Hubenture S.r.l. con sede legale in via C. Bonazzi n. 2 a Castel Maggiore (BO), P. IVA 04217371204, e-mail privacy@hubenture.com (di seguito, Responsabile del trattamento o Fornitore)
Le premesse costituiscono parte integrante del presente DPA.
Tutto ciò premesso e considerato, il Cliente designa il Fornitore, ai sensi e per gli effetti dell’art. 28 Reg. UE 2016/679 (di seguito, GDPR), quale Responsabile del Trattamento per tutta la durata di cui al Contratto, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA.
Mediante la sottoscrizione del presente DPA, il Responsabile del trattamento si impegna a compiere le attività di trattamento dei dati in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni:
1.1 Il Responsabile del trattamento si impegna a rispettare ogni normativa o regolamento applicabili in materia di protezione dei dati personali ed in merito alle informazioni oggetto di trattamento non deve compiere operazioni di trattamento ulteriori e/o diverse da quelle necessarie per l’esecuzione del Contratto, a meno che tale ulteriore attività di trattamento sia richiesta da una legge tempo per tempo vigente a cui sia soggetto il Responsabile del trattamento.
1.2 Il Cliente autorizza il Responsabile a trattare i dati personali secondo quanto ragionevolmente necessario per l’esecuzione del Contratto nonché in conformità con i termini e le condizioni del presente DPA.
1.3 L’oggetto delle attività di trattamento dei dati personali è la prestazione dei servizi previsti dal Contratto. La descrizione dei trattamenti, comprese le informazioni riguardanti la durata, la natura e la finalità del trattamento, i tipi di dati personali e le categorie delle persone interessate dal trattamento sono disciplinate nelle premesse al presente DPA, quali parti integranti e sostanziali dello stesso.
1.4 Il Responsabile si impegna a mantenere un registro delle attività di trattamento, così come previsto dall’art. 30, par. 2 del GDPR, nel quale siano indicate le caratteristiche dei trattamenti che esegue per conto del Cliente.
2.1 II Responsabile del trattamento garantisce che il personale coinvolto nel trattamento dei dati personali sia stato preventivamente informato della natura confidenziale delle informazioni trattate, abbia ricevuto un'adeguata istruzione in merito alle proprie responsabilità e abbia sottoscritto uno specifico obbligo legale vincolante finalizzato a tutelare la riservatezza dei dati personali trattati.
2.2 Il Responsabile del trattamento garantisce che l’accesso ai dati personali sia limitato al personale preventivamente autorizzato per il perseguimento delle finalità previste dal Contratto e dal presente DPA.
3.1 Il Responsabile del trattamento adotta misure tecniche e organizzative adeguate alla sicurezza (inclusa la prevenzione dal trattamento non autorizzato, dalla distruzione accidentale o illecita, dalla perdita di disponibilità o alterazione o danneggiamento dei dati, dalla divulgazione non autorizzata ovvero dall'accesso illegittimo ai dati personali), confidenzialità e integrità dei dati personali trattati. Queste misure includono, ai sensi dell’art. 32 GDPR, ove opportuno e applicabile:
Permaggiori informazioni si rinvia a https://www.utopiathesoftware.com/privacy/security-policy.
3.2 Nella valutazione dell'adeguato livello di sicurezza, il Responsabile del trattamento deve tenere conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza, secondo quanto stabilito dalle normative e dai regolamenti sulla protezione dei dati.
3.3 Il Responsabile del trattamento accetta che il Cliente o i suoi rappresentanti designati, con un preavviso di almeno 15 (quindici) giorni lavorativi, possa ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile al fine di accertarne la conformità con i termini previsti dal presente DPA e dalla normativa in materia di protezione dei dati personali. Nelle ipotesi previste dal presente punto, il Titolare e/o i componenti della propria organizzazione, ovvero i rappresentanti da quest’ultimo designati, si impegnano a mantenere comportamenti leali, collaborativi e trasparenti per tutta la durata delle attività eseguite nei confronti del Responsabile.
3.4 Il Cliente riconosce e accetta che i costi dallo stesso sostenuti per le attività di audit sono a proprio esclusivo carico.
