ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI OPIǪUAD (PROCESSOR) - DATA PROCESSING AGREEMENT (DPA)
OGGETTO
ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI OPIǪUAD (PROCESSOR) - DATA PROCESSING AGREEMENT (DPA)
(ex art. 28 del Regolamento UE 2016/679)
Nel presente documento denominato “Data Processing Agreement” (di seguito, “DPA”), i termini adottati hanno il medesimo significato indicato nel Regolamento (UE) 2016/679 in materia di protezione e libera circolazione di dati personali (di seguito, “Regolamento”) e della vigente disciplina in materia di trattamento dei dati personali, nonché nelle Condizioni Generali di Contratto (di seguito “Condizioni”) che si applicano ad ogni Contratto stipulato (in seguito, “Contratto”) relativo ai Servizi e/o Apparati tra Opiquad SRL a socio unico (di seguito anche “Opiquad”) ed il Cliente, (di seguito anche “Il Gestore”).
LE PARTI | DETTAGLI |
IL FORNITORE | OPIǪUAD SRL A SOCIO UNICO - P. Iva IT 05866450967 Sede operativa: Xxx Xxxxxxx, 00 – Xxxxxx 00000 (XX) Sede legale: Xxx Xxxxxx Xxxxxxxxx, 0 – Xxxxxx 00000 (XX) |
IL CLIENTE | IL GESTORE DEL SERVIZIO |
(congiuntamente le “Parti”, disgiuntamente “la Parte”).
2. Scopo del documento
Il presente DPA:
(i) ha ad oggetto modalità e condizioni di trattamento di tutti i dati personali (di seguito, “Dati”) trattati dal Fornitore nell’esecuzione delle attività di cui al Contratto, dati di cui è Titolare il Cliente, in relazione ai quali, il Fornitore assumerà pertanto il ruolo di Responsabile Esterno del trattamento; (ii) regola il rapporto tra le Parti con riferimento ai rispettivi compiti e obblighi con riferimento al Trattamento dei Dati Personali per i servizi di cui al Contratto, avente ad oggetto:
Servizio Opibox
2.1 In quanto Responsabile del trattamento operante su istruzioni del Cliente, Opiquad è autorizzata a trattare i Dati Personali del Titolare del trattamento per quanto necessario allo scopo di fornire i Servizi.
2.2 La natura delle operazioni svolte da Opiquad in riferimento ai Dati Personali potrebbe comprendere attività di assistenza tecnica, immagazzinamento e/o qualunque altro Servizio, così come descritto nel Contratto.
2.3 La tipologia di Dati Personali e le categorie di interessati sono determinate e controllate a sola discrezione del Cliente.
2.4 Le attività di trattamento dei dati sono svolte da Opiquad per il periodo specificato nel Contratto.
3. Accordo e autorizzazione al trattamento dei dati personali in qualità di Responsabile
3.1 Il presente accordo per la protezione di dati personali è concluso tra il Fornitore e il Cliente. Il Fornitore dimostra di presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento dei dati personali effettuato nell’ambito del Contratto, soddisfi i requisiti richiesti dall’articolo 28 del Regolamento e garantisca la tutela dei diritti degli interessati. Le Parti intendono disciplinare nel DPA le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto e delle prestazioni dei Servizi, nonché le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dal Fornitore quale Responsabile del trattamento dei dati personali.
3.2 Il trattamento è effettuato attraverso modalità automatizzate atte a memorizzare, elaborare e trasmettere i dati personali e avverrà mediante misure tecniche e organizzative adeguate, per quanto di ragione e allo stato della tecnica, a garantire, fra l’altro, la sicurezza, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi, evitando il rischio di perdita, distruzione, accesso o divulgazione non autorizzati o, comunque, uso illecito, nonché mediante misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
I dettagli delle operazioni di trattamento regolate dal presente DPA (a titolo esemplificativo, l’oggetto del trattamento, la natura e lo scopo, la tipologia di dati personali e le categorie di interessati) sono specificati nell’allegato 1.
3.3 Il Fornitore, svolge trattamenti sui dati personali gestiti dal Cliente tramite i Servizi e/o Apparati forniti, operando esclusivamente per conto di quest’ultimo, che possono essere di ogni tipo, essendo solo il Cliente a decidere come utilizzare i servizi e quindi quali dati inserire e quali trattamenti effettuare, limitandosi Opiquad a fornire solo i Servizi e/o gli Apparati così come contrattualmente previsto. Con riferimento a tali dati personali il Cliente può, a seconda dei casi concreti, agire in qualità di titolare o di responsabile del trattamento, mentre Xxxxxxx agirà sempre in qualità di responsabile (“Responsabile”) del trattamento ai sensi delle specifiche istruzioni contenute nel presente Accordo.
