PREMESSA

Il presente Contratto per il trattamento dei dati personali (“Contratto”, “Accordo”, “DPA”), insieme ai suoi allegati, è parte integrante del contratto stipulato tra NetRelay di Caniglia Gabriele e De Marco Francesco s.n.c., con sede legale in Lecce, Via Enrico Fermi n. 26, Partita IVA 04911490755 (di seguito “NetRelay”, “Fornitore”, o “Sub-Responsabile”) e il Cliente (di seguito “Reseller”, “Cliente”, “Responsabile”), acquirente del Servizio per conto di soggetti terzi (“Cliente/i”, “Cliente/i finale/i”).


Nel contesto di tale rapporto, il Cliente acquista servizi da NetRelay per destinarli alla rivendita ai propri clienti, e in tale veste agisce come Responsabile del trattamento, mentre i suoi Clienti agiscono, secondo i casi, come Titolari o come Responsabili del trattamento.


Il Cliente ha acquistato il/i servizio/i ("Servizi/o") offerto da NetRelay secondo le modalità contrattuali previste nelle Condizioni Generali di Servizio (“CGS”) e nelle Condizioni Specifiche di Servizio (“CSS”).


Nella gestione del rapporto contrattuale ed esecuzione della prestazione di servizio, NetRelay potrebbe trattare dati personali per conto del Cliente.

NetRelay e il Cliente (“le Parti”, e ciascuno singolarmente come “Parte”) stipulano il presente contratto per disciplinare gli accordi e i rapporti intercorrenti in relazione al Trattamento dei dati personali del Cliente, in conformità alle disposizioni di Legge vigenti e applicabili in materia di Protezione dei dati personali.


Questa premessa forma parte integrante del presente Contratto.


1. DEFINIZIONI

Autorità di Controllo
indica l'autorità pubblica indipendente istituita da uno Stato membro competente a vigilare ed assicurare l’applicazione delle disposizioni di legge applicabili in materia di protezione dei dati personali con riferimento al trattamento dei dati personali del Cliente svolto per mezzo del Servizio;

Categorie particolari di dati personali
indica i dati personali che rivelino: l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché il trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o i dati relativi a condanne penali e a reati o alle relative misure di sicurezza;

Clausole Contrattuali Tipo
indica le Clausole Contrattuali Tipo adottate dalla Commissione Europea nella Decisione 2010/87/UE del 5 febbraio 2010 per il trasferimento dei Dati Personali da un Titolare stabilito nell’UE verso un'Entità extra SEE che agisca come Responsabile;

Cliente
indica il soggetto che ha acquistato il Servizio;

Contratto
indica il presente Contratto per il trattamento dei dati personali e i suoi allegati;

Dati Personali del Cliente
indica i dati personali, relativi agli interessati, trattati in relazione al Servizio fornito dal Responsabile nei confronti del Cliente;

Dato personale
qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (art. 4 del Regolamento);

Decisione di Adeguatezza
si riferisce a una decisione vincolante emessa dalla Commissione Europea che permette il trasferimento dei dati personali dallo Spazio Economico Europeo verso un paese terzo il cui ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei dati personali;

Diritti dell’Interessato
sono i diritti riconosciuti all’Interessato dalle disposizioni di legge applicabili in materia di protezione dei dati personali (artt. 15-22 del Regolamento);

Disposizioni di legge applicabili in materia di protezione dei dati personali
indica, negli Stati membri dell’Unione Europea, il Regolamento e le complementari legislazioni nazionali in materia di protezione dei Dati Personali, comprensivi di ogni orientamento e/o code of pratice emessi dalla competente Autorità di controllo all'interno dell’Unione Europea; e/o, negli Stati extra UE, ogni vigente legislazione in materia di protezione dei dati personali relativa alla tutela ed al legittimo trattamento di dati personali;

Interessato/i
qualsiasi persona fisica identificata o identificabile cui si riferiscono i dati personali;

Regolamento
indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

Responsabile
indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che tratta dati personali per conto del Titolare;

SEE
indica lo Spazio Economico Europeo;

Servizio
indica il servizio acquistato dal Cliente;

Sub-Responsabile
indica la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente individuato dal Responsabile per assisterlo nel trattamento dei dati personali del Cliente nel rispetto delle obbligazioni previste dal Responsabile e di cui al presente Contratto;

Titolare
indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che, da solo o congiuntamente con altri soggetti, determini le finalità e le modalità del Trattamento dei dati personali. Ai fini del presente Contratto, il Titolare è il Cliente;

Trattare o Trattamento
indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

UE
indica l’Unione Europea;

Violazione dei dati personali
indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati.

