Accordo sulla protezione dei dati

1. Oggetto

Il presente Accordo sulla protezione dei dati (di seguito «APD») disciplina le condizioni alle quali i dati personali del cliente, in qualità di titolare del trattamento (di seguito «il Cliente») , sono trattati dal fornitore Nemorius, in qualità di responsabile del trattamento (di seguito « il Responsabile del trattamento »), nell’ambito del contratto di servizio (di seguito il « Contratto »).

Il presente APD costituisce parte integrante del Contratto. In caso di contraddizione tra i documenti, le disposizioni del presente APD prevalgono per tutte le questioni relative alla protezione dei dati.

I termini relativi alla protezione dei dati utilizzati nel presente documento sono intesi ai sensi del Regolamento (UE) 2016/679 («GDPR»).

2. Impegni del Subappaltatore

Il Responsabile del trattamento si impegna a rispettare tutte le disposizioni legislative e regolamentari applicabili in materia di protezione dei dati, in particolare il RGPD e la legge Informatique et Libertés.

Egli garantisce di disporre di misure adeguate per assicurare la sicurezza, l’integrità e la riservatezza dei dati trattati per conto del cliente.

Il Responsabile del trattamento garantisce che le persone autorizzate ad accedere ai dati siano soggette a un obbligo di riservatezza, sia esso contrattuale o statutario.

Inoltre, attua regolarmente azioni di sensibilizzazione e formazione dei propri team in merito ai requisiti relativi alla protezione dei dati.

3. Istruzioni del Cliente

Il Responsabile del trattamento tratta i dati personali esclusivamente sulla base di istruzioni documentate fornite dal Cliente.

Il Cliente si impegna a notificare tempestivamente qualsiasi modifica di tali istruzioni.

Se una determinata istruzione risulta contraria alla normativa applicabile, il Responsabile del trattamento ne informa immediatamente il Cliente. Il Cliente deve determinare i dati personali raccolti e la loro finalità al fine di soddisfare i requisiti legali del GDPR.

4. Protezione dei dati fin dalla progettazione

Il servizio fornito è progettato secondo i principi di protezione dei dati fin dalla fase di progettazione e per impostazione predefinita.

Il Subappaltatore mette a disposizione funzionalità che consentono al Cliente di adempiere ai propri obblighi in qualità di responsabile del trattamento.

Il Cliente rimane l'unico responsabile dell'uso che fa del servizio e della sua conformità alle norme applicabili.

5. Misure di sicurezza

Il Responsabile del trattamento attua misure tecniche e organizzative adeguate al fine di proteggere i dati personali da qualsiasi accesso non autorizzato, alterazione, perdita o divulgazione.

6. Gestione delle violazioni dei dati

In caso di violazione dei dati personali, il Subappaltatore ne informa il Cliente il prima possibile e, in ogni caso, entro un termine massimo di 72 ore lavorative dal momento in cui ne è venuto a conoscenza.

Fornisce al Cliente gli elementi necessari per consentirgli di adempiere ai propri obblighi normativi.

Il Responsabile del trattamento adotta inoltre tutte le misure utili per limitare le conseguenze dell'incidente.

Salvo previo accordo del Cliente, il Responsabile del trattamento non è autorizzato a notificare l'autorità di controllo (CNIL) né a informare gli interessati per conto del Cliente.

7. Assistenza in materia di sicurezza e analisi d'impatto

Su richiesta scritta, il Subappaltatore mette a disposizione del Cliente le informazioni necessarie relative alle misure di sicurezza attuate, nonché le certificazioni della soluzione.

Tuttavia, non è tenuto a effettuare tali analisi né a garantire la sicurezza del sistema del Cliente. Se necessario, possono essere proposti servizi aggiuntivi.

8. Assistenza in materia di diritti delle persone

Il Subappaltatore assiste il Cliente fornendogli le informazioni necessarie per rispondere alle richieste degli interessati.

Può inoltre, su istruzione scritta, eseguire le azioni tecniche richieste.

La gestione diretta delle richieste rimane di competenza del Cliente, salvo prestazioni specifiche concordate tra le parti.

9. Ricorso a subappaltatori successivi

Il Cliente autorizza il Subappaltatore a ricorrere a fornitori terzi nell'ambito dell'esecuzione del Contratto, a condizione di esserne informato.

Il Cliente può formulare un'obiezione motivata in determinati casi (concorrenza, controversia, recente condanna in materia di dati).

In caso di obiezione ammissibile, il Subappaltatore dispone di un termine di sei mesi per proporre una soluzione conforme. In mancanza di ciò, il Cliente potrà recedere dal Contratto alle condizioni previste.

Il Subappaltatore si assicura che i propri subappaltatori rispettino obblighi equivalenti a quelli del presente APD e rimane responsabile delle loro azioni.

10. Destinazione dei dati alla scadenza del contratto

Alla scadenza del Contratto, il Cliente indica la propria scelta tra le seguenti possibilità:

• restituzione e successiva cancellazione dei dati,
• cancellazione immediata,
• trasferimento a un altro fornitore e successiva cancellazione.

In mancanza di istruzioni, il Responsabile del trattamento procederà alla cancellazione dei dati 48 ore dopo la risoluzione del contratto.

Il Cliente è invitato a effettuare qualsiasi recupero necessario prima della fine del servizio. Poiché la cancellazione è irreversibile, il Cliente ne assume le conseguenze.

Su richiesta, il Subappaltatore potrà fornire un attestato di cancellazione.

11. Trasferimenti al di fuori dell'Unione europea

Il Subappaltatore si impegna a non trasferire i dati al di fuori dell'Unione Europea.

Qualora tale trasferimento fosse necessario, si impegna a mettere in atto garanzie adeguate (clausole contrattuali tipo, BCR, ecc.).

12. Cooperazione con le autorità

Il Subappaltatore fornisce al Cliente le informazioni necessarie per rispondere alle richieste delle autorità di controllo competenti.

13. Referente

Ciascuna parte designa un referente incaricato delle questioni relative al presente APD.

Il Subappaltatore comunica i recapiti del proprio responsabile della protezione dei dati o del proprio referente RGPD.

Il Subappaltatore informa il Cliente che il responsabile della protezione dei dati è il signor Esteban MATHIEU, i cui recapiti sono: gdpr@nemorius.com

14. Modifiche all'accordo

Il presente APD può essere modificato per tenere conto delle evoluzioni legislative o normative applicabili. Il cliente ne sarà informato in caso di modifica dello stesso. 

15. Diritto applicabile e foro competente

Il presente accordo è regolato dal diritto francese.

Qualsiasi controversia relativa alla sua esecuzione è di competenza dei tribunali competenti nella giurisdizione della sede del Subappaltatore.