Skip to content

Termini Sito

Addendum sul trattamento dei dati

Il presente Contratto sul trattamento dei dati (“DPA”) è stipulato tra Benchmark Email (“Responsabile del trattamento” o “Benchmark Email”) e il Cliente (“Titolare del trattamento” o ‘Utente’) che utilizza i servizi di Benchmark Email (i “Servizi”).

Il presente DPA disciplina il trattamento dei Dati personali da parte di Benchmark Email per conto del Titolare, in conformità con i termini indicati nei Termini di utilizzo di Benchmark Email. Utilizzando i Servizi, il Titolare accetta i termini del presente DPA, che costituisce parte integrante del rapporto contrattuale complessivo tra le parti.

Il Responsabile del trattamento tratterà i Dati personali esclusivamente allo scopo di fornire i Servizi al Titolare del trattamento, in conformità con le leggi applicabili in materia di protezione dei dati, compreso il Regolamento generale sulla protezione dei dati (GDPR) e altre leggi pertinenti in materia di privacy.

Il presente DPA riflette l'impegno condiviso di entrambe le parti a rispettare le leggi applicabili in materia di protezione dei dati e a garantire la sicurezza e la riservatezza dei Dati personali. Tutti i termini in maiuscolo non definiti nel presente DPA avranno il significato indicato nei Termini di utilizzo di Benchmark Email.

1. Definizioni

Ai fini del presente DPA, i seguenti termini hanno il significato indicato di seguito:

Dati del cliente: qualsiasi Dato personale che Benchmark Email tratta per conto del Cliente (Titolare del trattamento) in qualità di Responsabile del trattamento nel corso della fornitura dei propri Servizi.

Titolare del trattamento: l'entità che determina le finalità e i mezzi del trattamento dei Dati personali, come definito nel GDPR. Nel contesto del presente DPA, il Titolare è il cliente di Benchmark Email che raccoglie, possiede ed è responsabile dei Dati personali trattati utilizzando i Servizi.

Responsabile del trattamento: l'entità che tratta i Dati personali per conto del Titolare del trattamento, come definito nel GDPR. Nel contesto del presente DPA, Benchmark Email agisce in qualità di Responsabile del trattamento.

Leggi sulla protezione dei dati: tutte le leggi e i regolamenti applicabili che disciplinano il trattamento dei Dati personali, inclusi il GDPR, il California Consumer Privacy Act (CCPA) e altre leggi nazionali o regionali sulla protezione dei dati.

Interessato: una persona fisica identificata o identificabile i cui Dati personali sono trattati ai sensi del presente DPA. Si riferisce alla persona fisica i cui dati sono raccolti, conservati e trattati.

Europa / UE: si riferisce all'Unione Europea (UE) o allo Spazio Economico Europeo (SEE), compresi tutti gli Stati membri dell'UE e i paesi del SEE soggetti al GDPR.

GDPR: il Regolamento generale sulla protezione dei dati (UE) 2016/679, come di volta in volta modificato, e qualsiasi altra legge applicabile in materia di protezione dei dati che disciplina il trattamento dei dati personali nello Spazio Economico Europeo (SEE).

Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile, come definito nel GDPR. Ciò include, a titolo esemplificativo ma non esaustivo, nomi, informazioni di contatto e qualsiasi altro dato che possa identificare direttamente o indirettamente una persona.

Violazione dei dati personali: una violazione della sicurezza che porta alla distruzione, perdita, alterazione, divulgazione non autorizzata o accesso accidentale o illegale ai dati personali trasmessi, conservati o altrimenti trattati.

Trattamento: qualsiasi operazione o insieme di operazioni compiute sui Dati personali, con o senza l'ausilio di processi automatizzati, inclusi, a titolo esemplificativo ma non esaustivo, la raccolta, la conservazione, la consultazione, l'uso, la comunicazione, la cancellazione o la distruzione dei Dati personali.

Servizi: i servizi di email marketing e i servizi correlati forniti da Benchmark Email, come descritto nei Termini di utilizzo di Benchmark Email, a cui il Titolare del trattamento si iscrive e che utilizza per trattare i Dati personali.

Sub-responsabile del trattamento: qualsiasi terza parte incaricata da Benchmark Email di trattare i Dati Personali per conto del Titolare del trattamento. Un Sub-responsabile del trattamento può includere fornitori di servizi, appaltatori o altre entità che prestano servizi relativi al Trattamento dei Dati Personali.

Clausole contrattuali standard (SCC): le disposizioni legali adottate dalla Commission Europea che consentono il trasferimento legittimo dei Dati Personali dal SEE a paesi terzi al di fuori del SEE, in conformità con i requisiti del GDPR.

Termini: si riferisce ai Termini di utilizzo e a tutte le politiche correlate qui menzionate, tra cui la nostra Informativa sulla privacy, la Politica anti-spam e qualsiasi altro documento citato.

Addendum per il Regno Unito: le disposizioni che garantiscono la conformità alle leggi britanniche sulla protezione dei dati per i trasferimenti di dati dal Regno Unito, in conformità con il GDPR britannico, dopo la Brexit.

Leggi statunitensi sulla protezione dei dati: si riferisce alle leggi sulla privacy e sulla protezione dei dati applicabili negli Stati Uniti, tra cui il California Consumer Privacy Act (CCPA) e altre leggi federali e statali che regolano la privacy dei dati.

2. Ruoli e responsabilità

Questa sezione delinea i ruoli e le responsabilità sia del Cliente che di Benchmark Email nel trattamento dei Dati del Cliente ai sensi del presente DPA.

2.1 Ruolo del Cliente

Il Cliente è l'entità che determina le finalità e i mezzi del trattamento dei Dati Personali e, in quanto tale, è il Titolare del Trattamento ai sensi delle leggi applicabili in materia di protezione dei dati, compreso il GDPR. Il Cliente ha le seguenti responsabilità principali:

  • Base giuridica del trattamento: il Cliente è responsabile di garantire che il trattamento dei Dati Personali sia lecito ai sensi delle leggi applicabili in materia di protezione dei dati. Ciò include l'ottenimento dei consensi necessari dagli interessati e la garanzia che il Cliente abbia il diritto di fornire i Dati personali a Benchmark Email per il trattamento.
  • Fornitura di istruzioni: il Cliente fornirà a Benchmark Email istruzioni chiare e legittime per il trattamento dei Dati del Cliente nel corso della fornitura dei Servizi. Benchmark Email tratterà i Dati del Cliente solo in conformità con tali istruzioni, come stabilito nel presente DPA.
  • Diritti degli interessati: il Cliente è responsabile dell'adempimento delle richieste relative ai diritti degli interessati, quali l'accesso, la rettifica, cancellare e la portabilità dei dati, in conformità con le leggi applicabili in materia di protezione dei dati. Benchmark Email assisterà il Cliente nell'adempimento di tali richieste, se necessario.
  • Conformità alle leggi sulla protezione dei dati: il Cliente è responsabile di garantire che i Dati personali forniti a Benchmark Email siano raccolti, trattati e trasferiti in conformità con le leggi applicabili in materia di protezione dei dati.
  • Notifica di violazioni dei dati: il Cliente deve informare tempestivamente Benchmark Email qualora venga a conoscenza di una violazione dei dati personali che coinvolge i propri dati personali.

2.2 Ruolo di Benchmark Email

Benchmark Email, in qualità di Responsabile del trattamento, tratta i Dati del Cliente per conto del Cliente in conformità con le istruzioni fornite. Il responsabile del trattamento ha le seguenti responsabilità principali:

  • Istruzioni di trattamento: Benchmark Email tratterà i dati del cliente solo secondo le istruzioni fornite dal cliente, allo scopo di fornire i servizi concordati. Benchmark Email non tratterà i dati personali per altri scopi, salvo nei casi previsti dalla legge applicabile. Per una descrizione dettagliata delle specifiche attività di trattamento dei dati, inclusi i tipi di dati, gli interessati e le operazioni di trattamento, si prega di fare riferimento all'Allegato 1: Dettagli sul trattamento dei dati.
  • Sub-responsabili del trattamento: Benchmark Email può avvalersi di sub-responsabili del trattamento per assistere nel trattamento dei Dati del Cliente. Il Cliente acconsente all'utilizzo di sub-responsabili del trattamento da parte di Benchmark Email. Benchmark Email fornisce un elenco dei sub-responsabili del trattamento approvati nell'Allegato 3: Elenco dei sub-responsabili del trattamento e notifica al Cliente eventuali modifiche a tale elenco.
  • Sicurezza dei Dati Personali: Benchmark Email attuerà misure tecniche e organizzative adeguate per salvaguardare la sicurezza e la riservatezza dei Dati Personali.
  • Assistenza in materia di diritti degli interessati: Benchmark Email assisterà il Cliente nel rispondere alle richieste degli interessati, comprese le richieste di accesso, rettifica, cancellazione e portabilità dei dati.
  • Notifica di violazione dei dati: Benchmark Email informerà tempestivamente il Cliente di qualsiasi violazione dei dati personali che coinvolga i Dati del Cliente. Tale notifica sarà effettuata senza indebito ritardo e, ove possibile, entro 72 ore.
  • Conformità alle leggi sulla protezione dei dati: Benchmark Email si conformerà a tutte le leggi applicabili in materia di protezione dei dati, compreso il GDPR, nel trattamento dei Dati personali.

