Data Processing Agreement

In vigore dal 01 gennaio 2023

Nomina del Responsabile del Trattamento dei Dati Personali

Tra
Smart E-Lab S.r.l., con sede legale in Via dell’Isola 85, 55012 Capannori (LU), Codice Fiscale e Partita IVA IT02412630465 (di seguito anche “Smart e-lab” o “Fornitore”)

e

il Cliente o l’Utente o Committente come meglio specificato nel Contratto (di seguito denominato “Committente”)

denominati di seguito singolarmente “Parte” e congiuntamente “Parti”.
Premesse

• i. Il presente Accordo si prefigge di definire gli obblighi delle Parti in relazione alla protezione dei dati personali, in conformità a quanto prescritto dall’art. 28 del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito anche “GDPR”).
• ii. Ai fini del presente Accordo come “Normativa Rilevante” si intende il GDPR e qualsiasi provvedimento normativo e/o regolamentare adottato da autorità pubbliche nazionali in materia di trattamento di dati personali (ivi compresi i provvedimenti assunti dalle Autorità di controllo), applicabile durante il periodo di validità del presente Accordo,
• iii. Nel presente Accordo sono utilizzati i termini definiti nella Normativa Rilevante, a cui si rimanda per le definizioni.
• iv. Il presente Accordo è espressamente collegato, e si allega integrandolo, al Contratto di Servizio o ai Contratti di Servizio in essere tra le suddette Parti e ad ogni successivo contratto concluso dalle medesime Parti e avente il medesimo oggetto (di seguito anche solo “Contratto di Servizio” per indicare il suddetto contratto o gli eventuali contratti successivi aventi medesimo oggetto).
• v. Per ogni aspetto non espressamente disciplinato dal presente Accordo, si rinvia al Contratto di servizio e alla Normativa Rilevante.
• vi. In caso di contrasto tra le disposizioni del Contratto di Servizio e quelle contenute nel presente Accordo, prevarranno quelle contenute nel Contratto di Servizio.
• vii. Il Committente ritenuto che il Fornitore presenti garanzie sufficienti, in particolare in merito a conoscenze specialistiche, risorse, affidabilità e che abbia adottato misure tecniche ed organizzative che soddisfano i requisiti della Normativa Rilevante per il trattamento dei dati personali, intende nominare il Fornitore Responsabile del Trattamento relativamente alle attività di trattamento connesse al Contratto di Servizio.

1. Oggetto dell’Accordo
1.1. Gli allegati sono parte integrante e sostanziale dell’Accordo.
1.2. Il Committente, con il presente Accordo, ai sensi e per gli effetti dell’art. 28 GDPR, nomina il Fornitore Responsabile del trattamento dei dati personali.
1.3. Il Fornitore accetta la nomina e si impegna a rispettare le prescrizioni della Normativa Rilevante e ad adempiere a tutte le clausole del presente Accordo, ivi inclusi i suoi allegati.
1.4. Qualora il Committente sia a sua volta “Responsabile del trattamento”, col presente Accordo il Fornitore si intenderà nominato come “altro responsabile del trattamento” ai sensi dell’art. 28 GDPR, cd. “Sub – responsabile”.
1.5. In questo caso, Le Parti riconoscono e si danno atto che ai sensi dell’art. 28 GDPR, il presente Accordo sarà valido ed efficace fintanto che il Committente sia legittimato a nominare il Fornitore quale “altro responsabile del trattamento” e salvo eventuali opposizioni alla presente nomina.
1.6. La definizione della natura e della finalità dei trattamenti affidati nonché la tipologia di dati personali e le categorie di interessati cui i dati oggetto dell’Accordo si riferiscono, sono decisi dal Committente e indicati negli allegati relativi agli specifici servizi o, in mancanza, sono indicati a titolo esemplificativo e non esaustivo nell’Allegato 1 al presente Accordo.
1.7. Le Parti devono essere in grado di dimostrare il rispetto delle presenti clausole.

