Accordo sul trattamento dei dati
Appendice sull'elaborazione dei dati

"DPA"

Lo scopo della presente Appendice sul trattamento dei dati (di seguito "DPA") è quello di definire i termini e le condizioni in base ai quali DATAGMA, società di diritto francese (numero RCS di Parigi: 833 914 393) con sede legale in 3 boulevard de Sébastopol, 75001 Parigi, Francia, debitamente rappresentata da Raphael Azot, in qualità di CEO (di seguito "DATAGMA" o "Fornitore di Servizi") si impegna a eseguire, per conto del cliente (di seguito "Cliente"), il trattamento dei dati personali di cui al presente documento.

La presente Appendice è incorporata e costituisce parte integrante dell'accordo principale tra il Cliente e DATAGMA. In caso di conflitto o incongruenza tra le disposizioni dell'accordo principale e il presente DPA, prevarranno le disposizioni del presente DPA.

Il Fornitore di servizi e il Cliente sono indicati singolarmente come una "Parte" e collettivamente indicati come le "Parti".

  • DEFINIZIONI

I termini in maiuscolo utilizzati nel presente DPA hanno il significato ad essi attribuito come segue:

"GDPR" indica il Regolamento generale sulla protezione dei dati dell'UE 2016/679.

"Normativa sui dati personali" indica qualsiasi legge applicabile sulla protezione dei dati personali, in particolare il GDPR e la legge n. 78-17 del 6 gennaio 1978 relativa a computer, file e libertà, e successive modifiche.

Tutte le definizioni di cui alla sezione 4 del GDPR si applicano al presente DPA, tra cui, a titolo esemplificativo e non esaustivo: responsabile del trattamento, incaricato del trattamento, dati personali, soggetti interessati, pseudonimizzazione, consenso, violazione dei dati personali.

  • OGGETTO E QUALIFICA DELLE PARTI

Il cliente incarica DATAGMA di trattare i dati personali descritti nell'Allegato 1 al fine di fornire i servizi di arricchimento dati B2B previsti dal contratto principale.

DATAGMA non genera, né possiede alcun database con i dati personali ottenuti per conto del Cliente e non utilizza tali dati per i propri scopi.

Le Parti convengono pertanto che, nel trattamento dei dati personali nell'ambito della fornitura dei servizi di arricchimento B2B previsti dal contratto principale, il Cliente agirà in qualità di responsabile del trattamento dei dati personali e DATAGMA agirà per conto del Cliente in qualità di incaricato del trattamento.

Le Parti si impegnano a rispettare, ciascuna per quanto la riguarda, tutte le disposizioni a cui sono soggette ai sensi del Regolamento sui dati personali applicabile.

  • OBBLIGHI DEL CLIENTE

Il Cliente dichiara che, ogni qualvolta il GDPR sia applicabile, è consapevole dei propri obblighi in qualità di titolare del trattamento, in particolare degli obblighi di (i) trattare i dati personali in modo lecito, equo e trasparente nei confronti degli interessati, vale a direinformare gli interessati del trattamento dei loro dati personali e garantire che il trattamento di tali dati abbia una base giuridica e che gli interessati abbiano, se del caso, dato il loro consenso al trattamento dei loro dati personali, (ii) conservare i registri delle proprie attività di trattamento, (iii) se del caso, nominare un responsabile della protezione dei dati, (iv) notificare in caso di violazione dei dati, e (v) effettuare valutazioni dell'impatto sulla privacy.

Il presente elenco non è esaustivo e il Cliente riconosce che è sua responsabilità adottare le misure necessarie per conformarsi al Regolamento sui dati personali applicabile nella sua interezza. DATAGMA non potrà in alcun modo essere ritenuta responsabile per il mancato rispetto da parte del Cliente dei propri obblighi in materia di protezione dei dati.

  • OBBLIGHI DI DATAGMA

Qualora il GDPR sia applicabile, in qualità di incaricato del trattamento, DATAGMA si impegna a:

  • Trattare i dati personali solo su istruzione documentata del Cliente, anche per quanto riguarda il trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale, a meno che non sia richiesto dal diritto dell'Unione Europea o francese. In tal caso, DATAGMA informerà il Cliente di tale requisito legale prima del trattamento, a meno che la legge applicabile non vieti tale informazione per importanti motivi di interesse pubblico.

