1. PREMESSA

1.1 Il presente Accordo di elaborazione dei dati personali (“Accordo”, “DPA”), insieme ai suoi allegati, deve intendersi come parte integrante del contratto di fornitura di servizi stipulato tra NetRelay di Caniglia Gabriele e De Marco Francesco s.n.c., con sede legale in Lecce, Via Enrico Fermi n. 26, Partita IVA 04911490755 (di seguito “NetRelay”, “Fornitore”, o “Responsabile”) e il Cliente acquirente del Servizio.

1.2 Il Cliente ha acquistato il/i servizio/i ("Servizi/o") offerto da NetRelay secondo le modalità previste nel Contratto, nelle Condizioni Generali di Servizio (“CGS”) e nelle Condizioni Specifiche di Servizio (“CSS”).

1.3 Per poter erogare i Servizi o fornire assistenza tecnica sugli stessi, NetRelay potrebbe accedere ai dati del Cliente, svolgendo di fatto operazioni di trattamento esclusivamente per conto del Cliente. 

1.4 Il Cliente, attraverso i Servizi acquistati e il relativo utilizzo discrezionale, gestisce dati personali di ogni tipo (comuni, particolari o relativi a condanne penali o reati), non determinabili o conosciuti a priori da NetRelay, e ne stabilisce finalità, modalità e strumenti di trattamento, agendo da titolare del trattamento.

In aggiunta, il Cliente stesso potrebbe a sua volta fornire servizi a propri clienti e trattare dati per conto di questi, ricevendo istruzioni e deleghe, agendo quindi da responsabile o sub-responsabile del trattamento.

1.5 NetRelay e il Cliente (“le Parti”, e ciascuno singolarmente come “Parte”) con il presente Accordo intendono disciplinare gli aspetti relativi al trattamento dei dati personali svolto da NetRelay per conto del Cliente, in conformità alle disposizioni di Legge vigenti e applicabili in materia di protezione dei dati personali, in particolare il Regolamento (UE) 2016/679 (“GDPR”) e il codice della privacy di cui al D.lgs. 30.06.2003 n. 196, come modificato dal D.lgs. 10.08.2018 n. 101 ed eventuali successive modificazioni o integrazioni nonché la relativa disciplina regolamentare da essa derivante.

Questa premessa forma parte integrante del presente Accordo.


2. DEFINIZIONI

«Autorità di Controllo» indica l'autorità pubblica indipendente istituita da uno Stato membro competente a vigilare ed assicurare l’applicazione delle disposizioni di legge in materia di protezione dei dati personali, con riferimento al trattamento dei dati personali del Cliente svolto per mezzo del Servizio; 

«Categorie particolari di dati personali» indica i dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché il trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o i dati relativi a condanne penali e a reati o alle relative misure di sicurezza; 

«Clausole Contrattuali Tipo» indica le Clausole Contrattuali Tipo adottate dalla Commissione Europea nella Decisione 2010/87/UE del 5 febbraio 2010 per il trasferimento dei Dati Personali da un Titolare stabilito nell’UE verso un'entità extra SEE che agisca come Responsabile;

«Cliente» indica il soggetto che ha acquistato il Servizio; 

«Contratto» indica il contratto di fornitura di servizi intercorrente tra NetRelay e il Cliente; 

«Dati Personali del Cliente» indica i dati personali, relativi agli interessati, trattati dal Responsabile in relazione al Servizio fornito al Cliente; 

«Dato personale» indica qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; (art. 4 del Regolamento); 

«Decisione di Adeguatezza» si riferisce a una decisione vincolante emessa dalla Commissione Europea che permette il trasferimento dei dati personali dallo Spazio Economico Europeo verso un paese terzo il cui ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei dati personali; 

«Diritti dell’Interessato» sono i diritti riconosciuti all’Interessato dalle disposizioni di legge applicabili in materia di protezione dei dati personali (artt. 15-22 del Regolamento); 