3.5 Il Cliente è informato e accetta che le attività di audit dovranno tenere conto delle regole relative ai criteri di sicurezza e/o riservatezza che possono eventualmente imporre limiti all’estensione dell’audit. In particolare, nessuna disposizione del presente DPA può richiedere al Fornitore di rivelare o consentire l’accesso al Cliente o al suo revisore terzo a:
(i) dati di qualsiasi altro cliente del Fornitore;
(ii) informazioni contabili o finanziarie interne al Fornitore;
(iii) segreti commerciali e know how del Fornitore;
(iv) qualsiasi informazione che, secondo la ragionevole opinione di Hubenture, potrebbe compromettere la sicurezza dei sistemi o dei locali di Hubenture; o far sì che Hubenture violi gli obblighi derivanti dalla Legislazione europea sulla protezione dei dati o i suoi obblighi di sicurezza nei confronti del Cliente o di terzi; oppure
(v) qualsiasi informazione alla quale il Cliente o il suo terzo revisore cerchi di accedere per ragioni diverse dall'adempimento in buona fede degli obblighi del Cliente ai sensi della Legislazione europea e nazionale;
3.6 Lo svolgimento delle attività di verifica e controllo è condizionato alla conclusione di uno specifico accordo di riservatezza tra tutte le parti coinvolte.
4.1 Il Cliente conferisce autorizzazione generale all'impiego di Subresponsabili per l’erogazione dei Servizi del Responsabile. Il Responsabile deve fornire, a richiesta del Cliente, la lista dei propri Sub-Responsabili del trattamento in relazione al trattamento di cui all’esecuzione del Contratto. La sottoscrizione del presente DPA vale quale autorizzazione scritta generale.
4.2 Il Responsabile del trattamento è tenuto ad informare il Cliente in merito alla scelta, aggiunta o sostituzione di qualsiasi ulteriore Responsabile del trattamento. La mancata opposizione del Cliente – entro 10 giorni dalla notifica di un nuovo Subresponsabile - dimostra (anche tacitamente) il consenso all’impiego di ogni Subresponsabile.
4.3 Prima di consentire l'accesso, da parte dell’ulteriore Responsabile ai dati personali, il Responsabile del trattamento dovrà garantire che tale altro Responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi obblighi in materia di protezione dei dati indicati nel presente DPA.
4.4 Il Cliente accetta e autorizza il Fornitore affinché possa trattare (anche tramite Subresponsabili) i Dati Personali del Cliente all’interno e all’esterno dello SEE purché tali Trattamenti siano sorretti da idonei Meccanismi di Trasferimento.
5.1 Il Responsabile del trattamento comunicherà senza indebito ritardo al Cliente le istanze pervenute da parte di un interessato inerenti all’esercizio di un proprio diritto previsto dagli artt. 15-22 del Regolamento UE 2016/679.
5.2 Su richiesta del Cliente, il Responsabile del trattamento fornirà una ragionevole assistenza al Cliente nell’evadere le richieste di cui al precedente punto 5.1. Il Cliente riconosce e accetta che, nel caso in cui tale cooperazione e assistenza richiedano un impiego significativo di risorse da parte del Responsabile e il Cliente sia in grado di acquisire in autonomia tali informazioni, tale sforzo sarà addebitabile, previo preavviso e accordo, al Cliente.
6.1 Il Responsabile del trattamento deve comunicare al Cliente, senza ingiustificato ritardo e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza con certezza, l’incidente riguardante la sicurezza o la violazione delle misure di sicurezza che abbiano condotto a un utilizzo non autorizzato, distruzione, perdita, divulgazione, accidentale o illecita, alterazione, accesso illegittimo dei dati personali oggetto di trattamento ovvero qualsiasi altra violazione di sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati.
6.2 Nella propria comunicazione, il Responsabile del trattamento deve indicare ogni informazione utile per consentire al Cliente di adempiere ai propri obblighi di notifica alla competente Autorità Garante o di informazione degli interessati coinvolti nel Data Breach.
