ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI
ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI
(MASTER DATA PROCESSING AGREEMENT)
(ex art. 28 del Regolamento UE 2016/679)
Il presente accordo per la protezione di dati personali è concluso tra il Fornitore, come di seguito definito, e il Cliente che accetta il presente accordo.
Per “Fornitore” si intende Laserwall S.r.l., con sede in ▇▇▇▇▇▇, ▇▇▇ ▇▇▇▇▇▇▇▇ ▇▇▇▇▇▇▇, ▇▇
-Milano, P.IVA e C.F. 03707360131, nella persona del suo amministratore delegato Sig. ▇▇▇▇▇▇▇▇▇ ▇▇▇▇▇, nato a Soverato (CZ), il 05/09/1990.
CF DLCSVT90P05I872Q, domiciliato per la carica presso la sede legale della Società, munito dei necessari poteri, di seguito indicato anche come “LDS”
E
il soggetto indicato nel Contratto quale cliente (di seguito il “Cliente”), di seguito, congiuntamente, le “Parti” o disgiuntamente la “Parte”
Premesso che
a) Il Cliente ha sottoscritto uno o più contratti con il Fornitore (di seguito il “Contratto”);
b) Le Parti intendono disciplinare nel presente “accordo principale per il trattamento dei dati personali – Master Data Processing Agreement” (nel seguito “Accordo” o “MDPA”) le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore
nell’ambito del Contratto e della prestazione dei Servizi e le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dal Fornitore quale Responsabile del trattamento dei dati personali ai sensi dell'art. 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (nel seguito “GDPR”);
c) le caratteristiche specifiche del trattamento dei Dati Personali sono descritte, con riferimento a ciascun Servizio, nell’Informativa sul trattamento dei dati personali disponibile sul sito ▇▇▇.▇▇▇▇▇▇▇▇▇.▇▇ (di seguito “Informativa”) che costituisce parte integrante ed essenziale del presente Accordo.
* * *
Tutto quanto sopra premesso, le Parti convengono quanto segue:
1. Definizioni e interpretazione
1.1. Le premesse costituiscono parte integrante del presente Accordo.
1.2. Nell’Accordo i seguenti termini ed espressioni avranno il significato associato ad essi qui di seguito:
(a)“GDPR” è il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);
(b) “Data di Decorrenza dell'Accordo” indica la data in cui il Cliente sottoscrive, accetta ovvero riceve comunicazione del presente Accordo;
(c) “Dato personale” indica qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»), così come definito dall’art. 4, c. 1, n. 1 del GDPR, che è oggetto di trattamento da parte del Fornitore («titolare») in relazione alla fruizione dei Servizi, nella misura in cui siano oggetto di trattamento da parte del Fornitore, sulla base del Contratto;
(d) “Trattamento”, anche ai sensi dell’art. 4, c. 1, n. 2 del GDPR, è qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi
altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(e) «Titolare del trattamento», anche ai sensi dell’art. 4, c. 1, n. 7 del GDPR, è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
(f) «Responsabile del trattamento» è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento, così come definito dall’art. 4, c. 1, n. 8 del GDPR;
(g) “Decisione di Adeguatezza” indica una decisione della Commissione Europea sulla base dell’art. 45, n. 3 del GDPR in merito al fatto che le leggi di un Paese membro garantiscano un adeguato livello di protezione, come previsto dalla Legislazione in materia di Protezione dei Dati Personali;
(h) “▇▇▇▇▇▇ ▇▇▇▇▇▇▇▇▇▇” indica ciascun giorno di calendario, a eccezione del sabato, della domenica e dei giorni nei quali le banche di credito ordinarie non sono di regola aperte sulla piazza di Milano, per l’esercizio della loro attività;
(i) “Email di notifica” si intende l'indirizzo (o gli indirizzi) email fornito/i dal Cliente, all'atto della sottoscrizione del Servizio o fornito tramite altro canale ufficiale al Fornitore, a cui il Cliente intende ricevere le notifiche da parte del Fornitore;
(j) “Istruzioni” indica le istruzioni scritte impartite dal Titolare nel presente Accordo e, eventualmente, nel Contratto;
(k) “Legislazione in materia di Protezione dei Dati Personali” indica il GDPR, e ogni eventuale ulteriore norma e/o regolamento di attuazione europea e nazionale, comunque vigenti in Italia, in materia di protezione dei Dati Personali, nonché ogni provvedimento vincolante che risulti emanato dalle Autorità nazionali di controllo competenti in materia di protezione dei Dati Personali e conservi efficacia vincolante;
(l) “Personale del Fornitore” indica i dirigenti, dipendenti, consulenti, collaboratori e altro personale del Fornitore, con esclusione del personale dei Responsabili Ulteriori del Trattamento;
(m) “Richiesta” indica una richiesta di esercizio dei diritti da parte di un Interessato quali, a titolo esemplificativo, accesso, cancellazione o correzione dei Dati Personali, o una richiesta di esercizio di uno degli altri diritti previsti dal GDPR e dalle norme nazionali di settore;
(n) “Responsabile Ulteriore del Trattamento” indica qualunque subappaltatore cui il Fornitore abbia subappaltato uno qualsiasi degli obblighi assunti contrattualmente e che, nell’adempiere tali obblighi, potrebbe dover raccogliere, accedere, ricevere, conservare o altrimenti trattare Dati Personali;
(o) “Servizio/i” indica il servizio o i servizi oggetto dei Contratti sottoscritti tempo per tempo tra il Cliente e il Fornitore;
(p) “Utente Finale” si intende l'eventuale fruitore finale del Servizio, Titolare del Trattamento;
(q) “Violazione della Sicurezza dei Dati Personali” indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali occorsa su sistemi gestiti dal Fornitore o comunque sui quali il Fornitore abbia un controllo.
