ACCORDO PRINCIPALE PER IL TRATTAMENTO DI DATI PERSONALI – MASTER DATA PROCESSING
AGREEMENT
(ex art. 28 del Regolamento UE 2016/679) TRA
Il
presente accordo per la protezione di dati personali è concluso tra Nutribook s.r.l.s. con sede
legale in via Vittoria 23G, San Lazzaro di Savena (BO), Partita IVA I03967501200
(di seguito definito “Nutribook” o il “Fornitore”)
E
il
soggetto indicato nel contratto di cui ai Termini e Condizioni quale Cliente
(di seguito il “Cliente”), di seguito,
congiuntamente, le “Parti”
PREMESSO CHE
a)
Il
Cliente ha sottoscritto uno o più contratti con il Fornitore relativo/i alla
fruizione di servizi destinati alla gestione dell’attività di Professionisti
che prestano attività nel settore della nutrizione offerti dal Fornitore stesso
(di seguito il “Contratto”);
b)
Al
fine della fruizione, da parte del Cliente dei servizi offerti dal Fornitore
quest’ultimo tratta i dati personali degli Interessati cui i dati si
riferiscono, ivi compresi quelli riferibili ai Pazienti, immessi nella
piattaforma e/o comunicati a Nutribook dal Cliente
e/o dal/i Paziente/i;
Il Cliente intende dunque nominare Nutribook quale Responsabile esterno del trattamento dei
dati trattati in forza del punto che precede delle premesse e le Parti
intendono disciplinare nel presente “accordo principale per il trattamento dei
dati personali – Master Data
Processing Agreement” (nel seguito “MDPA” o
“Accordo”) le condizioni e le modalità del trattamento dei dati personali
eseguito dal Fornitore nell’ambito del Contratto e della prestazione dei
Servizi e le responsabilità connesse al trattamento medesimo, ivi incluso
l'impegno assunto dal Fornitore, quale Responsabile esterno del trattamento dei dati personali ai sensi dell'art. 28
del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016
n. 679 (nel seguito “GDPR”).
Tutto quanto sopra
premessole Parti convengono quanto segue:
1. PREMESSE E
ALLEGATI
1.1. Le
premesse, gli Allegati e i Termini e Condizioni presente sul sito web www.nutribook.app/gdpr costituiscono
parte integrante del presente Accordo.
2. DEFINIZIONI
2.1.Ai fini del
presente Accordo si intende:
-
per “Contratto”: l’accordo di cui ai Termini e Condizioni pubblicati sul
sito https://www.nutribook.app/termini
in relazione alla fruizione dei Servizi offerti dal fornitore Nutribook s.r.l.s..
- per “Professionista”:
il Medico dell’alimentazione, il Biologo Nutrizionista, il Dietologo, il
Dietista e comunque il Professionista della nutrizione abilitato all’esercizio
della relativa attività;
- per “Cliente”:
il Professionista, la società tra professionisti o l’associazione professionale
che accede alla Piattaforma e usufruisce dei servizi verso pagamento del
relativo corrispettivo e l’Utente della Piattaforma che, accedendo alla stessa,
anche a titolo gratuito, mediante la relativa procedura di registrazione,
procede alla creazione dell’Account e utilizza i servizi offerti
da Nutribook in qualità Professionista;
- per “Paziente”:
il cliente del Professionista;
-
per “Dato Personale”: qualsiasi informazione riguardante una persona
fisica identificata o “identificabile”, tale ultima essendo quella identificata
direttamente o indirettamente, con particolare riferimento a un identificativo
come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo
online o a uno o più elementi caratteristici della sua identità fisica,
fisiologica, genetica, psichica, economica.
-
per “Trattamento di dati personali”: automatizzati e applicate a dati
personali o insiemi di dati personali, come la raccolta, la trasmissione,
l’archiviazione, la ricezione, l’elaborazione, la registrazione, l’organizzazione,
la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione,
la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o
qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione,
la limitazione, la cancellazione o la distruzione;
- per
“Titolare del Trattamento”: la persona fisica o giuridica, l’autorità
pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri,
determina le finalità e i mezzi del trattamento di dati personali;
- per
“Responsabile del Trattamento”: la persona fisica o giuridica,
l’autorità pubblica, il servizio o altro organismo che tratta dati personali per
conto del titolare del trattamento;
-
per “Decisione di Adeguatezza” una decisione della Commissione Europea
sulla base dell’Articolo 45 del GDPR in merito al fatto che le leggi di un
certo paese garantiscano un adeguato
livello di protezione, come previsto dalla Legislazione in materia di
Protezione dei Dati Personali; “Email di notifica”
si intende l'indirizzo email fornito dal Cliente, all'atto della sottoscrizione
del Servizio o fornito tramite altro canale ufficiale
al Fornitore, a cui il Cliente intende ricevere le notifiche
da parte del Fornitore;
- per “Istruzioni”: le istruzioni scritte
impartite dal Titolare nel presente Accordo
e, eventualmente, nel Contratto;
-
per “Legislazione in materia di Protezione dei Dati Personali”: il GDPR
(REG EU 679/2016), il d.lgs. n. 196/2003 e ss.mm.ii.
