Data Processing Agreement.

1. Le parti

Il presente Data Processing Agreement ("DPA") è stipulato tra:

• Titolare del trattamento — l'utente di Mailia (il "Cliente"), che decide finalità e mezzi del trattamento dei dati dei propri iscritti.
• Responsabile del trattamento — Quattuordecim S.p.A. Società Benefit, operante con il marchio Mailia, P.IVA 14314550964, sede legale in Via Montenapoleone 8, 20121 Milano (il "Responsabile").

2. Oggetto

Il Responsabile tratta i dati personali dei contatti del Cliente (iscritti alle liste, destinatari di campagne email/SMS) per conto del Cliente stesso, esclusivamente per erogare il servizio Mailia secondo le sue istruzioni.

3. Categorie di dati

• Dati di contatto (email, telefono, nome, cognome, azienda).
• Attributi personalizzati definiti dal Cliente (campi lista, tag).
• Eventi di interazione: aperture email, click, bounce, disiscrizioni.
• Indirizzo IP e user agent del destinatario al momento dell'interazione.

4. Categorie di interessati

• Iscritti alle liste e ai segmenti del Cliente.
• Destinatari di campagne email e SMS inviate dal Cliente.
• Persone che compilano form e landing page pubblicate dal Cliente.

5. Durata del trattamento

Il trattamento dura per la durata del contratto di servizio Mailia. Alla cessazione, i dati sono cancellati entro 30 giorni o restituiti su richiesta del Cliente in formato JSON.

6. Obblighi del Responsabile

• Trattare i dati solo su istruzione documentata del Cliente.
• Garantire che il personale autorizzato sia vincolato a riservatezza.
• Adottare misure di sicurezza adeguate (art. 32 GDPR): cifratura at-rest e in-transit, isolamento per tenant, backup cifrati, monitoraggio intrusioni, gestione degli accessi.
• Assistere il Cliente nelle richieste degli interessati (artt. 15-22 GDPR).
• Notificare al Cliente entro 24 ore eventuali violazioni (data breach).
• Mettere a disposizione del Cliente le informazioni necessarie a dimostrare la conformità.

7. Sub-responsabili autorizzati

Il Cliente autorizza il ricorso ai seguenti sub-responsabili:

• Hetzner Online GmbH (Germania) — hosting infrastruttura.
• Stripe Payments Europe (Irlanda) — fatturazione e pagamenti.
• Cloudflare (UE) — CDN e protezione DDoS.
• Anthropic Ireland — generazione contenuti AI (solo se attivato dal Cliente).

L'eventuale aggiunta o sostituzione di sub-responsabili è notificata al Cliente con almeno 30 giorni di preavviso. Il Cliente ha facoltà di obiettare per motivi giustificati.

8. Trasferimenti extra-SEE

I dati restano nel Spazio Economico Europeo. Eventuali trasferimenti verso paesi terzi avvengono solo con clausole contrattuali standard (SCC) o decisioni di adeguatezza, e vengono comunicati con preavviso al Cliente.

9. Audit

Il Cliente ha diritto di richiedere, una volta l'anno, evidenze di conformità (certificazioni, report di audit interni). Audit on-site possono essere concordati con preavviso ragionevole, a spese del Cliente, salvo violazione accertata del DPA.

10. Termine

Alla cessazione del contratto, il Responsabile cancella o restituisce i dati personali secondo istruzione del Cliente, entro 30 giorni, fatti salvi gli obblighi di conservazione previsti dalla legge (per esempio, fatture).

11. Foro competente

Il presente DPA è regolato dalla legge italiana. Per le controversie, foro esclusivo Milano. Per richieste relative al DPA scrivi a privacy@mailia.it.