COOKIE POLICY
Questo sito utilizza cookies tecnici e di terze parti per funzionalità quali la condivisione sui social network e/o la visualizzazione di media. Se non acconsenti all'utilizzo dei cookie di terze parti, alcune di queste funzionalità potrebbero essere non disponibili. Per maggiori informazioni consulta questa pagina.
Cliccando sul pulsante "ACCETTO" presti il consenso all'uso di tutti i cookie. Cliccando sul pulsante "NON ACCETTO" rifiuti l'impiego dei cookies.
Cliccando sul pulsante "PREFERENZE" potrai scegliere se attivare o meno i diversi tipi di cookies selezionandoli con il cursore.
ACCETTO
NON ACCETTO
PREFERENZE

CONTRATTO PER IL TRATTAMENTO DEI DATI - DPA

1. PREMESSA

1.1 Il presente DPA (Data Processing Agreement) disciplina il Trattamento di Dati Personali necessario all’erogazione dei servizi cloud S.a.a.S sulla piattaforma gisss.eu (di seguito "Servizi", "GISSS", o "Piattaforma"), tra le seguenti parti:

  • il "Fornitore" dei Servizi, qualificato anche come "Responsabile del Trattamento" o "Responsabile" ai sensi dell’art. 4, par. 1, n. 8, Regolamento UE 2016/679 (GDPR):
    GEKOSOFT SRL,
    via Gronchi 12, San Benedetto del Tronto (AP),
    Codice Fiscale e Partita IVA 02336760448
    Pec visibile cliccando qui
  • il "Cliente", fruitore dei servizi a seguito di iscrizione volontaria alla Piattaforma, qualificato come "Titolare del Trattamento" o "Titolare" ai sensi dell’art. 4, par. 1, n. 7, Regolamento UE 2016/679 (GDPR).


1.2  Le condizioni di erogazione del servizio sono definite nel documento contrattuale "Termini e condizioni di utilizzo".

1.3 Il presente DPA si applica solo e nella misura in cui il Fornitore tratti dati personali per conto del Cliente nel corso della fornitura oggetto del servizio tra le predette due parti e tali dati personali siano soggetti al Regolamento UE 2016/679 (GDPR) e alla ulteriore normativa italiana ed europea in materia di privacy e protezione dei dati personali (la "Legge Applicabile").

1.4 Il Responsabile eroga per conto e su incarico del Cliente il servizio cloud S.a.a.S (Software as a Service) GISSS.
Per l'erogazione del  Servizio il Responsabile si trova nella necessità di trattare dati personali riferibili al Cliente e ai suoi dipendenti, clienti, fornitori e assistiti.
Il Responsabile dichiara di fornire, per esperienza, capacità ed affidabilità, sufficienti garanzie, ai sensi dell’art 28 del Regolamento UE 2016/679 (di seguito anche GDPR), per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del predetto Regolamento e garantisca la tutela dei diritti dell’interessato.

1.5  Il Responsabile si impegna al rispetto del presente DPA sin dal momento dell’attivazione volontaria dell'utenza dei Servizi da parte del CLiente, anche nel caso di eventuali periodi di prova gratuiti.

1.6  Si intendono espressamente revocati e sostituiti tutti gli eventuali accordi precedenti tra le parti inerenti il trattamento di dati personali.

1.7 Il presente DPA garantisce che il Trattamento dei Dati svolto dal Responsabile sia conforme al Regolamento UE 2016/679 ("GDPR") e più in generale alla normativa italiana ed europea in materia di privacy e protezione dei dati personali (la "Legge Applicabile").

 

2. AFFIDAMENTO DELL’INCARICO DI RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

2.1 Le premesse sopra riportate costituiscono parte integrante del presente contratto.

2.2 Il Cliente è titolare unico dei trattamenti dei dati personali per i quali il Responsabile, come sopra rappresentato ed individuato, svolge le attività correlate all’erogazione dei Servizi.

2.3 Con il presente atto il Cliente, nella sua qualità di Titolare del trattamento, nomina, ai sensi e per gli effetti dell’art. 28 del Regolamento 2016/679 (GDPR), il Fornitore "responsabile" del trattamento dei dati di cui al successivo art. 3.

2.4 Il Titolare del trattamento affida al Fornitore, in qualità di "responsabile" designato in forza del presente atto, l’esecuzione delle operazioni di trattamento dei dati personali necessarie solo ed esclusivamente per erogare correttamente e compiutamente i Servizi.