e ogni eventuale ulteriore norma e/o regolamento di attuazione emanati ai sensi
del GDPR, comunque vigenti in Italia in materia di protezione dei Dati
Personali, nonché ogni provvedimento vincolante che risulti emanato dalle
autorità di controllo competenti in materia di protezione dei Dati Personali
(es. Garante per la protezione dei dati personali) e conservi efficacia vincolante (ivi inclusi i requisiti delle
Autorizzazioni generali al trattamento dei dati sensibili e giudiziari, se
applicabili e ove mantengano la propria efficacia
vincolante successivamente al 25 maggio 2018);
-
per “Personale del Fornitore”: i dipendenti, consulenti, e altro
personale del Fornitore, con esclusione del personale dei Responsabili
Ulteriori del Trattamento e di quello relativo ad altri soggetti che trattano i
dati quali autonomi Titolari del Trattamento;
-
per “Richiesta”: richiesta di accesso di un Interessato, una richiesta di cancellazione o correzione dei Dati Personali, o una
richiesta di esercizio di uno degli altri diritti previsti dal GDPR;
-
per “Responsabile Ulteriore del Trattamento”: qualunque subappaltatore cui il
Fornitore abbia subappaltato uno qualsiasi degli obblighi assunti contrattualmente
e che, nell’adempiere tali obblighi,
potrebbe dover raccogliere, accedere, ricevere, conservare o altrimenti
trattare Dati Personali;
-
per “Servizio/i” indica il servizio o i servizi oggetto del/i Contratto/i
sottoscritto/i tra il Cliente e il Fornitore;
-
per “Utente Finale” l'eventuale fruitore finale del Servizio, Titolare
del Trattamento;
-
per “Violazione della Sicurezza dei Dati Personali”: la violazione di
sicurezza che comporta accidentalmente o in modo illecito la distruzione, la
perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati
Personali occorsa su sistemi gestiti dal Fornitore o comunque sui quali il
Fornitore abbia un controllo.
3.
RUOLO DELLE PARTI
3.1. Le Parti riconoscono e convengono che,
salvo casi particolari, il Fornitore agisce quale Responsabile esterno del
trattamento in relazione ai Dati
Personali e il Cliente/Utente agisce quale Titolare del trattamento dei Dati
Personali.
3.2. Qualora il Cliente svolga operazioni di
trattamento per conto di altro Titolare, il Cliente potrà agire come
Responsabile del trattamento. In tal caso, il Cliente garantisce che le
istruzioni impartite e le attività intraprese in relazione al trattamento dei
Dati Personali, inclusa la nomina, da parte del Cliente, del Fornitore quale
ulteriore Responsabile del trattamento derivante dalla stipulazione del
presente Accordo è stata autorizzata dal relativo Titolare del trattamento e si
impegna ad esibire e a fornire al Fornitore, dietro sua semplice richiesta
scritta, la documentazione attestante quanto
sopra.
3.3. Ciascuna delle Parti si impegna a conformarsi,
nel trattamento dei Dati Personali e ai rispettivi
obblighi derivanti dalla Legislazione in materia di Protezione dei Dati
Personali applicabile.
4. TRATTAMENTO DEI DATI PERSONALI
4.1.
Con la stipulazione del presente Accordo, il Cliente nomina Nutribook
s.r.l.s. quale Responsabile esterno del trattamento
nel rispetto di tutte le norme della disciplina di cui al reg. eu. n. 679/2016 e ss.mm.ii. e affida al Fornitore l'incarico di trattare i Dati
Personali degli Interessati immessi da questi ultimi o dal Cliente nella
Piattaforma o altrimenti comunicati al Fornitore ai fini
della prestazione dei Servizi, così come meglio dettagliato nel Contratto e nel
presente Accordo.
4.2. Il trattamento di dati da parte del
fornitore riguarda tutti i dati personali di cui al comma 4.1, quali, a titolo
esemplificativo, dati identificativi, dati nutrizionali, dati di contatto, dati
finanziari, dati commerciali, dati dei log nei sistemi e nelle applicazioni,
dati comunicati spontaneamente dagli interessati; il trattamento avviene nella misura in cui sia
necessario all’esecuzione del contratto da parte del Fornitore, sulla
base del Contratto di cui ai Termini e Condizioni
relativo alla piattaforma Nutribook.
4.3. Le basi giuridiche
del trattamento sono, a seconda delle finalità perseguite dal Titolare le seguenti:
(i) l’art. 6, comma
primo, lett. b), Reg. Eu n. 679-2016 (“il trattamento è necessario
all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di
misure precontrattuali adottate su richiesta dello stesso”);
(ii) l’art. 6, comma
primo lett. f) (“il
trattamento è necessario per il perseguimento del legittimo interesse del
titolare del trattamento o di terzi, a condizione che non prevalgano gli
interessi o i diritti e le libertà fondamentali dell'interessato che richiedono
la protezione dei dati personali, in particolare se l'interessato è un minore”)
(iii) l’art. 6, comma
primo lett. e) (il consenso dell’interessato” di cui all’art. 9, secondo comma,
l. a), Reg. EU n. 679-2016;
(iv) punto l’art. 6,
comma primo, lett. c), Reg. Eu n. 679-2016 (“il trattamento è necessario per
adempiere un obbligo legale al quale è soggetto il titolare del trattamento”).
4.4. Il Cliente prende atto che il
servizio è destinato alla gestione dei pazienti, delle attività dei professionisti
del settore della nutrizione e potrebbe prevedere anche dati di natura
particolare di cui all’art. 9 GDPR, ivi compresi dati idonei a rivelare lo
stato di salute; in questo caso il Cliente si assume ogni responsabilità del
trattamento di tali dati, come previsto al successivo art. 13.
