Accordo sul trattamento dei dati personali
Ai sensi dell’art. 28 del Regolamento UE 2016/679 del 27 aprile 2016 (di seguito,Regolamentoil Cliente come individuato nel Modulo d’Ordine (di seguito, ilCliente”),
Considerato che
- Il Cliente e Audioboost S.r.l., con sede legale in Maglie (LE), via Scorrano 57, C.F. e P.IVA IT05170040751 (di seguito, ilFornitorehanno stipulato un contratto, avente ad oggetto l’erogazione della Suite Speakup-Article™ ai fini della generazione automatica di Spoken Article sulle properties online (i) del Cliente o (ii) del soggetto terzo che quest’ultimo rappresenta (ilTitolaredi cui il presente atto di nomina costituisce parte integrante e sostanziale (di seguito, ilContratto.
- Il Cliente agisce in qualità di (i) titolare o (ii) responsabile del trattamento con riferimento ai dati personali trattati al fine di dare esecuzione al (i) Contratto e/o (ii) al/ai contratto/i e alla/e relativa/e nomina/e a responsabile del trattamento (di seguito, laAccordo sul trattamento dei dati personali”) con il/i Titolare/i, indicati più precisamente all’Allegato 1 (di seguito, i “Dati Personali*);
- ex art. 28 del Regolamento, (i) il responsabile o (ii) il sub-responsabile del trattamento sono designati (i) dal titolare o (ii) dal responsabile facoltativamente e, se designati, sono individuati tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;
- i compiti affidati (i) al responsabile o al (ii) sub-responsabile del trattamento devono essere analiticamente specificati per iscritto (i) dal titolare o (ii) dal titolare e dal responsabile e (i) il responsabile o (ii) il sub-responsabile del trattamento devono attenersi alle istruzioni impartite (i) dal titolare o (ii) dal titolare e dal responsabile, i quali, anche tramite verifiche periodiche, vigilano sulla puntuale osservanza delle stesse;
- 5) il Cliente ha verificato che il Fornitore, in virtù della propria esperienza, capacità ed affidabilità, è in grado di fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di protezione dei dati personali, ivi compreso il profilo relativo alla sicurezza, così come richiesto dalla Normativa Applicabile (come di seguito definita);
- E' intenzione del Cliente, in qualità di (i) titolare o (ii) responsabile del trattamento, procedere alla nomina del Fornitore a (i) responsabile o (ii) sub-responsabile del Trattamento, il quale intende accettare.
Tutto ciò premesso, con il presente atto il Cliente
Nomina
il Fornitore quale (i) responsabile o (ii) sub-responsabile del trattamento per i trattamenti di Dati Personali da effettuarsi ai sensi del Contratto, secondo le modalità e nei limiti di seguito specificati.
- Definizioni
Nel presente atto di nomina (di seguito, “Nomina" o "DPAi termini la cui prima lettera è scritta in carattere maiuscolo hanno lo stesso significato loro attribuito dalla Normativa Applicabile. I seguenti termini hanno il significato di seguito indicato:
“Normativa Applicabile”, il Regolamento, il D. Lgs. 30 giugno 2003, n. 196, integrato con le modifiche introdotte dal D. Lgs. 10 agosto 2018, n. 101 (di seguito, il ““Codice”), nonché qualsiasi altra normativa sulla protezione dei dati personali applicabile in Italia, già in vigore o che entrerà in vigore successivamente alla data di sottoscrizione del presente Atto, ivi compresi i provvedimenti del Garante per la protezione dei dati personali emanati in attuazione della Normativa Applicabile;
“Misure di Sicurezzasono le misure intese a proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita, alterazione, divulgazione o accesso non autorizzato, come previste all’art. 32 del Regolamento;
“Sub-fornitori" (o "Sub-Processor”, le persone fisiche o giuridiche che prestano la propria attività in favore del Fornitore trattando Dati Personali di titolarità (i) del Cliente o (ii) del Titolare.
