SmartCQ

Data Processing Agreement

Ultimo aggiornamento: 11 aprile 2026

Il presente Accordo sul Trattamento dei Dati ("DPA") è stipulato ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR") tra:

  • Il Cliente della piattaforma SmartCQ, in qualità di Titolare del trattamento (Data Controller);
  • Mana Hub Srl, con sede in Via Rockefeller 54, 07100 Sassari (SS), P.IVA 02931700906, in qualità di Responsabile del trattamento (Data Processor), che opera la piattaforma SmartCQ.

Il presente DPA costituisce parte integrante dei Termini di Servizio ed è automaticamente accettato dal Cliente al momento della registrazione sulla piattaforma.

1. Oggetto e ambito del trattamento

1.1 Finalità

Il Responsabile tratta i dati personali per conto del Titolare esclusivamente ai fini dell'erogazione del Servizio SmartCQ, che comprende:

  • Archiviazione e gestione delle liste contatti del Titolare.
  • Invio di campagne email per conto del Titolare.
  • Monitoraggio delle metriche di deliverability (recapito, aperture, click, bounce, complaint).
  • Gestione delle disiscrizioni e della suppression list.

1.2 Categorie di dati personali

  • Indirizzi email dei contatti del Titolare.
  • Dati anagrafici (nome, cognome) se forniti dal Titolare.
  • Metadati forniti dal Titolare tramite importazione CSV o inserimento manuale.
  • Dati di interazione con le email (apertura, click, bounce, complaint, disiscrizione).

1.3 Categorie di interessati

Contatti email del Titolare: clienti, prospect, lead e altri soggetti i cui dati sono caricati dal Titolare sulla piattaforma.

1.4 Durata

Il trattamento ha durata pari a quella del rapporto contrattuale tra il Titolare e SmartCQ. Alla cessazione del rapporto, si applicano le disposizioni dell'art. 10 del presente DPA.

2. Obblighi del Responsabile

Il Responsabile si impegna a:

  1. Trattare i dati solo su istruzione documentata del Titolare, incluso il trasferimento verso paesi terzi, salvo che il diritto dell'Unione o degli Stati membri applicabile al Responsabile lo imponga.
  2. Garantire la riservatezza: assicurare che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o siano soggette a un obbligo legale di riservatezza.
  3. Adottare misure di sicurezzatecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (v. Allegato 2).
  4. Non ricorrere a sub-responsabilisenza l'autorizzazione preventiva del Titolare (v. art. 4).
  5. Assistere il Titolarenel dare seguito alle richieste degli interessati per l'esercizio dei diritti di cui agli artt. 15-22 GDPR.
  6. Assistere il Titolarenegli obblighi relativi a sicurezza, notifica di violazione, valutazione d'impatto e consultazione preventiva (artt. 32-36 GDPR).
  7. Cancellare o restituire tutti i dati personali al termine del rapporto contrattuale (v. art. 10).
  8. Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente DPA e consentire audit (v. art. 9).

3. Obblighi del Titolare

Il Titolare si impegna a:

  1. Garantire che il trattamento dei dati personali avvenga nel rispetto del GDPR e delle leggi applicabili.
  2. Fornire istruzioni documentate al Responsabile per il trattamento dei dati.
  3. Informare tempestivamente il Responsabile di qualsiasi richiesta degli interessati che riguardi i dati trattati nell'ambito del Servizio.
  4. Disporre di una base giuridica valida per il trattamento dei dati personali e per l'invio di comunicazioni commerciali ai propri contatti.

4. Sub-responsabili

Il Titolare autorizza il Responsabile a ricorrere ai sub-responsabili elencati nell'Allegato 3 del presente DPA.

Il Responsabile informerà il Titolare con almeno 14 giorni di preavviso prima di aggiungere o sostituire un sub-responsabile, tramite comunicazione email. Il Titolare ha diritto di opporsi entro 14 giorni dalla notifica. In caso di opposizione non risolta, il Titolare potrà recedere dal contratto.

Il Responsabile stipula con ciascun sub-responsabile un contratto che impone i medesimi obblighi di protezione dei dati previsti dal presente DPA. Il Responsabile resta responsabile nei confronti del Titolare per le attività dei sub-responsabili.

5. Trasferimenti internazionali

I dati personali sono trattati prevalentemente all'interno dell'Unione Europea. Quando necessario un trasferimento verso paesi terzi (in particolare gli USA, per i servizi di invio email), il Responsabile garantisce che il trasferimento avvenga sulla base di:

  • Decisione di adeguatezza della Commissione Europea (es. EU-US Data Privacy Framework), oppure
  • Standard Contractual Clauses (SCC) adottate dalla Commissione Europea (Decisione 2021/914), oppure
  • Altre garanzie adeguate ai sensi del Capo V del GDPR.

