ADDENDUM AL CONTRATTO DI SERVIZIO
ADDENDUM AL CONTRATTO DI SERVIZIO
Nomina del Responsabile per il Trattamento dei Dati Personali
Tra
Numeriprimi S.r.l. con sede legale e operativa in Piazza Fra’ Xxxxxxxx Xxxxxxxxxx 9 – 50132 – Firenze (FI), C.F. e P.IVA 02168090971, in persona del legale rappresentante pro tempore (di seguito denominato “Fornitore”)
e
La Società indicata nel contratto come Cliente ed ivi meglio specificato, in persona del legale rappresentante pro tempore (di seguito denominato “Committente”).
denominati di seguito singolarmente “Parte” e congiuntamente “Parti”.
PREMESSE
i. Il presente Accordo si prefigge di definire gli obblighi delle Parti in relazione alla protezione dei dati personali, in conformità a quanto prescritto dall’art. 28 del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito anche “GDPR”).
ii. Ai fini del presente Accordo come “Normativa Rilevante” si intende il GDPR e qualsiasi provvedimento normativo e/o regolamentare adottato da autorità pubbliche nazionali in materia di trattamento di dati personali (ivi compresi i provvedimenti assunti dalle Autorità di controllo), applicabile durante il periodo di validità del presente Accordo, cui si fa riferimento anche per le definizioni di “trattamento di dati” e “dato personale”.
iii. Il presente Accordo è espressamente collegato, e si allega integrandolo, al Contratto di Servizio o ai Contratti di servizio in essere tra le suddette Parti (di seguito anche solo “Contratto di servizio).
iv. Per ogni aspetto non espressamente disciplinato dal presente Accordo, si rinvia al Contratto di servizio e alla Normativa Rilevante.
v. In caso di contrasto tra le disposizioni del Contratto di servizio e quelle contenute nel presente Accordo, prevarranno queste ultime.
vi. Il Committente ritenuto che il Fornitore presenti garanzie sufficienti, in particolare in merito a conoscenze specialistiche, risorse, affidabilità e abbia adottato misure tecniche ed organizzative che soddisfano i requisiti della Normativa Rilevante per il trattamento dei dati personali, nomina il Fornitore Responsabile del Trattamento relativamente a quelle attività di trattamento connesse al Contratto di Servizio.
1. OGGETTO DELL’ACCORDO
1.1. Le premesse e gli allegati sono parte integrante e sostanziale dell’Accordo.
1.2. Il Committente, con il presente Accordo, ai sensi e per gli effetti dell’art. 28 GDPR, nomina il Fornitore Responsabile del trattamento dei dati personali.
1.3. Il Fornitore accetta la nomina e si impegna a rispettare le prescrizioni della Normativa Rilevante e ad adempiere a tutte le clausole del presente Accordo, ivi inclusi i suoi allegati.
1.4. Qualora il Committente sia a sua volta “Responsabile del trattamento”, col presente Accordo il Fornitore si intenderà nominato come “altro responsabile del trattamento” ai sensi dell’art. 28 GDPR, cd. “Sub - responsabile”.
1.5. In questo caso, Le Parti riconoscono e si danno atto che ai sensi dell’art. 28 GDPR, il presente Accordo sarà valido ed efficace fintanto che il Committente sia legittimato a nominare il Fornitore quale “altro responsabile del trattamento” e salvo eventuali opposizioni alla presente nomina.
1.6. La definizione della natura e della finalità dei trattamenti affidati nonché la tipologia di dati personali e le categorie di interessati cui i dati oggetto dell’Accordo si riferiscono, sono decisi dal Committente e indicati nell’Allegato 1.
2. DIRITTI E OBBLIGHI DEL COMMITTENTE
2.1. Diritti e Obblighi generali
2.1.1. Il Committente determina le finalità e le modalità del trattamento dei dati personali eseguiti dal Fornitore nello svolgimento del Contratto di servizio.
2.1.2. Il Committente dovrà far presente eventuali esigenze contrattuali specifiche inerenti il trattamento dei dati personali in sede di trattativa. Il Fornitore, per eseguire il presente contratto, si atterrà a quanto previsto nel Contratto di servizio e alle istruzioni – specifiche per il trattamento di dati personali - indicate nell’Allegato 1. Non saranno prese in considerazione istruzioni non fornite per iscritto.
2.1.3. Eventuali istruzioni non inserite nell’Allegato 1 potranno essere oggetto di rinegoziazione tra le parti.
2.1.4. Il Committente dichiara e garantisce che i dati personali affidati al Fornitore in esecuzione del presente Accordo, sono stati raccolti e trattati dal Committente in conformità alla Normativa Rilevante.
