Addendum sul Trattamento dei Dati Personali (DPA)

ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (“GDPR”)

Versione: 2026.02 — Data di efficacia: 13 Febbraio 2026

1. Parti, incorporazione e prevalenza

1.1 Parti.

Il presente Addendum sul Trattamento dei Dati Personali (“DPA”) è concluso tra: (a) il Cliente/Organizzatore che accetta un Ordine e/o utilizza i Servizi (“Titolare” o “Cliente”); e (b) la società Eventboost che fornisce i Servizi quale Contracting Entity indicata nell’Ordine e/o in fattura (“Eventboost” o “Responsabile”).

1.2 Incorporazione.

Il DPA è incorporato per rinvio e costituisce parte integrante del Contratto tra le Parti (Master Terms + Ordine).

1.3 Prevalenza.

In caso di conflitto tra il DPA e gli altri documenti contrattuali, prevale il DPA limitatamente alle materie di trattamento dei dati personali.

1.4 Ambito.

Il DPA disciplina esclusivamente i trattamenti in cui Eventboost opera come Responsabile del trattamento per conto del Cliente.

2. Definizioni

2.1

I termini “dato personale”, “trattamento”, “violazione dei dati personali”, “interessato”, “titolare”, “responsabile”, “autorità di controllo” hanno il significato del GDPR.

2.2

Dati del Cliente (Customer Data): dati e contenuti inseriti o generati dal Cliente tramite i Servizi, inclusi i dati personali dei Partecipanti (attendee) trattati da Eventboost per conto del Cliente.

2.3

Servizi: piattaforma SaaS Eventboost e moduli correlati, come descritti nell’Ordine/Documentazione.

3. Ruoli e categorie di trattamento

3.1 Ruoli.

Per i dati personali dei Partecipanti trattati nell’ambito degli eventi del Cliente:

  • il Cliente agisce come Titolare;
  • Eventboost agisce come Responsabile ai sensi dell’art. 28 GDPR.

3.2 Trattamenti come Titolare Eventboost.

Per dati relativi al Cliente relativi al suo account, amministrazione, fatturazione, sicurezza, supporto e gestione del rapporto commerciale, Eventboost può operare come Titolare secondo la propria Informativa Privacy (non regolata da questo DPA).

4. Oggetto, durata, natura e finalità (art. 28(3) GDPR)

4.1 Oggetto.

Fornitura dei Servizi SaaS Eventboost e attività accessorie (hosting, manutenzione, supporto, sicurezza, backup).

4.2 Durata.

Per la durata del Contratto e, dopo la cessazione, per il periodo tecnico necessario a restituzione/esportazione e cancellazione secondo Sez. 11.

4.3 Natura e finalità.

Trattamenti necessari a: erogare i Servizi, gestire eventi e registrazioni, comunicazioni transazionali legate all’evento, check-in/accrediti, reportistica, funzionalità richieste dal Cliente e supporto tecnico.

4.4 Categorie di interessati e dati.

Come da Allegato A.

5. Istruzioni documentate del Cliente

5.1

Eventboost tratta i dati personali esclusivamente su istruzioni documentate del Cliente, incluse le configurazioni della piattaforma, le impostazioni dell’evento e le richieste scritte.

5.2

Se Eventboost ritiene che un’istruzione violi il GDPR o altra normativa applicabile, ne dà comunicazione al Cliente (art. 28(3)(h)).

5.3

Divieto di finalità autonome. Eventboost non utilizza i dati dei Partecipanti trattati per conto del Cliente per finalità proprie (es. marketing verso i Partecipanti), salvo diversa e lecita istruzione del Cliente e nei limiti consentiti dalla legge.

5.4

Categorie particolari e dati giudiziari. Il Cliente non deve inserire categorie particolari di dati (art. 9 GDPR) o dati giudiziari (art. 10 GDPR) salvo: (i) stretta necessità per l’evento; (ii) base giuridica e obblighi informativi/consensi a carico del Cliente; (iii) configurazioni minimizzate. Il Cliente resta responsabile della liceità del conferimento.

6. Personale autorizzato e riservatezza

6.1

Eventboost garantisce che il personale autorizzato al trattamento sia vincolato da obblighi di riservatezza e riceva adeguate istruzioni (art. 28(3)(b)).

7. Misure tecniche e organizzative (art. 32 GDPR)

7.1

Eventboost adotta misure tecniche e organizzative adeguate al rischio, incluse (a titolo esemplificativo): controlli di accesso, segregazione ambienti, logging, cifratura in transito, backup, hardening, gestione vulnerabilità.

7.2

Le misure minime sono descritte in Allegato B. Eventboost può aggiornarle per evoluzioni tecniche e di sicurezza, mantenendo un livello adeguato al rischio.