2. Diritti e obblighi del Committente
2.1. Diritti e Obblighi generali
2.1.1. Il Committente è tenuto a far presente eventuali esigenze specifiche inerenti il trattamento dei dati personali in sede negoziale. Il Fornitore, per eseguire il presente contratto, si atterrà a quanto previsto nel Contratto di Servizio e alle istruzioni ivi contenute.
2.1.2. Eventuali istruzioni non previste nel contratto di servizio potranno essere oggetto di rinegoziazione tra le parti. Non saranno prese in considerazione istruzioni non fornite per iscritto.
2.1.3. Il Committente dichiara e garantisce che i dati personali trasmessi al Fornitore in esecuzione del presente Accordo, sono stati raccolti e trattati dal Committente in conformità alla Normativa Rilevante.
2.1.4. Il Committente garantisce altresì di essere legittimato, in base alla Normativa Rilevante, a sottoscrivere il presente contratto (in qualità di autonomo Titolare, Contitolare o di Responsabile).
2.1.5. Il Committente è tenuto ad informare tempestivamente il Fornitore di eventuali utilizzi impropri degli account o delle credenziali di autenticazione nonché ogni eventuale incidente di sicurezza di cui abbia cognizione e che riguardi i dati oggetto del presente Accordo o i sistemi informatici utilizzati per darvi esecuzione.
2.2. Diritti e obblighi del committente – Documentazione e verifiche
2.2.1. Il Committente ha diritto di verificare che il Fornitore adempia alle istruzioni impartite e rispetti la Normativa Rilevante, ad esempio verificando i) le misure di sicurezza adottate, ii) il corretto svolgimento delle operazioni di trattamento, in applicazione delle istruzioni di cui al presente Accordo iii) il rispetto delle finalità individuate e perseguite dal Committente.
2.2.2. Le verifiche di cui al punto 2.2.1 potranno essere eseguite nella sede del Fornitore ovvero dove quest’ultimo tratta i dati personali, anche per mezzo di professionisti o soggetti terzi, concordando con il Fornitore una data che non interrompa o rechi pregiudizio alla attività lavorativa di quest’ultimo.
2.2.3. Il Committente, eventuali Suoi collaboratori o professionisti terzi da Lui incaricati dovranno trattare ogni informazione o dato conosciuto in ragione delle ispezioni e delle verifiche condotte in esecuzione del presente Accordo, come strettamente confidenziale.
2.2.4. Le Parti concorderanno con congruo anticipo le date, le modalità, l’oggetto dell’ispezione affinché lo svolgimento delle attività avvenga nel pieno rispetto delle norme sulla sicurezza, in conformità alle procedure e alle misure di sicurezza del Fornitore e dei suoi sub-responsabili.
2.2.5. Qualora l’ispezione comporti costi o pregiudizi non previsti dalle Parti che rendano la prestazione troppo onerosa per il Fornitore, le Parti concorderanno un equo compenso.

