Ultimo aggiornamento: 17 giugno 2026

Data Processing Agreement di Woomail

Il presente Data Processing Agreement o DPA disciplina il trattamento dei dati personali effettuato da Woomail per conto del Cliente nell’ambito dell’utilizzo della piattaforma SaaS Woomail.

Woomail è fornito da Web Marketing Aziendale, con sede legale in Via Galileo Galilei, 43, 25128 Brescia (BS), Italia, P. IVA 03467570986, e-mail support@woomail.it.

Il presente DPA integra i Termini e Condizioni di Woomail, la Privacy Policy, la Cookie Policy, la Policy di Utilizzo Accettabile e ogni eventuale ordine, piano o accordo commerciale applicabile. In caso di conflitto tra il presente DPA e i Termini e Condizioni in materia di trattamento dei dati personali per conto del Cliente, prevale il presente DPA limitatamente agli aspetti privacy regolati in modo specifico.

1. Parti del DPA

Ai fini del presente DPA:

  • Cliente: il soggetto che utilizza Woomail per trattare dati personali dei propri contatti, destinatari, clienti, lead, iscritti, utenti eCommerce o altri interessati. Il Cliente agisce di norma come titolare del trattamento.
  • Woomail o Web Marketing Aziendale: il soggetto che fornisce la piattaforma e tratta dati personali per conto del Cliente secondo le sue istruzioni documentate. Woomail agisce di norma come responsabile del trattamento per i dati gestiti dal Cliente tramite la piattaforma.
  • Interessati: le persone fisiche cui si riferiscono i dati personali trattati tramite Woomail, inclusi contatti, destinatari email, clienti finali, lead, iscritti, utenti eCommerce, utenti di siti web o altri soggetti gestiti dal Cliente.

Resta inteso che Woomail può agire come titolare autonomo per alcuni trattamenti propri, come gestione dell’account, fatturazione, sicurezza, prevenzione abusi, comunicazioni amministrative, assistenza, tutela dei diritti e adempimenti legali. Tali trattamenti sono disciplinati dalla Privacy Policy di Woomail.

2. Oggetto del DPA

Il presente DPA disciplina il trattamento dei dati personali effettuato da Woomail per conto del Cliente nell’ambito della fornitura del Servizio.

Il trattamento può includere, a titolo esemplificativo, la raccolta, registrazione, organizzazione, strutturazione, conservazione, consultazione, elaborazione, modifica, segmentazione, estrazione, trasmissione, comunicazione, cancellazione, anonimizzazione o altre operazioni necessarie per fornire Woomail.

Woomail tratta i dati personali per conto del Cliente esclusivamente nei limiti necessari a fornire, mantenere, proteggere e migliorare il Servizio, nonché per adempiere agli obblighi contrattuali e legali applicabili.

3. Durata del trattamento

Il trattamento dei dati personali da parte di Woomail per conto del Cliente ha durata pari alla durata del rapporto contrattuale tra le parti, inclusi eventuali periodi di prova, abbonamenti, rinnovi, sospensioni tecniche, periodi di conservazione post-chiusura e tempi necessari alla cancellazione o restituzione dei dati.

Dopo la cessazione del rapporto, Woomail potrà conservare alcuni dati per il tempo necessario a consentire esportazione, recupero, backup, adempimenti legali, fatturazione, sicurezza, gestione controversie, prevenzione abusi o tutela dei diritti, secondo quanto previsto dai Termini, dalla Privacy Policy e dal presente DPA.

4. Natura e finalità del trattamento

Woomail tratta i dati personali per le seguenti finalità, nei limiti delle istruzioni del Cliente e delle funzionalità del Servizio:

  • creazione e gestione di liste, contatti, segmenti, tag e preferenze;
  • creazione, programmazione, invio e monitoraggio di campagne email;
  • gestione di automazioni, workflow, trigger, eventi, sequenze e comunicazioni transazionali;
  • personalizzazione dei contenuti, campi dinamici, spintax e segmentazione;
  • raccolta e gestione di iscrizioni, disiscrizioni, opt-out, bounce, reclami e preferenze;
  • analisi di aperture, clic, conversioni, eventi, performance e report;
  • integrazioni con WordPress, WooCommerce, CRM, form, API, webhook e servizi terzi collegati dal Cliente;
  • supporto tecnico, manutenzione, troubleshooting, sicurezza e prevenzione abusi;
  • funzionalità AI, ove attivate e configurate dal Cliente, nei limiti delle impostazioni disponibili e delle istruzioni applicabili.

