RGPD - Data Processing Agreement (DPA)
Accordo per il trattamento dei dati personali per la licenza d'uso dei prodotti software di Walcu
Accordo per il trattamento dei dati personali per la licenza d’uso dei prodotti software di Walcu
Da un lato, il Cliente, che agisce in qualità di titolare del trattamento dei dati (di seguito, “Responsabile del trattamento” o “Responsabile”).
E, dall’altro, ALDAJO TRADING, S.L., in qualità di responsabile del trattamento dei dati, con partita IVA B88049705 e sede legale in Carretera de la Coruña Km 17, 28231 Las Rozas de Madrid (Madrid) (di seguito, l’ “Incaricato del trattamento” o l’ “Incaricato”).
Di seguito, entrambe le parti, congiuntamente come “le Parti” o individualmente come “la Parte”, riconoscono di avere la capacità sufficiente per stipulare il presente contratto di elaborazione dati (di seguito, “Contratto di elaborazione dati“) e per questo scopo:
DICHIARANO
1. Che entrambe le Parti hanno stipulato un contratto di licenza per l’utilizzo di un prodotto software di proprietà dell’Incaricato del trattamento.
2. Che il Cliente è il Titolare del trattamento dei dati individuati nella Stipula Quattro, il tutto ai sensi di quanto previsto dal Regolamento (UE) 2016/679, del 27 aprile (di seguito, “GDPR“), e dalla L.O. 3/2018, del 5 dicembre, in materia di protezione dei dati e garanzia dei diritti digitali (LOPDGDD).
Qualora, a seguito dell’esecuzione dei servizi contrattualizzati, L’incaricato del trattamento abbia accesso ed effettui qualsiasi tipo di trattamento dei dati personali di cui è responsabile l’Incaricato, lo farà in qualità di Responsabile del trattamento, in conformità a quanto previsto dall’articolo 28 del RGPD.
3. Che in conformità alle disposizioni del GDPR e delle altre normative applicabili in materia di protezione dei dati, l’INCARICATO offre garanzie sufficienti per attuare politiche tecniche e organizzative adeguate ad applicare le misure di sicurezza stabilite dalla normativa vigente e a tutelare i diritti degli interessati.
4. Entrambe le parti concordano di stipulare il presente Contratto di Incaricato del Trattamento dei dati, subordinatamente a quanto segue,
STIPULANO
PRIMO. Finalità.
Con le presenti clausole, l’Incaricato del trattamento è autorizzato a trattare, per conto del Titolare del trattamento, i dati personali necessari per fornire il servizio descritto nella clausola tre dei Termini e condizioni di contratto per la licenza d’uso dei prodotti software dell’incaricato del trattamento. L’incaricato del trattamento agirà sempre in conformità alle istruzioni del Titolare del trattamento, descritte nel presente DPA.
Le operazioni di trattamento autorizzate saranno quelle strettamente necessarie al raggiungimento delle finalità del servizio e potranno essere:
Consultazione
Conservazione
Limitazione
Cancellazione / Distruzione
SECONDO. Durata.
Il presente Contratto di Processore di Dati entrerà in vigore al momento dell’accettazione e avrà la stessa durata dei servizi contrattati con il Processore di Dati.
TERZO. Finalità del trattamento.
L’Incaricato del trattamento dei dati si impegna a garantire che il trattamento dei dati da lui effettuato sia limitato a quello necessario per la fornitura dei servizi regolati nei Termini e Condizioni Walcu (https://www.walcu.com/es/terminos-de-uso/) e che sono stati contrattati dal Titolare.
QUARTO. Tipi di dati trattati.
Categorie di interessati:
Dati provenienti dall’account del Titolare del trattamento. I dipendenti del Titolare e le persone autorizzate dal Titolare ad accedere all’account.
Contenuto del Titolare del trattamento. Clienti e utenti finali del Titolare del trattamento.
Dati di utilizzo del Titolare del trattamento. Clienti e utenti finali del Titolare del trattamento.
Tipo di dati trattati:
- Dati identificativi e di contatto.
- Dati professionali.
- Dati di utilizzo dell’applicazione.
