Bespokely

Data Processing Agreement

Ultimo aggiornamento: 20 maggio 2026
Versione: 1.0
Link permanente a questa versione: bespokely.io/legal/dpa/v1.0

Questo Data Processing Agreement ("DPA") fa parte dell'accordo tra Bespokely Inc. ("Bespokely", "Processore") e il cliente identificato nella relativa Conferma d'Ordine ("Cliente", "Titolare") per la fornitura dei prodotti di Bespokely (i "Servizi").

Accettando i Termini di Servizio di Bespokely, il Cliente accetta anche questo DPA. Il DPA si applica ogni volta che Bespokely elabora dati personali per conto del Cliente in relazione ai Servizi.

Nota per il Cliente: questo DPA è offerto come modulo standard di Bespokely. Un Cliente che richiede una copia controfirmata per i propri archivi può richiederne una inviando un'email a privacy@bespokely.io con l'oggetto "Richiesta di controfirma DPA — [Nome del Cliente]". Le copie controfirmate non modificano i termini sostanziali di questo DPA.

§1 Definizioni

I termini in maiuscolo utilizzati in questo DPA hanno i significati forniti nel GDPR (Regolamento (UE) 2016/679), nelle Clausole Contrattuali Standard dell'UE adottate ai sensi della Decisione di Esecuzione della Commissione (UE) 2021/914 ("SCCs"), o — dove definiti qui — in questo DPA.

  • Dati Personali significa qualsiasi informazione relativa a una persona fisica identificata o identificabile che Bespokely elabora per conto del Cliente nella fornitura dei Servizi.
  • Interessato significa una persona fisica a cui si riferiscono i Dati Personali.
  • Sub-processore significa una terza parte incaricata da Bespokely di elaborare Dati Personali per conto del Cliente.
  • Elenco dei Sub-processori significa l'elenco dei Sub-processori mantenuto su bespokely.io/legal/sub-processors, aggiornato di volta in volta.
  • TOMs significa le misure tecniche e organizzative pubblicate su bespokely.io/legal/security, aggiornate di volta in volta.
  • Legge Applicabile sulla Protezione dei Dati significa il GDPR, il UK GDPR, la Legge Federale Svizzera sulla Protezione dei Dati, il California Consumer Privacy Act / California Privacy Rights Act, e qualsiasi altra legge sulla protezione dei dati applicabile all'uso dei Servizi da parte del Cliente.

§2 Oggetto, natura e durata del trattamento

§2.1 Oggetto

Bespokely elabora Dati Personali per conto del Cliente esclusivamente per fornire i Servizi descritti nella Conferma d'Ordine.

§2.2 Natura e scopo

La natura e lo scopo del trattamento sono descritti nell'Allegato 1 di questo DPA. Esempi includono: hosting del sito web del Cliente, gestione del portale clienti del Cliente, operare un assistente AI per conto del Cliente, invio di email transazionali per conto del Cliente.

§2.3 Categorie di Interessati e Dati Personali

Le categorie di Interessati e i tipi di Dati Personali sono descritti nell'Allegato 1.

§2.4 Durata

Il trattamento dura per la durata dei Servizi, più qualsiasi periodo necessario per il ritorno o la cancellazione dei Dati Personali ai sensi del §13.

§3 Ruoli delle parti

  • Il Cliente è il Titolare (o Processore per conto dei propri titolari nel caso di relazioni B2B a valle) dei Dati Personali.
  • Bespokely agisce come Processore.
  • Qualora il Cliente sia esso stesso un Processore per un titolare a monte, il Cliente garantisce di avere l'autorità per incaricare Bespokely come Sub-processore.

§4 Istruzioni del Cliente

§4.1 Istruzione generale

Il Cliente istruisce Bespokely a elaborare Dati Personali solo nella misura necessaria per fornire i Servizi, e solo come documentato nella Conferma d'Ordine, in questo DPA, nella configurazione del Cliente all'interno dei prodotti di Bespokely, e in qualsiasi ulteriore istruzione scritta fornita dal Cliente.

