PREMESSA

Il presente Contratto per il trattamento dei dati personali (“Contratto”, “Accordo”, “DPA”), insieme ai suoi allegati, è parte integrante del contratto stipulato tra NetRelay di Caniglia Gabriele e De Marco Francesco s.n.c., con sede legale in Lecce, Via Enrico Fermi n. 26, Partita IVA 04911490755 (di seguito “NetRelay”, “Fornitore”, o “Responsabile”) e il Cliente acquirente del Servizio.


Il Cliente ha acquistato il/i servizio/i ("Servizi/o") offerto da NetRelay secondo le modalità contrattuali previste nelle Condizioni Generali di Servizio (“CGS”) e nelle Condizioni Specifiche di Servizio (“CSS”).


Nella gestione del rapporto contrattuale e nell’esecuzione della prestazione di servizio, NetRelay potrebbe trattare dati personali per conto del cliente.


NetRelay e il Cliente (“le Parti”, e ciascuno singolarmente come “Parte”) stipulano il presente contratto per disciplinare gli accordi e i rapporti intercorrenti in relazione al trattamento dei dati personali del Cliente, in conformità alle disposizioni di Legge vigenti e applicabili in materia di protezione dei dati personali.


Questa premessa forma parte integrante del presente Contratto.


1. DEFINIZIONI

Autorità di Controllo
indica l'autorità pubblica indipendente istituita da uno Stato membro competente a vigilare ed assicurare l’applicazione delle disposizioni di legge applicabili in materia di protezione dei dati personali con riferimento al trattamento dei dati personali del Cliente svolto per mezzo del Servizio;

Categorie particolari di dati personali
indica i dati personali che rivelino: l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché il trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o i dati relativi a condanne penali e a reati o alle relative misure di sicurezza;

Clausole Contrattuali Tipo
indica le Clausole Contrattuali Tipo adottate dalla Commissione Europea nella Decisione 2010/87/UE del 5 febbraio 2010 per il trasferimento dei Dati Personali da un Titolare stabilito nell’UE verso un'Entità extra SEE che agisca come Responsabile;

Cliente
indica il soggetto che ha acquistato il Servizio;

Contratto
indica il presente Contratto per il trattamento dei dati personali e i suoi allegati;

Dati Personali del Cliente
indica i dati personali, relativi agli interessati, trattati in relazione al Servizio fornito dal Responsabile nei confronti del Cliente;

Dato personale
qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (art. 4 del Regolamento);

Decisione di Adeguatezza
si riferisce a una decisione vincolante emessa dalla Commissione Europea che permette il trasferimento dei dati personali dallo Spazio Economico Europeo verso un paese terzo il cui ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei dati personali;

Diritti dell’Interessato
sono i diritti riconosciuti all’Interessato dalle disposizioni di legge applicabili in materia di protezione dei dati personali (artt. 15-22 del Regolamento);

Disposizioni di legge applicabili in materia di protezione dei dati personali
indica, negli Stati membri dell’Unione Europea, il Regolamento e le complementari legislazioni nazionali in materia di protezione dei Dati Personali, comprensivi di ogni orientamento e/o code of pratice emessi dalla competente Autorità di controllo all'interno dell’Unione Europea; e/o, negli Stati extra UE, ogni vigente legislazione in materia di protezione dei dati personali relativa alla tutela ed al legittimo trattamento di dati personali;

Interessato/i
qualsiasi persona fisica identificata o identificabile cui si riferiscono i dati personali;

Regolamento
indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

Responsabile
indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che tratta dati personali per conto del Titolare;

SEE
indica lo Spazio Economico Europeo;

Servizio
indica il servizio acquistato dal Cliente;

Sub-Responsabile
indica la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente individuato dal Responsabile per assisterlo nel trattamento dei dati personali del Cliente nel rispetto delle obbligazioni previste dal Responsabile e di cui al presente Contratto;

Titolare
indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che, da solo o congiuntamente con altri soggetti, determini le finalità e le modalità del Trattamento dei dati personali. Ai fini del presente Contratto, il Titolare è il Cliente;

Trattare o Trattamento
indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

UE
indica l’Unione Europea;

Violazione dei dati personali
indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati.