2.1.5. Il Committente garantisce altresì di essere legittimato, in base alla Normativa Rilevante, a sottoscrivere il presente contratto (in qualità di autonomo Titolare, Contitolare o – a sua volta – di Responsabile).
2.1.6. Il Committente ha diritto di verificare che il Fornitore adempia alle istruzioni impartite e rispetti la Normativa Rilevante ad esempio verificando i) le misure di sicurezza adottate, ii) il corretto svolgimento delle operazioni di trattamento, in applicazione delle istruzioni di cui al presente Accordo iii) il rispetto delle finalità individuate e perseguite dal Committente.
2.1.7. Le verifiche di cui al punto 2.2 potranno essere eseguite nella sede del Fornitore ovvero dove quest’ultimo tratta i dati personali, anche per mezzo di professionisti o soggetti terzi, concordando con il Fornitore una data che non interrompa o rechi pregiudizio alla attività lavorativa di quest’ultimo secondo le modalità del punto 2.2.
2.1.8. Il Committente è tenuto ad informare tempestivamente il Fornitore di eventuali utilizzi impropri degli account o delle credenziali di autenticazione nonché ogni eventuale incidente di sicurezza di cui abbia cognizione e che riguardi i dati oggetto del presente Accordo o i sistemi informatici utilizzati per darvi esecuzione.
2.2. Diritti e obblighi del committente – ispezioni e verifiche
2.2.1. Eventuali ispezioni o verifiche svolte dal Committente, anche per mezzo di terzi professionisti da Lui nominati, non dovranno in alcun modo recare pregiudizio all’attività del Fornitore.
2.2.2. Il Committente, eventuali Suoi collaboratori o professionisti terzi da Lui incaricati dovranno trattare ogni informazione o dato conosciuto in ragione delle ispezioni e delle verifiche condotte in esecuzione del presente Accordo, come strettamente confidenziale.
2.2.3. Le Parti concorderanno con congruo anticipo le date, le modalità, l’oggetto dell’ispezione affinché lo svolgimento delle attività avvenga nel pieno rispetto delle norme sulla sicurezza, in conformità alle procedure e alle misure di sicurezza del Fornitore e dei suoi sub-responsabili.
2.2.4. Qualora l’ispezione comporti costi o pregiudizi non previsti dalle Parti che rendano la prestazione troppo onerosa per il Fornitore, le Parti concorderanno un equo compenso.
3. OBBLIGHI DEL FORNITORE
3.1. Obblighi generali
3.1.1. Il Fornitore tratta, per conto del Committente, i dati personali in esecuzione del Contratto di servizio ed esclusivamente nel quadro del presente Accordo, salvo quanto diversamente previsto dal diritto dell’Unione Europea o di uno Stato membro a cui il Fornitore è soggetto.
3.1.2. I dati forniti non vengono usati per nessun’altra finalità, in particolare non vengono usati dal Fornitore per proprie finalità non previste dall’Allegato 1. Fermo quanto previsto al punto 3.4, il Fornitore può comunicare i dati a terze parti, che svolgono servizi strumentali, qualora sia necessario per dare esecuzione al Contratto di servizio. Il Fornitore non è autorizzato a fornire i dati a terze parti, diverse da quelle suddette, senza la preventiva approvazione scritta del Committente.
3.1.3. Qualunque trasferimento di dati personali oggetto del presente Accordo verso un Paese o una organizzazione internazionale può avere luogo soltanto se avviene nel pieno rispetto delle garanzie di cui al Capo V del Regolamento Europeo GDPR n. 2016/679 e della Normativa Rilevante. Eventuali trasferimenti non eseguiti nel rispetto delle garanzie suddette dovranno essere autorizzati dal Committente.
3.1.4. Il Fornitore fornisce al Committente tutta l’assistenza necessaria e richiesta da quest’ultimo nell’assicurare il rispetto degli obblighi di cui agli articoli 32 “Sicurezza del Trattamento”, 33 “Notifica di una violazione dei dati personali all'autorità di controllo”, 34 “Comunicazione di una violazione dei dati personali all'interessato”, 35 “Valutazione d'impatto sulla protezione dei dati” e 36 “Consultazione Preventiva” del GDPR.
3.1.5. Il Fornitore mette a disposizione del Committente le informazioni necessarie a dimostrare il rispetto degli obblighi e delle prescrizioni della Normativa Rilevante e collabora con il Committente in caso di ispezioni o controlli di ogni genere da parte delle Autorità o in caso di controversie con l’Interessato.
