Il presente accordo per la protezione di dati personali (di seguito, “DPA” o “Accordo”) è concluso tra Jobtech S.r.l., con sede legale in Milano, via Pietro Paleocapa n. 7 , codice fiscale, partita Iva e numero di iscrizione al Registro delle Imprese di Milano Monza Brianza Lodi 10863920962 (di seguito, la “Società”) e il cliente che acquista la licenza relativa alla piattaforma “Jotto” (di seguito, il “Cliente” e insieme alla Società, congiuntamente, le “Parti” o disgiuntamente la “Parte”)
PREMESSO CHE
a) il Cliente ha sottoscritto uno o più contratti con la Società (di seguito il “Contratto”);
b) le Parti intendono disciplinare nel presente DPA le condizioni e le modalità del trattamento dei dati personali eseguito dalla Società nell’ambito del Contratto e della prestazione dei Servizi e le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dalla Società quale Responsabile del trattamento dei dati personali ai sensi dell'art. 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (nel seguito “GDPR”).
Tutto quanto sopra premesso le Parti convengono quanto segue:
1.1. Le premesse costituiscono parte integrante del presente Accordo.
1.2. Nell'Accordo i seguenti termini ed espressioni avranno il significato associato ad essi qui di seguito:
“Data di Decorrenza dell'Accordo” indica la data in cui il Cliente sottoscrive o accetta il presente Accordo;
“Dati Personali” ha il significato di cui alla Legislazione in materia di Protezione dei Dati Personali e includerà, a titolo puramente esemplificativo, tutti i dati forniti, archiviati, inviati, ricevuti o altrimenti elaborati, o creati dal Cliente, o dall'Utente Finale in relazione alla fruizione dei Servizi, nella misura in cui siano oggetto di trattamento da parte della Società, sulla base del Contratto;
“Decisione di Adeguatezza” indica una decisione della Commissione Europea sulla base dell’Articolo 45 del GDPR in merito al fatto che le leggi di un certo paese garantiscano un adeguato livello di protezione, come previsto dalla Legislazione in materia di Protezione dei Dati Personali;
“Giorni Lavorativi” indica ciascun giorno di calendario, a eccezione del sabato, della domenica e dei giorni nei quali le banche di credito ordinarie sono di regola aperte sulla piazza di Milano, per l’esercizio della loro attività;
“Email di notifica” si intende l'indirizzo e-mail fornito dal Cliente, all'atto della sottoscrizione del Servizio o fornito tramite ulteriori modalità previste dalla Società, a cui il Cliente intende ricevere le notifiche da parte della Società;
“Istruzioni” indica le istruzioni scritte impartite dal Titolare in merito al trattamento dei Dati Personali;
“Legislazione in materia di Protezione dei Dati Personali” indica il GDPR, e ogni eventuale ulteriore norma e/o regolamento sul trattamento dei dati personali emanati ai sensi del GDPR o comunque vigenti in Italia, incluso il Decreto Legislativo no. 196/2003, come modificato e integrato dal Decreto no. 101/2018, nonché ogni provvedimento vincolante che risulti emanato dalle autorità di controllo competenti in materia e conservi efficacia vincolante;
“Personale della Società” indica i dirigenti, dipendenti consulenti, e altro personale della Società, con esclusione del personale dei Sub-responsabili ;
“Richiesta” indica una richiesta di accesso di un Interessato, una richiesta di cancellazione o correzione dei Dati Personali, o una richiesta di esercizio di uno degli altri diritti previsti dal GDPR;
“Sub-responsabile” indica qualunque subappaltatore cui la Società abbia subappaltato uno qualsiasi degli obblighi assunti contrattualmente e che, nell’adempiere tali obblighi, potrebbe dover raccogliere, accedere, ricevere, conservare o altrimenti trattare i Dati Personali;
“Servizio/i” indica il servizio o i servizi oggetto del Contratto sottoscritto tra il Cliente e la Società;
“Utente Finale” si intende l'eventuale fruitore finale del Servizio, qualora differente dal Cliente, Titolare del Trattamento; e
“Violazione della Sicurezza dei Dati Personali” indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali occorsa su sistemi gestiti dalla Società o comunque sui quali la Società abbia un controllo.
1.2. I termini “ivi compreso/a/i/e” e “incluso/a/i/e” saranno interpretati come se fossero seguiti dall'espressione “a titolo puramente esemplificativo”, così da fornire un elenco non esaustivo di esempi.
1.3. Per le finalità del presente Accordo, i termini “Interessato”, “Trattamento”, “Titolare del Trattamento”, “Responsabile del Trattamento”, “Trasferimento” e “Misure tecnico-organizzative adeguate” saranno interpretati in conformità alla Legislazione in materia di Protezione dei Dati Personali applicabile.
