Data Processing Agreement

Premesso che

  • Il presente accordo è parte integrante delle condizioni generali di servizio e alle condizioni specifiche relative ai servizi web e ai servizi cloud da parte di Next Data (di seguito, servizio o contratto principale).

  • Il presente accordo descrive i doveri, i compiti e i requisiti specifici per il trattamento dei dati personali da parte del Responsabile del Trattamento.

  • In riferimento al trattamento dati, in caso di discordanza tra il presente documento e il Contratto principale, dovrà prevalere il presente accordo.

  • Qualsiasi violazione di questo accordo costituirà una violazione sostanziale del Contratto principale.

  • La società Cliente assume, ai sensi dell’art. 4 GDPR, la qualifica di Titolare del trattamento dei dati personali e che Next Data s.r.l. assume la qualifica di Responsabile del trattamento (di seguito, le Parti).

Ciò premesso e ritenuto parte integrante di questo accordo, le Parti stipulano quanto segue:

1. Autorizzazione

Il Titolare del trattamento autorizza il Responsabile al trattamento di dati personali oggetto del servizio di cui in premessa. Il Responsabile del trattamento dei dati personali si impegna a trattare i dati in modo lecito, secondo correttezza e nel pieno rispetto di tutte le disposizioni emesse in materia di trattamento dei dati personali, nonché delle seguenti specifiche istruzioni. Il responsabile del trattamento precisa altresì di essere in grado di offrire garanzie sufficienti per mettere in atto misure tecniche ed organizzative in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati.

2. Oggetto

Oggetto del presente accordo è la definizione delle modalità e delle condizioni legate al trattamento dati effettuato dal Responsabile del trattamento per conto del Titolare in riferimento al contratto di servizi di cui in premessa. Sottoscrivendo il presente accordo, le Parti si impegnano al rispetto della normativa vigente, nazionale o sovra nazionale, in materia di protezione dei dati personali delle persone fisiche. Le parti prendono atto e accettano che qualsiasi violazione del presente accordo da parte del Responsabile del trattamento o del Titolare costituisce una violazione del contratto di fornitura del servizio e che, in tal caso e senza pregiudizio per qualsiasi altro diritto o rimedio a disposizione, il Titolare o il Responsabile possono scegliere di risolvere immediatamente il Contratto principale secondo quanto previsto dalle disposizioni di risoluzione ivi previste.

3. Durata

Il presente accordo produrrà effetti tra le Parti per tutta la durata del contratto di fornitura del servizio da parte di Next Data e non avrà più efficacia nel momento in cui il Cliente rescinda o voglia concludere il contratto principale.

4. Origine dei dati

Il Titolare del trattamento assicura che i dati oggetto del presente accordo siano stati raccolti in modo lecito e conforme alla normativa vigente e che le informazioni trasmesse al responsabile del trattamento non violano in alcun modo i diritti degli interessati del trattamento dati.

5. Tipologie e natura dei dati personali

Il Responsabile del trattamento non tratterà dati personali diversi da quelli necessari per l’esecuzione del Contratto principale, a meno che il trattamento sia previsto dalle normative e dai regolamenti sulla Protezione dei dati a cui sia soggetto il Responsabile del trattamento. Il Titolare incarica il Responsabile del trattamento di trattare solo i dati personali secondo quanto ragionevolmente necessario per la prestazione del servizio e in conformità con i termini e le condizioni del Contratto principale e del presente accordo. La tipologia di dati personali richiesti per l’implementazione del servizio da parte di Next Data è di tipo anagrafico, oltre a informazioni di contatto. La natura delle operazioni effettuate sui dati personali afferisce alla manutenzione, assistenza e aggiornamento del servizio. Per l’esecuzione del contratto principale, il Titolare mette a disposizione del Responsabile ogni informazione necessaria richiesta.