3.1.6. Il Fornitore coadiuva il Committente nel riscontrare le eventuali richieste degli interessati avanzate al fine di esercitare i diritti dell’interessato definiti al Capo III del GDPR, secondo le modalità previste dal presente Accordo e le eventuali istruzioni aggiuntive impartite dal Committente per specifiche esigenze.
3.1.7. Il Fornitore deve designare le persone autorizzate al trattamento di dati personali, garantendo che queste abbiano la necessaria competenza e formazione in relazione alle attività di trattamento di dati personali da porre in essere, provvedendo altresì a vincolarle a idonei impegni di riservatezza circa i dati personali trattati e le relative informazioni di cui vengano a conoscenza in esecuzione delle attività.
3.1.8. Il Fornitore informa il Committente se nota che un’istruzione impartita dal Committente viola un obbligo legale prescritto dalla Normativa Rilevante o qualsiasi altro obbligo derivante dal presente Accordo. Il Fornitore è autorizzato a sospendere l’esecuzione di tale istruzione od obbligo fino a quando non viene confermata o corretta dal Committente.
3.1.9. Qualora il Committente, nonostante la segnalazione di cui al punto 3.1.8 decida di confermare l’istruzione impartita al Fornitore si assume la totale responsabilità della decisione intrapresa e si obbliga a tenere indenne il Fornitore di ogni pretesa, danno, pregiudizio o onere trovi causa in tale istruzione.
3.2. Obblighi del fornitore - Misure tecniche e organizzative
3.2.1. Il Fornitore adotta le misure richieste ai sensi dell'art. 32 GDPR ed in particolare, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, si impegna a mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
3.2.2. Resta in ogni caso fermo quanto previsto ai punti 2.1.2 e 2.1.3 in merito ad eventuali istruzioni aggiuntive del Committente.
3.3. Obblighi del fornitore – Rapporti con i terzi
3.3.1. Qualora gli interessati, le Autorità di controllo o qualsiasi altro terzo (ivi compresi, a titolo esemplificativo e non esaustivo, Autorità giurisdizionali e amministrative diverse dalle Autorità di controllo) avanzassero richieste nei confronti del Fornitore (ivi comprese anche richieste per l’esercizio dei diritti riconosciuti agli interessati, quali il diritto di accesso e gli altri diritti riconosciuti dal GDPR), questo informerà senza ritardo per iscritto il Committente.
3.3.2. Il Fornitore avrà cura, in particolare, di trasmettere al Committente copia delle richieste pervenute, allegando altresì ogni ulteriore eventuale informazione o circostanza ritenuta utile.
3.3.3. Il Fornitore non darà riscontro a richieste di terzi senza averne preventivamente informato il Committente fatta eccezione nei casi in cui sia tenuto per legge a fornire immediato riscontro nonché qualora la richiesta dovesse pervenire da Autorità di Pubblica Sicurezza o Autorità di Controllo.
3.3.4. Nei casi di cui al punto 3.3.2 il Fornitore si impegna a porre in essere ogni accorgimento volto a limitare o restringere la divulgazione dei dati.
3.4. Obblighi del Fornitore - Rapporti di Sub-responsabilità
3.4.1. Il Committente, qualora il Contratto di servizio lo permetta e nel rispetto delle prescrizioni ivi contenute, autorizza in via generale il Fornitore a ricorrere ad un altro Responsabile del trattamento (d’ora in poi anche solo Sub-responsabile) ai sensi e per gli effetti dell’art. 28 del GDPR esclusivamente per lo svolgimento di specifiche attività di trattamento di dati personali necessarie all’esecuzione del Contratto di servizio. Resta in ogni caso salvo il diritto del Committente di opporsi alle specifiche nomine nei termini di seguito indicate.
3.4.2. Il Fornitore alla sottoscrizione del presente documento informa il Committente dei Sub-Responsabili di cui attualmente si avvale per svolgere attività necessarie o strumentali per eseguire il Contratto di servizio, e che
il Committente, con la sottoscrizione del presente Accordo, approva. Il Fornitore deve informare il Committente di eventuali modifiche riguardanti l’aggiunta e/o la sostituzione di altri Sub - Responsabili del trattamento almeno 15 (quindici) giorni prima di operare le predette modifiche, dando così al Committente l’opportunità di opporsi.
3.4.3. L’eventuale opposizione dovrà essere adeguatamente motivata e comunicata per iscritto entro 15 (quindici) giorni dalla comunicazione all’indirizzo indicato in calce al contratto come persona di contatto.