1.3. I termini “ivi compreso/a/i/e” e “incluso/a/i/e” saranno interpretati come se fossero seguiti dall'espressione “a titolo
puramente esemplificativo”, così da fornire un elenco non esaustivo di esempi.
1.4. Per le finalità del presente Accordo, i termini “Interessato”, “Trattamento”, “Titolare del trattamento”, “Responsabile
del trattamento”, “Trasferimento” e “Misure tecnico-organizzative adeguate” saranno interpretati in conformità alla
Legislazione in materia di Protezione dei Dati Personali applicabile.
* * *
2.1. Le Parti riconoscono e convengono che il Fornitore agisce quale Responsabile del trattamento in relazione ai Dati
Personali e il Cliente agisce di regola quale Titolare del trattamento dei Dati Personali.
2.2. Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare, il Cliente potrà agire come Responsabile del trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina, da parte del Cliente, del Fornitore quale ulteriore Responsabile del trattamento derivante dalla stipulazione del presente Accordo è stata autorizzata dal relativo Titolare del trattamento e si impegna ad esibire fornire al Fornitore, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.
2.3. Ciascuna delle Parti si impegna a conformarsi, nel trattamento dei Dati Personali, ai rispettivi obblighi derivanti dalla Legislazione in materia di Protezione dei Dati Personali applicabile.
* * *
3. Trattamento dei dati personali
3.1. Con la stipulazione del presente Accordo, il Cliente affida al Fornitore l'incarico di trattare i Dati Personali ai fini della prestazione dei Servizi, così come meglio dettagliato nel Contratto e nelle eventuali “Condizioni speciali” specificamente predisposte in relazione al livello e tipologia di servizio acquistato dal Cliente.
3.2. Il Fornitore si impegna a conformarsi alle Istruzioni, fermo restando che, qualora il Cliente richieda variazioni rispetto alle Istruzioni iniziali, il Fornitore valuterà gli aspetti di fattibilità e concorderà con il Cliente le predette variazioni ed i costi connessi.
3.3. Nei casi di cui all'art. 3.2 e in caso di richieste del Cliente che comportino il trattamento di Dati Personali che siano, ad avviso del Fornitore, in violazione della Legislazione in materia di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi dall'eseguire tali Istruzioni e ne informerà prontamente il Cliente. In tali casi il Cliente potrà valutare eventuali variazioni alle Istruzioni impartite o contattare l'Autorità di controllo per verificare la liceità delle richieste avanzate.
* * *
4. Limitazioni all’utilizzo dei dati personali
4.1. Nell'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi il Fornitore si impegna a eseguire il trattamento dei Dati Personali:
(a) soltanto nella misura, e con le modalità necessarie, per erogare i Servizi o per adempiere opportunamente i propri obblighi previsti dal Contratto e dal presente Accordo ovvero imposti dalla legge o da un organo di vigilanza o controllo competente. In tale ultima circostanza il Fornitore ne informerà il Cliente (salvo il caso in cui ciò sia vietato dalla legge per ragioni di pubblico interesse) mediante comunicazione trasmessa all'Email di notifica;
(b) in conformità alle Istruzioni del Cliente.
4.2. Il Personale del Fornitore che accede, o comunque tratta i Dati Personali, è preposto al trattamento di tali dati sulla base di idonee autorizzazioni e ha ricevuto la necessaria formazione anche in merito al trattamento dei dati personali.
Tale personale è altresì vincolato da obblighi di riservatezza e dal Codice Etico aziendale, e deve attenersi alle policy di riservatezza e di protezione dei dati personali adottate dal Fornitore.
* * *
5. Affidamento a terzi
5.1. In relazione all'affidamento a Responsabili Ulteriori del Trattamento di operazioni di trattamento di Dati Personali le Parti convengono quanto segue:
(a) Il Cliente acconsente espressamente che alcune operazioni di trattamento di Dati Personali siano affidate dal Fornitore ad altre società controllate, consorziate o comunque ed in qualsiasi modo collegate al Fornitore e/o a soggetti terzi individuati nelle eventuali Condizioni Speciali;
(b) Il Cliente acconsente altresì all'affidamento di operazioni di Trattamento dei Dati Personali a ulteriori soggetti terzi secondo le modalità previste al successivo punto (c);
(c) Nei casi in cui il Fornitore ricorra a Responsabili Ulteriori del Trattamento per l'esecuzione di specifiche attività di trattamento dei Dati Personali, il Fornitore:
1. si impegna ad avvalersi di Responsabili Ulteriori del Trattamento che garantiscono misure tecniche e organizzative adeguate e garantisce che l'accesso ai Dati Personali, e il relativo trattamento, sarà effettuato esclusivamente nei limiti di quanto necessario per l'erogazione dei servizi subappaltati;
2. almeno 15 (quindici) giorni prima della data di avvio delle operazioni di trattamento dei Dati Personali da parte del Responsabile Ulteriore del Trattamento informa il Cliente dell'affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell'ubicazione dei server sui quali saranno conservati i dati, se applicabile - e delle attività affidate) mediante invio di Email di notifica o altro mezzo ritenuto idoneo dal Fornitore;
3. Eventuali informazioni aggiuntive sull'elenco dei Responsabili Ulteriori del Trattamento, dei trattamenti loro affidati e della loro ubicazione sono contenuti nelle Condizioni Speciali relativi ai Servizi eventualmente attivati dal Cliente.