3. Obblighi del Fornitore
3.1. Obblighi generali
3.1.1. Il Fornitore tratta, per conto del Committente, i dati personali in esecuzione del Contratto di Servizio ed esclusivamente nel quadro del presente Accordo, salvo quanto diversamente previsto dal diritto dell’Unione Europea o di uno Stato membro a cui il Fornitore è soggetto.
3.1.2. I dati forniti non vengono usati per nessun’altra finalità, in particolare non vengono usati dal Fornitore per finalità proprie. Fermo quanto previsto al punto 3.4, il Fornitore può comunicare i dati a terze parti, che svolgono servizi strumentali, qualora sia necessario per dare esecuzione al Contratto di Servizio.
3.1.3. Il Fornitore fornisce al Committente tutta l’assistenza necessaria e richiesta da quest’ultimo nell’assicurare il rispetto degli obblighi di cui agli articoli 32 “Sicurezza del Trattamento”, 33 “Notifica di una violazione dei dati personali all’autorità di controllo”, 34 “Comunicazione di una violazione dei dati personali all’interessato”, 35 “Valutazione d’impatto sulla protezione dei dati” e 36 “Consultazione Preventiva” del GDPR.
3.1.4. Il Fornitore mette a disposizione del Committente le informazioni necessarie a dimostrare il rispetto degli obblighi e delle prescrizioni della Normativa Rilevante e collabora con il Committente in caso di ispezioni o controlli di ogni genere da parte delle Autorità o in caso di controversie con l’Interessato.
3.1.5. Il Fornitore coadiuva il Committente nel riscontrare le eventuali richieste degli interessati avanzate al fine di esercitare i diritti dell’interessato definiti al Capo III del GDPR, secondo le modalità previste dal presente Accordo, nel Contratto di Servizio e nelle eventuali istruzioni aggiuntive impartite dal Committente per specifiche esigenze.
3.1.6. Il Fornitore informa il Committente se nota che un’istruzione impartita dal Committente viola un obbligo legale prescritto dalla Normativa Rilevante o qualsiasi altro obbligo derivante dal presente Accordo.
3.2. Obblighi del fornitore – Misure tecniche e organizzative
3.2.1. Il Fornitore adotta le misure richieste ai sensi dell’art. 32 GDPR ed in particolare, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, si impegna a mettere in atto almeno le misure tecniche e organizzative indicate nell’Allegato 3.
3.2.2. Il Committente dichiara di essere a conoscenza delle misure tecniche e organizzative adottate dal Fornitore, anche relativamente allo specifico Contratto di Servizio e dichiara di averne valutato l’adeguatezza con esito positivo.
3.2.3. Resta in ogni caso fermo quanto previsto ai punti 2.1.1 e 2.1.2 in merito ad eventuali istruzioni aggiuntive del Committente.
3.2.4. Il Fornitore garantisce che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o abbiano comunque un adeguato obbligo legale di riservatezza.
3.3. Obblighi del fornitore – Rapporti con i terzi
3.3.1. Qualora gli interessati, le Autorità di controllo o qualsiasi altro terzo (ivi compresi, a titolo esemplificativo e non esaustivo, Autorità giurisdizionali e amministrative diverse dalle Autorità di controllo) avanzassero richieste nei confronti del Fornitore (ivi comprese anche richieste per l’esercizio dei diritti riconosciuti agli interessati, quali il diritto di accesso e gli altri diritti riconosciuti dal GDPR), questo informerà senza ritardo per iscritto il Committente.
3.3.2. Il Fornitore avrà cura, in particolare, di trasmettere al Committente copia delle richieste pervenute, allegando altresì ogni ulteriore eventuale informazione o circostanza ritenuta utile.
3.3.3. Il Fornitore non darà riscontro a richieste di terzi senza averne preventivamente informato il Committente fatta eccezione nei casi in cui sia tenuto per legge a fornire immediato riscontro nonché qualora la richiesta dovesse pervenire da Autorità di Pubblica Sicurezza o Autorità di Controllo.
3.4. Obblighi del Fornitore – Rapporti di Sub-responsabilità
3.4.1. Il Committente autorizza in via generale il Fornitore a ricorrere ad un altro Responsabile del trattamento (d’ora in poi anche solo Sub-responsabile) ai sensi e per gli effetti dell’art. 28 del GDPR esclusivamente per lo svolgimento di specifiche attività di trattamento di dati personali necessarie all’esecuzione del Contratto di Servizio. Resta in ogni caso salvo il diritto del Committente di opporsi alle specifiche nomine nei modi e nei termini di seguito indicati e che dichiara di accettare.
3.4.2. Il Fornitore alla sottoscrizione del presente documento o nel Contratto di Servizio informa il Committente dei Sub-Responsabili utilizzati per svolgere le attività necessarie o strumentali all’esecuzione del Contratto di Servizio, e che il Committente dichiara di conoscere e approvare. Il Fornitore deve informare il Committente di eventuali modifiche riguardanti l’aggiunta e/o la sostituzione di altri Sub – Responsabili del trattamento almeno 15 (quindici) giorni prima di operare le predette modifiche, dando così al Committente l’opportunità di opporsi.
3.4.3. L’eventuale opposizione dovrà essere adeguatamente motivata e comunicata per iscritto entro 15 (quindici) giorni dalla comunicazione.