3. TRATTAMENTO DI DATI PERSONALI, NATURA E FINALITÀ DEL TRATTAMENTO, DATI PERSONALI TRATTATI, CATEGORIE DI INTERESSATI

3.1 Per "Dati personali" si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile ("Interessato") come definito dall’art. 4, par. 1, num. 1,  GDPR.

3.2 Il trattamento dei dati personali oggetto del presente documento viene svolto unicamente nell’ambito del contratto per l’erogazione dei servizi SaaS tra il Cliente e il Fornitore. Prima di effettuare eventuali trattamenti con diverse finalità, il Responsabile deve essere autorizzato dal Titolare. Le attività di sviluppo e test sono effettuate su dati non reali o anonimi. L’accesso al database di produzione è effettuato con credenziali di Amministratore di Sistema assegnate al manutentore che viene individuato con specifica lettera di incarico ed esclusivamente per operazioni strettamente necessarie ed occasionali. Tali attività sono registrate mediante scritture di access-log, conservate per almeno 6 mesi con caratteristiche di completezza, integrità ed inalterabilità.

3.3 Il trattamento dei dati personali oggetto del presente accordo ha come unico fine l’erogazione dei Servizi.

3.4 Dati trattati: per fornire i Servizi, il Responsabile tratta, per conto del Titolare, determinate categorie di Dati personali inseriti dal personale incaricato dal Titolare nella Piattaforma.
I dati personali trattati dipendono dai servizi attivati, dalle configurazioni del Titolare, dall’intensità di impiego della piattaforma. Le categorie di soggetti interessati sono:

  • dipendenti e collaboratori del Titolare;
  • assistiti del Titolare per finalità di cura o altre forme di assistenza e sostegno;
  • eventuali familiari degli assistiti;
  • eventuali referenti di servizi socio-sanitari.

Per tutti gli interessati sono previsti dati anagrafici e di contatto.
Per gli assistiti sono potenzialmente trattati dati sociali, economici, sanitari ed informazioni sottoposte a maggior tutela.


3.5 Il Titolare è l’unico responsabile dell’esattezza dei dati inseriti e della liceità, correttezza e trasparenza della loro raccolta e trattamento.

3.6 Il Responsabile può effettuare ulteriori trattamenti su richiesta del Titolare, nel rispetto della Legge Applicabile. Nel caso di richieste che comportino violazioni della Legge Applicabile, il Responsabile è autorizzato ad astenersi, motivando tale scelta al Titolare e valutando con lui i termini della richiesta o l’eventuale necessità di chiedere un parere all'Autorità di controllo per verificarne la liceità.

3.7 Registro delle attività di trattamento. In conformità con l’art. 30, par. 2 del GDPR, il Responsabile adotta un Registro delle attività di trattamento.

 

4. ISTRUZIONI AL RESPONSABILE DEL TRATTAMENTO E RELATIVI OBBLIGHI

4.1 Il Responsabile deve rispettare tutte le normative e i regolamenti sulla protezione dei dati personali, ed in particolare le disposizioni di cui al Regolamento Europeo 2016/679 (GDPR) e sue successive modificazioni e integrazioni, nei limiti entro i quali queste risultino applicabili alle prestazioni che il Fornitore, in qualità di responsabile del trattamento, svolge nella erogazione dei servizi nell’interesse del Titolare del trattamento.

4.2 Il Responsabile non può trattare i dati personali per i quali il Cliente riveste la qualifica di Titolare per scopi diversi dall’erogazione dei Servizi.

4.3 Il Responsabile non può, per nessun motivo, vendere, cedere, noleggiare, divulgare o comunque trasferire i dati a terze parti diverse da quelle direttamente o indirettamente connesse all’erogazione dei Servizi.

4.4 Il Responsabile tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione europea o nazionale cui è soggetta il Responsabile; in tal caso il Responsabile informa il Titolare in merito a tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.

4.5 Confidenzialità: Il Responsabile tratta i Dati personali del Titolare come informazioni strettamente riservate. Al fine dell’erogazione dei Servizi, si avvale di personale competente e impegnato formalmente all’obbligo di riservatezza e confidenzialità (art. 28 p. 3 e art. 32 GDPR) e a quanto stabilito nel presente DPA.

4.6 Il Responsabile del Trattamento attua le misure tecniche e organizzative previste dall’art. 32 GDPR;  garantisce la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; consente il tempestivo ripristino degli accessi e della disponibilità ai Dati Personali in caso di incidente fisico o tecnico; dispone una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure al fine di garantire la sicurezza del trattamento.

4.7 Il Titolare dà atto ed accetta che, tenuto conto dello stato dell’arte, le procedure e i criteri di sicurezza implementati dal Responsabile garantiscono un livello di protezione adeguato.

4.8 Il Responsabile può aggiornare e modificare nel tempo le misure di sicurezza, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi e informandone il Titolare.

4.9 Il Responsabile è tenuto a comunicare tempestivamente al Titolare istanze degli interessati o richieste dell’Autorità di Controllo e/o delle Autorità Giudiziarie relative ai Dati personali trattati; ad assistere il Titolare al fine di rispondere a tali richieste in un tempo ragionevole, in ogni caso entro 72 ore dalla data delle richieste medesime.

 

5. DATA BREACH

5.1 In caso di violazione ai Dati personali trattati per conto del Titolare, che ne possa comportare la distruzione, la perdita, l’alterazione, la divulgazione o l’accesso non autorizzato o accidentale, il Responsabile è tenuto a comunicarlo al Titolare senza ingiustificato ritardo e comunque entro le quarantotto (48) ore dal momento in cui ne viene a conoscenza.

5.2 Il Responsabile si impegna ad assistere il Titolare nella predisposizione della notifica all’Autorità di controllo, in particolare per il reperimento delle informazioni previste dall’art. 33 p. 3 del GDPR.

5.3 Il Responsabile deve compiere ogni ragionevole sforzo per limitare i possibili danni, identificare la causa di tale violazione e adottare le misure ritenute necessarie per evitare o mitigare i potenziali rischi futuri.

 

6. DIRITTI E POTERI DIRETTIVI DEL TITOLARE

6.1  Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente documento e nascenti dalle disposizioni di legge.

6.2 L'accesso alle informazioni di cui al precedente comma deve compiersi con modalità tali da:

  • non pregiudicare la sicurezza e la riservatezza dei dati, e dei relativi trattamenti, dei quali sono titolari il Responsabile ovvero altri soggetti;
  • non interferire con il normale e corretto svolgimento dell’attività del Responsabile del trattamento;
  • non pregiudicare la riservatezza dell’organizzazione aziendale e commerciale del Responsabile del trattamento.

6.3 Diritto di audit. Il Responsabile riconosce il diritto del Titolare a effettuare audit (avvalendosi di proprio personale specializzato o di revisori esterni) per verificare la conformità della piattaforma e delle misure organizzative messe in atto rispetto agli obblighi previsti dal presente DPA e dalla normativa vigente. Le modalità di audit e i relativi auditor sono concordati con il Responsabile al fine di garantire a quest’ultimo adeguatezza, indipendenza e assenza di concorrenza.

6.4  Gli oneri economici connessi all’effettuazione dei controlli di cui al presente articolo sono a totale carico della Titolare del trattamento.

 

7. ASSISTENZA AL TITOLARE

7.1 Qualora l’interessato eserciti i diritti di cui agli artt. 13 e seguenti del Regolamento 2016/679 (GDPR) direttamente verso il Responsabile, quest’ultimo provvede con immediatezza all’inoltro della richiesta al Titolare del trattamento.

7.2 Previa richiesta scritta e tenuto conto della natura del trattamento, il Responsabile assiste il Titolare del trattamento con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di consentire a quest’ultimo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui agli artt. 13 e seguenti del Regolamento europeo 2016/679 (GDPR).

7.3 Il Responsabile si impegna ad assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 (Sicurezza del trattamento, Notifica di una violazione di dati personali all’autorità di controllo, Comunicazione di una violazione dei dati personali all’interessato, Valutazione d’impatto sulla protezione dei dati e Consultazione preventiva) del Regolamento europeo 2016/679 (GDPR), tenendo conto della natura del trattamento e delle informazioni a sua disposizione.

7.4 Il Responsabile informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione ricevuta violi il Regolamento europeo 2016/679 (GDPR) o altre disposizioni, nazionali o dell’Unione Europea, relative alla protezione dei dati.

7.5 Il Responsabile può richiedere al Titolare un compenso ragionevole per servizi di assistenza che non sono compresi nella descrizione dei servizi e che non sono dovuti a errori, violazioni o condotte imputabili al Responsabile.

 

8. SUB-RESPONSABILI

8.1 In via generale il Responsabile del trattamento non può ricorrere ad un sub-responsabile del trattamento se non previa autorizzazione scritta, specifica o generale, del Titolare del trattamento.

8.2 Il Titolare del trattamento espressamente conferisce al Responsabile autorizzazione generale all’impiego di sub-responsabili per il trattamento dei dati personali elencati nell’Appendice al presente documento. Il responsabile del trattamento informa il Titolare del trattamento di eventuali modifiche riguardanti l’aggiunta o la sostituzione di sub-responsabili del trattamento entro i 15 giorni precedenti la data prevista per l’inizio dell’attività del sub-responsabile con comunicazione pubblicata sulla piattaforma.

8.3 Il Responsabile risponde nei confronti del titolare del trattamento per gli eventuali inadempimenti del sub-responsabile ai propri obblighi.

8.4 il Responsabile del trattamento garantisce che le persone e i soggetti autorizzati al trattamento dei dati personali all’interno della propria organizzazione sono impegnati alla riservatezza e sono vincolati all’adempimento dei medesimi obblighi del responsabile del trattamento.

 

9. LIMITAZIONE DI RESPONSABILITÀ

9.1 Il Responsabile del trattamentonon risponde dell’eventuale assenza di una idonea base giuridica (art. 6 GDPR) che legittimi il trattamento dei dati degli interessati da parte del Titolare.

9.2 Titolare e Responsabile rispondono di eventuali danni cagionati agli interessati nelle forme, nei modi e nei limiti previsti dall’art. 82 Regolamento 2016/679 (GDPR).

 

10. VALIDITÀ DEL CONTRATTO

10.1 Il presente DPA resta in vigore fino alla cancellazione o restituzione dei dati personali prevista dal seguente art. 11.

 

11. DURATA DEL TRATTAMENTO E RESTITUZIONE DEI DATI PERSONALI

11.1 Il trattamento dei dati avrà termine in seguito alla interruzione, per qualsiasi motivo, del contratto per l’erogazione dei servizi SaaS tra il Cliente e il Fornitore.

11.2 Al termine del trattamento il Responsabile provvederà alla messa a disposizione (su scelta del Titolare del trattamento) e alla cancellazione successiva di tutti i dati personali riconducibili al Titolare, in qualsiasi supporto conservati, sia esso digitale e/o cartaceo nonché alla cancellazione delle copie esistenti, salvo che il diritto dell’Unione Europea o il diritto nazionale preveda la conservazione dei dati.

11.3 Tra la cessazione dei servizi, la messa a disposizione e l’effettiva cancellazione il trattamento sarà limitato alla sola conservazione.

11.4 Se la conservazione di alcuni dati dovesse essere necessaria al fine di assolvere a disposizioni di legge, clausole contrattuali tra le parti, esigenze di prova o norme inderogabili di legge, il Responsabile è tenuto ad attuarla in ottemperanza ai periodi previsti, con misure ragionevoli per impedire che i Dati personali vengano ulteriormente trattati; in tal caso continueranno ad applicarsi i termini di sicurezza previsti dal presente DPA.

11.5 Il Responsabile può conservare le informazioni utili a dimostrare la corretta e conforme esecuzione delle attività di trattamento anche oltre la cessazione del contratto.

 

12. DATA PROTECTION OFFICER (DPO)

12.1 Il Responsabile del Trattamento GEKOSOFT Srl ha nominato un Responsabile per la Protezione dei Dati Personali (RPD o DPO) come previsto dall’art. 37 del GDPR. Il DPO può essere contattato all'indirizzo e-mail visibile cliccando qui.

 

13. DATI DI CONTATTO

Gekosoft SRL
Indirizzo: Via Gronchi 12, 63074 San Benedetto del Tronto (AP), Italia
E-mail visibile cliccando qui
Pec visibile cliccando qui
Tel.: +39 0735 480645

 

APPENDICE

SUB-RESPONSABILI

DataBase e storage dei file:
Amazon Web Services EMEA SARL,
5 rue Plaetis, L-2338, Luxembourg, ATTN: AWS EMEA Legal
GDPR Center



Per i processi di firma elettronica automatica nel processo di fatturazione elettronica:
NAMIRIAL S.P.A,
Via Caduti sul lavoro, 4
60019 Senigallia (AN)
P.I. IT02046570426
Privacy Policy Namirial