6. Personale del Responsabile del trattamento

Il trattamento dei dati verrà effettuato unicamente da personale del Responsabile del trattamento preventivamente autorizzato al trattamento, ai sensi dell’art. 29 GDPR e dell’art. 2-quaterdecies D.Lgs. 196/2003 nonché debitamente istruito sulle proprie responsabilità. Il responsabile del trattamento garantisce che il personale dedicato all’esecuzione del contratto principale sia stato reso edotto della natura confidenziale delle informazioni ricevute dal Titolare. Il Responsabile del trattamento garantisce inoltre che l’accesso ai dati personali sia limitato al personale che ha la necessità di accedere ai dati personali pertinenti, nella misura strettamente necessaria, per le finalità previste dal Contratto principale e dal presente accordo.

7. Obblighi del Responsabile

Il Responsabile al quale è affidato il trattamento dati per conto del Titolare si impegna a osservare i seguenti obblighi per l’esecuzione del contratto principale:

7.1 Istruzioni del Titolare

Il Responsabile dovrà trattare i dati per le finalità sopra indicate e per l’esecuzione delle prestazioni contrattuali assunte. Il Responsabile del trattamento dovrà trattare i dati in conformità a quanto previsto dall’art. 32 GDPR.

7.2 Luogo del trattamento

I dati saranno conservati e trattati dal Responsabile del trattamento all’interno del territorio europeo e qual ora in futuro il trattamento dovesse essere eseguito in paesi extra UE, il Responsabile del trattamento ne darà comunicazione al Titolare del trattamento per convenire le garanzie adeguate che lo stesso richiede in funzione del luogo in cui il trattamento sarà effettuato. Nel caso in cui il Responsabile del trattamento sia tenuto ad effettuare un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale in virtù di leggi dell’Unione o dello Stato membro di appartenenza, dovrà informare il Titolare del trattamento di tale obbligo al fine di ottenerne l’autorizzazione prima del trasferimento. I dati personali saranno custoditi per conto del responsabile del trattamento presso i seguenti datacenter:

  • DC FR1 – 59100 Roubaix, Nord-Pas-de-Calais-Picardie (Francia)

  • DC CH1 – Via Pedemonte di Sopra 1 CH-6818 Melano (Svizzera)

  • DC IT1 – Via Bologna 714 44124 Ferrara (Italia)

7.3 Riservatezza

Il Responsabile del trattamento garantisce la riservatezza dei dati personali trattati nell’ambito dell’esecuzione del contratto principale. Il Responsabile del trattamento garantisce che il proprio personale autorizzato abbia sottoscritto un obbligo legale di riservatezza e che abbia ricevuto la formazione necessaria in materia di trattamento e protezione di dati personali.

7.4 Sicurezza

Il responsabile del trattamento procederà al trattamento dati in presenza delle misure richieste ai sensi dell’art. 32 GDPR. Il Responsabile del trattamento adotta misure tecniche e organizzative adeguate alla protezione della sicurezza, confidenzialità e integrità dei dati personali. Queste misure includono, ove opportuno:

  • la valutazione del livello adeguato di sicurezza, in particolare di tutti i rischi associati al trattamento, per esempio dovuti alla distruzione accidentale o illegale, perdita, o alterazione, conservazione, accesso, comunicazione o accesso non autorizzati o illegali dei dati personali;

  • la pseudonimizzazione e cifratura dei dati personali;

  • la capacità di garantire su base permanente la confidenzialità, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;

  • la capacità di ripristinare la disponibilità e l’accesso ai dati personali, in modo tempestivo, in caso d’incidente fisico o tecnico;

  • una procedura per testare, determinare e valutare periodicamente l’efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento dei dati personali;

  • le misure per identificare le vulnerabilità relative al trattamento dei dati personali nei sistemi usati per fornire il servizio al Titolare.

Il Responsabile del trattamento tiene conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza o altri eventi sostanzialmente simili, secondo quanto definito dalle normative e dai regolamenti sulla protezione dei dati.

7.5 Informazione

Il Responsabile del trattamento informa immediatamente il Titolare se, a suo parere, una qualsiasi istruzione da parte del Titolare possa essere difforme al GDPR o altre disposizioni sulla protezione dei dati degli Stati membri o qualsiasi altra normativa applicabile.

