DPA Maggio 2026

2.1. Ai fini del presente DPA, e secondo le definizioni del GDPR, MyScript agisce come Responsabile del trattamento e l’Utente agisce come Titolare del trattamento.

2.2. Il Responsabile del trattamento deve:

• rispettare tutte le Leggi sulla protezione dei dati applicabili nel Trattamento dei Dati personali dell’Utente, e
• non trattare i Dati personali dell'Utente se non in base a istruzioni documentate dell'Utente.

2.2. Con il presente documento l’Utente istruisce il Responsabile del trattamento a trattare i Dati personali dell’Utente al fine di fornire i Servizi.

Il Responsabile del trattamento adotta misure ragionevoli per garantire l'affidabilità di qualsiasi dipendente, agente o appaltatore del Responsabile del trattamento che possa avere accesso ai Dati personali dell'Utente, assicurando in ogni caso che l'accesso sia strettamente limitato alle persone che hanno bisogno di accedere ai Dati personali dell'Utente in questione per la fornitura dei Servizi o per svolgere il proprio ruolo all'interno dell'organizzazione del Responsabile del trattamento, e per rispettare le leggi applicabili nell'ambito dei doveri di tale persona nei confronti del Responsabile del trattamento, assicurando che tutte le suddette persone siano soggette a impegni di riservatezza o a obblighi professionali o legali di riservatezza.

4.1. Responsabilità del Responsabile del trattamento in materia di sicurezza

4.1.1. Tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, dell’ambito, del contesto e delle finalità del Trattamento, nonché del rischio di probabilità e gravità variabili per i diritti e le libertà delle persone fisiche, il Responsabile del trattamento implementa, in relazione ai Dati personali dell’Utente, misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato a tale rischio, comprese, ove appropriato, le misure di cui all’articolo 32(1) del GDPR.

4.1.2. Nel valutare il livello di sicurezza appropriato, il Responsabile del trattamento deve tenere conto, in particolare, dei rischi derivanti dal Trattamento, in particolare da una Violazione dei dati personali.

4.1.3. Le misure di sicurezza del Responsabile del trattamento sono ulteriormente dettagliate nell’Allegato 2 del presente DPA.

4.2. Le responsabilità dell'Utente in materia di sicurezza

L’Utente accetta che, fatti salvi gli obblighi del Responsabile del trattamento ai sensi della Sezione 4.1 (Misure di sicurezza) e della Sezione 7 (Violazione dei dati personali):

4.2.1. L’Utente è l’unico responsabile dell’utilizzo del Servizio, inclusi (i) assicurarsi di aver ottenuto tutte le autorizzazioni necessarie da qualsiasi persona fisica i cui Dati personali siano trattati tramite il Servizio, e (ii) mantenere al sicuro tutte le proprie credenziali di accesso e password e modificarle regolarmente.

4.2.2. Il Responsabile del trattamento non ha alcun obbligo di proteggere i Dati personali dell’Utente che l’Utente decide di conservare o trasferire al di fuori dei sistemi del Responsabile del trattamento (o dei Sub-responsabili).

4.2.3. L’Utente è l’unico responsabile di esaminare le misure di sicurezza e valutare autonomamente se il Servizio, le misure di sicurezza, le informazioni aggiuntive sulla sicurezza e gli impegni del Responsabile del trattamento ai sensi della presente Sezione 4 (Sicurezza dei dati) soddisfino le proprie esigenze, anche in relazione agli obblighi di sicurezza previsti dalle leggi sulla protezione dei dati applicabili nella propria giurisdizione.

5.1. Il Responsabile del trattamento non trasferisce i Dati personali dell’Utente a terzi e non nomina (né divulga Dati personali dell’Utente a) alcun Sub-responsabile, salvo ove richiesto o autorizzato dall’Utente.

