CONDIZIONI GENERALI DI CONTRATTO
CONDIZIONI GENERALI DI CONTRATTO
Servizi in SaaS
PREMESSO CHE
TECSIS offre servizi applicativi accessibili online di cui è proprietaria e che rientrano nella categoria “servizi SaaS”. I servizi SaaS offerti da TECSIS sono progettati per soddisfare le esigenze del maggior numero possibile di clienti, per lo svolgimento della propria attività, i quali devono assicurarsi che il Servizio sia conforme alle proprie esigenze e ai requisiti specifici necessari per il raggiungimento dello scopo prefissato.
Nel caso di prodotti rivolti alla PA, TECSIS garantisce di rispettare tutte le norme ed i regolamenti inerenti stabiliti dal legislatore o da AGID.
Prima di concludere il Contratto, il Cliente può richiedere a TECSIS qualsiasi informazione integrativa e/o assistere una dimostrazione del Servizio, dopodiché il Cliente riconosce di essere stato adeguatamente informato.
Eventuali specifiche o documenti predisposti dal Cliente che indichino richieste aggiuntive non saranno in nessun caso presi in considerazione da TECSIS ai fini del Contratto, salvo espresso consenso di TECSIS prima della sottoscrizione del Contratto, con l’intesa che eventuali specifiche concordate o richieste aggiuntive saranno allegate al Contratto e ne faranno parte integrante.
Eventuali richieste particolari da parte del Cliente di modificare il Servizio per conformarsi maggiormente alle sue esigenze possono essere soddisfatte da TECSIS solo nell’ambito dei Servizi Professionali che non rientrano nelle presenti Condizioni Generali per i Servizi SaaS.
È responsabilità del Cliente valutare se utilizzare i Servizi Professionali offerti da TECSIS.
TUTTO CIÒ PREMESSO, SI CONVIENE E STIPULA QUANTO SEGUE
1 Definizioni
AGID: Agenzia per l’Italia Digitale.
Assistenza: le prestazioni rese da TECSIS in relazione ad una fornitura. L’Assistenza può essere Continuativa, se resa sulla base di un Contratto avente ad oggetto il Servizio di Assistenza, ovvero Individuale, quando prestata dietro singola richiesta del Cliente, non altrimenti ricompresa in un Contratto di durata e tariffata per singolo intervento.
CA: Certification Authority. Soggetto terzo abilitato ad emettere certificati di identità digitale.
Circolare: Circolare AgID "Criteri per la qualificazione di servizi SaaS per il Cloud della PA".
Cliente: il soggetto che acquista i Prodotti/Servizi offerti da TECSIS, alle Condizioni Generali e speciali applicabili a ciascun Prodotto o Servizio.
Cloud: Insieme di infrastrutture tecnologiche remote utilizzate come risorsa virtuale per la memorizzazione e/o l’elaborazione nell’ambito di un servizio.
Cloud della PA: Il Cloud della PA è composto dalle infrastrutture e servizi IaaS/PaaS erogati da Cloud SPC, dai PSN e dai CSP qualificati da AgID ai sensi della Circolare "Criteri per la qualificazione dei Cloud Service Provider per la PA"
Codice /Codice dell’Amministrazione Digitale/CAD: Decreto Legislativo 7 marzo 2005, n. 82 e s.m.i.
Codice Appalti: il d.lgs. 50 del 2016.
Condizioni Generali: disciplinano i termini e le condizioni in base alle quali TECSIS fornirà al Cliente il Servizio disciplinato dal Contratto.
Consumatore: “consumatore” è identificato, ai sensi dell’art. 3 del D.lgs. 206/2005 (cd. “Codice del Consumo”), nella persona fisica che agisce per scopi estranei alla propria attività imprenditoriale o professionale.
Contratto: il rapporto contrattuale instaurato tra il Cliente e TECSIS costituito complessivamente, dal Modulo d’ordine, dalle Condizioni Generali di Contratto, dal MDPA, dal PDA Condizioni Speciali e dall’eventuale scheda prodotto.
CSC: Cloud Service Consumer acquirente e fruitore di servizi erogati in modalità Cloud.
CSP: Cloud Service Provider, ovvero fornitore di servizi erogati in modalità Cloud.
Dati: tutti i dati trattati e inseriti dal Cliente nel sistema, compresi i dati sensibili relativi alle persone fisiche .
Dati derivati: Dati che risiedono sotto il controllo del Cloud Service Provider, originati dall’interazione con il servizio Cloud da parte del Cloud Service Customer. I dati derivati includono tipicamente dati di logging, contenenti informazioni su chi ha utilizzato il servizio, quando lo ha utilizzato e che funzionalità ha utilizzato; possono anche includere informazioni circa il numero di utenti autorizzati e le loro identità; includono tutte le configurazioni e customizzazioni supportate dal servizio.
DPA-Condizioni Speciali: documento riportante le condizioni particolari di uno specifico servizio/prodotto in relazione al trattamento dati (vedi anche DPA).
DPA - Data Processing Agreement: Accordo principale per il trattamento dei dati personali. Il DPA si articola in diversi documenti: MDPA (Master Data Processing Agreement) e DPA- Condizioni Speciali.
Fornitore: Soggetto economico che opera nel mercato della fornitura e/o distribuzione di servizi SaaS o PA interessata ad erogare servizi SaaS ad altre Amministrazioni.
Fruitore: cittadini o utenti terzi non ricompresi nella nozione di Cliente e/o di Utente.
Giorni: giorni solari.
Iaas: “Infrastructure as a Service”. Servizio in cloud che mette a disposizione un hardware virtuale (CPU, Ram, spazio e schede di Rete), offrendo agli utenti un’infrastruttura flessibile. I sistemisti o gli amministratori di sistema, cioè la categoria a cui principalmente è dedicata questo particolare tipo di servizio, hanno la possibilità
così di lavorare sulle istanze da attivare e sulle risorse da utilizzare
senza preoccuparsi di gestire fisicamente l’infrastruttura.
Licenza d’uso: il contratto che regola l’utilizzo dei Prodotti software realizzati e forniti da TECSIS, ovvero realizzati da terzi e rivenduti da TECSIS
LRA: Local Registration Authority. Si tratta di una Sub-CA abilitata dalla CA root ad operare.
Marketplace Cloud: Piattaforma digitale che espone il catalogo dei servizi IaaS e PaaS qualificati ai sensi della circolare "Criteri per la qualificazione dei Cloud Service Provider per la PA", nonché i servizi SaaS qualificati da AgID ai sensi della presente Circolare.
MDPA: (Master Data Processing Agreement) Accordo principale per il trattamento dei dati personali (vedi anche DPA).
Modulo d’ordine: l’offerta economica controfirmata o il documento d’ordine su modulistica del cliente riportante il riferimento all’offerta.
Offerta Economica: l’offerta formulata da Tecsis per il prodotto/i servizio/i richiesto/i dal cliente.
PA: Pubblica Amministrazione, Ente Pubblico, Ordine Professionale, o soggetti equiparabili.
Paas: “Platform as a Service”. È un'offerta di cloud computing intermedia tra “Saas” e “Iaas” che fornisce agli utenti un ambiente cloud in cui poter sviluppare, gestire e distribuire le applicazioni. Oltre allo storage e ad altre risorse di calcolo, gli utenti possono utilizzare una suite di strumenti predefiniti per sviluppare, personalizzare e testare le loro applicazioni.
PagoPA: ecosistema di regole, standard e strumenti definiti dall'Agenzia per l'Italia Digitale e accettati dalla Pubblica Amministrazione, dalle Banche, Poste ed altri istituti di pagamento (Prestatori di servizi di pagamento - PSP) aderenti all'iniziativa, realizzato da AgID in attuazione dell'art. 5 del Codice dell’Amministrazione Digitale e dal D.L. 179/2012.
Periodo di Anniversario: coincide con definizione di anno solare. Portale intermediario: strumento IT per l’accesso al Nodo dei
Pagamenti PagoPA e reso disponibile al Cliente per l’utilizzo dei
Servizi di Pagamento.
Prerequisiti tecnici: requisiti elencati per ogni prodotto nelle rispettive schede tecniche.
Prezzo: costo dei servizi o dei prodotti forniti da TECSIS, come specificato nelle singole Sezioni delle Condizioni Generali, ovvero in offerta e/o nella Nota d’Ordine.
Prodotti: beni Software o Hardware forniti da TECSIS, anche se realizzati da terze parti.
Proprietà Intellettuale: diritti detenuti da TECSIS sui propri Prodotti, quali diritti d’autore e d’invenzione, marchi, brevetti, know how ed ogni altro diritto giuridicamente assimilabile.
Pubbliche amministrazioni/Amministrazioni/PA: Le Amministrazioni, come meglio definite all’art. 2, comma 2 del Codice dell’Amministrazione Digitale
XXX: persona fisica incaricata della procedura di riconoscimento ed emissione del certificato di identità digitale.
Requisiti di Sistema: i requisiti minimi relativi al Sistema Informatico, indicati nella scheda prodotto o nellaOfferta Economica, al fine di poter usufruire dei Servizi.
Reversibilità: Il processo attraverso il quale il CSC, in previsione della cessazione del rapporto contrattuale con il CSP, è in grado di recuperare tutti i propri dati memorizzati dal servizio. Il processo
di reversibilità prevede diverse fasi in cui, completate le operazioni di recupero dei dati e trascorso il periodo di salvaguardia concordato, il CSP procederà all'eliminazione definitiva di tutti i dati di proprietà del CSC. Le attività di recupero e cancellazione dei dati riguardano anche i dati derivati e le copie di backup.
SaaS (Software as a Service/SaaS): Tra i modelli di servizio offerti dalle piattaforme di Cloud computing, il Software as a Service (SaaS) identifica una classe di servizi fully-managed in cui il gestore del servizio (CSP) si occupa della predisposizione, configurazione, messa in esercizio e manutenzione dello stesso (utilizzando un’infrastruttura cloud propria o di terzi), lasciando al fruitore del servizio (PA) il solo ruolo di utilizzatore delle funzionalità offerte.
Scheda Prodotto: documento che contiene le caratteristiche del prodotto e le funzioni minime comprese.
Server Cloud: l’elaboratore centrale utilizzato dal Fornitore per la conservazione, aggiornamento e sincronizzazione dei dati del Cliente nonché per la fornitura dei Servizi.
Servizi: sono i servizi in Saas descritti all’articolo 3 (Elenco dei servizi disponibili) o descritti nell’Offerta Economica.
Servizi Internet: indicano, anche individualmente, i servizi di hosting e housing web, posta elettronica, pec, cloud, data center, internet providing, remote backup.
Sezione Speciale: insieme delle norme concretamente applicabili al singolo contratto che, unitamente alle Norme Generali, formano le Condizioni Generali che regolano i rapporti tra il Cliente ed il Fornitore.
Sistema Informatico: l’insieme di risorse hardware e software utilizzate dal Cliente per usufruire dei Servizi.
SLA: Service Level Agreement, un accordo formale che prevede le conseguenze del mancato raggiungimento degli obiettivi (SLO) prefissati relativamente alla qualità del servizio.
SLI: Service Level Indicator, una misura quantitativa definita di un determinato aspetto della qualità del servizio (ad es. numero di richieste al secondo, latency, throughput, availability, etc).
SLO: Service Level Objective, un valore o un intervallo di valori di riferimento per un livello di servizio misurato da un indicatore (SLI).
Soglia: quantitativo, in termini di tempo o altra unità di misura (accessi a portale, numero licenze ecc.), del Servizio richiesto da Tecsis.
Termini di servizio: documenti che disciplinano il rapporto contrattuale fra il titolare del servizio fornito e l'utente.
Utente: dipendente o soggetto legato da rapporto subordinato o di collaborazione con il Cliente.
2 Accettazione del contratto – Finalità
2.1 Accettazione del contratto
Si presuppone che il Cliente abbia letto il Contratto come definito
nell’Articolo 1 (Definizioni), costituito:
1. Dalle Condizioni Generali di Contratto,
2. dal MDPA,
3. dal PDA Condizioni Speciali dalla scheda prodotto
4. dalla Scheda prodotto
5. dall’Offerta Economica debitamente firmata per accettazione senza riserve.
La firma dovrà essere apposta con firma digitale PADES (PDF) dal legale rappresentante o da persona in possesso di delega di firma. Solo in caso di specifica richiesta del cliente e previa autorizzazione, il Modulo d’ordine potrà essere firmato con firma autografa e apposto il timbro dell’Ente o con firma digitale CADES (P7M) o altra modalità concordata.
Il Contratto si considera accettato alla data di sottoscrizione dell’Offerta Economica, facendo riferimento alle presenti Condizioni Generali e dando atto dell’accettazione dell’intero Contratto. Eventuali modifiche delle presenti Condizioni Generali devono essere debitamente accettate e sottoscritte dalle Parti, in mancanza, qualsiasi modifica o alterazione apportata del Contratto dovrà ritenersi nulla e inefficace.
