Accordo di Trattamento Dati

Evnyo è autorizzato a trattare per conto del Cliente i dati personali necessari alla fornitura dei Servizi come definiti nelle CGU. Le caratteristiche di questi trattamenti sono riassunte nella tabella seguente, in conformità ai requisiti dell'articolo 28 del GDPR:

Osservazioni: Le categorie di interessati di questi trattamenti sono principalmente gli Invitati designati dal Cliente (contatti professionali o privati invitati ai suoi eventi). Il Cliente può anche essere tenuto a inserire dati riguardanti i suoi utenti interni (es. coordinate di un collaboratore organizzatore) nella piattaforma – questi dati degli utenti del Cliente riguardano generalmente l'account Cliente stesso e sono trattati nell'ambito del funzionamento del servizio (es. gestione degli accessi). Infine, i dati propri del Cliente (come le sue informazioni di fatturazione, i suoi identificativi) sono trattati da Evnyo in qualità di Titolare del trattamento nell'ambito della gestione del rapporto contrattuale (cfr. Informativa sulla Privacy Evnyo), e non sono dettagliati qui poiché fuori dall'ambito del presente Accordo.

È convenuto che se il Cliente utilizza i Servizi per trattare Dati o categorie di Dati o nell'ambito di finalità diverse da quelle descritte sopra, lo fa a suo rischio e pericolo. Evnyo non potrà essere ritenuto responsabile in caso di inadempimento alla normativa derivante da trattamenti non previsti dalle Parti. Il Cliente si impegna a utilizzare la piattaforma solo per le finalità per cui è prevista, in conformità alle CGU e alla presente tabella.

In qualità di Titolare del Trattamento, il Cliente si impegna a:

• Conformità e istruzioni documentate: Rispettare in tutti i punti la normativa applicabile ai dati personali (GDPR, Codice della Privacy italiano) per i trattamenti che effettua tramite Evnyo. Il Cliente determina le finalità e i mezzi dei trattamenti affidati a Evnyo e garantisce che le istruzioni fornite a Evnyo siano documentate, conformi al contratto e alla normativa. Qualsiasi istruzione del Cliente che ecceda il perimetro del Servizio o sia contraria alla normativa non sarà eseguita da Evnyo. Il Cliente utilizzerà la piattaforma in modo conforme ai documenti contrattuali e non darà istruzioni a Evnyo di trattare dati in violazione delle leggi.

• Liceità dei dati trattati: Assicurare che i dati personali affidati a Evnyo siano stati raccolti e siano trattati dal Cliente in conformità al GDPR e al Codice della Privacy. Ciò include, senza limitazione: l'informazione preventiva degli interessati fin dalla raccolta dei loro dati, comunicando loro tutte le menzioni obbligatorie (identità del titolare del trattamento, finalità dell'invito, base giuridica – consenso o interesse legittimo, diritti delle persone, ecc.). Il Cliente deve fornire agli Invitati un'informazione chiara, ad esempio tramite la propria informativa sulla privacy o un testo fornito al momento della raccolta delle email. Quando la base giuridica del trattamento è il consenso (in particolare per l'invio di email/SMS di marketing a privati), ottenere un consenso valido e dimostrabile da ogni interessato precedentemente all'invio di inviti. Il Cliente deve essere in grado di provare che l'Invitato ha acconsentito a ricevere gli inviti, o in mancanza, che l'invio si basa su un'altra base giuridica valida (ad esempio, interesse legittimo in B2B con diritto di opposizione rispettato). Tenere conto dei diritti di opposizione delle persone (es: se un Invitato si è opposto a ricevere sollecitazioni, assicurarsi di non importarlo o invitarlo più). In generale, trattare tramite Evnyo solo dati adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità perseguite (principio di minimizzazione).