2.3 Responsabilità congiunte

Sebbene il Cliente e Benchmark Email abbiano ruoli distinti, entrambe le parti condividono la responsabilità di garantire che i Dati personali siano trattati in conformità con le leggi applicabili in materia di protezione dei dati. Entrambe le parti concordano di:

  • Cooperare: il Cliente e Benchmark Email coopereranno per affrontare qualsiasi questione relativa al trattamento dei dati personali e garantire la conformità alle leggi applicabili.
  • Audit e monitoraggio: il Cliente può richiedere informazioni o audit per verificare che il trattamento sia effettuato in conformità con il presente DPA. Benchmark Email fornirà un accesso e un'assistenza ragionevoli per facilitare tali audit o monitoraggi.
  • Conformità al trasferimento dei dati: Entrambe le parti garantiranno che qualsiasi trasferimento transfrontaliero di Dati Personali sia conforme alle leggi sulla protezione dei dati applicabili, compreso l'uso di Clausole Contrattuali Standard (SCC) o altri meccanismi legali per i trasferimenti transfrontalieri di dati.

2.4 Istruzioni per il trattamento dei dati

Benchmark Email tratterà i Dati Personali solo secondo le istruzioni del Cliente. Se Benchmark Email ritiene che qualsiasi istruzione del Cliente sia illegale, Benchmark Email ne informerà il Cliente senza indugio.

3. Sicurezza

Benchmark Email attuerà e manterrà misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio associato al trattamento dei Dati Personali, comprese le misure descritte nell'Allegato 2: “Misure di sicurezza”. Tali misure sono volte a proteggere i Dati Personali da trattamenti non autorizzati o illegali, perdita accidentale, distruzione o danneggiamento, e a garantire la riservatezza, l'integrità e la disponibilità dei dati.

3.1 Riservatezza

Benchmark Email garantirà che qualsiasi persona da essa autorizzata al trattamento dei Dati personali sia soggetta all'obbligo di riservatezza, sia in base a un obbligo contrattuale che di legge, al fine di proteggere la riservatezza dei Dati personali.

3.2 Responsabilità del Cliente

Il Cliente riconosce di essere responsabile di garantire che tutti i Dati personali forniti a Benchmark Email siano raccolti, trattati e trasferiti in conformità con le leggi applicabili in materia di protezione dei dati. Il Cliente è responsabile di esaminare le informazioni messe a disposizione da Benchmark Email relative alla sicurezza dei dati e di determinare in modo indipendente se i Servizi soddisfano i requisiti del Cliente e gli obblighi legali previsti dalle leggi sulla protezione dei dati.

Il Cliente accetta di:

  • Mantenere la riservatezza di qualsiasi credenziale di accesso o altre informazioni di autenticazione necessarie per accedere ai Servizi.
  • Implementare misure di sicurezza adeguate sui propri sistemi e dispositivi per proteggere i Dati Personali e impedire accessi non autorizzati.

3.3 Aggiornamenti di sicurezza

Benchmark Email implementerà procedure per l'aggiornamento e il miglioramento delle proprie misure di sicurezza. Tali aggiornamenti possono includere miglioramenti alla tecnologia, ai sistemi o ai processi volti a rafforzare la sicurezza dei Dati Personali. Benchmark Email informerà il Cliente qualora vengano applicati aggiornamenti o patch di sicurezza critici che potrebbero influire sull'utilizzo dei Servizi da parte del Cliente.

3.4 Risposta agli incidenti di sicurezza

In caso di violazione dei Dati personali, Benchmark Email informerà tempestivamente il Cliente e collaborerà con il Cliente nella gestione della violazione, fornendo anche le informazioni pertinenti per assistere con qualsiasi notifica richiesta agli Interessati o alle autorità di regolamentazione, ove applicabile. Benchmark Email seguirà le proprie procedure interne di risposta agli incidenti per mitigare qualsiasi danno causato dalla violazione e per prevenire incidenti futuri.

4. Sub-responsabili del trattamento

Benchmark Email può avvalersi di sub-responsabili del trattamento per svolgere specifiche attività di trattamento per conto del Cliente. I sub-responsabili del trattamento sono fornitori di servizi terzi che assistono Benchmark Email nella fornitura dei Servizi e nell'esecuzione di compiti specifici relativi al trattamento dei Dati Personali.

4.1 Utilizzo di sub-responsabili del trattamento

Benchmark Email può avvalersi di sub-responsabili del trattamento per assistere nel trattamento dei Dati personali in relazione ai Servizi forniti al Cliente, a condizione che Benchmark Email garantisca che i sub-responsabili del trattamento rispettino gli stessi obblighi di protezione dei dati stabiliti nel presente DPA.

4.2 Approvazione dei Sub-responsabili

Il Cliente accetta che Benchmark Email possa avvalersi di Sub-responsabili per assistere nel trattamento dei Dati Personali in relazione ai Servizi. Benchmark Email manterrà un elenco aggiornato dei Sub-responsabili come descritto nell'Allegato 3: Elenco dei Sub-responsabili. Benchmark Email informerà il Cliente di eventuali nuovi Sub-responsabili o modifiche all'elenco, in conformità con il tempo massimo consentito dal GDPR.

Il Cliente ha il diritto di opporsi all'assunzione di qualsiasi nuovo Sub-responsabile del trattamento se sussistono legittime preoccupazioni in materia di protezione dei dati. Il Cliente deve presentare eventuali obiezioni per iscritto a Benchmark Email. Se il Cliente si oppone, Benchmark Email collaborerà con il Cliente per risolvere le preoccupazioni, che possono includere la ricerca di un Sub-responsabile del trattamento alternativo o l'adozione di altre misure ragionevoli per risolvere la questione.

4.3 Obblighi del Sub-responsabile del trattamento

Benchmark Email garantirà che qualsiasi Sub-responsabile del trattamento coinvolto sia vincolato contrattualmente da termini che forniscono un livello equivalente di protezione dei dati e obblighi di sicurezza a quelli stabiliti nel presente DPA. Ciò include gli obblighi relativi alla riservatezza, alla sicurezza e al corretto trattamento dei Dati personali.

4.4 Responsabilità dei sub-responsabili del trattamento

Benchmark Email è responsabile delle azioni e delle omissioni dei propri sub-responsabili del trattamento intraprese in relazione all'esecuzione del presente DPA nella stessa misura in cui sarebbe responsabile se prestasse direttamente i Servizi. In caso di inadempienza da parte di un sub-responsabile del trattamento agli obblighi di protezione dei dati, Benchmark Email adotterà misure ragionevoli per porre rimedio alla situazione e mitigare qualsiasi potenziale danno al Cliente.

5. Diritti dell'interessato

Benchmark Email assisterà il Cliente (il Titolare del trattamento) nell'adempimento dei suoi obblighi ai sensi del GDPR in relazione ai diritti dell'interessato.

Il Cliente rimane responsabile di rispondere alle richieste degli interessati e Benchmark Email fornirà assistenza nei seguenti modi:

  • Come parte del Servizio, Benchmark Email fornisce al Cliente una serie di funzionalità che il Cliente può utilizzare per recuperare, correggere, cancellare o limitare l'uso dei Dati Personali, che il Cliente può utilizzare per assisterlo in relazione ai suoi obblighi ai sensi delle Leggi sulla Protezione dei Dati in materia di risposta alle richieste degli interessati.
  • Diritto di accesso: Benchmark Email assisterà il Cliente nel fornire agli interessati l'accesso ai propri Dati personali su richiesta.
  • Diritto di rettifica: Benchmark Email aiuterà il Cliente ad aggiornare o correggere Dati personali inesatti o incompleti.
  • Diritto alla cancellazione: Benchmark Email assisterà il Cliente nell'adempimento della richiesta di un interessato di cancellare i propri Dati personali, ove applicabile ai sensi del GDPR.
  • Diritto di limitazione del trattamento: Benchmark Email assisterà il Cliente se un Interessato richiede di limitare il trattamento dei propri Dati Personali.
  • Diritto alla portabilità dei dati: Benchmark Email fornirà i Dati Personali in un formato strutturato e leggibile da dispositivo automatico, come richiesto dal Cliente, in linea con il diritto dell'Interessato alla portabilità dei dati.
  • Diritto di opposizione: Benchmark Email assisterà il Cliente nel rispondere a qualsiasi opposizione dell'Interessato al trattamento dei propri Dati Personali.

Benchmark Email informerà tempestivamente il Cliente di qualsiasi richiesta ricevuta direttamente dagli interessati, a meno che ciò non sia vietato dalla legge, e assisterà nella gestione di tali richieste secondo le istruzioni del Cliente.

Benchmark Email garantirà inoltre che siano in atto misure di sicurezza ragionevoli durante il trattamento e la risposta alle richieste relative ai diritti degli interessati.

6. Notifica di violazione dei dati

In caso di violazione dei dati personali, Benchmark Email ne darà tempestiva comunicazione al Cliente senza indebito ritardo e comunque entro 72 ore dalla scoperta della violazione, come previsto dal GDPR. La comunicazione includerà le seguenti informazioni, ove disponibili:

  • Una descrizione della natura della violazione dei dati personali, comprese le categorie di dati personali interessati e il numero approssimativo di interessati e di registrazioni di dati personali coinvolti.
  • Le probabili conseguenze della violazione dei dati personali.
  • Una descrizione delle misure adottate o proposte da Benchmark Email per affrontare la violazione dei dati personali, comprese le misure volte a mitigarne i possibili effetti negativi.

Se Benchmark Email non ha fornito tutte le informazioni necessarie entro 72 ore, fornirà una spiegazione del ritardo.

Benchmark Email collaborerà con il Cliente nella gestione della violazione, fornendo assistenza ragionevole per le necessarie notifiche agli interessati e alle autorità di controllo competenti, in conformità con il GDPR. Benchmark Email assisterà inoltre il Cliente nella fornitura di tutta la documentazione richiesta relativa alla violazione.

