Il presente accordo per la protezione di dati personali è concluso tra il Fornitore Actainfo di Addari Igino s.a.s. con sede in via Boccaccio 4 a Roseto degli Abruzzi (TE), C.F. e P.I.: 01901750677 di seguito definito anche ACTAINFO,
e
il Cliente che accetta il presente accordo.
Premesso che
Ciò premesso, le Parti stipulano quanto segue:
Il Titolare del trattamento nomina il ACTAINFO Responsabile del Trattamento dei dati per tutta la durata del servizio prevista all’atto dell’acquisto, regolato con emissione di regolare fattura elettronica, recante il periodo di prestazione del servizio, ed in conformità agli obblighi imposti dal presente DPA.
1.Oggetto
Il presente accordo definisce le modalità e le condizioni del trattamento dei dati personali effettuato da ACTAINFO in qualità di Responsabile del trattamento per conto del Cliente Titolare del trattamento con riferimento al contratto di servizi di cui in premessa.
Le Parti si impegnano al rispetto della normativa vigente, nazionale o sovra nazionale, in materia di protezione dei dati personali delle persone fisiche. Le parti prendono atto e accettano che qualsiasi violazione del presente accordo da parte del Responsabile del trattamento o del Titolare costituisce una violazione del contratto di fornitura del servizio e che, in tal caso e senza pregiudizio per qualsiasi altro diritto o rimedio a disposizione, il Titolare o il Responsabile possono scegliere di risolvere immediatamente il Contratto principale secondo quanto previsto dalle disposizioni di risoluzione ivi previste.
2.Durata
Il presente accordo produrrà effetti tra le Parti per tutta la durata del contratto di fornitura del servizio ACTAPRIVACY, per un periodo normalmente di durata annuale con possibilità di rinnovo, specificato sulla fattura elettronica dell’acquisto eseguito:
L’accordo non avrà più efficacia nel momento in cui il Cliente receda espressamente o non rinnovi il servizio entro la data di scadenza, che equivale a disdetta.
3.Dati personali trattati
ACTAINFO tratterà esclusivamente i dati personali necessari per l’esecuzione del presente Accordo e del Contratto, a meno che eventuali ulteriori trattamenti siano obbligatoriamente previsti dalle normative e dai regolamenti sulla Protezione dei dati personali a cui sia obbligato il Responsabile del trattamento.
Il Cliente Titolare del trattamento assicura che i dati oggetto del presente accordo siano stati raccolti in modo lecito e conforme alla normativa vigente e che le informazioni trasmesse al Responsabile del trattamento non violano in alcun modo i diritti degli interessati del trattamento dei dati personali.
Il Cliente Titolare manleva il Responsabile del trattamento da qualsiasi responsabilità conseguente ad eventuali trattamenti illeciti da parte del Titolare inerente all’utilizzo e ai dati contenuti sulla piattaforma ACTAPRIVACY.
Il Cliente Titolare incarica il Responsabile del trattamento di trattare solo i dati personali secondo quanto ragionevolmente necessario per la prestazione del servizio e in conformità con i termini e le condizioni del Contratto e del presente accordo.
La tipologia di dati personali richiesti per l’implementazione del servizio ACTAPRIVACY è di tipo anagrafico, oltre a informazioni di contatto. La natura delle operazioni effettuate sui dati personali afferisce alla manutenzione, assistenza e aggiornamento del servizio e messa in sicurezza dei dati (backup).
Per l’esecuzione del contratto, il Cliente Titolare mette a disposizione del Responsabile del trattamento ogni informazione necessaria richiesta.
4.Soggetti autorizzati dal Responsabile del trattamento
Il trattamento dei dati verrà effettuato unicamente dal personale di ACTAPRIVACY preventivamente autorizzato al trattamento, ai sensi dell’art. 29 GDPR, nonché debitamente istruito sulle proprie responsabilità.
Il Responsabile del trattamento garantisce la riservatezza dei dati personali trattati nell’ambito dell’esecuzione del servizio. Il Responsabile del trattamento garantisce che il proprio personale autorizzato abbia sottoscritto un obbligo legale di riservatezza e che abbia ricevuto la formazione necessaria in materia di trattamento e protezione di dati personali.
In riferimento alla conservazione dei dati e alle attività sistemistiche dirette alla manutenzione e all’aggiornamento dei sistemi e database, il personale addetto del responsabile del trattamento verrà incaricato della funzione di Amministratore di Sistema.
Il Responsabile del trattamento, prima dell’attribuzione di tale funzione, ha valutato le caratteristiche soggettive degli Amministratori di Sistema e manterrà la registrazione dei relativi accessi ai sistemi informativi, così come previsto e richiesto dal Provvedimento del Garante italiano per la protezione dei dati personali del 27.11.2008.
Ove richiesto dal Titolare, il Responsabile comunicherà l’elenco aggiornato degli Amministratori di Sistema.
5.Obblighi del Responsabile
5.1 Istruzioni del Titolare
Il Responsabile dovrà trattare i dati per le finalità sopra indicate e per l’esecuzione del servizio, in conformità a quanto previsto nel documento security policy.
