Ultimo aggiornamento del 01/04/2024
Tra
“EGG finance” è EGG finance S.p.A. - sede legale Via Copernico 38 - 20125 Milano - Capitale Sociale 250.000,00 € i.v. (di seguito, Responsabile del trattamento o Fornitore)
E
“Cliente” ovvero il Cliente indicato nelle Condizioni di Fornitura, Titolare del Trattamento.
Il contratto per dell’applicativo EGG finance, comporta il trattamento da parte di EGG finance S.p.A. (di seguito, EGG finance o Responsabile) di determinati dati personali di interessati persone fisiche per conto dell’utilizzatore, il quale è Titolare del trattamento, così come definito dall’art. 4 par. 7 del Reg. UE 2016/679;
Il presente Data Processing Agreement (nel proseguo, DPA) descrive i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato per conto del Cliente da parte del Responsabile del trattamento sia conforme ai requisiti imposti dalla normativa sulla protezione dei dati personali ad oggi in vigore, nazionale e/o comunitaria;
I trattamenti effettuati, la natura e la finalità del trattamento, la tipologia di dati personali e le categorie di soggetti interessati oggetto del presente DPA sono:
Prestazione dei Servizi da parte del Fornitore al Cliente, assistenza, consulenza e sviluppo.
Cloud SaaS (Software as a Service) e Cloud PaaS (Platform as a Service)
Ai fini della prestazione dei Servizi previsti, il Fornitore potrà trattare, in qualità di Responsabile le seguenti categorie di Dati Personali di terze parti forniti, archiviati, trasmessi, o prodotti dal Cliente (intendendosi per tale anche utenti autorizzati ad utilizzare i Servizi), o dai soggetti in favore dei quali i Servizi sono erogati nel contesto della fruizione del Prodotto:
• Dati identificativi e di contatto;
• Dati finanziari, commerciali e reddituali;
• Dati di log e relativi all’attività di assistenza;
• Dati raccolti da tecnologie traccianti e dispositivi ove non disabilitate dal Cliente;
• Ulteriori categorie di dati creati dal cliente all’interno della piattaforma;
Il Servizio non prevede di regola il trattamento di particolari categorie di dati o di dati giudiziari.
Nella prestazione dei Servizi, il Fornitore potrà trattare Dati Personali forniti, trasmessi, archiviati, o creati dal Cliente, o dall'Utente Finale, relativi alle seguenti categorie di Interessati:
Utenti che accedono alla piattaforma, siano essi dipendenti, collaboratori o clienti
Clienti, potenziali clienti o destinatari delle comunicazioni del Cliente
Il Fornitore tratta i Dati Personali forniti, archiviati, trasmessi, o creati dal Cliente, o dall'Utente Finale nel contesto della fruizione dei Servizio derivanti da operazioni di assistenza, manutenzione, sviluppo e gestione ai fini della prestazione dei Servizi richiesti dal Cliente e identificati nelle Condizioni Generali o Condizioni di Fornitura.
Le premesse costituiscono parte integrante del presente DPA.
Tutto ciò premesso e considerato, il Cliente designa il Fornitore, ai sensi e per gli effetti dell’art. 28 Reg. UE 2016/679 (di seguito, GDPR), quale Responsabile del Trattamento per tutta la durata di cui al Contratto, secondo quanto ragionevolmente necessario per la prestazione dei servizi ed in conformità agli obblighi imposti dal presente DPA.
Mediante la sottoscrizione del presente DPA, il Responsabile del trattamento si impegna a compiere le attività di trattamento dei dati in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative in materia di trattamento dei dati personali, nonché delle seguenti e specifiche istruzioni:
1.1 Il Responsabile del trattamento si impegna a rispettare ogni normativa o regolamento applicabili in materia di protezione dei dati personali ed in merito alle informazioni oggetto di trattamento non deve compiere operazioni di trattamento ulteriori e/o diverse da quelle necessarie per l’esecuzione del Contratto, a meno che tale ulteriore attività di trattamento sia richiesta da una legge tempo per tempo vigente a cui sia soggetto il Responsabile del trattamento.
