Data processing agreement

Premesso che

Ciò premesso e ritenuto parte integrante del presente accordo, le Parti stipulano quanto segue:

Il Titolare del trattamento nomina il Fornitore di servizi quale Responsabile del Trattamento per tutta la durata di cui al Contratto principale, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA. Mediante l’accettazione del presente documento da parte del Titolare, NSI si impegna a compiere le attività di trattamento sui dati personali in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni:

1. Oggetto

Oggetto del presente accordo è la definizione delle modalità e delle condizioni legate al trattamento dati effettuato dal Responsabile del trattamento per conto del Titolare in riferimento al contratto di servizi di cui in premessa. Accettando il presente accordo, le Parti si impegnano al rispetto della normativa vigente, nazionale o sovra nazionale, in materia di protezione dei dati personali delle persone fisiche. Le parti prendono atto e accettano che qualsiasi violazione del presente accordo da parte delResponsabile del trattamento o del Titolare costituisce una violazione del contratto di fornitura del servizio e che, in tal caso e senza pregiudizio per qualsiasi altro diritto o rimedio a disposizione, il Titolare o il Responsabile possono scegliere di risolvere immediatamente il Contratto principale secondo quanto previsto dalle disposizioni di risoluzione ivi previste.

2. Durata

Il presente accordo produrrà effetti tra le Parti per tutta la durata del contratto di fornitura del servizio UTOPIA e non avrà più efficacia nel momento in cui il Cliente receda dal Contratto principale.

3. Origine dei dati

Il Titolare del trattamento assicura che i dati oggetto del presente accordo siano stati raccolti in modo lecito e conforme alla normativa vigente e che le informazioni trasmesse al responsabile del trattamento non violano in alcun modo i diritti degli interessati del trattamento dati.

In questo senso, il Titolare manleva il Responsabile da qualsiasi responsabilità conseguente ad eventuali trattamenti illeciti da parte del Titolare inerente all’utilizzo e ai dati contenuti in UTOPIA.

4. Tipologie e natura dei dati personali

NSI non tratterà dati personali diversi da quelli necessari per l’esecuzione del Contratto principale, a meno che l’ulteriore trattamento sia previsto dalle normative e dai regolamenti sulla Protezione dei dati a cui sia obbligato il Responsabile del trattamento. Il Titolare incarica il Responsabile del trattamento di trattare solo i dati personali secondo quanto ragionevolmente necessario per la prestazione del servizio e in conformità con i termini e le condizioni del Contratto principale e del presente accordo. La tipologia di dati personali richiesti per l’implementazione del servizio UTOPIA è di tipo anagrafico, oltre a informazioni di contatto. La natura delle operazioni effettuate sui dati personali afferisce alla manutenzione, assistenza e aggiornamento del servizio e messa in sicurezza del dato (backup). Per l’esecuzione del contratto principale, il Titolare mette a disposizione del Responsabile ogni informazione necessaria richiesta.

4.1  Amministratori di sistema

In relazione alle attività svolte dal responsabile del trattamento, in riferimento alla conservazione dei dati e alle attività sistemistiche dirette alla manutenzione e all’aggiornamento dei sistemi e database, il personale addetto del responsabile del trattamento verrà incaricato della funzione di Amministratore di Sistema. Il Responsabile del trattamento, prima dell’attribuzione di tale funzione, ha valutato le caratteristiche soggettive degli Amministratori di Sistema e manterrà la registrazione dei relativi accessi ai sistemi informativi, così come previsto e richiesto dal Provvedimento del Garante italiano per la protezione dei dati personali del 27.11.2008. Ove richiesto dal Titolare, il Responsabile comunicherà l’elenco aggiornato degli Amministratori di Sistema.

5. Personale del Responsabile del trattamento

Il trattamento dei dati verrà effettuato unicamente dal personale di NSI preventivamente autorizzato al trattamento, ai sensi dell’art. 29 GDPR, nonché debitamente istruito sulle proprie responsabilità. Il responsabile del trattamento garantisce che il personale dedicato all’esecuzione del contratto principale sia stato reso edotto della natura confidenziale delle informazioni ricevute dal Titolare. Il Responsabile del trattamento garantisce altresì che l'accesso ai dati personali sia limitato al personale che ha la necessità di accedere ai dati personali pertinenti, nella misura strettamente necessaria, per le finalità previste dal Contratto principale e dal presente accordo.

6. Obblighi del Responsabile

NSI si impegna ad osservare le seguenti prescrizioni per l’esecuzione del contratto principale:

6.1  Istruzioni del Titolare

Il Responsabile dovrà trattare i dati per le finalità sopra indicate e per l'esecuzione delle prestazioni contrattuali assunte. NSI tratterà i dati in conformità a quanto previsto nel documento security policy.

