Accordo sul Trattamento dei Dati

Questo Accordo sul Trattamento dei Dati ("Accordo") è stipulato tra

te, in qualità di cliente del servizio iubenda

  • il Titolare -

e

iubenda s.r.l.
Via San Raffaele, 1
20121 Milano
Italia

nella persona del rappresentante pro tempore, Andrea Giannangelo

  • il Responsabile -

1. Oggetto, Contratto principale e durata

L'oggetto del presente Accordo discende dal contratto principale concluso dalle parti per la fornitura dei servizi di iubenda ("Contratto"). Il Responsabile svolge le attività di trattamento ivi descritte,

  • con riferimento alle seguenti categorie di Dati Personali:

    • dati di contatto e per le comunicazioni;
    • dati di pagamentoe fatturazione;
    • dati forniti dall'utente nell’utilizzo del generatore, inclusi dati aziendali ed i Dati Personali di funzionari e dipendenti;
    • dati forniti relativamente al prodotto “Registro delle attività di trattamento dei dati”;
    • dati relativi all’utilizzo del sito di iubenda, quali dati riguardanti il supporto, analitici, ecc.;
    • dati relativi agli utenti del cliente, incluse informazioni sulle loro interazioni con gli strumenti di iubenda nel sito web del cliente e informazioni di tracciamento del consenso raccolte tramite Privacy Controls and Cookie Solution, Consent Database, Whistleblowing Management Tool, Newsletter Opt-in Booster, GDPR Legal Cookie by iubenda, Data Subject Rights Management Tool, Accessibility Solution o il Registro delle attività di trattamento dei dati.

  • e relativamente alle seguenti categorie di Interessati:

    • clienti;
    • funzionari e dipendenti dei clienti;
    • terze parti che agiscono per conto del cliente (es. agenzie web);
    • clienti o utenti dei clienti.

Indipendentemente dal luogo in cui il Titolare è ubicato, e salva ogni diversa indicazione nel presente documento – con particolare riferimento ai Sub-responsabili di cui all'art. 7 del presente Accordo – tutte le attività di Trattamento dei dati svolte dal Responsabile vengono eseguite all’interno dell'Unione Europea / Area Economica Europea (UE / AEE).

2. Definizioni

A meno che il contesto non richieda diversamente, i seguenti termini nel presente Accordo avranno il significato attribuito di seguito:

  1. "Accordo" il presente Accordo sulTrattamento dei Dati e relativi Allegati e modifiche.

  2. "Leggi sulla Protezione dei Dati Applicabili" si riferisce - a seconda delle circostanze - a qualsiasi legge e regolamento sulla privacy e protezione dei dati applicabile, quali, a titolo esemplificativo: (i) il Regolamento Generale sulla Protezione dei Dati dell'UE (Regolamento 2016/679) ("GDPR"); (ii) la Legge Federale sulla Protezione dei Dati della Svizzera ("FADP"); (iii) la Lei Geral de Proteção de Dados del Brasile n. 13.709/2018 ("LGPD"); e (iv) il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo all'trattamento dei dati personali e sulla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati del Regno Unito) ("UK GDPR").

  3. "Titolare" l'entità che, da sola o unitamente ad altri, determina le finalità e le modalità di Trattamento dei Dati Personali.

  4. "Interessato(i)" l'individuo a cui si riferiscono i Dati Personali.

  5. "Certificazione ISO 27001" standard internazionale ampiamente riconosciuto, relativo ai sistemi di gestione della sicurezza delle informazioni. Lo standard specifica i requisiti per definire, adottare, conservare e migliorare su base continuativa un sistema di gestione della sicurezza delle informazioni (ISMS) di un'organizzazione. La certificazione ISO 27001 attesta che il Responsabile ha adottato un insieme completo di controlli e misure di sicurezza per proteggere la riservatezza, l'integrità e la disponibilità dei dati, ed è stato sottoposto ad una valutazione e audit indipendenti da parte di un organismo di certificazione per verificare la conformità con lo standard ISO 27001.

  6. "Dati Personali" qualsiasi informazione relativa a una persona fisica identificata o identificabile; una persona fisica identificabile è quella che può essere identificata, direttamente o indirettamente, in particolare mediante un identificativo come un nome, un numero di identificazione, dati di localizzazione, un identificativo online o uno o più elementi relativiall'identità fisica, fisiologica, genetica, mentale, economica, culturale o sociale di tale persona naturale.

