I/O Net e la controparte accettante i presenti termini contrattuali (“Cliente”) hanno stipulato un accordo per la fornitura dei Servizi del Responsabile del trattamento (come di volta in volta modificato, il “
Contratto”).
I Termini contrattuali per il trattamento dei dati tramite l'utilizzo della piattaforma Sguario di I/O Net (comprensivi degli allegati, “
Termini contrattuali per il trattamento dei dati”) sono stipulati tra I/O Net e il Cliente e sono parte integrante del Contratto. I presenti Termini contrattuali per il trattamento dei dati entreranno in vigore a decorrere dalla Data di efficacia degli stessi e sostituiranno i precedenti termini applicabili alla materia in oggetto (incluse eventuali Emendamenti o Allegati per il Trattamento dei Dati pertinenti i Servizi del Responsabile del trattamento).
Nel caso in cui la controparte stia accettando i presenti Termini contrattuali per il trattamento dei dati in nome e per conto del Cliente, garantisce di: (a) detenere i poteri legali necessari per vincolare il Cliente ai presenti Termini contrattuali per il trattamento dei dati; (b) aver letto e compreso i presenti Termini contrattuali per il trattamento dei dati; e (c) accettare, per conto del Cliente, i presenti Termini contrattuali per il trattamento dei dati. Nel caso in cui la controparte non dovesse detenere le piene facoltà legali per vincolare il Cliente agli stessi, non dovrà accettare i presenti Termini contrattuali per il trattamento dei dati.
1. Introduzione
I presenti Termini contrattuali per il trattamento dei dati riflettono il pieno accordo tra le parti con riguardo all’elaborazione e alla sicurezza dei Dati personali del Cliente in conformità alla Normativa sulla protezione dei dati.
2. Definizioni e Interpretazione
2.1
Nei presenti Termini contrattuali per il trattamento dei dati:
-
Per “Prodotto aggiuntivo” si intende un prodotto, servizio o applicazione fornito da I/O Net o terzi, che: (a) non fa parte dei Servizi del Responsabile del trattamento; è (b) accessibile e può essere utilizzato dall’interfaccia utente dei Servizi del Responsabile del trattamento oppure è integrato in altro modo tra i Servizi del Responsabile del trattamento.
-
Per “Affiliata” si intende una società che, direttamente o indirettamente, controlla, è controllata o è sotto il controllo congiunto di una parte.
-
Per “Dati personali del cliente” si intendono i dati personali trattati da I/O Net per conto del Cliente per la fornitura, da parte di I/O Net, dei Servizi del responsabile del trattamento.
-
Per “Incidente relativo ai dati” si intende una violazione pertinente il sistema di sicurezza di I/O Net che ha condotto alla distruzione accidentale o dolosa, alla perdita, alterazione, divulgazione non autorizzata o all’accesso ai Dati personali del Cliente presenti nei sistemi gestiti da I/O Net o altrimenti controllati dalla stessa. Gli “Incidenti relativi ai dati” non includono le attività o i tentativi falliti di compromettere la sicurezza dei Dati personali del Cliente, tra cui i tentativi di accesso falliti, ping, port scan, attacchi DoS, e altri tipi di attacchi a firewall o sistemi di rete.
-
Per “Normativa sulla protezione dei dati” si intende, ove pertinente: (a) il GDPR (Regolamento generale sulla protezione dei dati) e/o (b) la legge federale sulla protezione dei dati del 19 giugno 1992 (Svizzera).
-
Per “Strumento dell’Interessato” si intende uno strumento messo a disposizione degli interessati da I/O Net per poter rispondere in modo diretto e standardizzato a determinate richieste provenienti dagli interessati, relative ai Dati personali del Cliente (per esempio, le impostazioni relative alle attività di marketing online o a un componente aggiuntivo del browser per la disattivazione).
-
Per “SEE” si intende lo Spazio Economico Europeo.
-
Per “GDPR” si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
-
Per “I/O Net ” si intende la Società I/O Net S.r.l. parte del Contratto.
-
Per “Subresponsabile affiliato di I/O Net ” si intende la figura descritta all’articolo 11.1 (Autorizzazione alla nomina di un Subresponsabile).
-
Per “Società I/O Net” si intende I/O Net S.r.l..
