Data Processing Agreement

Hubenture S.r.l. con sede legale in via C. Bonazzi n. 2 a Castel Maggiore (BO), P. IVA 04217371204, e-mail [email protected] (di seguito, Responsabile del trattamento o Fornitore)

Premesso che

1. Il contratto per la licenza d’uso dell’applicativo SaaS Utopia, anche nella versione Free Trial, comporta il trattamento da parte di Dilaxia S.p.A. (di seguito, Hubenture o Responsabile) di determinati dati personali di interessati persone fisiche per conto dell’utilizzatore, il quale è Titolare del trattamento, così come definito dall’art. 4 par. 7 del Reg. UE 2016/679;
2. Il presente Data Processing Agreement (nel proseguo, DPA) descrive i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato per conto del Cliente da parte del Responsabile del trattamento sia conforme ai requisiti imposti dalla normativa sulla protezione dei dati personali ad oggi in vigore, nazionale e/o comunitaria;
3. I trattamenti effettuati, la natura e la finalità del trattamento, la tipologia di dati personali e le categorie di soggetti interessati oggetto del presente DPA sono:

Categorie di interessati

• Dipendenti e Collaboratori del Cliente
• Fornitori (persone fisiche) e Professionisti

Tipologia di Dati Personali oggetto di trattamento

• Dati personali comuni (anagrafici e di contatto)

Natura e finalità del trattamento

• Accesso, consultazione, organizzazione dei dati personali per finalità di gestione, sviluppo e manutenzione del software Utopia in esecuzione del Contratto.

Le premesse costituiscono parte integrante del presente DPA.  

Tutto ciò premesso e considerato, il Cliente designa il Fornitore, ai sensi e per gli effetti dell’art. 28 Reg. UE 2016/679 (di seguito, GDPR), quale Responsabile del Trattamento per tutta la durata di cui al Contratto, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA.

Mediante la sottoscrizione del presente DPA, il Responsabile del trattamento si impegna a compiere le attività di trattamento dei dati in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni:

Art. 1 Oggetto

1.1 Il Responsabile del trattamento si impegna a rispettare ogni normativa o regolamento applicabili in materia di protezione dei dati personali ed in merito alle informazioni oggetto di trattamento non deve compiere operazioni di trattamento ulteriori e/o diverse da quelle necessarie per l’esecuzione del Contratto, a meno che tale ulteriore attività di trattamento sia richiesta da una legge tempo per tempo vigente a cui sia soggetto il Responsabile del trattamento.  

1.2 Il Cliente autorizza il Responsabile a trattare i dati personali secondo quanto ragionevolmente necessario per l’esecuzione del Contratto nonché in conformità con i termini e le condizioni del presente DPA.

1.3 L’oggetto delle attività di trattamento dei dati personali è la prestazione dei servizi previsti dal Contratto. La descrizione dei trattamenti, comprese le informazioni riguardanti la durata, la natura e la finalità del trattamento, i tipi di dati personali e le categorie delle persone interessate dal trattamento sono disciplinate nelle premesse al presente DPA, quali parti integranti e sostanziali dello stesso.  

1.4 Il Responsabile si impegna a mantenere un registro delle attività di trattamento, così come previsto dall’art. 30, par. 2 del GDPR, nel quale siano indicate le caratteristiche dei trattamenti che esegue per conto del Cliente.

Art. 2 Personale del Responsabile

2.1 II Responsabile del trattamento garantisce che il personale coinvolto nel trattamento dei dati personali sia stato preventivamente informato della natura confidenziale delle informazioni trattate, abbia ricevuto un'adeguata istruzione in merito alle proprie responsabilità e abbia sottoscritto uno specifico obbligo legale vincolante finalizzato a tutelare la riservatezza dei dati personali trattati.

2.2 Il Responsabile del trattamento garantisce che l’accesso ai dati personali sia limitato al personale preventivamente autorizzato per il perseguimento delle finalità previste dal Contratto e dal presente DPA.

Art. 3 Sicurezza e Audit

3.1 Il Responsabile del trattamento adotta misure tecniche e organizzative adeguate alla sicurezza (inclusa la prevenzione dal trattamento non autorizzato, dalla distruzione accidentale o illecita, dalla perdita di disponibilità o alterazione o danneggiamento dei dati, dalla divulgazione non autorizzata ovvero dall'accesso illegittimo ai dati personali), confidenzialità e integrità dei dati personali trattati. Queste misure devono includere, ai sensi dell’art. 32 GDPR, ove opportuno e applicabile:

• la pseudonimizzazione e cifratura dei dati personali;
• la capacità di garantire su base permanente la confidenzialità, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
• la capacità di ripristinare la disponibilità e l'accesso ai dati personali, in modo tempestivo, in caso di incidente fisico o tecnico;
• una procedura per testare, determinare e valutare periodicamente l'efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento dei dati personali;

3.2 Nella valutazione dell'adeguato livello di sicurezza, il Responsabile del trattamento deve tenere conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza, secondo quanto stabilito dalle normative e dai regolamenti sulla protezione dei dati.