- Dati economici e bancari.
- Dati vocali e/o immagini.
L’Incaricato del trattamento non è responsabile delle informazioni inserite o memorizzate dal cliente ed è l’unico responsabile del tipo di dati inseriti, in particolare dei dati di categoria speciale, e del loro trattamento.
QUINTO. Divieto di comunicazione dei dati personali.
L’Incaricato del trattamento si impegna a mantenere sotto il proprio controllo e custodia i dati personali forniti dal Titolare del trattamento ai quali ha accesso in relazione all’erogazione dei Servizi e a non diffonderli, trasferirli o comunque comunicarli, neppure per la conservazione ad altri soggetti estranei allo stesso e all’erogazione del Servizio.
Tuttavia, l’Incaricato del trattamento non incorrerà in responsabilità quando, previa espressa indicazione scritta e previa indicazione scritta del Responsabile del trattamento, comunicherà i dati ad un soggetto terzo designato dall’Incaricato, il quale avrebbe affidato l’erogazione di un servizio fornito nel rispetto della normativa vigente in materia di protezione dei dati.
Non sarà considerata comunicazione o accesso ai dati l’accesso ai dati nell’ambito del trattamento dei dati di carattere personale, quando tale accesso sia necessario per la corretta erogazione dei servizi.
SESTO. Subappalto dei servizi.
Il Titolare del trattamento accetta che il Responsabile del trattamento possa avvalersi di subprocessori (di seguito “Subprocessori” o “Subprocessore”) per l’esecuzione degli obblighi previsti dal presente Contratto.
Il Titolare del trattamento fornisce un consenso generale al Responsabile del trattamento per l’impiego di subprocessori, nel rispetto dei seguenti requisiti:
- Ogni Subprocessore dovrà garantire il rispetto delle norme sulla protezione dei dati.
- L’Incaricato del trattamento limiterà l’accesso del Subprocessore ai Dati personali del Titolare del trattamento strettamente necessari per la fornitura dei propri servizi.
Il Responsabile accetta che l’Incaricato del trattamento possa incaricare ulteriori Subprocessori per il trattamento dei dati nell’ambito dei servizi forniti e per le finalità consentite, e manterrà un elenco aggiornato dei propri Subprocessori; in tali casi, tuttavia, il Titolare sarà informato di tali modifiche in modo che il Titolare possa opporsi a tali modifiche, se del caso. In caso di opposizione, l’Incaricato del trattamento deciderà se stipulare o meno il contratto con tale Sub-agente. Nel caso in cui decida di stipulare un contratto con il Sub-agente in caso di opposizione da parte del Titolare, ciò costituirà automaticamente motivo di risoluzione del Contratto tra le parti.
Quando l’Incaricato del trattamento si avvale di un Sub-incaricato, entrambi devono rispettare le condizioni di cui ai paragrafi 2 e 4 dell’articolo 28 del GDPR. In particolare, l’Incaricato del trattamento si impegna a far sì che i Subprocessori rispettino gli stessi obblighi di protezione dei dati previsti dal presente contratto.
L’Incaricato del trattamento mette a disposizione del Titolare un elenco dei Subprocessori, che dovrà essere sempre aggiornato (https://www.walcu.com/es/lista-subencargados/).
SETTIMO. Trasferimenti internazionali di dati.
L’Incaricato del trattamento potrà effettuare trasferimenti internazionali dei dati sotto la responsabilità del Titolare del trattamento al di fuori dello Spazio Economico Europeo, necessari per l’erogazione dei servizi oggetto del contratto. In caso di trasferimenti al di fuori del SEE, questi saranno effettuati in conformità alle disposizioni degli articoli da 44 a 49 del GDPR.
Il Titolare mette a disposizione dell’Incaricato del trattamento un elenco aggiornato dei soggetti terzi che hanno accesso ai dati e degli eventuali trasferimenti internazionali effettuati (https://www.walcu.com/es/lista-subencargados/).
OTTAVO. Sicurezza dei dati personali.
L’Incaricato del trattamento garantisce l’applicazione di misure tecniche e organizzative adeguate per assicurare che il trattamento sia conforme ai requisiti di legge, in conformità alle disposizioni dell’articolo 32 del GDPR.
