Informazioni:
Contratto per il Trattamento dei Dati Personali
Informazioni:
Title | |||
Date: | 24.05.2018 | Version: | 1.1 |
3
3. Obblighi del Responsabile 7
5. Autorizzazione al trattamento dei dati da parte di Sub-Responsabili 8
6. Trasferimento dei Dati Personali e inclusione delle Clausole Contrattuali Tipo (ove applicabile) 8
7. Obblighi in tema di collaborazione e responsabilizzazione 9
9. Restituzione dei dati e cancellazione 10
11. Violazione dei Dati Personali 11
12. Disaster recovery e business continuity 12
13
20
21
25
26
Premesso che:
A. Le Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali consentono a ogni Titolare responsabile del trattamento di Dati Personali di proporre una persona fisica o giuridica, una pubblica amministrazione o qualsiasi altro ente o associazione, quale Responsabile dei Dati Personali per conto del Titolare tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali, ivi compreso il profilo della sicurezza.
B. il Responsabile designato deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative volte a perseguire la protezione dei Dati Personali e a garantire la tutela dei diritti dell’Interessato.
C. Il presente Contratto per il Trattamento dei Dati Personali, unitamente ai suoi Allegati (congiuntamente “Contratto”), viene sottoscritto tra [inserire il nome/la denominazione della parte firmataria] e XXXXXX XXX (“XXXXXX XXX”); [inserire il nome/la denominazione della parte firmataria] e ETINET SRL, congiuntamente intesi come le “Parti”, e ciascuno singolarmente come “Parte”) al fine di riflettere gli accordi intercorsi tra le Parti con riferimento al Trattamento dei Dati Personali del Cliente, in osservanza delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.
D. ETINET SRL fornisce al Cliente il/i servizio/i ("Servizio") da questo attivati alle condizioni contrattuali previste nel/negli Ordine/i di Servizio e nelle Condizioni Generali di Servizio complessivamente disponibili al link xxxx://xxx.xxxxxx.xx/xxxxxxxxxx-xx-xxxxxxx (“Contratto Master”) e, al fine di rendere disponibile il summenzionato Servizio secondo quanto previsto dal presente Contratto, ETINET SRL potrebbe Trattare Dati Personali per conto del Cliente.
E. Più precisamente, la/le finalità del Trattamento dei Dati Personali del Cliente in relazione al Servizio è/sono descritta/e nell’Allegato 1.
F. Il Cliente è consapevole che il suo utilizzo del Servizio potrebbe essere soggetto alle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali con riferimento a giurisdizioni che impongono determinati requisiti nel rispetto delle attività di Trattamento di qualsiasi Dato Personale.
G. Le Parti hanno concluso il presente Contratto al fine di assicurarsi la conformità alle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali e stabilire misure di sicurezza e procedure idonee per procedere al legittimo Trattamento dei Dati Personali. Il Cliente conferma che le previsioni riportate nel presente Contratto riflettono gli obblighi cui deve conformarsi ETINET SRL in osservanza delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali, aventi ad oggetto il trattamento dei Dati Personali del Cliente per l'erogazione del Servizio. Ai sensi di quanto sopra, ETINET SRL si impegna a conformarsi alle previsioni contenute nel presente Contratto.
Il suddetto preambolo forma parte integrante del Contratto.
1. DEFINIZIONI
Salvo che sia diversamente definito nel presente Contratto, tutti i termini in maiuscolo utilizzati nel presente Contratto hanno il significato loro attribuito nel Contratto Master. In caso di contrasto o incongruenze per quanto riguarda la tutela della protezione dei dati tra il presente Contratto e il Contratto Master, prevale quanto stabilito nel presente Contratto;
“Autorità di Controllo” indica ogni autorità competente a vigilare ed assicurare l’applicazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali con riferimento al Trattamento dei Dati Personali del Cliente svolti per mezzo del Servizio;
“Categorie Particolari di Dati Personali” indica i Dati Personali che rivelino: l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché il Trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o i dati relativi a condanne penali e a reati o alle relative misure di sicurezza;
“Clausole Contrattuali Tipo” indica le Clausole Contrattuali Tipo adottate dalla Commissione Europea nella Decisione 2010/87/UE del 5 febbraio 2010 per il trasferimento dei Dati Personali da un Titolare stabilito nell’UE verso un'Entità extra SEE che agisca come Responsabile, inclusi gli Allegati 1 e 2 facenti parte integrante del presente Contratto;
"Cliente" indica il soggetto che ha attivato il Servizio oppure, collettivamente, i soggetti definiti nell'Allegato 4;
“Contratto Master” indica il contratto disciplinante la fornitura del Servizio concluso tra le Parti; “Contratto” indica il presente Contratto per il trattamento dei Dati Personali e gli Allegati 1 e 2;
“Dati Personali del Cliente” indica i Dati Personali, relativi agli Interessati, trattati in relazione al Servizio
fornito dal Responsabile nei confronti del Cliente;
“Dati Personali” significa qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; al fine di evitare contrasti interpretativi, “Dati Personali” ha il significato previsto dal Regolamento e dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali;
“Decisione di Adeguatezza” si riferisce a una decisione vincolante emessa dalla Commissione Europea che permette il trasferimento dei Dati Personali dallo Spazio Economico Europeo verso un paese terzo il cui ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei Dati Personali;
“Diritti dell’Interessato” sono i diritti riconosciuti all’Interessato dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. Nei limiti di applicabilità del Regolamento, “Diritti dell’Interessato” significa, ad esempio, il diritto di chiedere al Titolare l’accesso, la rettifica o la cancellazione dei Dati Personali, il diritto alla limitazione del Trattamento dei dati dell’Interessato o il diritto di opposizione al Trattamento, nonché il diritto alla portabilità dei dati;
"Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali" indica, negli Stati membri dell’Unione Europea, il Regolamento e le complementari legislazioni nazionali in materia di protezione dei Dati Personali, comprensivi di ogni orientamento e/o code of pratice emessi dalla competente Autorità di controllo all’interno dell’Unione Europea; e/o, negli Stati extra UE, ogni vigente legislazione in materia di protezione dei Dati Personali relativa alla tutela ed al legittimo Trattamento di Dati Personali;
“Elenco dei Sub-Responsabili” indica l’elenco disponibile inviando richiesta scritta a xxx@xxxx.xx;
“Entità extra SEE” indica ogni organismo, che agisca in qualità di Responsabile (o come sub-Responsabile), che Tratti Dati Personali del Cliente per l’erogazione del Servizio in un paese extra SEE o in un paese che non abbia ricevuto una Decisione di Adeguatezza;
“Esportatore” ha il significato previsto dalle Clausole Contrattuali Tipo; “Importatore” ha il significato previsto dalle Clausole Contrattuali Tipo; “Interessato/i” ha il significato previsto dal Regolamento;
“Regolamento” indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE;
“Responsabile” indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che Xxxxxx Dati Personali per conto del Titolare. Ai fini del presente Contratto, il Responsabile è la società ETINET SRL (infra: "ETINET SRL");
“SEE” indica lo Spazio Economico Europeo;
“Servizio” indica il servizio oggetto del Contratto Master;
“Sub-Responsabile” indica un organismo individuato dal Responsabile per assisterlo nel (o che intraprenda direttamente qualsivoglia) trattamento dei Dati Personali del Cliente nel rispetto delle obbligazioni previste dal Responsabile e di cui al presente Contratto, individuabile nell’elenco dei Sub-Responsabili, che sia stato autorizzato dal Titolare ai sensi dell’Art. 5 del presente Contratto;
“Titolare” indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che, da solo o congiuntamente con altri soggetti, determini le finalità e le modalità del Trattamento dei Dati Personali. Ai fini del presente Contratto, il Titolare è il Cliente;
“Trattare” o “Trattamento” significa qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a Dati Personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“UE” indica l’Unione Europea;
“Violazione dei Dati Personali” indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati.
