Ultimo aggiornamento: December 9, 2022

La presente Appendice sul trattamento dei dati ("DPA”) è incorporato ed è soggetto alContratto tra Nibol S.r.l., con sede legale in Via Alfredo Campanini 4, Milano, 20124 Italia (“Nibol" O "Elaboratore di dati”), e il cliente che è parte del Contratto (“Cliente"O "Titolare del trattamento”). Ciascun Titolare del trattamento e Responsabile del trattamento può essere qui indicato come “Parte” e congiuntamente come “Parti”.

Background

  1. Articolo 28 del Regolamento generale sulla protezione dei dati (UE) 2016/679 del Parlamento europeo e del Consiglio (“GDPR”) consente a qualsiasi titolare del trattamento di dati personali di nominare, per conto del titolare del trattamento, una persona fisica o giuridica, la pubblica amministrazione o qualsiasi altro ente o associazione tra i soggetti che garantiscano adeguatamente rispetto delle leggi applicabili in materia di protezione dei dati, anche in materia di sicurezza.
  2. Il Responsabile del trattamento fornirà una piattaforma denominata "Nibol" che offre, tra le altre funzionalità, un servizio per la gestione di postazioni di lavoro, sedi di uffici e attività al Titolare del trattamento ("Servizio”) ai sensi dell'accordo tra le Parti relativo alla piattaforma Nibol (“Contrarre”) e, al fine di fornire il Servizio, Nibol tratterà i dati personali in qualità di responsabile del trattamento per conto del Titolare. Inoltre, Nibol tratterà i Dati Personali anche per le proprie finalità, tra cui garantire il corretto funzionamento del Servizio ed effettuare analisi interne per migliorare il Servizio. In questi casi Nibol agirà in qualità di autonomo titolare del trattamento.
  3. Le Parti convengono che le clausole da 2 a 7 del presente DPA si applicano a qualsiasi trattamento di Dati Personali effettuato da Nibol in qualità di Responsabile del trattamento. Le finalità del trattamento dei Dati Personali con riferimento al Servizio sono descritte nell'Allegato 1 (Descrizione del Trattamento dove Nibol agisce in qualità di Responsabile del Trattamento).
  4. Le Parti convengono che la clausola 8 del presente DPA si applica laddove le Parti trattino i Dati Personali separatamente in circostanze in cui ciascuna Parte è considerata responsabile del trattamento dei Dati Personali.
  5. Tutti i Dati Personali oggetto del Contratto saranno trattati in conformità con l'Articolo 28 del GDPR e tutte le norme dell'Unione Europea e dello Spazio Economico Europeo applicabili (“SEE") Leggi e regolamenti ("Legislazione sulla protezione dei dati”).
  6. Le Parti stipulano questo DPA al fine di garantire il rispetto della legislazione sulla protezione dei dati applicabile e stabilire garanzie e procedure per il trattamento legittimo dei dati personali.

Termini concordati

Resta inteso che le precedenti premesse e gli Allegati del presente DPA ne costituiscono parte integrante e sostanziale, le Parti convengono quanto segue.

  1. Definizioni
    1. Se non diversamente definito nel presente DPA, tutti i termini in maiuscolo utilizzati nel presente documento avranno il significato loro attribuito nel GDPR. In caso di conflitto o incoerenza in termini di garanzie sulla protezione dei dati tra questo DPA e il GDPR, prevarrà questo DPA.
      1. Contrarre" ha il significato attribuitogli al considerando B.
      2. DPA” ha il significato attribuitogli all'inizio del presente accordo.
      3. Titolare del trattamento” ha il significato attribuitogli all'inizio del presente accordo.
      4. Elaboratore di dati” ha il significato attribuitogli all'inizio del presente accordo.
      5. Legislazione sulla protezione dei dati" ha il significato attribuitogli al considerando E.
      6. SEE" ha il significato attribuitogli al considerando E.
      7. GDPR” ha il significato attribuitogli al considerando A.
      8. Parte" o "Parti” ha il significato attribuitogli all'inizio del presente accordo.
      9. Dati personali” indica i Dati Personali relativi agli Interessati trattati in relazione al Servizio fornito dal Responsabile del Trattamento al Titolare del Trattamento.
      10. Violazione dei dati personali" indica una violazione della sicurezza che comporta accidentalmente o illecitamente la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata o l'accesso ai Dati personali trasmessi, archiviati o altrimenti trattati.
      11. Servizio" ha il significato attribuitogli al considerando B.
      12. Clausole contrattuali standard": cosans le Clausole Contrattuali Standard della Decisione di Esecuzione (UE) 2021/914 della Commissione Europea.
