Accordo per il trattamento di dati personali nei Servizi IaaS
Premesso che:
- i termini con iniziale maiuscola utilizzati nel presente accordo per il trattamento di dati personali hanno il medesimo significato definito nelle Condizioni Generali di Servizio (“CGS”), o nell’Ordine di Servizio (“OdS”) se diversi;
- con riferimento all’instaurazione del rapporto contrattuale tra le Parti, Register.it (con sede legale in viale della Giovine Italia 17, Firenze 50122) tratta i dati personali del Cliente in qualità di Titolare del trattamento ai sensi dell’art. 28 D. Lgs. 196/2003 Codice in materia di protezione dei dati personali (di seguito: “Codice Privacy” o “Codice”), secondo le finalità e le modalità indicate nell’informativa privacy (http://www.register.it/company/privacy.html) letta e compresa in fase di registrazione dal Cliente;
- nell’ambito della fruizione dei servizi Server Virtuali (http://www.register.it/assistenza/ods-server-virtuali/), Server Dedicati (http://www.register.it/assistenza/ods-server-dedicati/), Servizio Server Backup (http://www.register.it/assistenza/ods-server-backup/) e Servizio Hosting (http://www.register.it/assistenza/ods-hosting/) (“Servizi IaaS”), il Cliente riconosce che Register.it non ha alcuna conoscenza del contenuto dei dati trattati dal Cliente e pertanto persegue la sola finalità di fornire capacità computazionale e di storage;
- nell’ambito della fruizione del Servizio fornito da Register.it, il Cliente può trattare dati personali. Con riferimento a tali dati personali il Cliente può, a seconda dei casi concreti, agire in qualità di titolare o di responsabile del trattamento, mentre Register.it agirà sempre in qualità di responsabile (“Responsabile”) del trattamento ai sensi delle seguenti specifiche istruzioni scritte alle quali Register.it dichiara di attenersi, e che formano parte integrante dell’OdS.
Tutto ciò premesso
1) il Cliente affida al Responsabile tutte – ed esclusivamente – le operazioni di trattamento dei dati personali per finalità di erogazione dei servizi tecnologici sottostanti alla fornitura del Servizio, necessari per dare piena esecuzione al OdS, e per la finalità di effettuare interventi manutentivi o di assistenza tecnica nell’ambito della normale funzionalità del Servizio o su richiesta del Cliente.
Il Cliente si impegna a comunicare ufficialmente al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati. Il Responsabile e le persone autorizzate al trattamento dei dati personali, non potranno effettuare nessuna operazione di trattamento dei dati al di fuori di quelle sopra elencate e delle eventuali variazioni richieste, per iscritto, dal Cliente o obbligatorie per legge.
2) Il Responsabile, per quanto di propria competenza, è tenuto in forza di legge e di contratto, per sé e per i propri dipendenti e per chiunque collabori con la sua attività, al rispetto delle disposizioni del Codice, con particolare riferimento alle misure di sicurezza previste dal Codice – Allegato B Disciplinare Tecnico in materia di Misure Minime di Sicurezza. Nello specifico, inoltre, il Responsabile deve adempiere alle obbligazioni di seguito individuate.
3) Il Responsabile eseguirà i trattamenti funzionali alle mansioni ad esso attribuite in conformità con l’OdS e con le finalità per cui i dati sono raccolti. Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, il Responsabile informerà preventivamente il Cliente.
4) Il Responsabile nell’ambito della propria organizzazione attua le Misure Minime di Sicurezza previste dal Codice e dal Disciplinare Tecnico in materia di Misure Minime di Sicurezza – Allegato B – del Codice, nonché ogni altra norma o Regolamento in materia. Il Responsabile, anche in relazione alle conoscenze acquisite in base al progresso tecnico e tecnologico, alla natura dei dati, alle caratteristiche delle operazioni di trattamento, assicura che le misure di sicurezza predisposte ed adottate sono idonee a ridurre al minimo, i sottonotati rischi:
- distruzione o perdita, intenzionale od accidentale, dei dati;
- accesso non autorizzato ai dati;
- trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.
5) Il Responsabile applica le misure di sicurezza, di cui al punto precedente, al fine di garantire:
- l’integrità dei dati, ossia la certezza che l’informazione affidata derivi da processi di elaborazione corretti e non possa essere manipolata;
- la disponibilità dei dati, cioè la possibilità che l’informazione affidata sia sempre presente e utilizzabile secondo le necessità operative del Cliente, nei tempi concordati;
- la riservatezza dei dati, cioè la garanzia che l’informazione affidata ed archiviata sia accessibile solo alle persone autorizzate.
