Data Processing Agreement

Easy4Cloud Spa

Il presente Contratto per il Trattamento dei Dati (“DPA”) è parte integrante del contratto, di seguito indicato come “Contratto”, il quale è stipulato tra Easy4Cloud Spa ed il Cliente, e che definisce i termini e le condizioni applicabili ai servizi offerti da Easy4Cloud.

Scopo del presente DPA, stipulato fra Easy4Cloud e il Cliente, nel rispetto dell’articolo 28 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (GDPR), è definire le condizioni in base alle quali Easy4Cloud, in qualità di Responsabile del trattamento e come parte dei Servizi definiti nel Contratto, abbia titolo per trattare dati personali. Il trattamento dei Dati Personali da parte di Easy4Cloud in qualità di Titolare del trattamento non è compreso nel presente DPA.

Ai fini del presente DPA, Easy4Cloud Spa, con sede in Milano alla via F. Sforza 14, C.F.03656750613, in persona del legale rappresentante pro tempore opera in qualità di Responsabile al trattamento e il Cliente quale Titolare del trattamento.

Articolo 1- Definizioni

  1. I seguenti termini, indicati nel presente contratto avranno il significato di seguito indicato:

DATO PERSONALE: qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online e/o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

CATEGORIE PARTICOLARI DI DATI PERSONALI: dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.

INFORMAZIONE: qualunque dato anche di carattere non personale di cui sia titolare il Committente.

TRATTAMENTO: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento e/o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione e/o qualsiasi altra forma di messa a disposizione, il raffronto e/o l’interconnessione, la limitazione, la cancellazione o la distruzione.

TITOLARE DEL TRATTAMENTO: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri.

RESPONSABILE DEL TRATTAMENTO: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.

PERSONE AUTORIZZATE AL TRATTAMENTO: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

INTERESSATO: la persona fisica cui si riferiscono i dati personali;

AUTORITA’ DI CONTROLLO: l’autorità pubblica di indipendente, istituita da ciascuno Stato membro, avente l’incarico di sorvegliare l’applicazione del Regolamento (UE) n. 2016/679 al fine di tutelare i diritti e le libertà fondamentali delle persone fisiche con riguardo al trattamento.

COMUNICAZIONE: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dalle persone autorizzate al trattamento, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

DIFFUSIONE: il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

MISURE DI SICUREZZA: il complesso delle misure tecniche, informatiche, organizzative, logiche e procedurali di sicurezza volte a garantire un livello di sicurezza adeguato tenuto conto dei rischi derivanti dalla distruzione, perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale a dati personal trasmessi, conservati o comunque trattati.

VIOLAZIONE DEI DATI PERSONALI: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

Articolo 2 – Oggetto

1.1. Il presente contatto regola e disciplina i ruoli privacy delle Parti coinvolte nel trattamento dei dati personali nonché i termini e le condizioni con le quali Easy4Clolud è autorizzata a trattare i dati personali di cui è Titolare il Cliente in esecuzione del Contratto.

1.2. La tipologia di dati personali e le categorie di interessati sono determinate e controllate dal Cliente. Le attività di trattamento dei dati sono svolte da Easy4Cloud per il periodo specificato nel Contratto.

1.3. Il trattamento verrà eseguito per le operazioni funzionali alla realizzazione e gestione dei Servizi prestati al Cliente senza eseguire, quindi, trattamenti ulteriori a quelli esclusivamente necessari per il rispetto delle attività dovute.

1.4. Tutte le informazioni trattate per conto del Titolare, o comunque conosciute anche in via incidentale sono ritenute strettamente riservate e rimangono di esclusiva proprietà di quest’ultima. Pertanto, il Fornitore, anche attraverso il proprio personale, non può liberamente utilizzare le informazioni riservate, né direttamente né indirettamente, per finalità diverse rispetto a quelle pattuite. L’uso di dette informazioni residua esclusivamente per una corretta esecuzione delle mansioni spettanti o per quelle che verranno nel caso successivamente conferite.

Articolo 3 – Obblighi del Cliente 

3.1. Per il trattamento dei Dati Personali, il Cliente fornirà ad Easy4Cloud per iscritto (a) tutte le istruzioni del caso e (b) qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati.

