TERMINI E CONDIZIONI GENERALI DI CONTRATTO

TERMINI E CONDIZIONI GENERALI DI CONTRATTO

1) Oggetto

1.1 Le presenti Condizioni Generali di Contratto (di seguito, “Condizioni Generali”) disciplinano le modalità ed i termini con cui AREA 32 S.r.l., con sede in Xxx Xxxx xx Xxxxx (Xxxxxxx), Xxx Xxxx x. 00/0, Partita Iva 04045890276 (di seguito, “AREA32”) fornisce in Licenza d’uso al Cliente i Servizi Software erogati via Internet con le caratteristiche tecniche e le condizioni economiche proprie della singola offerta commerciale prescelta dal Cliente, come individuata nella Proposta Contrattuale.

Il Servizio (di seguito, “Servizio”) viene denominato “Piattaforma Cloud32” verrà promosso, con seguenti nomi commerciali, dal sito Aziendale e da specifici siti web dedicati (di seguito, “Sito”): xxxx00.xx, XxxxxxxXxxxxXxxxxxx.xx, XxxxxxXxxxxx.xx, XxxxxXxxxxx.xx, XxxxxxxXxxxxx.xx, XxxxxxxXxxxxx.xx, XxxxxxxXxxxxx.xx

Il Servizio viene erogato mediante accesso autenticato ad infrastrutture cloud messe ospitate presso Data Center di Service Provider con sede nel territorio europeo.

Le presenti Condizioni Generali, redatte e predisposte in osservanza ed in conformità alle disposizioni contenute nel D.lgs. 206/2005 e nella L. 40/2007, hanno portata di carattere generale e potranno subire le modifiche rese necessarie da successive disposizioni di legge e/o regolamenti.

1.2 Il CLIENTE prende atto ed accetta che il Servizio è offerto da AREA32 mediante la rete internet con le modalità descritte online, nello stato di fatto e di diritto in cui si trova alla data della richiesta di attivazione, così come pubblicato sul Sito che il Cliente, accettando le seguenti Condizioni Generali, dichiara esplicitamente di conoscere ed accettare. Il Servizio sarà fornito da AREA32 previa stipula con il Cliente del relativo contratto, con le modalità ed i termini descritti nelle presenti Condizioni Generali.

1.3 L’offerta dei predetti servizi è a tempo indeterminato, salva la facoltà di AREA32 di sospenderla o revocarla in qualsiasi momento. In ogni caso, i contratti conclusi prima della predetta sospensione o revoca saranno onorati da AREA32 alle condizioni pattuite.

2) Contratto di fornitura del Servizio

2.1 Il Contratto di fornitura del Servizio è costituito dai documenti di seguito indicati, che ne formano parte integrante e sostanziale:

a) Modulo on-line per la richiesta di attivazione del Servizio;

b) Proposta di Contratto;

c) Condizioni Generali di Contratto.

3) Proposta contrattuale e conclusione del Contratto

3.1 Eseguito l’Ordine online o via fax, il Cliente dovrà inviare ad AREA32 la Proposta di Contratto, debitamente compilata e sottoscritta, corredata da documentazione comprovante il pagamento del corrispettivo. Il Cliente prende atto ed accetta che AREA32, ai fini della conclusione del Contratto e

della successiva corretta e puntuale attivazione ed erogazione del Servizio, si riserva la facoltà di

richiedergli l’invio di documentazione aggiuntiva.

La predetta Proposta di Contratto si considera irrevocabile da parte del Cliente, ai sensi e per gli effetti

dell’art. 1329 c.c.

3.2 AREA32 si riserva un periodo di 20 (venti) giorni dal ricevimento della Proposta di Contratto per l’accettazione. Il Contratto si considera concluso, anche in mancanza dell’accettazione espressa e scritta di AREA32, al momento dell’attivazione del Servizio da parte di quest’ultima comunicato al Cliente, tramite posta elettronica. Trascorso il termine sopra indicato, in assenza di attivazione del servizio la proposta si intenderà non accettata.

3.3 AREA32 si riserva la facoltà di non accettare la Proposta di Contratto del Cliente, a suo insindacabile giudizio, a titolo esemplificativo e non esaustivo, nei casi in cui:

a) il Cliente risulti essere stato inadempiente nei confronti di AREA32, anche in relazione a precedenti rapporti contrattuali. In tal caso, l’accettazione della Proposta di Contratto potrà essere subordinata, a discrezione di AREA32, al previo adempimento del rapporto precedente;

b) il Cliente non fornisca ad AREA32 la documentazione dalla medesima richiesta, o comunque fornisca dati falsi o che AREA32 sospetti essere tali;

c) il Cliente risulti iscritto nel registro dei protesti o assoggettato a procedure esecutive;

d) il Cliente sia ammesso o sottoposto a procedure concorsuali;

e) esistano motivi tecnici che siano di ostacolo all’attivazione del Servizio.

3.4 In ogni caso, AREA32 non è tenuta a motivare al Cliente la mancata accettazione della proposta di Xxxxxxxxx ed il Cliente non potrà avanzare nei suoi confronti alcuna richiesta di indennizzo, di risarcimento del danno o pretese di alcun genere. AREA32, in caso di mancata accettazione, è tenuta esclusivamente a restituire al Cliente il corrispettivo, eventualmente già ricevuto in pagamento, senza ulteriori oneri di alcun genere. Resta inteso che su tale somma non saranno dovuti interessi di alcun genere.

4) Corrispettivi e modalità di pagamento

4.1 I pagamenti dovranno essere effettuati dal Cliente contestualmente alla sottoscrizione della Proposta di Contratto o del rinnovo del Servizio e comunque anticipatamente rispetto all’attivazione del Servizio. Il Cliente corrisponderà ad AREA32, in una unica soluzione, il prezzo del Servizio scelto e gli eventuali costi accessori necessari per l’erogazione del medesimo in vigore al momento della conclusione del contratto ed indicati nel sito. A tutti gli importi fatturati sarà applicata l’Iva dovuta che, assieme a qualunque altro onere fiscale derivante dall’esecuzione del contratto, sarà a carico del Cliente.

4.2 Ai sensi e per gli effetti di quanto previsto dall’art. 52 comma 1 lett. e) D.lgs. 206/2005, il Cliente prende atto ed accetta che il pagamento del corrispettivo per il Servizio prescelto potrà essere effettuato con una delle modalità indicate nel modulo online, ed esattamente mediante bollettino postale, bonifico bancario o carta di credito. Il Cliente dovrà indicare il riferimento d’ordine del servizio acquistato nella relativa “causale”; in caso contrario, AREA32 non potrà essere ritenuta responsabile

della mancata imputazione del pagamento al servizio richiesto dal Cliente e quest’ultimo non potrà avanzare alcuna pretesa o richiesta di risarcimento danni e/o indennizzo. Sarà esclusivamente restituito l’importo che risulti effettivamente essere stato pagato. In ogni caso, il Cliente solleva ora per allora AREA32 da ogni e qualsiasi responsabilità derivante dalle transazioni o pagamenti effettuati.

4.3 Il Cliente non potrà far valere diritti o sollevare eccezioni di alcun tipo se prima non avrà provveduto ad eseguire correttamente i pagamenti previsti dal Contratto. AREA32 si riserva la facoltà di sospendere l’erogazione del Servizio con effetto immediato, nel caso in cui il pagamento del prezzo venga per qualsiasi motivo revocato o annullato dal Cliente, oppure non sia eseguito, confermato o accreditato a beneficio della stessa AREA32.

In caso di ritardo nei pagamenti, il Cliente dovrà versare ad AREA32 gli interessi legali, ai sensi e per gli

effetti dell’Art. 1224 del Codice Civile.

4.4 Con l’accettazione delle presenti Condizioni Generali, il Cliente acconsente esplicitamente che la fattura gli possa essere trasmessa e/o messa a disposizione in formato elettronico.

5) Attivazione ed erogazione del Servizio

5.1 Il Cliente prende atto ed accetta che AREA32 non garantisce che il Servizio si adatti perfettamente a scopi particolari o comunque alle esigenze del Cliente medesimo. Inoltre, per la struttura specifica della rete, in cui molte entità sono coinvolte, nessuna garanzia può essere data sulla costante fruibilità del Servizio.

5.2 Il Cliente prende atto ed accetta che le pratiche di attivazione o rinnovo avranno inizio al momento

della ricezione della documentazione di cui all’art. 3.1.

5.3 Con l’attivazione del Servizio, tutti i relativi diritti di utilizzazione si trasferiranno in capo al Cliente, il quale sarà ritenuto il legittimo titolare del Servizio, nonché l’unico Responsabile e Titolare del suo utilizzo, del materiale e dei dati, anche personali, eventualmente trattati.

5.4 L’assistenza per il Servizio è svolta tramite richieste di assistenza inviate tramite il sito o tramite richieste inviate via mail. AREA32 risponderà alle richieste via mail, o se lo riterrà necessario, potrà fornire assistenza telefonica.

5.5 Il Cliente prende atto ed accetta che il Servizio prevede backup generale dei sistemi da parte di AREA32, la quale non esegue copie separate dei dati del Cliente. In caso di perdita, parziale e/o totale, di tali dati in caso di guasto o malfunzionamento, AREA32 provvederà al ripristino degli stessi dai supporti di backup. Il Cliente è tenuto a effettuare una copia dei dati esportandoli su formati Excel messi a disposizione dal Servizio.

Inoltre, poiché il Cliente ha accesso alle impostazioni di sicurezza del proprio Servizio, AREA32 declina ogni responsabilità in caso di accessi non autorizzati, cancellazioni o altro nella base dai del Cliente.

6) Durata del Contratto e modalità di rinnovo

6.1 Il Contratto di fornitura del Servizio avrà una durata pari al periodo di tempo indicato in fase di ordine, con decorrenza dalla data di conclusione del Contratto, individuata ai sensi e per gli effetti del precedente art. 3. Alla data di scadenza fissata per il Servizio prescelto, il Servizio sarà disattivato ed il

Contratto cesserà di avere efficacia, salvo rinnovo da effettuarsi almeno 15 (quindici) giorni prima della scadenza medesima, mediante l’inoltro del relativo ordine on-line di rinnovo e del pagamento dell’importo, previsto alle tariffe ed alle condizioni contrattuali in vigore al momento del rinnovo.

6.2 Al termine del rapporto contrattuale, a qualsiasi causa dovuto, le Parti saranno libere dalle reciproche obbligazioni. All’approssimarsi della data di scadenza, AREA32 a mero titolo di cortesia e quindi senza che così facendo assuma alcuna obbligazione nei confronti del Cliente, avrà la facoltà di inviare alle caselle di posta elettronica associate a quest’ultimo, avvisi di prossima scadenza con conseguente cessazione del servizio in caso di mancato rinnovo.

