ACCORDO SULLE ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI
ACCORDO SULLE ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI
(DATA PROCESSING AGREEMENT)
Documento aggiornato al 24/01/2023
Il presente Accordo (DPA) è stipulato tra:
• GESTIM ITALY SRL (di seguito il “Fornitore” o "Responsabile"), i cui dati sono riportati in intestazione
e
• Il TITOLARE DEL TRATTAMENTO, individuato nell’acquirente i servizi offerti dal Fornitore, (di seguito “Cliente”)
PREMESSO CHE
1. per “Responsabile” si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta i dati
personali per conto del Cliente;
2. per "Normativa vigente" si intende
• il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (di seguito “GDPR”),
• il Codice in materia di protezione dei dati personali - Decreto Legislativo 30 giugno 2003, n.196 e s.m.i.
3. è intenzione sia del Responsabile che del Cliente disciplinare il trattamento dei dati personali in osservanza a quanto previsto dalla normativa vigente;
4. per “Contratto” si intende il contratto di prestazione di servizi stipulato tra il Cliente ed il Responsabile che regola le attività necessarie alla fornitura dei servizi affidati a quest'ultimo per la durata stabilita;
5. l’esecuzione del Contratto comporta il trattamento di dati personali da parte del Responsabile per conto del Cliente;
6. il Cliente, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento secondo quanto previsto nel GDPR
all’art. 4 punto 7 (Titolare del Trattamento);
7. per "trattamento" si intende: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
8. per "dato personale" si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
9. per "interessato" si intende la persona fisica cui si riferiscono i dati personali;
10. per "violazione dei dati personali" (o "Data Breach") si intende la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;
TUTTO CIO' PREMESSO
sia il Responsabile che il Cliente convengono quanto segue:
I. Oggetto
Oggetto del presente DPA è definire le modalità con le quali il Responsabile si impegna ad effettuare per conto del Cliente le operazioni di trattamento dei dati persona-li necessarie alla corretta esecuzione dei servizi oggetto del Contratto.
Nel quadro delle loro relazioni contrattuali, le parti si impegnano al rispetto della normativa vigente relativamente alla protezione dei dati personali e, in particolare, del GDPR.
II. Descrizione delle prestazioni del Responsabile
a. Il Responsabile è autorizzato a eseguire, per conto del Cliente, i trattamenti dei dati personali necessari per fornire il/i servizio/i cui ha aderito attraverso la stipula di uno o più contratti;
b. Sub-Responsabile: il Responsabile può ricorrere ad un altro responsabile (di seguito, "Sub-Responsabile") per gestire attività di trattamento specifiche ed il Sub-Responsabile dovrà rispettare gli obblighi del contratto per conto e secondo le istruzioni del Cliente. Spetta al Responsabile iniziale assicurare che il Sub-Responsabile presenti le stesse garanzie sufficienti alla messa in opera di misure tecniche e organizzative appropriate di modo che il trattamento risponda alle esigenze della normativa vigente;
c. Il Responsabile risponderà prontamente e adeguatamente alle richieste del Cliente in relazione alle attività di trattamento compiute per suo conto oltre a fornire tutte le informazioni necessarie affinché il Cliente possa dimostrare, all’autorità di controllo competente, di adempiere a quanto previsto dalla normativa vigente.
d. il Responsabile si impegna, come previsto dall’art.30 del GDPR, a tenere un registro delle attività di trattamento svolte
per conto del Cliente e, su richiesta di quest’ultimo:
- a fornire prontamente copia del suddetto registro
- a fornire le informazioni relative ai trattamenti effettuati per suo conto
ACCORDO SULLE ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI
(DATA PROCESSING AGREEMENT)
Documento aggiornato al 24/01/2023
III. Durata del DPA
Il DPA entra in vigore dalla data di sottoscrizione del Contratto tra il Responsabile ed il Cliente, fino a revoca da esercitare secondo le modalità in esso previste.