5.2. Con il presente documento l’Utente autorizza i Sub-responsabili elencati nell’Allegato 1 del presente DPA a ricevere e trattare i Dati personali dell’Utente nella misura necessaria per la fornitura dei Servizi. Il Responsabile del trattamento informerà l’Utente di qualsiasi modifica all’Allegato 1 prima del Trattamento di qualsiasi Dato personale dell’Utente da parte di un nuovo Sub-responsabile e l’Utente potrà cessare l’utilizzo dei Servizi.

5.3. Il Responsabile del trattamento è responsabile degli atti e delle omissioni dei propri Sub-responsabili nella stessa misura in cui sarebbe responsabile se eseguisse direttamente i servizi di ciascun Sub-responsabile ai sensi del presente DPA e delle Note legali e Termini di utilizzo.

6.1. Tenendo conto della natura del Trattamento, il Responsabile del trattamento assisterà l’Utente implementando misure tecniche e organizzative adeguate, nei limiti del possibile, per l’adempimento degli obblighi dell’Utente, come ragionevolmente inteso dal Responsabile del trattamento, di rispondere alle richieste di esercizio dei diritti dell’Interessato ai sensi delle Leggi sulla protezione dei dati, ovvero diritto di accesso, diritto di rettifica, limitazione del Trattamento, cancellazione, portabilità dei dati, opposizione al Trattamento o diritto di non essere soggetto a decisioni individuali automatizzate (di seguito “Richiesta dell’Interessato”).

6.2. Il Responsabile del trattamento deve:

• informare tempestivamente l’Utente qualora riceva una richiesta da parte di un Interessato ai sensi di qualsiasi Legge sulla protezione dei dati in relazione ai Dati personali dell’Utente, e
• assicurarsi di non rispondere a tale richiesta se non su istruzioni documentate dell'Utente o come richiesto dalle leggi applicabili a cui il Responsabile del trattamento è soggetto, nel qual caso il Responsabile del trattamento deve, nella misura consentita dalle leggi applicabili, informare l'Utente di tale requisito legale prima che il Responsabile del trattamento risponda alla richiesta.

6.3. Tenendo conto della natura del Trattamento, il Responsabile del trattamento assisterà l’Utente mediante misure tecniche e organizzative adeguate, nei limiti del possibile, per l’adempimento dell’obbligo dell’Utente di rispondere a una Richiesta dell’Interessato ai sensi delle Leggi europee sulla protezione dei dati. Inoltre, nella misura in cui l’Utente, nell’utilizzo del Servizio, non abbia la capacità di gestire una Richiesta dell’Interessato, il Responsabile del trattamento, su richiesta scritta dell’Utente, fornirà una cooperazione e assistenza ragionevoli per facilitare la risposta dell’Utente a tale Richiesta dell’Interessato, nella misura in cui il Responsabile del trattamento sia legalmente autorizzato a farlo e la risposta a tale richiesta sia richiesta dalle Leggi europee sulla protezione dei dati. Nella misura consentita dalla legge, l’Utente sarà responsabile di eventuali costi derivanti dalla fornitura di tale assistenza da parte del Responsabile del trattamento.

7.1. Il Responsabile del trattamento notificherà all’Utente e all’Autorità di controllo competente senza indebito ritardo quando venga a conoscenza di una Violazione dei dati personali che riguardi i Dati personali dell’Utente, fornendo informazioni sufficienti per consentire all’Utente di adempiere a eventuali obblighi di segnalazione o informazione degli Interessati ai sensi delle Leggi sulla protezione dei dati.

7.2. Il Responsabile del trattamento collaborerà con l’Utente e adotterà misure commerciali ragionevoli come da istruzioni dell’Utente per assistere nell’indagine, mitigazione e risoluzione di ciascuna Violazione dei dati personali.

7.3. Le notifiche di qualsiasi Violazione dei dati personali saranno inviate all’Utente tramite comunicazione diretta. L’Utente è l’unico responsabile di garantire che qualsiasi informazione di contatto, incluso l’indirizzo e-mail per le notifiche, fornita al Responsabile del trattamento sia aggiornata e valida.

