L’allegato relativo al Trattamento dei Dati (di seguito “DPA”) è parte integrante delle Condizioni generali d’uso (di seguito “CGU”) concluse tra Noycom di Fabio Andrea Petrini (di seguito “Noycom”) e qualsiasi persona fisica o morale di diritto pubblico o privato che abbia un account cliente presso Noycom (di seguito “Cliente”).
Lo scopo del presente accordo concluso tra Noycom e il Cliente, ai sensi all’articolo 28 del Regolamento (UE) 2016/679 del Parlamento e del Consiglio europeo del 27 aprile 2016 relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati (“Regolamento generale sulla protezione dei dati” di seguito “RGPD”) è definire le condizioni in cui Noycom ha il diritto, in qualità di responsabile del trattamento e nell’ambito dei servizi definiti nel contratto, di trattare, su istruzioni del Cliente, i dati personali così come definiti nell’RGPD.
Il trattamento dei dati personali da parte di Noycom in qualità di titolare del trattamento non rientra nell’ambito del presente contratto.

1. Trattamento

La natura delle operazioni condotte da Noycom relative ai dati di carattere personale può, ad esempio, essere il calcolo di dati, la memorizzazione e/o qualsiasi altro servizio corrispondente ai servizi offerti da Noycom.
Il Cliente nomina Noycom responsabile del trattamento dei suoi dati di carattere personale. In qualità di responsabile del trattamento che agisce su istruzioni del Cliente, Noycom è autorizzata a trattare i dati di carattere personale del titolare del trattamento nella misura necessaria alla fornitura dei servizi.
Il tipo di dati di carattere personale e le categorie di persone interessate sono determinate e controllate dal Cliente, a sua esclusiva discrezione.
La durata del trattamento corrisponde alla durata del servizio. La finalità e l’oggetto del trattamento sono la fornitura del servizio così come descritto nelle nostre condizioni generali e particolari.
Il Cliente è l’unico responsabile della legittimità del trattamento dei dati personali. Egli non utilizzerà i servizi in combinazione con dati di carattere personale se tale uso viola le Leggi applicabili in materia di protezione dei dati.
Il Cliente deve assicurarsi che i servizi scelti abbiano le caratteristiche e le condizioni necessarie per essere conformi alle attività e agli obiettivi del trattamento del titolare. Egli deve assicurarsi anche del tipo di dati di carattere personale da trattare nell’ambito dei servizi, compresi, a titolo esemplificativo, i casi in cui i servizi sono utilizzati per trattare i dati di carattere personale soggetti a regolamenti o norme specifiche (ad esempio, relativi alla legislazione di un paese, ai regolamenti dei dati relativi ai dati sanitari o al regolamento sui dati bancari).
Se il trattamento effettuato dal titolare del trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche, il Cliente deve scegliere con cura i propri servizi.
Nel caso in cui agisca in qualità di responsabile del trattamento per conto di un terzo titolare del trattamento, il Cliente deve impegnarsi a:
  • assicurarsi che tutte le autorizzazioni necessarie per la conclusione del presente DPA, compresa la nomina di Noycom come responsabile del trattamento, siano state ottenute dal titolare del trattamento prima di fornire i suoi dati di carattere personale;
  • stipulare un contratto in conformità con i termini e le condizioni che includono il presente DPA, con il Titolare del trattamento ai sensi dell’articolo 28 dell’RGPD.

2. Conformità al regolamento vigente

Ciascuna parte rispetta il regolamento vigente in materia di protezione dei dati, compreso il Regolamento generale sulla protezione dei dati (RGPD).