7) Tipologia di servizio fornito

7.1 Il servizio è un software applicativo erogato via Internet che permette al Cliente la gestione amministrativa e operativa dell’organizzazione. Il software prevede diverse configurazioni standard e relativi listini prezzo.

Su richiesta del cliente possono essere sviluppati moduli software personalizzati connessi al sistema standard o indipendenti da esso.

8) Modifiche dei servizi e variazioni alle condizioni dell’offerta

8.1 Il Cliente prende atto ed accetta che i servizi oggetto del presente contratto sono caratterizzati da tecnologia in continua evoluzione, per questi motivi AREA32 si riserva il diritto di modificare le caratteristiche tecniche del Servizio e di variare le condizioni dell’offerta in qualsiasi momento e senza preavviso, quando ciò sia reso necessario dall’evoluzione tecnologica e da esigenze di fornitura e/o organizzazione.

8.2 Qualora AREA32 modifichi le presenti Condizioni Generali, dette modifiche saranno comunicate al Cliente. Il Cliente prende atto ed accetta che tale comunicazione potrà essere eseguita anche mediante avvisi generali pubblicati sul sito. Le predette modifiche avranno effetto decorsi 30 (trenta) giorni dalla data della loro comunicazione. Nello stesso termine il Cliente potrà esercitare la facoltà di recedere dal contratto con comunicazione scritta inviata a mezzo posta elettronica certificata (PEC) all’indirizzo xxxx00@xxxxxxxxx.xx o tramite raccomandata a.r. ad XXXX 00 X.x.x., Xxx Xxxx xx Xxxxx (Xxxxxxx), Via Como n. 29/7. In mancanza di esercizio della facoltà di recesso da parte del Cliente, nei termini e nei modi sopra indicati, le variazioni si intenderanno da questi definitivamente conosciute ed accettate.

9) Cessione del contratto

9.1 Il Cliente non potrà trasferire a Terzi, in tutto o in parte, il contratto, né i diritti e/o gli obblighi da esso scaturenti, se non a seguito dell’espressa autorizzazione scritta di AREA32. Il Cliente presta sin d’ora, ai sensi dell’art. 1407 c.c., il proprio consenso affinché AREA32 possa cedere a Terzi il Contratto e/o trasferire a Terzi, in tutto o in parte, i propri diritti e/o gli obblighi scaturenti dal Contratto.

10) Diritti di proprietà industriale e/o intellettuale

10.1 Il Cliente è tenuto ad utilizzare il Servizio nel rispetto dei diritti di proprietà intellettuale e/o industriale di AREA32 o di Terzi. AREA32 è titolare esclusiva e dispone del software, della relativa documentazione e di ogni altra informazione fornita al Cliente in esecuzione del Contratto. Il Cliente, pertanto, non è autorizzato a riprodurre, elaborare, pubblicare, diffondere e cedere a terzi con qualunque mezzo il materiale sopra indicato, se non nei limiti di quanto sia necessario per usufruire del Servizio acquistato e limitatamente al periodo ed alle modalità di cui al presente contratto.

10.2 Qualsiasi materiale che formi oggetto di diritti di proprietà intellettuale e/o industriale in favore di Xxxxx e che sia messo a disposizione del Cliente tramite la fornitura del Servizio, sarà utilizzato dal Cliente nel rispetto di tali diritti. Il Cliente assume ogni responsabilità in proposito, e si impegna a manlevare ed a tenere indenne, ora per allora, AREA32 da qualsiasi conseguenza pregiudizievole.

10.3 Nel caso in cui il Cliente violi i diritti di proprietà industriale o intellettuale di AREA32 e/o di Terzi, AREA32 si riserva il diritto di risolvere il contratto ai sensi del successivo art. 17.

11) Dati del Cliente

11.1 Il Cliente si impegna a comunicare ad AREA32 i propri dati personali necessari all’integrale e corretta esecuzione del contratto; garantisce, altresì, che i predetti dati sono corretti, aggiornati e veritieri e che consentono di individuare la sua vera identità. Il Cliente si impegna a comunicare tempestivamente ad AREA32 ogni variazione ai propri dati personali indicati in fase d’ordine ed a fornire in qualsiasi momento, previa richiesta di AREA32, prova adeguata della propria identità, del proprio domicilio o residenza e, se del caso, della propria qualità di legale rappresentante della persona giuridica richiedente o intestataria del Servizio.

11.2 Nel caso in cui il Cliente ometta la predetta comunicazione o di fornire la documentazione richiesta, oppure nel caso in cui abbia fornito ad AREA32 dati che risultino essere falsi, non attuali o incompleti, o che AREA32 abbia motivo di ritenere tali, AREA32 si riserva il diritto di sospendere e/o interrompere, con effetto immediato e senza preavviso, il servizio, e di risolvere il Contratto ai sensi del successivo art. 17 riservandosi il diritto di chiedere il risarcimento del maggior danno. In tali casi, resta inteso che il Cliente non potrà avanzare ad AREA32 alcuna richiesta di rimborso, indennizzo e/o risarcimento danni per il tempo in cui non ha usufruito del Servizio.

12) Corretto utilizzo del servizio ed obblighi del Cliente.

12.1 Il Cliente prende atto ed accetta che l’utilizzo dei servizi internet sarà soggetto alle limitazioni ed alle responsabilità stabilite da ciascun gestore dei servizi stessi e dovrà essere svolto nel rispetto delle legislazioni vigenti nei paesi ospitanti detti nodi e servizi, delle legislazioni internazionali in materia, nonché con dei regolamenti di utilizzo delle reti e dei nodi interessati. Il Cliente dovrà utilizzare apparecchiature ed accessori omologati secondo gli standard europei, in perfetto stato di funzionamento e tali da non arrecare disturbi e/ o danni al Servizio o ad altro. Il Cliente si impegna a rispettare le eventuali ulteriori condizioni di utilizzo del Software. La responsabilità e l’onere per il corretto utilizzo del Software, il corretto caricamento dei dati iniziali ed il corretto uso nel tempo resta esclusivamente del Cliente, il quale dovrà osservare, nell’uso del Software, le norme operative previste

dal proprietario del Software e quelle indicate da AREA32. Il Cliente risponderà in via esclusiva degli eventuali danni, diretti o indiretti, derivanti dalle violazioni di tale obbligo, tenendo indenne AREA32, ora per allora, da qualsiasi conseguente costo, onere, danno o indennizzo.

12.2 Il Cliente è tenuto ad utilizzare il Servizio in conformità a quanto indicato nel Contratto, nel sito istituzionale, nel rispetto della normativa vigente, dei diritti dei Terzi, della morale e dell’ordine pubblico.

A titolo esemplificativo e non esaustivo, il Cliente si impegna ed è tenuto a:

• non utilizzare o non far utilizzare a Terzi il Servizio contro la legge, contro la morale e l’ordine pubblico, al fine di turbare la quiete pubblica o privata, di recare offesa, danno diretto o indiretto a chiunque, compreso se stesso, o comunque al fine di violare, contravvenire o far contravvenire in modo diretto o indiretto alle vigenti leggi dello Stato italiano o comunque in modo tale da recare danno o nuocere, in qualsiasi modo e forma, all’immagine ed ai marchi di proprietà di AREA32;

• non porre in essere, per mezzo del servizio fornito da AREA32, atti diretti a violare o tentare di violare i sistemi informatici e/o la sicurezza delle reti di AREA32 o di Terzi, e/o la riservatezza dei messaggi privati, o comunque atti diretti a danneggiare o tentare di danneggiare l’integrità delle risorse o a provocare danni diretti o indiretti a chiunque (a titolo esemplificativo ma non esaustivo tramite software pirata, cracks, keygenerators, serials, attacchi informatici di ogni tipologia ivi compresi gli attacchi DOS, virus o altri componenti dannosi);

• non accedere ai sistemi, alle reti e/o ad informazioni di Xxxxx che non abbiano fornito esplicita autorizzazione, mediante tecniche di scanning/probing, test di vulnerabilità, tentativi di violazione della sicurezza o delle misure di autenticazione;

• non effettuare spamming o azioni equivalenti in violazione delle vigenti disposizioni di legge, non introdurre, caricare o inviare programmi, non inviare via e-mail, o in altro modo non trasmettere o diffondere qualsivoglia materiale che contenga virus o altri codici, file o programmi creati per compromettere, interrompere, distruggere o limitare il funzionamento della rete, dei software, degli hardware o degli impianti di telecomunicazioni di AREA32 e/o di terzi;

• non effettuare phishing o altre azioni equivalenti di natura illecita tendenti a sottrarre agli utenti dati personali o altre informazioni riservate (a titolo esemplificativo e non esaustivo: codici d’accesso, password, userID);

• non creare situazioni di pericolo e/o di instabilità e/o altri problemi di natura tecnica a seguito di attività di programmazione e/o modalità di utilizzo che impattino sulla qualità del servizio del Cliente o di altri Clienti in modo da arrecare danno ai medesimi, ad AREA32 e/o a Terzi;

• non consentire o cedere a Terzi l’utilizzo del Servizio, anche parzialmente, né a pagamento né

a titolo gratuito, non rivenderlo a Terzi senza espressa autorizzazione scritta di AREA32;

• garantire che qualsiasi materiale eventualmente da lui immesso nella rete Internet, anche per il tramite dei servizi offerti da AREA32, sia nella sua legittima e completa disponibilità, non contrasti con norme imperative, non violi alcun diritto d’autore, marchio di fabbrica, brevetto

o altro diritto di terzi o di AREA32 tutelato dalla legge o dal contratto. Eventuale materiale protetto da copyright può essere immesso in rete solo qualora il Cliente abbia ottenuto i diritti di utilizzazione dall’effettivo titolare del relativo diritto d’autore;

• trattare, ed a far trattare dall’eventuale proprio personale dipendente o collaborativo, come riservato ogni dato e/o informazione ricevuta, conosciuta o gestita per o a causa della fornitura del Servizio;

• farsi carico della protezione dei dati personali, anche sensibili, immessi in rete per il tramite del Servizio in quanto, quest’ultima, non effettua alcun trattamento di dati sensibili e non offre e/o fornisce alcuna garanzia o altro in merito al predetto trattamento. Pertanto il Cliente, in quanto “Titolare” e “Responsabile” del trattamento rimane l’unico responsabile per i suddetti dati immessi;

• accettare ed osservare le norme di buon uso delle risorse di rete, contenute nel documento “Netiquette”, pubblicate sul sito web della Naming Authority (xxx.xxx.xx/XX/xxxxxxxxxx.xxx)Xxxxxx quali il Cliente dichiara di essere a conoscenza;

• accettare ed osservare le altre norme contenute nella policy di AREA32, consultabile presso il sito.