8. Sub-responsabili (art. 28(2)–(4) GDPR)

8.1

Il Cliente conferisce a Eventboost l’autorizzazione generale a nominare subresponsabili per l’erogazione dei Servizi.

8.2

L’elenco aggiornato dei sub-responsabili (con indicazione del ruolo e della localizzazione) è disponibile su richiesta.

8.3

Eventboost impone ai sub-responsabili obblighi non meno rigorosi di quelli previsti dal presente DPA (Allegato C).

8.4 Opposizione.

Eventboost informa il Cliente di modifiche rilevanti dei sub-responsabili; il Cliente può opporsi per motivi ragionevoli legati alla protezione dei dati. Se le Parti non trovano un’alternativa ragionevole, il Cliente può risolvere la parte di Servizi impattata, nei limiti e secondo le regole del Contratto.

9. Assistenza al Cliente

9.1 Diritti degli interessati.

Eventboost, tenuto conto della natura del trattamento, assiste il Cliente con misure tecniche e organizzative adeguate per rispondere alle richieste degli interessati (artt. 15–22 GDPR).

9.2 DPIA e consultazioni.

Eventboost fornisce assistenza ragionevole in relazione a DPIA e consultazioni con l’Autorità (artt. 35–36 GDPR), nei limiti delle informazioni disponibili e, se previsto, a condizioni economiche ragionevoli.

10. Violazioni dei dati personali (Data Breach)

10.1

Eventboost notifica al Cliente, senza ingiustificato ritardo, una violazione dei dati personali relativa ai Customer Data (art. 33(2) GDPR), fornendo informazioni ragionevolmente disponibili su: la natura dell’incidente, le misure adottate, il possibile impatto e le azioni di mitigazione.

10.2

Eventboost non comunica direttamente agli interessati salvo obbligo di legge o istruzione lecita del Cliente.

11. Restituzione, cancellazione e retention

11.1

Alla cessazione del Contratto, Eventboost rende disponibili al Cliente i Customer Data per l’esportazione secondo le funzionalità standard dei Servizi e secondo quanto previsto nel Contratto.

11.2

Decorso il periodo di disponibilità post-cessazione previsto nel Contratto/Informativa Privacy, Eventboost procede alla cancellazione o all’anonimizzazione dei Customer Data, salvo obblighi legali o backup ciclici.

12. Audit e accountability (art. 28(3)(h) GDPR)

12.1

Eventboost mette a disposizione del Cliente le informazioni necessarie per dimostrare la conformità agli obblighi del DPA.

12.2

Su richiesta ragionevole, il Cliente può effettuare verifiche documentali. Audit on-site sono consentiti solo: (i) previa congrua notifica; (ii) una volta l’anno; (iii) durante gli orari lavorativi; (iv) nel rispetto della riservatezza e della sicurezza; (v) a spese del Cliente; e (vi) salvo che Eventboost fornisca report equivalenti (es. certificazioni, attestazioni, report di audit indipendenti) ragionevolmente sufficienti.

13. Trasferimenti internazionali

13.1

Qualora i Customer Data siano trasferiti fuori da UE/SEE verso Paesi non adeguati, Eventboost applica garanzie adeguate ai sensi del Capo V GDPR, incluse le Clausole Contrattuali Standard adottate con Decisione (UE) 2021/914 (e successive modifiche).

13.2

Regno Unito. Ove applicabile UK GDPR, Eventboost applica l’UK Addendum alle SCC UE o l’IDTA, secondo il meccanismo indicato nella documentazione di transfer.

13.3

Svizzera. Ove applicabile la legge svizzera (nFADP/FADP), le SCC sono integrate con gli adattamenti richiesti dal diritto svizzero (es. riferimenti all’Incaricato federale, diritti interessati, foro/legge).

13.4

Le misure minime sono descritte in Allegato D.

14. Normative ulteriori (UK / Svizzera)

14.1 Ove il trattamento ricada anche sotto UK GDPR/Data Protection Act 2018 o nFADP/FADP, le Parti si impegnano a rispettare la normativa applicabile e i relativi requisiti di trasferimento e trasparenza.

15. Responsabilità

15.1 Le responsabilità e limitazioni sono disciplinate dal Contratto (Master Terms/Ordine). Il presente DPA non amplia la responsabilità di Eventboost oltre quanto previsto dal Contratto e dalla legge inderogabile.

16. Contatti privacy

16.1 I contatti privacy/DPO (se nominato) e i canali per richieste privacy sono indicati nell’Informativa Privacy Eventboost.

 

ALLEGATO A

DETTAGLI DEL TRATTAMENTO (art. 28(3) GDPR)

1. Oggetto del trattamento

Erogazione dei Servizi Eventboost in modalità SaaS per la gestione di eventi del Cliente (es.: creazione eventi, pagine di registrazione, gestione iscrizioni, inviti e comunicazioni, check-in, badge printing, reportistica, integrazioni/API, eventuale ticketing ove previsto dall’Ordine).

