RISERVATEZZA

11.1 Il Responsabile garantisce che il personale autorizzato:

  • sia vincolato da obblighi di riservatezza;

  • riceva adeguata formazione;

  • acceda esclusivamente ai dati necessari allo svolgimento delle proprie mansioni.

11.2 Gli obblighi di riservatezza restano efficaci anche dopo la cessazione del rapporto.

ARTICOLO 12 – SICUREZZA DEL TRATTAMENTO

12.1 Il Responsabile adotta misure tecniche e organizzative adeguate ai sensi dell'articolo 32 GDPR.

12.2 Tali misure comprendono:

  • cifratura delle comunicazioni mediante TLS;

  • firewall di rete;

  • Web Application Firewall (WAF);

  • sistemi di monitoraggio;

  • backup automatici;

  • segregazione logica dei dati;

  • controllo degli accessi;

  • registrazione delle attività amministrative;

  • protezione antimalware;

  • procedure di disaster recovery.

12.3 Le misure di sicurezza possono essere aggiornate nel tempo per mantenere un adeguato livello di protezione.

ARTICOLO 13 – ACCESSO AI DATI DEL CLIENTE

13.1 Il personale Antherica non accede ordinariamente ai dati del Cliente.

13.2 L'accesso ai dati può avvenire esclusivamente:

  • su richiesta del Cliente;

  • per attività di supporto tecnico;

  • per interventi correttivi richiesti dal Cliente;

  • per motivi di sicurezza o continuità operativa.

13.3 Gli accessi sono limitati al personale autorizzato e, ove possibile, tracciati.

ARTICOLO 14 – AUTENTICAZIONE E CONTROLLO ACCESSI

14.1 La piattaforma utilizza autenticazione mediante credenziali personali.

14.2 Il Cliente è responsabile della custodia delle proprie credenziali.

14.3 La Multi-Factor Authentication (MFA) è resa disponibile agli utenti della piattaforma.

ARTICOLO 15 – SUB-RESPONSABILI

15.1 Il Titolare autorizza il Responsabile a ricorrere a Sub-Responsabili.

15.2 Alla data del presente Accordo il Sub-Responsabile autorizzato è:

Akamai Technologies Inc. (Linode)

per l'erogazione dell'infrastruttura cloud e dei servizi di datacenter.

15.3 I dati sono ospitati presso il datacenter situato a Francoforte (Germania).

15.4 Eventuali ulteriori Sub-Responsabili saranno comunicati al Cliente.

ARTICOLO 16 – TRASFERIMENTI INTERNAZIONALI

16.1 I servizi sono erogati esclusivamente all'interno dell'Unione Europea.

16.2 Il Responsabile non effettua trasferimenti intenzionali di dati personali verso Paesi terzi.

16.3 Eventuali trasferimenti futuri saranno effettuati nel rispetto degli articoli 44-49 GDPR.

ARTICOLO 17 – ASSISTENZA AL TITOLARE

Il Responsabile assiste il Titolare, per quanto ragionevolmente possibile, nell'adempimento degli obblighi relativi a:

  • richieste degli interessati;

  • valutazioni d'impatto;

  • consultazioni preventive;

  • notifiche di violazioni dei dati personali.

ARTICOLO 18 – DATA BREACH

18.1 Il Responsabile mantiene procedure interne per la gestione degli incidenti di sicurezza.

18.2 In caso di violazione dei dati personali, il Responsabile informerà il Titolare senza ingiustificato ritardo.

18.3 La comunicazione includerà, ove disponibili:

  • natura dell'incidente;

  • categorie di dati coinvolti;

  • possibili conseguenze;

  • misure adottate.

ARTICOLO 19 – AUDIT

19.1 Il Titolare può richiedere informazioni ragionevoli sulle misure di sicurezza adottate.

19.2 Eventuali audit devono essere richiesti con almeno 30 giorni di preavviso.

19.3 Gli audit non possono compromettere la sicurezza o la continuità operativa dei servizi.

ARTICOLO 20 – CONSERVAZIONE E CANCELLAZIONE DEI DATI

20.1 Alla cessazione del servizio il Cliente può esportare i propri dati.

20.2 I dati saranno conservati per un periodo massimo di 30 giorni dalla cessazione del rapporto.

20.3 Decorso tale termine i dati saranno cancellati dai sistemi produttivi.

20.4 Le copie di backup saranno eliminate entro i normali cicli di retention, comunque non superiori a 30 giorni.

ARTICOLO 21 – LIMITAZIONE DI RESPONSABILITÀ

21.1 Il Responsabile non è responsabile della liceità delle liste utilizzate dal Cliente.

21.2 Il Responsabile non è responsabile dei contenuti delle comunicazioni inviate.

21.3 Il Cliente manleva il Responsabile da contestazioni derivanti da trattamenti effettuati in assenza di adeguata base giuridica.

ARTICOLO 22 – MODIFICHE

Il Responsabile può aggiornare il presente Accordo per adeguamenti normativi, organizzativi o tecnologici, dandone comunicazione al Cliente.

ARTICOLO 23 – LEGGE APPLICABILE

Il presente Accordo è disciplinato dalla legge italiana e dal Regolamento (UE) 2016/679.

ARTICOLO 24 – FORO COMPETENTE

Per ogni controversia relativa al presente Accordo sarà competente in via esclusiva il Foro di Reggio Emilia, salvo diversa disposizione inderogabile di legge.

Informativa

Utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per altre finalità come specificato nella cookie policy.

Puoi acconsentire all'utilizzo di tali tecnologie utilizzando il pulsante "Accetta tutti". Fino a che non sceglierai una opzione utilizzeremo solo i cookie tecnici e necessari.