Data processing agreement

Accordo per il trattamento dei dati personali

Il presente accordo per la protezione di dati personali è concluso tra il Fornitore Actainfo di Addari Igino s.a.s. con sede in via Boccaccio 4 a Roseto degli Abruzzi (TE), C.F. e P.I.: 01901750677 di seguito definito anche ACTAINFO,

e

il Cliente che accetta il presente accordo.

Premesso che

    • le parti intendono disciplinare nel presente “accordo per il trattamento dei dati personali –Data Processing Agreement” (nel seguito anche “DPA” o “Accordo”) le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto e della prestazione dei Servizi e le responsabilità connesse al trattamento medesimo, ivi incluso l’impegno assunto dal Fornitore quale Responsabile del trattamento dei dati personali ai sensi dell’ 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (nel seguito “GDPR”);
    • il presente DPA descrive i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato da parte di ACTAINFO per conto del Titolare sia conforme ai requisiti previsti dalla normativa sulla protezione dei dati personali ad oggi in vigore in ambito comunitario e sovranazionale;
    • con riferimento al trattamento dati, in caso di discordanza tra il presente documento e il Contratto, prevarrà il presente accordo;
    • il Cliente assume, ai sensi dell’art. 4 del GDPR, la qualifica di Titolare del trattamento dei dati personali e ACTAINFO assume la qualifica di Responsabile del trattamento dei dati personali derivante dal servizio fornito;
    • il presente accordo è parte integrante delle condizioni generali del contratto per la disponibilità e l’uso esclusivo dell’applicativo web ACTAPRIVACY;

Ciò premesso, le Parti stipulano quanto segue:

Il Titolare del trattamento nomina il ACTAINFO Responsabile del Trattamento dei dati per tutta la durata del servizio prevista all’atto dell’acquisto, regolato con emissione di regolare fattura elettronica, recante il periodo di prestazione del servizio, ed in conformità agli obblighi imposti dal presente DPA.

1.Oggetto

Il presente accordo definisce le modalità e le condizioni del trattamento dei dati personali effettuato da ACTAINFO in qualità di Responsabile del trattamento per conto del Cliente Titolare del trattamento con riferimento al contratto di servizi di cui in premessa.

Le Parti si impegnano al rispetto della normativa vigente, nazionale o sovra nazionale, in materia di protezione dei dati personali delle persone fisiche. Le parti prendono atto e accettano che qualsiasi violazione del presente accordo da parte del Responsabile del trattamento o del Titolare costituisce una violazione del contratto di fornitura del servizio e che, in tal caso e senza pregiudizio per qualsiasi altro diritto o rimedio a disposizione, il Titolare o il Responsabile possono scegliere di risolvere immediatamente il Contratto principale secondo quanto previsto dalle disposizioni di risoluzione ivi previste.

2.Durata

Il presente accordo produrrà effetti tra le Parti per tutta la durata del contratto di fornitura del servizio ACTAPRIVACY, per un periodo normalmente di durata annuale con possibilità di rinnovo, specificato sulla fattura elettronica dell’acquisto eseguito:

L’accordo non avrà più efficacia nel momento in cui il Cliente receda espressamente o non rinnovi il servizio entro la data di scadenza, che equivale a disdetta.

3.Dati personali trattati

ACTAINFO tratterà esclusivamente i dati personali necessari per l’esecuzione del presente Accordo e del Contratto, a meno che eventuali ulteriori trattamenti siano obbligatoriamente previsti dalle normative e dai regolamenti sulla Protezione dei dati personali a cui sia obbligato il Responsabile del trattamento.

Il Cliente Titolare del trattamento assicura che i dati oggetto del presente accordo siano stati raccolti in modo lecito e conforme alla normativa vigente e che le informazioni trasmesse al Responsabile del trattamento non violano in alcun modo i diritti degli interessati del trattamento dei dati personali.

Il Cliente Titolare manleva il Responsabile del trattamento da qualsiasi responsabilità conseguente ad eventuali trattamenti illeciti da parte del Titolare inerente all’utilizzo e ai dati contenuti sulla piattaforma ACTAPRIVACY.

Il Cliente Titolare incarica il Responsabile del trattamento di trattare solo i dati personali secondo quanto ragionevolmente necessario per la prestazione del servizio e in conformità con i termini e le condizioni del Contratto e del presente accordo.

