Accordo per l'elaborazione dei dati

La protezione dei dati e la sicurezza delle informazioni sono fondamentali per tutto ciò che facciamo in Driftrock.

This Driftrock Data Processing DPA (“DPA”) reflects the parties’ agreement with respect to the terms governing the Processing of Personal Data under the Driftrock Terms of Service (the “ToS”). This DPA, ToS and the Privacy Policy set out the full extent of our obligations and liabilities concerning the Website and the Software Services and replace any previous DPAs, representations and understandings between us and you.

This DPA is effective upon its incorporation, which incorporation may be specified in the ToS, an Order or the Main Contract (as applicable).


We periodically update these terms. We will let you know when we do via an email or in-app notification.

1. Definitions

Nel presente DPA si applicano le seguenti definizioni e regole di interpretazione.

Audience Management Service means the Driftrock audience management service.

Customer Data means all End User data and data relating to your customers or to the customers of your clients and which is provided by you or on your behalf to us for the purposes of providing the Services.  

Customer Personal Data has the meaning set out in clause 2.4.

CRM and CRM Data has the meaning set out in the Data Protection Appendix.

Data Controller shall have the same meaning as in the Data Protection Laws.

Data Processor shall have the same meaning as in the Data Protection Laws.

Data Protection Appendix means the data protection appendix attached to this DPA.

Data Protection Laws means prior to and including 24 May 2018, the Data Protection Act 1998; and from and including 25 May 2018, (i) unless and until the General Data Protection Regulation ((EU) 2016/679) (“GDPR”)) is no longer directly applicable in the UK, the GDPR and any national implementing laws, regulations and secondary legislation, as amended or updated from time to time, in the UK and then (ii) any successor legislation to the GDPR or the Data Protection Act 1998.

Data Subject shall have the same meaning as in the Data Protection Laws.

Driftrock Apps means Driftrock’s marketing and other applications.  

EEA means the European Economic Area.

End User means any employee, contractor or other individual appointed by or permitted by you to use the Software Services.

End User Data means any data relating to the End Users’ use of the Software Services, such as login and user ID credentials.  

Fees means the sums payable under this DPA specified in the DPA Summary.

Key Mapping Store has the meaning set out in the Data Protection Appendix.

Lead IDs has the meaning set out in the Data Protection Appendix.

Lead Generation Data has the meaning set out in the Data Protection Appendix.

Lead Generation Form has the meaning set out in the Data Protection Appendix.

Main Contract means main agreement executed by the Parties.

Market Acquisition Service means the Driftrock market acquisition service.

Minimum Term means the minimum term of DPA as specified by the Parties in the Main Contract, Order or otherwise.

Order means Driftrock work order template.

Personal Data shall have the same meaning as in the Data Protection Laws.

Software Services means the Driftrock Apps and associated services (the Market Acquisition Service and/or Audience Management Service) to be supplied to you pursuant to this DPA or as may be agreed by the parties in writing from time to time.

ToS means Driftrock Terms of Service as available at Driftrock’s website: https://www.driftrock.com/terms-of-service/.

Website means Driftrock’s website at www.driftrock.com.

2. Privacy and data protections

2.1. Driftrock’s privacy policy which can be found at www.driftrock.com/privacy_policy and Driftrock’s ToS which can be found at https://www.driftrock.com/terms-of-service/ are expressly incorporated into this DPA.  
2.2. You agree that you will comply with the Data Protection Laws in respect of any personal data of individuals processed through, or as a consequence of your use of, any Driftrock App (“End Users”). You must as a minimum provide a legally adequate privacy notice and protection for End Users. If End Users provide you with user names, passwords, or other login information or personal data, you must make the users aware that the information may be available to your application and to Driftrock and will be held on third party servers on behalf of Driftrock, including servers located outside the European Union.
2.3. Both parties will comply with all applicable requirements of the Data Protection Laws. This clause 2 is in addition to, and does not relieve, remove or replace, a party's obligations under the Data Protection Laws.
2.4. The parties acknowledge that for the purposes of the Data Protection Laws, you are the Data Controller and we are the Data Processor in respect of any Personal Data in the Customer Data (“Customer Personal Data”).
2.5. The scope, nature and purpose of our processing of the Customer Personal Data depends on the type of Software Service to be supplied by us to you under this DPA, and is set out in the Data Protection Appendix.  
2.6. Without prejudice to the generality of clause 2.1, you shall ensure that you have all necessary appropriate consents and notices in place to enable lawful transfer of the Customer Personal Data to us so that we can use such Customer Personal Data for the purposes and duration of this DPA. In particular, where we are providing you with the Market Acquisition Service, you undertake that you will present valid notices to Data Subjects on each Lead Generation Form.  
2.7. Without prejudice to the generality of clause 2.1, and to the extent that we process Customer Personal Data on your behalf in providing the Software Services, we will:

a) process the Customer Personal Data only for the purpose of providing the Software Services;
b) process the Customer Personal Data only on your written instructions unless otherwise required by law;
c) take appropriate technical and organisational security measures to protect against unauthorised or unlawful processing and accidental loss or destruction of, or damage to, such personal data:

which is appropriate to the harm that might result from the unauthorised or unlawful processing or accidental loss, destruction or damage and the nature of the Customer Personal Data to be protected; andhaving regard to the state of technological development and the cost of implementing any measures (those measures may include, where appropriate, pseudonymising and encrypting the Customer Personal Data, ensuring confidentiality, integrity, availability and resilience of its systems and services, ensuring that availability of and access to the Customer Personal Data can be restored in a timely manner after an incident, and regularly assessing and evaluating the effectiveness of the technical and organisational measures adopted by us;

tenendo conto dello stato dello sviluppo tecnologico e del costo di implementazione di eventuali misure (tali misure possono includere, se del caso, la pseudonimizzazione e la crittografia dei Dati personali dell'utente, garantendo la riservatezza, l'integrità, la disponibilità e la resilienza dei propri sistemi e servizi, assicurando che la disponibilità e l'accesso ai Dati personali dell'utente possano essere ripristinati in modo tempestivo dopo un incidente, e valutando e valutando regolarmente l'efficacia delle misure tecniche e organizzative da noi adottate;

d) garantire che tutto il personale che ha accesso e/o elabora i Dati personali del cliente sia obbligato a mantenerli riservati;

e) non trasferire i dati personali del cliente al di fuori del SEE senza aver ottenuto il consenso dell'utente;

f) assistervi nel rispondere a qualsiasi richiesta da parte di un Soggetto interessato e nel garantire il rispetto dei vostri obblighi ai sensi delle leggi sulla protezione dei dati per quanto riguarda la sicurezza, le notifiche di violazione, le valutazioni d'impatto e le consultazioni con le autorità di vigilanza o le autorità di regolamentazione;

g) notificarvi senza ritardi ingiustificati quando venite a conoscenza di una violazione dei dati che riguarda i dati personali del cliente; e

h) nella misura in cui conserviamo i Dati personali del cliente, su richiesta scritta dell'utente, cancellare e/o restituire all'utente i Dati personali del cliente e le relative copie alla cessazione del presente DPA, a meno che le leggi applicabili non ci impongano di conservare specifici Dati personali del cliente oltre la cessazione del presente DPA (nel qual caso cancelleremo tali Dati personali del cliente non appena ci sarà consentito dalle leggi applicabili).

2.8 Manterremo registri e informazioni completi e accurati per dimostrare la nostra conformità alla presente clausola 2 e consentiremo ragionevoli verifiche, compresa l'ispezione dei nostri locali da parte vostra o del vostro revisore designato, con un ragionevole preavviso, al fine di verificare la conformità alle Leggi sulla protezione dei dati e alla presente clausola 2.

2.9 L'utente è responsabile di procurarsi (a proprie spese) tutte le attrezzature e i servizi di telecomunicazione necessari per accedere ai Servizi software. L'utente è inoltre tenuto a garantire che nessuna persona utilizzi le sue apparecchiature per accedere ai Servizi software senza il suo permesso. Noi avremo il diritto di presumere che chiunque acceda ai Servizi software utilizzando la vostra apparecchiatura abbia il vostro permesso di farlo e sarete responsabili di qualsiasi onere, costo o responsabilità che possa essere sostenuto da tali persone. L'utente accetta di indennizzarci per qualsiasi perdita, responsabilità, reclamo, danno o spesa da noi sostenuta a causa di qualsiasi violazione da parte dell'utente della presente clausola 2.8.

3. Limitation of liability

3.1. Nessuna disposizione del presente DPA limita o esclude la nostra responsabilità per: (a) morte o lesioni personali causate da nostra comprovata negligenza; (b) qualsiasi perdita subita dall'utente in conseguenza del suo affidamento su qualsiasi dichiarazione fraudolenta fatta da noi all'utente; o (c) qualsiasi altra responsabilità che non può essere limitata o esclusa per legge.

