ACCORDO PER IL TRATTAMENTO DI DATI PERSONALI – DATA PROCESSING AGREEMENT

(ai sensi dell’art. 28 del Regolamento UE 2016/679)

  1. .r.l.PREMESSE

1.1 Il presente DPA (“Data Processing Agreement”) disciplina il trattamento di Dati personali, svolto da Argo Business Solutions s.r.l. sede legale Viale degli angeli 6, 12100 Cuneo (CN) e partita IVA 03746780042 (il “Responsabile del Trattamento” o “Responsabile” o “Fornitore”), necessario all’erogazione dei servizi offerti (i “Servizi”) al cliente (il “Titolare del Trattamento” o “Titolare” o “Cliente”) ed è allegato alle Condizioni Generali di Contratto del Fornitore (il “Contratto” o “Preventivo”).

1.2 Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare, il Cliente potrà agire come Responsabile del Trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina, da parte del Cliente, del Fornitore quale ulteriore Responsabile del Trattamento (o Sub-Responsabile) derivante dalla stipulazione del presente DPA, siano state autorizzate dal relativo Titolare del trattamento e si impegna ad esibire al Fornitore, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.

  1. RIFERIMENTI NORMATIVI

2.1 Il presente DPA garantisce che il trattamento dei Dati svolto dal Fornitore sia conforme al Regolamento UE 2016/679 (“GDPR”) e più in generale alla normativa italiana ed europea in materia di privacy e protezione dei dati personali (la “Legge Applicabile”).

  1. TRATTAMENTO DI DATI PERSONALI

3.1 Finalità del trattamento: la finalità del trattamento dei Dati è lo svolgimento dei Servizi da parte del Fornitore, come specificato nel Contratto.

3.2 Per fornire i Servizi, il Responsabile del Trattamento tratta, per conto del Titolare, determinate categorie di Dati personali raccolti dal Titolare e trasferiti da quest’ultimo al Responsabile tramite apposite procedure di trasmissione sicura dei file.

3.3 Per “Dati personali” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato») come definito dall’art. 4 del GDPR. Le categorie di Dati personali trattati dal Responsabile del Trattamento per conto del Titolare sono elencate nel Sub-Allegato 2.A. Il Responsabile svolge esclusivamente le attività di trattamento necessarie e rilevanti ad assicurare l’esecuzione dei Servizi al Titolare.

3.4 Il Responsabile del Trattamento adotta un registro delle attività di trattamento in conformità con l’art. 30, par. 2 del GDPR.

  1. ISTRUZIONI

4.1 Il Responsabile del Trattamento può trattare i dati personali esclusivamente in conformità con le istruzioni documentate del Titolare del trattamento (le “Istruzioni”), a meno che la Legge Applicabile non disponga diversamente. Con il presente DPA, il Titolare fornisce l’istruzione che il Responsabile del Trattamento possa trattare i Dati personali solamente allo scopo di fornire i Servizi attenendosi alle disposizioni contenute nelle Condizioni Generali di Contratto. Subordinatamente ai termini del presente DPA e con il reciproco accordo delle parti, il Titolare del Trattamento può fornire al Responsabile ulteriori istruzioni scritte coerenti con i termini del presente accordo.

4.2 Il Titolare del Trattamento garantisce di trattare i Dati personali in conformità alla normativa vigente in materia di privacy e protezione dei dati personali. Le istruzioni fornite dal Titolare devono essere conformi alla Legge Applicabile. Il Titolare deve garantire che i Dati siano raccolti e trattati in maniera lecita, corretta e trasparente.

4.3 Il Responsabile del Trattamento informa il Titolare nel caso in cui ritenga che le Istruzioni violino la Legge Applicabile e non eseguirà tali Istruzioni finché non saranno riconosciute come legittime.

  1. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

5.1 Riservatezza

5.1.1 Il Responsabile del Trattamento deve trattare tutti i Dati personali come informazioni strettamente riservate. I Dati Personali non possono essere copiati, trasferiti o trattati in conflitto con le Istruzioni, a meno che non venga autorizzato a seguito di ulteriori accordi con il Titolare del Trattamento.

