ACCORDO SUL TRATTAMENTO DEI DATI
ACCORDO SUL TRATTAMENTO DEI DATI
AI SENSI DELL'ART. 28 REGOLAMENTO UE 2016/679 ("GDPR")
TRA
Il Cliente di Jungles S.r.l. come identificato nel contratto sottoscritto da Jungles (di seguito "Cliente" o "Titolare del trattamento")
E
Jungles S.r.l., avente sede legale in Xxx Xxxxxx Xxxxxxxx, 00 – 00000 Xxxxxx, X. X. x X. XXX 00000000000, in persona del proprio rappresentante legale pro tempore, ("Responsabile del trattamento")
* * *
Jungles S.r.l. è nominata "Responsabile del trattamento" ai sensi dell'art. 28 GDPR da parte del Cliente in relazione al trattamento dei dati personali di cui quest'ultimo è titolare in qualità di Titolare del trattamento, al fine della completa e corretta esecuzione del contratto così come sottoscritto ("Contratto").
Si prega di notare che il seguente accordo standard di trattamento dei dati è messo a disposizione sul sito web di Jungles al fine di facilitarne l'accesso a qualsiasi Cliente, Xxxxxxxx interessato e/o Autorità di protezione dei dati, e deve essere considerato come automaticamente incluso nei contratti sottoscritti da Jungles e stipulati con il Cliente, salvo diversi accordi scritti.
1. Il trattamento effettuato dal Responsabile sarà effettuato in relazione alle attività richieste dal Contratto, ed in particolare l’effettuazione di analisi dell'esperienza di utilizzo di software, piattaforme informatiche, siti web, punti vendita, prodotti fisici, testi, video o altri media, solo nella misura strettamente necessaria al raggiungimento delle finalità previste nell'informativa fornita agli interessati.
2. Il Responsabile tratterà dati personali di tipo comune relativi ai partecipanti alle attività di analisi dell’esperienza di utilizzo, come meglio dettagliati nell’informativa fornita agli interessati.
3. Per lo svolgimento delle attività di cui al Contratto, il Responsabile si impegna a fornire ai partecipanti agli user test l’informativa fornita dal Titolare. Salvo diversa indicazione scritta da parte del Titolare, il Responsabile fornirà l’informativa allegata alla presente nomina (cfr Allegato A), compilando i dati mancanti con quelli comunicati tempestivamente dal Titolare. Resta inteso che, come indicato degli artt. 13 e 14 GDPR, fornire l’informativa all’Interessato è attività riservata al Titolare.
4. Il Responsabile ha fornito al Titolare adeguate garanzie di conformità alla normativa europea in materia di trattamento dei dati personali, dichiarando di essere adeguatamente strutturato per lo svolgimento delle operazioni previste.
5. I dati personali saranno trattati dal Responsabile del trattamento utilizzando, ove possibile, i sistemi di accesso, trattamento e conservazione messi a disposizione dal Titolare del trattamento, salvo il caso in cui ciò non sia tecnicamente possibile e/o compatibile con le attività svolte, e in tal caso limitando la conservazione e l'accessibilità a quanto strettamente necessario.
6. Il responsabile del trattamento si attiene a tutte le istruzioni impartite dal responsabile del trattamento sia al momento della presente nomina (cfr. Allegato B) che successivamente.
7. In particolare, il Responsabile del trattamento si impegna a:
A. adottare e applicare le misure di sicurezza di cui all'articolo 32 GDPR;
B. far trattare i dati personali solo da persone autorizzate ai sensi dell'articolo 29 del GDPR e vincolate alla massima riservatezza;
C. rispettare, per la parte di sua competenza, le istruzioni ricevute dal Titolare del trattamento e a collaborare con lo stesso (i) per garantire l'esercizio dei diritti previsti dal GDPR agli interessati, (ii) per garantire il rispetto degli obblighi derivanti dagli articoli 32-36 GDPR e (iii) per dimostrare, ove richiesto, il pieno rispetto degli impegni assunti con la presente nomina, come stabilito dall'articolo 28(3) GDPR;
D. notificare al Titolare del trattamento, con riferimento alla violazione (effettiva o anche solo potenziale) dei dati personali dell'interessato, ogni evento e informazione rilevante immediatamente dopo essere venuto a conoscenza di tale violazione;
E. non trasferire i dati a paesi terzi o organizzazioni internazionali, né in nessun caso divulgare, comunicare o diffondere i dati personali ottenuti, se non in adempimento di uno specifico obbligo legale o con l'autorizzazione del Titolare del trattamento.
