ALLEGATO 1 – Accordo sul trattamento dei dati personali
Nell’ambito dei servizi forniti all’Utente, il Gestore della Privacy è tenuto a svolgere le operazioni di trattamento dei dati personali per conto dell’Utente. Questi trattamenti vengono effettuati per tutta la durata del rapporto contrattuale tra l’Utente e Arianto.
I trattamenti effettuati dal Gestore della Privacy, per conto dell’Utente e di Arianto, sono descritti di seguito:
- Archiviazione dei listati dei contatti caricati dagli utenti;
- Invio di messaggi via e-mail o SMS;
- Conservazione e analisi dei dati di deliverability delle e-mail;
- Raccolta delle cancellazioni delle iscrizioni e delle informazioni dell’Utente interessato;
- Raccolta dei consensi di iscrizione;
A tal riguardo, il Gestore della Privacy dichiara di presentare garanzie sufficienti per attuare adeguate misure tecniche e organizzative in modo che il trattamento soddisfi i requisiti GDPR e protegga i diritti della persona interessata, e si impegna a rispettare i seguenti obblighi:
- Obblighi del Gestore della Privacy
a) Istruzioni per l’Utente
Il Gestore della Privacy si impegna a trattare i dati personali esclusivamente per le finalità dei Servizi in conformità con le istruzioni per dell’Utente. Così, il Gestore della Privacy si impegna a non concedere, locare, cedere o comunicare in altro modo ad un’altra persona, tutti o parte dei dati personali, anche a titolo gratuito, e a non utilizzare i dati personali per scopi diversi da quelli previsti dalle Condizioni Generali d’Uso.
Nel caso in cui il Gestore della Privacy ritenga che un’istruzione data dall’Utente sia una violazione della legge applicabile, dovrà informare immediatamente l’Utente e Arianto.
b) Privacy e sicurezza
Il Gestore della Privacy garantisce la riservatezza dei dati personali trattati nell’ambito dei Servizi. Come tale, esso si assicura (i) di divulgare i dati personali solo a persone che hanno bisogno di conoscerli, (ii) che queste persone sono a conoscenza delle istruzioni dell’Utente e si impegnano a trattare i dati personali a loro affidati solo nel rigoroso rispetto di questi e per nessun altro scopo, (iii) a persone che sono sottoposte ad un adeguato obbligo contrattuale o legale di riservatezza, e (iv) che hanno ricevuto la formazione necessaria in materia di protezione dei dati personali.
Il Gestore della Privacy si impegna ad attuare misure tecniche ed organizzative per aiutare a preservare la privacy e la sicurezza dei dati personali, in particolare, impedire che vengano distorti, danneggiati o comunicati a terzi non autorizzati, e molto altro ancora, generalmente, per proteggere i dati personali dalla distruzione accidentale o illecita, alterazione, divulgazione o accesso non autorizzato e contro qualsiasi forma di trattamento illecito, a condizione che tali misure garantiscano, tenuto conto dello stato della tecnica e dei costi legati alla loro attuazione, un adeguato livello di sicurezza ai rischi insiti nel trattamento e nell’elenco dei dati da proteggere, e più in generale, al fine di garantire un livello di sicurezza dei dati personali, adeguato al rischio.
c) Notifica delle violazioni di dati personali
In caso di violazione della sicurezza comportante, in maniera accidentale o illecita, la distruzione, la perdita, la modifica, la divulgazione non autorizzata di dati personali trattati dal Gestore della Privacy, o l’accesso non autorizzato a tali dati, il Gestore della Privacy si impegna ad informarne immediatamente l’Utente entro 72 ore dalla rilevazione dell’incidente.
In tali circostanze e in consultazione con l’Utente, il Gestore della Privacy si impegna ad attuare le misure necessarie per la protezione dei dati, e a limitare qualsiasi impatto negativo sulle persone interessate.
Il Gestore della Privacy si impegna a fornire all’Utente tutte le informazioni e tutta l’assistenza per consentire di adempiere ai propri obblighi di comunicazione presso le autorità di protezione dei dati, e se del caso a coloro che sono interessati.
d) Assistenza all’Utente
Il Gestore della Privacy si impegna, per quanto possibile, ad assistere l’Utente nell’ambito del rispetto dei propri obblighi. Così il Gestore della Privacy dovrà:
- rispondere prontamente ad ogni richiesta da parte dell’Utente sui dati personali trattati per consentire all’Utente di prendere in considerazione, a tempo debito, le eventuali richieste delle parti interessate (diritto di accesso, rettifica, diritto di distruzione, ecc), e più in generale, prendere in considerazione la natura del trattamento e aiutare l’Utente con adeguate misure tecniche e organizzative per adempiere il proprio obbligo di rispondere alle richieste delle persone interessate su come esercitare i propri diritti;
- assistere e collaborare con l’Utente per garantire la conformità con i suoi obblighi conformemente alle normative vigenti in questo settore, e in particolare contribuire a garantire la sicurezza dei dati personali, rispettare i suoi obblighi in caso di vulnerabilità della sicurezza, per favorire l’attuazione di tutte le misure necessarie prima del trattamento, come ad esempio la realizzazione di un’analisi d’impatto.
e) Accesso ai dati/ Eliminazione
In qualsiasi momento, durante l’esecuzione delle Condizioni Generali d’Uso, l’Utente può accedere ai dati personali trattati dal Software o eliminarli direttamente attraverso le funzionalità di esportazione e di eliminazione integrata.
Al termine del rapporto contrattuale, a scelta dell’Utente, il Gestore della Privacy si impegna a distruggere tutti i dati personali, o a reinviarli all’Utente, se tecnicamente possibile, entro un periodo di massimo 3 mesi. Il reso deve essere accompagnato dalla distruzione delle copie esistenti nei sistemi informatici del Gestore della Privacy, a meno che la legge applicabile ne imponga la conservazione. Il Gestore della Privacy si impegna a comunicare all’Utente e a Arianto, su richiesta, la prova di tale distruzione.
- Fornitori Arianto
L’Utente è informato e accetta:
- Infoweb come Gestore della Privacy e come fornitore di assistenza tecnica di natura informatica;
- Hetzner come host dei Servizi Web necessari per il funzionamento del Software.
In caso di modifica dell’elenco dei suoi fornitori, Arianto ne informerà l’Utente, tramite e-mail, che avrà la possibilità di annullare l’iscrizione in caso di contestazione. Si specifica che questa notifica includerà informazioni riguardanti eventuali trasferimenti di dati personali al di fuori dell’Unione Europea.
Quando Arianto utilizza fornitori ulteriori per eseguire attività di trattamento specifiche per l’account e per le istruzioni per l’Utente, gli stessi obblighi in materia di protezione dei dati sono imposti tramite contratto ai fornitori ulteriori, con particolare riferimento alle garanzie sufficienti per l’attuazione di adeguate misure tecniche e organizzative.
Spetta a Arianto garantire che i fornitori ulteriori offrano sufficienti garanzie in modo che il trattamento soddisfi i requisiti del GDPR. Se i fornitori ulteriori non riescono a soddisfare i loro obblighi in materia di protezione dei dati, si ricorda che Arianto rimane pienamente responsabile nei confronti dell’Utente dell’esecuzione da parte dei fornitori ulteriori successivi appaltatori dei loro obblighi.