5.1.2 Gli eventuali dipendenti del Responsabile devono essere soggetti a un obbligo di riservatezza e firmare un’apposita nomina che li autorizza a trattare i Dati in maniera conforme alla Legge Applicabile e alle disposizioni contenute nel presente DPA.

5.1.3 I Dati personali possono essere trattati dal Responsabile solamente ai fini dell’erogazione dei Servizi.

5.2 Sicurezza

5.2.1 Il Responsabile del Trattamento deve attuare le misure tecniche e organizzative appropriate come stabilito nel presente DPA e ai sensi dell’articolo 32 del GDPR. Il Responsabile del Trattamento può aggiornare o modificare le misure di sicurezza di volta in volta a condizione che tali aggiornamenti e modifiche non comportino il peggioramento dei livelli di sicurezza complessiva. Le misure di sicurezza sono elencate nel Sub-Allegato 2.B.

5.3 Valutazioni d’impatto sulla protezione dei dati e consultazione preventiva

5.3.1 Se l’assistenza del Responsabile del Trattamento è necessaria e pertinente, il Responsabile assisterà il Titolare nel predisporre le valutazioni d’impatto sulla protezione dei dati in conformità all’art. 35 del GDPR, insieme a qualsiasi consultazione preventiva ai sensi dell’art. 36 del GDPR.

5.4 Diritti degli interessati

5.4.1 Se il Titolare riceve una richiesta da un interessato per l’esercizio dei propri diritti ai sensi della Legge Applicabile e la risposta corretta e legittima a tale richiesta richiede l’assistenza del Responsabile del Trattamento, il Responsabile assisterà il Titolare fornendo, entro un tempo ragionevole, le informazioni necessarie e la documentazione richiesta dal Titolare. Il Responsabile dovrà assistere il Titolare nel gestire tali richieste in conformità con la Legge Applicabile.

5.4.2 Se il Responsabile del Trattamento riceve una richiesta da un interessato per l’esercizio dei propri diritti ai sensi della Legge Applicabile e tale richiesta è connessa ai Dati Personali raccolti dal Titolare, il Responsabile dei dati deve immediatamente inoltrare la richiesta al Titolare e deve astenersi dal rispondere direttamente all’interessato.

5.5 Violazione di Dati personali

5.5.1 In caso di violazione di Dati personali (“Data Breach”) che possa comportare la distruzione, la perdita, l’alterazione, la divulgazione o l’accesso non autorizzato o accidentale ai Dati personali trattati per conto del Titolare del Trattamento, il Responsabile dovrà dare comunicazione al Titolare entro quarantotto (48) ore dal momento in cui il Data Breach viene rilevato dal Responsabile.

5.5.2 Il Responsabile del Trattamento dovrà compiere ogni ragionevole sforzo per identificare la causa di tale violazione e adottare le misure che riterrà necessarie per determinarne la causa e per impedire che tale violazione si ripresenti.

5.6 Documentazione di conformità e diritti di audit

5.6.1 Su richiesta del Titolare, il Responsabile del Trattamento deve mettere a disposizione del Titolare tutte le informazioni rilevanti necessarie a dimostrare la conformità dei trattamenti svolti secondo i termini del presente DPA.

5.6.2 Il Responsabile riconosce il diritto del Titolare, con le modalità e nei limiti di seguito indicati, a effettuare audit per verificare la conformità del Responsabile agli obblighi previsti dal presente DPA e dalla normativa. Il Titolare può avvalersi, per tali attività, di proprio personale specializzato o di revisori esterni, purché tali soggetti siano previamente vincolati da idonei impegni alla riservatezza.

5.6.3 Il Responsabile può opporsi per iscritto alla nomina da parte del Titolare di eventuali revisori esterni che siano, ad insindacabile giudizio del Responsabile, non adeguatamente qualificati o indipendenti, siano concorrenti del Responsabile o che siano evidentemente inadeguati. In tali circostanze, il Titolare è tenuto a nominare altri revisori o a condurre le verifiche in proprio.