2.1. Le Parti riconoscono e convengono che la Società agisce quale Responsabile del Trattamento in relazione ai Dati Personali e il Cliente agisce di regola quale Titolare del Trattamento dei Dati Personali.
2.2. Qualora il Cliente svolga operazioni di Trattamento per conto di altro Titolare del Trattamento, il Cliente potrà agire come Responsabile del Trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite e le attività intraprese in relazione al Trattamento dei Dati Personali, inclusa la nomina, da parte del Cliente, della Società quale Sub-responsabile del Trattamento derivante dalla stipulazione del presente Accordo è stata autorizzata dal relativo Titolare del Trattamento e si impegna ad esibire alla Società, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.
2.3. Ciascuna delle Parti si impegna a conformarsi, nel Trattamento dei Dati Personali, ai rispettivi obblighi derivanti dalla Legislazione in materia di Protezione dei Dati Personali applicabile.
2.4. La Società ha nominato un Responsabile della Protezione dei Dati (DPO), l’Avv. Francesco Angelo Lorusso, con studio in via Monte Nero 66 a Milano, che può essere contattato al seguente indirizzo: [email protected].
3.1. Con la stipulazione del presente Accordo, il Cliente affida alla Società l'incarico di trattare i Dati Personali ai fini della prestazione dei Servizi, così come meglio dettagliati nel Contratto, in conformità alle disposizioni del presente DPA.
3.2. La Società si impegna a conformarsi alle Istruzioni, fermo restando che, qualora il Cliente richieda variazioni rispetto alle Istruzioni iniziali, la Società valuterà gli aspetti di fattibilità e concorderà con il Cliente le predette variazioni ed i costi connessi.
3.3. Nei casi di cui all'art. 3.2 e in caso di Istruzioni del Cliente che siano, ad avviso della Società, in violazione della Legislazione in materia di Protezione dei Dati Personali, la Società è autorizzata ad astenersi dall'eseguire tali Istruzioni e ne informerà prontamente il Cliente. In tali casi il Cliente potrà valutare eventuali variazioni alle Istruzioni impartite o contattare l'autorità competente per verificare la liceità delle richieste avanzate.
4.1. Nell'eseguire il Trattamento dei Dati Personali ai fini della prestazione dei Servizi, la Società si impegna a eseguire il Trattamento dei Dati Personali:
i. soltanto nella misura e con le modalità necessarie per erogare i Servizi o per adempiere opportunamente i propri obblighi, previsti dal Contratto e dal presente Accordo ovvero imposti dalla legge o da un organo di vigilanza o controllo competente, ovvero da specifiche richieste del Cliente e/o dell’Utente Finale. In tale ultima circostanza la Società ne informerà il Cliente (salvo il caso in cui ciò sia vietato dalla legge per ragioni di pubblico interesse) mediante comunicazione trasmessa all'Email di notifica;
ii. in conformità alle Istruzioni del Cliente.
4.2 Il Personale della Società che accede, o comunque tratta i Dati Personali, è preposto al Trattamento di tali dati sulla base di idonee autorizzazioni e ha ricevuto la necessaria formazione anche in merito al Trattamento dei Dati Personali. Tale Personale è altresì vincolato da obblighi di riservatezza e deve attenersi alle policy di riservatezza e di protezione dei Dati Personali adottate dalla Società.
Affidamento a terzi
5.1. In relazione all'affidamento a Sub-responsabili di operazioni di Trattamento di Dati Personali, le Parti convengono quanto segue:
a. il Cliente acconsente espressamente che alcune operazioni di trattamento di Dati Personali siano affidate dalla Società ad ulteriori soggetti terzi secondo le modalità previste al successivo punto c.
b. resta inteso che la sottoscrizione delle Clausole Contrattuali Tipo (prevista dal successivo punto 7 in caso di trasferimento all’estero dei Dati Personali) da parte del Cliente con un Sub-responsabile deve intendersi quale consenso all'affidamento al terzo delle operazioni di Trattamento.
