DATA PROCESSING AGREEMENT (“DPA”)

Accordo di Trattamento dei Dati ex art. 28 GDPR tra la Società e l’Utente

PREMESSO CHE

1. L’Utente ha acquistato dei Servizi regolati dai TCG nel corso della fornitura dei quali la Società potrebbe entrare in contatto con informazioni che consistono in Dati Personali relativi a Interessati che operano sotto l’autorità del Cliente stesso (es. dipendenti, collaboratori o tirocinanti), ovvero che sono espressione del potere gestorio del Cliente (amministratori e/o soci) che sono suoi clienti, o fornitori o altro tipo di controparti negoziali;
2. in relazione a tali Dati, pertanto, l’Utente è Titolare del Trattamento, mentre la Società è Responsabile, e come tali vengono rispettivamente definiti nel DPA;
3. l’art. 4, comma 8, del Regolamento UE 2016/679 (“GDPR”) definisce “Responsabile del Trattamento” la “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del Trattamento”;
4. l’art. 28, comma 1, dispone che “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.”;
5. l’art. 28, comma 3, specifica che i trattamenti da parte di un responsabile del trattamento devono essere disciplinati “da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”;
6. ai fini del DPA il significato dei termini con la lettera iniziale maiuscola, dove non spiegato nel DPA stesso, è spiegato nel Glossario facente parte dei TCG;
7. le Appendici in calce al DPA formano parte integrante e sostanziale del DPA.

Tutto ciò premesso, acquistando i Servizi e accettando i TCG, l’Utente conviene e stipula con la Società tutto quanto segue.

• DICHIARAZIONI DELLE PARTI

1. 1. 1. Le Parti dichiarano e danno atto che dalla stipula del DPA non deriva al Titolare un dovere di versare, e al Responsabile un diritto di richiedere, somme ulteriori rispetto a quelle previste dal Contratto. 
      2. Il Titolare, alla luce delle verifiche effettuate, prende atto che il Responsabile possiede esperienza, capacità e affidabilità idonee a garantire il rispetto delle disposizioni in materia di Trattamento, ivi compreso il profilo relativo alla sicurezza, ed in ogni caso di essere in grado di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il Trattamento soddisfi i requisiti della Normativa Privacy e garantisca la tutela dei diritti dell’Interessato.
      3. Il Titolare dichiara espressamente:
         1. di aver scelto il Responsabile in considerazione di quanto testé riportato;
         2. di autorizzare il Responsabile a dare incarico agli altri Responsabili indicati nell’Appendice C; 
         3. di essere consapevole che il requisito essenziale per usufruire delle prestazioni contrattualmente pattuite con la Società è il rispetto dei principi fondamentali del Trattamento di cui all’art. 5 GDPR per quanto di competenza del Titolare, nonché la sussistenza di una base giuridica che determini la liceità del trattamento dei Dati Personali, ai sensi degli artt. 6, 7 e 9 del Regolamento (UE) 2016/679;
         4. di essere consapevole delle proprie responsabilità in merito al proprio ruolo di organizzazione che determina mezzi e finalità del Trattamento, inclusa (a titolo esemplificativo e non esaustivo) la corretta configurazione e l’utilizzo delle funzionalità di sicurezza controllate da egli stesso, tenuto conto anche della limitata possibilità di intervento della Società sulla configurazione dell’infrastruttura informatica in uso presso il Cliente;
         5. di essere in possesso (ove dovute) di tutte le necessarie autorizzazioni da parte degli Interessati a poter trattare i Dati, sia autonomamente sia per il tramite della Società.

• OGGETTO DELL’ACCORDO

1. 1. 1. Il DPA disciplina le istruzioni che il Titolare impartisce al Responsabile ai fini del Trattamento, nonché termini, condizioni e reciproci diritti, obblighi e responsabilità.