4.5. Il Fornitore si impegna a conformarsi alle
Istruzioni del Cliente, fermo restando che, qualora quest’ultimo richieda
variazioni rispetto alle Istruzioni iniziali, il Fornitore valuterà gli aspetti
di fattibilità e concorderà con il Cliente le predette
variazioni ed i costi connessi.
4.6. Nei casi di cui all'art. 3.2 e in
caso di richieste del Cliente che comportino il trattamento di Dati Personali
che siano, ad avviso del Fornitore, in violazione della Legislazione in materia
di Protezione dei Dati Personali, il Fornitore è autorizzato ad astenersi
dall'eseguire tali Istruzioni e ne informerà prontamente il Cliente. In tali
casi il Cliente potrà valutare eventuali variazioni alle Istruzioni impartite o
contattare l'Autorità di controllo per verificare la liceità delle richieste avanzate.
5.
LIMITAZIONI ALL’UTILIZZO DEI DATI PERSONALI
5.1. Nell'eseguire il trattamento dei Dati
Personali ai fini della prestazione dei Servizi il Fornitore si impegna a
eseguire il trattamento dei Dati Personali:
5.1.1. soltanto nella misura, e con le
modalità necessarie, per erogare i Servizi o per adempiere opportunamente i
propri obblighi previsti dal Contratto e dal presente Accordo ovvero imposti dalla legge o da un organo di vigilanza
o controllo competente. In tale
ultima circostanza il Fornitore ne informerà il Cliente (salvo il caso in cui
ciò sia vietato dalla legge per ragioni di pubblico interesse) mediante
comunicazione trasmessa ai dati di contatto indicati all’art. 18 del presente
Accordo;
5.1.2. in conformità alle Istruzioni del Cliente.
5.2
Il Personale del Fornitore che accede, o comunque tratta i Dati Personali, è
preposto al trattamento di tali dati sulla base di idonee autorizzazioni e ha
ricevuto la necessaria formazione anche in merito al trattamento dei dati
personali. Tale personale è altresì vincolato da obblighi di riservatezza e
deve attenersi alle policy di riservatezza e di protezione dei dati personali
adottate dal Fornitore.
6.
AFFIDAMENTO A TERZI
6.1. In relazione all'affidamento
a Responsabili Ulteriori del Trattamento di operazioni di trattamento di Dati
Personali le Parti convengono quanto segue:
6.1.1. Il Cliente acconsente espressamente che alcune
operazioni di trattamento di Dati Personali,
correlate alla prestazione dei servizi siano affidate dal Fornitore a soggetti terzi, che offrono garanzie
di riservatezza dei dati.
6.1.2. Il Cliente acconsente espressamente
all’affidamento dei servizi di data center a Google, attraverso il servizio
Cloud Saas e dichiara di essere a conoscenza che i server sono ubicati presso il datacenter Google – Google Cloud
Platform all’interno del territorio dell’Unione Europea, come indicato da
Google (per maggiori dettagli le Parti rinviano al seguente indirizzo
link: https://cloud.google.com/security/compliance/)
6.2. Nei casi in cui il Fornitore ricorra
a Responsabili Ulteriori del Trattamento per l'esecuzione di specifiche
attività di trattamento dei Dati Personali, il
Fornitore:
6.2.1. si impegna ad avvalersi di
Responsabili Ulteriori del Trattamento che garantiscono misure tecniche e
organizzative adeguate e garantisce che l'accesso ai Dati Personali, e il relativo trattamento, sarà effettuato esclusivamente nei limiti di
quanto necessario per l'erogazione dei servizi subappaltati;
6.2.2. almeno 15 (quindici) giorni
prima della data di avvio delle operazioni di
trattamento dei Dati Personali da parte del Responsabile Ulteriore del Trattamento informa il Cliente dell'affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell'ubicazione dei
server sui quali saranno conservati i dati, se applicabile - e delle attività affidate) mediante invio di e-mail all’indirizzo di
contatto di cui all’art. 18 del presente Accordo o altro mezzo ritenuto idoneo
dal Fornitore. Il Cliente potrà opporsi al trattamento da parte del
Responsabile Ulteriore del Trattamento comunicando tale opposizione al Fornitore;
Il Fornitore non ricorrerà al Responsabile del Trattamento, salvo che sia
necessario per l’erogazione dei servizi. Il Cliente potrà recedere dal
Contratto entro 15 (quindici) giorni dal ricevimento della comunicazione, fermo
restando l'obbligo di corrispondere al Fornitore gli eventuali importi dovuti
alla data di cessazione del Contratto.
7.
MISURE DI SICUREZZA DEL FORNITORE
7.1. Nell'eseguire il trattamento dei
Dati Personali ai fini della prestazione dei Servizi il Fornitore si
impegna ad adottare misure tecnico-organizzative adeguate per
evitare il trattamento illecito o non autorizzato, la distruzione accidentale o
illecita, il danneggiamento, la perdita accidentale, l'alterazione e la
divulgazione non autorizzata di dati, o l’accesso
ai Dati Personali, come descritte nell'Allegato 1 al presente Accordo (“Misure
di Sicurezza”).
7.2. L'Allegato 1 all'Accordo contiene
misure di protezione degli archivi dati commisurate al livello dei rischi presenti con
riferimento ai Dati Personali per consentire la riservatezza, integrità,
disponibilità e la resilienza dei sistemi e dei Servizi del Fornitore, nonché
misure per consentire il tempestivo ripristino degli accessi ai Dati Personali
in caso di Violazione della Sicurezza dei Dati Personali, e misure per testare
l'efficacia nel tempo di dette misure.