5.6.4 Il Responsabile deve rispondere alle richieste di documentazione aggiuntiva o di programmazione di audit inoltrate dal Titolare entro trenta (30) giorni dalla data di ricezione della richiesta.

5.7 Trasferimento dei Dati

5.7.1 In via ordinaria, il Responsabile del Trattamento non deve trasferire i Dati in Paesi non appartenenti Spazio Economico Europeo (SEE). Qualora fosse necessario, per svolgere alcune tipologie di trattamenti (a titolo esemplificativo: backup, salvataggio su cloud, ecc.), il trasferimento dei Dati al di fuori dello Spazio economico europeo (SEE), i Dati dovranno essere trasferiti solamente a Sub-Responsabili che abbiano adottato le adeguate garanzie previste dagli artt. 44-50 del GDPR (a titolo esemplificativo: Decisioni di adeguatezza della Commissione Europea, Clausole Contrattuali Standard).

  1. AUTORIZZAZIONE GENERALE ALLA NOMINA DI SUB-RESPONSABILI

6.1 Al Responsabile del Trattamento viene conferita l’autorizzazione generale a nominare terze parti (“Sub-responsabili”) per il trattamento dei Dati personali.

6.2 Il Responsabile avvisa il Titolare prima che vengano stipulati accordi con un nuovo potenziale Sub-responsabile e prima che il Sub-responsabile tratti i Dati personali raccolti dal Titolare. Se il Titolare del Trattamento desidera opporsi alla nomina di un nuovo Sub-responsabile, il Titolare deve notificare tale opposizione al Responsabile per iscritto entro dieci (10) giorni lavorativi dal ricevimento della notifica da parte del Responsabile del Trattamento. L’assenza di eventuali obiezioni da parte del Titolare del Trattamento è da intendersi come consenso per la nomina di un nuovo Sub-responsabile.

6.3 Nel caso in cui il Titolare del Trattamento si opponga a un nuovo Sub-responsabile e il Responsabile non possa accogliere l’obiezione del Titolare, il Titolare del Trattamento può richiedere l’interruzione dei Servizi fornendo comunicazione scritta al Responsabile.

6.4 Il Responsabile del Trattamento deve firmare un apposito DPA con ogni nuovo Sub-responsabile. Tale accordo deve prevedere come minimo gli stessi obblighi di protezione dei dati applicabili al Responsabile del Trattamento, compresi gli obblighi previsti dal presente DPA. Il Responsabile del Trattamento deve monitorare e verificare periodicamente la conformità dei suoi Sub-responsabili alla Legge Applicabile. La documentazione di tale monitoraggio deve essere fornita al Titolare del Trattamento se richiesto per iscritto.

6.5 Il Responsabile del Trattamento, al momento dell’introduzione del presente DPA, impiega i Sub-responsabili elencati nel Sub-Allegato 2.C. Se il Responsabile sigla un contratto con un nuovo Sub-responsabile, tale nuovo Sub-responsabile deve essere aggiunto alla lista dei Sub-Responsabili del Sub-Allegato 2.C.

  1. DURATA

7.1 Il presente DPA rimane in vigore fino alla risoluzione del Contratto.

  1. CANCELLAZIONE DEI DATI

8.1 Dopo la scadenza o la risoluzione del Contratto, il Responsabile del Trattamento cancellerà o restituirà al Titolare tutti i Dati Personali in suo possesso come previsto nel Contratto, eccetto nel caso in cui sia richiesto dalla Legge Applicabile al Responsabile del Trattamento di conservare alcuni o tutti i Dati personali (in quel caso il Responsabile archivierà i dati e attuerà misure ragionevoli per impedire che i Dati personali vengano ulteriormente trattati). I termini di questo DPA continueranno ad applicarsi a tali Dati personali.

  1. DATI DI CONTATTO

9.1 Titolare del trattamento dei Suoi dati personali:

Ragione Sociale: Argo Business Solutions s.r.l.