c. nei casi in cui la Società ricorra a Sub-responsabili per l'esecuzione di specifiche attività di trattamento dei Dati Personali, la Società:
i. si impegna ad avvalersi di Sub-responsabili che garantiscono misure tecniche e organizzative adeguate e garantisce che l'accesso ai Dati Personali, e il relativo Trattamento, sarà effettuato esclusivamente nei limiti di quanto necessario per l'erogazione dei servizi subappaltati;
ii. almeno 15 (quindici) giorni prima della data di avvio delle operazioni di Trattamento dei Dati Personali da parte del Sub-responsabile informa il Cliente dell'affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell'ubicazione dei server sui quali saranno conservati i dati, se applicabile - e delle attività affidate) mediante invio di Email di notifica o altro mezzo ritenuto idoneo dalla Società. Il Cliente potrà recedere dal Contratto entro 15 (quindici) giorni dal ricevimento della comunicazione, fermo restando l'obbligo di corrispondere alla Società gli importi dovuti alla data di cessazione del Contratto;
d. eventuali informazioni aggiuntive sull'elenco dei Sub-responsabili, dei trattamenti loro affidati e della loro ubicazione potranno essere richieste dal Titolare del Trattamento alla Società, scrivendo in chat.
Disposizioni in materia di sicurezza
6.1. MISURE DI SICUREZZA DELLA SOCIETÀ z– Nell'eseguire il Trattamento dei Dati Personali ai fini della prestazione dei Servizi la Società si impegna ad adottare misure tecnico-organizzative adeguate per evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di, o l’accesso ai, Dati Personali, come descritte nell'Allegato 1 al presente Accordo (“Misure di Sicurezza”).
6.1.1. L'Allegato 1 all'Accordo contiene misure di protezione degli archivi dati commisurate al livello dei rischi presenti con riferimento ai Dati Personali per consentire la riservatezza, integrità, disponibilità e la resilienza dei sistemi e dei Servizi della Società, nonché misure per consentire il tempestivo ripristino degli accessi ai Dati Personali in caso di Violazione della Sicurezza dei Dati Personali, e misure per testare l'efficacia nel tempo di dette misure. Il Cliente dà atto ed accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità di Trattamento dei Dati Personali, le procedure e i criteri di sicurezza implementati dalla Società garantiscono un livello di protezione adeguato al rischio per quanto riguarda i suoi Dati Personali.
6.1.2. La Società potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra indicate, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi. Di tali aggiornamenti e modifiche sarà fornita notifica al Cliente mediante invio di comunicazione via chat. .
6.1.3. Qualora il Cliente richieda di adottare misure di sicurezza aggiuntive rispetto alle Misure di Sicurezza, la Società si riserva il diritto di valutarne la fattibilità e potrà applicare costi aggiuntivi a carico del Cliente per tale implementazione.
6.1.4. Il Cliente riconosce e accetta che la Società, tenuto conto della natura dei Dati Personali e delle informazioni disponibili alla Società stessa, presterà assistenza al Cliente nel garantire il rispetto degli obblighi di sicurezza di cui agli artt. 32-34 del GDPR nei modi seguenti:
i. implementando e mantenendo aggiornate le Misure di Sicurezza secondo quanto previsto ai precedenti punti 6.1.1, 6.1.2, 6.1.3;
ii. conformandosi agli obblighi di cui al punto 6.3.
6.1.5. Resta inteso che le Misure di Sicurezza sopra indicate troveranno applicazione esclusivamente in relazione ai Servizi che prevedono il Trattamento dei Dati Personali da parte della Società o di suoi affidatari (es. supporto e assistenza da remoto, servizi di migrazione).
6.1.6. Qualora il Servizio consenta l'integrazione con applicativi di terze parti, la Società non sarà responsabile dell'applicazione delle Misure di Sicurezza relative alle componenti delle terze parti o delle modalità di funzionamento del Servizio derivanti dall'integrazione effettuata dalle terze parti.
6.2. MISURE DI SICUREZZA DEL CLIENTE – Fermi restando gli obblighi di cui al precedente punto 6.1 in capo alla Società, il Cliente riconosce e accetta che, nella fruizione dei Servizi, rimane responsabilità esclusiva del Cliente l'adozione di adeguate misure di sicurezza in relazione alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.
6.2.1. A tal fine il Cliente si impegna ad utilizzare i Servizi e le funzionalità di Trattamento dei Dati Personali in modo da garantire un livello di protezione adeguato al rischio effettivo.
6.2.2. Il Cliente si impegna altresì ad adottare tutte le misure idonee per proteggere le credenziali di autenticazione, i sistemi e i dispositivi utilizzati dal Cliente o dai fruitori presso l'Utente Finale per accedere ai Servizi, e per effettuare i salvataggi e backup dei Dati Personali al fine di garantire il ripristino dei Dati Personali nel rispetto delle norme di legge.
