Data Processing Agreement

Ultimo aggiornamento del 01/09/2022

Premesso che

  1. Il contratto per la licenza d’uso dell’applicativo SaaS Utopia, anche nella versione Free Trial, comporta il trattamento da parte di NSI di determinati dati personali di interessati persone fisiche per conto dell’utilizzatore, il quale è Titolare del trattamento, così come definito dall’art. 4 par. 7 del Reg. UE 2016/679;
  2. Il presente Data Processing Agreement (nel proseguo, DPA) è parte integrante dei Termini e Condizioni del servizio;
  3. Il presente DPA descrive i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato per conto del Titolare da parte del Responsabile del trattamento sia conforme ai requisiti imposti dalla normativa applicabile sulla protezione dei dati personali ad oggi in vigore, nazionale e/o comunitaria;
  4. I trattamenti effettuati, la natura e la finalità del trattamento, la tipologia di dati personali e le categorie di soggetti interessati oggetto del presente DPA sono:

Categorie di interessati

Dipendenti e Collaboratori a vario titolo del Titolare.

Tipologia di Dati Personali oggetto di trattamento

Dati personali comuni (anagrafici e di contatto).

Natura e finalità del trattamento

Gestione, sviluppo e manutenzione del software Utopia per l’erogazione del servizio.

Le premesse costituiscono parte integrante del presente DPA.

Tutto ciò premesso e considerato, il Titolare del trattamento designa NSI Nier Soluzioni Informatiche S.r.l., ai sensi e per gli effetti dell’art. 28 Reg. UE 2016/679 (di seguito, GDPR), quale Responsabile del Trattamento per tutta la durata di utilizzo del SaaS Utopia, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA.

Mediante la sottoscrizione del presente DPA, il Responsabile del trattamento si impegna a compiere le attività di trattamento dei dati in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni:

Art. 1 Oggetto

1.1 Il Responsabile del trattamento si impegna a rispettare ogni normativa o regolamento applicabili in materia di protezione dei dati personali ed in merito alle informazioni oggetto di trattamento non deve compiere operazioni di trattamento ulteriori e/o diverse da quelle necessarie alla gestione, manutenzione e sviluppo di Utopia, a meno che l’ulteriore attività di trattamento sia richiesta da una legge tempo per tempo vigente a cui sia soggetto il Responsabile del trattamento.

1.2 Il Titolare autorizza il Responsabile a trattare i dati personali secondo quanto ragionevolmente necessario per l’esecuzione del servizio nonché in conformità con i termini e le condizioni del presente DPA.

1.3 L’oggetto delle attività di trattamento dei dati personali è la prestazione del servizio SaaS in favore del Titolare. La descrizione dei trattamenti, comprese le informazioni riguardanti la durata, la natura e la finalità del trattamento, i tipi di dati personali e le categorie delle persone interessate dal trattamento sono disciplinate nelle premesse al presente DPA, quali parti integranti e sostanziali dello stesso.

1.4 Il Responsabile si impegna a mantenere un registro delle attività di trattamento, così come previsto dall’art. 30, par. 2 del GDPR, nel quale siano indicate le caratteristiche dei trattamenti che esegue per conto del Titolare.

Art. 2 Personale del Responsabile

2.1 II Responsabile del trattamento garantisce che il personale coinvolto nel trattamento dei dati personali sia stato preventivamente informato della natura confidenziale delle informazioni trattate, abbia ricevuto un'adeguata istruzione in merito alle proprie responsabilità e abbia sottoscritto uno specifico obbligo legale vincolante finalizzato a tutelare la riservatezza dei dati personali trattati.

2.2 Il Responsabile del trattamento garantisce che l’accesso ai dati personali sia limitato al personale preventivamente autorizzato per il perseguimento delle finalità previste dal servizio e dal presente DPA.

Art. 3 Sicurezza e Audit

3.1 Il Responsabile del trattamento adotta misure tecniche e organizzative adeguate alla sicurezza (inclusa la prevenzione dal trattamento non autorizzato, dalla distruzione accidentale o illecita, dalla perdita di disponibilità o alterazione o danneggiamento dei dati, dalla divulgazione non autorizzata ovvero dall'accesso illegittimo ai dati personali), confidenzialità e integrità dei dati personali trattati. Queste misure devono includere, ai sensi dell’art. 32 GDPR, ove opportuno e applicabile:

  • la pseudonimizzazione e cifratura dei dati personali;
  • la capacità di garantire su base permanente la confidenzialità, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare la disponibilità e l'accesso ai dati personali, in modo tempestivo, in caso di incidente fisico o tecnico;
  • una procedura per testare, determinare e valutare periodicamente l'efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento dei dati personali.