«Disposizioni di legge applicabili in materia di protezione dei dati personali» indica, negli Stati membri dell’Unione Europea, il Regolamento e le complementari legislazioni nazionali in materia di protezione dei Dati Personali, comprensivi di ogni orientamento e/o code of pratice emessi dalla competente Autorità di controllo all’interno dell’Unione Europea; e/o, negli Stati extra UE, ogni vigente legislazione in materia di protezione dei dati personali relativa alla tutela ed al legittimo trattamento di dati personali; 

«Interessato/i» qualsiasi persona fisica identificata o identificabile cui si riferiscono i dati personali;

«Regolamento» indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati; 

«Responsabile del trattamento» indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che tratta dati personali per conto del Titolare; 

«SEE» indica lo Spazio Economico Europeo; 

«Servizio» indica il servizio acquistato dal Cliente;

«Sub-Responsabile» indica la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente individuato dal Responsabile per assisterlo nel trattamento dei dati personali del Cliente nel rispetto delle obbligazioni previste dal Responsabile e di cui al presente Accordo;

«Titolare» indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che, da solo o congiuntamente con altri soggetti, determini le finalità e le modalità del Trattamento dei dati personali; 

«Trattamento» indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

«UE» indica l’Unione Europea; 

«Violazione dei dati personali» indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati.


3. RUOLI PRIVACY DELLE PARTI

3.1 Le Parti sono consapevoli che il Cliente, in materia di protezione dei dati personali, può essere identificato, a seconda dei casi, come Titolare (o Contitolare) del trattamento quando decide le finalità e gli strumenti del trattamento, oppure Responsabile o Sub-responsabile del trattamento qualora tratti i dati personali su istruzione e per conto di altri. In quest’ultimo caso, il Cliente attesta che il presente Accordo non viola alcuna autorizzazione e istruzione ricevuta dal suo Titolare o Responsabile del trattamento.

3.2 Ai fini del presente DPA, anche per comodità espositiva, NetRelay è indicata quale Responsabile del trattamento (“Responsabile”), anche nel caso in cui rivesta il ruolo di sub-responsabile rispetto al ruolo esercitato dal Cliente.

Il Cliente nomina NetRelay Responsabile del trattamento dei dati personali, autorizzandolo al trattamento per suo conto dei soli dati necessari all’erogazione dei Servizi acquistati, nel rispetto del contratto di fornitura e del presente Accordo.


4. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

Con riferimento all’erogazione del Servizio acquistato dal Cliente, il Responsabile:

- è autorizzato esclusivamente al trattamento dei dati personali del Cliente per le finalità, nella misura e nei limiti necessari e relativi all’esecuzione delle prestazioni oggetto del Contratto;

- si uniforma alle istruzioni impartite per iscritto dal Cliente con il presente Accordo, e lo informa qualora ritenga che le istruzioni ricevute sono in violazione del Regolamento o di altre disposizioni applicabili in materia di protezione dei dati;

- informa tempestivamente il Cliente di ogni comunicazione ricevuta dall’Autorità di controllo in merito al trattamento dei dati personali del Cliente, a cui compete ogni obbligo di riscontro alla stessa Autorità;

- si obbliga a curare l’aggiornamento delle proprie competenze specifiche e a tenersi aggiornato in merito a codici di condotta e alle certificazioni approvate dalle Autorità di controllo;

- tratta i dati direttamente o eventualmente avvalendosi di soggetti appositamente designati e autorizzati, che operano in base alle istruzioni fornite, verificando che applichino le prescrizioni di sicurezza e riservatezza dei dati, assicurandosi che siano a conoscenza delle norme a tutela dei dati personali, provvedendo alla loro formazione e al loro aggiornamento, prescrivendo che abbiano accesso ai soli dati strettamente necessari per adempiere ai compiti loro assegnati;

- collabora con il Cliente e lo supporta nel consentire il corretto esercizio dei diritti dell’Interessato;

- è vincolato da obbligo di riservatezza con riferimento a tutti i dati trattati per conto del Cliente, come anche gli incaricati del trattamento designati, che vengono istruiti in merito agli obblighi particolari relativi alla protezione dei dati derivanti dal presente mandato, nonché al vincolo sussistente alle disposizioni e alla finalità. Il Responsabile vigila sull’osservanza delle istruzioni e degli obblighi imposti.