6.2.3. Resta escluso qualsiasi obbligo o responsabilità in capo alla Società circa la protezione dei Dati Personali che il Cliente o l'Utente Finale, se applicabile, conservino o trasferiscano fuori dai sistemi utilizzati dalla Società e dai suoi Sub-responsabili (ad esempio, in archivi cartacei, o presso propri data center, come nel caso di Contratti aventi ad oggetto prodotti installati presso il Cliente o presso fornitori del Cliente).
6.3. VIOLAZIONI DELLA SICUREZZA DEI DATI PERSONALI– Qualora la Società venga a conoscenza di una Violazione della Sicurezza dei Dati Personali, la stessa:
i. informerà senza ingiustificato ritardo il Cliente mediante comunicazione via chat;
ii. adotterà misure ragionevoli per limitare i possibili danni e la sicurezza dei Dati Personali;
iii. fornirà al Cliente, per quanto possibile, una descrizione della Violazione della Sicurezza dei Dati Personali ivi incluse le misure adottate per evitare o mitigare i potenziali rischi e le attività raccomandate dalla Società al Cliente per la gestione della Violazione di Sicurezza;
iv. considererà informazioni confidenziali ai sensi di quanto previsto nel Contratto, le informazioni attinenti alle eventuali Violazioni della Sicurezza dei Dati Personali, i relativi documenti, comunicati e avvisi e non comunicherà a terzi dati informazioni, fuori dai casi strettamente necessari all'assolvimento degli obblighi del Cliente derivanti dalla Legislazione in materia di Protezione dei Dati Personali senza il previo consenso scritto del Titolare del Trattamento.
6.4. Nei casi di cui al precedente punto 6.3, è responsabilità esclusiva del Cliente adempiere, nei casi previsti dalla Legislazione in materia di Trattamento di Dati Personali, agli obblighi di notificazione della Violazione di Sicurezza ai terzi (all'Utente Finale qualora il Cliente sia un Responsabile del Trattamento) e, se il Cliente è Titolare del Trattamento, all'Autorità di controllo e agli interessati.
6.5. Resta inteso che la notificazione di una Violazione della Sicurezza dei Dati Personali o l'adozione di misure volte a gestire una Violazione della Sicurezza dei Dati Personali non costituisce riconoscimento di inadempimento o di responsabilità da parte della Società in relazione a detta Violazione della Sicurezza dei Dati Personali.
6.6. Il Cliente dovrà comunicare tempestivamente alla Società eventuali utilizzi impropri degli account o delle credenziali di autenticazione oppure eventuali Violazioni della Sicurezza dei Dati Personali di cui abbia avuto conoscenza riguardanti i Servizi.
Limitazioni al trasferimento dei Dati Personali al di fuori dello Spazio Economico Europeo (SEE)
7.1. La Società non trasferirà i Dati Personali al di fuori dello SEE se non in accordo con il Cliente.
7.2. Se, ai fini della conservazione o del Trattamento dei Dati Personali da parte di un Sub-responsabile, è necessario effettuare il trasferimento dei Dati Personali fuori dallo SEE in un paese che non gode di una decisione di adeguatezza da parte della Commissione Europea ai sensi dell'art. 45 del GDPR, la Società potrà adottare altre modalità di trasferimento dei Dati Personali conformi a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali, anche alla luce delle indicazioni fornite dalla Corte di Giustizia della Unione Europea nella causa C-311/18 e dal Comitato Europeo per la Protezione dei dati (EDPB).
7.3. Nei casi di cui al precedente punto 7.2 con il presente Accordo il Cliente conferisce espressamente mandato alla Società a sottoscrivere le clausole contrattuali tipo di cui all’articolo 46, comma 2, lettera c) del GDPR, per il trasferimento di Dati Personali a incaricati del Trattamento stabiliti in paesi terzi, con i Sub-responsabili (le “Clausole Contrattuali Tipo”), nonché ad adottare tutte le eventuali misure supplementari che si rendano ragionevolmente necessarie per consentire il trasferimento dei Dati Personali al di fuori dello SEE in conformità ai requisiti previsti dal GDPR . Qualora Titolare del Trattamento sia l'Utente Finale, il Cliente si impegna a informare l'Utente Finale di tale trasferimento e dichiara che l'autorizzazione ad avvalersi del Sub-responsabile situato fuori dallo SEE equivale al mandato di cui sopra.
Verifiche e controlli
8.1. La Società sottopone ad audit periodici la sicurezza dei sistemi e degli ambienti di elaborazione dei Dati Personali dalla stessa utilizzati per l'erogazione dei Servizi e le sedi in cui avviene tale Trattamento. La Società avrà la facoltà di incaricare dei professionisti indipendenti selezionati dalla Società stessa per lo svolgimento di audit secondo standard internazionali e/o best practice, i cui esiti saranno riportati in specifici report (“Report”). Tali Report, che costituiscono informazioni confidenziali della Società, potranno essere resi disponibili al Cliente, su richiesta, per consentirgli di verificare la conformità della Società agli obblighi di sicurezza di cui al presente Accordo.
