ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI OPIǪUAD (PROCESSOR) - DATA PROCESSING AGREEMENT (DPA)
OGGETTO
ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI OPIǪUAD (PROCESSOR) - DATA PROCESSING AGREEMENT (DPA)
(ex art. 28 del Regolamento UE 2016/679)
Nel presente documento denominato “Data Processing Agreement” (di seguito, “DPA”), i termini adottati hanno il medesimo significato indicato nel Regolamento (UE) 2016/679 in materia di protezione e libera circolazione di dati personali (di seguito, “Regolamento”) e della vigente disciplina in materia di trattamento dei dati personali, nonché nelle Condizioni Generali di Contratto (di seguito “Condizioni”) che si applicano ad ogni Contratto stipulato (in seguito, “Contratto”) relativo ai Servizi e/o Apparati tra Opiquad SRL a socio unico (di seguito anche “Opiquad”) ed il Cliente, (di seguito anche “Il Gestore”).
LE PARTI | DETTAGLI |
IL FORNITORE | OPIǪUAD SRL A SOCIO UNICO - P. Iva IT 05866450967 Sede operativa: Xxx Xxxxxxx, 00 – Xxxxxx 00000 (XX) Sede legale: Xxx Xxxxxx Xxxxxxxxx, 0 – Xxxxxx 00000 (XX) |
IL CLIENTE | IL GESTORE DEL SERVIZIO |
(congiuntamente le “Parti”, disgiuntamente “la Parte”).
2. Scopo del documento
Il presente DPA:
(i) ha ad oggetto modalità e condizioni di trattamento di tutti i dati personali (di seguito, “Dati”) trattati dal Fornitore nell’esecuzione delle attività di cui al Contratto, dati di cui è Titolare il Cliente, in relazione ai quali, il Fornitore assumerà pertanto il ruolo di Responsabile Esterno del trattamento; (ii) regola il rapporto tra le Parti con riferimento ai rispettivi compiti e obblighi con riferimento al Trattamento dei Dati Personali per i servizi di cui al Contratto, avente ad oggetto:
Servizio Cloud Backup
2.1 In quanto Responsabile del trattamento operante su istruzioni del Cliente, Opiquad è autorizzata a trattare i Dati Personali del Titolare del trattamento per quanto necessario allo scopo di fornire i Servizi.
2.2 La natura delle operazioni svolte da Opiquad in riferimento ai Dati Personali potrebbe comprendere attività di calcolo, immagazzinamento e/o qualunque altro Servizio, così come descritto nel Contratto.
2.3 La tipologia di Dati Personali e le categorie di interessati sono determinate e controllate a sola discrezione del Cliente.
2.4 Le attività di trattamento dei dati sono svolte da Opiquad per il periodo specificato nel Contratto.
3. Accordo e autorizzazione al trattamento dei dati personali in qualità di Responsabile
3.1 Il presente accordo per la protezione di dati personali è concluso tra il Fornitore e il Cliente. Il Fornitore dimostra di presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento dei dati personali effettuato nell’ambito del Contratto, soddisfi i requisiti richiesti dall’articolo 28 del Regolamento e garantisca la tutela dei diritti degli interessati. Le Parti intendono disciplinare nel DPA le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto e delle prestazioni dei Servizi, nonché le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dal Fornitore quale Responsabile del trattamento dei dati personali.
3.2 Il trattamento è effettuato attraverso modalità automatizzate atte a memorizzare, elaborare e trasmettere i dati personali e avverrà mediante misure tecniche e organizzative adeguate, per quanto di ragione e allo stato della tecnica, a garantire, fra l’altro, la sicurezza, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi, evitando il rischio di perdita, distruzione, accesso o divulgazione non autorizzati o, comunque, uso illecito, nonché mediante misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
3.3 Il Fornitore, svolge trattamenti sui dati personali gestiti dal Cliente tramite i Servizi e/o Apparati forniti, operando esclusivamente per conto di quest’ultimo, che possono essere di ogni tipo, essendo solo il Cliente a decidere come utilizzare i servizi e quindi quali dati inserire e quali trattamenti effettuare, limitandosi Opiquad a fornire solo i Servizi e/o gli Apparati così come contrattualmente previsto. Con riferimento a tali dati personali il Cliente può, a seconda dei casi concreti, agire in qualità di titolare o di responsabile del trattamento, mentre Xxxxxxx agirà sempre in qualità di responsabile (“Responsabile”) del trattamento ai sensi delle specifiche istruzioni contenute nel presente Accordo.