8. Per quanto riguarda il trasferimento internazionale dei dati, il Responsabile è autorizzato al trasferimento dei dati in Paesi terzi nel rispetto della normativa vigente. In particolare, per lo streaming delle sessioni di user test experience, il Responsabile è autorizzato ad utilizzare i servizi forniti da Google Ireland Ltd, in particolare Youtube mediante creazione di link di streaming privati. Il rapporto tra il Responsabile è Google Ireland Ltd. è regolato dalle Standard Contractual Clauses reperibili all’indirizzo xxxxx://xxxxxxxx.xxxxxx.xxxxxx/xxxxxxxxxxxxxx/xxxx/.
9. Al termine delle operazioni previste dal Contratto, e nello specifico 12 mesi dopo l’effettuazione della sessione di testing, il Responsabile si impegna a distruggere definitivamente i dati personali trattati e/o conservati - ove necessario - all'interno dei propri sistemi e/o presso la propria sede, secondo le istruzioni ricevute dal Titolare, salvo obblighi di legge.
10. Il Responsabile si impegna a rispettare le eventuali istruzioni impartitegli dal Titolare del trattamento, purché siano compatibili con la legge applicabile e con le finalità perseguite: in caso di incompatibilità di un'istruzione con la legge applicabile, il Responsabile del trattamento ne darà tempestivamente comunicazione scritta al Titolare del trattamento, ai sensi dell'articolo 28(3)(h) GDPR.
11. Il Responsabile potrà inoltre avvalersi di soggetti esterni rispetto alla propria struttura per i trattamenti di dati personali strumentali all'esecuzione del Contratto, ai sensi dell'art. 28(2) GDPR, la cui nomina è approvata dal Titolare in via generale. Il Responsabile si impegna a far sì che i propri sub-responsabili si attengano alle medesime istruzioni ricevute dal Titolare, stipulando uno specifico accordo scritto, ai sensi dell'art. 28(4) GDPR, rimanendo in ogni caso direttamente responsabile dell'adempimento degli obblighi da parte dei soggetti incaricati. Le Parti allegano alla presente nomina un documento (cfr. Allegato C) che indica i soggetti terzi autorizzati dal Titolare al trattamento dei dati personali, per conto e sotto la supervisione del Responsabile del trattamento.
12. Il Titolare del trattamento ha il diritto di informare in qualsiasi momento il Responsabile del trattamento della necessità di sospendere, interrompere o altrimenti modificare le operazioni di trattamento, per quanto riguarda le modalità e gli strumenti utilizzati.
13. Il Titolare potrà inoltre prevedere verifiche e controlli, in relazione alle attività di trattamento svolte dal Responsabile del trattamento, sia a distanza che presso le sedi operative, direttamente o tramite terzi appositamente incaricati e vincolati da appositi accordi di riservatezza e trattamento dei dati. Ogni e qualsiasi costo relativo è a carico del Titolare del trattamento.
14. Il Responsabile del trattamento indennizza il Titolare del trattamento ai sensi dell'art. 82 GDPR.
15. La presente nomina non dà diritto a nessun altro compenso oltre a quello concordato nell'ambito del contratto concluso tra le parti.
16. Questa nomina sarà terminata al completamento delle attività previste dal Contratto, salvo la restituzione o la cancellazione dei dati personali come richiesto sopra.
Allegato A
Informativa “User Test Experience” ai sensi degli Art. 13 e 14 del “Regolamento Europeo in materia di protezione dei dati personali – GDPR” (REG. UE 2016/679)
Introduzione I dati personali saranno oggetto di trattamento nel rispetto della normativa
applicabile e degli obblighi di riservatezza e sicurezza cui si ispira l'attività del Titolare
Titolare del trattamento Il Titolare del trattamento è [•], X.XXX e C.F. [•], con sede legale in [•] - che
puoi contattare:
• scrivendo una e-mail a [•]
• per posta ordinaria all'indirizzo: [•]
Il Titolare ha nominato un Responsabile per la Protezione dei dati contattabile scrivendo a [•]
Categoria di dati trattati Le categorie di dati trattati sono le seguenti:
• dati identificativi (nome e cognome)
• riprese audio/video durante l'esecuzione del test di esperienza di utilizzo
• dati biomedici (tracciamento oculare, neurobiofeedback, riconoscimento emotivo facciale, variazione della resistenza elettrica della pelle)
Fonte dei dati Con esclusivo riferimento al suo nome e cognome, tale informazione è stata
fornita da [•] direttamente al responsabile del trattamento Jungles S.r.l. che gestirà l’analisi di esperienza cui parteciperà.
