OGGETTO
OGGETTO
ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI OPIQUAD (PROCESSOR) DATA PROCESSING AGREEMENT (DPA)
(ex art. 28 del Regolamento UE 2016/679)
1. Premessa
Nel presente documento denominato “Data Processing Agreement” (di seguito, “DPA”), i termini adottati hanno il medesimo significato indicato nel Regolamento (UE) 2016/679 in materia di protezione e libera circolazione di dati personali (di seguito, “Regolamento”) e della vigente disciplina in materia di trattamento dei dati personali, nonché nelle Condizioni Generali di Contratto (di seguito “Condizioni”) che si applicano ad ogni Contratto stipulato (in seguito, “Contratto”) relativo ai Servizi e/o Apparati tra Opiquad SRL a socio unico ed il Cliente.
2. Oggetto e scopo del documento
LE PARTI | DETTAGLI |
IL FORNITORE | OPIQUAD SRL A SOCIO UNICO sede legale Xxx X. Xxxxxxxxx 0, 00000 Xxxxxx (XX) - P.IVA 05866450967. |
IL CLIENTE | Il soggetto indicato nel Contratto sottoscritto con il Fornitore. |
(congiuntamente le “Parti”, disgiuntamente “la Parte”).
Il presente DPA ha ad oggetto modalità e condizioni di trattamento di tutti i dati personali (di seguito, “Dati”) trattati dal Fornitore nell’esecuzione delle attività di cui al Contratto, dati di cui è Titolare il Cliente (di seguito “Titolare” o “Cliente”), in relazione ai quali, il Fornitore assumerà pertanto il ruolo di Responsabile del trattamento.
3. Accordo e autorizzazione al trattamento dei dati personali in qualità di Responsabile
Il presente accordo per la protezione di dati personali è concluso tra il Fornitore e il Cliente. In Considerazione:
- di un adeguato processo di auditing per il quale il Fornitore è risultato compliant al GDPR e alle policy aziendali del committente
- della dotazione di un sistema di gestione per la qualità ISO/IEC 9001:2015
- della dotazione di un sistema di gestione della sicurezza delle informazioni ISO/IEC 27001: 2013
Il Fornitore dimostra di presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento dei dati personali effettuato nell’ambito del Contratto, soddisfi i requisiti richiesti dall’articolo 28 del Regolamento e garantisca la tutela dei diritti degli interessati. Le Parti intendono disciplinare nel DPA le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto e della prestazione dei Servizi, nonché le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dal Fornitore quale Responsabile del trattamento dei dati personali.
4. Ruolo delle parti e obbligo di riservatezza
Le parti riconoscono che il Fornitore agisce quale Responsabile del Trattamento in relazione ai dati personali e il Cliente a gisce di regola quale Titolare del trattamento di detti dati. Nei casi di richieste del Cliente che comportino il trattamento di Dati Personali che siano, ad avviso del Fornitore, in violazione della legislazione in materia di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi dall'eseguire tali istruzioni e ne informerà prontamente il Cliente che potrà valutare eventuali variazioni alle istruzioni impartite ovvero contattare l'Autorità di controllo per verificare la liceità delle richieste avanzate.
4.1 Qualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, garantisce al Fornitore di aver ricevu to le necessarie autorizzazioni dal terzo (titolare), di avere informato il terzo che il Fornitore è stato nominato sub-responsabile del trattamento, che sia stato sottoscritto con il terzo un accordo pienamente coerente con i termini e le condizioni del presente DPA e del Contratto. Infine, che tutte le informazioni comunicate o rese disponibili dal Fornitore, nel rispetto del presente DPA, siano debitamente comunicate al terzo.
4.2 Il Fornitore ha nominato un Responsabile della protezione dei dati (DPO), domiciliato presso la propria sede operativa di Xxx Xxxxxxx 00, 00000 Xxxxxx (XX), che può essere contattato al seguente indirizzo e-mail: xxx@xxxxxxx.xx o al numero 039.93.999.30.