7.4. Il Responsabile del trattamento non valuterà il contenuto dei Dati personali dell’Utente al fine di identificare informazioni soggette a specifici requisiti legali. L’Utente è l’unico responsabile del rispetto delle leggi applicabili in materia di notifica degli incidenti e dell’adempimento di eventuali obblighi di notifica verso terzi relativi a qualsiasi Violazione dei dati personali.

7.5. La notifica o la risposta del Responsabile del trattamento a una Violazione dei dati personali ai sensi della presente Sezione 7.1 (Violazione dei dati personali) non sarà interpretata come un’ammissione di colpa o responsabilità da parte del Responsabile del trattamento.

Il Responsabile del trattamento fornirà all’Utente un’assistenza ragionevole per eventuali valutazioni d’impatto sulla protezione dei dati e consultazioni preventive con le autorità di controllo o altre autorità competenti in materia di protezione dei dati, che l’Utente ritenga ragionevolmente necessarie ai sensi degli articoli 35 o 36 del GDPR o disposizioni equivalenti di qualsiasi altra Legge sulla protezione dei dati, in ogni caso esclusivamente in relazione al Trattamento dei Dati personali dell’Utente da parte del Responsabile del trattamento e tenendo conto della natura del Trattamento e delle informazioni disponibili al Responsabile del trattamento.

9.1. Su richiesta espressa dell’Utente o a seguito della cancellazione del proprio account da parte dell’Utente, il Responsabile del trattamento cancellerà i Dati personali dell’Utente che sono stati o sono trattati dal Responsabile del trattamento. La cancellazione è definitiva e il Responsabile del trattamento non conserverà alcuna copia di tali Dati personali dell’Utente.

9.2. Alla cessazione dei Servizi, il Responsabile del trattamento cancellerà prontamente, e in ogni caso entro 12 mesi dalla data di cessazione di qualsiasi Servizio che comporti il Trattamento dei Dati personali dell’Utente, e farà cancellare tutte le copie (se presenti) di tali Dati personali dell’Utente trasferiti al Responsabile del trattamento (o a eventuali Sub-responsabili) durante la fornitura del Servizio.

10.1. Il Responsabile del trattamento effettuerà audit regolari e garantirà che tutti i Sub-responsabili facciano lo stesso, al fine di assicurare la conformità al presente DPA e ai loro obblighi ai sensi delle Leggi sulla protezione dei dati applicabili.

10.2. Fatta salva la presente Sezione 10, il Responsabile del trattamento metterà a disposizione dell’Utente, su richiesta e previa adeguata tutela della riservatezza, tutte le informazioni necessarie a dimostrare la conformità al presente DPA in relazione al Trattamento dei Dati personali dell’Utente da parte del Responsabile del trattamento e/o dei Sub-responsabili.

10.3. L’Utente può richiedere di effettuare qualsiasi audit, comprese ispezioni, che ha il diritto di richiedere o incaricare per proprio conto e, quando agisce come Responsabile del trattamento, per conto dei propri titolari, ai sensi delle Leggi sulla protezione dei dati applicabili, incaricando il Responsabile del trattamento di eseguire l’audit descritto nella Sezione 10.1.

10.4. Se l’Utente desidera modificare tali istruzioni relative all’audit, ha il diritto di richiedere una modifica inviando una comunicazione scritta al Responsabile del trattamento all’indirizzo legal@myscript.com. Se il Responsabile del trattamento rifiuta di seguire qualsiasi richiesta e/o istruzione dell’Utente relativa agli audit, incluse le ispezioni, l’Utente ha il diritto di terminare immediatamente i Servizi.

