Data Processing Agreement (DPA)

Il presente Data Processing Agreement (“DPA”), allegato alle Condizioni Generali di utilizzo del Software e dei Servizi “Supportfast”, disciplina il trattamento dei Dati Personali connesso all’esecuzione del Contratto stipulato tra il Cliente (di seguito “Titolare”) e Supportfast di Elia Semprebon, con sede legale in Via 8 Marzo n. 2, CAP: 37012, Bussolengo (VR), P.IVA 04921160232 (di seguito “Responsabile”).

Il Titolare e il Responsabile verranno di seguito indicati congiuntamente come le “Parti” e singolarmente come la “Parte”.

Premesse

1. Il Titolare, acquistando un abbonamento al Software e ai Servizi “Supportfast”, ha accettato le relative Condizioni Generali (di seguito “Contratto”), di cui il presente DPA è parte integrante.
2. Il Responsabile dichiara di essere a conoscenza che i trattamenti di Dati Personali effettuati nell’ambito dell’esecuzione del Contratto avverranno esclusivamente su istruzioni del Titolare, in conformità al Regolamento (UE) 2016/679 (“GDPR”) e alla normativa nazionale in materia di protezione dei dati personali (“Normativa Privacy”).
3. Il Responsabile è stato individuato dal Titolare in quanto dotato di esperienza, affidabilità e capacità necessarie a svolgere i trattamenti di Dati Personali ai sensi dell’art. 28 GDPR.
4. L’esecuzione del Contratto comporta il trattamento, da parte del Responsabile, di Dati Personali di titolarità del Titolare.

Tutto ciò premesso, il Titolare conferisce a Supportfast di Elia Semprebon l’incarico di responsabile del trattamento dei Dati Personali ai sensi e per gli effetti dell’art. 28 del GDPR, con i limiti e secondo le modalità di seguito indicate.

1. Definizioni

1. Oltre ai termini già definiti nel Contratto o nel presente DPA, i termini con iniziale maiuscola di seguito elencati assumono il significato qui precisato:
   • “Dati Personali”: ogni informazione riguardante un Interessato, come definito al punto 5.
   • “Categorie Particolari di Dati”: i Dati Personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché dati genetici, biometrici (volti a identificare in modo univoco una persona fisica), dati relativi alla salute o alla vita sessuale o all’orientamento sessuale dell’Interessato.
   • “Garante Privacy”: l’Autorità garante italiana per la protezione dei dati personali.
   • “GDPR”: il Regolamento (UE) 2016/679.
   • “Interessati”: le persone fisiche identificate o identificabili cui si riferiscono i Dati Personali (è considerata identificabile la persona che possa essere riconosciuta, direttamente o indirettamente, tramite un identificativo come il nome, un numero, dati di ubicazione, identificativi online o uno o più elementi della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale).
   • “Trattamento”: qualsiasi operazione o insieme di operazioni compiute sui Dati Personali, con o senza l’ausilio di strumenti automatizzati (es.: raccolta, registrazione, organizzazione, conservazione, consultazione, uso, comunicazione, cancellazione, distruzione).
   • “Sub-responsabile”: la persona giuridica, ditta individuale o libero professionista incaricata dal Responsabile di compiere operazioni di Trattamento per conto del Titolare.
   • “Violazione dei Dati Personali”: una violazione di sicurezza che provochi accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione o l’accesso non autorizzato ai Dati Personali trattati.

2. Oggetto dell’incarico a Responsabile

2.1 Supportfast si impegna a svolgere, in qualità di Responsabile del trattamento ai sensi dell’art. 28 GDPR, le attività di cui all’articolo 4 del presente DPA, in conformità alla Normativa Privacy e in base alle istruzioni ricevute dal Titolare.

3. Categorie di Dati Personali e Interessati

3.1 Nell’esecuzione del Contratto, il Responsabile potrà trattare, per conto del Titolare, le seguenti categorie di Dati Personali:

1. Dati identificativi (es. nome, cognome, data di nascita, età, genere).
2. Dati di contatto (es. e-mail, telefono, residenza, domicilio).
3. Dati bancari.
4. Dati relativi all’acquisto di prodotti e servizi.
5. Dati relativi a richieste di informazioni o assistenza.
6. Categorie Particolari di Dati (es. dati sanitari, origine etnica, disabilità).

3.2 Il Responsabile verificherà periodicamente che i Dati Personali siano esatti, completi e pertinenti alle finalità indicate all’articolo 4, informando per iscritto il Titolare qualora ne ravvisi la necessità di modifica, aggiornamento, correzione o cancellazione.

3.3 Su richiesta scritta del Titolare, il Responsabile provvederà, entro e non oltre 15 (quindici) giorni dalla ricezione della richiesta, ad aggiornare, modificare, correggere o cancellare i Dati Personali trattati.

3.4 I Dati Personali possono appartenere a persone fisiche che richiedono assistenza tramite il Software “Supportfast” e che hanno un rapporto, diretto o potenziale, con il Titolare (es. clienti, potenziali clienti, utenti, fornitori).

