1. Preambolo. 2
2. Definizioni 3
3. Ruoli Privacy. 4
4. Obblighi di Register 5
5. Obblighi del Cliente. 5
6. Autorizzazione al Trattamento dei dati da parte di Sub-Responsabili 6
7. Trasferimento dei Dati Personali e inclusione delle Clausole Contrattuali Tipo (ove applicabile) 6
8. Obblighi in tema di collaborazione e responsabilizzazione. 7
9. Diritti dell’Interessato. 7
10. Restituzione dei dati e cancellazione. 7
11. Trasmissione. 8
12. Violazione dei Dati Personali 8
13. Disaster recovery e business continuity. 9

Allegato 1. 10

Allegato 2. 11

Allegato 3. 15

 

 

 

 

Contratto per il Trattamento dei Dati Personali

 

 

 

I.            Preambolo

Premesso che:

 

1. Le Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali consentono a ogni Titolare del Trattamento di Dati Personali di proporre una persona fisica o giuridica, una pubblica amministrazione o qualsiasi altro ente o associazione, quale Responsabile del Trattamento dei Dati Personali per conto del Titolare tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali, ivi compreso il profilo della sicurezza.

 

1. il Responsabile designato deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative volte a perseguire la protezione dei Dati Personali e a garantire la tutela dei diritti dell’Interessato.

 

1. Il presente Contratto per il Trattamento dei Dati Personali, unitamente ai suoi Allegati (congiuntamente “Contratto”), viene sottoscritto tra il Cliente (di seguito: “Cliente”), ovvero la persona fisica o giuridica che ha acquistato il Servizio (come definito di seguito) e Register S.p.A. (di seguito: “Register”); il Cliente e Register, congiuntamente intesi come le “Parti”, e ciascuno singolarmente come “Parte”, stipulano il presente Contratto al fine di riflettere gli accordi intercorsi tra le Parti con riferimento al Trattamento dei Dati Personali del Cliente, in osservanza delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.

 

1. Register fornisce al Cliente il/i servizio/i ("Servizi/o") da questo attivato/i alle condizioni contrattuali concluse tra le Parti (“Contratto Master”) e, al fine di rendere disponibile il summenzionato Servizio secondo quanto previsto dal presente Contratto, Register potrebbe Trattare Dati Personali per conto del Cliente.

 

1. E. Più precisamente, la/le finalità del Trattamento dei Dati Personali del Cliente in relazione al Servizio è/sono descritta/e nell’Allegato 1.

 

1. F. Il Cliente è consapevole che il suo utilizzo del Servizio potrebbe essere soggetto alle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali con riferimento a giurisdizioni che impongono determinati requisiti nel rispetto delle attività di Trattamento di qualsiasi Dato Personale.

 

1. G. Le Parti hanno concluso il presente Contratto al fine di assicurarsi la conformità alle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali e stabilire misure di sicurezza e procedure idonee per procedere al legittimo Trattamento dei Dati Personali. Il Cliente conferma che le previsioni riportate nel presente Contratto riflettono gli obblighi cui deve conformarsi Register in osservanza delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali, aventi ad oggetto il Trattamento dei Dati Personali del Cliente per l'erogazione del Servizio. Ai sensi di quanto sopra, Register si impegna a conformarsi alle previsioni contenute nel presente Contratto.

 

 

Il suddetto preambolo forma parte integrante del Contratto.

 

 

1.     Definizioni

 

Salvo che sia diversamente definito nel presente Contratto, tutti i termini in maiuscolo utilizzati nel presente Contratto hanno il significato loro attribuito nel Contratto Master. In caso di contrasto o incongruenze per quanto riguarda la tutela della protezione dei dati tra il presente Contratto e il Contratto Master, prevale quanto stabilito nel presente Contratto.

 

“Autorità di Controllo” indica ogni autorità competente a vigilare ed assicurare l’applicazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali con riferimento al Trattamento dei Dati Personali del Cliente svolti per mezzo del Servizio.

 

“Categorie Particolari di Dati Personali” indica i Dati Personali che rivelino: l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché il Trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o i dati relativi a condanne penali e a reati o alle relative misure di sicurezza.

 

“Clausole Contrattuali Tipo” indica le Clausole Contrattuali Tipo adottate dalla Commissione Europea nella Decisione di Esecuzione (UE) 2021/914 della Commissione.

 

"Cliente" indica il soggetto che ha attivato il Servizio.

