Allegato - Responsabile del trattamento dei dati personali

Introduzione

Il presente allegato ha lo scopo di definire le condizioni in base alle quali FYGR, in qualità di subappaltatore e nell'ambito dei servizi definiti nel documento, si impegna ad effettuare operazioni di trattamento dei dati personali per conto dei propri utenti nel rispetto delle disposizioni applicabili in materia di protezione dei dati personali, in particolare della Legge modificata del 6 gennaio 1978 sul trattamento dei dati, degli archivi e delle libertà individuali e del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 applicabile dal 25 maggio 2018 (di seguito "RGPD").‍
Ai fini del presente documento, FYGR agisce pertanto come "subappaltatore" nei seguenti casi: quando il cliente memorizza o fornisce l'accesso a informazioni personali relative a terzi attraverso l'utilizzo del servizio Budgea API, Bridge o Fintecture.‍‍
Si presume che l'utente agisca come "controllore" ai sensi delle definizioni fornite dal RGPD.‍
Nell'ambito dei loro rapporti contrattuali, le parti si impegnano quindi, ciascuna per quanto la riguarda, a rispettare la normativa vigente applicabile al trattamento dei dati personali.‍

Articolo 1. Definizioni

Ai fini del presente documento, i seguenti termini avranno lo stesso significato loro attribuito nel GDPR:
Dati personali: qualsiasi informazione relativa a una persona fisica identificata o identificabile (di seguito denominata "interessato"); si considera "persona fisica identificabile" quella che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo, come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online, o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Dati sensibili o categorie particolari di dati: dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi alla vita sessuale o all'orientamento sessuale di una persona fisica (articolo 9 del RGPD).
Trattamento: qualsiasi operazione o insieme di operazioni eseguite su dati personali o insiemi di dati, con o senza l'ausilio di mezzi automatici, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la divulgazione mediante trasmissione, diffusione o altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
Titolare del trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, da solo o insieme ad altri, determina le finalità e i mezzi del trattamento; Subincaricato: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta i dati personali per conto del titolare del trattamento.
Destinatario: la persona fisica o giuridica, l'autorità pubblica, il dipartimento o qualsiasi altro organismo che riceve i dati personali, sia esso un terzo o meno. Tuttavia, le autorità pubbliche che possono ricevere dati personali nel contesto di un'indagine specifica in conformità con la legislazione dell'UE o di uno Stato utente non sono considerate destinatari; il trattamento di tali dati da parte delle autorità pubbliche in questione è conforme alle norme applicabili in materia di protezione dei dati a seconda delle finalità del trattamento.

Articolo 2. Descrizione dei trattamenti da esternalizzare

FYGR è autorizzata, in qualità di Subappaltatore che agisce su istruzioni dell'utente, a trattare i Dati Personali del Titolare nella misura necessaria all'erogazione dei servizi.
La natura delle operazioni effettuate da FYGR in relazione ai Dati Personali può essere l'archiviazione di informazioni e/o qualsiasi altro servizio come descritto nei TOS. La tipologia di Dati Personali e le categorie di persone interessate sono determinate e controllate dall'utente a sua esclusiva discrezione. Le attività di trattamento sono svolte da FYGR per il periodo di tempo stabilito nelle CGU.

Articolo 3. Obblighi di FYGR in qualità di subappaltatore

In qualità di subappaltatore, FYGR si impegna a :
1. Trattare i Dati personali esclusivamente ai fini della fornitura dei servizi;‍
2. Non accedere o utilizzare i dati personali per scopi diversi da quelli necessari per l'esecuzione dei servizi;‍
3. Elaborare i dati personali in conformità alle istruzioni documentate dell'utente;‍
‍4. Informare l'Utente se, a suo giudizio e alla luce delle informazioni a sua disposizione, una qualsiasi delle istruzioni costituisce una violazione del GDPR o di qualsiasi altra disposizione del diritto dell'Unione o del diritto degli Stati dell'Utente in materia di protezione dei dati.
5. Garantire la riservatezza dei dati personali trattati nell'esercizio delle proprie funzioni;‍
‍‍6.

