Accordo del Trattamento dei Dati
Questo Accordo del Trattamento dei Dati (“DPA”) intercorre tra Diciannove soc. coop. a r.l. (“19.coop”, “noi”) e il Cliente (“Cliente”, “tu”), insieme denominati “Le Parti”. Questo accordo (“DPA”) fa parte dei Termini di servizio, della Politica sulla Privacy e di altre politiche pertinenti disponibili qui.
Il Cliente che accetta questi termini aderisce a questo DPA per proprio conto nella misura richiesta dalle leggi applicabili in materia Regolamentazione della Protezione dei dati e nella misura in cui 19.coop elabora i Dati del cliente secondo le regole e le misure stabilite dal titolare del trattamento (come definito nella Sezione 1).
Durante la fornitura dei Servizi al Cliente, 19.coop può Gestire i Dati dei Clienti per conto del Cliente. In via Generale, 19.coop opererà come responsabile del trattamento mentre il Cliente verrà considerato il Titolare del trattamento dei dati. Le Parti si impegnano a rispettare le seguenti disposizioni con rispetto nei confronti di ogni Dato del Cliente, ciascuna agendo in modo ragionevole e in buona fede.
1. DEFINIZIONI
Salvo diversa definizione in questo DPA, tutti i termini in maiuscolo hanno i significati delineati qui di seguito:
“Accordo” indica i Termini di Servizio e altre politiche pertinenti annunciati sul nostro sito web, insieme al tuo Ordine per l’acquisto di Servizi e alla conferma d’ordine inviata da 19.coop.
“Ordine” indica l’ordine del Cliente per l’acquisto dei rispettivi servizi.
“Sito” indica il sito web shop.19.coop e tutti i servizi offerti tramite il nostro sito Web.
“Servizi” indica qualsiasi servizio che offriamo e che il Cliente ha acquistato che potrebbe comportare l’elaborazione di Dati Personali da parte di 19.coop
“Prodotti Aggiuntivi” indica qualsiasi prodotto, software, programma, componente aggiuntivo, plug-in, script, strumenti o qualsiasi altro software o contenuto di terze parti che non fa parte dei Servizi ma che può essere accessibile tramite l’Area Utente di 19.coop o il Pannello di Controllo, installato dal Cliente o in altro modo per l’utilizzo dei Servizi.
“GDPR” indica il Regolamento Generale sulla Protezione dei Dati (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche con riguardo al trattamento dei dati dei clienti e sulla libera circolazione di tali dati, e che abroga la direttiva 95/46 / CE (Regolamento Generale sulla Protezione dei Dati).
“Titolare del trattamento” indica la persona fisica o giuridica che, da solo o in collaborazione con altri, determina le finalità e i mezzi del trattamento dei dati del cliente;
“Dati del cliente” indica qualsiasi “Dato personale” che viene fornito a 19.coop da, o per conto del Cliente attraverso l’uso dei Servizi e che è memorizzato nell’account del Cliente (a scanso di equivoci, parte dei Dati personali dell’ordine del Cliente per l’acquisto del rispettivo servizio non verranno considerati come dati del cliente). I Dati del cliente possono includere, ma non sono limitati a, i dati dei clienti nel significato stabilito nel GDPR.
“Dati personali” ha il significato indicato nell’articolo 4 del GDPR.
“Norme e Leggi sulla Protezione dei Dati” indica tutte le norme e le leggi applicabili al Trattamento dei Dati dei Clienti ai sensi del presente DPA.
“Interessato” o “Interessato” indica la persona identificata o identificabile a cui si riferiscono i Dati del Cliente.
“Data di validità” significa, se applicabile:
la data in cui il Cliente ha cliccato per accettare il Contratto o le Parti concordano con questo DPA in relazione al Contratto applicabile, se tale data è posteriore al 25 maggio 2018.
“Elaborazione” ha il significato indicato nell’articolo 4 del GDPR.
“Responsabile del trattamento” indica l’entità che elabora i Dati del Cliente per conto del Titolare del trattamento
” Garante”: l’autorità pubblica indipendente designata in Italia ai sensi del GDPR.
“Durata” indica il periodo dalla Data di Efficacia fino alla fine della fornitura dei Servizi da parte di 19.coop ai sensi del Contratto applicabile, incluso, se applicabile, qualsiasi periodo durante il quale i Servizi potrebbero essere stati sospesi e qualsiasi periodo post-termine durante il quale 19.coop può continuare a fornire servizi a fini transitori.
“Indirizzo Email di Notifica” indica l’indirizzo email specificato dal Cliente nella sezione Il mio account nell’Area Utente per ricevere determinate notifiche da 19.coop.
2. ELABORAZIONE DEI DATI
2.1. Scopo
Questo DPA si applica laddove e solo nella misura in cui 19.coop elabora i Dati personali per conto del Cliente nel corso della fornitura dei Servizi e tali Dati Personali sono soggetti alle leggi sulla protezione dei dati Italiane e dell’Unione Europea,(qui definiti “Dati del Cliente”).
Se il Cliente che accetta questo DPA è già un Cliente, questo DPA costituisce parte dell’Accordo, della Politica sulla Privacy e di altre politiche e documenti pertinenti annunciati sul nostro sito Web. In tal caso, l’entità 19.coop sarà considerata parte di questo DPA.
Questo DPA è efficace solo per l’account cliente per il quale è stato concordato. Se il Cliente possiede più account, un DPA verrà contrattato separatamente per ogni singolo account.
Questo DPA sarà valido e legalmente vincolante solo per l’entità fisica / legale indicata nell’account dell’Area Utente e solo per i Servizi acquistati direttamente da 19.coop all’interno del rispettivo account.
Se l’entità Cliente che accetta questo DPA non è parte di un Ordine o dell’Accordo, questo DPA non è valido e non è legalmente vincolante. Tale entità dovrebbe richiedere che l’entità Cliente che è parte del Contratto esegua questo DPA.
Questo DPA, incluse le sue appendici, ad eccezione delle clausole della Politica sulla Privacy, sarà efficace e sostituirà tutti i termini precedentemente applicabili alla privacy, all’elaborazione dei dati e / o alla sicurezza dei dati.