• Esattezza e aggiornamento: Vigilare sull'esattezza dei dati degli Invitati e aggiornarli se necessario. Evnyo fornisce strumenti che consentono al Cliente di rettificare o cancellare dati; spetta al Cliente dare seguito alle eventuali richieste di rettifica degli interessati. Evnyo può, nella misura del possibile, aiutare il Cliente a mantenere dati esatti secondo le sue istruzioni.

• Misure di sicurezza del Cliente: Implementare misure di sicurezza appropriate dal lato Cliente per assicurare la protezione dei dati durante l'utilizzo della piattaforma. Ad esempio, il Cliente deve proteggere l'accesso al suo account (password forti, autenticazione a due fattori se disponibile), e garantire la riservatezza dei dati quando esporta o scarica informazioni da Evnyo.

• Utilizzo conforme della piattaforma: Non utilizzare impropriamente le funzionalità di Evnyo per raccogliere o trattare dati sensibili o altamente personali senza accordo preventivo di Evnyo. La piattaforma può contenere campi liberi (ad esempio, possibilità per il Cliente di inserire un messaggio personalizzato) che non sono destinati a contenere dati sensibili (come dati sanitari, origine razziale, opinioni, ecc.). Il Cliente si impegna a non introdurvi tali dati speciali. Evnyo declina ogni responsabilità in caso di utilizzo non conforme di questi campi da parte del Cliente.

• Cooperazione: Più in generale, collaborare in buona fede con Evnyo per consentire la conformità del trattamento. Ad esempio, in caso di richiesta di audit o informazioni (vedere sezione 4.5), il Cliente parteciperà nei limiti del ragionevole.

Il Cliente riconosce di conservare l'intera responsabilità dei Dati personali trattati per suo conto. Il Cliente rimane responsabile della conformità globale del trattamento nei confronti degli interessati e delle autorità, nell'ambito dei suoi obblighi come Titolare del Trattamento. Evnyo assume la sua responsabilità di Responsabile del Trattamento in conformità all'articolo 28 del GDPR, in particolare in materia di sicurezza, riservatezza e cooperazione. In caso di violazione da parte del Cliente dei suoi obblighi di Titolare del Trattamento, le conseguenze finanziarie e giuridiche che ne derivano sono di sua responsabilità, fatta salva la responsabilità propria di Evnyo come Responsabile del Trattamento.

In qualità di Responsabile del Trattamento, Evnyo si impegna a rispettare i seguenti obblighi, in conformità all'articolo 28 del GDPR:

4.1. Trattamento conforme alle istruzioni

Evnyo tratterà i dati personali degli Invitati solo su istruzione documentata del Cliente e con l'unico scopo di fornire i Servizi come definiti nel Contratto. Ciò include le operazioni tecniche necessarie come l'hosting, l'archiviazione, l'invio di email/SMS, la formattazione degli inviti, il monitoraggio delle risposte, la manutenzione e il supporto.

Evnyo non deciderà delle finalità o dei mezzi del trattamento al di fuori delle istruzioni del Cliente. Evnyo si asterrà in particolare da qualsiasi utilizzo dei dati per altre finalità (marketing proprio, profilazione, ecc.), da qualsiasi vendita o locazione dei dati, e da qualsiasi fusione dei dati degli Invitati con altre basi, salvo obbligo legale contrario.

Se Evnyo ritiene che un'istruzione del Cliente costituisca una violazione del GDPR o di altre disposizioni applicabili, ne informerà prontamente il Cliente. Allo stesso modo, se Evnyo è tenuto dal diritto dell'Unione o dal diritto nazionale a procedere a un trattamento che va oltre le istruzioni (es. una divulgazione su ingiunzione giudiziaria), ne informerà il Cliente prima del trattamento (salvo che la legge lo vieti per motivi importanti di interesse pubblico).

