CONTRATTO PER IL TRATTAMENTO DEI DATI
CONTRATTO PER IL TRATTAMENTO DEI DATI
Versione del 25 maggio 2018
Il presente Contratto per il Trattamento dei Dati ("DPA") è parte integrante del contratto, di seguito indicato come "Contratto", il quale è stipulato tra Innovamac Srl ("INNOVAMAC") ed il Cliente, e che definisce i termini e le condizioni applicabili ai servizi offerti da INNOVAMAC (i "Servizi"). Il presente DPA e le altre disposizioni del Contratto sono complementari. Tuttavia, in caso di conflitto, il presente DPA prevale sul Contratto.
Xxxxxxx indicati con la lettera maiuscola e che non siano definiti del presente DPA saranno da interpretarsi secondo il significato proposto nel Contratto.
Scopo del presente DPA, stipulato fra INNOVAMAC e il Cliente, nel rispetto dell'articolo 28 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“ Regolamento generale sulla protezione dei dati” o “GDPR”, secondo l'acronimo inglese,(General Data Protection Regulation), è definire le condizioni in base alle quali INNOVAMAC, in qualità di Responsabile del trattamento e come parte dei Servizi definiti nel Contratto, abbia titolo per trattare, nel rispetto delle istruzioni del Cliente, Dati Personali così come definiti nel GDPR (“Dati Personali”). Il trattamento dei Dati Personali da parte di INNOVAMAC in qualità di Titolare del trattamento non è compreso nel presente DPA.
Ai fini del presente DPA, INNOVAMAC opera in qualità di “Responsabile al trattamento” e il Cliente dovrebbe agire quale “Titolare del trattamento”, interpretando “Responsabile” e “Titolare” del trattamento secondo il significato riportato nel GDPR.
Qualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, le Parti acconsentono espressamente alle condizioni seguenti:
(a) Il Cliente garantirà che (i) tutte le necessarie autorizzazioni da inserire nel presente DPA, ivi compresa la nomina da parte del Cliente di INNOVAMAC quale sub-responsabile del trattamento, siano state ottenute dal Titolare del trattamento, (ii) sia stato sottoscritto con il Titolare del trattamento un accordo pienamente coerente con i termini e le condizioni del Contratto, ivi compreso il presente DPA, nel rispetto del succitato articolo 28 del GDPR, (iii) qualsivoglia istruzione ricevuta da INNOVAMAC dal Cliente per l'esecuzione del Contratto e del presente DPA sia totalmente allineata con quelle del Titolare del trattamento, nonché (iv) tutte le informazioni comunicate o rese disponibili da INNOVAMAC, nel rispetto del presente DPA, siano debitamente comunicate al Titolare del trattamento, se del caso.
(b) INNOVAMAC si occuperà (i) del trattamento dei Dati Personali unicamente su istruzioni del Cliente e (iii) non riceverà alcuna istruzione direttamente dal Titolare del trattamento, fatto salvo nei
casi in cui il Cliente sia assolutamente irreperibile o non più esistente ai sensi di legge, senza alcun successore che ne assuma diritti e obblighi.
(c) Il Cliente, il quale è da ritenere totalmente responsabile nei confronti di INNOVAMAC per la corretta esecuzione degli obblighi del Titolare del trattamento, come previsto dal presente DPA, indennizzerà e manterrà INNOVAMAC indenne per (i) qualsivoglia inadempienza del Titolare del trattamento nell’applicazione della normativa vigente, nonché (ii) da azioni, rivendicazioni o reclami da parte del Titolare del trattamento relativi a disposizioni del presente Contratto (ivi compreso il presente DPA) o altra istruzione ricevuta da INNOVAMAC da parte del Cliente.
1. Obiettivo
In quanto Responsabile del trattamento operante su istruzioni del Cliente, INNOVAMAC è
autorizzata a trattare i Dati Personali del Titolare del trattamento per quanto necessario allo scopo di fornire i Servizi.
La natura delle operazioni svolte da INNOVAMAC in riferimento ai Dati Personali potrebbe comprendere attività di calcolo, immagazzinamento e/o qualunque altro Servizio, così come descritto nel Contratto.
La tipologia di Dati Personali e le categorie di interessati sono determinate e controllate a sola discrezione del Cliente.
Le attività di trattamento dei dati sono svolte da INNOVAMAC per il periodo specificato nel Contratto.