2.2. Conformità alle Leggi.
Ciascuna parte si impegna ad osservare gli obblighi ad essa applicabili ai sensi della Legislazione Europea ed Italiana sulla Protezione dei Dati in relazione al trattamento di tali dati del Cliente.
2.3. Soggetto e Dettagli del Trattamento dei Dati
2.3.1 Soggetto
19.coop elaborerà i Dati del Cliente come necessario per la fornitura dei Servizi, il relativo supporto tecnico e altre richieste in conformità al Contratto e come ulteriormente indicato dal Cliente nell’utilizzo dei Servizi.
2.3.2. Durata dell’elaborazione
Fatta salva la Sezione 11, la durata del trattamento dei dati sarà la Durata indicata nell’Ordine e nel Contratto applicabile.
2.3.3. Natura e scopo del trattamento
19.coop elaborerà i Dati del Cliente allo scopo di fornire i Servizi e il relativo supporto tecnico al Cliente in conformità al Contratto, a questo DPA e ad altre politiche pertinenti.
2.3.4. Categorie di Interessati
Il Cliente può trattare e trasmettere Dati del Cliente nel corso del suo utilizzo dei Servizi, la cui estensione è determinata e controllata dal Cliente a sua esclusiva discrezione e che può includere, a titolo esemplificativo ma non esaustivo, i Dati Personali relativi alle seguenti categorie di soggetti:
clienti, partner commerciali e fornitori del Cliente (siano essi persone fisiche e persone giuridiche); Dipendenti o personale di contatto dei clienti, Dipendenti, agenti, consulenti, liberi professionisti del Cliente (che sono persone fisiche); Utenti del Cliente autorizzati dal Cliente a utilizzare i Servizi; Soggetti che trasmettono dati tramite i Servizi, comprese le persone che collaborano e comunicano con il Cliente o gli utenti finali del Cliente; Soggetti i cui dati vengono forniti a 19.coop tramite i Servizi da o per conto del Cliente o dagli utenti finali del Cliente.
2.3.5. Categorie dei Dati Personali
Il Cliente può inviare Dati del Cliente nel corso del suo utilizzo dei Servizi, la cui estensione è determinata e controllata dal Cliente a sua esclusiva discrezione e che può includere, a titolo esemplificativo ma non esaustivo, i Dati personali relativi alle seguenti categorie di Dati personali :
Nome, Indirizzo, Indirizzo email. Qualsiasi dato personale relativo ad individui identificati o identificabili.
2.4. Ruoli delle Parti
Le parti riconoscono e accettano che:
19.coop è un Responsabile del trattamento dei Dati del Cliente ai sensi della Legislazione Europea sulla Protezione dei Dati;
Il Cliente è un Titolare del trattamento o un responsabile del trattamento, se applicabile, dei Dati del cliente ai sensi della Legislazione Europea sulla Protezione dei Dati; e ha ottenuto tutti i consensi e i diritti necessari ai sensi delle Leggi sulla Protezione dei Dati per 19.coop per elaborare i Dati del Cliente e fornire i servizi in conformità al presente accordo e al presente DPA;
19.coop (Responsabile del trattamento) opererà solo ed esclusivamente in base a richieste scritte fatte pervenire dal Cliente (Titolare del trattamento). 19.coop potrà agire diversamente solo ed esclusivamente quando previsto dalla Legislazione Italiana e/o Europea.
2.5. Istruzioni per l’Elaborazione dei Dati.
19.coop elaborerà i Dati del cliente in conformità a questo DPA, che rappresenta le istruzioni complete e definitive del cliente a 19.coop in relazione al trattamento dei Dati del Cliente. L’elaborazione al di fuori dello scopo di questo DPA (se presente) richiede un accordo scritto preliminare tra 19.coop e il Cliente su ulteriori istruzioni per l’elaborazione. Stipulando questo DPA, il Cliente incarica 19.coop di elaborare i Dati del Cliente solo in conformità con la legge applicabile ed in particolare incarica 19.coop di:
-
fornire i Servizi e il relativo supporto tecnico e di altro tipo;
-
agire secondo le configurazioni e le opzioni di utilizzo selezionate dal Cliente e dagli utenti finali nel loro utilizzo dei Servizi;
-
agire come specificato nel Contratto, Termini di Servizio, Informativa sulla privacy e altre politiche pertinenti che regolano la fornitura dei Servizi e il relativo supporto tecnico e di altro tipo.
2.6. Accesso o Uso
19.coop non può accedere o utilizzare i Dati del Cliente, salvo che sia necessario per fornire i Servizi e il relativo supporto tecnico al Cliente in conformità con il DPA, l’Accordo e altre politiche pertinenti.
2.6.1. Elaborazione del Cliente.
Il Cliente, nel suo utilizzo dei Servizi, elaborerà i propri Dati in conformità a i requisiti delle leggi e dei regolamenti sulla Protezione dei Dati ad essi applicabili. Il Cliente è l’unico responsabile per l’accuratezza, la qualità e la legalità dei propri Dati e dei mezzi con cui il Cliente ha acquisito questi Dati.
2.6.2. Il trattamento dei dati dei clienti da parte di 19.coop.
19.coop elaborerà i Dati del cliente solo per conto di e in conformità con le istruzioni documentate del Cliente per i seguenti scopi:
-
Fornire i Servizi ed il relativo supporto tecnico in accordo con questo DPA e con gli Ordini a cui si applica;
-
Processare i dati forniti dagli Utenti in accordo con i nostri termini di Servizio;
-
Processare i dati al fine di mantenere e migliorare i servizi.
2.6.3. Conformità alle istruzioni di 19.coop.
A partire dalla data effettiva 19.coop deve rispettare le istruzioni sopra descritte nella sezione Istruzioni del cliente, anche per quanto riguarda i trasferimenti di dati, a meno che la legge della UE o dello Stato membro dell’UE, cui 19.coop è soggetta, richieda altri trattamenti dei dati dei clienti da parte di 19.coop, nel qual caso 19.coop informerà il Cliente (a meno che la legge proibisca a 19.coop di farlo per importanti motivi di interesse pubblico) tramite il Sito o l’indirizzo email di notifica.