- Obblighi delle Parti
2.1 Obblighi del Fornitore
2.1.1 Finalità del Trattamento
Il Fornitore, in qualità di (i) responsabile o (ii) sub-responsabile del trattamento, si impegna a:
- trattare i Dati Personali al fine esclusivo di dare esecuzione al Contratto e nei limiti di quanto disposto dallo stesso, attenendosi strettamente alle istruzioni impartite (i) dal Cliente o (ii) dal Cliente e dal Titolare;
- trattare esclusivamente quei Dati Personali che sono strettamente necessari per dare corretta e piena esecuzione al Contratto o per adempiere ad obblighi di legge;
- fare in modo che i propri dipendenti e Sub-fornitori abbiano accesso a e trattino esclusivamente quei Dati Personali che sono strettamente necessari per dare corretta e piena esecuzione al Contratto o per adempiere ad obblighi di legge;
- Processing the Personal Data in a lawful manner, according to fairness and in full compliance with the Applicable Law.
2.1.2 Misure di sicurezza
Il Fornitore si impegna ad implementare correttamente le Misure di Sicurezza ed ogni altra misura di sicurezza prescritta dalla Normativa Applicabile, tenuto anche conto dello stato dell'arte e dei costi di attuazione.
Il Fornitore, anche sulla base delle nuove soluzioni rese disponibili dal progresso tecnico e tecnologico, tenendo in considerazione la natura dei dati e le caratteristiche dei trattamenti da effettuare, si impegna ad implementare le Misure di Sicurezza in modo da minimizzare possibili rischi di distruzione o perdita volontaria o accidentale dei Dati Personali, accesso non autorizzato o trattamento in violazione di legge.
2.1.3 Autorizzati
Il Fornitore si impegna a:
- istruire, ai sensi dell’art. 29 del Regolamento, coloro preposti alle operazioni di trattamento ("Autorizzati") scegliendoli tra i propri dipendenti che per esperienza, capacità e formazione sono idonei ad assicurare il rispetto della Normativa Applicabile;
- impartire agli Autorizzati dettagliate istruzioni operative concernenti le modalità di esecuzione dei trattamenti loro affidati nonché vigilare scrupolosamente sull’esatto adempimento, da parte degli stessi, delle istruzioni ricevute;
- implementare misure fisiche, tecniche ed organizzative atte a far sì che ciascun Incaricato possa avere accesso esclusivamente ai Dati Personali che possono essere trattati in base al proprio profilo di autorizzazione;
- redigere ed aggiornare una lista nominativa degli Autorizzati, verificando annualmente l’ambito del trattamento consentito ai medesimi.
2.1.4 Diritti degli interessati
Il Fornitore dovrà garantire l’effettivo esercizio dei diritti riconosciuti agli Interessati dalla Normativa Applicabile, impegnandosi a notificare per iscritto e senza ritardo (i) al Cliente o (ii) al Cliente e al Titolare qualsivoglia richiesta di esercizio di tali diritti formulata da uno degli Interessati, allegando altresì una copia della richiesta.
Il Fornitore si impegna a collaborare (i) con il Cliente o (ii) con il Cliente e il Titolare per garantire che le richieste di esercizio dei diritti suddetti, incluse le richieste di opposizione al trattamento, siano soddisfatte entro i tempi e secondo le modalità di legge e, più in generale, per assicurare il pieno rispetto della Normativa Applicabile.
2.1.5 Comunicazione e trasferimento all’estero dei dati
Il Fornitore non potrà esercitare un controllo autonomo sui Dati Personali e si impegna ad astenersi dal diffondere o comunicare detti dati a terze parti, salvo se espressamente previsto dal Contratto o autorizzato (i) dal Cliente o (ii) dal Cliente e dal Titolare per iscritto, ed in ogni caso nel rispetto di quanto previsto dall’informativa resa agli Interessati e dei consensi da questi eventualmente espressi in relazione alle diverse finalità di trattamento.
In caso di trasferimento dei Dati Personali al di fuori del territorio dello Spazio Economico Europeo (SEE), il Fornitore si impegna affinché tale trasferimento avvenga nel rispetto delle garanzie di cui al Capo V del Regolamento.
2.1.6 Sub-Fornitura
Qualora il Fornitore intenda affidare ad un Sub-fornitore in tutto o in parte l’esecuzione del Contratto, e ciò sia consentito dal Contratto o autorizzato (i) dal Cliente o (ii) dal Cliente e dal Titolare, egli dovrà previamente comunicare a questi ultimi se il proprio Sub-fornitore dovrà trattare Dati Personali di titolarità (i) del Cliente o (ii) del Titolare.