2. Selezione dei Servizi
Il Cliente è il solo responsabile della selezione dei Servizi e si assicurerà che quelli selezionati presentin le caratteristiche e le condizioni richieste per rispettare le attività del Titolare e gli scopi del trattamento, nonché il tipo di Dati Personali da trattare all'interno dei Servizi, ivi compreso, senza tuttavia a ciò limitarsi, quando tali Servizi siano utilizzati per trattare Dati Personali soggetti a regolamenti o standard specifici (x.xx. dati sanitari o bancari di alcuni Paesi).
Il Cliente è a conoscenza che INNOVAMAC propone alcuni Servizi con misure organizzative e di sicurezza specificatamente studiate per il trattamento di dati sanitari o bancari.
Qualora il trattamento da parte del Titolare abbia notevoli possibilità di comportare un alto rischio per i diritti o la libertà di persone fisiche, il Cliente selezionerà i propri Servizi con particolare cautela. Nella valutazione del rischio, saranno presi in considerazione i criteri seguenti, senza tuttavia a ciò limitarsi: valutazione o assegnazione di un punteggio agli interessati; decisioni automatizzate con conseguenze legali o effetti analoghi; monitoraggio sistematico degli interessati; trattamento di dati sensibili o di natura altamente personale; trattamento su larga scala; abbinamento o combinazione
di vari gruppi di dati; trattamento di dati relativi a interessati vulnerabili; utilizzo di tecnologie innovative non riconosciute dal pubblico per il trattamento dei dati.
INNOVAMAC metterà a disposizione del Cliente, nelle modalità indicate nella clausola “Attività di revisione”, informazioni relative alle misure di sicurezza adottate ai fini dei Servizi, per quanto necessario per la valutazione dell'ottemperanza di tali misure delle attività di trattamento dei dati del Titolare.
3. Rispetto dei regolamenti applicabili
Ogni Parte rispetterà i regolamenti applicabili in materia di tutela dei dati, ivi compreso il Regolamento generale sulla protezione dei dati con decorrenza dalla sua entrata in vigore all'interno dell’Unione europea.
4. Obblighi di INNOVAMAC
INNOVAMAC si impegna a quanto segue:
a) trattare i Dati Personali caricati, immagazzinati e utilizzati dal Cliente per i Servizi unicamente per quanto necessario allo scopo di fornire tali Servizi, così come definiti nel Contratto;
b) non accedere né utilizzare i Dati Personali per qualunque altro scopo se non quello strettamente necessario per lo svolgimento dei Servizi (in particolare in riferimento alle finalità di gestione degli Ordini o Servizi offerti nel contratto stipulato con il cliente);
c) adottare le misure tecniche e organizzative riportate nel Contratto per garantire la sicurezza dei Dati Personali nella fornitura dei Servizi;
d) garantire che i dipendenti di INNOVAMAC autorizzati al trattamento dei Dati Personali in base al Contratto siano vincolati da un obbligo di riservatezza e ricevano una formazione adeguata in merito alla tutela di tali dati;
e) informare il Cliente qualora sia dell'opinione, nonché in considerazione delle informazioni a sua disposizione, che un'istruzione del Cliente stesso violi il GDPR o altre disposizioni per la tutela dei dati dell’Unione europea o di uno Stato membro dell’UE;
f) in caso di ricevimento di richieste da parte di un’autorità competente e relative ai Dati Personali quivi trattati, informare il Cliente (fatto salvo quando proibito dalle normative vigenti o da un'ingiunzione di un’autorità competente), nonché limitare
la comunicazione dei dati a quanto l'autorità abbia espressamente richiesto.
Dietro richiesta scritta del Cliente, INNOVAMAC fornirà al Cliente una ragionevole assistenza nella conduzione delle valutazioni dell’impatto della tutela dei dati nonché nelle consultazioni con autorità di supervisione competenti, qualora fosse richiesto al Cliente di svolgere tali attività in base alla legge applicabile in materia di tutela dei dati, in ogni caso unicamente quando tale assistenza si renda necessaria e sia relativa al trattamento di Dati Personali da parte di INNOVAMAC quivi di interesse. Tale assistenza comporterà la garanzia della massima trasparenza sulle misure di sicurezza adottate da INNOVAMAC per i propri Servizi.
