Privacy Policy
Informativa Privacy Contatti
La scrivente Holocron S.r.l., in qualità di Titolare del trattamento, con la presente La informa che, ai sensi dell’art. 13 Regolamento UE 27 aprile 2016 n. 679 “Regolamento Generale sulla Protezione dei Dati” (in seguito “Regolamento”), i dati personali da Lei forniti verranno trattati come segue:
- Finalità del trattamento
I dati personali saranno trattati per fornire le informazioni richieste. - Base giuridica e conferimento
La base giuridica del trattamento è l’esecuzione di un contratto di cui Lei è parte o l’esecuzione di misure precontrattuali adottate su Sua richiesta. Il conferimento dei dati personali è necessario per ottenere le informazioni richieste. Il loro mancato conferimento comporterà l’impossibilità da parte del nostro personale di rispondere alle Sue richieste. - Tempi di conservazione
I dati saranno conservati per il periodo di tempo necessario a evadere la Sua richiesta e comunque non oltre i termini previsti da specifici obblighi di legge. - Destinatari dei dati personali
I dati personali da Lei forniti saranno trattati da personale incaricato, opportunamente istruito e operante sotto l’autorità e la responsabilità del Titolare.
I dati personali potranno essere trattati, inoltre, da soggetti terzi che fornisconoservizi strumentali, tra cui servizi di comunicazione, posta elettronica, recapito della corrispondenza, servizi tecnici per la gestione del Sito, fornitori di servizi informatici o, a seconda delle richieste, a fornitori di servizi inerenti alla natura del
reclamo o del suggerimento.
Ai soggetti sopra indicati saranno comunicati solo i dati strettamente necessari
per l’espletamento delle relative funzioni. L’elenco aggiornato di tutti i destinatari è disponibile presso la sede del Titolare del trattamento e verrà fornito a richiesta dell’interessato scrivendo al seguente indirizzo e-mail: privacy@holocron.it. - Diritti dell’interessato
La informiamo, inoltre, che relativamente ai dati medesimi può esercitare in qualsiasi momento i diritti previsti dal CAPO III del succitato Regolamento. In particolare, Lei ha diritto di chiedere al Titolare del trattamento l’accesso ai dati che la riguardano, la loro rettifica o la cancellazione, l’integrazione dei dati incompleti, la limitazione del trattamento; di ricevere i dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico; di opporsi in tutto od in parte, all’utilizzo dei dati; nonché di esercitare gli altri diritti a Lei riconosciuti dalla disciplina applicabile. Tali diritti possono essere esercitati scrivendo al seguente indirizzo e-mail: privacy@holocron.it
Ai sensi dell’art. 77 del Regolamento UE 2016/679, inoltre, Lei ha diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati nel caso in cui ritenga che il trattamento violi il citato Regolamento. - Dati di contatto del Titolare del trattamento
Holocron S.r.l. con sede operativa in Corso Italia 59, Pisa (PI)
E-mail: privacy@holocron.it
Numero di telefono: 050 500525
Informativa Privacy Fornitori
Gentile Fornitore,
Il Regolamento UE 2016/679 in materia di protezione dei dati personali (di seguito“Regolamento”), contiene una serie di norme dirette a garantire che il trattamento dei
dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali delle persone.
Holocron S.r.l. (più avanti anche solo “Titolare del trattamento”) è
consapevole dell’importanza della salvaguardia della privacy e dei dati personali e per
questo si impegna a trattare i dati nei termini e nelle modalità previste dalla normativa
sulla tutela dei dati personali. Nel rispetto dei principi di correttezza, liceità e trasparenza,
vogliamo informarLa di come saranno trattati i Suoi dati personali.
- TIPOLOGIE DI DATI PERSONALI TRATTATI: Potranno essere oggetto di trattamento i
seguenti dati personali: dati anagrafici, dati di contatto (indirizzi mail e numeri di
telefono), coordinate di pagamento, dati contabili, dati fiscali, dati commerciali e
ogni altro dato personale utile a perseguire le finalità sotto indicate. - FINALITÀ DEL TRATTAMENTO: I dati personali saranno trattati da Holocron S.r.l.
per adempiere gli obblighi di legge e dare esecuzione al contratto
di cui Lei è parte: adempimento degli obblighi nei confronti dell’amministrazione
finanziaria dello Stato, gestione contabile e amministrativa, gestione dei rapporti
commerciali in essere e dell’eventuale contenzioso. - BASE GIURIDICA E NATURA DEL CONFERIMENTO: La base giuridica è l’esecuzione di un
contratto di cui Lei è parte o l’esecuzione di misure precontrattuali adottate su
Sua richiesta. Il conferimento delle informazioni richieste è necessario per
adempiere agli obblighi legali e contrattuali, pertanto l’eventuale rifiuto a fornirli
determinerà l’impossibilità per lo scrivente di dare esecuzione al contratto
medesimo; - PER QUANTO TEMPO CONSERVIAMO I DATI: I sistemi informativi e i programmi
informatici utilizzati dal Titolare sono configurati in modo da ridurre al minimo
l’uso di dati personali e identificativi. I Suoi dati saranno trattati e conservati per
il tempo necessario all’espletamento delle finalità amministrative, contabili e
fiscali relativi al rapporto contrattuale esistente e per l’adempimento dei relativi
obblighi previsti dalla legge. - DESTINATARI DEI DATI PERSONALI: I dati personali da Lei forniti saranno trattati da
personale incaricato, opportunamente istruito e operante sotto l’autorità e la
responsabilità del Titolare. I dati personali potranno essere trattati, inoltre, da
soggetti terzi che forniscono servizi strumentali, tra cui servizi di comunicazione,
posta elettronica, recapito della corrispondenza e altri fornitori di servizi inerenti
alle finalità sopraccitate. Ai soggetti sopra indicati saranno comunicati solo i dati
strettamente necessari per l’espletamento delle relative funzioni. L’elenco
aggiornato di tutti i destinatari è disponibile presso la sede del Titolare del
trattamento e verrà fornito a richiesta del cliente scrivendo al seguente indirizzo
e-mail: privacy@holocron.it. - DATI DI CONTATTO DEL TITOLARE DEL TRATTAMENTO: Titolare del trattamento è
Holocron S.r.l. con sede operativa in Corso Italia 59, Pisa (PI).
