pinterest-site-verification=70d12a13c4a05433e0d6404c86d6e774
top of page
SB-Only.png

Accordo di elaborazione dei dati di Outbound Engine

Autore:

Soufiane Boudarraja

Data:

24 febbraio 2026

1. Parti e ambito

Questo Accordo sul Trattamento dei Dati ("DPA") fa parte del quadro contrattuale tra:

1) Cliente ("Titolare"): l'entità che determina le finalità e i mezzi del trattamento dei dati personali, e

2) Soufiane Boudarraja ("Processore"): il fornitore di servizi che elabora dati personali per conto del Cliente.

Questo DPA si applica all'ecosistema di Soufiane Boudarraja (l'"Ecosistema") dove, e solo dove, Soufiane Boudarraja elabora dati personali per conto del Cliente come Processore in relazione ai "Servizi".

Se Soufiane Boudarraja agisce come un Titolare indipendente (ad esempio, visitatori del sito web, clienti diretti di prodotti digitali o acquirenti di POD), si applica la Politica sulla Privacy invece di questo DPA. Se le parti agiscono come Titolari separati (Titolare a Titolare), questo DPA non si applica a meno che non sia concordato per iscritto.

2. Definizioni

"GDPR" significa Regolamento (UE) 2016/679.

"Dati Personali", "Trattamento", "Titolare", "Responsabile" e "Autorità di Controllo" hanno i significati stabiliti nel GDPR.

"Dati del Cliente" significa Dati personali trattati dal Processore per conto del Cliente ai sensi di questo DPA.

"Subprocessore" significa una terza parte coinvolta dal Processore per elaborare i Dati del Cliente per conto del Cliente.

"Servizi" significa i servizi professionali, il software e i deliverable forniti ai sensi del contratto applicabile, della dichiarazione di lavoro, del modulo d'ordine o di un accordo simile (il "Contratto Principale").

3. Dettagli del trattamento

L'oggetto, la durata, la natura e lo scopo del trattamento, i tipi di Dati Personali e le categorie di Soggetti dei Dati sono descritti nell'Allegato 1 (Dettagli del Trattamento). Il trattamento sarà limitato a quanto necessario per fornire i Servizi.

4. Obblighi del Titolare del trattamento

Il Titolare del trattamento deve:

  1. Trattare i Dati del Cliente solo su istruzioni documentate      del Cliente, comprese quelle relative ai trasferimenti di      Dati Personali verso un paese terzo o un'organizzazione internazionale, salvo che sia richiesto di farlo dalla legge dell'Unione o di uno Stato Membro; in tal caso, il      Titolare del trattamento deve informare il Cliente di tale obbligo legale prima del      trattamento, a meno che tale legge non vieti tali informazioni per importanti      motivi di interesse pubblico.

  2. Assicurati che le persone autorizzate a trattare i Dati del Cliente si siano impegnate alla riservatezza o siano soggette a un obbligo di riservatezza statutario appropriato.

  3. Implementa misure tecniche e organizzative appropriate ("TOMs") per garantire un livello di sicurezza adeguato al rischio, come descritto nell'Allegato 2, tenendo conto dell'Articolo 32 del GDPR.

  4. Rispetta le condizioni per l'impegno dei Subprocessori come stabilito nella Sezione 6.

  5. Assisti il Cliente con misure tecniche e organizzative appropriate, per quanto possibile, per il rispetto dell'obbligo del Cliente di rispondere alle richieste per esercitare i diritti dell'Interessato ai sensi del Capitolo III del GDPR.

  6. Assisti il Cliente nel garantire la conformità agli obblighi ai sensi degli Articoli 32-36 del GDPR (sicurezza, notifica di violazione, DPIA e consultazione preventiva), tenendo conto della natura del trattamento e delle informazioni disponibili al Titolare del trattamento.

  7. A scelta del Cliente, eliminare o restituire tutti i Dati del Cliente dopo la fine della fornitura dei Servizi relativi al trattamento, e cancellare le copie esistenti a meno che la legge dell'Unione o dello Stato Membro non richieda la conservazione.

  8. Mettere a disposizione del Cliente tutte le informazioni necessarie per dimostrare la conformità a questo DPA e consentire e contribuire a audit, comprese ispezioni, condotte dal Cliente o da un revisore incaricato dal Cliente, soggetto alla Sezione 11.

5. Obblighi del Cliente

Il Cliente deve:

  • Assicurarsi di avere una base legale per il trattamento dei Dati del Cliente e per istruire il Processore a trattare i Dati del Cliente.