4.3 Il Responsabile è vincolato da obbligo di riservatezza con riferimento a tutti i dati trattati per conto del Cliente, come anche gli incaricati del trattamento designati, che vengono istruiti in merito agli obblighi particolari relativi alla protezione dei dati derivanti dal presente mandato, nonché al vincolo sussistente alle disposizioni e alla finalità̀ . Tale obbligo di riservatezza non si applica nel caso in cui il Cliente abbia autorizzato la fornitura di tali informazioni a terzi, laddove la fornitura delle informazioni a terzi sia ragionevolmente necessaria in considerazione della natura delle istruzioni e dell'attuazione di queste Accordo per l'elaborazione dei dati, o se vi è l'obbligo legale di rendere l'informazione disponibile a terzi.
5. Perfezionamento e durata
Le parti concordano che il DPA avrà efficacia dalla firma del Contratto e sarà valido per tuta la sua durata. Alla data di ce ssazione il Fornitore provvederà alla cancellazione dei dati ovvero su preventiva richiesta del Cliente alla restituzione degli stessi, salvo vi siano diversi obblighi imposti dalla legge Privacy applicabile. Il recesso, la risoluzione, la scadenza o lo scioglimento per qualsiasi altra causa del Contratto, comportano l’automatica cessazione dell’efficacia del DPA.
6. Ambito del trattamento
Opiquad fornisce i servizi/apparati come ivi descritti che comportano la necessità di accedere anche potenzialmente ai dati del Cliente, quale presupposto tecnico per poterli erogare. Il Fornitore, quindi, svolge trattamenti sui dati personali gestiti dal Cliente tramite i Servizi e/o Apparati forniti, operando esclusivamente per conto di quest’ultimo, che possono essere di ogni tipo, essendo solo il Cliente a decidere come utilizzare i servizi e quindi quali dati inserire e quali trattamenti effettuare, limitandosi Opiquad a fornire solo i Servizi e/o gli Apparati così come contrattualmente previsto. Con riferimento a tali dati personali il Cliente può, a seconda dei casi concreti, agire in qualità di titolare o di responsabile del trattamento, mentre Opiquad agirà sempre in qualità di responsabile (“Responsabile”) del trattamento ai sensi delle specifiche istruzioni contenute nel presente Accordo.
7. Tipologia di Dati e Finalità di trattamento
TIPOLOGIA DI DATI | i) dati personali o di terzi immessi e/o trattati dal Cliente in fase di ordine e/o utilizzo del servizio prescelto, nel rispetto delle finalità volte alla sua corretta erogazione da parte di Opiquad e secondo quanto previsto dalla normativa applicabile vigen te. Tale tipologia di Dati Personali e le categorie di interessati sono determinate e controllate a sola discrezione del Cliente; ii) dati personali raccolti automaticamente (ad esempio i dati di traffico telematico); iii) dati, prodotti da altri dati in modo relativamente semplice e diretto, del Titolare e/o di terzi interessati. Il Cliente è il solo responsabile della selezione dei Servizi e si assicurerà che quelli selezionati presentino le caratteristiche e le condizioni richieste per rispettare le attività del Titolare e gli scopi del trattamento, nonché il tipo di Dati Personali da trattare all'interno dei Servizi. |
FINALITA’ | Le finalità del trattamento dei dati personali sono esclusivamente quelle di erogare i servizi e/o fornire gli apparati di cui al contratto e sono effettuate per conto del Cliente da parte di Opiquad , quale responsabile del trattamento, secondo le indica zioni del presente accordo od anche su specifica istruzione scritta di quest’ultimo, sempre se conforme alla disciplina sulla privacy e nel rispetto dei termini contrattuali del servizio. Opiquad altresì può entrare in contatto con i Dati Personali forniti, archiviati, trasmessi, o creati dal Cliente o dall’Utente Finale nel contesto della fruizione del Servizio derivanti da operazioni di assistenza generale ovvero specifica, ove ciò sia strett amente necessario o se