4. Finalità del Trattamento

4.1 Nei limiti di quanto previsto dal Contratto e dal presente DPA, il Responsabile tratterà i Dati Personali esclusivamente per:

1. Eseguire il Contratto.
2. Gestire i rapporti contrattuali e commerciali con il Titolare.
3. Migliorare i propri prodotti e servizi, nonché addestrare il Software.
4. Adempiere agli eventuali obblighi di legge a cui il Responsabile sia soggetto.

4.2 Il Titolare riconosce che la Società potrà trattare i Dati Personali su base aggregata, per finalità di ricerca statistica o per migliorare i Servizi forniti e le prestazioni del Software nell’ambito dell’esecuzione del Contratto.

5. Obblighi del Responsabile

5.1 Il Responsabile si impegna a:

1. Rispettare le disposizioni contenute nella Normativa Privacy.
2. Attenersi integralmente alle istruzioni impartite dal Titolare del Trattamento.
3. Adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, conformemente alle istruzioni fornite dal Titolare.
4. Mettere in atto misure per assicurare la riservatezza, la disponibilità e l’integrità dei sistemi utilizzati per il Trattamento dei Dati Personali.
5. Mantenere un registro delle attività di trattamento di sua competenza.
6. Informare tempestivamente il Titolare in merito a contestazioni, accertamenti o procedimenti avviati da Interessati o Autorità di controllo, giudiziarie o amministrative, concernenti le attività di trattamento previste dal presente DPA.
7. Segnalare al Titolare, senza ritardo, ogni eventuale richiesta degli Interessati di esercizio dei diritti previsti dal GDPR, così che il Titolare possa adempiervi nei termini di legge.
8. Garantire che il personale incaricato delle operazioni di Trattamento riceva adeguata formazione in materia di protezione dei Dati Personali e sia vincolato da obblighi di riservatezza.

6. Trattamento di Dati Personali verso Paesi terzi

6.1 Il Responsabile svolgerà il Trattamento avvalendosi, di norma, di server ubicati all’interno dell’Unione Europea, evitando, se non strettamente necessario, il trasferimento verso Paesi terzi extra-UE.

6.2 In ogni caso, il trasferimento di Dati Personali verso Paesi terzi è consentito soltanto se:

• Avviene verso un Paese per il quale la Commissione Europea ha emesso una decisione di adeguatezza, oppure
• Sono adottate garanzie adeguate ai sensi degli articoli 46 e ss. del GDPR (es. clausole contrattuali standard).

7. Sub-responsabili del trattamento

7.1 Con la sottoscrizione del presente DPA, il Titolare autorizza il Responsabile ad avvalersi di soggetti esterni per compiere talune operazioni di Trattamento necessarie all’esecuzione del Contratto, conferendo loro l’incarico di sub-responsabili del trattamento. Il Responsabile si impegna a imporre ai sub-responsabili i medesimi obblighi assunti con il presente DPA.

7.2 Il Responsabile sceglierà i sub-responsabili tra soggetti dotati di adeguate competenze, capacità e affidabilità, in grado di garantire il rispetto della Normativa Privacy e l’adozione di misure tecniche e organizzative idonee a tutelare i diritti degli Interessati.

8. Durata

8.1 Il presente DPA entra in vigore alla data di accettazione del Contratto, di cui è parte integrante, e rimarrà efficace per tutta la durata dello stesso. In caso di cessazione, risoluzione o recesso dal Contratto, il DPA cesserà automaticamente di avere efficacia, senza necessità di ulteriori comunicazioni.

8.2 Salvo sussistano obblighi di legge o di regolamento che ne impongano la conservazione, alla scadenza del Contratto il Responsabile interromperà il Trattamento dei Dati Personali del Titolare e restituirà a quest’ultimo ogni materiale (in qualunque formato) contenente Dati Personali.

9. Violazione dei Dati Personali

9.1 In caso di Violazione dei Dati Personali trattati dal Responsabile per conto del Titolare (anche se causata da sub-responsabili), il Responsabile si impegna a:

1. Informare il Titolare senza ingiustificato ritardo e in ogni caso entro 36 (trentasei) ore dal momento in cui ne viene a conoscenza.
2. Tenere aggiornato un registro che descriva la natura della violazione, gli Interessati coinvolti, le possibili conseguenze e le misure di sicurezza adottate (in collaborazione con il Titolare) per attenuare l’impatto della violazione e ripristinare la situazione precedente.

9.2 L’obbligo di notifica al Garante Privacy o agli Interessati, qualora dovuto, resta a carico del Titolare. Il Responsabile si impegna sin d’ora a fornire il supporto necessario al Titolare per ottemperare a tale obbligo.

10. Comunicazioni

10.1 Qualsiasi comunicazione tra le Parti in merito al presente DPA, incluse quelle necessarie o richieste ai fini dello stesso, dovrà essere effettuata per iscritto e trasmessa con le modalità e agli indirizzi indicati nel Contratto.

11. Legge applicabile e Foro competente

11.1 Il presente DPA è regolato dalla legge italiana.

11.2 Ogni controversia relativa alla validità, efficacia, interpretazione o esecuzione del presente DPA è devoluta in via esclusiva e inderogabile alla competenza del Foro di Verona.