Allegato C – Contratto di nomina a Responsabile del trattamento dei dati o Data Processing Agreement (DPA)

Ai fini del presente Contratto di nomina a Responsabile del trattamento dei dati (il suddetto “DPA“), i termini in maiuscolo sono definiti in conformità al Contratto o al presente Allegato.

1. Contesto e finalità

Il Cliente, titolare del trattamento (denominato “Titolare del Trattamento”), ha sottoscritto uno o più Servizi con Partoo, ai sensi delle Condizioni Generali di Vendita di Partoo (o T&C) o di un contratto specifico (di seguito congiuntamente indicato come il “Contratto”, che si tratti dei T&C o di un contratto specifico).

Il Titolare del Trattamento mette a disposizione di Partoo i dati personali necessari per l’esecuzione del Contratto (di seguito congiuntamente indicati come “Dati Personali”). A tal riguardo, a Partoo è attribuita la qualifica di responsabile del trattamento (di seguito, il “Responsabile del Trattamento”) in conformità agli orientamenti delle autorità di controllo. Pertanto, le presenti clausole hanno lo scopo di definire le condizioni alle quali il Responsabile del Trattamento si impegna a effettuare, per conto del Titolare del Trattamento, le operazioni di trattamento dei Dati Personali.

2. Normativa applicabile

Nell’ambito del loro rapporto contrattuale, le parti si impegnano a rispettare la normativa vigente ai sensi della legislazione applicabile al Contratto in materia di trattamento dei Dati Personali (di seguito la “Normativa in materia di Protezione dei Dati”) e, in particolare, quando applicabile, il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 in vigore dal 25 maggio 2018 (di seguito indicato come “RGPD”).

3. Descrizione del trattamento

3.1. Natura e finalità del trattamento

La natura delle attività di trattamento implica, da un lato, il loro utilizzo per identificare le persone che accedono alla piattaforma e, dall’altro, l’hosting e la trasmissione dei dati caricati dagli Utenti e da terzi, inclusi i clienti del Titolare del Trattamento, che interagiscono con i Servizi.

Lo scopo del trattamento consiste nell’esecuzione, da parte del Responsabile del Trattamento, delle operazioni di raccolta, registrazione, conservazione, ecc., per conto del Cliente, nel Quadro del Contratto e qualora necessario per l’esecuzione di altri Servizi.

Si ricorda che, nell’ambito del proprio rapporto commerciale con il Titolare del Trattamento, il Responsabile del Trattamento fornisce principalmente l’accesso alle Applicazioni e ai Servizi Partoo. Fatta eccezione per gli Utenti i cui Dati Personali vengono trattati al fine di fornire i Servizi, il Responsabile del Trattamento non ha un obbligo generale di monitorare i contenuti ospitati nelle proprie Applicazioni Partoo. Pertanto, il Responsabile del Trattamento non è a conoscenza dell’eventuale presenza di Dati Personali ospitati dal Cliente all’interno dei Servizi; a tal riguardo, è espressamente precisato che, in relazione all’utilizzo del prodotto Messages, il Titolare del Trattamento rimane l’unico responsabile per la fornitura delle informazioni richieste agli interessati, per la scelta della base giuridica appropriata e per l’ottenimento di ogni eventuale consenso necessario. Il Responsabile del Trattamento agisce infatti esclusivamente come fornitore tecnico del servizio, garantendo la trasmissione e l’hosting temporaneo dei messaggi.

