DATA PROCESSING AGREEMENT

Premesso che
  • Il presente accordo è parte integrante e sostanziale delle condizioni generali di contratto per l’erogazione del software as a service FastEvent realizzato da Sync Lab S.r.l. (di seguito, servizio o Contratto principale).
  • Il presente Data Processing Agreement (nel proseguo, DPA) descrive i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato da parte di Sync Lab S.r.l. per conto del Titolare sia conforme ai requisiti imposti dalla normativa privacy ad oggi in vigore, nazionale e comunitaria;
  • In riferimento al trattamento dati, in caso di discordanza tra il presente documento e il Contratto principale, dovrà prevalere il presente accordo.
  • Qualsiasi violazione di questo accordo costituirà una violazione sostanziale del Contratto principale.
  • La società Cliente assume, ai sensi dell’art. 4 GDPR, la qualifica di Titolare del trattamento dei dati personali e che Sync Lab S.r.l. assume la qualifica di Responsabile del trattamento / fornitore del servizio (di seguito, le Parti).

Ciò premesso e ritenuto parte integrante del presente accordo, le Parti stipulano quanto segue:

il Titolare del trattamento nomina il Fornitore di servizi quale Responsabile del Trattamento per tutta la durata di cui al Contratto principale, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA. Mediante l’accettazione del presente documento da parte del Titolare, Sync Lab s.r.l. si impegna a compiere le attività di trattamento sui dati personali in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni.

  1. Oggetto
  2. Oggetto del presente accordo è la definizione delle modalità e delle condizioni legate al trattamento dati effettuato dal Responsabile del trattamento per conto del Titolare in riferimento al contratto di servizi di cui in premessa. Accettando il presente accordo, le Parti si impegnano al rispetto della normativa vigente, nazionale o sovranazionale, in materia di protezione dei dati personali delle persone fisiche. Le parti prendono atto e accettano che qualsiasi violazione del presente accordo da parte del Responsabile del trattamento o del Titolare costituisce una violazione del contratto di fornitura del servizio e che, in tal caso e senza pregiudizio per qualsiasi altro diritto o rimedio a disposizione, il Titolare o il Responsabile possono scegliere di risolvere immediatamente il Contratto principale secondo quanto previsto dalle disposizioni di risoluzione ivi previste.

  3. Durata
  4. Il presente accordo produrrà effetti tra le Parti per tutta la durata del contratto di fornitura del servizio FastEvent e non avrà più efficacia nel momento in cui il Cliente receda dal Contratto principale.

  5. Origine dei dati
  6. Il Titolare del trattamento assicura che i dati oggetto del presente accordo siano stati raccolti in modo lecito e conforme alla normativa vigente e che le informazioni trasmesse al Responsabile del trattamento non violano in alcun modo i diritti degli interessati del trattamento dati. In tal senso, il Titolare manleva il Responsabile da qualsiasi responsabilità conseguente ad eventuali trattamenti illeciti da parte del Titolare inerente all’utilizzo e ai dati contenuti nel FastEvent.

  7. Finalità del Trattamento
  8. La finalità del trattamento dei Dati è la fornitura dei Servizi da parte di Sync Lab S.r.l. Per fornire i Servizi al Cliente, il Responsabile del Trattamento tratterà, per conto del Titolare, i dati inseriti nel software FastEvent. Per “Dati personali” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato») come definito dall’art. 4 del GDPR. Il Responsabile svolge esclusivamente le attività di trattamento necessarie e rilevanti ad assicurare l'esecuzione dei Servizi al Titolare.

  9. Tipologie e natura dei dati personali
  10. Sync Lab S.r.l. non tratterà dati personali diversi da quelli necessari per l’esecuzione del Contratto principale, a meno che l’ulteriore trattamento sia previsto dalle normative e dai regolamenti sulla Protezione dei dati a cui sia obbligato il Responsabile del trattamento. Il Titolare incarica il Responsabile del trattamento di trattare solo i dati personali secondo quanto ragionevolmente necessario per la prestazione del servizio e in conformità con i termini e le condizioni del Contratto principale e del presente accordo. La tipologia di dati personali richiesti per l’implementazione del servizio FastEvent è di tipo anagrafico, oltre a informazioni di contatto. La natura delle operazioni effettuate sui dati personali afferisce alla manutenzione, assistenza e aggiornamento del servizio e messa in sicurezza del dato (backup). Per l’esecuzione del contratto principale, il Titolare mette a disposizione del Responsabile ogni informazione necessaria richiesta.

