DPA

DATA PROCESSING AGREEMENT (DPA)

ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI
(EX ART 28 DEL REGOLAMENTO UE 2016/679)

  1. Parti

    Il presente Data Processing Agreement (“DPA”) è stipulato tra: Digital Lab Studio Tecnico IT di Luca Nappini, con sede in Via della Fattoria 31, Loc. Tegoleto, 52041 Civitella in Val di Chiana (AR), P.IVA 02178060519, e-mail studio@digitallab.it (di seguito il “Responsabile”) [Nome del Cliente], con sede in [indirizzo], P.IVA [●], (di seguito il “Titolare”).

  2. Definizioni

    1. Contratto: Ai fini del presente DPA, per "Contratto" o "Accordo Principale" si intende qualsiasi incarico professionale, preventivo accettato (anche via e-mail) o servizio richiesto dal Titolare ed erogato dal Responsabile.

  3. Oggetto del trattamento

    1. Il Responsabile tratterà i dati personali per conto del Titolare esclusivamente al fine di erogare i servizi IT richiesti, in particolare relativi alla gestione tecnica del sito web, dell’hosting, della posta elettronica, all’assistenza tecnica dei sistemi, supporto per malfunzionamenti.

    2. Il trattamento sarà effettuato nel rispetto del Regolamento (UE) 2016/679 (“GDPR”) e sulla base delle istruzioni documentate fornite dal Titolare.

    3. Il Responsabile ha la facoltà di non soddisfare richieste o istruzioni del Cliente che possano confliggere con la Legge Privacy Applicabile e sospendere l'adempimento del contratto e l’erogazione del servizio senza responsabilità.

    4. Le presenti condizioni e la nomina di Digital Lab a Responsabile del Trattamento si intendono valide ed efficaci esclusivamente qualora il Titolare scelga di avvalersi di spazi hosting, server o servizi cloud direttamente intestati a Digital Lab.

    5. Il Responsabile si riserva il diritto di sospendere i servizi qualora la prosecuzione del trattamento comporti un rischio elevato per i diritti e le libertà degli interessati.

  4. Tipologia di dati, interessati e durata trattamento dati

    1. Il trattamento potrà riguardare dati personali quali dati identificativi e di contatto, contenuti del sito web, database, log e dati tecnici necessari al funzionamento dei servizi, contenuti pubblicati o gestiti sui sistemi IT (file, testi, immagini, database), altri dati personali forniti dal Titolare per l’esecuzione dei servizi.

    2. Gli interessati sono clienti, utenti del sito web, fornitori e collaboratori del Titolare.

    3. Il trattamento avrà durata pari a quella del rapporto contrattuale tra le Parti. Alla cessazione del rapporto, il Responsabile provvederà alla cancellazione o restituzione dei dati personali secondo le istruzioni del Titolare, fatti salvi eventuali obblighi di conservazione previsti dalla legge.

  5. Responsabilità

    1. Il Responsabile tratterà i dati personali esclusivamente su istruzioni del Titolare. Le istruzioni dovranno essere fornite in forma scritta o comunque documentabile.

    2. Il Titolare rimane responsabile della liceità del trattamento dei dati personali e delle istruzioni impartite al Responsabile.

    3. Il Responsabile non svolge attività di consulenza legale o privacy per il Titolare.

  6. Sicurezza del trattamento

    1. Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali siano vincolate da obblighi di riservatezza. Tali obblighi permarranno anche successivamente alla cessazione del presente accordo.

    2. Il Responsabile adotta misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR, proporzionate al rischio, finalizzate a garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei dati personali trattati.

  7. Sub-responsabili

    1. Il Titolare autorizza il Responsabile a ricorrere a sub-responsabili del trattamento ai sensi dell’art. 28 GDPR, tra cui, a titolo esemplificativo, provider di servizi di hosting, cloud, posta elettronica, CDN, sicurezza e servizi IT correlati.

    2. Il Responsabile si impegna a selezionare sub-responsabili che offrano garanzie adeguate in termini di sicurezza e conformità normativa e a stipulare con essi accordi conformi all’art. 28 GDPR.

    3. l’elenco dei sub-responsabili coinvolti nel trattamento dati è disponibile al seguente link: www.digitallab.it/sub-responsabili (di seguito, “Elenco Sub-responsabili”).

    4. Il Responsabile si impegna a:

      1. mantenere l’Elenco Sub-responsabili aggiornato, indicando la data di aggiornamento e la versione;

      2. assicurare che ciascun sub-responsabile effettivamente coinvolto sia vincolato agli stessi obblighi previsti dal presente DPA;

      3. aggiornare l’Elenco Sub-responsabili senza necessità di notificare preventivamente il Titolare;

      4. garantire che il Titolare possa consultare l’Elenco Sub-responsabili in qualsiasi momento.

    5. Il Titolare prende atto ed accetta che il Responsabile possa, nel corso del rapporto contrattuale, ricorrere a sub-responsabili del trattamento diversi nel tempo, in funzione delle proprie esigenze tecniche e organizzative, senza necessità di autorizzazioni preventive individuali.

    6. Il Titolare prende atto che per l'erogazione di servizi base (quali hosting, posta elettronica, certificati SSLe servizi cloud), il Responsabile si avvale di primari provider nazionali ed internazionali: tali soggetti operano sulla base di condizioni generali di contratto e DPA standard non negoziabili dal Responsabile.