Il Responsabile, in merito al trattamento dei dati personali in ragione del contratto in essere tra le parti ed in caso di cessazione a qualunque titolo e per qualunque ragione dell'efficacia dello stesso, provvederà a:
a) cessare immediatamente qualsiasi trattamento dei dati personali (ad eccezione della conservazione dei dati secondo le modalità e la tempistica prevista dal contratto);
b) fatta salva diversa comunicazione scritta da parte del Cliente:
I. permettere, per mezzo di apposita funzionalità, l’esportazione dei dati personali in un formato strutturato di uso comune
e leggibile da dispositivo automatico o, in alternativa
II. inviare i suddetti dati personali via PEC in forma compressa (estensione .zip, .rar, o similari)
c) procedere alla cancellazione delle copie dei dati personali dai sistemi informatici, archivi o qualsiasi altro luogo o dispositivo in cui sono custoditi, fatti salvi i casi in cui la conservazione dei dati personali sia richiesta ai sensi di legge nel qual caso detta conservazione dovrà avvenire unicamente nei limiti strettamente da previsti dalla legge.
IV. Obblighi del Responsabile di fronte al Cliente
A. SERVIZI WEB: nel caso di servizi quali la realizzazione e la gestione e manutenzione del sito internet, posta elettronica ecc., il Responsabile si impegna, anche facendo ricorso a Sub-Responsabili e qualora le mansioni sottoindicate siano contemplate dal contratto, a:
1. gestire il sito web dopo la sua pubblicazione on-line, occupandosi del suo corretto funzionamento, della risoluzione di eventuali problematiche tecniche, della scelta e rinnovo dell'hosting e dei servizi annessi al sito stesso;
2. accertarsi che la privacy policy e la cookies policy che compaiono sul sito siano congrue con le indicazioni ricevute dal Cliente, attivando tutte le appropriate protezioni;
3. attuare le specifiche indicazioni che sono state impartite dal Cliente, nel caso il sito web preveda l'accesso per utenti registrati, in termini di configurazione dei codici identificativi personali e delle parole chiave di accesso, con l’introduzione di eventuali criteri di scadenza di validità della parola chiave e l'introduzione di altre limitazioni temporali;
4. attuare le appropriate misure di tutela indicate nella privacy policy del sito, provvedendo altresì alla periodica cancellazione di dati non più rilevanti, ove il sito web preveda la possibilità di interagire con gli utenti, che possono porre quesiti riempiendo dei moduli predisposti ed indicando la propria casella di posta elettronica per la risposta;
5. trattare i dati solo per le finalità previste per l'esecuzione delle prestazioni contrattuali;
6. garantire la riservatezza dei dati personali trattati nell'ambito del/i contratto/i stipulati con il Cliente;
7. provvedere affinché le persone autorizzate a trattare i dati personali in virtù del/i contratto/i stipulati con il Cliente si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza e ricevano la formazione necessaria in materia di protezione dei dati personali;
8. assegnare e gestire un sistema di autenticazione informatica nell’accesso agli strumenti ed alle applicazioni informatiche utilizzate, mediante l’uso di parole chiave e/o i codici identificativi personali da assegnare agli incaricati del trattamento dati, con custodia delle relative credenziali, e loro disattivazione nei casi previsti dalla legge;
9. adottare programmi antivirus, firewall e/o altri strumenti software od hardware di uso comune atti a garantire la sicurezza
dei dati, verificandone l’installazione, l’aggiornamento ed il funzionamento;
10. provvedere al ricovero periodico dei dati con copie di back-up, vigilando sulle procedure all’uopo attivate, ed assicurando la qualità delle copie di back-up e la loro conservazione in luogo adatto e sicuro;
11. comunicare prontamente al Cliente qualsiasi situazione di cui venga a conoscenza, nell’erogazione dei servizi oggetto del
contratto, che possa compromettere il corretto trattamento informatico dei dati personali;
12. individuare nell’ambito della propria organizzazione, le persone munite dei necessari requisiti di esperienza, capacità ed affidabilità cui attribuire, rispetto al sistema informatico, le eventuali mansioni di amministratore di sistema, definendone gli ambiti di operatività in conformità al provvedimento 27 novembre 2008 del Garante per la protezione dei dati personali;