    1. Amministratori di sistema
    2. In relazione alle attività svolte dal responsabile del trattamento, in riferimento alla conservazione dei dati e alle attività sistemistiche dirette alla manutenzione e all’aggiornamento dei sistemi e database, il personale addetto del responsabile del trattamento verrà incaricato della funzione di Amministratore di Sistema. Il Responsabile del trattamento, prima dell’attribuzione di tale funzione, ha valutato le caratteristiche soggettive degli Amministratori di Sistema e manterrà la registrazione dei relativi accessi ai sistemi informativi, così come previsto e richiesto dal Provvedimento del Garante italiano per la protezione dei dati personali del 27.11.2008. Ove richiesto dal Titolare, il Responsabile comunicherà l’elenco aggiornato degli Amministratori di Sistema.

  11. Personale del Responsabile del trattamento
  12. Il trattamento dei dati verrà effettuato unicamente dal personale di Sync Lab S.r.l. preventivamente autorizzato al trattamento, ai sensi dell’art. 29 GDPR, nonché debitamente istruito sulle proprie responsabilità. Il responsabile del trattamento garantisce che il personale dedicato all’esecuzione del contratto principale sia stato reso edotto della natura confidenziale delle informazioni ricevute dal Titolare. I dipendenti del Responsabile sono soggetti a un obbligo di riservatezza e hanno firmato un’apposita nomina che li autorizza a trattare i Dati in maniera conforme alla Legge Applicabile e alle disposizioni contenute nel presente DPA. Il Responsabile del Trattamento assicura, inoltre, che i dipendenti che svolgono operazioni di trattamento sui Dati personali trattano solo le categorie di Dati personali previste dal presente DPA e in conformità con le Istruzioni. Il Responsabile del trattamento garantisce altresì che l'accesso ai dati personali sia limitato al personale che ha la necessità di accedere ai dati personali pertinenti, nella misura strettamente necessaria, per le finalità previste dal Contratto principale e dal presente accordo

  13. Obblighi del Responsabile
  14. Sync Lab S.r.l. si impegna ad osservare le seguenti prescrizioni per l’esecuzione del contratto principale:

    1. Istruzioni del Titolare
    2. Il Responsabile dovrà trattare i dati per le finalità sopra indicate ed esclusivamente per l'esecuzione delle prestazioni contrattuali assunte. Sync Lab S.r.l. tratterà i dati in conformità a quanto previsto nel documento security policy.

    3. Luogo del trattamento
    4. I dati saranno conservati e trattati dal Responsabile del trattamento all’interno del territorio europeo e qualora in futuro il trattamento dovesse essere eseguito in paesi extra UE, il Responsabile del trattamento ne darà comunicazione al Titolare del trattamento per convenire le garanzie adeguate che lo stesso richiede in funzione del luogo in cui il trattamento sarà effettuato. Nel caso in cui il Responsabile del trattamento sia tenuto ad effettuare un trasferimento dei dati verso un paese terzo o un'organizzazione internazionale in virtù di leggi dell'Unione o dello Stato membro di appartenenza, dovrà informare il Titolare del trattamento di tale obbligo al fine di ottenerne l’autorizzazione prima del trasferimento. I dati personali saranno custoditi per conto del responsabile del trattamento presso il datacenter Amazon AWS (Amazon Web Services).

    5. Riservatezza
    6. Il Responsabile del trattamento garantisce la riservatezza dei dati personali trattati nell’ambito dell’esecuzione del contratto principale. Il Responsabile del Trattamento tratta tutti i Dati personali come informazioni strettamente riservate. I Dati Personali non possono essere copiati, trasferiti o trattati in conflitto con le Istruzioni, a meno che non venga autorizzato a seguito di ulteriori accordi con il Titolare del Trattamento.

    7. Misure di sicurezza
    8. Le misure di sicurezza adottate da Sync Lab S.r.l. sono quelle indicate nel documento security policy. Sync Lab S.r.l. ha adottato misure tecniche e organizzative adeguate alla protezione della sicurezza, confidenzialità e integrità dei dati personali. Queste misure includono, ove opportuno:

      1. la valutazione del livello adeguato di sicurezza, in particolare di tutti i rischi associati al trattamento, per esempio dovuti alla distruzione accidentale o illegale, perdita, o alterazione, conservazione, accesso, comunicazione o accesso non autorizzati o illegali dei dati personali;
      2. la pseudonimizzazione e cifratura dei dati personali;
      3. la capacità di garantire su base permanente la confidenzialità, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
      4. la capacità di ripristinare la disponibilità e l'accesso ai dati personali, in modo tempestivo, in caso d'incidente fisico o tecnico;
      5. una procedura per testare, determinare e valutare periodicamente l'efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento dei dati personali;
      6. le misure per identificare le vulnerabilità relative al trattamento dei dati personali nei sistemi usati per fornire il servizio al Titolare.

