ACCORDO EX ART. 28 GDPR (DPA)
Ultimo aggiornamento: 17 novembre 2020
Il presente accordo per la protezione dei dati personali (data protection agreement, DPA) riflette l’accordo delle Parti in merito al trattamento dei dati personali da parte di GestionaleAuto.com S.r.l., con sede legale in Viale Asiago, 113/Interno 6 – 36061 Bassano del Grappa (Vicenza), P.IVA: 03773570241, pec: gestionaleauto@legalmail.it, per conto del Cliente, nell’ambito dell’esecuzione del Contratto. Di seguito, GestionaleAuto.com S.r.l. ed il Cliente, congiuntamente, le “Parti” e disgiuntamente la “Parte“.
PREMESSO CHE
- il Cliente ha concluso, in modalità cartacea ovvero in modalità elettronica, un contratto con GestionaleAuto.com S.r.l. (di seguito “Fornitore”), avente ad oggetto la fornitura di servizi ovvero ha richiesto al Fornitore la fruizione dei predetti servizi in modalità “prova gratuita” (di seguito, il contratto e/o la prova gratuita, per brevità, solo il “Contratto“);
- con il presente “Accordo ex art. 28 GDPR (DPA)” (di seguito “Accordo“), le Parti intendono disciplinare il trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto e le responsabilità connesse al suddetto trattamento, ivi incluso l’impegno assunto dal Fornitore quale Responsabile (ovvero, se pertinente, quale Sub-Responsabile) del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (nel seguito “GDPR”), anche con funzione di Amministratore di Sistema, per quanto di competenza;
- al momento della conclusione del Contratto il Cliente ha dichiarato di avere letto e di avere accettato, in ogni sua parte, il presente Accordo;
Tutto quanto sopra premesso le Parti convengono quanto segue:
1. DEFINIZIONI E INTERPRETAZIONE
1.1 Le premesse e gli allegati costituiscono parte integrante del presente Accordo.
1.2 Il presente Accordo ed i suoi allegati costituiscono parte integrante e sostanziale del Contratto.
1.3 Nell’Accordo i seguenti termini ed espressioni avranno il significato associato ad essi qui di seguito:
“Dati Personali” ha il significato di cui alla Legislazione in materia di Protezione dei Dati Personali e includerà, a titolo puramente esemplificativo, tutti i dati forniti, archiviati, inviati, ricevuti o altrimenti elaborati e trattati dal Cliente o dall’Utente Finale (come di seguito definito) nell’esecuzione del Contratto, nella misura in cui siano oggetto di trattamento da parte del Fornitore, sulla base del Contratto e del presente Accordo;
“Decisione di Adeguatezza” indica una decisione della Commissione Europea sulla base dell’Articolo 45(3) del GDPR in merito al fatto che le leggi di un certo paese garantiscano un adeguato livello di protezione, come previsto dalla Legislazione in materia di Protezione dei Dati Personali;
“Indirizzo di notifica” si intende l’indirizzo di posta elettronica certificata (PEC) fornito dal Cliente all’atto della conclusione del Contratto o fornito tramite altro canale ufficiale al Fornitore a cui il Cliente intende ricevere le notifiche di cui al presente Accordo da parte del Fornitore; in assenza di indirizzo PEC, per Indirizzo di notifica si intende l’indirizzo della sede legale del Cliente;
“Istruzioni” indica le istruzioni scritte impartite dal Titolare nel presente Accordo e, eventualmente, nel Contratto;
“Legislazione in materia di Protezione dei Dati Personali” indica il GDPR, e ogni eventuale ulteriore norma e/o regolamento di attuazione emanati ai sensi del GDPR o comunque vigenti in Italia in materia di protezione dei Dati Personali, nonchè ogni provvedimento vincolante che risulti emanato dalle autorità di controllo competenti in materia di protezione dei Dati Personali (es. Garante per la protezione dei dati personali) e conservi efficacia vincolante;
“Personale del Fornitore” indica i dirigenti, dipendenti, collaboratori, consulenti, e altro personale del Fornitore, con esclusione del personale dei Sub-Responsabili del Trattamento;
“Richiesta” indica una richiesta di accesso di un Interessato, una richiesta di cancellazione o correzione dei Dati Personali, o una richiesta di esercizio di uno degli altri diritti previsti dal GDPR;
“Sub-Responsabile del Trattamento” indica qualunque subappaltatore cui il Fornitore abbia subappaltato uno qualsiasi degli obblighi assunti contrattualmente e che, nell’adempiere tali obblighi, potrebbe dover raccogliere, accedere, ricevere, conservare o altrimenti trattare Dati Personali;
“Servizio/i” indica il servizio o i servizi oggetto del/dei Contratto/i sottoscritto/i tempo per tempo tra il Cliente e il Fornitore;
“Violazione della Sicurezza dei Dati Personali” indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali occorsa su sistemi gestiti dal Fornitore o comunque sui quali il Fornitore abbia un controllo.