* * *
6. Disposizioni in materia di sicurezza del Fornitore
6.1. Nell'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi il Fornitore si impegna ad adottare
misure tecnico-organizzative adeguate al fine di evitare il trattamento illecito o non autorizzato, la distruzione
accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di, o
l’accesso ai, Dati Personali, come descritte nell'Allegato 1 al presente Accordo (“Misure di Sicurezza”).
6.2. L'Allegato 1 all'Accordo contiene misure di protezione degli archivi dati commisurate al livello dei rischi presenti con
riferimento ai Dati Personali per consentire la riservatezza, integrità, disponibilità e la resilienza dei sistemi e dei
Servizi del Fornitore, nonché misure per consentire il tempestivo ripristino degli accessi ai Dati Personali in caso di
Violazione della Sicurezza dei Dati Personali, e misure per testare l'efficacia nel tempo di dette misure. Il Cliente dà
atto ed accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione, nonché della natura, dell’ambito
di applicazione, del contesto e delle finalità di trattamento dei Dati Personali, le procedure e i criteri di sicurezza
implementati dal Fornitore garantiscono un livello di protezione adeguato al rischio per quanto riguarda i suoi Dati
Personali.
6.3. Il Fornitore potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra indicate, fermo restando che tali
aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi. Di
tali aggiornamenti e modifiche sarà fornita notifica al Cliente mediante invio di comunicazione all'Email di notifica.
6.4. Qualora il Cliente richieda di adottare misure di sicurezza aggiuntive rispetto alle Misure di Sicurezza il Fornitore si
riserva il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per tale
implementazione.
6.5. Il Cliente riconosce e accetta che il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni
disponibili al Fornitore stesso secondo quanto specificamente riportato nelle relative Condizioni Particolari, presterà
assistenza al Cliente nel garantire il rispetto degli obblighi di sicurezza di cui agli artt. 32-34 del GDPR nei modi
seguenti:
(a) Implementando e mantenendo aggiornate le Misure di Sicurezza secondo quanto previsto ai precedenti punti 6.2,
6.3, 6.4;
(b) conformandosi agli obblighi di cui all’art. 8.
6.6. Resta inteso che, nei Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente
(installazioni on premises), le Misure di Sicurezza sopra indicate troveranno applicazione esclusivamente in relazione
ai Servizi che prevedono il Trattamento dei Dati Personali da parte del Fornitore o di suoi affidatari (es. supporto e
assistenza da remoto, servizi di migrazione).
6.7. Qualora il prodotto consenta l'integrazione con applicativi di terze parti, il Fornitore non sarà responsabile
dell'applicazione delle Misure di Sicurezza relative alle componenti delle terze parti o delle modalità di funzionamento
del prodotto derivanti dall'integrazione effettuata dalle terze parti.
* * *
7. Misure di sicurezza del Cliente
7.1. ▇▇▇▇▇ restando gli obblighi di cui al precedente articolo 6, in capo al Fornitore, il Cliente riconosce e accetta che, nella
fruizione dei Servizi, rimane responsabilità esclusiva del Cliente l'adozione di adeguate misure di sicurezza in relazione
alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.
7.2. A tal fine il Cliente si impegna ad utilizzare i Servizi e le funzionalità di trattamento dei Dati Personali in modo da
garantire un livello di protezione adeguato al rischio effettivo.
7.3. Il Cliente si impegna altresì ad adottare tutte le misure idonee per proteggere le credenziali di autenticazione, i sistemi
e i dispositivi utilizzati dal Cliente o dai fruitori presso l'Utente Finale per accedere ai Servizi, e per effettuare i
salvataggi e backup dei Dati Personali al fine di garantire il ripristino dei Dati Personali nel rispetto delle norme di
legge.
7.4. Resta escluso qualsiasi obbligo o responsabilità in capo al Fornitore circa la protezione dei Dati Personali che il Cliente,
o l'Utente Finale, se applicabile, conservino o trasferiscano fuori dai sistemi utilizzati dal Fornitore e dai suoi
Responsabili Ulteriori del Trattamento (ad esempio, in archivi cartacei, o presso propri data center, come nel caso di
Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente).