3.3 Il Responsabile del trattamento accetta che il Cliente o i suoi rappresentanti designati, con un preavviso di almeno 15 (quindici) giorni lavorativi, possa ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile al fine di accertarne la conformità con i termini previsti dal presente DPA e dalla normativa in materia di protezione dei dati personali. Nelle ipotesi previste dal presente punto, il Titolare e/o i componenti della propria organizzazione, ovvero i rappresentanti da quest’ultimo designati, si impegnano a mantenere comportamenti leali, collaborativi e trasparenti per tutta la durata delle attività eseguite nei confronti del Responsabile.

Art. 4 Sub-Responsabili

4.1 Il Responsabile del trattamento può ricorrere a un altro Responsabile solo previa autorizzazione scritta, specifica o generale, del Cliente. Il Responsabile deve fornire, a richiesta del Cliente, la lista dei propri Sub-Responsabili del trattamento in relazione al trattamento di cui all’esecuzione del Contratto. La sottoscrizione del presente DPA vale quale autorizzazione scritta generale.

4.2 Il Responsabile del trattamento è tenuto ad informare il Cliente in merito alla scelta, aggiunta o sostituzione di qualsiasi ulteriore Responsabile del trattamento.

4.3 Prima di consentire l'accesso, da parte dell’ulteriore Responsabile ai dati personali, il Responsabile del trattamento dovrà garantire che tale altro Responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi obblighi in materia di protezione dei dati indicati nel presente DPA.  

Art. 5 Diritti degli interessati

5.1 Il Responsabile del trattamento comunicherà senza indebito ritardo al Cliente le istanze pervenute da parte di un interessato inerenti all’esercizio di un proprio diritto previsto dagli artt. 15-22 del Regolamento UE 2016/679.

5.2 Su richiesta del Cliente, il Responsabile del trattamento fornirà una ragionevole assistenza al Cliente nell’evadere le richieste di cui al precedente punto 5.1.

Art. 6 Data Breach

6.1 Il Responsabile del trattamento deve comunicare al Cliente, senza ingiustificati ritardi e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza con certezza, l’incidente riguardante la sicurezza o la violazione delle misure di sicurezza che abbiano condotto a un utilizzo non autorizzato, distruzione, perdita, divulgazione, accidentale o illecita, alterazione, accesso illegittimo dei dati personali oggetto di trattamento ovvero qualsiasi altra violazione di sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati.

6.2 Nella propria comunicazione, il Responsabile del trattamento deve indicare ogni informazione utile per consentire al Cliente di adempiere ai propri obblighi di notifica alla competente Autorità Garante o di informazione degli interessati coinvolti nel Data Breach.

6.3 Nei casi di cui al precedente punto 6.2, il Responsabile assiste il Cliente avviando un’analisi finalizzata alla raccolta delle seguenti informazioni:

• Data evento, anche la data presunta di avvenuta violazione (in tal caso va specificato)
• Data e ora in cui si è avuto conoscenza della violazione;  
• Fonte segnalazione;
• Tipologia violazione e di informazioni coinvolte;
• Descrizione evento anomalo;
• Numero interessati coinvolti;  
• Numerosità di dati personali di cui si presume una violazione;
• Indicazione del luogo in cui è avvenuta la violazione dei dati, specificando altresì se essa sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili;
• Descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione;
• Descrizione delle misure di sicurezza tecniche e organizzative adottate per garantire la sicurezza dei dati, dei sistemi e delle infrastrutture IT coinvolti nell’evento.

Art. 7 Valutazione d’impatto

7.1 Il Responsabile del trattamento si impegna a prestare una ragionevole assistenza al Cliente nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva con l’Autorità di Controllo.

Art. 8 Restituzione o cancellazione di dati personali

8.1 Su richiesta e a scelta del Cliente, dalla data di scadenza del Contratto, il Responsabile si impegna a cancellare e/o a restituire tutti i dati personali trattati per conto del Cliente. Quest’ultimo potrà ottenere la cancellazione dei dati oggetto di trattamento nel caso in cui su questi non vi sia un obbligo giuridico alla conservazione da parte del Responsabile, derivante dalla normativa comunitaria e/o nazionale in vigore.