• CARATTERISTICHE DEL TRATTAMENTO, CATEGORIE DI DATI E DI INTERESSATI, ISTRUZIONI SUL TRATTAMENTO

1. 1. 1. Il Trattamento oggetto del Contratto ha le caratteristiche indicate nell’Appendice A.
      2. Il Responsabile effettua il Trattamento dei Dati indicati nell’Appendice A, in relazione a ciascun Servizio. Il Titolare ha facoltà di comunicare al Responsabile quali informazioni, tra quelle indicate nell’Appendice A per ciascun Servizio, non intenda eventualmente raccogliere; a tal fine si impegna a inviare una comunicazione scritta alla Società.

• Diritti del Titolare

1. 1. 1. Il Titolare ha diritto di:
         1. vigilare sull’operato del Responsabile, con costi a proprio carico;
         2. opporsi alle modifiche (in aggiunta e/o sostituzione rispetto all’Appendice C) dell’elenco degli altri Responsabili per l’esecuzione di specifiche attività di trattamento per conto del Titolare, nel termine di sette giorni dalla comunicazione da parte della Società;
         3. comunicare la cessazione e/o la sospensione del Trattamento qualora essa sia imposta dalla necessità di adempiere a divieti o obblighi derivanti dalla Normativa Privacy o dalla Normativa Applicabile, e/o a provvedimenti/ordini dell’Autorità di Controllo o altra Autorità;
         4. regresso, nei confronti del Responsabile, della somma, eventualmente pagata a titolo di risarcimento del danno subito dall’Interessato, corrispondente alla parte di responsabilità del Responsabile stesso.

• OBBLIGHI DEL TITOLARE

1. 1. 1. Il Titolare ha l’obbligo di:
         1. inviare una comunicazione scritta alla Società nel caso in cui non intenda raccogliere, tramite i Servizi, alcune delle informazioni tra quelle indicate nell’Appendice A per ciascun Servizio;
         2. eseguire il Trattamento nel rispetto della Normativa Privacy e dell’ulteriore Normativa Applicabile, e in particolare a:
            1. mettere a disposizione delle informazioni agli Interessati sul trattamento dei dati personali a norma degli artt. 13 e 14 GDPR;
            2. raccogliere (nei limiti in cui sia dovuto) il consenso al trattamento dei dati dagli Interessati;
            3. garantire loro la possibilità di esercizio dei diritti di cui agli artt. a 15 a 22 del GDPR;
         3. indicare al Responsabile i soggetti da lui incaricati di attività di revisione e ispezione, con preavviso di almeno 30 trenta) giorni lavorativi, comunicando nei medesimi termini qualifiche e competenze di tali soggetti per poterne valutare eventuali conflitti di interesse;
         4. svolgere (e/o far svolgere) le attività di cui al precedente punto senza interferire con le ordinarie attività del Responsabile;
         5. inoltrare al Responsabile, senza ingiustificato ritardo, ogni richiesta da parte degli Interessati che implichi la sua collaborazione;
         6. effettuare ogni comunicazione eventualmente necessaria all’Autorità di Controllo, al momento della Cessazione;
         7. segnalare tempestivamente al Responsabile l’insorgenza di problemi tecnici afferenti il Trattamento e le relative misure di sicurezza, che possano comportare rischi di distruzione o perdita, anche accidentale, dei Dati stessi, ovvero di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità;
         8. manifestare la propria eventuale contrarietà all’impiego da parte del Responsabile di uno o più dei soggetti di cui all’Appendice C, con comunicazione motivata da inviare al Responsabile entro non oltre dieci giorni dalla sottoscrizione del DPA;
         9. corrispondere per primo eventuali somme richieste a titolo di risarcimento dagli Interessati al Responsabile, salvo il diritto di regresso nei confronti di quest’ultimo a seguito dell’accertamento, con sentenza definitiva, dell’eventuale sua parte di responsabilità.