3.4.4. In caso di opposizione le Parti si attiveranno per trovare, di comune accordo, una soluzione alternativa. Qualora non si addivenisse ad un accordo sul punto e, nonostante l’opposizione manifestata dal Committente, il Fornitore confermi la variazione di cui al punto 3.4.2, il Committente avrà diritto di recedere dal presente contratto, fermo restando l’obbligo di corrispondere al Fornitore gli importi dovuti fino alla data di cessazione del Contratto.
3.4.5. Qualora il Fornitore ricorra, sotto la propria responsabilità, alla nomina di un Sub-responsabile, il Fornitore deve prevedere nel contratto con il nuovo Sub-Responsabile garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR.
3.4.6. La comunicazione di cui al punto 3.4.1 potrà essere eseguita dal Fornitore con i mezzi ritenuti più opportuni, incluso l’invio a mezzo posta elettronica.
3.5. Obblighi del fornitore - Notifica delle violazioni da parte del Fornitore (c.d. data breach)
3.5.1. Qualora si verifichi un incidente di sicurezza (a titolo esemplificativo e non esaustivo, qualsiasi evento di distruzione, perdita, alterazione, divulgazione o accesso imprevisto o non autorizzato ai dati personali), riguardante i propri sistemi o quelli dei Sub-Responsabili, il Fornitore dovrà notificare al Committente per iscritto mediante posta elettronica certificata (PEC) tale evento nel minor tempo possibile, dal momento in cui ne sia venuto a conoscenza e comunque senza ingiustificato ritardo.
3.5.2. La comunicazione sarà ritenuta correttamente eseguita qualora contenga:
a) descrivere nel dettaglio la natura della violazione dei dati personali, ivi compresi, ove possibile, le categorie, il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di dati personali coinvolti;
b) contenere il nominativo e i dati di contatto dell’eventuale responsabile della protezione dei dati o altro punto di contatto ove sia possibile ottenere maggiori informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate per far fronte alla violazione e le misure di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
3.5.3. Il Fornitore presterà assistenza e la collaborazione eventualmente richiesta dal Committente al fine di porre rimedio alla violazione di dati personali e al fine di fornire all’Autorità di controllo ogni informazione o chiarimento richiesto.
3.5.4. Resta inteso fra le parti che l’onere di comunicare la violazione all’Autorità garante per i trattamenti di cui al presente Accordo è del Committente.
4. RISERVATEZZA
4.1. Tutti i dati personali ricevuti dal Fornitore da parte del Committente e/o raccolti dal Fornitore nell’ambito dell’esecuzione di questo Accordo sono soggetti a un obbligo di riservatezza nei confronti di terzi.
4.2. Tale obbligo di riservatezza non sussisterà nel caso in cui il Committente abbia espressamente autorizzato la rivelazione di tali informazioni a terzi, nel caso in cui la rivelazione delle informazioni a terzi sia ragionevolmente necessaria alla luce delle disposizioni e dell’esecuzione del presente Accordo, oppure ove ricorra un obbligo giuridico di rendere disponibili le informazioni a terzi.
5. DURATA
5.1. Il presente Accordo decorre dalla data di sottoscrizione e rimarrà in vigore ed efficace fino al termine o alla cessazione (per qualsivoglia ragione) del Contratto di servizio o di eventuali altri Contratti vigenti tra le Parti e aventi il medesimo oggetto. Qualora al termine del Contratto di servizio vi siano trattamenti o attività ancora in corso, il Fornitore, d’accordo con il Committente, può portarli a termine rimanendo obbligato, per tali
attività, ad ogni istruzione o obbligo derivante dal presente Accordo.
5.2. Al termine del Contratto di Servizio i dati trattati, in esecuzione del presente Accordo, saranno a disposizione del Committente nei 60 (sessanta) giorni successivi alla cessazione del Contratto, o nel diverso termine definito nel Contratto di servizio.
5.3. Trascorso tale termine, compatibilmente con i sistemi di business continuity e disaster recovery del Fornitore, i dati verranno cancellati, salvo che la conservazione non sia richiesta da specifici obblighi di legge.
6. RESPONSABILITÀ E MANLEVE
6.1. Il Committente manleverà e terrà indenne il Fornitore da ogni perdita, costo, spesa, sanzione pecuniaria, danno da risarcire e in generale da ogni responsabilità direttamente o indirettamente derivante dalla esecuzione da parte del Fornitore delle disposizioni del presente Accordo con riferimento alle attività di trattamento di dati personali svolte per conto del Committente sotto sua istruzione. Il Fornitore risponderà nei confronti di Xxxxx e del Committente di eventuali danni che trovino causa nel mancato rispetto delle istruzioni del Titolare o della Normativa Rilevante.