2.2 Oggetto
Le presenti Condizioni Generali disciplinano i termini e le condizioni in base alle quali TECSIS fornirà al Cliente i Servizi scelti dall’elenco previsto al successivo articolo 3 o descritti nell’Offerta Economica. Il Modulo d’ordine può prevedere una disciplina speciale di dettaglio relativamente alla prestazione offerta da TECSIS, al prezzo, ai termini, alla durata del contratto.
Nel caso in cui il cliente sia una PA, e sia utilizzata una piattaforma per l’acquisizione di beni e servizi, l’accettazione del contratto seguirà le regole ivi previste.
3 Elenco dei servizi disponibili
TECSIS, in seguito ad anni di esperienza nel settore, è in grado di fornire i seguenti Servizi SaaS:
• IrideONLINE (gestione Albi) nelle sue diverse declinazioni (Medici, Psicologi, Veterinari, Ostetriche, Ingegneri, ecc.)
• IridePLUS (fatturaPA passiva)
• IrideWEB (portale del cittadino per servizi on line)
L’elenco potrà nel tempo essere integrato con nuovi servizi.
4 Ambito dei Servizi
L’elenco delle macro funzionalità applicative standard a cui si può accedere nell’ambito dei Servizi è indicato nel Modulo d’ordine o nella Scheda Tecnica del singolo servizio. Eventuali personalizzazioni o richieste speciali, pur essendo regolate dalle presenti condizioni, comportano il pagamento di somme extra sia per il canone che per valori una tantum di sviluppo.
In caso di contratto pluriennale, il cliente ha la facoltà di recedere entro i primi 6 mesi di ogni annualità inviando apposita comunicazione via PEC, in questo caso il servizio terminerà alla conclusione dell’anno in corso.
In mancanza di disdetta verrà emessa fattura di anno in anno fino
alla copertura dell’intero periodo contrattuale.
6 Attivazione dei Servizi
A pagamento avvenuto del canone, saranno avviate le procedure di attivazione dei servizi. L’accesso al servizio sarà possibile al termine delle attività prodromiche di attivazione di cui sopra.
7 Corrispettivo e pagamento per i Servizi
A fronte della fornitura del Servizio, il Cliente è tenuto a versare a TECSIS il corrispettivo previsto nel Modulo d’ordine, secondo le modalità previste dalle Condizioni Generali di Contratto.
In caso di mancato pagamento da parte del Cliente del corrispettivo dovuto a TECSIS, decorsi 15 (quindici) giorni dall’invio, mediante lettera raccomandata ovvero PEC, della diffida ad adempiere (qualora il Cliente non effettui il pagamento integrale ovvero un pagamento parziale a seguito della ricezione della predetta diffida), TECSIS si riserva il diritto di sospendere immediatamente il diritto del Cliente ad accedere al Servizio e a ogni altro servizio esistente fino al pagamento dell’intero importo dovuto e/o di risolvere il Contratto senza necessità di ulteriori comunicazioni formali, impregiudicato ogni altro mezzo di tutela di cui TECSIS possa avvalersi nei confronti del Cliente per ottenere il risarcimento del danno subito in conseguenza dell’inadempimento.
5 Data di efficacia del Servizio e durata
Il Contratto è valido a decorrere dalla data della sottoscrizione dell’offerta economica o di altro documento di pari valore previsto dalle piattaforme di acquisizione di beni e servizi della PA e rimane in vigore per la durata prevista dal Modulo d’ordine.
Il Servizio è erogato per un periodo minimo di 1 anno.
8 Diritto di accesso ai Servizi
TECSIS, in conformità alle disposizioni del Contratto e dopo il pagamento integrale dei canoni di abbonamento previsti nel Modulo d’Ordine, concede al Cliente un diritto di accesso al
Servizio che in base alla tipologia/natura del servizio stesso potrà riguardare un accesso in forma circoscritta:
• ad un certo numero di Utenti nominati (ovvero Utenti che hanno un nome utente e una password personale);
• ai fruitori del Cliente;
• ad un certo numero di sistemi logici o fisici (ad esempio, sedi, mobile, tablet, ecc.);
• e/o a ogni altra unità di lavoro espressa in quantità, soglie o massimali (ad esempio, numero fatturePA elaborate, numero documenti elaborati, memoria di massa occupata, percentuale CPU occupata, numero di dipendenti attivi, numero di iscritti all’albo, ecc.), come
indicato nella “scheda tecnica” e/o nel “Modulo d’Ordine”;
Nel caso vengano aumentate le soglie riportate in Offerta, il Cliente riconosce che le fatture relative al Servizio elaborate da TECSIS terranno conto di tali aumenti a partire dalla data di aumento delle soglie. Analogamente, per i casi compatibili con tale eventualità, il cliente potrà richiedere la riduzione delle soglie, a cui seguirà una corrispondente riduzione dei successivi canoni.
I fruitori del Cliente possono utilizzare il Servizio erogato, alle medesime condizioni contrattuali riconosciute da TECSIS al proprio Cliente. Il Cliente garantisce che i propri fruitori rispettino la totalità degli obblighi previsti dal Contratto e, in particolare, che utilizzino i Servizi secondo i termini del Contratto.
Eventuali violazioni del Contratto da parte dei fruitori saranno ritenute violazioni da parte del Cliente. Il Cliente è, pertanto, direttamente responsabile per ogni inosservanza di una qualsiasi disposizione del contratto, dovuta direttamente o indirettamente da una propria attività o da quella posta in essere da un proprio fruitore;
9 Fornitura e corretto utilizzo del servizio
Per i Servizi nei quali è previsto un livello di accesso da parte del personale del Cliente, verranno attivati uno o più account di accesso al singolo Servizio. Per ogni singolo Utente saranno poi comunicate le chiavi di accesso (username e password).
È compito del Cliente istruire ogni Utente sulle misure di sicurezza da rispettare. In particolare ogni Utente si deve impegnare a non divulgare, cedere o permettere l’uso a terzi delle predette chiavi di accesso e a conservarle con la massima cura e diligenza, essendo l’esclusivo responsabile della loro custodia e utilizzo. L’Utente accetta e riconosce sin d’ora come proprio ogni utilizzo e operazione del Servizio (connessione, modifica, registrazione dati o altro) che verrà effettuato con le sue chiavi di accesso. L’Utente accetta che, per quanto riguarda l’attestazione di tutte le operazioni effettuate dal suo account di accesso, faranno fede esclusivamente i log forniti da TECSIS.
TECSIS cesserà l’erogazione del Servizio nel momento della
scadenza del presente contratto.
Per quanto attiene il trattamento dei dati, si faccia riferimento al
documento “DPA - Data Processing Agreement”.
L’Utente accetta che il Servizio venga sospeso per l’esecuzione di interventi tecnici finalizzati alla manutenzione e/o aggiornamento del Servizio e delle risorse sulle quali è erogato. TECSIS sarà tenuta a dare all’Utente comunicazione di tali sospensioni con un preavviso di 3 (tre) giorni a mezzo e-mail o altri sistemi elettronici,
con l’indicazione delle tempistiche indicative previste per il ripristino del Servizio.
L’Utente riconosce che il Servizio si basa su una tecnologia in continua evoluzione, per cui accetta che TECSIS apporti delle modifiche alle caratteristiche tecniche ed economiche pattuite nel presente contratto, che influiscono sull’utilizzabilità da parte dell’Utente (come a titolo meramente esemplificativo, cambio di tecnologia dei componenti hardware dei dispositivi, ampliamento della capacità elaborativa e/o di memorizzazione ecc.). TECSIS darà comunicazione al Cliente a mezzo e-mail delle modifiche introdotte, con le relative informazioni per il miglior utilizzo del Servizio così modificato.
TECSIS potrà variare le caratteristiche tecniche, i sistemi, le risorse per effetto dell’evoluzione tecnologica delle componenti hardware e software, garantendo all’Utente le medesime funzionalità, anche senza nulla comunicare all’Utente.
XXXXXX non sarà in alcun modo responsabile per la perdita e danneggiamento di dati, informazioni e contenuti nel corso di interventi di assistenza e di prestazioni aggiuntive.
TECSIS si impegna ad assicurare all’Utente, che accetta, il servizio di accesso ed uso del Servizio al quale può essere associato un servizio di assistenza, regolato dalle Condizioni generali di Contratto alla tariffa prevista nel modulo d’ordine.
Il Servizio potrà essere utilizzato dal cliente, ovvero dai suoi Utenti o Fruitori, secondo le funzioni rese disponibili per le finalità legate all’attività professionale e lavorativa del Cliente, nel rispetto delle limitazioni tecniche.
10 Sospensione del Servizio
TECSIS può a sua discrezione, anche senza preavviso sospendere il Servizio qualora:
• Il Cliente si renda inadempiente ad una qualsiasi previsione del Contratto;
• TECSIS abbia ragionevoli motivi per ritenere che il Servizio sia utilizzato da terzi non autorizzati;
• si verifichino casi di forza maggiore o circostanze che, a insindacabile giudizio di TECSIS, impongano di eseguire interventi urgenti, segnatamente per la risoluzione di problemi di sicurezza e per prevenire o evitare pericoli per l’intera rete o per persone o cose;
• Il cliente si trovi coinvolto, a qualsiasi titolo, in una controversia giudiziale o stragiudiziale di natura civile, penale, amministrativa anche con terzi;
• la sospensione sia richiesta dall’autorità giudiziaria.
TECSIS si riserva di ripristinare il Servizio qualora ritenga superate ed eliminate le cause che avevano determinato la sospensione.
In caso di sospensione del Servizio imputabile al Cliente, il periodo di sospensione non sarà in alcun modo rimborsato o recuperato e TECSIS ha diritto al risarcimento dei danni subiti per la condotta dell’Utente o dei suoi Fruitori.
In caso di sospensione del Servizio imputabile a TECSIS, la durata del presente contratto sarà proporzionalmente estesa per un periodo corrispondente al numero di giorni in cui il Servizio è rimasto sospeso, senza che il Cliente possa pretendere risarcimenti, rimborsi o indennizzi di sorta.
11 Proprietà intellettuale
TECSIS è titolare di tutti i diritti di proprietà intellettuale che si riferiscono al Servizio o, qualora un terzo sia titolare dei diritti di proprietà intellettuale, dichiara di aver ottenuto da detto terzo il diritto di commercializzare o distribuire il Servizio. TECSIS si riserva tutti i diritti, incluso il diritto di apportare correzioni, implementazioni, modifiche evolutive, su qualsiasi Servizio. Eventuali richieste relative all’interoperabilità del Servizio con qualsiasi programma di terzi, inclusi programmi di terzi sotto licenza open source, dovranno essere preventivamente comunicate a TECSIS mediante lettera raccomandata ovvero PEC. Le richieste saranno valutate e potranno dare luogo ad un preventivo di spesa, sia che queste si configurino come funzioni appartenenti ad un modulo opzionale disponibile, sia che si tratti di personalizzazioni eseguite ad hoc per lo specifico Cliente, ovvero che richiedano una fase di sviluppo.
Il Contratto non conferisce al Cliente alcun diritto di proprietà sul Servizio, sulla sua tecnologia o sui diritti di proprietà intellettuale di TECSIS o di terzi. Il Cliente non potrà provocare alcun danno al Servizio o, in particolare, utilizzare il Servizio per scopi diversi da quelli previsti dalle condizioni del Contratto. Di conseguenza, il Cliente si asterrà da qualsiasi reverse engineering del Servizio al fine di realizzare un prodotto o Servizio concorrente e/o copiare o riprodurre qualsiasi funzionalità, funzione o caratteristica grafica del Servizio.
Il Cliente:
• si impegna ad utilizzare il Servizio esclusivamente in conformità alla relativa documentazione per i soli fini della sua attività professionale;
• si impegna a far rispettare tali prescrizioni anche ai propri dipendenti, collaboratori e propri clienti e/o Fruitori del servizio a qualsiasi titolo a loro collegati;
• è l’unico responsabile dei contenuti pubblicati e/o scaricati attraverso i Servizi nonché della natura, del contenuto, della correttezza, dell’integrità e della legittimità dei Dati del Cliente inviati a TECSIS nell’ambito del Servizio e per le operazioni che ne derivano. In particolare, tenuto conto dell’uso autorizzato del Servizio al Cliente, quest’ultimo si asterrà dall’inviare o conservare dati che siano illeciti, osceni, diffamatori, illegali o che violino i diritti di terzi, la tutela dei minori o altri diritti alla privacy ecc. e si impegna a far rispettare tali prescrizioni anche ai propri dipendenti, collaboratori e propri clienti e/o Fruitori del Servizio a qualsiasi titolo a loro collegati;
• si impegna ad astenersi dal distribuire il Servizio, metterlo a disposizione di terzi a qualsiasi titolo, se non diversamente indicato nei documenti contrattuali;
• si impegna a non distorcere o interferire con l’integrità o
l’erogazione del Servizio o dei Dati in esso contenuti;
• si impegna a non cercare di ottenere l’accesso non
autorizzato al Servizio o a sistemi o reti ad esso associati.
12 Responsabilità del Cliente
Il Servizio sarà utilizzato sotto il controllo, la direzione e la responsabilità unicamente del Cliente. Il Cliente è garante del
rispetto da parte degli Utenti e dei Fruitori delle disposizioni del Contratto.