12.3 In caso di violazione o di presunta violazione di uno o più dei suddetti obblighi sopra indicati, AREA32 avrà la facoltà di intervenire nelle forme e nei modi ritenuti opportuni per eliminare, ove possibile, la violazione o la presunta violazione ed i suoi effetti, e di sospendere e/o interrompere immediatamente e senza alcun preavviso il Servizio, riservandosi altresì il diritto di risolvere il contratto ai sensi del successivo art. 17.

Il Cliente prende atto ed accetta che nulla avrà da pretendere da AREA32 a titolo di rimborso, indennizzo o risarcimento danni per i provvedimenti che la stessa avrà ritenuto opportuno adottare e per la mancata fruizione del servizio. In ogni caso, il Cliente si assume, ora per allora, ogni responsabilità in merito alle violazioni di cui sopra e si impegna, ora per allora, a manlevare e tenere indenne AREA32 da qualsiasi conseguenza pregiudizievole.

13) Assegnazione dei codici di identificazione e riservatezza

13.1 L’accesso al Servizio è consentito tramite l’utilizzo di un codice di identificazione (UserID) e di una parola chiave (password) assegnati al Cliente da AREA32 e comunicate al medesimo via e-mail all’indirizzo di posta elettronica di riferimento indicato in fase d’ordine.

13.2 Il Cliente è tenuto a conservare ed utilizzare i predetti codici con la massima diligenza e riservatezza, a modificare la password ogni settimana per ragioni di maggiore sicurezza, a non trasferire a terzi i codici di gestione rispondendo, pertanto, della custodia degli stessi. A tale proposito, il Cliente prende atto ed accetta che la conoscenza da parte di terzi dei predetti codici potrebbe consentire a questi ultimi l’indebito utilizzo dei servizi a lui intestati.

13.3 Il Cliente prende atto che sarà ritenuto responsabile di qualsiasi danno arrecato ad AREA32 e/o a terzi dalla conoscenza, ovvero dall’utilizzo, della password e/o della UserID da parte di terzi, anche in dipendenza della mancata osservanza di quanto sopra prescritto. Il Cliente si impegna, altresì, a

comunicare immediatamente per iscritto ad AREA32 l’eventuale furto, smarrimento o perdita ovvero appropriazione a qualsivoglia titolo da parte di terzi dei predetti codici. Il Cliente si assume fin d’ora ogni responsabilità per danni diretti e indiretti arrecati ai propri dati, ad AREA32 e/o a Terzi in conseguenza dell’inosservanza di quanto sopra.

14) Casi di sospensione e/o interruzione del Servizio

14.1 Il Servizio sarà di norma disponibile di norma 24 (ventiquattro) ore su 24 (ventiquattro), tuttavia, il Cliente prende atto ed accetta che AREA32 potrà sospendere e/o interrompere la fornitura del Servizio per garantire gli interventi di manutenzione ordinaria o straordinaria che si rendano opportuni e/o necessari. In tali casi, AREA32 si impegna a ripristinare il Servizio nel minor tempo possibile al fine di ridurre il disagio creato al Cliente.

14.2 AREA32 non sarà ritenuta responsabile per interruzioni parziali o totali del Servizio dovute ad attività e/o inerzia di altro fornitore o a causa delle apparecchiature di proprietà del Provider Internet. In ogni caso, il Cliente dovrà comunicare ad AREA32 entro 24 (ventiquattro) ore solari eventuali irregolarità o disfunzioni nel Servizio. Eventuali danni causati da una comunicazione non tempestiva del Cliente saranno imputati a quest’ultimo.

14.3 AREA32 ha facoltà di sospendere e/o interrompere in ogni momento, senza preavviso, la fornitura del Servizio:

• nel caso in cui il Cliente ometta, in tutto o in parte, il pagamento del costo del Servizio;

• qualora AREA32, a suo insindacabile giudizio, abbia motivo di ritenere che il Cliente abbia

violato le disposizioni contenute all’art. 12.2;

• in caso di guasti alla rete e agli apparati di fornitura del servizio dipendenti da caso fortuito o forza maggiore nonché nel caso di modifiche e o manutenzioni non programmabili e/o prevedibili e tecnicamente indispensabili;

• qualora ricorrano motivate ragioni di sicurezza e/o garanzia di riservatezza;

• in caso di guasto e/o di malfunzionamento che comporti pericolo per la rete e/o per le persone;

• qualora il Cliente utilizzi apparecchiature difettose o non omologate, oppure che presentino delle disfunzioni che possano danneggiare l’integrità della rete e/o disturbare i Servizi e/o creare rischi per l’incolumità fisica delle persone.

Resta inteso che AREA32, al verificarsi delle ipotesi sopra descritte, avrà la facoltà di risolvere il contratto di diritto ai sensi del successivo art. 17.

14.4 In tutti i casi sopra elencati, e in ogni caso in cui si manifesti una sospensione e/o interruzione del Servizio, anche non dipendente da AREA32, quest’ultima non sarà in alcun modo responsabile nei confronti del Cliente o di chiunque per la mancata disponibilità del Servizio, non garantendo comunque la continuità del servizio, l’integrità dei dati memorizzati o inviati attraverso il sistema di AREA32 e/o attraverso internet. Il Cliente, pertanto, prende atto ed accetta che non potrà avanzare alcuna richiesta

di risarcimento danni, di rimborso o di indennizzo nei confronti di AREA32 per la sospensione o

l’interruzione del Servizio verificatasi e la solleva, ora per allora, da qualsiasi responsabilità.

15) Limitazioni di responsabilità di AREA32

15.1 Resta inteso che AREA32 assume obbligazioni di mezzi e non di risultato e che, pertanto, alcuna responsabilità potrà esserle imputata qualora la fornitura del Servizio, con le precise caratteristiche richieste dal Cliente, sia condizionata al fatto del terzo (a titolo esemplificativo ma non esaustivo: fornitore di AREA32) e/o ai tempi delle relative procedure di attivazione.

A tale proposito, il Cliente prende atto ed accetta che:

a) l’utilizzo dei servizi forniti in collaborazione con altre infrastrutture (nazionali ed internazionali) è limitato ai confini e dalle norme stabilite dai gestori dei servizi medesimi, nonché dalle legislazioni vigenti nei Paesi che ospitano tali servizi e da quelle internazionali in materia;

b) restano sempre possibili interruzioni tecniche dei servizi dovute a guasti e malfunzionamenti delle macchine e dei software, siano essi di proprietà di AREA32 o dei suoi fornitori;

c) la natura stessa dei servizi Internet non consente di dare alcuna garanzia sulla possibilità di raggiungere qualsiasi spazio web da tutto il mondo e/o sulla consegna e sulla ricezione dei messaggi di posta, tantomeno di garantire la riservatezza e la confidenzialità degli stessi;

d) l’effettiva velocità del collegamento Internet dipende dal grado di congestione della rete, dalla qualità della rete di accesso e dell’impianti del Cliente, AREA32, pertanto, non è in grado di garantire l’effettivo raggiungimento della velocità nominale.

15.2 AREA32 si impegna ad assicurare la migliore funzionalità del sistema, ma non assume alcuna responsabilità sia verso i propri Clienti sia verso Terzi per ritardi, cattivo funzionamento, sospensione e/o interruzione nell’erogazione del Servizio determinati da cause ad essa non imputabili, quali a titolo esemplificativo e non esaustivo:

a) caso fortuito e forza maggiore;

b) malfunzionamento o non conformità degli apparecchi di connessione di cui il Cliente si è dotato o comunque di quelli dal medesimo utilizzati;

c) manomissione o interventi sui servizi o sulle apparecchiature eseguiti dal Cliente o da parte di soggetti Terzi non autorizzati da AREA32;

d) errata utilizzazione o utilizzazione non conforme del Servizio da parte del Cliente, alle presenti Condizioni Generali o alle indicazioni contenute nel sito o comunque mancati adempimenti del Cliente verificatisi, a titolo esemplificativo e non esaustivo, in materia di sicurezza, prevenzione antincendio e antinfortunistica;

e) problemi del software.

Resta inteso che in tali casi, AREA32 non risponderà di alcuna perdita, danno o lesione che derivino al Cliente o a Terzi, siano essi diretti o indiretti, prevedibili o imprevedibili, tra i quali a titolo esemplificativo e non esaustivo perdite economiche/finanziarie, di affari, di ricavi e di utili e/o di avviamento commerciale.

15.3 Il Cliente riconosce che AREA32 non può esercitare il controllo sui contenuti delle informazioni che sono trasmesse mediante la propria rete; per questo motivo il Cliente prende atto ed accetta che alcuna responsabilità può essere imputata ad AREA32 per la trasmissione o la ricezione da parte di questi di informazioni illegali di qualsiasi natura. Il Cliente accetta di manlevare AREA32 per ogni azione di responsabilità che dovesse essere effettuata da Terzi relativamente a violazioni alle leggi nazionali o internazionali effettuate dal Cliente. Il Cliente dovrà sostenere tutti i costi, risarcimenti danni ed oneri, incluse le eventuali spese legali, che dovessero scaturire da tali azioni di responsabilità e si impegna ad informare AREA32 qualora una tale azione di responsabilità dovesse essere iniziata nei propri confronti.

16) Recesso

16.1 In linea generale è esclusa la disdetta anticipata del contratto da parte del Cliente, eccezion fatta per le ipotesi di recesso espressamente previste nel presente articolo. In caso di disdetta, recesso o risoluzione illegittimi da parte del Cliente, AREA32 è fin d’ora autorizzata a trattenere le somme pagate dal Cliente a titolo di penale, salvo il risarcimento del maggior danno.

16.2 Il Cliente, che sia qualificabile come “consumatore” ed identificato, ai sensi dell’art. 3 del D.lgs. 206/2005 (cd. “Codice del Consumo”), nella persona fisica che agisce per scopi estranei alla propria attività imprenditoriale o professionale, avrà facoltà di recedere dal presente Contratto con le modalità indicate al successivo art. 19.

16.3 AREA32 si riserva la facoltà di recedere dal Contratto in qualsiasi momento e senza obbligo di motivazione, dandone comunicazione scritta al Cliente, con un preavviso di almeno 30 (trenta) giorni, tramite raccomandata a.r. o in alternativa tramite posta elettronica certificata (PEC), fatto salvo il caso di eventi determinati da cause di forza maggiore, in virtù dei quali AREA32 si riserva il diritto di recedere dal presente contratto con effetto immediato.

Decorso il termine sopra indicato, AREA32 potrà in qualsiasi momento disattivare il Servizio, senza alcun preavviso nei confronti del Cliente.

In conseguenza dell’esercizio del recesso, AREA32 sarà tenuta a restituire al Cliente esclusivamente il rateo del prezzo del Servizio corrispondente al numero di giorni non utilizzati, fino alla successiva scadenza naturale del Contratto. In ogni caso, resta esplicitamente escluso ogni altro rimborso o indennizzo o risarcimento o responsabilità di AREA32 per l’esercizio del diritto di recesso e/o per il mancato utilizzo da parte del Cliente del Servizio nel periodo residuo.