4. Perfezionamento e durata
Le parti concordano che il DPA avrà efficacia dalla firma del Contratto e sarà valido per tuta la sua durata. Il recesso, la risoluzione, la scadenza o lo scioglimento per qualsiasi altra causa del Contratto, comportano l’automatica cessazione dell’efficacia del DPA.
5. Definizioni
I termini successivamente indicati avranno il seguente significato:
GESTORE Service Provider | Ogni persona giuridica, ogni persona fisica, che per i propri scopi imprenditoriali e/o professionali e/o di servizio pubblico ha sottoscritto un contratto per l’acquisizione del Servizio Opibox. |
FORNITORE Cloud Service Provider | È Il Cloud Service Provider (di seguito anche “CSP”) che fornisce l’infrastruttura di rete e la connettività per l’utente, ovvero l’operatore che fornisce, attraverso la propria infrastruttura, l’accesso a Internet, e che ha un rapporto giuridicamente vincolante con il Gestore, i cui dati identificativi sono: OPIǪUAD SRL A SOCIO UNICO |
UTENTE | Il cliente/ospite, colui che utilizza il Servizio Opibox. |
IL SERVIZIO | Il servizio Opibox coincide con un'attività economica in cui un fornitore di servizi informatici permette agli utenti di archiviare documenti, calendari, contatti e foto su istanze server dedicate. I dati sono salvati con un software di archiviazione cloud protetto, che rispetta le tecniche di criptazione più aggiornate. |
6. Caratteristiche del servizio
Il servizio Opibox è una tecnologia semplice da implementare e utilizzare su dispositivo mobile, computer.
Con la soluzione Opibox vengono messe a disposizione le seguenti risorse:
• Pannello utenti ed operatori per la condivisione di file e dati
• Le soluzioni sono fruibili tramite un’unica interfaccia da desktop, laptop, smartphone, tablet.
7. Ruolo delle parti e obbligo di riservatezza
Le parti riconoscono che il Fornitore agisce quale Responsabile del Trattamento in relazione ai dati personali e il Cliente agisce di regola quale Titolare del trattamento di detti dati. Nei casi di richieste del Cliente che comportino il trattamento di Dati Personali che siano, ad avviso del Fornitore, in violazione della legislazione in materia di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi dall'eseguire tali istruzioni e ne informerà prontamente il Cliente che potrà valutare eventuali variazioni alle istruzioni impartite ovvero contattare l'Autorità di controllo per verificare la liceità delle richieste avanzate.
7.1 Ǫualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, garantisce al Fornitore di aver ricevuto le necessarie autorizzazioni dal terzo (titolare), di avere informato il terzo che il Fornitore è stato nominato sub-responsabile del trattamento, che sia stato sottoscritto con il terzo un accordo pienamente coerente con i termini e le condizioni del presente DPA e del Contratto. Infine, che tutte le informazioni comunicate o rese disponibili dal Fornitore, nel rispetto del presente DPA, siano debitamente comunicate al terzo.
7.3 Il Responsabile è vincolato da obbligo di riservatezza con riferimento a tutti i dati trattati per conto del Cliente, come anche gli incaricati del trattamento designati, che vengono istruiti in merito agli obblighi particolari relativi alla protezione dei dati derivanti dal presente mandato, nonché al vincolo sussistente alle disposizioni e alla finalità̀ . Tale obbligo di riservatezza non si applica nel caso in cui il Cliente abbia
autorizzato la fornitura di tali informazioni a terzi, laddove la fornitura delle informazioni a terzi sia ragionevolmente necessaria in considerazione della natura delle istruzioni e dell'attuazione di queste Accordo per l'elaborazione dei dati, o se vi è l'obbligo legale di rendere l'informazione disponibile a terzi.
8. Affidamento a terzi
8.1 Il Fornitore è autorizzato ad avvalersi di sub-fornitori per assisterla nella fornitura dei Servizi. Nell'ambito di tale assistenza, i sub-fornitori possono partecipare alle attività di trattamento dei dati effettuate da Opiquad su istruzione del Cliente. La lista dei Sub-responsabili di Opiquad in vigore alla data di decorrenza del Contratto è resa pubblica ovvero messa a disposizione dal Fornitore al Cliente a richiesta, ivi compreso il nominativo, l’indirizzo e la qualifica di ciascun Sub-responsabile utilizzato. Opiquad si assicurerà che ogni Sub-responsabile sia, quantomeno, in grado di rispettare gli obblighi sottoscritti dalla stessa nel presente DPA in riferimento al trattamento dei Dati Personali da parte del Sub-Responsabile: a tale scopo, sottoscriverà un accordo con il Sub-responsabile restando totalmente responsabile nei confronti del Cliente per qualsivoglia obbligo per il quale il Sub-responsabile risulti inadempiente.