Senza pregiudizio di quanto precede, il Cliente è responsabile:
• dell’adozione e mantenimento di procedure e misure atte alla protezione delle postazioni di lavoro per gli Utenti,
l’hardware, il software e le password, anche contro virus
o intrusioni;
• della conformità all’ultima versione aggiornata dei
prerequisiti tecnici;
• della selezione, del conseguimento e della manutenzione di ogni accesso a internet e alle telecomunicazioni necessarie;
• della nomina, tra il proprio personale, di un referente dedicato a TECSIS in qualità di responsabile per il Cliente e per il Servizio, anche in materia di sicurezza;
• dell’applicazione nell’intera infrastruttura dell’Ente, di tutte le misure minime di sicurezza definite da AGID e obbligatorie per tutte le PA;
• dell’utilizzo dei codici di accesso inviati da TECSIS al Cliente nell’esecuzione del Servizio. Il Cliente assicura che nessuna persona non autorizzata avrà accesso al Servizio;
• degli errori commessi dagli Utenti e dai Fruitori durante la
connessione o l’utilizzo del Servizio, in particolare per
quanto riguarda l’accesso a internet e la navigazione.
Nella misura massima consentita dalla legge, TECSIS declina ogni responsabilità:
• per la qualità e la trasmissione elettronica dei Dati
attraverso l’utilizzo di reti di telecomunicazione e, più in
generale,
• per la qualità e l’affidabilità della connessione internet tra le postazioni di lavoro dell’Utente/ e dei Fruitori del Cliente e il punto di accesso al Servizio.
Inoltre, TECSIS non è responsabile della distruzione accidentale dei Dati del Cliente ad opera del Cliente o di terzi che accedano al Servizio per cause non imputabili a TECSIS.
XXXXXX non è responsabile di qualsiasi avvenimento avverso, che manifesti effetti negativi al Cliente o ai Fruitori del servizio quando questi siano conseguenti alla mancata applicazione delle misure minime di sicurezza previste da AGID per le PA.
TECSIS si riserva il diritto di addebitare al Cliente il tempo dedicato alla ricerca delle cause e/o al ripristino delle condizioni di esercizio del Servizio per eventuali incidenti derivanti da atti diversi da quelli commessi da TECSIS o che siano il risultato dei Servizi che TECSIS fornisce.
13 Garanzia
TECSIS garantisce che ogni Servizio sarà conforme in ogni aspetto sostanziale alla relativa Scheda prodotto.
TECSIS non garantisce che il Servizio sia esente da vizi, ma si impegna unicamente a porre rimedio, con la ragionevole diligenza possibile, ad eventuali errori riproducibili nel Servizio osservati con riferimento alla documentazione. La garanzia di conformità del Servizio si limita espressamente alla sua conformità alla Scheda prodotto e non si estende ad una garanzia di conformità alle specifiche esigenze o attività del Cliente. TECSIS non garantisce la
capacità del Servizio di conseguire gli obiettivi o i risultati che il Cliente ha stabilito per sé o per i suoi Fruitori e/o di svolgere compiti specifici che possano essere stati alla base della sua decisione di concludere il Contratto. Il Cliente, o qualsiasi rappresentante designato dal Cliente, è pertanto responsabile di assicurare che il Servizio sia conforme alle sue esigenze o alla specifica attività nel territorio in cui il Servizio viene utilizzato. Nella misura massima consentita dalla legge, sono espressamente escluse tutte le altre garanzie diverse da quelle indicate nel presente articolo.
Diversamente TECSIS potrà modificare le funzioni esistenti o sviluppare nuove funzioni e renderle disponibili al Cliente o ai suoi Fruitori esclusivamente a valle del pagamento del corrispettivo stabilito e comunicato al Cliente mediante nuovo Documento d’Offerta.
Il Cliente riconosce, inoltre, che i progressi tecnologici, le modifiche legislative e le modifiche alle richieste della clientela possono comportare l’aggiornamento del Servizio e/o del software di terzi da parte di TECSIS e che tale aggiornamento può comportare l’aggiornamento dei prerequisiti tecnici, con riferimento ai quali TECSIS declina ogni responsabilità ed ogni addebito in relazione ai costi connessi.
15 Sviluppo dei Servizi
14 Manutenzione ordinaria ed evolutiva, revisione e aggiornamento
La manutenzione ordinaria ed evolutiva, la revisione e
l’aggiornamento del Servizio sono inclusi nel relativo canone. Fermo restando che TECSIS non ha alcun obbligo di aggiornare e ulteriormente sviluppare il Servizio, TECSIS informerà il Cliente, a mezzo avvisi elettronici o mail, degli aggiornamenti e revisioni emessi, con riferimento al Servizio.
Al Servizio così aggiornato o revisionato si applicheranno tutte le clausole delle presenti Condizioni Generali.
Per tutta la durata del contratto TECSIS assicurerà al cliente assistenza per la risoluzione di problemi di accesso e fruizione del Prodotto/Servizio, di funzionamento ed uso.
Le richieste di assistenza e di informazioni potranno essere inoltrate, in forma scritta all’indirizzo e-mail xxxxxxxxxx@xxxxxx.xx . I servizi di assistenza sono erogati da TECSIS o da suoi incaricati durante i giorni lavorativi negli orari 8:30-13:00 e 14:00-16:00, con la massima diligenza e puntualità, compatibilmente con le proprie esigenze ed impegni lavorativi. Al fine di consentire l’espletamento delle prestazioni di assistenza, il Cliente sarà tenuto a fornire a TECSIS tutte le informazioni necessarie. TECSIS non garantisce che, tramite i servizi di assistenza, siano risolvibili tutti i problemi di accesso e fruizione del Servizio e di funzionamento e uso del medesimo.
I servizi di assistenza non ricomprendono attività diverse dalla risoluzione dei predetti problemi di accesso, funzionamento ed uso, come a titolo esemplificativo: modifiche al Servizio, sviluppo di programmi personalizzati, recupero di archivi dell’Utente, collegamento a programmi diversi, interventi presso la sede dell’Utente. Queste attività, così come qualsiasi altra attività non ricompresa nel contratto di fornitura del Servizio, saranno erogate da TECSIS alle tariffe di volta in volta vigenti, che saranno comunicate al Cliente.
TECSIS, nel corso dei predetti interventi di assistenza e di prestazioni aggiuntive, non sarà in alcun modo responsabile per la perdita e danneggiamento di dDati, informazioni e contenuti presenti nel Servizio.
Il Cliente prende atto che modifiche legislative, regolamentari e tecnologiche possono, in qualsiasi momento, rendere obsolete le funzionalità applicative standard accessibili nell’ambito del Servizio. TECSIS procederà all’aggiornamento delle funzionalità applicative standard accessibili nell’ambito del Servizio entro un tempo tecnico ragionevole, al fine di adeguarle alle nuove disposizioni di legge, a condizione che gli aggiornamenti non richiedano la rielaborazione di una parte significativa delle funzionalità applicative standard esistenti.
XXXXXX rimarrà l’unica responsabile dello sviluppo del Servizio, in particolare per quanto concerne gli sviluppi tecnologici. TECSIS può progettare, organizzare e circoscrivere il Servizio, modificarlo e aggiornarlo qualora necessario con partner e/o fornitori di sua scelta senza il previo consenso scritto del Cliente, a condizione che ciò non riduca gli impegni di TECSIS previsti nei Termini di Servizio.
Lo sviluppo del Servizio, quando riguardante la gestione di processi o procedimenti amministrativi, si atterrà in via esclusiva alle norme di legge che lo regolano. Quando queste fossero interpretabili, TECSIS si riserva di adottare la soluzione che riterrà più adatta a rispondere al maggior numero di Clienti e alle dinamiche operative consolidate, ad eccezione che queste ultime non siano in palese contrasto con le suddette leggi o norme attuative.
Nel caso in cui il Cliente richieda uno sviluppo del Servizio che risulti non conforme all’interpretazione prevalente della normativa di riferimento, TECSIS si riserva di valutare l’opportunità di procedere con tale richiesta. Gli oneri saranno a carico del Cliente, il quale si assume tutte le responsabilità in relazione alle richieste di funzionamento del processo ed in particolare per qualsiasi responsabilità dovesse insorgere per qualsiasi violazione di legge e a qualsiasi titolo.
16 Modifica dei Termini di Servizio
TECSIS può modificare i Termini di Servizio dando 1 (un) mese di preavviso al Cliente, tramite invio di comunicazione per posta o e- mail (anche PEC) ai responsabili del Servizio nominati ovvero all’Ente o pubblicando informazioni sul portale aziendale e/o con ogni altro mezzo appropriato. Al termine del predetto mese di preavviso, qualora il Cliente non abbia risolto il Contratto come consentito dall’Articolo 5, si riterrà che il Cliente abbia accettato la modifica dei Termini di Servizio, salvo diverse disposizioni dal bando di gara o della piattaforma di aggiudicazione nel caso in cui il Cliente sia una PA.
Impregiudicato quanto precede, TECSIS può modificare i Termini di Servizio per conformarsi a eventuali leggi o regolamenti. In tal caso, TECSIS si adopererà per comunicare al Cliente la modifica entro un termine ragionevole.
Nel caso in cui il Cliente sia una PA verranno applicate le eventuali diverse condizioni riportate nel bando di gara o nella piattaforma di acquisizione.
17 Assenza di utilizzo dei Dati del Cliente
Il Cliente è titolare del trattamento dei dati relativi ai propri Utenti/Fruitori. Ad eccezione dell’uso descritto nell’Articolo 18 (Uso delle informazioni Statistiche), TECSIS si asterrà dall’utilizzare, modificare, cedere o trasferire a terzi, in tutto o in parte, a titolo oneroso o gratuito, i Dati del Cliente e/o degli Utenti del Cliente che siano stati comunicati a TECSIS dal Cliente, o Fruitori tutti, per l’erogazione del Servizio, per scopi diversi da quelli del Contratto.
18 Uso delle informazioni statistiche
In deroga all’Articolo 8.3 (Assenza di utilizzo dei Dati del Cliente), TECSIS può utilizzare i Dati del Cliente nelle modalità e nei limiti necessari per la predisposizione delle proprie fatture, per l’elaborazione di statistiche di utilizzo e per fornire assistenza al Cliente. TECSIS può anche elaborare e pubblicare statistiche aggregate in forma anonima, a condizione che non individuino le Informazioni Riservate del Cliente e non includano alcun Dato Personale. TECSIS manterrà tutti i diritti di proprietà intellettuale sui risultati di tali analisi statistiche.
19 Misure antifrode
Il Cliente garantisce che utilizzerà il Servizio fornito da TECSIS, per sé e per i propri Utenti e Fruitori, in conformità con le leggi e i regolamenti applicabili, in particolare in materia fiscale.
20 Disposizioni f inanziarie
20.1 Prezzi
I prezzi inerenti al Servizio richiesto sono indicati nel Documento d’Offerta. Tutti i prezzi indicati sono al netto dell’IVA e di tutti gli altri oneri, tasse, imposte, dazi o canoni dovuti dal Cliente ai sensi della normativa in vigore alla data di emissione della fattura di TECSIS al Cliente, i quali sono esclusivamente a carico del Cliente. Il costo delle comunicazioni tra TECSIS e il Cliente al di fuori dell’Italia sarà a carico del Cliente e sarà oggetto di fatturazione.
20.2 Fatturazione
Ove non diversamente indicato nel Documento d’Offerta, la fatturazione avverrà alla data dell’accettazione dell’Offerta a copertura della prima annualità. Nel caso di periodo contrattuale pluriennale, dopo la prima annualità, la fatturazione avverrà di 12 mesi in 12 mesi.
Qualora il Cliente abbia aderito a diversi Servizi in base a diversi Documenti d’Offerta, TECSIS si riserva altresì il diritto di emettere un’unica fattura per tutti i Servizi ordinati.
Qualora il Cliente superi il limite di soglia indicato nel Documento d’Offerta o nella Scheda Tecnica del prodotto, TECSIS fatturerà al Cliente i costi relativi all’eccedenza applicando la tariffa in vigore al momento dello sforamento, adeguando le fatture successive alla nuova soglia utilizzata dal Cliente. Qualora il superamento della soglia avvenga in un'unica occasione o comunque per un periodo limitato, il maggior costo sarà applicato solo per tale periodo.
20.3 Codice CIG
Nel caso il cliente sia una PA e ritenga di inquadrare la fornitura in un contesto di gara che richieda apposito codice CIG, detto codice, se non già comunicato in sede di richiesta dell’Offerta, va comunicato contestualmente alla comunicazione di accettazione dell’Offerta Economica.
Nel caso in cui il Cliente non comunichi il Codice CIG contestualmente all’accettazione dell’Offerta, deve provvedervi entro e non oltre il termine di 5 gg. solari. In caso contrario TECSIS è Autorizzata all’emissione delle fatture anche in assenza di tale codice. L’eventuale rifiuto delle stesse a causa della mancanza del CIG produrrà una spesa accessoria di € 50,00 per il conseguente rinvio.