-
Per “Indirizzo email di notifica” si intende l’indirizzo email (se esistente) indicato dal Cliente, tramite l’interfaccia dei Servizi del Responsabile del trattamento o altri mezzi simili forniti da I/O Net, per la ricezione di determinate notifiche concernenti i presenti Termini contrattuali per il trattamento dei dati trasmesse da I/O Net.
-
Per “Servizi del Responsabile del trattamento” si intendono i servizi pertinenti elencati sul sito https://bookingdesigner.com/terms/ .
-
Per “Documentazione in materia di sicurezza” si intendono le certificazioni di sicurezza o la documentazione messa a disposizione da I/O Net in rapporto ai Servizi del Responsabile del trattamento.
-
Per “Misure di sicurezza” si intendono le misure definite dall’articolo 7.1.1 (Misure di sicurezza di I/O Net ).
-
Per “Subresponsabili” si intendono i terzi autorizzati, nell’ambito dei presenti Termini contrattuali per il trattamento dei dati, a eseguire l’accesso logico e al trattamento dei dati personali del Cliente al fine di fornire parte dei Servizi del Responsabile del trattamento e il relativo supporto tecnico.
-
Per “Termine” si intende il periodo compreso tra la Data di efficacia dei Termini contrattuali fino all’interruzione della fornitura da parte di I/O Net dei Servizi del Responsabile nell’ambito del Contratto.
-
Per “Data di efficacia dei termini contrattuali” si intende, ove pertinente:
(a) il 25 maggio 2018, qualora il Cliente abbia cliccato sull’opzione “accettare” o le parti abbiano acconsentito in altra sede ai presenti Termini contrattuali per il trattamento dei dati in tale data o precedentemente; oppure
(b) la data in cui il Cliente abbia cliccato sull’opzione “accettare” o le parti abbiano accettato in altra sede i presenti Termini contrattuali per il trattamento dei dati, qualora tale data sia successiva al 25 maggio 2018.
-
Per “Subresponsabile esterno” si intende la figura descritta dall’articolo 11.1 (Autorizzazione all’incarico di un Subresponsabile).
2.2
I termini “titolare del trattamento”, “interessato” (persona interessata), “dati personali”, “trattamento” e “responsabile del trattamento” e “autorità di vigilanza” utilizzati nei presenti Termini contrattuali per il trattamento dei dati possiedono il significato definito dal GDPR.
2.3
Le locuzioni introdotte dai termini “comprensivo”, “incluso” o espressioni simili hanno valore illustrativo e non intendono restringere il significato dei vocaboli antecedenti i suddetti termini. Gli esempi addotti nei presenti Termini contrattuali per il trattamento sono a mero titolo illustrativo e non intendono incarnare concetti specifici.
2.4
Qualsiasi riferimento a quadri giuridici, normative o altre disposizioni di legge include le relative modifiche e riemanazioni.
3. Durata dei presenti Termini contrattuali per il trattamento dei dati
I presenti Termini contrattuali per il trattamento dei dati entreranno in vigore a decorrere dalla Data di efficacia degli stessi e, indipendentemente dal Termine di scadenza, decadranno automaticamente e resteranno in vigore fino all’eliminazione di tutti i Dati personali del Cliente da parte di I/O Net, come descritto dai presenti Termini contrattuali per il trattamento dei dati.
4. Applicazione dei presenti Termini contrattuali per il trattamento dei dati
4.1 Applicazione della Normativa sulla protezione dei dati.
I presenti Termini contrattuali per il trattamento dei dati si applicheranno esclusivamente nella misura sancita dalla Normativa sulla protezione dei dati in materia di trattamento dei Dati personali del Cliente, anche se:
(a) il trattamento dei dati è realizzato nell’ambito delle attività di una sede del Cliente nello SEE; e/o
(b) i Dati personali del Cliente si riferiscono a titolari ubicati nello SEE e il trattamento implica l’offerta di beni o servizi, o il monitoraggio del loro comportamento nello SEE.
4.2 Applicazione dei Servizi del responsabile del trattamento.
I presenti Termini contrattuali per il trattamento dei dati si applicano esclusivamente ai Servizi forniti dal Responsabile del trattamento, convenuti dalle parti nell’ambito dei presenti termini contrattuali (per esempio: (a) i Servizi forniti dal Responsabile del trattamento selezionati dal Cliente al momento dell’accettazione dei presenti Termini contrattuali per il trattamento dei dati, oppure, (b) qualora il Contratto includa per riferimento i presenti Termini contrattuali per il trattamento dei dati, i Servizi forniti dal Responsabile del trattamento oggetto del Contratto).