3.2. Finalità del trattamento

Il Responsabile del Trattamento è autorizzato a trattare i Dati Personali degli Utenti al fine di fornire i Servizi sottoscritti dal Titolare del Trattamento e, in particolare, a :

• Fornire l’accesso agli Utenti,
• Ospitare e trasmettere, per conto del Titolare del Trattamento, i Dati Personali che quest’ultimo sceglie di caricare nell’ambito dei Servizi :
• Gestire l’hosting dell’applicazione in modalità Saas
• Gestire i backup e gli aggiornamenti delle Applicazioni Partoo
• Garantire la risoluzione dei problemi relative alle Applicazioni Partoo :
• Fornire supporto sulle Applicazioni Partoo
• Rispondere alle richieste tramite chat online
• Accedere agli account online degli Utenti per la risoluzione dei problemi
• Tenere conto del feedback degli Utenti
• Gestire la Risoluzione dei ticket di incidente
• Conservare i log ai fini della tracciabilità degli incidenti
• Assicurare lo sviluppo continuo delle Applicazioni Partoo.

Fatto salvo il trattamento dei Dati Personali dei dipendenti necessario alla fornitura dei Servizi, come sopra definito, il Responsabile del Trattamento si limita a ospitare e trasmettere i dati che possono essere comunicati dal Titolare del Trattamento o dal suo referente, se del caso, all’interno delle Applicazioni Partoo.

3.3. Categorie di dati personali

Le categorie di Dati Personali oggetto di trattamento sono le seguenti :

• Dati identificativi degli utenti: cognome, nome,
• Dati professionali: professione, indirizzo di posta elettronica professionale,
• Dati di accesso: log (informazioni di marcatura temporale, informazioni di accesso quali IP e browser), dati di navigazione sulle Applicazioni Partoo.

3.4. Categorie degli interessati

Le categorie degli interessati sono:

• Utenti (dipendenti del Titolare del Trattamento)
• Persone che interagiscono con il Titolare del Trattamento tramite il Sito dell’Editore.

4. Durata

Il presente DPA entra in vigore alla data di sottoscrizione del Contratto da parte delle Parti e rimane efficace per l’intera durata del Contratto. Di conseguenza, i Dati Personali saranno trattati per tutta la durata del Contratto e successivamente archiviati per un periodo di novanta (90) giorni dalla data di cessazione del Contratto.

5. Obblighi del Responsabile del Trattamento nei confronti del Titolare del Trattamento

Il Responsabile del Trattamento si impegna a :

1. Trattare i dati esclusivamente per le finalità dell’attività di sub-trattamento, così come definita in precedenza.
2. Trattare i dati in conformità ai Servizi sottoscritti dal Cliente. Qualora il Responsabile del Trattamento ritenga che una istruzione costituisca una violazione del RGPD o di qualsiasi altra disposizione della Normativa in materia di Protezione dei Dati, dovrà informarne immediatamente il Titolare del Trattamento. Inoltre, qualora il Responsabile del Trattamento sia tenuto a trasferire dati verso un paese terzo o un’organizzazione internazionale, dovrà informare il Titolare del Trattamento di tale obbligo legale prima del trattamento, salvo che la legge in questione vieti tale informazione per rilevanti motivi di interesse pubblico.
3. Garantire la riservatezza dei Dati Personali trattati in forza del presente contratto (nella misura in cui il Titolare del Trattamento non renda accessibile l’hosting a terzi non autorizzati e garantisca l’adozione delle misure di sicurezza idonee a preservare la riservatezza, poiché il Titolare del Trattamento dispone di pieno accesso ai Dati Personali ospitati dal Responsabile del Trattamento).
4. Garantire che le persone autorizzate a trattare i Dati Personali in forza del presente contratto:
5. Si impegnino alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza,
6. Ricevano la formazione necessaria in materia di protezione dei Dati Personali.
7. Tenere in considerazione, relativamente ai propri strumenti, prodotti, applicazioni o servizi, i principi di protezione dei dati fin dalla progettazione e per impostazione predefinita.