6.2. Il Fornitore sarà manlevato e tenuto indenne da ogni perdita, costo, spesa, sanzione pecuniaria danno da risarcire, pregiudizio che sia derivato o abbia trovato causa nella violazione da parte del Committente di una delle clausole del presente Accordo. In particolare, qualora il Committente raccolga o tratti dati personali oggetto del presente Accordo in violazione della Normativa Rilevante e dei punti 2.1.4 e 2.1.5 del presente Accordo terrà indenne il Fornitore da qualsivoglia responsabilità, danno, onere, pretesa e pregiudizio che trovi causa in suddetta violazione.
7. DISPOSIZIONI FINALI
7.1. L’Accordo annulla e sostituisce ogni precedente Accordo o intesa tra le Parti in relazione al trattamento di dati personali svolti dal Fornitore per conto del Committente.
7.2. Le Parti dichiarano che tutte le clausole contenute nel presente Accordo sono state oggetto di attenta e singola valutazione e riflettono la comune volontà delle Parti.
7.3. Qualora una qualsiasi clausola del presente Accordo venisse dichiarata invalida, tale dichiarazione non inficerà la validità di tutte le altre clausole ivi contenute. In tale eventualità e per quanto possibile, tale clausola invalida dovrà venire sostituita da altra il cui effetto sia il più possibile equivalente a ciò che le Parti intendevano al momento della stipula dell’Accordo
7.4. Se una parte è obbligata dalla legge a nominare un responsabile della protezione dei dati, deve nominarlo e fornire i relativi dati di contatto alla controparte. Se una parte non è soggetta all’obbligo giuridico di nominare un responsabile della protezione dei dati, nomina la seguente persona come persona di contatto in materia di protezione dei dati (ai fini del presente accordo):
Nominativo | Indirizzo e-mail | Telefono | |
Cliente | |||
Fornitore |
7.5. Le parti si impegnano a comunicarsi reciprocamente eventuali variazioni intervenute nei suddetti dati di contatto.
8. ALLEGATI Allegato 1 – Dettaglio Servizi
Allegato 2 – Elenco Sub-responsabili Allegato 3 – Misure di Sicurezza
Per accettazione, Luogo e data |
Il Committente | Il Fornitore |
(nome e cognome del legale rappresentante) | (nome e cognome del legale rappresentante) |
Si approvano specificatamente, ai sensi degli artt. 1341 e 1342 c.c., le seguenti clausole dell’Accordo: art. 2.1 Diritti e Obblighi del Committente - Diritti ed Obblighi generali art. 2.2. Diritti e obblighi del Committente – Ispezioni e Verifiche, art. 3.1.7 Obblighi del Fornitore (nomina autorizzati al trattamento), 3.1.9 Obblighi del Fornitore (esonero di responsabilità in caso di istruzioni che violino la Normativa Rilevante), art. 3.4 Obblighi del Fornitore – Rapporti di sub-responsabilità, art. 5 Durata dell’Accordo, art. art. 6 “Responsabilità e Manleve”.
Per accettazione, Luogo e data | |
Il Committente | Il Fornitore |
(nome e cognome del legale rappresentante) | (nome e cognome del legale rappresentante) |
ALLEGATO 1 – DETTAGLIO SERVIZI
CATEGORIE DI INTERESSATI
I dati personali possono riguardare tutte le categorie di soggetti interessati trattati dal Committente tramite i Servizi oggetto del Contratto.
DATI PERSONALI TRATTATI.
I dati personali trattati sono quelli contenuti nei sistemi oggetto delle prestazioni tecniche relative al Contratto.
Fermo restando quanto previsto al punto 2.1.2 del presente accordo, il Committente si impegna a verificare ed eventualmente a specificare nei campi sottostanti, i dati forniti al Fornitore segnalando l’esistenza di categorie di dati ovvero categorie di interessati il cui trattamento potrebbe comportare eventuali criticità o l’assunzione di iniziative specifiche.