3.4.4. In caso di opposizione le Parti si attiveranno per trovare, di comune accordo, una soluzione alternativa. Qualora non si addivenisse ad un accordo sul punto e, nonostante l’opposizione manifestata dal Committente, il Fornitore confermi la variazione di cui al punto 3.4.2, il Committente avrà diritto di recedere dal presente contratto, fermo restando l’obbligo di corrispondere al Fornitore gli importi dovuti fino alla data di cessazione del Contratto di Servizio.
3.4.5. In mancanza di opposizione entro i termini previsti la modifica potrà ritenersi accettata dal Committente.
3.4.6. Qualora il Fornitore ricorra, sotto la propria responsabilità, alla nomina di un Sub-Responsabile, il Fornitore deve prevedere nel contratto con il nuovo Sub-Responsabile garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR.
3.4.7. La comunicazione di cui al punto 3.4 potrà essere eseguita dal Fornitore con i mezzi ritenuti più opportuni, incluso l’invio a mezzo posta elettronica o la pubblicazione sul sito del Fornitore.
3.5. Obblighi del Fornitore – Trasferimento dei Dati e Mandato
3.5.1. Qualunque trasferimento di dati personali oggetto del presente Accordo verso un Paese o una organizzazione internazionale può avere luogo soltanto se avviene nel rispetto delle garanzie di cui al Capo V del Regolamento Europeo GDPR n. 2016/679 e della Normativa Rilevante. Eventuali trasferimenti non eseguiti nel rispetto delle garanzie suddette dovranno essere autorizzati dal Committente.
3.5.2. Nella misura in cui sia applicabile il Regolamento e non vi sia alcuna Decisione di Adeguatezza, il Committente e il Fornitore si impegnano ad utilizzare un altro strumento valido ai sensi del Capo V del GDPR.
3.5.3. Qualora, per l’esecuzione del Contratto di Servizio (ad esempio: nel caso di attivazione di servizio di terze parti) risulti necessario prevedere un meccanismo di trasferimento idoneo, il Committente dichiara di aver preso visione delle condizioni particolari del terzo al quale potrebbero essere trasferiti i dati personali e rimanda alle modalità previste nel Contratto di Servizio per le fasi relative alla conclusione del contratto con terze parti.
3.5.4. Il Committente conviene che, qualora il Fornitore ricorra a un Sub-Responsabile per l’esecuzione di specifiche attività di trattamento e tali attività di trattamento comportino il trasferimento di dati personali ai sensi del capo V del regolamento (UE) 2016/679, il Fornitore e il Sub-Responsabile del trattamento possono garantire il rispetto del capo V del regolamento (UE) 2016/679 utilizzando le Clausole Contrattuali Standard adottate dalla Commissione conformemente all’articolo 46, paragrafo 2, del regolamento (UE) 2016/679, purché le condizioni per l’uso di tali Clausole Contrattuali Standard siano soddisfatte.
3.5.5. Nei casi di cui al punto 3.5.6, il Committente oltre a dichiarare di aver preso visione è tenuto ad informare senza indebito ritardo, prima della sottoscrizione del Contratto di Servizio, delle eventuali modifiche che ritiene necessario operare verso il soggetto terzo, anche licenziante, ai sensi della Normativa Rilevante. In mancanza di comunicazione tempestiva, il Committente aderisce e accetta le condizioni previste, nonché ritiene idonee le misure di sicurezza e gli eventuali sub-responsabili indicati nelle Appendici alle Clausole Contrattuali Standard ovvero nelle condizioni particolari del soggetto terzo. Eventuali attività di supporto, oltre quelle già previste nel Contratto di Servizio e nel presente Accordo, dovranno essere oggetto di separata valutazione integrativa.
3.5.6. Il Committente riconosce che è responsabilità del Titolare rispettare ogni eventuale compito e obbligo aggiuntivo applicabile al fine di rendere lecito il trasferimento dei Dati Personali alle Entità extra SEE ai sensi delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.
3.6. Obblighi del fornitore – Notifica delle violazioni da parte del Fornitore (c.d. data breach)
3.6.1. Qualora si verifichi un incidente di sicurezza (a titolo esemplificativo e non esaustivo, qualsiasi evento di distruzione, perdita, alterazione, divulgazione o accesso imprevisto o non autorizzato ai dati personali), riguardante i propri sistemi o quelli dei Sub-Responsabili, il Fornitore dovrà notificare al Committente per iscritto mediante posta elettronica certificata (PEC) tale evento nel minor tempo possibile, dal momento in cui ne sia venuto a conoscenza e comunque senza ingiustificato ritardo.
3.6.2. La comunicazione sarà ritenuta correttamente eseguita qualora contenga:
a) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione);
b) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;
c) le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
3.6.3. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
3.6.4. Il Fornitore presterà assistenza e la collaborazione eventualmente richiesta dal Committente al fine di porre rimedio alla violazione di dati personali e al fine di fornire all’Autorità di controllo ogni informazione o chiarimento richiesto.
3.6.5. Resta inteso fra le parti che l’onere di comunicare la violazione all’Autorità garante per i trattamenti di cui al presente Accordo è del Committente.

