Il presente accordo per il trattamento dei dati (“Accordo”, “DPA”) è parte integrante del contratto stipulato per disciplinare i rapporti intercorrenti tra NetRelay di Caniglia Gabriele e De Marco Francesco s.n.c. (di seguito “NetRelay”, “Fornitore”, o “Responsabile”), con sede legale in Lecce, Via Enrico Fermi n. 26, Partita IVA 04911490755, e il Cliente.

Scopo di questo DPA, stipulato tra NetRelay e il Cliente, nel rispetto dell'articolo 28 del Regolamento (UE) 2016/679, è definire le condizioni in base alle quali NetRelay, in qualità di Responsabile del trattamento e come parte dei servizi definiti nel Contratto, abbia titolo per trattare, nel rispetto delle istruzioni del Cliente, dati personali da questi conferiti e necessari alla gestione del rapporto contrattuale in essere e all’esecuzione dei servizi sottoscritti.

  1. Ruolo delle parti
    Ai fini del presente DPA, il Cliente agisce quale Titolare del trattamento, e NetRelay opera in qualità di Responsabile del Trattamento (di seguito “Responsabile”) con riferimento ai trattamenti da egli effettuati, in base agli artt. 4 e 28 del Regolamento Europeo 679/2016 (di seguito “GDPR”) e delle normative nazionali in materia di protezione dei dati personali.
    Qualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi (es., agenzia web che gestisce siti per conto di terzi), il Cliente dovrà garantire di aver ricevuto regolare nomina/designazione quale responsabile del trattamento dal titolare e che NetRelay sia stata designata quale sub-responsabile del trattamento.
    Il Cliente dovrà ulteriormente garantire che le istruzioni fornite a NetRelay sono allineate e compatibili con le istruzioni ricevute dal titolare del trattamento.
    Il Cliente manterrà indenne NetRelay per qualsiasi inadempienza del titolare del trattamento.
    Per tutto ciò che non è regolamentato dal presente Accordo si deve fare riferimento alle norme in materia di tutela dei dati personali sia nazionali che europee, che le parti si impegnano a rispettare.
  2. Trattamento e limitazioni all’utilizzo dei dati personali
    Il Responsabile del trattamento è autorizzato esclusivamente al trattamento dei dati personali di cui il Cliente è Titolare, per le finalità, nella misura e nei limiti necessari e relativi all’esecuzione delle prestazioni oggetto del Contratto. Per i dettagli si fa riferimento alle Condizioni Generali di Servizio (“CGS”) e alle Condizioni Specifiche di Servizio (“CSS”) pubblicate sul sito web http://netrelay.support/support/solutions/folders/4000024067, che qui si intendono riportate per esteso.
    Il Responsabile elabora i dati personali solo su istruzioni del Cliente e alle condizioni stabilite nel presente DPA.
    Il Responsabile si impegna informare il Cliente se, a suo parere, un'istruzione viola il GDPR o altre disposizioni applicabili in materia di protezione dei dati
  3. Natura e scopo del trattamento
    La raccolta dei dati per conto del Cliente avviene per le seguenti finalità:
    - fornitura del servizio richiesto dal Cliente in base al contratto;
    - verifica del funzionamento corretto del servizio;
    - verifica di sicurezza del servizio e dei dati stessi.
  4. Categorie di dati
    La tipologia di dati personali e le categorie di interessati sono determinate e controllate a sola discrezione del Cliente.
    Ai fini della prestazione dei servizi previsti dalle CGS e CSS, il Fornitore potrà trattare le seguenti categorie di dati personali forniti, archiviati, trasmessi, o creati dal Cliente, o dall'utente finale nel contesto della fruizione del servizio:
    • Dati identificativi;
    • Dati finanziari;
    • Dati commerciali;
    • Dati di log nel sistema e nelle applicazioni;
    • Particolari categorie di dati, quali dati idonei a rivelare lo stato di salute, le opinioni politiche, filosofiche o le convinzioni religiose ove contenuti nella documentazione gestita dal servizio in oggetto;
    • Dati giudiziari (art. 10 del GDPR).