2. RUOLI PRIVACY DELLE PARTI

Ai fini del presente DPA:

  • NetRelay eroga il Servizio al Cliente finale per conto del Reseller;
  • il Reseller e NetRelay operano in qualità di Responsabili del Trattamento dei dati personali del Cliente finale con riferimento ai trattamenti effettuati nell'erogazione del Servizio;
  • Il Cliente finale destinatario del Servizio opera in veste di Titolare del trattamento o come Responsabile;
  • le Parti intendono regolare il loro rapporto con riferimento ai rispettivi compiti e obblighi in relazione al trattamento dei dati personali del Cliente attuato da NetRelay nell'erogazione del Servizio.


3. OBBLIGHI DEL SUB-RESPONSABILE DEL TRATTAMENTO (NETRELAY)

Con riferimento all'erogazione del Servizio acquistato dal Reseller, il Sub-Responsabile si impegna a conformarsi alle direttive seguenti:

  1. NetRelay è autorizzato esclusivamente al trattamento dei dati personali del Cliente per le finalità, nella misura e nei limiti necessari e relativi all’esecuzione delle prestazioni oggetto del Contratto;
  2. il Sub-Responsabile si uniforma alle istruzioni impartite per iscritto dal Cliente con il presente Contratto, e lo informerà qualora ritenga che le istruzioni ricevute si pongano in violazione del Regolamento o di altre disposizioni di legge applicabili in materia di protezione dei dati;
  3. il Sub-Responsabile dovrà informare tempestivamente il Cliente di ogni comunicazione ricevuta dall’Autorità di controllo in merito al trattamento dei dati personali del Cliente, a cui compete ogni obbligo di riscontro alla stessa Autorità;
  4. il Sub-Responsabile si obbliga a curare l’aggiornamento delle proprie competenze specifiche e a tenersi aggiornato in merito a codici di condotta e alle certificazioni approvate dalle Autorità di controllo;
  5. il Sub-Responsabile si impegna a trattare i dati direttamente, o eventualmente avvalendosi di incaricati del trattamento appositamente designati e autorizzati, che operano in base alle istruzioni fornite, verificando che applichino le prescrizioni di sicurezza e riservatezza dei dati, assicurandosi che siano a conoscenza delle norme a tutela dei dati personali, provvedendo alla loro formazione e al loro aggiornamento, prescrivendo che abbiano accesso ai soli dati strettamente necessari per adempiere ai compiti loro assegnati.
  6. il Sub-Responsabile collabora con il Titolare e lo supporta nel consentire il corretto esercizio dei diritti dell’Interessato;
  7. il Sub-Responsabile è vincolato da obbligo di riservatezza con riferimento a tutti i dati trattati per conto del Cliente, come anche gli incaricati del trattamento designati, che vengono istruiti in merito agli obblighi particolari relativi alla protezione dei dati derivanti dal presente mandato, nonché al vincolo sussistente alle disposizioni e alla finalità. Il Responsabile vigila sull’osservanza delle istruzioni e degli obblighi imposti

.


4. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO

Il Titolare comunicherà dati personali del Cliente per permettere l’esecuzione della prestazione del Servizio da parte del Sub-Responsabile; a tal fine, garantisce l’esistenza di una idonea base legale per il trattamento dei dati e per la loro trasmissione al Sub-Responsabile.


Il Cliente si impegna a fornire per iscritto tutte le istruzioni necessarie per il trattamento dei dati, e qualunque informazione necessaria per la creazione dei registri del Sub-Responsabile sulle attività di trattamento dei dati. Il Cliente resta l'unico responsabile per le informazioni trattate e le istruzioni comunicate.