6.3 Nei casi di cui al precedente punto 6.2, il Responsabile assiste il Cliente avviando un’analisi finalizzata alla raccolta delle seguenti informazioni:
7.1 Previa richiesta del Cliente formulata con congruo anticipo, il Responsabile del trattamento si impegna a prestare una ragionevole assistenza al Cliente nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva con l’Autorità di Controllo.
8.1 Se i Servizi del Responsabile includono la possibilità per il Cliente di esportare autonomamente e in formato interoperabile i Dati Personali del Cliente, il Fornitore assicura che tale operazione sia garantita per tutta la Durata, salvo diversi accordi scritti con il Cliente.
8.2 Se i Servizi del Responsabile includono la possibilità per il Cliente di cancellare autonomamente i Dati Personali del Cliente, il Fornitore assicura che tale cancellazione dai propri sistemi sia realizzata non appena ragionevolmente possibile, a meno che la Legislazione europea e nazionale e/o gli accordi con il Titolare non richieda la conservazione.
8.3 Se nel corso della Durata i Servizi del Responsabile non includono la possibilità per il Cliente di estrarre e/o cancellare autonomamente i Dati Personali del Cliente, il Fornitore darà seguito ad ogni richiesta del Cliente per facilitare tale operazione nelle stesse modalità e tempi indicati rispettivamente nelle precedenti Sezioni.
8.4 Il Responsabile potrà mantenere i Dati Personali del Cliente che siano stati conservati con regolari operazioni di backup nel rispetto dei protocolli di disaster recovery e business continuity del Responsabile e/o dei Subresponsabili, purché il Responsabile non tratti, e non consenta ai propri Subresponsabili di trattare, in maniera attiva o intenzionale tali Dati Personali del Cliente per qualsivoglia finalità ulteriore rispetto alla fornitura dei Servizi del Responsabile.
8.5 Fatto salvo quanto previsto nelle Sezioni precedenti, alla scadenza della Durata, il Cliente chiede al Fornitore di cancellare tutti i Dati Personali del Cliente (incluse le copie esistenti) dai sistemi del Fornitore in conformità alla legge Legislazione europea e nazionale applicabile. Il Fornitore darà esecuzione a questa istruzione non appena ragionevolmente possibile, salvo che nei limiti in cui la Legislazione europea e nazionale non richieda la conservazione e salvo quanto previsto dalla Sezione 8.4.
9.1 Il presente DPA avrà efficacia a partire dalla data di sottoscrizione e avrà validità, compresi eventuali rinnovi, fino alla cessazione di ogni effetto del Contratto, per qualsiasi causa intervenuta.
10.1 Premesso che il Provvedimento Generale del Garante italiano per la protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – del 27 novembre 2008” ha introdotto alcuni adempimenti specifici per gli amministratori di sistema in conseguenza delle funzioni per mezzo delle quali alcune operazioni di trattamento comportano particolari e più ampi privilegi per l’accesso ai dati personali, ovvero quando le attività siano esercitate in un contesto che renda tecnicamente possibile l'accesso, anche incidentale, a dati personali, da ciò derivando la necessità di predisporre una maggiore tutela agli accessi ai dati personali.
10.2 Premesso altresì che, l’Amministratore del sistema è stato scelto in quanto fornisce sufficienti ed idonee garanzie di esperienza, capacità ed affidabilità circa l’applicazione delle norme in materia di protezione dei dati personali, anche con specifico riferimento alla sicurezza dei dati personali trattati.
10.3 Il Cliente affida al Responsabile la funzione di Amministratore del sistema, precisando le seguenti istruzioni:
10.4 La funzione di Amministratore del sistema affidata al Responsabile del trattamento decorre dalla data di accettazione del presente DPA e avrà efficacia sino alla cessazione del Contratto.