2. Durata del trattamento

Per la durata del Contratto/Ordine applicabile, e successivamente per i tempi di conservazione previsti:

  • Dati evento (Single Event): di regola disponibili nel backend riservato per 12 mesi dalla conclusione dell’evento (salvo diverso accordo scritto).
  • Dati account/eventi post-scadenza: di regola fino a 6 mesi dalla scadenza del rapporto (incluso trial) per consentire esportazione/riattivazione, salvo obblighi di legge e/o backup ciclici secondo DPA e Privacy Policy.

3. Natura e finalità del trattamento

Operazioni di raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, utilizzo, comunicazione (limitata a sub-responsabili), cancellazione/distruzione, necessarie a:

  • fornire le funzionalità del Servizio;
  • assicurare sicurezza, continuità operativa, supporto e manutenzione;
  • eseguire istruzioni documentate del Cliente (incluse configurazioni in piattaforma e richieste tramite supporto).

4. Categorie di interessati

  • Partecipanti/Attendee (ospiti, iscritti, partecipanti a eventi);
  • Relatori/sponsor/espositori/fornitori del Cliente;
  • Utenti autorizzati del Cliente (admin, staff, operatori check-in);
  • Contatti/import list del Cliente (inviti e comunicazioni), ove caricati.

5. Categorie di dati personali (tipiche; dipendono da configurazione Cliente)

  • Identificativi e contatti: nome, cognome, email, telefono, azienda, ruolo, paese/città;
  • Dati di registrazione evento: risposte a form, preferenze, sessioni, badge fields, check-in status;
  • Dati tecnici: log di accesso, identificativi account, audit log, IP (ove raccolti), device/browser info;
  • Dati di comunicazione: invii email, RSVP, bounce (ove applicabile);
  • Ticketing (se attivato): informazioni sulla transazione e sul biglietto (nota: i dati di pagamento completi sono tipicamente trattati dal payment processor terzo come titolare/processor autonomo).

Categorie particolari (art. 9 GDPR): non previste di default. Il Cliente è responsabile di evitare l’inserimento di categorie particolari, salvo stretta necessità e basi giuridiche adeguate; se utilizzate, devono essere specificate nell’Ordine e gestite con misure aggiuntive.

6. Operazioni di trattamento

Hosting, backup, recovery, invio di comunicazioni (se attivato), supporto tecnico, gestione degli incidenti, monitoraggio della sicurezza, gestione degli accessi e delle autorizzazioni.

7. Ruoli

  • Cliente: Titolare del trattamento (Controller) dei dati dei Partecipanti e altri interessati nell’ambito degli eventi.
  • Eventboost: Responsabile del trattamento (Processor) per conto del Cliente, secondo istruzioni documentate.

Eventboost può operare come Titolare per i dati di account/fatturazione/relazione commerciale, come descritto in Privacy Policy.

 

ALLEGATO B

MISURE TECNICHE E ORGANIZZATIVE (TOM)

Le Misure di Sicurezza sono commisurate al rischio (art. 32 GDPR) e si applicano al trattamento dei Customer Data nell’ambito dei Servizi.

B1. Governance della sicurezza (ISMS / ISO 27001)

Eventboost mantiene un framework di governance della sicurezza volto a tutelare riservatezza, integrità e disponibilità dei dati. Eventboost ha avviato un programma di adeguamento e maturazione del proprio Sistema di Gestione per la Sicurezza delle Informazioni (ISMS) in allineamento a ISO/IEC 27001, con obiettivo (salvo imprevisti e subordinatamente all’esito delle verifiche dell’ente di certificazione) di completare il processo di certificazione entro maggio 2026.

Resta inteso che l’obbligo di implementare e mantenere misure adeguate sussiste indipendentemente dall’ottenimento della certificazione; eventuale certificazione, se e quando conseguita, ha valore informativo e non amplia automaticamente obblighi o rimedi contrattuali.

B2. Controllo accessi e gestione identità

  • Accesso ai sistemi limitato al personale autorizzato secondo principio del least privilege.
  • Autenticazione forte per account amministrativi; gestione credenziali e rotazione/segregazione ruoli ove applicabile.
  • Processo di provisioning/deprovisioning utenti (joiner/mover/leaver).
  • Separazione tra ambienti (es. produzione/test) ove applicabile.

B3. Sicurezza applicativa e SDLC

  • Pratiche di sviluppo sicuro, gestione delle vulnerabilità e correzioni (patching) secondo priorità di rischio.
  • Controlli su deploy e change management; logica di approvazione e tracciamento modifiche dove applicabile.
  • Hardening e configurazione sicura dei componenti.