5. OBBLIGHI DEL CLIENTE

Il Cliente:

- si impegna a utilizzare i Servizi in modo conforme alla legislazione in materia di protezione dei dati personali e solo per trattare dati personali raccolti in conformità alla legislazione in materia di protezione dei dati personali;

- comunica i dati personali per permettere l’esecuzione della prestazione del Servizio da parte del Responsabile; a tal fine, garantisce l’esistenza di una idonea base giuridica per il trattamento dei dati e per la loro trasmissione al Responsabile;

- si impegna a impartire per iscritto istruzioni conformi alla normativa per il trattamento dei dati, e qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati. Il Cliente resta l'unico responsabile per le informazioni trattate e le istruzioni comunicate;

- riconosce e accetta che è di sua responsabilità esclusiva l'adozione di adeguate misure di sicurezza in relazione alla fruizione dei Servizi da parte del proprio personale e di coloro che sono autorizzati ad accedere a detti Servizi.

- valuta la sussistenza di un obbligo di comunicazione agli Interessati o alle Autorità di controllo di una violazione dei dati (data breach) occorsa nell’uso da parte sua dei Servizi, e la relativa notifica;

- valuta se il suo trattamento comporta un elevato rischio per i diritti o la libertà di persone fisiche, se si tratta di decisione automatizzate con conseguenze legali sugli interessati, monitoraggio sistematico, trattamento di dati a trattamento speciale (ex art. 9 GDPR), e quindi se si rende necessaria una valutazione di impatto del trattamento (DPIA). L’eventuale DPIA dovrà essere portata a conoscenza del Responsabile;

- valutare l’opportunità della nomina di un Responsabile della protezione dei dati (Data Protection Officer - DPO),  e ne comunica i riferimenti di contatto al Responsabile.


6. NATURA E SCOPO DEL TRATTAMENTO

Il trattamento dei dati per conto del Cliente avviene solo in relazione alla fornitura del Servizio così come descritto nelle CGS e nelle CSS, e per le seguenti finalità:

- fornitura del Servizio richiesto dal Cliente in base al Contratto;

- verifica del funzionamento corretto del Servizio;

- verifica di sicurezza del Servizio e dei dati stessi;

- attività di assistenza e supporto al Cliente;

- attività di manutenzione dei sistemi informatici utilizzati dal Cliente.


7. INTERESSATI E CATEGORIE DI DATI

I dati personali oggetto del trattamento tramite il Servizio erogato da NetRelay potranno riferirsi alle categorie di Interessati seguenti, non determinabili a priori da NetRelay e controllate a discrezione del Cliente:

- Cliente e suoi dipendenti e/o collaboratori;

- Fornitori e Clienti del Cliente;

- Altri soggetti i cui dati sono trattati dal Cliente in qualità di Titolare del trattamento.

Ai fini della prestazione dei servizi attivati dal Cliente, NetRelay potrà trattare i dati personali, non determinabili a priori, forniti, archiviati, trasmessi, o creati dal Cliente, appartenenti alle categorie dei dati personali comuni, particolari o relativi a condanne o reati.


8. DURATA DEL TRATTAMENTO, RESTITUZIONE E CANCELLAZIONE DEI DATI

8.1 Il trattamento dei dati personali del Cliente sarà limitato alla durata del Contratto col Cliente, o comunque fino al verificarsi di una delle condizioni di interruzione, sospensione o cessazione del Contratto così come previsto dalle CGS.

8.2 Il Responsabile si impegna, in seguito a scadenza o interruzione anticipata del Contratto, o in seguito a richiesta scritta del Titolare inviata con idoneo preavviso, a restituire o distruggere i dati personali del Cliente, salvo che sussistano specifici obblighi di conservazione previsti dalla legge.