3.2 Nella valutazione dell'adeguato livello di sicurezza, il Responsabile del trattamento deve tenere conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza, secondo quanto stabilito dalle normative e dai regolamenti sulla protezione dei dati.

3.3 Il Responsabile del trattamento accetta che il Titolare o i suoi rappresentanti designati, con un preavviso di almeno 15 (quindici) giorni lavorativi, possa ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile al fine di accertarne la conformità con i termini previsti dal presente DPA e dalla normativa in materia di protezione dei dati personali. Nelle ipotesi previste dal presente punto, il Titolare e/o i componenti della propria organizzazione, ovvero i rappresentanti da quest’ultimo designati, si impegnano a mantenere comportamenti leali, collaborativi e trasparenti per tutta la durata delle attività eseguite nei confronti del Responsabile.

Art. 4 Sub-Responsabili

4.1 Il Responsabile del trattamento può ricorrere a un altro Responsabile solo previa autorizzazione scritta, specifica o generale, del Titolare. Il Responsabile deve fornire, a richiesta del Titolare, la lista dei propri Sub-Responsabili del trattamento in relazione al trattamento di cui all’esecuzione del servizio.La sottoscrizione del presente DPA vale quale autorizzazione scritta generale.

4.2 Il Responsabile del trattamento è tenuto ad informare il Titolare in merito alla scelta, aggiunta o sostituzione di qualsiasi ulteriore Responsabile del trattamento.

4.3 Prima di consentire l'accesso, da parte dell’ulteriore Responsabile ai dati personali, il Responsabile del trattamento dovrà garantire che tale altro Responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi obblighi in materia di protezione dei dati indicati nel presente DPA.

Art. 5 Diritti degli interessati

5.1 Il Responsabile del trattamento comunicherà senza indebito ritardo al Titolare le istanze pervenute da parte di un interessato inerenti all’esercizio di un proprio diritto previsto dagli art. 15-22 del Regolamento UE 2016/679.

5.2 Su richiesta del Titolare, il Responsabile del trattamento fornirà una ragionevole assistenza al Titolare nell’evadere le richieste di cui al precedente punto 5.1.

Art. 6 Data Breach

6.1 Il Responsabile del trattamento deve comunicare al Titolare, senza ingiustificati ritardi e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza, l’incidente riguardante la sicurezza o la violazione delle misure di sicurezza che abbiano condotto ad un utilizzo non autorizzato, distruzione, perdita, divulgazione, accidentale o illecita, alterazione, accesso illegittimo dei dati personali oggetto di trattamento ovvero qualsiasi altra violazione di sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati.

6.2 Nella propria comunicazione, il Responsabile del trattamento deve indicare ogni informazione utile per consentire al Titolare di adempiere ai propri obblighi di notifica alla competente Autorità Garante o di informazione degli interessati coinvolti nel Data Breach.

6.3 Nei casi di cui al precedente punto 6.2, il Responsabile assiste il Titolare avviando un’analisi finalizzata alla raccolta delle seguenti informazioni:

  • Data e ora in cui si è avuto conoscenza della violazione;
  • Fonte segnalazione;
  • Tipologia violazione e di informazioni coinvolte;
  • Descrizione evento anomalo;
  • Numero interessati coinvolti;
  • Numerosità di dati personali di cui si presume una violazione;
  • Indicazione del luogo in cui è avvenuta la violazione dei dati, specificando altresì se essa sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili;
  • Descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione;
  • Descrizione delle misure di sicurezza tecniche e organizzative adottate per garantire la sicurezza dei dati, dei sistemi e delle infrastrutture IT coinvolti nell’evento.

Art. 7 Valutazione d’impatto

7.1 Il Responsabile del trattamento si impegna a prestare una ragionevole assistenza al Titolare nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva con l’Autorità di Controllo.

Art. 8 Restituzione o cancellazione di dati personali

8.1 Su richiesta e a scelta del Titolare, dalla data di scadenza del Servizio, il Responsabile si impegna a cancellare e/o a restituire tutti i dati personali trattati per conto del Titolare nel termine di 90 (novanta)giorni. Quest’ultimo potrà ottenere la cancellazione dei dati oggetto di trattamento nel caso in cui su questi non vi sia un obbligo giuridico alla conservazione da parte del Responsabile, derivante dalla normativa comunitaria e/o nazionale in vigore.