Qualora l’Incaricato del trattamento richieda al Titolare del trattamento, con i mezzi indicati nella clausola sedici, un documento che illustri tali misure, esso sarà fornito con gli stessi mezzi, nel più breve tempo possibile.
NONO. Collaborazione nella notifica delle violazioni di sicurezza.
9.1. Notifica delle violazioni della sicurezza.
In caso di violazione della sicurezza nei sistemi del Titolare del trattamento, che possa interessare i dati sotto la responsabilità dell’Incaricato del trattamento, il Titolare del trattamento, entro un termine massimo di 36 ore, sempre dopo essere venuto a conoscenza della violazione dei dati personali, si impegna a notificare al Titolare del trattamento l’incidente attraverso l’indirizzo di posta elettronica designato dal Titolare del trattamento, insieme a tutte le informazioni pertinenti per la documentazione e la comunicazione dell’incidente.
9.2. Assistenza al Titolare del trattamento
L’Incaricato del trattamento metterà a disposizione del Titolare del trattamento le informazioni richieste dal Titolare del trattamento per dimostrare il rispetto degli obblighi di cui all’articolo 28 del GDPR. Consentirà inoltre lo svolgimento di audit, comprese le ispezioni, da parte del Titolare del trattamento o di un altro revisore autorizzato dal Titolare del trattamento. L’Incaricato del trattamento non aderisce ad alcun Codice di condotta approvato ai sensi dell’articolo 40 del GDPR.
DECIMO. Diritti di accesso, rettifica, cancellazione, limitazione, opposizione e portabilità dei dati.
In caso di esercizio dei diritti da parte di terzi clienti o dipendenti del Titolare del trattamento,lL’Incaricato del trattamento ne darà immediata comunicazione al Titolare del trattamento e, al più tardi, entro 7 giorni lavorativi, in modo che possa rispondere e fornire, se del caso, il dovuto riscontro.
UNDICESIMO. Riservatezza.
L’obbligo di segretezza e riservatezza derivante dal presente Contratto vincola l’Incaricato del trattamento per tutta la durata del rapporto con il Titolare.
L’Incaricato del trattamento assicura che le persone da lui incaricate, autorizzate al trattamento dei dati personali sotto la responsabilità del Titolare, assumeranno l’impegno alla riservatezza e saranno soggette ad adeguati obblighi legali di riservatezza, anche dopo la cessazione del Contratto.
L’Incaricato del trattamento si impegna a consentire l’accesso a tali dati solo ai dipendenti che hanno bisogno di conoscerli per il corretto svolgimento delle loro mansioni nell’ambito della fornitura dei Servizi.
DODICESIMO. Periodo di conservazione e restituzione delle informazioni.
L’Incaricato del trattamento fornirà la possibilità di ottenere una copia o di cancellare i dati attraverso il proprio sistema. In questo modo il Titolare del trattamento potrà esercitare il diritto di accesso, portabilità e cancellazione dei dati. Il Titolare del trattamento si impegna ad essere l’unico responsabile per l’ottenimento di una copia dei Suoi dati e per la cancellazione dei Suoi dati al termine del periodo di cancellazione indicato di seguito. In caso di fine del contratto, il Responsabile del trattamento provvederà a:
- Fornire al Responsabile del trattamento, nei 30 giorni successivi alla data di scadenza del contratto, la possibilità di ottenere una copia dei Suoi dati attraverso il proprio sistema.
- Cancellare automaticamente i dati del Titolare entro 30 giorni dalla cessazione del contratto.
- Cancellare automaticamente i dati del Titolare nei sistemi di back-up entro 60 giorni dalla cessazione del contratto.
Qualsiasi contenuto del Controllore archiviato nei sistemi di back-up del Controllore sarà isolato in modo sicuro e protetto da ulteriori trattamenti, salvo quanto richiesto dalla legge applicabile.
In deroga a quanto sopra, il Responsabile del trattamento può conservare le informazioni del Titolare del trattamento o parte di esse se richiesto dalla legge.