  7. "Trattamento" qualsiasi operazione o insieme di operazioni eseguite su Dati Personali o su insiemi di Dati Personali, con o senza l'uso di mezzi automatizzati, come la raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o alterazione, recupero, consultazione, uso, divulgazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, allineamento o combinazione, restrizione, cancellazione o distruzione.

  8. "Responsabile" una persona fisica o giuridica, autorità pubblica, agenzia o altro organismo che elabora Dati Personali per conto del Titolare.

  9. "Sub-responsabile" qualsiasi responsabile del trattamento impiegato dal Responsabile che accetti di ricevere dal Responsabile Dati Personali esclusivamente destinati alle attività di trattamento da svolgere per conto del Titolare e previa autorizzazione di quest’ultimo.

  10. "Misure tecniche edorganizzative" tutte le misure volte a proteggere i Dati Personali da distruzione accidentale o illecita o da perdita accidentale, alterazione, divulgazione o accesso non autorizzati e contro tutte le altre forme illecite di Trattamento.

I termini in maiuscolo non definiti nel presente Accordo avranno il significato attribuito nel GDPR, FADP, LGPD, UK GDPR e qualsiasi altra Legge sulla Protezione dei Dati Applicabile.

3. Poteri direttivi

Il Responsabile si impegna a trattare i Dati Personali esclusivamente in stretta osservanza delle istruzioni documentate del Titolare, inclusi i trasferimenti di Dati Personali verso un paese terzo o in favore di un'organizzazione internazionale, a meno che l’attività non sia richiesta dalle Leggi sulla Protezione dei Dati Applicabili a cui è soggetto il Responsabile.

4. Misure tecniche ed organizzative

Il Responsabile si impegna ad adottare Misure tecniche ed organizzative idonee che garantiscano un livello di sicurezza adeguato al rischio associato al Trattamento ed alla natura dei Dati Personali da salvaguardare. Tali Misure saranno volte, tra le altre, a proteggere i Dati Personali da distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata di, o accesso a, Dati Personali trasmessi, conservati o altrimenti elaborati.
Le specifiche tecniche delle Misure adottate sono indicate nell'Allegato I.

5. Esercizio dei diritti

Il Responsabile si impegna ad assistere il Titolare nell’osservanza dei diritti riconosciuti agli Interessati dalle Leggi sulla Protezione dei Dati Applicabili.

I diritti attribuiti al Titolare ai sensi del presente Accordo, tra i quali, il diritto di rettifica, limitazione, cancellazione o restituzione dei dati, possono essere esercitati tramite l’apposito sistema di ticketing o contattando il Responsabile all'indirizzo email info@iubenda.com.

6. Garanzia di conformità ed altri doveri del Responsabile

Il Responsabile garantisce la conformità della proprie attività di Trattamento dei dati e stretta osservanza degli obblighi imposti dalle Leggi sulla Protezione dei Dati Applicabili. Questo comprende:

  1. Documentazione e adozione di apposite procedure: il Responsabile mantiene un registro delle attività di Trattamento effettuate per conto del Titolare, con indicazione delle informazioni richieste dalle Leggi sulla Protezione dei Dati Applicabili.

  2. Minimizzazione dei dati: il Responsabile garantisce che i Dati Personali sonoidonei, pertinenti e limitati a quanto strettamente necessario in relazione alle finalità per le quali sono trattati.

  3. Accuratezza dei dati: il Responsabile garantisce che i Dati Personali inesatti, in considerazione delle finalità per le quali sono trattati, verranno cancellati o corretti senza ritardo.

  4. Disponibilità, Integrità e Riservatezza dei dati: il Responsabile svolge le proprie attività di trattamento dei Dati Personali garantendone la sicurezza, compresa la protezione contro il trattamento non autorizzato o illecito e contro la perdita accidentale, la distruzione, il danneggiamento o l'interruzione, adottando Misure tecniche ed organizzative idonee.

  5. Cooperazione con il Titolare: il Responsabile si impegna ad assistere il Titolare nel garantire l’osservanza degli obblighi relativi alla sicurezza del trattamento, la notifica alle autorità preposte delle violazioni concernenti i Dati Personali, la comunicazione delle violazioni dei Dati Personali all’Interessato, alla conduzione di valutazioni d’impatto relative alla protezione dei dati edalla consultazione preliminare in relazione ai Trattamenti ad alto rischio.

  6. Riservatezza dei dipendenti: il Responsabile garantisce che i dipendenti impegnati nel Trattamento dei Dati Personali sono statiadeguatamente informati della riservatezza dei Dati Personali, hanno ricevuto adeguata formazione sulle proprie responsabilità e sono vincolati da obblighi di riservatezza e limitazione d'uso rispetto ai Dati Personali trattati per conto del Titolare.

