Accordo per il trattamento di dati personali - DPA - Data Processing Agreement

Premesse

• Il presente accordo è parte integrante delle condizioni generali di contratto per l’erogazione del servizio Vantevo Analytics (di seguito, servizio o contratto principale).
• Il presente Data Processing Agreement (nel prosieguo, DPA) descrive i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato da parte di Netforce Srl per conto del Titolare sia conforme ai requisiti imposti dalla normativa privacy ad oggi in vigore, nazionale e comunitaria;
• In riferimento al trattamento dati, in caso di discordanza tra il presente documento e il contratto principale, dovrà prevalere il presente accordo.
• Qualsiasi violazione di questo accordo costituirà una violazione sostanziale del contratto principale.
• Il Cliente assume, ai sensi dell’art. 4 GDPR, la qualifica di Titolare del trattamento dei dati personali e che Netforce S.r.l. assume la qualifica di Responsabile del trattamento / fornitore del servizio (di seguito, le Parti).

Ciò premesso e ritenuto parte integrante del presente accordo, le Parti stipulano quanto segue:

Il Titolare del trattamento nomina il Fornitore di servizi quale Responsabile del Trattamento per tutta la durata di cui al contratto principale, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA. Mediante l’accettazione del presente documento da parte del Titolare, Netforce Srl si impegna a compiere le attività di trattamento sui dati personali in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni:

A. Oggetto

Oggetto del presente accordo è la definizione delle modalità e delle condizioni legate al trattamento dati effettuato dal Responsabile del trattamento per conto del Titolare in riferimento al contratto di servizi di cui in premessa. Accettando il presente accordo, le Parti si impegnano al rispetto della normativa vigente, nazionale o sovra nazionale, in materia di protezione dei dati personali delle persone fisiche. Le parti prendono atto e accettano che qualsiasi violazione del presente accordo da parte del Responsabile del trattamento o del Titolare costituisce una violazione del contratto di fornitura del servizio e che, in tal caso e senza pregiudizio per qualsiasi altro diritto o rimedio a disposizione, il Titolare o il Responsabile possono scegliere di risolvere immediatamente il contratto principale secondo quanto previsto dalle disposizioni di risoluzione ivi previste.

B. Durata

Il presente accordo produrrà effetti tra le Parti per tutta la durata del contratto di fornitura del servizio Vantevo Analytics e non avrà più efficacia nel momento in cui il Cliente receda dal contratto principale.

C. Origine dei dati

Il Titolare del trattamento assicura che i dati oggetto del presente accordo siano stati raccolti in modo lecito e conforme alla normativa vigente e che le informazioni trasmesse al responsabile del trattamento non violano in alcun modo i diritti degli interessati del trattamento dati.

In questo senso, il Titolare manleva il Responsabile da qualsiasi responsabilità conseguente ad eventuali trattamenti illeciti da parte del Titolare inerente all’utilizzo e ai dati contenuti in Vantevo Analytics.

D. Privacy e sicurezza dei dati dei tuoi visitatori

Il servizio Vantevo Analytics raccoglierà informazioni sui visitatori dei siti web e/o applicazioni software su cui sarà configurato.

Lo scopo di Vantevo Analytics è quello di tracciare l'utilizzo di un sito Web o di un’applicazione software in generale senza ricorrere all’identificazione e salvataggio di informazioni personali, senza utilizzare i cookie e rispettando la privacy dei visitatori.

Utilizzando Vantevo Analytics, tutte le misurazioni del sito e/o applicazioni software vengono eseguite in modo assolutamente anonimo.

Vantevo Analytics non genera alcuni identificatori persistenti nel dispositivo di origine perché considerati dati personali ai sensi del GDPR. Non utilizza cookie, cache del browser né memoria locale.

Ogni richiesta HTTP invia dei dati ai nostri server. Per generare un identificatore unico che cambia giornalmente prendiamo in considerazione l'indirizzo IP, lo User-Agent e il dominio, dell’utente. A questi dati viene aggiunto un "salt" rotante e applicata la funzione di hash per renderli anonimi. L’output è un codice che viene generato ogni 24 ore in base alla time zone selezionata dall’utente.

Formula utilizzata per calcolo identificatore univoco:

HASH (<SALT> + <DOMINIO> + <INDIRIZZO IP> + <USER-AGENT>);

La funzione hash genera una stringa casuale di numeri che viene utilizzata per avere il conteggio dei visitatori univoci per la giornata. Una volta generata la chiave con la funzione, che è il vero output al quale abbiamo accesso, l'indirizzo IP e lo User-Agent sono completamente inaccessibili a chiunque, compresi noi stessi di Vantevo Analytics. Inoltre, l’indirizzo IP e lo User-Agent non vengono MAI archiviati nei nostri database o in qualsiasi altro punto dei nostri server.