1. REGISTRAZIONE DOMINI
Servizio / Finalità | ||
Per la registrazione dei nomi a dominio i dati saranno comunicati al fornitore che eroga il servizio in qualità di Registar, il quale è tenuto ad effettuare la comunicazione alla Registration Authority competente in relazione al TLD richiesto. In questi casi potrebbero verificarsi trasferimenti all’esterno dell’Unione Europea di dati personali dell’interessato, nonché la successiva diffusione, fatta salva l’eventuale richiesta di oscuramento, a seguito dell’iscrizione nel registro accessibile pubblicamente (il cd. Whois). | ||
Tipi di dati personali | Categorie di Interessati | |
2. SERVIZIO DI HOSTING E CMS NUMERIPRIMI
Servizio / Finalità | ||
Il servizio hosting e CMS Numeriprimi viene erogato per mezzo dell’infrastruttura informatica fornita da un soggetto terzo, il quale dispone delle capacità tecniche e organizzative per la sicurezza dei componenti informatici e della connettività. L’infrastruttura logica è gestita direttamente da Numeriprimi configurandosi un servizio di tipo IaaS (Infrastructure-ad-a-Service) da parte del fornitore di servizi. | ||
Tipi di dati personali | Categorie di Interessati | |
3. SERVIZIO DI E-MAIL
Servizio / Finalità | ||
Il servizio di E-Mail viene erogato per mezzo del sistema informatico fornito da un soggetto terzo che si occupa della fornitura e la gestione dei software e dell’hardware per la gestione dello specifico servizio. L’attività di gestione delle caselle, degli alias e in generale di tutte le finalità legate all’amministrazione delle caselle di posta elettronica del cliente sono gestite da Numeriprimi. Il soggetto terzo fornisce i sistemi, le connessioni e i software per l’utilizzo del servizio. | ||
Tipi di dati personali | Categorie di Interessati | |
4. SERVIZIO MAIL MARKETING
Servizio / Finalità | |
Il servizio di Mail Marketing viene erogato per mezzo del servizio fornito da un soggetto terzo che si occupa della fornitura e della messa a disposizione del software e hardware necessario. In questo caso il Numeriprimi si occupa di gestire le liste degli utenti a cui inviare le comunicazioni. In nessun caso i dati contenuti nelle liste saranno utilizzati da Numeriprimi per finalità proprie. | |
Tipi di dati personali | Categorie di Interessati |
5. SERVIZIO CREAZIONE PEC
Servizio / Finalità | ||
Il servizio di Creazione PEC viene erogato da un terzo fornitore del servizio, il quale ha le strutture e le competenze necessarie alla gestione del servizio. In questo caso Numeriprimi si occupa esclusivamente di effettuare la richiesta di apertura del servizio, non interagendo ulteriormente con i dati trasmessi o contenuti nelle caselle di posta elettronica certificata. | ||
Tipi di dati personali | Categorie di Interessati | |
6. SERVIZIO DI BACKUP
Servizio / Finalità | ||
Il servizio di backup viene erogato da un terzo fornitore del servizio il quale fornisce i sistemi e i software necessari alla gestione del servizio. In questo caso Xxxxxxxxxxx si occupa della configurazione e della schedulazione dei backup al fine di consentire un ripristino sempre aggiornato dei dati in caso di incidente tecnico. | ||
Tipi di dati personali | Categorie di Interessati | |
7. SERVIZI GOOGLE
Servizio / Finalità | ||
Alcuni servizi, ad esempio Analytics, Ads, Maps, sono forniti da Google il quale dispone delle infrastrutture tecnologiche e software utilizzati da Numeriprimi per fare una serie di attività volte al miglioramento dei servizi propri e dei propri clienti, nonché all’erogazione di contenuti specifici. Numeriprimi si occupa della configurazione dei servizi, dell’integrazione delle funzioni ovvero dell’analisi dei dati raccolti. | ||
Tipi di dati personali | Categorie di Interessati | |
ALLEGATO 2 – ELENCO DEI SUB-RESPONSABILI
In accordo alle prescrizioni del punto 3.4 del presente Accordo, l’elenco completo dei Sub-Responsabili di cui il Fornitore si avvale per svolgere le attività necessarie o strumentali al Contratto di servizio, è consultabile al seguente indirizzo:
Per i servizi indicati ai punti 1-2-3-6 dell’Allegato 1, il soggetto terzo fornitore del servizio è Genesys Informatica S.r.l. con sede legale in Xxx Xx’ Xxxxxxx 000/00, 00000 – Xxxxxxx (XX). Maggiori informazioni riguardo la compliance al GDPR sono disponibili al seguente indirizzo: xxxxx://xxx.xxxxxxxxxxxxxxxx.xx/xxxxxxx/xxxx-xxxxxxxxx-xxxxxxx-xxxx-xxxxxxxxx.xxx Genesys Informatica S.r.l. è stata nominata Responsabile del Trattamento per i trattamenti svolti per conto di Numeriprimi.