  5. Durata del trattamento
    Il trattamento sarà effettuato fino alla scadenza del contratto col Cliente, così come previsto dalle CGS, o comunque fino al verificarsi di condizioni che rendono impossibile continuare l’esecuzione del contratto (es. mancato pagamento). Alla scadenza i dati forniti saranno restituiti o cancellati a scelta del Cliente, a meno che non sia previsto un obbligo legale di conservazione dei dati (es. garanzia, motivi fiscali). Le copie di sicurezza dei dati saranno cancellate.
  6. Luogo del trattamento
    I dati sono trattati presso la sede del Responsabile e presso i datacenter localizzati nello Spazio Economico Europeo. Il trasferimento di dati al di fuori del SEE (Spazio Economico Europeo), qualora sia richiesto dal Cliente anche tramite le impostazioni del servizio, è ammesso a condizione che il paese di destinazione garantisca un livello di protezione adeguato oppure esistano specifiche decisione di adeguatezza emanate dalla Commissione europea o clausole contrattuali utilizzate dal Cliente.
    Qualora un servizio sottoscritto dal Cliente implichi un trasferimento di dati al di fuori del SEE, e ciò comporti la sottoscrizione di apposita clausola o DPA con il servizio in questione, tale sottoscrizione dovrà essere operata dal Cliente, comunicandone espressamente al Responsabile l’adozione.
  7. Aggiornamento e certificazioni
    Il Responsabile si obbliga a curare l’aggiornamento delle proprie competenze specifiche e a tenersi aggiornato in merito a codici di condotta e alle certificazioni approvate dalle autorità di controllo.
  8. Soggetti del trattamento
    Il Responsabile si impegna a trattare i dati direttamente o eventualmente avvalendosi di incaricati del trattamento appositamente designati e autorizzati, che operano in base alle istruzioni fornite, verificando che applichino le prescrizioni di sicurezza e riservatezza dei dati, assicurandosi che siano a conoscenza delle norme a tutela dei dati personali, provvedendo alla loro formazione e al loro aggiornamento, prescrivendo che abbiano accesso ai soli dati strettamente necessari per adempiere ai compiti loro assegnati.
    In considerazione della complessità delle operazioni tecniche relative ai trattamenti di cui alla presente nomina e dell’eventuale esigenza di avvalersi di personale specializzato esterno, il Titolare autorizza NetRelay ad affidare l’esecuzione di operazioni di trattamento, anche informatico, a società del settore che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto della normativa vigente in materia di privacy, con particolare riguardo alla sicurezza.
    Il Responsabile fornisce al Titolare le informazioni relative ad eventuali soggetti subfornitori del contratto, al fine di consentire al Titolare medesimo di procedere, con congruo anticipo, all’eventuale formalizzazione della nomina a Responsabile dei predetti soggetti.
    Ulteriori soggetti ai quali possono essere comunicati i dati sono:
    - fornitori di servizi di pagamento e di spedizione;
    - consulenti fiscali;
    - consulenti legali.
  9. Obbligo di riservatezza
    Il Responsabile è vincolato da obbligo di riservatezza con riferimento a tutti i dati trattati per conto del Cliente, come anche gli incaricati del trattamento designati, che vengono istruiti in merito agli obblighi particolari relativi alla protezione dei dati derivanti dal presente mandato, nonché al vincolo sussistente alle disposizioni e alla finalità. Il Responsabile vigila sull’osservanza delle istruzioni e degli obblighi imposti.
    Tale obbligo di riservatezza non si applica nel caso in cui il Cliente abbia autorizzato la fornitura di tali informazioni a terzi, laddove la fornitura delle informazioni a terzi sia ragionevolmente necessaria in considerazione della natura delle istruzioni e dell'attuazione di queste Accordo per l'elaborazione dei dati, o se vi è l'obbligo legale di rendere l'informazione disponibile a terzi.
