Data Processing Agreement (DPA)

Premesse

Il presente Accordo sul trattamento dei dati personali ("DPA") integra i Termini di servizio Target SMTP e disciplina, ai sensi dell'art. 28 del Regolamento UE 2016/679 ("GDPR"), il rapporto tra:

• Davide Di Vietro, con sede operativa in Italia, in qualità di Responsabile del trattamento ("Responsabile");
• il Cliente Target SMTP, in qualità di Titolare del trattamento ("Titolare").

Il DPA si applica al trattamento dei dati personali dei destinatari delle email inviate dal Titolare tramite il Servizio.

1. Oggetto, natura, finalità del trattamento

• Oggetto: trasmissione di email transazionali e di servizio per conto del Titolare, raccolta dei relativi eventi (delivered, bounced, opened, clicked, complaint, unsubscribe), log tecnici, gestione delle liste di soppressione.
• Natura: trattamento elettronico automatizzato.
• Finalità: erogazione del Servizio richiesto dal Titolare.
• Durata: per tutta la durata del contratto, oltre i termini di conservazione obbligatori (90gg log, 12 mesi bounce).

2. Categorie di interessati e dati

• Interessati: destinatari delle email inviate dal Titolare (clienti, utenti, contatti, dipendenti).
• Categorie di dati: indirizzo email, nome (se incluso dal Titolare), contenuto del messaggio, metadati di consegna (IP server destinatario, header DKIM, esito, timestamp), eventuali eventi di interazione (apertura, click).

3. Obblighi del Responsabile

Il Responsabile si impegna a:

1. Trattare i dati personali solo sulla base di istruzioni documentate del Titolare (i parametri di invio impartiti dal Cliente tramite SMTP/API costituiscono istruzioni documentate);
2. Garantire che le persone autorizzate al trattamento siano vincolate a riservatezza;
3. Adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (vedi Allegato B);
4. Assistere il Titolare con misure tecniche e organizzative adeguate per rispondere alle richieste di esercizio dei diritti degli interessati (artt. 15-22 GDPR);
5. Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR (sicurezza, notifica violazioni, valutazione d'impatto);
6. Cancellare o restituire tutti i dati personali al termine del rapporto, salvo gli obblighi di conservazione previsti dalla legge italiana;
7. Mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi del presente DPA, anche tramite ispezioni o audit, con preavviso ragionevole e nel rispetto delle esigenze operative (max una volta l'anno, salvo cause specifiche).

4. Sub-responsabili

Il Titolare autorizza in via generale il Responsabile a ricorrere ad altri responsabili del trattamento ("Sub-processors"). La lista aggiornata è pubblicata e mantenuta a /legal/sub-processors. Il Responsabile notificherà via email al Titolare ogni modifica della lista con preavviso di almeno 30 giorni, durante i quali il Titolare potrà opporsi recedendo dal contratto senza penali.

5. Notifica violazioni

In caso di violazione di dati personali (data breach), il Responsabile notificherà il Titolare via email senza ingiustificato ritardo e in ogni caso entro 48 ore dalla scoperta, fornendo tutte le informazioni utili al Titolare per la notifica al Garante ex art. 33 GDPR.

6. Trasferimenti extra-UE

Il Responsabile garantisce che i dati personali trattati per conto del Titolare sono ospitati esclusivamente su infrastruttura situata in Unione Europea (Germania). Eventuali sub-processors extra-UE sono vincolati da Standard Contractual Clauses (decisione 2021/914) e indicati specificamente nella lista pubblica.

7. Cessazione del trattamento

Al termine del contratto, su richiesta del Titolare entro 30 giorni, il Responsabile restituisce o cancella tutti i dati personali. Decorsi 30 giorni senza istruzioni, i dati sono cancellati salvo obblighi di legge (es. fatturazione).

Allegato A — Lista sub-processors

La lista aggiornata è pubblicata, accessibile e versionata su /legal/sub-processors.

Allegato B — Misure tecniche e organizzative

• Cifratura in transito (TLS 1.2+) e a riposo per credenziali.
• Password utenti hashate con bcrypt cost 12.
• Autenticazione a due fattori opzionale (TOTP).
• Audit log immutabile delle azioni amministrative (12 mesi).
• Backup giornalieri cifrati, retention 30 giorni, test di restore mensile.
• Segregazione ambienti dev/staging/prod.
• Principio del minimo privilegio per accessi amministrativi.
• Monitoring continuo, alert automatici, on-call rotation.
• Patch management con SLA 7gg per CVE high, 24h per critical.
• Disaster recovery plan documentato, RPO 24h, RTO 4h.
• Formazione annuale del personale sulla protezione dei dati.

Accettazione

Il presente DPA si intende accettato all'atto della sottoscrizione dei Termini di servizio o dell'utilizzo del Servizio. Una copia controfirmata può essere richiesta per esigenze documentali a privacy@targetsmtp.it.

Versione 1.0 — in vigore dal 14 maggio 2026.