3.2. Il Cliente resta l’unico responsabile per le informazioni trattate e le istruzioni comunicate a Easy4Cloud. Il Cliente è responsabile di assicurare che (a) il trattamento dei Dati Personali ha una base legale appropriata (p.es. consenso dell’interessato e del Titolare, interessi legittimi, autorizzazione dalla rilevante Autorità di Supervisione, ecc.); (b) tutte le procedure e formalità richieste (come valutazione dell’impatto della tutela dei dati, notifica e richiesta di autorizzazione all’autorità della privacy o altri enti competenti, dove richiesto) sono state debitamente espletate; (c) gli interessati sono informati del trattamento dei loro Dati Personali in modo conciso, trasparente, comprensibile e di facile accesso, utilizzando un linguaggio chiaro e semplice come previsto dal GDPR; d) gli interessati sono informati e avranno in qualunque momento la possibilità di esercitare facilmente i loro diritti sui dati, come previsto dal GDPR, direttamente presso il Cliente o il Titolare nel caso in cui il Cliente sia responsabile del trattamento.

3.3. Il Cliente è responsabile dell’adozione delle misure tecniche e organizzative appropriate per garantire la sicurezza di risorse, sistemi, applicazioni e operazioni non di responsabilità di Easy4Cloud.

3.4. Il Cliente/Titolare del trattamento è totalmente responsabile di informare gli interessati dei loro diritti e del rispetto degli stessi, ovvero quello di accesso, rettifica, cancellazione, limitazione e portabilità.

Articolo 4 – Obblighi del Cliente qualora operi come responsabile del trattamento

4.1. Qualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, le Parti, sin d’ora, espressamente esprimono reciproco consenso alle seguenti condizioni:

Il Cliente garantirà che (i) tutte le necessarie autorizzazioni da inserire nel presente DPA, ivi compresa la nomina da parte del Cliente di Easy4Cloud quale sub-responsabile del trattamento, siano state ottenute dal Titolare del trattamento, (ii) sia stato sottoscritto con il Titolare del trattamento un accordo pienamente coerente con i termini e le condizioni del Contratto, ivi compreso il presente DPA, nel rispetto dell’articolo 28 del GDPR, (iii) qualsivoglia istruzione ricevuta da Easy4Cloud dal Cliente per l’esecuzione del Contratto e del presente DPA sia totalmente allineata con quelle del Titolare del trattamento, nonché, (iv) tutte le informazioni comunicate o rese disponibili da Easy4Cloud, nel rispetto del presente DPA, siano debitamente comunicate al Titolare del trattamento, se del caso.

4.2. Easy4Cloud si occuperà (i) del trattamento dei Dati Personali unicamente su istruzioni del Cliente e (iii) non riceverà alcuna istruzione direttamente dal Titolare del trattamento.

4.3. Il Cliente, il quale è da ritenere totalmente responsabile nei confronti di Easy4Cloud per la corretta esecuzione degli obblighi del Titolare del trattamento, come previsto dal presente DPA, indennizzerà e manterrà Easy4Cloud indenne per (i) qualsivoglia inadempienza del Titolare del trattamento nell’applicazione della normativa vigente, nonché (ii) da azioni, rivendicazioni o reclami da parte del Titolare del trattamento relativi a disposizioni del presente Contratto (ivi compreso il presente DPA) o altra istruzione ricevuta da Easy4Cloud da parte del Cliente.

Articolo 5 – Obblighi di Easy4Cloud

5.1. Nell’esecuzione del presente contratto Easy4Cloud si impegna a (a) trattare i Dati Personali caricati, immagazzinati e utilizzati dal Cliente unicamente per quanto necessario alla fornitura del Servizio, così come definito nel Contratto; (b) non accedere né utilizzare i Dati Personali per qualunque altro scopo se non quello strettamente necessario per lo svolgimento dei Servizi  c) adottare le misure tecniche e organizzative necessarie e di seguito riportare per garantire la sicurezza dei Dati Personali nella fornitura del Servizio; d) garantire che i dipendenti di Easy4Cloud autorizzati al trattamento dei Dati Personali in base al Contratto siano vincolati da un obbligo di riservatezza e ricevano una formazione adeguata in merito alla tutela di tali dati; e) informare il Cliente qualora, in considerazione delle informazioni a sua disposizione, ritenga che un’istruzione del Cliente stesso violi il GDPR o altre disposizioni per la tutela dei dati dell’Unione europea o di uno Stato membro dell’UE; f) in caso di ricevimento di richieste da parte di un’autorità competente e relative ai Dati Personali quivi trattati, informare il Cliente (fatto salvo quando proibito dalle normative vigenti o da un’ingiunzione di un’autorità competente), nonché limitare la comunicazione dei dati a quanto l’autorità abbia espressamente richiesto.

5.2. Dietro richiesta scritta del Cliente, Easy4Cloud fornirà al Cliente una ragionevole assistenza nella conduzione delle valutazioni dell’impatto della tutela dei dati, nonché, nelle consultazioni con autorità di supervisione competenti, unicamente quando tale assistenza si renda necessaria e sia relativa al trattamento di Dati Personali da parte di Easy4Cloud qui di interesse.