7.3. Il Cliente dà atto, riconosce ed
accetta che, tenuto conto dello stato dell’arte, dei costi di implementazione,
nonché della natura, dell’ambito di applicazione, del contesto e delle finalità di trattamento dei Dati Personali, le
procedure e i criteri di sicurezza implementati dal Fornitore garantiscono un
livello di protezione adeguato al rischio per quanto riguarda i suoi Dati Personali.
7.4. Il Fornitore potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra
indicate, fermo restando che tali aggiornamenti e modifiche
non potranno comportare una riduzione
del livello di sicurezza complessivo dei Servizi. Il cliente può sempre
rivolgersi al fornitore per richiedere la specificazione delle misure di
sicurezza adottate.
7.5. Il
Cliente riconosce e accetta che il Fornitore, tenuto conto della natura dei
Dati Personali e delle informazioni disponibili al Fornitore stesso, presterà assistenza al Cliente nel garantire
il rispetto degli obblighi di sicurezza di cui agli artt. 32-34 del GDPR nei modi seguenti:
(i) Implementando e mantenendo aggiornate
le Misure di Sicurezza secondo
quanto previsto ai precedenti articoli 7.2., 7.3., 7.4. e 7.5, conformandosi
agli obblighi di cui all’articolo 9.
(ii) Qualora il prodotto consenta l'integrazione con
applicativi di terze parti, il Fornitore non
sarà responsabile dell'applicazione delle Misure di Sicurezza relative alle
componenti delle terze parti o delle modalità di funzionamento del prodotto
derivanti dall'integrazione effettuata dalle terze parti.
8. MISURE
DI SICUREZZA DEL CLIENTE
8.1. Fermi restando gli obblighi di cui al precedente articolo in capo al Fornitore, il
Cliente riconosce e accetta che, nella fruizione dei Servizi, rimane
responsabilità esclusiva del Cliente l'adozione di adeguate misure di sicurezza
in relazione alla fruizione dei Servizi e dichiara di conoscere le condizioni
di utilizzo della Piattaforma, come previste dal Contratto.
8.2. A tal fine il
Cliente si impegna ad utilizzare i Servizi e le funzionalità di trattamento dei
Dati Personali in modo da garantire un livello di protezione adeguato al
rischio effettivo.
8.3. Il Cliente si impegna altresì ad
adottare tutte le misure idonee per proteggere le credenziali di
autenticazione, i sistemi e i dispositivi utilizzati dal Cliente o dai fruitori
presso l'Utente Finale per accedere ai Servizi.
9. VIOLAZIONI DI SICUREZZA
9.1. Qualora il Fornitore venga a conoscenza di una Violazione di Sicurezza dei Dati Personali, lo stesso:
9.1.1. informerà senza ingiustificato ritardo il Cliente mediante
comunicazione inoltrata all'Email di notifica;
9.1.2. adotterà misure ragionevoli per limitare i
possibili danni e la sicurezza dei Dati Personali;
9.1.3. fornirà al Cliente, per quanto possibile, una
descrizione della Violazione della Sicurezza
dei Dati Personali ivi incluse le misure adottate per evitare o mitigare
i potenziali rischi e le attività raccomandate dal Fornitore al Cliente per la
gestione della Violazione di Sicurezza;
9.1.4. considererà informazioni confidenziali
ai sensi di quanto previsto nel Contratto, le informazioni attinenti le eventuali Violazioni della Sicurezza, i relativi
documenti, comunicati e avvisi e non
comunicherà a terzi dati informazioni, fuori dai casi strettamente necessari
all'assolvimento degli obblighi del Cliente derivanti dalla Legislazione in
materia di Protezione dei Dati
Personali senza il previo consenso scritto del Titolare del Trattamento.
9.2. Nei casi di cui al precedente punto 6.3, è
responsabilità esclusiva del Cliente adempiere, nei casi previsti dalla
Legislazione in materia di Trattamento di Dati Personali, agli obblighi di notificazione della Violazione di Sicurezza ai terzi
(all'Utente Finale qualora il Cliente sia un Responsabile del Trattamento) e,
se il Cliente è Titolare del Trattamento, all'Autorità di controllo e agli interessati.
9.3. Resta inteso che la notificazione
di una Violazione di Sicurezza o l'adozione di misure volte a gestire una Violazione di Sicurezza non
costituisce riconoscimento di inadempimento o di responsabilità da parte del
Fornitore in relazione a detta Violazione di
Sicurezza.
9.4. Il Cliente dovrà comunicare tempestivamente al
Fornitore eventuali utilizzi impropri degli account o delle credenziali di
autenticazione oppure eventuali Violazioni di Sicurezza di cui abbia avuto
conoscenza riguardanti i Servizi.
9.5. Il Fornitore non potrà essere ritenuto
responsabile per qualsivoglia ritardo del Cliente nella comunicazione di
eventuali violazioni di dati e utilizzi improprio degli Account e/o dei
Servizi, impegnandosi espressamente a manlevare e tenere indenne il Fornitore
da qualsivoglia conseguente danno, diretto e/o indiretto o responsabilità
derivante a terzi o al Cliente stesso dalla violazione della presente clausola.
10. TRASFERIMENTO
DEI DATI PERSONALI AL DI FUORI DELLO SPAZIO ECONOMICO EUROPEO (SEE)
10.1. Il Fornitore
non trasferirà i Dati Personali al di fuori dello SEE se non a fronte di
accordo con il Cliente.
