Mailsenpai, in persona del Legale Rappresentante, pro tempore (“Mailsenpai” o “Responsabile”) e il Cliente, , nella persona del suo Legale Rappresentante pro tempore, (“Titolare” o “Cliente”) hanno stipulato un contratto di licenza d’uso di un “Software As A Service” per l’invio di comunicazioni marketing e transazionali e per la fornitura dei Servizi del Responsabile, che implica attività di trattamento di dati personali (di seguito, il “Contratto”).
Il presente accordo per il trattamento dei dati (compresi i suoi allegati, “Accordo per il Trattamento dei Dati”) contiene le previsioni dell’art. 28 GDPR come interpretate dal Comitato Europeo per la protezione dei dati personali nell’Opinione 14/2019.
L’Accordo per il Trattamento dei Dati è concluso tra Mailsenpai e il Cliente ed integra il Contratto. L’Accordo per il Trattamento dei Dati sarà efficace, e sostituirà qualsiasi altro accordo tra le parti precedentemente applicabile in relazione allo stesso oggetto (comprese eventuali modifiche o addendum al trattamento dei dati relativi ai Servizi del Responsabile), a partire dalla Data di Entrata in Vigore e per tutta la Durata.
Se stai sottoscrivendo il presente Accordo per il Trattamento dei Dati per conto del Cliente, garantisci che: (a) hai il potere di rappresentanza per vincolare il Cliente al presente Accordo per il Trattamento dei Dati; e (b) sottoscrivi, per conto del Cliente, il presente Accordo per il Trattamento dei Dati. Ti preghiamo di non sottoscrivere il presente Accordo per il Trattamento dei Dati e di trasmetterlo a chi di competenza se non disponi del potere di rappresentanza per vincolare il Cliente.
1. Premessa
L’Accordo per il Trattamento dei Dati (DPA) riflette l’accordo delle parti rispetto al trattamento dei Dati Personali del Cliente come disciplinato dalla Legislazione europea e nazionale.
2. Definizioni
2.1 Nell’Accordo per il Trattamento dei Dati, tutti i termini con lettera maiuscola hanno il seguente significato:
Autorità di Controllo – si intende una “autorità di controllo” come definita nel GDPR.
Mailsenpai – indica la parte del Contratto che eroga il servizio.
Data di Entrata in Vigore – si intende la data in cui Mailsenpai ha sottoscritto o le parti hanno altrimenti concordato l’efficacia del Contratto o dell’Accordo per il Trattamento dei Dati.
Dati Personali del Cliente – si intendono i dati personali del Cliente che vengono trattati da Mailsenpai nella fornitura dei Servizi da parte di Mailsenpai.
Documentazione di Sicurezza – si intende la documentazione che Mailsenpai rende disponibile in relazione ai Servizi del Responsabile e richiamata nell’Appendice 2.
Durata – si intende il periodo che va dalla Data di Entrata in Vigore fino al termine della fornitura da parte di Mailsenpai dei Servizi del Responsabile ai sensi del Contratto.
GDPR – si intende il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE.
Incidente – si intende una violazione della sicurezza di Mailsenpai che comporta la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai Dati Personali del Cliente su sistemi gestiti o altrimenti controllati da Mailsenpai.
Indirizzo E-mail di Notifica – si intende l’indirizzo inserito dal Cliente nell’apposita sezione anagrafica dedicata al contatto privacy, come previsto dall’art. 5.3 dell’Accordo.
Istruzioni Aggiuntive – si intendono le istruzioni aggiuntive che riflettono l’accordo delle parti sulle ulteriori condizioni che disciplinano il trattamento di alcuni dati in relazione a determinati Servizi del Responsabile.
Legislazione europea e nazionale – si intende il GDPR e la legislazione dello Stato Membro dell’UE applicabile al trattamento dei Dati Personali del Cliente.