  • Assicurarsi che i dipendenti autorizzati al trattamento dei dati personali ai sensi dell'accordo principale si siano impegnati alla riservatezza o siano soggetti a un adeguato obbligo legale di riservatezza.

  • Tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi, implementare le misure tecniche e organizzative richieste ai sensi dell'articolo 32 del GDPR, come elencate nell'Allegato 2.

  • Tenendo conto della natura del trattamento, assistere il Cliente, a sue spese, attraverso misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, nell'adempimento dell'obbligo di rispondere alle richieste degli interessati di esercitare i diritti di cui al Capitolo III del GDPR (diritto all'informazione, diritto di accesso, diritto di rettifica, diritto alla cancellazione e all'opposizione, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto a non essere sottoposti a una decisione individuale automatizzata, compresa la profilazione). Nel caso in cui un interessato si rivolga direttamente a DATAGMA per esercitare i propri diritti, DATAGMA trasmetterà tale richiesta al Cliente, nel più breve tempo possibile.

  • Su richiesta e a spese del Cliente, fornire al Cliente un'assistenza ragionevole per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione di DATAGMA, e in particolare assistere il Cliente per garantire il rispetto dei suoi obblighi relativi alla notifica di una violazione dei dati personali e alla conduzione di valutazioni di impatto relative alla protezione dei dati.

  • Entro trenta (30) giorni lavorativi dalla comunicazione di qualsiasi dato personale richiesto al Cliente, cancellare tali dati personali e qualsiasi copia esistente degli stessi, a meno che il diritto dell'Unione Europea o degli Stati membri non richieda un'ulteriore conservazione dei dati personali.

  • Su richiesta, mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare l'osservanza degli obblighi stabiliti nel presente DPA e consentire e contribuire alle verifiche, al massimo su base annuale, comprese le ispezioni da parte del Cliente o di un altro revisore indipendente nominato dal Cliente, a condizione che tale verifica sia (i) condotta con un preavviso scritto di almeno dieci (10) giorni lavorativi, durante il normale orario di lavoro e senza interrompere le normali operazioni commerciali di DATAGMA e (ii) è limitata alle aree e ai documenti rilevanti nel contesto del trattamento dei dati personali ai sensi dell'accordo principale. Il Cliente è l'unico a sostenere i costi dell'audit.

  • Informare immediatamente il Cliente se, a giudizio di DATAGMA, le istruzioni impartite dal Cliente violano il GDPR o le disposizioni applicabili dell'Unione Europea o degli Stati membri in materia di protezione dei dati.

  • Nel caso in cui DATAGMA venga a conoscenza, in base al contratto principale, di una violazione dei dati personali, DATAGMA si impegna a notificare al Cliente tale violazione nel più breve tempo possibile e a fornire al Cliente tutte le informazioni che le consentano di adempiere ai propri obblighi.

  • SOTTOPROCESSORI

Il Cliente autorizza DATAGMA a incaricare i subprocessori di svolgere tutte o parte delle attività di trattamento dei dati personali per conto del Cliente nell'ambito della fornitura dei servizi di arricchimento dei dati B2B.

DATAGMA si impegna a imporre a tali subprocessori gli stessi obblighi di protezione dei dati previsti dal presente DPA, in particolare per quanto riguarda la fornitura di garanzie sufficienti relative all'attuazione di misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR.

DATAGMA si impegna inoltre a informare il Cliente di qualsiasi modifica prevista in merito all'aggiunta o alla sostituzione di un subprocessore, in particolare fornendo al titolare dell'account del Cliente una notifica di tale aggiunta o sostituzione e/o pubblicando gli aggiornamenti sul proprio sito web, dando così al Cliente la possibilità di sollevare obiezioni a tali modifiche per motivi ragionevoli. Qualsiasi obiezione deve essere notificata dal Cliente a DATAGMA per iscritto entro otto (8) giorni lavorativi dal ricevimento della notifica di DATAGMA. L'aggiunta o la sostituzione del subprocessore si considera approvata dal Cliente se quest'ultimo non solleva obiezioni per iscritto entro tale periodo di otto (8) giorni dalla suddetta notifica. Se il Cliente si oppone a tale modifica, le Parti si incontreranno in buona fede per risolvere la questione attraverso una soluzione reciprocamente accettabile.

  • TRASFERIMENTI DI DATI

Il Cliente accetta che, nel corso della fornitura dei servizi di arricchimento dei dati B2B, i dati personali possano essere trasferiti al di fuori dello Spazio economico europeo, compresi gli Stati Uniti.

Laddove sia applicabile il GDPR e non sia stata concessa una decisione di adeguatezza ai sensi dell'articolo 45 del GDPR, tale trasferimento sarà disciplinato dalle clausole contrattuali standard per i trasferimenti internazionali di dati adottate dalla Commissione europea il 4 giugno 2021 (di seguito "Clausole contrattuali standard"), sottoscritte tra DATAGMA e i suoi subprocessori, e saranno poste in essere specifiche garanzie organizzative e tecniche, tra cui, ove opportuno, la cifratura dei dati, l'implementazione del protocollo HTTPS, il backup dei dati e le certificazioni degli aggiornamenti di sicurezza.

Le Parti riconoscono che, se del caso, l'esecuzione del presente DPA equivale all'esecuzione della versione aggiornata delle Clausole contrattuali standard e accettano di essere vincolate da tali Clausole contrattuali standard.

DATAGMA e il Cliente scelgono le seguenti condizioni e opzioni offerte dalle Clausole Contrattuali Standard:

  • Nella clausola 11(a) delle Clausole Contrattuali Standard, l'opzione per la risoluzione indipendente delle controversie è considerata omessa.
  • Nella clausola 17 delle Clausole contrattuali standard, è selezionata l'OPZIONE 1 e le Parti concordano che si tratta della legge francese.
  • Nella clausola 18 delle Clausole contrattuali standard, le parti concordano che i tribunali francesi saranno competenti.
  • Nell'Allegato I:
    • L'elenco delle parti è identico a quello dell'accordo principale.
    • La descrizione dei trasferimenti è riportata nell'Allegato 2 intitolato "Descrizione del trattamento dei dati personali".Descrizione del trattamento dei dati personali"del presente DPA;
    • L'autorità competente è la CNIL (Commission Nationale de l'Informatique et des Libertés).
  • Nell'Allegato II delle Clausole Contrattuali Standard, le misure sono previste nell'Allegato 2 del presente DPA intitolato "Misure tecniche e organizzative attuate da DATAGMA".Misure tecniche e organizzative attuate da DATAGMA".
  • Nell'Allegato III delle Clausole Contrattuali Standard, l'elenco dei successivi subprocessori, come definiti nel presente documento, è riportato nell'Allegato 3 del presente DPA intitolato "Elenco dei subprocessori".Elenco dei subprocessori".

  • LIMITAZIONE DI RESPONSABILITÀ

La responsabilità di DATAGMA in merito a qualsiasi reclamo in materia di protezione dei dati sarà limitata all'importo dei canoni pagati dal Cliente ai sensi del contratto principale nei 12 mesi precedenti il reclamo. La responsabilità di DATAGMA è subordinata alla condizione che il Cliente (i) notifichi a DATAGMA qualsiasi reclamo o azione in relazione agli obblighi di DATAGMA non appena il Cliente ne venga a conoscenza e fornisca prontamente a DATAGMA qualsiasi informazione relativa in suo possesso e (ii) attenuare qualsiasi danno potenziale.

  1. TERMINE

Il presente DPA entrerà in vigore alla data di firma del contratto principale e terminerà alla data di scadenza o di risoluzione del contratto principale.

  • VARIE

Ad eccezione di quanto specificamente modificato ed emendato nel presente documento, tutti i termini, le disposizioni, i requisiti e le specifiche contenuti nel contratto principale rimangono invariati e in pieno vigore.

  • LEGGE APPLICABILE E GIURISDIZIONE

Il presente DPA è disciplinato dalle leggi francesi.

Qualsiasi controversia che dovesse sorgere in relazione al presente DPA e che le Parti non saranno in grado di risolvere in via amichevole, sarà sottoposta alla giurisdizione esclusiva dei tribunali di Parigi, con riserva di appello alla Corte d'Appello.

SCHEMA 1

DESCRIZIONE DEL TRATTAMENTO DEI DATI PERSONALI

Il presente Allegato 1 fornisce una descrizione del trattamento dei dati personali effettuato da DATAGMA per conto del Cliente. Il Cliente incarica DATAGMA di effettuare il trattamento dei dati personali come di seguito specificato (di seguito il "Trattamento Incaricato" o i "Dati Personali Incaricati"):

  • Finalità del trattamento affidato: 

Lo scopo del Trattamento Incaricato è quello di fornire al Cliente i servizi di arricchimento dei dati B2B definiti nell'accordo principale e, in particolare, di fornire al Cliente informazioni complete e aggiornate sui contatti commerciali.

  • Natura del trattamento affidato:

La natura del trattamento affidato consiste nella raccolta, consultazione, hosting, archiviazione, recupero, utilizzo, cancellazione o distruzione dei dati personali.

  • Categorie di dati personali affidati: 

Il Cliente incarica DATAGMA di trattare le seguenti categorie di dati personali per conto del Cliente:

  • Dati identificativi, come cognome e nome.
  • Dati di contatto, come e-mail e numero di telefono.
  • Dati professionali, come l'organizzazione, la posizione o l'anzianità.
  • Login, password, qualsiasi altro dato di accesso.

  • Categorie di soggetti interessati:

Le categorie di soggetti interessati dal Trattamento Incaricato sono:

  • Individui a cui il Cliente si rivolge, ad esempio, per scopi di marketing o di reclutamento.
  • Dipendenti del cliente.

  • Durata della lavorazione affidata:

Durata dell'accordo principale.

SCHEMA 2

MISURE TECNICHE E ORGANIZZATIVE IMPLEMENTATE DA DATAGMA

DATAGMA si impegna a mettere in atto misure tecniche e organizzative per proteggere i dati da distorsioni, danni o accessi illeciti da parte di soggetti non autorizzati. Vengono effettuati controlli regolari per valutare l'effettiva applicazione di tali misure.

In particolare, DATAGMA si impegna ad attuare quanto segue:

  • Misure tecniche

  • Mantenere tutti i software aggiornati (ad esempio, tramite aggiornamenti, patch, ecc.).
  • Protezione delle reti interne da accessi non autorizzati (ad esempio, tramite firewall, scanner antivirus, ecc.).
  • Vengono raccolte informazioni di registrazione adeguate e periodicamente riviste e analizzate.
  • Sul sistema e/o servizio utilizzato per memorizzare i dati personali vengono applicati metodi di crittografia appropriati.
  • Utilizzo di VPN per l'accesso remoto.

  • Misure organizzative

  • L'accesso ai dati personali è soggetto ad adeguati obblighi di riservatezza (ad es. contratto di lavoro, accordo di riservatezza, ecc.).
  • Tutti i computer che trattano dati personali sono protetti da password.
  • Log-in personale e individuale per la registrazione nei sistemi o nella rete aziendale.
  • Politiche di password all'avanguardia per la creazione di password sicure.
  • Accesso ai sistemi IT bloccato dopo ripetuti tentativi di accesso errati.
  • Le password vengono memorizzate sotto forma di hash.
  • Su ogni computer viene impostata una procedura di blocco automatico della sessione.
  • I dipendenti sono tenuti a rispettare le norme vigenti in materia di protezione dei dati e sono soggetti all'obbligo di riservatezza.
  • L'accesso ai dati personali è strettamente limitato ai dipendenti autorizzati in base alla "necessità di sapere".
  • Gli account utente vengono disattivati quando l'utente lascia l'azienda o la funzione.
  • Esistono procedure dedicate per gli incidenti di sicurezza e di privacy.
  • Formazione regolare dei dipendenti sulla privacy dei dati e sulla sicurezza informatica.

SCHEMA 3

ELENCO DEI SOTTOPROCESSORI

È espressamente concordato tra le Parti che, alla data del contratto principale, DATAGMA utilizza i seguenti subprocessori e che il Cliente autorizza DATAGMA a utilizzare i servizi di tali subprocessori:

Nome Posizione dei centri dati Scopo
Broker di dati STATI UNITI D'AMERICA Finalità di arricchimento dei dati
Servizi Web di Amazon Irlanda Finalità di hosting
Google Belgio Finalità di hosting