      Sync Lab S.r.l. ha tenuto conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza o altri eventi sostanzialmente simili, secondo quanto definito dalle normative e dai regolamenti sulla protezione dei dati.

    9. Informazione
    10. Il Responsabile del trattamento informa immediatamente il Titolare se, a suo parere, una qualsiasi ulteriore istruzione fornita da parte del Titolare possa essere difforme al GDPR o altre disposizioni sulla protezione dei dati degli Stati membri o qualsiasi altra normativa applicabile.

    11. Valutazioni d'impatto sulla protezione dei dati e consultazione preventiva
    12. A richiesta del Titolare, Sync Lab S.r.l. fornirà le informazioni necessarie allo svolgimento della valutazione d'impatto privacy (DPIA), verifica, certificazione della protezione e sicurezza dei dati o per le consultazioni preliminari con le Autorità Garanti o con altre Autorità competenti in materia di protezione dei dati, che il Titolare consideri adeguate o necessarie per adempiere alla normativa e ai regolamenti in materia di protezione dei dati, per quanto afferente al trattamento dei dati personali da parte del Responsabile del trattamento di cui al contratto principale.

    13. Audit
    14. Il Responsabile del trattamento accetta che il Titolare (o i suoi rappresentanti designati), previo ragionevole preavviso, possa ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile (e/o quelle dei suoi Sub-Responsabili) per conto del Titolare del trattamento al fine di accertarne la conformità con i termini previsti dal presente DPA e dalla normativa in materia di protezione dei dati personali. Inoltre, il Responsabile del Trattamento dovrà mettere a disposizione del Titolare tutte le informazioni rilevanti necessarie a dimostrare la conformità al presente DPA. Il Responsabile del trattamento coadiuverà il Titolare per ridurre e risolvere tempestivamente qualsiasi mancanza di conformità riscontrata durante tali verifiche. Qualora tali attività comportino oneri e spese non previste dal presente accordo o dal contratto principale, tutte le richieste del Titolare dovranno essere gestite a livello progettuale con una stima dei costi necessari per la loro attuazione (siano esse attività di penetration test, vulnerability assessment o altro).

    15. Diritti degli interessati
    16. Il Responsabile del trattamento comunicherà tempestivamente e comunque senza indebito ritardo al Titolare, in caso di richieste pervenute da parte di un interessato del trattamento di dati personali inerente al proprio diritto di accesso, rettifica, limitazione del trattamento, cancellazione ("diritto all'oblio"), portabilità dei dati, diritto di opposizione al trattamento, o qualsiasi altra richiesta inerente i propri dati personali trattati da parte del Responsabile del trattamento. Su richiesta del Titolare, il Responsabile del trattamento fornirà la più completa assistenza al Titolare nell’evadere tali richieste da parte dell'interessato. In questo senso, tenuto conto della natura del trattamento, il Responsabile del trattamento deve assistere il Titolare, mediante misure tecniche e organizzative adeguate, per l'adempimento degli obblighi del Titolare di riscontro alle richieste dell'interessato inerenti all’esercizio dei diritti previsti dalla normativa vigente in materia di protezione di dati personali.

  15. Sub responsabili
  16. Sync Lab S.r.l. può ricorrere a un altro responsabile solo previa autorizzazione scritta, specifica o generale, del committente. L’accettazione del presente DPA vale quale autorizzazione scritta generale. Il Responsabile del trattamento è comunque sempre tenuto ad informare il Titolare in merito alla scelta, aggiunta o sostituzione di qualsiasi sub-responsabile del trattamento, dando così al Titolare l’opportunità di valutarla, e se del caso opporvisi. Prima di consentire l'accesso, da parte del sub-responsabile, ai dati personali, il Responsabile del trattamento dovrà garantire che tale sub-responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi o superiori obblighi in materia di protezione dei dati contenuti indicati nel presente contratto. In particolare, il Responsabile del trattamento deve prevedere in quest’ultimo caso garanzie sufficienti affinché il sub-responsabile metta in atto misure tecniche e organizzative adeguate al fine di soddisfare i requisiti normativi previsti. Il Responsabile del trattamento è responsabile degli atti e delle omissioni di qualsiasi sub-responsabile.