Art. 9 Efficacia e risoluzione

9.1 Il presente DPA avrà efficacia a partire dalla data di sottoscrizione e avrà validità, compresi eventuali rinnovi, fino alla cessazione di ogni effetto del Contratto, per qualsiasi causa intervenuta.

Art. 10 Amministrazione del Sistema

10.1 Premesso che il Provvedimento Generale del Garante italiano per la protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – del 27 novembre 2008” ha introdotto alcuni adempimenti specifici per gli amministratori di sistema in conseguenza delle funzioni per mezzo delle quali alcune operazioni di trattamento comportano particolari e più ampi privilegi per l’accesso ai dati personali, ovvero quando le attività siano esercitate in un contesto che renda tecnicamente possibile l'accesso, anche incidentale, a dati personali, da ciò derivando la necessità di predisporre una maggiore tutela agli accessi ai dati personali.  

10.2 Premesso altresì che, l’Amministratore del sistema è stato scelto in quanto fornisce sufficienti ed idonee garanzie di esperienza, capacità ed affidabilità circa l’applicazione delle norme in materia di protezione dei dati personali, anche con specifico riferimento alla sicurezza dei dati personali trattati.

10.3 Il Cliente affida al Responsabile la funzione di Amministratore del sistema, precisando le seguenti istruzioni:

• Il Responsabile si impegna a designare ciascun amministratore (persona fisica) dei sistemi del Cliente garantendo altresì l’esperienza, la capacità e affidabilità del soggetto designato.  
• A fronte di richiesta scritta del Cliente con un preavviso di almeno 15 (quindici) giorni lavorativi, il Responsabile si impegna a comunicare gli estremi identificativi delle persone fisiche amministratori di sistema, con le funzioni ad essi attribuite.
• Il Responsabile si impegna a verificare, con cadenza almeno annuale, gli accessi degli amministratori di sistema in modo da verificare la loro rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali effettuati per conto del Cliente.
• Gli Amministratori di Sistema designati dal Responsabile dovranno accedere ai sistemi informatici tramite credenziali univoche o, in seconda istanza e solo se strettamente necessario, utilizzando credenziali tecniche o generiche per l’amministrazione dei sistemi.

10.4 La funzione di Amministratore del sistema affidata al Responsabile del trattamento decorre dalla data di accettazione del presente DPA e avrà efficacia sino alla cessazione del Contratto.

Art. 11 Responsabilità e Manleve

11.1 Il Responsabile del trattamento si obbliga a tenere indenne e manlevare il Cliente da qualsivoglia perdita, costo, sanzione, danno e da qualsivoglia responsabilità ascritta a quest’ultimo derivante dalla violazione, da parte del Responsabile medesimo, di propri autorizzati o di propri ulteriori Responsabili, delle disposizioni contenute nel presente DPA e/o delle disposizioni vigenti in materia di protezione dei dati personali.

11.2 Qualora il Responsabile violi una delle disposizioni del presente accordo, determinando le finalità ed i mezzi del trattamento dei dati personali, lo stesso sarà considerato a tutti gli effetti quale Titolare delle attività di trattamento per le quali ha determinato, in autonomia ed in violazione del presente DPA, finalità e mezzi del trattamento.

11.3 Qualora una o più istruzioni, clausole od obbligazioni disciplinate dal Contratto o dal presente DPA e rivolte al Responsabile comportino una violazione delle norme in materia di protezione dei dati personali, il Responsabile ne informa prontamente e per iscritto il Titolare.

Art. 12 Garanzie del Cliente

12.1 Il Cliente garantisce al Responsabile che i dati oggetto del trattamento:  

• sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
• i dati personali e/o le categorie particolari di dati personali, oggetto delle operazioni di trattamento affidate al Responsabile, sono raccolti e trasmessi nel rispetto della normativa applicabile. Resta inteso che rimane a carico del Cliente individuare la base giuridica del trattamento dei dati personali degli interessati.
  

Art. 13 Disposizioni finali e rinvio

13.1 La sottoscrizione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel Contratto.  

13.2 Per quanto non espressamente previsto, si rinvia alle disposizioni vigenti in materia di protezione di dati personali.  

13.3 Le Parti si danno reciprocamente atto che il presente contratto è stato concordato in ogni sua parte, pertanto non trovano applicazione gli articoli 1341 e 1342 c.c.

Art.14 Contatti DPO / RPD

14.1 L’indirizzo di contatto del Responsabile della Protezione dei Dati personali del Responsabile è: [email protected]