Meccanismi di Trasferimento – si intende una decisione vincolante emessa dalla Commissione Europea che permette il trasferimento di dati personali dallo SEE verso un paese terzo il cui l’ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei dati personali. Ove tale decisione vincolante non sia presente o efficace, si intendono le Clausole Contrattuali Tipo di volta in volta approvate dalla Commissione Europea per il trasferimento di dati personali nonché le norme vincolanti di impresa (BCRs).
Misure di Sicurezza – si intende quanto indicato nella Sezione 7.1.1. (Misure di Sicurezza sui sistemi di Mailsenpai).
SEE – si intende lo Spazio Economico Europeo.
Servizi del Responsabile – si intendono i servizi offerti ai sensi del Contratto e descritti complessivamente nell’Appendice 1.
Subresponsabili – si intendono i terzi autorizzati ai sensi del presente Accordo per il Trattamento dei Dati a trattare i Dati Personali del Cliente al fine di fornire parte dei Servizi del Responsabile e/o qualsiasi supporto tecnico correlato.
2.2 I termini “Dati Personali“, “Interessato“, “Responsabile”, “Titolare“, “Trattamento” hanno il significato indicato nel GDPR.
2.3 I termini “includere” e “incluso” sono illustrativi e non sono l’unico esempio di un particolare concetto.
2.4 Qualsiasi riferimento a una legge, regolamento, statuto o altro atto legislativo è un riferimento a quest’ultimi, come di volta in volta modificati o riformulati.
2.5 Se il presente Accordo per il Trattamento di Dati fosse tradotto in un’altra lingua e vi è una discrepanza tra il testo in italiano e il testo tradotto, prevarrà il testo in italiano.
3. Durata
Il presente Accordo per il Trattamento di Dati ha effetti per tutta la Durata e fino alla cancellazione da parte del Responsabile di tutti i Dati personali del Cliente.
4. Ambito di Applicazione
4.1 Applicazione dei Servizi del Responsabile. Il presente Accordo per il Trattamento di Dati si applica solo ai servizi per i quali le parti ne hanno concordato l’applicazione, e quindi ai servizi indicati nel Contratto.
4.2 Applicazione delle Istruzioni Aggiuntive. Il Titolare potrà, nel corso della Durata, fornire a Mailsenpai delle Istruzioni Aggiuntive, che Mailsenpai non potrà irragionevolmente rifiutare se tali Istruzioni Aggiuntive siano necessarie per consentire al Titolare di rispettare qualsiasi obbligo gravante sul Titolare derivante dalla Legislazione europea e nazionale. In tutti gli altri casi Mailsenpai avrà il diritto di negoziare con il Titolare il contenuto delle Istruzioni Aggiuntive e non sarà obbligata ad implementarle fino al raggiungimento di un accordo. Una volta che entrambe le Parti avranno confermato le Istruzioni Aggiuntive, le stesse dovranno considerarsi parte integrante di questo Accordo per il Trattamento dei Dati.
4.3 Costi derivanti dall’implementazione delle Istruzioni Aggiuntive. Le Istruzioni Aggiuntive e/o la loro integrazione, modificazione o riduzione non dovranno comportare costi aggiuntivi a carico di Mailsenpai; in caso contrario, il Titolare riconosce e accetta che tutti i costi derivanti, direttamente o indirettamente, dall’adeguamento di Mailsenpai alle Istruzioni Aggiuntive sono ad esclusivo carico del Titolare.
5. Trattamento dei dati
5.1 Ruoli, responsabilità e istruzioni
5.1.1 Le parti riconoscono e concordano che: (a) l’Appendice 1 descrive l’oggetto e i dettagli del trattamento dei Dati Personali del Cliente; (b) Mailsenpai agisce come Responsabile per i Dati Personali del Cliente ai sensi della Legislazione europea e nazionale; (c) il Cliente agisce come Titolare o Responsabile, a seconda dei casi, dei Dati personali del Cliente e ai sensi della Legislazione europea e nazionale; e (d) ciascuna parte si conformerà agli obblighi ad essa applicabili ai sensi della Legislazione europea e nazionale rispetto al trattamento dei Dati Personali del Cliente.