  8. Infrastruttura tecnica

    1. L'Utente accetta che i servizi siano erogati tramite infrastrutture centralizzate ed isolate tramite segregazione logica dei dati, pertanto la responsabilità del Responsabile è limitata alla sola gestione tecnica dello slot, restando esclusa da ogni responsabilità per violazioni derivanti da negligenza dell'Utente (es. password deboli) o da falle strutturali dei sistemi dei provider (Sub-responsabili) su cui il Responsabile non ha controllo diretto.

    2. Il Titolare riconosce che, per motivi di compatibilità tecnica, il sito web e i servizi correlati possono richiedere l’utilizzo di versioni software non aggiornabili alle più recenti release (ad esempio PHP, database, plugin o librerie applicative).

    3. Il Titolare prende altresì atto che taluni plugin o componenti software del sito potrebbero non essere aggiornabili o aggiornati solo previo intervento strutturale sul sito stesso.

    4. Eventuali vulnerabilità, malfunzionamenti o incidenti di sicurezza derivanti dall’utilizzo di infrastrutture di terzi, software legacy o componenti non aggiornabili costituiscono rischio tecnico consapevolmente accettato dal Titolare, il quale ne autorizza l'uso sollevando il Responsabile da responsabilità per vulnerabilità derivanti dall'obsolescenza di tali sistemi, salvo dolo o violazione degli obblighi previsti dal GDPR.

    5. Il Responsabile segnala tempestivamente al Titolare eventuali criticità di sicurezza note. In caso di mancato intervento o autorizzazione all’aggiornamento da parte del Titolare, il Responsabile non potrà essere ritenuto responsabile per gli effetti derivanti da tali criticità.

    6. Resta fermo che il Responsabile non potrà essere ritenuto responsabile per tali eventi, salvo dolo o mancata adozione delle misure tecniche e organizzative previste dal GDPR per le attività di trattamento direttamente sotto il proprio controllo.

  9. Assistenza al titolare e data breach (violazione dati)

    1. Il Responsabile supporterà il Titolare per consentire l’adempimento degli obblighi relativi all’esercizio dei diritti degli interessati.

    2. In caso di violazione dei dati personali, il Responsabile informerà il Titolare senza ingiustificato ritardo e collaborerà per la gestione dell’evento.

    3. Ove un Utente presenti un Claim direttamente nei confronti del Responsabile per una violazione dei propri diritti, il Titolare difenderà, terrà indenne e manleverà il Responsabile da qualsiasi costo, addebito, danno, spesa o perdita derivanti da tale richiesta, purché il Responsabile abbia:

      1. provveduto a notificare tempestivamente il Claim al Titolare

      2. correttamente eseguito le istruzioni ricevute dal Titolare

      3. adottato le misure tecniche e organizzative adeguate per soddisfare l’obbligo dell’utente dell’esercizio dei diritti dell’interessato

      4. fornito al Titolare medesimo l’opportunità di collaborare con il Responsabile nell’azione difensiva e nella composizione della vertenza stessa.

  10. Trasferimenti di dati extra UE

    1. Eventuali trasferimenti di dati personali al di fuori dell’Unione Europea avverranno esclusivamente in presenza di garanzie adeguate e su istruzioni del Titolare.

    2. Nel caso in cui vi sia il trasferimento dei dati personali al di fuori del territorio dell’Unione Europea ad un responsabile o sub-responsabile del trattamento non sottoposto a norme e regole considerate compatibili con la disciplina del GDPR si applicheranno le “Standard  Contract Clauses” (SSC) rinvenibili all’URL  https://eur-lex.europa.eu/legal-content/IT/TXT/?uri=CELEX%3A32021D0915&locale-it

  11. Limitazioni di responsabilità e manleva

    1. Salvo i casi di dolo o colpa grave, la responsabilità complessiva del Responsabile per qualsiasi risarcimento danni derivante dall'esecuzione del presente contratto non potrà in alcun caso superare l'importo totale effettivamente corrisposto dall'Utente per il servizio oggetto della contestazione negli ultimi 12 mesi.

    2. L'Utente, approvata la scelta del fornitore, ne assume la titolarità sostanziale del rischio e solleva il Resposabile da ogni responsabilità per disservizi, perdite dati o violazioni originati dall'infrastruttura del provider. In tali casi, l'Utente si impegna a indirizzare ogni pretesa risarcitoria esclusivamente verso il provider, rinunciando a rivalersi sul Resposnsabile salvo i casi di dolo o colpa grave.

    3. Il Titolare si impegna a manlevare il Responsabile da eventuali responsabilità derivanti da violazioni imputabili ai sub-responsabili, come falle strutturali, attacchi hacker massivi o negligenze interne ai sistemi del sub-responsabile, nei limiti consentiti dalla normativa vigente e fatti salvi gli obblighi del Responsabile previsti dal GDPR.

    4. Il Titolare si impegna a tenere indenne il Responsabile da ogni sanzione amministrativa pecuniaria inflitta dalle Autorità di Controllo che sia conseguenza diretta di istruzioni impartite dal Titolare o di negligenze a lui imputabili.

  12. Legge applicabile e foro competente

    1. Il presente accordo è disciplinato dalla legge italiana.

    2. Per ogni controversia è competente in via esclusiva il Tribunale di Arezzo.

  13. Condizioni integrative (ex artt. 1341-1342 c.c.) 

    1. Ai sensi e per gli effetti degli artt. 1341 e 1342 c.c., il sottoscritto dichiara di aver letto attentamente e di accettare espressamente le clausole agli art. 6 (Sub-responsabili), 7 (Infrastruttura tecnica), 10 (Limitazioni di responsabilità e manleva). Per specifica approvazione.