8.2. Il Cliente concorda pertanto che il proprio diritto di verifica ai sensi del’art. 28 GDPR sarà esercitato attraverso la verifica dei Report messi a disposizione dalla Società.
8.3. Resta fermo quanto previsto in relazione ai diritti di ispezione del Titolare del Trattamento e delle autorità nelle Clausole Contrattuali Tipo eventualmente sottoscritte ai sensi del precedente punto 7, che non potranno considerarsi modificate da alcuna delle previsioni contenute nel presente Accordo.
8.4. Le attività di verifica che interessino eventuali Sub-responsabili dovranno essere svolte nel rispetto delle regole di accesso e delle politiche di sicurezza dei Sub-responsabili.
Assistenza ai fini di conformità
9.1. La Società presterà assistenza al Cliente e coopererà nei modi di seguito indicati al fine di consentire al Cliente il rispetto degli obblighi previsti dalla Legislazione in materia di Protezione dei Dati Personali.
9.2. Qualora la Società riceva Richieste o reclami da un Interessato in relazione ai Dati Personali, la Società raccomanderà all'Interessato di rivolgersi al Cliente o all'Utente Finale, nel caso in cui quest'ultimo sia il Titolare del Trattamento. In tali casi la Società informerà tempestivamente il Cliente del ricevimento della Richiesta mediante chat e fornirà al Cliente le informazioni ad esso disponibili unitamente a copia della Richiesta o del reclamo. Resta inteso che tale attività di cooperazione sarà svolta in via eccezionale, in quanto la gestione dei rapporti con gli Interessati resta esclusa dai Servizi ed è responsabilità del Cliente gestire eventuali reclami in via diretta e garantire che il punto di contatto per l'esercizio dei diritti da parte degli Interessati sia il Cliente stesso, o l'Utente Finale se Titolare del Trattamento. Sarà responsabilità del Cliente, o dell'Utente Finale qualora questi sia Titolare del Trattamento, provvedere a dar seguito a tali Richieste o reclami.
9.3. La Società provvederà a informare tempestivamente il Cliente, salvo il caso in cui ciò sia vietato dalla legge, con avviso per chat di eventuali ispezioni o richieste di informazioni presentate da autorità di controllo e forze di polizia rispetto a profili che riguardano il Trattamento dei Dati Personali.
9.4. Qualora, ai fini dell'evasione delle Richieste di cui ai precedenti punti, il Cliente abbia necessità di ricevere informazioni dalla Società circa il Trattamento dei Dati Personali, la Società presterà la necessaria assistenza nei limiti di quanto ragionevolmente possibile, a condizione che tali richieste siano presentate con congruo preavviso.
9.5. La Società, tenuto conto della natura dei Dati Personali e delle informazioni ad esso disponibili, fornirà ragionevole assistenza al Cliente nel rendere disponibili informazioni utili per consentire al Cliente l'effettuazione di valutazioni di impatto sulla protezione dei Dati Personali nei casi previsti dalla legge. In tal caso la Società renderà disponibili informazioni di carattere generale in base al Servizio, quali le informazioni contenute nel Contratto e nel presente Accordo. Eventuali richieste di assistenza personalizzate potranno essere soggette al pagamento di un corrispettivo da parte del Cliente. Resta inteso che è responsabilità e onere esclusivo del Cliente, o dell'Utente Finale se Titolare del Trattamento, procedere alla valutazione di impatto in base alle caratteristiche del Trattamento dei Dati Personali dallo stesso posto in essere nel contesto dei Sevizi.
9.6. La Società si impegna a rendere Servizi improntati ai principi di minimizzazione del Trattamento (privacy by design & by default), fermo restando che è responsabilità esclusiva del Cliente, o dell'Utente Finale, se Titolare del Trattamento, assicurare che il Trattamento sia condotto poi concretamente nel rispetto di detti principi e verificare che le misure tecniche e organizzative di un Servizio soddisfano i requisiti di conformità della Società, ivi inclusi i requisiti previsti dalla Legislazione in materia di protezione dei dati personali.
9.7. Il Cliente prende atto che, in caso di Richieste di portabilità dei Dati Personali avanzate dai rispettivi Interessati, e solo in relazione ai Servizi che generano Dati Personali rilevanti a tal fine, la Società presterà assistenza al Cliente mettendo a disposizione le informazioni necessarie per estrarre i dati richiesti in formato conforme a quanto previsto dalla Legislazione in materia di Protezione dei Dati Personali.