17) Clausola risolutiva espressa e risoluzione del contratto

17.1 Il presente contratto si intenderà risolto di diritto, ai sensi e per gli effetti di cui all’art. 1456 c.c,

qualora il Cliente:

a) ceda tutto o parte del contratto a terzi, senza il preventivo consenso scritto di AREA32;

b) sia stato in precedenza o sia inadempiente ad ogni titolo nei confronti di AREA32;

c) agisca o si presenti come agente di AREA32;

d) xxxxxxx iscritto nell’elenco dei protesti, sia stato dichiarato insolvente, sia stato ammesso o

sottoposto ad una procedura concorsuale;

e) utilizzi i servizi in modo diverso rispetto a quanto comunicato ad AREA32 ovvero in maniera diversa

da come autorizzato da quest’ultima;

f) violi le disposizioni contenute agli artt. 10, 11 e 12 delle presenti Condizioni Generali. Nelle ipotesi sopra indicate, la risoluzione si verifica di diritto mediante dichiarazione unilaterale di AREA32, da eseguirsi con lettera raccomandata a.r. o posta elettronica certificata (PEC) da inviare al Cliente, per effetto della quale AREA32 sarà autorizzata ad interrompere immediatamente la fornitura del Servizio senza alcun preavviso. In tali ipotesi, il Cliente prende atto ed accetta che le somme pagate dal medesimo saranno trattenute da AREA32 a titolo di penale, fatto salvo in ogni caso il risarcimento del maggior danno, senza che lo stesso possa avanzare alcuna richiesta di rimborso, indennizzo e/o risarcimento danni per il periodo in cui non ha usufruito del Servizio.

17.2 Resta inteso che la risoluzione di diritto sopra indicata opera senza pregiudizio per le altre ipotesi di risoluzione, ed in generale per gli altri strumenti di tutela, previsti dalla legge, ivi comprese le azioni dirette ad ottenere il risarcimento del danno eventualmente subito da AREA32.

18) Registro elettronico

Il Cliente prende espressamente atto ed accetta l’esistenza del Registro dei Collegamenti (LOG – dati relativi al traffico telematico), compilato e conservato da AREA32 nei termini e con le modalità stabilite dalla legge. Il predetto registro costituisce piena ed incontrovertibile prova dei fatti e degli atti compiuti dal Cliente medesimo in relazione ad AREA32 e/o a Terzi; esso ha carattere di riservatezza assoluta e potrà essere esibito o fornito esclusivamente su richiesta delle Autorità competenti. AREA32 adotta tutte le misure tecniche ed organizzative necessarie a garantire la riservatezza dei registri di collegamento.

19) Informative ex art. 52, 53, 64 e ss. e 5 D.lgs. 206/2005 ed art. 7 D.lgs. 70/2003.

Ai sensi di quanto previsto dagli artt. 52, 53 e 64 e ss. D.lgs. 206/2005 il Cliente prende atto che:

a) il fornitore del Servizio è la società AREA32 S.r.l. con sede in Xxx Xxxx x. 00/0, 00000 Xxx Xxxx xx Xxxxx (XX), REA VE – 0360544, Partita Iva 04045890276;

b) qualora Egli sia qualificabile come consumatore ed identificato, ai sensi dell’art. 3 del D.lgs. 206/2005 (“Codice del Consumo”), nella persona fisica che agisce per scopi estranei alla propria attività imprenditoriale o professionale eventualmente svolta, o nelle associazioni dei consumatori e degli utenti che abbiano per scopo statutario esclusivo la tutela dei diritti e degli interessi dei consumatori o degli utenti, avrà facoltà di recedere dal contratto, in qualsiasi momento, senza alcuna penalità e senza indicarne le ragioni, con comunicazione scritta inviata a mezzo raccomandata a.r. ad AREA32 S.r.l., Via Como, n. 29/7– 00000 Xxx Xxxx xx Xxxxx (Xxxxxxx) oppure a mezzo di posta elettronica certificata (PEC) all’indirizzo xxxx00@xxxxxxxxx.xx.

a) La comunicazione potrà essere inviata anche mediante telegramma, telex o telefax, a condizione che sia confermata mediante lettera raccomandata a.r. entro le 48 ore successive. Il recesso avrà efficacia decorsi 30 (trenta) giorni dalla data di ricevimento da parte di AREA32 della predetta comunicazione ed AREA32 provvederà a disattivare il Servizio. Nel caso in cui il Cliente richieda,

altresì, il rimborso del prezzo del Servizio per i giorni non utilizzati fino alla successiva scadenza naturale del rapporto, AREA32 provvederà ad effettuare detto rimborso con esclusione dei costi sostenuti e/o da sostenere, conformemente a quanto stabilito dall’art. 1 comma 3 della L. 40/2007.

b) Xxxxx inteso, e di ciò il Cliente prende atto ed accetta, che la predetta facoltà di recesso è riconosciuta, in conformità al D.lgs. 206/2005 ed alla L. 40/2007, solo ai Clienti che siano qualificabili come consumatori, pertanto, essa non si applica quando il Cliente stesso agisce e conclude il presente contratto per scopi riferibili all’attività imprenditoriale o professionale svolta;

c) eventuali reclami possono essere inviati alla sede legale di AREA 32 S.r.l., Via Como, n. 29/7 – 00000 Xxx Xxxx xx Xxxxx (Xxxxxxx).

20) Trattamento dei dati personali

20.1 Con riferimento al trattamento dei dati personali di soggetti terzi immessi o comunque trattati dal Cliente attraverso la Piattaforma Cloud32 (“Dati Personali di Terzi”), ai sensi del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (“GDPR”), le parti si danno atto e accettano di conformarsi a quanto previsto nell’ “Accordo Principale per il Trattamento di Dati Personali” (“MDPA”) allegato al presente Contratto (Allegato A).

20.2 Il Cliente dovrà manlevare e tenere indenne AREA 32 S.r.l., da qualunque pregiudizio, onere, sanzione o pretesa che la AREA 32 S.r.l., dovesse subire o ricevere in ragione della violazione da parte del Cliente degli obblighi stabiliti dal MDPA (ivi incluso per ciò che attiene ad eventuali pretese o richieste degli interessati o di terzi ed i relativi costi legali di difesa). AREA 32 S.r.l., in ogni caso, non potrà essere ritenuta responsabile per l’eventuale carenza, lacunosità o non correttezza delle istruzioni impartite dal Cliente in merito al trattamento dei Dati Personali di Terzi o per la mancata adozione di misure di sicurezza tecnico-organizzative relative al proprio personale.

20.3 I dati personali del Cliente, o del personale del Cliente e raccolti ed elaborati da AREA 32 S.r.l., per finalità e con modalità proprie e del cui trattamento, per cui AREA 32 S.r.l., è Titolare ai sensi del Codice Privacy (“Dati Personali del Cliente”), saranno trattati da AREA 32 S.r.l., in conformità a quanto riportato nell’informativa rilasciata da AREA 32 S.r.l., ai sensi dell’articolo 13 del GDPR.

20.4 Con la stipula del Contratto il Cliente affida formalmente a AREA32 l’incarico di “Responsabile esterno del trattamento” (RDT) per trattare i Dati Personali ai fini della esecuzione del Servizio. I dati sono conservati sul server del provider ARUBA fornitore e responsabile per alcuni aspetti tecnici i sistemistici e non verranno trasferiti all’estero.

20.5 AREA32, tramite il suo personale, opererà sui dati inseriti dal Cliente per dare corso alle attività di ordinaria amministrazione della piattaforma (salvataggi, ripristini, manutenzione software) e per agire a fronte delle segnalazioni di richieste di supporto e aggiornamento sui dati da parte del cliente. Nessun altro uso verrà effettuato da AREA32 sui dati presenti negli archivi del cliente.

20.6 AREA32 non si assume nessuna responsabilità relativamente ai dati presenti negli archivi del Cliente che, nella sua veste di titolare, deve mettere in atto tutte le azioni necessarie per l’acquisizione dei consensi del caso e per garantire il corretto accesso ai sistemi da parte del suo personale nel rispetto delle finalità pe cui tratta i dati.

20.7 AREA32 si impegna a conformarsi alle Istruzioni, fermo restando che, qualora il Cliente richieda variazioni rispetto alle Istruzioni iniziali, AREA32 valuterà gli aspetti di fattibilità e concorderà con il Cliente le predette variazioni ed i costi connessi.

20.8 In caso di richieste del Cliente che comportino il trattamento di Dati Personali che siano, ad avviso di AREA32, in violazione della Legislazione in materia di Protezione dei Dati Personali, AREA32 è autorizzato ad astenersi dall’eseguire tali Istruzioni e ne informerà prontamente il Cliente. In tali casi il Cliente potrà valutare eventuali variazioni alle Istruzioni impartite o contattare l’Autorità di controllo per verificare la liceità delle richieste avanzate.

20.9 AREA32 si impegna a provvedere alla cancellazione integrale degli archivi alla scadenza contrattuale con una salvaguardia temporale massima di 6 mesi finalizzata al possibile ravvedimento contrattuale da parte del Cliente.

20.10 AREA32 si impegna a mettere a disposizione strumenti idonei a garantire la possibilità, in ogni momento, da parte del Cliente di estrarre le informazioni caricate in archivio (portabilità) in formati elaborabili.

20.11 AREA 32 si impegna a informare tempestivamente il Cliente, e ad assisterlo, lì dove dovessero verificarsi situazioni conclamante di violazione dei dati personali inseriti in archivio. Il Cliente è chiamato ad indicare formalmente i riferimenti da contattare nel caso, sia in forma scritta (mail, posta, ecc.) sia per via telefonica. L’assistenza da parte di AREA32 sarà completa ed esaustiva vista la delicatezza dei dati potenzialmente presenti in archivio con le relative conseguenze sulle libertà delle persone. Sarà compito del Cliente fornire con chiarezza e tempestività ad AREA32 l’indicazione dei dati effettivamente caricati al fine di poter completare, congiuntamente, un quadro esatto ed esaustivo dei rischi effettivamente in essere a causa dell’evento e, conseguentemente, adottare le misure del caso.

20.12 AREA32 mette in atto già da tempo tutte le misure idonee a garantire la corretta salvaguarda dei dati affidati; potrà nel tempo implementare ulteriormente questi sistemi a garanzia del servizio erogato senza dover nulla chiedere al cliente in termini di consenso o autorizzazione ad operare. Il Cliente si impegna ad adottare integralmente le indicazioni fornite da AREA32 al fine di tutelari i sistemi da accessi abusivi o non autorizzati che possano rappresentare un pericolo i dati e i sistemi.