La notifica e l'assistenza saranno fornite in modo tale da consentire al Cliente di adempiere agli obblighi previsti dal GDPR, compreso il rispetto dei termini per la notifica della violazione.

7. Trasferimenti internazionali

Benchmark Email può trattare i Dati Personali in qualsiasi parte del mondo, compresi i paesi al di fuori dello Spazio Economico Europeo (SEE), dove il livello di protezione dei dati potrebbe non essere equivalente a quello fornito nel SEE. In tutti i casi, Benchmark Email garantirà l'adozione di misure di sicurezza adeguate per proteggere i Dati Personali in conformità con il GDPR e altre leggi applicabili in materia di protezione dei dati.

7.1 Decisioni di adeguatezza

Se Benchmark Email trasferisce i Dati personali in un paese riconosciuto dalla Commission europea o dalle autorità competenti come paese che fornisce un livello adeguato di protezione dei Dati personali, non sono necessarie ulteriori garanzie. L'elenco di tali paesi è disponibile sul sito web della Commission europea.

7.2 Clausole contrattuali standard (SCC)

Ove applicabile, Benchmark Email utilizzerà le Clausole Contrattuali Standard (SCC) approvate dalla Commission Europea per facilitare il trasferimento conforme dei Dati Personali verso paesi al di fuori del SEE. Per i dettagli, si prega di fare riferimento all'Allegato 4: Clausole Contrattuali Standard.

7.3 Trasferimenti di dati nel Regno Unito

Per quanto riguarda i trasferimenti ai quali si applicano le leggi britanniche sulla protezione dei dati, le SCC si applicano, ove applicabili, e sono considerate modificate come specificato nell'Addendum britannico. L'Addendum britannico è considerato eseguito dalle parti e incorporato nel presente DPA, di cui costituisce un modulo integrante. Inoltre, le tabelle pertinenti nell'Addendum britannico sono considerate completate con le informazioni riportate negli Allegati I e II delle SCC pertinenti.

7.4 Trasferimenti di dati in Svizzera

Per quanto riguarda i trasferimenti ai quali si applicano le leggi svizzere sulla protezione dei dati, le SCC si applicano, ove applicabile, con le seguenti modifiche:

  • I riferimenti al “Regolamento (UE) 2016/679” devono essere interpretati come riferimenti alla legge svizzera sulla protezione dei dati.
  • I riferimenti a specifici articoli del “Regolamento (UE) 2016/679” devono essere sostituiti con l'articolo o la sezione equivalente della DPA svizzera.
  • I riferimenti a “UE”, “Unione” e “legislazione degli Stati membri” sono sostituiti con “Svizzera”.
  • Altre modifiche possono essere applicate come richiesto dalla legge svizzera.

7.5 Misure di sicurezza aggiuntive

Laddove Benchmark Email tratti Dati personali in una giurisdizione non coperta da una decisione di adeguatezza o da SCC, possono essere implementate misure di sicurezza aggiuntive, quali Regole vincolanti d'impresa (BCR), codici di condotta approvati o certificazioni per garantire che i Dati personali rimangano protetti in conformità con il GDPR.

7.6 Trasferimenti di dati a sub-responsabili del trattamento

Se Benchmark Email si avvale di sub-responsabili del trattamento situati al di fuori del SEE, Benchmark Email garantirà che i sub-responsabili del trattamento siano soggetti allo stesso livello di garanzie per i trasferimenti internazionali di dati, compreso l'uso di SCC o altri meccanismi di trasferimento riconosciuti.

8. Conservazione e cancellazione dei dati

Benchmark Email conserverà i dati personali solo per il tempo necessario a soddisfare le finalità per cui sono stati raccolti, in conformità con i termini del presente DPA, le istruzioni del cliente e le leggi applicabili.

8.1 Periodo di conservazione

Benchmark Email conserverà i dati personali per tutta la durata del contratto con il cliente, a meno che non sia richiesto o consentito dalla legge applicabile un periodo di conservazione più lungo. Dopo il periodo di conservazione, Benchmark Email cancellerà o renderà anonimi i Dati personali in conformità con le proprie politiche interne di conservazione dei dati.

8.2 Cancellare o restituire al momento della risoluzione

Al momento della risoluzione o della scadenza dei Termini, Benchmark Email adotterà misure ragionevoli per fornire al Cliente (a sua discrezione) gli strumenti necessari per cancellare o restituire tutti i Dati del Cliente in possesso o sotto il controllo di Benchmark Email. Tale obbligo non si applica nella misura in cui Benchmark Email sia tenuta dalla legge applicabile o dalle norme di settore a conservare alcuni o tutti i Dati del Cliente, o ai Dati del Cliente archiviati su sistemi di backup. In tali casi, Benchmark Email isolerà in modo sicuro i Dati del Cliente, li proteggerà da qualsiasi ulteriore trattamento e li cancellerà infine in conformità con le politiche di cancellazione di Benchmark Email, salvo quanto richiesto dalla legge applicabile.

8.3 Conservazione dei dati in corso per obblighi legali

Laddove Benchmark Email sia tenuta dalla legge applicabile a conservare determinati Dati personali oltre la durata del Contratto, Benchmark Email garantirà che tali dati siano conservati solo per il tempo necessario ad adempiere agli obblighi legali.

8.4 Processo di cancellare

Una volta cancellati i Dati personali, Benchmark Email adotterà misure ragionevoli per garantire che i dati siano cancellati in modo sicuro e non possano essere recuperati, salvo nei casi in cui sia necessario conservare i dati per scopi legali, normativi o commerciali.

9. Modifiche e aggiornamenti

Benchmark Email può aggiornare o modificare il presente DPA di volta in volta per riflettere le modifiche alle leggi sulla protezione dei dati, ai requisiti normativi o ai servizi offerti. Qualsiasi modifica di questo tipo sarà comunicata al Cliente.

9.1 Notifica delle modifiche

Benchmark Email fornirà al Cliente un preavviso ragionevole di qualsiasi modifica sostanziale al presente DPA. La notifica potrà essere fornita tramite email, attraverso l'account del Cliente o con altri mezzi ragionevoli, a seconda della natura della modifica. Il Cliente sarà ritenuto aver accettato il DPA aggiornato continuando a utilizzare i Servizi di Benchmark Email dopo la Data di entrata in vigore dell'aggiornamento.

9.2 Modifiche

Se una modifica è necessaria per motivi legali o normativi, Benchmark Email può aggiornare il presente DPA senza preavviso al Cliente, a condizione che il Cliente ne sia informato non appena ragionevolmente possibile.

9.3 Legge applicabile e giurisdizione

Qualsiasi modifica apportata al presente DPA sarà regolata dagli stessi termini, comprese le disposizioni relative alla legge applicabile e alla giurisdizione specificate nei Termini di utilizzo principali tra Benchmark Email e il Cliente.

10. Responsabilità

10.1 Responsabilità

La responsabilità complessiva di ciascuna parte e di tutte le sue affiliate, derivante da o relativa al presente DPA (comprese le SCC), sarà soggetta alle esclusioni e limitazioni di responsabilità stabilite nei Termini di utilizzo tra Benchmark Email e il Cliente.

10.2 Esclusività dei reclami

Qualsiasi reclamo presentato nei confronti di Benchmark Email o delle sue affiliate ai sensi o in relazione al presente DPA (comprese, ove applicabile, le SCC) dovrà essere presentato esclusivamente dall'entità Cliente che è parte dell'Accordo, salvo diversamente richiesto dalla legge applicabile.

10.3 Diritti di protezione dei dati

In nessun caso una delle parti potrà limitare la propria responsabilità in relazione ai diritti di protezione dei dati di qualsiasi individuo ai sensi del presente DPA o in altro modo, nella misura richiesta dal GDPR o dalla legge applicabile in materia di protezione dei dati.

11. Rapporto con i Termini

Il presente DPA costituisce parte integrante dei Termini di utilizzo tra Benchmark Email e il Cliente. In caso di conflitto tra le disposizioni del presente DPA e i Termini di utilizzo, le disposizioni del presente DPA avranno la precedenza in relazione al trattamento dei Dati personali.

11.1 Durata e risoluzione

Il presente DPA rimarrà in vigore fintanto che Benchmark Email tratterà i Dati del Cliente per conto del Cliente, o fino alla risoluzione dei Termini tra Benchmark Email e il Cliente (e tutti i Dati del Cliente saranno stati restituiti o cancellati in conformità con la Sezione 8.2 di cui sopra).

11.2 Legge applicabile

Il presente DPA sarà regolato e interpretato in conformità con le disposizioni di legge e giurisdizione contenute nei Termini, salvo diversamente richiesto dalle leggi applicabili in materia di protezione dei dati.

11.3 Versione attuale

Le parti convengono che il presente DPA sostituirà qualsiasi accordo di trattamento dei dati esistente o documento simile che le parti potrebbero aver precedentemente stipulato in relazione al Servizio.

12. Varie

12.1 Forza maggiore

Benchmark Email non sarà responsabile per eventuali inadempienze o ritardi nell'esecuzione del presente DPA dovuti a circostanze al di fuori del suo ragionevole controllo, inclusi, a titolo esemplificativo ma non esaustivo, calamità naturali, guerre, atti di terrorismo, azioni governative, interruzioni di corrente o altri eventi di forza maggiore. Per ulteriori dettagli, fare riferimento alla disposizione sulla forza maggiore contenuta nei Termini di utilizzo.

12.2 Separabilità

Se una qualsiasi disposizione del presente DPA è ritenuta non valida, illegale o inapplicabile da un tribunale della giurisdizione competente, le restanti disposizioni rimarranno in vigore a tutti gli effetti.