Sede legale: Viale degli angeli 6, 12100 Cuneo (CN)

Partita IVA: 03746780042

E-mail: privacy@dominioweb.org

9.2. Argo Business Solutions s.r.l. ha nominato un Responsabile della protezione dei dati (DPO), che può essere contattato scrivendo una mail al seguente indirizzo: dpo@argobs.it.  

 

Sub-Allegato 2.A – Dati personali

 

  1. DATI PERSONALI

1.1 Il Responsabile del Trattamento tratta i seguenti tipi di Dati personali necessari all’erogazione dei Servizi:

  • Dati anagrafici (a titolo esemplificativo: nome, cognome etc.);
  • Dati di contatto (a titolo esemplificativo: indirizzo e-mail, numero di telefono);
  • Log di utilizzo del Servizio;
  • Tutte le categorie di dati personali inserite direttamente dal Cliente o indirettamente da soggetti interessati terzi – tramite i siti ed eventuali altri applicativi del Cliente – sui sistemi del Responsabile;
  • Contenuti e metadati dei messaggi di posta elettronica e posta elettronica certificata;
  • Altre eventuali categorie di dati personali.
  1. CATEGORIE DI SOGGETTI INTERESSATI

2.1 Il Responsabile del Trattamento tratta per conto del Titolare i Dati personali relativi alle seguenti categorie di soggetti interessati:

  • Tutte le categorie di interessati i cui dati personali sono inseriti direttamente dal Cliente o indirettamente da soggetti interessati terzi – tramite i siti, i software ed eventuali altri applicativi del Cliente – sui sistemi del Responsabile.
  • Destinatari dei messaggi di posta elettronica e posta elettronica certificata;
  • Altre eventuali categorie di soggetti interessati.
  1. FINALITÀ DEL TRATTAMENTO

3.1 Il Responsabile del Trattamento tratta i Dati Personali dei Soggetti interessati esclusivamente per erogare i Servizi previsti dal Contratto.

Sub-Allegato 2.B – Misure tecnico-organizzative

 

  1. NOMINA DEI SOGGETTI AUTORIZZATI

Il Responsabile del Trattamento ha nominato con apposito atto tutti i soggetti autorizzati all’accesso ai dati personali, vincolandoli a un obbligo di riservatezza.

  1. SUB-RESPONSABILI E ACCORDI PER LA PROTEZIONE DEI DATI PERSONALI

Il Responsabile del Trattamento impiega esclusivamente Sub-Responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che i trattamenti soddisfino i requisiti del GDPR e garantiscano la tutela dei diritti dell’interessato.

  1. CIFRATURA DEI DATI PERSONALI

Tutti gli hard disk dei dispositivi e gli hard disk esterni sui quali sono salvati Dati personali sono cifrati e protetti da password.

Inoltre, non è ammessa per alcun motivo la duplicazione di dati personali all’interno di supporti di memorizzazione mobili e comunque, in nessun caso, la loro asportazione all’esterno dei locali dell’azienda salvo formale autorizzazione.

  1. MISURE DI SICUREZZA INFORMATICHE

Sono state adottate misure di sicurezza volte a ridurre il rischio di accesso non autorizzato dei dati (es. Firewall aziendali).

Tutti i pannelli di accesso degli eventuali servizi cloud utilizzati dal Responsabile sono protetti da una password composta da almeno 10 caratteri (dei quali un carattere maiuscolo, un numero e un carattere speciale). Ove disponibile, il personale di Argo Business Solutions s.r.l. effettua l’accesso ai pannelli dei servizi cloud esclusivamente tramite autenticazione a due fattori.

Per attivare le credenziali di autenticazione, si associa un codice per l’identificazione dell’incaricato (username), ad una parola chiave riservata (password), conosciuta solamente dall’incaricato, che provvederà ad elaborarla, mantenerla riservata e modificarla periodicamente.