2. RUOLI PRIVACY
2.1. Le Parti convengono che:
a) Il Cliente agisce come Titolare del Trattamento dei Dati Personali del Cliente posto in essere da ETINET SRL nell’erogazione del Servizio;
b) ETINET SRL agisce come Responsabile del Trattamento dei Dati Personali del Cliente nell’erogazione
del Servizio; e
c) il presente Contratto regola il rapporto tra le Parti con riferimento ai rispettivi compiti e obblighi con riferimento al Trattamento dei Dati Personali del Cliente posto in essere dal Responsabile nell’erogazione del Servizio.
3. OBBLIGHI DEL RESPONSABILE
3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del
Servizio.
3.2. Con riferimento all’erogazione del Servizio, il Responsabile si impegna a rispettare i seguenti obblighi,
compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto:
a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto;
b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente;
c) ETINET SRL in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile.
d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate.
e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.
4. OBBLIGHI DEL TITOLARE
4.1. Il Titolare è consapevole e accetta che, per consentire l’erogazione del Servizio da parte del Responsabile, il Titolare fornirà al Responsabile Dati Personali del Cliente. Il Titolare si impegna a verificare che le misure di sicurezza elencate nell'Allegato 2 del presente Contratto siano compatibili con i tipi di dati personali che il Titolare intende affidare al Responsabile ed a segnalare al Responsabile eventuali criticità, al fine di valutare congiuntamente con il Responsabile eventuali interventi da assumere, così come la compatibilità del Servizio con i Dati Personali del Cliente.
4.2. Il Titolare assicura e garantisce che:
a) sussiste un’idonea base legale (ad es., consenso dell’Interessato, legittimo interesse, autorizzazione della competente Autorità di Controllo, ecc.) per procedere al Trattamento e alla trasmissione dei Dati Personali del Cliente al Responsabile come parte della fornitura del Servizio; e
b) le previsioni riportate nel presente Contratto riflettono gli obblighi cui deve conformarsi ETINET SRL in osservanza delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali, aventi ad oggetto il trattamento dei Dati Personali del Cliente per l'erogazione del Servizio.
5. AUTORIZZAZIONE AL TRATTAMENTO DEI DATI DA PARTE DI SUB-RESPONSABILI
5.1. Il Titolare riconosce, accetta ed acconsente che, esclusivamente per procedere alla fornitura del Servizio e nel rispetto di quanto stabilito nel presente Contratto, i Dati Personali del Cliente potrebbero essere Trattati dal Responsabile o da suoi Sub-Responsabili come descritti nell’Elenco dei Sub-Responsabili.
5.2. Ai sensi dell’art. 5.1, il Responsabile è autorizzato a servirsi di Sub-Responsabili a condizione che:
a) informi preventivamente il Titolare dell’identità dei Sub-Responsabili come descritti nell’elenco dei Sub- Responsabili e notifichi al Titolare ogni aggiornamento del predetto elenco al fine di consentire al Titolare di opporsi all’impiego di detti Sub-Responsabili;
b) stipuli accordi con i Sub-Responsabili che contengano gli stessi obblighi previsti dal presente Contratto per quanto riguarda il Trattamento dei Dati Personali del Cliente;
c) eserciti adeguati controlli nel selezionare i Sub-Responsabili e rimanga responsabile per l’adempimento degli obblighi contenuti nel presente Contratto da parte dei Sub-Responsabili coinvolti;
d) su richiesta del Titolare, il Responsabile fornisca al Titolare adeguate informazioni in merito alle azioni ed alle misure che il Responsabile ed i suoi Sub-Responsabili hanno intrapreso per assicurare il rispetto delle previsioni del presente Contratto.
6. TRASFERIMENTO DEI DATI PERSONALI E INCLUSIONE DELLE CLAUSOLE CONTRATTUALI TIPO (OVE APPLICABILE)
6.1. Nella misura in cui sia applicabile il Regolamento e non vi sia alcuna Decisione di Adeguatezza, il Titolare e il Responsabile si impegnano a sottoscrivere le Clausole Contrattuali Tipo allegate in calce al
presente Contratto. Sul punto, il Titolare autorizza espressamente la sottoscrizione delle Clausole Contrattuali Tipo, consentendo al Responsabile di sottoscrivere le Clausole Contrattuali Tipo con Entità extra SEE per conto del Titolare.
6.2. Compatibilmente con quanto previsto dall’Art. 6.1, le Parti sono consapevoli che si applicheranno gli Allegati 1 e 2 del presente Contratto, e che gli Allegati 1 e 2 saranno considerati le Appendici 1 e 2 delle Clausole Contrattuali Tipo. Il Responsabile è autorizzato dal Titolare a procedere alla modifica unilaterale delle Appendici 1 e 2 delle Clausole Contrattuali Tipo solo per imporre all’Entità extra SEE obblighi più rigorosi.
6.3. Nulla del presente Contratto potrà prevalere su qualsivoglia clausola delle Clausole Contrattuali Tipo.
6.4. Previa richiesta, il Titolare può procedere alla revisione delle Clausole Contrattuali Tipo, inclusi gli Allegati 1-4.