 

“Contratto Master” indica le condizioni contrattuali previste nel contratto di servizi disciplinanti la fornitura del Servizio concluso tra le Parti.

“Contratto” indica il presente Contratto per il Trattamento dei Dati Personali e gli Allegati 1, 2 e 3.

 

“Dati Personali del Cliente” indica i Dati Personali, relativi agli Interessati, trattati in relazione al Servizio fornito da Register nei confronti del Cliente.

 

“Dati Personali” significa qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; al fine di evitare contrasti interpretativi, “Dati Personali” ha il significato previsto dal Regolamento e dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.

 

“Decisione di Adeguatezza” si riferisce a una decisione vincolante emessa dalla Commissione Europea che permette il trasferimento dei Dati Personali dallo Spazio Economico Europeo verso un paese terzo il cui ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei Dati Personali.

 

“Diritti dell’Interessato” sono i diritti riconosciuti all’Interessato dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. Nei limiti di applicabilità del Regolamento, “Diritti dell’Interessato” significa, ad esempio, il diritto di chiedere al Titolare l’accesso, la rettifica o la cancellazione dei Dati Personali, il diritto alla limitazione del Trattamento dei dati dell’Interessato o il diritto di opposizione al Trattamento, nonché il diritto alla portabilità dei dati.

 

"Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali" indica, negli Stati membri dell’Unione Europea, il Regolamento e le complementari legislazioni nazionali in materia di protezione dei Dati Personali, comprensivi di ogni orientamento e/o code of pratice emessi dalla competente Autorità di controllo all’interno dell’Unione Europea; e/o, negli Stati extra UE, ogni vigente legislazione in materia di protezione dei Dati Personali relativa alla tutela ed al legittimo Trattamento di Dati Personali.

 

“Elenco dei Sub-Responsabili” indica l’elenco disponibile inviando richiesta scritta a dpo@register.it.

“Interessato/i” ha il significato previsto dal Regolamento.

 

“Regolamento” indica il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE.

 

“Responsabile” o “Responsabile del Trattamento” indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che Tratti Dati Personali per conto del Titolare.

 

“SEE” indica lo Spazio Economico Europeo.

 

“Servizi/o” indica il servizio oggetto del Contratto Master.

 

“Servizi che Coinvolgono un Sub-responsabile Extra-SEE” indica i servizi di Imperva Web Application Firewall (Incapsula).

 

“Sub-Responsabile” indica un organismo individuato da Register per assisterlo nel (o che intraprenda direttamente qualsivoglia) Trattamento dei Dati Personali del Cliente nel rispetto delle obbligazioni previste da Register e di cui al presente Contratto, individuabile nell’elenco dei Sub-Responsabili, che sia stato autorizzato dal Cliente ai sensi dell’Art. 5 del presente Contratto.

 

“Sub-responsabile Extra-SEE” indica ogni entità, che agisca in qualità di Responsabile (o come sub-Responsabile), che Tratti Dati Personali del Cliente per l’erogazione del Servizio in un paese extra SEE, ove tale entità non è sottoposta al Regolamento ai sensi dell’articolo 3, paragrafo 2 del Regolamento.

 

“Titolare” o “Titolare del Trattamento” indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che, da solo o congiuntamente con altri soggetti, determini le finalità e le modalità del Trattamento dei Dati Personali.

 

“Titolare Extra-SEE” indica ogni entità, che agisca in qualità di Titolare, a cui Register fornisce i Servizi, e che non è stabilito all’interno del SEE, ove tale entità non è sottoposta al Regolamento ai sensi dell’articolo 3, paragrafo 2 del Regolamento.

 

“Trattare” o “Trattamento” significa qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a Dati Personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

 

“UE” indica l’Unione Europea.

 

“Violazione dei Dati Personali” indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati.

 

2.     Ruoli Privacy

 

2.1. Le Parti convengono che:

1. Il Cliente è il Titolare dei Dati Personali del Cliente, salvo se e quando il Cliente agisce in qualità di Responsabile dei Dati Personali del Cliente per conto di una terza parte che agisce in qualità di Titolare o in qualità di Responsabile esso stesso. Il Cliente, o il Titolare rilevante, determina le finalità della raccolta e del trattamento dei Dati Personali del Cliente;
2. Register, in ogni caso, agisce come Responsabile del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio; e
3. Il presente Contratto regola il rapporto tra le Parti con riferimento ai rispettivi compiti e obblighi con riferimento al Trattamento dei Dati Personali del Cliente posto in essere da Register, in qualità di Responsabile, nell’erogazione del Servizio.