11.1. Il Responsabile del trattamento non può trasferire né autorizzare il trasferimento di Dati personali dell’Utente verso paesi al di fuori dell’UE e/o del SEE senza il previo consenso scritto dell’Utente. Se i Dati personali trattati ai sensi del presente DPA vengono trasferiti da un paese all’interno dello Spazio economico europeo a un paese al di fuori dello Spazio economico europeo, le Parti garantiranno che i Dati personali dell’Utente siano adeguatamente protetti. A tal fine, salvo diverso accordo, le Parti faranno affidamento sulle decisioni di adeguatezza dell’UE per i paesi non UE e/o sulle clausole contrattuali standard approvate dall’UE per il trasferimento dei Dati personali.

11.2. L’elenco dei Sub-responsabili che ricevono Dati personali dell’Utente, nonché i paesi in cui hanno sede, è fornito nell’Allegato 1 del presente DPA. Ai fini della Sezione 11.1 sopra, l’Utente acconsente al trasferimento dei Dati personali dell’Utente ai Sub-responsabili elencati nell’Allegato 1.

12.1. Durata

Il presente DPA entra in vigore con l’accettazione delle Note legali e dei Termini di utilizzo e rimarrà in vigore per tutto il tempo in cui il Responsabile del trattamento fornisce i Servizi all’Utente.

12.2. Avvisi

Tutti gli avvisi e le comunicazioni forniti ai sensi del presente DPA devono essere in forma scritta e inviati tramite e-mail all’indirizzo utilizzato per creare un account MyScript nel caso in cui MyScript contatti l’Utente, e devono essere inviati a legal@myscript.com nel caso in cui l’Utente desideri notificare MyScript.

12.3. Legge e giurisdizione

Il presente DPA è disciplinato dalle leggi francesi, escluse le norme sui conflitti di legge. Qualsiasi controversia derivante da o in relazione al presente DPA, che le Parti non siano in grado di risolvere amichevolmente, sarà sottoposta alla giurisdizione esclusiva dei tribunali o delle autorità francesi competenti.

12.4. Separabilità

Qualora una disposizione del presente DPA sia invalida o inapplicabile, le restanti disposizioni rimarranno valide ed efficaci. La disposizione invalida o inapplicabile sarà (i) modificata nella misura necessaria per garantirne la validità ed efficacia, preservando il più possibile le intenzioni delle Parti oppure, se ciò non è possibile, (ii) interpretata come se la parte invalida o inapplicabile non fosse mai stata inclusa.

12.5. Autorità di vigilanza competente

L’Autorità di controllo competente da contattare in caso di reclamo, lamentela o richiesta è la Commission Nationale des Informations et des Libertés (CNIL) ed è contattabile tramite questa pagina (in francese).

13.1. Allegato 1 - Elenco dei Sub-responsabili

Funzionalità cloud delle app MyScript

Sub-responsabile: AWS, fornitore di infrastrutture cloud con sede nell’Unione Europea.

Sub-responsabile: Freshdesk (Freshworks), fornitore di servizi di gestione delle richieste di supporto che possono includere il trasferimento di file (Contenuti), con sede nell’Unione Europea.

Sub-responsabile: Brevo, fornitore di servizi di mailing con sede nell’Unione Europea.

Riconoscimento MyScript Cloud tramite il portale sviluppatori

Sub-responsabile: AWS, fornitore di infrastrutture cloud con sede in Oregon, USA (SCC in vigore).

Sub-responsabile: Brevo, fornitore di servizi di mailing con sede nell’Unione Europea.

13.2. Allegato 2 - Misure di sicurezza

Il Responsabile del trattamento implementerà e manterrà le seguenti misure di sicurezza tecniche e organizzative quando tratterà i Dati personali dell'Utente per conto dell'Utente:

Controlli di accesso fisico

Il Responsabile del trattamento adotta misure ragionevoli per impedire l'accesso fisico, come edifici e sale server protetti, per impedire a persone non autorizzate di accedere ai Dati personali dell'Utente, o garantire che i Sub-responsabili che gestiscono centri dati per suo conto aderiscano a tali controlli.