      13. Sub-responsabile" indica un'entità incaricata dal Responsabile del trattamento di assisterlo nel (o che intraprende qualsiasi) trattamento dei Dati personali nell'adempimento degli obblighi del Responsabile del trattamento ai sensi del DPA.
  2. Ruoli di protezione dei dati
    1. Le Parti convengono che:
      1. Il Cliente agisce in qualità di Titolare del trattamento dei Dati Personali trattati da Nibol nella fornitura del Servizio;
      2. Nibol agisce in qualità di Responsabile del trattamento dei Dati Personali per la fornitura del Servizio; E
      3. il presente DPA disciplina il rapporto tra le Parti in termini di rispettivi doveri e obblighi in materia di trattamento dei Dati Personali da parte del Responsabile del Trattamento nell'ambito della fornitura del Servizio.
  3. Obblighi del Responsabile del trattamento
    1. Nella misura in cui Nibol agisce in qualità di responsabile del trattamento dei dati, il Responsabile del trattamento si impegna a:
      1. garantire la riservatezza dei Dati Personali di cui venga a conoscenza o di cui venga a conoscenza nell'esecuzione del Servizio o del Contratto e di ottemperare alle istruzioni di volta in volta impartite dal Titolare;
      2. trattare i dati relativi alle operazioni affidategli esclusivamente sulla base delle istruzioni del Titolare, salvo che ciò sia imposto dal diritto dell'Unione o dello Stato membro cui è soggetto il Responsabile del trattamento;
      3. trattare e conservare i Dati Personali all'interno del SEE e, in caso di trasferimenti di Dati Personali verso paesi al di fuori del SEE, adottare le garanzie richieste dal GDPR*,* incluse le clausole contrattuali tipo della decisione di esecuzione (UE) 2021/914 della Commissione europea;
      4. ai sensi dell'articolo 32 del GDPR, porre in essere adeguate misure operative, tecniche e organizzative per eliminare o comunque ridurre al minimo i rischi di distruzione o perdita dei dati, anche accidentali, e di accesso non autorizzato o non conforme trattamento, tenendo conto (1) dello stato attuale dell'arte e del progresso tecnico, (2) dei rischi associati ai dati trattati e (3) della natura dei dati. Tali misure includono, tra le altre: (i) pseudonimizzazione e crittografia dei dati personali (ove possibile); (ii) la capacità di garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; (iii) la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico;
      5. assistere il Titolare nell'assicurare il rispetto degli obblighi previsti dagli artt. da 32 a 36 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile;
      6. individuare per iscritto il personale autorizzato al trattamento dei dati personali e fornire loro istruzioni sulle operazioni da compiere in ottemperanza agli obblighi del Responsabile del trattamento ai sensi del presente DPA, assicurandosi che (i) le istruzioni impartite siano debitamente osservate e (ii) il personale autorizzato sono soggetti a un adeguato obbligo di riservatezza;
      7. collaborare in buona fede con il Titolare del trattamento per garantire il rispetto del presente DPA, assistere il Titolare del trattamento nell'adempimento dei suoi obblighi ai sensi della Normativa sulla protezione dei dati e mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità alla Normativa sulla protezione dei dati;
      8. consentire e contribuire alle verifiche condotte dal Titolare del trattamento o dai suoi revisori o agenti autorizzati sui sistemi e sui luoghi del Responsabile del trattamento utilizzati per trattare i Dati personali. Le verifiche effettuate devono essere precedute da ragionevole preavviso al Responsabile del trattamento e, in ogni caso, in una data concordata con il Responsabile del trattamento. Qualsiasi informazione raccolta sulle attività del Responsabile del trattamento dei dati sarà soggetta a riservatezza, ad eccezione dei casi in cui leggi obbligatorie applicabili (inclusa, ma non limitata a, la Legislazione sulla protezione dei dati applicabile) o ordini vincolanti delle autorità preposte all'applicazione della legge (inclusa, ma non limitata a, l'Autorità di vigilanza ) richiedono la divulgazione di informazioni. Il Titolare si farà carico di tutti i costi sostenuti per le verifiche;