  7. Risposta aagli Interessati: in caso di richiesta relativa ai Dati Personali pervenuta al Responsabile da un Interessato ai sensi di una qualsiasi Legge sulla Protezione dei Dati Applicabile, il Responsabile richiede all’Interessato di inoltrare la richiesta al Titolare ed informa il Titolare della richiesta non appena possibile.

  8. Valutazioni di Impatto sulla Protezione dei Dati (DPIA): su richiesta del Titolare, il Responsabile fornisce al Titolare le informazioni necessarie per effettuare una DPIA, come richiesto dalle Leggi sulla Protezione dei Dati Applicabili.

7. Sub-responsabili

Il Titolare riconosce ed accetta che il Responsabile possa coinvolgere Sub-responsabili nello svolgimento delle attività di Trattamento di cui al presente Accordo. I Sub-responsabili attualmente impiegati sono considerati come accettati dal Titolare.

La lista dei Sub-responsabili può essere richiesta mediante l’apposito sistema di ticketing o all'indirizzo email info@iubenda.com.

Il Responsabile si impegna a comunicare al Titolare qualsiasi variazione prevista con riferimento ai Sub-responsabili e ad ottenere l'approvazione del Titolare prima di procedere. I Sub-responsabili saranno in ogni caso tenuti al rispetto delle stesse obbligazioni di protezione dei dati cui è tenuto il Responsabile in virtù del presente Accordo.

8. Audit

Su richiesta del Titolare, il Responsabile fornirà tutte le informazioni necessarie a dimostrare la propria conformità con gli obblighi sanciti nel presente Accordo e consentirà e coopererà alle verifiche, comprese ispezioni, condotte dal Titolare o da altro revisore incaricato dal Titolare.

Le ispezioni e le verifiche saranno concordate in anticipo con il Responsabile e dovranno avvenire senza pregiudizio alle normali attività aziendali del Responsabile. Il Responsabile potrà addebitare i costi di tali verifiche o ispezioni al Titolare.

9. Violazioni dei Dati (Data Breaches)

Il Responsabile del trattamento si impegna ad adottare e mantenere idonee procedure e tecnologie per rilevare, prevenire e rispondere alle violazioni dei dati.

In caso di violazioni dei Dati Personali, il Responsabile ne informerà prontamente e senza indebito ritardo il Titolare. La comunicazione dovrà includere:

  • una descrizione della natura della violazione, inclusi, ove possibile, il numero approssimativo e le categorie di Interessaticoinvolti e le categorie ed il numero approssimativo di registri di dati interessati;
  • il nome e i recapiti del responsabile della protezione dei dati del Responsabile o di un altro contatto cui rivolgersi per ottenere ulteriori informazioni;
  • una descrizione delle probabili conseguenze della violazione;
  • una descrizione delle misure adottate o proposte dal Responsabile per affrontare la violazione, comprese, eventualmente, le misure per mitigare i suoi possibili effetti avversi.

Il Responsabile è tenuto a documentare tutte le violazioni dei Dati Personali, incluse le circostanze in cui si è verificata la violazione, i suoi effetti e le contromisureadottate. Il Responsabile assiste il Titolare nell’osservanza degli obblighi imposti allo stesso dalle Leggi sulla Protezione dei Dati Applicabili in materia di notifiche alle autorità competenti ed agli Interessati.

Il Responsabile non potrà comunicare la violazione dei Dati Personali a terzi o agli Interessati coinvolti senza aver previamente ottenuto il consenso scritto del Titolare, a meno che tale comunicazione non sia richiesta dalle Leggi sulla Protezione dei Dati Applicabili.

Sono ad ogni modo fatti salvi i diritti e rimedi riconosciuti al Titolare in virtù di questo Accordo e delle Leggi sulla Protezione dei Dati Applicabili.

10. Cessazione, cancellazione e restituzione dei dati personali

Alla cessazione della fornitura dei servizi, o prima, se così richiesto dal Titolare, il Responsabile dovrà, a discrezione del Titolare stesso, restituire o cancellare i Dati Personali raccolti e trattati in virtù del presente Accordo, fatti salvi eventuali obblighi di legge che ne impongano la conservazione al Responsabile.

Salvo diversa indicazione del Titolare, il Responsabile conserverà i Dati Personali per un periodo di sei mesi dalla cessazione del Contratto e della fornitura dei servizi al solo fine di consentirne l’esportazione al Titolare. Alla scadenza dei sei mesi, il Responsabile provvederà alla cancellazione di tutti i Dati Personali.