21) Disposizioni finali e comunicazioni

21.1 Il presente contratto annulla e sostituisce ogni altra precedente intesa eventualmente intervenuta tra AREA32 e il Cliente in ordine allo stesso oggetto, e costituisce la manifestazione integrale degli accordi conclusi tra le parti su tale oggetto. Nessuna modifica, postilla o clausola comunque aggiunta al presente contratto sarà valida ed efficace tra le Parti, se non specificatamente ed espressamente approvata per iscritto da entrambe.

21.2 I rapporti tra AREA32 ed il Cliente stabiliti dalle presenti Condizioni Generali non possono essere intesi come rapporti di mandato, di rappresentanza, di collaborazione, di associazione o altri contratti simili o equivalenti.

21.3 In nessun caso eventuali inadempimenti e/o comportamenti del Cliente difformi alle presenti Condizioni, potranno essere considerati quali deroghe alle medesime o tacite accettazioni degli inadempimenti, anche se non contestati da AREA32.

L’eventuale inerzia di AREA32 nell’esercitare o far valere un qualsiasi diritto o clausola del Contratto,

non costituisce rinuncia a tali diritti o clausole.

21.4 Tutte le comunicazioni al Cliente relative al presente rapporto contrattuale saranno effettuate da AREA32 tramite e-mail, all’indirizzo/i comunicato/i dal Cliente e, in conseguenza, le medesime si considereranno da questi conosciute. Eventuali variazioni degli indirizzi del Cliente non comunicate ad AREA32 non saranno ad essa opponibili. Tutte le comunicazioni che il Cliente intenda inviare ad AREA32 relativamente al presente contratto dovranno essere inviate ai recapiti presenti sul sito.

21.5 L’eventuale inefficacia e/o invalidità, totale o parziale, di una o più clausole delle presenti Condizioni Generali non comporterà l’invalidità delle altre, le quali dovranno ritenersi pienamente valide ed efficaci.

21.6 Per quanto non espressamente previsto nelle presenti Condizioni Generali, le Parti fanno espresso rinvio, nei limiti in cui ciò sia compatibile, alle norme di legge vigenti al momento della conclusione del contratto.

21.7 Eventuali reclami in merito alla fornitura del Servizio ordinato dal Cliente, dovranno essere inoltrati ad AREA 32 S.r.l., Via Como, n. 29/7 – 00000 Xxx Xxxx xx Xxxxx (Xxxxxxx) tramite lettera raccomandata a.r. entro e non oltre 48 (quarantotto) ore dal momento in cui si verifica il disservizio. AREA32 esaminerà il reclamo e fornirà risposta scritta entro 60 (sessanta) giorni dal ricevimento del medesimo. Nel caso di reclami per fatti di particolare complessità, che non consentano una risposta esauriente nei termini di cui sopra, AREA32 informerà il Cliente entro i predetti termini sullo stato di avanzamento della pratica.

22) Foro competente

Per ogni e qualsiasi controversia relativa all’interpretazione, esecuzione e risoluzione del Contratto sarà esclusivamente competente il Foro di Venezia, salvo il caso in cui il Cliente abbia agito e concluso il presente contratto in qualità di Consumatore per scopi estranei all’attività imprenditoriale o professionale svolta; in tal caso sarà esclusivamente competente il Foro del luogo dove il Cliente ha la propria residenza o domicilio, se ubicati sul territorio dello stato italiano.

ALLEGATO A

ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI – MASTER DATA PROCESSING AGREEMENT

(ex art. 28 del Regolamento UE 2016/679)

TRA

Il presente accordo per la protezione di dati personali è concluso tra il Fornitore, come di seguito definito, e il cliente che accetta il presente accordo. Per “Fornitore” si intende la società Area 32 s.r.l., con sede legale a San Donà di Piave (VE) in Xxx Xxxx 00/0 - 00000, 5, C.F. e P.IVA 04045890276 (nel seguito anche “Area 32”), quale società del gruppo TeamSystem.

E

il soggetto indicato nel Contratto quale cliente (di seguito il “Cliente”), di seguito, congiuntamente, le “Parti” o disgiuntamente la “Parte”

PREMESSO CHE

a) il Cliente ha sottoscritto uno o più contratti con il Fornitore (di seguito il “Contratto”);

b) le Parti intendono disciplinare nel presente “accordo principale per il trattamento dei dati personali – Master Data Processing Agreement” (nel seguito “MDPA” o “Accordo”) le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto e della prestazione dei Servizi e le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dal Fornitore quale Responsabile del trattamento dei dati personali ai sensi dell'art. 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (nel seguito “GDPR”);

c) le caratteristiche specifiche del trattamento dei Dati Personali sono descritte, con riferimento a ciascun Servizio, nelle “condizioni speciali di trattamento dei Dati Personali” disponibili sul sito xxxxx://xxx.xxxx00.xx/xxxxxxxxxx-xxxxxxxx-xxxxxxx/xxxx/ (di seguito “DPA - Condizioni Speciali”) le quali costituiscono parte integrante ed essenziale del presente Accordo.

Tutto quanto sopra premessole Parti convengono quanto segue:

1. DEFINIZIONI E INTERPRETAZIONE

1.1. Le premesse costituiscono parte integrante del presente Accordo. Nell'Accordo i seguenti termini ed espressioni avranno il significato associato ad essi qui di seguito:

“Data di Decorrenza dell'Accordo” indica la data in cui il Cliente sottoscrive o accetta il presente Accordo o, se anteriore, la data di decorrenza del Contratto a cui il presente Accordo è legato;

“Dati Personali” ha il significato di cui alla Legislazione in materia di Protezione dei Dati Personali e includerà, a titolo puramente esemplificativo, tutti i dati forniti, archiviati, inviati, ricevuti o altrimenti elaborati, o creati dal Cliente, o dall'Utente Finale in relazione alla fruizione dei Servizi, nella misura in cui siano oggetto di trattamento da parte del Fornitore, sulla base del Contratto. Un elenco delle categorie di Dati Personali è riportata nei DPA – Condizioni Speciali;

“Decisione di Adeguatezza” indica una decisione della Commissione Europea sulla base dell’Articolo 45(3) del GDPR in merito al fatto che le leggi di un certo paese garantiscano un adeguato livello di protezione, come previsto dalla Legislazione in materia di Protezione dei Dati Personali;

“Giorni Lavorativi” indica ciascun giorno di calendario, a eccezione del sabato, della domenica e dei giorni nei quali le banche di credito ordinarie non sono di regola aperte sulla piazza di Milano, per l’esercizio della loro attività;

“Email di notifica” si intende l'indirizzo (o gli indirizzi) email fornito/i dal Cliente, all'atto della sottoscrizione del Servizio o fornito tramite altro canale ufficiale al Fornitore, a cui il Cliente intende ricevere le notifiche da parte del Fornitore;

“Istruzioni” indica le istruzioni scritte impartite dal Titolare nel presente Accordo (inclusivo dei relativi DPA – Condizioni Speciali) e, eventualmente, nel Contratto;

“Legislazione in materia di Protezione dei Dati Personali” indica il GDPR, e ogni eventuale ulteriore norma e/o regolamento sul trattamento dei dati personali emanati ai sensi del GDPR o comunque vigenti in Italia, incluso il Decreto Legislativo no. 196/2003, come modificato e integrato dal Decreto no. 101/2018, nonché ogni provvedimento vincolante che risulti emanato dalle autorità di controllo competenti in materia (es. Garante per la protezione dei dati personali) anche prima del 25 maggio 2018 e conservi efficacia vincolante;

“Personale del Fornitore” indica i dirigenti, dipendenti consulenti, e altro personale del Fornitore, con esclusione del personale dei Responsabili Ulteriori del Trattamento;

“Richiesta” indica una richiesta di accesso di un Interessato, una richiesta di cancellazione o correzione dei Dati Personali, o una richiesta di esercizio di uno degli altri diritti previsti dal GDPR;

“Responsabile Ulteriore del Trattamento” indica qualunque subappaltatore cui il Fornitore abbia subappaltato uno qualsiasi degli obblighi assunti contrattualmente e che, nell’adempiere tali obblighi, potrebbe dover raccogliere, accedere, ricevere, conservare o altrimenti trattare Dati Personali;

“Servizio/i” indica il servizio o i servizi oggetto dei Contratti sottoscritti tempo per tempo tra il Cliente e il Fornitore;

“Utente Finale” si intende l'eventuale fruitore finale del Servizio, Titolare del Trattamento; e “Violazione della Sicurezza dei Dati Personali” indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali occorsa su sistemi gestiti dal Fornitore o comunque sui quali il Fornitore abbia un controllo.

1.2. I termini “ivi compreso/a/i/e” e “incluso/a/i/e” saranno interpretati come se fossero seguiti dall'espressione “a titolo puramente esemplificativo”, così da fornire un elenco non esaustivo di esempi.

1.3. Per le finalità del presente Accordo, i termini “Interessato”, “Trattamento”, “Titolare del trattamento”, “Responsabile del trattamento”, “Trasferimento” e “Misure tecnico- organizzative adeguate” saranno interpretati in conformità alla Legislazione in materia di Protezione dei Dati Personali applicabile.

2. RUOLO DELLE PARTI

2.1. Le Parti riconoscono e convengono che il Fornitore agisce quale Responsabile del trattamento in relazione ai Dati Personali e il Cliente agisce di regola quale Titolare del trattamento dei Dati Personali.

2.2. Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare, il Cliente potrà agire come Responsabile del trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina, da parte del Cliente, del Fornitore quale ulteriore Responsabile del trattamento derivante dalla stipulazione del presente Accordo è stata autorizzata dal relativo Titolare del trattamento e si impegna ad esibire al Fornitore, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.

2.3. Ciascuna delle Parti si impegna a conformarsi, nel trattamento dei Dati Personali, ai rispettivi obblighi derivanti dalla Legislazione in materia di Protezione dei Dati Personali applicabile.

2.4. Il Fornitore ha nominato un Responsabile della protezione dei dati (DPO), domiciliato presso la sede di TeamSystem S.p.A., in xxx Xxxxxx Xxxxxxx, 00 x Xxxxxx, che può essere contattato al seguente indirizzo: xxx@xxxxxxxxxx.xxx o al numero 0721/42661.

3. TRATTAMENTO DEI DATI PERSONALI

3.1. Con la stipulazione del presente Accordo (inclusivo di ciascun DPA - Condizioni Speciali applicabile), il Cliente affida al Fornitore l'incarico di trattare i Dati Personali ai fini della prestazione dei Servizi, così come meglio dettagliato nel Contratto e nei DPA – Condizioni Speciali; i DPA – Condizioni Speciali sono disponibili tramite link al seguente indirizzo xxxxx://xxx.xxxx00.xx/xxxxxxxxxx-xxxxxxxx-xxxxxxx/xxxx/.