 

3.     Obblighi di Register

 

3.1. Il Cliente, o il Titolare rilevante, determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio.

 

3.2. Con riferimento all’erogazione del Servizio, Register si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto:

 

1. Register tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Cliente con il presente Contratto;
2. Register avvertirà il Cliente qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso Register sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente;
3. Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Cliente e non al Responsabile.
4. Register ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che Register è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate.
5. Ove Register comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, Register assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.

 

4.     Obblighi del Cliente

 

4.1. Il Cliente è consapevole e accetta che, per consentire l’erogazione del Servizio da parte del Responsabile, il Cliente fornirà al Responsabile Dati Personali del Cliente. Il Cliente si impegna a verificare che le misure di sicurezza elencate nell'Allegato 2 del presente Contratto siano compatibili con i tipi di dati personali che il Cliente intende affidare al Responsabile ed a segnalare al Responsabile eventuali criticità, al fine di valutare congiuntamente con Register eventuali interventi da assumere, così come la compatibilità del Servizio con i Dati Personali del Cliente.

 

4.2. Il Cliente assicura e garantisce che:

1. a) sussiste un’idonea base legale (ad es., consenso dell’Interessato, legittimo interesse, autorizzazione della competente Autorità di Controllo, ecc.) per procedere al Trattamento e alla trasmissione dei Dati Personali del Cliente al Responsabile come parte della fornitura del Servizio; e
2. b) le previsioni riportate nel presente Contratto riflettono gli obblighi cui deve conformarsi Register in osservanza delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali, aventi ad oggetto il Trattamento dei Dati Personali del Cliente per l'erogazione del Servizio.

 

5.     Autorizzazione al Trattamento dei dati da parte di Sub-Responsabili

 

5.1. Il Cliente riconosce, accetta ed acconsente che, esclusivamente per procedere alla fornitura del Servizio e nel rispetto di quanto stabilito nel presente Contratto, i Dati Personali del Cliente potrebbero essere Trattati dal Responsabile o da suoi Sub-Responsabili come descritti nell’Elenco dei Sub-Responsabili.

 

5.2. Ai sensi dell’art. 5.1, Register è autorizzato a servirsi di Sub-Responsabili a condizione che:

1. a) informi preventivamente il Cliente dell’identità dei Sub-Responsabili come descritti nell’elenco dei Sub-Responsabili e notifichi al Cliente ogni aggiornamento del predetto elenco al fine di consentire al Cliente di opporsi all’impiego di detti Sub-Responsabili;
2. b) stipuli accordi con i Sub-Responsabili che contengano gli stessi obblighi previsti dal presente Contratto per quanto riguarda il Trattamento dei Dati Personali del Cliente;
3. c) eserciti adeguati controlli nel selezionare i Sub-Responsabili e rimanga responsabile per l’adempimento degli obblighi contenuti nel presente Contratto da parte dei Sub-Responsabili coinvolti;
4. d) su richiesta del Cliente, Register fornisca al Cliente adeguate informazioni in merito alle azioni ed alle misure che Register ed i suoi Sub-Responsabili hanno intrapreso per assicurare il rispetto delle previsioni del presente Contratto.

 

6.     Trasferimento dei Dati Personali e inclusione delle Clausole Contrattuali Tipo (ove applicabile)

 

6.1. Qualora il Cliente acquisti uno o più Servizi che Coinvolgono Sub-responsabili Extra-SEE, ai sensi degli artt. 5.1 e 5.2 che precedono Register può trasferire i Dati Personali del Cliente a uno o più ulteriori Sub-responsabili che sono Sub-responsabili Extra-SEE e che sono considerati Importatori ai fini delle Clausole Contrattuali Tipo. In tal caso, in assenza di Decisioni di adeguatezza applicabili al Sub-responsabile Extra-SEE, Register si impegna a stipulare le Clausole Contrattuali Tipo con il Sub-responsabile Extra-SEE, e riconosce che si applicano le sole clausole delle Clausole Contrattuali Tipo di cui al MODULO TRE: Trasferimento da responsabile a responsabile (ad esclusione degli altri MODULI).

