Informativa per il trattamento dei dati personali

CONTRATTO PER IL TRATTAMENTO DEI DATI

Versione del 25 maggio 2018

Il presente Contratto per il Trattamento dei Dati (“DPA”) è parte integrante del contratto di servizi, di seguito indicato come “Contratto”, il quale è stipulato tra SistemIT di Maggini Paolo e c. SAS (“SISTEMIT”) ed il Cliente, e che definisce i termini e le condizioni applicabili ai servizi offerti da SISTEMIT (i “Servizi”). Il presente DPA e le altre disposizioni del Contratto sono complementari. Tuttavia, in caso di conflitto, il presente DPA prevale sul Contratto.

Termini indicati con la lettera maiuscola e che non siano definiti del presente DPA saranno da  interpretarsi secondo il significato proposto nel Contratto.

Scopo del presente DPA, stipulato fra SISTEMIT e il Cliente, nel rispetto dell’articolo 28 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (“Regolamento generale sulla protezione dei dati” o “GDPR”, secondo l’acronimo inglese,

General Data Protection Regulation), è definire le condizioni in base alle quali SISTEMIT, in qualità di Responsabile del trattamento e come parte dei Servizi definiti nel Contratto, abbia titolo per trattare, nel rispetto delle istruzioni del Cliente, Dati Personali così come definiti nel GDPR (“Dati Personali”). Il trattamento dei Dati Personali da parte di SISTEMIT in qualità di Titolare del trattamento non è compreso nel presente DPA.

Ai fini del presente DPA, SISTEMIT opera in qualità di “Responsabile al trattamento” e il Cliente dovrebbe agire quale “Titolare del trattamento”, interpretando “Responsabile” e “Titolare” del trattamento secondo il significato riportato nel GDPR.

Qualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, le Parti acconsentono espressamente alle condizioni seguenti:

  • Il Cliente garantirà che
    1. tutte le necessarie autorizzazioni da inserire nel presente DPA, ivi compresa la nomina da parte del Cliente di SISTEMIT quale sub-responsabile del trattamento, siano state ottenute dal Titolare del trattamento,
    2. sia stato sottoscritto con il Titolare del trattamento un accordo pienamente coerente con i termini e le condizioni del Contratto, ivi compreso il presente DPA, nel rispetto del succitato articolo 28 del GDPR,
    3. qualsivoglia istruzione ricevuta da SISTEMIT dal Cliente per l’esecuzione del Contratto e del presente DPA sia totalmente allineata con quelle del Titolare del trattamento, nonché
    4. tutte le informazioni comunicate o rese disponibili da SISTEMIT, nel rispetto del presente DPA, siano debitamente comunicate al Titolare del trattamento, se del caso.
  • SISTEMIT si occuperà
    1. del trattamento dei Dati Personali unicamente su istruzioni del Cliente e
    2. non riceverà alcuna istruzione direttamente dal Titolare del trattamento, fatto salvo nei casi in cui il Cliente sia assolutamente irreperibile o non più esistente ai sensi di legge, senza alcunsuccessore che ne assuma diritti e obblighi.
    3. Il Cliente, il quale è da ritenere totalmente responsabile nei confronti di SISTEMIT per la corretta esecuzione degli obblighi del Titolare del trattamento, come previsto dal presente DPA, indennizzerà e manterrà SISTEMIT indenne per
      1. qualsivoglia inadempienza del Titolare del trattamento nell’applicazione della normativa vigente, nonché
      2. da azioni, rivendicazioni o reclami da parte del Titolare del trattamento relativi a disposizioni del presente Contratto (ivi compreso il presente DPA) o altra istruzione ricevuta da SISTEMIT da parte del Cliente.

 

  1. Obiettivo

In quanto Responsabile del trattamento operante su istruzioni del Cliente, SISTEMIT è autorizzata a trattarei Dati Personali del Titolare del trattamento per quanto necessario allo scopo di fornire i Servizi.     La natura delle operazioni svolte da SISTEMIT in riferimento ai Dati Personali potrebbe comprendere attività di calcolo, immagazzinamento e/o qualunque altro Servizio, così come descritto nel Contratto.       La tipologia di Dati Personali e le categorie di interessati sono determinate e controllate a sola discrezione del Cliente.

Le attività di trattamento dei dati sono svolte da SISTEMIT per il periodo specificato nel Contratto.

