Questo Allegato sul Trattamento dei Dati (DPA) si applica a tutto il trattamento dei dati personali degli utenti finali che fornite a MessageBird B.V. (MessageBird) attraverso i servizi di MessageBird come definito separatamente in un accordo separato (Servizi). Questo DPA si applica oltre ai Termini e Condizioni Generali di MessageBird o all'Accordo Quadro sui Servizi, a seconda di quale sia applicabile (Accordo) al Cliente e a MessageBird (insieme: le Parti). In caso di conflitto o incongruenza tra le disposizioni dell'Accordo e questo DPA, prevarrà il DPA.

Termini come “dati personali”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “violazione dei dati personali” ecc. avranno il significato loro assegnato dalla legislazione sulla protezione dei dati applicabile (Legislazione sulla Protezione dei Dati), eccetto per la definizione di (sub-)responsabile del trattamento che esclude esplicitamente i carrier di telecomunicazioni e altri fornitori di servizi di telecomunicazione che sono considerati necessari per il funzionamento dei Servizi, ma che, a causa del fatto che tali parti agiscono come un semplice condotto o come un titolare del trattamento indipendente, non rientrano nella definizione di responsabile del trattamento come stabilito nella Legislazione sulla Protezione dei Dati.

Il Cliente e MessageBird riconoscono e comprendono entrambi che, riguardo al trattamento dei dati personali degli utenti finali (‘soggetto interessato’) che il Cliente fornisce a MessageBird sulla base dei Servizi, MessageBird è il responsabile del trattamento.

1. Il Cliente istruisce qui MessageBird a trattare i dati personali dei soggetti interessati nella misura necessaria per l'esecuzione dei Servizi secondo l'Accordo.

1. MessageBird, in relazione a qualsiasi dato personale che viene trattato in connessione con i Servizi:

   1. tratterà i dati personali solo su istruzioni documentate del Cliente, salvo diverso requisito delle leggi di qualsiasi Stato membro dell'Unione Europea o delle leggi dell'Unione Europea applicabili a MessageBird per trattare i dati personali;

   2. fornirà solo al personale l'accesso 'necessario per conoscere' ai dati personali e garantirà che tutto il personale che ha accesso o tratta i dati personali sia soggetto a un obbligo legale di mantenere i dati personali riservati;

   3. adotterà misure tecniche e organizzative appropriate per proteggere i dati personali da trattamenti non autorizzati o illeciti e da perdite, distruzioni, danneggiamenti, alterazioni o divulgazioni accidentali. Queste misure devono essere appropriate al livello di rischio presentato dal trattamento (tenendo conto della natura dei dati personali) e al danno che potrebbe derivare da una violazione dei dati personali che colpisce i dati personali;

   4. fornirà al Cliente qualsiasi assistenza come ragionevolmente richiesta dal Cliente per consentire al Cliente di adempiere agli obblighi del Cliente ai sensi della Legislazione sulla Protezione dei Dati, inclusa la notifica delle violazioni dei dati personali, la sicurezza del trattamento e l'assistenza al Cliente nell'esecuzione di qualsiasi valutazione d'impatto sulla protezione dei dati pertinente;

   5. fornirà al Cliente assistenza ragionevole affinché permetta al Cliente di rispettare i propri obblighi nei confronti dei soggetti interessati che esercitano i loro diritti ai sensi della Legislazione sulla Protezione dei Dati. MessageBird metterà a disposizione misure tecniche e organizzative per consentire al Cliente di adempiere a tali obblighi tramite l'account del Cliente o l'API dedicata. Il Cliente riconosce e concorda qui che le richieste inviate dal Cliente via email non sono considerate come un mezzo valido per esercitare i suoi diritti e che tali richieste non saranno elaborate da MessageBird. Per chiarire, il Cliente in qualità di titolare del trattamento è responsabile del trattamento di qualsiasi richiesta o reclamo da parte dei soggetti interessati riguardo ai dati personali dei soggetti interessati;

   6. a scelta del Cliente, eliminare o restituire i dati personali e le relative copie al Cliente alla cessazione dell'accordo del Cliente con MessageBird, salvo diverso requisito delle leggi obbligatorie applicabili;

   7. mantenere registri come richiesto dalla Legislazione sulla Protezione dei Dati delle attività di trattamento effettuate ai sensi dell'Accordo e di questo DPA;

   8. almeno ogni due anni, auditerà la sicurezza e le attività di trattamento dei dati personali di MessageBird e fornirà al Cliente (in modo riservato), su richiesta scritta del Cliente, un riepilogo o una descrizione dei risultati di tale audit. Un riepilogo di un rapporto di audit ISO 27001:2013 sarà considerato come idoneo a soddisfare la richiesta del Cliente. Per chiarire, l'audit può essere un audit interno o un audit condotto da una terza parte, ma tale decisione sarà a sola discrezione di MessageBird;

   9. se il riepilogo o la descrizione dei risultati dell'audit forniti da MessageBird al Cliente ai sensi del paragrafo 2(h) di questo DPA forniscono al Cliente motivi fondati per credere che MessageBird stia violando i propri obblighi ai sensi di questo DPA relativi ai dati personali forniti dal Cliente, consentire a una terza parte indipendente e qualificata nominata dal Cliente e approvata da MessageBird, di auditare le attività di trattamento dei dati personali di MessageBird, a condizione che siano soddisfatti i termini ai sensi della Clausola 3 di questo Allegato; e,

   10. notificare al Cliente il prima possibile se MessageBird riceve un avviso o una comunicazione da un ente governativo o di regolamentazione che riguardi direttamente il trattamento dei dati personali, come istruito e fornito dal Cliente, da MessageBird o dai suoi (sub-)responsabili a meno che tale avviso o comunicazione sia vietato dalla legge.