1.4 I termini “ivi compreso/a/i/e” e “incluso/a/i/e” saranno interpretati come se fossero seguiti dall’espressione “a titolo puramente esemplificativo”, così da fornire un elenco non esaustivo di esempi.
1.5 Per le finalità del presente Accordo, i termini “Interessato”, “Trattamento”, “Titolare del trattamento”, “Responsabile del trattamento”, “Trasferimento” e “Misure tecnico-organizzative adeguate” saranno interpretati in conformità alla Legislazione in materia di Protezione dei Dati Personali applicabile.
2. RUOLO DELLE PARTI
2.1 Le Parti riconoscono e convengono che il Fornitore agisce quale Responsabile del trattamento in relazione ai Dati Personali e il Cliente agisce di regola quale Titolare del trattamento dei Dati Personali.
2.2 Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare (di seguito anche “Utente Finale”), il Cliente agirà come Responsabile del trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite al Fornitore e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina, da parte del Cliente, del Fornitore quale (Sub) Responsabile del trattamento derivante dalla stipulazione del presente Accordo è stata autorizzata dal relativo Titolare del trattamento e si impegna ad esibire al Fornitore, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.
2.3 Ciascuna delle Parti si impegna a conformarsi, nel trattamento dei Dati Personali, ai rispettivi obblighi derivanti dalla Legislazione in materia di Protezione dei Dati Personali applicabile.
3. TRATTAMENTO DEI DATI PERSONALI
3.1 Con la sottoscrizione del presente Accordo, il Cliente affida al Fornitore l’incarico di trattare i Dati Personali ai fini dell’esecuzione del Contratto. I Dati Personali (salvo quanto previsto dall’art. 10.2) oggetto del presente Accordo sono unicamente Dati Personali non appartenenti a categorie particolari (es. dati anagrafici quali nome e cognome; dati di contatto quali indirizzo, e-mail, telefono ecc.; qualsiasi ulteriore dato personale fornito, trasmesso, o comunicato dal Cliente o dall’Utente finale o direttamente dall’Interessato ecc.) con riferimento alle seguenti categorie di Interessati, da considerarsi meramente esemplificative: clienti, potenziali clienti, dipendenti/collaboratori del Cliente, visitatori dei siti, ecc.
3.2. Il Fornitore si impegna a conformarsi alle Istruzioni, fermo restando che, qualora il Cliente richieda variazioni rispetto alle Istruzioni iniziali, il Fornitore valuterà gli aspetti di fattibilità e concorderà con il Cliente le predette variazioni ed i costi connessi.
3.3. Nei casi di cui all’art. 3.2 e in caso di richieste del Cliente che comportino il trattamento di Dati Personali che siano, ad avviso del Fornitore, in violazione della Legislazione in materia di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi dall’eseguire tali Istruzioni e ne informerà prontamente il Cliente. In tali casi il Cliente potrà valutare eventuali variazioni alle Istruzioni impartite.
4. LIMITAZIONI ALL’UTILIZZO DEI DATI PERSONALI
4.1 Nell’eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi, il Fornitore si impegna a trattare i Dati Personali:
4.1.1. soltanto nella misura e con le modalità necessarie per erogare i Servizi o per adempiere opportunamente i propri obblighi, previsti dal Contratto e dal presente Accordo ovvero imposti dalla legge o dall’Autorità competente. In tale ultima circostanza il Fornitore informerà il Cliente (salvo il caso in cui ciò sia vietato dalla legge) mediante comunicazione (PEC o Racc. A/R) all’Indirizzo di notifica;
4.1.2. in conformità alle Istruzioni del Cliente.