3.2. Il Fornitore si impegna a conformarsi alle Istruzioni, fermo restando che, qualora il Cliente richieda variazioni rispetto alle Istruzioni iniziali, il Fornitore valuterà gli aspetti di fattibilità e concorderà con il Cliente le predette variazioni ed i costi connessi.

3.3. Nei casi di cui all'art. 3.2 e in caso di richieste del Cliente che comportino il trattamento di Dati Personali che siano, ad avviso del Fornitore, in violazione della Legislazione in materia di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi dall'eseguire tali Istruzioni e ne informerà prontamente il Cliente. In tali casi il Cliente potrà valutare eventuali variazioni alle Istruzioni impartite o contattare l'Autorità di controllo per verificare la liceità delle richieste avanzate.

4. LIMITAZIONI ALL’UTILIZZO DEI DATI PERSONALI

4.1. Nell'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi, il Fornitore si impegna a eseguire il trattamento dei Dati Personali:

4.1.1. soltanto nella misura e con le modalità necessarie per erogare i Servizi o per adempiere opportunamente i propri obblighi, previsti dal Contratto e dal presente Accordo ovvero imposti dalla legge o da un organo di vigilanza o controllo competente, ovvero da specifiche richieste del Cliente e/o dell’Utente Finale. In tale ultima circostanza il Fornitore ne informerà il Cliente (salvo il caso in cui ciò sia vietato dalla legge per ragioni di pubblico interesse) mediante comunicazione trasmessa all'Email di notifica;

4.1.2. in conformità alle Istruzioni del Cliente.

4.2. Il Personale del Fornitore che accede, o comunque tratta i Dati Personali, è preposto al trattamento di tali dati sulla base di idonee autorizzazioni e ha ricevuto la necessaria formazione anche in merito al trattamento dei dati personali. Tale personale è altresì vincolato da obblighi di riservatezza e dal Codice Etico aziendale e deve attenersi alle policy di riservatezza e di protezione dei dati personali adottate dal Fornitore.

5. AFFIDAMENTO A TERZI

5.1. In relazione all'affidamento a Responsabili Ulteriori del Trattamento di operazioni di trattamento di Dati Personali, le Parti convengono quanto segue:

5.1.1. il Cliente acconsente espressamente che alcune operazioni di trattamento di Dati Personali siano affidate dal Fornitore ad altre società del gruppo TeamSystem e/o a soggetti terzi individuati nei DPA – Condizioni Speciali.

5.1.2. Il Cliente acconsente altresì all'affidamento di operazioni di Trattamento dei Dati Personali a ulteriori soggetti terzi secondo le modalità previste al successivo articolo 5.1.4.

5.1.3. Resta inteso che la sottoscrizione delle Clausole Contrattuali Tipo (prevista dal successivo punto 7 in caso di trasferimento all’estero dei Dati Personali) da parte del Cliente con un Responsabile Ulteriore del trattamento deve intendersi quale consenso all'affidamento al terzo delle operazioni di trattamento.

5.1.4. Nei casi in cui il Fornitore ricorra a Responsabili Ulteriori del Trattamento per l'esecuzione di specifiche attività di trattamento dei Dati Personali, il Fornitore:

5.1.4.1. si impegna ad avvalersi di Responsabili Ulteriori del Trattamento che garantiscono misure tecniche e organizzative adeguate e garantisce che l'accesso ai Dati Personali, e il relativo trattamento, sarà effettuato esclusivamente nei limiti di quanto necessario per l'erogazione dei servizi subappaltati;

5.1.4.2. almeno 15 (quindici) giorni prima della data di avvio delle operazioni di trattamento dei Dati Personali da parte del Responsabile Ulteriore del Trattamento informa il Cliente dell'affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell'ubicazione dei server sui quali saranno conservati i dati, se applicabile - e delle attività affidate) mediante invio di Email di notifica o altro mezzo ritenuto idoneo dal Fornitore. Il Cliente potrà recedere dal Contratto entro 15 (quindici) giorni dal ricevimento della comunicazione, fermo restando l'obbligo di corrispondere al Fornitore gli importi dovuti alla data di cessazione del Contratto.

5.1.5. Eventuali informazioni aggiuntive sull'elenco dei Responsabili Ulteriori del Trattamento, dei trattamenti loro affidati e della loro ubicazione, sono contenuti nei DPA - Condizioni Speciali relativi ai Servizi attivati dal Cliente.

6. DISPOSIZIONI IN MATERIA DI SICUREZZA

6.1. MISURE DI SICUREZZA DEL FORNITORE – Xxxx'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi il Fornitore si impegna ad adottare misure tecnico-organizzative adeguate per evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di, o l’accesso ai, Dati Personali, come descritte nell'Allegato 1 al presente Accordo (“Misure di Sicurezza”).

6.1.1. L'Allegato 1 all'Accordo contiene misure di protezione degli archivi dati commisurate al livello dei rischi presenti con riferimento ai Dati Personali per consentire la riservatezza, integrità, disponibilità e la resilienza dei sistemi e dei Servizi del Fornitore, nonché misure per consentire il tempestivo ripristino degli accessi ai Dati Personali in caso di Violazione della Sicurezza dei Dati Personali, e misure per testare l'efficacia nel tempo di dette misure. Il Cliente dà atto ed accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento dei Dati Personali, le procedure e i criteri di sicurezza implementati dal Fornitore garantiscono un livello di protezione adeguato al rischio per quanto riguarda i suoi Dati Personali.

6.1.2. Il Fornitore potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra indicate, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi. Di tali aggiornamenti e modifiche sarà fornita notifica al Cliente mediante invio di comunicazione all'Email di notifica.

6.1.3. Qualora il Cliente richieda di adottare misure di sicurezza aggiuntive rispetto alle Misure di Sicurezza, il Fornitore si riserva il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per tale implementazione.

6.1.4. Il Cliente riconosce e accetta che il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni disponibili al Fornitore stesso secondo quanto specificamente riportato nei relativi DPA – Condizioni Particolari, presterà assistenza al Cliente nel garantire il rispetto degli obblighi di sicurezza di cui agli artt. 32-34 del GDPR nei modi seguenti:

6.1.4.1. implementando e mantenendo aggiornate le Misure di Sicurezza secondo quanto previsto ai precedenti punti 6.1.1, 6.1.2, 6.1.3;

6.1.4.2. conformandosi agli obblighi di cui al punto 6.3.

6.1.5. Resta inteso che, nei Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente (installazioni on premises), le Misure di Sicurezza sopra indicate troveranno applicazione esclusivamente in relazione ai Servizi che prevedono il Trattamento dei Dati Personali da parte del Fornitore o di suoi affidatari (es. supporto e assistenza da remoto, servizi di migrazione).

6.1.6. Qualora il prodotto consenta l'integrazione con applicativi di terze parti, il Fornitore non sarà responsabile dell'applicazione delle Misure di Sicurezza relative alle componenti delle terze parti o delle modalità di funzionamento del prodotto derivanti dall'integrazione effettuata dalle terze parti.

6.2. MISURE DI SICUREZZA DEL CLIENTE – Xxxxx restando gli obblighi di cui al precedente punto 6.1 in capo al Fornitore, il Cliente riconosce e accetta che, nella fruizione dei Servizi, rimane responsabilità esclusiva del Cliente l'adozione di adeguate misure di sicurezza in relazione alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.

6.2.1. A tal fine il Cliente si impegna ad utilizzare i Servizi e le funzionalità di trattamento dei Dati Personali in modo da garantire un livello di protezione adeguato al rischio effettivo.

6.2.2. Il Cliente si impegna altresì ad adottare tutte le misure idonee per proteggere le credenziali di autenticazione, i sistemi e i dispositivi utilizzati dal Cliente o dai fruitori presso l'Utente Finale per accedere ai Servizi, e per effettuare i salvataggi e backup dei Dati Personali al fine di garantire il ripristino dei Dati Personali nel rispetto delle norme di legge.

6.2.3. Resta escluso qualsiasi obbligo o responsabilità in capo al Fornitore circa la protezione dei Dati Personali che il Cliente o l'Utente Finale, se applicabile, conservino o

trasferiscano fuori dai sistemi utilizzati dal Fornitore e dai suoi Responsabili Ulteriori del Trattamento (ad esempio, in archivi cartacei, o presso propri data center, come nel caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente).

6.3. VIOLAZIONI DI SICUREZZA – Fatta eccezione per il caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente per i quali non trova applicazione il presente punto 6.3, qualora il Fornitore venga a conoscenza di una Violazione di Sicurezza dei Dati Personali, lo stesso:

6.3.1. informerà senza ingiustificato ritardo il Cliente mediante comunicazione inoltrata all'Email di notifica;

6.3.2. adotterà misure ragionevoli per limitare i possibili danni e la sicurezza dei Dati Personali;

6.3.3. fornirà al Cliente, per quanto possibile, una descrizione della Violazione della Sicurezza dei Dati Personali ivi incluse le misure adottate per evitare o mitigare i potenziali rischi e le attività raccomandate dal Fornitore al Cliente per la gestione della Violazione di Sicurezza;

6.3.4. considererà informazioni confidenziali ai sensi di quanto previsto nel Contratto, le informazioni attinenti alle eventuali Violazioni della Sicurezza, i relativi documenti, comunicati e avvisi e non comunicherà a terzi dati informazioni, fuori dai casi strettamente necessari all'assolvimento degli obblighi del Cliente derivanti dalla Legislazione in materia di Protezione dei Dati Personali senza il previo consenso scritto del Titolare del Trattamento.

6.4. Nei casi di cui al precedente punto 6.3, è responsabilità esclusiva del Cliente adempiere, nei casi previsti dalla Legislazione in materia di Trattamento di Dati Personali, agli obblighi di notificazione della Violazione di Sicurezza ai terzi (all'Utente Finale qualora il Cliente sia un Responsabile del Trattamento) e, se il Cliente è Titolare del Trattamento, all'Autorità di controllo e agli interessati.

6.5. Resta inteso che la notificazione di una Violazione di Sicurezza o l'adozione di misure volte a gestire una Violazione di Sicurezza non costituisce riconoscimento di inadempimento o di responsabilità da parte del Fornitore in relazione a detta Violazione di Sicurezza.

6.6. Il Cliente dovrà comunicare tempestivamente al Fornitore eventuali utilizzi impropri degli account o delle credenziali di autenticazione oppure eventuali Violazioni di Sicurezza di cui abbia avuto conoscenza riguardanti i Servizi.

7. LIMITAZIONI AL TRASFERIMENTO DEI DATI PERSONALI AL DI FUORI DELLO SPAZIO ECONOMICO EUROPEO (SEE)

7.1. Il Fornitore non trasferirà i Dati Personali al di fuori dello SEE se non in accordo con il Cliente.

7.2. Se, ai fini della conservazione o del trattamento dei Dati Personali da parte di un Responsabile Ulteriore del trattamento, è necessario effettuare il trasferimento dei Dati Personali fuori dallo SEE in un paese che non gode di una decisione di adeguatezza da parte della Commissione Europea ai sensi dell'art. 45 del GDPR, il Fornitore potrà adottare altre modalità di trasferimento dei Dati Personali conformi a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali, anche alla luce delle indicazioni fornite dalla Corte di Giustizia della Unione Europea nella causa C-311/18 e dal Comitato Europeo per la Protezione dei dati (EDPB).