La tipologia di dati personali richiesti per l’implementazione del servizio ACTAPRIVACY è di tipo anagrafico, oltre a informazioni di contatto. La natura delle operazioni effettuate sui dati personali afferisce alla manutenzione, assistenza e aggiornamento del servizio e messa in sicurezza dei dati (backup).

Per l’esecuzione del contratto, il Cliente  Titolare mette a disposizione del Responsabile del trattamento ogni informazione necessaria richiesta.

4.Soggetti autorizzati dal Responsabile del trattamento

Il trattamento dei dati verrà effettuato unicamente dal personale di ACTAPRIVACY preventivamente autorizzato al trattamento, ai sensi dell’art. 29 GDPR, nonché debitamente istruito sulle proprie responsabilità.

Il Responsabile del trattamento garantisce la riservatezza dei dati personali trattati nell’ambito dell’esecuzione del servizio. Il Responsabile del trattamento garantisce che il proprio personale autorizzato abbia sottoscritto un obbligo legale di riservatezza e che abbia ricevuto la formazione necessaria in materia di trattamento e protezione di dati personali.

In riferimento alla conservazione dei dati e alle attività sistemistiche dirette alla manutenzione e all’aggiornamento dei sistemi e database, il personale addetto del responsabile del trattamento verrà incaricato della funzione di Amministratore di Sistema.

Il Responsabile del trattamento, prima dell’attribuzione di tale funzione, ha valutato le caratteristiche soggettive degli Amministratori di Sistema e manterrà la registrazione dei relativi accessi ai sistemi informativi, così come previsto e richiesto dal Provvedimento del Garante italiano per la protezione dei dati personali del 27.11.2008.

Ove richiesto dal Titolare, il Responsabile comunicherà l’elenco aggiornato degli Amministratori di Sistema.

5.Obblighi del Responsabile

5.1  Istruzioni del Titolare

Il Responsabile dovrà trattare i dati per le finalità sopra indicate e per l’esecuzione del servizio,  in conformità a quanto previsto nel documento security policy.

5.2  Luogo del trattamento

I dati saranno conservati e trattati dal Responsabile del trattamento all’interno del territorio europeo e qualora in futuro il trattamento dovesse essere eseguito in paesi extra UE, il Responsabile del trattamento ne darà comunicazione al Titolare del trattamento per convenire le garanzie adeguate che lo stesso richiede in funzione del luogo in cui il trattamento sarà effettuato.

I dati personali saranno custoditi per conto del responsabile del trattamento presso il datacenter IRIDEOS , fornitore di servizi IaaS qualificati da AGID, all’interno del polo tecnologico di via Caldera, a Milano IT.

Nel caso in cui il Responsabile del trattamento sia tenuto ad effettuare un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale in virtù di leggi dell’Unione o dello Stato membro di appartenenza, dovrà informare il Titolare del trattamento di tale obbligo al fine di ottenerne l’autorizzazione prima del trasferimento.

5.3 Sicurezza del trattamento

ACTAINFO ha adottato misure tecniche e organizzative adeguate alla protezione della sicurezza, confidenzialità e integrità dei dati personali.

Le misure includono, ove necessario:

        • la valutazione del livello adeguato di sicurezza, in particolare di tutti i rischi associati al trattamento, per esempio dovuti alla distruzione accidentale o illegale, perdita, o alterazione, conservazione, accesso, comunicazione o accesso non autorizzati o illegali dei dati personali;
        • la pseudonimizzazione e cifratura dei dati personali;
        • la capacità di garantire su base permanente la confidenzialità, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
        • la capacità di ripristinare la disponibilità e l’accesso ai dati personali, in modo tempestivo, in caso d’incidente fisico o tecnico;
        • una procedura per testare, determinare e valutare periodicamente l’efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento dei dati personali;
        • le misure per identificare le vulnerabilità relative al trattamento dei dati personali nei sistemi usati per fornire il servizio al Titolare.

5.4 Audit

Al fine di accertarne la conformità con i termini previsti dal presente DPA e dalla normativa in materia di protezione dei dati personali, il Titolare del trattamento o i suoi rappresentanti designati può, previo ragionevole preavviso, ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile (e/o quelle dei suoi Sub-Responsabili ove nominati) per conto del Titolare del trattamento.