7.6 Valutazione di impatto e consultazione preventiva

Il Responsabile del Trattamento fornirà al Titolare del Trattamento un’assistenza ragionevole con qualsiasi valutazione d’impatto sulla protezione dei dati richiesta dall’articolo 35 del GDPR e previa consultazione con qualsiasi autorità di controllo da parte del Titolare del Trattamento che sia richiesta ai sensi dell’articolo 36 del GDPR, in ogni caso unicamente in relazione al trattamento dei dati personali del Titolare del Trattamento da parte del Responsabile del Trattamento.

7.7 Codici di condotta

Su richiesta del Titolare del Trattamento, il Responsabile del Trattamento dovrà rispettare qualsiasi Codice di condotta approvato ai sensi dell’articolo 40 del GDPR e ottenere qualsiasi certificazione approvata dall’articolo 42 del GDPR dell’UE, per quanto riguarda il trattamento dei Dati personali del Titolare del Trattamento.

7.8 Audit

Il Responsabile del trattamento dovrà mettere a disposizione del Titolare del trattamento, su richiesta, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente accordo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del Trattamento o da un altro soggetto da questi incaricato di qualsiasi sede in cui il trattamento di dati personali del Titolare del trattamento abbia luogo. Ogni attività di audit da parte del Titolare dovrà essere convenuta con il Responsabile del trattamento. Qualora tali attività comportino oneri e spese non previste dal presente accordo o dal contratto principale, tutte le richieste del Titolare dovranno essere gestite a livello progettuale con una stima dei costi necessari per la loro attuazione (siano esse attività di penetration test, vulnerability assessment o altro).

7.9 Diritti degli interessati

Il Responsabile del trattamento deve comunicare tempestivamente al Titolare, nei limiti consentiti dalla legge, se riceve richieste, da parte di un interessato, riguardo al suo diritto di accesso, al diritto di rettifica, limitazione del Trattamento, cancellazione (“diritto all’oblio”), portabilità dei dati, diritto di opporsi al trattamento, o al suo diritto di non essere soggetto a un processo decisionale automatizzato, o qualsiasi altra domanda o informazione riguardante i dati personali trattati da parte del Responsabile del trattamento secondo quanto previsto dal Contratto principale. Su richiesta del Titolare, il Responsabile del trattamento deve assistere il Titolare nel dare risposta alle richieste degli interessati. Tenuto conto della natura del trattamento, il Responsabile del trattamento deve assistere il Titolare mediante misure tecniche e organizzative adeguate, per quanto possibile, per l’adempimento degli obblighi del Titolare di risposta alle richieste dell’interessato previste dalle normative e dai regolamenti applicabili in materia di protezione dei dati.

8. Contatti

Per l’esercizio dei propri diritti e per altro tipo di comunicazione inerente alla protezione dei dati è sufficiente scrivere a dataprotection@next-data.com.

9. Sub responsabili

Il Responsabile del trattamento può ricorrere a un altro responsabile solo previa autorizzazione scritta, specifica o generale, del committente. Il Responsabile del trattamento è comunque sempre tenuto ad informare il Titolare in merito alla scelta, aggiunta o sostituzione di qualsiasi sub-responsabile del trattamento, dando così al Titolare l’opportunità di valutarla, e se del caso opporvisi. Prima di consentire l’accesso, da parte del sub-responsabile, ai dati personali, il Responsabile del trattamento dovrà garantire che tale sub-responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi o superiori obblighi in materia di protezione dei dati contenuti indicati nel presente contratto. In particolare, il Responsabile del trattamento deve prevedere in quest’ultimo caso garanzie sufficienti affinché il sub-responsabile metta in atto misure tecniche e organizzative adeguate al fine di soddisfare i requisiti normativi previsti. Il Responsabile del trattamento è responsabile degli atti e delle omissioni di qualsiasi sub-responsabile.