6.5 Il Titolare riconosce che è responsabilità del Titolare del trattamento rispettare ogni eventuale compito e obbligo aggiuntivo applicabile al fine di rendere lecito il trasferimento dei Dati Personali ai Responsabili del trattamento e ai Sub-Responsabili ai sensi delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.
7. OBBLIGHI IN TEMA DI COLLABORAZIONE E RESPONSABILIZZAZIONE
7.1. Le Parti si impegnano a collaborare in buona fede per assicurare il rispetto delle previsioni di cui al presente Contratto, tra cui, ma non solo, il dovere di assicurare il corretto e tempestivo esercizio dei diritti dell’Interessato, gestire incidenti di sicurezza/Violazioni dei Dati Personali al fine di mitigare i possibili effetti avversi da essi derivanti.
7.2 Le Parti collaborano in buona fede per rendere disponibile reciprocamente e verso l’Autorità di Controllo le informazioni necessarie a dimostrare il rispetto delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.
8. DIRITTI DELL’INTERESSATO
8.1. In considerazione della natura del Trattamento, il Responsabile assiste il Titolare con misure tecniche ed organizzative adeguate ad assicurare l’adempimento degli obblighi del Titolare di riscontrare le richieste di esercizio dei diritti dell’Interessato.
8.2. Il Responsabile fornirà al Titolare adeguata collaborazione ed assistenza e provvederà a fornire tutte le informazioni ragionevolmente richieste allo scopo di fornire riscontro all’Interessato o, altrimenti, per permettere al Titolare di dimostrare il rispetto dei propri doveri ed obblighi per quanto concerne i diritti
dell’Interessato ai sensi delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. Il Titolare riconosce e accetta che, nel caso in cui tale cooperazione e assistenza richiedano un impiego significativo di risorse da parte del Responsabile, tale sforzo sarà addebitabile, previo preavviso e accordo, al Titolare.
9. RESTITUZIONE DEI DATI E CANCELLAZIONE
9.1. Il Responsabile, senza porre costi aggiuntivi a carico del Titolare, restituirà o distruggerà i Dati Personali del Cliente alla scadenza o risoluzione anticipata del presente Contratto e/o su richiesta del Titolare, subordinatamente ad una richiesta scritta inviata con congruo preavviso, salvo che sussistano specifici obblighi di conservazione previsti dalla legge (inclusi, a titolo esemplificativo ma non esaustivo, obblighi previsti dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali o richieste provenienti dall’autorità giudiziaria), tra cui, ma non solo, quelli provenienti dall’Autorità di Controllo, tali da impedire al Responsabile di adempiere.
9.2. Al fine di adempiere alla specifica richiesta del Titolare volta alla restituzione dei Dati Personali del Cliente, tale richiesta sarà soddisfatta nei limiti del possibile, subordinatamente ai limiti tecnici e organizzativi commercialmente ragionevoli, commisurati al volume, alla categorizzazione e alla quantità di Dati personali oggetto di trattamento.
9.3. I Dati personali del Cliente oggetto di restituzione in seguito alla procedura interna standard di ETINET SRL dovranno essere restituiti senza alcun costo per il Cliente o, in alternativa, verranno restituiti a un costo ragionevole per il Cliente medesimo.
9.4. Nel caso in cui il Titolare opti per la cancellazione dei Dati Personali del Cliente e fatto salvo quanto previsto dal successivo Art. 9.5, il Responsabile fornirà un’attestazione che assicuri tale cancellazione.
9.5. Il Responsabile potrà mantenere i Dati Personali del Cliente che siano stati conservati con regolari operazioni di backup nel rispetto dei protocolli di disaster recovery e business continuity del Responsabile (si veda art. 12), purché il Responsabile non compia, e non consenta ai propri Sub-Responsabili, di trattare in maniera attiva o intenzionale tali Dati Personali del Cliente per qualsivoglia finalità ulteriore rispetto alla fornitura del Servizio.
10. TRASMISSIONE
10.1. I Dati Personali trasmessi dal Responsabile in relazione al Servizio attraverso Internet dovranno essere cifrati in modo appropriato. Le Parti sono altresì consapevoli che la sicurezza delle trasmissioni su Internet non potrà essere completamente garantita. Il Responsabile non sarà responsabile per l'accesso a Internet
del Titolare, per eventuali intercettazioni o interruzioni di qualsiasi comunicazione attraverso Internet, o per modifiche o perdite di Dati Personali attraverso Internet.
10.2. In caso si sospetti una Violazione dei Dati Personali, il Responsabile potrà sospendere, immediatamente in attesa delle indagini sulle cause, l’utilizzo del Servizio via Internet da parte del Titolare, a condizione che il Responsabile notifichi tale sospensione non appena ciò sia ragionevolmente possibile, nonché adotti tutte le misure adeguate per ripristinare prontamente la fruizione del Servizio via Internet e cooperi con il Titolare al fine di proseguire l’erogazione del Servizio tramite altri canali di comunicazione disponibili.
10.3. Il Titolare porrà in essere tutte le azioni adeguate e necessarie a mantenere la riservatezza dei nominativi e delle password dei dipendenti del Titolare per l'erogazione del Servizio. Il Titolare sarà responsabile per le conseguenze di ogni utilizzo inidoneo del Servizio da parte dei dipendenti del Titolare.
11. VIOLAZIONE DEI DATI PERSONALI
11.1 Il Titolare è consapevole e acconsente che il Responsabile non sarà ritenuto responsabile in caso di Violazione dei Dati Personali che non sia imputabile a negligenza di quest’ultimo.
11.2 Nel caso in cui il Responsabile venga a conoscenza di una Violazione dei Dati Personali, dovrà:
a) adottare le misure appropriate per contenere e mitigare tale Violazione dei Dati Personali, inclusa la notifica al Titolare senza ingiustificato ritardo, al fine di consentire al Titolare di implementare rapidamente le contromisure necessarie. Nonostante quanto sopra, il Responsabile del trattamento si riserva il diritto di determinare le misure da porre in essere per conformarsi alle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali o per proteggere i suoi diritti e interessi;
b) collaborare con il Titolare per indagare: la natura, le categorie ed il numero approssimativo di Interessati coinvolti, le categorie ed il numero approssimativo di Dati Personali coinvolti e le probabili conseguenze di tale violazione con modalità commisurate alla serietà della violazione ed al suo impatto complessivo sul Titolare e sull’erogazione del Servizio previsto dal presente Contratto;
c) ove le Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali richiedano la notificazione alle competenti Autorità di Controllo ed agli Interessati della Violazione dei Dati Personali, e nel caso essa si riferisca a Dati Personali del Cliente, il Responsabile dovrà deferire al, e prendere istruzioni dal, Titolare, che sarà l’unico ad avere il diritto di determinare le misure che dovranno essere adottate per adempiere alle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali o per porre rimedio a qualsivoglia rischio, tra cui ma non solo:
i. determinare se l’avviso debba essere fornito a qualsivoglia individuo, autorità di regolamentazione, autorità giudiziaria, enti a tutela dei consumatori o altri come richiesto dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali, o richiesto a discrezione del Titolare; e
ii. determinare il contenuto di tale avviso, se sia possibile offrire all'Interessato dalla violazione qualche rimedio riparatorio, nonché la natura e l’ampiezza di tale rimedio.