 

6.2. Nulla del presente Contratto potrà prevalere su qualsivoglia clausola delle Clausole Contrattuali Tipo.

 

6.3. Previa richiesta, il Cliente può procedere alla revisione delle Clausole Contrattuali Tipo. Nella misura necessaria per proteggere segreti aziendali o altre informazioni riservate, inclusi Dati Personali, resta inteso che Register può oscurare parte del testo delle Clausole Contrattuali Tipo prima di condividerne una copia.

 

6.4. Il Cliente riconosce che è responsabilità del Cliente rispettare ogni eventuale compito e obbligo aggiuntivo applicabile al fine di rendere lecito il trasferimento dei Dati Personali ai Responsabili del Trattamento e ai Sub-Responsabili ai sensi delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.

 

6.5. Nella misura in cui il Cliente è un Titolare Extra-SEE, Register e il Titolare Extra-SEE concordano che le Clausole Contrattuali Tipo sono qui accettate come incorporate nel presente DPA per riferimento, per quanto riguarda qualsiasi trasferimento di Dati Personali del Cliente dal Titolare Extra-SEE a Register nell'ambito della fornitura dei Servizi. In questo caso, alle Clausole Contrattuali Tipo si applicano le seguenti specifiche:

(i) è applicabile la Clausola 7 delle Clausole Contrattuali Tipo;

(ii) si applicano solo le clausole delle Clausole Contrattuali Tipo di cui al MODULO QUATTRO: Trasferimento del responsabile del trattamento al titolare del trattamento (ad esclusione degli altri MODULI).

(iii) le Clausole 14 e 15 non si applicano, considerato che i Servizi non comportano la combinazione dei Dati Personali del Cliente ricevuti dal Titolare Extra-SEE con altri Dati Personali raccolti da Register nell'UE.

(iv) Ai sensi della Clausola 17 delle Clausole Contrattuali Tipo, si applica la leggi italiana.

(v) Ai sensi della Clausola 18 delle Clausole Contrattuali Tipo, le Parti indicano i tribunali di Firenze (Italia).

(vi) Si applicherà solo l'Allegato 1 del presente DPA e sarà considerato come Allegato I delle Clausole Contrattuali Tipo.

 

7.     Obblighi in tema di collaborazione e responsabilizzazione

 

7.1. Le Parti si impegnano a collaborare in buona fede per assicurare il rispetto delle previsioni di cui al presente Contratto, tra cui, ma non solo, il dovere di assicurare il corretto e tempestivo esercizio dei diritti dell’Interessato, gestire incidenti di sicurezza/Violazioni dei Dati Personali al fine di mitigare i possibili effetti avversi da essi derivanti.

 

7.2 Le Parti collaborano in buona fede per rendere disponibile reciprocamente e verso l’Autorità di Controllo le informazioni necessarie a dimostrare il rispetto delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.

 

8.     Diritti dell’Interessato

 

8.1. In considerazione della natura del Trattamento, Register assiste il Cliente con misure tecniche ed organizzative adeguate ad assicurare l’adempimento degli obblighi del Cliente di riscontrare le richieste di esercizio dei diritti dell’Interessato.

 

8.2. Register fornirà al Cliente adeguata collaborazione ed assistenza e provvederà a fornire tutte le informazioni ragionevolmente richieste allo scopo di fornire riscontro all’Interessato o, altrimenti, per permettere al Cliente di dimostrare il rispetto dei propri doveri ed obblighi per quanto concerne i diritti dell’Interessato ai sensi delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. Il Cliente riconosce e accetta che, nel caso in cui tale cooperazione e assistenza richiedano un impiego significativo di risorse da parte del Responsabile, tale sforzo sarà addebitabile, previo preavviso e accordo, al Cliente.

 

9.     Restituzione dei dati e cancellazione

 

9.1. Register, senza porre costi aggiuntivi a carico del Cliente, restituirà o distruggerà i Dati Personali del Cliente alla scadenza o risoluzione anticipata del presente Contratto e/o su richiesta del Cliente, subordinatamente ad una richiesta scritta inviata con congruo preavviso, salvo che sussistano specifici obblighi di conservazione previsti dalla legge (inclusi, a titolo esemplificativo ma non esaustivo, obblighi previsti dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali o richieste provenienti dall’autorità giudiziaria), tra cui, ma non solo, quelli provenienti dall’Autorità di Controllo, tali da impedire al Responsabile di adempiere.