B4. Cifratura e protezione dati

  • Cifratura in transito tramite TLS/HTTPS.
  • Cifratura a riposo o protezioni equivalenti per sistemi e backup dove applicabile (in funzione della tecnologia/fornitore).
  • Segregazione logica dei dati tra tenant/customer, ove applicabile.

B5. Logging, monitoraggio e audit trail

  • Logging di eventi di sicurezza e amministrativi rilevanti; conservazione log secondo policy interne.
  • Monitoraggio per anomalie e alerting; strumenti di osservabilità per disponibilità e performance.

B6. Disponibilità, backup e disaster recovery

  • Backup regolari e procedure di ripristino testate/validate con periodicità ragionevole.
  • Misure per continuità operativa e resilienza; piani di risposta a incidenti e ripristino.
  • Finestre di manutenzione programmate e interventi urgenti per sicurezza/stabilità.

B7. Gestione incidenti e data breach

  • Processo interno di incident management, triage, contenimento, remediation e post-mortem.
  • Notifica al Cliente di violazioni dei dati personali “senza ingiustificato ritardo” secondo DPA (artt. 33–34 GDPR) e cooperazione ragionevole.

B8. Sicurezza dei fornitori (sub-responsabili)

  • Selezione di fornitori con misure adeguate e obblighi contrattuali equivalenti (art. 28 GDPR).
  • Valutazioni ragionevoli e controllo documentale sui sub-responsabili critici, in base al rischio.

B9. Formazione e riservatezza

  • Impegni di riservatezza per il personale; formazione periodica su sicurezza e privacy ove appropriato.

B10. Misure fisiche

  • Data center/hosting tipicamente gestiti da fornitori cloud con controlli fisici e ambientali standard di settore.

Nota: l’elenco descrive categorie di controlli; dettagli specifici (tool, configurazioni, soglie) possono variare nel tempo per miglioramento continuo, purché non venga ridotto materialmente il livello complessivo di sicurezza rispetto ai rischi trattati.

 

ALLEGATO C

SUB-RESPONSABILI (SUBPROCESSORS)

C1. Autorizzazione generale

Il Cliente conferisce un’autorizzazione generale all’impiego di sub-responsabili per l’erogazione dei Servizi (art. 28(2) GDPR), secondo elenco aggiornato.

C2. Elenco e aggiornamenti

Eventboost mantiene e rende disponibile un elenco aggiornato dei sub-responsabili. L’elenco indica, per quanto ragionevolmente possibile:

  • nome del sub-responsabile;
  • paese di trattamento/hosting (o regioni);
  • descrizione del servizio (hosting, email, supporto, analytics, ecc.).

C3. Notifica e diritto di opposizione

Eventboost comunicherà aggiornamenti materiali all’elenco con un preavviso ragionevole. Il Cliente può opporsi per iscritto per motivi ragionevoli legati alla protezione dei dati; in tal caso le parti cooperano in buona fede per individuare un’alternativa commercialmente ragionevole o una misura di mitigazione. Se non possibile, Eventboost può (a sua discrezione) consentire la cessazione del modulo/servizio impattato secondo i rimedi previsti nel Contratto, limitatamente alla parte interessata.

C4. Obblighi contrattuali verso i sub-responsabili

Eventboost impone ai sub-responsabili obblighi di protezione dei dati sostanzialmente equivalenti a quelli del DPA, inclusi obblighi di sicurezza e supporto.

 

ALLEGATO D

TRASFERIMENTI INTERNAZIONALI

D1. Principio generale

Eventboost tratta e/o consente accesso ai dati personali in conformità alle regole sui trasferimenti internazionali previste dalla normativa applicabile (GDPR, UK GDPR, diritto svizzero).

D2. Meccanismi UE/SEE (GDPR)

Per trasferimenti verso paesi non oggetto di decisione di adeguatezza, Eventboost applica (ove pertinente) le Clausole Contrattuali Standard UE (Decisione (UE) 2021/914) e misure supplementari appropriate in base al rischio.

D3. Regno Unito

Ove UK GDPR applicabile, Eventboost applica il UK Addendum alle EU SCC o l’IDTA, a seconda del caso, come previsto nel DPA.

D4. Svizzera

Ove applicabile, Eventboost adotta le clausole/adeguamenti richiesti dal diritto svizzero (nFADP/FADP) per trasferimenti transfrontalieri, secondo le prassi e i modelli riconosciuti.

D5. Documentazione e trasparenza

Su richiesta ragionevole del Cliente, Eventboost rende disponibili informazioni sul meccanismo di trasferimento applicato (es. riferimento SCC/UK Addendum) e sui sub-responsabili rilevanti, nei limiti di riservatezza e sicurezza.