 

  1. Servizi utilizzati

Il Cliente è il solo responsabile dei Servizi utilizzati e si assicurerà che quelli selezionati ed utilizzati presentino le caratteristiche e le condizioni richieste per rispettare le attività del Titolare e gli scopi del trattamento, nonché il tipo di Dati Personali da trattare all’interno dei Servizi, ivi compreso, senza tuttavia a ciò limitarsi, quando tali Servizi siano utilizzati per trattare Dati Personali soggetti a regolamenti o standard specifici (p.es. dati sanitari o bancari in alcuni Paesi).

Qualora il trattamento da parte del Titolare abbia notevoli possibilità di comportare un alto rischio per i diritti o la libertà di persone fisiche, il Cliente selezionerà od imposterà ed userà i propri Servizi con particolare cautela. Nella valutazione del rischio, il Titolare dovrà prendere in considerazione i criteri seguenti, senza tuttavia a ciò limitarsi: valutazione o assegnazione di un punteggio agli interessati; decisioni automatizzate con conseguenze legali o effetti analoghi; monitoraggio sistematico degli interessati; trattamento di dati sensibili o di natura altamente personale; trattamento su larga scala; abbinamento o combinazione di vari gruppi di dati; trattamento di dati relativi a interessati vulnerabili; utilizzo di tecnologie innovative non riconosciute dal pubblico per il trattamento dei dati.

SISTEMIT metterà a disposizione del Cliente, nelle modalità indicate nella clausola “Attività di revisione”, informazioni relative alle misure di sicurezza adottate ai fini dei Servizi, per quanto necessario per la valutazione dell’ottemperanza di tali misure delle attività di trattamento dei dati del Titolare.

 

  1. Rispetto dei regolamenti applicabili

Ogni Parte rispetterà i regolamenti applicabili in materia di tutela dei dati, ivi compreso il Regolamento generale sulla protezione dei dati con decorrenza dalla sua entrata in vigore all’interno dell’Unione europea.

 

  1. Obblighi di SISTEMIT

SISTEMIT si impegna a quanto segue:

  1. trattare i Dati Personali caricati, immagazzinati e utilizzati dal Cliente per i Servizi unicamente per quanto necessario allo scopo di fornire tali Servizi, così come definiti nel Contratto;
  2. non accedere né utilizzare i Dati Personali per qualunque altro scopo se non quello strettamente necessario per lo svolgimento dei Servizi (in particolare in riferimento alle finalità di gestione degli Incidenti);
  3. adottare le misure tecniche e organizzative riportate nel Contratto per garantire la sicurezza dei Dati Personali nella fornitura dei Servizi;
  4. garantire che i dipendenti di SISTEMIT autorizzati al trattamento dei Dati Personali in base al Contratto siano vincolati da un obbligo di riservatezza e ricevano una formazione adeguata in merito alla tutela di tali dati;
  5. informare il Cliente qualora sia dell’opinione, nonché in considerazione delle informazioni a sua disposizione, che un’istruzione del Cliente stesso violi il GDPR o altre disposizioni per la tutela dei dati dell’Unione europea o di uno Stato membro dell’UE;
  6. in caso di ricevimento di richieste da parte di un’autorità competente e relative ai Dati Personali qui trattati, informare il Cliente (fatto salvo quando proibito dalle normative vigenti o da un’ingiunzione di un’autorità competente), nonché limitare la comunicazione dei dati a quanto l’autorità abbia espressamente richiesto.

Dietro richiesta scritta del Cliente, SISTEMIT fornirà al Cliente una ragionevole assistenza nella conduzione delle valutazioni dell’impatto della tutela dei dati nonché nelle consultazioni con autorità di supervisione competenti, qualora fosse richiesto al Cliente di svolgere tali attività in base alla legge applicabile in materia di tutela dei dati, in ogni caso unicamente quando tale assistenza si renda necessaria e sia relativa al trattamento di Dati Personali da parte di SISTEMIT qui di interesse. Tale assistenza comporterà la garanzia della massima trasparenza sulle misure di sicurezza adottate da SISTEMIT per i propri Servizi.