6. Attività di sub-trattamento

6.4. Ricorso a un sub-responsabile

Il Responsabile del Trattamento ha nominato dei sub-responsabili del Trattamento (di seguito, i “Sub-responsabili del Trattamento”) per svolgere specifiche attività di trattamento nell’ambito della fornitura dei propri Servizi, attività che il Titolare del Trattamento autorizza con il presente documento. L’elenco dei Sub-responsabili del Trattamento approvati dal Titolare del Trattamento alla data di conclusione del presente DPA è disponibile sulla pagina web dedicata del Responsabile del Trattamento. Il Responsabile del Trattamento si impegna ad aggiornare regolarmente tale elenco e a comunicare, su semplice richiesta del Titolare del Trattamento, l’elenco aggiornato di tutti i propri Sub-responsabili del Trattamento.

In caso di qualsiasi modifica dell’elenco dei Sub-responsabili del Trattamento, il Responsabile del Trattamento informerà il Titolare del Trattamento. Tale informazione dovrà indicare chiaramente le attività di trattamento oggetto di subfornitura, nonché l’identità e i dati di contatto del Sub-responsabile del Trattamento. Il Titolare del Trattamento avrà un massimo di quindici (15) giorni dalla data di ricezione di tale informazione per sollevare eventuali obiezioni, in ogni caso fondate su ragioni ragionevoli di protezione dei dati. Qualora il Titolare del Trattamento sollevi un’obiezione nei confronti di un nuovo Sub-responsabile del Trattamento, il Responsabile del Trattamento potrà, a sua esclusiva discrezione: (i) fornire i Servizi senza avvalersi del Sub-responsabile contestato; (ii) nominare un Sub-responsabile alternativo; oppure (iii) risolvere il Servizio o la funzionalità specifica interessata da tale obiezione. Tale diritto di risoluzione costituisce l’unico ed esclusivo rimedio a disposizione del Titolare del Trattamento in caso di obiezione a un nuovo Sub-responsabile del Trattamento.

6.5. Garanzie fornite dal sub-responsabile del trattamento

Il Sub-responsabile del Trattamento deve rispettare gli obblighi previsti dal presente DPA per conto del Titolare del Trattamento e in conformità alle istruzioni da questi impartite. Spetta al Responsabile del Trattamento garantire che il Sub-responsabile del Trattamento fornisca garanzie sufficienti in merito all’attuazione di misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del RGPD e di qualsiasi altra normativa applicabile al Contrato.

Qualora il Sub-responsabile del Trattamento non adempia ai propri obblighi in materia di protezione dei dati, il Responsabile del Trattamento rimane pienamente responsabile nei confronti del Titolare del Trattamento per l’adempimento, da parte del Sub-responsabile, dei relativi obblighi.

7. Diritto all’informazione degli interessati

È responsabilità del Titolare del Trattamento fornire agli Interessati le informazioni relative alle operazioni di trattamento al momento della raccolta dei dati. Il Responsabile del Trattamento non potrà essere ritenuto responsabile a tale riguardo.

8. Esercizio dei diritti degli interessati

Nella misura del possibile, il Responsabile del Trattamento deve assistere il Titolare del Trattamento nell’adempimento del proprio obbligo di rispondere alle richieste di esercizio dei diritti degli Interessati: diritto di accesso, rettifica, cancellazione e opposizione, diritto alla limitazione del trattamento, diritto alla portabilità dei dati e diritto a non essere soggetto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione).

Quando gli Interessati presentano richieste di esercizio dei loro diritti al Responsabile del Trattamento, quest’ultimo deve inoltrare tali richieste, non appena ricevute, via e-mail all’indirizzo fornito dal Cliente al momento della sottoscrizione dei Servizi.

9. Notifica delle violazioni dei dati personali

Il Responsabile del Trattamento deve notificare al Titolare del Trattamento, senza ingiustificato ritardo, qualsiasi violazione dei Dati Personali di cui venga a conoscenza, inviando la comunicazione via e-mail all’indirizzo fornito dal Titolare del Trattamento al momento della sottoscrizione dei Servizi.

Tale notifica deve essere accompagnata da tutta la documentazione pertinente che consenta al Titolare del Trattamento, se necessario, di segnalare la violazione all’autorità di controllo competente.

