GDPR - Accordo di Elaborazione Dati (DPA)

Che entrambe le Parti hanno stipulato un contratto per l’uso del SaaS PassportScan di proprietà del Responsabile del Trattamento.

 

1. Che il Cliente è responsabile del trattamento dei dati identificati nella Quarta Clausola, tutto in conformità alle disposizioni del Regolamento (UE) 2016/679, del 27 aprile (di seguito “RGPD“), e nella L.O. 3/2018, del 5 dicembre, sulla protezione dei dati personali e la garanzia dei diritti digitali (LOPDGDD).
2. Se, a seguito dell’esecuzione dei servizi contrattati, il Responsabile del Trattamento ha accesso a e svolge qualsiasi tipo di trattamento dei dati personali di cui è responsabile, lo farà nella sua qualità di Responsabile del Trattamento, in conformità a quanto previsto dall’articolo 28 del RGPD.
3. Che, nel rispetto delle disposizioni del RGPD e delle altre normative applicabili sulla protezione dei dati, il RESPONSABILE offre sufficienti garanzie per attuare politiche tecniche e organizzative adeguate per applicare le misure di sicurezza stabilite dalle normative vigenti e proteggere i diritti degli interessati.
4. Entrambe le parti concordano di stipulare il presente Contratto di Responsabile del Trattamento, soggetto a quanto segue,

1. Oggetto

Attraverso queste clausole, il Responsabile del Trattamento è abilitato a trattare, per conto del Titolare dei Dati, i dati personali necessari per fornire il servizio che consente l’accesso e l’utilizzo della piattaforma PASSPORTSCAN, oltre a garantirne la manutenzione tecnica, tutto sulla base delle condizioni concordate tra le parti.

Il Responsabile agirà sempre in conformità alle istruzioni del Titolare, come descritto in questo Contratto di Responsabile del Trattamento (DPA).

Le operazioni di trattamento autorizzate saranno quelle strettamente necessarie per raggiungere lo scopo del servizio e potranno includere:

• consultazione
• conservazione
• limitazione
• rimozione secondo le impostazioni e le linee guida del cliente

2. Durata

Questo Contratto di Responsabile del Trattamento entrerà in vigore al momento della sua accettazione e avrà la stessa durata dei servizi contrattati con il Responsabile del Trattamento.

3. Scopo del Trattamento

Il Responsabile del Trattamento si impegna a limitare il trattamento dei dati a quanto necessario per effettuare la fornitura dei servizi regolamentati tra le parti, sia firmando un contratto espresso e scritto, sia accettando termini e condizioni che, in ogni caso, possano essere stabiliti dal Responsabile.

5. Tipologia di Dati Trattati

Categorie di interessati:

Dettagli dell’account del Titolare dei Dati. Dipendenti e individui autorizzati dal Titolare a accedere all’account.
Contenuto del Titolare dei Dati. Clienti e utenti finali del Titolare dei Dati.
Dati di utilizzo del Titolare dei Dati. Clienti e utenti finali del Titolare dei Dati.
Rimozione secondo le impostazioni e le linee guida del cliente

4. Tipo di dati trattati:

Dati di identificazione e di contatto.
Dati professionali.
Dati sull’uso dell’applicazione.
Dati economici e bancari (se presenti).
Dati dell’immagine (se presenti)
Il Responsabile del Trattamento non è responsabile delle informazioni che il cliente inserisce o archivia, essendo di sua esclusiva responsabilità sia il tipo di dati inseriti, in particolare dati di categorie speciali, se del caso, sia il trattamento che ne fa.

5. Divieto di Comunicazione dei Dati Personali

Il Responsabile del Trattamento si impegna a mantenere sotto il proprio controllo e custodia i dati personali forniti dal Titolare dei Dati a cui accede in relazione alla fornitura dei Servizi e a non divulgarli, trasferirli o comunicarli in altro modo, nemmeno per la conservazione, a persone esterne allo stesso e alla fornitura del Servizio.

Tuttavia, il Responsabile del Trattamento non incorrerà in responsabilità quando, su indicazione scritta esplicita del Titolare dei Dati, comunica i dati a un terzo designato da quest’ultimo, a cui ha affidato la fornitura di un servizio in conformità alle disposizioni delle normative vigenti sulla protezione dei dati.

L’accesso del Responsabile del Trattamento ai dati personali non sarà considerato comunicazione o trasferimento di dati quando tale accesso sia necessario per la corretta fornitura dei Servizi.

6. Subappalto dei Servizi

Il Titolare dei Dati accetta che il Responsabile del Trattamento possa contrattare con sub-responsabili (di seguito “Sub-Responsabili” o “Sub-Responsabili”) per adempiere alle proprie obbligazioni ai sensi di questo Contratto.

Il Titolare dei Dati fornisce il consenso generale affinché il Responsabile del Trattamento si impegni nei confronti dei Sub-Responsabili, nel rispetto dei seguenti requisiti:

1.Tutti i Sub-Responsabili devono garantire il rispetto delle normative sulla protezione dei dati.