4. Riservatezza
4.1. Tutti i dati personali ricevuti dal Fornitore da parte del Committente e/o raccolti dal Fornitore nell’ambito dell’esecuzione di questo Accordo sono soggetti a un obbligo di riservatezza nei confronti di terzi.
4.2. Tale obbligo di riservatezza non sussisterà nel caso in cui il Committente abbia espressamente autorizzato la rivelazione di tali informazioni a terzi, nel caso in cui la rivelazione delle informazioni a terzi sia ragionevolmente necessaria alla luce delle disposizioni e dell’esecuzione del presente Accordo, oppure ove ricorra un obbligo giuridico di rendere disponibili le informazioni a terzi.

5. Durata
5.1. Il presente Accordo decorre dalla data di sottoscrizione e rimarrà in vigore ed efficace fino al termine o alla cessazione (per qualsivoglia ragione) del Contratto di Servizio o di eventuali altri Contratti vigenti tra le Parti e aventi il medesimo oggetto. Qualora al termine del Contratto di servizio vi siano trattamenti o attività ancora in corso, il Fornitore, d’accordo con il Committente, può portarli a termine rimanendo obbligato, per tali attività, ad ogni istruzione o obbligo derivante dal presente Accordo.
5.2. Al termine del Contratto di Servizio i dati trattati, in esecuzione del presente Accordo, saranno a disposizione del Committente nei 60 (sessanta) giorni successivi alla cessazione del Contratto, o nel diverso termine definito nel Contratto di Servizio.
5.3. Trascorso tale termine, compatibilmente con i sistemi di business continuity e disaster recovery del Fornitore, i dati saranno cancellati, salvo che la conservazione non sia richiesta da specifici obblighi di legge.

6. Responsabilità e Manleve
6.1. Ciascuna Parte è responsabile per l’adempimento dei propri obblighi previsti dal presente Accordo e dalla Legislazione in materia di protezione dei Dati Personali.
6.2. Fatti salvi i limiti inderogabili di legge, il Fornitore sarà tenuto a risarcire il Committente in caso di violazione del presente Accordo entro i limiti massimi convenuti nel Contratto.

7. Disposizioni finali
7.1. L’Accordo annulla e sostituisce ogni precedente Accordo o intesa tra le Parti in relazione al trattamento di dati personali svolti dal Fornitore per conto del Committente.
7.2. Qualora una qualsiasi clausola del presente Accordo venisse dichiarata invalida, tale dichiarazione non inficerà la validità di tutte le altre clausole ivi contenute. In tale eventualità e per quanto possibile, tale clausola invalida dovrà venire sostituita da altra il cui effetto sia il più possibile equivalente a ciò che le Parti intendevano al momento della stipula dell’Accordo.
7.3. Il presente Accordo potrà essere modificato dal Fornitore secondo le modalità previste nel Contratto di Servizio.
7.4. Il Committente è tenuto a comunicare o comunque rendere noti i dati di contatto del Responsabile della Protezione dei Dati ovvero persona referente in materia di dati personali. Si impegna altresì a comunicare eventuali variazioni intervenute rispetto i predetti dati di contatto.
7.5. Il presente Accordo è stato aggiornato il 31 dicembre 2021.

8. Allegati
Allegato 1 – Elenco Servizi e Finalità
Allegato 2 – Elenco Sub Responsabili
Allegato 3 – Misure di Sicurezza

Allegato 1 – Descrizione delle attività di trattamento

Allegato 2 – Elenco dei sub-responsabili del trattamento

Il Fornitore per i trattamenti svolti per conto del Committente si avvale dei seguenti Sub-Responsabili, oltre quelli eventualmente indicati nel Contratto di Servizio:

Seeweb S.r.l
c.s. 103.000 EURO – CCIAA 17793/98 – REA 126233
P. IVA e C/F 02043220603
C.so Lazio 9/a
03100 Frosinone – Italia
https://www.seeweb.it/

Attività: Hosting Provider

Microsoft office 365

Attività: Documents Automation

Google Ireland Limited
Gordon House, Barrow Street- Dublino 4 Ireland
Registrazione 368047 – p.iva IE6388047V

Aruba SPA
c.s. 4.000.000 EURO i.v. – REA BG-434483
c.f. 04552920482 p.iva 01573850516
via san clemente 53 – 24036 Ponte san Pietro BG
https://www.aruba.it/

Attività: Hosting e-mail provider