  10. Misure tecnico-organizzative e di sicurezza del Fornitore
    Il Responsabile adotta tutte le preventive misure previste dalle norme e dalle prassi internazionali o comunque ritenute idonee al fine di ridurre al minimo i rischi di distruzione, perdita anche accidentale, accesso non autorizzato o comunque trattamento non consentito dei dati, tenendo conto dello stato dell’arte, dell’importanza dei dati trattati e dei costi relativi. Tuttavia, non può garantire che tali misure siano efficaci in ogni circostanza. Le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo. Il Responsabile, in attuazione del principio della protezione dei dati fin dalla progettazione del sistema e del principio di protezione per impostazione predefinita (privacy by design e by default, ai sensi dell’art. 25 del GDPR) verifica periodicamente l’adeguatezza delle misure di sicurezza adottate, valutando eventuali modifiche delle stesse in base alle mutate tecnologie.
    Il Responsabile si impegna a comunicare senza ritardo al Cliente casi di accesso ai dati non autorizzato o non consentito o non conforme alle istruzioni ricevute (data breach), indicando tutte le informazioni utili a fronteggiare la violazione e a contrastare i suoi effetti.
  11. Obblighi a carico del Cliente
    Fermi restando gli obblighi di cui al precedente punto 10. “Misure tecnico-organizzative e di sicurezza del Fornitore”, il Cliente riconosce e accetta che, nella fruizione dei Servizi, rimane responsabilità esclusiva del Cliente l'adozione di adeguate misure di sicurezza in relazione alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.
    Il Cliente si impegna ad informare gli interessati (cioè i suoi clienti o utenti) correttamente e compiutamente con riferimento ai dati trattati, alle modalità e le finalità del trattamento e ai diritti attribuiti dalla legge, nonché sulle conseguenze del consenso, tramite apposita informativa redatta ai sensi delle leggi vigenti, e a raccogliere il relativo consenso qualora previsto dalle norme, o a stabilire una base legale del trattamento. Si impegna altresì a tenere indenne NetRelay da eventuali richieste legali relative alla non conformità dell’informativa agli utenti/interessati del trattamento e/o della raccolta del consenso.
    Il Cliente si impegna a fornire per iscritto tutte le istruzioni necessarie per il trattamento dei dati, e qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati. Il Cliente resta l'unico responsabile per le informazioni trattate e le istruzioni comunicate.
    Spetta al Cliente valutare la sussistenza di un obbligo di comunicazione agli interessati o alle Autorità di controllo (Garante) di una violazione dei dati (data breach) occorsa nell’uso da parte sua dei servizi, e la relativa comunicazione.
    Spetta al Cliente valutare se il suo trattamento comporta un elevato rischio per i diritti o la libertà di persone fisiche, se si tratta di decisione automatizzate con conseguenze legali sugli interessati, monitoraggio sistematico, trattamento di dati a trattamento speciale (ex art. 9 GDPR), e quindi se si rende necessaria una valutazione di impatto del trattamento (DPIA). L’eventuale DPIA dovrà essere portata a conoscenza del Responsabile.
    Spetta al Cliente valutare se il suo trattamento comporta la nomina di un Responsabile della protezione dei dati (Data Protection Officer - DPO). L’eventuale nomina dovrà essere portata a conoscenza del Responsabile.
  12. Esenzione
    I dati saranno trattati dal Responsabile con mezzi automatizzati e comunque secondo modalità che non comportano la conoscenza effettiva di attività o di informazioni o fatti o circostanze contenuti nelle informazioni trattate. Si applicano, quindi, le esenzioni di cui alla direttiva 2000/31/CE e al D.Lgs 70/2003. Il Cliente/Titolare si impegna comunque a tenere indenne il Responsabile da eventuali azioni legali conseguenti alla commissione di illeciti da parte di clienti/utenti del Cliente/Titolare.
  13. Sub-responsabili
    Il Responsabile è autorizzato a far ricorso a ulteriori Responsabili del trattamento senza necessità di approvazione preventiva del Cliente, qualora nell'ambito del trattamento o dell'utilizzo di dati personali si debba far ricorso a fornitori esterni. Questi saranno comunque vincolati alle istruzioni di cui al presente Accordo. Il Responsabile rimane comunque responsabile nei confronti del Cliente per le prestazioni dell’ulteriore Responsabile designato.
