Le premesse costituiscono parte integrante del presente DPA.
Tutto ciò premesso e considerato, il Titolare del trattamento designa Dilaxia S.p.A., ai sensi e per gli effetti dell’art. 28Reg. UE 2016/679 (di seguito, GDPR), quale Responsabile del Trattamento per tutta la durata di utilizzo del SaaS Utopia, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA.
Mediante la sottoscrizione del presente DPA, il Responsabile del trattamento si impegna a compiere le attività di trattamento dei dati in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni:
1.1 Il Responsabile del trattamento si impegna a rispettare ogni normativa o regolamento applicabili in materia di protezione dei dati personali ed in merito alle informazioni oggetto di trattamento non deve compiere operazioni di trattamento ulteriori e/o diverse da quelle necessarie alla gestione, manutenzione e sviluppo di Utopia, a meno che l’ulteriore attività di trattamento sia richiesta da una legge tempo per tempo vigente a cui sia soggetto il Responsabile del trattamento.
1.2 Il Titolare autorizza il Responsabile a trattare i dati personali secondo quanto ragionevolmente necessario per l’esecuzione del servizio nonché in conformità con i termini e le condizioni del presente DPA.
1.3 L’oggetto delle attività di trattamento dei dati personali è la prestazione del servizio SaaS in favore del Titolare. La descrizione dei trattamenti, comprese le informazioni riguardanti la durata, la natura e la finalità del trattamento, i tipi di dati personali e le categorie delle persone interessate dal trattamento sono disciplinate nelle premesse al presente DPA, quali parti integranti e sostanziali dello stesso.
1.4 IlResponsabile si impegna a mantenere un registro delle attività di trattamento, così come previsto dall’art. 30, par. 2 del GDPR, nel quale siano indicate le caratteristiche dei trattamenti che esegue per conto del Titolare.
2.1 II Responsabile del trattamento garantisce che il personale coinvolto nel trattamento dei dati personali sia stato preventivamente informato della natura confidenziale delle informazioni trattate, abbia ricevuto un'adeguata istruzione in merito alle proprie responsabilità e abbia sottoscritto uno specifico obbligo legale vincolante finalizzato a tutelare la riservatezza dei dati personali trattati.
2.2 Il Responsabile del trattamento garantisce che l’accesso ai dati personali sia limitato al personale preventivamente autorizzato per il perseguimento delle finalità previste dal servizio e dal presente DPA.
3.1 Il Responsabile del trattamento adotta misure tecniche e organizzative adeguate alla sicurezza (inclusa la prevenzione dal trattamento non autorizzato, dalla distruzione accidentale o illecita, dalla perdita di disponibilità o alterazione o danneggiamento dei dati, dalla divulgazione non autorizzata ovvero dall'accesso illegittimo ai dati personali), confidenzialità e integrità dei dati personali trattati. Queste misure devono includere, ai sensi dell’art.32 GDPR, ove opportuno e applicabile:
3.2 Nella valutazione dell'adeguato livello di sicurezza, il Responsabile del trattamento deve tenere conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza, secondo quanto stabilito dalle normative e dai regolamenti sulla protezione dei dati.
3.3 Il Responsabile del trattamento accetta che il Titolare o i suoi rappresentanti designati, con un preavviso di almeno 15 (quindici) giorni lavorativi, possa ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile al fine di accertarne la conformità con i termini previsti dal presente DPA e dalla normativa in materia di protezione dei dati personali. Nelle ipotesi previste dal presente punto, il Titolare e/o i componenti della propria organizzazione, ovvero i rappresentanti da quest’ultimo designati, si impegnano a mantenere comportamenti leali, collaborativi e trasparenti per tutta la durata delle attività eseguite nei confronti del Responsabile.
4.1 Il Responsabile del trattamento può ricorrere a un altro Responsabile solo previa autorizzazione scritta, specifica o generale, del Titolare. Il Responsabile deve fornire, a richiesta del Titolare, la lista dei propri Sub-Responsabili del trattamento in relazione al trattamento di cui all’esecuzione del servizio.La sottoscrizione del presente DPA vale quale autorizzazione scritta generale.
4.2 Il Responsabile del trattamento è tenuto ad informare il Titolare in merito alla scelta, aggiunta o sostituzione di qualsiasi ulteriore Responsabile del trattamento.
4.3 Prima di consentire l'accesso, da parte dell’ulteriore Responsabile ai dati personali, il Responsabile del trattamento dovrà garantire che tale altro Responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi obblighi in materia di protezione dei dati indicati nel presente DPA.