Al verificarsi dei seguenti casi, è prevista la disattivazione delle credenziali di autenticazione:

  • immediatamente, nel caso in cui l’incaricato perda la qualità, che gli consentiva di accedere allo strumento;
  • in ogni caso, entro sei mesi di mancato utilizzo, con l’unica eccezione delle credenziali che sono state preventivamente autorizzate per soli scopi di gestione tecnica, il cui utilizzo è quindi sporadico.

Relativamente al sistema di autenticazione informatica sopra descritto, agli incaricati vengono impartite precise istruzioni in merito ai seguenti punti:

  • obbligo di non lasciare incustodito e accessibile lo strumento elettronico, durante una sessione di trattamento, neppure in ipotesi di breve assenza;
  • dovere di elaborare in modo appropriato la password, e di conservare la segretezza sulla stessa, attenendosi rigorosamente alle direttive del “documento di gestione password” accettato e condiviso a tutti i dipendenti e collaboratori.

La password relativa agli strumenti informatici personali non deve essere comunicata a nessuno (non solo a soggetti esterni, ma neppure a persone appartenenti alla Argo Business Solutions s.r.l., siano essi colleghi, collaboratori o Titolare). Nei casi di prolungata assenza o impedimento dell’incaricato, che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, potrebbe però rendersi necessario disporre della password dell’incaricato, per accedere agli strumenti ed ai dati. A tale fine, agli incaricati sono state fornite istruzioni, affinché questa comunicazione avvenga attraverso un metodo sicuro ed efficace.

Per quanto riguarda da eventuali attacchi informatici e programmi che contengono codici malevoli (virus), vengono adottate le misure sotto descritte:

  • Adozione di antivirus e antimalware;
  • Aggiornamento periodico di software e sistemi operativi;
  • Tutti i soggetti autorizzati sono stati istruiti, in merito all’utilizzo dei programmi antivirus e, più in generale, sulle norme di comportamento da tenere, per minimizzare il rischio di essere contagiati;
  • Adozione di firewall aziendali;
  • Sistemi di protezione dei servizi cloud.

La nostra azienda ha ritenuto di estendere tali precetti ai supporti contenenti dati personali di qualsiasi natura, anche comune, prescrivendo ai soggetti autorizzati quanto segue:

la Argo Business Solutions vieta il salvataggio di dati personali su qualsiasi supporto rimovibile, fatta eccezione di specifica richiesta del titolare dei dati o delle autorità giudiziarie, qualora questo fosse necessario, prescrive le successive norme di utilizzo.

  • i supporti devono essere custoditi ed utilizzati in modo tale da impedire accessi non autorizzati (furti inclusi) e trattamenti non consentiti, anche mediante cifratura: in particolare, essi devono essere conservati in cassetti chiusi, durante il loro utilizzo, e successivamente formattati, quando è cessato lo scopo per cui i dati sono stati memorizzati su di essi.

  • una volta cessate le ragioni per la conservazione dei dati, si devono in ogni caso porre in essere gli opportuni accorgimenti, finalizzati a rendere inintelligibili e non ricostruibili tecnicamente i dati contenuti nei supporti. Tali dati devono quindi essere cancellati, se possibile, e si deve arrivare a distruggere il supporto.

Con cadenza periodica sono previsti controlli per garantire, ove necessario, eventuali interventi di miglioramento sulla sicurezza informatica oltre ai periodici interventi di aggiornamento e manutenzione della struttura informatica.

  1. MISURE DI SICUREZZA AMBIENTALI

Il rischio di accesso ai locali fisici della Argo Business Solutions s.r.l. da parte di soggetti non autorizzati può essere definito basso, atteso che l’ingresso nell’orario di apertura è controllato da personale dipendente o da incaricati.

Sono stati implementati specifici protocolli volti a prevenire l’accesso alle singole postazioni di lavoro della Argo Business Solutions s.r.l.. da parte di persone non autorizzate.

È stato installato il dispositivo “salvavita” volto a ridurre il rischio elettrico e di incendi.

