DATA PROCESSING AGREEMENT (DPA)
OGGETTO
DATA PROCESSING AGREEMENT (DPA)
Disposizioni generali
1. Premessa
Nel presente documento denominato “Data Processing Agreement” (di seguito, “DPA”), i termini adottati hanno il medesimo significato indicato nel Regolamento (UE) 2016/679 in materia di protezione e libera circolazione di dati personali (di seguito, “Regolamento”) e della vigente disciplina in materia di trattamento dei dati personali, nonché nelle Condizioni Generali di Contratto (di seguito “Condizioni”) che si applicano ad ogni Contratto stipulato (in seguito, “Contratto”) relativo ai Servizi e/o Apparati tra Opiquad SRL a socio unico ed il Cliente.
1.1 Quali parti integranti del presente accordo tra Xxxxxxx s.r.l. ed il Cliente convengono sulle seguenti premesse di fatto:
(a) come indicato nelle condizioni generali di contratto, Opiquad s.r.l. fornisce servizi informatici come ivi descritti (IaaS, SaaS, servizi di manutenzione correlati) che comportano la necessità di accedere anche potenzialmente ai dati del Cliente, quale presupposto tecnico per poter erogare i servizi oppure fornire la relativa assistenza;
(b) questo comporta quindi che Opiquad s.r.l. svolga trattamenti sui dati personali gestiti dal Cliente tramite i servizi forniti, operando questi trattamenti esclusivamente per conto di quest’ultimo;
(c) i dati personali gestiti dal Cliente tramite i servizi erogati da Opiquad s.r.l possono essere di ogni tipo, comuni, particolari o anche relativi a condanne penali o reati, essendo solo il Cliente a decidere come utilizzare i servizi e quindi quali dati personali inserire e quali trattamenti effettuare, limitandosi Opiquad s.r.l. a fornire solo i servizi informatici;
(d) il Cliente inoltre può effettuare il trattamento dei dati personali decidendo le finalità e i mezzi di trattamento oppure può a sua volta trattare i dati per conto di altro soggetto, da cui riceve le istruzioni circa il trattamento di tali dati personali;
(e) il Cliente, quindi, può essere sia direttamente un titolare (o contitolare) del trattamento oppure un responsabile o sub-responsabile del trattamento a seconda del tipo di servizio che a sua volta il Cliente fornisce a terzi;
(f) date queste premesse, si rende necessario regolare le modalità con cui Opiquad s.r.l. gestisce i trattamenti dei dati personali per conto del Cliente, al fine di assicurare che il trattamento rispetti la disciplina sulla privacy e garantisca la tutela dei diritti e libertà degli interessati;
(g) il presente accordo intende disciplinare gli obblighi e i diritti spettanti alle parti, Opiquad s.r.l. e il Cliente, relativamente al rispetto degli adempimenti previsti dalla normativa privacy, in particolare il regolamento (UE) 2016/679 (d’ora innanzi GDPR) e il codice della privacy di cui al D.lgs. 30.06.2003 n. 196, come modificato D.lgs. 10.08.2018 n. 101 ed eventuali successive modificazioni o integrazioni nonché la relativa disciplina regolamentare da essa derivante;
(h) Opiquad s.r.l. ha adottato le misure tecniche ed organizzative al fine di garantire che i servizi offerti ai propri clienti abbiano un’adeguata protezione, secondo standard tecnici di mercato, al fine di assicurare una efficiente tutela dei diritti e delle libertà degli interessati in relazione ai loro dati personali.
1.2 Il presente accordo deve intendersi come parte integrante del contratto di fornitura di servizi Opiquad S.R.L., avendo ad oggetto la disciplina dei conseguenti adempimenti di cui all’art. 28 GDPR, ripartendoli tra Opiquad S.R.L. e il Cliente secondo il principio di responsabilità condivisa come di seguito precisato.
2. Definizioni
2.1 al fine dell’applicazione ed interpretazione del presente accordo i termini e le espressioni utilizzati dovranno intendersi secondo quanto di seguito indicato:
(a) si terrà conto delle definizioni che sono state indicate nel contratto di servizi concluso tra Opiquad S.r.l. e il Cliente;
(b) si terrà contro altresì delle definizioni normative previste dalla disciplina sulla privacy, tra cui in primo luogo quanto stabilito dall’art. 4 § 1 gdpr nonché quanto consolidato dalla prassi applicativa proposta dagli organi europei competenti in materia e dall’autorità garante per la protezione dei dati personali italiana, oltre alla giurisprudenza europea e italiana pertinente;
(c) per comodità espositiva si considera “responsabile del trattamento” colui che tratta di dati per conto di un titolare del trattamento, mentre si considera “sub- responsabile” colui che tratta dati per conto di un responsabile del trattamento o un altro sub-responsabile del trattamento;
(d) nel corso del presente accordo per semplice comodità espositiva, Opiquad S.r.l. è indicata quale responsabile del trattamento, anche nel caso sia qualificabile come sub-responsabile in relazione al ruolo rivestito dal cliente.