Articolo 6 – Localizzazione dei dati personali

6.1. Il Easy4Cloud garantisce che il trattamento dei dati personali del Titolare avverrà attraverso l’utilizzo sistematico e continuativo di infrastrutture informatiche localizzate in Paesi appartenenti allo Spazio Economico Europeo e che non si verificheranno trasferimenti all’estero dei suddetti, per tale intendendosi il trasferimento verso Paesi non appartenenti allo Spazio Economico Europeo.

6.2. Resta in ogni caso inteso che il Fornitore si obbliga a comunicare al Titolare del trattamento per iscritto e con un congruo preavviso, qualsiasi spostamento dei dati personali presso infrastrutture informatiche localizzate in Paesi all’interno dell’Unione Europea e/o extra UE.

Articolo 7 – Misure di sicurezza

7.1. Easy4Cloud si impegna ad adottare le seguenti misure di sicurezza tecniche e organizzative: (a) misure di sicurezza fisiche, tese a prevenire l’accesso di soggetti non autorizzati nelle Infrastrutture all’interno delle quali sono immagazzinati i dati del Cliente; (b) controlli di identità e accesso utilizzando un sistema di autenticazione, nonché una politica di gestione delle password; (c) un sistema di gestione degli accessi che limiti l’ingresso alle strutture a coloro per i quali sia indispensabile nello svolgimento dei loro compiti e all’interno delle loro responsabilità; (d) personale dedicato responsabile del monitoraggio della sicurezza fisica delle strutture di Easy4Cloud; (e) procedure di autenticazione per utente e amministratore, nonché per tutelare l’accesso alle funzioni di amministratore; (f) un sistema di gestione degli accessi per attività di supporto e manutenzione che operi sui principi del privilegio minimo e della necessità di comunicazione; e (g) procedure e misure per tracciare le azioni svolte sul proprio sistema informatico.

7.2. Le misure di sicurezza predisposte dal Easy4Cloud dovranno in ogni caso essere idonee a garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei dati oggetto di trattamento.

Articolo 8 – Specifiche tecniche per il data processing

8.1. Easy4Cloud Spa dichiara ai fini della verifica della corretta applicazione della normativa in materia di data protection ed in ottemperanza alle prescrizioni di cui al Regolamento Europeo 679/2016 sul tracciamento del dato che i server ospitanti i servizi sono situati all’interno della Comunità Europea, e che nella contrattualistica predisposta con il fornitore del servizio, questi si obbliga a garantire la massima sicurezza delle proprie infrastrutture.

8.2. In merito, al servizio fornito Easy4Cloud dichiara che una volta rese le credenziali di accesso al servizio, l’unico abilitato a visionare i contenuti dello spazio è il Cliente finale. Il Cliente finale potrà richiedere assistenza ad Easy4Cloud. L’assistenza viene fornita da remoto in condivisione di schermo con il Cliente che monitora e condivide in tempo reale l’intervento. Conclusa la sessione di lavoro l’incaricato di Easy4Cloud esce dal computer e non può più rientrare senza una nuova autorizzazione da parte del medesimo Cliente. In casi eccezionali, quando l’intervento manutentivo non è esperibile con la modalità descritta il Cliente finale potrà fornire le credenziali di accesso con una autorizzazione temporanea al fine di consentire l’attività di revisione. Espletato l’intervento, il Cliente finale riconfigurerà le password ed Easy4Cloud non si assume responsabilità nel caso in cui il Cliente non riconfiguri le password. 

8.3. Per la sicurezza del dato in transito è configurato con un protocollo HTTPS, che consente la cifratura dei dati con standard tra i più sicuri disponibili sul mercato. In attuazione del protocollo HTTPS viene utilizzato il protocollo TLS 1.2, con scambio di chiave ECDHE, autenticazione RSA, cifratura AES a 256 bit in modalità Galois/Counter e hashing SHA384.

8.4. L’unica attività di trattamento effettuata sul data base del Cliente finale da parte di Easy4Cloud è quella di backup. L’attività di backup viene effettuata direttamente sul server del fornitore che ospita il servizio di cui al punto 8.1. ed è completamente automatizzata. In particolare, la banca dati contenente i dati del Cliente finale, è sottoposta ad una periodica procedura di backup, in modalità “snapshot”, con un intervallo di 12 ore. Il backup viene compresso e cifrato con crittografia AES e chiave a 256 bit. Il file elaborato viene, infine, immagazzinato offsite, sull’infrastruttura di backup del fornitore. Al termine della procedura, i backup con dimensioni dallo 0 al 120% più vecchi di 24 ore vengono cancellati automaticamente. Dopo 48 ore tutti i backup vengono cancellati incondizionatamente. Con la scadenza del contratto tutti i dati vengono cancellati sia backup che dati operativi