2.Il Responsabile del Trattamento limiterà l’accesso del Sub-Responsabile ai Dati Personali del Titolare dei Dati strettamente necessari per la fornitura dei suoi servizi.

Il Titolare dei Dati accetta che il Responsabile del Trattamento possa assumere ulteriori Sub-Responsabili per elaborare i dati nei servizi forniti e per gli scopi consentiti, e manterrà un elenco aggiornato dei suoi Sub-Responsabili, sebbene, in tali casi, il Titolare dei Dati sarà informato di tali modifiche in modo che, se del caso, possa opporsi. In caso di opposizione, il Responsabile del Trattamento deciderà se contrattare o meno con il suddetto Sub-Responsabile. In caso di decisione di contrattare con il Sub-Responsabile con opposizione del Titolare dei Dati, si incorrerà automaticamente nella risoluzione del Contratto tra le parti.

Quando il Responsabile del Trattamento ricorre a un Sub-Responsabile, entrambi rispetteranno le condizioni stabilite all’articolo 28, paragrafi 2 e 4, del GDPR. In particolare, il Responsabile del Trattamento si impegna affinché i Sub-Responsabili rispettino gli stessi obblighi di protezione dei dati indicati in questo contratto. Il Responsabile del Trattamento metterà a disposizione del Titolare dei Dati un elenco dei sub-responsabili del trattamento che sarà sempre aggiornato. Attualmente, i servizi di hosting e archiviazione della piattaforma PassportScan sono esternalizzati alla società Amazon Web Services https://aws.amazon.com/es/privacy/?

7. Trasferimenti internazionali di dati.
Il Responsabile del Trattamento non prevede di effettuare trasferimenti internazionali dei dati sotto la responsabilità del Titolare dei Dati al di fuori dello Spazio Economico Europeo, necessari per la fornitura dei servizi contrattati. L’hosting delle informazioni contrattato con AWS è definito regionalmente, quindi i clienti nella zona dell’UE hanno i loro dati archiviati nell’UE e così è in altre regioni. Nel caso di trasferimenti al di fuori dell’EEA, questi saranno effettuati in conformità agli articoli 44-49 del GDPR.

8. Sicurezza dei dati personali.
Il Responsabile del Trattamento garantisce l’applicazione di adeguate misure tecniche e organizzative affinché il trattamento sia conforme ai requisiti legali, in conformità alle disposizioni dell’articolo 32 del GDPR.
Nel caso in cui il Titolare dei Dati richieda al Responsabile del Trattamento, attraverso i mezzi indicati nella Sedicesima Clausola, un documento esplicativo di tali misure, gli verrà fornito un Documento sulla Sicurezza che raccoglie le informazioni principali in materia, le misure di sicurezza applicate e le procedure implementate o in vigore al momento della richiesta.

9. Collaborazione nella notifica delle violazioni della sicurezza.
9.1. Notifica delle violazioni della sicurezza
In caso di violazione della sicurezza nei sistemi del Responsabile del Trattamento, che potrebbe influire sulla responsabilità dei dati del Titolare dei Dati, il Responsabile del Trattamento, entro un periodo massimo di 48 ore, sempre dopo essere venuto a conoscenza della violazione dei dati personali, si impegna a notificare al Titolare dei Dati tramite l’indirizzo email designato dal Titolare. , insieme a tutte le informazioni rilevanti per la documentazione e la comunicazione dell’incidente.

9.2. Assistenza al Responsabile
Il Responsabile del Trattamento metterà a disposizione del Titolare delle informazioni necessarie per dimostrare la conformità agli obblighi indicati nell’articolo 28 del RGPD. Consentirà anche l’esecuzione di audit, comprese ispezioni, da parte del Titolare dei Dati o di un altro revisore autorizzato dal Titolare. Il Responsabile del Trattamento non aderisce a nessun Codice di Condotta approvato ai sensi dell’articolo 40 del GDPR.

10. Diritti di accesso, rettifica, cancellazione, limitazione, opposizione e portabilità dei dati.
Nel caso di esercizio dei diritti da parte di clienti o lavoratori di terze parti del Titolare dei Dati, il Responsabile del Trattamento trasferirà immediatamente al Titolare dei Dati e, al più tardi, entro 7 giorni lavorativi, affinché provveda e dia, se del caso, una risposta adeguata.

11. Riservatezza.
Il dovere di segretezza e riservatezza che deriva da questo Contratto obbliga il Responsabile del Trattamento durante il periodo di durata della relazione mantenuta con il Titolare dei Dati.
Il Responsabile del Trattamento garantisce che le persone a lui subordinate, autorizzate a trattare dati personali sotto la responsabilità del Titolare dei Dati, assumeranno un impegno di riservatezza e saranno soggette a idonei obblighi legali di segretezza, anche dopo la cessazione del Contratto.

Il Responsabile del Trattamento si impegna a consentire l’accesso a tali dati solo ai dipendenti che devono conoscerli per la corretta esecuzione delle loro funzioni nell’ambito della fornitura dei servizi.