20.4 Revisione del prezzo all’interno del periodo
contrattuale
Nel caso di contratti con durata pluriennale (24 mesi, 26 mesi, ecc.) il prezzo resta fisso per l’intera annualità prepagata ma potrà variare fino ad un massimo del 6% per le annualità successive.
TECSIS conserva il diritto di aumentare il prezzo per esigenze del mercato e indipendenti dalla propria volontà (es. aumento dei costi di prodotto di terze parti) senza che il Cliente possa risolvere il contratto.
Qualora risultasse necessario un aumento del prezzo superiore alla percentuale prevista al precedente comma, verrà rinegoziato il nuovo prezzo tra le parti.
Nel caso il rapporto sia regolato da un bando di gara sarà necessario riferirsi a tale documento per inquadrare le possibili azioni di aumento del prezzo
20.5 Modalità di pagamento
TECSIS emetterà fattura in base alle condizioni di pagamento riportate nell’Offerta.
Il Cliente dovrà pagare le fatture dovute a TECSIS come riportato nell’Offerta.
20.6 Usi del Cliente
Qualora il Cliente desideri che la fattura riporti particolari indicazioni, a titolo esemplificativo e non esaustivo: riferimento ad una delibera di consiglio, una descrizione, un codice, il riferimento ad un bando, ecc., dovrà comunicare a TECSIS tali peculiarità prima della sottoscrizione del Contratto. In questo modo sarà possibile tenerne conto e includerle nella documentazione contrattuale nel Contratto. La mancata comunicazione da parte del Cliente a TECSIS prima della sottoscrizione non costituirà in nessun caso giustificato motivo di mancato o ritardato pagamento da parte del Cliente delle fatture dovute a TECSIS.
Nel caso in cui il Cliente non rispetti quanto sopra descritto, e vi sia come conseguenza il rifiuto della fattura emessa, vi sarà una spesa accessoria di € 50,00 per le modifiche e il conseguente rinvio.
20.7 Imputazione Pagamenti
TECSIS si riserva il diritto di stabilire le modalità di imputazione dei pagamenti parziali effettuati dal Cliente agli importi dovuti dal Cliente a TECSIS.
Il Cliente non potrà porre in essere alcuna compensazione con gli importi allo stesso dovuti da TECSIS ai sensi del Contratto, o di
qualsiasi altro contratto in essere tra le Parti, senza il preventivo consenso scritto di XXXXXX.
Il Cliente non potrà sollevare eccezioni in ordine all’esecuzione
della propria prestazione contrattuale se non avrà
adempiuto integralmente alle proprie obbligazioni, concernenti in particolare il pagamento della prestazione, le spese ed eventuale risarcimento danni arrecati.
21 Attivazione di un nuovo periodo contrattuale ( RINNOVO)
Al termine del periodo contrattuale, previsto all’art. 5, TECSIS invierà al Cliente il documento di sintesi dei servizi e dei prodotti erogati che comprende proposta di rinnovo; la restituzione del suddetto documento firmato per accettazione da parte del Cliente implica l'accettazione del Servizio/prodotto per un nuovo periodo contrattuale. In questo caso saranno applicate le stesse condizioni del periodo precedente ad eccezione delle eventuali modifiche riportate nel documento di sintesi stesso.
In caso di mancata restituzione del documento sottoscritto entro 20 giorni, TECSIS solleciterà un riscontro. Decorsi ulteriormente 15 giorni dal sollecito, il servizio si intenderà non rinnovato con le conseguenze previste dalle presenti condizioni generali rispetto ai dati conservati e raccolti o trattati dal Cliente.
22 Collaborazione
L’esatto adempimento del Contratto e la corretta prestazione del Servizio presuppongono una fattiva e costante collaborazione in buona fede tra le parti. Pertanto, ciascuna Parte è tenuta:
• ad impegnarsi attivamente per l’adempimento degli
obblighi derivanti dal Contratto;
• ad astenersi da qualsiasi comportamento che possa
pregiudicare e/o ostacolare l’adempimento degli obblighi dell’altra parte;
• a fornire, entro una data stabilita di comune accordo, tutte le informazioni e i documenti necessari per l’esecuzione del Contratto;
• ad avvisare l’altra parte il più rapidamente possibile in caso di difficoltà e concordare la migliore soluzione possibile nel più breve tempo possibile.
Le parti si riuniranno con la frequenza necessaria per garantire la regolare esecuzione del Contratto e segnatamente per verificare l’esatta e corretta prestazione del Servizio.
In particolare, il Cliente è responsabile della comunicazione a TECSIS di tutte le informazioni:
• necessarie per la corretta prestazione dei Servizi erogati;
• eventuali difficoltà di cui venga a conoscenza o delle difficoltà che siano ragionevolmente prevedibili durante l’esecuzione dei Servizi, in virtù della conoscenza che il Cliente ha del proprio settore di attività.
Inoltre, il Cliente si avvarrà di Utenti competenti, qualificati e formati per tutta la durata del Contratto.
23 Responsabilità – Assicurazione
23.1 Responsabilità
L’obbligazione di TECSIS di adempiere a tutti i propri obblighi secondo i migliori standard professionali ed utilizzando la massima diligenza possibile, è un’obbligazione di mezzi. XXXXXX è responsabile esclusivamente per i danni diretti e prevedibili derivanti da una violazione dei suoi obblighi contrattuali; la responsabilità di TECSIS non si estende ai danni derivanti da un evento che non sia strettamente connesso all’inesatta o alla mancata esecuzione del Contratto. Per espresso accordo tra le parti, i danni indiretti per i quali TECSIS non può essere ritenuta responsabile includono: perdita operativa, mancato guadagno od ogni altra perdita finanziaria derivante dall’utilizzo o dall’impossibilità di utilizzare il Servizio da parte del Cliente e danno reputazionale. Eventuali danni subiti da terzi costituiscono un danno indiretto e non danno luogo a responsabilità in capo a TECSIS. Qualora TECSIS sia ritenuta responsabile a seguito della mancata o inesatta esecuzione del Contratto, o per qualsiasi altra causa ad essa imputabile, il Cliente potrà esigere un risarcimento il cui importo complessivo sarà limitato ai danni diretti e prevedibili subiti dal Cliente e che, in ogni caso, non potrà essere superiore agli importi pagati dal Cliente per i Servizi fruiti nei 12 (dodici) mesi antecedenti al verificarsi dell’evento dannoso che ha determinato la responsabilità di TECSIS. Salva l’applicazione di disposizioni legali imperative, il Cliente non può intentare alcuna azione legale sulla base della responsabilità contrattuale o di qualsiasi garanzia prevista dal contratto dopo la scadenza di un periodo di 2 (due) anni dal verificarsi delle questioni alle quali si riferisce l’eventuale azione legale. Le Parti riconoscono che i prezzi del Contratto riflettono la ripartizione dei rischi previsti del Contratto e l’assetto economico perseguito dalle parti e che il Contratto non sarebbe stato concluso alle presenti condizioni senza le limitazioni di responsabilità ivi previste. Le parti convengono espressamente che le predette limitazioni di responsabilità resteranno valide anche successivamente alla cessazione del Contratto.
24 Risoluzione per inadempimento essenziale
Impregiudicati gli altri diritti e mezzi di tutela previsti dal Contratto a disposizione di TECSIS, ciascuna parte può risolvere il Contratto per inadempimento essenziale ad opera dell’altra parte.
La risoluzione del Contratto produrrà i suoi effetti decorsi 5 giorni dalla segnalazione dell’inadempimento alla parte inadempiente, tramite raccomandata, mail o PEC contenente i dettagli dell’inadempimento, se quest’ultima non dimostri di avervi posto rimedio.
25 Risoluzione del Contratto per violazione del tasso di disponibilità
Il Cliente può risolvere il Contratto relativamente ad un Servizio per inadempimento, qualora il Servizio, per un periodo di 3 (tre) mesi consecutivi, non rispetti il tasso di disponibilità del 99,9 % ovvero del valore indicato in Offerta, impregiudicati gli altri diritti e mezzi di tutela a disposizione del Cliente ai sensi del Contratto. La risoluzione del Contratto avrà effetto 3 (tre) mesi dopo la
ricezione da parte di TECSIS di una comunicazione PEC che indichi la violazione, salvo che TECSIS provi di aver posto rimedio alla violazione prima della scadenza del predetto termine di preavviso.
26 Risoluzione del Contratto da parte del
Cliente ai sensi dell’ articolo
16 Modifica dei Termini di Servizio
Il Cliente può risolvere il Contratto mediante comunicazione PEC a TECSIS qualora TECSIS modifichi i Termini di Servizio ai sensi dell’Articolo 16 (Modifica dei Termini di Servizio) riducendo in modo sostanziale gli obblighi di TECSIS con riferimento ai tassi di disponibilità, alla gestione dei backup e alle condizioni di accesso all’Assistenza. Nessuna delle parti sarà responsabile nei confronti dell’altra parte a fronte di tale risoluzione. La comunicazione del Cliente ai sensi del presente articolo sarà inviata dal Cliente a TECSIS entro 1 (un) mese dalla notifica della modifica da parte di TECSIS. La risoluzione del Contratto avrà effetto 6 (sei) mesi dopo la data della comunicazione del Cliente per consentire al Cliente di concordare una soluzione alternativa.
27 Effetto della r isoluzione
In caso di risoluzione, il Cliente cesserà di utilizzare il Servizio a decorrere dal giorno della risoluzione del Contratto. Si applicheranno le disposizioni contenute nel documento DPA per la gestione dei Dati del Cliente.
Forza maggiore
Le Parti non saranno ritenute responsabili per ritardi o inadempimenti nell’esecuzione del Contratto qualora dipendano da eventi di forza maggiore o caso fortuito ai sensi degli articoli 1218 e 1256 del Codice civile. Le Parti convengono che, ai sensi del presente articolo, costituiscono ipotesi di forza maggiore i seguenti eventi:
• Embargo, atti di guerra, terrorismo, eventi socio-politici, emergenze sanitarie, pandemie, eventi atmosferici come terremoti, allagamenti, e provvedimenti ed atti delle Pubbliche autorità;
• Interruzione dell’energia elettrica;
• Interruzione, sospensione o soppressione degli allacciamenti alle linee di comunicazione offerti dal Gestore;
• Scioperi delle terze parti coinvolte nell’erogazione del servizio relativo al contratto, ivi compreso il personale del Cliente e quello del Fornitore.
• Qualsiasi circostanza non prevista dagli articoli precedenti in cui l’impossibilità assoluta ed oggettiva della prestazione non è imputabile a TECSIS
Al verificarsi di uno dei predetti eventi, la parte che invochi la causa di forza maggiore si impegna a comunicare tempestivamente all’altra Parte, mediante lettera raccomandata, il verificarsi di tale evento e a richiedere una proroga del termine per l’esecuzione delle sue obbligazioni. Qualora l’impedimento sia temporaneo, il termine per l’adempimento dell’obbligazione è sospeso fino a quando la parte che invoca la presente disposizione non sia più soggetta agli effetti dell’evento di forza maggiore. La parte che invoca la presente disposizione si impegna a compiere ogni sforzo
per limitare la durata della sospensione. Qualora la sospensione si protragga per un periodo superiore a 3 (tre) mesi, ciascuna parte avrà la facoltà di risolvere il Contratto senza alcuna responsabilità dandone comunicazione all’altra parte mediante lettera raccomandata. Qualora l’impedimento sia permanente, le parti sono liberate dalle loro obbligazioni alle condizioni previste dall’articolo 1256 del Codice civile. In caso di risoluzione del Contratto per un evento di forza maggiore, TECSIS si impegna a utilizzare le risorse a sua disposizione per recuperare il maggior numero possibile di Dati del Cliente.
28 Riservatezza
Tutti i documenti, i Dati (compresi i Dati del Cliente), i prodotti e/o il know-how, indipendentemente dall’esistenza di una tutela prevista dalle leggi sulla proprietà intellettuale, indipendentemente dalla loro forma o natura (commerciale, industriale, tecnica, finanziaria, ecc.), divulgati da una parte (la “Parte Divulgante”) all’altra parte (il “Destinatario”), o di cui ciascuna parte abbia conoscenza durante l’esecuzione del Contratto, compresi, a titolo esemplificativo, i termini e le condizioni del Contratto, saranno considerati riservati (le “Informazioni Riservate”). Le Informazioni Riservate non includono le informazioni che:
• erano in possesso del Destinatario prima della loro divulgazione ad opera della Parte Divulgante a condizione che tale possesso non fosse il risultato diretto o indiretto di una divulgazione non autorizzata delle informazioni da parte di terzi,
• siano pubbliche alla data di accettazione del Contratto, o siano rese pubbliche successivamente a tale data, a condizione che non siano rese pubbliche a causa della violazione da parte del Destinatario dei suoi obblighi di riservatezza ai sensi del Contratto,
• siano regolarmente e legalmente acquisite dal Destinatario a prescindere dal Contratto.