richiesti dal Cliente e identificati nelle Condizioni Generali di licenza del prodotto in oggetto. Trattamento “passivo” dei dati Opiquad nel predisporre e mantenere funzionanti le infrastrutture e l’ambiente all’interno del quale il cliente accedendo al servizio, elabora i dati da lui scelti secondo un modello self-service, opera senza avere la possibilità di accedere e controllare i dati di cui disconosce la portata, che verranno trattati con mezzi automatizzati e comunque secondo modalità che non comportano la conoscenza effettiva di attività o di informazioni o fatti o circostanze descritti nelle informazioni trattate, applicandosi, quindi, le esenzioni di cui alla direttiva 2000/31/CE e al D.lgs. 70/2003. |
CATEGORIE DI INTERESSATI | La categoria di interessati si riferisce a persone fisiche come clienti, fornitori o dipendenti del Cliente, dipendendo dal tipo di attività o servizi offerti a sua volta da quest’ultimo a terzi, direttamente o indirettamente. |
DURATA DEL TRATTAMENTO | La durata del trattamento è limitata alla durata del servizio come descritto nelle condizioni generali del contratto ed al termine i dati personali saranno cancellati secondo quanto contrattualmente stabilito, salvo diversa istruzione scritta dal Cliente, sempre se conforme alla disciplina sulla privacy e nel rispetto dei termini contrattuali del servizio. Resta salva l’ipotesi prevista dall’art. 28 § 3 lett. G) GDPR relativa al caso in cui il diritto dell’Unione Europea o il diritto italiano preveda la conservazione dei dati. |
8. Descrizione e tipologia dei trattamenti
SOFTWARE A LICENZA SAAS CSI DOMINI HOSTING POSTA ELETTRONICA PEC HOUSING | I Software Opiquad di proprietà, tutelati dalla legge sul diritto di autore che vengono concessi in Licenza d’uso (non vengono venduti) al Cliente “as is”, ovvero i Software Non Opiquad per i quali si farà riferimento alle condizioni di licenza del produttore. Il Servizio SAAS, il Software Opiquad oppure Non Opiquad che è reso disponibile attraverso l’accesso ad un sito Internet, senza essere installato localmente sul dispositivo del Cliente. Il Servizio Cloud Opiquad che fornisce al Cliente un Virtual Private Server, e/o un Private Cloud e/o un Servizio di Virtual Housing ed un Servizio di Banda Internet. La contrattazione cloud è standardizzata, come lo sono i servizi offerti, che potrebbero ben basarsi su servizi gestiti da sub-provider, tenendo conto dei relativi subcontratti. La scelta dell’utente/cliente investe il servizio cloud che più risponde alle proprie esigenze, senza la possibilità di cambiare nessun aspetto del servizio, né durante gli stadi iniziali, né durante l’esecuzione del contratto. Alternativamente o cumulativamente uno o più dei seguenti Servizi: i) registrazione, trasferimento e/o mantenimento del nome a dominio (Hosting); ii) caselle di Posta Elettronica (comprensivo di spazio di archiviazione); (iii) posta elettronica certificata (PEC) Il Servizio di Housing che comprende la fornitura dell’alimentazione elettrica, UPS, gruppo elettrogeno di emergenza, impianto di condizionamento dell’aria ridondato, rivelatore antifumo, antincendio e di presenza. |
DISASTER RECOVERY | In relazione all’infrastruttura informatica, attività di analisi iniziale dell’infrastruttura e delle politiche di gestione; predisposizione dell’infrastruttura secondaria; backup dei dati del cliente giornaliero con conservazione dei backup sino a _ giorni; aggiornamenti del Software di gestione del Servizio; controllo periodico del backup ed attivazione di eventuali azioni correttive in caso di problemi; assistenza tecnica in caso di indisponibilità dell’infrastruttura primaria; test di ripristino dell’infrastruttura primaria con la cadenza convenuta nella Proposta o nell’Offerta. |