4.2 Il Personale del Fornitore che tratta i Dati Personali è autorizzato al trattamento di tali dati sulla base di idonee autorizzazioni e ha ricevuto la necessaria formazione anche in merito al trattamento dei dati personali. Tale personale è altresì vincolato da obblighi di riservatezza e si attiene alle policy di riservatezza e di protezione dei dati personali adottate dal Fornitore.
5. AFFIDAMENTO A TERZI (SUB-RESPONSABILI)
5.1 Il Cliente prende atto e accetta che, nello svolgimento del Contratto, il Fornitore possa avvalersi di soggetti terzi, i quali – se pertinente – saranno nominati da quest’ultimo Sub Responsabili, ex art. 28 GDPR. Il Cliente prende atto che l’elenco dei Sub Responsabili nominati dal Fornitore, aggiornato alla data di sottoscrizione del presente Accordo, è disponibile presso il Fornitore e può essere richiesto in qualsiasi momento dal Cliente.
5.2 In relazione all’eventuale affidamento di operazioni di trattamento di Dati Personali, nel corso del Contratto, a soggetti terzi ulteriori rispetto a quelli di cui al punto 5.1., le Parti convengono quanto segue:
5.2.1. il Cliente autorizza sin d’ora espressamente il Fornitore ad affidare specifiche operazioni di trattamento di Dati Personali a soggetti terzi ulteriori rispetto a quelli di cui al punto 5.1., secondo le modalità previste al successivo punto 5.3.
5.3 Nei casi di cui al punto 5.2.1, il Fornitore:
a) si impegna ad avvalersi di Sub-Responsabili che garantiscono misure tecniche e organizzative adeguate e garantisce che l’accesso ai Dati Personali, e il relativo trattamento, sarà effettuato esclusivamente nei limiti di quanto necessario per l’erogazione dei servizi subappaltati;
b) si impegna ad informare il Cliente dell’affidamento al terzo (nonchè dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell’ubicazione dei server sui quali saranno conservati i dati, se applicabile – e delle attività affidate) mediante invio di comunicazione all’Indirizzo di notifica o altro mezzo ritenuto idoneo dal Fornitore. Il Cliente avrà diritto di opporsi all’indicazione di uno specifico Sub-responsabile mediante apposita missiva da inviarsi a mezzo pec entro 15 giorni dalla comunicazione ricevuta dal Fornitore. Resta inteso che decorso il predetto termine senza opposizione da parte del Cliente, i nominativi si intenderanno approvati da quest’ultimo.
6. DISPOSIZIONI IN MATERIA DI SICUREZZA
6.1 MISURE DI SICUREZZA DEL FORNITORE – Nell’eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi il Fornitore si impegna ad adottare misure tecnico-organizzative adeguate per evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l’alterazione e la divulgazione non autorizzata di, o l’accesso ai, Dati Personali, come descritte nell’Appendice 1 al presente Accordo.
6.1.1 L’Appendice 1 all’Accordo contiene misure di protezione degli archivi commisurate al livello dei rischi presenti con riferimento ai Dati Personali per consentire la riservatezza, integrità, disponibilità e la resilienza dei sistemi del Fornitore, nonchè misure per consentire il tempestivo ripristino degli accessi ai Dati Personali in caso di Violazione della Sicurezza, e misure per testare l’efficacia nel tempo di dette misure. Il Cliente dà atto ed accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione, nonchè della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento dei Dati Personali, le procedure e i criteri di sicurezza implementati dal Fornitore garantiscono un livello di protezione adeguato al rischio per quanto riguarda i Dati Personali.
6.1.2. Il Fornitore potrà aggiornare e modificare nel tempo le misure di sicurezza sopra indicate, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi. Di tali aggiornamenti e modifiche sarà fornita notifica al Cliente mediante invio di comunicazione all’Indirizzo di notifica.
6.1.3. Qualora il Cliente richieda di adottare misure di sicurezza aggiuntive rispetto alle misure di sicurezza, il Fornitore si riserva il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per tale implementazione.