12.Periodo di conservazione e restituzione delle informazioni.
Il Responsabile del Trattamento fornirà la possibilità di ottenere una copia o cancellare i dati attraverso il proprio sistema. Questo è il modo in cui il Titolare dei Dati può esercitare il suo diritto di accesso, portabilità e cancellazione dei dati. Il Titolare dei Dati accetta di essere l’unico responsabile di ottenere una copia dei suoi dati e di cancellarli al termine del periodo di cancellazione indicato di seguito. Una volta terminato il contratto, il Responsabile del Trattamento:

Fornirà al Titolare dei Dati la possibilità di ottenere una copia dei suoi dati entro 30 giorni dalla data di scadenza del contratto, attraverso il proprio sistema.
Cancellare automaticamente i dati del Titolare dei Dati entro 30 giorni dalla cessazione del contratto.
Cancellare automaticamente i dati del Titolare dei Dati nei sistemi di backup entro 60 giorni dalla cessazione del contratto.
Eventuali contenuti del Titolare dei Dati archiviati nei sistemi di backup del Responsabile del Trattamento saranno sicuramente protetti da ulteriori trattamenti, tranne che per quanto richiesto dalla legge applicabile.

Indipendentemente da quanto precede, il Responsabile del Trattamento può conservare le informazioni del Titolare dei Dati o parte di esse se richiesto dalla legge applicabile. Pertanto, il Responsabile del Trattamento elaborerà i dati dell’Account del Titolare dei Dati per tutto il tempo necessario per fornire i servizi al Titolare dei Dati. I dati dell’Account del Titolare dei Dati archiviati nei sistemi di amministrazione devono essere conservati per un periodo minimo di sei anni dopo la cessazione del rapporto per scopi contabili, fiscali e di revisione, in conformità con la legge applicabile. I dati dell’Account del Titolare dei Dati archiviati nelle comunicazioni con i team di assistenza clienti del Responsabile del Trattamento possono essere conservati fino a tre anni dopo la cessazione del Contratto. In ogni caso, i dati conservati per i motivi indicati, una volta terminato il rapporto contrattuale tra le parti, rimarranno bloccati in ogni momento.

13. Responsabilità delle parti.
Il Responsabile del Trattamento sarà responsabile delle violazioni che potrebbero essere commesse nel caso di trattamento dei dati personali del Titolare dei Dati per un fine diverso da quello contenuto in questo contratto, così come nel caso in cui non adotti le corrispondenti misure di sicurezza.

Il Titolare dei Dati sarà responsabile di eventuali violazioni, sanzioni e/o multe che potrebbero essere irrogate nei suoi confronti per il mancato rispetto degli obblighi derivanti dalle normative sulla Protezione dei Dati.

14. Protezione dei dati.
Ciascuna delle Parti è informata che i propri dati personali saranno trattati dall’altra parte, in conformità alle disposizioni del Regolamento Generale del 2016/679 sulla protezione dei dati, al fine di consentire lo sviluppo, il rispetto e il controllo della fornitura dei servizi, con la base del trattamento che è la conformità al rapporto contrattuale. I dati saranno conservati per la durata del contratto e successivamente, per obbligo legale, fino alla scadenza degli obblighi e/o delle responsabilità derivanti dallo stesso. I dati delle Parti possono essere trasferiti a banche, assicuratori e pubbliche amministrazioni, nei casi previsti dalla legge e per gli scopi definiti in essa. Le Parti possono richiedere l’accesso ai dati personali, la loro rettifica, cancellazione, portabilità e limitazione del trattamento, nonché opporsi, all’indirizzo dell’altra Parte indicato nell’intestazione di questo Contratto.

15. Legislazione e giurisdizione applicabile.

Il Responsabile e il Responsabile del Trattamento dichiarano di conoscere e accettare i termini di utilizzo e/o gli accordi scritti raggiunti tra le parti.

Questo Contratto di Responsabile del Trattamento sarà disciplinato dalle normative europee sulla Protezione dei Dati Personali, nonché dalle risoluzioni e linee guida dell’Autorità di Controllo e di altri organi competenti in materia.

Per risolvere eventuali discrepanze riguardo all’interpretazione e/o all’esecuzione delle disposizioni di questo Contratto di Responsabile del Trattamento, le Parti si sottopongono alla giurisdizione dei Tribunali di Valencia Capital, rinunciando espressamente a qualsiasi altra legislazione o giurisdizione che potrebbe competere.

16. Comunicazioni.

Le parti si impegnano a comunicare, preferibilmente e abitualmente, via e-mail ai seguenti indirizzi:

Il Responsabile: l’e-mail dell’amministratore principale del prodotto contrattato o quella di uso abituale tra le parti.

Il Responsabile del Trattamento: legal@globeid.net

17.Accettazione.

Le Parti concordano che possono utilizzare la firma elettronica semplice per firmare questo Contratto di Responsabile del Trattamento e, di conseguenza, accettano e riconoscono che l’uso della firma elettronica semplice avrà la stessa validità della firma manoscritta su carta per la perfezione dello stesso.