5. Trattamento dei dati
5.1 Ruoli e Conformità normativa. Autorizzazioni.
5.1.1 Responsabilità del Titolare del trattamento e del Responsabile del trattamento.
Le parti prendono atto e accettano che:
(a) l’Allegato 1 descrive l’oggetto e i particolari relativi al trattamento dei Dati personali del Cliente;
(b) I/O Net è responsabile del trattamento dei Dati personali del Cliente ai sensi della Normativa sulla protezione dei dati;
(c) il Cliente è titolare o responsabile del trattamento, a seconda dei casi, dei Dati personali del Cliente ai sensi della Normativa sulla protezione dei dati; e
(d) ciascuna parte adempirà gli obblighi pertinenti ai sensi della Normativa sulla protezione dei dati in materia di trattamento dei Dati personali del Cliente.
5.1.2 Autorizzazione del Titolare del trattamento esterno.
Se il Cliente è responsabile del trattamento, garantisce a I/O Net che le proprie istruzioni e azioni con riguardo ai Dati personali del Cliente, incluso la nomina di I/O Net come responsabile del trattamento, sono state autorizzate dal titolare del trattamento.
5.2 Istruzioni del Cliente.
Con la stipula dei presenti Termini contrattuali per il trattamento dei dati, il Cliente mette I/O Net in condizione di trattare i Dati personali del Cliente in assoluta conformità alle leggi in vigore, cioè: (a) di fornire i Servizi del responsabile del trattamento e il relativo supporto tecnico, (b) come ulteriormente specificato in merito alla fruizione da parte del Cliente dei Servizi del responsabile del trattamento (incluse le impostazioni e altre funzionalità dei Servizi del responsabile del trattamento), e del relativo supporto tecnico; (c) come documentato nel modulo del Contratto, comprensivo dei presenti Termini contrattuali per il trattamento dei dati; e (d) come ulteriormente documentato in ogni altra istruzione scritta fornita dal Cliente e riconosciuta da I/O Net in quanto istruzioni costitutive ai fini dei presenti Termini contrattuali per il trattamento dei dati.
5.3 Adempimento delle istruzioni da parte di I/O Net.
I/O Net adempirà alle istruzioni riportate all’articolo 5.2 (Istruzioni del Cliente) (incluso per quanto riguarda il trasferimento dei dati) salvo chela legislazione dell’UE o di uno Stato membro dell’UE a cui I/O Net è vincolata, richieda un diverso trattamento dei Dati personali del Cliente da parte di I/O Net. In tal caso, I/O Net provvederà a informarne il Cliente (salvo chela legislazione impedisca a I/O Net di agire in tali termini per rilevanti motivi di interesse pubblico).
5.4 Prodotti aggiuntivi.
Se il Cliente utilizza dei Prodotti aggiuntivi, i Servizi del Responsabile del trattamento potrebbero consentire l’accesso di tali Prodotti aggiuntivi ai Dati personali del Cliente, secondo quanto richiesto ai fini dell’interazione tra i Prodotti Aggiuntivi e i Servizi del Responsabile del trattamento. Per maggiore chiarezza, i presenti Termini contrattuali per il trattamento dei dati non si applicano al trattamento dei dati personali correlati alla fornitura dei Prodotti Aggiuntivi utilizzati dal Cliente, inclusi i dati personali inviati o ricevuti dai Prodotti Aggiuntivi.
6. Eliminazione dei dati
6.1 Eliminazione durante il periodo di validità del contratto.
6.1.1 Servizi del Responsabile del trattamento provvisti della funzionalità di eliminazione.
Durante il periodo di validità del contratto, se:
(a) la funzionalità dei Servizi del Responsabile del trattamento comprende l’opzione per il Cliente di eliminare i Dati personali del Cliente;
(b) il Cliente utilizza i Servizi del Responsabile del trattamento per eliminare determinati Dati personali del Cliente; e
(c) i Dati personali del Cliente eliminati non possono essere recuperati dal Cliente (per esempio, dal “cestino”),
I/O Net eliminerà tali Dati personali del Cliente dai propri sistemi in tempi ragionevolmente brevi ed entro un periodo massimo di 180 giorni, salvo che la legislazione dell’UE o di uno degli Stati membri dell’UE ne richiedano la conservazione.