6. Violazione dei dati personali (Data Breach)

In caso di violazione dei dati personali ai sensi dell'art. 4 n. 12 GDPR, il Responsabile:

  1. Notifica il Titolare senza indebito ritardo e comunque entro 48 ore dalla scoperta della violazione.
  2. Fornisce al Titolare tutte le informazioni necessarie per adempiere agli obblighi di notifica al Garante (art. 33 GDPR) e di comunicazione agli interessati (art. 34 GDPR).
  3. Coopera con il Titolare per mitigare gli effetti della violazione e prevenire ulteriori violazioni.

La notifica include almeno:

  • Natura della violazione e categorie di dati coinvolti.
  • Numero approssimativo di interessati e di registrazioni coinvolti.
  • Descrizione delle probabili conseguenze della violazione.
  • Misure adottate o proposte per porre rimedio alla violazione.

7. Diritti degli interessati

Il Responsabile assiste il Titolare nel dare seguito alle richieste degli interessati relative a: accesso, rettifica, cancellazione, limitazione, portabilità e opposizione al trattamento.

Il Responsabile inoltrerà tempestivamente al Titolare qualsiasi richiesta ricevuta direttamente da un interessato, senza darvi seguito autonomamente salvo diversa istruzione del Titolare.

8. Dati sensibili

Il Titolare si impegna a non caricaresulla piattaforma SmartCQ categorie particolari di dati personali ai sensi dell'art. 9 GDPR (dati sanitari, biometrici, genetici, relativi all'orientamento sessuale, all'appartenenza sindacale, alle convinzioni religiose o politiche) né dati relativi a condanne penali e reati (art. 10 GDPR).

9. Audit

Il Titolare ha diritto di verificare il rispetto degli obblighi del presente DPA attraverso audit, alle seguenti condizioni:

  • Massimo 1 audit per anno solare.
  • Con preavviso scritto di almeno 30 giorni.
  • Durante l'orario lavorativo del Responsabile.
  • I costi dell'audit sono a carico del Titolare (incluso il tempo del personale del Responsabile).
  • L'audit non deve compromettere la riservatezza dei dati di altri clienti del Responsabile.

In alternativa all'audit in loco, il Responsabile potrà fornire al Titolare report di conformità, certificazioni o audit di terze parti indipendenti.

10. Durata e cancellazione dei dati

Alla cessazione del rapporto contrattuale, il Responsabile:

  • Cancella tutti i dati personali del Titolare entro 90 giornidalla terminazione dell'account.
  • Su richiesta del Titolare, formulata prima della terminazione, restituisce i dati in formato esportabile (CSV).
  • Cancella le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati.

11. Responsabilità

La responsabilità delle parti è disciplinata secondo quanto previsto dall'art. 82 GDPR e dai Termini di Servizio.

Allegato 1 — Dettagli del trattamento

Finalità del trattamentoErogazione del servizio SmartCQ: gestione contatti, invio campagne email, tracking deliverability, gestione disiscrizioni
Categorie di datiEmail, nome, cognome, metadati forniti dal Titolare, dati di interazione email (apertura, click, bounce, complaint)
Categorie di interessatiContatti email del Titolare (clienti, prospect, lead)
Durata del trattamentoPer la durata del rapporto contrattuale + 90 giorni per la cancellazione

Allegato 2 — Misure di sicurezza

Il Responsabile adotta le seguenti misure tecniche e organizzative:

  • Crittografia in transito: tutte le comunicazioni avvengono tramite HTTPS/TLS.
  • Crittografia at rest: i database sono crittografati a riposo.
  • Autenticazione: accesso alla piattaforma tramite credenziali sicure con requisiti minimi di complessità.
  • Isolamento dei dati: architettura multi-tenant con isolamento logico dei dati per ogni Cliente.
  • Backup: backup automatici del database con retention gestita dal provider cloud.
  • Audit log: registrazione delle operazioni rilevanti con hash di integrità.
  • Principio del minimo privilegio: accesso ai dati limitato al personale strettamente necessario.

Allegato 3 — Lista dei sub-responsabili

Sub-responsabileServizioSedeLocalizzazione dati
Resend Inc.Invio email transazionali e di marketingUSAUSA (EU-US DPF + SCC)
Neon Inc.Database PostgreSQL serverlessUSAEU (Frankfurt)
Vercel Inc.Hosting applicazione webUSAEdge network globale (EU-US DPF + SCC)

La lista aggiornata dei sub-responsabili è sempre disponibile a questo indirizzo. Le modifiche vengono comunicate con 14 giorni di preavviso.

← Torna alla home