GDPR
ADDENDUM SUL TRATTAMENTO DEI DATI PERSONALI
tra
Inferendo S.r.l., con sede in Via Firenze 37, 15121 Alessandria, Italia, (c.f. e P.I. 02622540066), in persona dell’Amministratore Alessandro Rolando (di seguito “Inferendo”), nella qualità di Responsabile del Trattamento;
e
il Cliente, ossia il soggetto che attraverso l’approvazione delle presenti condizioni di Contratto attraverso il Sito web www.visidea.ai ha richiesto le prestazioni di Inferendo stessa (di seguito “Cliente”; ove congiuntamente citati i contraenti saranno definiti “le Parti”).
Si conviene e stipula quanto segue ad integrazione del Contratto per la fornitura di servizi e la licenza di prodotti informatici stipulato (di seguito il “Contratto”)
*
I. Oggetto
Scopo del presente addendum è definire le modalità con le quali il Responsabile del Trattamento si impegna ad effettuare per conto del Titolare le operazioni di trattamento dei dati personali necessitate dal Contratto e meglio dettagliate nel seguito.
Nel quadro delle loro relazioni contrattuali, le Parti si impegnano a rispettare le fonti normative in vigore e, in particolare, il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “Regolamento europeo sulla protezione dei dati” o GDPR).
*
II. Descrizione delle prestazioni del Responsabile del trattamento
Il Responsabile del trattamento è autorizzato a trattare per conto del Titolare tutti i dati personali di terzi necessari per fornire i servizi di cui al Contratto, come meglio specificati nella seguente tabella.
Natura delle operazioni realizzate sui dati | Raccolta, salvataggio, elaborazione ai fini statistici, archiviazione, comunicazione a terze parti, profilazione utente. |
Finalità del trattamento | I dati personali forniti saranno utilizzati ai fini dell’instaurazione del rapporto, dell’esecuzione del contratto, nonché per consentire l’erogazione servizi previsti. |
Dati personali trattati | Indirizzo IP, email, nome, cognome, numero di telefono, titolo (es. Dott., Ing, Rag.), sesso, data di nascita, tipo di browser e sistema operativo utilizzati, identificatori univoci device, preferenze linguistiche, sito di provenienza, data e ora dell’accesso al sito web, informazioni sulla rete mobile, localizzazione (in termini strettamente proporzionati alle finalità di cui sopra), indirizzo di spedizione, indirizzo di fatturazione, codice fiscale, partita iva, ragione sociale, storico ordini, storico carrelli, storico fatturazione, storico visualizzazioni di pagina, ricerche effettuate, immagini caricate tramite sistema visual search, raccomandazioni visualizzate e click sulle raccomandazioni. |
Categorie di persone interessate (es. clienti, utenti del sito web, ecc) | 1)Iscritti al sito 2)Fruitori dell’attività di shopping on line |
*
III. Durata del contratto
La durata del presente Addendum è collegata e pari a quella del Contratto principale.
*
IV. Obblighi del Responsabile del trattamento
Il Responsabile del trattamento si impegna espressamente ad adempiere ai seguenti obblighi.
- Finalità
Il Responsabile si obbliga a trattare i dati solo per le finalità sopra specificate e per l’esecuzione delle prestazioni contrattuali.
- Violazioni
Il Responsabile si obbliga a trattare i dati conformemente alle istruzioni documentate provenienti dal Titolare del trattamento; se una o più tra le istruzioni ricevute costituirà violazione del GDPR o di altra fonte normativa dell’Unione o degli Stati membri relative alla protezione dei dati, il Responsabile del trattamento ne dovrà informare immediatamente il Titolare del trattamento.
- Trasferimento dei dati
Il Responsabile del Trattamento informa il Titolare, il quale accetta ed approva, che nell’ambito del Trattamento sarà necessario procedere al trasferimento dei dati verso un paese terzo appartenente al territorio Ue, ai fini dell’erogazione dei servizi.
- Riservatezza
Il Responsabile si obbliga a garantire la riservatezza e la sicurezza dei dati personali trattati nell’ambito del Contratto principale.
- Persone autorizzate
Il Responsabile si obbliga a controllare che le persone autorizzate a trattare i dati personali in virtù del presente contratto: – si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza; – ricevano la formazione necessaria in materia di protezione dei dati.
- Sub Responsabili
Il Titolare autorizza il Responsabile del trattamento a ricorrere a un ulteriori Responsabili del trattamento (di seguito, “Sub Responsabili del trattamento”) per gestire attività di trattamento specifiche ai fini dell’instaurazione, gestione, esecuzione, erogazione e/o conclusione dei prodotti e dei servizi previsti a contratto; in riferimento alle stesse vengono fin d’ora nominati quali Sub Responsabili “SoftLayer Dutch Holdings B.V.”, “Google LLC”, soggetti che il Titolare dichiara fin d’ora di conoscere e approvare, così come dà atto di essere a conoscenza, e così accetta ed approva, che la nomina di tali soggetti implica il trasferimento dei dati all’estero.
Il Responsabile del Trattamento sarà tenuto a dare pronto avviso per iscritto al Titolare del trattamento di ogni notizia riguardante la sostituzione dei Sub Responsabili o la nomina di altri Sub Responsabili; il Titolare del trattamento disporrà di un tempo massimo di due giorni a partire dalla data di ricevimento dell’avviso per presentare le proprie obiezioni, dopo di che in assenza di obiezioni il Responsabile potrà procedere con quanto preannunciato. I Sub Responsabili del trattamento dovranno rispettare gli obblighi del presente contratto per conto e secondo le istruzioni del Titolare del trattamento.
