Accordo sul trattamento dei dati (DPA)

Ultimo aggiornamento: 20 marzo 2026
Data di efficacia: Immediata
Si applica a:

• https://www.sendarix.com
• https://app.sendarix.com (pannello clienti)
• Tutti i servizi SMTP e API

Il presente DPA riflette termini comuni da responsabile in stile GDPR per infrastruttura email. Integra i Termini di servizio quando trattiamo dati personali per conto vostro.

---

1. Introduzione

Il presente Accordo sul trattamento dei dati (« DPA ») fa parte dell'accordo tra Sendarix (« Responsabile del trattamento ») e il Cliente (« Titolare ») e si applica quando Sendarix tratta Dati personali per conto del Cliente in relazione al Servizio.

Usando il Servizio per trasmettere o trattare dati personali relativi agli interessati, il Cliente accetta il presente DPA. In caso di conflitto tra i Termini e il presente DPA per il trattamento qui coperto, prevale il DPA.

---

2. Definizioni

• « Dati personali », « Trattamento », « Titolare », « Responsabile », « Interessato », « Violazione dei dati personali » — come definiti nella legge applicabile in materia di protezione dati (incluso il GDPR ove applicabile).
• « Sub-responsabile » — un terzo incaricato da Sendarix per trattare Dati personali soggetto al presente DPA.
• « Istruzioni del Cliente » — istruzioni documentate del Cliente sul Trattamento, inclusa configurazione e uso del pannello clienti, API, invio SMTP, ticket di supporto che indirizzano il Trattamento, e uso legittimo del Servizio nei limiti dei Termini e dell'AUP.

---

3. Ambito e ruoli

Il Cliente è Titolare dei Dati personali forniti in relazione al Servizio. Sendarix è Responsabile e tratterà tali Dati personali solo secondo le Istruzioni del Cliente salvo che la legge applicabile richieda diversamente (nel qual caso Sendarix informa il Cliente salvo divieto).

Natura, finalità e categorie del trattamento sono descritte nella Sezione 5 e nell'Allegato A (riepilogo di seguito).

---

4. Istruzioni del Cliente

Il Cliente incarica Sendarix di trattare Dati personali per fornire, proteggere e migliorare il Servizio di consegna email in conformità con i Termini, il presente DPA, la Documentazione e la configurazione del Cliente nel Servizio. Istruzioni al di fuori di tale ambito richiedono accordo scritto preventivo.

Se Sendarix ritiene che un'istruzione violi la legge applicabile, può rifiutare o sospendere l'istruzione e notificare il Cliente ove consentito.

---

5. Natura e finalità del trattamento (riepilogo Allegato A)

Sendarix tratta Dati personali per:

• Trasmettere e inoltrare posta via SMTP e API
• Gestire bounce, reclami e soppressioni
• Fornire analitica di consegna, webhook e dashboard
• Autenticare account, applicare rate limit e rilevare abusi
• Fornire fatturazione e supporto tramite app.sendarix.com

Il trattamento è limitato a quanto ragionevolmente necessario a tali finalità.

---

6. Tipi di Dati personali

A seconda dell'uso, possono includere indirizzi email, metadati messaggi (inclusi oggetti), identificatori mittente/destinatario, indirizzi IP, eventi di consegna e coinvolgimento, contenuto ticket di supporto contenente dati personali e dati di contatto per la fatturazione.

Il contenuto email è trattato in modo transitorio per instradamento e consegna; Sendarix non usa i corpi dei messaggi per marketing non correlato o profilazione non correlata.