3.2. In base alla clausola 3.1, l'utente accetta che non saremo responsabili per: (a) qualsiasi perdita, reclamo o danno indiretto, o qualsiasi danno punitivo, speciale, incidentale o consequenziale di qualsiasi tipo; o (b) perdita o corruzione di dati (diretta o indiretta) o (c) qualsiasi perdita di profitto, perdita di opportunità o di risparmi anticipati (diretta o indiretta), in ogni caso se basato su contratto, illecito civile (inclusa la negligenza), responsabilità oggettiva o altro, che derivi da o sia in qualsiasi modo collegato a (i) qualsiasi uso dei Servizi software; (ii) qualsiasi guasto o ritardo nell'uso di qualsiasi componente dei Servizi software, compresa, a titolo esemplificativo, qualsiasi indisponibilità dei Servizi software, indipendentemente dalla durata di un eventuale periodo di indisponibilità; o (iii) qualsiasi uso o affidamento su qualsiasi informazione, materiale, software, prodotto, servizio e relativa grafica ottenuti tramite i Servizi software, in tutti i casi anche se siamo stati avvertiti della possibilità di tale perdita o danno.

3.3. Fatte salve le clausole 3.1 e 3.2, la responsabilità totale di Driftrock derivante da o relativa al presente DPA, sia essa basata su contratto, illecito (inclusa la negligenza), responsabilità oggettiva o altro, che derivi da o sia in qualche modo connessa a (i) qualsiasi uso dei Servizi Software; (ii) qualsiasi guasto o ritardo nell'uso di qualsiasi componente dei Servizi Software, inclusa, senza limitazione, qualsiasi indisponibilità dei Servizi Software, indipendentemente dalla durata di qualsiasi periodo di indisponibilità; o (iii) qualsiasi uso o affidamento su informazioni, materiale, software, prodotti, servizi e relativa grafica ottenuti tramite i Servizi software, in tutti i casi anche se siamo stati avvertiti della possibilità di tali perdite o danni, saranno limitati, per quanto riguarda tutte le richieste di risarcimento in relazione a qualsiasi Anno contrattuale, agli importi pagabili da voi ai sensi di o in relazione al presente DPA in relazione a tale Anno contrattuale. Per "Anno contrattuale" si intende un periodo di dodici mesi a partire dalla Data di entrata in vigore o dal relativo anniversario.  

3.4. Senza limitare l'effetto della clausola 3.2 o 3.3 di cui sopra, a causa dei rischi intrinseci dell'utilizzo di Internet, non possiamo essere responsabili per eventuali danni o virus che possano infettare il vostro computer o qualsiasi altra proprietà quando utilizzate i Servizi software o navigate sul Sito web. Il download o l'acquisizione di qualsiasi materiale o informazione attraverso il Sito web avviene a discrezione e rischio dell'utente, che sarà l'unico responsabile di qualsiasi danno al proprio sistema informatico o perdita di dati derivante dal download o dall'acquisizione di tali materiali.

3.5. L'utente accetta di indennizzare la Società da qualsiasi reclamo o procedimento legale che possa derivare dall'uso dei Servizi software o da qualsiasi violazione del presente DPA da parte dell'utente.

3.6. Vi informeremo di tali rivendicazioni o procedimenti e vi terremo informati sull'andamento di tali rivendicazioni o procedimenti.

4. Termination

  • 4.1. Il presente Contratto continuerà ad avere pieno vigore ed efficacia per tutto il tempo in cui tratteremo i Dati Personali del Cliente per conto del Cliente. La durata minima del presente DPA è la durata del Contratto principale, la durata di esecuzione dell'Ordine o qualsiasi altro termine concordato dalle Parti per iscritto. La risoluzione del Contratto principale o dell'Ordine comporterà automaticamente la risoluzione del presente DPA.
  • 4.2. Senza pregiudicare qualsiasi altro diritto o rimedio a sua disposizione, una delle parti può risolvere il presente DPA con effetto immediato dandone comunicazione scritta all'altra parte se

a) the other party commits a material breach of any other term of this DPA which breach is irremediable or (if such breach is remediable) fails to remedy that breach within a period of 30 days after being notified in writing to do so; orb) the other party repeatedly breaches any of the terms of this DPA in such a manner as to reasonably justify the opinion that its conduct is inconsistent with it having the intention or ability to give effect to the terms of this DPA.