La notifica deve contenere almeno :

• La descrizione della natura della violazione dei Dati Personali, includendo, se possibile, la categoria e il numero approssimativo degli Interessati coinvolti nella violazione, nonché le categorie e il numero approssimativo dei registri di Dati Personali interessati,
• Il nome e i dati di contatto del Responsabile della Protezione dei Dati (DPO) o di qualsiasi altro referente in grado di fornire ulteriori informazioni,
• La descrizione delle probabili conseguenze della violazione dei Dati Personali,
• La descrizione delle misure adottate o proposte dal Titolare del Trattamento per porre rimedio alla violazione dei Dati Personali, incluse, se applicabili, le misure atte a mitigare eventuali possibili effetti negativi.

Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, tali informazioni potranno essere comunicate in più fasi, senza ingiustificato ritardo.

Il Titolare del Trattamento gestisce la comunicazione agli Interessati coinvolti nella violazione dei Dati Personali. Si ricorda che il Responsabile del Trattamento non ha visibilità sulla natura dei dati ospitati per conto del Titolare del Trattamento e non è pertanto in grado di valutare il livello di rischio per i diritti e le libertà delle persone fisiche in caso di violazione dei Dati Personali.

10. Assistenza da parte del responsabile del trattamento per aiutare il titolare del trattamento a soddisfare i propri obblighi

Il Responsabile del Trattamento fornirà al Titolare del Trattamento la documentazione pertinente affinché quest’ultimo possa effettuare le valutazioni d’impatto sulla protezione dei dati, esclusivamente per quanto concerne gli aspetti di competenza del Responsabile del Trattamento, vale a dire, per quest’ultimo, l’hosting dei dati.

Il Responsabile del Trattamento assisterà, ove possibile e ragionevole, il Titolare del Trattamento nella consultazione preventiva con l’autorità di controllo, fornendo la documentazione richiesta.

È espressamente inteso che qualsiasi intervento del Responsabile del Trattamento per conto del Titolare del Trattamento nell’ambito del presente DPA – e in particolare l’assistenza nella realizzazione delle analisi d’impatto – sarà fatturato al Titolare del Trattamento secondo la tariffa applicabile, previa accettazione da parte di quest’ultimo, qualora tale intervento superi un (1) giorno di lavoro.

11. Misure di sicurezza

Il Responsabile del Trattamento esegue il trattamento adottando misure tecniche e organizzative che garantiscono un livello di sicurezza adeguato al rischio connesso al trattamento, in conformità a quanto previsto dall’articolo 32 del RGPD.

Tali misure includono la cifratura dei dati, controlli di accesso robusti, audit di sicurezza regolari e qualsiasi altra misura necessaria a garantire la riservatezza, l’integrità e la disponibilità dei dati. Il Responsabile del Trattamento si riserva il diritto di aggiornare e migliorare tali misure di sicurezza in funzione dei requisiti normativi e delle buone pratiche del settore.

Per valutare il livello di sicurezza adeguato, il Responsabile del Trattamento considera lo stato dell’arte, i costi di attuazione, nonché la natura, l’ambito, il contesto e le finalità del trattamento, insieme ai rischi per gli Interessati.

In particolare, il Responsabile del Trattamento dispone di processi e politiche di sicurezza documentati che soddisfano almeno i requisiti imposti dalla Normativa in materia di Protezione dei Dati e sono conformi alle pratiche consolidate del settore. Durante la durata del Contratto, il Responsabile del Trattamento fornirà al Titolare del Trattamento la documentazione relativa alla sicurezza su semplice richiesta.

12. Reversibilità dei dati alla cessazione del contratto

La reversibilità dei dati alla cessazione del rapporto contrattuale tra il Responsabile del Trattamento e il Cliente è disciplinata nel Contratto.