Evnyo garantisce che i dati personali trattati per conto del Cliente saranno mantenuti strettamente riservati. A tal fine, Evnyo si impegna a:

• Divulgare i dati degli Invitati solo ai membri del suo personale, responsabili del trattamento o prestatori che hanno bisogno di accedervi per le esigenze dell'esecuzione dei Servizi, e solo nella misura strettamente necessaria al loro intervento.
• Assicurare che queste persone autorizzate siano soggette a un obbligo legale o contrattuale di riservatezza. Evnyo integra nei contratti di lavoro o prestazioni clausole di riservatezza conformi ai requisiti del presente Accordo.
• Non copiare, riprodurre o utilizzare i dati degli Invitati per finalità diverse da quelle previste dal Contratto, e non conservare copie dei dati oltre quanto necessario per il servizio o per conformarsi alla legge.
• Garantire che il suo personale che tratta i dati sia formato sui requisiti di protezione dei dati e sensibilizzato sull'importanza della riservatezza.

Questo obbligo di riservatezza perdura anche dopo la fine del contratto.

Evnyo implementerà tutte le misure di sicurezza tecniche e organizzative appropriate al fine di garantire un livello di sicurezza adeguato al rischio, in conformità all'articolo 32 del GDPR. Evnyo si impegna a mantenere un livello di sicurezza conforme allo stato dell'arte. Tenuto conto dello stato delle conoscenze, dei costi di implementazione e della natura dei dati, Evnyo adotta in particolare le seguenti misure:

• Sicurezza logica dei dati: Protezione dei server e database contro le intrusioni (firewall, sistemi di rilevamento intrusioni), cifratura delle comunicazioni (es: TLS per le interfacce web, SMTP sicuro per le email in uscita), politiche di controllo degli accessi rigorose (accesso ai dati riservato alle persone autorizzate sopra menzionate, con autenticazione forte). I dati degli Invitati memorizzati sui server sono ospitati in un ambiente sicuro che rispetta gli standard del settore (data center sicuri, sorveglianza 24/7, ecc.).
• Sicurezza fisica: I dati sono ospitati tramite servizi di hosting cloud riconosciuti per la loro sicurezza (vedere Sub-responsabili qui sotto).
• Resilienza e integrità: Backup regolari dei dati per prevenire la perdita di dati, test di integrità, piano di ripresa dell'attività in caso di incidente maggiore, al fine di assicurare la disponibilità dei dati del Cliente nella misura del possibile.
• Test e audit di sicurezza: Evnyo realizza periodicamente valutazioni di sicurezza della sua piattaforma (test interni, audit esterni se necessari) per identificare e correggere le vulnerabilità. Questi test sono condotti in modo riservato e i risultati possono essere comunicati al Cliente su richiesta legittima, sotto riserva di riservatezza.

Evnyo si impegna a notificare al Cliente qualsiasi violazione dei dati personali (incidente di sicurezza che comporti accidentalmente o illecitamente la distruzione, perdita, alterazione, divulgazione non autorizzata o l'accesso non autorizzato a dati personali) di cui venga a conoscenza e riguardante i dati del Cliente. Questa notifica sarà effettuata entro 24 ore dalla scoperta dell'incidente. Evnyo fornirà al Cliente tutte le informazioni pertinenti sulla natura della violazione, i dati potenzialmente interessati, le probabili conseguenze e le misure correttive adottate, al fine di consentire al Cliente, se necessario, di notificare questo incidente all'autorità di protezione dei dati competente (Garante Privacy) e/o agli interessati, in conformità agli articoli 33 e 34 del GDPR. Le Parti coopereranno in buona fede in caso di incidente per attenuarne gli effetti.

Il Cliente acconsente espressamente a che Evnyo possa ricorrere a sub-responsabili del trattamento (anche chiamati responsabili del trattamento subordinati o prestatori terzi) per condurre attività di trattamento specifiche per conto del Cliente, nell'ambito della fornitura del Servizio. Può trattarsi in particolare delle seguenti categorie: hosting cloud, servizi di invio email e SMS, strumenti di analisi tecniche, correzione di dati tramite IA, ecc.