  • 4.3. In caso di risoluzione del presente DPA per qualsiasi motivo, tutte le somme dovute a noi diventeranno immediatamente esigibili, fatto salvo il diritto di richiedere interessi ai sensi della legge o qualsiasi altro diritto ai sensi del presente DPA.
  • 4.4 Alla cessazione del presente DPA dovrete cessare immediatamente l'uso dei Servizi software e distruggere qualsiasi materiale scaricato o stampato dal Sito web o comunque in relazione alla fornitura dei Servizi software.
  • 4.5. La risoluzione del presente DPA, per qualsiasi motivo, non pregiudica i diritti e le responsabilità maturati dall'utente o da noi al momento della risoluzione.

5. General

  • 5.1. La mancata o ritardata applicazione da parte nostra di uno qualsiasi dei nostri diritti ai sensi del presente DPA non deve essere considerata o ritenuta una rinuncia a tale o a qualsiasi altro diritto, a meno che non riconosciamo e accettiamo tale rinuncia per iscritto.
  • 5.2. Una persona che non è parte del presente DPA non avrà alcun diritto, ai sensi del Contracts (Rights of Third Parties) Act 1999, di far valere qualsiasi termine del presente DPA.
  • 5.3. Se una clausola o parte di una clausola del presente DPA è, o diventa, non valida, illegale o inapplicabile, il resto del DPA rimarrà valido e applicabile.
  • 5.4. Fatto salvo l'articolo 5.1, non avrete alcun rimedio in relazione a qualsiasi dichiarazione non veritiera che vi sia stata fatta e sulla quale abbiate fatto affidamento nella stipula del presente DPA, ad eccezione di qualsiasi rimedio che possiate avere per la violazione dei termini espliciti del presente DPA. Inoltre, l'utente riconosce che, nel sottoscrivere il presente DPA, non ha fatto affidamento su alcuna dichiarazione, dichiarazione o falsa dichiarazione non espressamente indicata nel presente documento.
  • 5.5. Il presente DPA e qualsiasi controversia o reclamo derivante da o in relazione ad esso saranno regolati e interpretati in conformità con la legge inglese e le parti accettano irrevocabilmente di sottoporsi alla giurisdizione esclusiva dei tribunali inglesi.
  • 5.6. Driftrock può cedere il beneficio del presente DPA senza darne comunicazione all'utente e ha il diritto di subappaltare qualsiasi suo diritto o obbligo ai sensi del presente documento.

Data protection appendix

Di seguito sono indicati l'ambito, la natura, lo scopo e la durata del trattamento dei Dati personali del Cliente da parte nostra, nonché le relative categorie di Dati personali e di Soggetti interessati:

Market Acquisition Service

By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.

Market Acquisition Service

By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.Market Acquisition Service

By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.

Scope and nature of processing

Nel caso in cui i vostri account di social media siano collegati alle App Driftrock, elaboreremo le informazioni di lead generation forniteci dalla piattaforma di social media su cui sono ospitati i vostri account di social media ("Dati di Lead Generation"). I Dati di Generazione di Lead consistono in dati non strutturati inviati da un individuo tramite un modulo di generazione di lead collegato ai vostri account di social media ("Modulo di Generazione di Lead") e includono i Dati Personali del Cliente. Al momento della ricezione dei Dati di Generazione di Lead, conserviamo i numeri di ID anonimi forniti dalla piattaforma di social media pertinente, ad esempio l'ID del lead, l'ID di Facebook, l'ID della campagna e l'ID dell'annuncio ("ID del Lead"). Creiamo anche un ID Driftrock unico per ogni lead. Inoltre, memorizziamo tutti i dati di lead generation (compresi i dati personali dei clienti) che ci avete permesso di conservare aggiornando le impostazioni del Key Mapping Store, il componente delle App Driftrock che memorizza tali dati ("Key Mapping Store").

Elaboriamo i Dati personali del cliente fornitici dal vostro sistema CRM o da un altro archivio di dati del cliente ("CRM") tramite un'API o un altro metodo di trasmissione elettronica dei dati. Al ricevimento dei Dati personali del cliente ("Dati CRM"), identifichiamo e rendiamo anonimi gli indirizzi e-mail utilizzando un algoritmo di hash sicuro (attualmente SHA-256). Non utilizziamo l'indirizzo e-mail originale o qualsiasi altro dato contenuto nei Dati CRM. Confrontiamo gli indirizzi e-mail con l'elenco precedente di indirizzi e-mail con hash, in nostro possesso, a partire dall'ultimo trasferimento di Dati CRM dal vostro CRM a noi. Eventuali aggiornamenti dell'elenco di indirizzi e-mail hashati vengono notificati da noi alla piattaforma di social media da voi nominata.