WEB ADVERTISING | ideazione e sviluppo del sito web del Cliente incluso lo sviluppo e la configurazione della piattaforma, del database e l’inserimento dei contenuti; il restyling, ovvero la gestione (controllo, mantenimento e/o aggiornamento) dello stesso. Conduzione di campagne di newsletter utilizzando liste profilate fornite direttamente dal committente, ovvero la gestione di piattaforme, profili social, campagne pubblicitarie dei clienti, gestione e produzione contenuti legati ai social media, anal isi e posizionamento SEO, pianificazione e gestione di campagne di Digital Advertising. |
SERVIZI VOCE ACCESSO A INTERNET | I Servizi Voce che consentono al Cliente di effettuare e ricevere chiamate telefoniche in modalità VOIP; L’accesso ad Internet sulla base di quelle disponibili, tra ADSL, FTTx (fibra o fibra mista a rame), FWA o LTE; |
ASSISTENZA CONSULENZA | Servizio di assistenza tecnica o consulenza, con le diverse modalità presenti nelle CGC contrattuali e ivi descritte |
9. Luogo del trattamento e trasferimento dei dati
Per i servizi comportanti il trattamento dei dati in banche dati create dal Responsabile del trattamento, i dati personali sa ranno custoditi presso la sede del Fornitore e saranno ivi trattati e conservati. Specificatamente, i dati sono trattati presso la sede operativa del Responsabile ovvero presso i Datacenter localizzati in Italia. Qualora ci fosse la necessità che gli stessi siano trattati, per conto della scrivente, da società e/o professionisti, anche esterni, il trattamento avverrà nei limiti necessari allo svolgimento delle prestazioni ad essi affidate all’interno del territorio dell’Unione Europea ovvero Extra UE previo riconoscimento di adeguatezza da parte della Commissione europea (art 45 Regolamento), o con garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (Art. 46 Regolamento).
10. Sub responsabili
10.1 Opiquad è autorizzata ad avvalersi di sub-fornitori per assisterla nella fornitura dei Servizi. Nell'ambito di tale assistenza, i sub-fornitori possono partecipare alle attività di trattamento dei dati effettuate da Opiquad su istruzione del Cliente. La lista dei Sub-responsabili di Opiquad in vigore alla data di decorrenza del Contratto è resa pubblica ovvero messa a disposizione dal Fornitore al Cliente a richiesta, ivi compreso il nominativo, l’ind irizzo e la qualifica di ciascun Sub- responsabile utilizzato. Opiquad si assicurerà che ogni Sub-responsabile sia, quantomeno, in grado di rispettare gli obblighi sottoscritti dalla stessa nel presente DPA in riferimento al trattamento dei Dati Personali da parte del Sub-Responsabile: a tale scopo, sottoscriverà un accordo con il Sub-responsabile restando totalmente responsabile nei confronti del Cliente per qualsivoglia obbligo per il quale il Sub-responsabile risulti inadempiente.
10.2 Opiquad è altresì autorizzata a coinvolgere fornitori terzi (come fornitori di energia, fornitori di materiale o software, trasportatori, fornitori tecnici, società di sicurezza), ovunque si trovino, senza dover informare il Cliente del trattamento od ottenere sua previa approvazione, nella misura in cui tali fornitori terzi non accedano ai dati personali del Cliente.
11. Luogo del trattamento e trasferimento dei dati
Per i servizi comportanti il trattamento dei dati in banche dati create dal Responsabile del trattamento, i dati personali sa ranno custoditi presso la sede del Fornitore e saranno ivi trattati e conservati. Specificatamente, i dati sono trattati presso la sede operativa del Responsabile ovvero presso i Datacenter localizzati in Italia/Europa. Qualora ci fosse la necessità che gli stessi siano trattati, per conto della scrivente, da società e/o professionisti, anche esterni, il trattamento avverrà nei limiti necessari allo svolgimento delle prestazioni ad essi affidate all’interno del territorio dell’Unione Europea ovvero Extra UE previo riconoscimento di adeguatezza da parte della Commissione europea (art 45 Regolamento), o con garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (Art. 46 Regolamento).