6.1.4. Il Cliente riconosce e accetta che il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni disponibili al Fornitore, quest’ultimo presterà assistenza al Cliente nel garantire il rispetto degli obblighi di sicurezza di cui agli artt. 32-34 del GDPR nei modi seguenti: a) implementando e mantenendo aggiornate le misure di sicurezza secondo quanto previsto ai precedenti punti 6.1.1, 6.1.2, 6.1.3; b) conformandosi agli obblighi di cui al punto 6.3.
6.1.5. Qualora il Servizio consenta l’integrazione con applicativi di terze parti, il Fornitore non sarà responsabile dell’applicazione delle Misure di Sicurezza relative alle componenti delle terze parti o delle modalità di funzionamento del prodotto derivanti dall’integrazione effettuata dalle terze parti.
6.2 MISURE DI SICUREZZA DEL CLIENTE – Fermi restando gli obblighi di cui al precedente punto 6.1 in capo al Fornitore, il Cliente riconosce e accetta che, nella fruizione dei Servizi, rimane responsabilità esclusiva del Cliente l’adozione di adeguate misure di sicurezza in relazione alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.
6.2.1. A tal fine il Cliente si impegna ad utilizzare i Servizi e le funzionalità di trattamento dei Dati Personali in modo da garantire un livello di protezione adeguato al rischio effettivo.
6.2.2. Il Cliente si impegna altresì ad adottare tutte le misure idonee per proteggere le credenziali di autenticazione, i sistemi e i dispositivi utilizzati dal Cliente o dall’Utente Finale per accedere ai Servizi, e per effettuare i salvataggi e backup dei Dati Personali al fine di garantire il ripristino dei Dati Personali nel rispetto delle norme di legge.
6.2.3. Resta escluso qualsiasi obbligo o responsabilità in capo al Fornitore circa la protezione dei Dati Personali che il Cliente conservi o trasferisca fuori dai sistemi utilizzati dal Fornitore e dai suoi Responsabili del Trattamento (ad esempio, in archivi cartacei, o presso propri data center).
6.3 VIOLAZIONI DI SICUREZZA – Qualora il Fornitore venga a conoscenza di una Violazione di Sicurezza dei Dati Personali, lo stesso:
6.3.1. informerà il prima possibile il Cliente mediante comunicazione inoltrata all’Indirizzo di notifica;
6.3.2. adotterà misure ragionevoli per limitare i possibili danni e la sicurezza dei Dati Personali;
6.3.3. fornirà al Cliente, per quanto possibile, una descrizione della Violazione della Sicurezza dei Dati Personali ivi incluse le misure adottate per evitare o mitigare i potenziali rischi e le attività raccomandate dal Fornitore al Cliente per la gestione della Violazione di Sicurezza;
6.4 Nei casi di cui al precedente punto 6.3, è responsabilità esclusiva del Cliente adempiere, nei casi previsti dalla Legislazione in materia di Trattamento di Dati Personali, agli eventuali obblighi di notificazione all’Autorità e di comunicazione agli Interessati della Violazione di Sicurezza.
6.5 Resta inteso che la notificazione di una Violazione di Sicurezza o l’adozione di misure volte a gestire una Violazione di Sicurezza non costituisce riconoscimento di inadempimento o di responsabilità da parte del Fornitore in relazione a detta Violazione di Sicurezza.
6.6 Il Cliente dovrà comunicare tempestivamente al Fornitore eventuali utilizzi impropri degli account o delle credenziali di autenticazione oppure eventuali Violazioni di Sicurezza di cui abbia avuto conoscenza riguardanti i Servizi.
7. TRASFERIMENTO DEI DATI PERSONALI AL DI FUORI DELLO SPAZIO ECONOMICO EUROPEO (SEE)
7.1 Il Cliente prende atto e accetta che nell’esecuzione del Contratto i Dati Personali potrebbero essere trasferiti al di fuori dell’UE/ Spazio SEE (in particolare a Sub-Responsabili nominati dal Fornitore che svolgano attività connesse al Contratto per conto di quest’ultimo), purchè il trasferimento dei Dati avvenga in presenza delle garanzie richieste dagli artt. 44 e ss. del GDPR. In particolare, qualora per il Paese di destinazione vi sia una decisione di adeguatezza (art. 45) o qualora l’importatore si sia impegnato a rispettare le clausole contrattuali tipo approvate dalla Commissione Europea (art. 46), o comunque nel rispetto dell’art. 49 GDPR. A tale scopo, il Cliente, in qualità di Titolare, conferisce al Fornitore mandato ai sensi dell’art. 1704 c.c. alla sottoscrizione delle clausole contrattuali tipo.
