EVENTBOOST — ACCORDO SUL TRATTAMENTO DEI DATI (DPA)
ai sensi dell’Articolo 28 del GDPR
Versione: 2026.02 — Data di Efficacia: 14 Febbraio 2026
1. Parti, incorporazione, prevalenza
1.1 Parti.
Il presente Accordo sul Trattamento dei Dati (“DPA”) è stipulato tra:
(a) il cliente/organizzatore che utilizza i Servizi (“Cliente” o “Titolare del Trattamento”); e
(b) la società del gruppo Eventboost che agisce in qualità di entità contrattuale identificata nell’Ordine e/o nella fattura (“Eventboost” o “Responsabile del Trattamento”).
1.2 Incorporazione.
Il presente DPA è incorporato per riferimento nel Contratto (Termini Generali + Ordine).
1.3 Prevalenza.
In caso di conflitto, il presente DPA prevale esclusivamente con riferimento al trattamento dei dati personali.
2. Definizioni
I termini relativi al GDPR hanno il significato stabilito nel GDPR stesso. “Dati del Cliente” indica i dati e i contenuti inviati ai Servizi da o per conto del Cliente, inclusi i dati personali dei Partecipanti trattati da Eventboost per conto del Cliente.
3. Ruoli
3.1
Per i dati personali dei Partecipanti trattati per gli eventi del Cliente: il Cliente è il Titolare del Trattamento ed Eventboost è il Responsabile del Trattamento.
3.2
Per i dati relativi all’account, alla fatturazione, alla sicurezza, al supporto e alla gestione del rapporto, Eventboost può agire in qualità di Titolare del Trattamento ai sensi della propria Informativa sulla Privacy (non disciplinata dal presente DPA).
4. Dettagli ex Articolo 28(3) GDPR
4.1 Oggetto: fornitura dei Servizi Eventboost e relativo supporto.
4.2 Durata: la durata del Contratto, oltre al periodo richiesto per la restituzione/esportazione e la cancellazione ai sensi della Sezione 11.
4.3 Natura e finalità: hosting, archiviazione, gestione della registrazione agli eventi, check-in, badge, comunicazioni transazionali legate all’evento, funzionalità di reportistica/analisi configurate dal Cliente, integrazioni richieste dal Cliente e operazioni di supporto.
4.4 Categorie di interessati e dati personali: si veda l’Allegato A.
5. Istruzioni documentate
5.1 Eventboost tratta i Dati del Cliente solo sulla base di istruzioni documentate da parte del Cliente, incluse le configurazioni della piattaforma e le richieste scritte.
5.2 Qualora Eventboost ritenga che un’istruzione violi la legge applicabile in materia di protezione dei dati, provvederà a informare il Cliente.
5.3 Divieto de uso indipendente. Eventboost non utilizzerà i dati personali dei Partecipanti trattati per conto del Cliente per proprie finalità di marketing, a meno che non sia richiesto dalla legge o che il Cliente non fornisca un’istruzione scritta legittima.
5.4 Categorie particolari / dati giudiziari. Il Cliente non deve inviare categorie particolari di dati (Art. 9 GDPR) o dati relativi a condanne penali e reati (Art. 10 GDPR) a meno che non sia strettamente necessario, e a condizione che il Cliente disponga di una valida base giuridica e fornisca le informative/consensi richiesti.
6. Riservatezza
Eventboost garantisce che le persone autorizzate al trattamento dei Dati del Cliente siano vincolate da obblighi di riservatezza.
7. Sicurezza (Art. 32 GDPR)
Eventboost implementa misure tecniche e organizzative adeguate. Un riepilogo minimo è fornito nell’Allegato B. Eventboost può aggiornare le misure de sicurezza per riflettere l’evoluzione tecnologica, mantenendo un livello di sicurezza adeguato.
8. Subresponsabili del trattamento
8.1 Il Cliente concede a Eventboost un’autorizzazione generale a nominare subresponsabili del trattamento.
8.2 Un elenco aggiornato dei subresponsabili è disponibile su richiesta.
8.3 Eventboost imporrà ai subresponsabili obblighi in materia di protezione dei dati non meno restrittivi di quelli previsti nel presente DPA.
8.4 Obiezione. Il cliente può opporsi per giustificati motivi legati alla protezione dei dati; le parti collaboreranno in buona fede per raggiungere una soluzione. Qualora non sia ragionevolmente disponibile alcuna soluzione, il Cliente potrà recedere dai Servizi interessati in conformità con il Contratto.
9. Assistenza
Eventboost fornirà una ragionevole assistenza per le richieste degli interessati (Artt. 15–22 GDPR) e per le valutazioni di impatto sulla protezione dei dati (DPIA)/consultazioni preventive (Artt. 35–36 GDPR), a seconda dei casi e in base alla natura dei Servizi.
10. Violazioni di dati personali
Eventboost notificherà al Cliente senza ingiustificato ritardo il momento in cui verrà a conoscenza di una violazione di dati personali (data breach) che riguardi i Dati del Cliente, e condividerà le informazioni disponibili per supportare il Cliente nell’adempimento degli obblighi di cui agli Artt. 33–34 del GDPR.