Il Destinatario si asterrà dall’utilizzare le Informazioni Riservate della Parte Divulgante per scopi estranei all’esecuzione del Contratto. Le Parti adotteranno tutte le misure necessarie per garantire che i propri dipendenti, le società consociate e i subappaltatori che abbiano accesso alle Informazioni Riservate siano consapevoli della natura riservata delle Informazioni Riservate e che rispettino gli obblighi di cui al presente articolo. In deroga a quanto precede, il Destinatario può divulgare le Informazioni Riservate della Parte Divulgante se imposto dal provvedimento di un tribunale, di un’autorità amministrativa o di altro ente pubblico, a condizione, tuttavia, che il Destinatario, salvo che non sia vietato dalla legge, fornisca alla Parte Divulgante un preavviso sufficiente per consentire alla Parte Divulgante di richiedere un provvedimento cautelare o un rimedio analogo. Il Destinatario circoscriverà la divulgazione ai sensi del presente paragrafo alla parte delle Informazioni Riservate della Parte Divulgante che ritiene ragionevolmente di dover divulgare. Eventuali inadempimenti delle obbligazioni di cui al presente articolo da parte del Destinatario integreranno un inadempimento essenziale ai suoi obblighi per il quale il Destinatario sarà pienamente responsabile e manleverà la Parte Divulgante per il danno patito. Le parti si impegnano a rispettare gli obblighi di cui al presente articolo per l’intera durata del Contratto e per un periodo di 5 (cinque) anni dalla risoluzione o dalla scadenza del
Contratto. A tale riguardo, una volta scaduto o risolto il Contratto, ciascuna Parte restituirà all’altra Parte tutti i documenti contenenti Informazioni Riservate o garantisce all’altra Parte che provvederà alla distruzione di tutte le Informazioni Riservate in suo possesso. Nessuna Parte, in nessun caso, potrà conservare una copia dei documenti contenenti Informazioni Riservate, salvo previo consenso scritto dell’altra parte.
29 Subappalto
Il Cliente accetta che TECSIS possa liberamente, anche senza previe formalità, subappaltare tutti o alcuni dei suoi obblighi derivanti dal Contratto. In caso di subappalto, TECSIS rimane l’unica responsabile del rispetto da parte dei subappaltatori degli obblighi imposti dal Contratto.
30 Cessione
Il Servizio Fornito da TECSIS non può essere ceduto dal Cliente a terze parti.
31 Normative
31.1 Normativa sociale
XXXXXX si impegna ad ottemperare a tutte le disposizioni di legge e regolamentari che le siano applicabili in materia di diritto del lavoro e di previdenza sociale, ed in particolare a fornire al Cliente, su richiesta, tutti i certificati che abbia il diritto di richiedere. I dipendenti di TECSIS svolgono le loro funzioni, sotto la direzione, la supervisione e la responsabilità di TECSIS, che sarà responsabile, per l’intera durata del Contratto, della loro gestione amministrativa, contabile e sociale.
31.2 Conformità
Il Cliente dichiara che non potrà intraprendere alcuna attività, pratica o condotta che possa integrare un reato ai sensi delle leggi e dei regolamenti applicabili in materia di etica e anticorruzione, inclusi, a titolo meramente esemplificativo, il D. Lgs. 8 giugno 2001, n. 231, la Convenzione OCSE, lo US Foreign Corrupt Practices Act (FCPA) e lo UK Bribery Act 2010 (Bribery Act), e non consentirà a nessuna delle sue controllate o consociate o a nessuno dei rispettivi amministratori, dirigenti, direttori, dipendenti, appaltatori, rappresentanti o agenti di fare lo stesso.
Il Cliente dichiara in particolare di non utilizzare i fondi aziendali per donazioni, regalie, omaggi o altre spese illegali relative all’attività politica, né effettuare, offrire o autorizzare pagamenti illeciti a funzionari o dipendenti pubblici nazionali o stranieri, in via diretta o indiretta, oppure effettuare, offrire o autorizzare, direttamente o indirettamente, tangenti, rimborsi, pagamenti, traffico di influenze illecite, bustarelle o altri pagamenti illeciti analoghi, in via diretta o indiretta. Qualora il Cliente venga a conoscenza di una violazione del presente articolo, lo stesso deve informare TECSIS entro 24 (ventiquattro) ore dal momento in cui venga a conoscenza di tale violazione.
31.3 Esportazioni
Il Cliente si impegna a rispettare rigorosamente le leggi e i regolamenti in materia di controllo delle esportazioni in vigore,
compresi, a titolo meramente esemplificativo, in Italia, nel Regno
Unito, nell’Unione Europea e negli Stati Uniti.
32 Varie
32.1 Modifiche
Fatta eccezione per i Termini di Servizio che possono essere modificati da TECSIS secondo la procedura definita nell’art 16 (Modifica dei Termini di Servizio) e per i prerequisiti tecnici che sono allegati come puro riferimento e che possono essere aggiornati, il Contratto può essere modificato solo per iscritto e con la sottoscrizione dei rappresentanti debitamente autorizzati delle parti. Le Parti hanno valutato i rischi connessi all’esecuzione del Contratto, che accettano, e rinunciano a qualsiasi rinegoziazione delle condizioni, a prescindere dalle circostanze. È pertanto espressamente convenuto tra le parti che sia esclusa l’applicazione dell’articolo 1467 del Codice civile.
32.2 Rubriche
Le rubriche del Contratto sono riportate unicamente allo scopo di facilitare la lettura dei documenti contrattuali. Qualora la rubrica di un paragrafo o di un articolo in un documento contrattuale alteri la comprensione del testo, si ha riguardo esclusivamente al testo del paragrafo o dell’articolo e non alla sua rubrica.
32.3 Nullità parziale
Qualora una qualsiasi disposizione del Contratto o la sua applicazione a qualsiasi persona o circostanza sia in qualsiasi misura invalida o inapplicabile, ciò non influirà sulla rimanente parte del Contratto, o sulla sua applicazione a qualsiasi persona o circostanza diverse da quelle interessate dall’invalidità o inapplicabilità. Ogni altra disposizione del Contratto resterà valida e applicata nella misura massima consentita dalla legge.
32.4 Esclusione di rinuncia
Il mancato esercizio da parte di una delle parti di un diritto ai sensi del Contratto non deve essere interpretato come una rinuncia a tale diritto e non pregiudica il diritto della parte in questione di avvalersi successivamente di tale diritto.
32.5 Know-how
Ciascuna parte resta proprietaria del know-how di cui dispone a prescindere dal Contratto o dal know-how che possa acquisire nel corso dell’esecuzione del Contratto e resta libera di utilizzarlo. TECSIS è libera di fornire servizi analoghi per conto di altri Clienti. Nessuna delle parti può rivendicare alcun diritto sul know-how dell’altra parte.
32.6 Riferimento commerciale
Il Cliente autorizza TECSIS a menzionare liberamente il suo nome e a utilizzare e/o riprodurre il suo logo e/o i suoi marchi come riferimento commerciale in documenti commerciali e annunci stampa in qualsiasi forma, su qualsiasi supporto e sui documenti utilizzati e/o predisposti da TECSIS nell’ambito del Contratto.
32.7 Controllo del sistema contabile informatizzato
Qualora il Servizio incorpori funzionalità applicative di contabilità, gestione amministrativa o sistemi di cassa, il Cliente è informato
che qualora il suo sistema contabile informatizzato sia oggetto di accertamento in Italia, TECSIS si impegna, per l’intera durata del Servizio e, successivamente alla scadenza del Contratto, fino alla scadenza del termine di prescrizione dell’azione tributaria, a:
• tenere a disposizione dell’amministrazione fiscale la
documentazione necessaria per comprendere il
funzionamento e l’utilizzo del Servizio;
• collaborare con il Cliente in caso di tali indagini e assistere il Cliente, su sua esplicita richiesta e per un corrispettivo da concordare, per rispondere a qualsiasi richiesta di informazioni da parte dell'amministrazione fiscale.
Qualora il Servizio incorpori funzionalità applicative per la contabilità, il Cliente è informato che, al fine di adempiere ai propri obblighi di archiviazione dei dati contabili, nell’ambito del Servizio ha la possibilità di recuperare:
• i libri contabili obbligatori;
• la documentazione di supporto in formato originale qualora tale documentazione sia prodotta dal Servizio;
Il Cliente prende atto che il Servizio non costituisce una soluzione di archiviazione dei dati contabili e, come tale, si impegna a procedere alle necessarie operazioni di archiviazione qualora il proprio sistema contabile informatizzato sia oggetto di accertamento.
32.8 Informazioni fornite dal Servizio
XXXXXX e il Cliente dichiarano che le informazioni fornite ed elaborate dal Servizio sono consentite, salvo prova contraria.
33 Legge applicabile e Foro competente
Il Contratto è disciplinato dal diritto italiano, per quanto attiene sia alle norme formali che sostanziali. In mancanza di una composizione bonaria della controversia, le parti deferiranno la controversia al Tribunale di Padova, cui è attribuita competenza esclusiva, a prescindere dalla pluralità di convenuti o dall’escussione di garanzie di terzi, anche per i procedimenti d’urgenza e cautelari sia sommari che di parte.
Data …………………………..
Timbro e Firma per accettazione:
…………………………………………..………….
DPA
DATA PROCESSING AGREEMENT
ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI
(MDPA) MASTER DATA PROCESSING AGREEMENT
(ex art. 28 del Regolamento UE 2016/679)
TRA
Il presente accordo per la protezione di dati personali è concluso tra il Fornitore, come di seguito definito, e il cliente che accetta il presente accordo.
Per “Fornitore” si intende uno o più dei seguenti soggetti:
TECSIS Srl, con sede legale in Xxxxx Xxx Xxxxxx (XX), xxxxx XXXXXX 00, P. IVA/C.F. 03719260287
E
il soggetto indicato nel Contratto quale cliente (di seguito il “Cliente”), di seguito, congiuntamente, le “Parti” o disgiuntamente la “Parte”
PREMESSO CHE
a) il Cliente ha sottoscritto uno o più contratti con il Fornitore (di seguito il “Contratto”);
b) le Parti intendono disciplinare nel presente “accordo principale per il trattamento dei dati personali – Master Data Processing Agreement” (nel seguito “MDPA” o “Accordo”) le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto e della prestazione dei Servizi e le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dal Fornitore quale Responsabile del trattamento dei dati personali ai sensi dell'art. 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (nel seguito “GDPR”);
c) le caratteristiche specifiche del trattamento dei Dati Personali sono descritte, con riferimento a ciascun Servizio, nelle “condizioni speciali di trattamento dei Dati Personali” (di seguito “DPA - Condizioni Speciali”) le quali costituiscono parte integrante ed essenziale del presente Accordo.
Tutto quanto sopra premesso le Parti convengono quanto segue:
1. DEFINIZIONI E INTERPRETAZIONE
1.1. Le premesse costituiscono parte integrante del presente Accordo. Nell'Accordo i seguenti termini ed espressioni avranno il significato associato ad essi qui di seguito:
“Data di Decorrenza dell'Accordo” indica la data in cui il Cliente sottoscrive o accetta il presente Accordo o, se anteriore, la data di decorrenza del Contratto a cui il presente Accordo è legato;
“Dati Personali” ha il significato di cui alla Legislazione in materia di Protezione dei Dati Personali e includerà, a titolo puramente esemplificativo, tutti i dati forniti, archiviati, inviati, ricevuti o altrimenti elaborati, o creati dal Cliente,o dall'Utente Finale in relazione alla fruizione dei Servizi, nella misura in cui siano oggetto di trattamento da parte del Fornitore, sulla base del Contratto.
Un elenco delle categorie di Dati Personali è riportata nei DPA – Condizioni Speciali;
“Decisione di Adeguatezza” indica una decisione della Commissione Europea sulla base dell’Articolo 45(3) del GDPR in merito al fatto che le leggi di un certo paese garantiscano un adeguato livello di protezione, come previsto dalla Legislazione in materia di Protezione dei Dati Personali;
“Giorni Lavorativi” indica ciascun giorno di calendario, a eccezione del sabato, della domenica e dei giorni nei quali le banche di credito ordinarie non sono di regola aperte sulla piazza di Milano, per l’esercizio della loro attività;
“Email di notifica” si intende l'indirizzo (o gli indirizzi) e-mail fornito/i dal Cliente, all'atto della sottoscrizione del Servizio o fornito tramite altro canale ufficiale al Fornitore, a cui il Cliente intende ricevere le notifiche da parte del Fornitore;
“Istruzioni” indica le istruzioni scritte impartite dal Titolare nel presente Accordo (inclusivo dei relativi DPA –
Condizioni Speciali) e, eventualmente, nel Contratto;
“Legislazione in materia di Protezione dei Dati Personali” indica il GDPR, e ogni eventuale ulteriore norma e/o regolamento sul trattamento dei dati personali emanati ai sensi del GDPR o comunque vigenti in Italia, incluso il Decreto Legislativo no. 196/2003, come modificato e integrato dal Decreto no. 101/2018, nonché ogni provvedimento vincolante che risulti emanato dalle autorità di controllo competenti in materia (es. Garante per la protezione dei dati personali) anche prima del 25 maggio 2018 e conservi efficacia vincolante; “Personale del Fornitore” indica i dirigenti, dipendenti consulenti, e altro personale del Fornitore, con esclusione del personale dei Responsabili Ulteriori del Trattamento;
“Richiesta” indica una richiesta di accesso di un Interessato, una richiesta di cancellazione o correzione dei Dati Personali, o una richiesta di esercizio di uno degli altri diritti previsti dal GDPR;
“Responsabile Ulteriore del Trattamento” indica qualunque subappaltatore cui il Fornitore abbia subappaltato uno qualsiasi degli obblighi assunti contrattualmente e che, nell’adempiere tali obblighi, potrebbe dover raccogliere, accedere, ricevere, conservare o altrimenti trattare Dati Personali;
“Servizio/i” indica il servizio o i servizi oggetto dei Contratti sottoscritti tempo per tempo tra il Cliente e il Fornitore;
“Utente Finale” si intende l'eventuale fruitore finale del Servizio, Titolare del Trattamento; e “Violazione della Sicurezza dei Dati Personali” indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali occorsa su sistemi gestiti dal Fornitore o comunque sui quali il Fornitore abbia un controllo.