• DIRITTI DEL RESPONSABILE

1. 1. 1. Il Responsabile ha diritto di:
         1. ricevere congruo preavviso (di almeno 30 – trenta giorni, salvo motivi di giustificata e documentata urgenza) dal Titolare in merito all’effettuazione da parte di quest’ultimo di controlli, attività di revisione e/o ispezione, nonché di conoscere nei medesimi termini qualifiche e competenze degli auditor per poterne valutare eventuali conflitti di interesse;
         2. inoltrare al Titolare, senza ingiustificato ritardo, ogni richiesta da parte degli Interessati eventualmente a lui pervenuta;
         3. regresso, nei confronti del Titolare, della parte di somma, eventualmente pagata a titolo di risarcimento del danno subito dall’Interessato, corrispondente alla parte di responsabilità del Titolare stesso.

• OBBLIGHI DEL RESPONSABILE

1. 1. 1. Il Responsabile ha l’obbligo di:
         1. eseguire il Trattamento conformemente al DPA e seguendo le eventuali ulteriori legittime istruzioni scritte impartite dal Titolare, se e nella misura in cui esse siano conformi alla Normativa Privacy e alla Normativa Applicabile;
         2. ove dovuto, prestare la dovuta collaborazione al Titolare per consentirgli di fornire agli Interessati le informazioni relative al Trattamento dei Dati Personali a norma degli artt. 13 e 14 del GDPR, nonché la raccolta del consenso e la sua eventuale documentazione (mediante conservazione di documenti cartacei, file di log, altri documenti informatici);
         3. mettere in atto preventivamente, tenuto conto dello stato dell’arte e dei costi di attuazione, tutte le misure tecniche e organizzative più idonee e comunque adeguate al Trattamento per garantirne la sicurezza, considerando il Trattamento stesso in ogni suo aspetto, e considerando in particolare il rischio sui diritti e le libertà degli Interessati, e con specifico riferimento a quanto indicato all’art. 32 del GDPR;
         4. elencare nell’Appendice B le misure di sicurezza adottate; 
         5. indicare gli altri Responsabili nell’Appendice C, e vincolarli a obblighi che assicurino almeno lo stesso livello di protezione dei Dati previsto nel DPA;
         6. far sottoscrivere agli Autorizzati e/o agli Amministratori di Sistema (ai sensi del Provvedimento Generale del garante del 27 novembre 2008, pubblicato sulla G.U. n.300 del 24 dicembre 2008) impegni scritti alla riservatezza e al divieto di Comunicazione e/o Diffusione dei Dati, nonché di impartire loro istruzioni scritte conformi alle Normative e di vigilare sul loro operato;
         7. informare il Titolare senza ingiustificato ritardo delle Violazioni di Dati Personali (ove come tali accertate a seguito di indagine interna) di cui venga o possa venire a conoscenza circa i propri sistemi direttamente strumentali alla fornitura dei Servizi;
         8. cancellare i Dati Personali (e le eventuali copie esistenti) al momento della Cessazione, ferma restando la facoltà di cui al successivo art. 8.1.f ;
         9. assicurare al Titolare la più ampia collaborazione ai fini del rispetto degli obblighi a carico di quest’ultimo imposti dalla Normativa Applicabile strettamente connessi all’esecuzione del Contratto, quali (a mero titolo di esempio), quelli di sicurezza, quelli relativi alla tenuta del Registro delle Attività di Trattamento, all’esecuzione della Valutazione di Impatto, alla Notifica di una Violazione di Dati, alla Comunicazione della Violazione agli Interessati e alla Consultazione Preventiva;
         10. collaborare con il Titolare per l’attuazione delle prescrizioni eventualmente impartite da un’Autorità di Controllo in qualunque modo o misura rilevanti ai fini dell’esecuzione del Contratto e/o del DPA;
         11. prestare la più ampia collaborazione al Titolare ai fini del riscontro alle richieste degli Interessati che implichino l’acquisizione di informazioni in possesso del Responsabile.