13. Responsabile della protezione dei dati

I dati di contatto del DPO del Responsabile del Trattamento sono i seguenti :

Solène Langumier – personaldata@partoo.fr

14. Registro delle categorie di attività di trattamento

Il Responsabile del Trattamento dichiara di tenere un registro scritto di tutte le categorie di attività di trattamento svolte per conto del Titolare del Trattamento, includendo :

• Il nome e i dati di contatto del Titolare del Trattamento per conto del quale agisce, di eventuali Sub-responsabili del Trattamento e, se applicabile, del Responsabile della Protezione dei Dati,
• Le categorie di trattamenti effettuati per conto del Titolare del Trattamento,
• Ove applicabile, i trasferimenti di Dati Personali verso un paese terzo o un’organizzazione internazionale, inclusa l’identificazione di tale paese terzo o organizzazione internazionale e, nel caso di trasferimenti di cui al secondo comma dell’articolo 49(1) del RGPD, la documentazione attestante l’esistenza di garanzie adeguate.

15. Trasferimento di dati personali al di fuori dell’Unione Europea

Il Responsabile del Trattamento può trasferire indirettamente, tramite i Sub-responsabili del Trattamento menzionati all’articolo 6 del presente documento, i Dati Personali al di fuori dell’Unione Europea. In tal caso, il Responsabile del Trattamento si impegna a ottenere il previo consenso scritto del Titolare del Trattamento.

Qualsiasi trasferimento di Dati Personali al di fuori dell’Unione Europea deve essere effettuato in rigorosa conformità all’articolo 5 del RGPD, facendo in particolare affidamento su una decisione di adeguatezza o sull’attuazione di garanzie appropriate. Pertanto, quando tale trasferimento viene effettuato, il Responsabile del Trattamento si impegna a garantire che esso sia coperto da :

• Clausole contrattuali standard emanate dalla Commissione Europea o da un’Autorità di controllo conformemente all’articolo 46 del RGPD; e/o
• Norme vincolanti d’impresa (o Binding Corporate Rules) approvate dall’Autorità di controllo competente ai sensi dell’articolo 47 del RGPD; e/o
• Un codice di condotta approvato ai sensi dell’articolo 46 del RGPD; e/o
• Un meccanismo di certificazione approvato ai sensi dell’articolo 46 del RGPD; e/o
• Una decisione di adeguatezza della Commissione Europea ai sensi dell’articolo 45 del RGPD.

In ogni caso, il Responsabile del Trattamento informerà il Titolare del Trattamento entro un termine ragionevole di qualsiasi trasferimento previsto e fornirà contestualmente tutte le informazioni pertinenti che consentano al Titolare del Trattamento di adempiere ai propri obblighi in caso di trasferimento di Dati Personali.

16. Valutazione d’impatto sulla protezione dei dati

Il Titolare del Trattamento è responsabile di determinare se le operazioni di trattamento effettuate tramite i Servizi siano suscettibili di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, conformemente all’articolo 35 del RGPD. Qualora tale rischio sia identificato, il Titolare del Trattamento deve svolgere una Valutazione d’Impatto sulla Protezione dei Dati (di seguito, “DPIA”) prima di procedere al trattamento.

Il Responsabile del Trattamento fornirà al Titolare del Trattamento tutta l’assistenza ragionevole, su richiesta, per consentire il completamento della DPIA, inclusa la fornitura della documentazione relativa alle misure tecniche e organizzative di sicurezza implementate, nonché qualsiasi altra informazione pertinente riguardante le operazioni di trattamento svolte per conto del Titolare del Trattamento.