10. Data breach

Il Responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione, assisterà il Titolare del trattamento nel garantire il rispetto degli obblighi previsti dagli artt. 32 – 36 GDPR. Il Responsabile del trattamento dovrà inviare una comunicazione al Titolare del Trattamento senza indebito ritardo e, in ogni caso, entro ventiquattro (24) ore dall’essere venuto a conoscenza o aver ragionevolmente sospettato di una violazione dei dati personali. Il Responsabile del trattamento fornirà al Titolare del trattamento informazioni sufficienti per consentire al Titolare di adempiere a qualsiasi obbligo di segnalare una violazione dei dati personali ai sensi della normativa vigente. Tale comunicazione deve:

  • Descrivere la natura della violazione dei dati personali, le categorie e il numero dei soggetti interessati, nonché le categorie e il numero di registrazioni di dati personali colpite dalla violazione;

  • Descrivere il rischio stimato e le probabili conseguenze della Violazione dei Dati Personali;

  • Descrivere le misure adottate o proposte per gestire la Violazione dei Dati Personali.

11. Comunicazione dei dati

Il Responsabile al trattamento tratta i dati personali del Titolare del trattamento solo ai fini dell’esecuzione del contratto principale. Il Responsabile del Trattamento non deve trattare, trasferire, modificare, correggere o alterare i dati personali del Titolare del trattamento o divulgare o consentirne la divulgazione a terzi se non in conformità alle istruzioni documentate del Titolare del trattamento, a meno che il trattamento non sia richiesto dall’UE e/o dalle leggi dello Stato Membro a cui è soggetto il Responsabile e/o una qualsiasi legislazione anche sovranazionale a cui è soggetto il Responsabile. Il Responsabile del trattamento dovrà, nella misura consentita da tali leggi, informare il Titolare del Trattamento di tali requisiti legali prima di trattare i dati personali e attenersi alle istruzioni del Titolare del Trattamento per ridurre al minimo, per quanto possibile, l’ambito della divulgazione.

12. Amministratori di sistema

In relazione alle attività svolte dal responsabile del trattamento, in riferimento alla conservazione dei dati e alle attività sistemistiche dirette alla manutenzione e all’aggiornamento dei sistemi e database, il personale addetto del responsabile del trattamento verrà incaricato della funzione di Amministratore di Sistema. Il Responsabile del trattamento, prima dell’attribuzione della funzione, ha valutato le caratteristiche soggettive degli Amministratori di Sistema, a verificare le attività dagli stessi svolte nonché alla registrazione dei relativi accessi ai sistemi informativi, cosi come previsto e richiesto dal Provvedimento del Garante italiano per la protezione dei dati personali del 27.11.2008. Ove richiesto dal Titolare, il Responsabile comunicherà l’elenco aggiornato degli Amministratori di Sistema.

13. Cancellazione o restituzione dei dati personali

Il Responsabile del trattamento, nel caso di cessazione dell’erogazione dei servizi di cui al contratto principale o di recesso dallo stesso, dovrà restituire o cancellare tutti i dati personali di cui è entrato in possesso nonché cancellare eventuali copie, digitali o cartacee, esistenti. I dati di cui è in possesso il Responsabile del trattamento dovranno essere restituiti al Titolare del trattamento attraverso la consegna del backup del database ovvero dei file su cui risiedono i dati personali. I dati saranno restituiti entro 90 giorni dalla data di risoluzione del contratto. Il Titolare del trattamento è a conoscenza che in qualsiasi momento potrà procedere in proprio alla cancellazione dei dati. Per motivi di sicurezza dei propri sistemi informativi, il Responsabile precisa che i dati del Titolare risiederanno per 12 mesi dalla cessazione del contratto principale su supporti di backup, i quali verranno sovrascritti al termine del menzionato periodo. Il Responsabile del trattamento potrà ulteriormente conservare i dati solo nella misura e per il periodo richiesto dalla legge dell’Unione o dello Stato membro, e sempre a condizione che il Responsabile del trattamento garantisca la riservatezza di tutti i dati personali e garantisce che gli stessi siano trattati esclusivamente secondo le necessità per gli scopi specificati nelle leggi dell’Unione o degli Stati membri e per nessun’altra finalità.

14. Controlli

Il Titolare del trattamento si riserva di vigilare sulla puntuale osservanza delle disposizioni di legge sul trattamento dei dati da parte del Responsabile del trattamento e sul rispetto delle proprie istruzioni indicate nel presente accordo.