Accordo sul trattamento dei dati personali
DPA e nomina a responsabile del trattamento ai sensi dell'art. 28 GDPR.
1. Parti e ruoli
1.1 Titolare del trattamento
| Titolare del trattamento | Cliente identificato nell'ordine, nel contratto o nel tenant attivato |
|---|
1.2 Responsabile del trattamento
| Responsabile del trattamento | Procuplex |
|---|---|
| info@procuplex.it |
Il Cliente determina finalita' e mezzi essenziali del trattamento dei dati operativi caricati nel proprio tenant. Procuplex tratta tali dati esclusivamente per fornire il servizio Procuplex e secondo le istruzioni documentate del Cliente.
Restano distinti i trattamenti per i quali Procuplex agisce come titolare autonomo, tra cui gestione contrattuale, fatturazione, sicurezza della piattaforma, prevenzione abusi e assistenza amministrativa, descritti nella Privacy Policy.
2. Oggetto e durata
Il DPA disciplina l'accesso, la conservazione e le altre operazioni tecniche sui dati personali trattati tramite Procuplex per conto del Cliente. Si applica per la durata del rapporto contrattuale e successivamente per il tempo strettamente necessario alla restituzione, cancellazione o conservazione legittima dei dati.
3. Istruzioni documentate
Le istruzioni del Cliente risultano dal contratto, dai presenti allegati, dalla configurazione del tenant e dalle richieste inviate tramite i canali di assistenza. Istruzioni ulteriori devono essere documentate e compatibili con il servizio acquistato.
Se Procuplex ritiene che un'istruzione violi il GDPR o altra normativa applicabile, ne informa senza ritardo il Cliente e puo' sospenderne l'esecuzione nei limiti necessari alla verifica. Se una norma impone un trattamento ulteriore, il Cliente viene informato prima del trattamento salvo divieto legale.
4. Obblighi del responsabile
- Trattare i dati personali solo su istruzione documentata del Cliente, inclusi eventuali trasferimenti verso Paesi terzi.
- Garantire che le persone autorizzate al trattamento siano vincolate alla riservatezza e ricevano istruzioni adeguate.
- Adottare misure tecniche e organizzative adeguate al rischio, secondo l'Allegato B.
- Assistere il Cliente, tenendo conto della natura del trattamento, nella gestione dei diritti degli interessati e degli obblighi previsti dagli artt. 32-36 GDPR.
- Mettere a disposizione le informazioni necessarie a dimostrare il rispetto dell'art. 28 GDPR e consentire verifiche secondo la sezione 11.
- Alla cessazione del servizio, restituire o cancellare i dati secondo la sezione 12, salvo obblighi legali di conservazione.
5. Obblighi del titolare
- Trattare e caricare nel tenant esclusivamente dati personali per i quali dispone di una base giuridica valida.
- Fornire agli interessati le informative necessarie e gestire le richieste di esercizio dei diritti.
- Configurare utenti, ruoli e permessi secondo il principio del minimo privilegio e proteggere le credenziali.
- Non caricare categorie particolari di dati o dati giudiziari salvo necessita', base giuridica idonea e preventiva valutazione dell'adeguatezza del servizio.
- Comunicare istruzioni lecite, complete e compatibili con le funzionalita' concordate.
6. Sub-responsabili
Il Cliente autorizza in via generale l'impiego dei sub-responsabili indicati nell'Allegato C. Procuplex informa il Cliente di modifiche previste all'elenco con un preavviso ragionevole, consentendogli di formulare obiezioni motivate relative alla protezione dei dati. Ogni sub-responsabile e' vincolato da obblighi sostanzialmente equivalenti a quelli del presente DPA. Procuplex resta responsabile verso il Cliente dell'adempimento degli obblighi affidati al sub-responsabile.
7. Trasferimenti internazionali
Nessun trasferimento extra SEE autorizzato salvo quanto indicato nell'elenco dei sub-responsabili o in una comunicazione successiva al titolare.
Quando un trattamento comporta trasferimenti fuori dallo Spazio Economico Europeo, Procuplex applica uno strumento valido ai sensi del Capo V GDPR, ove richiesto, e rende disponibili al Cliente le informazioni pertinenti. Il presente DPA non sostituisce eventuali clausole contrattuali standard o altri strumenti necessari al trasferimento.
8. Violazioni dei dati personali
Procuplex informa il Cliente senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali trattati per conto del Cliente. Per quanto disponibile, la comunicazione descrive natura della violazione, categorie e volume approssimativo di interessati e dati coinvolti, possibili conseguenze, misure adottate o proposte e contatto utile per gli aggiornamenti.
Contatto operativo per le segnalazioni: info@procuplex.it.
9. Diritti degli interessati e autorita'
Se riceve una richiesta relativa ai dati del tenant, Procuplex la inoltra al Cliente senza rispondere nel merito, salvo autorizzazione o obbligo legale. Nei limiti tecnicamente ragionevoli, assiste il Cliente nell'accesso, rettifica, cancellazione, limitazione, portabilita' e opposizione, nonche' nei rapporti con l'autorita' di controllo.