Ove applicabile, garantire che gli utenti del proprio personale autorizzati al trattamento dei Dati personali: - si impegnino a rispettare la riservatezza o siano soggetti a un adeguato obbligo legale di riservatezza; - ricevano la necessaria formazione in materia di protezione dei Dati personali;
‍‍7. Tenere in considerazione i principi della protezione dei dati per progettazione e della protezione dei dati per impostazione predefinita nei propri strumenti, prodotti, applicazioni e servizi.
‍8. Subappaltatori successivi :
FYGR può incaricare un altro subappaltatore del trattamento dei Dati Personali in relazione all'esecuzione dei Servizi ("Subappaltatore successivo"). L'utente autorizza espressamente FYGR a incaricare tali società come Subappaltatori successivi.
In ogni caso, il Subappaltatore successivo è tenuto ad adempiere agli obblighi del presente contratto per conto e secondo le istruzioni di FYGR. È responsabilità di FYGR assicurarsi che il Subappaltatore successivo presenti le stesse garanzie sufficienti in merito all'implementazione di misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del Regolamento Europeo sulla Protezione dei Dati. Qualora il Subappaltatore successivo non adempia ai propri obblighi in materia di protezione dei dati, FYGR rimarrà pienamente responsabile nei confronti dell'utente per l'adempimento degli obblighi da parte dell'altro subappaltatore.
‍‍9. Diritto all'informazione degli interessati :
L'utente, in qualità di Titolare del trattamento, è pienamente responsabile di informare gli interessati dei loro diritti e di garantire che tali diritti siano rispettati, compresi i diritti di accesso, rettifica, cancellazione, limitazione o portabilità.
10. Esercizio dei diritti individuali :
FYGR fornirà la cooperazione e l'assistenza ragionevolmente necessarie per rispondere alle richieste degli Interessati. Tale ragionevole cooperazione e assistenza può includere (a) la comunicazione all'utente di qualsiasi richiesta ricevuta direttamente dall'interessato e (b) la possibilità per il Titolare di progettare e implementare le misure tecniche e organizzative necessarie per rispondere alle richieste degli interessati.
L'utente, in qualità di Titolare del trattamento, è l'unico responsabile della risposta a tali richieste.
L'utente riconosce e accetta che, nel caso in cui tale collaborazione e assistenza richieda risorse significative da parte di FYGR, queste potranno essere addebitate all'utente previa notifica e accordo.
11. Notifica di violazioni di dati personali :
FYGR si impegna a notificare all'utente, con qualsiasi mezzo, qualsiasi violazione dei dati personali entro un termine massimo di 72 (settantadue) ore dal momento in cui ne viene a conoscenza. Tale notifica sarà accompagnata da ogni documentazione utile a consentire all'utente, se necessario, di notificare tale violazione all'autorità di controllo competente (CNIL).
12. Assistenza di FYGR nell'adempimento degli obblighi dell'utente :
FYGR si impegna, per quanto possibile e se necessario, ad assistere l'utente nell'esecuzione di analisi d'impatto relative alla protezione dei dati.
FYGR si impegna inoltre, se necessario, ad assistere l'utente nello svolgimento della consultazione preventiva dell'autorità di controllo (CNIL).
13. Misure di sicurezza :
FYGR mette in atto misure tecniche e organizzative adeguate per garantire la sicurezza, la riservatezza e l'integrità del trattamento dei dati e per proteggere i dati da distruzione, perdita, alterazione, divulgazione non autorizzata o accesso ai dati personali trasmessi, memorizzati o altrimenti trattati.
14. Uscita dati :
Alla cessazione del servizio (inclusa la cessazione delle CGUS), FYGR si impegna a cancellare qualsiasi contenuto (inclusi dati, file, ecc.) riprodotto, memorizzato, ospitato o altrimenti utilizzato dall'utente in relazione ai servizi, salvo che sia diversamente richiesto da una richiesta emessa da una competente autorità legale o giudiziaria, o dalla legge applicabile dell'Unione Europea o di uno Stato Utente dell'Unione Europea.
L'utente è l'unico responsabile dell'esecuzione delle operazioni necessarie (come il backup, il trasferimento a una soluzione di terzi, ecc.) per la conservazione dei Dati personali, in particolare prima della cessazione o della scadenza dei servizi e prima di eseguire qualsiasi operazione di cancellazione, aggiornamento o reinstallazione dei servizi.
A questo proposito, l'utente è informato che la cessazione e la scadenza del servizio per qualsiasi motivo, così come alcune operazioni di aggiornamento o reinstallazione dei servizi, possono comportare automaticamente la cancellazione irreversibile di qualsiasi contenuto riprodotto, memorizzato, ospitato o altrimenti utilizzato dall'utente nell'ambito dei servizi, compreso qualsiasi potenziale back-up.
15. Registro delle categorie di attività di trattamento :
FYGR dichiara di tenere un registro scritto di tutte le categorie di attività di trattamento svolte per conto dell'utente, tra cui:
- il nome e i dati di contatto dell'utente per conto del quale agisce, di eventuali subappaltatori e, se del caso, del responsabile della protezione dei dati;
- le categorie di trattamento effettuate per conto dell'utente ;
- se del caso, i trasferimenti di dati personali a un paese terzo o a un'organizzazione internazionale, compresa l'identificazione di tale paese terzo o organizzazione internazionale e, nel caso dei trasferimenti di cui all'articolo 49, paragrafo 1, secondo comma, del GDPR, i documenti che attestano l'esistenza di garanzie adeguate;
- per quanto possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative.
16. Documentazione :
FYGR mette a disposizione dei propri utenti la documentazione necessaria a dimostrare il rispetto di tutti i propri obblighi e a consentire e assistere le verifiche, anche ispettive, da parte dell'utente o di un altro revisore da lui nominato.
Nell'ambito di tali verifiche, l'utente o il revisore da lui incaricato non saranno comunque autorizzati ad accedere ai segreti aziendali di FYGR, alle informazioni strategiche di FYGR o alle informazioni che FYGR si è impegnata a mantenere riservate nei confronti di altri suoi clienti e/o partner. FYGR potrà opporsi a qualsiasi misura di controllo da parte dell'utente o del revisore incaricato da FYGR che possa consentire loro l'accesso a tali dati o informazioni. FYGR garantirà in ogni caso che il revisore e, più in generale, il personale che effettua la verifica siano soggetti ad adeguati obblighi di riservatezza.