  • Fornire istruzioni documentate e garantire che tali istruzioni siano conformi alla legge applicabile.

  • Garantire che le notifiche di trasparenza siano fornite ai Soggetti dei Dati dove richiesto, inclusi l'uso di processori e trasferimenti internazionali.

  • Essere responsabili per l'accuratezza, la qualità e la legalità dei Dati del Cliente forniti al Processore.

  • Configurare e utilizzare eventuali strumenti di terze parti che seleziona o controlla in modo conforme, inclusi i permessi degli utenti e le impostazioni di conservazione.

6. Subprocessori

Il Cliente concede al Processore l'autorizzazione generale a coinvolgere Subprocessori per elaborare i Dati del Cliente ai fini della fornitura dei Servizi, soggetto ai requisiti di seguito.

6.1 Condizioni del Subprocessore

  • Il Processore impone a ciascun Subprocessore obblighi di protezione dei dati sostanzialmente simili a quelli stabiliti nel presente DPA, comprese misure di sicurezza appropriate.

  • Il Processore rimane responsabile per l'adempimento degli obblighi del Subprocessore.

6.2 Elenco dei Subprocessori e aggiornamenti

Un elenco attuale delle categorie di Subprocessori e dei tipi di strumenti utilizzati per l'Ecosistema è mantenuto nell'Allegato Strumenti di Terze Parti e Fornitori di Dati (Politica 14). Per impegni specifici del cliente, i Subprocessori applicabili possono dipendere dai Servizi e dagli strumenti scelti dal Cliente.

Quando una modifica introduce un nuovo Subprocessore che elaborerà i Dati del Cliente per un impegno in corso, il Processore fornirà un preavviso quando ragionevolmente possibile. Il Cliente può opporsi per motivi ragionevoli legati alla protezione dei dati. Se le parti non riescono a risolvere l'opposizione, ciascuna parte può terminare la parte interessata dei Servizi, senza penali oltre le spese dovute per il lavoro svolto fino alla risoluzione, a meno che il Contratto Principale non preveda diversamente.

7. Trasferimenti internazionali

I Dati del Cliente devono essere elaborati all'interno dello Spazio Economico Europeo ("SEE") per impostazione predefinita, dove i Servizi e gli strumenti scelti lo consentono. Quando i Dati del Cliente vengono trasferiti al di fuori del SEE, il trasferimento sarà soggetto a una salvaguardia appropriata ai sensi del Capitolo V del GDPR.

7.1 Meccanismi di trasferimento

  • Decisione di adeguatezza (Articolo 45 GDPR), ove applicabile.

  • Clausole Contrattuali Standard ("SCCs") adottate dalla Commissione Europea (Articolo 46 GDPR), ove applicabile.

  • Altri meccanismi leciti riconosciuti ai sensi del Capitolo V del GDPR, ove applicabile.

Dove sono richieste le SCCs, le parti concordano di utilizzare le SCCs adottate dalla Decisione di Esecuzione della Commissione (UE) 2021/914, con il modulo appropriato alla relazione (tipicamente da Controllore a Responsabile del trattamento). Le SCCs sono incorporate per riferimento e si applicano nella misura necessaria per il trasferimento.

8. Sicurezza (Articolo 32 GDPR)

Il Processore deve implementare e mantenere appropriati TOM come descritto nell'Allegato 2. Il Processore può aggiornare i TOM nel tempo per riflettere i rischi e la tecnologia in evoluzione, a condizione che il livello di sicurezza complessivo non sia sostanzialmente degradato.

9. Notifica di violazione dei dati personali

Il Processore deve notificare al Cliente senza indebito ritardo dopo essere diventato a conoscenza di una violazione dei dati personali che riguarda i Dati del Cliente. La notifica includerà, per quanto possibile, la natura della violazione, le categorie e il numero approssimativo di Soggetti Interessati e registri interessati, le probabili conseguenze e le misure adottate o proposte per affrontare la violazione. Il Processore collaborerà con le ragionevoli richieste del Cliente per ulteriori informazioni.

10. Assistenza con le richieste dei Soggetti Interessati

Tenendo conto della natura del trattamento, il Processore deve assistere il Cliente con misure tecniche e organizzative appropriate, per quanto possibile, per soddisfare le richieste dei Soggetti Interessati di esercitare i propri diritti ai sensi del Capitolo III del GDPR. Se il Processore riceve una richiesta direttamente da un Soggetto Interessato relativa ai Dati del Cliente, il Processore deve, salvo divieto legale, inoltrare prontamente la richiesta al Cliente e non deve rispondere se non secondo le istruzioni documentate del Cliente.