Pertanto, il Responsabile del trattamento tratterà i dati dell’account del Titolare per tutto il tempo necessario a fornire i servizi al Titolare. I dati dell’account del Responsabile del trattamento memorizzati nel (nel) sistema (i) amministrativo devono essere conservati per un periodo di sei anni dopo la cessazione del rapporto a fini contabili, fiscali e di revisione, ai sensi e in conformità con la legge applicabile. I dati dell’account del Responsabile del Trattamento conservati nelle comunicazioni con i team di assistenza clienti dell’Incaricato del Trattamento possono essere conservati per un periodo massimo di tre anni dopo la cessazione del Contratto.
In ogni caso, i dati conservati per i motivi sopra indicati, una volta terminato il rapporto contrattuale tra le parti, rimarranno sempre bloccati.
TREDICESIMO. Responsabilità delle parti.
L’INCARICATO DEL TRATTAMENTO è responsabile delle violazioni in cui può incorrere nel caso in cui tratti i dati personali del Titolare del trattamento per finalità diverse da quelle previste dal presente contratto, nonché nel caso in cui non adotti le misure di sicurezza corrispondenti.
IL RESPONSABILE DEL TRATTAMENTO sarà responsabile di eventuali infrazioni, sanzioni e/o multe che gli potranno essere comminate per il mancato rispetto degli obblighi derivanti dalla normativa sulla protezione dei dati.
QUATTORDICESIMO. Protezione dei dati personali.
Ciascuna delle Parti è informata che i propri dati personali saranno trattati dall’altra Parte, in conformità alle disposizioni del Regolamento Generale 2016/679, in materia di protezione dei dati e della L.O. 3/2018, in materia di protezione dei dati e garanzia dei diritti digitali, al fine di consentire lo sviluppo, l’adempimento e il controllo della fornitura dei servizi, avendo come base del trattamento l’esecuzione del rapporto contrattuale. I dati saranno conservati per tutta la durata del contratto e successivamente, per obbligo di legge, fino alla scadenza degli obblighi e/o delle responsabilità da esso derivanti. I dati delle parti potranno essere trasferiti a banche, assicurazioni e Pubbliche Amministrazioni, nei casi previsti dalla Legge e per le finalità ivi definite. Le parti possono richiedere l’accesso ai dati personali, la rettifica, la cancellazione, la portabilità e la limitazione del trattamento, nonché opporsi al loro trattamento, all’indirizzo dell’altra parte che compare nell’intestazione del presente Contratto.
QUINDICESIMO. Legislazione e giurisdizione applicabile.
Il Titolare del trattamento dei dati afferma di essere a conoscenza e di accettare le condizioni d’uso riportate sul sito https://www.walcu.com/es/terminos-de-uso/.
Il presente Accordo con l’Incaricato del trattamento dei dati sarà disciplinato dalla normativa spagnola ed europea in materia di protezione dei dati personali, nonché dalle risoluzioni e dalle linee guida dell’Agenzia spagnola per la protezione dei dati e di altri organismi competenti in materia.
Al fine di risolvere qualsiasi discrepanza in merito all’interpretazione e/o all’esecuzione delle disposizioni del presente Contratto di elaborazione dati, le Parti si sottopongono alla giurisdizione delle Corti e dei Tribunali della città di Madrid, rinunciando espressamente a qualsiasi altra legislazione o giurisdizione a cui possano avere diritto.
SEDICESIMO. Comunicazioni.
Le parti si impegnano a comunicare, preferibilmente e abitualmente, via e-mail ai seguenti indirizzi:
- L’incaricato: dpo@walcu.com
- Il Responsabile: l’indirizzo e-mail dell’amministratore principale del prodotto Walcu oggetto del contratto o l’indirizzo e-mail normalmente utilizzato tra le parti.
DICIASSETTESIMO. Accettazione.
Le Parti convengono di poter utilizzare la firma elettronica semplice per sottoscrivere il presente Accordo con il Titolare del Trattamento e di conseguenza accettano e riconoscono che l’utilizzo della firma elettronica semplice avrà la stessa validità della firma autografa su carta per il perfezionamento della stessa.