§4.2 Conformità alla legge

Bespokely notificherà al Cliente se considera che un'istruzione violi la Legge Applicabile sulla Protezione dei Dati. Bespokely non è obbligata a seguire un'istruzione che ragionevolmente ritiene possa causare una violazione della Legge Applicabile sulla Protezione dei Dati.

§4.3 Divulgazione legale

Qualora Bespokely sia obbligata dalla legge a elaborare Dati Personali al di fuori delle istruzioni del Cliente, Bespokely informerà il Cliente prima del trattamento, a meno che la legge pertinente non vieti tale avviso.

§5 Riservatezza

Bespokely garantisce che il personale autorizzato a elaborare Dati Personali sia vincolato da adeguati obblighi di riservatezza. Gli obblighi di riservatezza sopravvivono alla cessazione del rapporto di lavoro o di incarico.

§6 Sicurezza del trattamento

§6.1 TOMs

Bespokely implementa misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, portata, contesto e scopi del trattamento. Le attuali TOMs sono pubblicate su bespokely.io/legal/security e sono incorporate in questo DPA per riferimento (Allegato 3).

§6.2 Aggiornamenti delle TOMs

Bespokely può aggiornare le proprie TOMs di volta in volta, a condizione che gli aggiornamenti non riducano materialmente il livello di sicurezza. Riduzioni materiali richiedono il consenso scritto preventivo del Cliente.

§6.3 Pseudonimizzazione e crittografia

Le TOMs includono — senza limitazioni — la crittografia dei Dati Personali a riposo (AES-256) e in transito (TLS 1.2+), la pseudonimizzazione dove possibile, e controlli di accesso basati sul principio del minimo privilegio.

§7 Sub-processori

§7.1 Autorizzazione generale

Il Cliente concede a Bespokely un'autorizzazione generale per incaricare i Sub-processori elencati nell'Elenco dei Sub-processori al momento della conclusione di questo DPA. L'Elenco dei Sub-processori è incorporato in questo DPA per riferimento (Allegato 2).

§7.2 Modifiche

Bespokely fornirà almeno 30 giorni di preavviso prima di incaricare un nuovo Sub-processore o sostituirne uno esistente, tramite email al contatto di notifica del Cliente e aggiornando l'Elenco dei Sub-processori.

§7.3 Diritto di opposizione

Il Cliente può opporsi a un nuovo Sub-processore entro 30 giorni dalla notifica inviando un'email a privacy@bespokely.io con l'oggetto "Opposizione al Sub-processore". Se Bespokely non può soddisfare l'opposizione con mezzi ragionevoli (ad es., il nuovo Sub-processore fornisce funzionalità senza alternative), il Cliente può terminare i Servizi interessati senza penale per cessazione anticipata, e Bespokely rimborserà le spese prepagate per i mesi non utilizzati pro-rata.

§7.4 Flusso discendente

Bespokely impone a ciascun Sub-processore obblighi di protezione dei dati non meno protettivi di quelli in questo DPA, tramite un contratto scritto che include SCCs dove applicabile.

§7.5 Responsabilità

Bespokely rimane responsabile nei confronti del Cliente per le prestazioni dei suoi Sub-processori in relazione ai loro obblighi di protezione dei dati.

§8 Assistenza con i diritti degli interessati

§8.1 Richieste degli interessati ricevute da Bespokely

Se un Interessato contatta direttamente Bespokely con una richiesta di esercitare diritti ai sensi degli Articoli 15–22 GDPR (o equivalente), Bespokely inoltrerà la richiesta al Cliente senza indugi e non risponderà all'Interessato se non per confermare la ricezione e rimandarlo al Cliente.

§8.2 Assistenza al Cliente

Bespokely fornirà un'assistenza ragionevole al Cliente nel rispondere alle richieste degli Interessati, incluso fornire strumenti all'interno dei Servizi per consentire al Cliente di accedere, esportare, correggere e cancellare Dati Personali. Qualora Bespokely fornisca assistenza oltre a quanto ragionevolmente disponibile attraverso i Servizi, Bespokely potrà addebitare una tariffa ragionevole secondo la propria tariffa oraria standard.