12. DISASTER RECOVERY E BUSINESS CONTINUITY
12.1 Il Responsabile adotta ed aggiorna, secondo criteri di diligenza professionale, protocolli di disaster recovery e business continuity, la cui sintesi per punti è resa disponile al Titolare previa richiesta. Il Responsabile concorda di adottare tale programma. Il Responsabile può modificare tale programma in qualsiasi momento, a condizione che la sua capacità di fronteggiare un disaster recovery non si riduca ad un livello inferiore a quello previsto dal suddetto programma al momento della sottoscrizione del presente Contratto.
13. MANDATO
13.1 Con la sottoscrizione del presente Contratto, comprensivo degli Allegati 1, 2 e 3, il Titolare espressamente dà mandato al Responsabile ad eseguire per conto del Titolare le attività descritte nelle Clausole 5 e 6 di cui sopra.
13.2 Con la sottoscrizione del presente Contratto, il Responsabile accetta il mandato, che sarà eseguito senza remunerazione economica in quanto collegato alla fornitura del Servizio, confermando di aver letto e compreso le istruzioni assegnategli.
Il Cliente ETINET SRL
Decisione della Commissione C(2010)593 Clausole Contrattuali Tipo (responsabili)
Ai sensi dell’articolo 26, paragrafo 2, della direttiva 95/46/CE per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi che non garantiscono un livello adeguato di protezione dei dati
Nome dell'organizzazione esportatrice: il Cliente, come definito nelle Definizioni
(l'esportatore)
E
Nome dell'organizzazione importatrice:
(l'importatore)
denominato ciascuno «parte» e congiuntamente «parti»,
HANNO CONVENUTO le seguenti clausole contrattuali («le clausole») al fine di prestare garanzie sufficienti con riguardo alla tutela della vita privata e dei diritti e delle libertà fondamentali delle persone per il trasferimento dall’esportatore all’importatore dei dati personali indicati nell’appendice 1.
Clausola 1
Definizioni
Ai fini delle presenti clausole:
(a) I termini «dati personali», «categorie particolari di dati», «trattamento», «responsabile del trattamento», «incaricato del trattamento», «interessato/persona interessata» e «autorità di controllo» hanno la stessa accezione attribuita nella direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati1;
b) con «esportatore» s’intende il responsabile del trattamento che trasferisce i dati personali;
c) con «importatore» s’intende l’incaricato del trattamento stabilito in un paese terzo che s’impegni a ricevere dall’esportatore dati personali al fine di trattarli per conto e secondo le istruzioni dell’esportatore stesso, nonché a norma delle presenti clausole, e che non sia assoggettato dal paese terzo a un sistema che garantisca una protezione adeguata ai sensi dell’articolo 25, paragrafo 1, della direttiva 95/46/CE;
d) con «subincaricato» s’intende l’incaricato del trattamento designato dall’importatore o da altro
suo subincaricato, che s’impegni a ricevere dall’importatore o da altro suo subincaricato dati
* Da compilare solo in caso di necessità
1 Le parti hanno facoltà di avvalersi delle definizioni di cui alla direttiva 95/46/CE nell’ambito della
presente xxxxxxxx se ritenuto preferibile ai fini del contratto.
personali al solo fine di trattarli per conto e secondo le istruzioni dell’esportatore, nonché a norma
delle presenti clausole e del subcontratto scritto;
e) con «normativa sulla protezione dei dati» si intende la normativa che protegge i diritti e le libertà fondamentali del singolo, in particolare il diritto al rispetto della vita privata con riguardo al trattamento di dati personali, applicabile ai responsabili del trattamento nello Stato membro in cui è stabilito l’esportatore;
f) con «misure tecniche e organizzative di sicurezza» s’intendono le misure destinate a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali.
Clausola 2
Particolari del trasferimento
I particolari del trasferimento, segnatamente le categorie particolari di dati personali, sono indicati
nell’appendice 1 che costituisce parte integrante delle presenti clausole.
Clausola 3
Clausola del terzo beneficiario
1. L’interessato può far valere, nei confronti dell’esportatore, la presente clausola, la clausola 4, lettere da b) a i), la clausola 5, lettere da a) ad e) e da g) a j), la clausola 6, paragrafi 1 e 2, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 in qualità di terzo beneficiario.
2. L’interessato può far valere, nei confronti dell’importatore, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora l’esportatore sia scomparso di fatto o abbia giuridicamente cessato di esistere, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato può far valere le suddette clausole nei confronti del successore.
3. L’interessato può far valere, nei confronti del subincaricato, la presente clausola, la clausola 5, lettere da a) ad e) e g), la clausola 6, la clausola 7, la clausola 8, paragrafo 2, e le clausole da 9 a 12 qualora sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore che di conseguenza assume i diritti e gli obblighi dell’esportatore, nel qual caso l’interessato può far valere le suddette clausole nei confronti del successore. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
4. Le parti non si oppongono a che l’interessato sia rappresentato da un’associazione o altra organizzazione, ove siffatta rappresentanza corrisponda alla esplicita volontà dell’interessato e sia ammessa dalla legislazione nazionale.