Assistenza ai fini di conformità
10.1. Il Cliente si impegna a impartire Istruzioni conformi alla normativa e a utilizzare i Servizi in modo conforme alla Legislazione in materia di Protezione dei Dati Personali e solo per trattare Dati Personali che siano stati raccolti in conformità alla Legislazione in materia di Protezione dei Dati Personali.
10.2. I Servizi potranno ricomprendere anche l'eventuale Trattamento di Dati Personali di cui agli artt. 9 e 10 del GDPR.
10.3. Il Cliente si impegna ad assolvere a tutti gli obblighi posti in capo al Titolare del Trattamento (e, nei casi in cui tali obblighi sono in capo all'Utente Finale, garantisce che analoghi obblighi sono imposti a carico dell'Utente Finale) dalla Legislazione in materia di Protezione dei Dati Personali, ivi inclusi gli obblighi di informativa nei confronti degli Interessati. Il Cliente si impegna inoltre a garantire che il Trattamento dei Dati Personali effettuato mediante l'utilizzo dei Servizi avvenga solo in presenza di idonea base giuridica.
10.4. Qualora il rilascio dell'informativa e l'ottenimento del consenso debbano avvenire per il tramite della piattaforma oggetto del Contratto, il Cliente dichiara di aver valutato la piattaforma e che essa risponde alle esigenze del Cliente. Resta altresì a carico del Cliente valutare se l'eventuale modulistica resa disponibile dalla Società per agevolare l'assolvimento degli obblighi di informativa e consenso (es. modello di privacy policy per App o informative presenti negli applicativi), quando disponibile, sia conforme alla Legislazione in materia di Protezione dei Dati Personali e adattare la stessa ove ritenuto opportuno.
10.5. È altresì onere esclusivo del Cliente provvedere alla gestione dei Dati Personali in conformità alle Richieste avanzate dagli Interessati, e pertanto provvedere ad esempio agli eventuali aggiornamenti, integrazioni, rettifiche e cancellazioni dei Dati Personali.
10.6. È onere del Cliente mantenere l'account collegato all'Email di notifica attivo ed aggiornato.
10.7. Il Cliente prende atto che, ai sensi dell'art. 30 del GDPR, la Società è tenuta a mantenere un registro delle attività di Trattamento eseguite per conto dei Titolari (o Responsabili) del Trattamento e a raccogliere a tal fine i dati identificativi e di contatto di ciascun Titolare (e/o Responsabile) del Trattamento per conto del quale la Società agisce e che tali informazioni devono essere rese disponibili all'autorità competente, su richiesta. Pertanto, quando richiesto, il Cliente si impegna a dare alla Società i dati identificativi e di contatto sopra indicati con le modalità individuate dalla Società nel tempo e a mantenere aggiornate tali informazioni tramite i medesimi canali.
10.8. Il Cliente dichiara pertanto che le attività di Trattamento dei Dati Personali, come descritte nel Contratto e nel presente Accordo, sono lecite.
Durata
11.1. Il presente Accordo avrà efficacia a decorrere dalla Data di Decorrenza dell'Accordo e cesserà automaticamente, alla data di cancellazione di tutti i Dati Personali da parte della Società, come previsto nel presente Accordo.
Disposizioni per la restituzione o la cancellazione dei Dati Personali
12.1. Alla cessazione del Servizio, per qualunque causa intervenuta, la Società:
i. provvederà alla cancellazione dei Dati Personali (ivi incluse eventuali copie) dai sistemi della Società o da quelli su cui lo stesso abbia controllo entro il termine previsto nel Contratto, tranne il caso in cui la conservazione dei dati da parte della Società sia necessaria o consentita al fine di assolvere ad una disposizione di legge italiana o europea;
ii. distruggerà eventuali Dati Personali conservati in formato cartaceo in suo possesso, tranne il caso in cui la conservazione dei dati da parte della Società sia necessaria ai fini del rispetto di norme di legge italiane o europee; e
iii. manterrà a disposizione del Cliente i Dati Personali per l'estrazione per il periodo di 120 giorni successivi alla cessazione del Contratto. Durante tale periodo, il Trattamento sarà limitato alla sola conservazione finalizzata a mantenere i Dati Personali a disposizione del Cliente per l’estrazione di cui al punto 12.2.