Mail: privacy@holocron.it
Numero di telefono: 050 500525 - MODICHE E AGGIORNAMENTI: La presente informativa può essere soggetta a
modifiche ed integrazioni, anche quale conseguenza dell’aggiornamento della
normativa applicabile relativa alla protezione delle persone fisiche con riguardo
al trattamento dei dati personali nonché alla libera circolazione di tali dati.
Informativa privacy Clienti.
Holocron S.r.l. (più avanti anche solo “Holocron” o “Titolare del trattamento”) è consapevole dell’importanza della salvaguardia della privacy e dei dati personali e per questo si impegna a trattare i dati nei termini e nelle modalità previste dalla normativa sulla tutela dei dati personali. Nel rispetto dei principi di correttezza, liceità e trasparenza, vogliamo informarLa di come saranno trattati i Suoi dati personali.
Potranno essere oggetto di trattamento i seguenti dati personali: dati anagrafici, dati di contatto (indirizzi mail e numeri di telefono), coordinate di pagamento, dati contabili, dati fiscali, dati commerciali e ogni altro dato personale utile a perseguire le finalità sottoindicate.
I dati personali saranno trattati per le seguenti finalità:
a) adempimento degli obblighi di legge ed esecuzione del contratto di cui Lei è parte: adempimento degli obblighi nei confronti dell’amministrazione finanziaria dello Stato, gestione contabile e amministrativa, gestione dei rapporti commerciali in essere e dell’eventuale contenzioso;
b) marketing diretto: invio di materiale pubblicitario e comunicazioni commerciali, tramite e-mail, relative a prodotti e servizi commercializzati, inviti a eventi formativi/promozionali organizzati anche in collaborazione con società o professionisti di nostra fiducia e svolgimento di indagini aventi lo scopo di valutare il grado di soddisfazione della clientela (c.d. customer satisfaction);
I trattamenti sono legittimati dalle seguenti basi giuridiche:
– per le finalità di cui al punto a), la base giuridica è l’esecuzione di un contratto di cui Lei è parte o l’esecuzione di misure precontrattuali adottate su Sua richiesta. Il conferimento delle informazioni richieste è necessario per adempiere agli obblighi legali e contrattuali; pertanto, l’eventuale rifiuto a fornirli determinerà l’impossibilità per lo scrivente di dare esecuzione al contratto medesimo;
– per le finalità di cui al punto b), la base giuridica è l’interesse legittimo del Titolare del trattamento di utilizzare, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica da Lei fornite nel contesto della vendita di un prodotto o di un servizio analogo a quelli oggetto della vendita. Si ricorda che Lei ha la possibilità di opporsi in ogni momento a quest’ultimo trattamento, in maniera agevole e gratuita, scrivendo all’indirizzo mail dpo@holocron.it.
I Suoi dati saranno trattati e conservati per il tempo necessario all’espletamento delle finalità amministrative, contabili e fiscali relativi al rapporto contrattuale esistente e per l’adempimento dei relativi obblighi previsti dalla legge.
Con riferimento all’invio di comunicazioni commerciali e promozionali del Titolare del trattamento, i dati saranno conservati fino alla Sua eventuale richiesta di cancellazione dalle nostre liste.
I dati personali da Lei forniti saranno trattati da personale incaricato, opportunamente istruito e operante sotto l’autorità e la responsabilità del Titolare. I dati personali potranno essere trattati, inoltre, da soggetti terzi che forniscono servizi strumentali, tra cui servizi di comunicazione, posta elettronica, recapito della corrispondenza e altri fornitori di servizi inerenti alle finalità sopraccitate. Ai soggetti sopra indicati saranno comunicati solo i dati strettamente necessari per l’espletamento delle relative funzioni.
L’elenco aggiornato di tutti i destinatari è disponibile presso la sede del Titolare del trattamento e verrà fornito a richiesta del cliente scrivendo al seguente indirizzo e-mail dpo@holocron.it .
La informiamo inoltre che, relativamente ai dati medesimi, può esercitare in qualsiasi momento i diritti previsti dal CAPO III del Regolamento. L’esercizio dei suoi diritti potrà avvenire scrivendo al seguente indirizzo e-mail dpo@holocron.it .
Ai sensi dell’art. 77 del Regolamento, inoltre, ha diritto di proporre reclamo all’Autorità Garante per la Protezione dei Dati nel caso in cui ritenga che il trattamento violi il citato Regolamento.
Il Responsabile della protezione dei dati personali (RPD) è contattabile all’indirizzo mail dpo@holocron.it.
Nomina di Responsabile al trattamento
PREMESSE:
• Il presente Accordo si prefigge di definire gli obblighi delle Parti in relazione alla protezione dei dati personali, in conformità a quanto prescritto dall’art. 28 del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito anche “GDPR”).
• Ai fini del presente Accordo come “Normativa Rilevante” si intende il GDPR e qualsiasi provvedimento normativo e/o regolamentare adottato da autorità pubbliche nazionali in materia di trattamento di dati personali (ivi compresi i provvedimenti assunti dalle Autorità di controllo), applicabile durante il periodo di validità del presente Accordo, cui si fa riferimento anche per le definizioni di “trattamento di dati” e “dato personale”.
• Il presente Accordo è espressamente collegato al Contratto di servizio o ai Contratti di servizio in essere tra le suddette Parti (di seguito anche solo “Contratto di servizio”).
• Per ogni aspetto non espressamente disciplinato dal presente Accordo, si rinvia al Contratto di servizio e alla Normativa Rilevante.
• In caso di contrasto tra le disposizioni del Contratto di servizio e quelle contenute nel presente Accordo, prevarranno queste ultime.