7.2 Qualora Titolare del trattamento sia l’Utente Finale, il Cliente autorizza il Fornitore ad avvalersi di Sub Responsabili situati al di fuori dell’UE/Spazio SEE previa stipula da parte di quest’ultimo, per conto dell’Utente Finale, delle clausole contrattuali tipo di cui al punto precedente, avendo il Cliente ricevuto a tal fine apposito mandato da parte dell’Utente Finale ai sensi dell’art. 1704 c.c.
8. VERIFICHE E CONTROLLI
8.1 Il Fornitore avrà la facoltà di incaricare dei professionisti indipendenti per lo svolgimento di audit secondo standard di best practice, i cui esiti saranno riportati in specifici report (“Report”). Tali Report, che costituiscono informazioni confidenziali del Fornitore, potranno, a giudizio di GestionaleAuto.com S.r.l., essere resi disponibili al Cliente per consentirgli di verificare la conformità del Fornitore agli obblighi di sicurezza di cui al presente Accordo.
9. ASSISTENZA A FINI DI CONFORMITÀ
9.1 Il Fornitore presterà assistenza al Cliente e coopererà nei modi di seguito indicati al fine di consentire al Cliente il rispetto degli obblighi previsti dalla Legislazione in materia di Protezione dei Dati Personali.
9.2 Qualora il Fornitore riceva richieste o reclami da un Interessato in relazione ai Dati Personali, il Fornitore raccomanderà all’Interessato di rivolgersi al Cliente o all’Utente Finale, nel caso in cui quest’ultimo sia il Titolare del Trattamento. In tali casi il Fornitore informerà tempestivamente il Cliente del ricevimento della richiesta mediante invio di una comunicazione all’Indirizzo di notifica e fornirà al Cliente le informazioni ad esso disponibili unitamente a copia della richiesta o del reclamo. Resta inteso che tale attività di cooperazione sarà svolta in via eccezionale, in quanto la gestione dei rapporti con gli Interessati resta esclusa dai Servizi ed è responsabilità del Cliente gestire eventuali reclami in via diretta e garantire che il punto di contatto per l’esercizio dei diritti da parte degli Interessati sia il Cliente stesso, o l’Utente Finale se Titolare del Trattamento. Sarà responsabilità del Cliente, o dell’Utente Finale qualora questi sia Titolare del Trattamento, provvedere a dar seguito a tali richieste o reclami.
9.3 Il Fornitore provvederà a informare tempestivamente il Cliente, salvo il caso in cui ciò sia vietato dalla legge, con avviso all’Indirizzo di notifica di eventuali ispezioni o richieste di informazioni presentate da autorità di controllo e forze di polizia rispetto a profili che riguardano il trattamento dei Dati Personali.
9.4 Qualora, ai fini dell’evasione delle richieste di cui ai precedenti punti, il Cliente abbia necessità di ricevere informazioni dal Fornitore circa il trattamento dei Dati Personali, il Fornitore presterà la necessaria assistenza nei limiti di quanto ragionevolmente possibile, a condizione che tali richieste siano presentate con congruo preavviso.
9.5 Il Fornitore, tenuto conto della natura dei Dati Personali e delle informazioni ad esso disponibili, fornirà ragionevole assistenza al Cliente nel rendere disponibili informazioni utili per consentire al Cliente l’effettuazione di valutazioni di impatto sulla protezione dei Dati Personali nei casi previsti dalla legge. Eventuali richieste di assistenza personalizzate potranno essere soggette al pagamento di un corrispettivo da parte del Cliente. Resta inteso che è responsabilità e onere esclusivo del Cliente, o dell’Utente Finale se Titolare del trattamento, procedere alla valutazione di impatto in base alle caratteristiche del trattamento dei Dati Personali dallo stesso posto in essere nel contesto dei Sevizi.
9.6 Il Fornitore si impegna a rendere Servizi improntati ai principi di minimizzazione del trattamento (privacy by design & by default), fermo restando che è responsabilità esclusiva del Cliente, o dell’Utente Finale, se Titolare del Trattamento, assicurare che il trattamento sia condotto poi concretamente nel rispetto di detti principi e verificare che le misure tecniche e organizzative di un Servizio soddisfino i requisiti previsti dalla Legislazione in materia di protezione dei dati personali.