13. predisporre un idoneo sistema di controllo periodico sull’operato dei propri amministratori di sistema, conservandone l’elenco con indicazione dei relativi estremi identificativi e delle funzioni attribuite, per gli eventuali controlli, ed adottando sistemi idonei alla registrazione degli accessi logici da questi effettuati sugli strumenti elettronici;
14. non divulgare, diffondere, trasmettere e comunicare i dati di proprietà del Cliente, nella piena consapevolezza che i dati rimarranno sempre e comunque di proprietà esclusiva del medesimo Cliente, e pertanto non potranno essere venduti o ceduti, in tutto o in parte, ad altri soggetti;
15. cancellare in modo permanente dai propri sistemi elettronici e/o archivi cartacei, all’atto della conclusione del servizio, tutti
i dati di proprietà del Cliente, entro i normali tempi tecnici a ciò necessari;
ACCORDO SULLE ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI
(DATA PROCESSING AGREEMENT)
Documento aggiornato al 24/01/2023
16. comunicare al Cliente possibili reclami o richieste ricevute da parte degli Interessati (ad es. in materia di accesso, rettifica, cancellazione, limitazione e/o opposizione al trattamento, portabilità dei dati, decisioni automatizzate), fermo restando che il Responsabile non potrà rispondere a tali reclami o richieste, salvo il caso in cui sia stato altrimenti autorizzato per iscritto dal Cliente o in osservanza della normativa vigente.
B. SERVIZI AMMINISTRATORE DI BASE DI DATI: nel caso di servizi quali la conservazione, la gestione e manutenzione di database, il Responsabile si impegna, anche facendo ricorso a Sub-Responsabili e qualora le mansioni sottoelencate siano contemplate dal contratto, a:
1. garantire che i dati personali siano conservati in Data Center allocati in Italia o comunque in paesi appartenenti all’Unione
Europea o in paesi la cui normativa in materia di protezione dei dati sia stata dichiarata equiparabile a quella Europea;
2. dare riscontro preventivo al Cliente, qualora i dati necessitino di essere trasferiti in paesi extra UE, la cui normativa non è stata dichiarata da parte delle autorità europee conforme alla normativa vigente; in tal caso, prima di procedere al trasferimento dei dati, il Responsabile ed il Cliente dovranno concordare garanzie adeguate a tale azione in modo preventivo;
3. installare e aggiornare i software di gestione dei data base, soprattutto quando tali aggiornamenti derivino da rilevate falle nella sicurezza del sistema di trattamento di dati personali;
4. gestire la sicurezza dei database, comprese l’aggiunta o la rimozione di utenti, l’attribuzione di profili di accesso, attribuzione o di privilegi di lettura, scrittura, modifica, cancellazione;
5. verificare la compartimentazione dei database, per evitare accessi non autorizzati, trattamenti non consentiti o non conformi alle finalità per le quali il database è stata raccolto;
6. verificare che la realizzazione delle copie di backup avvenga agli intervalli minimi prescritti;
V. Notifica della violazione di dati personali
Il Responsabile, qualora ne ricorrano le condizioni di cui all'art.33 del GDPR, senza ingiustificato ritardo, dopo esserne venuto a conoscenza, informa il Cliente, entro i termini previsti dal GDPR, della violazione di dati personali da esso trattati in virtù del contratto. Tale comunicazione è accompagnata da ogni documentazione utile per permettere al Cliente, se necessario, di notificare la violazione all'autorità di controllo competente e/o agli interessati.
VI. Obblighi del Cliente di fronte al Responsabile
1. il Cliente garantisce che le attività di trattamento dei dati personali connesse all’esecuzione del Contratto siano effettuati per finalità lecite, pertinenti e trasparenti nei confronti degli Interessati;
2. Il Cliente s'impegna a fornire al Responsabile i dati, le informazioni necessarie alla corretta esecuzione dei servizi oggetto del
Contratto.
3. Il Cliente s'impegna a fornire al Responsabile, per iscritto, le istruzioni previste dall'art. 28 co. 3 lett. a) ed il Responsabile ha facoltà di segnalare immediatamente al Cliente eventuali istruzioni che ritiene essere non in linea con quanto previsto dalla normativa vigente.