SISTEMIT si impegna ad adottare le seguenti misure di sicurezza tecniche e organizzative:

  1. per eventuali server messi a disposizione da terze parti e da queste gestiti fisicamente, SISTEMIT si avvale di fornitori italiani o europei che seguono a loro volta le indicazioni del GDPR e garantiscono la sua piena applicabilità;
  2. misure di sicurezza fisiche, tese a prevenire l’accesso di soggetti non autorizzati nelle Infrastrutture all’interno delle quali sono immagazzinati i dati del Cliente;
  3. controlli di identità e accesso utilizzando un sistema di autenticazione, nonché una politica di gestione delle password;
  4. un sistema di gestione degli accessi che limiti l’ingresso alle strutture a coloro per i quali sia indispensabile nello svolgimento dei loro compiti e all’interno delle loro responsabilità;
  5. personale dedicato responsabile del monitoraggio della sicurezza fisica delle strutture di SISTEMIT;
  6. procedure di autenticazione per utente e amministratore, nonché per tutelare l’accesso alle funzioni di amministratore;
  7. un sistema di gestione degli accessi per attività di supporto e manutenzione che operi sui principi del privilegio minimo e della necessità di comunicazione;
  8. procedure e misure per tracciare le azioni svolte sul suo sistema informatico.

 

  1. Violazioni di Dati Personali

Qualora SISTEMIT fosse a conoscenza di un incidente con ripercussioni sui Dati Personali del Titolare del trattamento (quale un accesso non autorizzato, perdita, comunicazione o alterazione di dati), lo comunicherà al Cliente senza indebiti ritardi.

La comunicazione

  1. descriverà la natura dell’incidente,
  2. le sue conseguenze più probabili,
  3. le misure prese o proposte da SISTEMIT in riposta all’incidente ed
  4. eventuali contatti di SISTEMIT.

 

  1. Posizione e trasferimento dei Dati Personali

I server di terze parti utilizzati come Centri Dati per i nostri servizi sono situati fisicamente presso OVH SAS, al n.2, rue Kellermann 59100 Roubaix, Francia. Nel rispetto dei Termini Speciali di Servizio applicabili, SISTEMIT non modificherà senza previo consenso del Cliente la posizione o l’area geografica scelta all’invio dell’Ordine.

In ottemperanza della disposizione relativa alla posizione del Centro Dati sopra indicata, le eventuali Affiliate di SISTEMIT o i fornitori che si trovino nell’Unione europea, in Canada e in qualunque altro Paese riconosciuto dall’Unione europea come in grado di fornire un livello di protezione adeguato dei Dati Personali (“Decisione di adeguatezza”), esclusi gli Stati Uniti d’America, hanno facoltà di trattare i Dati Personali unicamente per quanto necessario per lo svolgimento dei Servizi e, in particolare, in riferimento ad attività di gestione degli Incidenti.

I dati immagazzinati dal Cliente ai fini dei Servizi non saranno accessibili a SISTEMIT da un Paese che non sia oggetto di una Decisione di adeguatezza, fatto salvo qualora (a) tale accesso sia espressamente previsto nei Termini Speciali di Servizio applicabili, oppure (b) il Cliente selezioni un Centro Dati al di fuori dell’Unione europea, in un Paese non soggetto a una Decisione di adeguatezza o (c) a seguito di specifico consenso del Cliente.

Qualora i Dati Personali trattati siano trasferiti fuori dall’Unione europea verso un Paese non soggetto a una Decisione di adeguatezza, dovrà essere sottoscritto un accordo in merito al trasferimento dei dati che rispetti le Clausole contrattuali standard adottate dall’Unione europea o, a discrezione di SISTEMIT, altre garanzie di tutela riconosciute come sufficienti dalla Commissione europea. Quando tale trasferimento risulti dalla selezione da parte del Cliente di un Servizio per il quale ci si avvalga di uno specifico Centro Dati collocato fuori dall’Unione europea, l’adozione del succitato accordo di trasferimento dei dati (o garanzie di tutela equivalenti) non è automatico e prevedrà specifica richiesta del Cliente.

Il Titolare completerà tutte le formalità del caso e otterrà le necessarie autorizzazioni (comprese quelle dagli interessati e dalle autorità di tutela dei dati competenti, se richiesto) per trasferire i Dati Personali entro i limiti previsti dal Contratto.

 

  1. Subcontratto

In base alle disposizioni della clausola “Posizione e trasferimento dei Dati Personali” sopra riportata, SISTEMIT potrà coinvolgere un altro responsabile per il trattamento dei Dati Personali come parte della prestazione dei Servizi (“Sub-responsabile”).

Il Cliente autorizza espressamente SISTEMIT a coinvolgere Affiliate Sub-responsabili. L’elenco di eventuali Affiliate Sub-responsabili di SISTEMIT è disponibile sul sito Web di SISTEMIT. Quest’ultima si impegna a garantire al Cliente trenta (30) giorni di preavviso ogniqualvolta aggiunga un’ulteriore Affiliata Sub-responsabile.