5.1 Il Responsabile del trattamento comunicherà senza indebito ritardo al Titolare le istanze pervenute da parte di un interessato inerenti all’esercizio di un proprio diritto previsto dagli artt. 15-22 del Regolamento UE 2016/679.
5.2 Su richiesta del Titolare, il Responsabile del trattamento fornirà una ragionevole assistenza al Titolare nell’evadere le richieste di cui al precedente punto5.1.
6.1 Il Responsabile del trattamento deve comunicare al Titolare, senza ingiustificati ritardi e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza, l’incidente riguardante la sicurezza o la violazione delle misure di sicurezza che abbiano condotto ad un utilizzo non autorizzato, distruzione, perdita, divulgazione, accidentale o illecita, alterazione, accesso illegittimo dei dati personali oggetto di trattamento ovvero qualsiasi altra violazione di sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati.
6.2 Nella propria comunicazione, il Responsabile del trattamento deve indicare ogni informazione utile per consentire al Titolare di adempiere ai propri obblighi di notifica alla competente Autorità Garante o di informazione degli interessati coinvolti nel Data Breach.
6.3 Nei casi di cui al precedente punto 6.2, il Responsabile assiste il Titolare avviando un’analisi finalizzata alla raccolta delle seguenti informazioni:
7.1 Il Responsabile del trattamento si impegna a prestare una ragionevole assistenza al Titolare nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva con l’Autorità di Controllo.
8.1 Su richiesta e a scelta del Titolare, dalla data di scadenza delServizio, il Responsabile si impegna a cancellare e/o a restituire tutti i dati personali trattati per conto del Titolare nel termine di 90 (novanta) giorni. Quest’ultimo potrà ottenere la cancellazione dei dati oggetto di trattamento nel caso in cui su questi non vi sia un obbligo giuridico alla conservazione da parte delResponsabile, derivante dalla normativa comunitaria e/o nazionale in vigore.
9.1 Il presente DPA avrà efficacia a partire dalla data di sottoscrizione del Titolare, esercitabile mediante specifica spunta al momento di primo accesso al SaaS Utopia, e avrà validità, compresi eventuali rinnovi, fino alla cessazione di ogni effetto del Servizio, per qualsiasi causa intervenuta.
10.1 Premesso che il Provvedimento Generale del Garante italiano per la protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – del 27 novembre2008” ha introdotto alcuni adempimenti specifici per gli amministratori di sistema in conseguenza delle funzioni per mezzo delle quali alcune operazioni di trattamento comportano particolari e più ampi privilegi per l’accesso ai dati personali, ovvero quando le attività siano esercitate in un contesto che renda tecnicamente possibile l'accesso, anche incidentale, a dati personali, da ciò derivando la necessità di predisporre una maggiore tutela agli accessi ai dati personali.
10.2 Premesso altresì che, l’Amministratore del sistema è stato scelto in quanto fornisce sufficienti ed idonee garanzie di esperienza, capacità ed affidabilità circa l’applicazione delle norme in materia di protezione dei dati personali, anche con specifico riferimento alla sicurezza dei dati personali trattati.
10.3 Il Titolare affida al Responsabile la funzione di Amministratore del sistema, precisando le seguenti istruzioni:
10.4 La funzione di Amministratore del sistema affidata al Responsabile del trattamento decorre dalla data di accettazione del presente DPA e avrà efficacia sino alla cessazione del Servizio.
11.1 Il Responsabile del trattamento si obbliga a tenere indenne e manlevare il Titolare da qualsivoglia perdita, costo, sanzione, danno e da qualsivoglia responsabilità ascritta a quest’ultimo derivante dalla violazione, da parte del Responsabile medesimo, di propri autorizzati o di propri ulteriori Responsabili, delle disposizioni contenute nel presente DPA e/o delle disposizioni vigenti in materia di protezione dei dati personali.
11.2 Qualora il Responsabile violi una delle disposizioni del presente accordo, determinandole finalità ed i mezzi del trattamento dei dati personali, lo stesso sarà considerato a tutti gli effetti quale autonomo titolare delle attività di trattamento per le quali ha determinato, in autonomia ed in violazione del presente DPA, finalità e mezzi del trattamento.
12.1 Il Titolare garantisce al Responsabile che i dati oggetto del trattamento:
13.1 La sottoscrizione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel Servizio.
13.2 Per quanto non espressamente previsto, si rinvia alle disposizioni vigenti in materia di protezione di dati personali.
12.1 L’indirizzo di contatto del Responsabile dellaProtezione dei Dati personali del Responsabile è: [email protected]
Cosa significa far parte della Community?