1.2 Il Cliente autorizza il Responsabile a trattare i dati personali secondo quanto ragionevolmente necessario per l’esecuzione del Contratto nonché in conformità con i termini e le condizioni del presente DPA.
1.3 L’oggetto delle attività di trattamento dei dati personali è la prestazione dei servizi previsti dal Contratto. La descrizione dei trattamenti, comprese le informazioni riguardanti la durata, la natura e la finalità del trattamento, i tipi di dati personali e le categorie delle persone interessate dal trattamento sono disciplinate nelle premesse al presente DPA, quali parti integranti e sostanziali dello stesso.
1.4 Il Responsabile si impegna a mantenere un registro delle attività di trattamento, così come previsto dall’art. 30, par. 2 del GDPR, nel quale siano indicate le caratteristiche dei trattamenti che esegue per conto del Cliente.
2.1 II Responsabile del trattamento garantisce che il personale coinvolto nel trattamento dei dati personali sia stato preventivamente informato della natura confidenziale delle informazioni trattate, abbia ricevuto un'adeguata istruzione in merito alle proprie responsabilità e abbia sottoscritto uno specifico obbligo legale vincolante finalizzato a tutelare la riservatezza dei dati personali trattati.
2.2 Il Responsabile del trattamento garantisce che l’accesso ai dati personali sia limitato al personale preventivamente autorizzato per il perseguimento delle finalità previste dal Contratto e dal presente DPA.
3.1 Il Responsabile s’impegna a non effettuare alcun trasferimento di Dati Personali al di fuori del territorio dello SEE se non previa autorizzazione scritta del Titolare e su istruzione documentata e specifica di quest'ultimo.
4.1 Il Responsabile garantisce la sicurezza del trattamento ai sensi degli artt. 28 par. 3 punto c) e 32 RGPD, in particolare ai sensi dell'art. 5 par. 1 e par. 2 RGPD. Tali misure devono garantire la sicurezza dei dati ed un livello di protezione adeguato al rischio per la confidenzialità, integrità, disponibilità e resilienza dei sistemi. Ai sensi dell'art. 32 par. 1 RGPD, nel valutare il livello di adeguatezza delle misure di sicurezza deve tenersi conto dello stato dell'arte, i costi di realizzazione, la natura, l'oggetto e gli scopi del trattamento, così come la probabilità di una violazione di dati personali e la gravità dei rischi da essa potenzialmente derivanti per i diritti e le libertà delle persone fisiche.
4.2 Le misure tecniche ed organizzative sono soggette a evoluzione e progresso tecnico e tecnologico. Pertanto, il Responsabile può adottare opportune misure alterative adeguate al mutato contesto tecnologico. In tali casi, il livello di sicurezza del trattamento non può essere ridotto. Ogni modifica sostanziale dev'essere documentata.
5.1 Il Responsabile si impegna a cooperare con il Titolare ed a fornire la più ampia assistenza, nei limiti in cui ciò è ragionevole o possibile, al fine di agevolare il Titolare nel riscontro delle richieste degli interessati per l'esercizio dei loro diritti.
5.2 In particolare, il Responsabile s'impegna a (i) comunicare immediatamente al Titolare ciascuna richiesta pervenutagli dagli interessati in merito all'esercizio dei loro diritti e, se fattibile o del caso, ad (ii) assistere il Titolare nel progettare e implementare tutte le misure tecniche ed organizzative necessarie per rispondere a tali richieste.
5.3 Fermo restando che la responsabilità di riscontrare e soddisfare le richieste degli interessati grava esclusivamente sul Titolare, il Responsabile del trattamento fornirà una ragionevole assistenza al Cliente nell’evadere le richieste.