• Il Committente ritenuto che il Fornitore presenti garanzie sufficienti, in particolare in merito a conoscenze specialistiche, risorse e affidabilità nonché abbia adottato misure tecniche ed organizzative che soddisfano i requisiti della Normativa Rilevante per il trattamento dei dati personali, nomina il Fornitore “Responsabile del Trattamento” relativamente a quelle attività di trattamento connesse al Contratto di Servizio.
1. OGGETTO DELL’ACCORDO
1.1 Le premesse sono parte integrante e sostanziale dell’Accordo.
1.2 Il Committente, con il presente Accordo, ai sensi e per gli effetti dell’art. 28 GDPR, nomina il Fornitore “Responsabile del trattamento dei dati personali”.
1.3 Il Fornitore accetta la nomina e si impegna a rispettare le prescrizioni della Normativa Rilevante e a adempiere a tutte le clausole del presente Accordo.
1.4 Qualora il Committente sia a sua volta “Responsabile del trattamento”, col presente Accordo il Fornitore si intenderà nominato come “altro responsabile del trattamento” ai sensi dell’art. 28 GDPR, cd. “Sub – responsabile”.
1.5 Nel caso di cui all’articolo 1.4, le Parti riconoscono e si danno atto che ai sensi dell’art. 28 GDPR, il presente Accordo sarà valido ed efficace fintanto che il Committente sia legittimato a nominare il Fornitore quale “altro responsabile del trattamento” e salvo eventuali opposizioni alla presente nomina.
1.6 La definizione della natura e della finalità dei trattamenti affidati nonché la tipologia di dati personali e le categorie di interessati cui i dati oggetto dell’Accordo si riferiscono, sono decisi dal Committente e indicati nell’Art.9.
2. DIRITTI E OBBLIGHI DEL COMMITTENTE
2.1 Diritti e obblighi generali
2.1.1. Il Committente determina le finalità e le modalità del trattamento dei dati personali eseguiti dal Fornitore nello svolgimento del Contratto di servizio.
2.1.2. Il Committente dovrà far presente eventuali esigenze contrattuali specifiche inerenti al trattamento dei dati personali in sede di trattativa. Il Fornitore, per eseguire il presente contratto, si atterrà a quanto previsto nel Contratto di servizio e alle istruzioni ivi contenute. Non saranno prese in considerazione istruzioni non fornite per iscritto.
2.1.3. Eventuali istruzioni non previste nel contratto di servizio potranno essere oggetto di rinegoziazione tra le parti.
2.1.4. Il Committente dichiara e garantisce che i dati personali affidati al Fornitore in esecuzione del presente Accordo, sono stati raccolti e trattati dal Committente in conformità alla Normativa Rilevante.
2.1.5. Il Committente garantisce altresì di essere legittimato, in base alla Normativa Rilevante, a sottoscrivere l’accordo (in qualità di autonomo Titolare, Contitolare o – a sua volta – di Responsabile).
2.1.6. Il Committente ha diritto di verificare che il Fornitore adempia alle istruzioni impartite e rispetti la Normativa Rilevante, ad esempio, verificando i) le misure di sicurezza adottate, ii) il corretto svolgimento delle operazioni di trattamento, in applicazione delle istruzioni di cui al presente Accordo iii) il rispetto delle finalità individuate e perseguite dal Committente.
2.1.7. Le verifiche di cui al punto 2.1.6 potranno essere eseguite nella sede del Fornitore, ovvero dove quest’ultimo tratta i dati personali, anche per mezzo di professionisti o soggetti terzi, concordando con il Fornitore una data che non interrompa o rechi pregiudizio alla attività lavorativa di quest’ultimo secondo le modalità del punto 2.2.
2.1.8. Il Committente è tenuto ad informare tempestivamente il Fornitore di eventuali utilizzi impropri degli account o delle credenziali di autenticazione nonché ogni eventuale incidente di sicurezza di cui abbia cognizione e che riguardi i dati oggetto del presente Accordo o i sistemi informatici utilizzati per darvi esecuzione.
2.2 Diritti e obblighi del committente – ispezioni e verifiche
2.2.1. Eventuali ispezioni o verifiche svolte dal Committente, anche per mezzo di terzi professionisti da Lui nominati, non dovranno in alcun modo recare pregiudizio all’attività del Fornitore.
2.2.2. Il Committente, eventuali Suoi collaboratori o professionisti terzi da Lui incaricati dovranno trattare ogni informazione o dato conosciuto in ragione delle ispezioni e delle verifiche condotte in esecuzione del presente Accordo, come strettamente confidenziale.
2.2.3. Le Parti concorderanno con congruo anticipo le date, le modalità, l’oggetto dell’ispezione affinché lo svolgimento delle attività avvenga nel pieno rispetto delle norme sulla sicurezza, in conformità alle procedure e alle misure di sicurezza del Fornitore e dei suoi sub-responsabili.
2.2.4. Qualora l’ispezione comporti costi o pregiudizi non previsti dalle Parti che rendano la prestazione troppo onerosa per il Fornitore, le Parti concorderanno un equo compenso.
3. OBBLIGHI DEL FORNITORE
3.1 Obblighi generali
3.1.1. Il Fornitore tratta, per conto del Committente, i dati personali in esecuzione del Contratto di servizio ed esclusivamente nel quadro del presente Accordo, salvo quanto diversamente previsto dal diritto dell’Unione Europea o di uno Stato membro a cui il Fornitore è soggetto.
3.1.2. I dati forniti non vengono usati per nessun’altra finalità, in particolare non vengono usati dal Fornitore per proprie finalità non previste dall’Art.8. Fermo quanto previsto al punto 3.4, il Fornitore può comunicare i dati a terze parti, che svolgono servizi strumentali, qualora sia necessario per dare esecuzione al Contratto di servizio. Il Fornitore non è autorizzato a fornire i dati a terze parti, diverse da quelle suddette, senza la preventiva approvazione scritta del Committente.