I Dati del cliente possono essere consultati ed elaborati da 19.coop, Utenti autorizzati e incaricati per adempiere agli obblighi previsti dal presente DPA e dal rispettivo Accordo o per fornire determinati servizi per conto di 19.coop. Tale trattamento sarà conforme alle misure indicate nelle Misure di sicurezza delle Sezioni 3, Sezione 7 e Allegato 2.
2.7. Diritti degli interessati.
2.7.1. Accesso, rettifica, elaborazione limitata, portabilità.
Durante il Termine applicabile, 19.coop, in modo coerente con la funzionalità dei Servizi, consente al Cliente di accedere, rettificare e limitare l’elaborazione dei Dati del Cliente, anche mediante l’eliminazione di tutti o alcuni dei Dati del Cliente sotto il loro account o la cancellazione del intero account come descritto nella Sezione 2.8. (Restituzione e cancellazione dei dati del cliente) e tramite l’esportazione dei dati del cliente.
2.7.2. Richieste di Interessati.
2.7.2.1. Responsabilità del cliente per le richieste.
Se durante il Termine applicabile, 19.coop riceve una richiesta da un Interessato per esercitare il diritto di accesso del Interessato, il diritto alla rettifica, la restrizione dell’elaborazione, la cancellazione (“diritto all’oblio”), la portabilità dei dati, l’opposizione al Trattamento o il suo diritto di non essere soggetto a un processo decisionale individuale automatizzato (“Richiesta di Interessato”), 19.coop informerà l’interessato di inviare la sua richiesta al Cliente, e il Cliente sarà responsabile di rispondere a tali richieste incluso, ove necessario, utilizzando la funzionalità dei Servizi. 19.coop, nella misura consentita dalla legge, adotta misure commercialmente ragionevoli per notificare al Cliente tali richieste.
2.7.2.2. Assistenza richiesta dal Cliente a 19.coop per l’esercizio dei diritti degli Interessati.
Tenendo conto della natura del Trattamento, il Cliente accetta che 19.coop fornisca un’assistenza tecnica e organizzativa adeguata, nella misura in cui ciò sia possibile, per l’adempimento dell’obbligo del Cliente di rispondere alle richieste degli Interessati, incluso l’eventuale obbligo del Cliente di rispondere alle richieste per esercitare i diritti dell’interessato di cui al capo III del GDPR. 19.coop potrà:
(a) fornire risorse di documentazione sotto forma di tutorial e articoli della knowledge base, funzionalità e/o controlli nel Pannello di controllo che il Cliente può scegliere di utilizzare per configurare correttamente i Servizi e utilizzare i Servizi in modo sicuro.
(b) fornire caratteristiche, funzionalità e/o controlli nel Pannello di controllo che il Cliente può scegliere di utilizzare per recuperare, correggere o cancellare i Dati del Cliente dai Servizi.
(c) rispettare gli impegni stabiliti nel presente DPA.
(d) Nella misura in cui il Cliente, nel suo utilizzo dei Servizi, non abbia la capacità di rispondere a una Richiesta di Interessato, 19.coop dovrà, a richiesta del Cliente, fornire sforzi commercialmente ragionevoli per aiutare il Cliente a rispondere a tale Richiesta di Interessato, nella misura in cui 19.coop sia legalmente autorizzata a farlo e la risposta a tale richiesta di dati è data ai sensi delle leggi e dei regolamenti sulla protezione dei dati. Nella misura consentita dalla legge, il Cliente sarà responsabile per qualsiasi costo derivante dall’erogazione di tale assistenza da parte di 19.coop.
Il Cliente coprirà i ragionevoli costi sostenuti da 19.coop per fornire assistenza nella sezione 2.7.2.2
2.8. Restituzione e cancellazione dei dati del cliente.
19.coop consentirà al Cliente di cancellare i Dati del Cliente durante la durata applicabile in un modo coerente con la funzionalità dei Servizi e le caratteristiche secondo il rispettivo Ordine. Se il Cliente utilizza i Servizi per recuperare o eliminare i Dati del Cliente e i Dati del Cliente non possono essere recuperati, ciò costituirà un’istruzione a 19.coop per cancellare i Dati del Cliente archiviati sui sistemi di backup in conformità alla legge applicabile e entro un periodo massimo di 60 giorni di calendario.
La disattivazione dei Servizi o la scadenza del Termine applicabile costituiranno un’istruzione a 19.coop per l’eliminazione dei Dati del Cliente e dei Dati del Cliente archiviati sui sistemi di backup entro un periodo massimo di 60 giorni di calendario.
Nulla di quanto contenuto in questa Sezione 2.8 varia o modifica l’obbligo di 19.coop di conservare alcuni o tutti i Dati del Cliente necessari per conformarsi alla legge o ad un ordine valido e vincolante delle forze dell’ordine (come una citazione o un’ingiunzione del tribunale).
I dati relativi alla fatturazione tra 19.coop e il Cliente verranno conservati per 10 anni.
I dati relativi alla fatturazione, al contratto, alle prestazioni e obbligazioni oggetto del contratto potranno essere conservati in funzione di eventuali controversie, per la durata necessaria alla risoluzione delle stesse.
2.9. Divulgazione dei dati.
19.coop non divulgherà i Dati del Cliente a nessun soggetto pubblico o privato, salvo sia necessario per ottemperare alla legge o a un ordine valido e vincolante di un Ente incaricato dell’applicazione della legge (come una citazione, un’ingiunzione di un Tribunale, un ordine dell’Autorità Giudiziaria).
2.10. Personale 19.coop.
19.coop esclude il suo personale dall’elaborazione dei Dati del cliente senza autorizzazione da parte di 19.coop. L’accesso ai Dati del cliente è limitato al personale con mansioni e responsabilità previsti dall’organizzazione interna per svolgere le mansioni previste dal contratto con il Cliente.