3. Oggetto e scopo del documento
LE PARTI | DETTAGLI |
IL FORNITORE | OPIQUAD SRL A SOCIO UNICO sede legale Xxx X. Xxxxxxxxx 0, 00000 Xxxxxx (XX) - P.IVA 05866450967. |
IL CLIENTE | Il soggetto indicato nel Contratto sottoscritto con il Fornitore. |
(congiuntamente le “Parti”, disgiuntamente “la Parte”).
La presente DPA ha ad oggetto modalità e condizioni di trattamento di tutti i dati personali (di seguito, “Dati”) trattati dal Fornitore nell’esecuzione delle attività di cui al Contratto, dati di cui è Titolare il Cliente (di seguito “Titolare” o “Cliente”), in relazione ai quali, il Fornitore assumerà pertanto il ruolo di Responsabile del trattamento.
4. Nomina di Opiquad S.r.l. quale responsabile del trattamento
4.1 Il Cliente nomina Opiquad S.r.l. responsabile del trattamento dei dati personali i quali vengono trattati tramite i servizi informatici, oggetto del contratto di fornitura concluso con la seconda, autorizzando quest’ultima al trattamento, per conto del primo, dei relativi dati personali e solo in quanto necessario per l’erogazione dei servizi informatici stessi, nel rispetto dei termini contrattuali di fornitura e secondo quanto stabilito nel presente accordo.
4.2 In relazione alla nomina si concorda che:
(a) Le finalità del trattamento dei dati personali trasmessi dal cliente sono esclusivamente quelle di erogare i servizi informatici di cui al precedente comma e sono effettuate per conto del cliente da parte di Opiquad S.r.l., quale responsabile del trattamento, secondo le indicazioni del presente accordo od anche su specifica istruzione scritta di quest’ultimo, sempre se conforme alla disciplina sulla privacy e nel rispetto dei termini contrattuali del servizio;
(b) Nell’ambito dei trattamenti consentiti al responsabile del trattamento di cui alla lettera precedente, è compresa anche l’attività di assistenza tecnica, l’aggiornamento e la manutenzione dei sistemi informatici richiesta dal cliente, se del caso anche in modalità “on premise”, e possono consistere in tutte le relative operazioni di supporto e quindi a titolo esemplificativo: - attività di migrazione dati finalizzata all’installazione ed al collaudo di software o servizi informatici; - servizi di assistenza e aggiornamento che comportano (ancorché occasionalmente) l’accesso remoto ai dati del cliente (es. Tramite strumenti di accesso remoto); - analisi di dati (DB, videate, esportazioni di dati, etc.) del cliente per verificare problematiche di carattere tecnico e svolgere attività di manutenzione o supporto tecnico;
(c) Il responsabile del trattamento potrà effettuare i trattamenti in modalità automatizzata e/o cartacea sempre in quanto necessario per le finalità innanzi indicate;
(d) Il cliente decide la tipologia di dati personali oggetto del trattamento tramite i servizi informatici forniti dal responsabile del trattamento, i quali possono essere dati personali comuni, di categoria particolare o relativi a condanne o reati;
(e) La categoria di interessati si riferisce a persone fisiche come clienti, fornitori o dipendenti del cliente, dipendendo dal tipo di attività o servizi offerti a sua volta da quest’ultimo a terzi, direttamente o indirettamente;
(f) La durata del trattamento è limitata alla durata del servizio come descritto nelle condizioni generali di contratto ed al termine i dati personali saranno cancellati secondo quanto contrattualmente stabilito, salvo diversa istruzione scritta dal cliente, sempre se conforme alla disciplina sulla privacy e nel rispetto dei termini contrattuali del servizio. Resta salva l’ipotesi prevista dall’art. 28 § 3 lett. G) GDPR relativa al caso in cui il diritto dell’unione Europea o il diritto italiano preveda la conservazione dei dati;
(g) Il Cliente dichiara e garantisce di avere tutti i poteri necessari per effettuare la nomina del responsabile in relazione ai dati personali che quest’ultimo tratterà per suo conto, nel rispetto della normativa sulla privacy.
5. - Posizione del Cliente rispetto ai dati personali oggetto del trattamento
5.1 Le parti si danno atto che il Cliente può assumere diverse posizioni in relazione alla disciplina sulla privacy, potendo essere titolare (o contitolare) del trattamento per i dati personali per i quali decide le finalità ed i mezzi di trattamento oppure se tratta i dati personali su istruzione e per conto di altri, responsabile del trattamento o sub-responsabile del trattamento a seconda dei casi.
5.2 Le parti convengono di considerare il Cliente di regola quale titolare del trattamento in relazione ai dati personali oggetto del presente accordo, salvo quanto di seguito indicato.
5.3 Nel caso in cui il Cliente svolga le operazioni di trattamento per conto di un titolare o un responsabile del trattamento o un sub-responsabile del trattamento, il cliente garantisce che il presente accordo è conforme alle istruzioni ricevute ed ai poteri conferiti, avendo verificato la regolarità della sua posizione prima di sottoscrivere le condizioni di fornitura di Opiquad S.r.l. e il presente accordo.
5.4 Nel caso previsto dai commi precedenti, Opiquad S.r.l. assumerà il ruolo di responsabile del trattamento o sub-responsabile a seconda del ruolo rivestito dal Cliente.
5.5 In relazione a quanto sopra, Opiquad S.r.l. potrà chiedere in qualunque momento la documentazione idonea ad attestare il ruolo del Cliente.
5.6 Se nel xxxxx xxx xxxxxxxxx xx xxxxxxxxx, il ruolo del Cliente cambia, questi è tenuto a comunicarlo al responsabile del trattamento, con le modalità ivi previste.
6. - Istruzioni del Cliente e limiti
6.1 Nell’ambito dell’esecuzione del presente accordo, Opiquad S.r.l., quale responsabile del trattamento si adeguerà alle istruzioni del Cliente, in relazione ai dati personali oggetto di trattamento, salvo che le operazioni richieste con le istruzioni non siano previste dal presente accordo o comportino variazioni di risorse informatiche e organizzative non comprese nel contratto di fornitura dei servizi.
6.2 In quest’ultima ipotesi, Opiquad S.r.l. valuterà la fattibilità delle istruzioni e, se fattibile, concorderà con il Cliente le suddette variazioni e costi relativi. In mancanza di accordo, le istruzioni non saranno attuate, valendo quanto disciplinato dal presente accordo.
6.3 Resta inteso che le istruzioni del Cliente anche rientranti nel presente accordo e comunque i trattamenti svolti quale responsabile del trattamento, saranno eseguiti sempreché non comportino, a giudizio di Opiquad S.r.l., una violazione della normativa sulla privacy o di un ordine imposto da una pubblica autorità.
6.4 In quest’ultimo caso Opiquad S.r.l. invierà senza ritardo motivazione scritta al cliente, fatto salvo i divieti previsti dalla legge.
7. Nomina di altri sub-responsabili da parte di Opiquad S.r.l.
7.1 Il Cliente autorizza in via generale Xxxxxxx S.r.l., quale responsabile del trattamento, a nominare sub-responsabili del trattamento per l’esplicazione di parte dei propri compiti purché nel rispetto del contratto di fornitura e del presente accordo.
7.2 L’autorizzazione suddetta comporta il potere di aggiungere nuovi sub-responsabili o sostituirxx, e modificare i relativi accordi contrattuali.
7.3 L’autorizzazione generale conferita è così disciplinata:
(a) Il soggetto nominato dovrà presentare adeguate garanzie di adeguatezza sia in relazione alla sicurezza dei trattamenti e sia in relazione alla tutela dei diritti e libertà degli interessati e comunque rispettoso degli standard di mercato di settore;
(b) I trattamenti dei dati personali svolti dal sub-responsabile saranno limitati solo a quanto necessario per la fornitura di servizi subappaltati e in quanto rilevanti e utili per l’esplicazione di una parte dei servizi oggetto del contratto di fornitura di Opiquad S.r.l.;
(c) La nomina del sub-responsabile sarà effettuata per iscritto, imponendo obblighi di tutela non inferiore a quelli previsti dal presente accordo e dall’art. 28 GDPR;
(d) Il cliente sarà preventivamente avvisato per iscritto della nomina entro un termine di 60 (sessanta) giorni, il quale entro il termine suddetto potrà opporsi per iscritto. Nel caso di opposizione del Cliente, Opiquad S.r.l. potrà recedere dal contratto di fornitura con preavviso di 60 giorni, senza dar corso alla nomina del sub-responsabile in relazione ai servizi oggetto di fornitura con il Cliente;
8. Vincoli al trasferimento dei dati personali fuori dallo Spazio Economico Europeo (SEE)
8.1 Sempre nel rispetto della normativa privacy, il responsabile potrà trasferire i dati personali del Cliente, se possibile tecnicamente tramite sistemi di cifratura secondo standard tecnici riconosciuti a livello internazionale, anche fuori dallo Spazio Economico Europeo (SEE) in un paese che goda di una decisione di adeguatezza da parte della Commissione Europea ai sensi dell’art. 45 del GDPR, esclusivamente qualora nomini un sub-responsabile ai sensi del precedente art. 6 e rispettando una delle seguenti condizioni:
(a) vengano stipulate le clausole contrattuali tipo previste nella Decisione della Commissione Europea 2010/87/UE, del 5 febbraio 2010, con il sub-responsabile del trattamento nominato da Opiquad S.r.l., la quale è autorizzata fin d’ora dal Cliente a sottoscriverle.
8.2 Resta salvo un diverso accordo tra le parti.
9. Responsabilità condivisa e obbligo di collaborazione reciproca nel rispetto della privacy
9.1 Le parti si danno atto che l’efficienza, sicurezza e conformità alla normativa sulla privacy dei servizi cloud forniti da Opiquad S.r.l., sono oggetto di una responsabilità condivisa tra quest’ultima e il Cliente, che obbliga entrambe le parti ad attivarsi con la dovuta diligenza per la gestione dell’ambito informatico di propria competenza e sotto la propria responsabilità.
9.2 Ognuna delle parti si impegna inoltre a rispettare i propri obblighi derivanti dalla disciplina sulla privacy ed a collaborare secondo buona fede nell’ambito dell’applicazione del presente accordo al fine di garantire i diritti e le libertà degli interessati.
10. Violazioni di dati personali (Data Breach)
10.1 Nel caso Opiquad S.r.l. venga a conoscenza di un evento che stia dando luogo o possa aver dato luogo ad una violazione dei dati personali di cui al presente accordo, informerà il Cliente il prima possibile, trasferendo le informazioni a sua disposizione.
In ogni caso Opiquad S.r.l. invierà al Cliente, senza ritardo e per quanto ragionevolmente possibile, una relazione scritta che descriva i possibili danni cagionati e le cause se conosciute, le misure di protezione adottate per evitare o mitigare i potenziali rischi e suggerendo al Cliente le misure opportune a tutela dei dati personali trattati. Quest’ultimo verrà comunque tenuto sempre costantemente aggiornato.
10.2 Resta inteso che la comunicazione di cui sopra non costituisce riconoscimento di un inadempimento o responsabilità in capo al responsabile del trattamento, in relazione alla violazione ivi riportata.
10.3 Le parti concordano che nel rispetto dell’art. 33 e 34 del GDPR, spetti al Cliente effettuare le comunicazioni ivi previste all’Autorità Garante sotto la sua esclusiva responsabilità.
11. Misure di sicurezza adeguate del responsabile del trattamento
11.1 Opiquad S.r.l., quale responsabile del trattamento, si impegna nell’ambito dei trattamenti previsti dal presente accordo, ad adottare le misure tecniche ed organizzative adeguate, secondo standard tecnici di mercato, al fine di consentire la tutela della liceità dei trattamenti dei dati personali, la loro riservatezza, integrità, disponibilità.
11.2 Opiquad S.r.l., dichiara di aver predisposto un piano di gestione della sicurezza delle informazioni e di conformità alla privacy, in cui sono sintetizzate le misure di protezione per realizzare una gestione dei propri servizi nel rispetto del comma precedente.
11.3 Opiquad S.r.l., potrà aggiornare le misure di protezione per mantenere o aumentare i livelli di sicurezza dei servizi.
11.4 In ogni caso resta inteso che Opiquad S.r.l., al fine di tutelare i dati personali ad essa affidati con il presente accordo, potrà adottare tutte le misure, anche straordinarie, previste dal contratto di fornitura, compresa la sospensione dei servizi.
11.5 Qualora il Cliente richieda di adottare misure tecniche ed organizzative ulteriori, Opiquad S.r.l., si riserva di verificare la fattibilità della richiesta e di concordare se del caso, le modalità ed i costi relativi.
12. Verifiche e controlli
12.1 Il responsabile del trattamento sottopone ad audit periodici il proprio sistema di gestione delle informazioni e piano di conformità alla privacy, di cui redige un rapporto scritto. Qualora ritenuto opportuno, lo stesso effettuerà anche audit di terze parti secondo standard internazionali e best practice.