10.2. Se, ai fini della
conservazione o del trattamento dei Dati Personali da parte di un Responsabile Ulteriore del trattamento, è necessario effettuare il trasferimento dei Dati Personali fuori dallo SEE in
un paese che non gode
di una decisione di adeguatezza da parte della
Commissione Europea ai sensi dell'art. 45 del GDPR, il Fornitore:
10.2.1. farà in
modo che il Responsabile Ulteriore del trattamento stipuli le clausole
contrattuali tipo previste nella Decisione della Commissione europea
2010/87/UE, del 5 febbraio 2010, per il trasferimento di dati personali a
incaricati del trattamento stabiliti in paesi terzi (le “Clausole Contrattuali
Tipo”), o loro equivalente, se modificate nel
tempo. Copia delle Clausole Contrattuali
Tipo sottoscritte dal Fornitore per conto del Cliente saranno rese disponibili al Cliente;
10.2.2. potrà
proporre al Cliente altre modalità di trasferimento dei Dati Personali conformi
a quanto previsto dalla Legislazione in materia di Protezione dei Dati
Personali (es. Privacy Shield in caso di Responsabili Ulteriori del trattamento
situati negli Stati Uniti e per cui sia verificabile
l'aderenza tramite i canali e registri ufficiali,
o trasferimenti infragruppo del Responsabile Ulteriore del Trattamento che sia
parte di un gruppo societario che ha ottenuto
l'approvazione delle BCR per i Responsabili del trattamento).
10.3. Nei casi di cui al precedente articolo 10.2.1.
con il presente Accordo il Cliente conferisce espressamente mandato al
Fornitore a sottoscrivere le Clausole Contrattuali Tipo con i Responsabili Ulteriori del Trattamento e
resta inteso che la sottoscrizione delle Clausole Contrattuali Tipo da parte
del Fornitore con un Responsabile Ulteriore del trattamento deve intendersi
quale consenso all'affidamento al terzo delle
operazioni di trattamento.
10.4.
Qualora Titolare del trattamento sia l'Utente Finale, il Cliente si impegna a
informare l'Utente Finale di tale trasferimento e dichiara che l'autorizzazione
ad avvalersi del Responsabile Ulteriore del Trattamento situato fuori dallo SEE
equivale al mandato di cui sopra.
11. VERIFICHE E CONTROLLI
11.1. Il Fornitore avrà la facoltà di
incaricare dei professionisti indipendenti selezionati dal Fornitore per lo
svolgimento di audit secondo standard internazionali e/o best practice, i cui
esiti saranno riportati in specifici report
(“Report”). Tali Report, se
rilasciati, costituiscono informazioni confidenziali
del Fornitore, potranno essere resi disponibili al Cliente per consentirgli di verificare la conformità del Fornitore agli obblighi
di sicurezza di cui al presente Accordo.
12. ASSISTENZA A FINI DI CONFORMITÀ
12.1. Il Fornitore presterà assistenza al
Cliente e coopererà nei modi di seguito indicati al fine
di consentire al Cliente il rispetto degli obblighi previsti dalla Legislazione
in materia di Protezione dei Dati Personali.
12.2. Qualora il Fornitore riceva
Richieste o reclami da un Interessato in relazione ai Dati Personali, il
Fornitore raccomanderà all'Interessato di rivolgersi al Cliente o all'Utente
Finale, nel caso in cui quest'ultimo sia il Titolare del Trattamento. In tali casi
il Fornitore informerà tempestivamente il Cliente del ricevimento della
Richiesta mediante invio di Email di notifica e fornirà al Cliente le informazioni ad esso
disponibili unitamente a copia della Richiesta o del reclamo. Resta inteso che tale attività di cooperazione sarà
svolta in via eccezionale, in quanto la gestione dei rapporti con gli Interessati resta esclusa dai
Servizi ed è responsabilità del Cliente gestire eventuali reclami in via
diretta e garantire che il punto di contatto per l'esercizio dei diritti da
parte degli Interessati sia il Cliente stesso, o l'Utente Finale se Titolare
del Trattamento. Sarà responsabilità del Cliente, o dell'Utente Finale qualora
questi sia Titolare del Trattamento, provvedere a dar seguito a tali Richieste
o reclami.
12.3. Il Fornitore provvederà a informare
tempestivamente il Cliente, salvo il caso in cui ciò sia vietato dalla legge,
con avviso all'Email di notifica di eventuali
ispezioni o richieste di informazioni presentate da autorità di controllo e
forze di polizia rispetto a profili che
riguardano il trattamento dei Dati Personali.
12.4. Qualora, ai fini
dell'evasione delle Richieste di cui ai precedenti punti, il Cliente abbia
necessità di ricevere informazioni dal Fornitore circa il trattamento dei Dati
Personali, il Fornitore presterà la necessaria assistenza nei limiti di quanto
ragionevolmente possibile, a condizione che tali richieste siano presentate con
congruo preavviso.
12.5. Il Fornitore, tenuto conto della
natura dei Dati Personali e delle informazioni ad esso disponibili, fornirà ragionevole assistenza al Cliente nel
rendere disponibili informazioni utili per consentire al Cliente
l'effettuazione di valutazioni di impatto sulla protezione dei Dati Personali
nei casi previsti dalla legge. In tal caso il Fornitore renderà disponibili
informazioni di carattere generale in base al Servizio, quali le informazioni
contenute nel Contratto, nel presente Accordo e nell’Allegato 1. Eventuali
richieste di assistenza personalizzate potranno essere soggette al pagamento di
un corrispettivo da parte del Cliente. Resta inteso che è responsabilità e
onere esclusivo del Cliente, o dell'Utente Finale se Titolare del trattamento,
procedere alla valutazione di impatto in base alle caratteristiche del
trattamento dei Dati Personali dallo stesso posto in essere nel contesto dei Sevizi.
