Il presente Data Processing Agreement (“DPA” o “Atto”), allegato alle Condizioni Generali per la fornitura dei Servizi QROMO, disciplina le regole per il trattamento dei Dati Personali nell’ambito della fornitura del dei Servizi QROMO ed è concluso tra il cliente che ha acquistato i Servizi QROMO (“Cliente” o “Titolare”) e Cromo S.r.l., con sede legale in Milano, Via Piero della Francesca 51, 20154 (“Fornitore” o “Responsabile”).
Il Titolare e il Responsabile, nel prosieguo indicati singolarmente anche come “Parte” e, congiuntamente, come “Parti”.
PREMESSO CHE
A. Con l’acquisito dei Servizi QROMO, il Cliente ha accettato le Condizioni Generali che ne regolano l’utilizzo e la fornitura, di cui il presente DPA costituisce parte integrante e sostanziale in qualità di Allegato;
B. La fornitura dei Servizi QROMO in favore del Cliente implica il Trattamento da parte del Fornitore di Dati Personali per conto del Cliente ai sensi dell’articolo 28 del GDPR.
C. Il Cliente ritiene che il Fornitore presenti garanzie sufficienti al fine di mettere in atto misure tecniche e organizzative adeguate affinché il Trattamento dei Dati Personali soddisfi i requisiti stabiliti dalla normativa in materia di protezione dei dati personali.
In aggiunta a quanto altrove espressamente definito all’interno del DPA, i seguenti termini, in lettera maiuscola, dovranno intendersi secondo il significato loro attribuito nel presente Articolo:
(a) "Dati Personali” indica qualsiasi informazione riguardante un Interessato (come di seguito definito).
(b) “Categorie Particolari di Dati” indica i Dati Personali rivelanti l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale degli Interessati (come di seguito definiti).
(c) “Garante Privacy” indica l’Autorità garante italiana per la protezione dei dati personali.
(d) “GDPR” indica il Regolamento (UE) 2016/679 (il “GDPR”).
(e) “Interessati” indica le persone fisiche identificate o identificabili a cui sono riferiti i Dati Personali (si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale);
(f) “Trattamento” indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a Dati Personali o insiemi di Dati Personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(g) “Sub-responsabile” indica una persona giuridica, ditta individuale o libero professionista incaricato dal Responsabile di eseguire per conto del Titolare delle attività di Trattamento dei Dati Personali; e
(h) “Violazione dei Dati Personali” indica una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati.
2.1 Il Fornitore si impegna ad agire quale Responsabile del trattamento ai sensi dell’art. 28 del GDPR, in conformità alla normativa in materia di protezione dei dati personali di tempo in tempo applicabile, nonché ai termini e le istruzioni di cui al DPA.
3.1 Il Responsabile fornendo al Titolare i Servizi QROMO e l’accesso alla relativa piattaforma, ivi inclusa la fornitura della licenza per l’utilizzo del Software Gestionale QROMO, potrà avere la necessità di trattare Dati Personali per conto del Responsabile, a titolo esemplificativo, dati identificativi e di contatto del Cliente e di parti correlate (es. dipendenti e collaboratori del Titolare che utilizzano i Servizi QROMO, ivi incluso il Software Gestionale QROMO nell’esecuzione delle mansioni lavorative), dati relativi agli ordini e alle prenotazioni effettuate dai clienti del Titolare; dati relativi ai prodotti acquisitati dai clienti del Titolare, dati relativi agli indirizzi di consegna degli ordini.
4.1 Il Responsabile, nei limiti previsti dal Condizioni Generali e dal DPA, tratterà i Dati Personali per conto del Titolare per le seguenti finalità:
(i) fornitura dei Servizi QROMO;
(ii) risoluzione di eventuali problematiche tecniche nel funzionamento del Software Gestionale QROMO e, in generale, nell’accesso e fruizione dei Servizi QROMO;
(iii) gestione del rapporto contrattuale e commerciale con il Titolare;
(iv) adempimento ad eventuali obblighi di legge cui è soggetto il Responsabile.
4.2 Il Titolare riconosce al Responsabile il diritto di trattare i Dati Personali su base aggregata per finalità di ricerca statistica anche finalizzata al miglioramento dei Servizi QROMO.