5. NATURA E SCOPO DEL TRATTAMENTO

Il trattamento dei dati per conto del Cliente avviene solo in relazione alla fornitura del Servizio così come descritto nelle CGS e nelle CSS, e per le seguenti finalità:

  • fornitura del Servizio richiesto dal Cliente in base al contratto;
  • verifica del funzionamento corretto del Servizio;
  • verifica di sicurezza del Servizio e dei dati stessi.


6. INTERESSATI E CATEGORIE DI DATI

I dati personali oggetto del trattamento tramite il Servizio erogato da NetRelay potranno riferirsi alle categorie di Interessati seguenti, non determinabili a priori e controllate a discrezione del Cliente:

  1. Cliente e/o suoi dipendenti e collaboratori;
  2. Fornitori e Clienti del Cliente;
  3. Altri soggetti i cui dati sono trattati dal Cliente in qualità di Titolare del trattamento.

Ai fini della prestazione dei servizi attivati dal Reseller, NetRelay potrà trattare i dati personali, non determinabili a priori, forniti, archiviati, trasmessi, o creati dal Cliente, o dall'utente finale nel contesto della fruizione del servizio, appartenenti alla categoria di cui all’art. 4 punto 1 del Regolamento. In particolare, si tratta di:

  1. dati identificativi (nome e cognome, data di nascita, codice fiscale, partita IVA);
  2. dati di contatto (indirizzo e-mail, indirizzo postale, numeri di telefono);
  3. altre tipologie di dati personali trattati dal Titolare tramite il Servizio acquistato da NetRelay.

Non saranno oggetto di trattamento da parte del Sub-Responsabile i dati personali relativi a condanne penali e reati, né Categorie Particolari di dati personali.


7. DURATA DEL TRATTAMENTO, RESTITUZIONE E CANCELLAZIONE DEI DATI

Il trattamento dei dati personali del Titolare sarà effettuato fino alla scadenza del contratto col Cliente, o comunque fino al verificarsi di una delle condizioni di interruzione, sospensione o cessazione del contratto così come previsto dalle CGS.


Il Sub-Responsabile si impegna, in seguito a scadenza o interruzione anticipata del Contratto, o in seguito a richiesta scritta del Titolare inviata con idoneo preavviso, a restituire o distruggere i dati personali del Cliente, salvo che sussistano specifici obblighi di conservazione previsti dalla legge.


La richiesta di restituzione dei dati personali del Cliente sarà adempiuta per quanto possibile, considerando i mezzi tecnici e organizzativi a disposizione, nonché la natura e quantità di dati personali trattati.


Qualora invece il Cliente richieda la cancellazione dei dati personali oggetto di trattamento, il Sub-Responsabile sarà tenuto a soddisfarla, salvo che sussistano specifici obblighi di conservazione previsti dalla legge, e fornirà al richiedente attestazione di avvenuta cancellazione.


8. LUOGO DEL TRATTAMENTO E TRASFERIMENTO DEI DATI

I dati sono trattati presso la sede del Sub-Responsabile e presso i datacenter localizzati nello Spazio Economico Europeo. Il trasferimento di dati personali al di fuori del SEE, qualora sia richiesto dal Cliente anche tramite le impostazioni del Servizio, è ammesso a condizione che il paese di destinazione garantisca un livello di protezione adeguato oppure esistano specifiche decisione di adeguatezza emanate dalla Commissione europea o clausole contrattuali utilizzate dal Cliente.


Qualora un servizio acquistato dal Cliente implichi un trasferimento di dati al di fuori del SEE, e ciò comporti l’adozione di apposita clausola o DPA con il servizio in questione, il Cliente autorizza espressamente la sottoscrizione di tali clausole e autorizza il Sub-Responsabile alla sottoscrizione per conto del Cliente.


9. SUB-RESPONSABILI DEL TRATTAMENTO

Il Cliente è consapevole e autorizza il NetRelay, in considerazione della complessità delle operazioni tecniche relative ai trattamenti strettamente connessi alla prestazione del servizio, ad affidare l’esecuzione di operazioni di trattamento a soggetti terzi che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto della normativa vigente in materia di protezione dei dati.


Il Sub-Responsabile quindi è autorizzato a far ricorso a ulteriori Sub-Responsabili del trattamento, i quali saranno comunque vincolati alle istruzioni di cui al presente Accordo.