I sub-responsabili attuali a cui Evnyo ricorre includono (elenco non esaustivo):

• Supabase – Database e hosting di file: Supabase è il nostro fornitore di infrastruttura applicativa. Ruolo: hosting del database PostgreSQL contenente i dati di Evnyo (account, eventi, inviti, risposte, ecc.), e archiviazione dei file associati (es. immagini dei vostri eventi) in uno spazio dedicato. Localizzazione: Unione Europea. Utilizziamo i server europei di Supabase (regione UE) affinché tutti i dati e file siano ospitati esclusivamente in Europa. I dati archiviati sono cifrati a riposo e sono accessibili solo alle applicazioni Evnyo e ai nostri amministratori abilitati.

• Vercel – Hosting front-end: Vercel è la piattaforma di hosting del front-end della nostra applicazione (sito web e interfaccia utente di Evnyo). Ruolo: distribuzione dell'applicazione web e dei contenuti statici agli utenti finali, tramite una rete mondiale di distribuzione (CDN) per prestazioni ottimali. Localizzazione: principalmente negli Stati Uniti (Vercel Inc.), con una CDN in tutto il mondo (inclusi server in Europa). Garanzie di trasferimento: Vercel è certificato per l'EU-US Data Privacy Framework e propone un Data Processing Addendum standard conforme al GDPR.

• Postmark – Invio di email transazionali: servizio di email utilizzato per instradare le email generate da Evnyo. Ruolo: invio affidabile delle email transazionali legate agli eventi (es. inviti, conferme di iscrizione, promemoria, follow-up post-evento) per conto dell'organizzatore. Localizzazione: principalmente negli Stati Uniti, con infrastrutture ridondanti. Garanzie di trasferimento: Postmark propone un Data Processing Addendum standard conforme ai requisiti GDPR e garanzie contrattuali per i trasferimenti internazionali.

• Twilio – Invio di SMS transazionali: piattaforma utilizzata per l'invio degli SMS (ad esempio inviti o promemoria SMS, o messaggi di verifica) ai partecipanti che hanno fornito un numero di telefono. Ruolo: instradare gli SMS verso gli operatori telefonici dei vostri contatti. Localizzazione: Twilio Inc. è una società americana, ma dispone di punti di presenza nell'UE. Garanzie di trasferimento: Twilio dispone di Binding Corporate Rules (BCR) approvate dalle autorità europee di protezione dei dati e propone un Data Processing Addendum conforme al GDPR.

• CookieYes – Consent Management Platform: strumento di gestione dei consensi sui cookie. CookieYes implementa sul nostro sito il banner dei cookie e registra le scelte di ogni utente in materia di cookie. Ruolo: garantire che i tracciatori non essenziali siano attivati solo con consenso, e conservare la prova del consenso o rifiuto dell'utente. Localizzazione: CookieYes Limited è una società registrata nel Regno Unito.

• OpenAI – Intelligenza artificiale: servizio di IA avanzata che utilizziamo tramite API per funzionalità specifiche (es: correzione di dati mal formattati, generazione di immagini su richiesta). Ruolo: trattamento algoritmico del contenuto che gli sottoponiamo al fine di produrre un risultato (file corretto o immagine generata) restituito a Evnyo. Localizzazione: Stati Uniti (OpenAI, Inc.). Garanzie: In conformità alle condizioni di utilizzo dell'API OpenAI, i dati che trasmettiamo non sono utilizzati da OpenAI per addestrare i loro modelli di IA e sono automaticamente eliminati dai loro sistemi entro un termine massimo di 30 giorni dopo il trattamento.

• OVH – Gestione del nome di dominio e DNS: OVHcloud è il nostro registrar e host DNS per il dominio evnyo.com. Ruolo: gestione tecnica del nome di dominio, dei record DNS e hosting di alcune funzioni accessorie. Localizzazione: Francia (OVH, società francese). Dati personali: molto pochi dati in realtà – OVH tratta essenzialmente dati tecnici (query DNS dei visitatori).