6.1 Il Titolare autorizza fin d’ora il Responsabile a ricorrere a terzi responsabili del trattamento. I sub-responsabili come richiesto dalla normativa, dovranno essere soggetti ai medesimi obblighi contrattuali contenuti nel presente contratto ai sensi dell'art. 28 par. 4 RGPD.
6.2 L’elenco dei sub-responsabili sono indicati nel documento GDPR https://www.eggfinance.it/gdpr.html
6.3 Il Responsabile del trattamento è tenuto ad ad informare il Cliente in caso di aggiunta o sostituzione di qualsiasi ulteriore Responsabile del trattamento.
6.4 Prima di consentire l'accesso da parte dell’ulteriore Responsabile ai dati personali, il Responsabile del trattamento dovrà garantire che tale altro Responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi obblighi in materia di protezione dei dati indicati nel presente DPA.
7.1 Il Titolare ha il diritto di svolgere ispezioni o farle svolgere ad un revisore di volta in volta incaricato. Il revisore dovrà valutare il rispetto di questo contratto di nomina da parte del Responsabile nel corso delle proprie attività d'impresa per mezzo di verifiche causali, le quali dovranno di regola essere notificate in anticipo.
7.2 Il Responsabile deve permettere al Titolare di verificare l'adempimento alle proprie obbligazioni, come previsto dall'art. 28 RGPD. Su richiesta, il Responsabile fornisce al Titolare ogni informazione necessaria nonché, segnatamente, la prova di aver adottato le misure tecniche ed organizzative.
7.3 La prova dell'adozione di tali misure, che potranno riferirsi anche ad attività non rientranti nell'ambito di questo contratto, potrà essere fornita anche per mezzo di:
• conformità a codici di condotta approvati ai sensi dell'art. 40 RGPD;
• certificazioni emesse in base ad un meccanismo di certificazione approvato ai sensi dell'art. 42 RGPD;
• attuali certificazioni di revisori, relazioni o estratti di relazioni redatte da organismi indipendenti (p. es. revisori, responsabili della protezione dei dati personali, dipartimento della sicurezza IT, revisori della protezione dei dati)
• idonee certificazioni emesse da revisori della sicurezza IT o della protezione dei dati personali
7.4 Il Responsabile può addebitare al Titolare un compenso di entità ragionevole per l'esecuzione delle ispezioni.
8.1 Il Responsabile assiste il Titolare nell'adempimento degli obblighi relativi alla sicurezza dei dati personali, nella segnalazione di violazioni dei dati, nelle valutazioni d'impatto sulla protezione dei dati e nelle consultazioni preventive di cui agli articoli da 32 a 36 RGPD, tra l'altro:
• garantendo adeguati standard di protezione mediante misure tecniche e organizzative, tenendo conto della natura, delle circostanze e delle finalità del trattamento, della probabilità di violazioni dei dati e della gravità del rischio per le persone fisiche che ne può derivare
• garantendo l'immediata individuazione delle violazioni
• riferendo senza indebito ritardo al Titolare ogni violazioni di dati
• assistendo il Titolare nell'evadere le richieste degli interessati di esercizio dei loro diritti
8.2 Il Responsabile può richiedere al Titolare un compenso ragionevole per servizi di assistenza che non sono compresi nella descrizione dei servizi e che non sono dovuti a errori, violazioni o condotte imputabili al Responsabile.
9.1 Il Responsabile del trattamento deve comunicare al Cliente, senza ingiustificati ritardi e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza con certezza, l’incidente riguardante la sicurezza o la violazione delle misure di sicurezza che abbiano condotto a un utilizzo non autorizzato, distruzione, perdita, divulgazione, accidentale o illecita, alterazione, accesso illegittimo dei dati personali oggetto di trattamento ovvero qualsiasi altra violazione di sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati.
9.2 Nella propria comunicazione, il Responsabile del trattamento deve indicare ogni informazione utile per consentire al Cliente di adempiere ai propri obblighi di notifica alla competente Autorità Garante o di informazione degli interessati coinvolti nel Data Breach.