6.1.2 Servizi del Responsabile del trattamento sprovvisti della funzionalità di eliminazione.
Durante il periodo di validità del contratto, se la funzionalità dei Servizi del Responsabile del trattamento non comprende l’opzione per il Cliente di eliminare i Dati personali del Cliente, I/O Net si atterrà alle:
(a) richieste, purché ragionevoli, del Cliente per facilitare tale eliminazione, per quanto ciò sia possibile, tenuto conto della natura e della funzionalità dei Servizi del Responsabile del trattamento e sempre che le leggi dell’UE o di uno degli Stati membri dell’UE ne richiedano la conservazione.
I/O Net potrebbe addebitare una commissione (basata sulle spese ragionevolmente sostenute da I/O Net) per gli interventi di eliminazione dei dati di cui all’articolo 6.1.2(a). I/O Net fornirà ulteriori dettagli sulle commissioni applicabili e i criteri di calcolo delle stesse al Cliente, prima di ogni intervento di eliminazione.
6.2 Eliminazione alla scadenza del periodo di validità del contratto.
Alla scadenza del Periodo di validità del contratto, il Cliente richiede a I/O Net di eliminare tutti i Dati personali del Cliente (incluse le copie esistenti) dai sistemi di I/O Net, ai sensi delle leggi vigenti. I/O Net adempirà tale istruzione in tempi ragionevolmente brevi ed entro un periodo massimo di 180 giorni, salvo che le leggi dell’UE o di uno degli Stati membri dell’UE ne richiedano la conservazione.
7. Sicurezza dei dati
7.1 Misure di sicurezza di I/O Net e Assistenza.
7.1.1 Misure di sicurezza di I/O Net.
I/O Net attuerà e manterrà misure tecniche e organizzative per prevenire la distruzione, accidentale o dolosa, la perdita, l’alterazione, la divulgazione e l’accesso non autorizzato ai Dati personali del Cliente, come descritto nell’Allegato 2 (le “Misure di sicurezza”). Come descritto nell’Allegato 2, le Misure di sicurezza includono misure che: (a) portano alla crittografia dei dati personali; (b) contribuiscono al mantenimento della riservatezza, integrità, disponibilità e capacità di recupero su base continua dei sistemi e servizi di I/O Net; (c) contribuiscono al ripristino tempestivo dell’accesso ai dati personali in seguito a un incidente; e (d) sono volte all’esecuzione di test di efficienza regolari. I/O Net potrà di volta in volta aggiornare o modificare le Misure di sicurezza, sempre che tali interventi di aggiornamento o modifica non comportino un deterioramento della sicurezza generale dei Servizi del Responsabile del trattamento.
7.1.2 Adempimento della sicurezza da parte del Personale di I/O Net.
I/O Net adotterà provvedimenti conformi a garantire l’adempimento delle Misure di sicurezza da parte dei propri dipendenti, appaltatori e Sub-responsabili in base alla portata delle proprie prestazioni, garantendo inoltre che tutte le persone autorizzate al trattamento dei dati personali del Cliente si siano obbligate alla riservatezza ai sensi di un congruo obbligo normativo.
7.1.3 Assistenza di I/O Net in materia di sicurezza.
Il Cliente conviene che I/O Net (tenendo conto della natura del trattamento dei Dati personali del Cliente e delle informazioni a cui I/O Net ha accesso) fornirà assistenza al Cliente e garantirà l’adempimento degli obblighi del Cliente relativamente alla sicurezza dei dati personali e violazione degli stessi, inclusi (qualora applicabili) gli obblighi del Cliente ai sensi degli articoli 32, 33 e 34 del GDPR:
(a) tramite l’attuazione e il mantenimento delle Misure di sicurezza di cui all’articolo 7.1.1 (Misure di sicurezza di I/O Net);
(b) tramite l’adempimento dei termini di cui all’articolo 7.2 (Incidenti relativi ai dati); e
(c) tramite la fornitura al Cliente della Documentazione in materia di sicurezza di cui all’articolo 7.5.1 (Valutazioni della documentazione in materia di sicurezza) e le informazioni contenute nei presenti Termini contrattuali di trattamento dei dati.