1.2. I termini “ivi compreso/a/i/e” e “incluso/a/i/e” saranno interpretati come se fossero seguiti dall'espressione
“a titolo puramente esemplificativo”, così da fornire un elenco non esaustivo di esempi.
1.3. Per le finalità del presente Accordo, i termini “Interessato”, “Trattamento”, “Titolare del trattamento”, “Responsabile del trattamento”, “Trasferimento” e “Misure tecnico-organizzative adeguate” saranno interpretati in conformità alla Legislazione in materia di Protezione dei Dati Personali applicabile.
2. RUOLO DELLE PARTI
2.1. Le Parti riconoscono e convengono che il Fornitore agisce quale Responsabile del trattamento in relazione ai Dati Personali e il Cliente agisce di regola quale Titolare del trattamento dei Dati Personali.
2.2. Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare, il Cliente potrà agire come Responsabile del trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina, da parte del Cliente, del Fornitore quale ulteriore Responsabile del trattamento derivante dalla stipulazione del presente Accordo è stata autorizzata dal relativo Titolare del trattamento e si impegna ad esibire al Fornitore, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.
2.3. Ciascuna delle Parti si impegna a conformarsi, nel trattamento dei Dati Personali, ai rispettivi obblighi derivanti dalla Legislazione in materia di Protezione dei Dati Personali applicabile.
2.4. Il Fornitore ha nominato un Responsabile della protezione dei dati (DPO), domiciliato v.le Veneto 19 Chioggia VE 30015, che può essere contattato al seguente indirizzo: x.xxxxxxx@xxxxxxxxxxxxxxxxxxxxxx.xx o al numero 0418504637.
3. TRATTAMENTO DEI DATI PERSONALI
3.1. Con la stipulazione del presente Accordo (inclusivo di ciascun DPA - Condizioni Speciali applicabile), il Cliente affida al Fornitore l'incarico di trattare i Dati Personali ai fini della prestazione dei Servizi, così come meglio dettagliato nel Contratto e nei DPA – Condizioni Speciali.
3.2. Il Fornitore si impegna a conformarsi alle Istruzioni, fermo restando che, qualora il Cliente richieda variazioni rispetto alle Istruzioni iniziali, il Fornitore valuterà gli aspetti di fattibilità e concorderà con il Cliente le predette variazioni ed i costi connessi.
3.3. Nei casi di cui all'art. 3.2 e in caso di richieste del Cliente che comportino il trattamento di Dati Personali che siano, ad avviso del Fornitore, in violazione della Legislazione in materia di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi dall'eseguire tali Istruzioni e ne informerà prontamente il Cliente. In tali
casi il Cliente potrà valutare eventuali variazioni alle Istruzioni impartite o contattare l'Autorità di controllo per verificare la liceità delle richieste avanzate.
4. LIMITAZIONI ALL’UTILIZZO DEI DATI PERSONALI
4.1. Nell'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi, il Fornitore si impegna ad eseguire il trattamento dei Dati Personali:
4.1.1. soltanto nella misura e con le modalità necessarie per erogare i Servizi o per adempiere opportunamente i propri obblighi, previsti dal Contratto e dal presente Accordo ovvero imposti dalla legge o da un organo di vigilanza o controllo competente, ovvero da specifiche richieste del Cliente e/o dell’Utente Finale. In tale ultima circostanza il Fornitore ne informerà
il Cliente (salvo il caso in cui ciò sia vietato dalla legge per ragioni di pubblico interesse) mediante comunicazione trasmessa all'Email di notifica;
4.1.2. in conformità alle Istruzioni del Cliente.
4.2 Il Personale del Fornitore che accede, o comunque tratta i Dati Personali, è preposto al trattamento di tali dati sulla base di idonee autorizzazioni e ha ricevuto la necessaria formazione anche in merito al trattamento dei dati personali. Tale personale è altresì vincolato da obblighi di riservatezza e dal Codice Etico aziendale e deve attenersi alle policy di riservatezza e di protezione dei dati personali adottate dal Fornitore.
5. AFFIDAMENTO A TERZI
5.1. In relazione all'affidamento a Responsabili Ulteriori del Trattamento di operazioni di trattamento di Dati Personali, le Parti convengono quanto segue:
5.1.1. il Cliente acconsente espressamente che alcune operazioni di trattamento di Dati Personali siano affidate dal Fornitore ad altre società partner e/o a soggetti terzi individuati nei DPA – Condizioni Speciali.
5.1.2. Il Cliente acconsente altresì all'affidamento di operazioni di Trattamento dei Dati Personali a ulteriori soggetti terzi secondo le modalità previste al successivo articolo 5.1.4.
5.1.3. Resta inteso che la sottoscrizione delle Clausole Contrattuali Tipo (prevista dal successivo punto 7 in caso di trasferimento all’estero dei Dati Personali) da parte del Cliente con un Responsabile Ulteriore del trattamento deve intendersi quale consenso all'affidamento al terzo delle operazioni di trattamento.
5.1.4. Nei casi in cui il Fornitore ricorra a Responsabili Ulteriori del Trattamento per l'esecuzione di specifiche attività di trattamento dei Dati Personali, il Fornitore:
5.1.4.1. si impegna ad avvalersi di Responsabili Ulteriori del Trattamento che garantiscono misure tecniche e organizzative adeguate e garantisce che l'accesso ai Dati Personali, e il relativo trattamento, sarà effettuato esclusivamente nei limiti di quanto necessario per l'erogazione dei servizi subappaltati;
5.1.4.2. almeno 15 (quindici) giorni prima della data di avvio delle operazioni di trattamento dei Dati Personali da parte del Responsabile Ulteriore del Trattamento informa il Cliente dell'affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione ed eventualmente, dell'ubicazione dei server sui quali saranno conservati i dati, se applicabile e delle attività affidate) mediante invio di E-mail di notifica o altro mezzo ritenuto idoneo dal Fornitore. Il Cliente potrà recedere dal Contratto entro 15 (quindici) giorni dal ricevimento della comunicazione, fermo restando l'obbligo di corrispondere al Fornitore gli importi dovuti alla data di cessazione del Contratto.
5.1.5. Eventuali informazioni aggiuntive sull'elenco dei Responsabili Ulteriori del Trattamento, dei trattamenti loro affidati e della loro ubicazione, sono contenuti nei DPA - Condizioni Speciali relativi ai Servizi attivati dal Cliente.
6. DISPOSIZIONI IN MATERIA DI SICUREZZA
6.1. MISURE DI SICUREZZA DEL FORNITORE – Xxxx'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi il Fornitore si impegna ad adottare misure tecnico-organizzative adeguate per evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di, o l’accesso ai, Dati Personali, come descritte nell'Allegato 1 al presente Accordo (“Misure di Sicurezza”).
6.1.1. L'Allegato 1 contiene misure di protezione degli archivi dati commisurate al livello dei rischi presenti con riferimento ai Dati Personali per consentire la riservatezza, integrità, disponibilità e la resilienza dei sistemi e dei Servizi del Fornitore, nonché misure per consentire il tempestivo ripristino degli accessi ai Dati Personali in caso di Violazione della Sicurezza dei Dati Personali, e misure per testare l'efficacia nel tempo di dette misure. Il Cliente dà atto ed accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento dei Dati Personali, le procedure e i criteri di sicurezza implementati dal Fornitore garantiscono un livello di protezione adeguato al rischio per quanto riguarda il trattamento dei suoi dati personali.
6.1.2. Il Fornitore potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra indicate, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi. Di tali aggiornamenti e modifiche sarà fornita notifica al Cliente mediante invio di comunicazione all'Email di notifica.
6.1.3. Qualora il Cliente richieda di adottare misure di sicurezza aggiuntive rispetto alle Misure di Sicurezza, il Fornitore si riserva il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per tale implementazione.
6.1.4. Il Cliente riconosce e accetta che il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni disponibili al Fornitore stesso secondo quanto specificamente riportato nei relativi DPA – Condizioni Particolari, presterà assistenza al Cliente nel garantire il rispetto degli obblighi di sicurezza di cui agli artt. 32-34 del GDPR nei modi seguenti:
6.1.4.1. implementando e mantenendo aggiornate le Misure di Sicurezza secondo quanto previsto ai precedenti punti 6.1.1, 6.1.2, 6.1.3;
6.1.4.2. conformandosi agli obblighi di cui al punto 6.3.
6.1.5. Resta inteso che, nei Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente (installazioni on premises), le Misure di Sicurezza sopra indicate troveranno applicazione esclusivamente in relazione ai Servizi che prevedono il Trattamento dei Dati Personali da parte del Fornitore o di suoi affidatari (es. supporto e assistenza da remoto, servizi di migrazione).
6.1.6. Qualora il prodotto consenta l'integrazione con applicativi di terze parti, il Fornitore non sarà responsabile dell'applicazione delle Misure di Sicurezza relative alle componenti delle terze parti o delle modalità di funzionamento del prodotto derivanti dall'integrazione effettuata dalle terze parti.
6.2. MISURE DI SICUREZZA DEL CLIENTE – Xxxxx restando gli obblighi di cui al precedente punto 6.1 in capo al Fornitore, il Cliente riconosce e accetta che, nella fruizione dei Servizi, rimane responsabilità esclusiva del Cliente l'adozione di adeguate misure di sicurezza in relazione alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.
6.2.1. A tal fine il Cliente si impegna ad utilizzare i Servizi e le funzionalità di trattamento dei Dati Personali in modo da garantire un livello di protezione adeguato al rischio effettivo.
6.2.2. Il Cliente si impegna altresì ad adottare tutte le misure idonee per proteggere le credenziali di autenticazione, i sistemi e i dispositivi utilizzati dal Cliente o dai fruitori presso l'Utente Finale per accedere ai Servizi, e per effettuare i salvataggi e backup dei Dati Personali al fine di garantire il ripristino dei Dati Personali nel rispetto delle norme di legge.
6.2.3. Resta escluso qualsiasi obbligo o responsabilità in capo al Fornitore circa la protezione dei Dati Personali che il Cliente o l'Utente Finale, se applicabile, conservino o trasferiscano fuori dai sistemi utilizzati dal Fornitore e dai suoi Responsabili Ulteriori del Trattamento (ad esempio, in archivi cartacei, o presso propri data center, come nel caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente).
6.3. VIOLAZIONI DI SICUREZZA – Fatta eccezione per il caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente per i quali non trova applicazione il presente punto 6.3, qualora il Fornitore venga a conoscenza di una Violazione di Sicurezza dei Dati Personali, lo stesso:
6.3.1. informerà senza ingiustificato ritardo il Cliente mediante comunicazione inoltrata all'Email di notifica;
6.3.2. adotterà misure ragionevoli per limitare i possibili danni e la sicurezza dei Dati Personali;
6.3.3. fornirà al Cliente, per quanto possibile, una descrizione della Violazione della Sicurezza dei Dati Personali ivi incluse le misure adottate per evitare o mitigare i potenziali rischi e le attività raccomandate dal Fornitore al Cliente per la gestione della Violazione di Sicurezza;
6.3.4. considererà informazioni confidenziali ai sensi di quanto previsto nel Contratto, le informazioni attinenti alle eventuali Violazioni della Sicurezza, i relativi documenti, comunicati e avvisi e non comunicherà a terzi dati informazioni, fuori dai casi strettamente necessari all'assolvimento degli obblighi del Cliente derivanti dalla Legislazione in materia di Protezione dei Dati Personali senza il previo consenso scritto del Titolare del Trattamento.
6.4. Nei casi di cui al precedente punto 6.3, è responsabilità esclusiva del Cliente adempiere, nei casi previsti dalla Legislazione in materia di Trattamento di Dati Personali, agli obblighi di notificazione della Violazione di Sicurezza ai terzi (all'Utente Finale qualora il Cliente sia un Responsabile del Trattamento) e, se il Cliente è Titolare del Trattamento, all'Autorità di controllo e agli interessati.
6.5. Resta inteso che la notificazione di una Violazione di Sicurezza o l'adozione di misure volte a gestire una Violazione di Sicurezza non costituisce riconoscimento di inadempimento o di responsabilità da parte del Fornitore in relazione a detta Violazione di Sicurezza.
