Vai al contenuto
Rivadesk Rivadesk.
Inizia gratis

Legale

Accordo sul trattamento dati

La presente bozza di Accordo sul trattamento dei dati (Data Processing Addendum, «DPA») disciplina il trattamento di dati personali effettuato da File system per conto dei clienti business che utilizzano il servizio Rivadesk, ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 («GDPR»). Costituisce parte integrante del contratto di servizio tra il cliente e File system e si applica nella misura in cui File system tratti dati personali in qualità di responsabile del trattamento per conto del cliente.

1. Ruoli delle parti, oggetto e durata

In relazione ai dati personali trattati nell'ambito del servizio Rivadesk, il cliente agisce in qualità di titolare del trattamento e File system in qualità di responsabile del trattamento. Quando il cliente tratta a sua volta dati per conto di terzi, può agire come responsabile e File system come sub-responsabile: in tal caso le presenti disposizioni si applicano di conseguenza.

L'oggetto del trattamento è l'erogazione del servizio Rivadesk secondo il contratto. La durata del trattamento coincide con la durata del contratto di servizio, salvi gli obblighi di conservazione previsti dalla legge e quanto stabilito alla sezione 9 (cancellazione e restituzione).

2. Natura e finalità del trattamento, categorie di interessati e di dati

La natura e la finalità del trattamento consistono nelle operazioni necessarie a fornire le funzionalità di Rivadesk richieste dal cliente (ad esempio raccolta, registrazione, organizzazione, conservazione, consultazione e cancellazione dei dati), esclusivamente secondo le istruzioni del titolare.

Le categorie di interessati e di dati personali sono determinate dal cliente in funzione dell'uso che fa del servizio e possono includere, a titolo esemplificativo:

• categorie di interessati: utenti e personale del cliente, suoi clienti o contatti e altri soggetti i cui dati il cliente inserisce o gestisce nel servizio;

• categorie di dati: dati identificativi e di contatto, dati dell'account e delle credenziali, contenuti e documenti caricati dal cliente, dati di utilizzo e log tecnici necessari all'erogazione del servizio.

Il trattamento di categorie particolari di dati (art. 9 GDPR) non è previsto come finalità del servizio; ove il cliente scelga di inserirli, ne assume la responsabilità in qualità di titolare e ne valuta la base giuridica.

3. Istruzioni documentate del titolare

File system tratta i dati personali soltanto sulla base di istruzioni documentate del titolare, comprese quelle relative ai trasferimenti verso paesi terzi, salvo che lo imponga il diritto dell'Unione o dello Stato membro cui è soggetto il responsabile; in tal caso File system informa il titolare prima del trattamento, salvo che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico. Il contratto di servizio, la configurazione del prodotto e la documentazione tecnica costituiscono le istruzioni documentate iniziali del titolare. File system informa il titolare qualora ritenga che un'istruzione violi il GDPR o altre disposizioni applicabili in materia di protezione dei dati.

4. Riservatezza del personale autorizzato

File system garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e che l'accesso ai dati sia limitato al personale che ne ha necessità per l'erogazione del servizio (principio del need-to-know).

5. Misure di sicurezza (art. 32 GDPR)

File system adotta misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, ai sensi dell'articolo 32 GDPR, tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento. Tali misure possono includere, ove appropriato, il controllo degli accessi, la cifratura dei dati in transito, il backup e procedure di ripristino, la registrazione degli eventi e la valutazione periodica dell'efficacia delle misure. Il dettaglio aggiornato delle misure è descritto nella documentazione di sicurezza messa a disposizione del cliente. L'area di hosting e conservazione dei dati è indicata in —.

6. Sub-responsabili

Il titolare autorizza in via generale File system a ricorrere a sub-responsabili del trattamento (ad esempio fornitori di hosting e infrastruttura) per l'erogazione del servizio. File system impone a ciascun sub-responsabile, mediante contratto, obblighi di protezione dei dati equivalenti a quelli previsti dal presente accordo e resta pienamente responsabile nei confronti del titolare dell'operato dei propri sub-responsabili.

L'elenco dei sub-responsabili è disponibile, ove pubblicato, all'indirizzo —. File system informa il titolare di eventuali modifiche riguardanti l'aggiunta o la sostituzione di sub-responsabili, dando al titolare la possibilità di opporsi per motivi legittimi e ragionevoli relativi alla protezione dei dati.

7. Assistenza al titolare

Tenuto conto della natura del trattamento, File system assiste il titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per:

• dare seguito alle richieste di esercizio dei diritti degli interessati (artt. 12-23 GDPR);

• garantire il rispetto degli obblighi di sicurezza (art. 32), di notifica delle violazioni dei dati personali all'autorità di controllo (art. 33) e di comunicazione agli interessati (art. 34), nonché di valutazione d'impatto sulla protezione dei dati (DPIA, art. 35) e di consultazione preventiva (art. 36).

File system informa il titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali che riguardi i dati trattati per conto del titolare, fornendo le informazioni ragionevolmente disponibili per consentire al titolare di adempiere ai propri obblighi.

8. Trasferimenti extra-UE/SEE

Eventuali trasferimenti di dati personali verso paesi al di fuori dell'Unione europea o dello Spazio economico europeo avvengono soltanto in presenza di garanzie adeguate ai sensi del Capo V del GDPR, in particolare le Clausole contrattuali standard (SCC) approvate dalla Commissione europea, ovvero in base a una decisione di adeguatezza o ad altro meccanismo previsto dalla legge. Le aree di trattamento sono indicate in —, coerentemente con quanto dichiarato nell'informativa privacy.

9. Cancellazione e restituzione dei dati

Alla cessazione del servizio, a scelta del titolare, File system cancella o restituisce al titolare tutti i dati personali trattati per suo conto ed elimina le copie esistenti, salvo che il diritto dell'Unione o dello Stato membro richieda la conservazione dei dati. Le modalità e i tempi della cancellazione o restituzione sono descritti nella documentazione del servizio, nel rispetto del principio di minimizzazione (art. 5 GDPR).

10. Audit e ispezioni

File system mette a disposizione del titolare le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'articolo 28 GDPR e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal titolare o da un altro soggetto da questi incaricato, secondo modalità ragionevoli concordate tra le parti (ad esempio messa a disposizione di documentazione, certificazioni o report di audit di terzi, ove disponibili), nel rispetto della riservatezza e della sicurezza degli altri clienti.

11. Sottoscrizione, modifiche e contatti

La presente bozza è un modello informativo e non sostituisce un accordo sottoscritto: la versione applicabile è quella richiamata nell'ordine o in un accordo separato concluso tra il cliente e File system, che prevale in caso di difformità. File system può aggiornare il presente modello per riflettere cambiamenti normativi, tecnici od organizzativi; l'ultimo aggiornamento è indicato di seguito. Ultimo aggiornamento: —.

Per la sottoscrizione del DPA, per l'elenco aggiornato dei sub-responsabili o per richieste relative al trattamento dei dati, i clienti business possono contattare File system all'indirizzo allbrand.italia@gmail.com; ove nominato, il Responsabile della protezione dei dati è — (allbrand.italia@gmail.com). Resta ferma la possibilità per gli interessati di proporre reclamo all'autorità di controllo competente (Garante per la protezione dei dati personali).