19.coop impone obblighi contrattuali adeguati al proprio personale, compresi gli obblighi relativi alla riservatezza, alla protezione dei dati e alla sicurezza dei dati. 19.coop garantisce che questi obblighi di riservatezza sopravvivano alla cessazione dell’incarico personale. 19.coop fornisce al proprio personale la formazione necessaria per la corretta esecuzione degli incarichi e delle mansioni in osservanza alla normativa vigente ed al presente accordo.
2.11. Responsabile della protezione dei dati.
19.coop mette a disposizione un designato per i fini previsti da questo DPA e dalla Policy sulla Privacy che può essere contattato all’indirizzo privacy@19.coop.
Il DPO di 19.coop può essere contattato alla e mail privacy@19.coop.
Sub-responsabili
3.1. Consenso all’utilizzo di Sub-responsabili/Appointment of Sub-processors
Il cliente prende atto e accetta che:
19.coop potrebbe impiegare e generalmente impiega Sub-responsabili per poter fornire i propri rispettivi Servizi. 19.coop ha realizzato un accordo scritto con ciascun Sub-incaricato contenente gli obblighi per la protezione dei dati, non meno restrittiva rispetto a quanto contenuto in questo DPA per quanto riguarda la protezione dei Dati del Cliente in base al contesto applicabile alla natura del Servizio fornito dal sub-incaricato.
3.2. Informazioni sui Sub-responsabili/ Informazioni su nuovi Sub-responsabili.
3.2.1. 19.coop ti informerà di tutti i Sub-responsabili, che sono utilizzati per fornire i Servizi relativi al tuo Accordo e che hanno sede nell’Unione Europea e Stati Uniti, fornitori di Data Center con sede nel territorio dell’Unione Europea e Stati Uniti. I Sub-responsabili processeranno i dati forniti in base alle istruzioni di 19.coop e in accordo con la Policy della Privacy e questo DPA. Non autorizziamo i Sub-responsabili a trattenere, condividere, memorizzare o utilizzare le tue informazioni identificabili personalmente per alcun fine secondario.
3.2.2. Quando un nuovo sub-incaricato di terza parte è utilizzato per utilizzare qualsiasi Dato del Cliente, con il fine di fornire il Servizio richiesto durante i Termini applicabili di questo DPA, 19.coop informerà il Cliente di questa nuova collaborazione, indicando la categoria e la località del nuovo sub-incaricato e le attività che dovrà svolgere, almeno 10 giorni di calendario prima di autorizzare il nuovo Sub-incaricato di terze parti, inviando una email all’Indirizzo Email per le Notifiche oppure tramite l’Area Cliente.
3.2.3. L’elenco dei sub incaricati e le informazioni relative sono sempre reperibili sul nostro sito al link https://shop.19.coop/termini-generali-contratto/ APPENDICE A
3.3. Diritto di Obiezione per nuovi Sub-responsabili.
3.4.1. Il cliente può obiettare a qualsiasi nuovo Sub-incaricato di terze parti, terminando l’Accordo in essere, tramite notifica scritta immediata a 19.coop, a condizione che il Cliente fornisca questa notifica entro 10 giorni di calendario dalla data in cui viene informato dell’ingaggio del sub-incaricato. Il diritto a terminare il contratto è l’unico ed esclusivo rimedio del Cliente se obietta ad un Sub-incaricato di terze parti.
3.4.2. 19.coop si impegna a rimborsare il Cliente di qualsiasi costo pagato in anticipo rimborsando la parte mancante al termine dell’Ordine(i) in base all’effettiva data di termine, senza imporre alcuna penale per questa Cancellazione da parte del Cliente.
Valutazione dell’Impatto, Consultazioni. Spazio di Archiviazione
4.1. Valutazione dell’Impatto e Consultazioni
Su richiesta del Cliente, 19.coop si impegna a fornire al Cliente una ragionevole collaborazione e assistenza per poter soddisfare tutti gli obblighi del Cliente relativi al GDPR, per poter fornire una valutazione dell’impatto della protezione dei dati relativa all’utilizzo dei Servizi da parte del Cliente; si impegna inoltre a fornire una ragionevole assistenza al Cliente in collaborazione con l’Autorità Garante o previa consultazione della stessa in ordine ala valutazione dell’ impatto del trattamento dei dati e agli obblighi in merito disposti dal GDPR.
Trasferimento al di fuori UE .
5.1. Data Center e spazio di archiviazione
19.coop memorizza e processa i Dati del Cliente in Data Center localizzati all’interno e all’esterno dell’Unione Europea. Per maggiori informazioni sulla localizzazione dei nostri Data Center è possibile consultare : https://www.19.coop.com/datacenters.
19.coop si riserva il diritto di aggiornare la lista periodicamente.
Collegandosi al link sarà possibile verificare le misure adottate dal sub responsabile per il trasferimento in ciascun data center
19.coop chiede ai propri fornitori e sub responsabili di allocare i dati preferibilmente nei Data Center allocati all’interno della UE.
Chiede altresì di essere avvertita ove questo risulti momentaneamente impossibile o, per motivi leciti e plausibili dipendenti dal subresponsabil/fornitore, sia auspicabile l’utilizzo anche temporaneo di Data Center esterni alla UE. Ove questo accada, 19,.coop avvertirà il cliente dello spostamento a mezzo notifica attraverso l’area cliente.
Il Cliente accetta che 19.coop potrebbe cambiare la località del Data Center e spostare i Dati del Cliente presso un altro Data Center. Se la modifica del Data Center implica anche la memorizzazione dei Dati del Cliente in una differente giurisdizione, il Cliente può obiettare alla modifica, terminando l’Accordo immediatamente e mediante notifica scritta a 19.coop, a condizione che il Cliente ne fornisca comunicazione entro 10 giorni di calendario dopo essere stato informato del cambio del Data Center.
6.1. Trattamento degli Archivi
Il cliente riconosce che a 19.coop è richiesto, sottostando alla GDPR, di:
(a) accogliere e mantenere archivi contenenti informazioni determinate, inclusi il nome e dati di contatto di ogni incaricato e/o titolare in vece del quale 19.coop sta agendo
(b) rendere tali informazioni disponibili alle autorità di supervisione. Di conseguenza, il Cliente potrà, quando richiesto, fornire tali informazioni a 19.coop attraverso il Sito o altri mezzi forniti da 19.coop, e potrà usare il Sito o tali altri mezzi per assicurarsi che tutte le informazioni fornite siano mantenute accurate e aggiornate.