12.3 Intero accordo

Il presente DPA, insieme ai Termini di utilizzo e a qualsiasi altro accordo incorporato per riferimento, costituisce l'intero accordo tra le parti in relazione al trattamento dei Dati personali. Qualsiasi accordo, intesa o dichiarazione precedente relativo all'oggetto del presente DPA è sostituito e sostituito dal presente DPA. Per ulteriori dettagli, fare riferimento alla clausola dell'Accordo completo nei Termini di utilizzo.

12.4 Rinuncia

La mancata applicazione da parte nostra di qualsiasi diritto o disposizione del presente DPA non costituisce una rinuncia a tale diritto o disposizione. Qualsiasi rinuncia deve essere in forma scritta per essere efficace.

12.5 Risoluzione delle controversie

Qualsiasi controversia derivante da o in relazione al presente DPA sarà risolta in conformità con le disposizioni in materia di risoluzione delle controversie specificate nei Termini di utilizzo.

12.6 Cessione

Non è possibile cedere o trasferire i presenti Termini o i diritti da essi derivanti senza il previo consenso scritto di Benchmark Email. Benchmark Email può cedere o trasferire i presenti Termini senza restrizioni, anche in caso di fusione, acquisizione o vendita di beni.

12.7 Lingua

Il presente DPA è redatto in lingua inglese e le eventuali traduzioni fornite sono solo a titolo informativo. In caso di discrepanze tra la versione inglese e una versione tradotta, prevarrà la versione inglese.

12.8 Nessun beneficiario terzo

Il presente DPA è destinato a beneficio delle parti contraenti e non è inteso a conferire alcun diritto o beneficio a terzi, salvo quanto diversamente specificato nel presente documento.

Allegato 1: Dettagli sul trattamento dei dati

  1. Finalità del trattamento dei dati

La finalità del trattamento dei Dati personali è quella di fornire i Servizi come descritto nei Termini di utilizzo.

  1. Natura del trattamento

Benchmark Email fornisce software di email marketing e automazione come servizio e altri servizi correlati, come descritto nei Termini di utilizzo. L'oggetto del trattamento dei dati ai sensi del presente DPA sono i Dati del Cliente. I Dati del Cliente saranno trattati in conformità con i Termini di Utilizzo (incluso il presente DPA).

  1. Categorie di dati

Possono essere trattate le seguenti categorie di Dati Personali:

  • Informazioni di contatto: nome, indirizzo email, numero di telefono e qualsiasi altra informazione fornita dal Cliente a Benchmark Email;
  • Informazioni di fatturazione del Cliente: indirizzo di fatturazione, dettagli della carta di credito, altre informazioni di pagamento;
  • Preferenze del Cliente: stato dell'abbonamento e-mail, preferenze di marketing, ecc.;
  • Dati comportamentali: indirizzo IP, dati di navigazione, dati del browser, dati dei cookie, interazione con le e-mail, percentuali di clic, ecc.
  1. Interessati

Gli interessati i cui Dati Personali sono trattati includono:

  • I clienti che utilizzano i Servizi;
  • Iscritti, i clienti e i potenziali clienti del Cliente;Persone che interagiscono con le campagne email del Cliente, inclusi i visitatori del suo sito web o i destinatari delle email di marketing.
  1. Attività di trattamento

Sui Dati personali saranno eseguite le seguenti attività di trattamento:

  • Raccolta dei dati tramite moduli, campagne email e integrazioni;
  • Archiviazione dei dati, inclusa la conservazione delle informazioni di contatto e di interazione;
  • Analisi dei dati per la creazione di Report email e l'ottimizzazione delle campagne;
  • Trasmissione dei Dati del Cliente per finalità di marketing (ad es. invio di e-mail).
  1. Conservazione dei dati

Benchmark Email tratterà i Dati del Cliente per tutta la durata dei Servizi, come descritto nei Termini di utilizzo. La conservazione dei Dati personali sarà gestita in conformità con la politica di conservazione dei dati di Benchmark Email, come descritto nella Sezione 8 del presente DPA.

  1. Trasferimenti di dati

Qualsiasi trasferimento di dati, in particolare i trasferimenti transfrontalieri, sarà disciplinato dalle disposizioni della Sezione 7. Trasferimenti internazionali o Allegato 4: Clausole contrattuali standard (SCC).

  1. Sub-responsabili del trattamento

L'elenco dei sub-responsabili del trattamento incaricati da Benchmark Email per le attività di trattamento dei dati è riportato in dettaglio nell'Allegato 3: Elenco dei sub-responsabili del trattamento.

Allegato 2: Misure di sicurezza

Le misure di sicurezza applicabili al Servizio sono descritte nel presente documento.

  1. Misure di sicurezza organizzative
  • Responsabile della protezione dei dati (DPO): Benchmark Email ha designato un DPO per supervisionare la conformità al GDPR e ad altre normative in materia di protezione dei dati.
  • Formazione dei dipendenti: tutti i dipendenti coinvolti nel trattamento dei dati personali seguono una formazione periodica sui principi di protezione dei dati, tra cui riservatezza, integrità e sicurezza.
  • Controllo degli accessi: l'accesso ai dati personali è limitato al personale autorizzato in base al proprio ruolo. Tutti gli accessi vengono registrati e monitorati per garantire la responsabilità.
  1. Misure di sicurezza tecniche
  • Crittografia: i dati personali vengono crittografati sia in transito che a riposo utilizzando protocolli di crittografia standard del settore (ad esempio, SSL/TLS per i dati in transito e AES per i dati a riposo).
  • Integrità dei dati: implementiamo misure per garantire l'integrità dei dati personali, inclusi checksum e funzioni hash per verificare l'accuratezza dei dati durante la trasmissione e l'archiviazione.
  • Controllo delle modifiche: Benchmark Email mantiene politiche e procedure per l'applicazione delle modifiche ai Servizi, inclusi l'infrastruttura sottostante e i componenti di sistema, al fine di garantire il rispetto degli standard di qualità.
  • Anonimizzazione dei dati: ove applicabile, Benchmark Email utilizza tecniche di anonimizzazione per garantire che i dati personali sensibili non siano esposti inutilmente.
  1. Risposta agli incidenti
  • Gestione delle violazioni della sicurezza: Benchmark Email ha stabilito procedure per rilevare, segnalare e gestire le violazioni della sicurezza. In caso di violazione dei dati, informeremo tempestivamente il Cliente in conformità con la sezione Notifica di violazione dei dati del DPA.
  • Registri degli incidenti: tutti gli incidenti di sicurezza vengono registrati e i registri vengono regolarmente esaminati per garantire che eventuali minacce potenziali vengano identificate e affrontate.
  1. Disponibilità del sistema
  • Ridondanza e backup: Benchmark Email adotta misure di ridondanza, tra cui data center distribuiti geograficamente e sistemi di backup, per garantire che i dati dei clienti rimangano disponibili in caso di guasto.
  • Disaster recovery: Manteniamo un piano di disaster recovery che viene regolarmente testato per garantire un'interruzione minima dei servizi e dell'elaborazione dei dati in caso di interruzioni significative o disastri.
  1. Monitoraggio e miglioramento continui
  • Gestione delle vulnerabilità: Benchmark Email conduce regolarmente valutazioni delle vulnerabilità e test di penetrazione per identificare e risolvere potenziali punti deboli della sicurezza.
  • Audit di sicurezza: vengono condotti regolarmente audit indipendenti delle nostre misure di sicurezza per garantire la conformità alle best practice del settore e al GDPR.

Allegato 3: Elenco dei sub-responsabili del trattamento

  1. Elenco dei sub-responsabili del trattamento

Benchmark Email utilizza i seguenti sub-responsabili del trattamento per fornire i propri servizi:

 

Sub-responsabile del trattamento Ubicazione Utilizzo
Amazon AWS Stati Uniti, Giappone Hosting, archiviazione dati, analisi
Auth0 Stati Uniti Autenticazione e autorizzazione dei clienti
BenchmarkONE Stati Uniti CRM e comunicazione con i clienti tramite email
CD Networks Stati Uniti Connettività di rete
Cloudflare Globale Distribuzione dei contenuti, sicurezza, prevenzione degli abusi e servizi DNS
Command Stati Uniti Comunicazione con i clienti all'interno dell'app
DNS Made Easy Stati Uniti Servizi DNS
FullStory Stati Uniti Analisi dell'utilizzo dei prodotti
Google Stati Uniti Archiviazione dei dati, analisi dei siti web
HelpScout Stati Uniti Ticket di assistenza clienti e comunicazione con i clienti tramite chat ed email
Intercom Stati Uniti Comunicazione con i clienti tramite app e email
Kickbox Stati Uniti Email di verifica
LiveChat Stati Uniti Comunicazione con i clienti tramite chat
OpenAI Stati Uniti Funzionalità basate sull'intelligenza artificiale
Slack Stati Uniti Comunicazione interna e collaborazione
Zendesk Stati Uniti Ticket di assistenza clienti e comunicazione tramite email

 

  1. Aggiornamenti relativi ai sub-responsabili del trattamento

Benchmark Email aggiornerà questo elenco secondo necessità. I clienti saranno informati di eventuali nuovi sub-responsabili del trattamento o modifiche a questo elenco in conformità con i termini specificati nella Sezione 4: Sub-responsabili del trattamento del DPA.

Allegato 4: Clausole contrattuali standard (SCC)

SEZIONE I

Clausola 1 - Finalità e ambito di applicazione

(a) Lo scopo delle presenti clausole contrattuali standard è garantire la conformità ai requisiti del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento generale sulla protezione dei dati) per il trasferimento di dati personali verso un paese terzo.