 

9.2. Al fine di adempiere alla specifica richiesta del Cliente volta alla restituzione dei Dati Personali del Cliente, tale richiesta sarà soddisfatta nei limiti del possibile, subordinatamente ai limiti tecnici e organizzativi commercialmente ragionevoli, commisurati al volume, alla categorizzazione e alla quantità di Dati personali oggetto di Trattamento.

 

9.3. I Dati personali del Cliente oggetto di restituzione in seguito alla procedura interna standard di Register dovranno essere restituiti senza alcun costo per il Cliente o, in alternativa, verranno restituiti a un costo ragionevole per il Cliente medesimo.

 

9.4. Nel caso in cui il Cliente opti per la cancellazione dei Dati Personali del Cliente e fatto salvo quanto previsto dal successivo Art. 9.5, Register fornirà un’attestazione che assicuri tale cancellazione.

 

9.5. Register potrà mantenere i Dati Personali del Cliente che siano stati conservati con regolari operazioni di backup nel rispetto dei protocolli di disaster recovery e business continuity del Responsabile (si veda art. 12), purché Register non compia, e non consenta ai propri Sub-Responsabili, di trattare in maniera attiva o intenzionale tali Dati Personali del Cliente per qualsivoglia finalità ulteriore rispetto alla fornitura del Servizio.

 

10.  Trasmissione

 

10.1. I Dati Personali trasmessi dal Responsabile in relazione al Servizio attraverso Internet dovranno essere cifrati in modo appropriato. Le Parti sono altresì consapevoli che la sicurezza delle trasmissioni su Internet non potrà essere completamente garantita. Register non sarà responsabile per l'accesso a Internet del Cliente, per eventuali intercettazioni o interruzioni di qualsiasi comunicazione attraverso Internet, o per modifiche o perdite di Dati Personali attraverso Internet.

 

10.2. In caso si sospetti una Violazione dei Dati Personali, Register potrà sospendere, immediatamente in attesa delle indagini sulle cause, l’utilizzo del Servizio via Internet da parte del Cliente, a condizione che Register notifichi tale sospensione non appena ciò sia ragionevolmente possibile, nonché adotti tutte le misure adeguate per ripristinare prontamente la fruizione del Servizio via Internet e cooperi con il Cliente al fine di proseguire l’erogazione del Servizio tramite altri canali di comunicazione disponibili.

 

10.3. Il Cliente porrà in essere tutte le azioni adeguate e necessarie a mantenere la riservatezza dei nominativi e delle password dei dipendenti del Cliente per l'erogazione del Servizio. Il Cliente sarà responsabile per le conseguenze di ogni utilizzo inidoneo del Servizio da parte dei dipendenti del Cliente.

 

11.  Violazione dei Dati Personali

 

11.1 Il Cliente è consapevole e acconsente che Register non sarà ritenuto responsabile in caso di Violazione dei Dati Personali che non sia imputabile a negligenza di quest’ultimo.

 

11.2 Nel caso in cui Register venga a conoscenza di una Violazione dei Dati Personali, dovrà:

1. a) adottare le misure appropriate per contenere e mitigare tale Violazione dei Dati Personali, inclusa la notifica al Cliente senza ingiustificato ritardo, al fine di consentire al Cliente di implementare rapidamente le contromisure necessarie. Nonostante quanto sopra, Register si riserva il diritto di determinare le misure da porre in essere per conformarsi alle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali o per proteggere i suoi diritti e interessi;
2. b) collaborare con il Cliente per indagare: la natura, le categorie ed il numero approssimativo di Interessati coinvolti, le categorie ed il numero approssimativo di Dati Personali coinvolti e le probabili conseguenze di tale violazione con modalità commisurate alla serietà della violazione ed al suo impatto complessivo sul Cliente e sull’erogazione del Servizio previsto dal presente Contratto;
3. c) ove le Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali richiedano la notificazione alle competenti Autorità di Controllo ed agli Interessati della Violazione dei Dati Personali, e nel caso essa si riferisca a Dati Personali del Cliente, Register dovrà deferire al, e prendere istruzioni dal Cliente, che sarà l’unico ad avere il diritto di determinare le misure che dovranno essere adottate per adempiere alle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali o per porre rimedio a qualsivoglia rischio, tra cui ma non solo:
4. determinare se l’avviso debba essere fornito a qualsivoglia individuo, autorità di regolamentazione, autorità giudiziaria, enti a tutela dei consumatori o altri come richiesto dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali, o richiesto a discrezione del Cliente; e
5. determinare il contenuto di tale avviso, se sia possibile offrire all'Interessato dalla violazione qualche rimedio riparatorio, nonché la natura e l’ampiezza di tale rimedio.