10. OBBLIGHI DEL CLIENTE E LIMITAZIONI
10.1 Il Cliente si impegna a impartire Istruzioni conformi alla normativa e a utilizzare i Servizi in modo conforme alla Legislazione in materia di Protezione dei Dati Personali e solo per trattare Dati Personali che siano stati raccolti in conformità alla Legislazione in materia di Protezione dei Dati Personali.
10.2 L’eventuale trattamento di Dati Personali di cui agli artt. 9 e 10 del GDPR sarà consentito solo ove necessario per l’esecuzione del Contratto. Con riferimento ai predetti Dati Personali, il Cliente dichiara e garantisce che sussiste una base giuridica lecita per il trattamento di detti Dati e si obbliga sin da ora a manlevare e tenere indenne il Fornitore per qualsivoglia responsabilità conseguente o comunque connessa al trattamento di detti Dati.
10.3 Il Cliente si impegna ad assolvere a tutti gli obblighi posti in capo al Titolare del Trattamento (e, nei casi in cui tali obblighi siano in capo all’Utente Finale, garantisce che analoghi obblighi vengano rispettati da quest’ultimo) dalla Legislazione in materia di Protezione dei Dati Personali, ivi inclusi gli obblighi di informativa nei confronti degli Interessati. Il Cliente si impegna inoltre a garantire che il trattamento dei Dati Personali effettuato mediante l’utilizzo dei Servizi avvenga solo in presenza di idonea base giuridica.
10.4 E’ altresì onere esclusivo del Cliente provvedere alla gestione dei Dati Personali in conformità alle richieste avanzate dagli Interessati, e pertanto provvedere ad esempio agli eventuali aggiornamenti, integrazioni, rettifiche e cancellazioni dei Dati Personali.
10.6 E’ onere del Cliente mantenere attivo l’Indirizzo di notifica, comunicando tempestivamente al Fornitore eventuali aggiornamenti.
10.7 Il Cliente dichiara e garantisce che le attività di trattamento dei Dati Personali, come descritte nel Contratto e nel presente Accordo, sono lecite secondo la normativa di riferimento.
11. DURATA
11.1 Il presente Accordo avrà efficacia dalla data di decorrenza del Contratto e cesserà automaticamente alla data di cessazione del Contratto medesimo, salvo quanto previsto dagli artt. 12.1.3 e 12.4.
12. DISPOSIZIONI PER LA RESTITUZIONE O LA CANCELLAZIONE DEI DATI PERSONALI
12.1 Ferma la facoltà eventualmente concessa al Fornitore, ai sensi del Contratto, di utilizzo di dati aggregati da parte di GestionaleAuto.com S.r.l., alla cessazione del Servizio, per qualunque causa intervenuta, il Fornitore cesserà ogni trattamento dei Dati Personali e:
12.1.1. provvederà, nei limiti dello stato della tecnica, alla cancellazione dei Dati Personali dai sistemi del Fornitore o da quelli su cui lo stesso abbia controllo entro il termine previsto al successivo punto 12.1.3., tranne il caso in cui la conservazione dei Dati Personali da parte del Fornitore sia necessaria al fine di assolvere ad una disposizione di legge applicabile;
12.1.2. distruggerà eventuali Dati Personali conservati in formato cartaceo in suo possesso, tranne il caso in cui la conservazione dei dati da parte del Fornitore sia necessaria ai fini del rispetto di norme di legge italiane o europee;
12.1.3. qualora il Contratto sia stato concluso telematicamente mediante registrazione sul sito www.gestionalelead.com, il Cliente prende atto ed accetta che il Fornitore conserverà i Dati Personali per il periodo di 90 (novanta) giorni successivi alla cessazione del Contratto. Durante tale periodo, il trattamento sarà limitato alla sola conservazione finalizzata a mantenere i Dati Personali a disposizione del Cliente per il caso in cui quest’ultimo, entro il termine di 90 (novanta) giorni dalla cessazione del Contratto decida di rinnovarlo, come previsto dalle Condizioni Generali di Contratto CRM “GestionaleLead” presenti sul sito www.gestionalelead.com. In quest’ultimo caso i Dati Personali verranno resi nuovamente disponibili per l’utilizzo al Cliente con la riattivazione dell’account;
12.2 Qualora il Contratto abbia ad oggetto, in via esemplificativa e non esaustiva, Servizi di multipubblicazione di annunci su siti web del settore automotive, Servizi di lead management per gestione delle vendite, contatti e organizzazione delle attività del Cliente, Servizi per la realizzazione di siti web, il Cliente prende atto e accetta: i) che l’estrazione dei Dati Personali può avvenire, esclusivamente utilizzando le “Application Programming Interface” (“API”) messe a disposizione dal Fornitore, nel corso di tutta la durata del Contratto e fino alla cessazione dei Servizi, per qualsiasi causa intervenuta; ii) che successivamente alla cessazione del Servizio e alla disattivazione dell’account personale non sarà più possibile procedere all’estrazione dei Dati Personali; iii) che è sua responsabilità provvedere all’estrazione totale o parziale dei soli Dati Personali che ritenga utile conservare e che tale estrazione dovrà essere effettuata entro il termine di cessazione del Contratto e/o dei Servizi.