2. RUOLI PRIVACY DELLE PARTI

Ai fini del presente DPA:

  1. il Cliente agisce quale Titolare del trattamento dei dati personali del Cliente (“Titolare”), e NetRelay opera in qualità di Responsabile del Trattamento dei dati personali del Cliente (“Responsabile”) con riferimento ai trattamenti effettuati nell’erogazione del Servizio;
  2. le Parti intendono regolare il loro rapporto con riferimento ai rispettivi compiti e obblighi coinvolti nel trattamento dei dati personali del Cliente attuato dal Responsabile nell’erogazione del Servizio.


3. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

Con riferimento all’erogazione del Servizio acquistato dal Cliente, il Responsabile si impegna a conformarsi alle direttive seguenti:

  1. il Responsabile è autorizzato esclusivamente al trattamento dei dati personali del Cliente per le finalità, nella misura e nei limiti necessari e relativi all’esecuzione delle prestazioni oggetto del Contratto;
  2. il Responsabile si uniforma alle istruzioni impartite per iscritto dal Titolare con il presente Contratto, e informerà il Cliente qualora ritenga che le istruzioni ricevute si pongano in violazione del Regolamento o di altre disposizioni applicabili in materia di protezione dei dati;
  3. il Responsabile dovrà informare tempestivamente il Cliente di ogni comunicazione ricevuta dall’Autorità di controllo in merito al trattamento dei dati personali del Cliente, a cui compete ogni obbligo di riscontro alla stessa Autorità;
  4. il Responsabile si obbliga a curare l’aggiornamento delle proprie competenze specifiche e a tenersi aggiornato in merito a codici di condotta e alle certificazioni approvate dalle Autorità di controllo;
  5. il Responsabile si impegna a trattare i dati direttamente o eventualmente avvalendosi di incaricati del trattamento appositamente designati e autorizzati, che operano in base alle istruzioni fornite, verificando che applichino le prescrizioni di sicurezza e riservatezza dei dati, assicurandosi che siano a conoscenza delle norme a tutela dei dati personali, provvedendo alla loro formazione e al loro aggiornamento, prescrivendo che abbiano accesso ai soli dati strettamente necessari per adempiere ai compiti loro assegnati.
  6. il Responsabile collabora con il Titolare e lo supporta nel consentire il corretto esercizio dei diritti dell’Interessato;
  7. il Responsabile è vincolato da obbligo di riservatezza con riferimento a tutti i dati trattati per conto del Cliente, come anche gli incaricati del trattamento designati, che vengono istruiti in merito agli obblighi particolari relativi alla protezione dei dati derivanti dal presente mandato, nonché al vincolo sussistente alle disposizioni e alla finalità. Il Responsabile vigila sull’osservanza delle istruzioni e degli obblighi imposti.


4. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO

Il Titolare comunicherà dati personali del Cliente per permettere l’esecuzione della prestazione del Servizio da parte del Responsabile; a tal fine, garantisce l’esistenza di una idonea base legale per il trattamento dei dati e per la loro trasmissione al Responsabile.


Il Cliente si impegna a fornire per iscritto tutte le istruzioni necessarie per il trattamento dei dati, e qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati. Il Cliente resta l'unico responsabile per le informazioni trattate e le istruzioni comunicate.


Il Cliente riconosce e accetta che è di sua responsabilità esclusiva l'adozione di adeguate misure di sicurezza in relazione alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.


Spetta al Cliente valutare la sussistenza di un obbligo di comunicazione agli Interessati o alle Autorità di controllo di una violazione dei dati (data breach) occorsa nell’uso da parte sua dei Servizi, e la relativa comunicazione.


Spetta al Cliente valutare se il suo trattamento comporta un elevato rischio per i diritti o la libertà di persone fisiche, se si tratta di decisione automatizzate con conseguenze legali sugli interessati, monitoraggio sistematico, trattamento di dati a trattamento speciale (ex art. 9 GDPR), e quindi se si rende necessaria una valutazione di impatto del trattamento (DPIA). L’eventuale DPIA dovrà essere portata a conoscenza del Responsabile.


Spetta al Cliente valutare se il suo trattamento comporta la nomina di un Responsabile della protezione dei dati (Data Protection Officer - DPO). L’eventuale nomina dovrà essere portata a conoscenza del Responsabile.