      9. utilizzare i servizi dei Sub-responsabili approvati dal Titolare, al solo ed esclusivo fine di erogare il Servizio e soggetti al presente DPA. Il Titolare del trattamento autorizza sin d'ora il Responsabile del trattamento ad assumere Sub-responsabili a condizione che il Responsabile del trattamento: (1) stipuli un accordo scritto con il Sub-responsabile contenente gli stessi obblighi di cui al presente DPA o, in ogni caso, , assicura che il Sub-responsabile offra garanzie non inferiori a quelle offerte dal Responsabile del trattamento nel presente DPA, e (2) rimane pienamente responsabile per le azioni o le omissioni del Sub-responsabile. Un elenco aggiornato dei Sub-responsabili coinvolti nella fornitura del Servizio è disponibile all'interno dell'account Nibol Admin del Titolare o qui [www.nibol.com/sub-processors] (Elenco dei sub-responsabili). L'accesso al suddetto link potrà essere protetto da una password che il Titolare riceverà, previa richiesta scritta, da Nibol. Il Responsabile del trattamento aggiornerà l'Elenco dei Sub-responsabili per riflettere qualsiasi aggiunta o sostituzione di Sub-responsabili. Il Titolare verificherà periodicamente l'elenco, in ogni caso almeno una volta al mese, e potrà ragionevolmente opporsi all'utilizzo di un nuovo Sub-Responsabile per motivi legittimi, fatte salve le clausole risolutive e di responsabilità del Contratto. Il Titolare riconosce che tali Sub-responsabili sono essenziali per la fornitura del Servizio e che l'opposizione all'utilizzo di un Sub-responsabile potrebbe impedire a Nibol di offrire il Servizio al Titolare;
      10. tenere traccia scritta di ogni tipo di attività di trattamento svolta per conto del Titolare, ove applicabile in relazione all'organizzazione del Responsabile o alla natura del trattamento, ai sensi dell'art. 30 del GDPR;
      11. informare il Titolare, salvo divieto di legge, senza ingiustificato ritardo, dopo essere venuto a conoscenza di qualsiasi contatto, comunicazione o corrispondenza che possa ricevere dall'Autorità di controllo competente, dai tribunali o dalle autorità di contrasto in relazione al trattamento dei Dati Personali;
      12. informare immediatamente il Titolare del trattamento quando, a giudizio del Responsabile del trattamento, un'istruzione ricevuta dal Titolare violi il GDPR o altre leggi o regolamenti nazionali o dell'Unione europea applicabili in materia di protezione dei dati;
      13. assistere il Titolare del trattamento con misure tecniche e organizzative adeguate per soddisfare tutte le richieste degli interessati che il Titolare può ricevere. Il Responsabile del trattamento si impegna a comunicare tempestivamente al Titolare ogni richiesta pervenuta direttamente dall'Interessato.
  4. Obblighi del Titolare
    1. Il Titolare del trattamento accetta che, affinché il Responsabile del trattamento fornisca il Servizio, il Titolare del trattamento fornisca i Dati personali al Responsabile del trattamento.
    2. Il Titolare dichiara e garantisce di disporre di una base giuridica adeguata (es. consenso dell'Interessato, interesse legittimo, autorizzazione dell'Autorità di controllo competente, ecc.) per trattare e divulgare i Dati personali al Responsabile del trattamento nell'ambito della fornitura Servizio.
  5. Restituzione e cancellazione dei dati
    1. Alla scadenza del Contratto, il Responsabile si impegna a cancellare o anonimizzare tutti i Dati Personali entro i successivi 60 giorni.
    2. Se richiesto dal Titolare entro trenta (30) giorni prima della scadenza o della cessazione del Servizio, il Responsabile del trattamento restituirà i Dati personali al Titolare del trattamento in conformità con i termini del presente DPA e delle leggi sulla protezione dei dati applicabili.
    3. Su richiesta scritta del Titolare, il Responsabile del trattamento deve fornire una dichiarazione al Titolare del trattamento attestante la restituzione o la cancellazione dei Dati personali, o entrambi, a seconda dei casi.
    4. Gli obblighi del Responsabile del trattamento ai sensi delle clausole 5.1 e 5.2 saranno soggetti alle leggi obbligatorie applicabili (incluse, a titolo esemplificativo ma non esaustivo, le Leggi applicabili sulla protezione dei dati) o agli ordini vincolanti delle autorità giudiziarie, delle forze dell'ordine o di regolamentazione competenti (incluse, a titolo esemplificativo ma non esaustivo, , l'Autorità di controllo) che impediscono al Responsabile del trattamento di adempiere agli obblighi ad esso incombenti. In tali casi, il Responsabile del trattamento rimarrà vincolato al presente DPA (anche dopo la sua scadenza o cessazione anticipata) per quanto riguarda i Dati personali così conservati, e il Responsabile del trattamento non dovrà trattare alcun Dato personale per scopi diversi dal rispetto di tali obblighi legali obblighi o ordini vincolanti.
    5. Il Responsabile del trattamento può conservare i Dati personali che vengono archiviati durante le normali operazioni di backup del computer in conformità con i protocolli di ripristino di emergenza e continuità operativa del Responsabile del trattamento; fermo restando, tuttavia, che il Responsabile del Trattamento non dovrà trattare alcun Dato Personale conservato in backup storage per finalità diverse dalla fornitura del Servizio e che tali Dati Personali saranno comunque cancellati decorsi 90 giorni.
