ex art. 28 del Regolamento UE 2016/679)
Rev 1.0 del 08/11/2023
Accordo per il trattamento
di dati personali Data Processing Agreement - DPA
(ex art. 28 del Regolamento UE 2016/679)
Riferimento servizio “saas” Whistleblowing per la gestione delle segnalazioni a norma D.lgs. 24/2023.
Il presente accordo per la protezione di dati personali è concluso tra il fornitore
Data Services S.r.l. – Xxx Xxxxxxxxxx, 00 – 00000 Xxxxxxx (XX) –
CF/P.IVA: 01288220260
(nel seguito indicato come “Fornitore”) e il soggetto indicato nel contratto quale cliente (nel seguito indicato come “Cliente”), che accetta il presente accordo.
Premesso che
a. il Cliente ha sottoscritto uno o più contratti con il Fornitore (nel seguito indicato come “Contratto”);
b. le Parti intendono disciplinare nel presente “Accordo per il trattamento dei dati personali – Data Processing Agreement” (nel seguito indicato come “DPA” o “Accordo”) le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto, della prestazione dei Servizi e le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dal Fornitore quale Responsabile del Trattamento dei Dati ex Art. 28 del Regolamento Generale Europeo sulla Protezione dei Dati Personali 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei loro dati personali, nonché alla libera circolazione di tali dati (nel seguito indicato come “GDPR”);
Tutto quanto sopra premesso, le Parti convengono quanto segue:
1. Definizioni e interpretazione
1.1. Le premesse costituiscono parte integrante del presente Accordo. Nell'Accordo, i seguenti termini ed espressioni avranno il significato ad essi esplicato qui di seguito:
1.1.1. “Clausole contrattuali tipo” sono clausole contrattuali specifiche per regolamentare i rapporti tra titolare e responsabile.
1.1.2. “Data di Decorrenza dell'Accordo” indica la data in cui il Cliente sottoscrive o accetta il presente Accordo o, se anteriore, la data di decorrenza del Contratto a cui il presente Accordo è legato;
1.1.3. “Dati Personali” ha il significato di cui alla Legislazione in materia di Protezione dei Dati Personali ex Art. 4 par.1 e includerà, a titolo puramente esemplificativo non esaustivo, tutti i dati forniti, archiviati, inviati, ricevuti o altrimenti elaborati, o creati dal Cliente, o dall'Utente Finale in relazione alla fruizione dei Servizi, nella misura in cui siano oggetto di trattamento da parte del Fornitore, sulla base del Contratto.
1.1.4. “Decisione di Adeguatezza” indica una decisione della Commissione Europea sulla base dell’Art. 45 par. 3 del GDPR in merito al fatto che le leggi di un certo paese garantiscono un adeguato livello di protezione, come previsto dalla Legislazione in materia di Protezione dei Dati Personali;
Data Services s.r.l
Via Tintoretto, 46 – 31056 Roncade (TV) Tel. 0000 0000
Data Services Xxxxxx x.x.x
Xxx Xxxxxxxxxxxxx, 00/x – 37137 Verona Tel. 000 0000000
E-mail: xxxxxxxxxxxx@xxxxxxxxxxxx.xx
Data Services Foggia s.r.l.
Viale Fortore, 11/U – 71121 Foggia Tel. 0000 000000
E-mail: xxxxxxxxxxxx@xxxxxxxxxxxx.xx
Data Services Ancona
Via Valenti,1 – 60131 Ancona Tel. 000 0000000
E-mail: xxxxxxxxxxxx@xxxxxxxxxxxx.xx
1.1.5. “Giorni Lavorativi” indica ciascun giorno di calendario, a eccezione del sabato, della domenica e dei giorni nei quali le aziende sulla piazza di Treviso non sono aperte, per l’esercizio della loro attività;
1.1.6. “Installazioni On Premises” significa che un'azienda mantiene tutta l'infrastruttura informatica in casa e la gestisce in prima persona (o eventualmente la fa gestire da una terza parte);
1.1.7. “Istruzioni” indica le istruzioni scritte impartite dal Titolare nel presente Accordo e, eventualmente, nel Contratto;
1.1.8. “Legislazione in materia di Protezione dei Dati Personali” indica il GDPR e ogni eventuale ulteriore norma e/o regolamento sul trattamento dei dati personali emanati ai sensi del GDPR o comunque vigenti in Italia, incluso il D.lgs. nr. 196/2003, come modificato e integrato dal D.lgs. nr. 101/2018, nonché ogni provvedimento vincolante che risulti emanato dalle autorità di controllo competenti in materia (es. Garante per la Protezione dei Dati Personali) anche prima del 25 maggio 2018 e che conservi efficacia vincolante;
1.1.9. “Personale del Fornitore” indica i dirigenti, dipendenti, consulenti e altro personale del Fornitore, con esclusione del personale degli ulteriori altri Responsabili del Trattamento (comunemente detti Sub Responsabili del Trattamento come descritti all’Art. 1.1.9 del presente Accordo);
1.1.10. “Richiesta” indica una richiesta di esercizio di uno dei diritti deli Interessati previsti dal GDPR come ad esempio l’accesso, la correzione o la cancellazione;
1.1.11. “Responsabile Ulteriore del Trattamento” (c.d. Sub Responsabili) indica qualunque subappaltatore cui il Fornitore abbia subappaltato uno qualsiasi degli obblighi assunti contrattualmente e che, nell’adempiere tali obblighi, potrebbe trattare Dati Personali per conto del Fornitore (es. raccogliere, accedere, ricevere, conservare o altrimenti trattare Dati Personali);
1.1.12. “Servizio/i” indica il servizio o i servizi oggetto dei Contratti sottoscritti tempo per tempo tra il Cliente e il Fornitore;
1.1.13. “Utente Finale” si intende l'eventuale fruitore finale del Servizio, Titolare del Trattamento;
1.1.14. “Violazione della Sicurezza dei Dati Personali” (c.d. Data-Breach) indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali occorsa su sistemi gestiti dal Fornitore o comunque sui quali il Fornitore abbia un controllo.
1.2. I termini “ivi compresi” e “inclusi” saranno interpretati come se fossero seguiti dall'espressione “a titolo puramente esemplificativo”, così da fornire un elenco non esaustivo di esempi.
1.3. Per le finalità del presente Accordo, i termini “Interessato”, “Trattamento”, “Titolare del trattamento”, “Responsabile del trattamento”, “Trasferimento” e “Misure tecnico- organizzative adeguate” saranno interpretati in conformità alla Legislazione in materia di Protezione dei Dati Personali applicabile.
2. Ruolo delle parti
2.1. Le Parti riconoscono e convengono che il Fornitore agisce quale Responsabile del Trattamento in relazione ai Dati Personali ex Art. 28 del GDPR e il Cliente agisce di regola quale Titolare del Trattamento dei Dati Personali ex Art. 4 par. 7.
2.2. Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare, il Cliente potrà agire come Responsabile del trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina prevista dal GDPR da parte del Cliente, del Fornitore quale ulteriore Responsabile del trattamento derivante dalla stipulazione del presente Accordo è stata autorizzata dal relativo Titolare del trattamento e si impegna ad esibire al Fornitore, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.
2.3. Ciascuna delle Parti si impegna a conformarsi, nel trattamento dei Dati Personali, ai rispettivi obblighi derivanti dalla Legislazione in materia di Protezione dei Dati Personali applicabile.
2.4. Il Fornitore ha nominato come Responsabile della protezione dei dati (DPO) A&A Consulenza s.r.l., con sede in Xxxxx xxxxx Xxxxxxxxxx 00/X, Xxxxxxxx (XX), che può essere contattato al seguente indirizzo e-mail xxx@xxxxxxxxxxxx.xx o al numero di telefono 0000 000000.
3. Trattamento dei dati personali
3.1. Con la stipula del presente Accordo, il Cliente affida al Fornitore l'incarico di trattare i Dati Personali ai fini della prestazione dei Servizi, così come meglio dettagliato nel Contratto e nella presente DPA.
3.2. Il Fornitore si impegna a conformarsi alle Istruzioni dettate dal Cliente, fermo restando che, qualora il Cliente richieda variazioni rispetto alle Istruzioni iniziali, il Fornitore valuterà gli aspetti di fattibilità e concorderà con il Cliente le già menzionate variazioni ed i costi connessi.
3.3. Nei casi di cui all'Art. 3.2 del presente Accordo e in caso di richieste del Cliente che comportino il trattamento di Dati Personali, ad avviso del Fornitore, in violazione della Legislazione in materia di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi dall'eseguire tali Istruzioni e ne informerà prontamente il Cliente. In tali casi il Cliente potrà valutare eventuali variazioni alle Istruzioni impartite o contattare l'Autorità di controllo per verificare la liceità delle richieste avanzate.
4. Limitazione all’utilizzo dei dati personali
4.1. Nell'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi, il Fornitore si impegna a eseguire il trattamento dei Dati Personali:
4.1.1. soltanto nella misura e con le modalità necessarie per erogare i Servizi o per adempiere opportunamente i propri obblighi, previsti dal Contratto e dal presente Accordo, ovvero imposti dalla legge o da un organo di vigilanza o controllo competente, ovvero da specifiche richieste del Cliente e/o dell’Utente Finale. In tale ultima circostanza il Fornitore ne informerà il Cliente (salvo il caso in cui ciò sia vietato dalla legge per ragioni di pubblico interesse) mediante comunicazione trasmessa ad un’e-mail di notifica contrattualmente definita;
4.1.2. in conformità alle Istruzioni del Cliente, in qualità di Titolare del Trattamento e per quanto previsto dal GDPR.
4.2. Il Personale del Fornitore che accede, o comunque tratta i Dati Personali, è preposto al trattamento di tali dati sulla base di idonee autorizzazioni e ha ricevuto la necessaria formazione anche in merito al trattamento dei dati personali. Tale personale è altresì vincolato da obblighi di riservatezza e deve attenersi alle policy di riservatezza e di protezione dei dati personali adottate dal Fornitore.
5. Affidamento a terzi
5.1. In relazione all'affidamento a Responsabili Ulteriori del Trattamento di operazioni di trattamento di Dati Personali, le Parti convengono quanto segue:
5.1.1. Cliente acconsente espressamente che alcune operazioni di trattamento di Dati Personali siano affidate dal Fornitore.
5.1.2. Il Cliente acconsente altresì all'affidamento di operazioni di Trattamento dei Dati Personali a ulteriori soggetti terzi secondo le modalità previste al successivo articolo 5.1.4.
5.1.3. Resta inteso che la sottoscrizione delle Clausole Contrattuali Tipo (prevista dal successivo punto 7 in caso di trasferimento all’estero dei Dati Personali) da parte del Cliente con un Responsabile Ulteriore del trattamento deve intendersi quale consenso all'affidamento al terzo delle operazioni di trattamento.
5.1.4. Nei casi in cui il Fornitore ricorra a Responsabili Ulteriori del Trattamento per l'esecuzione di specifiche attività di trattamento dei Dati Personali, il Fornitore:
5.1.4.1. si impegna ad avvalersi di Responsabili Ulteriori del Trattamento che garantiscono misure tecniche e organizzative adeguate e garantisce che l'accesso ai Dati Personali, e il relativo trattamento, sarà effettuato esclusivamente nei limiti di quanto necessario per l'erogazione dei servizi subappaltati;
5.1.4.2. almeno 15 (quindici) giorni prima della data di avvio delle operazioni di trattamento dei Dati Personali da parte del Responsabile Ulteriore del Trattamento informa il Cliente dell'affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell'ubicazione dei server sui quali saranno conservati i dati, se applicabile - e delle attività affidate) mediante invio di e-mail di notifica o altro mezzo ritenuto idoneo dal Fornitore. Il Cliente potrà recedere dal Contratto entro 15 (quindici) giorni dal ricevimento della comunicazione, fermo restando l'obbligo di corrispondere al Fornitore gli importi dovuti alla data di cessazione del Contratto.
6. Disposizioni in materia di sicurezza
6.1.Misure di sicurezza del fornitore – Xxxx'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi, il Fornitore si impegna a adottare misure tecnico-organizzative adeguate a evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di, o l’accesso ai, Dati Personali, come descritte nell'Allegato 1 al presente Accordo (“Misure di Sicurezza”).
6.1.1. L'Allegato 1 all'Accordo contiene misure di protezione degli archivi dati commisurate al livello dei rischi presenti con riferimento ai Dati Personali per consentire la riservatezza, integrità, disponibilità e la resilienza dei sistemi e dei Servizi del Fornitore, nonché misure per consentire il tempestivo ripristino degli accessi ai Dati Personali in caso di Violazione della Sicurezza dei Dati Personali e misure per testare l'efficacia nel tempo di dette misure.
Il Cliente dà atto ed accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento dei Dati Personali, le procedure e i criteri di sicurezza implementati dal Fornitore, garantiscono un livello di protezione adeguato al rischio per quanto riguarda i suoi Dati Personali.
6.1.2. Il Fornitore potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra indicate, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi. Di tali aggiornamenti e modifiche sarà fornita notifica al Cliente mediante invio di comunicazione all'e-mail di notifica contrattualmente definita.
6.1.3. Qualora il Cliente richieda di adottare misure di sicurezza aggiuntive rispetto alle Misure di Sicurezza, il Fornitore si riserva il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per tale implementazione.
6.1.4. Il Cliente riconosce e accetta che il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni disponibili al Fornitore stesso secondo quanto specificamente riportato nella presente DPA, presterà assistenza al Cliente nel garantire il rispetto degli obblighi di sicurezza di cui agli Artt. 32-34 del GDPR nei modi seguenti:
6.1.4.1. implementando e mantenendo aggiornate le Misure di Sicurezza secondo quanto previsto al presente Art. 6 ai precedenti punti 6.1.1, 6.1.2, 6.1.3;
6.1.4.2. conformandosi agli obblighi di cui al Art. 6.3.
6.1.5. Qualora il prodotto venga integrato con applicativi di terze parti, il Fornitore non sarà responsabile dell'applicazione delle Misure di Sicurezza relative alle componenti delle terze parti o delle modalità di funzionamento del prodotto derivanti dall'integrazione effettuata dalle terze parti.
6.2.Misure di sicurezza del cliente – Xxxxx restando gli obblighi di cui al precedente punto
6.1 in capo al Fornitore, il Cliente riconosce e accetta che, nella fruizione dei Servizi, rimane
responsabilità esclusiva del Cliente l'adozione di adeguate misure di sicurezza in relazione alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.
6.2.1. A tal fine il Cliente si impegna ad utilizzare i Servizi e le funzionalità di trattamento dei Dati Personali in modo da garantire un livello di protezione adeguato al rischio effettivo.
6.2.2. Il Cliente si impegna altresì ad adottare tutte le misure idonee per proteggere le credenziali di autenticazione, i sistemi e i dispositivi utilizzati dal Cliente o dai fruitori presso l'Utente Finale per accedere ai Servizi e per effettuare i salvataggi e backup dei Dati Personali al fine di garantire il ripristino dei Dati Personali nel rispetto delle norme di legge.
6.2.3. Resta escluso qualsiasi obbligo o responsabilità in capo al Fornitore circa la protezione dei Dati Personali che il Cliente o l'Utente Finale, se applicabile, conservino o trasferiscano fuori dai sistemi utilizzati dal Fornitore e dai suoi Responsabili Ulteriori del Trattamento (ad esempio, in archivi cartacei, o presso propri data center, come nel caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente).
6.3.Violazioni di Sicurezza c.d. “Data-Breach” – Qualora il Fornitore venga a conoscenza di una Violazione di Sicurezza dei Dati Personali, lo stesso:
6.3.1. informerà senza ingiustificato ritardo il Cliente mediante comunicazione inoltrata all'Email di notifica;
6.3.2. adotterà misure ragionevoli per limitare i possibili danni e la sicurezza dei Dati Personali;
6.3.3. fornirà al Cliente, per quanto possibile, una descrizione della Violazione della Sicurezza dei Dati Personali ivi incluse le misure adottate per evitare o mitigare i potenziali rischi e le attività raccomandate dal Fornitore al Cliente per la gestione della Violazione di Sicurezza;
6.3.4. considererà informazioni confidenziali ai sensi di quanto previsto nel Contratto, le informazioni attinenti alle eventuali Violazioni della Sicurezza, i relativi documenti, comunicati e avvisi e non comunicherà a terzi dati informazioni, fuori dai casi strettamente necessari all'assolvimento degli obblighi del Cliente derivanti dalla Legislazione in materia di Protezione dei Dati Personali senza il previo consenso scritto del Titolare del Trattamento.
6.4. Nei casi di cui al precedente punto 6.3, è responsabilità esclusiva del Cliente adempiere, nei casi previsti dal GDPR, agli obblighi di notificazione del Data-Breach ai terzi (all'Utente Finale qualora il Cliente sia un Responsabile del Trattamento) e, se il Cliente è Titolare del Trattamento, all'Autorità di Controllo e agli interessati.
6.5. Resta inteso che la notificazione di un Data-Breach o l'adozione di misure volte a gestire un Data-Breach non costituisce riconoscimento di inadempimento o di responsabilità da parte del Fornitore in relazione a detto Data-Breach.
0.0.Xx Cliente dovrà comunicare tempestivamente al Fornitore eventuali utilizzi impropri degli account o delle credenziali di autenticazione oppure eventuali Data-Breach di cui abbia avuto conoscenza riguardanti i Servizi correlati direttamente o indirettamente a quelli del presente Accordo.
7. Limitazioni al trasferimento dei dati personali al di fuori dello spazio economico europeo (SEE)
7.1. Il Fornitore non trasferirà i Dati Personali al di fuori dello SEE.
7.2. Se, ai fini della conservazione o del trattamento dei Dati Personali da parte di un Responsabile Ulteriore del trattamento, e in ogni caso solamente previa autorizzazione del Cliente (Titolare del Trattamento), è necessario effettuare il trasferimento dei Dati Personali fuori dallo SEE in un paese che non gode di una decisione di adeguatezza da parte della Commissione Europea ai sensi dell'Art. 45 del GDPR, il Fornitore potrà adottare altre modalità di
trasferimento dei Dati Personali conformi a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali, anche alla luce delle indicazioni fornite dalla Corte di Giustizia della Unione Europea nella causa C-311/18 e dal Comitato Europeo per la Protezione dei dati (EDPB).
7.3. Nei casi di cui al precedente Art. 7.2 del presente Accordo, il Cliente conferisce espressamente mandato al Fornitore a sottoscrivere le Clausole Contrattuali Tipo di cui all’Art. 46, par. 2, lettera c) del GDPR, per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi (le “Clausole Contrattuali Tipo”) con i Responsabili Ulteriori del Trattamento indicati nella presente DPA, nonché ad adottare tutte le eventuali misure supplementari che si rendano ragionevolmente necessarie per consentire il trasferimento dei dati personali al di fuori dello SEE in conformità ai requisiti previsti dal GDPR . Qualora Titolare del trattamento sia l'Utente Finale, il Cliente si impegna a informare l'Utente Finale di tale trasferimento e dichiara che l'autorizzazione ad avvalersi del Responsabile Ulteriore del Trattamento situato fuori dallo SEE equivale al mandato di cui sopra.
8. Verifiche e controlli
8.1. Il Fornitore sottopone ad audit periodici la sicurezza dei sistemi e degli ambienti di elaborazione dei Dati Personali dallo stesso utilizzati per l'erogazione dei Servizi e le sedi in cui avviene tale trattamento. Il Fornitore avrà la facoltà di incaricare dei professionisti indipendenti selezionati dal Fornitore per lo svolgimento di audit secondo standard internazionali e/o best practices, i cui esiti saranno riportati in specifici report. Tali Report, che costituiscono informazioni confidenziali del Fornitore, potranno essere resi disponibili al Cliente per consentirgli di verificare la conformità del Fornitore agli obblighi di sicurezza di cui al presente Accordo.
8.2. Nei casi previsti dall’art. 8.1, il Cliente concorda che il proprio diritto di verifica sarà esercitato attraverso la verifica dei Report messi a disposizione dal Fornitore.
8.3. Il Fornitore riconosce il diritto del Cliente, con le modalità e nei limiti di seguito indicati, ad effettuare audit indipendenti per verificare la conformità del Fornitore agli obblighi previsti nel presente Accordo e di quanto previsto dalla normativa GDPR. Il Cliente potrà avvalersi per tali attività di proprio personale specializzato o di revisori esterni, purché tali soggetti siano preventivamente vincolati da idonei impegni alla riservatezza.
8.4. Nel caso di cui al precedente punto 8.2, il Cliente dovrà previamente inviare richiesta scritta al Responsabile della Protezione dei Dati (DPO) del Fornitore contattabile al seguente indirizzo e-mail xxx@xxxxxxxxxxxx.xx o al numero di telefono 0000 0000
8.5. Successivamente alla richiesta di audit o ispezione il Fornitore e il Cliente concorderanno, prima dell'avvio delle attività, i dettagli di tali verifiche (data di inizio e durata), le tipologie di controllo e l'oggetto delle verifiche, i vincoli di riservatezza a cui devono essere vincolati il Cliente e coloro che effettuano le verifiche e i costi che il Fornitore potrà addebitare per tali verifiche e che saranno determinati in relazione all’estensione e alla durata delle attività di verifica.
8.6. Il Fornitore potrà opporsi per iscritto alla nomina da parte del Cliente di eventuali revisori esterni che siano, ad insindacabile giudizio del Fornitore, non adeguatamente qualificati o indipendenti, siano concorrenti del Fornitore o che siano manifestamente inadeguati. In tali circostanze il Cliente sarà tenuto a nominare altri revisori o a condurre le verifiche in proprio.
8.7. Restano a carico esclusivo del Cliente i costi delle attività di verifica, sia che siano eseguite in proprio sia che vangano dallo stesso commissionate a terzi.
8.8. Resta fermo quanto previsto in relazione ai diritti di ispezione del Titolare del trattamento e delle autorità nelle Clausole Contrattuali Tipo eventualmente sottoscritte ai sensi del precedente Art. 7, che non potranno considerarsi modificate da alcuna delle previsioni contenute nel presente Accordo.
8.9. Il presente Art. 8 non è applicabile ai Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente.
8.10. Le attività di verifica che interessino eventuali Responsabili Ulteriori dovranno essere svolte nel rispetto delle regole di accesso e delle politiche di sicurezza dei Responsabili Ulteriori.
9. Assistenza a fini di conformità
9.1. Il Fornitore presterà assistenza al Cliente e coopererà nei modi di seguito indicati al fine di consentire al Cliente il rispetto degli obblighi previsti dalla Legislazione in materia di Protezione dei Dati Personali.
9.2. Qualora il Fornitore riceva Richieste o reclami da un Interessato in relazione ai Dati Personali, il Fornitore raccomanderà all'Interessato di rivolgersi al Cliente o all'Utente Finale, nel caso in cui quest'ultimo sia il Titolare del Trattamento. In tali casi il Fornitore informerà tempestivamente il Cliente del ricevimento della Richiesta mediante invio di e-mail di notifica all’indirizzo contrattualmente definito e fornirà al Cliente le informazioni ad esso disponibili unitamente a copia della Richiesta o del reclamo. Resta inteso che tale attività di cooperazione sarà svolta in via eccezionale, in quanto la gestione dei rapporti con gli Interessati resta esclusa dai Servizi ed è responsabilità del Cliente gestire eventuali reclami in via diretta e garantire che il punto di contatto per l'esercizio dei diritti da parte degli Interessati sia il Cliente stesso, o l'Utente Finale se Titolare del Trattamento. Sarà responsabilità del Cliente, o dell'Utente Finale qualora questi sia Titolare del Trattamento, provvedere a dar seguito a tali Richieste o reclami.
9.3. Il Fornitore provvederà a informare tempestivamente il Cliente, salvo il caso in cui ciò sia vietato dalla legge, con avviso all'e-mail di notifica all’indirizzo contrattualmente definito di eventuali ispezioni o richieste di informazioni presentate da autorità di controllo e forze di polizia rispetto a profili che riguardano il trattamento dei Dati Personali.
9.4. Qualora, ai fini dell'evasione delle Richieste di cui ai precedenti punti, il Cliente abbia necessità di ricevere informazioni dal Fornitore circa il trattamento dei Dati Personali, il Fornitore presterà la necessaria assistenza nei limiti di quanto ragionevolmente possibile, a condizione che tali richieste siano presentate con congruo preavviso.
9.5. Il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni ad esso disponibili, fornirà ragionevole assistenza al Cliente nel rendere disponibili informazioni utili per consentire al Cliente l'effettuazione di Valutazioni di Impatto sulla Protezione dei Dati Personali (DPIA) nei casi previsti dal GDPR. In tal caso il Fornitore renderà disponibili informazioni di carattere generale in base al Servizio, quali le informazioni contenute nel Contratto e nel presente Accordo. Eventuali richieste di assistenza personalizzate potranno essere soggette al pagamento di un corrispettivo da parte del Cliente. Resta inteso che è responsabilità e onere esclusivo del Cliente, o dell'Utente Finale se Titolare del trattamento, procedere alla Valutazione di Impatto (DPIA) in base alle caratteristiche del trattamento dei Dati Personali dallo stesso posto in essere nel contesto dei Sevizi.
9.6. Il Fornitore si impegna a rendere Servizi improntati ai principi di minimizzazione del trattamento (Privacy by Design e Privacy by Default), fermo restando che è responsabilità esclusiva del Cliente, o dell'Utente Finale, se Titolare del Trattamento, assicurare che il trattamento sia condotto poi concretamente nel rispetto di detti principi e verificare che le misure tecniche e organizzative di un Servizio soddisfano i requisiti di conformità della Società, ivi inclusi i requisiti previsti dalla Legislazione in materia di protezione dei dati personali.
9.7. Il Cliente prende atto che, in caso di Richieste di portabilità dei Dati Personali avanzate dai rispettivi Interessati e solo in relazione ai Servizi che generano Dati Personali rilevanti a tal fine, il Fornitore presterà assistenza al Cliente mettendo a disposizione le informazioni necessarie per estrarre i dati richiesti in formato conforme a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali.
10.Obblighi del cliente e limitazioni
10.1. Il Cliente si impegna a impartire Istruzioni conformi alla normativa e a utilizzare i Servizi in modo conforme alla Legislazione in materia di Protezione dei Dati Personali e solo per
trattare Dati Personali che siano stati raccolti in conformità alla Legislazione in materia di Protezione dei Dati Personali.
10.2. L'eventuale trattamento di Dati Personali di cui agli Artt. 9 e 10 del GDPR è consentito dalla presente DPA, nel caso in cui vengano introdotti come dati circostanziali della segnalazione. Il segnalante potrà, infatti, includere dati particolari o giudiziari, quali adesione a sindacati, stato di salute, condanne penali etc., per descrivere e circostanziare la condotta che intende segnalare.
Il Fornitore e il Cliente non possono sapere preventivamente se verranno a conoscenza di tali tipi di dati personali. La presente DPA ammette, perciò, il trattamento di dati particolari e giudiziari, in quanto le condotte segnalabili previste dal D. lgs. 24/2023 potrebbero in alcuni casi comprendere queste categorie di dati.
10.3. Il Cliente si impegna ad assolvere a tutti gli obblighi posti in capo al Titolare del Trattamento (e, nei casi in cui tali obblighi sono in capo all'Utente Finale, garantisce che analoghi obblighi sono imposti a carico dell'Utente Finale) dalla Legislazione in materia di Protezione dei Dati Personali, ivi inclusi gli obblighi di informativa nei confronti degli Interessati. Il Cliente si impegna inoltre a garantire che il trattamento dei Dati Personali effettuato mediante l'utilizzo dei Servizi avvenga solo in presenza di idonea base giuridica.
10.4. Qualora il rilascio dell'informativa e l'ottenimento del consenso debbano avvenire per il tramite del prodotto oggetto del Contratto, il Cliente dichiara di aver valutato il prodotto e che esso risponde alle esigenze del Cliente. Resta altresì a carico del Cliente valutare se l'eventuale modulistica resa disponibile dal Fornitore per agevolare l'assolvimento degli obblighi di informativa e consenso, quando necessario, sia conforme alla Legislazione in materia di Protezione dei Dati Personali e adattare la stessa ove ritenuto opportuno.
10.5. È altresì onere esclusivo del Cliente provvedere alla gestione dei Dati Personali in conformità alle Richieste avanzate dagli Interessati e pertanto provvedere ad esempio agli eventuali aggiornamenti, integrazioni, rettifiche e cancellazioni dei Dati Personali. È onere del Cliente mantenere l'account collegato all'e-mail di notifica contrattualmente definita attivo ed aggiornato.
10.6. Il Cliente prende atto che, ai sensi dell'Art. 30 del GDPR, il Fornitore è tenuto a mantenere un registro delle attività di trattamento eseguite per conto dei Titolari (o Responsabili) del Trattamento e a raccogliere a tal fine i dati identificativi e di contatto di ciascun Titolare (e/o Responsabile) del Trattamento per conto del quale il Fornitore agisce e che tali informazioni devono essere rese disponibili all'autorità competente, su richiesta. Pertanto, quando richiesto, il Cliente si impegna a dare al Fornitore i dati identificativi e di contatto sopra indicati con le modalità individuate dal Fornitore nel tempo e a mantenere aggiornate tali informazioni tramite i medesimi canali.
10.7. Il Cliente dichiara pertanto che le attività di trattamento dei Dati Personali, come descritte nel Contratto e nel presente Accordo, sono lecite.
11.Durata
11.1. Il presente Accordo avrà efficacia a decorrere dalla Data di Decorrenza dell'Accordo e cesserà automaticamente alla data di cancellazione di tutti i Dati Personali da parte del Fornitore, come previsto nel presente Accordo.
12.Disposizioni per la restituzione o la cancellazione dei dati personali
12.1. Alla cessazione del Servizio, per qualunque causa intervenuta, il Fornitore
12.1.1. provvederà alla cancellazione dei Dati Personali (ivi incluse eventuali copie) dai sistemi del Fornitore o da quelli su cui lo stesso abbia controllo entro il termine previsto nel Contratto, tranne il caso in cui la conservazione dei dati da parte del Fornitore sia necessaria o consentita al fine di assolvere ad una disposizione di legge italiana o europea;
12.1.2. distruggerà eventuali Dati Personali conservati in formato cartaceo in suo possesso, tranne il caso in cui la conservazione dei dati da parte del Fornitore sia necessaria ai fini del rispetto di norme di legge italiane o europee;
12.1.3. manterrà a disposizione del Cliente i Dati Personali per l'estrazione per il periodo di previsto dal Contratto. Ove il Contratto non preveda un termine specifico, il Fornitore manterrà a disposizione del Cliente i Dati Personali per l’estrazione per il periodo di 90 (novanta) giorni successivi alla cessazione del Contratto.
12.2. Il Cliente riconosce di poter estrarre i Dati Personali, alla cessazione del Servizio, nei modi convenuti nel Contratto e conviene che è sua responsabilità provvedere all'estrazione totale o parziale dei soli Dati Personali che ritenga utile conservare e che tale estrazione dovrà essere effettuata prima della scadenza del termine di cui all’Art. 12.1.3.
12.3. Restano ferme eventuali ulteriori o diverse disposizioni circa la cancellazione dei Dati Personali previste dal Contratto.
13.Responsabilità
13.1. Ciascuna Parte è responsabile per l'adempimento dei propri obblighi previsti dal presente Accordo e dalla Legislazione in materia di protezione dei Dati Personali.
14.Disposizioni varie
14.1. Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente al Fornitore precedentemente alla data del presente Accordo in merito ai Dati Personali trattati nell’ambito dell’esecuzione del Contratto.
14.2. Il presente Accordo potrà essere modificato dal Fornitore dandone comunicazione scritta (anche via e-mail di notifica contrattualmente definita o con l’ausilio di programmi informatici) al Cliente. In tal caso, il Cliente avrà il diritto di recedere dal Contratto con comunicazione scritta inviata al Fornitore a mezzo raccomandata con ricevuta di ricevimento nel termine di 15 giorni dal ricevimento della comunicazione del Fornitore. In mancanza di esercizio del diritto di recesso da parte del Cliente, nei termini e nei modi sopra indicati, le modifiche al presente Accordo si intenderanno da questi definitivamente conosciute e accettate e diverranno definitivamente efficaci e vincolanti.
14.3. In caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto per la prestazione dei Servizi, o in documenti del Cliente non espressamente accettati dal Fornitore in deroga al presente Accordo prevarrà quanto previsto nel presente Accordo.
Allegato 1
In aggiunta alle misure di sicurezza previste nel Contratto e il Fornitore, Responsabile del Trattamento ex Art.28 del GDPR, applica le seguenti misure di sicurezza organizzative:
Tipologia di fornitura servizio: Cloud SaaS – “Cloud Software as a Services”: software applicativo realizzato dal Fornitore messo a disposizione, direttamente o tramite terze parti, in modalità di applicazione accessibile e distribuita tramite browser web.
Misure di sicurezza organizzative | Certificazioni – Il Fornitore ha in corso la certificazione ISO/IEC 27001:2013: “Erogazione dei servizi di progettazione e gestione dell’infrastruttura ICT, di gestione delle applicazioni interne al Gruppo e di gestione dell’infrastruttura Cloud (IaaS)”; |
Policy e Disciplinari – Il Fornitore applica dettagliate policy e disciplinari, alle quali tutti gli addetti con accesso ai sistemi informativi hanno l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche. | |
Autorizzazione accessi logici per il Cliente – Il Fornitore, al momento della consegna del servizio “Cloud Saas” oggetto del Accordo, fornisce al Cliente le credenziali provvisorie di accesso come “Gestore Master” del sistema. Il Cliente ha l’obbligo di modificare le credenziali al primo accesso ed è l’unico responsabile dell’uso di tali credenziali, della gestione dei profili di accesso delle utenze e relative credenziali. Resta inteso che i profili di accesso al sistema Cloud SaaS aggiuntivi rispetto a quelli configurati al momento della consegna, devono essere definiti a cura del Cliente, sulla base delle proprie politiche di autorizzazione. Il sistema è comunque configurato per obbligare gli utenti al cambio delle credenziali di autenticazione al massimo ogni 90 gg, parametrizzabili. | |
Autorizzazione accessi logici per il Fornitore – Il Fornitore definisce i profili di accesso nel rispetto dei privilegi minimi necessari all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati precedentemente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione e della correttezza dei privilegi dei profili attribuiti. | |
Gestione interventi di assistenza – Il Fornitore ha regolamentato gli interventi di assistenza allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e |
impedire il trattamento eccessivo di dati personali, la cui titolarità è in capo al Cliente o all’Utente Finale.
Valutazione d'impatto sulla protezione dei dati (DPIA) – Il Fornitore, in conformità agli Artt. 35 e 36 del GDPR e Linee guida sulla valutazione d’impatto nella protezione dei dati adottate dall’EDPB (ex WP29), ha predisposto una propria metodologia per l’analisi e la valutazione dei trattamenti che, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, presentino un rischio elevato per i diritti e le libertà delle persone fisiche allo scopo di procedere con la valutazione dell’impatto sulla protezione dei dati personali prima di iniziare il trattamento.
Incident Management – Il Fornitore ha realizzato una specifica procedura di Incident Management, completa di misure tecniche ed organizzative, allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio.
Cancellazione Dati – Il Fornitore, alla cessazione del rapporto di fornitura del servizio, conserva i dati del Cliente per 90 giorni al fine di consentirne l‘eventuale esportazione, mentre i dati delle segnalazioni vengono conservati in forma pseudonimizzata per 5 anni, come previsto dall’ Art.14 par. 1 del D.lgs. 24/2023.
Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione delle violazioni di dati intenzionale od accidentale, con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente/violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente.
Formazione: Il Fornitore, secondo una programmazione definita, eroga periodicamente ai propri addetti incaricati coinvolti nel trattamento di dati, corsi di prima formazione ed aggiornamento sulla corretta gestione dei dati personali.
Responsabili esterni (sub-responsabili per il Titolare del Trattamento) – Il Fornitore utilizza come proprio responsabile esterno ex Art. 28 del GDPR i servizi di Data Center erogati da Amazon Web Server Inc. Per le garanzie di sicurezza messe in atto direttamente dal Responsabile Esterno si veda xxxxx://xxx.xxxxxx.xxx/xx/xxxxxxxxxx/xxxx-xxxxxxxxxx/
Business Process Outsourcing “BPO” – Il Fornitore garantisce che non sono in atto attività ne accordi di Business Process Outsourcing relative allo sviluppo o ai servizi di assistenza del sistema “Cloud Saas” oggetto del presente Accordo
Business Process Insourcing “BPI” – Il Fornitore garantisce che non sono in atto attività ne accordi di Business Process Insourcing relative allo sviluppo o ai servizi di assistenza del sistema “Cloud Saas” oggetto del presente Accordo | |
Misure di sicurezza tecniche | Firewall, IDPS – Il Fornitore protegge i dati personali contro il rischio d'intrusione mediante sistemi di Intrusion Detection & Prevention, mantenuti aggiornati in relazione alle migliori tecnologie disponibili. Inoltre, i servizi sono accessibili solo da IP identificati geograficamente. |
Sicurezza linee di comunicazione – Il Fornitore, per quanto di propria competenza, addotta protocolli di comunicazione sicuri e in linea con quanto la più moderna tecnologia rende disponibile. In particolare, a gestire l’accesso al portale, e a fare da schermatura/protezione all’applicativo, c’è un bilanciatore esposto alla pubblicazione web con la porta 80 (per reindirizzare lato server da http a HTTPS) e la porta 443 (per HTTPS). Tale bilanciatore non registra gli indirizzi IP di chi esegue l’accesso al portale (IP del chiamante). I dati in transito vengono criptati con i certificati SSL proprietari di Data Services e rilasciati da una Certification Autority gestita da AWS (TLS_V1.3). | |
Protezione da malware – Il Fornitore protegge i propri sistemi contro il rischio di intrusione e dell'azione di programmi malevoli mediante l'attivazione di adeguati, evoluti e sempre aggiornati sistemi di cyber security. | |
Credenziali di autenticazione – Il Fornitore configura i sistemi con modalità idonee a consentirne l’accesso unicamente a soggetti dotati di credenziali di autenticazione che ne consentono la loro univoca identificazione. Fra questi, codice associato a una parola chiave, riservata e conosciuta unicamente dallo stesso; dispositivo di autenticazione in possesso e uso esclusivo dell’utente, eventualmente associato a un codice identificativo o a una parola chiave. | |
Password – Il Fornitore applica alle credenziali d’accesso al sistema “Cloud SaaS” caratteristiche di sicurezza quali l’obbligo di modifica al primo accesso, lunghezza minima, assenza di elementi riconducibili agevolmente al soggetto, regole di complessità, scadenza, history, valutazione contestuale della robustezza, visualizzazione e archiviazione, la parola chiave è gestita conformemente alle “best practices”. Dopo un numero di tentativi di accesso non andati a buon fine, l’utenza viene temporaneamente sospesa. Il sistema prevede la protezione “Multi Factor Autentication – MFA” Ai soggetti ai quali sono attribuite le credenziali sono fornite puntuali istruzioni in relazione alle modalità da adottare per assicurarne la segretezza. |
Logging – Il Fornitore ha configurato i sistemi con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità. Alla disconnessione “log-out” del pannello di controllo dell’utilizzatore, c’è un cookie di sessione che elimina le credenziali d’accesso per proteggere un possibile accesso illecito da un utente che accede dallo stesso apparato informatico. È implementato un time-out di inattività per la disconnessione “log-out” automatica. Backup & Restore – Il Fornitore addotta idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati. Ove gli accordi contrattuali lo prevedono è posto in uso un piano di continuità operativa integrato, ove necessario, con il piano di disaster recovery; essi garantiscono la disponibilità e l’accesso ai sistemi anche nel caso di eventi negativi di portata rilevante che dovessero perdurare nel tempo. Vulnerability Assessment & Penetration Test – Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzate a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo. Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni/sistemi/reti attraverso attività che mirano a sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica/logica ed avere accesso agli stessi. I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e attuare i punti di miglioramento necessari a garantire l’elevato livello di sicurezza richiesto. Amministratori di Sistema – Il Fornitore, relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti. |
Data Center – Il Fornitore ha limitato l’accesso fisico al Data Center ai soli soggetti autorizzati e formati del Fornitore, con limitazione degli IP d’accesso identificati e non pubblicati su web.
Per il dettaglio delle misure di sicurezza adottate con riferimento ai servizi di data center erogati dai Responsabili Ulteriori del Trattamento, così come individuati nei DPA Condizioni Speciali, si fa rinvio alle misure di sicurezza indicate descritte dai medesimi Responsabili Ulteriori e rese disponibili nei relativi siti istituzionali ai seguenti indirizzi (o a quelli che saranno successivamente resi disponibili dai Responsabili Ulteriori).