Controlli di accesso al sistema

Il Responsabile del trattamento adotterà misure ragionevoli per prevenire l’uso non autorizzato dei Dati personali dell’Utente. Tali controlli variano in base alla natura del Trattamento effettuato e possono includere, tra gli altri, autenticazione tramite password, combinata con autenticazione a più fattori ove applicabile, processi di autorizzazione documentati, firewall, processi documentati di gestione delle modifiche e/o registrazione degli accessi a più livelli e aggiornamenti automatici di sicurezza.

Controlli di accesso ai dati

Il Responsabile del trattamento adotta misure ragionevoli per garantire che i Dati personali dell'Utente siano accessibili e gestibili solo da personale debitamente autorizzato, che l'accesso diretto alle consultazioni del database sia limitato e che i diritti di accesso alle applicazioni siano stabiliti e applicati in modo da garantire che le persone autorizzate a utilizzare un sistema di trattamento dei dati abbiano accesso solo ai Dati personali dell'Utente per i quali hanno privilegi di accesso, e che i Dati personali dell'Utente non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento.

Controlli di trasmissione

Il Responsabile del trattamento adotterà misure ragionevoli per garantire che sia possibile verificare e stabilire a quali entità è previsto il trasferimento dei Dati personali dell’Utente tramite sistemi di trasmissione dati, in modo che i Dati personali dell’Utente non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante la trasmissione elettronica o il trasporto. Tali misure includono l’utilizzo di connessioni server sicure certificate e la limitazione della condivisione di risorse tra origini diverse su tutte le API.

Controlli di inserimento

Il Responsabile del trattamento adotterà misure ragionevoli per garantire che sia possibile verificare e stabilire se i metadati siano stati inseriti nei sistemi di trattamento dei dati, modificati o rimossi. Il Responsabile del trattamento utilizzerà le migliori pratiche del settore, inclusi protocolli crittografici per l’autenticazione e registri di audit sicuri.

Backup dei dati

I backup dei database del Servizio vengono eseguiti regolarmente, sono protetti e crittografati a riposo per garantire che i Dati personali dell’Utente siano protetti contro distruzione o perdita accidentale. Vengono effettuate istantanee ogni 12 ore (AWS). Il backup crittografato viene eseguito ogni tre giorni sui nostri server.

13.3. Allegato 3 - Descrizione delle attività di trattamento

Nome: MyScript SAS

Indirizzo: 3 rue de la Rainière, 44339 Nantes Cedex 3, Francia

Nome, posizione e contatti della persona di riferimento: Emilie Fowell, DPO, legal@myscript.com

Attività rilevanti rispetto ai dati trasferiti: Erogazione dei Servizi

Ruolo (titolare/responsabile del trattamento): Responsabile del trattamento

13.3.1. Funzionalità cloud delle app MyScript

a. Categorie di interessati i cui dati personali sono trasferiti

L'utente può inviare ai Servizi i Suoi Dati personali, la cui entità è determinata e controllata esclusivamente dall'Utente.

b. Categorie di dati personali trasferiti

Dati personali dell’Utente non strutturati contenuti nei contenuti di MyScript Notes o MyScript Math inviati dall’Utente al Responsabile del trattamento tramite il Servizio per la condivisione con MyScript o per l’archiviazione tramite le funzionalità cloud delle app MyScript.

c. Categorie speciali di dati

MyScript non raccoglie categorie speciali di dati (come origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici o biometrici, salute e vita sessuale). Tuttavia, il contenuto dei Dati personali dell’Utente non strutturati, come descritto sopra, non è noto a MyScript.

d. Frequenza del trasferimento

I Dati personali dell'Utente non strutturati vengono trasferiti ai nostri Sub-responsabili del trattamento elencati nell'Allegato 1 e in forma continua a seconda della frequenza di utilizzo del Servizio da parte dell'Utente.

e. Natura del Trattamento

La natura del trattamento è la prestazione dei Servizi.