Lista dei subfornitori
//
8.2 Opiquad è altresì autorizzata a coinvolgere fornitori terzi (come fornitori di energia, fornitori di materiale o software, trasportatori, fornitori tecnici, società di sicurezza), ovunque si trovino, senza dover informare il Cliente del trattamento od ottenere sua previa approvazione, nella misura in cui tali fornitori terzi non accedano ai dati personali del Cliente.
8.3 Nei casi in cui il Fornitore ricorra a Responsabili Ulteriori del Trattamento per l'esecuzione di specifiche attività di trattamento dei Dati Personali, di cui sopra si impegna ad avvalersi di Responsabili Ulteriori del Trattamento che garantiscono misure tecniche e organizzative adeguate e garantisce che l'accesso ai Dati Personali, e il relativo trattamento, sarà effettuato esclusivamente nei limiti di quanto necessario per l'erogazione dei servizi subappaltati; almeno 15 (quindici) giorni prima della data di avvio delle operazioni di trattamento dei Dati Personali da parte del Responsabile Ulteriore del Trattamento informa il Cliente dell'affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell'ubicazione dei server sui quali saranno conservati i dati, se applicabile - e delle attività affidate) mediante invio di E-mail di notifica o altro mezzo ritenuto idoneo dal Fornitore. Il Cliente potrà recedere dal Contratto entro 15 (quindici) giorni dal ricevimento della comunicazione, fermo restando l'obbligo di corrispondere al Fornitore gli importi dovuti alla data di cessazione del Contratto.
9. Luogo del trattamento e trasferimento dei dati
Per i servizi comportanti il trattamento dei dati personali in banche dati questi saranno custoditi presso la sede del Fornitore e saranno ivi trattati e conservati (allegato 1).
Ǫualora ci fosse la necessità che gli stessi siano trattati, per conto della scrivente, da società e/o professionisti, anche esterni, il trattamento avverrà nei limiti necessari allo svolgimento delle prestazioni ad essi affidate all’interno del territorio dell’Unione Europea ovvero Extra UE previo riconoscimento di adeguatezza da parte della Commissione europea (art 45 Regolamento), o con garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (Art. 46 Regolamento).
10. Responsabilità
Il Cliente (Titolare): | Il Fornitore (Responsabile): |
• Per il trattamento dei Dati Personali come previsto dal Contratto, il Cliente fornirà per iscritto (a) tutte le istruzioni del caso e (b) qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati. Il Cliente resta l’unico responsabile per le informazioni trattate e le istruzioni comunicate. Il Cliente è responsabile: dell’esattezza, della qualità, della legalità e dell’affidabilità dei Dati personali e dei mezzi mediante i quali li acquisisce; della valutazione dei rischi derivanti dal Trattamento dei Dati personali e garantisce che tutte le procedure e le formalità richieste siano state debitamente espletate; che gli interessati siano stati informati del trattamento dei loro dati personali nei modi e nei tempi previsti dal Regolamento e avranno in qualunque momento la possibilità di esercitare facilmente i loro diritti, direttamente presso il Titolare che sarà quindi il contatto principale per gli Interessati; di fornire al Fornitore per iscritto tutte le istruzioni del caso e qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati. Altresì, è l’unico responsabile per le informazioni trattate e le istruzioni comunicate al Fornitore; di provvedere alla gestione dei dati personali in conformità alle richieste avanzate dagli Interessati, e pertanto provvedere ad esempio agli eventuali aggiornamenti, integrazioni, rettifiche e cancellazioni dei Dati Personali; di comunicare senza ingiustificato ritardo ed entro 72 ore all‘Autorità competente eventuali violazioni dei dati personali (e, in presenza di determinate condizioni, obbligo di rendere nota la violazione anche agli interessati). | • Mantenere l'infrastruttura software aggiornata con le versioni dei software più stabili e sicuri rilasciate dal produttore • Tenere sotto monitoraggio l'infrastruttura dei sistemi di calcolo (Host), hypervisor e storage al fine di garantire la continuità di servizi • Controllare la presenza di eventuali anomalie relative alla sicurezza che si evidenzino attraverso i log o alert del sistema • Informare il cliente in caso durante il monitoraggio o le analisi dei log dovessero essere riscontrati problemi nel pannello di acceso al servizio Opibox. |
11. Responsabilità condivisa e obbligo di collaborazione reciproca nel rispetto della privacy
Le parti si danno atto che l’efficienza, sicurezza e conformità alla normativa sulla privacy dei servizi da Opiquad, sono oggetto di una responsabilità condivisa tra quest’ultima e il Cliente, che obbliga entrambe le parti ad attivarsi con la dovuta diligenza per la gestione dell’ambito di propria competenza e sotto la propria responsabilità. Ognuna delle parti si impegna inoltre a rispettare i propri obblighi derivanti dalla disciplina sulla privacy ed a collaborare secondo buona fede nell’ambito dell’applicazione del presente accordo al fine di garantire i diritti e le libertà degli interessati.