Il Responsabile ha messo a disposizione del Cliente la documentazione tecnica relativa sia alle misure di sicurezza in atto sia alle modifiche in seguito adottate. Il Responsabile, su richiesta del Cliente, coadiuva quest’ultimo nelle procedure davanti al Garante o all’autorità giudiziaria in relazione alle attività rientranti nella sua competenza.
6) Il Responsabile, nell’ambito della propria struttura aziendale, ha impartito istruzioni scritte alle persone autorizzate al trattamento dei dati personali
con riferimento alle modalità del trattamento, in ottemperanza a quanto disposto dalla legge e dal presente accordo; vincolandole altresì ad un severo obbligo di riservatezza anche per il periodo successivo all’estinzione del rapporto di lavoro intrattenuto con il Responsabile, in relazione alle operazioni di trattamento da essi eseguite.
Ove occorrer possa con riferimento al Servizio, alle richieste di assistenza tecnica provenienti dal Cliente relative all’utilizzo della propria casella di posta elettronica, che comportino l’accesso delle persone autorizzate al trattamento del Responsabile ai dati personali del Cliente in ambiente protetto dalle credenziali del Cliente, trattandosi di interventi occasionali il Responsabile non agirà in qualità di amministratore di sistema, come precisato alla FAQ n. 1 del Garante relativa al provvedimento del 27 novembre 2008 e succ. modifiche. In tali casi verrà di volta in volta richiesta al Cliente l’autorizzazione di poter accedere al sistema, e successivamente gli verrà comunicata l’avvenuta chiusura dell’intervento.
Nel caso in cui il Responsabile riceva istanze dagli interessati per l’esercizio dei diritti di cui all’art .7 del Codice, ne darà tempestiva comunicazione scritta al Cliente allegando copia della richiesta.
7) Nell’ambito della fornitura dei Servizi IaaS, il Responsabile utilizza altri responsabili del trattamento per l'esecuzione di specifiche attività di trattamento per conto del Cliente (sub-fornitori), previamente conosciuti attraverso la “Lista dei sub-fornitori” e approvati dal Cliente. Tali sub-fornitori sono soggetti alle medesime obbligazioni della presente contratto, attraverso istruzioni scritte volte a rispettare il medesimo livello di protezione dei dati personali garantito al Cliente dal Responsabile. Sarà cura del Responsabile aggiornare tempestivamente la Lista dei sub-fornitori in caso di modifiche, rendendola disponibile al Cliente nella sezione documentazione CISPE.
8) Il Cliente dichiara, inoltre, che i dati, inerenti il Servizio, da lui trasmessi al Responsabile:
- sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
- in ogni caso, gli eventuali dati personali e/o sensibili, oggetto delle operazioni di trattamento affidate al Responsabile, sono raccolti e trasmessi rispettando ogni prescrizione del Codice. Resta inteso che rimane a carico del Cliente l’onere di richiedere il consenso degli interessati ove richiesto.
9) Il Cliente conferisce al Responsabile fin d’ora un’autorizzazione generale a condividere i propri dati ai fini dell’erogazione dei Servizo alle seguenti categorie di soggetti:
- soggetti ai quali la facoltà di accedere ai dati sia accordata da disposizioni di legge o regolamentari;
- istituti di credito per la gestione degli incassi e dei pagamenti, istituti finanziari, assicurativi e di revisione contabile;
- soggetti indicati nella Lista dei sub-fornitori (disponibile nella sezione CISPE) che collaborano con il Responsabile per l’erogazione del Servizio e ai quali sono impartite istruzioni scritte per rispettare il medesimo livello di protezione dei dati personali garantito al Cliente dal Responsabile.
Resta inteso che sarà cura del Responsabile garantire al Cliente il corretto adempimento da parte di tali soggetti di quanto previsto dal Codice – Allegato B Disciplinare Tecnico in materia di Misure Minime di Sicurezza, salva la possibilità per il Cliente di procedere ad un contratto individuale con i sub-fornitori indicati nella Lista dei sub-fornitori.
10) Il Cliente rimane responsabile delle modalità di trattamento delle informazioni attuate tramite procedure applicative sviluppate secondo sue specifiche e/o attraverso propri strumenti informatici o di telecomunicazioni.
11) Le comunicazioni tra le parti, ai fini della presente contratto, dovranno avvenire per il Responsabile a: ufficio.legale@dada.eu.
12) il presente accordo avrà la medesima durata dell’OdS. Qualora l’OdS venisse meno o perdesse efficacia e per qualsiasi motivo, anche il presente accordo verrà automaticamente meno senza bisogno di comunicazioni o revoche.
13) Con il presente accordo si intende espressamente revocare e sostituire ogni altro accordo con riferimento al trattamento di dati in essere tra le parti e afferente il Servizio.