3. Obblighi di Noycom

Noycom si impegna a creare le seguenti misure organizzative di sicurezza tecnica:
a) Non trasferire mai i dati all’esterno delle proprie infrastrutture o all’esterno di quelle dei propri partner con cui eroga i servizi.
b) Creare standard di sicurezza elevati e mantenere processi di miglioramento continuo per fornire un elevato livello di sicurezza.
c) Mantenere e sviluppare le misure di sicurezza fisica per impedire l’accesso alle infrastrutture su cui sono memorizzati i suoi dati da parte di persone non autorizzate. Assicurarsi che i propri partner abbiano un’elevata capacità di gestione della sicurezza.
d) Proteggere l’accesso alle funzioni di amministrazione attraverso i processi di autenticazione degli utenti e degli amministratori.
e) Implementare un sistema di gestione degli accessi per le operazioni di supporto e manutenzione che operi secondo i principi del minimo privilegio e della necessità di conoscenza.
Noycom si impegna inoltre a:
a) Trattare i dati di carattere personale scaricati, memorizzati e utilizzati dal Cliente solo per la fornitura dei servizi così come definiti nel Contratto.
b) Non accedere o utilizzare i dati di carattere personale per scopi diversi da quelli necessari per l’esecuzione dei servizi (in particolare nel contesto della gestione degli incidenti).
c) Creare misure tecniche e organizzative, per garantire la sicurezza dei dati di carattere personale nell’ambito di questi servizi.
d) Assicurarsi che i dipendenti o collaboratori di Noycom, autorizzati al trattamento dei dati di carattere personale nell’ambito del Contratto, siano soggetti all’obbligo di riservatezza e ricevano un’adeguata formazione in materia di protezione dei dati personali.
e) Informare il Cliente se, a suo parere e alla luce delle informazioni di cui dispone Noycom, constata che una delle istruzioni del Cliente viola le disposizioni della RGPD o altre disposizioni dell’Unione europea o di uno Stato membro dell’Unione europea in materia di protezione dei dati personali.
f) Nel caso di domande ricevute da un’autorità competente e relative ai dati di carattere personale trattati ai sensi del presente contratto, a informare il Cliente (a meno che le leggi vigenti o la decisione di un’autorità competente lo vietino) e a limitare la comunicazione dei dati a quanto espressamente richiesto dall’autorità.

4. Violazione dei dati personali

Noycom si impegna a notificare al Cliente qualsiasi violazione dei dati personali nell’ambito dei servizi il prima possibile dopo esserne venuta a conoscenza. Noycom si impegna a indagare rapidamente su tale violazione dei dati personali del Cliente se è stata individuata nella sua infrastruttura o in un’area di cui è responsabile e ad assistere il Cliente come indicato nell’articolo 5.

5. Assistenza

Noycom si impegna ad assistere il Cliente, nella misura del possibile, con misure tecniche e organizzative, affinché egli adempia ai propri obblighi nei confronti dei diritti degli interessati e si assicuri di rispettare la sicurezza del trattamento, l’obbligo di notifica di una violazione dei dati personali e l’obbligo di realizzare una valutazione d’impatto sulla protezione dei dati, tenendo conto delle informazioni a disposizione di Noycom.
Il Cliente invierà una richiesta scritta per l’assistenza menzionata nel presente DPA. Noycom addebiterà al Cliente un prezzo ragionevole per tale assistenza o per le Istruzioni Aggiuntive; tale prezzo dovrà essere o un preventivo approvato dalle parti o elaborato nell’ambito della procedura di gestione delle modifiche definita nel Contratto.

6. Responsabili supplementari del trattamento

Il Cliente autorizza Noycom a rivolgersi a responsabili del trattamento per trattare i suoi dati di carattere personale (“responsabili supplementari del trattamento”). I responsabili supplementari del trattamento possono essere assunti solo in relazione alla prestazione dei servizi, se figurano nelle condizioni particolari dei servizi interessati.
Nel caso di modifica o aggiunta di un responsabile esterno del trattamento, Noycom informerà il Cliente prima di qualsiasi modifica. Il Cliente dispone di un termine di 30 giorni a partire da tali informazioni per opporsi a tali modifiche che lo porrebbero in una situazione di violazione dei suoi obblighi legali applicabili. L’obiezione del Cliente deve essere formulata per iscritto e deve comprendere i motivi specifici e le alternative proposte, se necessario. Se il Cliente non formula alcuna obiezione entro tale termine, il responsabile supplementare del trattamento in questione può essere incaricato di trattare i dati di carattere personale dello stesso.
Noycom garantisce che il responsabile supplementare del trattamento sia, almeno, in grado di adempiere agli obblighi imposti a Noycom nel presente DPA relativo al trattamento dei dati personali. A tal fine, Noycom conclude un accordo con il responsabile supplementare del trattamento. Noycom è completamente responsabile nei confronti del Cliente per l’adempimento di qualsiasi obbligo che il responsabile supplementare del trattamento non adempie.

7. Obblighi del Cliente e del titolare del trattamento

Il Cliente deve fornire istruzioni aggiuntive richieste dalla legge. Se Noycom pensa che un’istruzione aggiuntiva possa violare l’RGPD o altri regolamenti applicabili relativi alla protezione dei dati, informerà il Cliente nel più breve tempo possibile e potrà sospendere la fornitura del servizio fino a quando il Cliente non avrà modificato l’istruzione aggiuntiva o confermato per iscritto la sua legalità. Se Noycom informa il Cliente che non è possibile implementare un’istruzione supplementare, o se il Cliente notifica a Noycom di non accettare la proposta di prezzo per l’istruzione supplementare, il Cliente può terminare il servizio in questione fornendo a Noycom un avviso scritto entro un mese dalla ricezione dell’avviso. Se necessario, Noycom rimborserà i corrispettivi anticipati per il periodo successivo alla data di cessazione dei servizi. Il Cliente resta l’unico titolare del trattamento delle informazioni e istruzioni comunicate a Noycom.