12.6. Il Fornitore si impegna a rendere
Servizi improntati ai principi di minimizzazione del trattamento (privacy
by design & by default),
fermo restando che è responsabilità esclusiva del Cliente,
o dell'Utente Finale, se Titolare del Trattamento, assicurare che il
trattamento sia condotto poi concretamente nel rispetto di detti principi e verificare che le misure tecniche e organizzative di
un Servizio soddisfano i requisiti di conformità della Società, ivi inclusi i
requisiti previsti dalla Legislazione in materia di protezione dei dati
personali.
12.7. Il Cliente prende atto che, in caso
di Richieste di portabilità dei Dati Personali avanzate dai rispettivi
Interessati, e solo in relazione ai Servizi che generano Dati Personali
rilevanti a tal fine, il Fornitore presterà
assistenza al Cliente mettendo a disposizione le informazioni necessarie per
estrarre i dati richiesti in formato conforme a quanto previsto dalla
Legislazione in materia di Protezione dei Dati
Personali.
13. OBBLIGHI DEL CLIENTE E LIMITAZIONI
13.1. Il Cliente si impegna a impartire
Istruzioni conformi alla normativa e a utilizzare i Servizi in modo conforme a
quanto previsto dai Termini e Condizioni (il Contratto), alla Legislazione in
materia di Protezione dei Dati Personali e solo per trattare Dati Personali che siano stati raccolti in
conformità alla Legislazione in materia di Protezione dei Dati Personali.
13.2. L'eventuale trattamento di Dati
Personali di cui agli artt. 9 e 10 del GDPR sarà consentito solo ove il
Cliente, Titolare del Trattamento, sia espressamente autorizzato a fronte di
consenso espresso dell’interessato oppure laddove sussista un’altra base
giuridica di cui all’art. 6 GDPR, quale, a titolo esemplificativo, l’esecuzione
di un contratto di cui l’interessato è parte o di adozione di misure
precontrattuali e siano rispettate le norme di cui agli artt. 9 e 10 GDPR
13.3. Il Cliente si impegna ad assolvere a
tutti gli obblighi posti in capo al Titolare del Trattamento (e, nei casi in
cui tali obblighi sono in capo all'Utente Finale, garantisce che analoghi
obblighi sono imposti a carico dell'Utente Finale) dalla Legislazione in
materia di Protezione dei Dati Personali, ivi inclusi gli obblighi di
informativa nei confronti degli Interessati. Il Cliente si impegna inoltre a
garantire che il trattamento dei Dati Personali effettuato mediante l'utilizzo
dei Servizi avvenga solo in
presenza di idonea base giuridica.
13.4. Qualora il rilascio dell'informativa
e l'ottenimento del consenso debbano avvenire per il tramite del prodotto oggetto
del Contratto, il Cliente dichiara
di aver valutato
il prodotto e che esso risponde
alle esigenze del Cliente. Resta altresì a carico del Cliente valutare se
l'eventuale modulistica resa disponibile dal Fornitore per agevolare l'assolvimento
degli obblighi di informativa e consenso (es. modello di privacy policy per App
o informative presenti negli applicativi), quando disponibile, sia conforme
alla Legislazione in materia di Protezione dei Dati Personali e adattare la
stessa ove ritenuto opportuno, trattandosi di sola
13.5. E' altresì
onere esclusivo del Cliente provvedere alla gestione dei Dati Personali in
conformità alle Richieste avanzate dagli Interessati, e pertanto provvedere ad
esempio agli eventuali aggiornamenti, integrazioni, rettifiche
e cancellazioni dei Dati Personali.
13.6. E' onere
del Cliente mantenere l'account collegato all'Email di notifica,
attivo ed aggiornato.
13.7. Il Cliente dichiara pertanto che le
attività di trattamento dei Dati Personali effettuate dallo stesso in qualità
di Titolare del Trattamento, con le modalità descritte nel Contratto e nel
presente Accordo sono lecite.
14. DURATA
14.1. Il presente Accordo avrà efficacia a decorrere dalla data di efficacia del
Contratto di cui ai Termini e Condizioni tra il Cliente e il Fornitore e
cesserà automaticamente, alla data di cancellazione di tutti i Dati Personali
da parte del Fornitore, come previsto nel presente Accordo.
15. RESTITUZIONE O LA CANCELLAZIONEDEI DATI PERSONALI
15.1. I Dati Personali
identificativi del Cliente saranno conservati dal Fornitore per la sola Durata
del Contratto e per i dieci anni successivi alla conclusione del Contratto per
ragioni amministrative e contabili definite dalla legge. La documentazione a supporto
delle attività gestite viene conservata per il tempo necessario alla tutela
legale del Fornitore per il tempo necessario ai fini dell'estinzione della
prescrizione dei relativi diritti.