6.2  Luogo del trattamento

I dati saranno conservati e trattati dal Responsabile del trattamento all’interno del territorio europeo e qualora in futuro il trattamento dovesse essere eseguito in paesi extra UE, il Responsabile del trattamento ne darà comunicazione al Titolare del trattamento per convenire le garanzie adeguate che lo stesso richiede in funzione del luogo in cui il trattamento sarà effettuato. Nel caso in cui il Responsabile del trattamento sia tenuto ad effettuare un trasferimento dei dati verso un paese terzo o un'organizzazione internazionale in virtù di leggi dell'Unione o dello Stato membro di appartenenza, dovrà informare il Titolare del trattamento di tale obbligo al fine di ottenerne l’autorizzazione prima del trasferimento. I dati personali saranno custoditi per conto del responsabile del trattamento presso il datacenter Amazon AWS (Amazon Web Services).

6.3  Riservatezza

Il Responsabile del trattamento garantisce la riservatezza dei dati personali trattati nell’ambito dell’esecuzione del contratto principale. Il Responsabile del trattamento garantisce che il proprio personale autorizzato abbia sottoscritto un obbligo legale di riservatezza e che abbia ricevuto la formazione necessaria in materia di trattamento e protezione di dati personali.

6.4 Sicurezza

Le misure di sicurezza adottate da NSI sono quelle indicate nel documento security policy. NSI ha adottato misure tecniche e organizzative adeguate alla protezione della sicurezza, confidenzialità e integrità dei dati personali. Queste misure includono, ove opportuno:

NSI ha tenuto conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza o altri eventi sostanzialmente simili, secondo quanto definito dalle normative e dai regolamenti sulla protezione dei dati.

6.5 Informazione

Il Responsabile del trattamento informa immediatamente il Titolare se, a suo parere, una qualsiasi ulteriore istruzione fornita da parte del Titolare possa essere difforme al GDPR o altre disposizioni sulla protezione dei dati degli Stati membri o qualsiasi altra normativa applicabile.

6.6 DPIA e consultazione preventiva

A richiesta del Titolare, NSI fornirà le informazioni necessarie allo svolgimento della valutazione d'impatto privacy (DPIA), verifica, certificazione della protezione e sicurezza dei dati o per le consultazioni preliminari con le Autorità Garanti o con altre Autorità competenti in materia di protezione dei dati, che il Titolare consideri adeguate o necessarie per adempiere alla normativa e ai regolamenti in materia di protezione dei dati, per quanto afferente al trattamento dei dati personali da parte del Responsabile del trattamento di cui al contratto principale.

6.7 Audit

Il Responsabile del trattamento accetta che il Titolare (o i suoi rappresentanti designati), previo ragionevole preavviso, possa ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile (e/o quelle dei suoi Sub-Responsabili) per conto del Titolare del trattamento al fine di accertarne la conformità con i termini previsti dal presente DPA e dalla normativa in materia di protezione dei dati personali. Il Responsabile del trattamento coadiuverà il Titolare per ridurre e risolvere tempestivamente qualsiasi mancanza di conformità riscontrata durante tali verifiche.

Qualora tali attività comportino oneri e spese non previste dal presente accordo o dal contratto principale, tutte le richieste del Titolare dovranno essere gestite a livello progettuale con una stima dei costi necessari per la loro attuazione (siano esse attività di penetration test, vulnerability assessment o altro).

6.8 Diritti degli interessati

Il Responsabile del trattamento comunicherà tempestivamente e comunque senza indebito ritardo al Titolare, in caso di richieste pervenute da parte di un interessato del trattamento di dati personali inerente al proprio diritto di accesso, rettifica, limitazione del trattamento, cancellazione ("diritto all'oblio"), portabilità dei dati, diritto di opposizione al trattamento, o qualsiasi altra richiesta inerente i propri dati personali trattati da parte del Responsabile del trattamento.

Su richiesta del Titolare, il Responsabile del trattamento fornirà la più completa assistenza al Titolare nell’evadere tali richieste da parte dell'interessato. In questo senso, tenuto conto della natura del trattamento, il Responsabile del trattamento deve assistere il Titolare, mediante misure tecniche e organizzative adeguate, per l'adempimento degli obblighi del Titolare di riscontro alle richieste dell'interessato inerenti all’esercizio dei diritti previsti dalla normativa vigente in materia di protezione di dati personali.

7. Sub responsabili

NSI può ricorrere a un altro responsabile solo previa autorizzazione scritta, specifica o generale, del committente. L’accettazione del presente DPA vale quale autorizzazione scritta generale. Il Responsabile del trattamento è comunque sempre tenuto ad informare il Titolare in merito alla scelta, aggiunta o sostituzione di qualsiasi sub-responsabile del trattamento, dando così al Titolare l’opportunità di valutarla, e se del caso opporvisi. Prima di consentire l'accesso, da parte del sub-responsabile, ai dati personali, il Responsabile del trattamento dovrà garantire che tale sub-responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi o superiori obblighi in materia di protezione dei dati contenuti indicati nel presente contratto. In particolare, il Responsabile del trattamento deve prevedere in quest’ultimo caso garanzie sufficienti affinché il sub-responsabile metta in atto misure tecniche e organizzative adeguate al fine di soddisfare i requisiti normativi previsti. Il Responsabile del trattamento è responsabile degli atti e delle omissioni di qualsiasi sub-responsabile.