7. Responsabilità di Sicurezza di 19.coop.
7.1. 19.coop implementerà e manterrà misure tecniche e organizzative per proteggere i Dati del Cliente da distruzione, perdita, alterazione, divulgazione non autorizzata o accesso, accidentale o illegale come descritto nell’Appendice 1 (“Misure di Sicurezza).
Come descritto in Appendice 1, le Misure di Sicurezza includono misure atte a:
– fornire la trasmissione criptata dei dati del cliente al di fuori dell’ambiente del Servizio;
– aiutare a garantire confidenzialità, integrità, disponibilità e resilienza costanti dei sistemi e servizi di 19.coop;
– assistere nel puntuale ripristino dell’accesso ai Dati del Cliente da una copia di backup disponibile, fornita dai Servizi di Backup di 19.coop o da una copia privata del Cliente a seguito di un incidente;
– svolgere gli ordinari test di efficacia.
19.coop potrà aggiornare o modificare le Misure di Sicurezza di volta in volta, purché questi aggiornamenti e modifiche non comportino riduzione della sicurezza generale dei Servizi. 19.coop assisterà ragionevolmente il cliente nel rispetto degli obblighi stabiliti dal GDPR in relazione alla sicurezza del trattamento, notificazione in caso di violazione di dati e sulla valutazione dell’impatto sulla protezione dei dati personali.
7.2. Responsabilità e Stime di Sicurezza del Cliente.
Il Cliente concorda che, senza pregiudizi nei confronti dei doveri di 19.coop sotto la sezione 7. (Responsabilità di Sicurezza di 19.coop) ed altre Sezioni rilevanti di questo DPA, il Cliente è l’unico e solo responsabile per l’ uso dei propri Servizi, incluso:
-
fare uso appropriato dei Servizi per assicurare un livello di sicurezza adatto al rischio relativo ai Dati del Cliente;
-
proteggere le credenziali di autenticazione dell’account, sistemi e dispositivi che il cliente usa per accedere al Servizio;
-
assicurarsi che tutti i programmi, script, addon, plugin e altri software installati sull’account siano sicuri e che il loro utilizzo non rappresenti un rischio per la sicurezza rispetto ai Dati del Cliente e l’account stesso;
-
proteggere tutti i programmi, script, addon, plugin e altro software installato, la loro configurazione e la loro regolare manutenzione;
-
ogni contenuto dell’account;
-
ogni azione ed attività sull’account;
-
eseguire regolarmente il backup dei proprio Dati del Cliente;
Inoltre 19.coop non ha obblighi di alcun tipo rispetto ai Dati del Cliente che il Cliente decide di archiviare o trasferire al di fuori dei sistemi di 19.coop e dei suoi sub-responsabili (per esempio, offline o su storage on-premise), ne’ è in alcun modo tenuta a proteggere i Dati del Cliente implementando o mantenendo Controlli di Sicurezza Addizionali fatta eccezione nella misura che il Cliente ha deciso di usare.
Il Cliente è il solo responsabile per il controllo e la valutazione dell’adeguatezza dei Servizi, delle Misure di Sicurezza e degli impegni assunti da 19.coop rispetto alle proprie necessità, inclusi gli obblighi derivanti dalla normativa sulla protezione dei dati italiana, europea o comunque applicabile al Cliente.
Il Cliente riconosce ed accorda che (prendendo in considerazione i costi dell’implementazione e la natura, scopo, contesto e finalità del trattamento dei Dati del Cliente e del rischio per gli interessati) le Misure di Sicurezza implementate e mantenute da 19.coop come descritto nella Sezione 7.1 forniscono un livello di sicurezza appropriato al rischio nel rispetto dei Dati del Cliente.
E’ responsabilità del Cliente fare backup dei Dati del Clienti ed ogni dato e consenso raccolto nell’account per prevenire ogni possibile perdita di dati.
I Servizi di Backup di 19.coop sono forniti così come sono e sono soggetti a tutte le limitazioni di responsabilità stabilite nell’Accordo.
Anche se il Cliente acquista Servizi di Backup, accorda che manterrà il suo privato set di Backup indipendente da quelli che vengono mantenuti da 19.coop e che il solo obbligo di 19.coop consiste nel ripristinare lo spazio dell’account alla sua condizione operativa. In caso di incidente, di problemi hardware o software o di ogni caso di danneggiamento o perdita di dati accidentale, 19.coop può fornire assistenza ma è solo responsabilità del Cliente ripristinare i Dati.
In caso di perdita o danneggiamento parziale o integrale di dati e nel caso in cui il Cliente non sia soddisfatto dell’esito del ripristino dei Servizi di Backup di 19.coop o la copia di 19.coop non sia recente o adatta al ripristino, sarà responsabilità del Cliente ripristinare i Dati del Cliente, i propri file e ogni dato all’interno dell’account dal Backup privato.
8. Revisione e Audit di conformità.
Il Cliente ha il diritto di verificare la conformità di 19.coop alla normativa vigente, conducendo una revisione della documentazione o un Audit, includendo ispezioni, condotte dal Cliente o da un auditor indipendente scelto dal Cliente, facendo specifica richiesta a 19.coop in un forma scritta all’indirizzo menzionato nei rispettivi Termini di Servizio.
19.coop dovrà fornire ulteriori risposte a tutte le ragionevoli richieste da parte del Cliente e potrebbe far pagare un contributo economico per ogni revisione o audit che risultino non necessari o eccessivamente gravosi.
I costi sostenuti dal cliente per l’audit o l’esame della documentazione saranno a suo totale ed esclusivo carico.
19.coop potrà obiettare e declinare gli audit, scrivendo al Cliente o all’auditor scelto dal Cliente se il Cliente o l’auditor sono, nella ragionevole opinione di 19.coop, non qualificati o non sufficientemente indipendenti, o concorrenti di 19.coop, o manifestamente non adatti.