7.3. Nei casi di cui al precedente punto 7.2 con il presente Accordo il Cliente conferisce espressamente mandato al Fornitore a sottoscrivere le clausole contrattuali tipo di cui all’articolo 46, comma 2, lettera c) del GDPR, per il trasferimento di dati personali a incaricati del trattamento stabiliti in paesi terzi (le “Clausole Contrattuali Tipo”) con i Responsabili Ulteriori del Trattamento riportati nei relativi DPA – Condizioni Particolari, nonché ad adottare tutte le eventuali misure supplementari che si rendano ragionevolmente necessarie per consentire il trasferimento dei dati personali al di fuori dello SEE in conformità ai requisiti previsti dal GDPR . Qualora Titolare del trattamento sia l'Utente Finale, il Cliente si impegna a informare l'Utente Finale di tale trasferimento e dichiara che l'autorizzazione ad avvalersi del Responsabile Ulteriore del Trattamento situato fuori dallo SEE equivale al mandato di cui sopra.

8. VERIFICHE E CONTROLLI

8.1. Il Fornitore sottopone ad audit periodici la sicurezza dei sistemi e degli ambienti di elaborazione dei Dati Personali dallo stesso utilizzati per l'erogazione dei Servizi e le sedi in cui avviene tale trattamento. Il Fornitore avrà la facoltà di incaricare dei professionisti indipendenti selezionati dal Fornitore per lo svolgimento di audit secondo standard internazionali e/o best practice, i cui esiti saranno riportati in specifici report (“Report”). Tali Report, che costituiscono informazioni confidenziali del Fornitore, potranno essere resi disponibili al Cliente per consentirgli di verificare la conformità del Fornitore agli obblighi di sicurezza di cui al presente Accordo.

8.2. Nei casi previsti dall’art. 8.1, il Cliente concorda che il proprio diritto di verifica sarà esercitato

attraverso la verifica dei Report messi a disposizione dal Fornitore.

8.3. Il Fornitore riconosce il diritto del Cliente, con le modalità e nei limiti di seguito indicati, ad effettuare audit indipendenti per verificare la conformità del Fornitore agli obblighi previsti nel presente Accordo e nei rispettivi DPA – Condizioni Speciali, e di quanto previsto dalla normativa. Il Cliente potrà avvalersi per tali attività di proprio personale specializzato o di revisori esterni, purché tali soggetti siano previamente vincolati da idonei impegni alla riservatezza.

8.4. Nel caso di cui al precedente punto 8.2, il Cliente dovrà previamente inviare richiesta scritta al Responsabile della Protezione dei Dati (DPO) del Fornitore. Successivamente alla richiesta di audit o ispezione il Fornitore e il Cliente concorderanno, prima dell'avvio delle attività, i dettagli

di tali verifiche (data di inizio e durata), le tipologie di controllo e l'oggetto delle verifiche, i vincoli di riservatezza a cui devono essere vincolati il Cliente e coloro che effettuano le verifiche e i costi che il Fornitore potrà addebitare per tali verifiche e che saranno determinati in relazione all’estensione e alla durata delle attività di verifica.

8.5. Il Fornitore potrà opporsi per iscritto alla nomina da parte del Cliente di eventuali revisori esterni che siano, ad insindacabile giudizio del Fornitore, non adeguatamente qualificati o indipendenti, siano concorrenti del Fornitore o che siano evidentemente inadeguati. In tali circostanze il Cliente sarà tenuto a nominare altri revisori o a condurre le verifiche in proprio.

8.6. Il Cliente si impegna a corrispondere al Fornitore gli eventuali costi calcolati dal Fornitore e comunicati al Cliente nella fase di cui al precedente punto 8.4, con le modalità e nei tempi ivi concordati. Restano a carico esclusivo del Cliente i costi delle attività di verifica dallo stesso commissionate a terzi.

8.7. Resta fermo quanto previsto in relazione ai diritti di ispezione del Titolare del trattamento e delle autorità nelle Clausole Contrattuali Tipo eventualmente sottoscritte ai sensi del precedente punto 7, che non potranno considerarsi modificate da alcuna delle previsioni contenute nel presente Accordo o nei relativi DPA – Condizioni Speciali.

8.8. Il presente punto 8 non è applicabile ai Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente.

8.9. Le attività di verifica che interessino eventuali Responsabili Ulteriori dovranno essere svolte nel rispetto delle regole di accesso e delle politiche di sicurezza dei Responsabili Ulteriori.

9. ASSISTENZA A FINI DI CONFORMITÀ

9.1. Il Fornitore presterà assistenza al Cliente e coopererà nei modi di seguito indicati al fine di consentire al Cliente il rispetto degli obblighi previsti dalla Legislazione in materia di Protezione dei Dati Personali.

9.2. Qualora il Fornitore riceva Richieste o reclami da un Interessato in relazione ai Dati Personali, il Fornitore raccomanderà all'Interessato di rivolgersi al Cliente o all'Utente Finale, nel caso in cui quest'ultimo sia il Titolare del Trattamento. In tali casi il Fornitore informerà tempestivamente il Cliente del ricevimento della Richiesta mediante invio di Email di notifica e fornirà al Cliente le informazioni ad esso disponibili unitamente a copia della Richiesta o del reclamo. Resta inteso che tale attività di cooperazione sarà svolta in via eccezionale, in quanto la gestione dei rapporti con gli Interessati resta esclusa dai Servizi ed è responsabilità del Cliente gestire eventuali reclami in via diretta e garantire che il punto di contatto per l'esercizio dei diritti da parte degli Interessati sia il Cliente stesso, o l'Utente Finale se Titolare del Trattamento. Sarà responsabilità del Cliente, o dell'Utente Finale qualora questi sia Titolare del Trattamento, provvedere a dar seguito a tali Richieste o reclami.

9.3. Il Fornitore provvederà a informare tempestivamente il Cliente, salvo il caso in cui ciò sia vietato dalla legge, con avviso all'Email di notifica di eventuali ispezioni o richieste di informazioni

presentate da autorità di controllo e forze di polizia rispetto a profili che riguardano il trattamento dei Dati Personali.

9.4. Qualora, ai fini dell'evasione delle Richieste di cui ai precedenti punti, il Cliente abbia necessità di ricevere informazioni dal Fornitore circa il trattamento dei Dati Personali, il Fornitore presterà la necessaria assistenza nei limiti di quanto ragionevolmente possibile, a condizione che tali richieste siano presentate con congruo preavviso.

9.5. Il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni ad esso disponibili, fornirà ragionevole assistenza al Cliente nel rendere disponibili informazioni utili per consentire al Cliente l'effettuazione di valutazioni di impatto sulla protezione dei Dati Personali nei casi previsti dalla legge. In tal caso il Fornitore renderà disponibili informazioni di carattere generale in base al Servizio, quali le informazioni contenute nel Contratto, nel presente Accordo e nei DPA - Condizioni Particolari relativi ai Servizi interessati. Eventuali richieste di assistenza personalizzate potranno essere soggette al pagamento di un corrispettivo da parte del Cliente. Resta inteso che è responsabilità e onere esclusivo del Cliente, o dell'Utente Finale se Titolare del trattamento, procedere alla valutazione di impatto in base alle caratteristiche del trattamento dei Dati Personali dallo stesso posto in essere nel contesto dei Sevizi.

9.6. Il Fornitore si impegna a rendere Servizi improntati ai principi di minimizzazione del trattamento (privacy by design & by default), fermo restando che è responsabilità esclusiva del Cliente, o dell'Utente Finale, se Titolare del Trattamento, assicurare che il trattamento sia condotto poi concretamente nel rispetto di detti principi e verificare che le misure tecniche e organizzative di un Servizio soddisfano i requisiti di conformità della Società, ivi inclusi i requisiti previsti dalla Legislazione in materia di protezione dei dati personali.

9.7. Il Cliente prende atto che, in caso di Richieste di portabilità dei Dati Personali avanzate dai rispettivi Interessati, e solo in relazione ai Servizi che generano Dati Personali rilevanti a tal fine, il Fornitore presterà assistenza al Cliente mettendo a disposizione le informazioni necessarie per estrarre i dati richiesti in formato conforme a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali.

9.8. I precedenti punti 9.5 e 9.7 non sono applicabili in caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente.

10. OBBLIGHI DEL CLIENTE E LIMITAZIONI

10.1. Il Cliente si impegna a impartire Istruzioni conformi alla normativa e a utilizzare i Servizi in modo conforme alla Legislazione in materia di Protezione dei Dati Personali e solo per trattare Dati Personali che siano stati raccolti in conformità alla Legislazione in materia di Protezione dei Dati Personali.

10.2. L'eventuale trattamento di Dati Personali di cui agli artt. 9 e 10 del GDPR sarà consentito solo ove espressamente previsto nel DPA - Condizioni Particolari; fuori da tali casi, l'eventuale trattamento di tali Dati Personali sarà consentito solo previo accordo scritto tra le Parti ai sensi di quanto previsto al punto 3.2.

10.3. Il Cliente si impegna ad assolvere a tutti gli obblighi posti in capo al Titolare del Trattamento (e, nei casi in cui tali obblighi sono in capo all'Utente Finale, garantisce che analoghi obblighi sono imposti a carico dell'Utente Finale) dalla Legislazione in materia di Protezione dei Dati Personali, ivi inclusi gli obblighi di informativa nei confronti degli Interessati. Il Cliente si impegna inoltre a garantire che il trattamento dei Dati Personali effettuato mediante l'utilizzo dei Servizi avvenga solo in presenza di idonea base giuridica.

10.4. Qualora il rilascio dell'informativa e l'ottenimento del consenso debbano avvenire per il tramite del prodotto oggetto del Contratto, il Cliente dichiara di aver valutato il prodotto e che esso risponde alle esigenze del Cliente. Resta altresì a carico del Cliente valutare se l'eventuale modulistica resa disponibile dal Fornitore per agevolare l'assolvimento degli obblighi di informativa e consenso (es. modello di privacy policy per App o informative presenti negli applicativi), quando disponibile, sia conforme alla Legislazione in materia di Protezione dei Dati Personali e adattare la stessa ove ritenuto opportuno.

10.5. E' altresì onere esclusivo del Cliente provvedere alla gestione dei Dati Personali in conformità alle Richieste avanzate dagli Interessati, e pertanto provvedere ad esempio agli eventuali aggiornamenti, integrazioni, rettifiche e cancellazioni dei Dati Personali.