 

12.  Disaster recovery e business continuity

 

12.1 Register adotta e aggiorna, secondo criteri di diligenza professionale, protocolli di disaster recovery e business continuity, che differiscono a seconda del Servizio, la cui sintesi è resa disponile al Cliente previa richiesta. Register può modificare tale programma in qualsiasi momento, a condizione che la sua capacità di fronteggiare un disaster recovery non si riduca ad un livello inferiore a quello previsto dal suddetto programma al momento della sottoscrizione del presente Contratto.

 

 

 

 

 

 

Allegato 1

 

1. INTERESSATI

I Dati Personali oggetto di trasferimento/Trattamento, a seconda dello specifico Servizio attivato, possono riguardare le seguenti categorie di Interessati, non determinabili a priori:

• Cliente e/o dipendenti e collaboratori del Cliente;
• Fornitori del Cliente;
• Utenti del Cliente;
• Clienti del Cliente;
• Soggetti i cui dati sono comunque Trattati dal Cliente in qualità di Titolare del Trattamento tramite i/l Servizio/i fornito/i da Register.

 

2. CATEGORIE DI DATI PERSONALI TRATTATE PER CIASCUN SERVIZIO

I Dati Personali oggetto di trasferimento/Trattamento per qualsiasi Servizio attivato dal Cliente, non determinabili a priori, si riferiscono esclusivamente ai dati di cui all’art. 4(1) del Regolamento, in ogni caso con esclusione dei Dati Personali relativi a condanne penali e reati, e a dati appartenenti a Categorie Particolari di Dati Personali.

In particolare, saranno oggetto di trasferimento/Trattamento le seguenti categorie di Dati Personali:

• dati di contatto (nome e cognome, indirizzo e-mail, indirizzo postale, numero di telefono);
• data di nascita;
• età;
• genere;
• ulteriori categorie di Dati Personali Trattati dal Cliente in qualità di Titolare del Trattamento tramite i/l Servizio/i fornito/i da Register.

 

3. CATEGORIE PARTICOLARI DI DATI PERSONALI

I Dati Personali oggetto di trasferimento/Trattamento non comprendono Dati Personali relativi a condanne penali e reati, né Categorie Particolari di Dati Personali.

 

4. OPERAZIONI DI TRATTAMENTO

I Dati Personali potranno essere trasferiti/Trattati solo in relazione alla fornitura del Servizio così come descritto nel Contratto Master.

 

5. NATURA DEL TRATTAMENTO

 

La natura delle operazioni di Trattamento varia in base allo specifico Servizio attivato tramite il Contratto Master.

 

6. FREQUENZA DEL TRATTAMENTO

 

La frequenza delle operazioni di Trattamento varia in base allo specifico Servizio attivato tramite il Contratto Master.

 

7. DURATA DEL TRATTAMENTO

 

I Dati Personali del Cliente saranno conservati fino a quando il Servizio rimane attivo.

 

 

 

Allegato 2(Appendice 2 delle Clausole Contrattuali Tipo, ove applicabile)

 

Descrizione delle misure di sicurezza tecniche ed organizzative

 

Register ed i Sub-Responsabili si impegnano a garantire un livello di sicurezza non inferiore a quello previsto dalle misure tecniche e organizzative di seguito descritte.

 

Informazioni sulle misure di sicurezza

 

Per un maggior dettaglio sulle misure di sicurezza del servizio PEC si rinvia al manuale operativo disponibile al seguente link: https://www.sfera.net/documenti/pec/manualeoperativo.

 

Per i restanti servizi della Società si elencano di seguito le misure di sicurezza:

 

Procedure sulla sicurezza delle informazioni

Organizzazione interna

Sono stati definiti ruoli e responsabilità separati per la sicurezza delle informazioni e sono stati assegnati alle persone autorizzate al trattamento dei dati personali della Società (di seguito anche “utenti”) per evitare conflitti di interesse e prevenire attività inappropriate.

 

Sicurezza delle risorse umane

Dispositivi mobili e telelavoro

È prevista una Policy di sicurezza per l’utilizzo di tutti i dispositivi aziendali, in particolare quelli mobili, e sono in essere adeguati controlli.

Conclusione o modifiche al rapporto di lavoro

Al momento dell’uscita di un utente dall’organizzazione o nel caso di modifica significativa del ruolo ricoperto i permessi di accesso vengono aggiornati immediatamente, gli strumenti aziendali restituiti e azzerati sia fisicamente che logicamente.