* * *
8. Violazioni di sicurezza
8.1. Fatta eccezione per il caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del
Cliente per i quali non trova applicazione il presente articolo 8, qualora il Fornitore venga a conoscenza di una
Violazione di Sicurezza dei Dati Personali, lo stesso:
(a) informerà senza ingiustificato ritardo il Cliente mediante comunicazione inoltrata all'Email di notifica;
(b) adotterà misure ragionevoli per limitare i possibili danni e la sicurezza dei Dati Personali;
(c) fornirà al Cliente, per quanto possibile, una descrizione della Violazione della Sicurezza dei Dati Personali ivi
incluse le misure adottate per evitare o mitigare i potenziali rischi e le attività raccomandate dal Fornitore al
Cliente per la gestione della Violazione di Sicurezza;
(d) considererà informazioni confidenziali ai sensi di quanto previsto nel Contratto, le informazioni attinenti le eventuali
Violazioni della Sicurezza, i relativi documenti, comunicati e avvisi e non comunicherà a terzi dati informazioni,
fuori dai casi strettamente necessari all'assolvimento degli obblighi del Cliente derivanti dalla Legislazione in
materia di Protezione dei Dati Personali senza il previo consenso scritto del Titolare del Trattamento.
8.2. Nei casi previsti dal precedente comma, è responsabilità esclusiva del Cliente adempiere, nei casi previsti dalla
Legislazione in materia di Trattamento di Dati Personali, agli obblighi di notificazione della Violazione di Sicurezza ai
terzi (all'Utente Finale qualora il Cliente sia un Responsabile del Trattamento) e, se il Cliente è Titolare del
Trattamento, all'Autorità di controllo e agli interessati.
8.3. Resta inteso che la notificazione di una Violazione di Sicurezza o l'adozione di misure volte a gestire una Violazione
di Sicurezza non costituisce riconoscimento di inadempimento o di responsabilità da parte del Fornitore in relazione a
detta Violazione di Sicurezza.
8.4. Il Cliente dovrà comunicare tempestivamente al Fornitore eventuali utilizzi impropri degli account o delle credenziali
di autenticazione oppure eventuali Violazioni di Sicurezza di cui abbia avuto conoscenza riguardanti i Servizi.
* * *
9. Limitazioni al trasferimento dei dati personali al di fuori dello spazio economico europeo (SEE)
9.1. Il Fornitore si impegna a non trasferire i Dati Personali al di fuori dello SEE se non in accordo con il Cliente.
9.2. Se, ai fini della conservazione o del trattamento dei Dati Personali da parte di un Responsabile Ulteriore del trattamento,
è necessario effettuare il trasferimento dei Dati Personali fuori dallo SEE in un paese che non gode di una decisione di
adeguatezza da parte della Commissione Europea ai sensi dell'art. 45 del GDPR, il Fornitore:
(a) farà in modo che il Responsabile Ulteriore del trattamento stipuli le clausole contrattuali tipo previste nella
Decisione della Commissione europea 2010/87/UE, del 5 febbraio 2010, per il trasferimento di dati personali a
incaricati del trattamento stabiliti in paesi terzi (le “Clausole Contrattuali Tipo”), o loro equivalente, se modificate
nel tempo. Copia delle Clausole Contrattuali Tipo sottoscritte dal Fornitore per conto del Cliente saranno rese
disponibili al Cliente
(b) potrà proporre al Cliente altre modalità di trasferimento dei Dati Personali conformi a quanto previsto dalla
Legislazione in materia di Protezione dei Dati Personali (es. Privacy Shield in caso di Responsabili Ulteriori del
trattamento situati negli Stati Uniti e per cui sia verificabile l'aderenza tramite i canali e registri ufficiali, o
trasferimenti infragruppo del Responsabile Ulteriore del Trattamento che sia parte di un gruppo societario che ha
ottenuto l'approvazione delle BCR per i Responsabili del trattamento).
9.3. Nei casi di cui al precedente comma 9.2, lett. (a), con il presente Accordo il Cliente conferisce espressamente mandato
al Fornitore a sottoscrivere le Clausole Contrattuali Tipo con i Responsabili Ulteriori del Trattamento riportati nelle
relative Condizioni Particolari, laddove esistenti. Qualora Titolare del trattamento sia l'Utente Finale, il Cliente si
impegna a informare l'Utente Finale di tale trasferimento e dichiara che l'autorizzazione ad avvalersi del Responsabile
Ulteriore del Trattamento situato fuori dallo SEE equivale al mandato di cui sopra.
* * *
10. Verifiche e controlli
10.1.
Il Fornitore sottopone ad audit periodici la sicurezza dei sistemi e degli ambienti di elaborazione dei Dati
Personali dallo stesso utilizzati per l'erogazione dei Servizi e le sedi in cui avviene tale trattamento. Il Fornitore avrà
la facoltà di incaricare dei professionisti indipendenti selezionati dal Fornitore per lo svolgimento di audit secondo
standard internazionali e/o best practice, i cui esiti saranno riportati in specifici report (“Report”). Tali Report, che
costituiscono informazioni confidenziali del Fornitore, potranno essere resi disponibili al Cliente per consentirgli di
verificare la conformità del Fornitore agli obblighi di sicurezza di cui al presente Accordo. 10.2.
Nei casi previsti dal comma precedente, il Cliente concorda che il proprio diritto di verifica sarà esercitato
attraverso la verifica dei Report messi a disposizione del Fornitore. 10.3.