12.2. Il Cliente riconosce di poter estrarre i Dati Personali, alla cessazione del Servizio, nei modi convenuti nel Contratto e conviene che è sua responsabilità provvedere all'estrazione totale o parziale dei soli Dati Personali che ritenga utile conservare e che tale estrazione dovrà essere effettuata prima della scadenza del termine di cui all’Articolo 12.1 punto iii.
Il Cliente riconosce che successivamente al predetto termine i Dati Personali potrebbero non essere più accessibili.
12.3. Restano ferme eventuali ulteriori o diverse disposizioni circa la cancellazione dei Dati Personali previste dal Contratto.
Responsabilità
13.1. Ciascuna Parte è responsabile per l'adempimento dei propri obblighi previsti dal presente Accordo e dalla Legislazione in materia di protezione dei Dati Personali.
13.2. Fatti salvi i limiti inderogabili di legge, la Società sarà tenuta a risarcire il Cliente in caso di violazione del presente Accordo entro i limiti massimi convenuti nel Contratto.
Categorie di Dati Personali
14.1 Ai fini della prestazione dei Servizi previsti dal Contratto, la Società tratta le seguenti categorie di Dati Personali forniti, archiviati, trasmessi, o prodotti dal Cliente (intendendosi per tale anche i relativi collaboratori autorizzati ad utilizzare i Servizi, i soggetti in favore dei quali i servizi sono erogati o Utenti Finali) nel contesto della fruizione dei Servizi:
i. dati identificativi e di contatto;
ii. dati finanziari e dati relativi a transazioni;
iii. dati commerciali;
iv. credenziali di accesso e dati di log relativi alle utenze che accedono alla piattaforma;
informazioni relative al funzionamento del servizio.
v. particolari categorie di dati, quali, a titolo esemplificativo ma non esaustivo, dati idonei a rivelare lo stato di salute, ove contenuti nella documentazione caricata dal Cliente nella fruizione dei Servizi.
vi. dati relativi a ciascun lavoratore, quali, a titolo esemplificativo ma non esaustivo, contratto, livello, Retribuzione Lorda, Retribuzione Netta, Benefit, Dispositivi assegnati, indirizzo di residenza, data di nascita, stato civile.
14.2 Jotto è finalizzata a consentire il trattamento dei Dati Personali strettamente necessari ai fini della gestione del personale. Tale trattamento richiede che Jotto sia utilizzato in conformità con i principi di minimizzazione, integrità e riservatezza previsti dalla Legislazione in materia di Protezione dei Dati Personali applicabile. Non è previsto il trattamento di dati giudiziari (art. 10 del GDPR).
Categorie di Interessati
15.1 Nella prestazione dei Servizi la Società tratta Dati Personali forniti, trasmessi, archiviati, o creati dal Cliente nel contesto della fruizione del Servizio, relativi alle seguenti categorie di interessati:
i. dipendenti, ex dipendenti o collaboratori del Cliente;
ii. professionisti incaricati dal Cliente (consulenti del lavoro).
Principali attività di Trattamento
16.1 La Società tratta i Dati Personali forniti, archiviati, trasmessi, raccolti o creati dal Cliente nel contesto della fruizione dei Servizi.
16.2 Il trattamento è effettuato in conformità a quanto previsto nel Contratto e nel presente Accordo.
Principali attività di Trattamento
17.1 I server utilizzati per l’archiviazione dei Dati Personali ai fini dell’erogazione dei Servizi presso Amazon Web Services situato a Francoforte, all’interno del territorio dell’Unione Europea.
Disposizioni varie
18.1. Il presente Accordo sostituisce qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente alla Società precedentemente alla data del presente Accordo in merito ai Dati Personali trattati nell’ambito dell’esecuzione del Contratto.
18.2. Il presente Accordo potrà essere modificato dalla Società dandone comunicazione scritta (anche via e-mail o con l’ausilio di programmi informatici) al Cliente. In tal caso, il Cliente avrà il diritto di recedere dal Contratto con comunicazione scritta inviata alla Società a mezzo raccomandata con ricevuta di ricevimento nel termine di 15 giorni dal ricevimento della comunicazione della Società. In mancanza di esercizio del diritto di recesso da parte del Cliente, nei termini e nei modi sopra indicati, le modifiche al presente Accordo si intenderanno da questi definitivamente conosciute e accettate e diverranno definitivamente efficaci e vincolanti.
18.3. In caso di conflitto tra le previsioni del presente Accordo e quanto previsto nel Contratto per la prestazione dei Servizi, o in documenti del Cliente non espressamente accettati dalla Società in deroga al presente Accordo, prevarrà quanto previsto nel presente Accordo.