5.1.2 Autorizzazione da parte del terzo Titolare. Se il Cliente agisce come Responsabile per conto di una Consociata del Cliente o di un diverso Titolare, il Cliente garantisce a Mailsenpai che le istruzioni e le azioni del Cliente in relazione ai Dati Personali del Cliente, compresa la nomina di Mailsenpai, sono state autorizzate dal rispettivo Titolare.
5.2 Istruzioni del Titolare. Con il presente Accordo per il Trattamento di Dati, il Titolare incarica Mailsenpai di trattare i Dati Personali del Cliente: (a) solo in conformità alla legge applicabile: (b) solo per fornire i Servizi del Responsabile e qualsiasi supporto tecnico correlato; (c) come ulteriormente specificato/indicato dal Cliente attraverso l’uso da parte sua dei Servizi del Responsabile (incluse modifiche alle impostazioni e/o alle funzionalità dei Servizi del Responsabile) e di qualsiasi supporto tecnico correlato; (d) come documentato nel Contratto, incluso il presente Accordo per il Trattamento di Dati; (e) al fine di garantire un livello di sicurezza adeguato al rischio, per eseguire screening automatici di confronto con liste di controllo predefinite, mediante l’utilizzo di sistemi automatici in grado di rilevare contatti acquisiti o mantenuti in difformità alle best practices di settore, per rilevare eventuali abusi, operandone un’automatica disiscrizione; e (f) come ulteriormente documentato in qualsiasi istruzione scritta fornita dal Titolare a Mailsenpai come ulteriore istruzione ai fini del presente Accordo per il Trattamento di Dati.
5.3 Conformità di Mailsenpai alle istruzioni. Mailsenpai si atterrà alle istruzioni di cui alla Sezione 5.2 (Istruzioni del Titolare) a meno che la Legislazione europea o nazionale cui è soggetta non richieda a quest’ultima di intraprendere un diverso o ulteriore trattamento dei Dati Personali del Cliente (es. trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale), nel qual caso Mailsenpai informerà tempestivamente il Cliente all’Indirizzo E-mail di Notifica (a meno che tale legislazione non vieti a Mailsenpai di farlo per importanti motivi di interesse pubblico).
6. Cancellazione ed esportazione dei dati
6.1 Cancellazione ed esportazione per il periodo di Durata
6.1.1 Servizi del Responsabile con funzionalità di esportazione. Nella misura in cui i Servizi del Responsabile includono la possibilità per il Titolare di esportare autonomamente e in formato interoperabile i Dati Personali del Cliente, Mailsenpai si impegna, per quanto possibile, a fare in modo che tale operazione sia garantita per tutta la Durata e comunque nel rispetto di eventuali ulteriori specifiche disposizioni contenute nel Contratto.
6.1.2 Servizi del Responsabile con funzionalità di cancellazione. Nella misura in cui i Servizi del Responsabile includono la possibilità per il Cliente di cancellare autonomamente i Dati Personali del Cliente, Mailsenpai si impegna, per quanto possibile, a fare in modo che tale cancellazione sia garantita per tutta la Durata, a meno che la Legislazione europea e nazionale non richieda la conservazione per un tempo più lungo. In tale ultimo caso, Mailsenpai tratterà i Dati Personali del Cliente solo per gli scopi e la durate definite da tale legislazione. Rimangono comunque valide eventuali ulteriori specifiche disposizioni contenute nel Contratto.
6.2 Cancellazione alla scadenza della Durata. Alla scadenza della Durata, il Cliente ordina a Mailsenpai di cancellare tutti i Dati Personali del Cliente (incluse le copie esistenti) dai sistemi di Mailsenpai in conformità alla legge applicabile. Mailsenpai darà esecuzione a questa istruzione non appena ragionevolmente possibile , salvo che la Legislazione europea e nazionale non ne richieda la conservazione conformemente a quanto previsto dal successivo punto 6.3.