Il Fornitore riconosce il diritto del Cliente, con le modalità e nei limiti di seguito indicati, ad effettuare audit
indipendenti per verificare la conformità del Fornitore agli obblighi previsti nel presente Accordo e nelle eventuali
Condizioni Speciali, e di quanto previsto dalla normativa. Il Cliente potrà avvalersi per tali attività di proprio personale
specializzato o di revisori esterni, purché tali soggetti siano previamente vincolati da idonei impegni alla riservatezza.
10.4.
Nel caso di cui al precedente comma 10.2 il Cliente dovrà previamente inviare richiesta scritta al Responsabile
del trattamento. Successivamente alla richiesta di audit o ispezione il Fornitore e il Cliente concorderanno, prima
dell'avvio delle attività, i dettagli di tali verifiche (data di inizio e durata), le tipologie di controllo e l'oggetto delle
verifiche, i vincoli di riservatezza a cui devono essere vincolati il Cliente e coloro che effettuano le verifiche e i costi
che il Fornitore potrà addebitare per tali verifiche e che saranno determinati in relazione all’estensione e alla durata
delle attività di verifica.
10.5.
Il Fornitore potrà opporsi per iscritto alla nomina da parte del Cliente di eventuali revisori esterni che siano,
ad insindacabile giudizio del Fornitore, non adeguatamente qualificati o indipendenti, siano concorrenti del Fornitore o
che siano evidentemente inadeguati. In tali circostanze il Cliente sarà tenuto a nominare altri revisori o a condurre le
verifiche in proprio. 10.6.
Il Cliente si impegna a corrispondere al Fornitore gli eventuali costi calcolati dal Fornitore e comunicati al
Cliente nella fase di cui al precedente punto 8.4, con le modalità e nei tempi ivi concordati.
Restano a carico esclusivo
del Cliente i costi delle attività di verifica dallo stesso commissionate a terzi.
10.7.
Resta fermo quanto previsto in relazione ai diritti di ispezione del Titolare del trattamento e delle autorità
nelle Clausole Contrattuali Tipo eventualmente sottoscritte ai sensi del precedente punto 7, che non potranno
considerarsi modificate da alcuna delle previsioni contenute nel presente Accordo o nelle eventuali Condizioni Speciali.
10.8.
Il presente comma non è applicabile ai Contratti aventi ad oggetto prodotti installati presso il Cliente o presso
fornitori del Cliente. 10.9.
Le attività di verifica che interessino eventuali Responsabili Ulteriori dovranno essere svolte nel rispetto delle
regole di accesso e delle politiche di sicurezza dei Responsabili Ulteriori.
* * *
11. Assistenza a fini di conformità
11.1.
Il Fornitore presterà assistenza al Cliente e coopererà nei modi di seguito indicati al fine di consentire al
Cliente il rispetto degli obblighi previsti dalla Legislazione in materia di Protezione dei Dati Personali.
11.2. Qualora il Fornitore riceva Richieste o reclami da un Interessato in relazione ai Dati Personali, il Fornitore raccomanderà
all'Interessato di rivolgersi al Cliente o all'Utente Finale, nel caso in cui quest'ultimo sia il Titolare del Trattamento.
In tali casi il Fornitore informerà tempestivamente il Cliente del ricevimento della Richiesta mediante invio di Email di
notifica e fornirà al Cliente le informazioni ad esso disponibili unitamente a copia della Richiesta o del reclamo. Resta
inteso che tale attività di cooperazione sarà svolta in via eccezionale, in quanto la gestione dei rapporti con gli
Interessati resta esclusa dai Servizi ed è responsabilità del Cliente gestire eventuali reclami in via diretta e garantire
che il punto di contatto per l'esercizio dei diritti da parte degli Interessati sia il Cliente stesso, o l'Utente Finale se
Titolare del Trattamento. Sarà responsabilità del Cliente, o dell'Utente Finale qualora questi sia Titolare del
Trattamento, provvedere a dar seguito a tali Richieste o reclami. 11.3.
Il Fornitore provvederà a informare tempestivamente il Cliente, salvo il caso in cui ciò sia vietato dalla legge,
con avviso all'Email di notifica di eventuali ispezioni o richieste di informazioni presentate da autorità di controllo e
forze di polizia rispetto a profili che riguardano il trattamento dei Dati Personali. 11.4.
Qualora, ai fini dell'evasione delle Richieste di cui ai precedenti punti, il Cliente abbia necessità di ricevere
informazioni dal Fornitore circa il trattamento dei Dati Personali, il Fornitore presterà la necessaria assistenza nei
limiti di quanto ragionevolmente possibile, a condizione che tali richieste siano presentate con congruo preavviso.
11.5.
Il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni ad esso disponibili, fornirà
ragionevole assistenza al Cliente nel rendere disponibili informazioni utili per consentire al Cliente l'effettuazione di
valutazioni di impatto sulla protezione dei Dati Personali nei casi previsti dalla legge. In tal caso il Fornitore renderà
disponibili informazioni di carattere generale in base al Servizio, quali le informazioni contenute nel Contratto, nel
presente Accordo e nelle eventuali Condizioni Particolari relativi ai Servizi interessati. 11.6.