(b) Le parti: (i) la persona o le persone fisiche o giuridiche, le autorità pubbliche, le agenzie o altri corpi testi (di seguito “entità”) che trasferiscono i dati personali, elencati nell'allegato I.A (di seguito “esportatore di dati”), e (ii) le entità in un paese terzo che ricevono i dati personali dall'esportatore di dati, direttamente o indirettamente tramite un'altra entità che è anche parte delle presenti clausole, come elencato nell'allegato I.A (di seguito, ciascuna “importatore di dati”) hanno concordato le presenti clausole contrattuali standard (di seguito: “Clausole”).

(c) Le presenti Clausole si applicano al trasferimento dei dati personali come specificato nell'Allegato I.B.

(d) L'Appendice alle presenti Clausole contenente gli Allegati ivi citati costituisce un modulo delle presenti Clausole.

Clausola 2 - Efficacia e immutabilità delle Clausole

(a) Le presenti Clausole stabiliscono garanzie adeguate, compresi i diritti esecutivi degli interessati e rimedi giuridici efficaci, ai sensi dell'articolo 46, paragrafo 1, e dell'articolo 46, paragrafo 2, lettera c), del Regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di dati dai titolari del trattamento ai responsabili del trattamento e/o dai responsabili del trattamento ai responsabili del trattamento, le clausole contrattuali standard ai sensi dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679, a condizione che non siano modificate, salvo per selezionare il/i modulo/i appropriato/i o per aggiungere o aggiornare le informazioni contenute nell'appendice. Ciò non impedisce alle parti di includere le clausole contrattuali standard stabilite nelle presenti clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie supplementari, a condizione che non contraddicano, direttamente o indirettamente, le presenti clausole o pregiudichino i diritti o le libertà fondamentali degli interessati.

(b) Le presenti clausole non pregiudicano gli obblighi a cui è soggetto l'esportatore di dati in virtù del regolamento (UE) 2016/679.

Clausola 3 - Terzi beneficiari

(a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell'esportatore e/o dell'importatore di dati, con le seguenti eccezioni:

(i) Clausola 1, Clausola 2, Clausola 3, Clausola 6, Clausola 7;

(ii) Clausola 8 – Clausola 8.1(b), 8.9(a), (c), (d) ed (e);

(iii) Clausola 9 - Clausola 9(a), (c), (d) ed (e);

(iv) Clausola 12 - Clausola 12(a), (d) e (f);

(v) Clausola 13;

(vi) Clausola 15.1(c), (d) ed (e);

(vii) Clausola 16(e);

(viii) Clausola 18 – Clausola 18(a) e (b).

(b) Il paragrafo (a) non pregiudica i diritti degli interessati ai sensi del Regolamento (UE) 2016/679.

Clausola 4 - Interpretazione

(a) Laddove le presenti Clausole utilizzino termini definiti nel Regolamento (UE) 2016/679, tali termini avranno lo stesso significato attribuito loro in tale Regolamento.

(b) Le presenti Clausole devono essere lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.

(c) Le presenti clausole non devono essere interpretate in modo tale da entrare in conflitto con i diritti e gli obblighi previsti dal Regolamento (UE) 2016/679.

Clausola 5 - Gerarchia

In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati tra le Parti, esistenti al momento della stipula delle presenti clausole o successivamente, prevarranno le presenti clausole.

Clausola 6 - Descrizione del trasferimento o dei trasferimenti

I dettagli del trasferimento o dei trasferimenti, e in particolare le categorie di dati personali trasferiti e le finalità per cui sono trasferiti, sono specificati nell'Allegato I.B.

Clausola 7 - Clausola di aggancio

(a) Un'entità che non è parte delle presenti clausole può, con l'accordo delle parti, aderire alle presenti clausole in qualsiasi momento, sia come esportatore di dati che come importatore di dati, compilando l'appendice e firmando l'allegato I.A.

(b) Una volta compilata l'appendice e firmato l'allegato I.A, l'entità aderente diventa parte delle presenti clausole e ha i diritti e gli obblighi di un esportatore o importatore di dati in conformità con il suo design nell'allegato I.A.

(c) L'entità aderente non ha diritti o obblighi derivanti dalle presenti clausole per il periodo precedente alla sua adesione.

SEZIONE II - OBBLIGHI DELLE PARTI

Clausola 8 - Garanzie di protezione dei dati

L'esportatore di dati garantisce di aver compiuto ogni ragionevole sforzo per accertarsi che l'importatore di dati sia in grado, attraverso l'attuazione di misure tecniche e organizzative adeguate, di adempiere ai propri obblighi ai sensi delle presenti clausole.

8.1 Istruzioni

(a) L'importatore di dati tratterà i dati personali solo sulla base di istruzioni documentate fornite dall'esportatore di dati. L'esportatore di dati può fornire tali istruzioni per tutta la durata del contratto.

(b) L'importatore di dati informa immediatamente l'esportatore di dati qualora non sia in grado di seguire tali istruzioni.

8.2 Limitazione delle finalità

L'importatore di dati tratta i dati personali solo per le finalità specifiche del trasferimento, come indicato nell'allegato I.B, salvo ulteriori istruzioni da parte dell'esportatore di dati.

8.3 Trasparenza

Su richiesta, l'esportatore di dati mette a disposizione dell'interessato, a titolo gratuito, una copu delle presenti clausole, compresa l'appendice compilata dalle parti. Nella misura necessaria a proteggere i segreti commerciali o altre informazioni riservate, comprese le misure descritte nell'allegato II e i dati personali, il responsabile del trasferimento può oscurare parte del testo dell'appendice alle presenti clausole prima di condividerne una copia, ma deve fornire una sintesi significativa qualora l'interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti forniscono all'interessato i motivi dell'oscuramento, nella misura in cui ciò sia possibile senza rivelare le informazioni oscurate. La presente clausola non pregiudica gli obblighi dell'esportatore di dati ai sensi degli articoli 13 e 14 del regolamento (UE) 2016/679.

8.4 Accuratezza

Se l'importatore di dati si rende conto che i dati personali che ha ricevuto sono inesatti o non più aggiornati, ne informa l'esportatore di dati senza indebito ritardo. In tal caso, l'importatore di dati deve collaborare con l'esportatore di dati per cancellare o rettificare i dati.

8.5 Durata del trattamento e cancellazione o restituzione dei dati

Il trattamento da parte dell'importatore di dati deve avvenire solo per la durata specificata nell'allegato I.B. Al termine della fornitura dei servizi di trattamento, l'importatore di dati, a scelta dell'esportatore di dati, cancella tutti i dati personali trattati per conto dell'esportatore di dati e certifica all'esportatore di dati di averlo fatto, oppure restituisce all'esportatore di dati tutti i dati personali trattati per suo conto e cancella le copu esistenti. Fino alla cancellazione o alla restituzione dei dati, l'importatore di dati continua a garantire il rispetto delle presenti clausole. Nel caso in cui le leggi locali applicabili all'importatore di dati vietino la restituzione o il cancellare dei dati personali, l'importatore di dati garantisce che continuerà a garantire il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesti dalla legge locale. Ciò non pregiudica la clausola 14, in particolare l'obbligo per l'importatore di dati ai sensi della clausola 14(e) di informare l'esportatore di dati per tutta la durata del contratto se ha motivo di ritenere di essere o di essere diventato soggetto a leggi o pratiche non conformi ai requisiti di cui alla clausola 14(a).

8.6 Sicurezza del trattamento

(a) L'importatore dei dati e, durante la trasmissione, anche l'esportatore dei dati devono attuare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati, compresa la protezione contro violazioni della sicurezza che comportano la distruzione accidentale o illecita, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso a tali dati (di seguito “violazione dei dati personali”). Nel valutare il livello adeguato di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi connessi al trattamento per gli interessati. Le parti valutano in particolare la possibilità di ricorrere alla crittografia o alla pseudonimizzazione, anche durante la trasmissione, qualora ciò consenta di conseguire le finalità del trattamento. In caso di pseudonimizzazione, le informazioni aggiuntive per attribuire i dati personali a un interessato specifico rimangono, ove possibile, sotto il controllo esclusivo del responsabile del trasferimento. Nell'adempiere agli obblighi di cui al presente paragrafo, il responsabile del trattamento attua almeno le misure tecniche e organizzative specificate nell'allegato II. Il responsabile del trattamento effettua controlli regolari per garantire che tali misure continuino a fornire un livello di sicurezza adeguato.

(b) Il responsabile del trattamento concede l'accesso ai dati personali ai membri del proprio personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del contratto. Esso garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate a rispettare la riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

(c) In caso di violazione dei dati personali trattati dall'importatore ai sensi delle presenti clausole, l'importatore adotta misure adeguate per porre rimedio alla violazione, comprese misure volte a mitigarne gli effetti negativi. L'importatore informa inoltre l'esportatore senza indebito ritardo dopo aver preso conoscenza della violazione. Tale notifica contiene i dettagli di un punto di contatto presso il quale è possibile ottenere ulteriori informazioni, una descrizione della natura della violazione (comprese, ove possibile, le categorie e il numero approssimativo degli interessati e dei dati personali interessati), le sue probabili conseguenze e le misure adottate o proposte per porvi rimedio, comprese, se del caso, le misure volte a mitigarne i possibili effetti negativi. Qualora e nella misura in cui non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale conterrà le informazioni allora disponibili e ulteriori informazioni saranno fornite successivamente, senza indebito ritardo, non appena disponibili.