12.2 Al fine di dimostrare gli adempimenti al presente accordo, il responsabile del trattamento potrà anche esibire al cliente, presso la propria sede, la documentazione di cui al comma precedente.
12.3 Resta salva la facoltà del cliente di poter effettuare, a proprie spese, degli audit di terze parti al fine di verificare gli adempimenti al presente accordo, tramite proprio personale specializzato o professionisti di provata esperienza, in ogni caso vincolati per iscritto ad obblighi di riservatezza. Opiquad S.r.l. potrà opporsi alla nomina di professionisti che siano in conflitto di interesse, non sufficientemente qualificati o non indipendenti e in questo caso il Cliente dovrà proporre un diverso nominativo o svolgere direttamente l’audit. La relazione dell’audit, sarà messa a disposizione del responsabile del procedimento gratuitamente.
12.4 Le modalità di svolgimento dell’audit di cui al punto precedente saranno concordate dalle parti, e Opiquad S.r.l. comunicherà il costo orario del proprio personale incaricato di assistervi, comunque non inferiore alla tariffa oraria per l’assistenza tecnica.
12.5 Le attività di verifica che interessino eventuali sub-responsabili nominati da Opiquad S.r.l. saranno svolte secondo le modalità concordate con questi ultimi, nel rispetto delle loro politiche di conformità alla privacy.
13. Obbligo di manleva a carico del Cliente
Per tutte le attività svolte in violazione della normativa sulla privacy, colposamente o dolosamente commesse dal Cliente utilizzando i servizi forniti da Opiquad, dalle quali possa derivare a carico di quest’ultima qualsivoglia pretesa stragiudiziale o giudiziale, anche correlata alla violazione delle presenti condizioni da parte del Cliente, questi si impegna ad assumersi ogni responsabilità ed a manlevarla e tenerla indenne il prima possibile, liberandola dalle suddette pretese. Il Cliente dovrà sostenere direttamente ogni tipo di costo, risarcimento di danni ed oneri, incluse le eventuali spese professionali, che dovessero scaturire da tali pretese, oltre ad ogni ulteriore danno subito da Opiquad.
14. Richieste di interessati al responsabile del trattamento e obblighi delle parti
14.1 Nel caso in cui il responsabile del trattamento riceva richieste per l’esercizio di diritti da parte di interessati in relazione a dati personali che tratta per conto del Cliente in base al presente accordo, sarà tenuto ad inviarle senza ritardo al Cliente, il quale si occuperà di gestire le suddette richieste, direttamente o anche tramite il titolare del trattamento se diverso dal Cliente stesso.
14.2 Il responsabile del trattamento assisterà il Cliente fornendogli tutte le informazioni in relazione ai servizi gestiti da Opiquad S.r.l. sulla base di quanto previsto dal presente accordo ed inviterà l’interessato a rivolgersi al Cliente al fine di esercitare i propri diritti, evidenziando la propria posizione di responsabile del trattamento.
14.3 Il Cliente si assume quindi ogni adempimento circa la gestione dei diritti degli interessati, salvo quanto indicato nei due commi precedenti relativamente al responsabile del trattamento.
15. Richieste di interessati rivolte al Cliente per dati personali trattati per suo conto dal responsabile del trattamento
15.1 Nel caso in cui il Cliente debba soddisfare richieste relative ad interessati per l’esercizio dei loro diritti in relazione a dati personali oggetto del presente accordo, il responsabile del trattamento fornirà le informazioni richieste dal Cliente per quanto inerenti al presente accordo, in relazione ai servizi acquistati dal Cliente.
15.2 In ogni caso il Cliente tratterà direttamente la suddetta richiesta, limitandosi il responsabile del trattamento ad adempiere a quanto sopra.
16. Portabilità dei dati personali
16.1 Nel caso in cui sia necessario da parte del Cliente soddisfare richieste di portabilità dei dati personali, il responsabile del trattamento fornirà, esclusivamente in relazione ai servizi acquistati dal Cliente, solo le informazioni utili per estrarli in formato conforme alla normativa sulla privacy e sempreché ciò sia ragionevolmente possibile.
16.2 Nel caso in cui il Cliente richieda invece l’assistenza tecnica necessaria per effettuare la suddetta estrazione, Opiquad X.x.x.xx valuterà la fattibilità tecnica e concorderà con il primo, se del caso, le modalità relative e i costi a carico del Cliente.
Versione del documento
Titolo | Versione | Aggiornamento |
DPA Opi Processor generale | 01 | 10 gennaio 2022 |
DPA Opi Processor generale | 02 | 27 settembre 2022 |