Se 19.coop rifiuta di seguire qualsiasi istruzione richiesta da Cliente o auditor riguardo a audit o ispezioni richieste e motivate correttamente, il Cliente può recedere da questo DPA e dai Termini di Servizio.
19.coop dovrà fornire risposte e ricevere eventuali controlli, consegnare al Cliente qualsiasi informazione per assicurare che entrambi rispettino le direttive contenute nell’art.28 GDPR e comunicare al Cliente quando una Sua richiesta risulti essere in contrasto con il GDPR o altra legge sulla protezione dei dati personali nell’Unione Europea o negli Stati membri applicabile.
9. Notifica di Data Breach.
9.1. 19.coop mantiene policy e procedure di gestione di incidenti di sicurezza e notificherà i Clienti senza alcun ritardo dopo essere venuta a conoscenza di distruzione, perdita, alterazione, divulgazione non autorizzata, accidentale o illegale, accesso ai Dati del Cliente, inclusi i Dati del Cliente trasmessi, immagazzinati o Trattati in ogni modo da 19.coop o dai sui Sub-responsabili. 19.coop dovrà compiere sforzi ragionevoli per identificare la causa di tale Incidente e fare quanto 19.coop ritenga necessario e ragionevole per porvi rimedio ed eliminarne le cause nell’ambito della propria sfera di azione e controllo. I doveri qui menzionati non si applicano a incidenti causati dal Cliente, dall’uso dei Servizi del Cliente, le azioni del Cliente o attività o Utenti del Cliente.
9.2. Le Notifiche inviate seguendo questa Sezione, dovranno descrivere, nella misura del possibile, dettagli dell’Incidente sui Dati, includendo anche i passi seguiti per mitigare potenziali rischi e passi suggeriti da 19.coop al Cliente per approcciare l’Incidente sui Dati.
9.3. Notifica/e di ogni Incidente sui Dati, deve essere inviata all’Indirizzo Email di Notifica, o a discrezione di 19.coop, tramite comunicazione diretta (ad esempio, una telefonata). Il Cliente sarà il solo responsabile di assicurarsi che l’Indirizzo Email di Notifica e informazioni di contatto siano aggiornati e validi.
9.4. 19.coop non dovrà valutare i contenuti dei Dati del Cliente per verificare la sussistenza di obblighi di legge quali, ad esempio, obblighi di comunicazione o notifica. Il Cliente sarà responsabile di soddisfare ogni dovere di notifica ad Autorità e/o terze parti relativo ad ogni Incidente sui Dati.
9.5. La notifica di o risposta a un Incidente sui Dati da parte di 19.coop sotto la sezione 10 non comporta ammissione da parte di 19.coop di colpe o responsabilità rispetto all’Incidente sui Dati.
10. Responsabilità e risarcimento.
10.1. Il Cliente dovrà risarcire i danni eventualmente causati a 19.coop o ad altri clienti in ragione di mancata protezione dei dati e perdite sofferte o causate da, sorte da o in connessione con:
(a) ogni non-conformità del Cliente rispetto a leggi e regolamenti sulla protezione dei dati;
(b) ogni mancanza del Cliente rispetto agli obblighi assunti con il presente Accordo;
10.2. 19.coop sarà responsabile delle falle e perdite sulla protezione dei dati causate dall’Elaborazione dei Dati del Cliente solo nella misura direttamente risultante dalla mancata adempienza di 19.coop ai propri doveri come Processor dei Dati sotto le leggi e regolamentazioni sulla Protezione dei Dati.
11. Conclusione
Questo DPA avrà effetto dalla Data Effettiva fino alla fine della fornitura dei Servizi da parte di 19.coop. Il DPA scadrà automaticamente alla cancellazione di tutti i Dati del Cliente da 19.coop. Alla scadenza del contratto 19.coop rimuoverà o riconsegnerà tutti le informazioni personali al Cliente qualora ciò venisse richiesto. In nessun modo quando affermato da questo DPA solleva 19.coop dalle sue dirette responsabilità come stabilite nel GDPR.
Allegato 1: Misure di Sicurezza
19.coop implementa e mantiene appropriate Misure di Sicurezza tecniche e organizzative per il Trattamento dei Dati Personali, comprese le misure stabilite nel presente Allegato 2 all’Accordo sull’Elaborazione dei Dati. Queste misure hanno lo scopo di proteggere i Dati Personali da perdite accidentali o non autorizzate, distruzione, alterazione, divulgazione o accesso e da tutte le altre forme illecite di Trattamento. Ulteriori misure e informazioni su tali misure, incluse misure e pratiche di sicurezza specifiche per i Servizi specifici ordinati dal Cliente, possono essere specificate nell’Accordo.
19.coop potrebbe aggiornare o modificare queste Misure di Sicurezza di tanto in tanto a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva dei Servizi.
Personale e Riservatezza
19.coop adotterà misure ragionevoli per garantire che nessuna persona venga nominata da 19.coop per elaborare i Dati Personali ad eccezione dei casi in cui la persona risulti:
competente e qualificata per eseguire gli specifici compiti a lei assegnati da 19.coop;
autorizzata da 19.coop e
incaricata da 19.coop dei requisiti rilevanti per l’adempimento degli obblighi di 19.coop ai sensi delle presenti Clausole, in particolare dello scopo limitato del trattamento dei dati.
Il personale di 19.coop è tenuto a comportarsi in modo coerente con le linee guida aziendali in materia di riservatezza, etica aziendale, uso appropriato e standard professionali. 19.coop svolge controlli in background ragionevolmente appropriati nella misura consentita dalla legge e in conformità con le leggi locali vigenti in materia di lavoro e regolamentazioni in materia di legge. Il personale è tenuto ad eseguire un accordo di riservatezza e deve confermare la ricezione e l’osservanza delle politiche di riservatezza e privacy di 19.coop. Viene loro fornita formazione e il personale che tratta i Dati del Cliente deve completare requisiti aggiuntivi appropriati al ruolo.