Per i servizi indicati al punto 4 dell’Allegato 1, il soggetto terzo fornitore del servizio è MailUp S.p.A. con sede legale in Xxxxx
X. Xxxxxxxx 0, 00000 – Xxxxxx (XX). Maggiori informazioni riguardo la compliance al GDPR sono disponibili al seguente indirizzo: xxxxx://xxx.xxxxxx.xx/xxxxxxxxxxx-xxxxxxx/
MailUp S.p.A. è stata nominata Responsabile del Trattamento (xxxxx://xxx.xxxxxx.xx/xxxxxxxxx-xx-xxxxxxx-xxx/).
In alcuni casi il terzo fornitore è Hoplo S.r.l. con sede in Galleria del Xxxxx x. 0, 00000 Xxxxxx (XX). Maggiori informazioni sono disponibili al seguente indirizzo: xxxx://xxx.xxxxx.xxx/xxxxxxxxxxx-xxxxxxx/
Hoplo S.r.l. è stata nominata Responsabile del Trattamento.
Per il servizio indicato al punto 5 dell’Allegato 1, il soggetto terzo fornitore del servizio è Playnet S.r.l. con sede legale in Xxx Xxxx.xx Xxxxxxxx 000 - 00000 Xxxxx Xxxxxxxxxx (XX). Il fornitore si occupa della richiesta di registrazione di caselle di posta elettronica, anche abbinate ad un dominio specifico. Playnet S.r.l. è stato nominato Responsabile del Trattamento.
Per i servizi Google (punto 7 – Allegato 1), il fornitore è Google Inc. che ha nominato Google Ireland Ltd quale Rappresentante ai sensi dell’art. 27 del Regolamento UE 2016/679. Google per alcuni servizi, come ad esempio Maps, si configura quale autonomo titolare del trattamento (maggiori informazioni sono disponibili all’indirizzo xxxxx://xxxxxxx.xxxxxx.xxx/xxxx/xx/xxxxxxxxxx/xxxxxxxxxxxxxxxxxxx/), per altri invece, come Analytics o Ads, si configura quale Responsabile del Trattamento (maggiori informazioni sono disponibili ai seguenti indirizzi xxxxx://xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxxxxxx/ e xxxxx://xxxxx.xxxxxx.xxx/xxxxx/xxxx-xxxxxxxxxx-xxxxx).
ALLEGATO 3 – MISURE TECNICHE E ORGANIZZATIVE
A. Il Fornitore ha implementato e mantiene un programma di sicurezza conforme agli standard del settore.
B. Più specificamente, il programma di sicurezza del Fornitore comprende:
CONTROLLO ACCESSI ALLE AREE IN CUI SONO SVOLTI I TRATTAMENTI
Il Fornitore implementa misure idonee per impedire a persone non autorizzate di ottenere l’accesso alle apparecchiature di elaborazione dei dati (vale a dire telefoni, database e server delle applicazioni e relativo hardware) in cui i dati personali vengono trattati, tra cui:
● creazione di aree di sicurezza;
● protezione e limitazione dei percorsi di accesso;
● stabilire autorizzazioni di accesso per dipendenti e terze parti, compresa la relativa documentazione;
● tutti gli accessi al data center in cui sono ospitati i dati personali sono registrati, monitorati e tracciati; e
● il data center in cui sono ospitati i dati personali è protetto da un sistema di allarme di sicurezza e da altre misure di sicurezza appropriate.
CONTROLLO ACCESSI AI SISTEMI DI TRATTAMENTO DEI DATI PERSONALI
Il Fornitore implementa misure adeguate per impedire che i sistemi di elaborazione dei dati vengano utilizzati da persone non autorizzate, tra cui:
● utilizzo di adeguate tecnologie di crittografia;
● identificazione del terminale e / o dell'utente del terminale presso il Fornitore e i sistemi di elaborazione;
● blocco automatico del terminale utente se lasciato inattivo, identificazione e password necessari per l’accesso;
● blocco temporaneo automatico dell'ID utente quando vengono immesse diverse password errate, file di registro degli eventi, monitoraggio dei tentativi di intrusione (avvisi); e
● tutti gli accessi al contenuto dei dati sono registrati, monitorati e tracciati.
CONTROLLO ACCESSI PER L’UTILIZZO DI SPECIFICHE FUNZIONALITÀ O AREE DEI SISTEMI DI TRATTAMENTO DATI
Il Fornitore si impegna affinchè esclusivamente le persone autorizzate siano in grado di accedere ai dati solo nell’ambito e nella misura coperta dalle rispettive autorizzazioni di accesso (autorizzazione) e che i dati personali non possano essere letti, copiati modificato o rimosso senza autorizzazione. Ciò deve essere realizzato con varie misure tra cui:
● politiche e formazione dei dipendenti in relazione ai diritti di accesso di ciascun dipendente ai dati personali;
● assegnazione di singoli terminali e / o utenti del terminale e caratteristiche di identificazione esclusive di funzioni specifiche;
● capacità di monitoraggio nei confronti delle persone che eliminano, aggiungono o modificano i dati personali;
● rilascio di dati solo a persone autorizzate, inclusa l'attribuzione di diritti e ruoli di accesso differenziati;
● utilizzo di adeguate tecnologie di crittografia; e
● controllo dei file, distruzione controllata e documentata dei dati.