(d) Il responsabile del trasferimento dei dati deve cooperare con il responsabile del trattamento dei dati e assisterlo per consentirgli di adempiere agli obblighi previsti dal regolamento (UE) 2016/679, in particolare per notificare l'autorità di controllo competente e gli interessati, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trasferimento dei dati.

8.7 Dati sensibili

Qualora il trasferimento comporti dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, i dati genetici o biometrici intesi a identificare in modo univoco una persona fisica, i dati relativi alla salute o alla vita sessuale o all'orientamento sessuale di una persona, o i dati relativi a condanne penali e a reati (di seguito “dati sensibili”), l'importatore di dati applica le restrizioni specifiche e/o le garanzie supplementari descritte nell'allegato I.B.

8.8. Trasferimenti successivi

L'importatore di dati può comunicare i dati personali a terzi solo sulla base di istruzioni documentate dell'esportatore di dati. Inoltre, i dati possono essere comunicati a terzi situati al di fuori dell'Unione europea (nello stesso paese dell'importatore di dati o in un altro paese terzo, di seguito “trasferimento successivo”) se il terzo è o accetta di essere vincolato dalle presenti Clausole, ai sensi del Modulo appropriato, o se:(i) il trasferimento successivo è verso un paese che beneficia di una decisione di adeguatezza ai sensi dell'articolo 45 del Regolamento (UE) 2016/679 che copre il trasferimento successivo;(ii) il terzo garantisce in altro modo garanzie adeguate ai sensi degli articoli 46 o 47 del Regolamento (UE) 2016/679 in relazione al trattamento in questione;(iii) il trasferimento successivo è necessario per l'accertamento, l'esercizio o la difesa di un diritto in sede giudiziaria nell'ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; oppure (iv) il trasferimento successivo è necessario per proteggere gli interessi vitali dell'interessato o di un'altra persona fisica. Qualsiasi trasferimento successivo è soggetto al rispetto da parte dell'importatore dei dati di tutte le altre garanzie previste dalle presenti Clausole, in particolare la limitazione delle finalità.

8.9 Documentazione e conformità

(a) L'importatore di dati deve rispondere tempestivamente e adeguatamente alle richieste di informazioni dell'esportatore di dati relative al trattamento ai sensi delle presenti Clausole.

(b) Le Parti devono essere in grado di dimostrare la conformità alle presenti Clausole. In particolare, l'importatore di dati deve conservare una documentazione adeguata sulle attività di trattamento svolte per conto dell'esportatore di dati.

(c) L'importatore di dati deve mettere a disposizione dell'esportatore di dati tutte le informazioni necessarie per dimostrare la conformità agli obblighi stabiliti nelle presenti clausole e, su richiesta dell'esportatore di dati, consentire e contribuire alle verifiche delle attività di trattamento oggetto delle presenti clausole, a intervalli ragionevoli o in caso di indicazioni di non conformità. Nel decidere in merito a una revisione o a una verifica, l'esportatore di dati può tenere conto delle certificazioni pertinenti detenute dall'importatore di dati.

(d) L'esportatore di dati può scegliere di condurre l'audit autonomamente o incaricare un revisore indipendente. Gli audit possono includere ispezioni presso i locali o le strutture fisiche dell'importatore di dati e, se del caso, devono essere effettuati con un preavviso ragionevole.

(e) Le parti mettono a disposizione dell'autorità di controllo competente, su richiesta, le informazioni di cui ai paragrafi (b) e (c), compresi i risultati di eventuali audit.

Clausola 9 - Utilizzo di sub-responsabili del trattamento

(a) L'importatore di dati dispone dell'autorizzazione generale dell'esportatore di dati per l'incarico di sub-responsabili del trattamento da un elenco concordato. L'importatore di dati informa specificamente per iscritto l'esportatore di dati di qualsiasi modifica prevista a tale elenco mediante l'aggiunta o la sostituzione di sub-responsabili del trattamento con almeno 10 giorni di anticipo, dando così all'esportatore di dati tempo sufficiente per poter opporsi a tali modifiche prima dell'assunzione dei sub-responsabili del trattamento. L'importatore di dati fornisce all'esportatore di dati le informazioni necessarie per consentire all'esportatore di dati di esercitare il proprio diritto di opposizione.

(b) Qualora l'importatore di dati incarichi un sub-responsabile del trattamento di svolgere specifiche attività di trattamento (per conto dell'esportatore di dati), dovrà farlo mediante un contratto scritto che preveda, in sostanza, gli stessi obblighi di protezione dei dati che vincolano l'importatore di dati ai sensi delle presenti Clausole, anche in termini di diritti dei terzi beneficiari per gli interessati.Le parti convengono che, ottemperando alla presente clausola, l'importatore di dati adempie agli obblighi che gli incombono ai sensi della clausola 8.8. L'importatore di dati garantisce che il sub-responsabile del trattamento ottemperi agli obblighi che incombono all'importatore di dati ai sensi delle presenti clausole.

(c) L'importatore di dati fornirà, su richiesta dell'esportatore di dati, una copu di tale accordo con il sub-responsabile del trattamento e di eventuali successive modifiche all'esportatore di dati. Nella misura necessaria a proteggere i segreti commerciali o altre informazioni riservate, compresi i dati personali, l'importatore di dati può redigere il testo dell'accordo prima di condividerne una copu.

(d) L'importatore di dati rimane pienamente responsabile nei confronti dell'esportatore di dati per l'adempimento degli obblighi del sub-responsabile del trattamento ai sensi del suo contratto con l'importatore di dati. L'importatore di dati notifica all'esportatore di dati qualsiasi inadempimento da parte del sub-responsabile del trattamento degli obblighi previsti dal contratto.

(e) L'importatore di dati concorda con il sub-responsabile del trattamento una clausola di beneficiario terzo in base alla quale, nel caso in cui l'importatore di dati sia effettivamente scomparso, abbia cessato di esistere giuridicamente o sia diventato insolvente, l'esportatore di dati ha il diritto di rescindere il contratto con il sub-responsabile del trattamento e di ordinare a quest'ultimo di cancellare o restituire i dati personali.

Clausola 10 - Diritti degli interessati

(a) L'importatore di dati notifica tempestivamente all'esportatore di dati qualsiasi richiesta ricevuta da un interessato. Non risponde a tale richiesta se non è stato autorizzato a farlo dall'esportatore di dati.

(b) Il responsabile del trattamento dei dati assisterà il responsabile del trasferimento dei dati nell'adempimento dei suoi obblighi di rispondere alle richieste degli interessati di esercitare i loro diritti ai sensi del regolamento (UE) 2016/679. A tal proposito, le parti definiranno nell'allegato II le misure tecniche e organizzative appropriate, tenendo conto della natura del trattamento, con cui sarà fornita l'assistenza, nonché la portata e l'estensione dell'assistenza richiesta.

(c) Nell'adempimento dei propri obblighi di cui alle lettere a) e b), l'importatore di dati si attiene alle istruzioni dell'esportatore di dati.

Clausola 11 - Ricorso

(a) L'importatore di dati informa gli interessati in modo trasparente e facilmente accessibile, tramite comunicazione individuale o sul proprio sito web, in merito a un punto di contatto autorizzato a gestire i reclami. Esso tratta tempestivamente i reclami ricevuti da un interessato.

(b) In caso di controversia tra un interessato e una delle Parti in merito al rispetto delle presenti Clausole, tale Parte farà tutto il possibile per risolvere la questione in modo amichevole e tempestivo. Le Parti si terranno reciprocamente informate in merito a tali controversie e, se del caso, coopereranno per risolverle.

(c) Qualora l'interessato invochi un diritto di terzo beneficiario ai sensi della clausola 3, l'importatore di dati accetta la decisione dell'interessato di:

(i) presentare un reclamo all'autorità di controllo dello Stato membro in cui ha la residenza abituale o il luogo di lavoro, o all'autorità di controllo competente ai sensi della clausola 13;

(ii) sottoporre la controversia ai tribunali competenti ai sensi della clausola 18.

(d) Le parti accettano che l'interessato possa essere rappresentato da un corpo testo, un'organizzazione o un'associazione senza scopo di lucro alle condizioni di cui all'articolo 80, paragrafo 1, del regolamento (UE) 2016/679.

(e) Il responsabile del trattamento dei dati si atterrà a una decisione vincolante ai sensi della normativa UE o dello Stato membro applicabile.

(f) Il responsabile del trattamento dei dati accetta che la scelta effettuata dall'interessato non pregiudichi i suoi diritti sostanziali e procedurali di ricorrere ai mezzi di ricorso previsti dalla normativa applicabile.

Clausola 12 - Responsabilità

(a) Ciascuna parte è responsabile nei confronti delle altre parti per eventuali danni causati alle altre parti dalla violazione delle presenti clausole.

(b) L'importatore dei dati è responsabile nei confronti dell'interessato, e l'interessato ha diritto a ricevere un risarcimento, per eventuali danni materiali o immateriali causati dall'importatore dei dati o dal suo sub-responsabile del trattamento all'interessato mediante la violazione dei diritti dei terzi beneficiari ai sensi delle presenti clausole.

(c) Fatto salvo il paragrafo (b), l'esportatore dei dati sarà responsabile nei confronti dell'interessato, e l'interessato avrà diritto a ricevere un risarcimento, per qualsiasi danno materiale o immateriale causato all'interessato dall'esportatore dei dati o dall'importatore dei dati (o dal suo sub-responsabile del trattamento) in violazione dei diritti di terzi beneficiari ai sensi delle presenti clausole.. Ciò non pregiudica la responsabilità dell'esportatore di dati e, qualora l'esportatore di dati sia un responsabile del trattamento che agisce per conto di un titolare del trattamento, la responsabilità del titolare del trattamento ai sensi del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, a seconda dei casi.