8. Data breach

Il Responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione, assisterà il Titolare del trattamento nel garantire il rispetto degli obblighi previsti dagli artt. 32 - 36 GDPR. Il Responsabile del trattamento dovrà inviare una comunicazione al Titolare del Trattamento senza indebito ritardo e, in ogni caso, entro ventiquattro (24) ore dall’essere venuto a conoscenza o aver ragionevolmente sospettato di una violazione dei dati personali.

Il Responsabile del trattamento comunicherà al Titolare, senza ingiustificati ritardi e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza, di un incidente riguardante la sicurezza o della violazione delle misure di sicurezza che abbiano condotto a un utilizzo, distruzione, perdita, divulgazione non autorizzata, accidentale o illecita, alterazione, accesso illegittimo ai dati personali ovvero a qualsiasi altra violazione della sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati. Il Responsabile del trattamento deve indicare, nella comunicazione al Titolare, dettagliate informazioni per consentire al Titolare di adempiere ai conseguenti obblighi di notifica alla competente Autorità Garante o di informazione degli interessati coinvolti nel Data Breaches.

Il Responsabile del trattamento fornirà al Titolare del trattamento informazioni sufficienti per consentire al Titolare di adempiere a qualsiasi obbligo di segnalare una violazione dei dati personali ai sensi della normativa vigente.

Non appena possibile e a seguito di effettivo Data Breach, il Responsabile del trattamento esegue una dettagliata analisi delle cause che hanno comportato un Breach e, su richiesta del Titolare, deve condividere con quest’ultimo i risultati della propria analisi e del relativo piano di ripristino

9. Comunicazione dei dati

Il Responsabile al trattamento tratta i dati personali del Titolare del trattamento solo ai fini dell'esecuzione del contratto principale. Il Responsabile del Trattamento non deve trattare, trasferire, modificare, correggere o alterare i dati personali del Titolare del trattamento o divulgare o consentirne la divulgazione a terzi se non in conformità alle istruzioni documentate del Titolare del trattamento, a meno che il trattamento non sia richiesto dall'UE e/o dalle leggi dello Stato Membro a cui è soggetto il Responsabile e/o una qualsiasi legislazione anche sovranazionale a cui è soggetto il Responsabile. Il Responsabile del trattamento dovrà, nella misura consentita da tali leggi, informare il Titolare del Trattamento di tali requisiti legali prima di trattare ulteriormente i dati personali e attenersi alle istruzioni del Titolare del Trattamento per ridurre al minimo, per quanto possibile, l'ambito della divulgazione.

10. Cancellazione o restituzione dei dati personali

Il Responsabile del trattamento, nel caso di cessazione dell’erogazione dei servizi di cui al contratto principale o di recesso dallo stesso, dovrà restituire o cancellare tutti i dati personali di cui è entrato in possesso nonché cancellare eventuali copie, digitali o cartacee, esistenti. I dati di cui è in possesso il Responsabile del trattamento dovranno essere restituiti a richiesta del Titolare del trattamento attraverso la consegna del backup del database ovvero dei file su cui risiedono i dati personali di un file in un formato strutturato di uso comune e leggibile da un dispositivo automatico. I dati saranno restituiti (in formato JSON) o cancellati dal data center Amazon (AWS) al massimo entro 90 giorni dalla data di risoluzione del contratto. Il Titolare del trattamento è a conoscenza che in qualsiasi momento potrà procedere in proprio alla cancellazione dei dati attraverso la funzione dedicata ‘’Distruggi dominio’’ presente all’interno dell’applicativo software. Per motivi di sicurezza dei propri sistemi informativi, il Responsabile precisa che i dati del Titolare risiederanno per 12 mesi dalla cessazione del contratto principale su supporti di backup, i quali verranno sovrascritti al termine del menzionato periodo. Il Responsabile del trattamento potrà ulteriormente conservare i dati solo nella misura e per il periodo richiesto dalla legge dell'Unione o dello Stato membro, e sempre a condizione che il Responsabile del trattamento garantisca la riservatezza di tutti i dati personali e garantisce che gli stessi siano trattati esclusivamente secondo le necessità per gli scopi specificati nelle leggi dell'Unione o degli Stati membri e per nessun’altra finalità.

11. Contatti privacy

Per l'esercizio dei propri diritti e per altro tipo di comunicazione inerente alla normativa privacy è possibile contattare il Responsabile della Protezione Dati scrivendo a dpo@nsi.it

12. Disposizioni finali

La sottoscrizione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel contratto principale. Per quanto non espressamente previsto, si rinvia alle disposizioni generali vigenti in materia di protezione di Dati Personali.