4. Perfezionamento e durata
Le parti concordano che il DPA avrà efficacia dalla firma del Contratto e sarà valido per tuta la sua durata. Il recesso, la risoluzione, la scadenza o lo scioglimento per qualsiasi altra causa del Contratto, comportano l’automatica cessazione dell’efficacia del DPA.
5. Definizioni
I termini successivamente indicati avranno il seguente significato:
GESTORE Service Provider | Ogni persona giuridica, ogni persona fisica, che per i propri scopi imprenditoriali e/o professionali e/o di servizio pubblico ha sottoscritto un contratto per l’acquisizione del Servizio Cloud Backup volto all’attivazione di uno spazio di storage backup. |
FORNITORE Cloud Service Provider | È Il Cloud Service Provider (di seguito anche “CSP”) che fornisce l’infrastruttura di rete e la connettività per l’utente, ovvero l’operatore che fornisce, attraverso la propria infrastruttura, l’accesso a Internet, e che ha un rapporto giuridicamente vincolante con il Gestore, i cui dati identificativi sono: OPIǪUAD SRL A SOCIO UNICO |
UTENTE | Il cliente/ospite, colui che utilizza il Servizio Cloud Backup. |
IL SERVIZIO | Il servizio Cloud Backup coincide con un'attività economica in cui un fornitore di servizi informatici permette di eseguire la replica dei server, workstation e macchine virtuali in uno dei data center Opiquad di proprietà in Italia, in base anche a un progetto personalizzato che viene studiato dallo staff tecnico Opiquad. |
6. Caratteristiche del servizio
Il servizio Cloud Backup è l'insieme delle tecnologie che permettono di. eseguire la replica dei server, workstation e macchine virtuali in uno dei data center Opiquad.
Con la soluzione Cloud Backup vengono messe a disposizione le seguenti risorse:
• Spazio di archiviazione dati, agenti software per recuperare i dati da server, workstation, macchine virtuali;
• Accesso al pannello web. Cloud Backup con cui amministrare i dispositivi (desktop, server, macchine virtuali, eccetera.) collegati allo spazio di archiviazione (creazione, eliminazione…) e controllare i propri consumi di storage;
• Il servizio Cloud Backup è progettato e gestito in accordo ai principali standard internazionali e best practices, e secondo i massimi livelli di sicurezza.
7. Ruolo delle parti e obbligo di riservatezza
Le parti riconoscono che il Fornitore agisce quale Responsabile del Trattamento in relazione ai dati personali e il Cliente agisce di regola quale Titolare del trattamento di detti dati. Nei casi di richieste del Cliente che comportino il trattamento di Dati Personali che siano, ad avviso del Fornitore, in violazione della legislazione in materia di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi dall'eseguire tali istruzioni e ne informerà prontamente il Cliente che potrà valutare eventuali variazioni alle istruzioni impartite ovvero contattare l'Autorità di controllo per verificare la liceità delle richieste avanzate.
7.1 Ǫualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, garantisce al Fornitore di aver ricevuto le necessarie autorizzazioni dal terzo (titolare), di avere informato il terzo che il Fornitore è stato nominato sub-responsabile del trattamento, che sia stato sottoscritto con il terzo un accordo pienamente coerente con i termini e le condizioni del presente DPA e del Contratto. Infine, che tutte le informazioni comunicate o rese disponibili dal Fornitore, nel rispetto del presente DPA, siano debitamente comunicate al terzo.
7.3 Il Responsabile è vincolato da obbligo di riservatezza con riferimento a tutti i dati trattati per conto del Cliente, come anche gli incaricati del trattamento designati, che vengono istruiti in merito agli obblighi particolari relativi alla protezione dei dati derivanti dal presente mandato, nonché al vincolo sussistente alle disposizioni e alla finalità̀ . Tale obbligo di riservatezza non si applica nel caso in cui il Cliente abbia
autorizzato la fornitura di tali informazioni a terzi, laddove la fornitura delle informazioni a terzi sia ragionevolmente necessaria in considerazione della natura delle istruzioni e dell'attuazione di queste Accordo per l'elaborazione dei dati, o se vi è l'obbligo legale di rendere l'informazione disponibile a terzi.