11. Informazioni sugli audit e sulla conformità

Il Processore deve rendere disponibili le informazioni necessarie per dimostrare la conformità a questo DPA. Gli audit possono essere condotti dal Cliente o da un revisore indipendente incaricato dal Cliente, soggetti alle seguenti condizioni:

  • Le richieste di audit devono essere ragionevoli, proporzionate e limitate alle attività di trattamento coperte da questo DPA.

  • Gli audit devono essere programmati con un ragionevole preavviso e durante l'orario lavorativo normale, a meno che una violazione o un requisito legale urgente non giustifichino un'accelerazione dei tempi.

  • Gli audit devono essere condotti in modo da evitare interruzioni inutili e proteggere la riservatezza e la sicurezza degli altri clienti e dei sistemi del Processore.

  • Il Cliente sostiene i propri costi di audit e      rimborserà il Processore per il tempo ragionevole speso a supportare l'audit,      a meno che l'audit non riveli una violazione materiale di questo DPA da parte del Processore.

12. Cancellazione e restituzione dei dati

Al termine o alla scadenza dei Servizi che comportano il trattamento ai sensi di questo DPA, il Processore dovrà, a scelta del Cliente, cancellare o restituire i Dati del Cliente e cancellare le copie esistenti, a meno che la conservazione non sia richiesta dalla legge dell'Unione o degli Stati membri. Quando viene scelta la cancellazione, il Processore cancellerà i Dati del Cliente dai sistemi attivi entro un periodo commercialmente ragionevole e potrà conservare backup limitati per un periodo limitato in linea con le pratiche di sicurezza e recupero da disastri.

13. Riservatezza

Il Processore tratterà i Dati del Cliente come riservati e garantirà che le persone autorizzate a trattare i Dati del Cliente siano vincolate dalla riservatezza. Questo obbligo si aggiunge a qualsiasi disposizione di riservatezza nel Contratto Principale.

14. Responsabilità

La responsabilità ai sensi di questo DPA segue l'allocazione della responsabilità nell'Accordo Principale, a meno che la legge obbligatoria non richieda diversamente. Nulla in questo DPA limita la responsabilità di una delle parti laddove tale limitazione non sia consentita dalla legge applicabile.

15. Ordine di prevalenza

In caso di conflitto tra questo DPA e l'Accordo Principale, questo DPA prevale in relazione agli obblighi di protezione dei dati, a meno che le parti non concordino espressamente diversamente per iscritto. Gli allegati fanno parte di questo DPA.

16. Contatto

Contatto del responsabile per le questioni di protezione dei dati:

Soufiane Boudarraja

Waldstr. 74, 65451 Kelsterbach, Hesse, Germania

Posta elettronica: Soufiane.Boudarraja@soufbouda.com

Telefono: +49 152 2717 9992

Allegato 1: Dettagli del trattamento (Articolo 28(3) GDPR)

Questo Allegato descrive i dettagli tipici del trattamento per i servizi Ecosystem in cui Soufiane Boudarraja agisce come Titolare del trattamento. Per un impegno specifico, le parti possono affinare questi dettagli nella dichiarazione di lavoro o nel modulo d'ordine.

A. Oggetto

  • Fornitura di servizi di consulenza, advisory, governo operativa, abilitazione, formazione e trasformazione.

  • Fornitura di software, automazione e servizi di supporto correlati (inclusi Outbound Engine e Outbound Assistant) dove il Cliente fornisce dati personali per il trattamento.

  • Fornitura di ricerca, diagnostica, arricchimento dei dati, abilitazione all'outreach e deliverable correlati in cui il Cliente fornisce dati personali o istruisce il trattamento di dati personali.

B. Durata

Per la durata del Contratto Principale e di qualsiasi periodo di transizione applicabile necessario per restituire o eliminare i Dati del Cliente, soggetto alla Sezione 12.

C. Natura del trattamento

  • Raccolta, ricezione, registrazione, organizzazione, strutturazione, archiviazione, adattamento, consultazione, utilizzo, divulgazione tramite trasmissione (dove istruito), allineamento, combinazione, restrizione, cancellazione e distruzione dei Dati del Cliente.

  • Gestione degli utenti e controllo degli accessi per spazi di lavoro condivisi dove applicabile.