L’eventuale accesso di terzi (clienti, fornitori, personale che svolge interventi di manutenzione di interni e di impianti elettrici, idraulici, informatici ecc.) ai locali di Argo Business Solutions s.r.l. è monitorato e controllato dal personale dipendente ad avviene di norma durante l’orario lavorativo.

Ordinariamente, i Dati Personali degli Interessati non sono stampati su supporti cartacei. Qualora fosse necessario trattare i dati su documenti cartacei, questi vengono riposti in appositi archivi chiusi a chiave alla fine della sessione di lavoro.

  1. CAPACITÀ DI ASSICURARE SU BASE PERMANENTE LA RISERVATEZZA, L’INTEGRITÀ, LA DISPONIBILITÀ E LA RESILIENZA DEI SISTEMI E DEI SERVIZI DI TRATTAMENTO

Il Responsabile predispone il backup dei dati con frequenza giornaliera.

I frequenti backup sono conservati in ambienti controllati dal solo personale Argo Business Solutions s.r.l., oppure su piattaforma cloud, su supporti ridondati e criptati, fuori dalla portata di terzi non autorizzati e protetti da specifiche chiavi di accesso a conoscenza esclusiva del personale incaricato.

  1. CAPACITÀ DI RIPRISTINARE TEMPESTIVAMENTE LA DISPONIBILITÀ E L’ACCESSO DEI DATI PERSONALI IN CASO DI INCIDENTE FISICO O TECNICO

Il Responsabile ha adottato idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli strumenti elettronici, in tempi certi, compatibili con i diritti degli interessati e comunque non superiori alle 24 ore.

Il Responsabile si è dotato di una policy per la rapida individuazione e segnalazione dei Data Breach al Titolare del trattamento e al Garante per la Protezione dei Dati Personali, ove applicabile.

  1. PROCEDURE PER TESTARE, VERIFICARE E VALUTARE REGOLARMENTE L’EFFICACIA DELLE MISURE TECNICHE E ORGANIZZATIVE AL FINE DI GARANTIRE LA SICUREZZA DEL TRATTAMENTO

Periodicamente e a seguito di apposite analisi dei rischi, il Responsabile predispone aggiornamenti allo stato dell’arte delle misure di sicurezza adottate ai sensi dell’art. 32 del GDPR.

Sub-Allegato 3.C – Sub-responsabili approvati

Nome Indirizzo Riferimenti
Hetzner Online GmbH Industriestr. 25, 91710, Gunzenhausen, Germania https://www.hetzner.com/legal/privacy-policy

Google Ireland Ltd.

Servizi:

Google Cloud

Gordon House Barrow Street, Dublin, D04E5W5 Ireland https://policies.google.com/privacy?hl=it
Aruba – PEC S.p.A. Via San Clemente, 53 – 24036 Ponte San Pietro (BG) https://www.aruba.it/documents/tc-files/it/11_it_privacy_policy_aruba_spa.aspx
Amazon Web Services Inc. 410 Terry Avenue North Seattle, WA 98109-5210 USA

https://d1.awsstatic.com/legal/privacypolicy/AWS_

Privacy_Notice_Italian_Translation.pdf

Microsoft Ireland Operations Ltd.

Servizi:

Microsoft Azure

South County Business Park Leopardstown Dublin 18, D18 P521 Ireland https://www.microsoft.com/licensing/docs/view/Microsoft-Products-and-Services-Data-Protection-Addendum-DPA

Canonical Ltd.

Servizi:

Ubuntu

5 New Street Square, London EC4A 3TW, United Kingdom https://ubuntu.com/legal/data-privacy#privacy-notices
Cloud Linux Inc.

2318 Louis Rd, Suite B

Palo Alto, CA 94303, USA

https://www.cloudlinux.com/privacy-policy/
Mailjet SAS

4, rue Jule­s Lefe­bvre

750­09 Pari­s, France

https://www.mailjet.com/legal/dpa/

Sand Dune Mail Ltd

Servizi:

smtp2go

96-106 Manchester Street, Christchurch 8011, New Zealand https://www.smtp2go.com/privacy/