12.3 Le previsioni di cui al presente art. 12 si applicano anche alle informazioni ed ai contenuti trattati dal Fornitore nell’ambito del Contratto che non costituiscano Dati Personali ai sensi del GDPR.
12.4 Resta inteso che il trattamento di cui all’art. 12.1.3., effettuato dal Fornitore a seguito della cessazione del Contratto si riterrà comunque assoggettato alle disposizioni del presente Accordo, in quanto compatibili.
13. MANLEVA E LIMITAZIONE DI RESPONSABILITÀ DEL RESPONSABILE
13.1 In caso di violazione da parte del Fornitore delle obbligazioni nascenti dal suo ruolo di Responsabile, o Sub-Responsabile, come descritte nel presente Accordo e, più in generale, delle disposizioni del Regolamento, il Fornitore si impegna a manlevare e tenere indenne il Cliente da eventuali contestazioni o pretese che possano essere avanzate dagli interessati, sulla base dei diritti loro attribuiti dal GDPR, per trattamento illecito dei Dati, nonché da ogni altra contestazione che possa essere mossa dall’Autorità Garante per la protezione dei Dati a seguito della violazione del contenuto del presente Accordo.
13.2 In considerazione del peculiare rapporto esistente tra le Parti e della natura del/dei Servizio/i resi nell’ambito del Contratto, le Parti convengono espressamente che la responsabilità del Fornitore è limitata al valore del predetto Contratto, coincidente con la somma corrisposta dal Cliente al Fornitore per la fornitura del/dei Servizio/i ivi contemplati. Il Fornitore sarà, pertanto, tenuto a manlevare e tenere indenne il Cliente, ai sensi del precedente art. 13.1, nei limiti della summenzionata somma.
14. DISPOSIZIONI VARIE
14.1. Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo oggetto nonchè qualsivoglia istruzione fornita in qualsiasi forma dal Cliente al Fornitore precedentemente alla data del presente Accordo in merito ai Dati Personali trattati nell’ambito dell’esecuzione del Contratto.
14.2. Il presente Accordo potrà essere modificato dal Fornitore dandone comunicazione scritta (via posta elettronica certificata o raccomandata a/r) al Cliente. In tal caso, il Cliente avrà il diritto di recedere dal Contratto con comunicazione scritta inviata al Fornitore a mezzo raccomandata con avviso di ricevimento o PEC nel termine di 15 giorni dal ricevimento della comunicazione del Fornitore. In mancanza di esercizio del diritto di recesso da parte del Cliente, nei termini e nei modi sopra indicati, le modifiche al presente Accordo si intenderanno da questi definitivamente conosciute e accettate e diverranno definitivamente efficaci e vincolanti.
14.3. In caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto, o in documenti del Cliente non espressamente accettati dal Fornitore in deroga al presente Accordo, prevarrà quanto previsto nel presente Accordo.
Segue: Appendice 1 al DPA (Misure tecnico-organizzative)
MISURE TECNICO-ORGANIZZATIVE
In aggiunta alle misure di sicurezza eventualmente previste nel Contratto e nell’Accordo, il Fornitore, applica le seguenti misure di sicurezza organizzative e tecniche:
Misure di sicurezza organizzative
Policy e Disciplinari utenti:
Il Fornitore applica policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche.