11.1 Le Parti riconoscono e accettano che qualora l’Interessato (“Danneggiato”) lamenti, contro le Parti, di aver subito un danno – materiale o immateriale – causato da una violazione della Legislazione europea e nazionale:
(a) la Parte a cui risulti direttamente imputabile la responsabilità della violazione, ai sensi dell’Art. 82(2) GDPR, risponderà interamente per il danno materiale o immateriale cagionato all’Interessato dichiarando sin d’ora di manlevare e tenere indenne l’altra Parte, qualora non abbia adempiuto agli obblighi della Legislazione europea e nazionale ad essa specificamente diretti;
(b) qualora il Fornitore e il Cliente siano coinvolti nello stesso Trattamento e siano entrambi responsabili del danno causato al Danneggiato, ai sensi dei commi 2 e 3 dell’art. 82 GDPR, ciascuno dei due sarà responsabile in solido per l’intero ammontare del danno, fermo, per entrambi, il diritto di rivalsa sull’altro per la quota di risarcimento allo stesso spettante in base al danno causato, come definito nell’art. 11.2;
(c) nel caso in cui il danno causato al Danneggiato sia dovuto alla violazione delle disposizioni del presente DPA o della Legislazione europea e nazionale e sia imputabile interamente al Fornitore, il Fornitore è tenuto a risarcire interamente il Cliente, qualora quest’ultimo abbia provveduto, in tutto o in parte, al risarcimento del danno al Danneggiato;
(d) ciascuna Parte dovrà indennizzare o risarcire l’altra Parte qualora e nella misura in cui abbia contribuito a causare il danno lamentato dal Danneggiato o non abbia adottato appropriate misure di mitigazione, o abbia violato disposizioni del presente DPA o della Legislazione europea e nazionale.
11.2 Nel caso indicato alla Sezione 11.1(c), la misura dell’indennizzo o del risarcimento, parametrata alla porzione di responsabilità in merito all’entità del danno cagionato è stabilita congiuntamente dalle Parti mediante accordo negoziato in buona fede.
11.3 In caso di controversie relative all’esecuzione o interpretazione del presente DPA, le Parti assegnano la competenza esclusiva al foro di Bologna, con espressa deroga a quanto eventualmente diversamente stabilito da leggi o convenzioni internazionali.
12.1 Il Cliente garantisce al Responsabile che i dati oggetto del trattamento:
13.1 La sottoscrizione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel Contratto.
13.2 Per quanto non espressamente previsto, si rinvia alle disposizioni vigenti in materia di protezione di dati personali.
14.1 L’indirizzo di contatto del Responsabile della Protezione dei Dati personali del Responsabile è: dpo@hubenture.com
15.1 Il Fornitore può modificare il presente Accordo per il Trattamento dei Dati se la modifica:
(a) è espressamente consentita dall’Accordo per il Trattamento dei Dati;
(b) è obbligatoria per rispettare la legge applicabile, una sentenza o altro provvedimento di un tribunale o gli orientamenti emanati da un’Autorità di Controllo o un'autorità governativa.
c) non comporta un peggioramento della sicurezza complessiva dei Servizi del Responsabile;
d) non amplia l'ambito di applicazione del (o elimina eventuali restrizioni al) diritto di Hubenture di trattare i dati nell’ambito delle Istruzioni del Cliente o il suo trattamento dei Dati Personali del Cliente;
e) non ha altrimenti un impatto negativo sui diritti del Cliente ai sensi del presente Accordo per il Trattamento dei Dati, come ragionevolmente determinato da Hubenture.
15.2 Ad eccezione dell’ipotesi indicata alla Sezione 15.1(b) ove la modifica è immediatamente in vigore tra le parti, se Hubenture intende modificare il presente DPA, Hubenture informerà il Cliente prima che la modifica entri in vigore. In caso di opposizione del Cliente a tali modifiche, entro 15 giorni lavorativi dalla comunicazione, le Parti si impegnano a collaborare in buona fede per individuare soluzioni idonee a consentire la prosecuzione del Contratto e, ove ciò non sia possibile, ciascuna Parte può recedere dal Contratto dandone comunicazione scritta all’altra Parte entro 30 giorni dalla comunicazione della modifica da parte di Hubenture; in mancanza di esercizio della facoltà di recesso entro il suddetto termine, la modifica è vincolante tra le Parti a tutti gli effetti di legge e di contratto.
Cosa significa far parte della Community?
Guarda dal vivo come il nostro software può semplificare il tuo lavoro con il supporto di un esperto.