Articolo 9 – Standard di sicurezza per le credenziali di autenticazione

9.1. In applicazione delle prescrizioni di cui al Reg. 679/2016, l’accesso ai servizi è consentito esclusivamente agli incaricati dal Cliente finale che siano dotati di credenziali di autenticazione. Le credenziali di autenticazione sono composte da una componente pubblica e da

una componente riservata (parola chiave). La parola chiave viene scelta dagli incaricati che ne detengono l’esclusivo possesso. Nella sezione “Impostazioni”, è possibile effettuare gestire le impostazioni di autenticazione mediante 6 opzioni:

  1. Permetti di cambiare la password all’operatore
  2. Permette di inserire solo password sicure
  3. Obbliga cambio password primo login
  4. Scadenza password ogni 6 mesi
  5. Richiedi password al ritorno dalla pausa
  6. Limite inattività utenze

Se selezionata l’opzione “Permette di inserire solo password sicure” il sistema di inserimento della parola chiave controlla che quest’ultima sia composta da almeno otto caratteri e che contenga almeno due tra le seguenti caratteristiche: (i) contenga almeno un carattere numerico; (ii) contenga almeno un carattere minuscolo; (iii) contenga almeno una cifra numerica; (iv) contenga almeno un carattere non alfanumerico. Inoltre la parola chiave non può contenere: a) il nome dell’incaricato; b)  il cognome dell’incaricato; c) l’email dell’incaricato; d) il codice identificativo dell’incaricato; e) la sequenza di 3 o più caratteri in sequenza numerica (es. 123…); f) la sequenza di 3 o più caratteri in ordine alfabetico (es. abc…); g) la sequenza di 3 o più caratteri ripetuti (es. aaa…, 111…); h) la sequenza di 3 o più caratteri in posizione di prossimità sulla tastiera (es. qwerty…).

9.2. Il codice per l’identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi.  L’opzione numero 4, “Scadenza password ogni 6 mesi”, obbliga al cambio della propria password personale almeno una volta ogni 6 mesi per poter continuare ad accedere al servizio.

L’opzione numero 5, “Richiedi password al ritorno dalla pausa”, richiede il reinserimento della chiave personale al ritorno dalla pausa, per non consentire l’accesso non autorizzato alla postazione incustodita.

L’opzione numero 6, “Limite inattività utenze”, disattiva automaticamente le credenziali che non siano state utilizzate per un limite di tempo configurabile.

9.3. Gli utenti del sistema sono profilati per consentire l’accesso esclusivamente all’insieme di dati di competenza, a secondo del ruolo che ricoprono nella struttura organizzativa

Articolo 10 – Violazione dei dati personali

10.1. Qualora si verifichino eventi che comportino la violazione dei dati personali o delle informazioni gestite da Easy4Cloud, quest’ultima avvertirà immediatamente il Titolare del trattamento entro 24 ore dalla scoperta (se non contestuale al momento della violazione).

10.2. Easy4Cloud si impegna a mantenere l’assoluto riserbo sulle violazioni intercorse. Al riguardo tali notizie non saranno in alcun modo diffuse in qualunque forma, anche mediante la loro messa a disposizione e/o consultazione.

Articolo 11 – Durata dell’Accordo

11.1. Il presente Contratto ha validità a partire dalla data di sottoscrizione del medesimo e si considera valido tutto il periodo di affidamento del servizio reso da Easy4Cloud. 

Articolo 12 – Legge regolatrice e Foro competente

12.1. È espressamente convenuto tra le Parti che il presente Accordo deve intendersi disciplinato esclusivamente dalla legge italiana.

12.2. In caso di controversia tra le Parti relativamente all’esecuzione e/o interpretazione del presente Contratto, le Parti si impegnano a trovare una soluzione bonaria della predetta vertenza. Qualora la soluzione non venga raggiunta nel termine di tre (3) giorni lavorativi le Parti provvederanno a scambiarsi osservazioni e proposte in merito alla possibile soluzione della vertenza. Qualora una soluzione non venga raggiunta nel termine di ulteriori sei (6) giorni lavorativi, la medesima questione sarà sottoposta all’attenzione dei legali rappresentanti delle Parti o dei loro delegati.

12.3. Qualora non sia attivabile la procedura di cui al precedente comma, per qualsiasi controversia relativa alla validità, interpretazione, esecuzione e cessazione del presente Contratto sarà competente in via esclusiva il Foro di Napoli Nord ad eccezione dei contratti sottoscritti con i consumatori per i quali resta competente in applicazione del D.lgs. 206/2005 il foro di residenza del consumatore.