5.1 Il Responsabile sarà tenuto a rispettare gli obblighi previsti dalle Condizioni Generali e dal DPA. In particolare, il Responsabile dovrà:
(i) rispettare gli obblighi previsti dalla normativa in materia di protezione dati personali;
(ii) rispettare integralmente le istruzioni impartite dal Titolare del trattamento;
(iii) mettere in atto le misure tecniche e organizzative adeguate a garantire la riservatezza, la disponibilità e l'integrità dei sistemi informativi utilizzati nelle attività di trattamento;
(iv) mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza del trattamento dei Dati Personali adeguato al rischio in conformità alle istruzioni ricevute dal Titolare del Trattamento;
(v) mantenere per iscritto il registro delle attività di trattamento dei Dati Personali;
(vi) comunicare al Titolare, senza ingiustificato ritardo, eventuali dati e/o informazioni relativi a contestazioni e/o accertamenti con gli Interessati, le Autorità di controllo e/o con altre Autorità giudiziarie e/o amministrative in relazione alle attività di trattamento previste dal presente DPA;
(vii) informare il Titolare tempestivamente di eventuali richieste degli Interessati relative all'esercizio dei diritti previsti dal GDPR, così che il Titolare possa adempiere all'obbligo di dare seguito a tali richieste entro i termini previsti dalla normativa in materia di protezione dati personali;
(viii) nel caso in cui si verificasse una Violazione dei Dati Personali trattati dal Responsabile per conto del Titolare, il Responsabile si impegna a:
6.1 Il Responsabile è tenuto ad effettuare il Trattamento avvalendosi, ove possibile, di server ubicati all’interno del territorio dell’Unione europea, evitando, se non strettamente necessario, qualsiasi trasferimento verso Paesi terzi extra-UE.
6.2 Fermo restando quanto sopra, l’eventuale trasferimento dei Dati Personali trattati dal Responsabile per conto del Titolare dovrà avvenire in conformità alla normativa di legge e regolamentare applicabile in materia di protezione dei dati personali. In particolare, tali trasferimenti avverranno, in base alle singole casistiche, previa verifica delle clausole contrattuali tipo (Standard Contractual Clauses) approvate dalla Commissione Europea o delle norme vincolanti per l’impresa o, in assenza, in forza di una delle misure derogatorie di cui all’art.49 del GDPR.
7.1 Il Titolare autorizza il Responsabile a ricorrere a soggetti terzi nel trattamento dei Dati necessari per la fornitura dei Servizi QROMO e, in generale, per l’esecuzione delle Condizioni Generali, i quali opereranno in qualità di sub responsabili del Trattamento.
7.2 Il Responsabile si impegna a selezionare sub-responsabili tra soggetti che per esperienza, capacità e affidabilità forniscono garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il Trattamento soddisfi i requisiti di cui alla normativa di volta in volta applicabile.
7.3 Tutti gli eventuali sub responsabili saranno tenuti, in virtù di un contratto di conferimento di incarico sostanzialmente conforme al presente DPA, a rispettare obblighi equivalenti a quelli contenuti nel presente Atto, restando inteso che il Responsabile conserverà nei confronti del Titolare l'intera responsabilità per l’adempimento degli obblighi del sub-responsabile.
8.1 Il Responsabile sarà responsabile nei confronti del Titolare – anche in relazione alle eventuali attività di trattamento svolte dai sub-responsabili – per l’inesatto o mancato adempimento degli obblighi di cui al presente DPO.
8.2 Il Responsabile si impegna a mantenere indenne il Titolare da ogni danno, onere, costo, spesa e/o pretesa di terzi derivante dalla violazione – accertata con sentenza passata in giudicato - degli obblighi del Responsabile di cui al presente DPA, e salvo che la violazione non sia imputabile ad istruzioni (ivi incluse istruzioni incomplete o non tempestive) del Titolare.
9.1 Il presente DPA sarà efficace a partire dalla data di sottoscrizione delle Condizioni Generali e per tutta la durate delle stesse.
9.2 Alla scadenza, risoluzione, recesso o cessazione per qualsivoglia causa delle Condizioni Generali, il presente DPA cesserà automaticamente di produrre i propri effetti, senza necessità di disdetta alcuna.
9.3 Alla scadenza, risoluzione, recesso o cessazione delle Condizioni Generali, il Responsabile cesserà di trattare i Dati Personali del Titolare e, a fronte della richiesta del Titolare, provvederà altresì a cancellare i Dati Personali, ad eccezione dei Dati la cui conservazione è richiesta dalla legge di tempo in tempo applicabile.
10.1 Il presente DPA, così come le Condizioni Generali di cui il DPA è un allegato, sono regolate e devono essere interpretate in conformità alla legge italiana.
10.2 Per eventuali controversie sulla interpretazione ed esecuzione del DPA sarà esclusivamente competente il Foro di Milano.