§8.3 SLA

Bespokely risponderà a una richiesta di assistenza del Cliente entro 14 giorni dalla ricezione di una richiesta documentata da parte di un Interessato.

§9 Assistenza con gli obblighi del titolare

Bespokely fornirà un'assistenza ragionevole al Cliente con gli obblighi del Cliente ai sensi degli Articoli 32–36 GDPR (sicurezza del trattamento, notifica delle violazioni, valutazione d'impatto sulla protezione dei dati, consultazione preventiva), tenendo conto della natura del trattamento e delle informazioni disponibili a Bespokely.

§10 Violazioni dei dati personali

§10.1 Tempistiche di notifica

Bespokely notificherà al Cliente qualsiasi Violazione di Dati Personali confermata che riguardi i Dati Personali del Cliente senza indugi e in ogni caso entro 24 ore dopo che Bespokely è venuta a conoscenza della violazione.

§10.2 Contenuto della notifica

La notifica includerà, nella misura in cui sia allora nota: (a) la natura della violazione, (b) categorie e numero approssimativo di Interessati e registri interessati, (c) conseguenze probabili, (d) misure adottate o proposte.

§10.3 Nessuna ammissione

La notifica ai sensi di questo §10 non costituisce un'ammissione di colpa o responsabilità da parte di Bespokely.

§11 Trasferimenti internazionali

§11.1 Meccanismo di trasferimento

Qualora Bespokely elabori Dati Personali al di fuori dello Spazio Economico Europeo/Regno Unito/Svizzera per conto del Cliente, il trasferimento è protetto da: (a) la decisione di adeguatezza del Data Privacy Framework UE-USA, dove il destinatario (Bespokely o un Sub-processore) è certificato DPF e la certificazione copre i dati pertinenti; oppure (b) le SCCs (Modulo 2 — Titolare a Processore o Modulo 3 — Processore a Processore, come applicabile), incorporate per riferimento in questo DPA (Allegato 4); oppure (c) un altro meccanismo di trasferimento consentito ai sensi del Capitolo V del GDPR.

§11.2 Incorporazione delle SCC

Dove le SCCs si applicano, le SCCs si considerano stipulate tra le parti secondo i seguenti termini:

  • Modulo: Modulo 2 (Titolare a Processore) per default; Modulo 3 (Processore a Processore) dove il Cliente è esso stesso un Processore.
  • Clausola di docking (Clausola 7): optato.
  • Clausola sui Sub-processori (Clausola 9): opzione 2 (autorizzazione scritta generale) ai sensi del §7.1 sopra con 30 giorni di preavviso.
  • Rimedi (Clausola 11): meccanismo di risoluzione delle controversie indipendente non selezionato.
  • Responsabilità (Clausola 12): come concordato nell'Accordo Quadro sui Servizi sottostante.
  • Autorità di vigilanza (Clausola 13): [TBD in base all'ubicazione del Cliente — tipicamente l'autorità di vigilanza dello Stato Membro in cui il Cliente è stabilito].
  • Legge applicabile (Clausola 17): legge dello Stato Membro in cui il Cliente è stabilito.
  • Forum (Clausola 18): tribunali dello Stato Membro in cui il Cliente è stabilito.
  • Allegato I.A (Parti) = Allegato 1.A di questo DPA.
  • Allegato I.B (Descrizione del trasferimento) = Allegato 1.B di questo DPA.
  • Allegato II (TOMs) = bespokely.io/legal/security.
  • Allegato III (Sub-processori) = bespokely.io/legal/sub-processors.

§11.3 Valutazione d'impatto del trasferimento

Bespokely mantiene una Valutazione d'Impatto del Trasferimento (TIA) per ogni Sub-processore dove il trasferimento non è coperto dal DPF. La TIA è fornita al Cliente su richiesta.

§12 Audit e ispezione

§12.1 Audit tramite certificazione

Il diritto di audit del Cliente ai sensi dell'Art. 28(3)(h) GDPR è soddisfatto principalmente attraverso le certificazioni e i rapporti di terze parti di Bespokely (ad es., rapporti SOC 2 Tipo II di Bespokely o dei suoi Sub-processori). Bespokely fornirà tali rapporti sotto NDA su richiesta ragionevole del Cliente.