(d) Le Parti convengono che, se l'esportatore di dati è ritenuto responsabile ai sensi del paragrafo (c) per i danni causati dall'importatore di dati (o dal suo sub-responsabile del trattamento), esso avrà il diritto di richiedere all'importatore di dati il rimborso della parte del risarcimento corrispondente alla responsabilità dell'importatore di dati per il danno.

(e) Qualora più di una Parte sia responsabile di un danno causato all'interessato a seguito di una violazione delle presenti Clausole, tutte le Parti responsabili saranno responsabili in solido e l'interessato avrà il diritto di intentare un'azione legale contro una qualsiasi di tali Parti.

(f) Le parti convengono che, se una parte è ritenuta responsabile ai sensi del paragrafo (e), essa ha il diritto di richiedere all'altra o alle altre parti la restituzione della parte del risarcimento corrispondente alla loro responsabilità per il danno.

(g) L'importatore di dati non può invocare la condotta di un sub-responsabile del trattamento per eludere la propria responsabilità.

Clausola 13 - Supervisione

(a) L'autorità di controllo responsabile di garantire la conformità dell'esportatore di dati al regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, come indicato nell'allegato I.C, agisce in qualità di autorità di controllo competente.

(b) L'importatore dei dati accetta di sottoporsi alla giurisdizione dell'autorità di controllo competente e di cooperare con essa in qualsiasi procedura volta a garantire il rispetto delle presenti clausole. In particolare, l'importatore dei dati accetta di rispondere alle richieste di informazioni, di sottoporsi a verifiche e di conformarsi alle misure adottate dall'autorità di controllo, comprese le misure correttive e compensative. Egli fornirà all'autorità di controllo una conferma scritta che le azioni necessarie sono state intraprese.

SEZIONE III - LEGGI E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DELLE AUTORITÀ PUBBLICHE

Clausola 14 - Leggi e prassi locali che incidono sul rispetto delle Clausole

(a) Le Parti garantiscono di non avere motivo di ritenere che le leggi e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell'importatore di dati, compresi eventuali obblighi di divulgazione dei dati personali o misure che autorizzano l'accesso da parte delle autorità pubbliche, impediscano all'importatore di dati di adempiere ai propri obblighi ai sensi delle presenti Clausole. Ciò si basa sul presupposto che le leggi e le prassi che rispettano l'essenza dei diritti e delle libertà fondamentali e non eccedono quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi elencati all'articolo 23, paragrafo 1, del regolamento (UE) 2016/679, non sono in contraddizione con le presenti clausole.

(b) Le parti dichiarano che, nel fornire la garanzia di cui al paragrafo (a), hanno tenuto debitamente conto in particolare dei seguenti elementi:

(i) le circostanze specifiche del trasferimento, compresa la lunghezza della catena di trattamento, il numero di attori coinvolti e i canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui avviene il trasferimento; il luogo di conservazione dei dati trasferiti;

(ii) le leggi e le prassi del paese terzo di destinazione, comprese quelle che richiedono la divulgazione dei dati alle autorità pubbliche o che autorizzano l'accesso da parte di tali autorità, rilevanti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili;

(iii) eventuali garanzie contrattuali, tecniche o organizzative pertinenti messe in atto per integrare le garanzie previste dalle presenti clausole, comprese le misure applicate durante la trasmissione e al trattamento dei dati personali nel paese di destinazione.

(c) Il responsabile del trasferimento dei dati garantisce che, nell'effettuare la valutazione di cui al paragrafo (b), ha compiuto ogni sforzo per fornire al responsabile del trasferimento dei dati le informazioni pertinenti e si impegna a continuare a collaborare con il responsabile del trasferimento dei dati per garantire il rispetto delle presenti Clausole.

(d) Le Parti convengono di documentare la valutazione di cui al paragrafo (b) e di metterla a disposizione dell'autorità di controllo competente su richiesta.

(e) L'importatore dei dati si impegna a informare tempestivamente l'esportatore dei dati se, dopo aver accettato le presenti clausole e per tutta la durata del contratto, ha motivo di ritenere di essere o di essere diventato soggetto a leggi o prassi non conformi ai requisiti di cui al paragrafo (a), anche a seguito di una modifica delle leggi del paese terzo o di una misura (come una richiesta di divulgazione) che indichi un'applicazione di tali leggi nella pratica non conforme ai requisiti di cui al paragrafo (a).

(f) A seguito di una notifica ai sensi del paragrafo (e), o se l'esportatore di dati ha comunque motivo di ritenere che l'importatore di dati non sia più in grado di adempiere ai propri obblighi ai sensi delle presenti Clausole, l'esportatore di dati identificherà tempestivamente le misure appropriate (ad esempio misure tecniche o organizzative per garantire la sicurezza e la riservatezza) che devono essere adottate dall'esportatore di dati e/o dall'importatore di dati per affrontare la situazione. L'esportatore di dati sospenderà il trasferimento dei dati se ritiene che non sia possibile garantire adeguate garanzie per tale trasferimento o se riceve istruzioni in tal senso dall'autorità di controllo competente. In tal caso, l'esportatore di dati ha il diritto di risolvere il contratto, nella misura in cui esso riguarda il trattamento dei dati personali ai sensi delle presenti clausole. Se il contratto coinvolge più di due parti, l'esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della parte interessata, salvo diverso accordo tra le parti. In caso di risoluzione del contratto ai sensi della presente clausola, si applicano le clausole 16(d) ed (e).

Clausola 15 - Obblighi dell'importatore dei dati in caso di accesso da parte delle autorità pubbliche

15.1 Notifica

(a) L'importatore dei dati si impegna a informare tempestivamente l'esportatore dei dati e, ove possibile, l'interessato (se necessario con l'aiuto dell'esportatore di dati) qualora:

(i) riceva una richiesta giuridicamente vincolante da un'autorità pubblica, comprese le autorità giudiziarie, ai sensi delle leggi del paese di destinazione, per la divulgazione dei dati personali trasferiti ai sensi delle presenti Clausole; tale notifica deve includere informazioni sui dati personali richiesti, sull'autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; oppure

(ii) viene a conoscenza di qualsiasi accesso diretto da parte delle autorità pubbliche ai dati personali trasferiti ai sensi delle presenti Clausole in conformità con le leggi del paese di destinazione; tale notifica deve includere tutte le informazioni a disposizione dell'importatore.

(b) Se all'importatore di dati è vietato informare l'esportatore di dati e/o l'interessato ai sensi delle leggi del paese di destinazione, l'importatore di dati si impegna a fare tutto il possibile per ottenere una deroga al divieto, con l'obiettivo di comunicare il maggior numero possibile di informazioni, il più presto possibile. L'importatore di dati si impegna a documentare i propri sforzi al fine di poterli dimostrare su richiesta dell'esportatore di dati.

(c) Ove consentito dalla legislazione del paese di destinazione, l'importatore dei dati si impegna a fornire all'esportatore dei dati, a intervalli regolari per tutta la durata del contratto, il maggior numero possibile di informazioni pertinenti sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, l'autorità o le autorità richiedenti, se le richieste sono state contestate e l'esito di tali contestazioni, ecc.

(d) L'importatore dei dati si impegna a conservare le informazioni di cui ai paragrafi da (a) a (c) per tutta la durata del contratto e a metterle a disposizione dell'autorità di controllo competente su richiesta.

(e) I paragrafi da (a) a (c) non pregiudicano l'obbligo dell'importatore di dati ai sensi della clausola 14(e) e della clausola 16 di informare tempestivamente l'esportatore di dati qualora non sia in grado di ottemperare alle presenti clausole.

15.2 Verifica della legalità e minimizzazione dei dati

(a) L'importatore dei dati si impegna a verificare la legalità della richiesta di divulgazione, in particolare se essa rientri nei poteri conferiti all'autorità pubblica richiedente, e a contestare la richiesta se, dopo un'attenta valutazione, conclude che vi sono motivi ragionevoli per ritenere che la richiesta sia illegale ai sensi delle leggi del paese di destinazione, degli obblighi applicabili ai sensi del diritto internazionale e dei principi di cortesia internazionale. L'importatore di dati persegue, alle stesse condizioni, le possibilità di ricorso. Quando contesta una richiesta, l'importatore di dati chiede misure provvisorie per vedere sospesi gli effetti della richiesta fino a quando l'autorità giudiziaria competente non abbia deciso nel merito. Egli non divulga i dati personali richiesti fino a quando non sia tenuto a farlo in base alle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell'importatore di dati ai sensi della clausola 14, lettera e).

(b) L'importatore dei dati si impegna a documentare la propria valutazione giuridica e qualsiasi contestazione della richiesta di divulgazione e, nella misura consentita dalle leggi del paese di destinazione, a mettere la documentazione a disposizione dell'esportatore dei dati. Egli la metterà inoltre a disposizione dell'autorità di controllo competente su richiesta.

(c) L'importatore di dati accetta di fornire la quantità minima di informazioni consentita quando risponde a una richiesta di divulgazione, sulla base di un'interpretazione ragionevole della richiesta.

SEZIONE IV - DISPOSIZIONI FINALI

Clausola 16 - Inosservanza delle clausole e risoluzione

(a) L'importatore di dati informerà tempestivamente l'esportatore di dati qualora non sia in grado di rispettare le presenti clausole, per qualsiasi motivo.