Clausola 4
Obblighi dell’esportatore
L’esportatore dichiara e garantisce quanto segue:
a) che il trattamento, compreso il trasferimento, dei dati personali, è e continua ad essere effettuato in conformità di tutte le pertinenti disposizioni della normativa sulla protezione dei dati (e viene
comunicato, se del caso, alle competenti autorità dello Stato membro in cui è stabilito
l’esportatore) nel pieno rispetto delle leggi vigenti in quello Stato;
b) che ha prescritto all’importatore, e continuerà a farlo per tutta la durata delle operazioni di trattamento, di trattare i dati personali trasferiti soltanto per suo conto e conformemente alla normativa sulla protezione dei dati e alle presenti clausole;
c) che l’importatore fornirà sufficienti garanzie per quanto riguarda le misure tecniche e organizzative di sicurezza indicate nell’appendice 2;
d) che, alla luce della normativa sulla protezione dei dati, le misure di sicurezza sono atte a garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali, e che tali misure garantiscono un livello di sicurezza commisurato ai rischi inerenti al trattamento e alla natura dei dati da tutelare, tenuto conto della più recente tecnologia e dei costi di attuazione;
e) che provvederà all’osservanza delle misure di sicurezza;
f) che, qualora il trasferimento riguardi categorie particolari di dati, gli interessati sono stati o saranno informati prima del trasferimento, o immediatamente dopo, che i dati che li riguardano potrebbero essere trasmessi a un paese terzo che non garantisce una protezione adeguata ai sensi della direttiva 95/46/CE;
g) di trasmettere all’autorità di controllo l’eventuale comunicazione presentata dall’importatore o dal subincaricato ai sensi della clausola 5, lettera b), e della clausola 8, paragrafo 3, qualora decida di proseguire il trasferimento o revocare la sospensione;
h) che fornirà, su richiesta degli interessati, copia delle presenti clausole, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza, nonché copia dei subcontratti aventi ad oggetto il trattamento da effettuarsi in conformità delle presenti clausole, omettendo le informazioni commerciali eventualmente contenute nelle clausole o nel contratto;
i) che, in caso di subcontratto, il subincaricato svolge l’attività di trattamento in conformità della clausola 11 garantendo un livello di protezione dei dati personali e dei diritti dell’interessato quanto meno uguale a quello cui è tenuto l’importatore ai sensi delle presenti clausole;
j) che provvederà all’osservanza della clausola 4, lettere da a) ad i).
Clausola 5
Obblighi dell’importatore2
L’importatore dichiara e garantisce quanto segue:
a) di trattare i dati personali esclusivamente per conto e secondo le istruzioni dell’esportatore, nonché a norma delle presenti clausole, e di impegnarsi a informare prontamente l’esportatore qualora non possa per qualsiasi ragione ottemperare a tale disposizione, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o risolvere il contratto;
b) di non avere motivo di ritenere che la normativa ad esso applicabile impedisca di seguire le
istruzioni dell’esportatore o di adempiere agli obblighi contrattuali, e di comunicare
2 Disposizioni vincolanti della legislazione nazionale applicabile all’importatore che non vanno oltre quanto è necessario in una società democratica sulla base di uno degli interessi di cui all’articolo 13, paragrafo 1, della direttiva 95/46/CE; in altri termini, le restrizioni necessarie alla salvaguardia della sicurezza dello Stato, della difesa, della pubblica sicurezza, della prevenzione, della ricerca, dell’accertamento e del perseguimento di infrazioni penali o di violazioni della deontologia delle professioni regolamentate, di un rilevante interesse economico o finanziario dello Stato, della protezione della persona cui si riferiscono i dati o dei diritti o delle libertà altrui, non sono in contraddizione con le clausole contrattuali tipo. Costituiscono esempi di disposizioni vincolanti che non vanno oltre quanto è necessario in una società democratica le sanzioni internazionalmente riconosciute, gli obblighi di informazione in materia fiscale o contro il riciclaggio di capitali.
all’esportatore, non appena ne abbia conoscenza, qualsiasi modificazione di tale normativa che possa pregiudicare le garanzie e gli obblighi previsti dalle presenti clausole, nel qual caso l’esportatore ha facoltà di sospendere il trasferimento e/o di risolvere il contratto;
c) di aver applicato le misure tecniche e organizzative di sicurezza indicate nell’appendice 2 prima
di procedere al trattamento dei dati personali trasferiti;
d) che comunicherà prontamente all’esportatore:
i) qualsiasi richiesta giuridicamente vincolante presentata da autorità giudiziarie o di polizia ai fini della comunicazione di dati personali, salvo che la comunicazione sia vietata da norme
specifiche, ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini;
ii) qualsiasi accesso accidentale o non autorizzato; e
iii) qualsiasi richiesta ricevuta direttamente dagli interessati cui non abbia risposto, salvo che sia stato autorizzato a non rispondere;
e) che risponderà prontamente e adeguatamente a tutte le richieste dell’esportatore relative al trattamento dei dati personali soggetti a trasferimento e che si conformerà al parere dell’autorità di controllo per quanto riguarda il trattamento dei dati trasferiti;
f) che sottoporrà i propri impianti di trattamento, su richiesta dell’esportatore, al controllo dell’esportatore o di un organismo ispettivo composto da soggetti indipendenti, in possesso delle necessarie qualificazioni professionali, vincolati da obbligo di riservatezza e selezionati dall’esportatore, eventualmente di concerto con l’autorità di controllo;
g) che fornirà, su richiesta degli interessati, copia delle presenti, esclusa l’appendice 2, e una descrizione generale delle misure di sicurezza qualora gli interessati non siano in grado di ottenerne copia direttamente dall’esportatore, o copia dei subcontratti del trattamento, omettendo le informazioni commerciali contenute nelle clausole o nel contratto;
h) che, in caso di subcontratto, ha provveduto a informare l’esportatore e ha da questi ottenuto il
consenso scritto;
i) che il subincaricato svolgerà l’attività di trattamento in conformità della clausola 11;
j) che invierà prontamente all’esportatore copia dei subcontratti conclusi ai sensi delle presenti clausole.
Clausola 6
Responsabilità
1. Le parti convengono che l’interessato che abbia subito un pregiudizio per violazione degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera di una parte o del subincaricato ha diritto di ottenere dall’esportatore il risarcimento del danno sofferto.
2. Qualora l’interessato non sia in grado di proporre l’azione di risarcimento di cui al paragrafo 1 nei confronti dell’esportatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera dell’importatore o del subincaricato, in quanto l’esportatore sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, l’importatore riconosce all’interessato stesso il diritto di agire nei suoi confronti così come se egli fosse l’esportatore, a meno che tutti gli obblighi dell’esportatore siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore.
L’importatore non può far valere la violazione degli obblighi ad opera del subincaricato al fine di escludere la propria responsabilità.