10.6. E' onere del Cliente mantenere l'account collegato all'Email di notifica attivo ed aggiornato.

10.7. Il Cliente prende atto che, ai sensi dell'art. 30 del GDPR, il Fornitore è tenuto a mantenere un registro delle attività di trattamento eseguite per conto dei Titolari (o Responsabili) del Trattamento e a raccogliere a tal fine i dati identificativi e di contatto di ciascun Titolare (e/o Responsabile) del Trattamento per conto del quale il Fornitore agisce e che tali informazioni devono essere rese disponibili all'autorità competente, su richiesta. Pertanto, quando richiesto, il Cliente si impegna a dare al Fornitore i dati identificativi e di contatto sopra indicati con le modalità individuate dal Fornitore nel tempo e a mantenere aggiornate tali informazioni tramite i medesimi canali.

10.8. Il Cliente dichiara pertanto che le attività di trattamento dei Dati Personali, come descritte nei Contratti, nel presente Accordo e nei relativi DPA – Condizioni Particolari, sono lecite.

11. DURATA

11.1. Il presente Accordo avrà efficacia a decorrere dalla Data di Decorrenza dell'Accordo e cesserà automaticamente, alla data di cancellazione di tutti i Dati Personali da parte del Fornitore, come previsto nel presente Accordo e, se previsto, nei relativi DPA – Condizioni Particolari.

12. DISPOSIZIONI PER LA RESTITUZIONE O LA CANCELLAZIONE DEI DATI PERSONALI

12.1. Alla cessazione del Servizio, per qualunque causa intervenuta, il Fornitore

12.1.1. decorsi 180 giorni dalla cessazione del Servizio, provvederà alla cancellazione dei Dati Personali (ivi incluse eventuali copie) dai sistemi del Fornitore o da quelli su cui lo stesso abbia controllo entro il termine previsto nel Contratto, tranne il caso in cui la

conservazione dei dati da parte del Fornitore sia necessaria o consentita al fine di assolvere ad una disposizione di legge italiana o europea;

12.1.2. distruggerà eventuali Dati Personali conservati in formato cartaceo in suo possesso, tranne il caso in cui la conservazione dei dati da parte del Fornitore sia necessaria ai fini del rispetto di norme di legge italiane o europee; e

12.1.3. manterrà a disposizione del Cliente i Dati Personali per l'estrazione per il periodo di previsto dal Contratto. Ove il Contratto non preveda un termine specifico, il Fornitore manterrà a disposizione del Cliente i Dati Personali per l’estrazione per il periodo di 60 (sessanta) giorni successivi alla cessazione del Contratto.

12.2. Il Cliente riconosce di poter estrarre i Dati Personali, alla cessazione del Servizio, nei modi convenuti nel Contratto e conviene che è sua responsabilità provvedere all'estrazione totale o parziale dei soli Dati Personali che ritenga utile conservare e che tale estrazione dovrà essere effettuata prima della scadenza del termine di cui al punto 12.1.3.

12.3. Resta inteso che quanto previsto ai punti 12.1e 12.2 non si applica ai Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente. In tali casi, è responsabilità del Cliente estrarre, entro e non oltre il termine previsto dal Contratto, i Dati Personali che ritenga utile conservare; il Cliente riconosce che successivamente al predetto termine i Dati Personali potrebbero non essere più accessibili. Nei casi di cui al presente punto 12.3 resta altresì responsabilità del Cliente provvedere alla cancellazione dei Dati Personali nel rispetto delle norme di legge.

12.4. Restano ferme eventuali ulteriori o diverse disposizioni circa la cancellazione dei Dati Personali previste dal Contratto e nei rispettivi DPA – Condizioni Speciali.

13. RESPONSABILITA'

13.1. Ciascuna Parte è responsabile per l'adempimento dei propri obblighi previsti dal presente Accordo e dai relativi DPA –Condizioni Particolari e dalla Legislazione in materia di protezione dei Dati Personali.

13.2. Fatti salvi i limiti inderogabili di legge, il Fornitore sarà tenuto a risarcire il Cliente in caso di violazione del presente Accordo e/o dei relativi DPA – Condizioni Particolari entro i limiti massimi convenuti nel Contratto.

14. DISPOSIZIONI VARIE

14.1. Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente al Fornitore precedentemente alla data del presente Accordo in merito ai Dati Personali trattati nell’ambito dell’esecuzione del Contratto.

14.2. Il presente Accordo potrà essere modificato dal Fornitore dandone comunicazione scritta (anche via e-mail o con l’ausilio di programmi informatici) al Cliente. In tal caso, il Cliente avrà il diritto di recedere dal Contratto con comunicazione scritta inviata al Fornitore a mezzo raccomandata

con ricevuta di ricevimento nel termine di 15 giorni dal ricevimento della comunicazione del Fornitore. In mancanza di esercizio del diritto di recesso da parte del Cliente, nei termini e nei modi sopra indicati, le modifiche al presente Accordo si intenderanno da questi definitivamente conosciute e accettate e diverranno definitivamente efficaci e vincolanti.

14.3. In caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto per la prestazione dei Servizi, o in documenti del Cliente non espressamente accettati dal Fornitore in deroga al presente Accordo e/ ai rispettivi DPA – Condizioni Speciali, prevarrà quanto previsto nel presente Accordo e nelle clausole dei relativi DPA – Condizioni Speciali.

Allegato1

Misure tecnico-organizzative

In aggiunta alle misure di sicurezza previste nel Contratto e nel MDPA il Responsabile del Trattamento applica le seguenti misure di sicurezza organizzative a seconda della tipologia di Servizio con cui viene erogato o licenziato il prodotto:

A – Cloud SaaS B – On premises

A – CLOUD SaaS

Misure di sicurezza organizzative Policy e Disciplinari utenti – Il Fornitore applica dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche.
Autorizzazione accessi logici – il Fornitore definisce i profili di accesso nel rispetto del least privilege necessari all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti.
Gestione interventi di assistenza – Gli interventi di assistenza sono regolamentati allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e impedire il trattamento eccessivo di dati personali la cui titolarità è in capo al Cliente o all’Utente Finale.
Valutazione d'impatto sulla protezione dei dati (DPIA) – In conformità agli artt. 35 e 36 del GDPR e sulla base del documento WP248 – Linee guida sulla

valutazione d’impatto nella protezione dei dati adottate dal Gruppo di lavoro ex art. 29, il Fornitore ha predisposto una propria metodologia per l’analisi e la valutazione dei trattamenti che, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, presentino un rischio elevato per i diritti e le libertà delle persone fisiche allo scopo di procedere con la valutazione

dell’impatto sulla protezione dei dati personali prima di iniziare il trattamento.

Incident Management – Il Fornitore ha realizzato una specifica procedura di Incident Management allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio.

Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente.

Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento corsi di formazione sulla corretta gestione dei dati personali

Misure di sicurezza tecniche
Firewall, IDPS - I dati personali sono protetti contro il rischio d'intrusione di cui all'art. 615-quinquies del codice penale mediante sistemi di Intrusion Detection & Prevention, mantenuti aggiornati in relazione alle migliori tecnologie disponibili.
Sicurezza linee di comunicazione- Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile.
Protection from malware– I sistemi sono protetti contro il rischio di intrusione e dell'azione di programmi mediante l'attivazione di idonei strumenti elettronici aggiornati con cadenza periodica. Sono in uso strumenti antivirus mantenuti costantemente aggiornati.
Credenziali di autenticazione – I sistemi sono configurati con modalità idonee a consentirne l’accesso unicamente a soggetti dotati di credenziali di autenticazione che ne consentono la loro univoca identificazione. Fra questi, codice associato a una parola chiave, riservata e conosciuta unicamente dallo stesso; dispositivo di autenticazione in possesso e uso esclusivo dell’utente, eventualmente associato a un codice identificativo o a una parola chiave.
Parola chiave – Relativamente alle caratteristiche di base ovvero obbligo di modifica al primo accesso, lunghezza minima, assenza di elementi riconducibili agevolmente al soggetto, regole di complessità, scadenza, history, valutazione contestuale della robustezza, visualizzazione e archiviazione, la parola chiave è gestita conformemente alle best practice. Ai soggetti ai quali sono attribuite le credenziali sono fornite puntuali istruzioni in relazione alle modalità da adottare per assicurarne la segretezza.
Logging – I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità.

Backup & Restore – Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati.

Ove gli accordi contrattuali lo prevedono è posto in uso un piano di continuità operativa integrato, ove necessario, con il piano di disaster recovery; essi garantiscono la disponibilità e l’accesso ai sistemi anche nel caso di eventi negativi di portata rilevante che dovessero perdurare nel tempo.

Vulnerability Assessment & Penetration Test – Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzate a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo.

Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni/sistemi/reti attraverso attività che mirano a sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica/logica ed avere accesso agli stessi.

I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere i punti di miglioramento necessari a garantire l’elevato livello di sicurezza richiesto.

Amministratori di Sistema – Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti.

Data Center – L’accesso fisico al Data Center è limitato ai soli soggetti

autorizzati.

Per il dettaglio delle misure di sicurezza adottate con riferimento ai servizi di data center erogati dai Responsabili Ulteriori del Trattamento, così come individuati nei DPA Condizioni Speciali, si fa rinvio alle misure di sicurezza indicate descritte dai medesimi Responsabili Ulteriori e rese disponibili nei relativi siti istituzionali ai seguenti indirizzi (o a quelli che saranno successivamente resi disponibili dai Responsabili Ulteriori):

Per i servizi di Data Center erogati da Aruba S.p.A.: xxxxx://xxx.xxxxxxxxxx.xx/xxxx.xxxx

B – ON PREMISES

Misure di sicurezza organizzative Policy e Disciplinari utenti – Sono in essere dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi, finalizzate a garantire comportamenti idonei ad assicurare, in fase di assistenza tecnica, il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche.
Autorizzazione accessi logici – Il Fornitore definisce i profili di accesso nel rispetto del least privilege necessario all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti.
Gestione interventi di assistenza – Il Fornitore regolamenta la gestione degli interventi di assistenza allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e impedire il trattamento eccessivo di dati personali la cui titolarità è rivestita dal Cliente.
Incident Management & Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente.
Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento corsi di formazione sulla corretta gestione dei dati personali

Misure di sicurezza tecniche Sicurezza linee di comunicazione- Per quanto di propria competenza, in fase di gestione di interventi di assistenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile.
Protection from malware– Le postazioni di lavoro adottate in fase di Assistenza tecnica, sono protette contro il rischio di intrusione e dell'azione di programmi mediante l'attivazione di idonei strumenti elettronici aggiornati con cadenza periodica. Tutte le VM sono gestite tramite funzionalità antivirus (sia a livello hypervisor che infrastrutturale).
Amministratori di Sistema – Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti.