make IT easy
Data Processing Agreement (DPA)
Il presente “Data Processing Agreement” unitamente ai relativi allegati (di seguito, “DPA”), tra Base S.p.a., con sede legale in Via Mazzei n. 2F, 56012 Fornacette (PI), P.I. 01600570509, in persona del legale rappresentante pro tempore (di seguito anche “Società”, “Fornitore” o “Responsabile” e congiuntamente con il Cliente, “Parti”) ed il Cliente (di seguito anche “Titolare” e congiuntamente con la Società, “Parti”) come individuato nella documentazione disciplinante i rapporti tra le Parti (di seguito, “Contratto”), definisce modalità e condizioni di trattamento dei dati personali nell’ambito della prestazione dei servizi erogati dalla Società al Cliente, come meglio descritti nel Contratto, di cui il presente DPA costituisce parte integrante e sostanziale e che qui si intende integralmente richiamato.
Art. 1 – Definizioni
1. Nel presente DPA e nei relativi allegati, i seguenti termini, con la lettera maiuscola e/o minuscola, al singolare e/o al plurale, hanno il significato di seguito indicato:
DATO PERSONALE: qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
CATEGORIE PARTICOLARI DI DATI PERSONALI: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
TRATTAMENTO: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.
TITOLARE DEL TRATTAMENTO: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.
RESPONSABILE DEL TRATTAMENTO: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
AUTORIZZATI: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile.
INTERESSATO: la persona fisica cui si riferiscono i dati personali.
MISURE DI SICUREZZA: il complesso delle misure tecniche, informatiche, organizzative, logiche e procedurali di sicurezza volte a garantire un livello di sicurezza adeguato tenuto conto dei rischi derivanti dalla distruzione, perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale a dati personal trasmessi, conservati o comunque trattati.
VIOLAZIONE DEI DATI PERSONALI: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.
2. Ove non diversamente indicato, i termini adottati nel presente DPA hanno il medesimo significato indicato nel Regolamento (UE) 2016/679 e s.m.i. (di seguito GDPR), nel D.Lgs. 196/2003 e s.m.i.
Art. 2 – Oggetto
1. Il presente documento ed i relativi allegati (di seguito, “DPA”) regolano i termini e le condizioni alle quali il Responsabile tratta dati personali per conto del Cliente in esecuzione dei Servizi. In particolare, i Servizi erogati dal Fornitore comportano il trattamento di dati personali di cui il Cliente, a seconda del caso, è Titolare e/o Responsabile del trattamento ai sensi della normativa applicabile in materia. Resta inteso che il Cliente è l’unico responsabile per il rispetto degli obblighi normativamente e/o contrattualmente imposti allo stesso nella sua qualità di Titolare o di Responsabile del trattamento di dati personali. Con la sottoscrizione del Contratto, il Cliente dichiara di aver preso visione e di accettare il presente DPA.
2. Modalità e condizioni dei dati personali trattati dalla Società in qualità di Titolare del trattamento sono indicate nell’Informativa Privacy che il Titolare stesso mette a disposizione.
3. Con il presente DPA, il Cliente autorizza la Società a trattare i dati personali per conto del Cliente nell’esecuzione dei Servizi richiesti, in qualità di Responsabile del trattamento ex art. 28 GDPR, nel rispetto della normativa in materia di dati personali applicabile e dei termini di seguito indicati.
Art. 3 – Finalità del trattamento
1. Nell’ambito del presente DPA, il Fornitore è obbligato a trattare i dati personali conosciuti anche indirettamente e/o incidentalmente in virtù dell’esecuzione dei Servizi prestati a favore del Cliente, in modo lecito e secondo correttezza.
2. In particolare, il Fornitore dovrà agire nell’ambito di operatività consentito in base ai rapporti in essere tra le Parti, potendo effettuare le operazioni funzionali alla realizzazione e gestione dei Servizi prestati a favore del Cliente, senza eseguire, quindi, trattamenti ulteriori a quelli esclusivamente necessari per il rispetto delle attività dovute.
Art. 4 – Categorie di dati personali e soggetti interessati
1. Al fine di eseguire i Servizi richiesti dal Cliente, il Fornitore può trattare dati personali per conto del Cliente, come meglio dettagliati nell’allegato A al presente DPA.
2. Se non diversamente specificato nel Contratto, nel presente DPA e/o nei relativi allegati, i contenuti forniti dal Cliente per l’erogazione dei Servizi non possono includere categorie particolari di dati personali.
3. Eventuali modifiche agli elenchi di cui all’allegato A dovranno essere comunicati via PEC dal Cliente, anche attraverso addendum.
Art. 5 – Modalità del trattamento
1. Nell’esecuzione dei Servizi, il Fornitore si impegna a trattare i dati personali per conto del Cliente nel rispetto delle istruzioni impartite dal Cliente, come dettagliate nel presente DPA.
2. Il Cliente può fornire ulteriori istruzioni scritte al Fornitore in relazione al trattamento dei dati personali in conformità alla normativa applicabile in materia di dati personali. Il Fornitore si atterrà a tutte queste istruzioni nella misura necessaria affinché il Fornitore adempia ai propri obblighi di Responsabile del trattamento dei dati ai sensi normativa applicabile in materia di dati personali.
3. Nella misura richiesta dalla normativa applicabile in materia di dati personali, il Fornitore si impegna ad informare senza indebiti ritardi il Cliente se, a suo avviso, le istruzioni del Cliente violano la normativa applicabile in materia di dati personali. Il Cliente riconosce e accetta che il Fornitore non è responsabile dell’esecuzione di analisi e/o ricerche legali e/o della fornitura di consulenza legale al Cliente.
4. Nell’erogazione dei Servizi, ove applicabile in base al Contratto, il Fornitore, per quanto di propria competenza e ove applicabile, si impegna a:
- Effettuare solo i trattamenti necessari e funzionali per lo svolgimento delle attività commissionate dal Cliente, escludendovi i trattamenti non autorizzati dal Cliente e comunque ulteriori a quelli esclusivamente necessari per il rispetto dell’incarico affidato;
- collaborare con il Cliente per garantire l’osservanza e la conformità alla normativa in materia di protezione dei dati personali;
- individuare per iscritto le persone autorizzate al trattamento che operino sotto la propria direzione e/o autorità; dare loro le istruzioni idonee per il trattamento dei dati personali da essi svolti per conto del Cliente;
- vigilare affinché le persone autorizzate rispettino le istruzioni impartite e le misure tecniche e organizzative predisposte;
- non creare banche dati nuove, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;
- apportare le necessarie tutele contrattuali nei rapporti con i propri fornitori/sub-fornitori;
- tenere nota del trattamento svolto per conto del Cliente all’interno di un apposito Registro delle attività di trattamento, ai sensi dell’art. 30 del Regolamento;
- previa richiesta del Titolare, mettere a disposizione di quest’ultimo, senza indebiti ritardi, le informazioni, esclusivamente in possesso del Fornitore, strettamente necessarie per consentire al Titolare il rispetto degli obblighi sullo stesso gravanti in forza del Provvedimento del Garante per la protezione dei dati personali italiano in tema di amministratori di sistema del 26 giugno 2009;
- comunicare senza ritardo al Cliente eventuali criticità verificate dei propri sistemi che possano compromettere i dati trattati per conto del Cliente;
- adottare e rispettare le misure di sicurezza di cui al presente DPA;
- vigilare affinché i dati personali trattati per conto del Cliente vengano comunicati solo a quei soggetti esterni (a titolo esemplificativo ma non esaustivo, propri fornitori/consulenti) che presentino garanzie sufficienti. Sono altresì consentite le comunicazioni richieste per legge.
5. Il Fornitore dichiara di aver nominato un DPO (Data Protection Officer), contattabile agli indirizzi presenti sul sito www.basenet.it ed al privacy@basenet.it.
Art. 6 – Localizzazione dei dati personali
1. Fatto salvo quanto eventualmente indicato negli allegati al presente DPA, il Fornitore garantisce di trattare i dati personali per conto del Cliente in Paesi appartenenti allo Spazio Economico Europeo e che eventuali trasferimenti all’estero dei suddetti dati avverranno nel rispetto della normativa applicabile in materia.
2. Ove applicabile, il Cliente autorizza il Fornitore, ivi inclusi eventuali sub-responsabili del trattamento, al trasferimento extra SEE dei dati personali trattati nell’esecuzione dei Servizi nel rispetto della normativa applicabile in materia.
Art. 7 – Misure di sicurezza
1. Il Fornitore, laddove applicabili in base ai Servizi e per quanto di propria competenza, garantisce il rispetto di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Le misure adottate sono indicate nell’allegato B al presente DPA.
2. Il Cliente riconosce che le misure tecniche ed organizzative adottate dal Fornitore sono adeguate a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dei dati personali.
3. Il Fornitore, ove applicabile e per quanto di propria competenza, provvederà, previa richiesta del Cliente, ad inviare al Cliente, con i mezzi ritenuti più idonei dal Responsabile, l’elenco delle misure di sicurezza sussistenti alla data della richiesta.
Art. 8 – Sub-responsabili del trattamento
1. Con la sottoscrizione del Contratto, il Cliente autorizza il Fornitore ad avvalersi di sub-responsabili del trattamento nell’erogare i Servizi oggetto del Contratto, riconoscendo ed accettando che ciò possa comportare il trattamento di dati personali da parte dei medesimi. L’elenco dei sub- responsabili autorizzati è disponibile al seguente link https://www.basenet.it/elenco-sub-responsabili/.
2. Il Fornitore resta responsabile per l’adempimento degli obblighi dei sub-responsabili in conformità alla normativa vigente in materia di dati personali.
3. Il Fornitore si impegna a comunicare al Cliente, mediante pubblicazione sul sito web del Responsabile, eventuali modifiche dei sub-responsabili autorizzati. Entro 10 giorni di calendario decorrenti da tale pubblicazione, il Cliente può opporsi alle modifiche, fornendo motivazioni obiettive e giustificate relative alla capacità di tali terzi di proteggere adeguatamente i dati personali del Cliente in conformità al presente DPA o alla normativa applicabile in materia di dati personali. Nel caso in cui il Cliente ritenga che il nuovo sub-fornitore non rispetti la normativa applicabile in materia di protezione dei dati personali, e il Cliente sia in grado di provarlo, il Fornitore e il Cliente si impegnano a collaborare in buona fede per trovare una soluzione reciprocamente accettabile per risolvere tale obiezione. Ove non sia raggiunta una soluzione reciprocamente accettabile entro un periodo di tempo ragionevole, il Cliente avrà il diritto di risolvere il Contratto (i) previa notifica da inviarsi via PEC al Fornitore con preavviso di almeno 30 (trenta) giorni solari; (ii) senza alcuna responsabilità del Fornitore nei confronti del Cliente e (iii) senza esonero dagli obblighi di pagamento previsti ai sensi del Contratto.
Art. 9 – Violazione dei dati personali
1. Qualora si verifichino eventi che comportano la violazione dei dati personali trattati dal Fornitore per conto del Cliente nell’erogazione dei Servizi, il Responsabile avvertirà il Cliente nel rispetto della normativa applicabile e senza ingiustificato ritardo. In particolare, salvo diverso accordo tra le Parti, laddove il Fornitore venga a conoscenza di tale evento durante il regolare orario lavorativo (lun-ven 9-18, esclusi festivi), ove possibile il Fornitore si impegna a informare il Cliente entro le successive 48 ore. Laddove il Fornitore venga a conoscenza di tale evento al di fuori del regolare orario lavorativo, ove possibile il Fornitore si impegna a informare il Cliente entro 48 ore decorrenti dall’inizio della prima giornata lavorativa successiva al verificarsi dell’evento in questione.
2. Ove richiesto dal Cliente, il Fornitore ove possibile si impegna a fornire al Cliente, senza ingiustificato ritardo, le informazioni in proprio possesso volte a circoscrivere e dettagliare la violazione.
3. È fatto obbligo di mantenere l’assoluto riserbo sulle violazioni, nonché su tutte le comunicazioni intercorse tra il Cliente ed il Fornitore, fatti salvi gli obblighi di legge.
Art. 10 – Riscontro delle istanze e collaborazione con l’Autorità pubblica
1. Il Fornitore, per quanto di propria competenza e ove applicabile in ragione del Contratto, si impegna a coadiuvare il Cliente nel riscontro delle richieste provenienti dagli interessati e dalle Autorità competenti in materia di trattamento dei dati personali ed investite dei necessari poteri investigativi.
2. Il Fornitore si impegna a comunicare senza ingiustificato ritardo eventuali richieste degli interessati e/o delle Autorità competenti che dovessero allo stesso pervenire.
3. Resta inteso che in nessun caso, fatti salvi obblighi di legge- o doversi accordi scritti tra le Parti, il Responsabile provvederà a dare riscontro diretto agli interessati e/o alle Autorità competenti relative ai dati personali trattati per conto del Cliente nell’erogazione dei Servizi. Il Cliente espressamente manleva il Responsabile da qualsivoglia responsabilità al riguardo.
Art. 11 – Audit
1. Fatti salvi gli obblighi di legge e/o derivanti da ordini delle Autorità competenti in materia di trattamento dei dati personali, il Fornitore riconosce al Cliente la facoltà di verificare fino ad una volta l’anno il rispetto degli obblighi previsti dal presente DPA. A tal fine, il Fornitore, previa richiesta del Cliente, si impegna ad inviare al Cliente una relazione volta a dimostrare il proprio rispetto degli obblighi previsti dal presente DPA.
2. In aggiunta alla relazione di cui all’art. 11.1 che precede, il Fornitore riconosce al Cliente la facoltà di verificare, direttamente o tramite i terzi di cui al successivo art. 11.3, fino ad una volta l’anno il rispetto degli obblighi previsti dal presente DPA a carico del Fornitore, previo accordo tra le Parti in merito a modalità e tempistiche di esecuzione. A tal fine, il Fornitore si impegna a fornire ragionevole assistenza e collaborazione al Cliente nella conduzione dell’audit. Il Cliente riconosce ed accetta che gli audit non saranno consentiti qualora dovessero compromettere le attività di Trattamento e/o la sicurezza e confidenzialità di Dati Personali del Fornitore e/o dei sub-responsabili autorizzati e/o di altri Clienti del Fornitore e/o dei sub-responsabili. Salvo diversi accordi tra le Parti, eventuali oneri e/o costi relativi agli audit di cui agli artt. 11.2 e 11.3 sono a carico del Cliente.
3. Nel caso il Cliente intenda affidare gli audit di cui all’art. 11.2 che precede ad una terza parte, tale terza parte deve essere concordata tra Fornitore e il Cliente, salvo il caso in cui tale terza parte sia un’Autorità competente in materia di trattamento dei dati personali. Il Fornitore non negherà irragionevolmente il proprio consenso ad un revisore terzo richiesto dal Cliente. In tali casi, il Cliente riconosce ed accetta che la terza parte deve essere adeguatamente vincolata al rispetto di obblighi di riservatezza ritenuti accettabili dal Fornitore prima di effettuare l’audit.
Art. 12 – Riservatezza
1. Il Fornitore si impegna a mantenere la più completa riservatezza, confidenzialità e segretezza sui dati personali trattati per conto del Cliente e trattati in esecuzione del Contratto.
2. Il Fornitore si impegna non divulgare tali dati personali ai propri dipendenti e/o collaboratori e/o terzi se non per adempiere esclusivamente alle finalità legate all’esecuzione del Contratto.
3. Fermo restando quanto previsto al precedente art. 12.1, il Fornitore potrà rivelare e comunicare i dati personali trattati per conto del Cliente laddove tale adempimento sia prescritto ai sensi di un obbligo di legge, di un ordine dell’autorità giudiziaria o di qualsiasi altro atto di un’autorità pubblica avente forza di legge.
4. Il Fornitore risponde, con diretta assunzione di responsabilità, dei comportamenti in violazione di quanto previsto dal presente articolo assunti dal personale in servizio presso la propria struttura.
5. Le Parti prendono atto che i suddetti obblighi di riservatezza saranno validi e vincolanti sino alla data di cessazione, per qualsivoglia motivo, del Contratto.
Art. 13 – Privacy by Design e Privacy by Default
1. Il Fornitore, ove applicabile e per quanto di propria competenza, garantisce che i mezzi del trattamento di dati personali utilizzati per l’esecuzione del Contratto sono adeguati alle normative vigenti in materia di protezione dei dati personali, ivi compresi i provvedimenti delle competenti autorità, e conformi ai principi di “privacy by design” e “privacy by default”.
2. Il Fornitore si impegna ad eseguire le attività oggetto del Contratto con personale dotato dei requisiti tecnici e della capacità professionale adeguati alla complessità delle attività stesse, sì da assicurare la conoscibilità dei rischi in riferimento al trattamento dei dati personali.
Art. 14 – Accountability
Vengono di seguito descritte le policy e gli adeguamenti dei quali il Fornitore si è dotato per assicurare la compliance alla normativa applicabile in materia di trattamento dei dati personali:
- Sono state adottate adeguate misure tecniche ed organizzative nel rispetto della normativa applicabile in materia di trattamento dei dati personali;
- È stato predisposto un organigramma privacy che tenga conto anche dei ruoli interni nonché delle funzioni apicali ricoperte;
- Tutti i dipendenti del Fornitore – coinvolti nel trattamento dei dati personali in esecuzione del Contratto – hanno ricevuto una nomina all’interno della quale sono state dettagliate specifiche istruzioni in base alla tipologia di dati trattati rispetto all’area aziendale presidiata;
- Sia sotto il profilo tecnico che documentale, sono stati regolati i rapporti con gli eventuali terzi che erogano i Servizi oggetto del Contratto in modo da prevenire il rischio di violazioni di dati personali, prevedendo da parte di tali terzi la sottoscrizione di apposito documento che garantisca il rispetto di equivalenti oneri assunti dal Fornitore.
Art. 15 – Cessazione del trattamento
1. I dati e/o le informazioni trattati, gestiti e/o archiviati dal Fornitore per conto del Cliente in esecuzione dei Servizi sono e rimangono di proprietà esclusiva del Cliente medesimo.
2. Alla cessazione del rapporto tra le Parti, il Fornitore provvederà a rendere anonimi e/o a cancellare e, ove richiesto dal Cliente entro 7 giorni dalla cessazione dei rapporti, a restituire, senza ingiustificato ritardo, i dati personali trattati per conto del Cliente in esecuzione del Contratto, fatti salvi fatti di legge nonché eventuali trattamenti successivi svolti dal Fornitore in qualità di Titolare del trattamento.
3. Le operazioni di cancellazione avverranno in modo sicuro e nel rispetto della normativa di settore, senza arrecare danno agli interessati cui i dati personali si riferiscono.
4. In corso di esecuzione dei rapporti tra le Parti, il Cliente ha la facoltà di richiedere la cancellazione, anche parziale, dei dati personali oggetto del presente DPA. Tale richiesta dovrà avvenire a mezzo PEC, ed all’interno della richiesta dovranno essere indicati in modo preciso i dati personali oggetti di tale richiesta. Il Fornitore si impegna a provvedere alla suddetta cancellazione, ove ragionevolmente possibile e senza indebiti ritardi, fatti salvi obblighi di legge. Il Cliente riconosce ed accetta che la cancellazione, anche parziale dei dati personali dallo stesso richiesta potrebbe comportare l’impossibilità di proseguire l’esecuzione del Contratto, senza alcuna responsabilità del Fornitore e senza esonero dagli obblighi di pagamento del Cliente previsti ai sensi del Contratto.
Art. 16 – Durata dell’Accordo
1. Il presente DPA ha validità per tutto il periodo di validità del Contratto, fatti salvi diversi successivi accordi scritti tra le Parti.
Art. 17 – Disposizioni finali
1. Le comunicazioni tra le Parti inerenti il presente DPA, salvo che non sia altrimenti previsto, devono avvenire agli indirizzi dichiarati dalle Parti nel Contratto. Eventuali variazioni agli indirizzi indicati dovranno essere comunicate all’altra Parte senza indugio e comunque non oltre 3 giorni dalla variazione medesima.
2. L’invalidità o l’inefficacia di qualsiasi disposizione del presente DPA non comporterà in nessun caso l’invalidità o inefficacia dell’intero DPA. Le Parti convengono sin da ora di negoziare in buona fede le disposizioni oggetto di declaratoria di invalidità o inefficacia, al fine di sostituirle con altre in grado di determinare, nei limiti di legge, sostanzialmente i medesimi effetti, facendo riferimento all’oggetto ed alle finalità del presente DPA.
3. Il mancato o ritardato esercizio da parte di una Parte di uno dei diritti, facoltà o poteri ad essa attribuiti in virtù del presente DPA opererà quale rinuncia circoscritta a singolo caso, e non ne impedirà l’esercizio successivo.
4. L’eventuale concessione di proroghe o di altre forme di dilazione di una Parte in favore dell’altra non modificheranno in alcun modo le responsabilità individuate dal presente DPA a carico di ciascuna Parte.
5. Per quanto non espressamente previsto e disciplinato nel presente DPA, le Parti rinviano al Contratto, alla normativa applicabile ai Servizi ed alla normativa applicabile in materia di trattamento dei dati personali.
6. Il Fornitore si riserva di modificare il presente DPA e/o i documenti ivi richiamati in qualsiasi momento, fatto salvo quanto diversamente disciplinato nel presente DPA, ed a comunicare dette modifiche mediante pubblicazione sul proprio sito web dell’ultima versione del DPA e/o dei documenti ivi richiamati. Entro i 7 gg. lavorativi successivi a detta pubblicazione, il Cliente può opporsi alle modifiche apportate laddove le modifiche non siano necessarie per adeguarsi a disposizioni di legge e regolamentari. In caso di opposizione del Cliente, il Fornitore e il Cliente si impegnano a collaborare in buona fede per trovare una soluzione reciprocamente accettabile per risolvere tale obiezione. Ove il Cliente non sollevi contestazioni nei termini indicati, il Cliente riconosce ed accetta che sarà soggetto ai termini ed alle condizioni di cui al DPA e/o dei documenti ivi richiamati vigenti nel momento in cui utilizza i servizi del Fornitore.
7. Le Parti si danno atto che tutte le clausole di questo Accordo sono state liberamente e direttamente negoziate tra le Parti stesse e che, pertanto, non è applicabile alla fattispecie il disposto di cui agli articoli 1341 e 1342 cod. civ.
Trattamento Dati Personali
Con riferimento al DPA, di cui il presente allegato costituisce parte integrante e sostanziale, di seguito sono dettagliati i trattamenti di dati personali svolti dal Responsabile per conto del Titolare nell’esecuzione delle attività pattuite tra le Parti e le tipologie di interessati cui tali dati si riferiscono.