5. Tipologie di dati personali trattati

Le categorie di dati personali trattati tramite Woomail possono includere, a seconda dell’uso effettuato dal Cliente:

  • nome, cognome, indirizzo email, numero di telefono, azienda, ruolo, lingua, paese, città o altri dati identificativi e di contatto;
  • dati relativi a iscrizioni, consensi, fonti di acquisizione, preferenze, tag, segmenti, campi personalizzati e note;
  • dati relativi a campagne email, aperture, clic, bounce, disiscrizioni, reclami, conversioni, eventi e interazioni;
  • dati relativi a clienti eCommerce, ordini, prodotti acquistati, carrelli, coupon, valore acquisti, cronologia commerciale e comportamenti di acquisto, se sincronizzati dal Cliente;
  • dati tecnici come indirizzi IP, user agent, log, timestamp, URL, referrer, identificativi tecnici, eventi di tracciamento e dati di sessione;
  • contenuti caricati dal Cliente, inclusi template, testi, immagini, prompt, istruzioni, automazioni e comunicazioni;
  • altri dati personali caricati, importati, generati o sincronizzati dal Cliente tramite la piattaforma.

Il Cliente deve evitare di caricare dati non necessari, eccedenti, illeciti o non coerenti con le finalità perseguite.

6. Categorie di interessati

Gli interessati i cui dati possono essere trattati tramite Woomail includono, a titolo esemplificativo:

  • iscritti a newsletter;
  • lead e prospect;
  • clienti finali del Cliente;
  • utenti e visitatori di siti web o eCommerce;
  • destinatari di campagne marketing, transazionali o informative;
  • contatti commerciali B2B;
  • utenti raccolti tramite form, landing page, eventi, webinar, contenuti scaricabili o integrazioni;
  • altri soggetti inseriti o sincronizzati dal Cliente.

7. Istruzioni documentate del Cliente

Woomail tratta i dati personali per conto del Cliente solo sulla base delle istruzioni documentate del Cliente, salvo che sia tenuta a farlo per obblighi di legge applicabili.

Costituiscono istruzioni documentate del Cliente:

  • le configurazioni effettuate nella piattaforma;
  • le liste, campagne, automazioni, segmenti, integrazioni e impostazioni attivate dal Cliente;
  • i Termini e Condizioni, il presente DPA, la Privacy Policy e la documentazione tecnica;
  • le richieste inviate dal Cliente al supporto Woomail;
  • eventuali accordi scritti o ordini sottoscritti tra le parti.

Il Cliente è responsabile della liceità delle istruzioni impartite a Woomail. Woomail può informare il Cliente qualora ritenga che un’istruzione possa violare la normativa applicabile, salvo divieti di legge o esigenze di sicurezza.

8. Obblighi del Cliente

Il Cliente, in qualità di titolare del trattamento, è responsabile di:

  • determinare finalità e mezzi del trattamento dei dati personali gestiti tramite Woomail;
  • garantire la presenza di una base giuridica valida per ogni trattamento;
  • fornire informative privacy chiare, complete e aggiornate agli interessati;
  • raccogliere e documentare consensi validi quando necessari;
  • gestire richieste degli interessati relative ad accesso, rettifica, cancellazione, opposizione, limitazione e portabilità;
  • rispettare norme su newsletter, marketing diretto, comunicazioni elettroniche, profilazione e segmentazione;
  • configurare correttamente liste, segmenti, automazioni, campi personalizzati, preferenze, disiscrizioni e integrazioni;
  • non caricare dati particolari, sensibili, giudiziari, sanitari o ad alto rischio senza adeguata base giuridica e senza accordo specifico, ove necessario;
  • valutare l’idoneità del Servizio rispetto alle proprie esigenze normative, tecniche e organizzative.

9. Obblighi di Woomail come responsabile del trattamento

Woomail si impegna a:

  • trattare i dati personali per conto del Cliente secondo le istruzioni documentate;
  • adottare misure tecniche e organizzative ragionevoli per proteggere i dati personali trattati;
  • garantire che le persone autorizzate al trattamento siano soggette a obblighi di riservatezza;
  • assistere ragionevolmente il Cliente, nei limiti del Servizio, nella gestione di richieste degli interessati;
  • assistere ragionevolmente il Cliente, ove applicabile, in relazione a sicurezza, violazioni dei dati personali, valutazioni d’impatto e consultazioni preventive;
  • mettere a disposizione informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi previsti dal presente DPA;
  • informare il Cliente di violazioni dei dati personali nei casi e nei tempi previsti dal presente DPA;
  • cancellare o restituire i dati personali al termine del rapporto, salvo obblighi di conservazione o necessità tecniche previste dal presente DPA, dai Termini o dalla legge.