11. Restituzione e cancellazione
A seguito della cessazione del rapporto, Eventboost metterà i Dati del Cliente a disposizione per l’esportazione tramite le funzionalità standard per un periodo limitato, per poi procedere alla cancellazione o all’anonimizzazione dei Dati del Cliente, fatti salvi gli obblighi legali applicabili e i backup di routine, come descritto nel Contratto/Documentazione sulla privacy.
12. Audit e conformità (Art. 28(3)(h) GDPR)
Eventboost metterà a disposizione le informazioni ragionevolmente necessarie per dimostrare la conformità. Gli audit saranno principalmente basati su documenti. Gli audit in loco sono consentiti solo con un ragionevole preavviso, non più di una volta all’anno, durante il normale orario di lavoro, nel rispetto dei vincoli di riservatezza e sicurezza, e a spese del Cliente, salvo che non sia richiesto per legge. Eventboost può fornire relazioni/certificazioni indipendenti come alternativa, laddove ragionevole.
13. Trasferimenti internazionali
13.1 Per i trasferimenti al di fuori dello SEE verso paesi non adeguati, Eventboost utilizzerà garanzie adeguate ai sensi del Capo V del GDPR, incluse le Clausole Contrattuali Standard dell’UE (SCC – Decisione di esecuzione (UE) 2021/914 della Commissione).
13.2 Regno Unito. Ove si applichi il GDPR del Regno Unito, Eventboost utilizzerà l’Addendum del Regno Unito alle SCC dell’UE o l’IDTA, a seconda dei casi.
13.3 Svizzera. Ove si applichi la legge svizzera (LPD/nLPD), le SCC saranno integrate con gli adattamenti richiesti dalla normativa svizzera.
13.4 Le misure minime sono descritte nell’Allegato D.
14. Responsabilità
La responsabilità e le limitazioni sono disciplinate dal Contratto e dalle norme imperative di legge. Il presente DPA non estende la responsabilità di Eventboost oltre quanto richiesto dalla legge.
ALLEGATO A
DETTAGLI DEL TRATTAMENTO (Art. 28(3) GDPR)
1. Oggetto
Fornitura dei Servizi SaaS Eventboost per le attività di gestione degli eventi del Cliente (ad es. configurazione dell’evento, pagine di registrazione, gestione dei partecipanti, inviti e comunicazioni, check-in, stampa dei badge, reportistica, integrazioni/API e biglietteria ove abilitata ai sensi dell’Ordine).
2. Durata
Per la durata del relativo Contratto/Ordine e successivamente per i periodi di conservazione descritti di seguito:
- Dati del Singolo Evento: tipicamente disponibili nel backend del Cliente per 12 mesi dopo la fine dell’evento (salvo diverso accordo).
- Conservazione dell’account/evento post-scadenza: tipicamente fino a 6 mesi dopo la scadenza (incluso il periodo di prova) per consentire l’esportazione/riattivazione, fatti salvi gli obblighi di legge e/o i backup ciclici ai sensi del DPA e dell’Informativa sulla Privacy.
3. Natura e finalità
Raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, utilizzo, comunicazione (limitatamente ai subresponsabili), cancellazione/distruzione secondo quanto necessario per fornire i Servizi, garantire la sicurezza e dare esecuzione alle istruzioni.
4. Categorie di interessati
- Partecipanti (ospiti, iscritti, partecipanti all’evento);
- Relatori/sponsor/espositori/fornitori;
- Utenti Autorizzati del Cliente;
- Liste di contatti/importazioni del Cliente.
5. Categorie di dati personali
- Dati identificativi e dettagli di contatto;
- Dati di registrazione all’evento;
- Dati tecnici (registri/log, indirizzi IP);
- Metadati delle comunicazioni;
- Dati di biglietteria (ove applicabile).
ALLEGATO B
MISURE TECNICHE E ORGANIZZATIVE (TOMs)
B1. Governance della sicurezza (SGSI / ISO 27001)
Eventboost mantiene un quadro di governance della sicurezza allineato allo standard ISO/IEC 27001, con l’obiettivo di completare la certificazione entro Maggio 2026.
B2. Controllo degli accessi
Accesso limitato al personale autorizzato in base al principio del privilegio minimo (least privilege) con autenticazione forte.
B4. Crittografia
Crittografia in transito tramite TLS/HTTPS e a riposo (at rest) per sistemi e backup.
ALLEGATO C
SUBRESPONSABILI DEL TRATTAMENTO
Il Cliente concede un’autorizzazione generale a Eventboost per l’impiego di subresponsabili del trattamento. Un elenco aggiornato è disponibile su richiesta.
ALLEGATO D
TRASFERIMENTI INTERNAZIONALI
Eventboost garantisce che i trasferimenti siano conformi al GDPR, al GDPR del Regno Unito e alla legge svizzera mediante l’uso delle SCC dell’UE e di garanzie adeguate.