Questa tecnica garantisce completa anonimizzazione dei dati archiviati.

E. Tipologie e natura dei dati personali

Netforce Srl non tratterà dati personali diversi da quelli necessari per l’esecuzione del contratto principale, a meno che l’ulteriore trattamento sia previsto dalle normative e dai regolamenti sulla Protezione dei dati a cui sia obbligato il Responsabile del trattamento. Il Titolare incarica il Responsabile del trattamento di trattare solo i dati personali secondo quanto ragionevolmente necessario per la prestazione del servizio e in conformità con i termini e le condizioni del contratto principale e del presente accordo. La tipologia di dati personali richiesti per l’implementazione del servizio Vantevo Analytics è di tipo anagrafico, oltre a informazioni di contatto. La natura delle operazioni effettuate sui dati personali afferisce alla manutenzione, assistenza e aggiornamento del servizio e messa in sicurezza del dato (backup). Per l’esecuzione del contratto principale, il Titolare mette a disposizione del Responsabile ogni informazione necessaria richiesta.

F. Personale del Responsabile del trattamento

Il trattamento dei dati verrà effettuato unicamente dal personale di Netforce Srl preventivamente autorizzato al trattamento, ai sensi dell’art. 29 GDPR, nonché debitamente istruito sulle proprie responsabilità. Il responsabile del trattamento garantisce che il personale dedicato all’esecuzione del contratto principale sia stato reso edotto della natura confidenziale delle informazioni ricevute dal Titolare. Il Responsabile del trattamento garantisce altresì che l'accesso ai dati personali sia limitato al personale che ha la necessità di accedere ai dati personali pertinenti, nella misura strettamente necessaria, per le finalità previste dal contratto principale e dal presente accordo.

G. Obblighi del Responsabile

• Istruzioni del Titolare

  Il Responsabile dovrà trattare i dati per le finalità sopra indicate e per l'esecuzione delle prestazioni contrattuali assunte. Netfprce Srl tratterà i dati in conformità a quanto previsto nel documento termini e condizioni.

• Luogo del trattamento

  I dati saranno conservati e trattati dal Responsabile del trattamento all’interno del territorio europeo.

  I dati personali saranno custoditi per conto del responsabile del trattamento presso il datacenter OVH Datacenter Roubaix e datacenter AWS (Amazon Web Services).

• Riservatezza

  Il Responsabile del trattamento garantisce la riservatezza dei dati personali trattati nell’ambito dell’esecuzione del contratto principale. Il Responsabile del trattamento garantisce che il proprio personale autorizzato abbia sottoscritto un obbligo legale di riservatezza e che abbia ricevuto la formazione necessaria in materia di trattamento e protezione di dati personali.

• Sicurezza

  Netforce Srl ha adottato misure tecniche e organizzative adeguate alla protezione della sicurezza, confidenzialità e integrità dei dati personali. Queste misure includono, ove opportuno:

  - la valutazione del livello adeguato di sicurezza, in particolare di tutti i rischi associati al trattamento, per esempio dovuti alla distruzione accidentale o illegale, perdita, o alterazione, conservazione, accesso, comunicazione o accesso non autorizzati o illegali dei dati personali;

  - la pseudonimizzazione e cifratura dei dati personali;

  - la capacità di garantire su base permanente la confidenzialità, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;

  - la capacità di ripristinare la disponibilità e l'accesso ai dati personali, in modo tempestivo, in caso d'incidente fisico o tecnico;

  - una procedura per testare, determinare e valutare periodicamente l'efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento dei dati personali;

  - le misure per identificare le vulnerabilità relative al trattamento dei dati personali nei sistemi usati per fornire il servizio al Titolare.

  Netforce Srl ha tenuto conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza o altri eventi sostanzialmente simili, secondo quanto definito dalle normative e dai regolamenti sulla protezione dei dati.

• Informazione

  Il Responsabile del trattamento informa immediatamente il Titolare se, a suo parere, una qualsiasi ulteriore istruzione fornita da parte del Titolare possa essere difforme al GDPR o altre disposizioni sulla protezione dei dati degli Stati membri o qualsiasi altra normativa applicabile.

• Diritti degli interessati

  Il Responsabile del trattamento comunicherà tempestivamente e comunque senza indebito ritardo al Titolare, in caso di richieste pervenute da parte di un interessato del trattamento di dati personali inerente al proprio diritto di accesso, rettifica, limitazione del trattamento, cancellazione ("diritto all'oblio"), portabilità dei dati, diritto di opposizione al trattamento, o qualsiasi altra richiesta inerente i propri dati personali trattati da parte del Responsabile del trattamento.