Finalità, basi giuridiche e tempo di conservazione | Finalità | Basi giuridiche | Tempo conservazione |
analisi dell'esperienza di utilizzo di software, piattaforme informatiche, siti web o altri media | il trattamento è necessario per adempiere gli obblighi derivanti dal contratto e le attività precontrattuali correlate | 12 mesi dalla conclusione del test | |
trasmissione in streaming su link privato al committente della sessione di test | il trattamento è necessario per adempiere gli obblighi derivanti dal contratto e le attività precontrattuali correlate | fino alla conclusione della sessione di test | |
relativamente solo al nome e cognome, archiviazione dei documenti comprovanti il conferimento del consenso e l'accettazione del contratto di testing | il trattamento è necessario per adempiere gli obblighi derivanti dal contratto e le attività precontrattuali correlate | 10 anni dalla conclusione del contratto, come stabilito dall'art. 2496 c.c. |
Modalità di trattamento dei dati Tratteremo i dati personali secondo principi di correttezza, liceità e
trasparenza, tutelando la tua riservatezza e i tuoi diritti, usando strumenti in grado di garantirne la sicurezza.
Conseguenze del mancato conferimento dei dati
• Categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza; ambito di diffusione dei dati personali
Se previsto dal test, potranno essere registrati anche segnali biomedici tramite appositi dispositivi. Le audio/videoregistrazioni, le registrazioni dei segnali biomedici, nonché le fotografie e le immagini a supporto saranno consegnate al committente prive dei dati personali e per sole finalità di ricerca.
Personale, collaboratori del Titolare. e committenti della ricerca (presenti in altro locale attraverso TV/monitor a circuito chiuso ovvero da remoto mediante streaming privato) potranno prendere visione in diretta dell’intervista. Le eventuali audio/videoregistrazioni ed ogni ulteriore dato personale saranno, comunque, eliminati nel rispetto della normativa vigente entro 12 mesi dopo il termine della ricerca, in conformità con le normative di settore.
Il conferimento dei dati personali sopra indicati è necessario per perseguire le finalità indicate; pertanto, non fornire tali dati comporta l'impossibilità di effettuare il test programmato.
Nei limiti degli obblighi, dei compiti o delle finalità sopra indicati:
• i dati personali saranno trattati esclusivamente da dipendenti e/o collaboratori del Titolare, anche mediante soggetti terzi nominati quali Responsabili (ad es. società incaricate nell'elaborazione dei filmati di testing e di analisi del processo di user experience), nel rispetto di quanto previsto dalla legge anche con riguardo alle misure di sicurezza a protezione e salvaguardia dei dati stessi;
• l’attività videoripresa potrà essere visionata in tempo reale dal Titolare, da persone da questi autorizzate e dal committente del test;
• i dati personali non saranno in alcun modo diffusi, salvo consenso dell’interessato. I dati verranno comunicati al committente della ricerca in forma anonima e/o aggregata, e, se previsto, diffusi nella medesima forma.
L'elenco dei Responsabili può essere richiesto al Titolare.
Il Titolare potrà comunicare e diffondere i dati personali al solo fine di dare esecuzione ad obblighi di legge. I dati personali potranno essere comunicati in Italia e/o all’estero a:
• enti pubblici e privati, anche a seguito di ispezioni o verifiche (ad esempio Amministrazione Finanziaria, Organi di Polizia Tributaria, Autorità Giudiziarie, Enti Previdenziali);
• soggetti che possono accedere ai dati in forza di disposizione di legge.
I dati personali potranno essere trasferiti in Paesi terzi a soggetti con i quali sono state sottoscritte clausole contrattuali tipo approvate dall’Unione Europea. Per ulteriori informazioni è possibile contattare il Titolare.
Diritti dell'interessato Potrai esercitare, in qualsiasi momento, i diritti previsti dal Regolamento
Europeo n. 2016/679. In particolare il diritto:
• di accedere ai tuoi dati personali;
• di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che ti riguardano;
• di opporti al trattamento;
• alla portabilità dei dati;
• di revocare il consenso, ove previsto: la revoca del consenso non pregiudica la liceità del trattamento basata sul consenso conferito prima della revoca;
• di proporre reclamo all'autorità di controllo. Per l’Italia, l’autorità di controllo è l’Autorità Garante per la protezione dei dati personali.