10. Riservatezza e autorizzazioni interne

Woomail garantisce che il personale, i collaboratori o i soggetti autorizzati ad accedere ai dati personali trattati per conto del Cliente siano vincolati da obblighi di riservatezza o da adeguati obblighi contrattuali o professionali.

L’accesso ai dati personali è limitato ai soggetti che ne hanno necessità per finalità di supporto, manutenzione, sicurezza, gestione tecnica, amministrazione del Servizio o adempimento degli obblighi contrattuali e legali.

11. Misure tecniche e organizzative

Woomail adotta misure tecniche e organizzative ragionevoli e proporzionate al rischio per proteggere i dati personali trattati tramite la piattaforma.

Tali misure possono includere, in base allo stato tecnico della piattaforma e alle funzionalità disponibili:

  • controlli di accesso e gestione delle autorizzazioni;
  • autenticazione tramite credenziali personali;
  • limitazione degli accessi amministrativi;
  • backup e procedure di ripristino;
  • log tecnici e monitoraggio di eventi rilevanti;
  • aggiornamenti software e manutenzione tecnica;
  • misure per proteggere infrastruttura, applicazione e dati da accessi non autorizzati;
  • procedure interne per gestione di incidenti e anomalie;
  • separazione logica dei dati tra account, nei limiti dell’architettura del Servizio;
  • protezione di API key, credenziali e configurazioni sensibili secondo le misure disponibili.

Il Cliente riconosce che nessun sistema può essere considerato completamente sicuro o immune da vulnerabilità, errori, interruzioni o accessi non autorizzati.

12. Sub-responsabili

Il Cliente autorizza Woomail a ricorrere a sub-responsabili del trattamento per fornire, mantenere, proteggere e migliorare il Servizio.

I sub-responsabili possono includere, a titolo esemplificativo, fornitori di hosting, infrastruttura cloud, email delivery, SMTP, analytics, pagamento, supporto, monitoraggio, sicurezza, backup, intelligenza artificiale, verifica tecnica, manutenzione applicativa e altri servizi necessari al funzionamento di Woomail.

Woomail si impegna a utilizzare sub-responsabili che offrano garanzie ragionevoli in materia di protezione dei dati personali e a imporre loro obblighi coerenti con il presente DPA per quanto riguarda i trattamenti effettuati per conto del Cliente.

Woomail può aggiornare l’elenco dei sub-responsabili nel tempo. Il Cliente può richiedere informazioni sui sub-responsabili rilevanti scrivendo a support@woomail.it.

Se il Cliente si oppone ragionevolmente all’uso di un nuovo sub-responsabile per motivi legati alla protezione dei dati personali, dovrà comunicarlo a Woomail. Le parti cercheranno una soluzione ragionevole; se non possibile, il Cliente potrà cessare l’utilizzo delle funzionalità interessate o disdire il Servizio secondo i Termini applicabili.

13. Trasferimenti internazionali

Woomail può trattare o far trattare dati personali all’interno dello Spazio Economico Europeo o in altri paesi, anche tramite sub-responsabili, nella misura necessaria a fornire il Servizio.

Quando il trattamento comporta trasferimenti di dati personali verso paesi terzi non oggetto di decisione di adeguatezza, Woomail si impegna ad adottare, ove richiesto, strumenti di trasferimento riconosciuti dalla normativa applicabile, come clausole contrattuali standard, misure supplementari o altri meccanismi validi.

Il Cliente è responsabile di valutare se l’uso del Servizio e dei sub-responsabili sia compatibile con le proprie esigenze, obblighi settoriali e valutazioni interne sui trasferimenti.

14. Richieste degli interessati

Il Cliente è responsabile della gestione delle richieste esercitate dagli interessati, inclusi accesso, rettifica, cancellazione, opposizione, limitazione, portabilità e revoca del consenso.

Woomail fornisce, nei limiti delle funzionalità disponibili, strumenti che possono aiutare il Cliente a gestire disiscrizioni, preferenze, soppressioni, cancellazioni, esportazioni e aggiornamenti dei dati.

Qualora Woomail riceva direttamente una richiesta relativa a dati trattati per conto del Cliente, potrà indirizzare l’interessato al Cliente o informare il Cliente, salvo obblighi di legge diversi.

Il supporto aggiuntivo richiesto dal Cliente per gestire richieste complesse, massive o non eseguibili tramite le funzionalità standard potrà essere soggetto a limiti tecnici, tempi ragionevoli o costi aggiuntivi, ove previsti.