15.2. Alla cessazione del Contratto e/o
della fruizione del/i Servizio, per qualunque causa intervenuta, il Fornitore
cesserà ogni trattamento dei Dati Personali e:
15.2.1. provvederà alla cancellazione dei
Dati Personali (ivi incluse eventuali copie) dai sistemi del Fornitore o da
quelli su cui lo stesso abbia controllo entro il termine previsto nel Contratto, tranne il caso in cui la
conservazione dei dati da parte del Fornitore sia necessaria al fine di assolvere ad una disposizione di legge
italiana o europea, all’Ordine
dell’Autorità o Autorità giudiziali ovvero sia necessaria alla tutela dei
diritti del Fornitore;
15.2.2. distruggerà eventuali Dati
Personali conservati in formato cartaceo in suo possesso, tranne il caso in cui
la conservazione dei dati da parte del Fornitore sia necessaria ai fini del rispetto di norme di legge italiane o
europee; e
15.2.3. manterrà a disposizione del
Cliente i Dati Personali per l'estrazione per il periodo di 12 (dodici) mesi
successivi alla cessazione del Contratto. Durante tale periodo, il trattamento
sarà limitato alla sola conservazione finalizzata
a mantenere i Dati Personali a disposizione del Cliente per l’estrazione di cui
al punto 12.2.
15.3. Fermo restando quanto altrimenti
previsto nel presente Accordo, il Cliente riconosce di poter estrarre i Dati
Personali, alla cessazione del Servizio, nei modi convenuti nel Contratto e
conviene che è sua responsabilità
provvedere all'estrazione totale o parziale dei soli Dati Personali che ritenga
utile conservare e che tale estrazione dovrà essere effettuata prima della scadenza
del termine di cui al punto 15.2.1.
16. RESPONSABILITA'
16.1. Ciascuna Parte è responsabile per
l'adempimento dei propri obblighi previsti dal presente Accordo e dalla
Legislazione in materia di protezione dei
Dati Personali.
16.2. Fatti salvi i limiti inderogabili di
legge, il Fornitore sarà tenuto a risarcire il Cliente in caso di violazione
del presente Accordo e/o dei relativi DPA – Condizioni Particolari entro i limiti
massimi convenuti nell’Accordo.
17. DISPOSIZIONI VARIE
17.1. Il presente Accordo sostituisce
qualsiasi altro accordo, contratto o intesa tra le Parti con riferimento al suo
oggetto nonché qualsivoglia istruzione fornita in qualsiasi forma dal Cliente
al Fornitore precedentemente alla data del presente Accordo in merito ai Dati
Personali trattati nell’ambito dell’esecuzione del Contratto.
17.2. Il presente Accordo potrà essere modificato dal Fornitore dandone comunicazione
scritta (anche via e-mail o con l’ausilio di programmi informatici) al Cliente.
In tal caso, il Cliente avrà il diritto di recedere dal Contratto con
comunicazione scritta inviata al Fornitore a mezzo raccomandata con ricevuta di
ricevimento nel termine di 15 giorni dal ricevimento della comunicazione del
Fornitore. In mancanza di esercizio del diritto di recesso da parte del
Cliente, nei termini e nei modi sopra indicati, le modifiche
al presente Accordo si intenderanno da questi definitivamente
conosciute e accettate e diverranno definitivamente
efficaci e vincolanti.
17.3. In caso di conflitto
tra le previsioni del presente Accordo e quanto previsto nel Contratto per la
prestazione dei Servizi, o in documenti del Cliente non espressamente accettati
dal Fornitore in deroga al presente Accordo, prevarrà quanto previsto nel
presente Accordo.
18. DATI DI CONTATTO
18.1. Per ogni comunicazione prevista dal presente contratto o informazione da inoltrarsi al Fornitore, quest’ultimo indica espressamente i seguenti recapiti: privacy@nutribook.app.
Allegato 1
Misure
tecnico-organizzative
In
aggiunta alle misure di sicurezza previste nel Contratto e nell’Accordo il
Responsabile del Trattamento applica le seguenti misure di sicurezza
organizzative a seconda della tipologia di Servizio con cui viene erogato o
licenziato il prodotto:
CLOUD SaaS - GOOGLE
Misure di sicurezza organizzative
Policy
e Disciplinari utenti – Il Fornitore
applica dettagliate policy e disciplinari, ai quali tutta l’utenza con accesso
ai sistemi informativi ha l’obbligo di conformarsi e che sono finalizzate a garantire comportamenti idonei ad
assicurare il rispetto dei principi di riservatezza, disponibilità ed integrità
dei dati nell’utilizzo delle risorse informatiche.
Autorizzazione
accessi logici
Il Fornitore definisce
i profili di accesso nel rispetto del least privilege necessari
all’esecuzione delle mansioni assegnate. I profili
di autorizzazione sono individuati e configurati
anteriormente all'inizio del trattamento, in modo da limitare l'accesso ai soli
dati necessari per effettuare le operazioni di trattamento. Tali profili sono oggetto di controlli periodici finalizzati alla verifica
della sussistenza delle condizioni per la conservazione dei profili
attribuiti.
Gestione
interventi di assistenza
Gli
interventi di assistenza sono regolamentati allo scopo di garantire
l’esecuzione delle sole attività previste contrattualmente e impedire il
trattamento eccessivo di dati personali la cui titolarità è in capo al Cliente
o all’Utente Finale.
Valutazione
d'impatto sulla protezione dei dati (DPIA)
In
conformità agli artt. 35 e 36 del GDPR e sulla base del documento WP248 – Linee guida sulla valutazione d’impatto
nella protezione dei dati adottate dal Gruppo di lavoro ex art. 29, il
Fornitore ha predisposto una propria metodologia per l’analisi e la valutazione
dei trattamenti che, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, presentino un rischio
elevato per i diritti e le libertà delle persone fisiche
allo scopo di procedere con la valutazione dell’impatto sulla protezione dei
dati personali prima di iniziare il trattamento.