• FACOLTÀ DELLE PARTI

1. 1. 1. Il Titolare ha facoltà di:
         1. comunicare al Responsabile quali informazioni, tra quelle indicate nell’Appendice A per ciascun Servizio, non intenda eventualmente raccogliere; a tal fine si impegna a inviare una comunicazione scritta alla Società;
         2. richiedere la collaborazione del Responsabile, ove possibile e tenuto conto della natura del Trattamento, nelle attività relative all’obbligo del Titolare stesso di dare seguito alle richieste per l’esercizio dei diritti formulate dagli Interessati secondo la Normativa Privacy;
         3. avvalersi di altri Responsabili del Trattamento in relazione ai Dati e/o ad attività di Trattamento su questi ultimi analoghe a quelle necessarie al fine dell’esecuzione del Contratto.
      2. Il Responsabile ha facoltà di:
         1. ricorrere ad altri soggetti nell’esecuzione del Trattamento; il Responsabile, a tal fine, si impegna ad informare di eventuali modifiche riguardanti l’aggiunta o la sostituzione dei soggetti ai quali affida l’esecuzione del Trattamento, dando così al Cliente l’opportunità di opporsi a tali modifiche, che saranno date per approvate in assenza di esplicita opposizione nel termine di sette giorni dalla comunicazione;
         2. riservarsi di addebitare al Titolare i costi e le spese sostenute per controlli, attività di revisione e/o ispezione, qualora esse originino da verificate mancanze del Titolare con riferimento agli obblighi stabiliti dalla Normativa Applicabile o all’inosservanza del Contratto o del DPA;
         3. trasferire (mediante Comunicazione, trasmissione e/o messa a disposizione) i Dati Personali, direttamente e/o per mezzo di altro Responsabile (indicato nell’Appendice C o successivamente individuato e approvato dal Titolare), anche al di fuori dello Spazio Economico Europeo o ad un’organizzazione internazionale, garantendo in ogni caso il rispetto delle garanzie o deroghe previste dal Capo V del GDPR;
         4. informare il Titolare qualora la Normativa dello Stato di appartenenza preveda l’obbligo di trasferire i Dati al di fuori dello Spazio Economico Europeo, salvo che tale informazione sia vietata dalla Normativa per rilevanti motivi di interesse pubblico;
         5. informare il Titolare nel caso in cui un’istruzione da quest’ultimo impartita non sia, a suo parere, conforme alla Normativa Privacy e/o alle istruzioni di cui al DPA;
         6. dare comunicazione al Titolare in merito alla cancellazione di eventuali Database, al momento della Cessazione.
      3. Ciascuna Parte ha facoltà di aderire a Codici di Condotta e/o a Meccanismi di Certificazione, con gli effetti previsti dall’art. 28.5 del GDPR.

• OBBLIGHI DELLE PARTI

1. 1. 1. Le Parti si obbligano reciprocamente a:
         1. comunicare, a richiesta, i dati di contatto del Responsabile della Protezione dei Dati e del Rappresentante eventualmente nominato da ciascuna;
         2. informare l’altra Parte di ogni richiesta, ordine o controllo da parte di una o più Autorità da soggetti da queste autorizzati e/o delegati (a mero titolo di esempio, la Polizia Giudiziaria o l’Autorità Giudiziaria di qualunque Paese del mondo) in qualunque modo o misura rilevanti ai fini dell’esecuzione del Contratto e/o del DPA;
         3. mettere tempestivamente al corrente l’altra Parte di ogni eventuale circostanza che impedisca a ciascuna di adempiere agli impegni di cui al DPA.

• EFFETTI DELLA CESSAZIONE

1. 1. 1. In caso di Cessazione (per qualsiasi ragione ad eccezione di una violazione da parte del Cliente degli obblighi a suo carico), ogni Dato Personale verrà cancellato dal Responsabile, salva la facoltà di quest’ultimo ai sensi dell’art. 8.1.f.

• ALTRE NORME

1. 1. I rapporti tra il Titolare ed il Responsabile con riferimento al Trattamento dei Dati Personali sono disciplinati nel modo indicato nel DPA; qualsiasi concessione o prassi che si discosti dalla disciplina sopra descritta non deve intendersi come modificatrice del rapporto che rimane, perciò, regolamentato esclusivamente dal DPA.
   2. Per quanto non espressamente previsto si rinvia alle CGS e alla Normativa Applicabile.