Nel rispetto di qualunque disposizione contraria delle Condizioni di Servizio applicabili, SISTEMIT non coinvolgerà alcuna non Affiliata Sub-responsabile senza previo consenso del Cliente. Quando le Condizioni di Servizio applicabili forniscano la possibilità di coinvolgere non Affiliate Sub-responsabili, la convalida di tali Condizioni di Servizio da parte del Cliente sarà considerata come approvazione dei Sub-responsabili interessati elencati. Le non Affiliate Sub-responsabili sono riportate sul sito Web di SISTEMIT o nelle Condizioni di Servizio applicabili.

SISTEMIT si assicurerà che il Sub-responsabile sia, quantomeno, in grado di rispettare gli obblighi sottoscritti da SISTEMIT nel presente DPA in riferimento al trattamento dei Dati Personali da parte del SubResponsabile. A tale scopo, SISTEMIT sottoscriverà un accordo con il Sub-responsabile. SISTEMIT resterà totalmente responsabile nei confronti del Cliente per qualsivoglia obbligo per il quale il Subresponsabile risulti inadempiente.

A prescindere da quanto sopra, SISTEMIT è espressamente autorizzata a coinvolgere fornitori terzi (come fornitori di energia, di reti, gestori di punti di interconnessione di rete o centri dati collocati, fornitori di materiale o software, trasportatori, fornitori tecnici, società di sicurezza), senza dover informare il Titolare del trattamento od ottenere sua previa approvazione, sempre che tali fornitori terzi non abbiano accesso ai Dati Personali.

 

  1. Obblighi del Cliente e del Titolare del trattamento
  • Per il trattamento dei Dati Personali come previsto dal Contratto, il Cliente fornirà a SISTEMIT per iscritto
    1. tutte le istruzioni del caso e
    2. qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati. Il Cliente resta l’unico responsabile per le informazioni trattate e le istruzioni comunicate a SISTEMIT.

Il Titolare del trattamento è responsabile di assicurare quanto segue:

  • il trattamento dei Dati Personali del Titolare come parte dell’esecuzione del Servizio ha una base legale appropriata (p.es. consenso dell’interessato e del Titolare, interessi legittimi, autorizzazione dalla rilevante Autorità di Supervisione, ecc.);
  • tutte le procedure e formalità richieste (come valutazione dell’impatto della tutela dei dati, notifica e richiesta di autorizzazione all’autorità della privacy o altri enti competenti, dove richiesto) sono state debitamente espletate;
  • gli interessati sono informati del trattamento dei loro Dati Personali in modo conciso, trasparente, comprensibile e di facile accesso, utilizzando un linguaggio chiaro e semplice come previsto dal GDPR;
  • gli interessati sono informati e avranno in qualunque momento la possibilità di esercitare facilmente i loro diritti sui dati, come previsto dal GDPR, direttamente presso il Cliente o il Titolare.

Il Cliente è responsabile dell’adozione delle misure tecniche e organizzative appropriate per garantire la sicurezza di risorse, sistemi, applicazioni e operazioni non di responsabilità di SISTEMIT, come definito dal Contratto (in particolare qualunque sistema e software sviluppato e utilizzato dal Cliente o dagli Utenti ai fini dei Servizi).

 

  1. Diritti degli interessati

Il Titolare è totalmente responsabile di informare gli interessati dei loro diritti e del rispetto degli stessi, fra i quali si contano, senza tuttavia ad essi limitarsi, quello di accesso, rettifica, cancellazione, limitazione e portabilità.

SISTEMIT fornirà cooperazione e assistenza ragionevoli, come potrebbe essere correttamente sollecitato, allo scopo di rispondere a richieste degli interessati. Tale ragionevole collaborazione e assistenza potranno consistere in (a) comunicare al Cliente qualunque richiesta ricevuta direttamente da un interessato e (b) consentire al Titolare del trattamento di predisporre e adottare le misure tecniche e organizzative necessarie per rispondere alle richieste degli interessati. Il Titolare del trattamento sarà l’unico responsabile della gestione di tali richieste.

Il Cliente riconosce e acconsente a che, qualora tale cooperazione e assistenza richiedano risorse significative da parte del Responsabile del trattamento, detto impegno sia soggetto a pagamento, previa comunicazione e accordo con il Cliente.