    Se l’ulteriore Responsabile del trattamento non adempisse alle proprie obbligazioni in materia di protezione dei dati, il Responsabile del trattamento iniziale è interamente responsabile nei confronti del Cliente del trattamento dell’esecuzione da parte dell’altro Responsabile del trattamento dei suoi obblighi.
  14. Assistenza al Cliente in relazione all'esercizio dei diritti degli interessati
    Il Responsabile si impegna per quanto possibile ad assistere il Cliente nell’adempimento dell’obbligo di evadere le richieste di esercizio dei diritti degli interessati.
    Qualora le persone interessate esercitino tale diritto presso il Responsabile del trattamento presentandogli la relativa richiesta, il Responsabile del trattamento inoltrerà tempestivamente tali richieste al Titolare al contatto indicato in sede di stipula del Contratto.
  15. Assistenza al Cliente in relazione ai propri diritti
    Il Responsabile si impegna, nei limiti delle sue possibilità, ad assistere il Cliente nel garantire il rispetto dei suoi compiti e delle sue funzioni, quali le misure di sicurezza, la notifica delle violazioni dei dati personali, l’eventuale esecuzione di valutazioni di impatto del trattamento (DPIA). Si impegna a mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare la conformità agli obblighi di legge del trattamento dei dati, delle misure di sicurezza e in genere delle procedure.
    In caso di verifiche da parte dell’Autorità di controllo (Garante Privacy) con riferimento al trattamento dati del Cliente, il Cliente si impegna a tenere indenne il Responsabile da spese o eventuali costi.
    I registri e le misurazioni fornite dal Responsabile sono considerati autentici a meno che il Cliente non fornisca prove convincenti del contrario.
  16. Responsabilità
    Il Responsabile del trattamento risponde unicamente del trattamento dei dati personali effettuato ai sensi del presente Accordo e non di ulteriori trattamenti di dati personali, inclusi, a titolo esemplificativo ma non esaustivo, trattamenti per scopi non segnalati dal Titolare ed elaborati da terze parti. Risponde solo dei danni causati a seguito di mancato rispetto degli obblighi di cui al GDPR con riferimento ai Responsabili del trattamento, o della violazione delle istruzioni scritte del Cliente.
    Il Cliente dichiara e garantisce di avere un’idonea base legale per elaborare i dati personali, e che i contenuti non sono illegali e non violano alcun diritto di terzi. Di conseguenza si impegna ad indennizzare il Responsabile con riferimento a tutti i reclami o azioni legali di terzi relativi alla elaborazione di dati personali illecita o illegittima.
    Qualora il Responsabile e il Cliente siano coinvolti in una procedura relativa all’esecuzione del presente Accordo, il Cliente si farà carico di indennizzare per la totalità l’interessato e solo in seconda battuta si rivarrà sul Responsabile per la sua eventuale parte di responsabilità.
  17. Modifiche all’Accordo
    Il presente Accordo può essere modificato e adattato, in particolare in caso di modifiche della legislazione in materia di protezione dei dati personali, o di provvedimenti delle Autorità di controllo. Il Cliente dovrà fornire piena collaborazione alla modifica del presente Accordo.
  18. Disposizioni finali
    Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente al Fornitore precedentemente alla data del presente Accordo in merito ai Dati Personali trattati nell’ambito dell’esecuzione del Contratto.
    Il presente Accordo potrà essere modificato dal Fornitore dandone comunicazione scritta (anche via e-mail o con l’ausilio di programmi informatici) al Cliente. In tal caso, il Cliente avrà il diritto di recedere dal Contratto con comunicazione scritta inviata al Fornitore a mezzo raccomandata con ricevuta di ricevimento nel termine di 15 giorni dal ricevimento della comunicazione del Fornitore. In mancanza di esercizio del diritto di recesso da parte del Cliente, nei termini e nei modi sopra indicati, le modifiche al presente Accordo si intenderanno da questi definitivamente conosciute e accettate e diverranno definitivamente efficaci e vincolanti.