15. Violazioni dei dati personali

Woomail informerà il Cliente senza ingiustificato ritardo dopo essere venuta a conoscenza di una violazione dei dati personali che riguardi dati trattati per conto del Cliente, nei limiti in cui tale comunicazione sia richiesta dalla normativa applicabile.

La comunicazione potrà includere, ove disponibili e ragionevolmente accertate, informazioni sulla natura della violazione, le categorie e il numero approssimativo di interessati coinvolti, le categorie e il numero approssimativo di dati interessati, le probabili conseguenze, le misure adottate o proposte e i contatti utili per approfondimenti.

Il Cliente resta responsabile di valutare se notificare la violazione all’autorità di controllo o comunicarla agli interessati, salvo i casi in cui Woomail sia tenuta ad adempiere direttamente a obblighi propri.

16. Assistenza per DPIA e consultazione preventiva

Tenendo conto della natura del trattamento e delle informazioni a disposizione, Woomail fornirà assistenza ragionevole al Cliente, ove applicabile, per valutazioni d’impatto sulla protezione dei dati e consultazioni preventive con l’autorità di controllo, nei limiti in cui tali attività riguardino il trattamento effettuato tramite Woomail.

Il Cliente resta responsabile di determinare se una DPIA o consultazione preventiva sia necessaria rispetto alle proprie finalità, basi giuridiche, categorie di dati, categorie di interessati, automazioni, profilazione, integrazioni e rischi specifici.

17. Audit e informazioni

Woomail mette a disposizione del Cliente informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi previsti dal presente DPA, nei limiti della natura del Servizio, della sicurezza della piattaforma, della riservatezza, dei diritti di altri clienti e della protezione dei sistemi.

Eventuali audit richiesti dal Cliente dovranno essere concordati preventivamente per iscritto, limitati a quanto strettamente necessario, svolti durante orari lavorativi, senza interferire con la sicurezza o la continuità del Servizio e nel rispetto della riservatezza di Woomail e degli altri clienti.

Woomail può soddisfare richieste di verifica anche tramite documentazione, risposte scritte, report, certificazioni eventualmente disponibili o informazioni sulle misure tecniche e organizzative adottate.

18. Cancellazione e restituzione dei dati

Alla cessazione del rapporto contrattuale, il Cliente è responsabile dell’esportazione dei dati che desidera conservare tramite le funzionalità disponibili nella piattaforma.

Su richiesta del Cliente e nei limiti tecnici disponibili, Woomail potrà assistere nell’esportazione o cancellazione dei dati personali trattati per conto del Cliente.

Dopo la chiusura dell’account o la cessazione del Servizio, Woomail potrà cancellare, anonimizzare o rendere inaccessibili i dati secondo le proprie procedure di conservazione, salvo obblighi di legge, esigenze di sicurezza, backup, fatturazione, gestione controversie, prevenzione abusi o tutela dei diritti.

I dati presenti in backup tecnici potranno essere conservati per un periodo limitato e cancellati secondo i normali cicli di rotazione, salvo necessità di ripristino, sicurezza o obblighi legali.

19. Dati particolari e trattamenti ad alto rischio

Salvo accordo scritto specifico, il Cliente non deve utilizzare Woomail per trattare categorie particolari di dati personali, dati relativi alla salute, dati biometrici, dati genetici, dati giudiziari, dati di minori, dati finanziari sensibili, credenziali, documenti di identità o altre informazioni ad alto rischio non necessarie alle ordinarie finalità di email marketing e automazione.

Se il Cliente intende trattare dati particolari, dati sensibili o dati ad alto rischio, deve verificare preventivamente la liceità del trattamento, adottare misure supplementari, valutare l’idoneità della piattaforma e richiedere eventuali accordi specifici prima di utilizzare Woomail per tali finalità.

20. Funzionalità AI e perimetro dati

Quando il Cliente utilizza funzionalità AI, Woomail può trattare dati, prompt, istruzioni, contenuti, segmenti, insight o altre informazioni necessarie a generare output, suggerimenti, analisi o raccomandazioni.

Il Cliente è responsabile di non inserire nelle funzionalità AI dati personali, dati particolari, dati sensibili, segreti commerciali, credenziali, dati di pagamento o informazioni riservate non necessarie, salvo che ciò sia consentito dalla normativa applicabile e dagli accordi in essere.

Ove disponibili impostazioni di perimetro dati AI, esclusione liste, limitazione fonti o controllo dei dati analizzati, il Cliente deve configurarle correttamente e verificarne la coerenza con le proprie policy interne e con gli obblighi privacy applicabili.