VII. Verifiche del Titolare
Previo un congruo preavviso, il Cliente può svolgere, anche per mezzo di audit, direttamente o tramite soggetti terzi debitamente autorizzati, verifiche e/o ispezioni presso le strutture del Responsabile o del Sub-responsabile.
Tali attività devono:
1. essere rivolte al solo personale o alle strutture coinvolte nelle attività di trattamento oggetto del contratto;
2. essere svolte durante il normale orario di lavoro e senza pregiudicare la continuità operativa delle attività del Responsabile o del Sub-responsabile;
3. essere effettuate nel rispetto delle politiche sulla sicurezza adottate dal Responsabile o dal Sub-responsabile;
4. essere svolte non più di una volta all’anno, tranne diversi accordi tra le parti, fatto salvo il caso di urgenza a seguito di avvenuto o presunto Data Breach;
5. non comportare spese a carico del Responsabile.
VIII. Disposizioni Finali
1. Le premesse sono parte integrante del presente accordo.
2. È espressamente esclusa dal presente incarico ogni altra obbligazione od impegno non espressamente sopra indicato, o non concordato successivamente dalle parti per iscritto.
3. Il Cliente non avrà, pertanto, nulla più a pretendere rispetto a quanto previsto nel presente atto di incarico e nel contratto di prestazione di servizi in essere, e considererà assolto l’adempimento da parte del Responsabile con l’applicazione delle procedure sopra indicate.
4. Resta infine inteso che l’incarico di Responsabile non sostituisce, anzi, è meramente accessorio al rapporto contrattuale instaurato dalle parti per l’erogazione dei servizi dallo stesso offerti al Cliente e regolamentati dal contratto in essere, che le parti intendono qui richiamato e riconfermato in ogni condizione, ivi comprese le eventuali limitazioni in tema di obbligazioni e responsabilità delle parti.
ACCORDO SULLE ATTIVITÀ DI TRATTAMENTO DEI DATI PERSONALI
(DATA PROCESSING AGREEMENT)
Documento aggiornato al 24/01/2023
ELENCO SUB RESPONSABILI APPROVATI
RAGIONE SOCIALE/COGNOME E NOME | - Partita IVA - Codice fiscale | Indirizzo sede legale e contatti |
MOVIEMENT SRL | P.IVA: 02363090289 C.F.: | Xxx Xxxxxxxx Xxxxxxx 00, 00000 Xxxxxx - XX |
→ Registrazione domini web | ||
ARUBA S.p.A. | P.IVA: 01573850516 C.F.: 04552920482 | Xxx Xxx Xxxxxxxx 00, 00000 Xxxxx Xxx Xxxxxx - XX |
→ Servizi di invio, ricezione e conservazione a norma di fatture elettroniche | ||
HOTJAR LTD | P.IVA: C 65490 C.F.: | St Julian's Business Centre - Elia Xxxxxx Xxxxxx 0, 0000 Xxx Xxxxxxxx - |
→ Fornitura applicativo per monitoraggio sito internet | ||
XXXX.XX Inc. | X.XXX: - C.F.: | Xxxx Xxxx Xxxxxxx Xx, XX000 000 , 00000 Xxx Xxxxx - XX |
→ Help desk | ||
GOOGLE INC. | P.IVA: 6388047V C.F.: | Xxxxxx Xxxxxx 0, Xxxxxx - |
→ Fornitura applicativo per monitoraggio sito internet | ||
SEEWEB S.r.l. | P.IVA: 02043220603 C.F.: | Xxxxx Xxxxx 0X, 00000 Xxxxxxxxx - FR |
→ Gestione hosting siti internet | ||
IDEALISTA S.A. | N.I.F. A-82505660 | Xxxxx xx xxx Xxxxxx 0, 0x, 00000 – Xxxxxx (Xxxxxx) |
→ Gestione servizi cloud | ||
IDEALISTA S.p.A. | P.IVA 05388220963 | Corso Italia 3, 20122 – Milano (MI) |
→ Servizio di pubblicazione annunci | ||