6.3 Modalità di cancellazione dei dati del Cliente. Trascorsi 10 (dieci) giorni dalla Data di scadenza o di scioglimento del Contratto per qualsiasi causa, Mailsenpai avrà la facoltà di cancellare i dati archiviati per conto del Cliente nella piattaforma Mailsenpai, compresi eventuali crediti residui come specificati nel Contratto. Tali dati saranno consultabili e scaricabili liberamente da parte del Cliente entro il termine sopra indicato utilizzando le normali funzionalità della Piattaforma Mailsenpai. In caso di sospensione dell’accesso alla piattaforma Mailsenpai per irregolarità amministrative il Cliente potrà accedere esclusivamente dopo aver rimosso la causa che ha determinato il blocco. Ferma restando tale facoltà di cancellazione, tempistiche di conservazione più lunghe possono essere dettate anche da esigenze diverse da quelle indicate all’interno di questo Contratto, in particolare in caso di indagini da parte della Polizia Giudiziaria o Enti preposti ad eventuali controlli.
7. Sicurezza dei dati
7.1 Misure di Sicurezza e assistenza da parte di Mailsenpai
7.1.1 Misure di Sicurezza sui sistemi di Mailsenpai. Mailsenpai adotterà e manterrà misure tecniche e organizzative per proteggere i Dati Personali del Cliente da distruzione accidentale o illecita, perdita, alterazione, divulgazione o accesso non autorizzati come descritto nell’Appendice 2. Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento posti in essere con i Servizi del Responsabile, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, l’Appendice 2 deve comprendere in ogni momento misure di sicurezza atte a: (a) cifrare i dati personali; (b) contribuire a garantire la riservatezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di Mailsenpai; (c) contribuire a ripristinare tempestivamente i dati personali a seguito di un incidente; e (d) verificarne periodicamente l’efficacia. Mailsenpai ha il diritto di aggiornare o modificare le Misure di Sicurezza, a condizione che tali aggiornamenti e modifiche non comportino il deterioramento della sicurezza complessiva dei Servizi del Responsabile.
7.1.2 Misure di Sicurezza per il personale di Mailsenpai. Mailsenpai adotterà misure adeguate per garantire il rispetto delle Misure di Sicurezza da parte di tutti coloro che operano sotto la sua autorità compresi i propri dipendenti, agenti, appaltatori e Subresponsabili nella misura a loro applicabile secondo la prestazione effettivamente svolta, inclusa l’assicurazione sul fatto che tutte le persone autorizzate a trattare i Dati Personali del Cliente si sono impegnate alla riservatezza o sono soggette a un adeguato obbligo di riservatezza in conformità con la Legislazione europea e nazionale. Mailsenpai inoltre gestirà tutti gli obblighi connessi alla nomina ad amministratore di sistema del proprio personale preposto alla gestione e alla manutenzione dei Servizi del Responsabile, conformemente a quanto disposto dal provvedimento dell’Autorità di Controllo del 27 novembre 2008;
7.1.3 Assistenza sulla sicurezza dei dati da parte di Mailsenpai. Mailsenpai assisterà il Titolare nel garantire il rispetto di eventuali obblighi del Titolare in materia di sicurezza dei dati personali e violazioni dei dati personali, compresi (se del caso) gli obblighi del Titolare ai sensi degli articoli da 32 a 34 GDPR, attraverso:
(a) l’attuazione e manutenzione delle Misure di Sicurezza conformemente alla Sezione 7.1.1. (Misure di Sicurezza sui sistemi di Mailsenpai);
(b) l’attuazione di quanto indicato nella Sezione 7.2 (Incidenti sui dati); e
(c) fornendo al Titolare la Documentazione di Sicurezza in conformità alla Sezione 7.5.1 (Revisione della Documentazione di Sicurezza) e le informazioni previste nel presente Accordo per il Trattamento dei Dati.
7.2 Incidenti sui dati
7.2.1 Diligenza professionale. Mailsenpai adotta la diligenza professionale nel monitorare la sicurezza dei Dati Personali del Cliente trattati nell’erogazione dei Servizi del Responsabile.