 

Gestione delle risorse del patrimonio aziendale 

Responsabilità delle risorse del patrimonio aziendale

Tutte le risorse del patrimonio aziendale sono accuratamente inventariate ed è monitorata l’assegnazione delle stesse ai vari utenti che sono responsabili per la loro sicurezza. È definita una policy per l’uso corretto delle stesse.

Classificazione delle informazioni

Le informazioni sono classificate e catalogate dai rispettivi utenti in linea con quanto previsto dalle esigenze di sicurezza, nonché trattate in modo appropriato.

Gestione dei media

Le informazioni conservate sui media sono gestite, controllate, modificate ed utilizzate in modo tale da non comprometterne il loro contenuto e sono cancellate in modo adeguato.

 

Controllo degli accessi

Requisiti aziendali per il controllo degli accessi

I requisiti organizzativi aziendali per il controllo degli accessi alle risorse informative sono documentati in una policy e in una procedura di controllo degli accessi; l'accesso alla rete ed alle connessioni è limitato.

Gestione dell’accesso degli utenti 

L'allocazione dei diritti di accesso agli utenti è controllata dalla registrazione iniziale dell'utente fino alla rimozione dei diritti di accesso quando non più necessari, incluse le speciali restrizioni per i diritti di accesso privilegiato e la gestione delle "informazioni segrete di autenticazione", ed è soggetta a revisioni e controlli periodici incluso aggiornamento dei diritti di accesso. Nella gestione degli accessi viene utilizzato il criterio della minimizzazione dei diritti di accesso, che sono rilasciati al fine di permettere all’utente l’accesso ai soli dati necessari per la sua attività. Diritti di accesso ulteriori richiedono una specifica autorizzazione.  

Responsabilità degli utenti

Gli utenti sono consapevoli delle loro responsabilità anche attraverso il mantenimento di un effettivo controllo degli accessi, ad esempio scegliendo una password complessa, complessità comunque verificata dal sistema, e tenendola riservata.

Sistemi e applicazioni per il controllo degli accessi

L'accesso alle informazioni è soggetto a restrizioni nel rispetto della policy sul controllo degli accessi, attraverso un sistema di accessi sicuri e di gestione delle password di accesso oltre al controllo sulle utilità privilegiate e l'accesso limitato a tutti i codici sorgente.

 

Crittografia

Controllo crittografico

È in essere una Policy sull’uso della cifratura dei supporti e dei dati degli utenti. Le autenticazioni sono criptate.

 

Sicurezza fisica e ambientale

Sono in essere misure di sicurezza fisica e ambientale volte a prevenire l’accesso, la perdita o la diffusione illegittima o accidentale dei dati presenti nelle varie strutture.

Aree sicure: data center

I servizi della Società vengono erogati e ospitati in più data center nel mondo. Tutti i data center all’interno della catena di fornitura offrono ridondanza completa di tutti i circuiti elettrici, di raffreddamento e di rete. Tutti i data center dispongono di un sistema di rilevamento di presenza con telecamere a circuito chiuso. Tutti gli allarmi sono concentrati in control room.

L’accesso fisico è regolato e controllato da procedure di autorizzazione e riconoscimento.

Apparecchiatura

È in essere una policy per lo smaltimento delle apparecchiature dismesse in modo da distruggere in modo sicuro tutte le informazioni contenute.

 

Sicurezza delle operazioni

Procedure e responsabilità operative

Le responsabilità operative in ambito IT sono documentate e le modifiche alle strutture ed ai sistemi IT sono controllate. I sistemi di sviluppo, quelli di verifica e quelli operativi sono separati. Sono definiti utenti responsabili del corretto funzionamento delle procedure. E’ invece a cura del cliente dei singoli servizi della Società (di seguito anche, il “cliente”) la gestione della sicurezza logica dei sistemi operativi e delle applicazioni installate dal cliente.

Protezione da malware

È attivo sui device aziendali il controllo dei virus e dei malware, e c’è un’idonea consapevolezza sul punto da parte degli utenti.

Con riguardo ai servizi di Server Virtuale o Server Dedicato è a cura del cliente l’installazione di antivirus e anti malware e - se non è stato acquistato il relativo servizio - di firewall. Con riguardo al servizio di Hosting è invece in essere una protezione in real-time sulle macchine di front-end.