§12.2 Audit del Cliente

Qualora le certificazioni nel §12.1 non affrontino un controllo specifico che il Cliente richiede ragionevolmente di essere auditato, il Cliente può condurre un audit tramite un questionario scritto. Gli audit in loco sono consentiti solo (i) dove il questionario e le certificazioni sono insufficienti, (ii) dopo 30 giorni di preavviso scritto, (iii) durante l'orario lavorativo, (iv) senza interrompere le operazioni di Bespokely, (v) non più di una volta ogni 12 mesi, eccetto dove richiesto da un'ordinanza dell'autorità di vigilanza o a seguito di una Violazione di Dati Personali confermata, e (vi) a spese del Cliente.

§12.3 Cooperazione con le autorità di vigilanza

Bespokely coopererà con le autorità di vigilanza come richiesto dalla legge.

§13 Restituzione o cancellazione dei dati personali

§13.1 Fine dei Servizi

A scelta del Cliente espressa per iscritto entro 30 giorni dalla fine dei Servizi, Bespokely restituirà i Dati Personali in un formato strutturato, di uso comune e leggibile da macchina (JSON, CSV o comparabile), oppure cancellerà i Dati Personali.

§13.2 Default

Se il Cliente non esprime alcuna scelta entro il termine di 30 giorni, Bespokely cancellerà i Dati Personali entro ulteriori 30 giorni.

§13.3 Conservazione per legge

Questo §13 non si applica dove Bespokely è obbligata a conservare i Dati Personali per legge dell'Unione o di uno Stato Membro.

§13.4 Backup

I Dati Personali possono persistere in backup crittografati per un massimo di 30 giorni dopo la cancellazione; tali backup non vengono ripristinati se non per il recupero da disastri, nel qual caso la re-cancellazione viene applicata prontamente.

§14 Responsabilità

La responsabilità ai sensi di questo DPA è soggetta alle limitazioni ed esclusioni nell'Accordo Quadro sui Servizi sottostante e nei Termini di Servizio di Bespokely, eccetto dove la Legge Applicabile sulla Protezione dei Dati (in particolare gli Articoli 82–83 GDPR) richiede diversamente. Nulla in questo DPA limita i diritti di un Interessato ai sensi della Legge Applicabile sulla Protezione dei Dati.

§15 Durata e cessazione

Questo DPA entra in vigore alla data di efficacia dell'Accordo Quadro sui Servizi e continua finché Bespokely elabora Dati Personali per conto del Cliente. Le disposizioni del §13 (Restituzione o cancellazione), §10 (Violazioni relative a eventi durante il termine), §12 (Audit relativi a eventi durante il termine) e §14 (Responsabilità) sopravvivono alla cessazione.

§16 Ordine di prevalenza

In caso di conflitto:

  1. Le SCCs (dove applicabili) prevalgono su questo DPA.
  2. Questo DPA prevale sull'Accordo Quadro sui Servizi e sui Termini di Servizio in relazione al trattamento dei Dati Personali.
  3. L'Accordo Quadro sui Servizi e i Termini di Servizio disciplinano tutte le altre questioni.

§17 Legge applicabile

Questo DPA è regolato dalla legge dello Stato del Delaware, USA, eccetto dove le disposizioni obbligatorie della Legge Applicabile sulla Protezione dei Dati nella giurisdizione del Cliente prevalgono. Dove le SCCs si applicano, la legge applicabile per le SCCs è quella specificata nel §11.2.

§18 Aggiornamenti a questo DPA

Bespokely può aggiornare questo DPA di volta in volta. Gli aggiornamenti materiali vengono notificati ai Clienti attivi via email almeno 30 giorni prima che entrino in vigore. Gli aggiornamenti che inaspriscono gli obblighi di Bespokely o rafforzano le protezioni del Cliente entrano in vigore immediatamente e vengono notificati entro 30 giorni dalla pubblicazione.

Allegato 1 — Dettagli del trattamento

A. Parti

Titolare (esportatore di dati): il Cliente identificato nella Conferma d'Ordine.