7.2.2 Notifica di Incidente. Se Mailsenpai viene a conoscenza di un Incidente, Mailsenpai: (a) informerà tempestivamente e senza ingiustificato ritardo il Titolare dell’Incidente; e (b) adotterà tempestivamente misure ragionevoli per ridurre al minimo i danni e proteggere i Dati Personali del Cliente (c) presterà la dovuta collaborazione al Titolare al fine di investigarne le cause e la gravità dell’Incidente.
7.2.3. Dettagli dell’Incidente. Le notifiche effettuate ai sensi della Sezione 7.2.2 (Notifica di Incidente) descriveranno, per quanto a conoscenza di Mailsenpai (anche a mezzo di notifiche integrative), i dettagli dell’Incidente, comprese le categorie ed il numero approssimativo di Interessati coinvolti e di registrazioni dei dati personali in questione, i potenziali rischi per gli Interessati e le misure che Mailsenpai ha adottato o che raccomanda al Titolare di adottare per affrontare l’Incidente e mitigarne gli effetti. Qualora non sia possibile fornire le suddette informazioni specifiche nel termine previsto, Mailsenpai indicherà al Titolare i motivi del ritardo, fornendo comunque delle informazioni iniziali riferite alla violazione riscontrata ed utili al Titolare ai fini della relativa notifica.
7.2.4 Invio della notifica. Mailsenpai invierà la notifica di qualsiasi Incidente all’Indirizzo E-mail di Notifica.
7.3 Responsabilità e valutazione della sicurezza da parte del Cliente
7.3.1 Responsabilità del Titolare sulla sicurezza. Fatti salvi gli obblighi di Mailsenpai ai sensi delle Sezioni 7.1 (Misure di Sicurezza e assistenza da parte di Mailsenpai) e 7.2 (Incidenti sui dati), il Titolare accetta che è l’unico responsabile per l’utilizzo dei Servizi del Responsabile, incluso proteggere le credenziali di autenticazione degli account, i sistemi e i dispositivi utilizzati dal Titolare per accedere ai Servizi del Responsabile.
7.4 Certificazione di sicurezza. Per valutare e contribuire a garantire la continua efficacia delle Misure di Sicurezza, Mailsenpai potrebbe, a sua libera discrezione, integrare le Misure di Sicurezza e la Documentazione di Sicurezza con l’ottenimento di certificazioni, codici di condotta e/o meccanismi di certificazione.
7.5 Verifiche e audit
7.5.1 Revisione della Documentazione di Sicurezza. Per dimostrare il rispetto da parte di Mailsenpai degli obblighi previsti dal presente Accordo per il Trattamento dei Dati, Mailsenpai metterà a disposizione del Cliente le informazioni relative alle misure tecniche, organizzative e di sicurezza adottate, nonché l’eventuale Documentazione di Sicurezza disponibile, effettivamente necessarie per la compliance normativa del Cliente e che dovessero essere formalmente richieste per iscritto dal Cliente per l’adempimento degli obblighi di legge e per dimostrare l’adozione di misure tecniche e organizzative adeguate.
7.5.2 Diritto di audit da parte del Cliente. Le parti convengono che:
(a) Mailsenpai contribuirà altresì alle attività ispettive e di audit che il Cliente vorrà effettuare, direttamente o per il tramite di un altro soggetto da questo incaricato.
(b) tali attività dovranno essere svolte salvaguardando la normale operatività di Mailsenpai;
(c) l’uso delle informazioni di cui il Titolare e l’eventuale soggetto incaricato dal Titolare dovessero venire a conoscenza nel corso dell’audit dovrà essere preventivamente regolamentato da un apposito accordo di confidenzialità.