---

7. Obblighi del responsabile

• Trattare Dati personali solo secondo le Istruzioni del Cliente come descritto nella Sezione 4
• Garantire che le persone autorizzate a trattare Dati personali siano soggette a obbligo di riservatezza
• Implementare misure tecniche e organizzative appropriate tenendo conto dello stato dell'arte, dei costi e del rischio
• Assistere il Cliente con misure tecniche e organizzative ragionevoli per richieste degli interessati, DPIA e consultazioni preliminari ove applicabile
• Notificare il Cliente senza indebito ritardo dopo aver avuto conoscenza di una Violazione dei dati personali che interessi Dati personali del Cliente, e fornire informazioni ragionevolmente necessarie per le notifiche normative del Cliente
• Al termine del Servizio (o su richiesta), cancellare o restituire Dati personali secondo la Sezione 11, salvo conservazione legale

---

8. Sub-responsabili

Il Cliente autorizza Sendarix a incaricare sub-responsabili (es. hosting, DNS, pagamenti, trasporto, rilevamento abusi, strumenti di supporto) soggetti ad accordi scritti che impongono obblighi di protezione dati sostanzialmente equivalenti al presente DPA.

Sendarix resta responsabile del rispetto da parte dei sub-responsabili. Un elenco aggiornato è disponibile su richiesta e può essere pubblicato su <strong>sendarix.com</strong>. Sendarix darà preavviso ragionevole di modifiche ai sub-responsabili ove fattibile; il Cliente può opporsi per motivi ragionevoli di protezione dati.

---

9. Trasferimenti internazionali

Quando Dati personali originari dallo SEE, dal Regno Unito o dalla Svizzera sono trasferiti verso Paesi non riconosciuti adeguati, Sendarix applicherà garanzie appropriate come le Clausole contrattuali tipo della Commissione UE (2021), l'Addendum IDTA del Regno Unito o l'Addendum alle CC UE, requisiti svizzeri ove applicabile, o altri strumenti legali di trasferimento.

Su richiesta, Sendarix fornirà informazioni sui meccanismi su cui si basano trasferimenti specifici rilevanti per l'uso del Cliente.

---

10. Diritti degli interessati

Sendarix assisterà il Cliente nel rispondere alle richieste degli interessati riguardo ai Dati personali trattati per conto del Cliente. Salvo obbligo di legge, Sendarix non risponde direttamente agli interessati; il Cliente deve inviare richieste tramite il proprio account o a privacy@sendarix.com con dettaglio sufficiente per instradare la richiesta.

---

11. Conservazione e cancellazione

Al termine del Servizio o alla scadenza del rapporto con il Cliente, Sendarix cancellerà o restituirà Dati personali in conformità con l'Informativa sulla privacy e le capacità operative, salvo ove una conservazione più lunga sia richiesta dalla legge o per archivi legittimi di sicurezza e prevenzione abusi indicati nella nostra documentazione.

Conservazione operativa tipica (soggetta a modifica con preavviso): log SMTP/API 30–90 giorni; dati bounce/reclamo fino a 6 mesi; log di fatturazione 5–10 anni ove richiesto dalla legge.

---

12. Audit

Il Cliente può richiedere informazioni ragionevolmente necessarie per confermare il rispetto del presente DPA (es. riepiloghi pratiche di sicurezza ed elenchi sub-responsabili). Audit in loco o invasivi che compromettano sicurezza o disponibilità del Servizio richiedono accordo scritto preventivo su ambito, tempi e riservatezza. I costi di audit oltre assistenza ragionevole possono essere addebitati.

---

13. Notifica di violazione dei dati

Le notifiche descriveranno, per quanto noto, la natura della violazione, categorie e numero approssimativo di interessati e record interessati, probabili conseguenze e misure adottate o proposte.

---

14. Responsabilità

La responsabilità per il trattamento ai sensi del presente DPA è soggetta alle limitazioni dei Termini, salvo ove la legge imperativa vieti tali limitazioni per violazioni della protezione dati.

---

15. Durata

Il presente DPA resta in vigore per la durata del Trattamento e finché i Dati personali non siano stati restituiti o cancellati secondo la Sezione 11.

---

16. Termini prevalenti

Ove si applica il GDPR, le parti riconoscono che il presente DPA include la sostanza richiesta dall'Articolo 28. Per altre leggi si applicano obblighi analoghi nella misura richiesta.

---

17. Contatto

privacy@sendarix.com · legal@sendarix.com