| Categorie di dati personali – Categorie di dati anagrafici comuni | Selezionati |
|---|---|
| Nome | ☒ |
| Cognome | ☒ |
| Codice Fiscale | ☒ |
| Data di nascita | ☒ |
| Luogo di nascita | ☒ |
| Indirizzo residenza | ☐ |
| Indirizzo domicilio | ☐ |
| ☒ | |
| Telefono | ☒ |
| Audio/Video/Foto | ☐ |
| Immagini videosorveglianza | ☐ |
| Dati di geolocalizzazione (es. posizione) | ☐ |
| Dati di navigazione (inclusi log di accesso e indirizzi IP) | ☐ |
| Dati di profilazione (es. abitudini di consumo) | ☐ |
| Altro (specificare) | ☐ |
| Categorie particolari di dati personali | Selezionati |
|---|---|
| Dati relativi alla salute | ☐ |
| Dati biometrici | ☐ |
| Dati genetici | ☐ |
| Dati relativi all’orientamento sessuale | ☐ |
| Dati relativi alla vita sessuale | ☐ |
| Dati che rilevano l’appartenenza sindacale | ☐ |
| Dati che rilevano le opinioni politiche | ☐ |
| Dati che rilevano le convinzioni religiose e/o filosofiche | ☐ |
| Dati relativi a carichi pendenti | ☐ |
| Dati relativi a casellario giudiziale | ☐ |
| Dati relativi a indagini penali in corso | ☐ |
| Altro (specificare) | ☐ |
Categorie di Interessati
| Categorie di Interessati | Selezionati |
|---|---|
| Clienti | ☒ |
| Potenziali Clienti | ☒ |
| Fornitori | ☐ |
| Potenziali Fornitori | ☐ |
| Dipendenti | ☐ |
| Collaboratori | ☐ |
| Familiari, anche conviventi | ☐ |
| Richiedenti impiego | ☐ |
| Amministratori di sistema | ☐ |
| Soci (compagine societaria) | ☐ |
| Altro (specificare) | ☐ |
Trattamenti
| Tipo di Trattamento | Selezionati |
|---|---|
| Raccolta | ☒ |
| Registrazione | ☒ |
| Organizzazione | ☐ |
| Strutturazione | ☐ |
| Conservazione | ☒ |
| Adattamento | ☐ |
| Modifica | ☒ |
| Estrazione | ☐ |
| Consultazione | ☒ |
| Uso | ☒ |
| Comunicazione | ☐ |
| Raffronto | ☐ |
| Interconnessione | ☐ |
| Limitazione | ☒ |
| Cancellazione | ☒ |
| Distruzione | ☒ |
| Altro (specificare) | ☐ |
Finalità del trattamento
Esecuzione dei Servizi – esecuzione del contratto di servizio e/o fornitura.
Durata del trattamento
Durata del Contratto – ed altri obblighi di legge – In caso di necessità di difesa in giudizio il trattamento si prolungherà fino al termine del procedimento.
Misure di Sicurezza
| Misure Organizzative | Selezionati |
|---|---|
| Istruzioni e autorizzazioni del trattamento dei dati personali a soggetti interni | ☒ |
| Istruzioni e autorizzazioni a responsabili esterni del trattamento dei dati personali | ☒ |
| Mappatura e designazione Amministratori di Sistema (AdS) | ☒ |
| Policy di dismissione account | ☒ |
| Adozione procedure interne relative al trattamento di dati personali | ☒ |
| Misure di Sicurezza Fisica | Selezionati |
|---|---|
| Sistemi antintrusione (allarmi) | ☒ |
| Sistemi di guardiania/sorveglianza | ☒ |
| Videosorveglianza | ☒ |
| Armadi con serratura | ☒ |
| Locali chiusi a chiave | ☒ |
| Sistema antincendio | ☒ |
| Misure di Sicurezza Informatica | Selezionati |
|---|---|
| Cifratura banche dati/dato | ☒ |
| Misure di backup dei dati | ☒ |
| Piano di disaster recovery | ☒ |
| Gruppo di continuità/Generatore | ☒ |
| Sistemi di alerting data breach | ☒ |
| Pianificazione penetration test | ☒ |
| Pianificazione vulnerability assessment | ☒ |
| Sistemi di autenticazione informatica | ☒ |
| Firewall | ☒ |
| Programmi antivirus | ☒ |
| Programmazione aggiornamenti software | ☒ |
| Sistema di registrazione eventi | ☒ |
| Sistema di registrazione log Amministratori di Sistema | ☒ |
| Protocolli di sicurezza per la trasmissione dei dati | ☒ |