Art. 9 Efficacia e risoluzione

9.1 Il presente DPA avrà efficacia a partire dalla data di sottoscrizione del Titolare, esercitabile mediante specifica spunta al momento di primo accesso al SaaS Utopia, e avrà validità, compresi eventuali rinnovi, fino alla cessazione di ogni effetto del Servizio, per qualsiasi causa intervenuta.

Art. 10 Amministrazione del Sistema

10.1 Premesso che il Provvedimento Generale del Garante italiano per la protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – del 27 novembre 2008” ha introdotto alcuni adempimenti specifici per gli amministratori di sistema in conseguenza delle funzioni per mezzo delle quali alcune operazioni di trattamento comportano particolari e più ampi privilegi per l’accesso ai dati personali, ovvero quando le attività siano esercitate in un contesto che renda tecnicamente possibile l'accesso, anche incidentale, a dati personali, da ciò derivando la necessità di predisporre una maggiore tutela agli accessi ai dati personali.

10.2 Premesso altresì che, l’Amministratore del sistema è stato scelto in quanto fornisce sufficienti ed idonee garanzie di esperienza, capacità ed affidabilità circa l’applicazione delle norme in materia di protezione dei dati personali, anche con specifico riferimento alla sicurezza dei dati personali trattati.

10.3 Il Titolare affida al Responsabile la funzione di Amministratore del sistema, precisando le seguenti istruzioni:

  • Il Responsabile si impegna a designare ciascun amministratore (persona fisica) dei sistemi del Titolare garantendo altresì l’esperienza, la capacità e affidabilità del soggetto designato;
  • A fronte di richiesta scritta del Titolare, previo ragionevole preavviso, il Responsabile si impegna a comunicare gli estremi identificativi delle persone fisiche amministratori di sistema, con le funzioni ad essi attribuite;
  • Il Responsabile si impegna a rendere operativi sistemi di log per la registrazione immodificabile delle autenticazioni informatiche (access log) degli amministratori di sistema designati, con conservazione almeno semestrale;
  • Il Responsabile si impegna a verificare, con cadenza almeno annuale, gli accessi degli amministratori di sistema in modo da verificare la loro rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali effettuati per conto del Titolare;
  • Gli Amministratori di Sistema designati dal Responsabile dovranno accedere ai sistemi informatici tramite credenziali univoche o, in seconda istanza e solo se strettamente necessario, utilizzando credenziali tecniche o generiche per l’amministrazione dei sistemi.

10.4 La funzione di Amministratore del sistema affidata al Responsabile del trattamento decorre dalla data di accettazione del presente DPA e avrà efficacia sino alla cessazione del Servizio.

Art. 11 Responsabilità e Manleve

11.1 Il Responsabile del trattamento si obbliga a tenere indenne e manlevare il Titolare da qualsivoglia perdita, costo, sanzione, danno e da qualsivoglia responsabilità ascritta a quest’ultimo derivante dalla violazione, da parte del Responsabile medesimo, di propri autorizzati o di propri ulteriori Responsabili, delle disposizioni contenute nel presente DPA e/o delle disposizioni vigenti in materia di protezione dei dati personali.

11.2 Qualora il Responsabile violi una delle disposizioni del presente accordo, determinandole finalità ed i mezzi del trattamento dei dati personali, lo stesso sarà considerato a tutti gli effetti quale autonomo titolare delle attività di trattamento per le quali ha determinato, in autonomia ed in violazione del presente DPA, finalità e mezzi del trattamento.

Art. 12 Garanzie del Titolare

12.1 Il Titolare garantisce al Responsabile che i dati oggetto del trattamento:

  • sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
  • i dati personali oggetto delle operazioni di trattamento affidate al Responsabile, sono raccolti e trasmessi nel rispetto della normativa applicabile. Resta inteso che rimane a carico del Titolare individuare la base giuridica del trattamento dei dati personali degli interessati.

Art. 13 Disposizioni finali e rinvio

13.1 La sottoscrizione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quello già pattuito nel Servizio.

13.2 Per quanto non espressamente previsto, si rinvia alle disposizioni vigenti in materia di protezione di dati personali.

Art.14 Contatti DPO / RPD

14.1 L’indirizzo di contatto del Responsabile della Protezione dei Dati personali del Responsabile è: dpo@nsi.it

Più di 2500 clienti hanno già scelto UTOPIA

comer-industries-logo

Prenota una demo su misura o parla direttamente con il nostro team commerciale.

contattaci
80.000
Persone autorizzate
100.000
Trattamenti gestiti
90.000
Asset messi in sicurezza
6.000
Privacy policy generate