8.3 La richiesta di restituzione dei dati personali del Cliente sarà adempiuta per quanto possibile, considerando i mezzi tecnici e organizzativi a disposizione, nonché la natura e quantità di dati personali trattati.


9. LUOGO DEL TRATTAMENTO E TRASFERIMENTO DEI DATI

9.1 I dati sono trattati presso la sede del Responsabile e presso i datacenter localizzati nello Spazio Economico Europeo. Il trasferimento di dati personali al di fuori del SEE, qualora sia richiesto dal Cliente anche tramite le impostazioni del Servizio, è ammesso a condizione che il paese di destinazione garantisca un livello di protezione adeguato oppure esistano specifiche Decisioni di Adeguatezza emanate dalla Commissione europea o Clausole Contrattuali Tipo utilizzate dal Cliente.

9.2 Qualora un servizio acquistato dal Cliente implichi un trasferimento di dati al di fuori del SEE, e ciò comporta l’adozione di apposita clausola o DPA con il servizio in questione, il Cliente autorizza espressamente il Responsabile alla sottoscrizione per suo conto di tali clausole.


10. SUB-RESPONSABILI DEL TRATTAMENTO

10.1 Il Cliente è consapevole e autorizza il Responsabile, in considerazione della complessità delle operazioni tecniche relative ai trattamenti strettamente connessi alla prestazione del servizio, ad affidare l’esecuzione di operazioni di trattamento a soggetti terzi che per esperienza, capacità e affidabilità forniscano idonea garanzia del pieno rispetto della normativa vigente in materia di protezione dei dati.

10.2 Il Responsabile, quindi, è autorizzato a far ricorso a ulteriori Responsabili del trattamento (“Sub-responsabili”), i quali saranno comunque vincolati alle istruzioni di cui al presente Accordo. 

10.3 NetRelay rimane comunque responsabile nei confronti del Cliente per le prestazioni del Sub-responsabile designato.

Se l’ulteriore Responsabile del trattamento non adempisse alle proprie obbligazioni in materia di protezione dei dati, NetRelay sarebbe interamente responsabile nei confronti del Cliente del trattamento da parte dell’altro Responsabile nell’esecuzione dei suoi obblighi.

10.4 Previa richiesta del Titolare, il Responsabile potrà fornire l’elenco dei Sub-Responsabili designati.


11. DIRITTI DELL’INTERESSATO

11.1 Il Responsabile si impegna a supportare il Cliente e ad agevolarlo nell’attività di riscontro alle richieste di esercizio dei diritti dell’interessato, fornendogli collaborazione e ogni informazione utile, anche finalizzata a permettere al Cliente di dimostrare di aver adempiuto ai propri obblighi ai sensi delle disposizioni di legge applicabili.

11.2 Qualora le persone interessate esercitino tale diritto presso il Responsabile del trattamento presentandogli la relativa richiesta, il Responsabile del trattamento inoltrerà tempestivamente tali richieste al Cliente.


12. MISURE DI SICUREZZA DEL RESPONSABILE

12.1 Il Responsabile adotta misure ritenute idonee al fine di ridurre al minimo i rischi di distruzione, perdita anche accidentale, accesso non autorizzato o comunque trattamento non consentito dei dati, tenendo conto dello stato dell’arte, dell’importanza dei dati trattati e dei costi relativi. Tuttavia, non può garantire che tali misure siano efficaci in ogni circostanza. Le misure tecniche e organizzative sono soggette al progresso tecnico e all'ulteriore sviluppo. 

A tal fine, adotta procedure e sistemi di disaster recovery e business continuity, diversi in base al Servizio, il cui dettaglio è disponile per il Cliente previa richiesta; tali misure possono essere sottoposte ad aggiornamento e modifiche, secondo l’evolversi delle conoscenze e delle tecnologie del settore, ma il Responsabile si impegna a mantenere la sua capacità di fronteggiare un disaster recovery ad un livello non inferiore a quello in essere al momento della sottoscrizione del presente Accordo.