7.2 Incidenti relativi ai dati.
7.2.1 Notifica dell’Incidente.
Se I/O Net viene a conoscenza di un Incidente relativo ai dati: (a) ne trasmetterà tempestiva comunicazione al Cliente; e (b) adotterà tempestivamente i provvedimenti necessari a minimizzare i danni e a salvaguardare i Dati personali del Cliente.
7.2.2 Dettagli dell’Incidente relativo ai dati.
Le notifiche di cui all’articolo 7.2.1 (Notifica dell’Incidente) descriveranno, nei limiti del possibile, i dettagli dell’Incidente relativo ai dati, inclusi i provvedimenti adottati per mitigare i rischi potenziali e i provvedimenti consigliati da I/O Net al Cliente per far fronte all’Incidente relativo ai dati.
7.2.3 Metodo di notifica.
I/O Net farà pervenire la notifica dell’Incidente relativo ai dati all’Indirizzo email di notifica o, a discrezione di I/O Net (anche qualora il Cliente non abbia fornito un Indirizzo email di notifica) per mezzo di altra comunicazione diretta (per esempio, tramite chiamata telefonica o incontro dn persona). Il Cliente è il solo responsabile della fornitura di un Indirizzo email di notifica valido.
7.2.4 Notifiche a terzi.
Il Cliente è responsabile per la sola osservanza delle leggi applicabili allo stesso sulla notifica degli incidenti e per l'adempimento degli obblighi di notifica a terzi concernente l’Incidente relativo ai dati.
7.2.5 Riconoscimento di colpa da parte di I/O Net.
La notifica o la risposta di I/O Net che concerne un Incidente relativo ai dati ai sensi del presente articolo 7.2 (Incidenti relativi ai dati) non dovranno interpretarsi come un riconoscimento di colpa o responsabilità da parte di I/O Net rispetto all’Incidente relativo ai dati.
7.3 Responsabilità e valutazione del Cliente in materia di sicurezza.
7.3.1 Responsabilità del Cliente in materia di sicurezza.
Il Cliente conviene che, fermi restando gli obblighi di I/O Net di cui all’articolo 7.1 (Misure di sicurezza di I/O Net e Assistenza) e 7.2 (Incidenti relativi ai dati):
(a) il Cliente è responsabile solamente dell’uso dei Servizi del Responsabile del trattamento, incluso di:
(i) un uso adeguato dei Servizi del Responsabile del trattamento per garantire un livello di sicurezza proporzionato al rischio legato ai Dati personali del Cliente; e
(ii) salvaguardare le credenziali di autenticazione dell'account, sistemi e dispositivi utilizzati dal Cliente per accedere ai Servizi del Responsabile del trattamento; e
(b) I/O Net non ha l’obbligo di tutelare i Dati personali del Cliente che quest'ultimo decida di trasferire all’infuori di I/O Net o dei sistemi dei suoi Sub-responsabili.
7.3.2 Valutazione della sicurezza da parte del Cliente.
Il Cliente riconosce e acconsente che (tenuto conto delle tecnologie d’avanguardia, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto e del fine del trattamento dei Dati personali del Cliente, nonché dei rischi per le persone fisiche) le Misure di sicurezza attuate e mantenute da I/O Net secondo quanto disposto dall’articolo 7.1.1 (Misure di sicurezza di I/O Net) forniscono un livello di sicurezza proporzionato al rischio legato ai Dati personali del Cliente.
7.4 Certificazione in materia di Sicurezza.
Per valutare e contribuire a garantire l’efficacia ininterrotta delle Misure di sicurezza, I/O Net manterrà valida la Certificazione ISO 27001.
7.5 Revisione e Audit di conformità.
7.5.1 Revisione della documentazione in materia di sicurezza.
Al fine di provare l’adempimento degli obblighi di cui ai presenti Termini contrattuali di trattamento dei dati, I/O Net metterà a disposizione del Cliente, per sua revisione, la Documentazione in materia di sicurezza.
7.5.2 Diritti del Cliente all’audit.
(a) I/O Net consentirà al Cliente o a un revisore esterno nominato dal Cliente di condurre le procedure di audit (comprensivo di ispezioni) atte a verificare l’adempimento da parte di I/O Net degli obblighi di cui ai presenti Termini per il trattamento dei dati ai sensi dell’articolo 7.5.3 (Termini di contratto aggiuntivi in materia di audit). I/O Net contribuirà all’esecuzione degli audit come descritto dall’articolo 7.4 (Certificazione in materia di sicurezza) e dal presente articolo 7.5 (Valutazioni e Audit di conformità).