Eventuali richieste di assistenza personalizzate potranno essere soggette al pagamento di un corrispettivo da
parte del Cliente. Resta inteso che è responsabilità e onere esclusivo del Cliente, o dell'Utente Finale se Titolare del
trattamento, procedere alla valutazione di impatto in base alle caratteristiche del trattamento dei Dati Personali dallo
stesso posto in essere nel contesto dei Sevizi.
11.7. Il Fornitore si impegna a rendere Servizi improntati ai principi di minimizzazione del trattamento (privacy by design &
by default), fermo restando che è responsabilità esclusiva del Cliente, o dell'Utente Finale, se Titolare del Trattamento,
assicurare che il trattamento sia condotto poi concretamente nel rispetto di detti principi e verificare che le misure
tecniche e organizzative di un Servizio soddisfano i requisiti di conformità della Società, ivi inclusi i requisiti previsti
dalla Legislazione in materia di protezione dei dati personali. 11.8.
Il Cliente prende atto che, in caso di Richieste di portabilità dei Dati Personali avanzate dai rispettivi
Interessati, e solo in relazione ai Servizi che generano Dati Personali rilevanti a tal fine, il Fornitore presterà assistenza
al Cliente mettendo a disposizione le informazioni necessarie per estrarre i dati richiesti in formato conforme a quanto
previsto dalla Legislazione in materia di Protezione dei Dati Personali. 11.9.
I precedenti punti 11.6 e 9.8 non sono applicabili in caso di Contratti aventi ad oggetto prodotti installati
presso il Cliente o presso fornitori del Cliente.
* * *
12. Obblighi del cliente e limitazioni
12.1. Il Cliente si impegna a impartire Istruzioni conformi alla normativa e a utilizzare i Servizi in modo conforme alla
Legislazione in materia di Protezione dei Dati Personali e solo per trattare Dati Personali che siano stati raccolti in
conformità alla Legislazione in materia di Protezione dei Dati Personali.
12.2. L'eventuale trattamento di Dati Personali di cui agli artt. 9 (Trattamento di categorie particolari di dati personali) e
10 (Trattamento dei dati personali relativi a condanne penali e reati) del GDPR sarà consentito solo ove espressamente
previsto nelle Condizioni Particolari eventualmente sottoscritte; fuori da tali casi, l'eventuale trattamento di tali Dati
Personali sarà consentito solo previo accordo scritto tra le Parti ai sensi di quanto previsto al punto 3.2.
12.3. Il Cliente si impegna ad assolvere a tutti gli obblighi posti in capo al Titolare del Trattamento (e, nei casi in cui tali
obblighi sono in capo all'Utente Finale, garantisce che analoghi obblighi sono imposti a carico dell'Utente Finale) dalla
Legislazione in materia di Protezione dei Dati Personali, ivi inclusi gli obblighi di informativa nei confronti degli
Interessati. Il Cliente si impegna inoltre a garantire che il trattamento dei Dati Personali effettuato mediante l'utilizzo
dei Servizi avvenga solo in presenza di idonea base giuridica. 12.4.
Qualora il rilascio dell'informativa e l'ottenimento del consenso debbano avvenire per il tramite del prodotto
oggetto del Contratto, il Cliente dichiara di aver valutato il prodotto e che esso risponde alle esigenze del Cliente.
Resta altresì a carico del Cliente valutare se l'eventuale modulistica resa disponibile dal Fornitore per agevolare
l'assolvimento degli obblighi di informativa e consenso (es. modello di privacy policy per App o informative presenti
negli applicativi), quando disponibile, sia conforme alla Legislazione in materia di Protezione dei Dati Personali e
adattare la stessa ove ritenuto opportuno. 12.5.
È onere esclusivo del Cliente provvedere alla gestione dei Dati Personali in conformità alle Richieste avanzate
dagli Interessati, e pertanto provvedere ad esempio agli eventuali aggiornamenti, integrazioni, rettifiche e cancellazioni
dei Dati Personali. 12.6.
È onere del Cliente mantenere l'account collegato all'Email di notifica, attivo ed aggiornato.
12.7. Il Cliente prende atto che, ai sensi dell'art. 30 del GDPR, il Fornitore è tenuto a mantenere un registro delle attività
di trattamento eseguite per conto dei Titolari (o Responsabili) del Trattamento e a raccogliere a tal fine i dati
identificativi e di contatto di ciascun Titolare (e/o Responsabile) del Trattamento per conto del quale il Fornitore
agisce e che tali informazioni devono essere rese disponibili all'autorità competente, su richiesta. Pertanto, quando
richiesto, il Cliente si impegna a dare al Fornitore i dati identificativi e di contatto sopra indicati con le modalità
individuate dal Fornitore nel tempo e a mantenere aggiornate tali informazioni tramite i medesimi canali.
12.8.
Il Cliente dichiara pertanto che le attività di trattamento dei Dati Personali, come descritte nei Contratti, nel
presente Accordo e nelle eventuali Condizioni Particolari, sono lecite.
* * *
13. Durata
13.1.
Il presente Accordo avrà efficacia a decorrere dalla Data di Decorrenza dell'Accordo e cesserà
automaticamente, alla data di cancellazione di tutti i Dati Personali da parte del Fornitore, come previsto nel presente
Accordo e, se previsto, nelle Condizioni Particolari.
* * *
14. Disposizioni per la restituzione o la cancellazione dei dati personali
14.1.