1. Il Cliente deve:

   1. notificare MessageBird almeno due (2) mesi prima di esercitare il diritto di audit del Cliente ai sensi del paragrafo 2(i) di questo DPA;

   2. garantire che qualsiasi audit non interferisca irragionevolmente con le operazioni commerciali di MessageBird; e,

   3. sostenere e pagare tutti i costi di tale audit.

1. Se il Cliente agisce come titolare del trattamento, il Cliente garantisce che tutte le attività di trattamento siano lecite, abbiano uno scopo specifico e che siano in atto eventuali avvisi e consensi richiesti o un'altra base legale appropriata per consentire il trasferimento lecito dei dati personali. Se il Cliente è un responsabile del trattamento (nel qual caso MessageBird sarà un sub-responsabile), il Cliente garantisce che il pertinente titolare del trattamento garantisca che le condizioni elencate in questa clausola siano soddisfatte.

1. Data la natura dei Servizi, l'uso dei Servizi da parte del Cliente e degli utenti finali del Cliente può richiedere il trasferimento di dati personali al di fuori dell'EEA; quando l'esecuzione dei Servizi comporta un trasferimento di dati personali a (sub-)responsabili al di fuori dell'EEA, il Cliente conferisce qui a MessageBird un mandato per la durata di tutti gli accordi in essere tra il Cliente e MessageBird per concludere Clausole Contrattuali Tipo UE con (sub-)responsabili al di fuori dell'EEA per conto del Cliente, se non si applicano meccanismi di trasferimento appropriati ai sensi della Legislazione sulla Protezione dei Dati.

1. Con la presente Clausola, il Cliente conferisce a MessageBird un'autorizzazione scritta generale per l'impegno di altre terze parti come nuovi (sub-)responsabili per il trattamento dei dati personali, soggetta ai termini di questo Allegato. MessageBird non impegnerà alcun (sub-)responsabile nel trattamento dei dati personali ai sensi di questo Accordo senza informare previamente il Cliente di eventuali modifiche previste relative all'aggiunta o alla sostituzione di altri responsabili, dando così al Cliente l'opportunità di opporsi a tali cambiamenti. 

1. Il Cliente può opporsi a qualsiasi nuovo (sub-)responsabile solo sulla base di motivi ragionevoli legati alla protezione dei dati terminando l'Accordo e questo Allegato. Questo diritto di risoluzione è l'unico e esclusivo rimedio del Cliente se il Cliente si oppone a qualsiasi nuovo (sub-)responsabile.

1. Il Cliente accetta specificamente l'impegno delle entità elencate a https://www.messagebird.com/en-gb/legal/privacy#processorList come (sub-)responsabili di MessageBird per il trattamento dei dati personali. MessageBird aggiornerà l'elenco dei (sub-)responsabili quando un nuovo (sub-)responsabile per il trattamento dei dati personali viene impegnato.

1. MessageBird adotterà tutte le misure contrattuali disponibili e appropriate per garantire che quando un (sub-)responsabile è impegnato:

   1. il (sub-)responsabile tratterà i dati personali solo se tale trattamento è necessario per l'esecuzione dei Servizi o parte di essi;

   2. le obbligazioni in materia di protezione dei dati che forniscono una protezione simile a quella di questo DPA siano imposte al (sub-)responsabile tramite un contratto o altro atto legale ai sensi della normativa dell'UE o nazionale, in particolare con garanzie sufficienti per attuare misure tecniche e organizzative appropriate in modo tale che il trattamento soddisfi i requisiti della Legislazione sulla Protezione dei Dati, e;

   3. MessageBird rimane responsabile nei confronti del Cliente ai sensi di questo DPA per l'adempimento degli obblighi del suo (sub-)responsabile.

1. Dettagli del trattamento:

   1. Oggetto e scopo del trattamento: fornitura dei Servizi di MessageBird al Cliente.

   2. Categorie di dati personali: informazioni sugli utenti finali che il Cliente fornisce a MessageBird attraverso i Servizi.

   3. Categorie di soggetti interessati: i soggetti interessati includono clienti del Cliente, dipendenti, fornitori e qualsiasi altra persona fisica che è l'utente finale dei servizi di comunicazione, da cui il Cliente fornisce dati personali attraverso i Servizi.

   4. Durata del trattamento: i dati personali saranno trattati per tutto il tempo necessario per l'esecuzione dei Servizi, o come richiesto dalla legge applicabile.

1. Questo Allegato sul Trattamento dei Dati è regolato dalle leggi dei Paesi Bassi, e le Parti si sottopongono alla giurisdizione esclusiva dei tribunali di Amsterdam per tutti gli scopi connessi a questo DPA, inclusa l'esecuzione di eventuali premi o sentenze emesse ai sensi o in relazione a esso.