10. Riservatezza
L'accesso ai dati del tenant e' limitato al personale autorizzato e ai sub-responsabili necessari all'erogazione del servizio. Gli accessi tecnici devono essere pertinenti alle attivita' di assistenza, manutenzione, sicurezza, backup, migrazione o ripristino.
11. Informazioni e verifiche
Su richiesta ragionevole, Procuplex fornisce informazioni utili a dimostrare la conformita' al presente DPA. Il Cliente puo' richiedere una verifica documentale e, quando giustificato da rischi concreti o incidenti rilevanti, un audit concordato con preavviso ragionevole, nel rispetto della riservatezza, della sicurezza degli altri tenant e della continuita' del servizio. Costi e modalita' di attivita' straordinarie sono concordati preventivamente.
12. Restituzione e cancellazione
Alla cessazione del servizio, su scelta del Cliente e nei limiti delle funzionalita' disponibili, i dati personali vengono restituiti o cancellati. Secondo le istruzioni documentate del titolare e la policy di retention applicabile al servizio.
Restano salve copie conservate per obblighi di legge, tutela dei diritti o backup tecnici soggetti a sovrascrittura secondo le policy applicabili. Durante tale periodo i dati restano protetti e non sono trattati per finalita' ulteriori.
13. Responsabilita' e prevalenza
Le parti rispondono dei rispettivi obblighi secondo il GDPR e la normativa applicabile. Nessuna previsione dei Termini limita diritti degli interessati, poteri dell'autorita' di controllo o responsabilita' inderogabili. In caso di contrasto sulla protezione dei dati trattati per conto del Cliente, prevale il presente DPA.
14. Modifiche e comunicazioni
Il DPA puo' essere aggiornato quando necessario per modifiche normative, tecniche o organizzative. Le variazioni sostanziali sono comunicate con mezzi ragionevoli e si applicano secondo il contratto e la normativa vigente. Le comunicazioni privacy sono inviate ai recapiti indicati dalle parti.
Allegato A - Dettagli del trattamento
| Oggetto | Erogazione del gestionale web multi-tenant Procuplex e delle funzionalita' abilitate per il Cliente. |
|---|---|
| Durata | Durata del rapporto contrattuale e periodo successivo necessario a restituzione, cancellazione, backup tecnici o conservazioni lecite. |
| Natura delle operazioni | Raccolta per conto del Cliente, registrazione, organizzazione, consultazione tecnica, conservazione, backup, ripristino, modifica su istruzione, esportazione, migrazione, limitazione e cancellazione. |
| Finalita' | Fornitura, manutenzione, sicurezza, assistenza tecnica e continuita' operativa del tenant Procuplex. |
| Categorie di interessati | Clienti e referenti del Cliente; utenti, dipendenti, collaboratori e tecnici autorizzati; contatti associati a dispositivi, contratti, interventi e scadenze. |
| Categorie di dati | Dati identificativi e di contatto; dati aziendali; credenziali e ruoli; dati tecnici e log; ubicazioni; informazioni operative relative a registratori telematici, interventi, contratti, checklist, scadenze e documenti generati. |
| Dati particolari | Il servizio non e' progettato per trattare sistematicamente categorie particolari di dati personali o dati giudiziari. Eventuali necessita' devono essere valutate e concordate preventivamente. |
Allegato B - Misure tecniche e organizzative
- Separazione logica dei tenant e risoluzione del tenant corrente in base alla configurazione applicativa.
- Controlli di autenticazione, sessioni host-only, ruoli applicativi e verifiche dei permessi lato server.
- Protezione CSRF, header di sicurezza HTTP, limitazioni anti-abuso e blocchi progressivi sugli accessi.
- Log tecnici e di audit pertinenti alla sicurezza e alle operazioni amministrative.
- Backup tecnici, procedure di ripristino e gestione controllata di aggiornamenti e migrazioni.
- Limitazione degli accessi tecnici al personale autorizzato e gestione riservata delle credenziali.
- Gestione degli incidenti, valutazione delle vulnerabilita' e applicazione di aggiornamenti correttivi.
- Esportazione e cancellazione dei dati secondo contratto, istruzioni documentate e policy applicabili.
Allegato C - Sub-responsabili autorizzati
| Fornitore | Contatto e sede | Trattamento | Localizzazione e garanzie |
|---|---|---|---|
| Nessun sub-responsabile indicato. | |||
Allegato D - Canali per le istruzioni
Le istruzioni ordinarie sono impartite tramite configurazione del tenant, funzionalita' applicative e richieste inviate ai recapiti di assistenza concordati. Le segnalazioni di sicurezza devono essere inviate a info@procuplex.it. Le istruzioni urgenti impartite con altri mezzi devono essere confermate per iscritto.