Data Processing Agreement

Premesso che

  • In base a quanto disposto dall’articolo 28 del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito GDPR)
  • Il presente contratto è parte integrante delle condizioni generali di contratto per l’erogazione del SAS  DATI360 (denominato di seguito servizio o contratto).
  • Il presente Data Processing Agreement (DPA) indica i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato da parte di BBC Servizi internet per conto del Titolare sia conforme ai requisiti imposti dalla normativa privacy ad oggi in vigore, nazionale e comunitaria;
  • Il presente DPA e le altre disposizioni del Contratto sono complementari. Tuttavia, in caso di conflitto,
    il presente DPA prevale sul Contratto.
  • La società Cliente assume, il ruolo di Titolare del trattamento dei dati personali (art. 4 GDPR)  BBC Servizi Internet assume il ruolo di Responsabile del trattamento / fornitore del servizio

In considerazione

  • dell’esperienza maturata in 20 anni di attività specifica sul web
  • dell’organizzazione, della correttezza, sicurezza professionalità che connota l’erogazione dei servizi
  • della mancanza di provvedimenti sanzionatori in materia di protezione dei dati personali

La BBC Servizi Internet dimostra di presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento dei dati personali effettuato nell’ambito del Contratto,
soddisfi i requisiti richiesti dall’articolo 28 del GDPR e garantisca la tutela dei diritti degli interessati.

Ciò premesso e viste le considerazioni sopra, ritenuto parte integrante del presente accordo, le Parti stipulano quanto segue:

Il Titolare del trattamento nomina il Fornitore di servizi quale Responsabile del Trattamento per tutta la durata di cui al Contratto principale, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA. Mediante l’accettazione del presente documento da parte del Titolare, BBC Servizi Internet si impegna a compiere le attività di trattamento sui dati personali in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni:

Oggetto

Le Parti si impegnano al rispetto della normativa vigente, nazionale o sovra nazionale, in materia di protezione dei dati personali delle persone fisiche. Le parti prendono atto e accettano che qualsiasi violazione del presente accordo da parte del Responsabile del trattamento o del Titolare costituisce una violazione del contratto di fornitura del servizio e che, in tal caso e senza pregiudizio per qualsiasi altro diritto o rimedio a disposizione, il Titolare o il Responsabile possono scegliere di risolvere immediatamente il Contratto principale secondo quanto previsto dalle disposizioni di risoluzione ivi previste
Con il perfezionamento del DPA il Cliente, ai sensi dell’articolo 28 del GDPR, nomina BBC Servizi Internet
quale Responsabile del trattamento.
In quanto Responsabile del trattamento la Società dovrà:

–    eseguire i soli trattamenti necessari e funzionali alle mansioni ad esso attribuite in relazione al contratto e/o servizio e/o ordine e/o fornitura o comunque derivanti da istruzioni scritte del Titolare. Qualora sorgesse la necessità di trattamenti sui dati personali, diversi ed eccezionali rispetto a quelli normalmente eseguiti, il Responsabile dovrà informare preventivamente ed immediatamente il Titolare;
–    garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
–    assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, tenendo conto della natura del trattamento e nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
–    in particolare nel caso di richiesta di portabilità, si obbliga ad assistere il titolare del trattamento con misure tecniche e organizzative adeguate al fine di rispondere a detta richiesta;
–    coadiuvare il Titolare del trattamento nelle procedure davanti all’Autorità di Controllo competente e all’Autorità Giudiziaria in relazione alle attività rientranti nella sua competenza.
–    assistere il Titolare del trattamento nel garantire il rispetto dell’obbligo di notifica di una violazione dei dati personali all’autorità di controllo di cui all’art. 33 e 34 Regolamento UE 679/2016. In caso di violazione dei dati personali il responsabile del trattamento informa il titolare senza ingiustificato ritardo e comunque entro il termine di 12 ore dal momento in cui è venuto a conoscenza della violazione mediante comunicazione agli indirizzi PEC ed EMAIL generali e/o specificamente comunicati;
–    assistere il titolare del trattamento nelle attività relative alla valutazione di impatto sulla protezione dei dati e consultazione preventiva all’Autorità di Controllo (artt. 35, 36 Regolamento UE 2016/679), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento;
–    comunicare tempestivamente al Titolare istanze degli interessati allegando copia della richiesta, contestazioni, ispezioni o richieste dell’Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante tenendo conto della natura del trattamento. In particolare, ove applicabile e in considerazione delle attività di trattamento affidategli, il Responsabile dovrà:
permettere al Titolare di fornire agli interessati i propri dati personali in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonché di trasmettere i dati ad altro titolare;
permettere al Titolare di garantire in tutto o in parte i diritti di opposizione e limitazione del trattamento.

Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato.

A tale scopo il Responsabile riconosce al Titolare, e agli incaricati dal medesimo, il diritto di ottenere informazioni circa lo svolgimento delle operazioni di trattamento o del luogo in cui sono custoditi dati o documentazione relativi al presente contratto.

In ogni caso il Titolare si impegna per sé e per i terzi incaricati da quest’ultimo a utilizzare le informazioni ricevute a soli fini di verifica.

Misure tecniche e organizzative: il Responsabile, per quanto di propria competenza, è tenuto in forza di legge e del presente contratto, per sé e per le persone autorizzate al trattamento che collaborano con la sua organizzazione, a dare attuazione alle misure di sicurezza sia tecniche che organizzative, previste dalla normativa in materia di trattamento di dati personali obbligandosi a fornire assistenza al Titolare nel garantire il rispetto della medesima.

Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio, in particolare contro:

a) distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;

b) trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.
Il Responsabile applicherà le misure di sicurezza al fine di garantire  la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

La descrizione di dette misure è contenuta nel documento “Security Policy” pubblicato sul
sito.

Sub contratto

Sub-processori autorizzati. Il Cliente accetta che BBC possa coinvolgere i Sub-processori per elaborare i Dati Personali per conto del Cliente.

Obblighi del sub-processore. BBC : stipula un accordo scritto con il Sottoprocessore che impone termini di protezione dei dati che richiedono al Sottoprocessore di proteggere i Dati Personali secondo lo standard richiesto dalle leggi sulla protezione dei dati;
rimane responsabile per la sua conformità agli obblighi del presente DPA e per qualsiasi atto o omissione del Sottoprocessore che induca BBC a violare uno qualsiasi dei suoi obblighi ai sensi del presente DPA.
Modifiche ai sub-processori.

Obiezione ai sub-processori. Il Cliente può opporsi per iscritto alla nomina di un nuovo Sub-processore di BBC per motivi ragionevoli relativi alla protezione dei dati, notificando prontamente BBC per iscritto, tale avviso deve spiegare i ragionevoli motivi per l’obiezione. In tal caso, le parti dovranno discutere tali questioni in buona fede al fine di ottenere una risoluzione commercialmente ragionevole. Se ciò non è possibile, ciascuna delle parti può rescindere i Servizi applicabili che non possono essere forniti da BBC senza l’utilizzo del Sottoprocessore oggetto dell’operazione.

Report e Audit sulla Sicurezza

5.1 BBC conserverà le registrazioni dei suoi standard di sicurezza. Su richiesta scritta del Cliente, BBC  fornirà (su base confidenziale) copie delle pertinenti certificazioni esterne, riepiloghi dei report di verifica e/o altra documentazione ragionevolmente richiesta dal Cliente per verificare la conformità di BBC a questo DPA.

BBC fornirà inoltre risposte scritte (su base confidenziale) a tutte le richieste ragionevoli di informazioni fornite dal Cliente, comprese le risposte alla sicurezza delle informazioni e ai questionari di audit, che il Cliente (agendo ragionevolmente) ritiene necessario per confermare la conformità di BBC a questo DPA , a condizione che il Cliente non eserciti tale diritto più di una volta all’anno.