Alcune funzionalità AI possono coinvolgere provider esterni che agiscono come sub-responsabili o fornitori tecnici, secondo quanto indicato dalla documentazione, dalla Privacy Policy o dall’elenco sub-responsabili disponibile.

21. Trattamento di dati aggregati o anonimizzati

Woomail può trattare dati aggregati o anonimizzati per finalità statistiche, sicurezza, miglioramento del Servizio, analisi delle prestazioni, prevenzione abusi, monitoraggio della deliverability, sviluppo di funzionalità e ottimizzazione della piattaforma.

Tali dati non devono identificare direttamente il Cliente, gli Utenti o gli Interessati.

22. Responsabilità

Ciascuna parte è responsabile del rispetto degli obblighi privacy applicabili al proprio ruolo.

Il Cliente resta responsabile della liceità dei dati caricati, delle basi giuridiche, delle informative, dei consensi, delle finalità di trattamento, delle campagne, delle automazioni, delle integrazioni e delle istruzioni impartite a Woomail.

Woomail è responsabile del trattamento svolto per conto del Cliente nei limiti degli obblighi previsti dal presente DPA, dai Termini e dalla normativa applicabile.

Le limitazioni di responsabilità previste dai Termini e Condizioni si applicano anche al presente DPA, nei limiti consentiti dalla legge.

23. Modifiche al DPA

Woomail può aggiornare il presente DPA per riflettere modifiche normative, tecniche, organizzative, infrastrutturali, commerciali o relative ai sub-responsabili.

In caso di modifiche rilevanti, Woomail potrà informare il Cliente tramite email, dashboard o pubblicazione sul sito. L’utilizzo continuato del Servizio dopo l’entrata in vigore delle modifiche comporta accettazione del DPA aggiornato.

24. Contatti privacy

Per domande sul presente DPA, richieste relative al trattamento dei dati personali, sub-responsabili, sicurezza o documentazione privacy, è possibile contattare Woomail all’indirizzo support@woomail.it.

  • Fornitore: Web Marketing Aziendale
  • Sede legale: Via Galileo Galilei, 43, 25128 Brescia (BS), Italia
  • P. IVA: 03467570986
  • Email: support@woomail.it

Allegato 1 – Dettagli del trattamento

A. Oggetto del trattamento

Fornitura della piattaforma Woomail per email marketing, marketing automation, segmentazione, integrazioni, gestione contatti, report, deliverability, supporto tecnico e funzionalità AI ove disponibili.

B. Durata del trattamento

Per tutta la durata del rapporto contrattuale tra Cliente e Woomail, inclusi periodi di conservazione post-chiusura necessari per esportazione, backup, sicurezza, obblighi legali, fatturazione, prevenzione abusi e gestione controversie.

C. Natura del trattamento

Raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modifica, segmentazione, invio, tracciamento, comunicazione, esportazione, cancellazione e altre operazioni necessarie alla fornitura del Servizio.

D. Finalità del trattamento

Gestione di contatti, liste, campagne, automazioni, comunicazioni email, preferenze, disiscrizioni, report, integrazioni, supporto, sicurezza, prevenzione abusi, deliverability e funzionalità AI ove attivate dal Cliente.

E. Categorie di interessati

Iscritti, lead, prospect, clienti finali, utenti eCommerce, destinatari email, utenti di siti web, contatti commerciali, partecipanti a eventi, compilatori di form e altri soggetti gestiti dal Cliente tramite Woomail.

F. Categorie di dati personali

Dati identificativi, dati di contatto, dati commerciali, preferenze, consensi, dati di interazione email, dati tecnici, dati eCommerce, dati comportamentali, tag, segmenti, campi personalizzati, contenuti e altri dati caricati o sincronizzati dal Cliente.

Allegato 2 – Misure tecniche e organizzative

Woomail adotta misure tecniche e organizzative ragionevoli, che possono includere:

  • controlli di accesso agli account;
  • credenziali personali per gli utenti;
  • limitazione degli accessi amministrativi;
  • gestione dei permessi e degli utenti autorizzati;
  • backup e procedure di ripristino;
  • log tecnici e monitoraggio;
  • aggiornamenti e manutenzione del software;
  • misure di protezione dell’infrastruttura applicativa;
  • procedure per gestione di incidenti e anomalie;
  • misure per ridurre rischi di abuso, spam, accessi non autorizzati e compromissioni;
  • riservatezza per personale e collaboratori autorizzati;
  • controlli sulle integrazioni, API key, domini di invio e configurazioni tecniche nei limiti delle funzionalità disponibili.

Le misure possono essere aggiornate nel tempo in base all’evoluzione tecnica, normativa, organizzativa e infrastrutturale del Servizio.