  Su richiesta del Titolare, il Responsabile del trattamento fornirà la più completa assistenza al Titolare nell’evadere tali richieste da parte dell'interessato. In questo senso, tenuto conto della natura del trattamento, il Responsabile del trattamento deve assistere il Titolare, mediante misure tecniche e organizzative adeguate, per l'adempimento degli obblighi del Titolare di riscontro alle richieste dell'interessato inerenti all’esercizio dei diritti previsti dalla normativa vigente in materia di protezione di dati personali.

H. Data breach

Il Responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione, assisterà il Titolare del trattamento nel garantire il rispetto degli obblighi previsti dagli artt. 32 - 36 GDPR. Il Responsabile del trattamento dovrà inviare una comunicazione al Titolare del Trattamento senza indebito ritardo e, in ogni caso, entro ventiquattro (24) ore dall’essere venuto a conoscenza o aver ragionevolmente sospettato di una violazione dei dati personali.

Il Responsabile del trattamento comunicherà al Titolare, senza ingiustificati ritardi e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza, di un incidente riguardante la sicurezza o della violazione delle misure di sicurezza che abbiano condotto a un utilizzo, distruzione, perdita, divulgazione non autorizzata, accidentale o illecita, alterazione, accesso illegittimo ai dati personali ovvero a qualsiasi altra violazione della sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati. Il Responsabile del trattamento deve indicare, nella comunicazione al Titolare, dettagliate informazioni per consentire al Titolare di adempiere ai conseguenti obblighi di notifica alla competente Autorità Garante o di informazione degli interessati coinvolti nel Data Breaches.

Il Responsabile del trattamento fornirà al Titolare del trattamento informazioni sufficienti per consentire al Titolare di adempiere a qualsiasi obbligo di segnalare una violazione dei dati personali ai sensi della normativa vigente.

Non appena possibile e a seguito di effettivo Data Breach, il Responsabile del trattamento esegue una dettagliata analisi delle cause che hanno comportato un Breach e, su richiesta del Titolare, deve condividere con quest’ultimo i risultati della propria analisi e del relativo piano di ripristino

I. Comunicazione dei dati

Il Responsabile al trattamento tratta i dati personali del Titolare del trattamento solo ai fini dell'esecuzione del contratto principale. Il Responsabile del Trattamento non deve trattare, trasferire, modificare, correggere o alterare i dati personali del Titolare del trattamento o divulgare o consentirne la divulgazione a terzi se non in conformità alle istruzioni documentate del Titolare del trattamento, a meno che il trattamento non sia richiesto dall'UE e/o dalle leggi dello Stato Membro a cui è soggetto il Responsabile e/o una qualsiasi legislazione anche sovranazionale a cui è soggetto il Responsabile. Il Responsabile del trattamento dovrà, nella misura consentita da tali leggi, informare il Titolare del Trattamento di tali requisiti legali prima di trattare ulteriormente i dati personali e attenersi alle istruzioni del Titolare del Trattamento per ridurre al minimo, per quanto possibile, l'ambito della divulgazione.

L. Cancellazione o restituzione dei dati personali

Il Responsabile del trattamento, nel caso di cessazione dell’erogazione dei servizi di cui al contratto principale o di recesso dallo stesso, dovrà restituire o cancellare tutti i dati personali di cui è entrato in possesso nonché cancellare eventuali copie, digitali o cartacee, esistenti. I dati di cui è in possesso il Responsabile del trattamento dovranno essere restituiti a richiesta del Titolare del trattamento attraverso la consegna del backup del database ovvero dei file su cui risiedono i dati personali di un file in un formato strutturato di uso comune e leggibile da un dispositivo automatico. I dati saranno restituiti (in formato JSON/CSV) o cancellati dal data center al massimo entro 60 giorni dalla data di risoluzione del contratto. Il Titolare del trattamento è a conoscenza che in qualsiasi momento potrà procedere in proprio alla cancellazione dei dati attraverso la funzione dedicata ‘Elimina dominio’’ presente all’interno dell’applicativo software. Per motivi di sicurezza dei propri sistemi informativi, il Responsabile precisa che i dati del Titolare. Il Responsabile del trattamento potrà ulteriormente conservare i dati solo nella misura e per il periodo richiesto dalla legge dell'Unione o dello Stato membro, e sempre a condizione che il Responsabile del trattamento garantisca la riservatezza di tutti i dati personali e garantisce che gli stessi siano trattati esclusivamente secondo le necessità per gli scopi specificati nelle leggi dell'Unione o degli Stati membri e per nessun’altra finalità.

M. Contatti privacy

Per l'esercizio dei propri diritti e per altro tipo di comunicazione inerente alla normativa privacy è possibile contattare Netforce Srl scrivendo a privacy@vantevo.io

N. Disposizioni finali

La sottoscrizione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel contratto principale. Per quanto non espressamente previsto, si rinvia alle disposizioni generali vigenti in materia di protezione di Dati Personali.