12. Obbligo di manleva a carico del Cliente
Per tutte le attività svolte in violazione della normativa sulla privacy, colposamente o dolosamente commesse dal Cliente utilizzando i servizi forniti da Opiquad, dalle quali possa derivare a carico di quest’ultima qualsivoglia pretesa stragiudiziale o giudiziale, anche correlata alla violazione delle presenti condizioni da parte del Cliente, questi si impegna ad assumersi ogni responsabilità ed a manlevarla e tenerla indenne il prima possibile, liberandola dalle suddette pretese. Il Cliente dovrà sostenere direttamente ogni tipo di costo, risarcimento di danni ed oneri, incluse le eventuali spese professionali, che dovessero scaturire da tali pretese, oltre ad ogni ulteriore danno subito da Opiquad.
13. Misure tecnico - organizzative e di sicurezza
Nell'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi, Opiquad si impegna a adottare misure tecnico-organizzative adeguate a evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di, o l’accesso ai, dati personali.
13.1 Il Cliente dà atto ed accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento dei Dati Personali, le procedure e i criteri di sicurezza implementati dal Fornitore garantiscono un livello di protezione adeguato al rischio per quanto riguarda i suoi Dati Personali.
13.2 Il Fornitore potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra indicate, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi. Di tali aggiornamenti e modifiche sarà fornita notifica al Cliente mediante invio di comunicazione all'Email di notifica.
13.3. Ǫualora il Cliente richieda di adottare misure di sicurezza aggiuntive rispetto alle Misure di Sicurezza, il Fornitore si riserva il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per tale implementazione.
13.4 Ǫualora il prodotto consenta l'integrazione con applicativi di terze parti, il Fornitore non sarà responsabile dell'applicazione delle Misure di Sicurezza relative alle componenti delle terze parti o delle modalità di funzionamento del prodotto derivanti dall'integrazione effettuata dalle terze parti.
13.5 Ǫualora Opiquad fosse a conoscenza di un incidente con ripercussioni sui Dati Personali del Titolare del trattamento (quale un accesso non autorizzato, perdita, comunicazione o alterazione di dati), lo comunicherà al Cliente senza indebiti ritardi.
La comunicazione descriverà la natura dell'incidente, le sue conseguenze più probabili, le misure prese o proposte da Opiquad in riposta all'incidente ed eventuali contatti di Opiquad.
14. Cancellazione e distruzione
Alla scadenza di un servizio (conclusione o mancato rinnovo), Opiquad si impegna a cancellare, come previsto da contratto, tutti i contenuti che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente ai fini dei Servizi, fatto salvo in presenza di una richiesta emessa da un’autorità legale o giudiziaria competente, oppure quando la normativa nazionale ovvero quella applicabile dell’UE preveda diversamente. Il Cliente è l’unico responsabile di garantire la posta in essere delle operazioni necessarie (es: back up, trasferimento a una soluzione di terzi, etc.) per la tutela dei dati personali, in particolare prima della conclusione o della scadenza dei servizi, nonché prima di avviare eventuali procedure di cancellazione, aggiornamento o reinstallazione dei servizi. In merito, Il cliente è informato che la conclusione o scadenza di un servizio per qualunque ragione, nonché alcune operazioni specifiche per aggiornare o reinstallare i servizi, potrebbero comportare automaticamente la cancellazione irreversibile di tutti i contenuti (inclusi informazioni, dati, file, sistemi, applicazioni, siti web, posta e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal cliente ai fini dei servizi, compreso qualunque backup potenziale.
15. Disposizione varie
Ai sensi dell’articolo 28 comma 3 lettera a del Regolamento le istruzioni e/o le richieste del Cliente, per essere valide, dovranno rivestire la forma scritta. Le istruzioni dovranno essere inviate all’indirizzo e-mail: xxx@xxxxxxx.xx.