f. Scopo/i del trasferimento dei dati e del successivo Trattamento

MyScript tratterà i Dati personali dell'Utente nella misura necessaria per prestare i Servizi richiesti dall'Utente.

g. Periodo di conservazione dei dati personali o, se non possibile, criteri utilizzati per determinarlo

I Dati personali dell’Utente non strutturati sono trasferiti ai server del Responsabile del trattamento per tutto il tempo in cui l’Utente decide di archiviare o condividere tali dati tramite le funzionalità cloud delle app MyScript. Se l’Utente elimina il proprio account MyScript, tutti i Dati personali dell’Utente vengono automaticamente eliminati da tutti i punti di archiviazione.

h. Per trasferimenti a (Sub-) responsabili del Trattamento, specificare anche oggetto, natura e durata del Trattamento

Il Sub-responsabile tratterà i Dati personali dell’Utente nella misura necessaria per fornire i Servizi. Il Sub-responsabile tratterà i Dati personali dell’Utente per tutto il tempo in cui l’Utente dispone di un account MyScript, salvo diverso accordo scritto o richiesta di cancellazione anticipata dei Dati personali dell’Utente. Le identità dei Sub-responsabili utilizzati per la fornitura dei Servizi e i rispettivi paesi di ubicazione sono elencati nell’Allegato 1 del presente DPA.

13.3.2. Riconoscimento MyScript Cloud tramite il portale sviluppatori

a. Categorie di interessati i cui dati personali sono trasferiti

L'utente può inviare ai Servizi i Suoi Dati personali, la cui entità è determinata e controllata esclusivamente dall'Utente.

b. Categorie di dati personali trasferiti

• Dati personali dell'Utente non strutturati contenuti nei documenti inviati dall'Utente al Responsabile del trattamento tramite il Servizio per trasformarli da note scritte a mano in testo digitato.
• Indirizzo IP dell'Utente finale.

c. Categorie speciali di dati

MyScript non raccoglie categorie speciali di dati (come origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, appartenenza sindacale, dati genetici o biometrici, salute e vita sessuale). Tuttavia, il contenuto dei Dati personali dell’Utente non strutturati, come descritto sopra, non è noto a MyScript.

d. Frequenza del trasferimento (ad esempio se i dati sono trasferiti una tantum o su base continuativa)

Tutte le categorie di dati sopra elencati vengono trasferiti ai nostri Sub-responsabili del trattamento elencati nell'Allegato 1 e in forma continua a seconda dell'utilizzo del Servizio.

e. Natura del Trattamento

La natura del trattamento è la prestazione dei Servizi.

f. Scopo/i del trasferimento dei dati e del successivo Trattamento

MyScript tratterà i Dati personali nella misura necessaria per prestare i Servizi.

g. Periodo di conservazione dei dati personali o, se non possibile, criteri utilizzati per determinarlo

I Dati personali dell’Utente non strutturati sono trasferiti ai server del Responsabile del trattamento per il tempo necessario all’esecuzione del Trattamento, quindi restituiti all’Utente finale e non vengono conservati dal Responsabile del trattamento. Gli indirizzi IP sono conservati nei registri per 12 mesi. I Dati personali dell’Utente non strutturati non sono conservati dal Responsabile del trattamento salvo specifica ed esplicita richiesta scritta dell’Utente.

h. Per trasferimenti a (Sub-) responsabili del Trattamento, specificare anche oggetto, natura e durata del Trattamento

Il Sub-responsabile tratterà i Dati personali dell’Utente nella misura necessaria per fornire i Servizi. Il Sub-responsabile tratterà i Dati personali per tutto il tempo in cui l’Utente utilizza i Servizi, salvo diverso accordo scritto. Le identità dei Sub-responsabili utilizzati per la fornitura dei Servizi e i rispettivi paesi di ubicazione sono elencati nell’Allegato 1 del presente DPA.