Accordo per il Trattamento dei Dati (DPA)
Alley Oop s.r.l., con sede legale in Via Padana 234, 30176 – Venezia (VE), Codice Fiscale e
P.Iva n. IT04308740275, in persona del Legale Rappresentante, pro tempore (in seguito “Alley Oop” o “Responsabile”) e il Cliente, nella persona del suo Legale Rappresentante pro tempore, (in seguito “Titolare” o “Cliente”) hanno stipulato un contratto per la fornitura del servizio gateway, che implica attività di trattamento di dati personali di quest’ultima in qualità di responsabile del trattamento (di seguito, come di volta in volta modificato o aggiornato, solo il “Contratto”).
Il presente accordo per il trattamento dei dati (compresi i suoi allegati, “Accordo per il Trattamento
dei Dati”) contiene le previsioni dell’art. 28 GDPR come interpretate dal Comitato Europeo per la protezione dei dati personali nell’Opinione 14/2019.
L’Accordi per il Trattamento dei Dati è concluso tra Alley Oop e il Cliente ed integra il Contratto. L’Accordo per il Trattamento dei Dati sarà efficace, e sostituirà qualsiasi altro accordo tra le parti precedentemente applicabile in relazione allo stesso oggetto (comprese eventuali modifiche o addendum al trattamento dei dati relativi ai Servizi del Responsabile), a partire dalla Data di Entrata in
Vigore e per tutta la Durata.
1. Preambolo
L’Accordo per il Trattamento dei Dati riflette l’accordo delle parti rispetto al trattamento dei Dati Personali del Cliente come disciplinato dalla Legislazione europea e nazionale.
2. Definizioni
2.1 Tutti i termini con lettera maiuscola inseriti nell’Accordo per il Trattamento dei Dati hanno il
seguente significato:
“Autorità di Controllo” si intende una “autorità di controllo” come definita nel GDPR.
“Alley Oop” indica il Responsabile del trattamento che tratta i dati personali per conto del Cliente
nell’esecuzione del Contratto.
“Consociata” indica un’entità giuridica, anche appartenente ad un gruppo societario, che direttamente o indirettamente ha il controllo ovvero è controllata da una parte.
“Data di Entrata in Vigore” si intende la data in cui Alley Oop ha sottoscritto o le parti hanno altrimenti
concordato l’efficacia del Contratto o dell’Accordo per il Trattamento dei Dati.
“Dati Personali del Cliente” si intendono i dati personali che vengono trattati da Alley Oop per conto del Cliente nella fornitura dei Servizi del Responsabile da parte di Alley Oop.
“Documentazione di Sicurezza” si intende la documentazione che Alley Oop rende disponibile in relazione ai Servizi del Responsabile e richiamata nell’Appendice 2.
“Durata” si intende il periodo che va dalla Data di Entrata in Vigore fino al termine della fornitura da
parte di Alley Oop dei Servizi del Responsabile ai sensi del Contratto.
“GDPR” si intende il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile
2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché
alla libera circolazione di tali dati, e che abroga la Direttiva 95/46/CE.
“Incidente” si intende una violazione della sicurezza di Alley Oop che comporta la distruzione accidentale o illecita, la perdita, l’alterazione, la divulgazione non autorizzata o l’accesso ai Dati Personali del Cliente su sistemi gestiti o altrimenti controllati da Alley Oop.
“Indirizzo E-mail di Notifica” si intende l’indirizzo email comunicato dal Cliente ad Alley Oop nella sezione “Contatti” di cui all’Allegato B e a cui Alley Oop trasmetterà le comunicazioni privacy e amministrative.
“Istruzioni Aggiuntive” si intendono le istruzioni aggiuntive che riflettono l’accordo delle parti sulle
ulteriori condizioni che disciplinano il trattamento di alcuni dati in relazione a determinati Servizi del
Responsabile.
“Legislazione europea e nazionale” si intende il GDPR e la normativa dell’UE applicabile al trattamento dei Dati Personali del Cliente.
“Meccanismi di Trasferimento” si intende una decisione vincolante emessa dalla Commissione Europea che permette il trasferimento di dati personali dallo SEE verso un paese terzo il cui l’ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei dati personali.
Ove tale decisione vincolante non sia presente o efficace, si intendono le Clausole Contrattuali Tipo
di volta in volta approvate dalla Commissione Europea per il trasferimento di dati personali, nonché,
ove presenti, le norme vincolanti di impresa (BCRs).
“Misure di Sicurezza” si intende quanto indicato nella Sezione 7.1.1. (Misure di Sicurezza sui sistemi di
Alley Oop).
“SEE” si intende lo Spazio Economico Europeo.
“Servizi del Responsabile” si intendono i servizi offerti ai sensi del Contratto e descritti collettivamente nell’Appendice 1.
“Sub-responsabili” si intendono i terzi autorizzati ai sensi del presente Accordo per il Trattamento dei
Dati a trattare i Dati Personali del Cliente al fine di fornire parte dei Servizi del Responsabile e/o
qualsiasi supporto tecnico correlato.
2.2 I termini “Dati Personali”, “Interessato”, “Responsabile”, “Titolare”, “Trattamento” hanno il
significato indicato nel GDPR.
2.3 I termini “includere” e “incluso” sono illustrativi e non sono l’unico esempio di un particolare
concetto.
2.4 Qualsiasi riferimento a una legge, regolamento, statuto o altro atto legislativo è un riferimento a
questi ultimi, come di volta in volta modificati o riformulati.
2.5 Se il presente Accordo per il Trattamento di Dati fosse tradotto in un’altra lingua e vi è una discrepanza tra il testo in italiano e il testo tradotto, prevarrà il testo in italiano.
3. Durata
Il presente Accordo per il Trattamento di Dati ha effetti per tutta la Durata e fino alla cancellazione da
parte del Responsabile di tutti i Dati personali del Cliente.
4. Ambito di Applicazione
4.1 Applicazione dei Servizi del Responsabile. Il presente Accordo per il Trattamento di Dati si applica
solo ai servizi per i quali le parti ne hanno concordato l’applicazione, e quindi ai servizi indicati nel
Contratto.
4.2 Applicazione delle Istruzioni Aggiuntive. Il Titolare potrà, nel corso della Durata, fornire ad Alley Oop delle Istruzioni Aggiuntive, che Alley Oop non potrà irragionevolmente rifiutare se tali Istruzioni Aggiuntive siano necessarie per consentire al Titolare di rispettare qualsiasi obbligo gravante sul Titolare derivante dalla Legislazione europea e nazionale. In tutti gli altri casi Alley Oop avrà il diritto di negoziare con il Titolare il contenuto delle Istruzioni Aggiuntive e non sarà obbligata a implementarle fino al raggiungimento di un accordo. Una volta che entrambe le Parti avranno confermato le Istruzioni
Aggiuntive, le stesse dovranno considerarsi parte integrante di questo Accordo per il Trattamento dei
Dati.
4.3 Costi derivanti dall’implementazione delle Istruzioni Aggiuntive Le Istruzioni Aggiuntive e/o la
loro integrazione, modificazione o riduzione non dovranno comportare costi aggiuntivi a carico di Alley Oop; in caso contrario, il Titolare riconosce e accetta che tutti i costi derivanti, direttamente o indirettamente, dall’adeguamento di Alley Oop alle Istruzioni Aggiuntive sono ad esclusivo carico del
Titolare.
5. Trattamento dei dati
5.1 Ruoli, responsabilità e istruzioni
5.1.1 Le parti riconoscono e concordano che: (a) l’Appendice 1 descrive l’oggetto e i dettagli del
trattamento dei Dati Personali del Cliente; (b) Alley Oop agisce come Responsabile per i Dati Personali del Cliente ai sensi della Legislazione europea e nazionale; (c) il Cliente agisce come Titolare o Responsabile, a seconda dei casi, dei Dati personali del Cliente e ai sensi della Legislazione europea e
nazionale; e (d) ciascuna parte si conformerà agli obblighi ad essa applicabili ai sensi della Legislazione
europea e nazionale rispetto al trattamento dei Dati Personali del Cliente.
5.1.2 Autorizzazione da parte del terzo Titolare. Se il Cliente agisce come Responsabile per conto di
una Consociata del Cliente o di un diverso Titolare, il Cliente garantisce ad Alley Oop che le istruzioni e le azioni del Cliente in relazione ai Dati Personali del Cliente, compresa la nomina di Alley Oop, sono state autorizzate dal rispettivo Titolare.
5.2 Istruzioni del Titolare. Con il presente Accordo per il Trattamento di Dati, il Titolare incarica Alley Oop di trattare i Dati Personali del Cliente: (a) solo in conformità alla legge applicabile: (b) solo per fornire I Servizi del Responsabile e qualsiasi supporto tecnico correlato; (c) come ulteriormente
specificato/indicato dal Cliente attraverso l’uso da parte sua dei Servizi del Responsabile (incluse
modifiche alle impostazioni e/o alle funzionalità dei Servizi del Responsabile) e di qualsiasi supporto
tecnico correlato; (d) come documentato nel Contratto, incluso il presente Accordo per il Trattamento
di Dati; e (d) come ulteriormente documentato in qualsiasi istruzione scritta fornita dal Titolare ad
Alley Oop come ulteriore istruzione ai fini del presente Accordo per il Trattamento di Dati.
6. Cancellazione ed esportazione dei dati
6.1 Cancellazione ed esportazione per il periodo di Durata
6.1.1 Servizi del Responsabile con funzionalità di esportazione. Nella misura in cui i Servizi del
Responsabile includono la possibilità per il Titolare di esportare autonomamente e in formato nteroperabile i Dati Personali del Cliente, Alley Oop si impegna, per quanto possibile, a fare in modo che tale operazione sia garantita per tutta la Durata e comunque nel rispetto di eventuali ulteriori
specifiche disposizioni contenute nel Contratto.
6.1.2 Servizi del Responsabile con funzionalità di cancellazione. Nella misura in cui i Servizi del
Responsabile includono la possibilità per il Cliente di cancellare autonomamente i Dati Personali del
Cliente, Alley Oop si impegna, per quanto possibile, a fare in modo che tale cancellazione sia garantita per tutta la Durata, a meno che la Legislazione europea e nazionale non richieda la conservazione per un tempo più lungo. In tale ultimo caso, Alley Oop tratterà i Dati Personali del Cliente solo per gli scopi e la durata definite da tale legislazione. Rimangono comunque valide eventuali ulteriori specifiche
disposizioni contenute nel Contratto.
6.2 Cancellazione alla scadenza della Durata. Alla scadenza della Durata, il Cliente ordina ad Alley Oop DI cancellare tutti i Dati Personali del Cliente (incluse le copie esistenti) dai sistemi di Alley Oop in conformità alla legge applicabile. Alley Oop darà esecuzione a questa istruzione non appena ragionevolmente possibile, salvo che la Legislazione europea e nazionale non ne richieda la conservazione.
7. Sicurezza dei dati
7.1 Misure di Sicurezza e assistenza da parte di Alley Oop,
7.1.1 Misure di Sicurezza sui sistemi di Alley Oop,. Alley Oop, adotterà e manterrà misure tecniche e
organizzative per proteggere i Dati Personali del Cliente da distruzione accidentale o illecita, perdita,
alterazione, divulgazione o accesso non autorizzati come descritto nell’Appendice 2. Tenendo conto
dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle
finalità del trattamento posti in essere con i Servizi del Responsabile, come anche del rischio di varia
probabilità e gravità per i diritti e le libertà delle persone fisiche, l’Appendice 2 deve comprendere in
ogni momento misure di sicurezza atte a: (a) cifrare i dati personali; (b) contribuire a garantire la
riservatezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di Alley Oop,; (c)
contribuire a ripristinare tempestivamente i dati personali a seguito di un incidente; e (d) verificarne
periodicamente l’efficacia. Alley Oop, ha il diritto di aggiornare o modificare le Misure di Sicurezza, a
condizione che tali aggiornamenti e modifiche non comportino il deterioramento della sicurezza
complessiva dei Servizi del Responsabile.
7.1.2 Misure di Sicurezza per il personale di Alley Oop,. Alley Oop, adotterà misure adeguate per garantire il rispetto delle Misure di Sicurezza da parte di tutti coloro che operano sotto la sua autorità compresi I propri dipendenti, agenti, appaltatori e Sub-responsabili nella misura a loro applicabile secondo la prestazione effettivamente svolta, inclusa l’assicurazione sul fatto che tutte le persone autorizzate a trattare i Dati Personali del Cliente si sono impegnate alla riservatezza o sono soggette a un adeguato obbligo di riservatezza in conformità con la Legislazione europea e nazionale. Alley Oop, inoltre gestirà tutti gli obblighi connessi alla nomina ad amministratore di sistema del proprio personale preposto alla gestione e alla manutenzione dei Servizi del Responsabile, conformemente a quanto disposto dal provvedimento dell’Autorità di Controllo del 27 novembre 2008;
7.1.3 Assistenza sulla sicurezza dei dati da parte di Alley Oop,. Alley Oop, assisterà il Titolare nel garantire il rispetto di eventuali obblighi del Titolare in materia di sicurezza dei dati personali e violazioni dei dati personali, compresi (se del caso) gli obblighi del Titolare ai sensi degli articoli da 32 a 34 del GDPR, attraverso:
a) l’attuazione e manutenzione delle Misure di Sicurezza conformemente alla Sezione 7.1.1. (Misure di
Sicurezza sui sistemi di Alley Oop,); (b) l’attuazione di quanto indicato nella Sezione 7.2 (Incidenti sui dati); e (c) fornendo al Titolare la Documentazione di Sicurezza in conformità alla Sezione 7.5.1 (Revisione della Documentazione di Sicurezza) e le informazioni previste nel presente Accordo per il Trattamento dei Dati.
7.2 Incidenti sui dati
7.2.1 Diligenza professionale. Alley Oop, adotta la diligenza professionale nel monitorare la sicurezza dei Dati Personali del Cliente trattati nell’erogazione dei Servizi del Responsabile.
7.2.2 Notifica di Incidente. Se Alley Oop, viene a conoscenza di un Incidente, Alley Oop,: (a) informerà
tempestivamente e senza ingiustificato ritardo il Titolare dell’Incidente; (b) adotterà tempestivamente
misure ragionevoli per ridurre al minimo i danni e proteggere i Dati Personali del Cliente; e (c) presterà
la dovuta collaborazione al Titolare al fine di investigarne le cause e la gravità dell’Incidente.
7.2.3. Dettagli dell’Incidente. Le notifiche effettuate ai sensi della Sezione 7.2.2 (Notifica di Incidente)
descriveranno, per quanto a conoscenza di Alley Oop, (anche a mezzo di notifiche integrative), i dettagli dell’Incidente, comprese le categorie ed il numero approssimativo di Interessati coinvolti e di
registrazioni dei dati personali in questione, i potenziali rischi per gli Interessati e le misure che Alley Oop, ha adottato o che raccomanda al Titolare di adottare per affrontare l’Incidente e mitigarne gli effetti. Qualora non sia possibile fornire le suddette informazioni specifiche nel termine previsto, Alley Oop, indicherà al Titolare i motivi del ritardo, fornendo comunque delle informazioni iniziali riferite alla violazione riscontrata ed utili al Titolare ai fini della relativa notifica.
7.2.4 Invio della notifica. Alley Oop, invierà la notifica di qualsiasi Incidente all’Indirizzo E-mail DI Notifica.
7.3 Responsabilità e valutazione della sicurezza da parte del Cliente
7.3.1 Responsabilità del Titolare sulla sicurezza. Fatti salvi gli obblighi di Alley Oop, ai sensi delle Sezioni 7.1 (Misure di Sicurezza e assistenza da parte di Alley Oop,) e 7.2 (Incidenti sui dati), il Titolare accetta che è l’unico responsabile per l’utilizzo dei Servizi del Responsabile, incluso proteggere le credenziali di autenticazione degli account, i sistemi e i dispositivi utilizzati dal Titolare per accedere ai Servizi del Responsabile.
7.4 Certificazione di sicurezza. Per valutare e contribuire a garantire la continua efficacia delle Misure
di Sicurezza, Alley Oop, potrebbe, a sua libera discrezione, integrare le Misure di Sicurezza e la Documentazione di Sicurezza con l’ottenimento di certificazioni (es. ISO27001), codici di condotta e/o
meccanismi di certificazione.
7.5 Verifiche e audit
7.5.1 Revisione della Documentazione di Sicurezza. Per dimostrare il rispetto da parte di Alley Oop, degli obblighi previsti dal presente Accordo per il Trattamento dei Dati, Alley Oop, metterà a disposizione del Cliente le informazioni relative alle misure tecniche, organizzative e di sicurezza adottate, nonché l’eventuale Documentazione di Sicurezza disponibile, effettivamente necessarie per la compliance normativa del Cliente e che dovessero essere formalmente richieste per iscritto dal Cliente per l’adempimento degli obblighi di legge e per dimostrare l’adozione di misure tecniche e organizzative adeguate.
7.5.2 Diritto di audit da parte del Cliente. Le parti convengono che:
(a) Alley Oop, contribuirà altresì alle attività ispettive e di audit che il Cliente vorrà effettuare, direttamente o per il tramite di un altro soggetto da questo incaricato.
(b) tali attività dovranno essere svolte salvaguardando la normale operatività di Alley Oop,;
(c) l’uso delle informazioni di cui il Titolare e l’eventuale soggetto incaricato dal Titolare dovessero
venire a conoscenza nel corso dell’audit dovrà essere preventivamente regolamentato da un apposito
accordo di confidenzialità.
7.5.3 Condizioni aggiuntive per gli audit. Per lo svolgimento di audit:
(a) Il Titolare invierà a Alley Oop, la richiesta di verifica ai sensi della Sezione 7.5.2(a) come descritto nella Sezione 12.1 (Contatti di Alley Oop,), con un preavviso di almeno 15 (quindici) giorni lavorativi, restando inteso che tale attività non potrà essere effettuata dal Titolare con una frequenza superiore a 1 (una) volta all’anno e, in ogni caso, prima che siano decorsi 12 (dodici) mesi dall’ultima attività di audit svolta o commissionata dal Titolare;
(b) in seguito al ricevimento da parte del Titolare di una richiesta ai sensi della Sezione 7.5.3(a), Alley Oop, e il Titolare si impegnano a discutere e concordare in anticipo la data di inizio, la portata e la durata, I controlli di sicurezza e riservatezza applicabili a qualsiasi audit ai sensi della Sezione 7.5.2(a);
(c) nessuna disposizione del presente Accordo per il Trattamento dei Dati può richiede ad Alley Oop, o a sue Consociate di rivelare o consentire l’accesso al Titolare o al revisore terzo a:
(i) dati di qualsiasi altro cliente di Alley Oop; (ii) informazioni contabili o finanziarie interne ad Alley Oop; iii) segreti commerciali e know how di Alley Oop; iv) qualsiasi informazione che potrebbe compromettere la sicurezza dei sistemi o dei locali DI Alley Oop; o far sì che Alley Oop, violi gli obblighi derivanti dalla Legislazione europea e nazionale o I suoi obblighi di sicurezza nei confronti del Titolare o di terzi; oppure (v) qualsiasi informazione alla quale il Titolare o il terzo revisore cerchi di accedere per ragioni diverse dall’adempimento in buona fede degli obblighi del Titolare ai sensi della Legislazione europea e nazionale.
(d) lo svolgimento delle attività di verifica e controllo è condizionato alla conclusione di uno specifico
accordo di riservatezza tra tutte le parti coinvolte.
7.5.4 Il Titolare riconosce e accetta che tutti i costi derivanti dallo svolgimento degli audit ai sensi della
presente Sezione 7.5 (quali, a titolo esemplificativo, i costi dei propri dipendenti e degli eventuali
consulenti incaricati) sono a proprio esclusivo carico.
8. Valutazioni d’impatto e consultazione preventiva
Alley Oop, accetta (tenendo conto della natura del trattamento e delle informazioni a disposizione di Alley Oop,) di fornire una ragionevole assistenza al Titolare al fine di garantire il rispetto di eventuali obblighi del Titolare in materia di valutazioni d’impatto sulla protezione dei dati e di consultazione preventiva, compresi gli obblighi del Titolare ai sensi degli articoli 35 e 36 GDPR.
9. Diritti degli Interessati
9.1 Risposte alle richieste degli Interessati. Alley Oop, garantisce un’adeguata tutela dei diritti
dell’interessato, compatibilmente con le caratteristiche dei servizi offerti, come descritti nel Contratto,
supportando il Cliente al fine di adempiere al proprio obbligo di dare seguito alle richieste degli
Interessati per l’esercizio dei propri diritti, anche qualora tali richieste siano ricevute da Alley Oop,. In tal caso, Alley Oop, comunicherà all’Interessato di indirizzare la propria richiesta direttamente al Titolare. In ogni caso il Titolare sarà l’unico responsabile di rispondere alla richiesta dell’Interessato.
9.2 Assistenza di Alley Oop, per le richieste degli Interessati. Alley Oop, accetta (tenendo conto della natura del trattamento dei Dati Personali del Cliente) di fornire una ragionevole assistenza al Titolare al fine di adempiere agli obblighi del Titolare rispetto alle richieste di esercizio dei diritti dell’Interessato di cui al Capitolo III GDPR attraverso: (a) ove possibile, la messa a disposizione di funzionalità specifiche nei Servizi del Responsabile; (b) il rispetto degli impegni di cui alla Sezione 9.1 (Risposte alle richieste degli Interessati).
10. Trasferimenti di dati
10.1 Strutture per la memorizzazione e l’elaborazione dei dati. Il Titolare accetta e autorizza Alley Oop,
affinché possa trattare (anche tramite Sub-responsabili) i Dati Personali del Cliente all’interno e, ove
applicabile, all’esterno dello SEE, purché tali trattamenti siano sorretti da idonei Meccanismi di Trasferimento, da indicare nell’Appendice 3 e avvengano conformemente a quanto prescritto dalla
Legislazione europea e nazionale.
11. Contatti di Alley Oop,
11.1 Contatti di Alley Oop. Il Titolare contatta Alley Oop, in relazione a tutto quanto contenuto nel presente Accordo per il Trattamento dei Dati, in successione alternativa, all’indirizzo e-mail/pec: a) indicato da Alley Oop, nel Contratto; b) utilizzato da Alley Oop, durante l’erogazione dei Servizi del Responsabile per ricevere alcune notifiche del Titolare relative al presente Accordo per il Trattamento dei Dati.
12. Conflitti
12.1 Conflitti tra gli accordi delle parti. In caso di conflitto o incoerenza tra le previsioni del Contratto,
dell’Accordo per il Trattamento dei Dati e le Istruzioni Aggiuntive, ove non diversamente stabilito nel presente Accordo per il Trattamento, si applica il seguente ordine di prevalenza: (a) le Istruzioni Aggiuntive; (b) le restanti previsioni dell’Accordo per il Trattamento dei Dati; e (c) le restanti previsioni del Contratto. Fatte salve eventuali modifiche dell’Accordo per il Trattamento dei Dati, il Contratto rimane pienamente valido ed efficace.
12.2 Violazioni di norme di legge o di regolamento. Ogni previsione del Contratto, dell’Accordo per il
Trattamento dei Dati e/o delle Istruzioni Aggiuntive contraria alla Legislazione europea e nazionale
deve intendersi come non riportata e integralmente sostituita dalla norma violata nel caso in cui non
sia derogabile da un accordo tra le parti.
13. Modifiche
13.1 Modifiche alle Appendici. Periodicamente, Alley Oop, può modificare il contenuto delle Appendici, se è espressamente consentito dall’Accordo per il Trattamento dei Dati.
13.2 Modifiche all’Accordo per il Trattamento dei Dati. Alley Oop, può modificare il presente Accordo per il Trattamento dei Dati se la modifica: (a) è espressamente consentita dall’Accordo per il Trattamento dei Dati; (b) è obbligatoria per rispettare la legge applicabile, una sentenza o altro provvedimento di un tribunale o gli orientamenti emanati da un’Autorità di Controllo o un’autorità governativa.
14. Foro competente.
14.1 In caso di controversie relative all’esecuzione o interpretazione del presente Accordo per il
Trattamento di Dati, le parti assegnano la competenza esclusiva al foro previsto dal Contratto, con
espressa deroga a quanto eventualmente diversamente stabilito da leggi o convenzioni internazionali.