3. Qualora l’interessato non sia in grado di agire in giudizio, ai fini dei paragrafi 1 e 2, nei confronti dell’esportatore o dell’importatore per violazione di uno degli obblighi di cui alla clausola 3 o alla clausola 11 ad opera del subincaricato, in quanto sia l’esportatore che l’importatore siano scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, il subincaricato riconosce all’interessato stesso il diritto di agire nei suoi confronti per quanto riguarda i trattamenti da quello effettuati ai sensi delle presenti clausole così come se egli fosse l’esportatore o l’importatore, a meno che tutti gli obblighi dell’esportatore o dell’importatore
siano stati trasferiti, per contratto o per legge, all’eventuale successore, nel qual caso l’interessato può far valere i suoi diritti nei confronti del successore. La responsabilità del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
Clausola 7
Mediazione e giurisdizione
1. L’importatore dichiara che qualora l’interessato faccia valere il diritto del terzo beneficiario e/o chieda il risarcimento dei danni in base alle presenti clausole, egli accetterà la decisione dello stesso interessato:
a) di sottoporre la controversia alla mediazione di un terzo indipendente o eventualmente
dell’autorità di controllo;
b) di deferire la controversia agli organi giurisdizionali dello Stato membro in cui è stabilito
l’esportatore.
2. Le parti dichiarano che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla normativa nazionale o internazionale.
Clausola 8
Collaborazione con le autorità di controllo
1. L’esportatore si impegna a depositare una copia del presente contratto presso l’autorità di controllo, qualora questa ne faccia richiesta o qualora il deposito sia prescritto dalla normativa sulla protezione dei dati.
2. Le parti dichiarano che l’autorità di controllo ha il diritto di sottoporre a controlli l’importatore e i subincaricati nella stessa misura e secondo le stesse modalità previste per l’esportatore dalla normativa sulla protezione dei dati.
3. L’importatore informa prontamente l’esportatore dell’esistenza di disposizioni normative applicabili all’importatore o ai subincaricati, che impediscono di sottoporli a controlli ai sensi del paragrafo 2. In tale ipotesi l’esportatore ha facoltà di prendere le misure di cui alla clausola 5, lettera b).
Clausola 9
Legge applicabile
Le presenti clausole sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore, ossia quella del Cliente.
Clausola 10
Modifica del contratto
Le parti si impegnano a non alterare o non modificare le presenti clausole. Ciò non osta a che le parti inseriscano altre clausole commerciale ritenute necessarie, purché non siano in contrasto con le clausole.
Clausola 11
Subcontratto
1. L’importatore non può subcontrattare i trattamenti effettuati per conto dell’esportatore ai sensi delle presenti clausole senza il previo consenso scritto dell’esportatore stesso. L’importatore che, con il consenso dell’esportatore, affidi in subcontratto l’esecuzione degli obblighi ai sensi delle presenti clausole stipula, a tal fine, con il subincaricato un accordo scritto che imponga a quest’ultimo gli obblighi cui è egli stesso tenuto in virtù delle clausole3. L’importatore rimane pienamente responsabile nei confronti dell’esportatore per l’inadempimento, da parte del subincaricato, degli obblighi di protezione dei dati previsti dall’accordo scritto.
2. Nell’accordo scritto tra l’importatore e il subincaricato è inserita la clausola del terzo beneficiario, di cui alla clausola 3, a favore dell’interessato che non sia in grado di proporre l’azione di risarcimento di cui alla clausola 6, paragrafo 1, nei confronti dell’esportatore o dell’importatore in quanto l’esportatore e l’importatore siano entrambi scomparsi di fatto, abbiano giuridicamente cessato di esistere o siano divenuti insolventi, e nessun successore abbia assunto, per contratto o per legge, l’insieme dei loro obblighi. La responsabilità civile del subincaricato è limitata ai trattamenti da quello effettuati ai sensi delle presenti clausole.
3. Le disposizioni sulla protezione dei dati ai fini del subcontratto di cui al paragrafo 1 sono soggette alla legge dello Stato membro in cui è stabilito l’esportatore, ossia quella del Cliente.
4. L’esportatore tiene un elenco dei subcontratti conclusi ai sensi delle presenti clausole e comunicati dall’importatore a norma della clausola 5, lettera j), e lo aggiorna almeno una volta all’anno. L’elenco sarà tenuto a disposizione dell’autorità di controllo dell’esportatore.
Clausola 12
Obblighi al termine dell’attività di trattamento dei dati personali
1. Le parti convengono che al termine dell’attività di trattamento l’importatore e il subincaricato provvedono, a scelta dell’esportatore, a restituire a quest’ultimo tutti i dati personali trasferiti e le relative copie ovvero a distruggere tali dati, certificando all’esportatore l’avvenuta distruzione, salvo che gli obblighi di legge impediscano di restituire o distruggere in tutto o in parte i dati personali trasferiti. In questo caso, l’importatore si impegna a garantire la riservatezza dei dati personali trasferiti e ad astenersi dal trattare di propria iniziativa tali dati.
2. L’importatore e il subincaricato si impegnano a sottoporre a controllo i propri impianti di trattamento su richiesta dell’esportatore e/o dell’autorità di controllo, ai fini della verifica dell’esecuzione dei provvedimenti di cui al paragrafo 1.
Per conto dell'esportatore, ETINET SRL
Nome (scritto per intero):
Posizione:
Indirizzo:
Altre informazioni necessarie per l’esecuzione del Contratto (se presenti):
Firma……………………………………….
(timbro dell’organizzazione, se richiesto)
3 Tale prescrizione può considerarsi soddisfatta qualora il subincaricato sottoscriva il contratto concluso tra
l’esportatore e l’importatore ai sensi della presente decisione.
Per conto dell'importatore:
Nome (scritto per intero):
Posizione:
Indirizzo:
Altre informazioni necessarie per l’esecuzione del Contratto (se presenti): Firma……………………………………….
(timbro dell’organizzazione, se richiesto)
ALLEGATO 1 (Appendice 1 delle Clausole Contrattuali Tipo, ove applicabile)
1. ESPORTATORE
L’esportatore è (si prega di specificare brevemente le attività rilevanti al trasferimento): il Titolare come definito all’Art. 1 del Contratto o il Responsabile autorizzato dal Titolare ai sensi dell’Art. 6 del Contratto.
2. IMPORTATORE
L’importatore è (si prega di specificare brevemente le attività rilevanti al trasferimento): il Responsabile come definito all’Art. 1 del Contratto o il Sub-Responsabile autorizzato dal Titolare ai sensi degli Artt. 5 e 6 del Contratto.
3. INTERESSATI
I Dati Personali oggetto di trasferimento riguardano le seguenti categorie di Interessati (si prega di specificare):
[si prega di completare/modificare come più appropriato, ad es.: dipendenti, potenziali dipendenti, apprendisti, volontari, clienti, fornitori, consulenti ecc.]