6.6. Il Cliente dovrà comunicare tempestivamente al Fornitore eventuali utilizzi impropri degli account o delle credenziali di autenticazione oppure eventuali Violazioni di Sicurezza di cui abbia avuto conoscenza riguardanti i Servizi.
7. LIMITAZIONI AL TRASFERIMENTO DEI DATI PERSONALI AL DI FUORI DELLO SPAZIO ECONOMICO EUROPEO (SEE)
7.1. Il Fornitore non trasferirà i Dati Personali al di fuori dello SEE se non in accordo con il Cliente.
7.2. Se, ai fini della conservazione o del trattamento dei Dati Personali da parte di un Responsabile
Ulteriore del trattamento, è necessario effettuare il trasferimento dei Dati Personali fuori dallo SEE in un paese che non gode di una decisione di adeguatezza da parte della Commissione Europea ai sensi dell'art. 45 del GDPR, il Fornitore potrà adottare altre modalità di trasferimento dei Dati Personali conformi a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali, anche alla luce delle indicazioni fornite dalla Corte di Giustizia della Unione Europea nella causa C-311/18 e dal Comitato Europeo per la Protezione dei dati (EDPB).
7.3. Nei casi di cui al precedente punto 7.2 con il presente Accordo il Cliente conferisce espressamente mandato al Fornitore a sottoscrivere le clausole contrattuali tipo di cui all’articolo 46, comma 2, lettera c) del GDPR, per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi (le “Clausole Contrattuali Tipo”) con i Responsabili Ulteriori del
Trattamento riportati nei relativi DPA Condizioni Particolari, nonché ad adottare tutte le eventuali misure supplementari che si rendano ragionevolmente necessarie per consentire il trasferimento dei dati personali al di fuori dello SEE in conformità ai requisiti previsti dal GDPR . Qualora Titolare del trattamento sia l'Utente Finale, il Cliente si impegna a informare l'Utente Finale di tale trasferimento e dichiara che l'autorizzazione ad avvalersi del Responsabile Ulteriore del Trattamento situato fuori dallo SEE equivale al mandato di cui sopra.
8. VERIFICHE E CONTROLLI
8.1. Il Fornitore sottopone ad audit periodici la sicurezza dei sistemi e degli ambienti di elaborazione dei Dati Personali dallo stesso utilizzati per l'erogazione dei Servizi e le sedi in cui avviene tale trattamento. Il Fornitore avrà la facoltà di incaricare dei professionisti indipendenti selezionati dal Fornitore per lo svolgimento di audit secondo standard internazionali e/o best practice, i cui esiti saranno riportati in specifici report (“Report”). Tali Report, che costituiscono informazioni confidenziali del Fornitore, potranno essere resi disponibili al Cliente per consentirgli di verificare la conformità del Fornitore agli obblighi di sicurezza di cui al presente Accordo.
8.2. Nei casi previsti dall’art. 8.1, il Cliente concorda che il proprio diritto di verifica sarà esercitato attraverso la verifica dei Report messi a disposizione dal Fornitore.
8.3. Il Fornitore riconosce il diritto del Cliente, con le modalità e nei limiti di seguito indicati, ad effettuare audit indipendenti per verificare la conformità del Fornitore agli obblighi previsti nel presente Accordo e nei rispettivi DPA Condizioni Speciali, e di quanto previsto dalla normativa. Il Cliente potrà avvalersi per tali attività di proprio personale specializzato o di revisori esterni, purché tali soggetti siano previamente vincolati da idonei impegni alla riservatezza.
8.4. Nel caso di cui al precedente punto 8.2, il Cliente dovrà previamente inviare richiesta scritta al Responsabile della Protezione dei Dati (DPO) del Fornitore. Successivamente alla richiesta di audit o ispezione il Fornitore e il Cliente concorderanno, prima dell'avvio delle attività, i dettagli di tali verifiche (data di inizio e durata),
le tipologie di controllo e l'oggetto delle verifiche, i vincoli di riservatezza a cui devono essere vincolati il Cliente e coloro che effettuano le verifiche e i costi che il Fornitore potrà addebitare per tali verifiche e che saranno determinati in relazione all’estensione e alla durata delle attività di verifica.
8.5. Il Fornitore potrà opporsi per iscritto alla nomina da parte del Cliente di eventuali revisori esterni che siano, ad insindacabile giudizio del Fornitore, non adeguatamente qualificati o indipendenti, siano concorrenti del Fornitore o che siano evidentemente inadeguati. In tali circostanze il Cliente sarà tenuto a nominare altri revisori o a condurre le verifiche in proprio.
8.6. Il Cliente si impegna a corrispondere al Fornitore gli eventuali costi calcolati dal Fornitore e comunicati al Cliente nella fase di cui al precedente punto 8.4, con le modalità e nei tempi ivi concordati. Restano a carico esclusivo del Cliente i costi delle attività di verifica dallo stesso commissionate a terzi.
8.7. Resta fermo quanto previsto in relazione ai diritti di ispezione del Titolare del trattamento e delle autorità nelle Clausole Contrattuali Tipo eventualmente sottoscritte ai sensi del precedente punto 7, che non potranno considerarsi modificate da alcuna delle previsioni contenute nel presente Accordo o nei relativi DPA – Condizioni Speciali.
8.8. Il presente punto 8 non è applicabile ai Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente.
8.9. Le attività di verifica che interessino eventuali Responsabili Ulteriori dovranno essere svolte nel rispetto delle regole di accesso e delle politiche di sicurezza dei Responsabili Ulteriori.
9. ASSISTENZA A FINI DI CONFORMITÀ
9.1. Il Fornitore presterà assistenza al Cliente e coopererà nei modi di seguito indicati al fine di consentire al Cliente il rispetto degli obblighi previsti dalla Legislazione in materia di Protezione dei Dati Personali.
9.2. Qualora il Fornitore riceva Richieste o reclami da un Interessato in relazione ai Dati Personali, il Fornitore raccomanderà all'Interessato di rivolgersi al Cliente o all'Utente Finale, nel caso in cui quest'ultimo sia il Titolare del Trattamento. In tali casi il Fornitore informerà tempestivamente il Cliente del ricevimento della Richiesta mediante invio di Email di notifica e fornirà al Cliente le informazioni ad esso disponibili unitamente a copia della Richiesta o del reclamo. Resta inteso che tale attività di cooperazione sarà svolta in via eccezionale, in quanto la gestione dei rapporti con gli Interessati resta esclusa dai Servizi ed è responsabilità del Cliente gestire eventuali reclami in via diretta e garantire che il punto di contatto per l'esercizio dei diritti da parte degli Interessati sia il Cliente stesso, o l'Utente Finale se Titolare del Trattamento. Sarà responsabilità del Cliente, o dell'Utente Finale qualora questi sia Titolare del Trattamento, provvedere a dar seguito a tali Richieste o reclami.
9.3. Il Fornitore provvederà a informare tempestivamente il Cliente, salvo il caso in cui ciò sia vietato dalla legge, con avviso all'Email di notifica di eventuali ispezioni o richieste di informazioni presentate da autorità di controllo e forze di polizia rispetto a profili che riguardano il trattamento dei Dati Personali.
9.4. Qualora, ai fini dell'evasione delle Richieste di cui ai precedenti punti, il Cliente abbia necessità di ricevere informazioni dal Fornitore circa il trattamento dei Dati Personali, il Fornitore presterà la necessaria assistenza nei limiti di quanto ragionevolmente possibile, a condizione che tali richieste siano presentate con congruo preavviso.
9.5. Il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni ad esso disponibili, fornirà ragionevole assistenza al Cliente nel rendere disponibili informazioni utili per consentire al Cliente l'effettuazione di valutazioni di impatto sulla protezione dei Dati Personali nei casi previsti dalla legge. In tal caso il Fornitore renderà disponibili informazioni di carattere generale in base al Servizio, quali le informazioni contenute nel Contratto, nel presente Accordo e nei DPA - Condizioni Particolari relativi ai Servizi interessati. Eventuali richieste di assistenza personalizzate potranno essere soggette al pagamento di un corrispettivo da parte del Cliente. Resta inteso che è responsabilità e onere esclusivo del Cliente, o dell'Utente Finale se Titolare del trattamento, procedere alla valutazione di impatto in base alle caratteristiche del trattamento dei Dati Personali dallo stesso posto in essere nel contesto dei Sevizi.
9.6. Il Fornitore si impegna a rendere Servizi improntati ai principi di minimizzazione del trattamento (privacy by design & by default), fermo restando che è responsabilità esclusiva del Cliente, o dell'Utente Finale, se Titolare del Trattamento, assicurare che il trattamento sia condotto poi concretamente nel rispetto di detti principi e verificare che le misure tecniche e organizzative di un Servizio soddisfano i requisiti di conformità della Società, ivi inclusi i requisiti previsti dalla Legislazione in materia di protezione dei dati personali.
9.7. Il Cliente prende atto che, in caso di Richieste di portabilità dei Dati Personali avanzate dai rispettivi Interessati, e solo in relazione ai Servizi che generano Dati Personali rilevanti a tal fine, il Fornitore
presterà assistenza al Cliente mettendo a disposizione le informazioni necessarie per estrarre i dati richiesti in formato conforme a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali.
9.8. I precedenti punti 9.5 e 9.7 non sono applicabili in caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente.
10. OBBLIGHI DEL CLIENTE E LIMITAZIONI
10.1. Il Cliente si impegna a impartire Istruzioni conformi alla normativa e a utilizzare i Servizi in modo conforme alla Legislazione in materia di Protezione dei Dati Personali e solo per trattare Dati Personali che siano stati raccolti in conformità alla Legislazione in materia di Protezione dei Dati Personali.
10.2. L'eventuale trattamento di Dati Personali di cui agli artt. 9 e 10 del GDPR sarà consentito solo ove espressamente previsto nel DPA - Condizioni Particolari; fuori da tali casi, l'eventuale trattamento di tali Dati Personali sarà consentito solo previo accordo scritto tra le Parti ai sensi di quanto previsto al punto 3.2.
10.3. Il Cliente si impegna ad assolvere a tutti gli obblighi posti in capo al Titolare del Trattamento (e, nei casi in cui tali obblighi sono in capo all'Utente Finale, garantisce che analoghi obblighi sono imposti a carico dell'Utente Finale) dalla Legislazione in materia di Protezione dei Dati Personali, ivi inclusi gli obblighi di informativa nei confronti degli Interessati. Il Cliente si impegna inoltre a garantire che il trattamento dei Dati Personali effettuato mediante l'utilizzo dei Servizi avvenga solo in presenza di idonea base giuridica.
10.4. Qualora il rilascio dell'informativa e l'ottenimento del consenso debbano avvenire per il tramite del prodotto oggetto del Contratto, il Cliente dichiara di aver valutato il prodotto e che esso risponde alle esigenze del Cliente. Resta altresì a carico del Cliente valutare se l'eventuale modulistica resa disponibile dal Fornitore per agevolare l'assolvimento degli obblighi di informativa e consenso (es. modello di privacy policy per App o informative presenti negli applicativi), quando disponibile, sia conforme alla Legislazione in materia di Protezione dei Dati Personali e adattare la stessa ove ritenuto opportuno.
10.5. È altresì onere esclusivo del Cliente provvedere alla gestione dei Dati Personali in conformità alle Richieste avanzate dagli Interessati, e pertanto provvedere ad esempio agli eventuali aggiornamenti, integrazioni, rettifiche e cancellazioni dei Dati Personali.
10.6. È onere del Cliente mantenere l'account collegato all'Email di notifica attivo ed aggiornato.
10.7. Il Cliente prende atto che, ai sensi dell'art. 30 del GDPR, il Fornitore è tenuto a mantenere un
registro delle attività di trattamento eseguite per conto dei Titolari (o Responsabili) del Trattamento e a raccogliere a tal fine i dati identificativi e di contatto di ciascun Titolare (e/o Responsabile) del Trattamento per conto del quale il Fornitore agisce e che tali informazioni devono essere rese disponibili all'autorità competente, su richiesta. Pertanto, quando richiesto, il Cliente si impegna a dare al Fornitore i dati identificativi e di contatto sopra indicati con le modalità individuate dal Fornitore nel tempo e a mantenere aggiornate tali informazioni tramite i medesimi canali.
10.8. Il Cliente dichiara pertanto che le attività di trattamento dei Dati Personali, come descritte nei Contratti, nel presente Accordo e nei relativi DPA – Condizioni Particolari, sono lecite.
11. DURATA
11.1. Il presente Accordo avrà efficacia a decorrere dalla data di accettazione dell’offerta secondo quanto previsto dalle condizioni generali di contratto e cesserà automaticamente, alla data di cancellazione di tutti i Dati Personali da parte del Fornitore, come previsto nel presente Accordo e, se previsto, nei relativi DPA – Condizioni Particolari.