Articolo 4. Obblighi dell'utente in qualità di titolare del trattamento dei dati nei confronti di FYGR

L'utente si impegna a rispettare gli obblighi che gli competono in qualità di responsabile del trattamento dei dati ai sensi del RGPD. A questo proposito, è responsabilità dell'utente garantire che:
- il trattamento dei dati personali ha una base giuridica adeguata (ad esempio, il consenso dell'interessato, il legittimo interesse del titolare del trattamento o una disposizione di legge, ecc;)
- i registri del trattamento dei dati sono aggiornati;
- siano state espletate tutte le formalità e le procedure richieste (come la valutazione d'impatto, la notifica o la richiesta di autorizzazione all'autorità di vigilanza o a qualsiasi altro organismo), se del caso;
- Gli interessati sono informati del trattamento dei dati personali in modo conciso, trasparente, comprensibile e facilmente accessibile;
- gli interessati hanno la possibilità di esercitare i loro diritti, come previsto dal RGPD ;
- misure tecniche e organizzative sono implementate all'interno dei propri sistemi e operazioni al di fuori dell'ambito dei servizi per garantire la sicurezza del trattamento dei dati personali.
Inoltre, l'utente si impegna a :
- documentare per iscritto tutte le istruzioni relative al trattamento dei dati;
- garantire che FYGR rispetti gli obblighi previsti dal RGPD prima e per tutta la durata del trattamento;
- supervisionare il trattamento, anche effettuando audit e ispezioni di FYGR, alle condizioni sopra descritte.