Allegato 1 - Misure tecnico-organizzative
Misure di sicurezza organizzative
Policy e Disciplinari utenti – La Società applica dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso ai sistemi informativi ha l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità dei dati nell’utilizzo delle risorse informatiche.
Autorizzazione accessi logici – La Società definisce i profili di accesso nel rispetto del least privilege necessari all’esecuzione delle mansioni assegnate. I profili di autorizzazione sono individuati e configurati anteriormente all'inizio del Trattamento, in modo da limitare l'accesso ai soli dati necessari per effettuare le operazioni di Trattamento.
Tali profili sono oggetto di controlli periodici finalizzati alla verifica della sussistenza delle condizioni per la conservazione dei profili attribuiti.
Gestione interventi di assistenza – Gli interventi di assistenza sono regolamentati allo scopo di garantire l’esecuzione delle sole attività previste contrattualmente e impedire il Trattamento eccessivo di Dati Personali la cui titolarità è in capo al Cliente o all’Utente Finale.
Valutazione d'impatto sulla protezione dei dati (DPIA) – In conformità agli artt. 35 e 36 del GDPR e sulla base del documento WP248 – Linee guida sulla valutazione d’impatto nella protezione dei dati adottate dal Gruppo di lavoro ex art. 29, la Società ha predisposto una propria metodologia per l’analisi e la valutazione dei trattamenti che, considerati la natura, l'oggetto, il contesto e le finalità del Trattamento, presentino un rischio elevato per i diritti e le libertà delle persone fisiche allo scopo di procedere con la valutazione dell’impatto sulla protezione dei Dati Personali prima di iniziare il Trattamento.
Incident Management – La Società ha realizzato una specifica procedura di Incident Management allo scopo di garantire il ripristino delle normali operazioni di servizio nel più breve tempo possibile, garantendo il mantenimento dei livelli migliori di servizio.
Data Breach – La Società ha implementato un’apposita procedura finalizzata alla gestione degli eventi e degli incidenti con un potenziale impatto sui Dati Personali che definisce ruoli e responsabilità, il processo di rilevazione (presunto o accertato), l’applicazione delle azioni di contrasto, la risposta e il contenimento dell’incidente / violazione nonché le modalità attraverso le quali effettuare le comunicazioni delle violazioni di Dati Personali al Cliente.
Formazione: La Società eroga periodicamente ai propri dipendenti coinvolti nelle attività di Trattamento corsi di formazione sulla corretta gestione dei Dati Personali
Misure di sicurezza tecniche
Firewall, IDPS - I Dati Personali sono protetti contro il rischio d'intrusione di cui all'art. 615-quinquies del codice penale mediante sistemi di Intrusion Detection & Prevention, mantenuti aggiornati in relazione alle migliori tecnologie disponibili.
Sicurezza linee di comunicazione - Per quanto di propria competenza, sono adottati dalla Società protocolli di comunicazione sicuri e in linea con quanto la tecnologia rende disponibile.
Credenziali di autenticazione - I sistemi sono configurati con modalità idonee a consentirne l’accesso unicamente a soggetti dotati di credenziali di autenticazione che ne consentono la loro univoca identificazione. Fra questi, codice associato a una parola chiave, riservata e conosciuta unicamente dallo stesso;
Parola chiave - Relativamente alle caratteristiche di base ovvero obbligo di modifica al primo accesso, lunghezza minima, assenza di elementi riconducibili agevolmente al soggetto, regole di complessità, scadenza, history, valutazione contestuale della robustezza, visualizzazione e archiviazione, la parola chiave è gestita conformemente alle best practice. Ai soggetti ai quali sono attribuite le credenziali sono fornite puntuali istruzioni in relazione alle modalità da adottare per assicurarne la segretezza.
Logging - I sistemi sono configurabili con modalità che consentono il tracciamento degli accessi.
Backup & Restore - Sono adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi, in tempi certi compatibili con i diritti degli interessati.
Amministratori di Sistema - Relativamente a tutti gli utenti che operano in qualità di Amministratori di Sistema, il cui elenco è mantenuto aggiornato e le cui funzioni attribuite sono opportunamente definite in appositi atti di nomina, è gestito un sistema di log management. L’operato degli Amministratori di Sistema è disciplinato dalle specifiche istruzioni fornite nell’atto di nomina, finalizzate al rispetto della normativa europea e nazionale sul trattamento dei dati personali.
Data Center - L’accesso al database in cloud è limitato ai soli soggetti autorizzati. Per il dettaglio delle misure di sicurezza adottate con riferimento ai servizi di cloud erogati dai sub responsabili si fa rinvio alle misure di sicurezza indicate dai medesimi e rese disponibili nei relativi siti istituzionali (AWS)