Sicurezza Fisica
19.coop utilizza data center distribuiti geograficamente e archivia tutti i dati di produzione in data center fisicamente sicuri. I data center di produzione del Subincaricato di 19.coop impiegano misure per garantire l’accesso ai sistemi di elaborazione dati. Hanno un sistema di accesso che controlla l’accesso al data center. Questo sistema consente solo al personale autorizzato di accedere alle aree protette. Le strutture sono progettate per resistere a condizioni meteorologiche avverse e ad altre condizioni naturali ragionevolmente prevedibili, sono protette da guardie 24 ore su 24, monitoraggio CCTV, screening degli accessi e accesso scortato, e sono anche supportate da generatori di riserva sul posto, in caso di interruzione di corrente.
I sistemi di alimentazione elettrica del data center sono progettati per essere ridondanti e manutenibili senza impatto sulle continue operazioni 24/7. Nella maggior parte dei casi, viene fornita una fonte di alimentazione primaria e una alternativa per i componenti dell’infrastruttura critica nel data center. L’alimentazione di riserva è fornita da vari meccanismi, quali batterie di continuità (UPS) o generatori diesel che sono in grado di fornire alimentazione elettrica di emergenza o protezione affidabile dell’alimentazione durante interruzioni, blackout, sovratensioni, sottotensioni e condizioni di frequenza fuori tolleranza.
I sistemi di infrastruttura sono stati progettati per eliminare singoli punti di guasto e minimizzare l’impatto dei rischi ambientali previsti. Le attrezzature e gli impianti di produzione del Subincaricato di 19.coop hanno procedure di manutenzione preventiva documentate che esplicano il processo e la frequenza delle prestazioni in conformità con le specifiche del produttore o interne. La manutenzione preventiva e correttiva delle apparecchiature del data center è pianificata attraverso un processo di modifica standard secondo procedure documentate.
Controllo di Accesso al Sistema
I server 19.coop utilizzano un’implementazione basata su Linux personalizzata per i Servizi. 19.coop utilizza un processo di revisione per aumentare la sicurezza dei sistemi operativi utilizzati per fornire i Servizi e migliorare i prodotti di sicurezza negli ambienti di produzione.
19.coop ha e mantiene una politica di sicurezza per il personale. L’infrastruttura 19.coop, lo staff di sviluppo e supporto sono responsabili del monitoraggio continuo della sicurezza dell’infrastruttura di 19.coop, della revisione dei Servizi e della risposta agli incidenti di sicurezza.
I processi e le politiche di accesso interno di 19.coop sono progettati per impedire a persone e / o sistemi non autorizzati di accedere ai sistemi utilizzati per elaborare i dati dei clienti, compresi i dati personali. 19.coop si propone di progettare i suoi sistemi per: (i) consentire solo alle persone autorizzate di accedere ai dati ai quali sono autorizzate ad accedere; e (ii) garantire che i dati personali non possano essere letti, copiati, alterati o rimossi senza autorizzazione durante l’elaborazione, l’uso e dopo la registrazione. 19.coop utilizza un sistema di gestione degli accessi per controllare l’accesso del personale ai server di produzione e fornisce solo l’accesso al personale autorizzato. Possono essere utilizzati, tra gli altri, i seguenti controlli a seconda dei Servizi specifici ordinati: autenticazione tramite password e / o autenticazione a due fattori, chiavi SSH, processi di autorizzazione, processi di gestione delle modifiche, accesso logico ai data center limitato e protetto dal firewall / VLAN e registrazione dell’accesso su più livelli. La concessione o la modifica dei diritti di accesso si basa su: le responsabilità lavorative del personale autorizzato; requisiti di mansioni necessarie per svolgere compiti autorizzati; e un bisogno di conoscere le basi. Anche la concessione o la modifica dei diritti di accesso devono essere conformi alle politiche di accesso ai dati interne di 19.coop.
Controllo di Accesso ai Servizi
Clienti e Utenti Finali devono autenticarsi tramite un sistema di autenticazione per utilizzare i Servizi. Ogni applicazione controlla le credenziali per consentire la visualizzazione dei dati a un Utente Finale autorizzato.
Possono essere utilizzati, tra gli altri, i seguenti controlli a seconda dei Servizi specifici ordinati: autenticazione tramite password e / o autenticazione a due fattori, chiavi SSH, processi di autorizzazione, processi di gestione delle modifiche e registrazione dell’accesso su più livelli. A seconda del particolare Servizio ordinato possono essere applicati anche i seguenti controlli: identificatori univoci attribuiti all’individuo responsabile, meccanismi di revoca dell’accesso per tentativi consecutivi falliti di accesso e periodi di blocco, meccanismi di scadenza e reset della password, requisiti di complessità della password.
Controllo di Accesso ai Dati
19.coop memorizza i dati in un ambiente multi-tenant, il che significa che le installazioni di più clienti sono archiviate sullo stesso hardware fisico. 19.coop utilizza l’isolamento logico per separare i dati di ciascun Cliente e separa logicamente i dati di ciascun Cliente da quelli di altri. Questo determina la misura e impedisce rigorosamente ai clienti di accedere ai dati di altri.
Il cliente ha il controllo su specifiche opzioni per la condivisione dell’accesso ai dati agli Utenti Finali per scopi specifici in conformità con la funzionalità dei Servizi. Il Cliente può scegliere di utilizzare questi controlli. 19.coop rende disponibili alcune funzionalità di registrazione.
L’accesso diretto ai dati dei clienti è limitato e nel caso in cui ciò sia richiesto, i diritti di accesso sono stabiliti e applicati solo a personale adeguatamente autorizzato oltre alle regole di controllo degli accessi stabilite nelle Sezioni precedenti.
Controllo della Trasmissione
I data center sono in genere collegati tramite collegamenti privati ad alta velocità per garantire un trasferimento sicuro e rapido dei dati tra i data center. Questo è progettato per impedire la lettura, la copia, la modifica o la rimozione dei dati senza autorizzazione durante il trasferimento o il trasporto elettronico o durante la registrazione su un supporto di memorizzazione dati o lo scambio all’interno del data center.