7.5.3 Condizioni aggiuntive per gli audit. Per lo svolgimento di audit:
(a) Il Titolare invierà a Mailsenpai la richiesta di verifica ai sensi della Sezione 7.5.2(a) come descritto nella Sezione 12.1 (Contatti di Mailsenpai), con un preavviso di almeno 30 (trenta) giorni lavorativi, fermo restando che tale attività non potrà essere effettuata dal Titolare con una frequenza superiore a 1 (una) volta all’anno e, in ogni caso, prima che siano decorsi 12 (dodici) mesi dall’ultima attività di audit svolta o commissionata dal Titolare;
(b) in seguito al ricevimento da parte del Titolare di una richiesta ai sensi della Sezione 7.5.3(a), Mailsenpai e il Titolare si impegnano a discutere e concordare in anticipo la data di inizio, la portata e la durata, i controlli su sicurezza e riservatezza applicabili a qualsiasi audit ai sensi della Sezione 7.5.2(a);
(c) nessuna disposizione del presente Accordo per il Trattamento dei Dati può richiede a Mailsenpai o a sue Consociate di rivelare o consentire l’accesso al Titolare o al revisore terzo a:
(i) dati di qualsiasi altro cliente di Mailsenpai;
(ii) informazioni contabili o finanziarie interne a Mailsenpai;
(iii) segreti commerciali e know how di Mailsenpai;
(iv) qualsiasi informazione che potrebbe compromettere la sicurezza dei sistemi o dei locali di Mailsenpai; o far sì che Mailsenpai violi gli obblighi derivanti dalla Legislazione europea e nazionale o i suoi obblighi di sicurezza nei confronti del Titolare o di terzi; oppure
(v) qualsiasi informazione alla quale il Titolare o il terzo revisore cerchi di accedere per ragioni diverse dall’adempimento in buona fede degli obblighi del Titolare ai sensi della Legislazione europea e nazionale.
(d) lo svolgimento delle attività di verifica e controllo è condizionato alla conclusione di uno specifico accordo di riservatezza tra tutte le parti coinvolte.
7.5.4 Il Titolare riconosce e accetta che tutti i costi derivanti dallo svolgimento degli audit ai sensi della presente Sezione 7.5 (quali, a titolo esemplificativo, i costi dei propri dipendenti e degli eventuali consulenti incaricati) sono a proprio esclusivo carico.
8. Valutazioni d'impatto e consultazione preventiva
Mailsenpai accetta (tenendo conto della natura del trattamento e delle informazioni a sua disposizione) di fornire una ragionevole assistenza al Titolare al fine di garantire il rispetto di eventuali obblighi del Titolare in materia di valutazioni d’impatto sulla protezione dei dati e di consultazione preventiva, compresi gli obblighi del Titolare ai sensi degli articoli 35 e 36 GDPR.
9. Diritti degli Interessati
9.1 Risposte alle richieste degli Interessati. Mailsenpai garantisce un’adeguata tutela dei diritti dell’interessato, supportando il Cliente al fine di adempiere al proprio obbligo di dare seguito alle richieste degli Interessati per l’esercizio dei propri diritti, anche qualora tali richieste siano ricevute da Mailsenpai. In tal caso, Mailsenpai comunicherà all’Interessato di indirizzare la propria richiesta direttamente al Titolare. In ogni caso il Titolare sarà l’unico responsabile di rispondere alla richiesta dell’Interessato.
9.2 Assistenza di Mailsenpai per le richieste degli Interessati. Mailsenpai accetta (tenendo conto della natura del trattamento dei Dati Personali del Cliente) di fornire una ragionevole assistenza al Titolare al fine di adempiere agli obblighi del Titolare rispetto alle richieste di esercizio dei diritti dell’Interessato di cui al Capitolo III GDPR attraverso: (a) ove possibile, la messa a disposizione di funzionalità specifiche nei Servizi del Responsabile; (b) il rispetto degli impegni di cui alla Sezione 9.1 (Risposte alle richieste degli Interessati).
10. Trasferimenti di dati
10.1 Strutture per la memorizzazione e l’elaborazione dei dati. Il Titolare accetta e autorizza Mailsenpai affinché possa trattare (anche tramite Subresponsabili) i Dati Personali del Cliente all’interno e all’esterno dello SEE purché tali trattamenti siano sorretti da idonei Meccanismi di Trasferimento, da indicare nell’Appendice 3.