INNOVAMAC si impegna ad adottare le seguenti misure di sicurezza tecniche e organizzative:
(a) misure di sicurezza fisiche, tese a prevenire l'accesso di soggetti non autorizzati nelle Infrastrutture all’interno delle quali sono immagazzinati i dati del Cliente;
(b) controlli di identità e accesso utilizzando un sistema di autenticazione, nonché una politica di gestione delle password;
(c) un sistema di gestione degli accessi che limiti l’ingresso alle strutture a coloro per i quali sia indispensabile nello svolgimento dei loro compiti e all'interno delle loro responsabilità;
(d) personale dedicato responsabile del monitoraggio della sicurezza fisica delle strutture di INNOVAMAC;
(e) un sistema che isoli fisicamente e logicamente i clienti gli uni dagli altri;
(f) procedure di autenticazione per utente e amministratore, nonché per tutelare l'accesso alle funzioni di amministratore;
(g) un sistema di gestione degli accessi per attività di supporto e manutenzione che operi sui principi del privilegio minimo e della necessità di comunicazione;
(h) procedure e misure per tracciare le azioni svolte sul suo sistema informatico.
5. Violazioni di Dati Personali
Qualora INNOVAMAC fosse a conoscenza di un incidente con ripercussioni sui Dati Personali del Titolare del trattamento (quale un accesso non autorizzato, perdita, comunicazione o alterazione di dati), lo comunicherà al Cliente senza indebiti ritardi.
La comunicazione (i) descriverà la natura dell'incidente, (ii) le sue conseguenze più probabili, (iii) le misure prese o proposte da INNOVAMAC in riposta all'incidente ed (iv) eventuali contatti di INNOVAMAC.
6. Posizione e trasferimento dei Dati Personali
Qualora i Servizi consentissero al Cliente di immagazzinare contenuti e, in particolare, Dati Personali, sul sito Web di INNOVAMAC sarà specificata la posizione o l’area geografica del/i Centro/i Dati disponibili. Nel caso di più posizioni o aree geografiche disponibili, il Cliente ne selezionerà una a sua scelta nell'invio dell’Ordine. Nel rispetto dei Termini Speciali di Servizio applicabili, INNOVAMAC non modificherà senza previo consenso del Cliente la posizione o l'area geografica scelta all'invio dell’Ordine.
In ottemperanza della disposizione relativa alla posizione del Centro Dati sopra indicata, le Affiliate di INNOVAMAC che si trovino nell’Unione europea, in Canada e in qualunque altro Paese riconosciuto dall’Unione europea come in grado di fornire un livello di protezione adeguato dei Dati Personali (“Decisione di adeguatezza”), esclusi gli Stati Uniti d’America, hanno facoltà di trattare i Dati Personali unicamente per quanto necessario per lo svolgimento dei Servizi e, in particolare, in riferimento ad attività di gestione degli Incidenti.
L’elenco delle Affiliate che abbiano probabilità di prendere parte allo
svolgimento dei Servizi è comunicato come previsto nella successiva clausola “Subcontratto”.
I dati immagazzinati dal Cliente ai fini dei Servizi non saranno accessibili a INNOVAMAC da un Paese che non sia oggetto di una Decisione di adeguatezza, fatto salvo qualora (a) tale accesso sia espressamente previsto nei Termini Speciali di Servizio applicabili, oppure (b) il Cliente selezioni un Centro Dati al di fuori dell’Unione europea, in un Paese non soggetto a una Decisione di adeguatezza o (c) a seguito di specifico consenso del Cliente.
Qualora i Dati Personali trattati siano trasferiti fuori dall’Unione europea verso un Paese non soggetto a una Decisione di adeguatezza, dovrà essere sottoscritto un accordo in merito al trasferimento dei dati che rispetti le Clausole contrattuali standard adottate dall’Unione europea o, a discrezione di INNOVAMAC,altre garanzie di tutela riconosciute come sufficienti dalla Commissione europea. Quando tale trasferimento risulti dalla selezione da parte del Cliente di un Servizio per il quale ci si avvalga di uno specifico Centro Dati collocato fuori dall’Unione europea, l'adozione del
succitato accordo di trasferimento dei dati (o garanzie di tutela equivalenti) non è automatico e prevedrà specifica richiesta del Cliente.
Il Titolare completerà tutte le formalità del caso e otterrà le necessarie autorizzazioni (comprese quelle dagli interessati e dalle autorità di tutela dei dati competenti, se richiesto) per trasferire i Dati Personali entro i limiti previsti dal Contratto.
7. Subcontratto
In base alle disposizioni della clausola “Posizione e trasferimento dei Dati Personali” sopra riportata, INNOVAMAC potrà coinvolgere un altro responsabile per il trattamento dei Dati Personali come parte della prestazione dei Servizi (“Sub-responsabile”).