11. Responsabilità
Il Titolare, IL CLIENTE è il solo responsabile: | OPIQUAD: |
dell’esattezza, della qualità, della legalità e dell’affidabilità dei Dati personali e dei mezzi mediante i quali li acquisisce; della valutazione dei rischi derivanti dal Trattamento dei Dati personali e garantisce che tutte le procedure e le formalità richieste siano state debitamente espletate; che gli interessati siano stati informati del trattamento dei loro dati personali nei modi e nei tempi previsti dal Regolamento e avranno in qualunque momento la possibilità di esercitare facilmente i loro diritti, direttamente presso il Titolare che sarà quindi il contatto principale per gli Interessati; di fornire a Opiquad per iscritto tutte le istruzioni del caso e qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati. Altresì, esta l’unico responsabile per le informazioni trattate e le istruzioni comunicate a Opiquad; a provvedere alla gestione dei dati personali in conformità alle richieste avanzate dagli Interessati, e pertanto provvedere ad esempio agli eventuali aggiornamenti, integrazioni, rettifiche e cancellazioni dei Dati Personali; di comunicare senza ingiustificato ritardo ed entro 72 ore all‘Autorità competente eventuali violazioni dei dati personali (e, in presenza di determinate condizioni, obbligo di rendere nota la violazione anche agli interessati). | tratterà i Dati Personali solo in conformità alle istruzioni documentate del Cliente. Specificatamente, tratterà i dati personali soltanto per l’esecuzione dei servizi oggetto del contratto, con le caratteristiche tecniche e di sicurezza stabilite sulla base di quanto previsto nello stesso, che ai fini del presente articolo devono intendersi quale documentazione contenente le istruzioni di trattamento dei dati che il cliente ritiene adeguate in relazione a quanto previsto ai sensi dell’art. 32 del Regolamento; potrà trattare i Dati Personali anche nel caso sia richiesto dalla normativa applicabile. In tal caso, dovrà informare il Cliente di tale necessità prima del trattamento fatto, salvo il caso in cui la legge vieti la condivisione di tali informazioni per ragioni di interesse pubblico; ha L’obbligo di informare il Titolare qualora ritenga che una o più istruzioni ricevute violino delle norme in materia di protezione dei dati personali. In caso di omesso controllo od in caso di mancata informativa al titolare, il responsabile risponderà, infatti, in solido con quest’ultimo; assiste il Titolare del trattamento nel garantire il rispetto degli obblighi di cui all’articolo 32 del Regolamento, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento. |
12. Responsabilità condivisa e obbligo di collaborazione reciproca nel rispetto della privacy
Le parti si danno atto che l’efficienza, sicurezza e conformità alla normativa sulla privacy dei servizi da Opiquad, sono oggetto di una responsabilità condivisa tra quest’ultima e il Cliente, che obbliga entrambe le parti ad attivarsi con la dovuta diligenza per la gestione dell’ambito di propria competenza e sotto la propria responsabilità. Ognuna delle parti si impegna inoltre a rispettare i propri obblighi derivanti dalla disciplina sulla privacy ed a collaborare secondo buona fede nell’ambito dell’applicazione del presente accordo al fine di garantire i diritti e le libertà degli interessati.
13. Obbligo di manleva a carico del Cliente
Per tutte le attività svolte in violazione della normativa sulla privacy, colposamente o dolosamente commesse dal Cliente utilizzando i servizi forniti da Opiquad, dalle quali possa derivare a carico di quest’ultima qualsivoglia pretesa stragiudiziale o giudiziale, anche correlata alla violazione delle presenti condizioni da parte del Cliente, questi si impegna ad assumersi ogni responsabilità ed a manlevarla e tenerla indenne il prima possibile, liberan dola dalle suddette pretese. Il Cliente dovrà sostenere direttamente ogni tipo di costo, risarcimento di danni ed oneri, incluse le eventuali spese professionali, che dovessero scaturire da tali pretese, oltre ad ogni ulteriore danno subito da Opiquad.
14. Luogo del trattamento e trasferimento dei dati
Per i servizi comportanti il trattamento dei dati in banche dati create dal Responsabile del trattamento, i dati personali sa ranno custoditi presso la sede del Fornitore e saranno ivi trattati e conservati. Specificatamente, i dati sono trattati presso la sede operativa del Responsabile ovvero presso i Datacenter localizzati in Italia. Qualora ci fosse la necessità che gli stessi siano trattati, per conto della scrivente, da società e/o professioni sti, anche esterni, il trattamento avverrà nei limiti necessari allo svolgimento delle prestazioni ad essi affidate all’interno del territorio dell’Unione Europea ovvero Extra UE previo riconoscimento di adeguatezza da parte della Commissione europea (art 45 Regolamento), o con garanzie adeguate che prevedano diritti azionabili e mezzi di ricorso effettivi per gli interessati (Art. 46 Regolamento).