- Informativa
Il Responsabile del trattamento, al momento della raccolta dei dati (se da lui effettuata), fornirà alle persone interessate dalle operazioni di trattamento le informazioni necessarie; la formulazione ed il contenuto dell’informativa sono state comunicate prima d’ora al Titolare che dichiara di approvarli.
- Assistenza
Per quanto possibile, il Responsabile del trattamento assisterà il Titolare del trattamento nell’espletamento dei propri obblighi in merito alle domande di esercizio dei diritti delle persone interessate (e così in merito a: diritto di accesso, di rettifica, di cancellazione e di opposizione, diritto alla limitazione del trattamento, diritto alla portabilità, diritto di non essere soggetto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona).
In particolare, qualora le persone interessate esercitino tale diritto presso il Responsabile del trattamento presentandogli la relativa richiesta, il Responsabile del trattamento dovrà prontamente inoltrare tali richieste al Titolare e seguirne le eventuali indicazioni operative.
In generale, il Responsabile del trattamento assisterà il Titolare nell’attuazione degli obblighi su lui ricadenti ed in particolare nella realizzazione dell’analisi d’impatto relativa alla protezione dei dati (se necessaria), e nell’eventuale consultazione preventiva dell’autorità di controllo (art. 36 del GDPR).
- Violazioni
Il Responsabile del trattamento notificherà al Titolare del trattamento ogni violazione di dati a carattere personale nel tempo massimo di 24 ore dopo esserne venuto a conoscenza, attraverso comunicazione scritta. Tale notifica sarà accompagnata dalla documentazione utile per permettere al Titolare del trattamento, se necessario, di notificare questa violazione all’Autorità di controllo competente ed agli interessati.
- Misure di Sicurezza
Il Responsabile del trattamento s’impegna a mettere in opera le seguenti misure di sicurezza:
10.a) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
10.b) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
10.c) l’approntamento di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
- Disposizione dei dati al termine delle prestazioni contrattuali
Al termine dell’esecuzione del Contratto, il Responsabile del trattamento s’impegna a trasferire tutti i dati personali al Titolare del trattamento. Il rinvio deve essere accompagnato dalla distruzione di tutte le copie esistenti nei sistemi e negli archivi del Responsabile del trattamento. Una volta compiuta, il Responsabile del trattamento deve documentare per iscritto la distruzione dei dati.
- Registro delle categorie di attività di trattamento
Il Responsabile del trattamento dichiara di tenere un registro di tutte le categorie di attività di trattamento effettuate per conto del Titolare del trattamento, le quali comprendono:
– Il nome ed i dati del Titolare del trattamento, degli eventuali Responsabili e, se nominato, del Responsabile della protezione dei dati; – Le categorie di trattamenti effettuati per conto del Titolare del trattamento; – Se esistenti, i trasferimenti di dati personali verso un paese terzo; – Per quanto possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative.
- Documentazione
Il Responsabile del trattamento, a seguito di richiesta scritta, metterà a disposizione del Titolare del trattamento la documentazione necessaria per dimostrare il rispetto di tutti gli obblighi su di lui ricadenti, anche al fine di permettere revisioni, ispezioni, e osservazioni da parte del Titolare del trattamento.
*
V. Obblighi del Titolare del trattamento.
Il Titolare del trattamento si impegna a:
- Fornire al Responsabile del trattamento i dati previsti al punto II del presente addendum;
- Documentare per iscritto tutte le istruzioni riguardanti il trattamento dei dati da parte del Responsabile del trattamento;
- Vigilare, in anticipo e durante la durata di tutto il trattamento, sul rispetto degli obblighi previsti dal GDPR da parte del Responsabile del trattamento;
- Supervisionare il trattamento, comprese le revisioni e le ispezioni da parte del Responsabile del trattamento.
- Fornire (nei casi in cui proceda direttamente alla raccolta dei dati) adeguata informazione agli interessati in merito al trattamento dei dati ed al trasferimento al Responsabile del trattamento.
Il Titolare del trattamento resta esclusivamente responsabile per tutte le violazioni del GDPR ricadenti nella sua sfera di responsabilità; in particolare – anche nel caso in cui i Prodotti Informatici oggetto di licenza includano Programmi o Applicazioni dedicati al trattamento e/o alla gestione di dati personali e/o alla generazione di documenti relativi a tali operazioni – accetta espressamente e riconosce che la concessione in licenza dei Prodotti e l’adempimento degli obblighi ricadenti in capo al Responsabile del trattamento non costituiscono né possono sostituire la prestazione di consulenza legale in relazione al trattamento dei dati stessi.
*
VI. Modifiche del presente addendum.
Inferendo si riserva di modificare le presenti condizioni in funzione delle novità normative, giurisprudenziali e interpretative in materia di protezione dei dati personali. Tali modifiche saranno comunicate al Cliente via email e si intenderanno accettate ove non rifiutate nel termine di 30 giorni.
*
VII. Comunicazioni
Le Parti dichiarano di voler ricevere tutte le comunicazioni relative all’esecuzione della presente scrittura attraverso recapiti e-mail definiti all’atto di sottoscrizione del servizio.