5.2 Luogo del trattamento
I dati saranno conservati e trattati dal Responsabile del trattamento all’interno del territorio europeo e qualora in futuro il trattamento dovesse essere eseguito in paesi extra UE, il Responsabile del trattamento ne darà comunicazione al Titolare del trattamento per convenire le garanzie adeguate che lo stesso richiede in funzione del luogo in cui il trattamento sarà effettuato.
I dati personali saranno custoditi per conto del responsabile del trattamento presso il datacenter IRIDEOS , fornitore di servizi IaaS qualificati da AGID, all’interno del polo tecnologico di via Caldera, a Milano IT.
Nel caso in cui il Responsabile del trattamento sia tenuto ad effettuare un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale in virtù di leggi dell’Unione o dello Stato membro di appartenenza, dovrà informare il Titolare del trattamento di tale obbligo al fine di ottenerne l’autorizzazione prima del trasferimento.
5.3 Sicurezza del trattamento
ACTAINFO ha adottato misure tecniche e organizzative adeguate alla protezione della sicurezza, confidenzialità e integrità dei dati personali.
Le misure includono, ove necessario:
5.4 Audit
Al fine di accertarne la conformità con i termini previsti dal presente DPA e dalla normativa in materia di protezione dei dati personali, il Titolare del trattamento o i suoi rappresentanti designati può, previo ragionevole preavviso, ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile (e/o quelle dei suoi Sub-Responsabili ove nominati) per conto del Titolare del trattamento.
Il Responsabile del trattamento coadiuverà il Titolare per ridurre e risolvere tempestivamente qualsiasi mancanza di conformità riscontrata durante tali verifiche.
Qualora tali attività comportino oneri e spese non previste dal presente accordo o dal contratto principale, tutte le richieste del Titolare dovranno essere gestite a livello progettuale con una stima dei costi necessari per la loro attuazione (siano esse attività di penetration test, vulnerability assessment o altro).
5.5 Diritti degli interessati
Il Responsabile del trattamento comunicherà tempestivamente e comunque senza indebito ritardo al Titolare, qualsiasi richiesta pervenuta da parte di un interessato del trattamento di dati personali inerente al proprio diritto di accesso, rettifica, limitazione del trattamento, cancellazione (“diritto all’oblio”), portabilità dei dati, diritto di opposizione al trattamento, o qualsiasi altra richiesta inerente i propri dati personali trattati da parte del Responsabile del trattamento.
Su richiesta del Titolare, il Responsabile del trattamento fornirà la più completa assistenza al Titolare nell’evadere tali richieste da parte dell’interessato del trattamento.
6.Sub responsabili
ACTAINFO può ricorrere a un altro responsabile solo previa autorizzazione scritta, specifica o generale, del committente. L’accettazione del presente DPA vale quale autorizzazione scritta generale.
Il Responsabile del trattamento è responsabile degli atti e delle omissioni di qualsiasi sub-responsabile.
7.Data breach
Il Responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione, assisterà il Titolare del trattamento nel garantire il rispetto degli obblighi previsti dagli artt. 32 – 36 GDPR.
Il Responsabile del trattamento fornirà al Titolare del trattamento informazioni sufficienti per consentire al Titolare di adempiere a qualsiasi obbligo di segnalare una violazione dei dati personali ai sensi della normativa vigente.
8.Cancellazione e restituzione dei dati personali
Il Responsabile del trattamento, nel caso di cessazione dell’erogazione dei servizi acquistati, per disdetta o mancato rinnovo, dovrà restituire o cancellare tutti i dati personali di cui è entrato in possesso nonché cancellare eventuali copie, digitali o cartacee, esistenti.
I dati di cui è in possesso il Responsabile del trattamento dovranno essere restituiti, a richiesta del Titolare del trattamento, entro 60 sessanta giorni attraverso la consegna del backup del database.
Il Cliente Titolare potrà eseguire automaticamente e autonomamente:
Il Responsabile precisa che, salvo espressa richiesta di proroga del Cliente Titolare, non superiore a 30 (trenta) giorni, i dati del Titolare risiederanno per 7 (sette) giorni dalla cessazione del servizio nell’area di backup del Responsabile del trattamento e verranno sovrascritti al termine del menzionato periodo.
9.Disposizioni finali
Il presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel contratto.
Per l’esercizio dei propri diritti e per altro tipo di comunicazione inerente alla normativa privacy è possibile contattare il DPO Responsabile della Protezione Dati al seguente indirizzo e-mail a gdpr@actainfo.it.
Per quanto non espressamente previsto, si rinvia alle disposizioni generali vigenti in materia di protezione di Dati Personali.
10.Sottoscrizione
Il presente DPA viene sottoscritto digitalmente da ACTAINFO in persona del Dott. Igino Addari in qualità di legale rappresentante.
Il Cliente Titolare del trattamento, beneficiario del servizio, può eseguire il download del DPA e:
e rispedire il DPA sottoscritto all’indirizzo e-mail del Responsabile del trattamento:
Il presente accordo ha valore unicamente se è attivo il servizio oggetto del presente accordo, comprovato dal periodo riportato sulla fattura elettronica emessa da ACTAINFO, intestata al Cliente Titolare del trattamento e spedita tramite il servizio SDI dell’Agenzia delle Entrate.