  • Generazione di report, dashboard e deliverable operativi utilizzando i Dati del Cliente dove indicato.

D. Scopo del trattamento

  • Fornire i Servizi come indicato dal Cliente.

  • Operare e garantire l'ambiente di servizio, inclusa l'autenticazione, la registrazione, il monitoraggio e la risposta agli incidenti.

  • Fornire supporto, risoluzione dei problemi e miglioramento del servizio relativo all'engagement del Cliente.

E. Categorie di Soggetti Dati

  • Dipendenti, appaltatori e utenti autorizzati del Cliente.

  • Clienti, prospettive, contatti, fornitori e contatti commerciali del Cliente, come fornito o istruito dal Cliente.

  • Altre persone i cui dati il Cliente fornisce legalmente per l'elaborazione in relazione ai Servizi.

F. Tipi di Dati Personali

  • Dati di identità e contatto (nome, ruolo,     email aziendale, telefono aziendale, azienda, titolo di lavoro, posizione).

  • Dati di comunicazione e interazione     (email, messaggi, note di riunione, riassunti delle chiamate, risposte) forniti dal Cliente.

  • Dati di account e accesso (ID utente,     metadati di accesso, permessi) dove vengono utilizzati spazi di lavoro condivisi.

  • Dati di relazione commerciale (assegnazioni di account, dati di pipeline, stato di contatto, metadati di programmazione delle riunioni).

  • Dati tecnici necessari per operare i      Servizi (identificatori del dispositivo, registri, indirizzi IP, timestamp) dove      applicabile.

Categorie speciali di dati (Articolo 9 GDPR) non sono destinate ad essere trattate. Se il Cliente istruisce il trattamento di categorie speciali o di dati relativi a reati (Articolo 10 GDPR), le parti devono concordare ulteriori misure di protezione per iscritto prima che tale trattamento avvenga.

Allegato 2: Misure Tecniche e Organizzative (TOMs)

Le TOMs di seguito descrivono una postura di sicurezza di base per i servizi dell'Ecosistema. Le misure effettive possono variare a seconda del Servizio e della pila di strumenti. Il Processore mantiene misure appropriate al rischio e può fornire dettagli specifici sulle TOM su richiesta.

A. Misure organizzative

  • Impegni di riservatezza per qualsiasi persona autorizzata con accesso ai Dati del Cliente.

  • Controlli di accesso basati sui principi di minimo privilegio e necessità di conoscere.

  • Pratiche di minimizzazione dei dati per deliverables e file condivisi dove possibile.

  • Processo di risposta agli incidenti per identificare, contenere, investigare e risolvere eventi di sicurezza.

  • Selezione di fornitori e strumenti guidata dall'Allegato Strumenti di Terze Parti e Fornitori di Dati.

B. Misure tecniche

  • Sicurezza dell'account: pratiche di autenticazione forti, inclusa l'autenticazione a più fattori dove supportata dalla piattaforma.

  • Crittografia in transito utilizzando TLS per servizi web dove supportato; crittografia a riposo dove supportata dai fornitori.

  • Configurazione sicura dei dispositivi utilizzati per la fornitura del servizio (aggiornamenti del sistema operativo, protezione da malware, crittografia del disco dove disponibile).

  • Registrazione e monitoraggio appropriati al contesto del servizio, con controlli di accesso per i registri.

  • Pratiche di backup e recupero appropriate      agli strumenti utilizzati, con accesso controllato e retention.

  • Separazione dei dati dei clienti utilizzando      spazi di lavoro, cartelle o misure di separazione logica separate dove      supportato.

C. Disponibilità e resilienza

  • Utilizzo di servizi di hosting e cloud      affidabili dove applicabile.

  • Pianificazione della continuità ragionevole basata      sulla scala dell'impegno.

D. Test e miglioramento

  • Aggiornamenti regolari del software e delle      dipendenze dove applicabile.

  • Revisione periodica delle autorizzazioni di accesso      per impegni attivi.

Allegato 3: Subprocessori

I subprocessori possono essere utilizzati a seconda dei Servizi e degli strumenti scelti dal Cliente. Una descrizione delle categorie di strumenti di terze parti e dei fornitori tipici utilizzati nell'Ecosistema è mantenuta nell'Allegato Strumenti di Terze Parti e Fornitori di Dati (Politica 14). Se il Cliente richiede un elenco dei specifici Subprocessori utilizzati per un particolare impegno, il Processore lo fornirà su richiesta.

bottom of page