5. NATURA E SCOPO DEL TRATTAMENTO

Il trattamento dei dati per conto del Cliente avviene solo in relazione alla fornitura del Servizio così come descritto nelle CGS e nelle CSS, e per le seguenti finalità:

  • fornitura del Servizio richiesto dal Cliente in base al contratto;
  • verifica del funzionamento corretto del Servizio;
  • verifica di sicurezza del Servizio e dei dati stessi.


6. INTERESSATI E CATEGORIE DI DATI

I dati personali oggetto del trattamento tramite il Servizio erogato da NetRelay potranno riferirsi alle categorie di Interessati seguenti, non determinabili a priori e controllate a discrezione del Cliente:

  1. Cliente e/o suoi dipendenti e collaboratori;
  2. Fornitori e Clienti del Cliente;
  3. Altri soggetti i cui dati sono trattati dal Cliente in qualità di Titolare del trattamento.

Ai fini della prestazione dei servizi attivati dal Cliente, NetRelay potrà trattare i dati personali, non determinabili a priori, forniti, archiviati, trasmessi, o creati dal Cliente, o dall'utente finale nel contesto della fruizione del servizio, appartenenti alla categoria di cui all’art. 4 punto 1 del Regolamento. In particolare, si tratta di:

  1. dati identificativi (nome e cognome, data di nascita, codice fiscale, partita IVA);
  2. dati di contatto (indirizzo e-mail, indirizzo postale, numeri di telefono);
  3. altre tipologie di dati personali trattati dal Titolare tramite il Servizio acquistato da NetRelay.

Non saranno oggetto di trattamento da parte del Responsabile i dati personali relativi a condanne penali e reati, né Categorie Particolari di dati personali.


7. DURATA DEL TRATTAMENTO, RESTITUZIONE E CANCELLAZIONE DEI DATI

Il trattamento dei dati personali del Titolare sarà effettuato fino alla scadenza del contratto col Cliente, o comunque fino al verificarsi di una delle condizioni di interruzione, sospensione o cessazione del contratto così come previsto dalle CGS.


Il Responsabile si impegna, in seguito a scadenza o interruzione anticipata del Contratto, o in seguito a richiesta scritta del Titolare inviata con idoneo preavviso, a restituire o distruggere i dati personali del Cliente, salvo che sussistano specifici obblighi di conservazione previsti dalla legge.


La richiesta del Titolare di restituzione dei dati personali del Cliente sarà adempiuta per quanto possibile, considerando i mezzi tecnici e organizzativi a disposizione, nonché la natura e quantità di dati personali trattati.


Qualora invece il Titolare richieda la cancellazione dei dati personali oggetto di trattamento, il Responsabile sarà tenuto a soddisfarla, salvo che sussistano specifici obblighi di conservazione previsti dalla legge, e fornirà al Titolare attestazione di avvenuta cancellazione.


8. LUOGO DEL TRATTAMENTO E TRASFERIMENTO DEI DATI

I dati sono trattati presso la sede del Responsabile e presso i datacenter localizzati nello Spazio Economico Europeo. Il trasferimento di dati personali al di fuori del SEE, qualora sia richiesto dal Cliente anche tramite le impostazioni del Servizio, è ammesso a condizione che il paese di destinazione garantisca un livello di protezione adeguato oppure esistano specifiche decisione di adeguatezza emanate dalla Commissione europea o clausole contrattuali utilizzate dal Cliente.


Qualora un servizio acquistato dal Cliente implichi un trasferimento di dati al di fuori del SEE, e ciò comporti l’adozione di apposita clausola o DPA con il servizio in questione, il Titolare autorizza espressamente la sottoscrizione di tali clausole e autorizza il Responsabile alla sottoscrizione per conto del Titolare.


9. SUB-RESPONSABILI DEL TRATTAMENTO

Il Titolare è consapevole e autorizza il Responsabile, in considerazione della complessità delle operazioni tecniche relative ai trattamenti strettamente connessi alla prestazione del servizio, ad affidare l’esecuzione di operazioni di trattamento a soggetti terzi che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto della normativa vigente in materia di protezione dei dati.