Per i dati in transito, 19.coop utilizza protocolli di trasporto standard del settore quali SSL e TLS tra i dispositivi del cliente e i Servizi e i data center di 19.coop e all’interno dei data center stessi. Salvo quanto diversamente specificato per i Servizi (incluso l’Ordine, l’Accordo rilevante e la Documentazione per l’Utente dei Servizi), le trasmissioni di dati al di fuori dell’ambiente del Servizio sono criptate. Alcune funzionalità dei Servizi possono consentire al Cliente di scegliere comunicazioni non crittografate nell’utilizzo del Servizio. Il Cliente è l’unico responsabile dei risultati della sua decisione di utilizzare tali comunicazioni o trasmissioni non crittografate.
Controllo Input
La fonte dei Dati Personali è sotto il controllo del Cliente e l’integrazione dei Dati Personali nel sistema è gestita tramite trasferimento file protetto, tramite servizi web o inserita nell’applicazione dal Cliente. Come indicato in precedenza nella Sezione Controllo della Trasmissione, alcune funzionalità dei Servizi consentono ai clienti di utilizzare protocolli di trasferimento file non crittografati. In tali casi, il Cliente è l’unico responsabile della sua decisione di utilizzare tali protocolli di trasferimento non crittografati.
I Servizi non introdurranno alcun virus ai Dati del Cliente; tuttavia, i Servizi non eseguono la scansione dei virus che potrebbero essere inclusi negli allegati o altri Dati Personali caricati nei Servizi dal Cliente. Qualsiasi allegato caricato non verrà eseguito nei Servizi e pertanto non danneggerà o comprometterà il Servizio.
Controllo Rete
19.coop blocca il traffico non autorizzato verso e all’interno dei data center utilizzando una varietà di tecnologie come firewall, NAT, reti LAN partizionate e separazione fisica dei server di backend dalle interfacce pubbliche.
19.coop impiega più livelli di dispositivi di rete e rilevamento delle intrusioni per proteggere la sua superficie di attacco esterna. 19.coop considera i potenziali vettori di attacco e incorpora tecnologie appositamente sviluppate per scopi specifici nei sistemi esposti all’esterno.
19.coop e il personale autorizzato monitoreranno i Servizi per intrusioni non autorizzate utilizzando meccanismi di rilevamento delle intrusioni tramite rete. Il rilevamento delle intrusioni ha lo scopo di fornire informazioni sulle attività di attacco in corso e fornire informazioni adeguate per rispondere agli incidenti. Il rilevamento delle intrusioni di 19.coop implica il controllo rigoroso della superficie di attacco delle comunicazioni di rete attraverso misure preventive come i firewall, impiegando controlli di rilevamento intelligenti nei punti di ingresso dati e impiegando tecnologie che risolvono automaticamente determinate situazioni pericolose.
Risposta agli Incidenti
19.coop mantiene le politiche e le procedure di gestione degli incidenti di sicurezza e monitora una varietà di canali di comunicazione per gli incidenti di sicurezza. Il personale di 19.coop reagirà prontamente a incidenti noti e informerà tempestivamente il Cliente nel caso in cui 19.coop venga a conoscenza di una divulgazione non autorizzata effettiva o ragionevolmente sospetta di Dati Personali.
Registri di Sistema
19.coop garantisce che i sistemi di elaborazione utilizzati per salvare i Dati dei Clienti registrino le informazioni nella posizione appropriata dei registri di sistema.
Le voci del registro vengono mantenute nel caso in cui si sospetti un accesso inappropriato e sia necessaria un’analisi. La registrazione è mantenuta in modo sicuro per evitare manomissioni.
Affidabilità e Backup
Per i Servizi, 19.coop garantisce che vengano eseguiti backup regolarmente. I backup sono protetti utilizzando una combinazione di controlli tecnici e fisici.
19.coop garantisce che i sistemi in cui sono archiviati i Dati del Cliente dispongono di una funzione di disaster recovery e sono gestiti in base al piano di disaster recovery. Nel caso in cui le strutture di produzione fossero rese non disponibili, 19.coop metterà in atto piani di ripristino per ripristinare le operazioni in modo tempestivo. 19.coop ha progettato e pianifica e collauda regolarmente i piani di disaster recovery.
Distruzione dei Dati
Quando i clienti cancellano i dati o rinunciano al Servizio, 19.coop garantisce che i dati vengano cancellati secondo i termini dell’Accordo applicabile. Per determinati dischi, 19.coop segue rigorosi standard rigorosi che richiedono la sovrascrittura delle risorse di conservazione prima del riutilizzo, oltre allo smaltimento fisico dell’hardware dismesso. I data center di produzione del Sub-incaricato di 19.coop impiegano procedure rigorose per il riutilizzo, la ridistribuzione, la distruzione dei dati e la disattivazione di dischi e hardware.
Sicurezza del Subincaricato
Prima di acquisire dei Subincaricati, 19.coop svolge un audit delle pratiche di sicurezza e privacy dei Subincaricati per garantire che i Subincaricati forniscano un livello di sicurezza e privacy appropriato al loro accesso ai dati e allo scopo dei servizi che sono impegnati a fornire. Il Subincaricato è tenuto a stipulare adeguate condizioni di contratto di sicurezza, riservatezza e privacy.
Modifiche e Miglioramenti del Sistema
19.coop può migliorare e implementare le modifiche nei Servizi durante la durata dell’Accordo. Controlli, procedure, politiche e funzionalità di sicurezza possono cambiare o essere aggiunti. 19.coop fornirà controlli di sicurezza che forniscono un livello di protezione della sicurezza che non è materialmente inferiore a quello fornito alla Data di Validità.
Allegato 3: Lista di Sub-responsabili
Gandi SAS – per la registrazione per l’erogazione del servizio di registrazione/trasferimento domini, server, hosting
Tiscali.it – per la registrazione per l’erogazione del servizio di registrazione/trasferimento domini
Aruba S.p.a. – per l’erogazione del servizio di posta elettronica certificata (PEC)
Mailgun Technologies, Inc. – per l’invio di posta elettronica
Alias Group S.r.l. – per l’invio e la ricezione della fattura elettronica e la conservazione digitale della documentazione fiscale
SiteGround Spain S.L. – hosting, spazio web, referral
Mailjet SAS – per l’invio di posta elettronica