Fatto salvo quanto precede, il Responsabile potrà conservare, anche successivamente al completamento della fornitura dei servizi e della cessazione del Contratto e nel rispetto dei termini di conservazione previsti dalla legge, tutte le informazioni necessarie a dimostrare il conforme e regolare svolgimento delle attività di Trattamento.

Allegato I

MISURE TECNICHE ED ORGANIZZATIVE

In conformità alla certificazione UNI CEI EN ISO/IEC ISO 27001:2017, il Responsabile adotta le seguenti Misure tecniche ed organizzative:

  1. Policy sulla Sicurezza delle Informazioni: il Responsabile ha definito, e procede ad un riesame regolare di, una policy contenente informazioni ed indicazioni di supporto sulla sicurezza delle informazioni, in conformità ai requisiti aziendali ed ai regolamenti e leggi applicabili.

  2. Organizzazione della Sicurezza delle Informazioni: il Responsabile attribuisce le responsabilità per compiti specifici per garantire una gestione efficace della sicurezza delle informazioni.

  3. Sicurezza delle Risorse Umane: il Responsabile ha adottato procedure di sicurezza per dipendenti e fornitori di servizi durante l'intero corso del loro impiego ed incarico di lavoro.

  4. Gestione delle Risorse: il Responsabile effettua e conserva un inventario delle risorse disponibili ed ha assegnato opportune responsabilità con riferimento alla sicurezza.

  5. Controllo degli Accessi: il Responsabile garantisce che dipendenti e fornitori di servizi abbiano accesso solo alle informazioni ed alle risorse necessarie per lo svolgimento della propria funzione.

  6. Crittografia: il Responsabile utilizza la crittografia e la gestione delle credenziali d’accesso per la protezione delle informazioni.

  7. Sicurezza Fisica e Ambientale: il Responsabile predispone misure di sicurezza per uffici, locali e strutture al fine di prevenire accessi fisici non autorizzati, danneggimenti e disturbi alle sedi del ed alle informazioni conservate dal Responsabile.

  8. Sicurezza delle Operazioni: Il Responsabile garantisce il corretto e sicuro funzionamento dellestrutture in cui avviene il trattamento dei dati.

  9. Sicurezza delle Comunicazioni: il Responsabile ricorre a reti e metodi di trasferimento dei dati sicuri.

  10. Acquisizione, Sviluppo e Manutenzione del Sistema: il Responsabile garantisce la sicurezza dei dati quale parte integrante dei sistemi durante tutto il loro ciclo di vita.

  11. Relazioni con i Fornitori: il Responsabile predispone misure di sicurezza per gli asset che sono accessibili ai fornitori.

  12. Gestione degli Incidenti: il Responsabile gestisce gli incidenti relativi alla sicurezza dei dati ed apporta costanti miglioramenti.

  13. Gestione della Continuità Operativa: il Responsabile garantisce continuità nella gestione della sicurezza delle informazioni in caso di interruzione delle attività aziendali.

  14. Conformità: il Responsabile garantisce di aderire ai requisiti legali, statutari, regolamentari e contrattuali ed alle proprie policy e procedure.

  15. Sicurezza degli Archivi Cloud: il Responsabile ha adottato ulteriori misure di sicurezza degli archivi cloud per proteggere l'integrità, accessibilità e riservatezza dei dati. Queste misure includono, ad esempio, il trasferimento sicuro dei dati, le interfacce software sicure, l’archiviazione sicura dei dati, la gestione dell'identità degli utenti e degli accessi e la sicurezza dell'infrastruttura. Il Responsabile conduce, inoltre, regolari verifiche della sicurezza dell’ambiente cloud per identificare e superare potenziali vulnerabilità.

Ulteriori dettagli sulla certificazione ISO 27001 del Responsabile, inclusa una copia del certificato stesso, possono essere richiesti tramite l’apposito sistema di ticketing reso disponibile dal Responsabile o via email all’indirizzo info@iubenda.com.

Ultima modifica: 14 marzo 2025

Questo documento è stato creato con il Generatore di Termini e Condizioni di iubenda. Scopri anche il Generatore di Privacy e Cookie Policy. iubenda ospita questo contenuto e raccoglie solo i Dati Personali strettamente necessari alla sua fornitura.
(EN) This document has been created with the iubenda Terms and Conditions Generator. See also the Privacy and Cookie Policy Generator.