8. Restituzione o eliminazione dei dati di carattere personale del Cliente

Alla fine del servizio (in particolare nel caso di mancato rinnovo o risoluzione), Noycom si impegna a eliminare ai termini e alle condizioni del presente Contratto, qualsiasi contenuto (incluse informazioni, dati, archivi, sistemi, applicazioni, siti Web e altro) riprodotto, memorizzato, allocato o diversamente utilizzato dal Cliente nell’ambito dei servizi, a meno che non sia richiesto da un’autorità giuridica o giudiziaria competente o se altrimenti disposto dalla legislazione applicabile dell’Unione europea o di uno Stato membro dell’Unione europea. Il Cliente è l’unico ad avere la responsabilità di assicurarsi che le operazioni necessarie (come il backup, il trasferimento a terzi, gli snapshot, ecc.) alla conservazione dei dati di carattere personale siano effettuate, in particolare prima della risoluzione o della scadenza dei servizi, e prima di effettuare qualsiasi operazione di eliminazione, aggiornamento o reinstallazione dei servizi.
A questo proposito, il Cliente è informato che la risoluzione e la scadenza di un servizio per qualsiasi motivo (ad esempio il mancato rinnovo), così come alcune operazioni di aggiornamento, possono comportare automaticamente l’eliminazione irreversibile di qualsiasi contenuto (comprese le informazioni, dati, archivi, sistemi, applicazioni, siti web e altri elementi) che viene riprodotto, memorizzato, allocato o altrimenti utilizzato dal Cliente in relazione ai Servizi, compresi eventuali backup.

9. Responsabilità

Noycom può essere ritenuta responsabile solo dei danni causati da un trattamento per il quale (i) non ha rispettato gli obblighi dell’RGPD relativi nello specifico ai responsabili del trattamento dei dati o per il quale (ii) ha agito in contrasto con le istruzioni scritte legali del Cliente. In tal caso, si applica la disposizione del Contratto relativa alla responsabilità.
Quando Noycom e il Cliente sono coinvolti in un trattamento nell’ambito del presente Contratto che ha causato un danno all’interessato, il Cliente dovrà inizialmente pagare l’intero risarcimento (o qualsiasi altro indennizzo) dovuto alla persona interessata e successivamente chiedere a Noycom la parte di risarcimento della persona interessata corrispondente alla parte di responsabilità di Noycom nel danno, a condizione tuttavia che si applichino le clausole di limitazione della responsabilità previste dal Contratto.

10. Attività di revisione

Noycom ha il diritto di rispondere alle richieste dell’autorità di controllo competente a condizione che la comunicazione delle informazioni sia strettamente limitata a quanto richiesto dalla suddetta autorità di controllo. In tal caso, e a meno che non sia vietato dalla legge, Noycom deve innanzitutto consultare il Cliente in merito alla comunicazione richiesta.
Noycom fornisce al Cliente tutte le informazioni necessarie per consentire a lui o ad altri revisori di realizzare le attività di revisione per dimostrare la conformità ai requisiti dell’RGPD.
Queste informazioni sono disponibili nella documentazione standard sul sito Web di Noycom. Possono essere comunicate al Cliente informazioni supplementari su richiesta fatta al team di supporto di Noycom. Se un servizio viene approvato e rispetta un codice di condotta specifico o è soggetto a certificazioni o procedure di controllo specifiche, Noycom mette a disposizione, su richiesta scritta del Cliente, i certificati di controllo e le relazioni corrispondenti.
Se le informazioni, la relazione e il certificato di cui sopra non sono sufficienti a consentire al Cliente di dimostrare che gli obblighi previsti dal DGPS sono stati rispettati, Noycom e il Cliente si incontreranno per concordare le condizioni operative, di sicurezza e finanziarie per un’ispezione tecnica in loco. In ogni caso, le condizioni di questa ispezione non devono compromettere la sicurezza degli altri clienti di Noycom.
L’ispezione in loco di cui sopra nonché la fornitura di certificati e di relazioni dei controlli possono comportare ulteriori costi ragionevoli. Qualsiasi informazione comunicata al Cliente in virtù di questa clausola e che non è disponibile sul sito di Noycom è considerata un’informazione riservata di Noycom nell’ambito del Contratto. Prima di comunicare queste informazioni, Noycom può richiedere la firma di un contratto di riservatezza specifico.