3.1.3. Qualunque trasferimento di dati personali oggetto del presente Accordo verso un Paese o una organizzazione internazionale può avere luogo soltanto se avviene nel pieno rispetto delle garanzie di cui al Capo V del GDPR e della Normativa Rilevante. Eventuali trasferimenti non eseguiti nel rispetto delle garanzie suddette dovranno essere autorizzati dal Committente.
3.1.4. Il Fornitore fornisce al Committente tutta l’assistenza necessaria e richiesta da quest’ultimo nell’assicurare il rispetto degli obblighi di cui agli articoli 32 “Sicurezza del Trattamento”, 33 “Notifica di una violazione dei dati personali all’autorità di controllo”, 34 “Comunicazione di una violazione dei dati personali all’interessato”, 35 “Valutazione d’impatto sulla protezione dei dati” e 36 “Consultazione Preventiva” del GDPR.
3.1.5. Il Fornitore mette a disposizione del Committente le informazioni necessarie a dimostrare il rispetto degli obblighi e delle prescrizioni della Normativa Rilevante e collabora con il Committente in caso di ispezioni o controlli di ogni genere da parte delle Autorità o in caso di controversie con l’Interessato.
3.1.6. Il Fornitore coadiuva il Committente nel riscontrare le eventuali richieste degli interessati avanzate al fine di esercitare i diritti dell’interessato definiti al capo III del GDPR, secondo le modalità previste dal presente Accordo e le eventuali istruzioni aggiuntive impartite dal Committente per specifiche esigenze.
3.1.7. Il Fornitore deve designare le persone autorizzate al trattamento di dati personali, garantendo che queste abbiano la necessaria competenza e formazione in relazione alle attività di trattamento di dati personali da porre in essere, provvedendo altresì a vincolarle a idonei impegni di riservatezza circa i dati personali trattati e le relative informazioni di cui vengano a conoscenza in esecuzione delle attività.
3.1.8. Il Fornitore informa il Committente se nota che un’istruzione impartita dal Committente viola un obbligo legale prescritto dalla Normativa Rilevante o qualsiasi altro obbligo derivante dal presente Accordo. Il Fornitore è autorizzato a sospendere l’esecuzione di tale istruzione od obbligo fino a quando non viene confermata o corretta dal Committente.
3.1.9. Qualora il Committente, nonostante la segnalazione di cui al punto 3.1.8 decida di confermare l’istruzione impartita al Fornitore si assume la totale responsabilità della decisione intrapresa e si obbliga a tenere indenne il Fornitore di ogni pretesa, danno, pregiudizio o onere trovi causa in tale istruzione.
3.2 Obblighi del fornitore – Misure tecniche e organizzative
3.2.1. Il Fornitore adotta le misure richieste ai sensi dell’art. 32 GDPR ed in particolare, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, si impegna a mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
3.2.2. Resta in ogni caso fermo quanto previsto al punto 2.1 in merito ad eventuali istruzioni aggiuntive del Committente.
3.3 Obblighi del Fornitore – Rapporti con terzi
3.3.1. Qualora gli interessati, le Autorità di controllo o qualsiasi altro terzo (ivi compresi, a titolo esemplificativo e non esaustivo, Autorità giurisdizionali e amministrative diverse dalle Autorità di controllo) avanzassero richieste nei confronti del Fornitore (ivi comprese anche richieste per l’esercizio dei diritti riconosciuti agli interessati, quali il diritto di accesso e gli altri diritti riconosciuti dal GDPR), questo informerà senza ritardo per iscritto il Committente.
3.3.2. Il Fornitore avrà cura, in particolare, di trasmettere al Committente copia delle richieste pervenute, allegando altresì ogni ulteriore eventuale informazione o circostanza ritenuta utile.
3.3.3. Il Fornitore non darà riscontro a richieste di terzi senza averne preventivamente informato il Committente fatta eccezione nei casi in cui sia tenuto per legge a fornire immediato riscontro nonché qualora la richiesta dovesse pervenire da Autorità di Pubblica Sicurezza o Autorità di Controllo.
3.4 Obblighi del Fornitore – Rapporti di Sub-responsabilità
3.4.1. Il Committente, qualora il Contratto di servizio lo permetta e nel rispetto delle prescrizioni ivi contenute, autorizza in via generale il Fornitore a ricorrere ad un altro Responsabile del trattamento (d’ora in poi anche solo Sub-responsabile) ai sensi e per gli effetti dell’art. 28 del GDPR esclusivamente per lo svolgimento di specifiche attività di trattamento di dati personali necessarie all’esecuzione del Contratto di servizio. Resta in ogni caso salvo il diritto del Committente di opporsi alle specifiche nomine nei termini di seguito indicate.
3.4.2. Il Fornitore all’articolo 10 del presente documento informa il Committente dei Sub-Responsabili di cui attualmente si avvale per svolgere attività necessarie o strumentali per eseguire il Contratto di servizio, e che il Committente, con la sottoscrizione del presente Accordo, approva. Il Fornitore deve informare il Committente di eventuali modifiche riguardanti l’aggiunta e/o la sostituzione di altri Sub – Responsabili del trattamento almeno 15 (quindici) giorni prima di operare le predette modifiche, dando così al Committente l’opportunità di opporsi.
3.4.3. L’eventuale opposizione dovrà essere adeguatamente motivata e comunicata per iscritto mediante posta elettronica certificata (PEC) entro 15 giorni dalla comunicazione.
3.4.4. In caso di opposizione le Parti si attiveranno per trovare, di comune accordo, una soluzione alternativa. Qualora non si addivenisse ad un accordo sul punto e, nonostante l’opposizione manifestata dal Committente, il Fornitore confermi la variazione di cui al punto 3.4.2, il Committente avrà diritto di recedere dal presente contratto, fermo restando l’obbligo di corrispondere al Fornitore gli importi dovuti fino alla data di cessazione del Contratto di servizio.
3.4.5. Qualora il Fornitore ricorra, sotto la propria responsabilità, alla nomina di un Sub-responsabile, il Fornitore deve prevedere nel contratto con il nuovo Sub-Responsabile garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR.