In tal caso, (i) il Cliente potrà direttamente nominare il Sub-fornitore autorizzato quale proprio responsabile del trattamento, oppure il Cliente potrà autorizzare il Fornitore a nominare il Sub-fornitore con un atto di nomina sostanzialmente equivalente (i) al presente Atto e/o (ii) alla Nomina, fermo restando che, nell’ipotesi sub (ii), il Titolare potrà esercitare il proprio diritto di opposizione alla nomina del Sub-fornitore ai sensi dell’articolo 28 del Regolamento.
Le attività di verifica che interessino eventuali Sub-fornitori dovranno essere svolte nel rispetto delle regole di accesso e delle politiche di sicurezza dei Sub-fornitori.
All’Allegato 2 del presente Atto, il Cliente e il Fornitore riportano i Sub-fornitori approvati alla data della firma del presente Atto.
2.2 Dichiarazioni e garanzie del (i) Cliente e/o (ii) del Titolare
2.2.1 Il Cliente dichiara e garantisce che (nel caso sub (ii), il Titolare ha prestato idonee garanzie affinché) qualsivoglia modalità di raccolta dei dati personali trattati ai sensi del presente Atto:
- avrà luogo a seguito della presentazione agli interessati di un’informativa privacy che sia chiara, semplice da comprendere ma al contempo completa e conforme al Regolamento, facilmente fruibile dagli Interessati e che individui le modalità di raccolta e di utilizzo delle informazioni ottenute;
- offre agli interessati la possibilità di restare esclusi da tale raccolta e trattamento di tali informazioni;
- prevede, quando necessario, l’ottenimento di tutti i consensi degli interessati, cui i dati personali si riferiscono, come richiesto dal Regolamento.
2.2.2 Considerato quanto al precedente articolo 2.2.1 in particolare il Cliente garantisce e dichiara espressamente che:
- gli Interessati dal trattamento rilascino al Cliente, ove applicabile, il consenso al trattamento dei propri dati attraverso una manifestazione di volontà libera, specifica, informata e inequivocabile, per ogni finalità di cui ai trattamenti oggetto del presente Atto.
- i dati sono o saranno raccolti in ogni caso ai sensi di una idonea base giuridica, oltre che secondo correttezza e liceità e per fini corrispondenti a quelli per cui vengono trattati ai sensi del presente Atto.
- Audit
Il Fornitore prende atto del fatto che, in osservanza dell’art. 28 del Regolamento, il Cliente potrà valutare periodicamente le attività svolte, al fine di verificare il rispetto delle misure organizzative, tecniche e di sicurezza prescritte dalla Normativa Applicabile o impartite dal Cliente in qualità di Titolare.
Il Cliente avrà inoltre il diritto di accedere ad uffici, computer e altri sistemi informatici/documenti del Fornitore e dei propri Sub-fornitori, laddove ciò sia ritenuto necessario per verificare che il Fornitore o il proprio Sub-fornitore agisca in osservanza degli obblighi pattuiti in virtù del presente Atto. In caso di accesso ai locali del Fornitore o del Sub-fornitore da parte del Cliente, quest’ultimo sarà tenuto a dare al Fornitore un preavviso scritto di almeno 7 giorni lavorativi.
Il Cliente riconosce ed accetta espressamente che gli eventuali costi di qualsivoglia verifica di cui al presente articolo saranno a proprio esclusivo carico.
Nulla di quanto disposto dal presente Atto presuppone il consenso del Fornitore alla divulgazione al Cliente, nonché l’accesso del Cliente a:
- dati interni contabili o finanziari del Fornitore;
- segreti industriali del Fornitore;
- informazioni che, sulla base di ragionevoli opposizioni presentate dal Fornitore, potrebbero: (A) compromettere la sicurezza di sistemi o uffici del Fornitore; o (B) comportare la violazione degli obblighi del Fornitore di cui alla Normativa Applicabile o degli obblighi di questo in materia di sicurezza e/o riservatezza nei confronti del Cliente o di terzi; oppure
- nformazioni a cui il Cliente (o eventuali revisori esterni da questa nominati) cerchino di accedere per ragioni estranee al dovere di buona fede nell’adempimento degli obblighi del Cliente di cui alla Normativa Applicabile.