Incident
Management
Il
Fornitore ha realizzato una specifica procedura
di Incident Management allo scopo di garantire il
ripristino delle normali operazioni di servizio nel più breve tempo possibile,
garantendo il mantenimento dei livelli migliori di servizio.
Data
Breach
Il
Fornitore ha implementato un’apposita procedura finalizzata
alla gestione degli eventi e degli incidenti con un potenziale impatto sui dati
personali che definisce ruoli e responsabilità,
il processo di rilevazione (presunto o accertato), l’applicazione delle azioni
di contrasto, la risposta e il contenimento dell’incidente / violazione nonché
le modalità attraverso le quali effettuare le comunicazioni delle violazioni di
dati personali al Cliente.
Misure di sicurezza tecniche
Firewall, IDPS - I dati personali
sono protetti contro
il rischio d'intrusione di cui all'art.
615-quinquies del codice penale mediante sistemi
di Intrusion Detection
& Prevention mantenuti aggiornati in relazione
alle migliori tecnologie disponibili.
Sicurezza linee di comunicazione
Per quanto di propria
competenza, sono adottati
dal Fornitore protocolli di
comunicazione sicuri e in linea con quanto la tecnologia rende disponibile.
Protection from malware– I
sistemi sono protetti contro il rischio di intrusione
e
dell'azione di programmi mediante l'attivazione di idonei strumenti elettronici
aggiornati con cadenza periodica.
Credenziali di autenticazione
I sistemi sono
configurati con modalità idonee
a consentirne l’accesso unicamente a soggetti dotati
di credenziali di autenticazione che ne consentono la loro univoca identificazione. Fra questi, codice
associato a una parola chiave,
riservata e conosciuta unicamente dallo stesso; dispositivo di autenticazione in possesso e uso esclusivo dello utente, eventualmente associato a un codice
identificativo o a una parola chiave.
Parola chiave
Relativamente alle caratteristiche di base ovvero, obbligo
di modifica al primo accesso, lunghezza minima, assenza di elementi riconducibili agevolmente al soggetto, regole di
complessità, scadenza, history, valutazione contestuale della robustezza,
visualizzazione e archiviazione, la parola
chiave è gestita
conformemente alle best
practice. Ai soggetti
ai quali sono attribuite le credenziali sono
fornite puntuali istruzioni in relazione alle
modalità da adottare per assicurarne la segretezza.
Logging
I
sistemi sono configurabili con modalità che
consentono il tracciamento degli accessi e, ove appropriato, delle attività
svolte in capo alle diverse tipologie di utenze protetti da adeguate misure di
sicurezza che ne garantiscono l’integrità.
Il
sistema di accesso all’Account del Cliente è garantito attraverso doppia
autenticazione dello stesso; il Cliente può modificare le impostazioni relative
alle misure di sicurezza connesse all’autenticazione dello stesso al momento
dell’accesso alla piattaforma, assumendosi ogni conseguente responsabilità,
anche in relazione agli obblighi incombenti sul Titolare in base al tipo di
dati trattati
Backup & Restore
Sono adottate idonee
misure per garantire il ripristino dell’accesso ai dati in caso
di danneggiamento degli
stessi o degli
strumenti elettronici, in tempi certi
compatibili con i diritti
degli interessati. Ove gli accordi contrattuali lo prevedono è posto in uso un
piano di continuità operativa integrato, ove necessario, con il piano di disaster recovery; essi garantiscono la disponibilità e
l’accesso ai sistemi anche nel caso di eventi negativi di portata rilevante che
dovessero perdurare nel tempo.
Vulnerability Assessment & Penetration Test
Il
Fornitore effettua periodicamente attività di analisi delle vulnerabilità finalizzate a rilevare lo stato di esposizione alle
vulnerabilità note, sia in relazione agli ambiti infrastrutturali sia a quelli
applicativi, considerando i sistemi in esercizio o in fase di sviluppo.
Ove
ritenuto appropriato in relazione ai potenziali rischi identificati,
tali verifiche sono integrate periodicamente
con apposite tecniche di Penetration Test, mediante
simulazioni di intrusione che utilizzano diversi scenari di attacco, con
l’obiettivo di verificare il livello di
sicurezza di applicazioni/sistemi/reti attraverso attività che mirano a
sfruttare le vulnerabilità rilevate per eludere i meccanismi di sicurezza fisica/logica ed avere accesso agli stessi.
I
risultati delle verifiche sono puntualmente e
dettagliatamente esaminati per identificare e porre in essere i punti di miglioramento necessari a
garantire l’elevato livello di sicurezza richiesto.
Data Center
L’accesso fisico al Data
Center è limitato
ai soli soggetti
autorizzati. Per il dettaglio
delle misure di sicurezza adottate con riferimento ai servizi di data center
erogati dai Responsabili Ulteriori del Trattamento, quale
Google ed ulteriori comunicati dal Fornitore si fa rinvio alle misure di
sicurezza indicati descritte dai medesimi Responsabili Ulteriori e rese disponibili
nei relativi siti istituzionali ai seguenti indirizzi (o a quelli che saranno
successivamente resi disponibili dai Responsabili Ulteriori):
Per
i servizi di Data Center erogati da Google cloud Platform: https://cloud.google.com/security/compliance/