Appendici al DPA 

• Categorie di Interessati e di Dati Personali trattati dal Responsabile;

• Misure di sicurezza implementate dal Responsabile;

• Elenco dei Sub-Responsabili

APPENDICE A – Categorie di Interessati e di Dati Personali trattati dal Responsabile

 

La Società effettuerà il Trattamento avente le caratteristiche sotto indicate per ciascun Software e Servizio qui elencato

• Software della Piattaforma

	Gestionale pratiche sulla Piattaforma
Modalità di trattamento	Finalità del trattamento	Categorie di interessati	Dati personali	Durata del trattamento
Informatizzata	Erogazione del Servizio consistente nella fornitura di uno strumento informatico per la gestione, scrittura e conservazione di domande, con relativa documentazione aggiuntiva) per la partecipazione a bandi per l’accesso a finanziamenti.	Potenzialmente, amministratori, soci, dipendenti, collaboratori, tirocinanti, clienti e/o fornitori dell’Utente, nonché altri soggetti con cui l’Utente abbia o intenda instaurare un rapporto contrattuale.	Tutti i dati personali contenuti nei documenti gestiti, scritti e conservati per tramite della Piattaforma.	Pari alla durata del Servizio. Se il l’Utente non rinnova il Servizio, la documentazione creata per tramite della Piattaforma verrà conservata, al massimo, per 1 anno dalla scadenza del Servizio.

• Altri Servizi

	Compilazione assistita
Modalità di trattamento	Finalità del trattamento	Categorie di interessati	Dati personali	Durata del trattamento
Informatizzata	Supportare l’Utente che acquista i Servizi nella compilazione dei documenti gestiti, creati e conservati per tramite del Software.	Potenzialmente, amministratori, soci, dipendenti, collaboratori, tirocinanti, clienti e/o fornitori dell’Utente, nonché altri soggetti con cui l’Utente abbia o intenda instaurare un rapporto contrattuale.	Tutti i dati personali contenuti nei documenti gestiti, scritti e conservati per tramite della Piattaforma con il supporto compilativo della Società.	Pari alla durata del Servizio. Se il l’Utente non rinnova il Servizio, la documentazione creata per tramite della Piattaforma verrà conservata, al massimo, per 1 anno dalla scadenza del Servizio.

APPENDICE B – Misure di sicurezza adottate dal Responsabile

La Società adotta le misure di sicurezza tecniche ed organizzative di seguito dettagliate, per garantire un livello di sicurezza adeguato al rischio (tenendo conto dei rischi di distruzione, perdita, modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale).

• MISURE DI SICUREZZA TECNICHE

• • • Antivirus
    • Armadi chiusi
    • Autenticazione informatica
    • Autorizzazione (privilegi di accesso logico)
    • Backup
    • Business continuity plan
    • Sistemi di condizionamento
    • Sistemi antincendio
    • Videosorveglianza
    • Ridondanza geografica dei dati (Off-site disaster recovery facility)
    • Inferriate alle finestre
    • Porte blindate esterne
    • Porte blindate interne

• MISURE DI SICUREZZA ORGANIZZATIVE

• • Accordi di trattamento (DPA) con i sub-responsabili
  • Atti di designazione ex art. 2-quaterdecies Codice Privacy
  • Atti di autorizzazione e istruzione al trattamento
  • Servizio di vigilanza
  • Affidamento di consulenza privacy a soggetto esterno

APPENDICE C – Elenco dei Sub-Responsabili

 

Denominazione	Tipo di servizio fornito dal Sub-Responsabile	Impiegato dalla Società per fornire	Extra UE?
Amazon Web Services, Inc.	Cloud computing	Software di Piattaforma	Sì
Quinck S.r.l	Sviluppo frontend	Software di Piattaforma	No
Echo Creative Company S.a.s.	Sviluppo backend	Software di Piattaforma	No
BitBoss S.r.l.	Sviluppo backend	Software di Piattaforma	No