Alla cessazione del Servizio, per qualunque causa intervenuta, il Fornitore
(a) cesserà ogni trattamento dei Dati Personali;
(b) provvederà alla cancellazione dei Dati Personali (ivi incluse eventuali copie) dai sistemi del Fornitore o da quelli
su cui lo stesso abbia controllo entro il termine previsto nel Contratto, tranne il caso in cui la conservazione dei
dati da parte del Fornitore sia necessaria al fine di assolvere ad una disposizione di legge italiana o europea;
(c) distruggerà eventuali Dati Personali conservati in formato cartaceo in suo possesso, tranne il caso in cui la
conservazione dei dati da parte del Fornitore sia necessaria ai fini del rispetto di norme di legge italiane o europee;
(d) manterrà a disposizione del Cliente i Dati Personali per l'estrazione per il periodo di 12 (dodici) mesi successivi
alla cessazione del Contratto. Durante tale periodo, il trattamento sarà limitato alla sola conservazione finalizzata
a mantenere i Dati Personali a disposizione del Cliente per l’estrazione di cui al successivo 14.2.
14.2.
Fermo restando quanto altrimenti previsto nel presente Accordo, il Cliente riconosce di poter estrarre i Dati
Personali, alla cessazione del Servizio, nei modi convenuti nel Contratto e conviene che è sua responsabilità provvedere
all'estrazione totale o parziale dei soli Dati Personali che ritenga utile conservare e che tale estrazione dovrà essere
effettuata prima della scadenza del termine di cui al precedente comma 1, lett. (d). 14.3.
Resta inteso che quanto previsto commi precedenti non si applica ai Contratti aventi ad oggetto prodotti
installati presso il Cliente o presso fornitori del Cliente. In tali casi, è responsabilità del Cliente estrarre, entro e non
oltre 30 (trenta) giorni dal termine della Durata del Contratto, i Dati Personali che ritenga utile conservare; il Cliente
riconosce che successivamente al predetto termine i Dati Personali potrebbero non essere più accessibili. Nei casi di
cui al presente punto 14.3 resta altresì responsabilità del Cliente provvedere alla cancellazione dei Dati Personali nel
rispetto delle norme di legge. 14.4.
Restano ferme eventuali ulteriori o diverse disposizioni circa la cancellazione dei Dati Personali previste nelle
eventuali Condizioni Speciali.
* * *
15. Responsabilità
15.1.
Ciascuna Parte è responsabile per l'adempimento dei propri obblighi previsti dal presente Accordo e dalle
eventuali Condizioni Particolari e dalla Legislazione in materia di protezione dei Dati Personali.
15.2.
Fatti salvi i limiti inderogabili di legge, il Fornitore sarà tenuto a risarcire il Cliente in caso di violazione del
presente Accordo e/o delle Condizioni Particolari entro i limiti massimi convenuti nel Contratto.
* * *
16. Disposizioni varie
16.1.
Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo
oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente al Fornitore precedentemente alla data del
presente Accordo in merito ai Dati Personali trattati nell’ambito dell’esecuzione del Contratto. 16.2.
Il presente Accordo potrà essere modificato dal Fornitore dandone comunicazione scritta (anche via e-mail o
con l’ausilio di programmi informatici) al Cliente. In tal caso, il Cliente avrà il diritto di recedere dal Contratto con
comunicazione scritta inviata al Fornitore a mezzo raccomandata con ricevuta di ricevimento nel termine di 15 giorni
dal ricevimento della comunicazione del Fornitore. In mancanza di esercizio del diritto di recesso da parte del Cliente,
nei termini e nei modi sopra indicati, le modifiche al presente Accordo si intenderanno da questi definitivamente
conosciute e accettate e diverranno definitivamente efficaci e vincolanti. 16.3.
In caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto per la prestazione
dei Servizi, o in documenti del Cliente non espressamente accettati dal Fornitore in deroga al presente Accordo e/ alle
Condizioni Speciali, prevarrà quanto previsto nel presente Accordo e nelle clausole delle relative Condizioni Speciali.
Allegato1 - Misure tecnico-organizzative
In aggiunta alle misure di sicurezza previste nel Contratto e nel MDPA il Responsabile del Trattamento applica le seguenti misure
di sicurezza organizzative a seconda della tipologia di Servizio con cui viene erogato o licenziato il prodotto.
* * * 1.
LaserWall
1.1. Misure di sicurezza organizzative
(a) Policy e Disciplinari utenti – Il Fornitore applica dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso
ai sistemi informativi ha l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad
assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse
informatiche.
(b) Autorizzazione accessi – Il Fornitore definisce i profili di accesso nel rispetto del least privilege necessari
all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente
all'inizio del trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di
trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni
per la conservazione dei profili attribuiti. I livelli di accesso attualmente previsti sono: Amministratore di sistema,
Amministratore di condominio, Fornitore, Condomino.
(c) Gestione interventi di assistenza – Gli interventi di assistenza sono regolamentati allo scopo di garantire
l’esecuzione delle sole attività previste contrattualmente e impedire il trattamento eccessivo di dati personali la
cui titolarità è in capo al Cliente o all’Utente Finale.