3.4.6. Le comunicazioni di cui al presente paragrafo potranno essere eseguite dal Fornitore con i mezzi ritenuti più opportuni, incluso l’invio a mezzo posta elettronica.
3.5 Obblighi del fornitore – Notifica delle violazioni da parte del Fornitore (c.d. data breach)
3.5.1. Qualora si verifichi un incidente di sicurezza (a titolo esemplificativo e non esaustivo, qualsiasi evento di distruzione, perdita, alterazione, divulgazione o accesso imprevisto o non autorizzato ai dati personali), riguardante i propri sistemi o quelli dei Sub-Responsabili, il Fornitore dovrà notificare al Committente per iscritto mediante posta elettronica certificata (PEC) tale evento nel minor tempo possibile, dal momento in cui ne sia venuto a conoscenza e comunque senza ingiustificato ritardo.
3.5.2. La comunicazione sarà ritenuta correttamente eseguita qualora contenga:
a) descrivere nel dettaglio la natura della violazione dei dati personali, ivi compresi, ove possibile, le categorie, il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di dati personali coinvolti;
b) contenere il nominativo e i dati di contatto dell’eventuale responsabile della protezione dei dati o altro punto di contatto ove sia possibile ottenere maggiori informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate per far fronte alla violazione e le misure di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuare i possibili effetti negativi.
3.5.3. Il Fornitore presterà assistenza e la collaborazione eventualmente richiesta dal Committente al fine di porre rimedio alla violazione di dati personali e al fine di fornire all’Autorità di controllo ogni informazione o chiarimento richiesto.
3.5.4. Resta inteso fra le parti che l’onere di comunicare la violazione all’Autorità di controllo, per i trattamenti di cui al presente Accordo, è del Committente.
4. RISERVATEZZA
4.1. Tutti i dati personali ricevuti dal Fornitore da parte del Committente e/o raccolti dal Fornitore nell’ambito dell’esecuzione di questo Accordo sono soggetti a un obbligo di riservatezza nei confronti di terzi.
4.2. Tale obbligo di riservatezza non sussisterà nel caso in cui il Committente abbia espressamente autorizzato la rivelazione di tali informazioni a terzi, nel caso in cui la rivelazione delle informazioni a terzi sia ragionevolmente necessaria alla luce delle disposizioni e dell’esecuzione del presente Accordo, oppure ove ricorra un obbligo giuridico di rendere disponibili le informazioni a terzi.
5. DURATA DELL’ACCORDO
5.1. Il presente Accordo decorre dalla data di sottoscrizione e rimarrà in vigore ed efficace fino al termine o alla cessazione (per qualsivoglia ragione) del Contratto di servizio o di eventuali altri Contratti vigenti tra le Parti e aventi il medesimo oggetto. Qualora al termine del Contratto di servizio vi siano trattamenti o attività ancora in corso, il Fornitore, d’accordo con il Committente, può portarli a termine rimanendo obbligato, per tali attività, ad ogni istruzione o obbligo derivante dal presente Accordo.
5.2. Al termine del Contratto di Servizio i dati trattati, in esecuzione del presente Accordo, saranno a disposizione del Committente nei 60 giorni successivi alla cessazione del Contratto, o nel diverso termine definito nel Contratto di servizio.
5.3. Trascorso tale termine, compatibilmente con i sistemi di Business Continuity e Disaster recovery del Fornitore, i dati verranno cancellati, salvo che la conservazione non sia richiesta da specifici obblighi di legge.
6. RESPONSABILITÀ E MANLEVE
6.1. Il Committente manleverà e terrà indenne il Fornitore da ogni perdita, costo, spesa, sanzione pecuniaria, danno da risarcire e in generale da ogni responsabilità direttamente o indirettamente derivante dalla esecuzione da parte del Fornitore delle disposizioni del presente Accordo con riferimento alle attività di trattamento di dati personali svolte per conto del Committente sotto sua istruzione. Il Fornitore risponderà nei confronti di Terzi e del Committente di eventuali danni che trovino causa nel mancato rispetto delle istruzioni del Titolare o della Normativa Rilevante.
6.2. Il Fornitore sarà manlevato e tenuto indenne da ogni perdita, costo, spesa, sanzione pecuniaria danno da risarcire, pregiudizio che sia derivato o abbia trovato causa nella violazione da parte del Committente di una delle clausole del presente Accordo. In particolare, qualora il Committente raccolga o tratti dati personali oggetto del presente Accordo in violazione della Normativa Rilevante e dell’art 2.1.4 del presente Accordo terrà indenne il Fornitore da qualsivoglia responsabilità, danno, onere, pretesa e pregiudizio che trovi causa in suddetta violazione.
7. DISPOSIZIONI FINALI
7.1. L’Accordo annulla e sostituisce ogni precedente Accordo o intesa tra le Parti in relazione al trattamento di dati personali svolti dal Fornitore per conto del Committente.
7.2. Le Parti dichiarano che tutte le clausole contenute nel presente Accordo sono state oggetto di attenta e singola valutazione e riflettono la comune volontà delle Parti.
7.3. Qualora una qualsiasi clausola del presente Accordo venisse dichiarata invalida, tale dichiarazione non inficerà la validità di tutte le altre clausole ivi contenute. In tale eventualità e per quanto possibile, tale clausola invalida dovrà venire sostituita da altra il cui effetto sia il più possibile equivalente a ciò che le Parti intendevano al momento della stipula dell’Accordo.
8. APPROVAZIONE SPECIFICA
Si approvano specificatamente, ai sensi degli artt. 1341 e 1342 c.c., le seguenti clausole dell’Accordo: art.5 “durata dell’accordo” e art. 6 “responsabilità e manleve
9. DETTAGLIO DEL TRATTAMENTO
La natura e le finalità del trattamento consistono nel dare esecuzione al contratto di servizio in oggetto.
I dati personali trattati sono quelli oggetto delle prestazioni tecniche relative al contratto di servizio.
I dati personali possono riguardare tutte le categorie di soggetti interessati trattati dal Titolare tramite i servizi oggetto del contratto.