  17. Violazione dei dati personali (Data Breach)
  18. Il Responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione, assisterà il Titolare del trattamento nel garantire il rispetto degli obblighi previsti dagli artt. 32 - 36 GDPR. Il Responsabile del trattamento dovrà inviare una comunicazione al Titolare del Trattamento senza indebito ritardo e, in ogni caso, entro ventiquattro (24) ore dall’essere venuto a conoscenza o aver ragionevolmente sospettato di una violazione dei dati personali. Il Responsabile del trattamento comunicherà al Titolare, senza ingiustificati ritardi e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza, di un incidente riguardante la sicurezza o della violazione delle misure di sicurezza che abbiano condotto a un utilizzo, distruzione, perdita, divulgazione non autorizzata, accidentale o illecita, alterazione, accesso illegittimo ai dati personali ovvero a qualsiasi altra violazione della sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati. Il Responsabile del trattamento nella comunicazione al Titolare dovrà descrivere la natura del Data Breach includendo, ove possibile, le categorie e l’approssimativo numero di dati coinvolti; fornire il nome e i contatti del data protection officer o di altro contatto qualora maggiori informazioni possano trarsi da quest’ultimo; descrivere le misure prese o in procinto di essere attuate per affrontare il Data Breach includendo, se appropriato, azioni mirate a mitigare i suoi potenziali effetti dannosi. Il Responsabile del trattamento fornirà al Titolare del trattamento informazioni sufficienti per consentire al Titolare di adempiere a qualsiasi obbligo di segnalare una violazione dei dati personali ai sensi della normativa vigente. Non appena possibile e a seguito di effettivo Data Breach, il Responsabile del trattamento esegue una dettagliata analisi delle cause che hanno comportato un Breach e, su richiesta del Titolare, deve condividere con quest’ultimo i risultati della propria analisi e del relativo piano di ripristino

  19. Comunicazione dei dati
  20. Il Responsabile al trattamento tratta i dati personali del Titolare del trattamento solo ai fini dell'esecuzione del contratto principale. Il Responsabile del Trattamento non deve trattare, trasferire, modificare, correggere o alterare i dati personali del Titolare del trattamento o divulgare o consentirne la divulgazione a terzi se non in conformità alle istruzioni documentate del Titolare del trattamento, a meno che il trattamento non sia richiesto dall'UE e/o dalle leggi dello Stato Membro a cui è soggetto il Responsabile e/o una qualsiasi legislazione anche sovranazionale a cui è soggetto il Responsabile. Il Responsabile del trattamento dovrà, nella misura consentita da tali leggi, informare il Titolare del Trattamento di tali requisiti legali prima di trattare ulteriormente i dati personali e attenersi alle istruzioni del Titolare del Trattamento per ridurre al minimo, per quanto possibile, l'ambito della divulgazione.

  21. Cancellazione o restituzione dei dati personali
  22. Il Responsabile del trattamento, nel caso di cessazione dell’erogazione dei servizi di cui al contratto principale o di recesso dallo stesso, dovrà restituire o cancellare tutti i dati personali di cui è entrato in possesso nonché cancellare eventuali copie, digitali o cartacee, esistenti. I dati di cui è in possesso il Responsabile del trattamento dovranno essere restituiti a richiesta del Titolare del trattamento attraverso la consegna del backup del database ovvero dei file su cui risiedono i dati personali di un file in un formato strutturato di uso comune e leggibile da un dispositivo automatico. I dati saranno restituiti (in formato JSON) o cancellati dal data center Amazon (AWS) al massimo entro 90 giorni dalla data di risoluzione del contratto. Il Titolare del trattamento è a conoscenza che in qualsiasi momento potrà procedere in proprio alla cancellazione dei dati attraverso la funzione dedicata “Distruggi dominio’’ presente all’interno dell’applicativo software. Per motivi di sicurezza dei propri sistemi informativi, il Responsabile precisa che i dati del Titolare risiederanno per 12 mesi dalla cessazione del contratto principale su supporti di backup, i quali verranno sovrascritti al termine del menzionato periodo. Il Responsabile del trattamento potrà ulteriormente conservare i dati solo nella misura e per il periodo richiesto dalla legge dell'Unione o dello Stato membro, e sempre a condizione che il Responsabile del trattamento garantisca la riservatezza di tutti i dati personali e garantisce che gli stessi siano trattati esclusivamente secondo le necessità per gli scopi specificati nelle leggi dell'Unione o degli Stati membri e per nessun’altra finalità.

  23. Contatti privacy
  24. Per l'esercizio dei propri diritti e per altro tipo di comunicazione inerente alla normativa privacy è possibile contattare il Responsabile della Protezione Dati scrivendo a

  25. Disposizioni finali
  26. La sottoscrizione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel contratto principale. Per quanto non espressamente previsto, si rinvia alle disposizioni generali vigenti in materia di protezione di Dati Personali.

Per qualsiasi cosa
contattaci

Ti risponderemo nel minor tempo possibile

Per favore inserisci il tuo nome.
Per favore inserisci la tua email.
Per favore inserisci un messaggio.