Il Cliente autorizza espressamente INNOVAMAC a coinvolgere Affiliate Sub-responsabili. L’elenco delle Affiliate Sub-responsabili di INNOVAMAC è disponibile sul sito Web di INNOVAMAC. Quest’ultima si impegna a garantire al Cliente trenta (30) giorni di preavviso ogniqualvolta aggiunga un’ulteriore Affiliata Sub-responsabile.
Nel rispetto di qualunque disposizione contraria delle Condizioni di Servizio applicabili, INNOVAMAC non coinvolgerà alcuna non Affiliata Sub-responsabile senza previo consenso del Cliente.
Quando le Condizioni di Servizio applicabili forniscano la possibilità di coinvolgere non Affiliate
Sub-responsabili, la convalida di tali Condizioni di Servizio da parte del Cliente sarà considerata come approvazione dei Sub-responsabili interessati elencati. Le non Affiliate Sub-responsabili sono riportate sul sito Web di INNOVAMAC o nelle Condizioni di Servizio applicabili.
INNOVAMAC si assicurerà che il Sub-responsabile sia, quantomeno, in grado di rispettare gli obblighi sottoscritti da INNOVAMAC nel presente DPA in riferimento al trattamento dei Dati Personali da parte del Sub-Responsabile.
A tale scopo, INNOVAMAC sottoscriverà un accordo con il Sub-responsabile. INNOVAMAC resterà totalmente responsabile nei confronti del Cliente per qualsivoglia obbligo per il quale il Sub- responsabile risulti inadempiente.
A prescindere da quanto sopra, INNOVAMAC è espressamente autorizzata a coinvolgere fornitori terzi (come fornitori di energia, di reti, gestori di punti di interconnessione di rete o centri dati collocati, fornitori di materiale o software, trasportatori, fornitori tecnici, società di sicurezza), senza dover informare il Titolare del trattamento od ottenere sua previa approvazione, sempre che tali fornitori terzi non abbiano accesso ai Dati Personali.
8. Obblighi del Cliente e del Titolare del trattamento
Per il trattamento dei Dati Personali come previsto dal Contratto, il Cliente fornirà a INNOVAMAC per iscritto (a) tutte le istruzioni del caso e (b) qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati. Il Cliente resta l'unico responsabile per le informazioni trattate e le istruzioni comunicate a INNOVAMAC.
Il Titolare del trattamento è responsabile di assicurare quanto segue:
(a) il trattamento dei Dati Personali del Titolare come parte dell'esecuzione del Servizio ha una base legale appropriata (x.xx. consenso dell’interessato e del Titolare, interessi legittimi,autorizzazione dalla rilevante Autorità di Supervisione, ecc.);
(b) tutte le procedure e formalità richieste (come valutazione dell'impatto della tutela dei dati, notifica e richiesta di autorizzazione all'autorità della privacy o altri enti competenti, dove richiesto) sono state debitamente espletate;
(c) gli interessati sono informati del trattamento dei loro Dati Personali in modo conciso, trasparente, comprensibile e di facile accesso, utilizzando un linguaggio chiaro e semplice come previsto dal GDPR;
(d) gli interessati sono informati e avranno in qualunque momento la possibilità di esercitare facilmente i loro diritti sui dati, come previsto dal GDPR, direttamente presso il Cliente o il Titolare.
Il Cliente è responsabile dell'adozione delle misure tecniche e organizzative appropriate per garantire la sicurezza di risorse, sistemi, applicazioni e operazioni non di responsabilità di INNOVAMAC, come definito dal Contratto (in particolare qualunque sistema e software sviluppato e utilizzato dal Cliente o dagli Utenti ai fini dei Servizi).
9. Diritti degli interessati
Il Titolare è totalmente responsabile di informare gli interessati dei loro diritti e del rispetto degli stessi, fra i quali si contano, senza tuttavia ad essi limitarsi, quello di accesso, rettifica, cancellazione, limitazione e portabilità.
INNOVAMAC fornirà cooperazione e assistenza ragionevoli, come potrebbe essere correttamente sollecitato, allo scopo di rispondere a richieste degli interessati. Tale ragionevole collaborazione e assistenza potranno consistere in (a) comunicare al Cliente qualunque richiesta ricevuta
direttamente da un interessato e (b) consentire al Titolare del trattamento di predisporre e adottare le misure tecniche e organizzative necessarie per rispondere alle richieste degli interessati. Il Titolare del trattamento sarà l’unico responsabile della gestione di tali richieste.
Il Cliente riconosce e acconsente a che, qualora tale cooperazione e assistenza richiedano risorse significative da parte del Responsabile del trattamento, detto impegno sia soggetto a pagamento, previa comunicazione e accordo con il Cliente.