10. ELENCO SUB-FORNITORI
- Irideos S.p.a., con sede legale in Viale L. Bodio, 37 – Edificio 3 – 20158 Milano, Servizi Cloud
- Virtual Solutions Sede legale Via San Mama, 113; Ravenna (RA) Cap: 48121, Servizi Cloud
- Deep Stone, con sede legale in Corso Italia, 59 – 56125 Pisa (PI) , Servizi Cloud Ok
- MadBit Entertainment sede legale Via Gerolamo Zanchi, 22c, Bergamo (BG) Cap: 24126, Servizi Generici
- GoTo Technologies Ireland Unlimited Company,The Reflector, 10 Hanover Quay, Grand Canal Dock, Dublin, D02 R573, Irlanda, Servizi Generici
11. MISURE DI SICUREZZA
| CONNESSIONE CON ISO/IEC 27001:2013 | CATEGORIA | ID MISURA | DESCRIZIONE DELLA MISURA | STATO MISURA |
| A.5 Politiche per la sicurezza delle informazioni | Politiche di sicurezza e procedure per la protezione dei dati personali | A.1 | L’organizzazione dovrebbe documentare la propria politica in merito all’elaborazione dei dati personali come parte della sua politica di sicurezza delle informazioni. | SI |
| Politiche di sicurezza e procedure per la protezione dei dati personali | A.2 | La politica di sicurezza dovrebbe essere riesaminata e aggiornata, se necessario, su base annuale. | SI | |
| Politiche di sicurezza e procedure per la protezione dei dati personali | A.3 | L’organizzazione dovrebbe documentare una politica di sicurezza dedicata separata per quanto riguarda il trattamento dei dati personali. La politica dovrebbe essere approvata dalla Direzione e comunicata a tutti i dipendenti e alle parti esterne interessate. | SI | |
| Politiche di sicurezza e procedure per la protezione dei dati personali | A.4 | La politica di sicurezza dovrebbe almeno fare riferimento a: i ruoli e le responsabilità del personale, le misure tecniche e organizzative di base adottate per la sicurezza dei dati personali, per i responsabili del trattamento dei dati o per le altre terze parti coinvolte nel trattamento dei dati personali. | SI | |
| Politiche di sicurezza e procedure per la protezione dei dati personali | A.5 | Dovrebbe essere creato e mantenuto un inventario di politiche / procedure specifiche relative alla sicurezza dei dati personali, basato sulla politica generale di sicurezza. | SI | |
| A.6.1.1 Ruoli e responsabilità per la sicurezza delle informazioni | Ruoli e responsabilità | B.1 | I ruoli e le responsabilità relativi al trattamento dei dati personali devono essere chiaramente definiti e assegnati in conformità con la politica di sicurezza. | SI |
| Ruoli e responsabilità | B.2 | Durante le riorganizzazioni interne o le cessazioni e il cambio di impiego, devono essere chiaramente definite le modalità di revoca dei diritti e delle responsabilità con le rispettive procedure di passaggio di consegne. | SI | |
| Ruoli e responsabilità | B.3 | Dovrebbe essere effettuata una chiara individuazione e designazione delle persone incaricate di compiti specifici di sicurezza, compresa la nomina di un responsabile della sicurezza. | SI | |
| A.9.1.1 Politica di controllo degli accessi | Politica controllo accessi | C.1 | I diritti specifici di controllo dell’accesso dovrebbero essere assegnati a ciascun ruolo (coinvolto nel trattamento di dati personali) in base al principio di necessità e di pertinenza. | SI |
| Politica controllo accessi | C.2 | Una politica di controllo degli accessi dovrebbe essere dettagliata e documentata. L’organizzazione dovrebbe determinare in questo documento le regole di controllo di accesso appropriate, i diritti di accesso e le restrizioni per specifici ruoli degli utenti verso i processi e le procedure relative ai dati personali. | SI | |
| Politica controllo accessi | C.3 | La segregazione dei ruoli per gestire il controllo degli accessi (ad es. Richiesta di accesso, autorizzazione di accesso, amministrazione degli accessi) dovrebbe essere chiaramente definita e documentata. | SI | |
| Politica controllo accessi | C.4 | I ruoli con diritti di accesso privilegiato dovrebbero essere chiaramente definiti e assegnati limitatamente a membri specifici del personale. | SI | |
| A.8 Gestione degli asset | Gestione risorse e degli asset | D.1 | L’organizzazione dovrebbe disporre di un registro delle risorse IT utilizzate per il trattamento dei dati personali (hardware, software e rete). Il registro potrebbe includere almeno le seguenti informazioni: risorsa IT, tipo (ad es. server, workstation), posizione (fisica o elettronica). Ad una persona specifica dovrebbe essere assegnato il compito di mantenere e aggiornare il registro (ad esempio, il responsabile IT). | SI |
| Gestione risorse e degli asset | D.2 | Le risorse IT dovrebbero essere riesaminate e aggiornate regolarmente. | SI | |
| Gestione risorse e degli asset | D.3 | I ruoli che hanno accesso a determinate risorse dovrebbero essere definiti e documentati. | SI | |
| A.15 Relazione con i fornitori | Responsabile del trattamento (Data processors) | F.1 | Le linee guida e le procedure formali relative al trattamento dei dati personali da parte dei responsabili del trattamento dei dati (appaltatori / outsourcer) dovrebbero essere definite, documentate e concordate tra il titolare del trattamento e il responsabile del trattamento prima dell’inizio delle attività di trattamento. Queste linee guida e procedure dovrebbero stabilire obbligatoriamente lo stesso livello di sicurezza dei dati personali come richiesto nella politica di sicurezza dell’organizzazione. | SI |
| Responsabile del trattamento (Data processors) | F.2 | E’ necessario predisporre clausole contrattuali per le quali al rilevamento di una violazione dei dati personali, il responsabile del trattamento informi il titolare del trattamento senza indebiti ritardi. | SI | |