(b) Nel caso in cui l'importatore di dati violi le presenti clausole o non sia in grado di rispettarle, l'esportatore di dati sospenderà il trasferimento dei dati personali all'importatore di dati fino a quando non sarà nuovamente garantita la conformità o il contratto non sarà risolto. Ciò non pregiudica la clausola 14(f).

(c) L'esportatore di dati ha il diritto di risolvere il contratto, nella misura in cui riguarda il trattamento dei dati personali ai sensi delle presenti clausole, qualora:

(i) l'esportatore di dati abbia sospeso il trasferimento dei dati personali all'importatore di dati ai sensi del paragrafo (b) e la conformità alle presenti clausole non sia ripristinata entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;

(ii) l'importatore dei dati violi in modo sostanziale o persistente le presenti clausole; oppure

(iii) l'importatore dei dati non si conformi a una decisione vincolante di un tribunale competente o di un'autorità di controllo in merito ai suoi obblighi ai sensi delle presenti clausole. In tali casi, esso informa l'autorità di controllo competente di tale inadempienza. Qualora il contratto coinvolga più di due parti, l'esportatore di dati può esercitare tale diritto di risoluzione solo nei confronti della parte interessata, salvo diverso accordo tra le parti.

(d) I dati personali che sono stati trasferiti prima della risoluzione del contratto ai sensi del paragrafo (c) devono, a scelta dell'esportatore di dati, essere immediatamente restituiti all'esportatore di dati o cancellati nella loro interezza. Lo stesso vale per eventuali copu dei dati. L'importatore dei dati certifica di aver cancellato i dati all'esportatore dei dati. Fino a quando i dati non saranno cancellati o restituiti, l'importatore dei dati continuerà a garantire il rispetto delle presenti clausole. Nel caso in cui le leggi locali applicabili all'importatore dei dati vietino la restituzione o il cancellare dei dati personali trasferiti, l'importatore dei dati garantisce che continuerà a garantire il rispetto delle presenti clausole e tratterà i dati solo nella misura e per il tempo richiesti dalla legge locale.

(e) Ciascuna delle parti può revocare il proprio consenso ad essere vincolata dalle presenti clausole qualora (i) la Commission europea adotti una decisione ai sensi dell'articolo 45, paragrafo 3, del regolamento (UE) 2016/679 che riguarda il trasferimento dei dati personali a cui si applicano le presenti clausole; o (ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese in cui vengono trasferiti i dati personali. Ciò non pregiudica gli altri obblighi applicabili al trattamento in questione ai sensi del Regolamento (UE) 2016/679.

Clausola 17 - Legge applicabile

Le presenti Clausole sono regolate dalla legge della giurisdizione specificata nella Sezione 11.2 dell'Accordo sul trattamento dei dati (DPA) e nei Termini di utilizzo di Benchmark Email, salvo diversamente richiesto dalle leggi applicabili in materia di protezione dei dati.

Clausola 18 - Scelta del foro competente e della giurisdizione

(a) Qualsiasi controversia derivante dalle presenti Clausole sarà risolta dai tribunali della giurisdizione specificata nella Sezione 11.2 del DPA e nei Termini di utilizzo di Benchmark Email. (b) Le Parti concordano che tali tribunali saranno quelli della giurisdizione specificata nella Sezione 11.2 del DPA e nei Termini di utilizzo di Benchmark Email. (c) L'interessato può anche avviare un procedimento legale contro l'esportatore di dati e/o l'importatore di dati dinanzi ai tribunali dello Stato membro in cui ha la sua residenza abituale.

APPENDICE alle Clausole Contrattuali Standard

ALLEGATO I

  1. ELENCO DELLE PARTI

Esportatore/i di dati:

  1. Cliente, secondo la definizione contenuta nelle Condizioni d'uso di Benchmark Email a cui è allegato l'Addendum sul trattamento dei dati.

Importatore/i di dati:

  1. Nome: Polaris Software, Inc.

Indirizzo: 3636 S. Geyer Road, Suite 100, St Louis, MO 63127 USA.

Nome, posizione e recapiti della persona di contatto: support@benchmarkemail.com

Attività relative ai dati trasferiti ai sensi delle presenti Clausole: servizi di email marketing

Firma e data: Le Clausole Contrattuali Standard entreranno in vigore alla data in cui il Cliente accetta i Termini di Utilizzo di Benchmark Email e l'Addendum sul Trattamento dei Dati (DPA). Se il Cliente diventa cliente di Benchmark Email dopo l'esecuzione del presente DPA, le SCC saranno considerate efficaci dal giorno in cui il Cliente accetta i Termini di Utilizzo e il DPA.

Ruolo (titolare/responsabile del trattamento): responsabile del trattamento

  1. DESCRIZIONE DEL TRASFERIMENTO

Categorie di interessati i cui dati personali sono trasferiti: il Cliente determina e controlla l'entità dei Dati personali del Cliente sottoposti al Trattamento da parte dei Servizi, che possono includere Dati personali relativi a: (1) Utenti - qualsiasi individuo che accede e/o utilizza i Servizi tramite l'account del Cliente; (2) Iscritti - qualsiasi individuo il cui indirizzo email è incluso nella lista di distribuzione del Cliente / le cui informazioni sono memorizzate o raccolte tramite i Servizi / a cui gli Utenti inviano email o con cui interagiscono o comunicano in altro modo tramite i Servizi.

Categorie di dati personali trasferiti: I dati personali trasferiti riguardano le seguenti categorie di dati: (1) Utenti: dati identificativi e di contatto (nome, recapiti, compreso indirizzo email, nome utente); informazioni di fatturazione (indirizzo di fatturazione, informazioni di pagamento); informazioni sull'organizzazione (nome, indirizzo, posizione geografica, area di responsabilità, codice IVA), informazioni IT (indirizzo IP, dati di utilizzo, dati dei cookie, dati di navigazione online, dati di localizzazione, dati del browser, informazioni sul dispositivo di accesso); (2) Iscritti: indirizzo email e qualsiasi altra informazione aggiuntiva che il Cliente fornisce a Benchmark Email.

Dati sensibili trasferiti (se applicabile) e restrizioni o misure di sicurezza applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, quali ad esempio la rigorosa limitazione delle finalità, le restrizioni di accesso (incluso l'accesso riservato al personale che ha seguito una formazione specializzata), la registrazione degli accessi ai dati, le restrizioni per i trasferimenti successivi o misure di sicurezza aggiuntive: Nessun dato sensibile sarà trasferito a Benchmark Email.

Frequenza del trasferimento: i dati vengono trasferiti su base continuativa per tutta la durata dei Servizi, come descritto nei Termini di utilizzo.

Natura del trattamento: Benchmark Email è un servizio che fornisce ai clienti uno strumento per raccogliere indirizzi email e per creare, inviare e tracciare promozioni via email (“Servizi”) e altri servizi in conformità con eventuali conferme d'ordine, documenti d'ordine o registrazioni online, come descritto nei Termini di utilizzo.

Finalità del trasferimento dei dati e dell'ulteriore trattamento: la finalità del trattamento dei dati ai sensi del presente DPA è la fornitura dei Servizi.

Il periodo per il quale i dati personali saranno conservati o, se ciò non è possibile, i criteri utilizzati per determinare tale periodo: i dati saranno conservati per la durata dei Servizi. Ciò non si applica nella misura in cui Benchmark Email sia tenuta dalla legge applicabile a conservare alcuni o tutti i Dati del Cliente, o ai Dati del Cliente che ha archiviato su sistemi di backup in cui i Dati del Cliente sono isolati in modo sicuro e protetti da qualsiasi ulteriore trattamento, salvo nella misura richiesta dalla legge applicabile.

Per i trasferimenti a (sub)responsabili del trattamento, specificare anche l'oggetto, la natura e la durata del trattamento: i Dati personali potrebbero essere trasferiti ai sub-responsabili del trattamento di Benchmark Email al fine di fornire i Servizi ai propri clienti. Il sub-trattamento dovrebbe avvenire per la durata della fornitura dei Servizi o più a lungo, se richiesto dalla legge.

  1. AUTORITÀ DI CONTROLLO COMPETENTE

Identificare l'autorità o le autorità di controllo competenti in conformità con la clausola 13:

L'autorità di controllo competente per garantire la conformità al Regolamento (UE) 2016/679 (GDPR) in relazione al trasferimento dei Dati del Cliente è l'Autorità per la protezione dei dati (DPA) nella giurisdizione del Cliente. L'autorità competente sarà determinata in base alla sede del Cliente (il Trasferitore dei dati), come indicato nell'elenco delle autorità di controllo dell'EDPB (disponibile all'indirizzo: Autorità di controllo dell'EDPB).

Per i Clienti situati nell'Unione Europea (UE) o nello Spazio Economico Europeo (SEE), l'Autorità per la protezione dei dati del Paese del Cliente sarà l'autorità competente. Per i Clienti situati nel Regno Unito (UK), l'autorità competente è l'Information Commissioner's Office (ICO). Per i Clienti situati in Svizzera, l'autorità competente è l'Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

In caso di trattamento transfrontaliero dei dati, il Comitato europeo per la protezione dei dati (EDPB) può essere coinvolto nella risoluzione delle controversie, in particolare nell'ambito del meccanismo dello sportello unico definito nel GDPR.

ALLEGATO II

MISURE TECNICHE E ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Si prega di consultare l'Allegato 2 del DPA - Misure di sicurezza.

ALLEGATO III

ELENCO DEI SUB-RESPONSABILI DEL TRATTAMENTO

Si prega di consultare l'Allegato 3 del DPA - Elenco dei sub-responsabili del trattamento.

Ultimo aggiornamento: 15 ottobre 2025

 

Scegli la lingua