11. Subresponsabili
11.1 Autorizzazione all’impiego di Subresponsabili. Il Titolare conferisce autorizzazione generale all’impiego di Subresponsabili per l’erogazione dei Servizi del Responsabile.
11.2 Informazioni sui Subresponsabili. Mailsenpai accetta di riportare l’elenco aggiornato e le rispettive informazioni sui Subresponsabili nell’Appendice 3 del presente Accordo per il Trattamento dei Dati.
11.3 Requisiti per il coinvolgimento dei Subresponsabili. Quando impiega un Subresponsabile, Mailsenpai:
(a) garantirà tramite un contratto scritto o un altro atto giuridico vincolante che:
(i) il Subresponsabile acceda ed utilizzi i Dati Personali del Cliente solo nella misura necessaria per adempiere agli obblighi a lui affidati in subappalto, in conformità con il Contratto (incluso il presente Accordo per il Trattamento dei Dati) e con i Meccanismi di Trasferimento;
(ii) equivalenti obblighi di protezione dei dati di cui all’articolo 28(3) GDPR siano imposti al Subresponsabile;
(b) rimane pienamente responsabile di tutti gli obblighi subappaltati al Subresponsabile.
11.4 Possibilità di opporsi alle modifiche dei Subresponsabili. Le parti convengono che:
(a) per il periodo di Durata, Mailsenpai notificherà all’Indirizzo E-mail di Notifica l’intenzione di impiegare nuovi Subresponsabili per il trattamento dei Dati Personali del Cliente. Tale comunicazione includerà il nome, l’attività svolta, il Paese di stabilimento dei Subresponsabili impiegati nonché il Meccanismo di Trasferimento ove applicabile;
(b) il Titolare, nel caso in cui ritenesse, motivandolo e documentandolo, che il Subresponsabile non sia idoneo al trattamento dei Dati Personali del Cliente, potrà opporsi all’impiego di tale Subresponsabile comunicandolo a Mailsenpai entro 10 giorni dalla notifica dell’impiego dei nuovi Subresponsabili.
Mailsenpai potrà, a sua discrezione, i) non impiegare il Subresponsabile per il trattamento dei Dati Personali del Cliente; oppure ii) recedere dal Contratto dandone comunicazione al Cliente entro 30 giorni dalla notifica dell’impiego dei nuovi Subresponsabili come descritto nella Sezione 11.4(a), restando inteso che il Cliente rimane tenuto al pagamento dell’intero corrispettivo dovuto ai sensi del Contratto;
(c) in caso di mancata opposizione come indicato nella Sezione 11.4(b), Mailsenpai si impegna a trasmettere all’Indirizzo E-mail di Notifica l’Appendice 3 aggiornata che diverrà parte integrante del presente Accordo per il Trattamento dei Dati.
12. Contatti di Mailsenpai
12.1 Contatti di Mailsenpai. Il Titolare contatta Mailsenpai in relazione a tutto quanto contenuto nel presente Accordo per il Trattamento dei Dati, in successione alternativa, all’indirizzo e-mail/pec: a) indicato da Mailsenpai nel Contratto; b) utilizzato da Mailsenpai durante l’erogazione dei Servizi del Responsabile per ricevere alcune notifiche del Titolare relative al presente Accordo per il Trattamento dei Dati.
13. Conflitti
13.1 Conflitti tra gli accordi delle parti. In caso di conflitto o incoerenza tra le previsioni del Contratto, dell’Accordo per il Trattamento dei Dati e le Istruzioni Aggiuntive, ove non diversamente stabilito nel presente Accordo per il Trattamento, si applica il seguente ordine di prevalenza: (a) le Istruzioni Aggiuntive; (b) le restanti previsioni dell’Accordo per il Trattamento dei Dati; e (c) le restanti previsioni del Contratto. Fatte salve eventuali modifiche dell’Accordo per il Trattamento dei Dati, il Contratto rimane pienamente valido ed efficace.