12. DISPOSIZIONI PER LA RESTITUZIONE O LA CANCELLAZIONEDEI DATI PERSONALI 12.1.
Alla cessazione del Servizio, per qualunque causa intervenuta, il Fornitore
12.1.1. provvederà alla cancellazione dei Dati Personali (ivi incluse eventuali copie) dai sistemi del Fornitore o da quelli su cui lo stesso abbia controllo entro il termine previsto nel Contratto, tranne il caso in cui la conservazione dei dati da parte del Fornitore sia necessaria o consentita al fine di assolvere ad una disposizione di legge italiana o europea;
12.1.2. distruggerà eventuali Dati Personali conservati in formato cartaceo in suo possesso, tranne il caso in cui la conservazione dei dati da parte del Fornitore sia necessaria ai fini del rispetto di norme di legge italiane o europee; e
12.1.3. manterrà a disposizione del Cliente i Dati Personali per l'estrazione per il periodo previsto dal Contratto. Ove il Contratto non preveda un termine specifico, il Fornitore manterrà a disposizione del Cliente i Dati Personali per l’estrazione per il periodo di 60 (sessanta) giorni successivi alla cessazione del Contratto.
12.2. Il Cliente riconosce di poter estrarre i Dati Personali, alla cessazione del Servizio, nei modi convenuti nel Contratto e conviene che è sua responsabilità provvedere all'estrazione totale o parziale dei soli Dati Personali che ritenga utile conservare e che tale estrazione dovrà essere effettuata prima della scadenza del termine di cui al punto 12.1.3.
12.3. Resta inteso che quanto previsto ai punti 12.1 e 12.2 non si applica ai Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente. In tali casi, è responsabilità del Cliente estrarre, entro e non oltre il termine previsto dal Contratto, i Dati Personali che ritenga utile conservare; il Cliente riconosce che successivamente al predetto termine i Dati Personali potrebbero non essere più accessibili. Nei casi di cui al presente punto 12.3 resta altresì responsabilità del Cliente provvedere alla cancellazione dei Dati Personali nel rispetto delle norme di legge.
12.4. Qualora l’attività di estrazione dati di cui al punto 12.2 sia richiesta al fornitore, il cliente riconosce al fornitore il diritto di addebitare i costi relativi.
12.5. Restano ferme eventuali ulteriori o diverse disposizioni circa la cancellazione dei Dati Personali previste dal Contratto e nei rispettivi DPA – Condizioni Speciali.
13. RESPONSABILITA'
13.1. Ciascuna Parte è responsabile per l'adempimento dei propri obblighi previsti dal presente Accordo e dai relativi DPA –Condizioni Particolari e dalla Legislazione in materia di protezione dei Dati Personali.
13.2. Fatti salvi i limiti inderogabili di legge, il Fornitore sarà tenuto a risarcire il Cliente in caso di violazione del presente Accordo e/o dei relativi DPA – Condizioni Particolari entro i limiti massimi convenuti nel Contratto.
14. DISPOSIZIONI VARIE
14.1. Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente al Fornitore precedentemente alla data del presente Accordo in merito ai Dati Personali trattati nell’ambito dell’esecuzione del Contratto.
14.2. Il presente Accordo potrà essere modificato dal Fornitore dandone comunicazione scritta (anche via e- mail o con l’ausilio di programmi informatici) al Cliente. In tal caso, il Cliente avrà il diritto di recedere dal Contratto con comunicazione scritta inviata al Fornitore a mezzo raccomandata con ricevuta di ricevimento nel termine di 15 giorni dal ricevimento della comunicazione del Fornitore. In mancanza di esercizio del diritto di recesso da parte del Cliente, nei termini e nei modi sopra indicati, le modifiche al presente Accordo si intenderanno da questi definitivamente conosciute e accettate e diverranno definitivamente efficaci e vincolanti.
14.3. In caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto per la prestazione dei Servizi, o in documenti del Cliente non espressamente accettati dal Fornitore in deroga al presente Accordo e/ ai rispettivi DPA – Condizioni Speciali, prevarrà quanto previsto nel presente Accordo e nelle clausole dei relativi DPA – Condizioni Speciali.
*****
Allegato1
Misure tecnico-organizzative
In aggiunta alle misure di sicurezza previste nel Contratto e nel MDPA il Responsabile del Trattamento applica le seguenti misure di sicurezza organizzative a seconda della tipologia di Servizio con cui viene erogato o licenziato il prodotto:
A. Cloud SaaS
B. On premises
A – CLOUD SaaS
Accreditamento AGID– Il Fornitore utilizza esclusivamente infrastrutture CLOUD di PLAYER presenti nel MARKETPLACE Cloud di AGID Vedi punto “DATA CENTER” di seguito. | |
Policy e Disciplinari utenti – Il Fornitore applica dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche. | |
Autorizzazione accessi logici – il Fornitore definisce i profili di accesso nel rispetto del least privilege necessari all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti. | |
Misure di sicurezza organizza tive | Gestione interventi di assistenza – Gli interventi di assistenza sono regolamentati allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e impedire il trattamento eccessivo di dati personali la cui titolarità è in capo al Cliente o all’Utente Finale. Valutazioned'impatto sullaprotezione dei dati (DPIA) – In conformità agli artt. 35 e 36 del GDPR e sulla base del documento WP248 – Linee guida sulla valutazione d’impatto nella protezione dei dati adottate dal Gruppo di lavoro ex art. 29, il Fornitore ha predisposto una propria metodologia per l’analisi e la valutazione dei trattamenti che, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, presentino un rischio elevato per i diritti e le libertà delle persone fisiche allo scopo di procedere con la valutazione dell’impatto sulla protezione dei Dati Personali prima di iniziare il trattamento. |
Incident Management – Il Fornitore ha realizzato una specifica procedura di Incident Management allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio. | |
Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente. | |
Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento corsi di formazione sulla corretta gestione dei dati personali | |
Firewall, IDPS - I dati personali sono protetti contro il rischio d'intrusione di cui all'art. 615-quinquies del codice penale mediante sistemi di Intrusion Detection & Prevention, mantenuti aggiornati in relazione alle migliori tecnologie disponibili. | |
Misure di sicurezza tecniche | Sicurezza linee di comunicazione - Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile. |
Protection from malware– I sistemi sono protetti contro il rischio di intrusione e dell'azione di programmi mediante l'attivazione di idonei strumenti elettronici aggiornati con cadenza periodica. Sono in uso strumenti antivirus mantenuti costantemente aggiornati. |
Credenziali di autenticazione – I sistemi sono configurati con modalità idonee a consentirne l’accesso unicamente a soggetti dotati di credenziali di autenticazione che ne consentono la loro univoca identificazione. Fra questi, codice associato a una parola chiave, riservata e conosciuta unicamente dallo stesso; dispositivo di autenticazione in possesso e uso esclusivo dell’utente, eventualmente associato a un codice identificativo o a una parola chiave. Parola chiave – Relativamente alle caratteristiche di base ovvero obbligo di modifica al primo accesso, lunghezza minima, assenza di elementi riconducibili agevolmente al soggetto, regole di complessità, scadenza, history, valutazione contestuale della robustezza, visualizzazione e archiviazione, la parola chiave è gestita conformemente alle best practice. Ai soggetti ai quali sono attribuite le credenziali sono fornite puntuali istruzioni in relazione alle modalità da adottare per assicurarne la segretezza. Logging – I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità. Backup & Restore – Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati. Ove gli accordi contrattuali lo prevedono è posto in uso un piano di continuità operativa integrato, ove necessario, con il piano di disaster recovery; essi garantiscono la disponibilità e l’accesso ai sistemi anche nel caso di eventi negativi di portata rilevante che dovessero perdurare nel tempo. Vulnerability Assessment & Penetration Test – Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzate a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo. Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni/sistemi/reti attraverso attività che mirano a sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica/logica ed avere accesso agli stessi. I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere i punti di miglioramento necessari a garantire l’elevato livello di sicurezza richiesto. Amministratori di Sistema – Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti. Data Center – I Data Center ovvero i servizi di Data Center utilizzati dal Fornitore per l’erogazione dei propri servizi alla PA, sono scelti tra quelli presenti nel Marketplace Cloud AGID che vengono elencati di seguito: AZURE PaaS xxxxx://xxxxx.xxxxxx.xx/xxxxxxxxxxx/xxxxxxx/00 AZURE DATA SERVICES - DATA PLATFORM xxxxx://xxxxx.xxxxxx.xx/xxxxxxxxxxx/xxxxxxx/00 AZURE IAAS |
E – ON PREMISES
Misure di | Policy e Disciplinari utenti – Sono in essere dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi, finalizzate a garantire comportamenti idonei ad assicurare, in fase di assistenza tecnica, il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche. |
sicurezza organizza tive | Autorizzazione accessi logici – Il Fornitore definisce i profili di accesso nel rispetto del least privilege necessario all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti. |
Gestione interventi di assistenza – Il Fornitore regolamenta la gestione degli interventi di assistenza allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e impedire il trattamento eccessivo di dati personali la cui titolarità è rivestita dal Cliente. Incident Management & Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente/violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente. Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento corsi di formazione sulla corretta gestione dei dati personali | |
Misure di sicurezza tecniche | Sicurezza linee di comunicazione- Per quanto di propria competenza, in fase di gestione di interventi di assistenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile. Protection from malware– Le postazioni di lavoro adottate in fase di Assistenza tecnica, sono protette contro il rischio di intrusione e dell'azione di programmi mediante l'attivazione di idonei strumenti elettronici aggiornati con cadenza periodica. Tutte le VM sono gestite tramite funzionalità antivirus. |
Data …………………………..
Timbro e Firma per accettazione: ……………………………………………..…………………………..………….
Rev. 1.0
CONDIZIONI SPECIALI DPA
IrideONLINE
Le presenti condizioni speciali costituiscono parte integrante e sostanziale del Master Data Processing Agreement TECSIS ("MDPA") vigente in relazione al Trattamento dei Dati Personali effettuato dal Fornitore ai fini della prestazione dei servizi previsti dalle Condizioni Generali di licenza del prodotto in oggetto (i "Servizi").
Per quanto in esse non espressamente previsto, trovano applicazione le disposizioni e definizioni previste nel MDPA e nel Contratto, che qui si intendono integralmente richiamati.
Prodotto | IrideONLINE (Gestione Albi) |
Fornitore | TECSIS S.r.l |
Finalità | Prestazione dei Servizi da parte del Fornitore al Cliente e supporto tecnico |
Modalità di erogazione | CLOUD SAAS |
Categorie di Dati Personali | Ai fini della prestazione dei Servizi previsti dalle Condizioni Generali, il Fornitore potrà trattare le seguenti categorie di Dati Personali forniti, archiviati, trasmessi, o creati dal Cliente, o dall'Utente Finale nel contesto della fruizione del Servizio: • Dati anagrafici (nascita, residenza/domicilio professionale, cittadinanza, codice fiscale); • Dati di recapito (indirizzi elettronici, numeri di telefono) • Dati relativi al percorso di studio, abilitazione alla professione e qualifica professionale; • Storico iscrizioni su altri Ordini; • Stato pagamento quote iscrizione; • Categorie di dati relativi alla salute; • Categorie di dati relativi ad iscrizioni sindacali; • Dati giudiziari e godimento dei diritti civili. • Dati di log nel sistema e nelle applicazioni Qualora il Cliente abbia necessità di trattare altre categorie di dati personali si prega di contattare xxxxxxx@xxxxxx.xx. |
Categorie di Interessati | Nella prestazione dei Servizi il Fornitore potrà trattare Dati Personali forniti, trasmessi, archiviati, o creati dal Cliente, o dall'Utente Finale nel contesto della fruizione dei Servizio derivanti da operazioni di assistenza in relazione ai medesimi Servizi, relativi alle seguenti categorie di Interessati □ Fornitori □ Dipendenti □ Terzi persone fisiche/giuridiche riportati dalla documentazione. |
Principali attività di trattamento | Il Fornitore tratta i Dati Personali forniti, archiviati, trasmessi, o creati dal Cliente, o dall'Utente Finale nel contesto della fruizione dei Servizio derivanti da operazioni di assistenza, ove ciò sia necessario ai fini della prestazione dei Servizi richiesti dal Cliente. Il trattamento sarà effettuato in conformità a quanto previsto nel MDPA. |
Durata | I Xxxx Personali identificativi del Cliente saranno conservati dal Fornitore per la sola Durata del Contratto e per i dieci anni successivi alla conclusione del Contratto per ragioni amministrative e contabili definite dalla legge. La documentazione a supporto delle attività gestite viene conservata per il tempo necessario alla tutela legale del Fornitore per il tempo necessario ai fini dell'estinzione della prescrizione dei relativi diritti. Cloud SaaS: in relazione ai Servizi resi con tali modalità, i Dati Personali saranno conservati ai sensi di quanto previsto dal punto 12 del MDPA. |
Luogo di conservazione dei dati | Cloud SaaS: il Fornitore dichiara che i server sono ubicati presso Microsoft Azure all’interno del territorio dell’Unione Europea (e più precisamente nei data center MS Azure West Europe e North Europe). |
Fornitori terzi che trattano dati personali del Cliente/Utente Finale nel contesto del Servizio | Il Fornitore si può avvalere per operazioni di trattamento di Dati Personali correlate alla prestazione dei Servizi di altre società Partner o di soggetti terzi selezionati che offrono garanzie di riservatezza dei dati, in particolare per l’erogazione delle seguenti categorie di servizi: - Servizi IT -Servizi di mailing |