Autorizzazione accessi logici:
Il Fornitore definisce i profili di accesso nel rispetto del least privilege necessari all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all’inizio del trattamento, in modo da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti.
Gestione interventi di assistenza:
Gli interventi di assistenza sono regolamentati allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e impedire il trattamento eccessivo di dati personali la cui titolarità è in capo al Cliente o all’Utente Finale.
Incident Management:
Il Fornitore ha realizzato una specifica procedura di Incident Management allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio.
Data Breach:
Il Fornitore ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonchè le modalità attraverso le quali effettuare le comunicazioni delle violazioni di dati personali al Cliente.
Formazione:
Il Fornitore eroga periodicamente ai propri dipendenti coinvolti nelle attività di trattamento corsi di formazione sulla corretta gestione dei dati personali.
Misure di sicurezza tecniche
Firewall, IDPS:
I dati personali sono protetti contro il rischio d’intrusione di cui all’art. 615-quinquies del codice penale mediante sistemi di Intrusion Detection & Prevention, mantenuti aggiornati in relazione alle migliori tecnologie disponibili.
Sicurezza linee di comunicazione:
Per quanto di propria competenza, sono adottati dal Fornitore protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile.
Policy e Disciplinari utenti:
Il Fornitore applica policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche.
Protection from malware:
I sistemi sono protetti contro il rischio di intrusione e dell’azione di programmi mediante l’attivazione di idonei strumenti elettronici aggiornati con cadenza periodica. Sono in uso strumenti antivirus mantenuti costantemente aggiornati.
Credenziali di autenticazione:
I sistemi sono configurati con modalità idonee a consentirne l’accesso unicamente a soggetti dotati di credenziali di autenticazione che ne consentono la loro univoca identificazione. Fra questi, codice associato a una parola chiave, riservata e conosciuta unicamente dallo stesso; dispositivo di autenticazione in possesso e uso esclusivo dell’utente, eventualmente associato a un codice identificativo o a una parola chiave.
Parola chiave:
Relativamente alle caratteristiche di base ovvero obbligo di modifica al primo accesso, lunghezza minima, assenza di elementi riconducibili agevolmente al soggetto, regole di complessità, scadenza, history, valutazione contestuale della robustezza, visualizzazione e archiviazione, la parola chiave è gestita conformemente alle best practice. Ai soggetti ai quali sono attribuite le credenziali sono fornite puntuali istruzioni in relazione alle modalità da adottare per assicurarne la segretezza.
Logging:
I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi e, ove appropriato, delle attività svolte in capo alle diverse tipologie di utenze (Amministratore, Super Utente, etc.) protetti da adeguate misure di sicurezza che ne garantiscono l’integrità.
Backup & Restore:
Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati. Ove gli accordi contrattuali lo prevedono è posto in uso un piano di continuità operativa integrato, ove necessario, con il piano di disaster recovery; essi garantiscono la disponibilità e l’accesso ai sistemi anche nel caso di eventi negativi di portata rilevante che dovessero perdurare nel tempo.
Vulnerability Assessment & Penetration Test:
Il Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzate a rilevare lo stato di esposizione alle vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli applicativi, considerando i sistemi in esercizio o in fase di sviluppo. Ove ritenuto appropriato in relazione ai potenziali rischi identificati, tali verifiche sono integrate periodicamente con apposite tecniche di Penetration Test, mediante simulazioni di intrusione che utilizzano diversi scenari di attacco, con l’obiettivo di verificare il livello di sicurezza di applicazioni/sistemi/reti attraverso attività che mirano a sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica/logica ed avere accesso agli stessi. I risultati delle verifiche sono puntualmente e dettagliatamente esaminati per identificare e porre in essere i punti di miglioramento necessari a garantire l’elevato livello di sicurezza richiesto.
Amministratori di Sistema:
Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management finalizzato al puntuale tracciamento delle attività svolte ed alla conservazione di tali dati con modalità inalterabili idonee a consentirne ex post il monitoraggio. L’operato degli Amministratori di Sistema è sottoposto ad attività di verifica in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali previsti dalle norme vigenti.