15.1 Le Parti possono richiedere che sia modificato e/o integrato qualsiasi contenuto del presente DPA in maniera tale da soddisfare qualsiasi interpretazione, linea guida od ordinanza emessa da autorità competenti di uno Stato Membro o dell’Unione Europea, disposizioni nazionali di attuazione, o ulteriori sviluppi normativi relativi ai requisiti generali previsti dal Regolamento per la nomina a responsabile del trattamento o ad ulteriori requisiti previsti per tale nomina. Le Parti sono tenute a concordare in buona fede le modifiche necessarie, tenuto conto dell’obbligo di dare esecuzione al presente rapporto contrattuale conformemente alla legge applicabile in materia di data security.
15.2 L’inapplicabilità o l’invalidità di una o più disposizioni del presente DPA non pregiudica le restanti parti del presente accordo. La disposizione invalida o inapplicabile potrà all’occorrenza essere modificata al fine di garantirne validità ed opponibilità, rispettando il più fedelmente possibile l’intenzione delle Parti.
15.3 Nel caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto per la prestazione dei Servizi, o in documenti del Cliente non espressamente accettati dal Fornitore in deroga al presente Accordo, prevarrà quanto previsto nel presente Accordo.
16. Diritti degli interessati
Il Titolare è totalmente responsabile di informare gli interessati dei loro diritti e del rispetto degli stessi, fra i quali si contano, senza tuttavia ad essi limitarsi, quello di accesso, rettifica, cancellazione, limitazione e portabilità. Opiquad fornirà cooperazione e assistenza ragionevoli, come potrebbe essere correttamente sollecitato, allo scopo di rispondere a richieste degli interessati. Tale ragionevole collaborazione e assistenza potranno consistere in (a) comunicare al Cliente qualunque richiesta ricevuta direttamente da un interessato e (b) consentire al Titolare del trattamento di predisporre e adottare le misure tecniche e organizzative necessarie per rispondere alle richieste degli interessati. Il Titolare del trattamento sarà l’unico responsabile della gestione di tali richieste. Il Cliente riconosce e acconsente a che, qualora tale cooperazione e assistenza richiedano risorse significative da parte del Responsabile del trattamento, detto impegno sia soggetto a pagamento, previa comunicazione e accordo con il Cliente.
Nel caso in cui il responsabile del trattamento riceva richieste per l’esercizio di diritti da parte di interessati in relazione a dati personali che tratta per conto del Cliente in base al presente accordo, sarà tenuto ad inviarle senza ritardo al Cliente, il quale si occuperà di gestire le suddette richieste, direttamente o anche tramite il titolare del trattamento se diverso dal Cliente stesso.
17. Legge applicabile e giurisdizione
17.1 Il presente Accordo sarà regolato, interpretato e applicato in conformità alle leggi italiane.
17.2 Ǫualsiasi controversia derivante da o in relazione al presente Accordo sarà risolta, in via esclusiva, dal Tribunale di Milano.
D PRI 33
Titolo | Versione | Data revisione |
DPA Opibox | 01 | 30 gennaio 2024 |
ALLEGATO 1
“Dettagli delle operazioni di trattamento”
Principalmente, i dati personali trattati sono esclusivamente quelli comunicati direttamente dall’Interessato nel caso in cui un Soggetto proceda alla creazione e/o all’autenticazione del proprio profilo di “utilizzatore.
In ogni caso i dati potranno essere oggetto dei trattamenti di seguito specificati:
OGGETTO (FINALITA’) DEL TRATTAMENTO | TIPOLOGIA DI DATI PERSONALI | BASE GIURIDICA | DATA RETENTION | |
Erogazione del servizio Opibox | ||||
A | - Manutenzione servizio - Aggiornamento software - Assistenza - Operazioni del cliente nel servizio | Dati comuni | OBBLIGO/ESECUZIONE DEL CONTRATTO OBBLIGO DI LEGGE art. 6, par. 1, lett. b) GDPR | Fino allo scadere del contratto |
Dati trattati | ||||
B | - Log di accesso al servizio Opibox (tramite protocollo https). Il contenuto del Log ha carattere riservato e potrà essere utilizzato sia per esigenze tecniche, che esibito esclusivamente alle Autorità Giudiziarie e di Pubblica Sicurezza dietro formale richiesta. | data e ora di inizio; o data e ora di fine; o quantità di traffico scambiato; del dispositivo; o IP Address del dispositivo o UserAgent del dispositivo o tipologia di dispositivo o lingua del dispositivo. | OBBLIGO/ESECUZIONE DEL CONTRATTO OBBLIGO DI LEGGE art. 6, par. 1, lett. b) GDPR | Log telematici Fino a 1 mese |