4. CATEGORIE DI DATI PERSONALI
I Dati Personali oggetto di trasferimento si riferiscono alle seguenti categorie di dati (si prega di specificare, ad es., dati personali quali nome, cognome, email, indirizzo):
5. CATEGORIE PARTICOLARI DI DATI PERSONALI (OVE PRESENTI)
I Dati Personali oggetto di trasferimento si riferiscono alle seguenti Categorie Particolari di Dati Personali (si prega di specificare, ad es., dati sullo stato di salute):
6. OPERAZIONI DI TRATTAMENTO
I Dati Personali oggetto di trasferimento saranno interessati dalle seguenti attività di Trattamento (si prega di specificare):
I Dati Personali potranno essere trasferiti solo in relazione alla fornitura del Servizio così come descritto nel Contratto Master.
ALLEGATO 2 (Appendice 2 delle Clausole Contrattuali Tipo, ove applicabile) Descrizione delle misure di sicurezza tecniche ed organizzative
Il Responsabile ed i Sub-Responsabili si impegnano a garantire un livello di sicurezza non inferiore a quello previsto dalle misure tecniche e organizzative di seguito descritte.
Informazioni sulle misure di sicurezza
Procedure sulla sicurezza delle informazioni Organizzazione interna
Sono stati definiti ruoli e responsabilità separati per la sicurezza delle informazioni e sono stati assegnati alle persone autorizzate al trattamento dei dati personali della Società (di seguito anche “utenti”) per evitare conflitti di interesse e prevenire attività inappropriate.
Sicurezza delle risorse umane Dispositivi mobili e telelavoro
È prevista una Policy di sicurezza per l’utilizzo di tutti i dispositivi aziendali, in particolare quelli mobili, e
sono in essere adeguati controlli.
Conclusione o modifiche al rapporto di lavoro
Al momento dell’uscita di un utente dall’organizzazione o nel caso di modifica significativa del ruolo ricoperto i permessi di accesso vengono aggiornati immediatamente, gli strumenti aziendali restituiti e azzerati sia fisicamente che logicamente.
Gestione delle risorse del patrimonio aziendale Responsabilità delle risorse del patrimonio aziendale
Tutte le risorse del patrimonio aziendale sono accuratamente inventariate ed è monitorata l’assegnazione delle stesse ai vari utenti che sono responsabili per la loro sicurezza. È definita una policy per l’uso corretto delle stesse.
Classificazione delle informazioni
Le informazioni sono classificate e catalogate dai rispettivi utenti in linea con quanto previsto dalle esigenze di sicurezza, nonché trattate in modo appropriato.
Gestione dei media
Le informazioni conservate sui media sono gestite, controllate, modificate ed utilizzate in modo tale da non comprometterne il loro contenuto e sono cancellate in modo adeguato.
Controllo degli accessi
Requisiti aziendali per il controllo degli accessi
I requisiti organizzativi aziendali per il controllo degli accessi alle risorse informative sono documentati in una policy e in una procedura di controllo degli accessi; l'accesso alla rete ed alle connessioni è limitato. Gestione dell’accesso degli utenti
L'allocazione dei diritti di accesso agli utenti è controllata dalla registrazione iniziale dell'utente fino alla rimozione dei diritti di accesso quando non più necessari, incluse le speciali restrizioni per i diritti di accesso privilegiato e la gestione delle "informazioni segrete di autenticazione", ed è soggetta a revisioni e controlli periodici incluso aggiornamento dei diritti di accesso. Nella gestione degli accessi viene utilizzato il criterio della minimizzazione dei diritti di accesso, che sono rilasciati al fine di permettere all’utente l’accesso ai soli dati necessari per la sua attività. Diritti di accesso ulteriori richiedono una specifica autorizzazione.
Responsabilità degli utenti
Gli utenti sono consapevoli delle loro responsabilità anche attraverso il mantenimento di un effettivo controllo degli accessi, ad esempio scegliendo una password complessa, complessità comunque verificata dal sistema, e tenendola riservata.
Sistemi e applicazioni per il controllo degli accessi
L'accesso alle informazioni è soggetto a restrizioni nel rispetto della policy sul controllo degli accessi, attraverso un sistema di accessi sicuri e di gestione delle password di accesso oltre al controllo sulle utilità privilegiate e l'accesso limitato a tutti i codici sorgente.
Crittografia
Controllo crittografico
È in essere una Policy sull’uso della cifratura dei supporti e dei dati degli utenti. Le autenticazioni sono
criptate.
Sicurezza fisica e ambientale
Sono in essere misure di sicurezza fisica e ambientale volte a prevenire l’accesso, la perdita o la diffusione
illegittima o accidentale dei dati presenti nelle varie strutture.
Aree sicure: data center
I servizi della Società vengono erogati e ospitati in più data center nel mondo, tra i quali uno dei principali per la custodia dei dati personali dei clienti è tra i pochi data center in Italia certificati Tier IV, ossia la massima garanzia che un data center possa offrire. Tutti i data center all’interno della catena di fornitura offrono ridondanza completa di tutti i circuiti elettrici, di raffreddamento e di rete. Tutti i data center dispongono di illuminazione perimetrale oltre ad un sistema di rilevamento di presenza con telecamere a circuito chiuso; le porte di emergenza sono dotate di allarme. Tutti gli allarmi sono concentrati in control room.
L’accesso fisico è regolato e controllato da procedure di autorizzazione, riconoscimento e registrazione ed
è circoscritto, grazie al sistema di controllo accessi, alle aree per le quali si è in possesso di autorizzazione.
Apparecchiatura
È in essere una policy per lo smaltimento delle apparecchiature dismesse in modo da distruggere in modo sicuro tutte le informazioni contenute.
Sicurezza delle operazioni
Procedure e responsabilità operative
Le responsabilità operative in ambito IT sono documentate e le modifiche alle strutture ed ai sistemi IT sono controllate. I sistemi di sviluppo, quelli di verifica e quelli operativi sono separati. Sono definiti utenti
responsabili del corretto funzionamento delle procedure. E’ invece a cura del cliente dei singoli servizi della Società (di seguito anche, il “cliente”) la gestione della sicurezza logica dei sistemi operativi e delle applicazioni installate dal cliente.
Protezione da malware
È attivo sui device aziendali il controllo dei virus e dei malware, e c’è un’idonea consapevolezza sul punto
da parte degli utenti.