12.2 Il Responsabile, in attuazione del principio della protezione dei dati fin dalla progettazione del sistema e del principio di protezione per impostazione predefinita (privacy by design e by default, ai sensi dell’art. 25 del GDPR) verifica periodicamente l’adeguatezza delle misure di sicurezza adottate, valutando eventuali modifiche delle stesse.

Inoltre, il Responsabile si impegna a garantire che la trasmissione dei dati personali attraverso Internet avvenga applicando idonei meccanismi di cifratura; le Parti, tuttavia, accettano e sono consapevoli che la sicurezza di tali trasmissioni attraverso Internet non può essere completamente assicurata, e che potrebbero verificarsi intercettazioni, intrusioni o interruzioni tali da modificare o causare perdite di dati personali.

Una descrizione delle misure di sicurezza adottate da NetRelay può essere fornita al Cliente previa richiesta.


13. MISURE DI SICUREZZA DEL CLIENTE

13.1 Il Cliente è consapevole e accetta che, nella fruizione dei servizi acquistati, rimane sua responsabilità esclusiva adottare adeguate misure di sicurezza in modo da garantire un adeguato livello di protezione in relazione al proprio trattamento dei dati personali, nel rispetto della normativa sulla privacy e delle condizioni generali di fornitura.

13.2 Le misure di sicurezza adottate dovranno essere adeguate al rischio effettivo, e comprendere misure idonee per proteggere le credenziali di autenticazione, i sistemi e i dispositivi utilizzati dal Cliente, e per effettuare i salvataggi e backup dei datati personali necessari a garantirne il ripristino nel rispetto delle norme di legge.

13.3 Resta esclusa qualsiasi responsabilità in capo a NetRelay circa la protezione dei dati personali che il Cliente conserva o trasferisce al di fuori dei sistemi utilizzati da NetRelay per l’erogazione del servizio.

In ogni caso, il Cliente terrà prontamente informata NetRelay nel caso sospetti o constati violazioni di sicurezza dei servizi acquistati, fornendo idonea documentazione al riguardo.


14. DATA BREACH (VIOLAZIONE DEI DATI PERSONALI)

14.1 Qualora NetRelay venga a conoscenza di un evento che stia dando luogo o possa aver dato luogo ad una violazione dei dati personali di cui al presente accordo:

- informerà il Cliente il prima possibile, fornendo se possibile una descrizione della violazione, l’indicazione delle misure adottate per mitigare i rischi e gli effetti della violazione, le raccomandazioni sulla gestione dell’evento;

- adotterà misure ragionevoli per limitare i possibili danni e salvaguardare la sicurezza dei dati personali;

- manterrà il più stretto riserbo sulle informazioni, sui documenti, sulle procedure attinenti alle violazioni di sicurezza, comunicandoli solo se strettamente necessario all’assolvimento di obblighi del Cliente previsti dalla legislazione vigente in materia di protezione dei dati personali.

14.2 Tali comunicazioni rese al Cliente non devono tuttavia intendersi quale riconoscimento di un inadempimento o assunzione di responsabilità in capo a NetRelay in merito alla violazione dei dati personali.

14.3 Resta inteso che spetta al Cliente adempiere agli obblighi di notifica all’autorità di Controllo e di comunicazione gli interessati, ai sensi degli artt. 33 e 34 del GDPR.


15. MODIFICHE DELL’ACCORDO

Il presente Accordo può essere modificato e adattato, in particolare in caso di modifiche della legislazione in materia di protezione dei dati personali, o di provvedimenti delle Autorità di controllo. Il Cliente dovrà fornire piena collaborazione alla modifica del presente Accordo.


16. DISPOSIZIONI FINALI

Il presente Accordo sostituisce qualsiasi altro accordo, contratto o istruzioni antecedente tra le Parti relativo alla gestione dei dati personali trattati nell’ambito dell’esecuzione del Contratto.


ALLEGATO 1

Misure tecniche e organizzative di sicurezza adottate da NetRelay.