Per esercitare questi diritti puoi scrivere una e-mail all’indirizzo sopra indicato.
Disponibilità dell'informativa La presente informativa è disponibile presso gli uffici del Titolare sopra
identificato.
Io sottoscritto/a
□ confermo
di aver preso visione dell’informativa sopra riportata
Indirizzo e-mail cui verrà inviata copia di conferma:
ALLEGATO B - ISTRUZIONI SPECIFICHE PER IL TRATTAMENTO
A. Dati elaborati
Il Responsabile tratterà solo i dati personali indicati, forniti e/o raccolti dal Titolare, esclusivamente per le attività previste dal Contratto, astenendosi dal compiere trattamenti non autorizzati ed evitando di acquisire dati personali ulteriori rispetto a quelli previsti.
B. Significa
Il Responsabile verifica costantemente che le operazioni siano effettuate in modo lecito e corretto, nel rispetto dei principi previsti dalla legislazione applicabile e dei diritti dell'interessato.
In particolare, il Responsabile si attiene, nell'ambito della propria organizzazione e delle attività svolte nell'ambito del Contratto, ai principi di minimizzazione dei dati ("privacy by default") e di trattamento conforme fin dall'inizio ("privacy by design").
C. Organizzazione
All'interno dell'organizzazione aziendale, il Responsabile deve prevedere una struttura incaricata di controllare e implementare la sicurezza delle informazioni e dei dati personali trattati.
In particolare, devono essere effettuati periodicamente - almeno una volta all'anno - adeguati controlli sulla conformità dei trattamenti, sull'adeguatezza degli strumenti utilizzati e sulla loro conformità alla normativa applicabile e alle linee guida emanate dalle autorità competenti.
Deve essere redatto e tenuto aggiornato un Registro delle attività di trattamento ai sensi dell'art. 30 GDPR, in tutti i casi in cui ciò sia necessario e/o opportuno alla luce delle operazioni effettuate per conto della Società e/o del Titolare del trattamento.
D. Tecnologia dell'informazione
Il responsabile del trattamento dei dati deve adottare elevati standard di sicurezza, e in particolare:
- segmentazione dell'accesso alle informazioni e ai dati personali, in modo che solo le persone che hanno effettivamente bisogno di conoscere tali informazioni per l'esecuzione del Contratto possano accedervi;
- una procedura per aggiungere, modificare e cancellare tali accessi;
- la verifica delle operazioni sui dati, per mezzo di registri o altri mezzi, ove consentito;
- l'uso di password e credenziali di autenticazione complesse e uniche per ogni utente; e
- l'uso della crittografia e della pseudonimizzazione dove possibile e/o necessario;
- l'uso di connessioni sicure, certificate e all'avanguardia;
- la disponibilità di copie dei dati effettivamente trattati (backup);
- la garanzia della continuità della disponibilità dei dati (business continuity);
- la capacità di ripristinare i dati in tempo, anche in caso di criticità (disaster recovery).
X. Xxxxxxxxx materiali
Il Titolare del trattamento deve mettere in atto e formalizzare procedure volte a garantire la sicurezza fisica dei documenti e dei locali in cui si svolgono i trattamenti, ai fini di una corretta, continua e sicura custodia dei dati personali forniti dalla Società e/o dal Titolare.
Anche i metodi e i tempi di accesso ai dati memorizzati su supporti fisici devono essere adeguatamente regolati, assicurando che l'accesso sia consentito solo al personale autorizzato.
ALLEGATO C - SUB-ELABORATORI DI DATI
La Società autorizza, con la stipula della nomina, il Responsabile del trattamento a far trattare i dati personali dalle seguenti persone secondo le necessità e le finalità richieste dal Contratto:
Google Ireland Ltd.
Con sede legale a Xxxxxx Xxxxx, Xxxxxx Xxxxxx, Xxxxxxx 0, Xxxxxxx.
Compresi ulteriori sub-responsabili del trattamento come previsto dalla seguente DPA xxxxx://xxx.xxxxxxx.xxx/x/xxxxx_xxxxxxxxxxxxxx e indicati su xxxxx://xxxxxxxx.xxxxxx.xxxxxx/xxxxxxxxxxxxxxxx/
SR Labs S.r.l.
Con sede legale in 20138 Xxxxxx (XX), Xxx Xxxxxxx, x. 0, P.IVA e C.F. 03283700965 Riferimenti di contatto: xxxx@xxxxxx.xx e Data Protection Officer: xxx@xxxxxx.xx