Con riguardo ai servizi di Server Virtuale o Server Dedicato è a cura del cliente l’installazione di antivirus e anti malware e - se non è stato acquistato il relativo servizio - di firewall. Con riguardo al servizio di Hosting è invece in essere una protezione in real-time sulle macchine di front-end.
Con riguardo al servizio e-mail il traffico di posta viene analizzato in tempo reale, sia in ingresso che in uscita, per il rilevamento di virus, malware e per l’identificazione e il filtraggio dello spam. L’analisi è automatica e si basa sia sulla natura del contenuto, sia sulla interrogazione di basi dati internazionali, sia sulla reputazione acquisita grazie a una serie di parametri.
Backup
Vengono eseguiti backup periodici, ad esclusione dei servizi per i quali è responsabilità del cliente effettuare e gestire i backup (Server Dedicati e Server Virtuali). Per i servizi di Hosting e Posta vengono effettuati backup periodici che, per i servizi di Hosting, possono essere acceduti anche dal cliente. Ulteriori backup, non accessibili dai clienti, vengono effettuati a solo scopo di Disaster Recovery
Autenticazione e monitoraggio Autenticazione e sincronizzazione
Ogni attività ed evento relativo alla sicurezza delle informazioni da parte degli utenti del sistema e degli amministratori/operatori avviene previo inserimento delle credenziali di autenticazione o certificati di identità. Gli orologi di tutte le apparecchiature sono sincronizzati.
Controllo di software operativi
L’installazione di software sui sistemi operativi è controllata e monitorata.
Con riguardo ai Server Virtuali ed ai Server Dedicati i sistemi operativi rilasciati ai clienti vengono resi disponibili con immagini di installazione aggiornate anche in fase di installazione a cura del cliente. È parimenti a cura del cliente l’eventuale aggiornamento del firmware ed anche delle applicazioni o software installati dal cliente.
Gestione delle vulnerabilità tecniche Patch management
Ogni vulnerabilità tecnica viene corretta con idonee patch e sono previste procedure per tutte le fasi di test e per la conseguente installazione dei software e degli aggiornamenti che avviene solo quando tutti i test sono positivi.
Considerazioni sull’audit per le informazioni di sistema
Vengono effettuate verifiche periodiche al fine di controllare che siano ridotti al minimo gli eventuali effetti negativi sui sistemi di produzione e che non vi siano accessi abusivi ai dati.
Sicurezza delle comunicazioni Gestione della sicurezza della rete
Le reti e i servizi in rete sono resi sicuri anche attraverso la loro separazione e la segregazione.
Trasferimento delle informazioni
Sono in vigore accordi relativi al trasferimento delle informazioni da e verso terze parti.
Acquisizione, sviluppo e manutenzione del sistema Sicurezza nello sviluppo e processi di supporto
Le regole che governano la sicurezza dello sviluppo dei software e dei sistemi sono definite in una Policy. Le modifiche al sistema (sia per le applicazioni che per i sistemi operativi) sono controllate. La sicurezza del sistema è testata e sono definiti criteri di ammissibilità che includono gli aspetti di sicurezza.
Rapporti con i fornitori
Sicurezza delle informazioni nei rapporti coi fornitori
Sono previsti contratti o accordi volti a proteggere e a disciplinare il trattamento delle informazioni dell’organizzazione e dei clienti che siano accessibili a soggetti terzi operanti nell’area IT e ad altri fornitori terzi presenti nell’intera catena di fornitura.
Gestione dei servizi resi dal fornitore
L’erogazione dei servizi resi dai fornitori viene monitorata e verificata in relazione al contratto o all’accordo. Ogni modifica al servizio viene controllata.
Gestione degli incidenti alle informazioni di sicurezza
Gestione degli incidenti alla sicurezza delle informazioni e miglioramenti
Sono previste responsabilità e procedure apposite volte a gestire in modo coerente ed efficace gli eventi e gli eventuali incidenti relativi alla sicurezza delle informazioni (ad es. procedura di cd. Data Breach).
Aspetti della sicurezza delle informazioni relativi alla continuità aziendale Ridondanze
Tutte le principali strutture IT sono ridondate per soddisfare i requisiti di disponibilità. Laddove questa ridondanza non è in essere, sono in atto adeguate misure per garantire la continuità del servizio o la riduzione al minimo della perdita di dati.
Conformità
Conformità ai requisiti legali e contrattuali
L’azienda identifica e documenta i suoi obblighi verso le autorità esterne e le altre terze parti in relazione alla sicurezza delle informazioni, compresa la proprietà intellettuale, la documentazione contabile e le informazioni relative alla privacy.
Revisione della sicurezza delle informazioni
I progetti dell’organizzazione relativamente alla sicurezza delle informazioni e le policy di sicurezza sono revisionate e vengono promosse azioni correttive ove necessario.
L'Allegato 3 (Elenco dei sub-responsabili) va richiesto scrivendo a xxx@xxxx.xx.
ALLEGATO 4 (Entità che agiscono come Titolari)
Ai sensi del Contratto Master e del Contratto, il Cliente che agisce come Titolare è il soggetto che ha attivato il Servizio oppure, collettivamente, i soggetti indicati nella tabella sottostante. La parte firmataria rappresenta e garantisce di avere i poteri necessari a sottoscrivere validamente il presente Contratto (e, ove applicabile, la Clausole Contrattuali Tipo) anche per conto di tutte le rilevanti società ad essa collegate, di seguito indicate, così che tutti i relativi compiti e obblighi siano, a tutti gli effetti, efficaci ed applicabili anche per tali società.
Entità che agisce come Titolare | Paese/i in cui è stabilito il Titolare | (indicare: dettagli di contatto del Data Protection Officer o del responsabile delle questioni in materia di privacy) |
(inserire denominazione del Cliente) | (es., Italia) | |
(inserire denominazione altro soggetto/società che riceve il Servizio) | ||
In caso di modifiche all'elenco di cui sopra, la PARTE FIRMATARIA informerà il Responsabile attraverso un nuovo Allegato 4. Qualora ciò non avvenga, il Responsabile non sarà considerato responsabile per l'ulteriore trattamento per conto del Titolare che sia stato rimosso o aggiunto.
La PARTE FIRMATARIA e/o ogni Titolare saranno responsabili per ogni ulteriore necessità. (es. approvazione delle Clausole Contrattuali Tipo dell'Autorità di controllo) richiesta dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.
Per conto del Cliente, la PARTE FIRMATARIA:
Nome e Cognome (scritto per intero):
Indirizzo:
Altre informazioni necessarie per l’esecuzione del Contratto (se presenti): Firma……………………………………….
(timbro dell’organizzazione, se richiesto)