Il Responsabile del trattamento coadiuverà il Titolare per ridurre e risolvere tempestivamente qualsiasi mancanza di conformità riscontrata durante tali verifiche.

Qualora tali attività comportino oneri e spese non previste dal presente accordo o dal contratto principale, tutte le richieste del Titolare dovranno essere gestite a livello progettuale con una stima dei costi necessari per la loro attuazione (siano esse attività di penetration test, vulnerability assessment o altro).

5.5 Diritti degli interessati

Il Responsabile del trattamento comunicherà tempestivamente e comunque senza indebito ritardo al Titolare, qualsiasi richiesta pervenuta da parte di un interessato del trattamento di dati personali inerente al proprio diritto di accesso, rettifica, limitazione del trattamento, cancellazione (“diritto all’oblio”), portabilità dei dati, diritto di opposizione al trattamento, o qualsiasi altra richiesta inerente i propri dati personali trattati da parte del Responsabile del trattamento.

Su richiesta del Titolare, il Responsabile del trattamento fornirà la più completa assistenza al Titolare nell’evadere tali richieste da parte dell’interessato del trattamento.

6.Sub responsabili

ACTAINFO può ricorrere a un altro responsabile solo previa autorizzazione scritta, specifica o generale, del committente. L’accettazione del presente DPA vale quale autorizzazione scritta generale.

Il Responsabile del trattamento è responsabile degli atti e delle omissioni di qualsiasi sub-responsabile.

7.Data breach

Il Responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione, assisterà il Titolare del trattamento nel garantire il rispetto degli obblighi previsti dagli artt. 32 – 36 GDPR.
Il Responsabile del trattamento fornirà al Titolare del trattamento informazioni sufficienti per consentire al Titolare di adempiere a qualsiasi obbligo di segnalare una violazione dei dati personali ai sensi della normativa vigente.

8.Cancellazione e restituzione dei dati personali

Il Responsabile del trattamento, nel caso di cessazione dell’erogazione dei servizi acquistati, per disdetta o mancato rinnovo, dovrà restituire o cancellare tutti i dati personali di cui è entrato in possesso nonché cancellare eventuali copie, digitali o cartacee, esistenti.

I dati di cui è in possesso il Responsabile del trattamento dovranno essere restituiti, a richiesta del Titolare del trattamento, entro 60 sessanta giorni attraverso la consegna del backup del database.

Il Cliente Titolare potrà eseguire automaticamente e autonomamente:

    • il download dei dati in formato csv;
    • il download dei propri file archiviati sulla piattaforma

Il Responsabile precisa che, salvo espressa richiesta di proroga del Cliente Titolare, non superiore a 30 (trenta) giorni, i dati del Titolare risiederanno per 7 (sette) giorni dalla cessazione del servizio nell’area di backup del Responsabile del trattamento e verranno sovrascritti al termine del menzionato periodo.

9.Disposizioni finali

Il presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel contratto.

Per l’esercizio dei propri diritti e per altro tipo di comunicazione inerente alla normativa privacy è possibile contattare il DPO Responsabile della Protezione Dati al seguente indirizzo e-mail a gdpr@actainfo.it.

Per quanto non espressamente previsto, si rinvia alle disposizioni generali vigenti in materia di protezione di Dati Personali.

10.Sottoscrizione

Il presente DPA viene sottoscritto digitalmente da ACTAINFO in persona del Dott. Igino Addari in qualità di legale rappresentante.

Il Cliente Titolare del trattamento, beneficiario del servizio, può eseguire il download del  DPA  e:

    1. aggiungere la propria firma digitale a quella presente sul file scaricato;
    2. oppure sottoscrivere con propria firma autografa con documento di riconoscimento

e rispedire il DPA sottoscritto all’indirizzo e-mail del Responsabile del trattamento:

    • info@actainfo.it, inserendo nell’oggetto la denominazione del Cliente Titolare.

Il presente accordo ha valore unicamente se è attivo il servizio oggetto del presente accordo, comprovato dal periodo riportato sulla fattura elettronica emessa da ACTAINFO, intestata al Cliente Titolare del trattamento e spedita tramite il servizio SDI dell’Agenzia delle Entrate.

© 2019 Actainfo di Addari Igino s.a.s. - P.IVA 01901750677

  • info@actainfo.it
  • +39 085 2015591
  • +39 085 2194581