CONTROLLO DISPONIBILITÀ
Il Fornitore implementa misure idonee a garantire che i dati personali siano protetti da distruzione o perdita accidentale, tra cui:
● controllo dei file, distruzione controllata e documentata dei dati;
● ridondanza dell'infrastruttura; e
● il backup viene archiviato in un sito alternativo e disponibile per il ripristino in caso di guasto del sistema primario.
CONTROLLO DELLA TRASMISSIONE
Il Fornitore implementa misure adeguate per impedire che i dati personali vengano letti, copiati, alterati o cancellati da parti non autorizzate durante la loro trasmissione. Ciò viene realizzato da varie misure tra cui:
● utilizzo di adeguate tecnologie firewall, VPN e di crittografia per proteggere i gateway e le strutture attraverso cui viaggiano i dati;
● i dati altamente riservati (ad es. Informazioni di identificazione personale come numeri di identificazione nazionale, numeri di carte di credito o di debito) sono anche crittografati all'interno del sistema; e
● fornire un avviso all’utente in caso di trasferimento incompleto dei dati (controllo end-to-end); e
● per quanto possibile, tutte le trasmissioni di dati vengono registrate, monitorate e tracciate.
CONTROLLO INPUT
Il Fornitore implementa adeguate misure di controllo dell’input, tra cui:
● una politica di autorizzazione per l'immissione, la lettura, l'alterazione e la cancellazione dei dati;
● autenticazione del personale autorizzato;
● misure di protezione per l'immissione dei dati in memoria, nonché per la lettura, l'alterazione e la cancellazione dei dati memorizzati;
● utilizzo di credenziali o codici di autenticazione univoci (password);
● a condizione che le voci delle strutture di elaborazione dati (le sale che ospitano l'hardware del computer e le relative apparecchiature) siano tenute bloccate;
● disconnessione automatica degli ID utente che non sono stati utilizzati per un periodo di tempo sostanziale; e
● prova stabilita nell'organizzazione dell'importatore / sub-elaboratore di dati dell'autorizzazione di input; e
● registrazione elettronica delle voci.
SEPARAZIONE DEI TRATTAMENTI PER FINALITÀ DIVERSE
Il Fornitore implementa misure idonee a garantire che i dati raccolti per finalità diverse possano essere elaborati separatamente, tra cui:
● l’accesso ai dati è separato attraverso la sicurezza dell'applicazione per gli utenti appropriati;
● i moduli all’interno del database del Fornitore possono essere separati in base alle finalità ovvero per funzione;
● a livello di database, i dati vengono archiviati in diverse tabelle normalizzate, separate per modulo, per Cliente/Committente o per la funzione che supportano; e
● interfacce, processi batch e report sono progettati solo per scopi e funzioni specifici, pertanto i dati raccolti per scopi specifici vengono elaborati separatamente.
DOCUMENTAZIONE
Il Fornitore conserverà la documentazione delle misure tecniche e organizzative in caso di audit e per la conservazione delle prove. Il Fornitore adotta misure ragionevoli per garantire che le persone da esso assunte e le altre persone nel luogo di lavoro interessato siano a conoscenza e rispettino le misure tecniche e organizzative stabilite nel presente documento.
MONITORAGGIO
Il Fornitore implementa misure idonee per monitorare le restrizioni di accesso agli amministratori di sistema del Fornitore e per garantire che agiscano secondo le istruzioni ricevute. Ciò viene realizzato da varie misure tra cui:
● nomina individuale degli amministratori di sistema;
● l’adozione di misure adeguate per registrare i log di accesso degli amministratori di sistema nell'infrastruttura e mantenerli sicuri, accurati e non modificati per almeno sei mesi;
● audit annuali dell'attività degli amministratori di sistema per valutare la conformità con le attività assegnate, le istruzioni ricevute dal Committente e le leggi applicabili;
● mantenere un elenco aggiornato con i dettagli identificativi degli amministratori di sistema (ad esempio nome, cognome, area funzionale o organizzativa) e compiti assegnati e fornirli prontamente all'esportatore di dati su richiesta.