10. Cancellazione e restituzione dei Dati Personali
Alla scadenza di un Servizio (in particolare in caso di conclusione o mancato rinnovo), INNOVAMAC si impegna a cancellare secondo le condizioni previste nel Contratto tutti i Contenuti (ivi compresi informazioni, dati, file, sistemi, applicazioni, siti Web e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente ai fini dei Servizi, fatto salvo in presenza di una richiesta emessa da un'autorità legale o giudiziaria competente, oppure quando la normativa applicabile dell’Unione europea e di uno Stato membro dell’UE preveda diversamente.
Il Cliente è l'unico responsabile di garantire la posta in essere delle operazioni necessarie (come backup, trasferimento a una soluzione di terzi, Snapshot, ecc.) per la tutela dei Dati Personali, in particolare prima della conclusione o della scadenza dei Servizi, nonché prima di avviare eventuali procedure di cancellazione, aggiornamento o reinstallazione dei Servizi.
In merito, il Cliente è informato che la conclusione o scadenza di un Servizio per qualunque ragione (ivi compreso, ma senza tuttavia a ciò limitarsi, il mancato rinnovo), nonché alcune operazioni specifiche per aggiornare o reinstallare i Servizi, potrebbero comportare automaticamente la cancellazione irreversibile di tutti i Contenuti (inclusi informazioni, dati, file, sistemi, applicazioni, siti Web e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente ai fini dei Servizi, compreso qualunque backup potenziale.
11. Responsabilità
INNOVAMAC potrà essere ritenuta responsabile unicamente per i danni causati dal trattamento quando (i) non abbia rispettato gli obblighi del GDPR specificatamente legati ai Responsabili del trattamento o (ii) abbia agito contro istruzioni validamente scritte dal Cliente. In tali casi, sarà di applicazione la disposizione sulla responsabilità del Contratto.
Qualora INNOVAMAC e il Cliente siano coinvolti in una procedura in base al presente Contratto che causi danni a un interessato, il Cliente si farà carico in prima istanza della totalità dell’indennizzo (o di altra compensazione) dovuto a detto interessato e, secondariamente, si rivarrà su INNOVAMAC per la parte della compensazione corrispondente alla responsabilità di INNOVAMAC, sempre che non sia di applicazione una limitazione di responsabilità prevista dal Contratto.
12. Attività di revisione
INNOVAMAC renderà disponibile al Cliente tutte le informazioni necessarie per (a) dimostrare il rispetto dei requisiti del GDPR e (b) consentire lo svolgimento di eventuali attività di revisione.
Tali informazioni sono disponibili in documenti standard sul sito Web di INNOVAMAC. Ulteriori informazioni potranno essere comunicate al Cliente a seguito di richiesta al SUPPORTO INNOVAMAC. Qualora si tratti di Servizio certificato, rispettoso di un codice di condotta o soggetto a specifiche procedure di revisione, INNOVAMAC renderà disponibili al Cliente i certificati corrispondenti o le relazioni sulle attività di revisione dietro richiesta scritta.
Nel caso in cui suddette informazioni, relazioni e certificati si dimostrino insufficienti per consentire al Cliente di accertare il rispetto degli obblighi riportati nel GDPR, INNOVAMAC e il Cliente concorderanno quindi condizioni operative, di sicurezza e finanziarie per un’ispezione tecnica sul posto.
Le condizioni di tale ispezione, tuttavia, non dovranno pregiudicare in alcun modo la sicurezza di altri clienti di INNOVAMAC.
Suddetta ispezione sul posto, nonché la comunicazione di certificati e relazioni sulla revisione, potrebbero ragionevolmente comportare una fatturazione aggiuntiva.
Qualunque informazione comunicata al Cliente nel rispetto di questa clausola e che non sia disponibile sul sito Web di INNOVAMAC sarà considerata un’informazione riservata di INNOVAMAC in base al Contratto.
Prima dicomunicare tali informazioni, INNOVAMAC potrà richiedere la firma di uno specifico accordo di non divulgazione.
A prescindere da quanto sopra, il Cliente è autorizzato a rispondere a richieste di autorità di supervisione competenti, sempre che qualunque comunicazione di informazioni sia strettamente limitata a quanto sollecitato da suddetta autorità di supervisione. In tal caso, e salvo che non sia proibito dalla normativa vigente, il Cliente consulterà prima INNOVAMAC in merito a tale richiesta di comunicazione di informazioni.