15. Politica Opiquad
Il Fornitore adotta un prototipo di contestualizzazione che recepisce gli elementi fondamentali del Regolamento. Applica Sistemi di gestione per la qualità ISO/IEC 9001:2015 e per la sicurezza delle informazioni ISO/IEC 27001: 2013. Opiquad applica misure di sicurezza tecniche ed organizzative specifiche a seconda della tipologia di prodotto/servizio erogato o licenziato, che il Cliente riconosce come sufficienti alla sicurezza dei dati personali trattati. Il Cliente è consapevole del fatto che le misure tecniche e organizzative sono soggette al progresso tecnico e ad ulteriori sviluppi e, al riguardo, il Fornitore potrà adottare le più opportune.
16. Cancellazione e distruzione
Alla scadenza di un servizio (conclusione o mancato rinnovo), Opiquad si impegna a cancellare secondo le condizioni previste nel Contratto tutti i contenuti che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente ai fini dei Servizi, fatto salvo in presenza di una richiesta emessa da un’autorità legale o giudiziaria competente, oppure quando la normativa nazionale ovvero quella applicabile dell’UE preveda diversamente. Il Cliente è l’unico responsabile di garantire la posta in essere delle operazioni necessarie (es: back up, trasferimento a una soluzione di terzi, etc.) per la tutela dei dati personali, in particolare prima della conclusione o della scadenza dei servizi, nonché prima di avviare eventuali procedure di cancellazione, aggiornamento o reinstallazione dei servizi. In merito, Il cliente è informato che la conclusione o scadenza di un servizio per qualunque ragione, nonché alcune operazioni specifiche per aggiornare o reinstallare i servizi, potrebbero comportare automaticamente la cancellazione irreversibile di tutti i contenuti (inclusi informazioni, dati, file, sistemi, applicazioni, siti web, posta e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal cliente ai fini dei servizi, compreso qualunque back up potenziale.
17. Disposizione varie
Ai sensi dell’articolo 28 comma 3 lettera a del Regolamento le istruzioni e/o le richieste del Cliente, per essere valide, dovranno rivestire la forma scritta. Le istruzioni
dovranno essere inviate all’indirizzo e-mail: xxx@xxxxxxx.xx.
17.1 Le Parti possono richiedere che sia modificato e/o integrato qualsiasi contenuto del presente DPA in maniera tale da soddisfare qualsiasi interpretazione, linea guida od ordinanza emessa da autorità competenti di uno Stato Membro o dell’Unione Europea, disposizioni nazionali di attuazione, o ulteriori sviluppi normativi relativi ai requisiti generali previsti dal Regolamento per la nomina a responsabile del trattamento o ad ulteriori requisiti previsti per tale nomina. Le Parti sono tenute a concordare in buona fede le modifiche necessarie, tenuto conto dell’obbligo di dare esecuzione al presente rapporto contrattuale conformemente alla legge applicabile in materia di data security.
17.2 L’inapplicabilità o l’invalidità di una o più disposizioni del presente DPA non pregiudica le restanti parti del presente accordo. La disposizione invalida o
inapplicabile potrà all’occorrenza essere modificata al fine di garantirne validità ed opponibilità, rispettando il più fedelmente possibile l’intenzione delle Parti.
17.3 Nel caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto per la prestazione dei Serviz i, o in documenti del Cliente non espressamente accettati dal Fornitore in deroga al presente Accordo, prevarrà quanto previsto nel presente Accordo.
17.4 Per quanto non espressamente previsto e disciplinato nel presente DPA, le Parti rinviano al Contratto, alla normativa applicabile in materia di privacy, con specifico riferimento al Regolamento, ed alla normativa di settore applicabile ai Servizi erogati con il Contratto.
ultimo aggiornamento gennaio 2022