13.2 Violazioni di norme di legge o di regolamento. Ogni previsione del Contratto, dell’Accordo per il Trattamento dei Dati e/o delle Istruzioni Aggiuntive contraria alla Legislazione europea e nazionale deve intendersi come non riportata e integralmente sostituita dalla norma violata nel caso in cui non sia derogabile da un accordo tra le parti.
14. Foro competente
In caso di controversie relative all’esecuzione o interpretazione del presente Accordo per il Trattamento di Dati, le parti assegnano la competenza esclusiva al foro previsto dal Contratto, con espressa deroga a quanto eventualmente diversamente stabilito da leggi o convenzioni internazionali.
Appendice 1 - Trattamento dei dati: oggetto e dettagli
Oggetto
La messa a disposizione di una piattaforma che permette all’utente di gestire direttamente ed in proprio campagne marketing e comunicazioni on-line, mediante l’utilizzo del canale di messaggistica come meglio definito nel Contratto.
Durata del trattamento
Per il periodo di Durata più il periodo successivo fino alla cancellazione di tutti i Dati Personali del Cliente da parte di Mailsenpai in conformità all’Accordo per il Trattamento dei Dati e alle disposizioni del Contratto.
Natura e finalità del trattamento dei Servizi del Responsabile
Mailsenpai tratterà Dati Personali del Cliente al fine di fornire i Servizi del Responsabile in conformità con le istruzioni contenute nell’Accordo per il Trattamento dei Dati.
A seconda dei Servizi del Responsabile scelti nel Contratto, i Dati Personali del Cliente potrebbero includere i dati personali che seguono.
Tipi di Interessati coinvolti
Destinatari delle comunicazioni inviate dal Cliente tramite i Servizi del Responsabile.
Dati personali trattati
- Dati raccolti da tecnologie traccianti e dispositivi ove non disabilitate dal Cliente
- Dati identificativi comuni (es. nome, cognome, indirizzo, email, numero di telefono)
- Dati non determinabili a priori
Le parti potrebbero aggiornare di volta in volta la lista dei tipi di dati personali trattati nell’erogazione dei Servizi del Responsabile.
Appendice 2 - Misure di sicurezza
A partire dalla Data di Entrata in Vigore, Mailsenpai implementa e mantiene le Misure di Sicurezza di cui al seguente link: Infrastruttura e sicurezza
Mailsenpai, periodicamente, può modificare o aggiornare tali Misure di Sicurezza, a condizione che tali modifiche e aggiornamenti non comportino il deterioramento della sicurezza complessiva dei Servizi del Responsabile o comunque una diminuzione del livello di sicurezza concordato.
Appendice 3 - Subresponsabili
Ai subresponsabili sono delegate parte delle attività che permettono a Mailsenpai di fornire i Servizi del Responsabile:
Cloudflare
Servizi del Responsabile di riferimento o descrizione attività subappaltata: fornitura di servizi di rete di supporto e l’archiviazione delle immagini caricate dai clienti, inclusi i servizi CDN (Content Delivery Network) e di Web proxy
Luogo di stabilimento: Unione Europea
Meccanismo di trasferimento (ove applicabile): N/A
Aruba
Servizi del Responsabile di riferimento o descrizione attività subappaltata: fornitura di server su cui si basano i Servizi del Responsabile
Luogo di stabilimento: Unione Europea
Meccanismo di trasferimento (ove applicabile): N/A
Hetzner
Servizi del Responsabile di riferimento o descrizione attività subappaltata: fornitura di server su cui si basano i Servizi del Responsabile
Luogo di stabilimento: Unione Europea
Meccanismo di trasferimento (ove applicabile): N/A
Register
Servizi del Responsabile di riferimento o descrizione attività subappaltata: fornitura di server su cui si basano i Servizi del Responsabile
Luogo di stabilimento: Unione Europea
Meccanismo di trasferimento (ove applicabile): N/A