| Responsabile del trattamento (Data processors) | F.3 | Fra il titolare del trattamento dei dati e il responsabile del trattamento dei dati dovrebbero essere formalmente concordati requisiti formali e obblighi . Il Responsabile del trattamento dovrebbe fornire prove documentate sufficienti di conformità. | SI | |
| Responsabile del trattamento (Data processors) | F.4 | L’organizzazione Titolare del trattamento dei dati dovrebbe verificare regolarmente la conformità del Responsabile del trattamento al livello concordato di requisiti e obblighi. | SI | |
| Responsabile del trattamento (Data processors) | F.5 | Il personale del responsabile del trattamento che elabora dati personali deve essere soggetto a specifici accordi documentati di riservatezza / non divulgazione. | SI | |
| A.16 Gestione degli incidenti relativi alla sicurezza delle informazioni | Gestione degli incidenti / Violazione dei dati personali | G.1 | È necessario definire un piano di risposta agli incidenti con procedure dettagliate per garantire una risposta efficace e ordinata agli incidenti relativi ai dati personali. | SI |
| Gestione degli incidenti / Violazione dei dati personali | G.2 | Le violazioni dei dati personali devono essere segnalate immediatamente alla Direzione. Dovrebbero essere in atto procedure di notifica per la segnalazione delle violazioni alle autorità competenti e agli interessati, ai sensi dell’art. 33 e 34 GDPR. | SI | |
| Gestione degli incidenti / Violazione dei dati personali | G.3 | Il piano di risposta degli incidenti dovrebbe essere documentato, compreso un elenco di possibili azioni di mitigazione e una chiara assegnazione dei ruoli. | SI | |
| Gestione degli incidenti / Violazione dei dati personali | G.4 | Gli incidenti e le violazioni dei dati personali devono essere registrati insieme ai dettagli riguardanti l’evento e le successive azioni di mitigazione eseguite. | SI | |
| A.7 Sicurezza delle risorse umane | Riservatezza del personale | I.1 | L’organizzazione dovrebbe garantire che tutto il personale comprenda le proprie responsabilità e gli obblighi relativi al trattamento dei dati personali. I ruoli e le responsabilità devono essere chiaramente comunicati durante il processo di preassunzione e / o inserimento. | SI |
| Riservatezza del personale | I.2 | Prima di assumere i propri compiti, il personale dovrebbe essere invitato a riesaminare e concordare la politica di sicurezza dell’organizzazione e firmare i rispettivi accordi di riservatezza e di non divulgazione. | SI | |
| Riservatezza del personale | I.3 | Il personale coinvolto nel trattamento dei dati personali ad alto rischio dovrebbe essere vincolato a specifiche clausole di riservatezza (ai sensi del contratto di lavoro o altro atto legale). | SI | |
| A.7.2.2 Consapevolezza, istruzione, formazione e addestramento sulla sicurezza delle informazioni | Formazione | J.1 | L’organizzazione dovrebbe garantire che tutto il personale sia adeguatamente informato sui controlli di sicurezza del sistema informatico relativi al suo lavoro quotidiano. Il personale coinvolto nel trattamento dei dati personali dovrebbe inoltre essere adeguatamente informato in merito ai requisiti in materia di protezione dei dati e agli obblighi legali attraverso regolari campagne di sensibilizzazione. | SI |
| Formazione | J.2 | L’organizzazione dovrebbe disporre di programmi di formazione strutturati e regolari per il personale, compresi i programmi specifici (relativi alla protezione dei dati personali) per l’inserimento dei nuovi arrivati. | SI | |
| A.9 Controllo degli accessi | Controllo accessi e autenticazione | K.1 | Dovrebbe essere attuato un sistema di controllo accessi applicabile a tutti gli utenti che accedono al sistema IT. Il sistema dovrebbe consentire la creazione, l’approvazione, il riesame e l’eliminazione degli account degli utenti. | SI |
| Controllo accessi e autenticazione | K.2 | L’uso di account generici (non personali) dovrebbe essere evitato. Nei casi in cui ciò è necessario, è necessario garantire che tutti gli utenti che usano l’account generico abbiano gli stessi ruoli e responsabilità. | SI | |
| Controllo accessi e autenticazione | K.3 | Dovrebbe essere presente un meccanismo di autenticazione che consenta l’accesso al sistema IT (basato sulla politica e sul sistema di controllo degli accessi). Come minimo deve essere utilizzata una combinazione di user-id e password. Le password dovrebbero rispettare un certo livello (configurabile) di complessità. | SI | |
| Controllo accessi e autenticazione | K.4 | Il sistema di controllo degli accessi dovrebbe essere in grado di rilevare e non consentire l’utilizzo di password che non rispettano un certo livello di complessità (configurabile). | SI | |
| Controllo accessi e autenticazione | K.5 | Una politica specifica per la password dovrebbe essere definita e documentata. La politica deve includere almeno la lunghezza della password, la complessità, il periodo di validità e il numero di tentativi di accesso non riusciti accettabili. | SI | |
| Controllo accessi e autenticazione | K.6 | Le password degli utenti devono essere archiviate in formato “hash”. | SI | |
| Controllo accessi e autenticazione | K.7 | L’autenticazione a due fattori dovrebbe preferibilmente essere utilizzata per accedere ai sistemi che elaborano i dati personali. I fattori di autenticazione potrebbero essere password, token di sicurezza, chiavette USB con token segreto, dati biometrici, ecc. | SI | |
| A.12 Sicurezza delle attività operative | Sicurezza Server e Database | M.1 | I database e application server devono essere configurati affinché lavorino con un account separato, con i privilegi minimi del sistema operativo per funzionare correttamente. | SI |
| Sicurezza Server e Database | M.2 | I database e application server devono elaborare solo i dati personali che sono effettivamente necessari per l’elaborazione al fine di raggiungere i propri scopi di elaborazione. | SI | |