Evnyo si assicura che tutti i suoi sub-responsabili dispongano di meccanismi di trasferimento validati per i paesi terzi (BCR, Clausole Contrattuali Standard, decisione di adeguatezza) e che i loro DPA standard rispettino i requisiti dell'articolo 28 del GDPR. Evnyo si impegna affinché ogni sub-responsabile offra garanzie sufficienti quanto all'implementazione di misure tecniche e organizzative appropriate, in modo che il trattamento risponda ai requisiti del GDPR e garantisca la protezione dei diritti degli interessati. Evnyo conclude con ciascuno di questi sub-responsabili un contratto scritto che impone obblighi di protezione dei dati equivalenti a quelli del presente Accordo, in particolare in termini di riservatezza, sicurezza e notifica delle violazioni.

Evnyo rimane pienamente responsabile nei confronti del Cliente dell'esecuzione da parte dei suoi sub-responsabili dei loro obblighi di protezione dei dati. Evnyo supervisionerà questi sub-responsabili e rimarrà l'interlocutore unico del Cliente.

Informazione e diritto di opposizione: Evnyo terrà il Cliente informato di qualsiasi cambiamento previsto riguardante l'aggiunta o la sostituzione di sub-responsabili importanti che comportino un trattamento di dati personali del Cliente. Questa informazione sarà fornita tramite una notifica (ad esempio, nell'interfaccia amministratore del Cliente o per email) almeno 15 giorni prima del cambiamento. Il Cliente ha la facoltà di sollevare obiezioni ragionevoli e legittime contro questi cambiamenti entro questo termine di 15 giorni. Un'obiezione dovrà essere motivata in buona fede, ad esempio se il Cliente ritiene che un nuovo sub-responsabile presenti garanzie insufficienti di conformità.

In caso di obiezione non risolta riguardante un nuovo sub-responsabile, Evnyo potrà, a sua scelta, sia rinunciare a ingaggiare questo sub-responsabile, sia proporre una soluzione alternativa al Cliente. Se non si trova alcuna soluzione accettabile, il Cliente potrà risolvere il contratto senza penale a causa di questa obiezione. Questa risoluzione sarà considerata come legittima e non colposa da parte di Evnyo.

Al termine del rapporto contrattuale, cioè in caso di risoluzione o scadenza delle CGU, il Cliente ha la facoltà di recuperare l'insieme dei dati personali trattati per suo conto tramite Evnyo. Evnyo fornisce, su richiesta del Cliente, i dati in un formato standard leggibile (ad esempio, export CSV delle liste di invitati e risposte).

Il Cliente dovrà esercitare questa opzione di restituzione prima della data di fine del contratto o al più tardi entro 15 giorni seguenti. Oltre tale termine, Evnyo procederà alla cancellazione completa dei dati personali del Cliente ancora in suo possesso, secondo il seguente calendario:

• Cancellazione attiva immediata: Immediatamente dopo la fine del contratto, Evnyo renderà inaccessibili i dati del Cliente sulla piattaforma (account disattivato). I dati potranno essere conservati temporaneamente nei backup di sistema.
• Eliminazione definitiva: In assenza di istruzione contraria del Cliente, Evnyo cancellerà tutti i dati personali del Cliente entro un termine massimo di 90 giorni dalla fine dell'evento o dalla risoluzione del contratto, a seconda di quale evento si verifichi per primo. Ciò include l'eliminazione dei database attivi e la sovrascrittura o cifratura dei backup contenenti ancora questi dati. Su richiesta scritta del Cliente, Evnyo potrà attestare per iscritto l'effettiva distruzione dei dati una volta realizzata.