17. Audit

17.1. Quadro di riferimento

Il Responsabile del Trattamento metterà a disposizione del Titolare del Trattamento tutte le informazioni necessarie a dimostrare il rispetto di tutti i propri obblighi e a consentire audit, incluse le ispezioni, da parte del Titolare del Trattamento o di un revisore da lui incaricato, e collaborerà allo svolgimento di tali audit. In caso di audit, devono essere soddisfatte le seguenti condizioni :

Gli audit previsti nel presente articolo potranno essere condotti solo alle seguenti condizioni :

1. L’audit deve essere richiesto mediante lettera raccomandata con avviso di ricevimento, almeno trenta (30) giorni di calendario prima della data auspicata per l’audit, e deve indicare le ragioni che ne giustificano l’esecuzione. Qualora l’audit possa essere svolto tramite la fornitura di documentazione, le Parti privilegeranno tale modalità documentale,
2. Potrà essere effettuato un (1) solo audit per anno,
3. L’audit non potrà avere una durata superiore a un (1) giorno. Oltre tale limite, il Responsabile del Trattamento potrà fatturare il tempo impiegato dai propri team per l’audit secondo le tariffe che saranno comunicate al Cliente al momento della richiesta di audit o in qualsiasi momento su richiesta del Cliente.

17.2. Finalità

L’audit non deve disturbare le attività del Responsabile del Trattamento oltre quanto strettamente necessario e può pertanto riguardare esclusivamente la conformità del Responsabile del Trattamento alle disposizioni del presente DPA.

Qualora il Cliente decida di affidare l’audit a un soggetto terzo, quest’ultimo deve : (i) non essere un concorrente, diretto o indiretto, del Responsabile del Trattamento; (ii) essere vincolato da un rigoroso obbligo di riservatezza professionale, che sarà imposto dal Responsabile del Trattamento prima dell’esecuzione dell’audit; (iii) essere, in ogni caso, soggetto alla possibilità che il Responsabile del Trattamento si opponga alla sua nomina, purché tale opposizione sia adeguatamente motivata; e (iv) rispettare tutte le procedure interne del Responsabile del Trattamento. Il Cliente rimane in ogni caso pienamente responsabile del comportamento dell’auditor, senza poter invocare alcuna limitazione di responsabilità nei confronti del Responsabile del Trattamento in caso di violazione da parte del suddetto auditor.

17.3. Risultati

È inteso tra le Parti che i risultati dell’audit non possano essere divulgati e rimarranno strettamente confidenziali. Il Responsabile del Trattamento potrà presentare le proprie osservazioni prima della versione definitiva del rapporto di audit e disporrà di trenta (30) giorni per farlo, salvo che tale periodo sia ritenuto insufficiente; in tal caso, potrà richiedere un ulteriore periodo di trenta (30) giorni mediante comunicazione via e-mail.

18. Obblighi del titolare del trattamento nei confronti del responsabile del trattamento

Il responsabile del trattamento si impegna a :

1. Documentare per iscritto tutte le istruzioni relative al trattamento dei dati da parte del Responsabile del Trattamento,
2. Verificare, prima e per tutta la durata del trattamento, il rispetto da parte del Responsabile del Trattamento degli obblighi previsti dalla normativa applicabile,
3. Supervisionare il trattamento svolto dal Responsabile del Trattamento in conformità con il Contratto.

19. Ambito di applicazione delle condizioni generali di scambio dei dati

Il presente DPA costituisce un documento unico con il Contratto.

A tal riguardo, tutte le disposizioni del Contratto che non siano modificate o che non risultino in contrasto con i termini del presente DPA rimangono pienamente applicabili tra le Parti. In particolare, la clausola di limitazione di responsabilità prevista nel Contratto (e in particolare nell’articolo 10 delle CGV, ove applicabile) si applica integralmente in caso di violazione del presente DPA. In caso di conflitto tra le disposizioni del Contratto e quelle del presente DPA, prevarranno le disposizioni del presente DPA.

Qualora una qualsiasi disposizione del presente DPA sia dichiarata nulla o priva di effetto ai sensi di una norma giuridica applicabile o in forza di una decisione giudiziaria definitiva, essa sarà considerata come non apposta, senza pregiudicare la validità del DPA né alterare la validità delle sue restanti disposizioni.