- Dichiarazioni e garanzie del Fornitore
Il Fornitore dichiara e garantisce di essere a conoscenza degli obblighi assunti ai sensi della Normativa Applicabile per effetto dell’Atto, nonché di avere la necessaria esperienza, capacità e professionalità per svolgere tale funzione.
Il Fornitore dichiara che non ha individuato la figura del Responsabile della protezione dei dati (RPD o DPO), in quanto non è soggetto all’obbligo di designazione previsto dall’art. 37 del Regolamento.
Corrispettivo
Fermo restando quanto previsto dal Contratto, il Fornitore svolgerà la propria attività di (i) responsabile o (ii) sub-responsabile senza alcun corrispettivo, salvo diverso accordo scritto con il Cliente.
- Durata
Il presente Atto produce i suoi effetti a partire dalla data di validità del Contratto e rimarrà in vigore fino alla data di cessazione del Contratto, indipendentemente dalla causa di detta cessazione.
In qualunque caso di cessazione dell’efficacia del Contratto, il Fornitore provvederà restituire al Cliente i Dati Personali in proprio possesso, procedendo alla cancellazione di eventuali copie degli stessi. Su richiesta ed a discrezione totale del Cliente, il Fornitore dovrà in alternativa cancellare i Dati Personali in proprio possesso, dandone conferma scritta al Cliente senza ritardo, salvo che la conservazione dei dati sia richiesta dalla legge.
Allegato 1
Descrizione
Soggetti Interessati
I dati personali trattati riguardano le seguenti categorie di soggetti interessati:
- persone fisiche i cui dati personali sono contenuti negli articoli di testo pubblicati nelle properties online (i) del Cliente o (ii) del Titolare utilizzati per la generazione di Spoken Article tramite la Suite Speakup-Article™ Speakup-Article™
Categorie di Dati
I dati personali trattati riguardano le seguenti categorie di dati:
- dati personali comuni, ad es. titolo, nome, cognome, società, indirizzo.
Categorie particolari di dati/dati relativi a condanne penali e reati (se del caso)
Non è previsto il trattamento di Categorie particolari di dati/dati relativi a condanne penali e reati.
Operazioni di trattamento
I dati personali trattati rientrano nelle seguenti attività base di trattamento:
- Oggetto del trattamento The purpose of the processing is related to executing the Contract between the Parties.
- L’oggetto del trattamento L’oggetto del trattamento è relativo all’esecuzione del Contratto tra le Parti. Speakup-Article™ Suite.
Nel caso in cui le attività stabilite dal Titolare comportino il trattamento di informazioni o dati ulteriori o diversi da quelli indicati nel presente Allegato, il Titolare si impegna a inviare tempestivamente al Fornitore un allegato aggiornato, contenente tutte le nuove informazioni e i dati oggetto di trattamento.
Allegato 2
Elenco dei Sub-fornitori autorizzati
Di seguito si riportano nome, indirizzo e servizi forniti dai Sub-fornitori autorizzati dal Titolare alla data di firma del presente Atto. L’elenco aggiornato dei Sub-fornitori autorizzati dal Titolare è mantenuto dal Fornitore per scopi di registrazione interna e eventuali modifiche notificate al Titolare:
Sub-Fornitore | Sede e dati di contatto / Luogo del trattamento | Attività di trattamento | Nomina diretta del Titolare / Sub-nomina |
Google Cloud Italy S.r.l. | Via Federico Confalonieri 4 Milan, 20124, Italy | API “Cloud Speech-to-Text”, as detailed in the following URLs: https://cloud.google.com/speech-to-text/docs/data-logging-terms | Sub-appointment, as detailed in the following URL: https://cloud.google.com/terms/data-processing-addendum?hl=it |
Microsoft Srl | Microsoft House, Viale Pasubio 21, 20154, Milano, Italia | API “Cloud Speech-to-Text”, come meglio precisato ai seguenti link: Data, privacy, and security for text to speech – Azure AI services | Microsoft Learn | Sub-supplier, as detailed in the following link: |