Obblighi del Cliente

Qualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, garantisce alla
Società quanto segue:
▪ di aver ricevuto le necessarie autorizzazioni dal terzo (titolare);
▪ di avere informato il terzo che la Società è stata nominata sub-responsabile del trattamento;
▪ sia stato sottoscritto con il terzo un accordo pienamente coerente con i termini e le condizioni
del presente DPA e del Contratto;
▪ tutte le informazioni comunicate o rese disponibili dalla Società, nel rispetto del presente DPA,
siano debitamente comunicate al terzo;

Il Titolare del trattamento si obbliga affinché:
a) il trattamento dei dati personali, nell’ambito dell’esecuzione del Contratto, abbia una base legale
appropriata (p.es. consenso dell’interessato, interessi legittimi ecc.);
b) gli interessati siano informati del trattamento dei loro dati personali in modo conciso, trasparente,
comprensibile e di facile accesso, utilizzando un linguaggio chiaro e semplice come previsto dal GDPR;
c) gli interessati siano informati e abbiano in qualunque momento la possibilità di esercitare facilmente
i loro diritti sui dati, come previsto dal GDPR.
4.3 Il Cliente è responsabile dell’adozione delle misure tecniche e organizzative appropriate per garantire la sicurezza di risorse, sistemi, applicazioni e operazioni non di responsabilità della Società.
In particolare il Cliente, dichiara di essere consapevole, che l’accesso al servizio è garantito previa
autenticazione con le proprie credenziali.
Le credenziali sono strettamente personali e non possono essere cedute a terzi. Il mantenimento della
segretezza delle credenziali è ad esclusivo carico del cliente, il quale sarà il solo responsabile per
qualsiasi attività posta in essere tramite l’utilizzo delle stesse.
Tutte le operazioni effettuate tramite l’utilizzo delle credenziali comportano l’automatica attribuzione al
Cliente delle operazioni condotte. Pertanto, il Cliente riconosce ed accetta che la Società potrà utilizzare qualsiasi informazione ricavabile dai propri sistemi informatici per monitorare l’accesso ai Servizi
per provare le operazioni effettuate dal Cliente.

Durata del DPA

Il presente accordo produrrà effetti tra le Parti per tutta la durata del contratto di fornitura del servizio, non avrà più efficacia nel momento in cui il Cliente receda dal Contratto principale.

Responsabilità

La Società potrà essere ritenuta responsabile unicamente per i danni causati dal trattamento
quando:
– non abbia rispettato gli obblighi del GDPR specificatamente legati ai Responsabili del trattamento
– abbia agito contro istruzioni validamente scritte dal Cliente.
In tali casi, si applicherà quanto previsto dal Contratto sulla responsabilità della BBC.
Qualora BBC ed il Cliente siano coinvolti in una procedura in base al presente Contratto che
causi danni a un interessato, il Cliente si farà carico in prima istanza della totalità dell’indennizzo (o di
altra compensazione) dovuto a detto interessato e, secondariamente, si rivarrà sulla BBC per la
parte della compensazione corrispondente alla responsabilità della Società, sempre che non sia di
applicazione una limitazione di responsabilità prevista dal Contratto.

Restituzione o cancellazione dei dati

Al momento della disattivazione dei Servizi, tutti i Dati Personali saranno cancellati, salvo che questo requisito non si applichi nella misura in cui a BBC è richiesto dalla legge di conservare alcuni o tutti i Dati Personali, o Dati personali che ha archiviato sui back-up. Tali Dati personali devono essere protetti in modo sicuro da qualsiasi ulteriore elaborazione, eccetto nella misura richiesta dalla legge applicabile.

Varie

-Nella misura in cui a BBC è richiesto ai sensi della legge sulla protezione dei dati di effettuare valutazioni dell’impatto sulla protezione dei dati, BBC (a spese del cliente) fornirà informazioni ragionevolmente richieste sull’elaborazione dei dati personali

-In nessun caso una parte potrà limitare la propria responsabilità in relazione ai diritti di protezione dei dati di qualsiasi individuo ai sensi del presente DPA o altro.