8. Affidamento a terzi
8.1 Il Fornitore è autorizzato ad avvalersi di sub-fornitori per assisterla nella fornitura dei Servizi. Nell'ambito di tale assistenza, i sub-fornitori possono partecipare alle attività di trattamento dei dati effettuate da Opiquad su istruzione del Cliente. La lista dei Sub-responsabili di Opiquad in vigore alla data di decorrenza del Contratto è resa pubblica ovvero messa a disposizione dal Fornitore al Cliente a richiesta, ivi compreso il nominativo, l’indirizzo e la qualifica di ciascun Sub-responsabile utilizzato. Opiquad si assicurerà che ogni Sub-responsabile sia, quantomeno, in grado di rispettare gli obblighi sottoscritti dalla stessa nel presente DPA in riferimento al trattamento dei Dati Personali da parte del Sub-Responsabile: a tale scopo, sottoscriverà un accordo con il Sub-responsabile restando totalmente responsabile nei confronti del Cliente per qualsivoglia obbligo per il quale il Sub-responsabile risulti inadempiente.
Lista dei subfornitori
//
8.2 Opiquad è altresì autorizzata a coinvolgere fornitori terzi (come fornitori di energia, fornitori di materiale o software, trasportatori, fornitori tecnici, società di sicurezza), ovunque si trovino, senza dover informare il Cliente del trattamento od ottenere sua previa approvazione, nella misura in cui tali fornitori terzi non accedano ai dati personali del Cliente.
8.3 Nei casi in cui il Fornitore ricorra a Responsabili Ulteriori del Trattamento per l'esecuzione di specifiche attività di trattamento dei Dati Personali, di cui sopra si impegna ad avvalersi di Responsabili Ulteriori del Trattamento che garantiscono misure tecniche e organizzative adeguate e garantisce che l'accesso ai Dati Personali, e il relativo trattamento, sarà effettuato esclusivamente nei limiti di quanto necessario per l'erogazione dei servizi subappaltati; almeno 15 (quindici) giorni prima della data di avvio delle operazioni di trattamento dei Dati Personali da parte del Responsabile Ulteriore del Trattamento informa il Cliente dell'affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell'ubicazione dei server sui quali saranno conservati i dati, se applicabile - e delle attività affidate) mediante invio di E-mail di notifica o altro mezzo ritenuto idoneo dal Fornitore. Il Cliente potrà recedere dal Contratto entro 15 (quindici) giorni dal ricevimento della comunicazione, fermo restando l'obbligo di corrispondere al Fornitore gli importi dovuti alla data di cessazione del Contratto.
9. Luogo del trattamento e trasferimento dei dati
Per i servizi comportanti il trattamento dei dati personali in banche dati questi saranno custoditi presso la sede del Fornitore e saranno ivi trattati e conservati (allegato 1).
Ǫualora ci fosse la necessità che gli stessi siano trattati, per conto della scrivente, da società e/o professionisti, anche esterni, il trattamento avverrà nei limiti necessari allo svolgimento delle prestazioni ad essi affidate all’interno del territorio dell’Unione Europea ovvero Extra UE previo riconoscimento di adeguatezza da parte della Commissione europea (art 45 Regolamento), o con garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (Art. 46 Regolamento).
10. Responsabilità
Il Cliente (Titolare): | Il Fornitore (Responsabile): |
• Impostare la password di accesso al pannello Cloud Backup. conforme alle policy definite e cambio password secondo gli standard di riferimento; • Intervenire tempestivamente in caso di segnalazioni da parte di Opiquad su problemi inerenti la sicurezza dei propri dati; • Custodire con cura i dati di accesso allo spazio Cloud Backup e limitarne la divulgazione; • Informare tempestivamente Opiquad in caso di anomalie che possano determinare un problema di sicurezza dei dati. | • Mantenere l'infrastruttura software aggiornata con le versioni dei software più stabili e sicuri rilasciate dal produttore; • Tenere sotto monitoraggio l'infrastruttura Opiquad Cloud Backup composta da sistemi operativi e storage al fine di garantire la continuità di servizi; • Controllare la presenza di eventuali anomalie relative alla sicurezza che si evidenzino attraverso i log o alert del sistema; • Disattivazione del servizio se a seguito di segnalazione da parte di altri service provider, il server stesse attuando dei comportamenti anomali (spam, phishing, contenuti inerenti al terrorismo, frode, sito modificato da ignoti); • Mantenere aggiornati i sistemi di protezione (Firewall) che proteggono il servizio Cloud Backup; |
11. Responsabilità condivisa e obbligo di collaborazione reciproca nel rispetto della privacy
Le parti si danno atto che l’efficienza, sicurezza e conformità alla normativa sulla privacy dei servizi da Opiquad, sono oggetto di una responsabilità condivisa tra quest’ultima e il Cliente, che obbliga entrambe le parti ad attivarsi con la dovuta diligenza per la gestione dell’ambito di propria competenza e sotto la propria responsabilità. Ognuna delle parti si impegna inoltre a rispettare i propri obblighi derivanti dalla disciplina sulla privacy ed a collaborare secondo buona fede nell’ambito dell’applicazione del presente accordo al fine di garantire i diritti e le libertà degli interessati.