Se il Cliente desidera una restituzione di dati prima della cancellazione, Evnyo potrà assisterlo (questo servizio può essere fatturato se genera un costo importante). In ogni caso, Evnyo non conserverà alcun dato personale del Cliente oltre il periodo menzionato, salvo obbligo legale di conservazione più lungo. Ad esempio, Evnyo potrà conservare log di connessione o transazioni contenenti accessoriamente dati personali se la legge lo impone, ma in questo caso questi dati rimarranno protetti e archiviati separatamente.

Gli obblighi di Evnyo in materia di riservatezza e sicurezza continuano ad applicarsi finché Evnyo conserva i dati.

In caso di risoluzione d'urgenza (sospensione immediata per inadempimento grave), il Cliente dispone di un termine di 7 giorni per recuperare i suoi dati tramite export automatizzato dalla sua interfaccia. Trascorso questo termine, si applica la procedura normale di cancellazione (termine di 90 giorni massimo secondo le modalità definite sopra).

Per qualsiasi domanda o istruzione relativa alla protezione dei dati personali nell'ambito del presente Accordo, il Cliente può contattare il referente per la protezione dei dati di Evnyo. Questo referente non dispone dello status di DPO ai sensi dell'articolo 37 GDPR. Le coordinate di contatto sono indicate nell'Informativa sulla Privacy e/o sul sito Evnyo (es. un indirizzo email dedicato come privacy@evnyo.com).

Evnyo si impegna a trattare qualsiasi richiesta del Cliente relativa al presente Accordo nei migliori tempi.

7.1. Gerarchia dei documenti

Il presente Accordo fa parte delle CGU. In caso di contraddizione tra una disposizione delle CGU e una disposizione del presente Accordo riguardante il trattamento dei dati personali, l'Accordo prevarrà. In caso di conflitto tra documenti contrattuali e obblighi legali imperativi, questi ultimi prevalgono automaticamente. Le altre stipulazioni delle CGU rimangono pienamente applicabili per tutto ciò che non è trattato nell'Accordo.

7.2. Durata

Gli obblighi di Evnyo in quanto Responsabile del Trattamento in virtù del presente Accordo si applicano per tutta la durata della prestazione di Servizi che implichi un trattamento di dati personali per conto del Cliente, e fino alla cancellazione dei dati. Gli obblighi che per natura perdurano (riservatezza, assistenza, ecc.) sopravvivranno quanto necessario dopo la fine del contratto.

7.3. Legge applicabile e giurisdizione

Il presente Accordo è soggetto alla stessa legge delle CGU (vedere articolo 9 delle CGU). Qualsiasi controversia relativa alla sua esecuzione o interpretazione sarà regolata secondo le modalità di risoluzione delle controversie previste nelle CGU. Tuttavia, in caso di controversia specifica alla protezione dei dati, le Parti coopereranno in buona fede per trovare una soluzione conforme alla normativa e, se necessario, consulteranno l'autorità di controllo competente (es. il Garante Privacy) per parere.

7.4. Integrità e modifica

Questo Accordo costituisce l'intero accordo delle Parti quanto alla protezione dei dati per i Servizi Evnyo. Può essere completato o modificato da uno scritto firmato dalle due Parti (incluso tramite consenso elettronico esplicito). Evnyo si riserva il diritto di proporre aggiornamenti di questo Accordo in caso di evoluzione della normativa o dei Servizi, seguendo le stesse modalità della modifica delle CGU. Il Cliente sarà informato di qualsiasi modifica sostanziale e potrà rifiutarla risolvendo il Servizio prima della sua entrata in vigore se gli è pregiudizievole.

In caso di dichiarazione di nullità di una clausola da parte di un tribunale, le parti si impegnano a negoziare in buona fede la sua sostituzione con una clausola equivalente e lecita.

Firmando o accettando elettronicamente le CGU, il Cliente ed Evnyo riconoscono di aver letto e compreso il presente Accordo e si impegnano a rispettarne tutte le disposizioni.