 

  1. Cancellazione e restituzione dei Dati Personali

Alla scadenza di un Servizio (in particolare in caso di conclusione o mancato rinnovo), SISTEMIT si impegna a cancellare secondo le condizioni previste nel Contratto tutti i Contenuti (ivi compresi informazioni, dati, file, sistemi, applicazioni, siti Web e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente ai fini dei Servizi, fatto salvo in presenza di una richiesta emessa da un’autorità legale o giudiziaria competente, oppure quando la normativa applicabile dell’Unione europea e di uno Stato membro dell’UE preveda diversamente.

Il Cliente è l’unico responsabile di garantire la posta in essere delle operazioni necessarie (come backup, trasferimento a una soluzione di terzi, Snapshot, ecc.) per la tutela dei Dati Personali, in particolare prima della conclusione o della scadenza dei Servizi, nonché prima di avviare eventuali procedure di cancellazione, aggiornamento o reinstallazione dei Servizi.

In merito, il Cliente è informato che la conclusione o scadenza di un Servizio per qualunque ragione (ivi compreso, ma senza tuttavia a ciò limitarsi, il mancato rinnovo), nonché alcune operazioni specifiche per aggiornare o reinstallare i Servizi, potrebbero comportare automaticamente la cancellazione irreversibile di tutti i Contenuti (inclusi informazioni, dati, file, sistemi, applicazioni, siti Web e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente ai fini dei Servizi, compreso qualunque backup potenziale.

 

  1. Responsabilità

SISTEMIT potrà essere ritenuta responsabile unicamente per i danni causati dal trattamento quando

  • non abbia rispettato gli obblighi del GDPR specificatamente legati ai Responsabili del trattamento o
  • abbia agito contro istruzioni validamente scritte dal Cliente. In tali casi, sarà di applicazione la disposizione sulla responsabilità del Contratto.

Qualora SISTEMIT e il Cliente siano coinvolti in una procedura in base al presente Contratto che causi danni a un interessato, il Cliente si farà carico in prima istanza della totalità dell’indennizzo (o di altra compensazione) dovuto a detto interessato e, secondariamente, si rivarrà su SISTEMIT per la parte della compensazione corrispondente alla responsabilità di SISTEMIT, sempre che non sia di applicazione una limitazione di responsabilità prevista dal Contratto.

 

  1. Attività di revisione

SISTEMIT renderà disponibile al Cliente tutte le informazioni necessarie per (a) dimostrare il rispetto dei requisiti del GDPR e (b) consentire lo svolgimento di eventuali attività di revisione.

Tali informazioni sono disponibili in documenti standard sul sito Web di SISTEMIT. Ulteriori informazioni potranno essere comunicate al Cliente a seguito di richiesta a: assistenza@sistemit.it.

Qualora si tratti di Servizio certificato, rispettoso di un codice di condotta o soggetto a specifiche procedure di revisione, SISTEMIT renderà disponibili al Cliente i certificati corrispondenti o le relazioni sulle attività di revisione dietro richiesta scritta.

Nel caso in cui suddette informazioni, relazioni e certificati si dimostrino insufficienti per consentire al Cliente di accertare il rispetto degli obblighi riportati nel GDPR, SISTEMIT e il Cliente concorderanno quindi condizioni operative, di sicurezza e finanziarie per un’ispezione tecnica sul posto. Le condizioni di tale ispezione, tuttavia, non dovranno pregiudicare in alcun modo la sicurezza di altri clienti di SISTEMIT.

Suddetta ispezione sul posto, nonché la comunicazione di certificati e relazioni sulla revisione, potrebbero ragionevolmente comportare una fatturazione aggiuntiva.

Qualunque informazione comunicata al Cliente nel rispetto di questa clausola e che non sia disponibile sul sito Web di SISTEMIT sarà considerata un’informazione riservata di SISTEMIT in base al Contratto. Prima di comunicare tali informazioni, SISTEMIT potrà richiedere la firma di uno specifico accordo di non divulgazione.

A prescindere da quanto sopra, il Cliente è autorizzato a rispondere a richieste di autorità di supervisione competenti, sempre che qualunque comunicazione di informazioni sia strettamente limitata a quanto sollecitato da suddetta autorità di supervisione. In tal caso, e salvo che non sia proibito dalla normativa vigente, il Cliente consulterà prima SISTEMIT in merito a tale richiesta di comunicazione di informazioni.