Il Responsabile quindi è autorizzato a far ricorso a ulteriori Responsabili del trattamento, i quali saranno comunque vincolati alle istruzioni di cui al presente Accordo.


NetRelay rimane comunque responsabile nei confronti del Cliente per le prestazioni dell’ulteriore Responsabile designato.


Se l’ulteriore Responsabile del trattamento non adempisse alle proprie obbligazioni in materia di protezione dei dati, NetRelay sarebbe interamente responsabile nei confronti del Cliente del trattamento da parte dell’altro Responsabile nell’esecuzione dei suoi obblighi.


Previa richiesta del Titolare, il Responsabile potrà fornire l’elenco dei Sub-Responsabili designati.


10. DIRITTI DELL’INTERESSATO

Il Responsabile si impegna a supportare il Titolare e ad agevolarlo nell’attività di riscontro alle richieste di esercizio dei diritti dell’interessato, fornendogli collaborazione e ogni informazione utile, anche finalizzata a permettere al Titolare di dimostrare di aver adempiuto ai propri obblighi ai sensi delle disposizioni di legge applicabili.


Qualora le persone interessate esercitino tale diritto presso il Responsabile del trattamento presentandogli la relativa richiesta, il Responsabile del trattamento inoltrerà tempestivamente tali richieste al Titolare.


11. MISURE DI SICUREZZA DEL RESPONSABILE

Il Responsabile adotta misure ritenute idonee al fine di ridurre al minimo i rischi di distruzione, perdita anche accidentale, accesso non autorizzato o comunque trattamento non consentito dei dati, tenendo conto dello stato dell’arte, dell’importanza dei dati trattati e dei costi relativi. Tuttavia, non può garantire che tali misure siano efficaci in ogni circostanza. Le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo.


A tal fine, adotta procedure e sistemi di disaster recovery e business continuity, diversi in base al Servizio, il cui dettaglio è disponile per il Titolare previa richiesta; tali misure possono essere sottoposte ad aggiornamento e modifiche, secondo l’evolversi delle conoscenze e delle tecnologie del settore, ma il Responsabile si impegna a mantenere la sua capacità di fronteggiare un disaster recovery ad un livello non inferiore a quello in essere al momento della sottoscrizione del presente Contratto.


Il Responsabile, in attuazione del principio della protezione dei dati fin dalla progettazione del sistema e del principio di protezione per impostazione predefinita (privacy by design e by default, ai sensi dell’art. 25 del GDPR) verifica periodicamente l’adeguatezza delle misure di sicurezza adottate, valutando eventuali modifiche delle stesse.


Inoltre, il Responsabile si impegna a garantire che la trasmissione dei dati personali attraverso Internet avvenga applicando idonei meccanismi di cifratura; le Parti tuttavia accettano e sono consapevoli che la sicurezza di tali trasmissioni attraverso Internet non può essere completamente assicurata, e che potrebbero verificarsi intercettazioni, intrusioni o interruzioni tali da modificare o causare perdite di dati personali.


Nell’Allegato 1, è fornita una descrizione delle misure tecniche e organizzative di sicurezza adottate da NetRelay.


12. DATA BREACH (VIOLAZIONE DEI DATI PERSONALI)

NetRelay non sarà ritenuto responsabile per la violazione dei dati personali del Titolare a patto che non sia imputabile a negligenza del Responsabile.


13. MODIFICHE DEL CONTRATTO

Il presente Contratto può essere modificato e adattato, in particolare in caso di modifiche della legislazione in materia di protezione dei dati personali, o di provvedimenti delle Autorità di controllo. Il Cliente dovrà fornire piena collaborazione alla modifica del presente Accordo.


14. DISPOSIZIONI FINALI

Con la sottoscrizione del presente Contratto, il Titolare espressamente conferisce mandato a NetRelay ad eseguire per suo conto le attività descritte ai punti 3, 5 e 6 di cui sopra.


Con la sottoscrizione del presente Contratto, NetRelay accetta il mandato, connesso alla fornitura del Servizio, confermando di aver letto e compreso le istruzioni ricevute.


Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente al Fornitore precedentemente alla data del presente Accordo in merito ai dati personali trattati nell’ambito dell’esecuzione del Contratto.


ALLEGATO 1

Misure tecniche e organizzative di sicurezza adottate da NetRelay.