12. Obbligo di manleva a carico del Cliente
Per tutte le attività svolte in violazione della normativa sulla privacy, colposamente o dolosamente commesse dal Cliente utilizzando i servizi forniti da Opiquad, dalle quali possa derivare a carico di quest’ultima qualsivoglia pretesa stragiudiziale o giudiziale, anche correlata alla violazione delle presenti condizioni da parte del Cliente, questi si impegna ad assumersi ogni responsabilità ed a manlevarla e tenerla indenne il prima possibile, liberandola dalle suddette pretese. Il Cliente dovrà sostenere direttamente ogni tipo di costo, risarcimento di danni ed oneri, incluse le eventuali spese professionali, che dovessero scaturire da tali pretese, oltre ad ogni ulteriore danno subito da Opiquad.
13. Misure tecnico - organizzative e di sicurezza
Nell'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi, Opiquad (come Fornitore) si impegna a adottare misure tecnico-organizzative adeguate a evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di, o l’accesso ai, dati personali.
13.1 Il Cliente dà atto ed accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento dei Dati Personali, le procedure e i criteri di sicurezza implementati dal Fornitore garantiscono un livello di protezione adeguato al rischio per quanto riguarda i suoi Dati Personali.
13.2 Il Fornitore potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra indicate, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi. Di tali aggiornamenti e modifiche sarà fornita notifica al Cliente mediante invio di comunicazione all'Email di notifica.
13.3. Ǫualora il Cliente richieda di adottare misure di sicurezza aggiuntive rispetto alle Misure di Sicurezza, il Fornitore si riserva il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per tale implementazione.
13.4 Ǫualora il prodotto consenta l'integrazione con applicativi di terze parti, il Fornitore non sarà responsabile dell'applicazione delle Misure di Sicurezza relative alle componenti delle terze parti o delle modalità di funzionamento del prodotto derivanti dall'integrazione effettuata dalle terze parti.
13.5 Ǫualora Opiquad fosse a conoscenza di un incidente con ripercussioni sui Dati Personali del Titolare del trattamento (quale un accesso non autorizzato, perdita, comunicazione o alterazione di dati), lo comunicherà al Cliente senza indebiti ritardi.
La comunicazione descriverà la natura dell'incidente, le sue conseguenze più probabili, le misure prese o proposte da Opiquad in riposta all'incidente ed eventuali contatti di Opiquad.
14. Cancellazione e distruzione
Alla scadenza di un servizio (conclusione o mancato rinnovo), Opiquad si impegna a cancellare, come previsto da contratto, tutti i contenuti che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente ai fini dei Servizi, fatto salvo in presenza di una richiesta emessa da un’autorità legale o giudiziaria competente, oppure quando la normativa nazionale ovvero quella applicabile dell’UE preveda diversamente. Il Cliente è l’unico responsabile di garantire la posta in essere delle operazioni necessarie (es: back up, trasferimento a una soluzione di terzi, etc.) per la tutela dei dati personali, in particolare prima della conclusione o della scadenza del servizio Cloud Backup, nonché prima di avviare eventuali procedure di cancellazione. In merito, Il cliente è informato che la conclusione o scadenza del servizio Cloud Backup per qualunque ragione, potrebbero comportare automaticamente la cancellazione irreversibile di tutti i contenuti (inclusi informazioni, dati, file, e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal cliente ai fini dei servizi, compreso qualunque backup potenziale.
15. Disposizione varie
Ai sensi dell’articolo 28 comma 3 lettera a del Regolamento le istruzioni e/o le richieste del Cliente, per essere valide, dovranno rivestire la forma scritta. Le istruzioni dovranno essere inviate all’indirizzo e-mail: xxx@xxxxxxx.xx.
15.1 Le Parti possono richiedere che sia modificato e/o integrato qualsiasi contenuto del presente DPA in maniera tale da soddisfare qualsiasi interpretazione, linea guida od ordinanza emessa da autorità competenti di uno Stato Membro o dell’Unione Europea, disposizioni nazionali di attuazione, o ulteriori sviluppi normativi relativi ai requisiti generali previsti dal Regolamento per la nomina a responsabile del trattamento o ad ulteriori requisiti previsti per tale nomina. Le Parti sono tenute a concordare in buona fede le modifiche necessarie, tenuto conto dell’obbligo di dare esecuzione al presente rapporto contrattuale conformemente alla legge applicabile in materia di data security.