Con riguardo al servizio e-mail il traffico di posta viene analizzato in tempo reale, sia in ingresso che in uscita, per il rilevamento di virus, malware e per l’identificazione e il filtraggio dello spam. L’analisi è automatica e si basa sia sulla natura del contenuto, sia sulla interrogazione di basi dati internazionali, sia sulla reputazione acquisita grazie a una serie di parametri.

Backup

Vengono eseguiti backup periodici, ad esclusione dei servizi per i quali è responsabilità del cliente effettuare e gestire i backup (Server Dedicati e Server Virtuali). Per i servizi di Hosting e Posta vengono effettuati backup periodici che, per i servizi di Hosting, possono essere acceduti anche dal cliente. Ulteriori backup, non accessibili dai clienti, vengono effettuati a solo scopo di Disaster Recovery

 

Autenticazione e monitoraggio

Autenticazione e sincronizzazione

Ogni attività ed evento relativo alla sicurezza delle informazioni da parte degli utenti del sistema e degli amministratori/operatori avviene previo inserimento delle credenziali di autenticazione o certificati di identità. Gli orologi di tutte le apparecchiature sono sincronizzati.

Controllo di software operativi

L’installazione di software sui sistemi operativi è controllata e monitorata.

 

Gestione delle vulnerabilità tecniche

 Patch management

Ogni vulnerabilità tecnica viene corretta con idonee patch e sono previste procedure per tutte le fasi di test e per la conseguente installazione dei software e degli aggiornamenti che avviene solo quando tutti i test sono positivi. 

Considerazioni sull’audit per le informazioni di sistema

Vengono effettuate verifiche periodiche al fine di controllare che siano ridotti al minimo gli eventuali effetti negativi sui sistemi di produzione e che non vi siano accessi abusivi ai dati.

 

Sicurezza delle comunicazioni

Gestione della sicurezza della rete

Le reti e i servizi in rete sono resi sicuri anche attraverso la loro separazione e la segregazione.

Trasferimento delle informazioni

Sono in vigore accordi relativi al trasferimento delle informazioni da e verso terze parti.

 

Acquisizione, sviluppo e manutenzione del sistema

Sicurezza nello sviluppo e processi di supporto

Le regole che governano la sicurezza dello sviluppo dei software e dei sistemi sono definite in una Policy. Le modifiche al sistema (sia per le applicazioni che per i sistemi operativi) sono controllate. La sicurezza del sistema è testata e sono definiti criteri di ammissibilità che includono gli aspetti di sicurezza.

 

Rapporti con i fornitori

Sicurezza delle informazioni nei rapporti coi fornitori

Sono previsti contratti o accordi volti a proteggere e a disciplinare il trattamento delle informazioni dell’organizzazione e dei clienti che siano accessibili a soggetti terzi operanti nell’area IT e ad altri fornitori terzi presenti nell’intera catena di fornitura.

Gestione dei servizi resi dal fornitore

L’erogazione dei servizi resi dai fornitori viene monitorata e verificata in relazione al contratto o all’accordo. Ogni modifica al servizio viene controllata.

 

Gestione degli incidenti alle informazioni di sicurezza

Gestione degli incidenti alla sicurezza delle informazioni e miglioramenti

Sono previste responsabilità e procedure apposite volte a gestire in modo coerente ed efficace gli eventi e gli eventuali incidenti relativi alla sicurezza delle informazioni (ad es. procedura di cd. Data Breach).

 

Aspetti della sicurezza delle informazioni relativi alla continuità aziendale

Ridondanze

Tutte le principali strutture IT sono ridondate per soddisfare i requisiti di disponibilità. Laddove questa ridondanza non è in essere, sono in atto adeguate misure per garantire la continuità del servizio o la riduzione al minimo della perdita di dati.

 

Conformità

Conformità ai requisiti legali e contrattuali

L’azienda identifica e documenta i suoi obblighi verso le autorità esterne e le altre terze parti in relazione alla sicurezza delle informazioni, compresa la proprietà intellettuale, la documentazione contabile e le informazioni relative alla privacy.

Revisione della sicurezza delle informazioni

I progetti dell’organizzazione relativamente alla sicurezza delle informazioni e le policy di sicurezza sono revisionate e vengono promosse azioni correttive ove necessario.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Allegato 3

 

L'Allegato 3 (Elenco dei sub-responsabili) va richiesto scrivendo a dpo@register.it.

 

Scarica la versione pdf di questo documento