(d) Valutazione d'impatto sulla protezione dei dati (DPIA) – In conformità agli artt. 35 e 36 del GDPR e sulla base
del documento WP248 – Linee guida sulla valutazione d’impatto nella protezione dei dati adottate dal Gruppo di
lavoro ex art. 29, il Fornitore ha predisposto una propria metodologia per l’analisi e la valutazione dei trattamenti
che, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, presentino un rischio elevato per i
diritti e le libertà delle persone fisiche allo scopo di procedere con la valutazione dell’impatto sulla protezione dei
dati personali prima di iniziare il trattamento.
(e) Incident Management – Il Fornitore ha realizzato una specifica procedura di Incident Management allo scopo di
garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento
dei livelli migliori di servizio.
(f) Data Breach – Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli
incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione
(presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente /
violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al
Cliente.
(g) Formazione: Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento, corsi di
formazione sulla corretta gestione dei dati personali.
(h) Altri incarichi esterni: Il Fornitore nomina espressamente, ai sensi dell’articolo 4, n. 10 GDPR, l’Amministratore
p.t. quale soggetto esterno incaricato di ricevere la richiesta individuale di rilascio credenziali e di verificare che
il richiedente possieda la qualità di condomino ovvero di residenze, indispensabile per il rilascio. Il dettaglio delle
responsabilità attribuite e delle procedure è contenuto nell’apposito allegato tecnico.
* * *
1.2. Misure di sicurezza tecniche
(a) Firewall, IDPS - I dati personali sono protetti contro il rischio d'intrusione di cui all'art. 615-quinquies del codice
penale mediante sistemi di Intrusion Detection & Prevention mantenuti aggiornati in relazione alle migliori
tecnologie disponibili.
(b) Sicurezza delle linee di comunicazione- Per quanto di propria competenza, sono adottati dal Fornitore protocolli di
comunicazione sicuri e in linea con quanto la tecnologia rende disponibile.
(c) Protection from malware– I sistemi sono protetti contro il rischio di intrusione e dell'azione di programmi mediante
l'attivazione di idonei strumenti elettronici aggiornati con cadenza periodica.
(d) Credenziali di autenticazione – I sistemi sono configurati con modalità idonee a consentirne l’accesso unicamente
a soggetti dotati di credenziali di autenticazione che ne consentono la loro univoca identificazione. Fra questi,
codice associato a una parola chiave, riservata e conosciuta unicamente dallo stesso; dispositivo di autenticazione
in possesso e uso esclusivo dello utente, eventualmente associato a un codice identificativo o a una parola chiave.
(e) Parola chiave – Relativamente alle caratteristiche di base ovvero, obbligo di modifica al primo accesso, lunghezza
minima, assenza di elementi riconducibili agevolmente al soggetto, regole di complessità, scadenza, history,
valutazione contestuale della robustezza, visualizzazione e archiviazione, la parola chiave è gestita conformemente
alle best practice. Ai soggetti ai quali sono attribuite le credenziali sono fornite puntuali istruzioni in relazione
alle modalità da adottare per assicurarne la segretezza.
(f) Logging – I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità.
(g) Backup & Restore – Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di
danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati.
Al fine di assicurare il migliore servizio possibile, il Fornitore ha posto in uso un piano di continuità operativa
integrato con il piano di disaster recovery; essi garantiscono la disponibilità e l’accesso ai sistemi anche nel caso
di eventi negativi di portata rilevante che dovessero perdurare nel tempo.
(h) Vulnerability Assessment & Penetration Test – Il Fornitore effettua periodicamente attività di analisi delle
vulnerabilità finalizzate a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti
infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo.
Ove ritenuto
appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite
tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con
l’obiettivo di verificare il livello di sicurezza di applicazioni/sistemi/reti attraverso attività che mirano a sfruttare
le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica/logica ed avere accesso agli stessi. I risultati
delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere i punti di
miglioramento necessari a garantire l’elevato livello di sicurezza richiesto.
(i) Amministratori di Sistema – Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il
cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di
nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla
conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli
Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure
organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti.
(j) Data Center – L’accesso fisico al Data Center è limitato ai soli soggetti autorizzati. Per il dettaglio delle misure di sicurezza adottate con riferimento ai servizi di data center erogati dai Responsabili Ulteriori del Trattamento, così come individuati nei DPA Condizioni Speciali, si fa rinvio alle misure di sicurezza indicati descritte dai medesimi
Responsabili Ulteriori e rese disponibili nei relativi siti istituzionali ai seguenti indirizzi (o a quelli che saranno successivamente resi disponibili dai Responsabili Ulteriori).
DPA - CONDIZIONI SPECIALI
Ecosistema “Laserwall”
Le presenti condizioni speciali costituiscono parte integrante e sostanziale del Master Data Processing Agreement Laserwall
(MDPA) vigente tra il Cliente, come identificato nel Contratto di erogazione servizi di comunicazione con formula di comodato
d’uso e il Fornitore come ivi identificato, in relazione al Trattamento dei Dati Personali del Cliente effettuato dal Fornitore ai fini
della prestazione dei servizi previsti dalle Condizioni Generali di licenza del prodotto in oggetto.
* * *
Le “Condizioni Speciali” riguardano:
● Bacheca Digitale
● La Spesa Online
● Assemblea Online