15.2 L’inapplicabilità o l’invalidità di una o più disposizioni del presente DPA non pregiudica le restanti parti del presente accordo. La disposizione invalida o inapplicabile potrà all’occorrenza essere modificata al fine di garantirne validità ed opponibilità, rispettando il più fedelmente possibile l’intenzione delle Parti.
15.3 Nel caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto per la prestazione dei Servizi, o in documenti del Cliente non espressamente accettati dal Fornitore in deroga al presente Accordo, prevarrà quanto previsto nel presente Accordo.
16. Diritti degli interessati
Il Titolare è totalmente responsabile di informare gli interessati dei loro diritti e del rispetto degli stessi, fra i quali si contano, senza tuttavia ad essi limitarsi, quello di accesso, rettifica, cancellazione, limitazione e portabilità. Opiquad fornirà cooperazione e assistenza ragionevoli, come potrebbe essere correttamente sollecitato, allo scopo di rispondere a richieste degli interessati. Tale ragionevole collaborazione e assistenza potranno consistere in (a) comunicare al Cliente qualunque richiesta ricevuta direttamente da un interessato e (b) consentire al Titolare del trattamento di predisporre e adottare le misure tecniche e organizzative necessarie per rispondere alle richieste degli interessati. Il Titolare del trattamento sarà l’unico responsabile della gestione di tali richieste. Il Cliente riconosce e acconsente a che, qualora tale cooperazione e assistenza richiedano risorse significative da parte del Responsabile del trattamento, detto impegno sia soggetto a pagamento, previa comunicazione e accordo con il Cliente.
Nel caso in cui il responsabile del trattamento riceva richieste per l’esercizio di diritti da parte di interessati in relazione a dati personali che tratta per conto del Cliente in base al presente accordo, sarà tenuto ad inviarle senza ritardo al Cliente, il quale si occuperà di gestire le suddette richieste, direttamente o anche tramite il titolare del trattamento se diverso dal Cliente stesso.
17. Legge applicabile e giurisdizione
17.1 Il presente Accordo sarà regolato, interpretato e applicato in conformità alle leggi italiane.
17.2 Ǫualsiasi controversia derivante da o in relazione al presente Accordo sarà risolta, in via esclusiva, dal Tribunale di Milano.
Versione del documento D PRI 44
Titolo | Versione | Data revisione |
DPA Cloud Backup | 00 (emissione documento) | 08 novembre 2024 |
ALLEGATO 1
“Dettagli delle operazioni di trattamento”
Principalmente, i dati personali trattati sono esclusivamente quelli comunicati direttamente dall’Interessato nel caso in cui un Soggetto proceda alla creazione e/o all’autenticazione del proprio profilo di “utilizzatore” dello spazio storage backup e proceda all’utilizzo degli stessi.
In ogni caso i dati potranno essere oggetto dei trattamenti di seguito specificati:
OGGETTO (FINALITA’) DEL TRATTAMENTO | TIPOLOGIA DI DATI PERSONALI | BASE GIURIDICA | DATA RETENTION | |
Erogazione del servizio | Dati Comuni | OBBLIGO/ESECUZIONE DEL CONTRATTO | 3 mesi | |
A | - Manutenzione servizio - Aggiornamento software - Assistenza - Operazioni del cliente nel servizio | |||
Erogazione del servizio | ||||
B | - Log di funzionamento dello spazio Cloud Backup - Log di comunicazione con lo spazio Cloud Backup - Obbligo di legge (reati informatici)* - Sicurezza informatica* - Aggiornamento e manutenzione del servizio - Supporto tecnico *Il contenuto del Log ha carattere riservato e potrà essere utilizzato sia per esigenze tecniche legate alla gestione ottimale del servizio che esibito esclusivamente alle Autorità Giudiziarie e di Pubblica Sicurezza dietro formale richiesta. | Data e ora di inizio; o data e ora di fine; o quantità di traffico scambiato; del dispositivo; o IP Address del dispositivo o UserAgent del dispositivo, versione agente dispositivo, o tipologia di dispositivo o lingua del dispositivo. | OBBLIGO/ESECUZIONE DEL CONTRATTO OBBLIGO DI LEGGE art. 6, par. 1, lett. c) GDPR | 3 mesi |