| A.14.1 Requisiti di sicurezza dei sistemi informativi | Sicurezza desktop/laptop/mobile | N.1 | Gli utenti non dovrebbero essere in grado di disattivare o aggirare le impostazioni di sicurezza. | SI |
| Sicurezza desktop/laptop/mobile | N.2 | Le applicazioni anti-virus e le relative signatures devono essere configurate su base settimanale. | SI | |
| Sicurezza desktop/laptop/mobile | N.3 | Gli utenti non dovrebbero avere i privilegi per installare o disattivare applicazioni software non autorizzate. | SI | |
| Sicurezza desktop/laptop/mobile | N.4 | Il sistema dovrebbe avere timeout di sessione quando l’utente non è stato attivo per un certo periodo di tempo. | SI | |
| Sicurezza desktop/laptop/mobile | N.5 | Gli aggiornamenti critici di sicurezza rilasciati dallo sviluppatore del sistema devono essere installati regolarmente. | SI | |
| Sicurezza desktop/laptop/mobile | N.6 | Le applicazioni antivirus e le signature devono essere configurate su base giornaliera. | SI | |
| A.13 Sicurezza delle comunicazioni | Network/Communication security | O.1 | Ogni volta che l’accesso viene eseguito tramite Internet, la comunicazione deve essere crittografata tramite protocolli crittografici (TLS / SSL). | SI |
| Network/Communication security | O.2 | L’accesso wireless al sistema IT dovrebbe essere consentito solo a utenti e processi specifici. Dovrebbe essere protetto da meccanismi di crittografia. | SI | |
| Network/Communication security | O.3 | In generale, l’accesso remoto al sistema IT dovrebbe essere evitato. Nei casi in cui ciò sia assolutamente necessario, dovrebbe essere eseguito solo sotto il controllo e il monitoraggio di una persona specifica dall’organizzazione (ad esempio amministratore IT / responsabile della sicurezza) attraverso dispositivi predefiniti. | SI | |
| Network/Communication security | O.4 | Il traffico da e verso il sistema IT deve essere monitorato e controllato tramite firewall e sistemi di rilevamento delle intrusioni. | SI | |
| A.12.3 Backup | Backup | P.1 | Le procedure di backup e ripristino dei dati devono essere definite, documentate e chiaramente collegate a ruoli e responsabilità. | SI |
| Backup | P.2 | Ai backup dovrebbe essere assegnato un livello adeguato di protezione fisica e ambientale coerente con gli standard applicati sui dati di origine. | SI | |
| Backup | P.3 | L’esecuzione dei backup deve essere monitorata per garantire la completezza. | SI | |
| Backup | P.4 | I backup completi devono essere eseguiti regolarmente. | SI | |
| Backup | P.5 | I supporti di backup dovrebbero essere testati regolarmente per assicurarsi che possano essere utilizzati. | SI | |
| Backup | P.6 | I backup incrementali programmati dovrebbero essere eseguiti almeno su base giornaliera. | SI | |
| Backup | P.7 | Le copie del backup devono essere conservate in modo sicuro in luoghi diversi dai dati di origine. | SI | |
| A.6.2 Dispositivi portatili e telelavoro | Dispositivi portatili | Q.1 | Le procedure di gestione dei dispositivi mobili e portatili dovrebbero essere definite e documentate stabilendo regole chiare per il loro corretto utilizzo. | SI |
| Dispositivi portatili | Q.2 | I dispositivi mobili ai quali è consentito accedere al sistema informativo devono essere pre-registrati e pre-autorizzati. | SI | |
| Dispositivi portatili | Q.3 | I dispositivi mobili dovrebbero essere soggetti alle stesse procedure di controllo degli accessi (al sistema IT) delle altre apparecchiature terminali. | SI | |
| Dispositivi portatili | Q.4 | I ruoli e le responsabilità specifici relativi alla gestione dei dispositivi mobili e portatili dovrebbero essere chiaramente definiti. | SI | |
| A.8.3.2 Dismissione dei supporti A.11.2.7 Dismissione sicura o riutilizzo delle apparecchiature | Cancellazione/eliminazione dei dati | S.1 | Software di sovrascrittura dovrebbe essere usato su tutti i supporti prima della loro eliminazione. Nei casi in cui ciò non è possibile (CD, DVD, ecc.), i supporti dovrebbero essere distrutti fisicamente. | SI |
| Cancellazione/eliminazione dei dati | S.2 | È necessario eseguire la triturazione di carta e supporti portatili utilizzati per memorizzare i dati personali. | SI | |
| Cancellazione/eliminazione dei dati | S.3 | Più passaggi di software di sovrascrittura devono essere eseguiti su tutti i supporti prima di essere smaltiti. | SI | |
| Cancellazione/eliminazione dei dati | S.5 | Dopo la cancellazione dei dati con un software, devono essere eseguite misure hardware aggiuntive quali la smagnetizzazione. A seconda dei casi, dovrebbe essere considerata anche la distruzione fisica. | SI | |
| A.11 Sicurezza fisica e ambientale | Sicurezza fisica | T.1 | Il perimetro fisico dell’infrastruttura IT non dovrebbe essere accessibile da personale non autorizzato. | SI |
| Sicurezza fisica | T.2 | L’identificazione chiara, tramite mezzi appropriati, ad es. badge identificativi, per tutto il personale e i visitatori che accedono ai locali dell’organizzazione, dovrebbe essere stabilita, a seconda dei casi. | SI | |
| Sicurezza fisica | T.4 | I sistemi di rilevamento anti-intrusione dovrebbero essere installati in tutte le zone di sicurezza. | SI | |
| Sicurezza fisica | T.5 | Le barriere fisiche dovrebbero, se del caso, essere costruite per impedire l’accesso fisico non autorizzato. | SI | |
| Sicurezza fisica | T.6 | Le aree non usate dovrebbero essere fisicamente bloccate e periodicamente riesaminate. | SI | |
| Sicurezza fisica | T.7 | Un sistema antincendio automatico, un sistema di climatizzazione dedicato e chiuso e un gruppo di continuità (UPS) dovrebbero essere usati nella sala server. | SI | |
| Sicurezza fisica | T.8 | Il personale di supporto esterno deve avere accesso limitato alle aree protette. | SI |