NetRelay rimane comunque responsabile nei confronti del Cliente per le prestazioni dell’ulteriore Sub-Responsabile designato.


Se l’ulteriore Sub-Responsabile del trattamento non adempisse alle proprie obbligazioni in materia di protezione dei dati, NetRelay sarebbe interamente responsabile nei confronti del Cliente del trattamento da parte dell’altro Sub-Responsabile nell'esecuzione dei suoi obblighi.


Previa richiesta del Cliente, il Sub-Responsabile potrà fornire l’elenco dei Sub-Responsabili designati.


10. DIRITTI DELL’INTERESSATO

Il Sub-Responsabile si impegna a supportare il Reseller e ad agevolarlo nell'attività di riscontro alle richieste di esercizio dei diritti dell’interessato, fornendogli collaborazione e ogni informazione utile, anche finalizzata a permettere al Cliente di dimostrare di aver adempiuto ai propri obblighi ai sensi delle disposizioni di legge applicabili.


Qualora le persone interessate intendano esercitare i loro diritti presso il Sub-Responsabile del trattamento presentandogli la relativa richiesta, il Sub-Responsabile del trattamento inoltrerà tempestivamente tali richieste al Cliente.


11. MISURE DI SICUREZZA DEL SUB-RESPONSABILE

Il Sub-Responsabile adotta misure ritenute idonee al fine di ridurre al minimo i rischi di distruzione, perdita anche accidentale, accesso non autorizzato o comunque trattamento non consentito dei dati, tenendo conto dello stato dell’arte, dell’importanza dei dati trattati e dei costi relativi. Tuttavia, non può garantire che tali misure siano efficaci in ogni circostanza. Le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo.


A tal fine, adotta procedure e sistemi di disaster recovery e business continuity, diversi in base al Servizio, il cui dettaglio è disponile per il Cliente previa richiesta; tali misure possono essere sottoposte ad aggiornamento e modifiche, secondo l’evolversi delle conoscenze e delle tecnologie del settore, ma il Sub-Responsabile si impegna a mantenere la sua capacità di fronteggiare un disaster recovery ad un livello non inferiore a quello in essere al momento della sottoscrizione del presente Contratto.


Il Sub-Responsabile, in attuazione del principio della protezione dei dati fin dalla progettazione del sistema e del principio di protezione per impostazione predefinita (privacy by design e by default, ai sensi dell’art. 25 del GDPR) verifica periodicamente l’adeguatezza delle misure di sicurezza adottate, valutando eventuali modifiche delle stesse.


Inoltre, il Sub-Responsabile si impegna a garantire che la trasmissione dei dati personali attraverso Internet avvenga applicando idonei meccanismi di cifratura; le Parti tuttavia accettano e sono consapevoli che la sicurezza di tali trasmissioni attraverso Internet non può essere completamente assicurata, e che potrebbero verificarsi intercettazioni, intrusioni o interruzioni tali da modificare o causare perdite di dati personali.


Nell’Allegato 1, è fornita una descrizione delle misure tecniche e organizzative di sicurezza adottate da NetRelay.


12. DATA BREACH (VIOLAZIONE DEI DATI PERSONALI)

NetRelay non sarà ritenuto responsabile per la violazione dei dati personali del Cliente a patto che non sia imputabile a negligenza di NetRelay stessa.


13. MODIFICHE DEL CONTRATTO

Il presente Contratto può essere modificato e adattato, in particolare in caso di modifiche della legislazione in materia di protezione dei dati personali, o di provvedimenti delle Autorità di controllo. Il Cliente dovrà fornire piena collaborazione alla modifica del presente Accordo.


14. DISPOSIZIONI FINALI

Con la sottoscrizione del presente Contratto, il Reseller espressamente conferisce mandato a NetRelay ad eseguire per suo conto le attività descritte ai punti 3, 5 e 6 di cui sopra.


Con la sottoscrizione del presente Contratto, NetRelay accetta il mandato, connesso alla fornitura del Servizio, confermando di aver letto e compreso le istruzioni ricevute.


Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente al Fornitore precedentemente alla data del presente Accordo in merito ai dati personali trattati nell'ambito dell’esecuzione del Contratto.


ALLEGATO 1

Misure tecniche e organizzative di sicurezza adottate da NetRelay.