9.3 Nei casi di cui al precedente punto 6.2, il Responsabile assiste il Cliente avviando un’analisi finalizzata alla raccolta delle seguenti informazioni:
Data evento, anche la data presunta di avvenuta violazione (in tal caso va specificato)
Data e ora in cui si è avuto conoscenza della violazione;
Fonte segnalazione;
Tipologia violazione e di informazioni coinvolte;
Descrizione evento anomalo;
Numero interessati coinvolti;
Numerosità di dati personali di cui si presume una violazione;
Indicazione del luogo in cui è avvenuta la violazione dei dati, specificando altresì se essa sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili;
Descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione;
Descrizione delle misure di sicurezza tecniche e organizzative adottate per garantire la sicurezza dei dati, dei sistemi e delle infrastrutture IT coinvolti nell’evento.
10.1 Il Responsabile non crea copie o duplicati dei dati ad insaputa e senza il consenso del Titolare, fatta eccezione per le copie di sicurezza, nella misura in cui siano necessarie a garantire la corretta elaborazione dei dati, nonché per i dati la cui conservazione è prevista dalla legge.
10.2 A conclusione della prestazione di servizi, a scelta del Titolare, il Responsabile cancella in maniera conforme alla protezione dei dati tutti i dati personali raccolti ed elaborati ai sensi della presente nomina, a meno che le disposizioni di legge applicabili non richiedano un'ulteriore conservazione dei dati personali.
10.3 In ogni caso, il Responsabile può conservare tutte le informazioni utili a dimostrare la corretta e conforme esecuzione delle attività di trattamento anche oltre la cessazione del contratto.
10.4 La documentazione di cui al punto (10.33) che precede, deve comunque essere conservata dal Responsabile in ottemperanza ai periodi di conservazione previsti dalla legge o altrimenti stabiliti. Il Responsabile può consegnare tale documentazione al Titolare al termine della durata del contratto per sollevarsi dall'obbligo contrattuale di conservazione.
10.5 Dal momento che la piattaforma oggetto del Servizio consente un esportazione massiva dei dati, è compito del Titolare provvedere in anticipo all'esportazione dei dati prima della cancellazione effettiva.
11.1 Il presente DPA avrà efficacia a partire dalla data di sottoscrizione e avrà validità, compresi eventuali rinnovi, fino alla cessazione di ogni effetto del Contratto, per qualsiasi causa intervenuta.
12.1 Il Responsabile del trattamento si impegna a prestare una ragionevole assistenza al Cliente nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva con l’Autorità di Controllo.
13.1 Ciascuna parte del presente contratto si impegna a risarcire l'altra parte per danni o spese derivanti dal proprio inadempimento colposo del presente contratto, compreso qualsiasi inadempimento colposo commesso dal proprio rappresentante legale, sub-contraenti, dipendenti o altri agenti. Inoltre, ciascuna parte si impegna a tenere indenne l'altra parte da qualsiasi pretesa fatta valere da terzi a causa di o in relazione a qualsiasi violazione colposa commessa dall'altra parte.
13.2 Resta ferma la previsione dell'art. 82 RGPD.
14.1 Il Cliente garantisce al Responsabile che i dati oggetto del trattamento:
sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
i dati personali e/o le categorie particolari di dati personali, oggetto delle operazioni di trattamento affidate al Responsabile, sono raccolti e trasmessi nel rispetto della normativa applicabile. Resta inteso che rimane a carico del Cliente individuare la base giuridica del trattamento dei dati personali degli interessati.
15.1 Per quanto non espressamente previsto, si rinvia alle disposizioni vigenti in materia di protezione di dati personali.
15.2 Le Parti si danno reciprocamente atto che il presente contratto è stato concordato in ogni sua parte, pertanto non trovano applicazione gli articoli 1341 e 1342 c.c.
16.1 L’indirizzo di contatto del Responsabile della Protezione dei Dati personali del Responsabile è: dpo@eggfinance.it