  6. Violazione dei dati
    1. Il Responsabile del trattamento si impegna a:
      1. notificare al Titolare del trattamento qualsiasi Violazione dei dati personali il prima possibile, e in ogni caso non oltre 48 (quarantotto) ore dopo che il Responsabile del trattamento è venuto a conoscenza della Violazione dei dati personali, per consentire al Titolare di dare tempestivamente attuazione alla sua risposta programma;
      2. collaborare con il Titolare del trattamento per indagare su qualsiasi violazione dei dati personali e fornire al Titolare del trattamento tutte le informazioni da esso richieste in relazione alla violazione dei dati personali;
      3. intraprendere azioni appropriate per contenere e mitigare qualsiasi violazione dei dati personali, collaborando pienamente con il titolare del trattamento per sviluppare e attuare un piano d'azione per affrontare la violazione dei dati personali in conformità con le leggi e i regolamenti applicabili; E
      4. laddove la Legislazione sulla Protezione dei Dati richieda che la Violazione dei Dati Personali sia notificata alle Autorità di Controllo competenti e ai Soggetti Interessati, seguire e conformarsi a tutte le istruzioni del Titolare del Trattamento.
      5. Il Responsabile del trattamento accetta che il Titolare del trattamento avrà il diritto di determinare le misure da adottare per conformarsi alla Legislazione applicabile in materia di protezione dei dati e per porre rimedio a qualsiasi rischio, tra cui, a titolo esemplificativo: (1) se è necessario fornire un avviso a qualsiasi individuo, autorità di regolamentazione, forze dell'ordine, agenzie di segnalazione dei consumatori o altri, come potrebbe essere richiesto dalla legislazione applicabile sulla protezione dei dati o a esclusiva discrezione del titolare del trattamento; e (2) il contenuto di tale avviso, se qualsiasi tipo di rimedio può essere offerto agli interessati interessati sotto la responsabilità del Titolare del trattamento, e la natura e la portata di tale rimedio.
  7. Trasmissioni
    1. I Dati personali trasmessi dal Responsabile del trattamento in relazione al Servizio tramite Internet devono essere ragionevolmente crittografati. Le Parti riconoscono, tuttavia, che la sicurezza delle trasmissioni via Internet non può essere garantita.
    2. Se si sospetta una violazione della sicurezza o una violazione dei dati personali, il Responsabile del trattamento dei dati può sospendere immediatamente l'utilizzo del Servizio da parte del Titolare del trattamento via Internet in attesa di un'indagine, a condizione che il Responsabile del trattamento notifichi tale sospensione non appena ragionevolmente possibile e si prenda tutto il possibile misure ragionevoli per ripristinare tempestivamente l'utilizzo del Servizio via Internet e cooperare con il Titolare al fine di continuare la fornitura del Servizio attraverso altri canali di comunicazione.
  8. Ruolo di Nibol come Titolare del trattamento
    1. Le Parti riconoscono e concordano che nella misura in cui Nibol tratta i Dati Personali coinvolti nel Servizio per (1) stabilire, esercitare o difendere i diritti di Nibol, inclusa la prova della corretta esecuzione del Servizio, (2) rispettare gli obblighi legali o regolamentari applicabili al trattamento e alla conservazione dei dati a cui Nibol è soggetta, e (3) inviare comunicazioni su novità e aggiornamenti della piattaforma e di supporto, Nibol agisce in qualità di titolare del trattamento in relazione al trattamento dei Dati personali che riceve da o tramite i Dati Controllore.
    2. Quando entrambe le Parti agiscono in qualità di titolari autonomi, ciascuna Parte si impegna a trattare i Dati Personali in conformità con la Normativa sulla Protezione dei Dati. In particolare, ciascuna Parte sarà responsabile di assicurarsi di disporre di una base giuridica per la raccolta e il trattamento dei Dati Personali e fornirà informazioni trasparenti agli interessati in merito al trattamento.
    3. A meno che ciò non sia impedito dalla legislazione applicabile, ciascuna Parte fornirà all'altra Parte ragionevole cooperazione e assistenza, come applicabile di volta in volta, in relazione a:
      1. la sua conformità alla legislazione sulla protezione dei dati in relazione ai dati personali;
      2. qualsiasi richiesta o altra comunicazione effettuata in relazione ai diritti dell'interessato; E
      3. qualsiasi avviso o altra comunicazione ricevuta da un'autorità di controllo in relazione al trattamento dei Dati personali o al rispetto della Legislazione sulla protezione dei dati da parte dell'altra Parte, a condizione che una Parte non sia tenuta a sostenere costi o spese materiali per fornire tale cooperazione e assistenza.