Processore (importatore di dati): Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, USA. Contatto: privacy@bespokely.io · +1 (512) 348-6588.

B. Descrizione del trasferimento

Categorie di Interessati

Le categorie di Interessati i cui Dati Personali vengono elaborati dipendono dall'uso che il Cliente fa dei Servizi e possono includere:

  • visitatori del sito web del Cliente,
  • utenti registrati del portale clienti del Cliente,
  • clienti, prospettive, contatti e dipendenti del Cliente,
  • destinatari delle comunicazioni transazionali inviate dal Cliente.

Categorie di Dati Personali

  • identificatori (nome, email, telefono, credenziali dell'account),
  • attributi del profilo che il Cliente sceglie di raccogliere (titolo di lavoro, azienda, giurisdizione, lingua),
  • dati di contenuto inviati tramite moduli, portale o assistente AI (messaggi, documenti, file),
  • dati di utilizzo (timestamp di accesso, visualizzazioni di pagina, registri di interazione),
  • dati tecnici (indirizzo IP, user agent, metadati di sessione).

Categorie speciali di dati

I Servizi di Bespokely non sono progettati per elaborare categorie speciali di Dati Personali ai sensi dell'Art. 9 GDPR. Qualora l'uso dei Servizi da parte del Cliente comporti l'elaborazione di tali categorie, il Cliente è responsabile della liceità di tale trattamento e deve informare Bespokely affinché possano essere concordate ulteriori garanzie.

Frequenza

Continuativa, per la durata dei Servizi.

Natura del trattamento

Hosting, archiviazione, trattamento di dati strutturati e non strutturati, trasmissione, visualizzazione, ricerca e recupero, inferenza AI (dove i Servizi includono un assistente AI), backup, cancellazione.

Scopo

Fornitura dei Servizi come descritti nella Conferma d'Ordine.

Periodo di conservazione

Per la durata dei Servizi. Dopo la cessazione, vedere il §13 di questo DPA.

Sub-processori

Come elencato nell'Elenco dei Sub-processori su bespokely.io/legal/sub-processors.

C. Autorità di vigilanza competente

L'autorità di vigilanza dello Stato Membro (o paese) in cui il Cliente è stabilito, eccetto dove un'altra autorità di vigilanza ha competenza primaria ai sensi dell'Art. 56 GDPR.

Allegato 2 — Sub-processori

L'attuale Elenco dei Sub-processori è pubblicato e mantenuto su:

bespokely.io/legal/sub-processors

Questo Allegato è dinamicamente incorporato nel DPA. Ogni versione dell'Elenco dei Sub-processori ha un URL versione permanente (ad es., /v1.0) preservato per riferimento probatorio.

Allegato 3 — Misure tecniche e organizzative

Le attuali TOMs sono pubblicate e mantenute su:

bespokely.io/legal/security

Questo Allegato è dinamicamente incorporato nel DPA. Ogni versione ha un URL versione permanente (ad es., /v1.0).

Allegato 4 — Clausole Contrattuali Standard

Dove applicabile ai sensi del §11 di questo DPA, le SCCs adottate dalla Decisione di Esecuzione della Commissione (UE) 2021/914 del 4 giugno 2021 sono incorporate per riferimento. Il testo autorevole attuale è pubblicato su:

https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj

Il Modulo 2 (Titolare-a-Processore) si applica per default. Il Modulo 3 (Processore-a-Processore) si applica dove il Cliente è esso stesso un Processore.

Gli Allegati I, II e III delle SCCs sono popolati per riferimento agli Allegati 1, 3 e 2 di questo DPA rispettivamente, come stabilito nel §11.2.

Contatto per domande sul DPA:
Bespokely Inc., 251 Little Falls Drive, Wilmington, DE 19808, USA · privacy@bespokely.io · +1 (512) 348-6588

Questo DPA è un modello. Non sostituisce un consiglio legale indipendente. Bespokely raccomanda ai Clienti di consultare il proprio legale prima di fare affidamento sui termini di questo DPA per soddisfare specifici requisiti normativi applicabili alla propria attività.