Ambito e natura del trattamento

Market Acquisition Service



Where your social media account(s) are linked to the Driftrock Apps, we will process lead generation information provided to us from the social media platform on which your social media accounts are hosted (“Lead Generation Data”). The Lead Generation Data will consist of unstructured data submitted by an individual via a lead generation form linked to your social media account(s) (“Lead Generation Form”), and will include Customer Personal Data.On receipt of the Lead Generation Data, we retain the anonymous ID numbers provided to us by the relevant social media platform, for example, the lead ID, Facebook ID, campaign ID and advert ID (“Lead IDs”). We also create a unique Driftrock ID for each lead. Further, we store any Lead Generation Data (including Customer Personal Data) that you have permitted us to retain by updating the settings for the key mapping store, being the component of the Driftrock Apps that stores such data (“Key Mapping Store”).

Customer Audience Syncing



Where your social media account(s) are linked to the Driftrock Apps, we will process lead generation information provided to us from the social media platform on which your social media accounts are hosted (“Lead Generation Data”). The Lead Generation Data will consist of unstructured data submitted by an individual via a lead generation form linked to your social media account(s) (“Lead Generation Form”), and will include Customer Personal Data.On receipt of the Lead Generation Data, we retain the anonymous ID numbers provided to us by the relevant social media platform, for example, the lead ID, Facebook ID, campaign ID and advert ID (“Lead IDs”). We also create a unique Driftrock ID for each lead. Further, we store any Lead Generation Data (including Customer Personal Data) that you have permitted us to retain by updating the settings for the key mapping store, being the component of the Driftrock Apps that stores such data (“Key Mapping Store”).

Categorie di dati personali dei clienti

Servizio di acquisizione del mercato

The Lead Generation Data is unstructured, therefore the categories will depend on the fields in each lead generation form. However it is likely to include names, email addresses, contact details and other Customer Personal Data such as age and gender.


Customer Audience Syncing

I Dati CRM comprendono gli indirizzi e-mail e qualsiasi altro Dato personale del cliente acquisito dal vostro CRM, come nomi e dettagli di contatto.

Finalità del trattamento

Market Acquisition Service



We process the Customer Personal Data in order to provide you with the Software Services.

Sincronizzazione del pubblico dei clienti

Il trattamento dei Dati CRM (esclusi gli indirizzi e-mail) da parte nostra è accessorio alla fornitura dei Servizi software. Elaboriamo tali Dati CRM solo al fine di identificare e acquisire gli indirizzi e-mail. Elaboriamo gli indirizzi e-mail per creare indirizzi e-mail con hashtag.

Categorie di soggetti interessati

Servizio di acquisizione del mercato

Individuals that submit information via Lead Generation Forms.

Customer Audience Syncing

Individuals with Customer Personal Data included in your CRM.

Durata del trattamento

Market Acquisition Service



By default, the Lead Generation Data is processed momentarily before being discarded.If you have instructed us to retain Lead Generation Data (including Customer Personal Data) within the Key Mapping Store, we will process the Customer Personal Data for as long as required to provide the Software Services to you.Lead IDs and Driftrock IDs are retained indefinitely.CRM Data, including email addresses, are processed momentarily before being discarded.Hashed email addresses are stored for the duration of the DPA.

Customer Audience Syncing

CRM Data, including email addresses, are processed momentarily before being discarded. Hashed email addresses are stored for the duration of the DPA.

Ready to close the loop?

Book a 30-minute discovery call with our automotive team. 
We'll show you exactly where your leads are being lost — and what it would take to fix it.
“You're in this with us. A lot of what we've earned has been because of you.”
Tom Cregg, Head of Customer Experience (CRM) UK @ JAECOO & OMODA
Book a demoDiscover our case studies
$2.7B+
In vehicle sales enabled
2M+
Leads processed annually
24
Markets live in EMEA, NA and APAC
The Automotive Customer Acquisition Platform. 
Turning digital intent into vehicle sales.
Prenota una demo
Soluzioni
Aumentare il volume dei contatti
Aumentare la qualità dei lead
Increase Conversions
Misurare e ottimizzare
driftrock for...
Automotive Brands
Editori
features
All Features
API di conversione
Risorse
Webinars
Casi di studio
Libreria di cattura dei lead
Base di conoscenza
Press & Brand kit
Canali
Integrazioni
Blog
Azienda
About
Incontrare il team
Carriera
Comunicati stampa
Sostenibilità
follow driftrock
Sign up to newsletter
© 2026 Driftrock Ltd. All rights reserved. Registered in England & Wales.
Privacy policy / Terms of service / Information security /data protection