(b) Il Cliente potrà condurre inoltre un audit atto a verificare l’adempimento da parte di I/O Net degli obblighi di cui ai presenti Termini per il trattamento dei dati per mezzo della valutazione del certificato emesso ai fini della Certificazione ISO 27001 (il quale rispecchia l’esito di un audit condotto da un revisore esterno).
7.5.3 Termini di contratto aggiuntivi in materia di audit.
(a) Il Cliente farà pervenire qualsiasi richiesta di audit di cui all’articolo 7.5.2(a) a I/O Net come descritto dall’articolo 12.1 (Contattare I/O Net ).
(b) In seguito al ricevimento da parte di I/O Net della richiesta di cui all’articolo 7.5.3(a), I/O Net e il Cliente converranno in anticipo, una reagionevole data di inizio, la portata, la durata e le verifiche applicabili in materia di sicurezza e riservatezza deglii audit di cui all’articolo 7.5.2
(c) I/O Net potrebbe addebitare una somma (calcolata in base alle spese ragionevolmente sostenute da I/O Net ) per gli audit di cui all’articolo 7.5.2(a). I/O Net fornirà al Cliente ulteriori dettagli concernenti tale somma e i parametri di calcolo della stessa, prima della realizzazione degli audit. Il Cliente dovrà farsi carico delle spese comportate dai revisori esterni nominati dal Cliente per l’esecuzione di tali audit.
(d) I/O Net potrà sollevare obiezioni riguardo qualsiasi revisore nominato dal Cliente per condurre l’audit ai sensi dell’articolo 7.5.2(a) qualora il revisore non possieda, sulla base di ragioni plausibili addotte da I/O Net, le adeguate qualifiche o indipendenza, sia un concorrente di I/O Net o sia palesemente inadatto per altri motivi. Qualora I/O Net sollevi una di tali obiezioni, il Cliente dovrà nominare un altro revisore o condurre l’audit per proprio conto.
(e) Nulla di quanto disposto dai presenti Termini contrattuali di trattamento dei dati presuppone il consenso di I/O Net alla divulgazione al Cliente o al revisore esterno, nonché l’accesso del Cliente o del revisore esterno a:
(i) dati di clienti della I/O Net;
(ii) dati interni contabili o finanziari della I/O Net;
(iii) segreti commerciali della I/O Net;
(iv) informazioni che, sulla base di ragioni plausibili della I/O Net, potrebbero: (A) compromettere la sicurezza di sistemi o uffici della I/O Net ; o (B) comportare la violazione degli obblighi della I/O Net di cui alla Normativa sulla protezione dei dati o degli obblighi di queste in materia di sicurezza e/o riservatezza nei confronti del Cliente o di terzi; oppure
(v) informazioni a cui il Cliente o il revisore esterno da questi nominato cerchino di accedere per ragioni estranee al dovere di buona fede nell’adempimento degli obblighi del Cliente di cui alla Normativa sulla protezione dei dati.
8. Valutazione dell’impatto e Consulenze
Il Cliente acconsente a che I/O Net (considerata la natura del trattamento e delle informazioni a sua disposizione) lo assista al fine di garantire l’adempimento degli obblighi dello stesso con riguardo alla valutazione dell’impatto della protezione dei dati e della consulenza preliminare, includendo(se applicabili) gli obblighi del Cliente ai sensi degli Articoli 35 e 36 del GDPR tramite la fornitura:
(a) della Documentazione in materia di sicurezza di cui all’articolo 7.5.1 (Revisione della documentazione in materia di sicurezza);
(b) delle informazioni contenute nei presenti Termini contrattuali di trattamento dei dati; e
(c) lo la diversa messa a disposizione, secondo le procedure standard di I/O Net , di altri materiali attinenti alla natura dei Servizi del Responsabile del trattamento e al trattamento dei Dati personali del Cliente (per esempio, materiali del centro di assistenza).
9. Diritti dell’Interessato
9.1 Risposte alle richieste dell’Interessato.
Nel caso in cui I/O Net riceva una richiesta da parte di un interessato relativamente ai dati personali del Cliente:
(a) se la richiesta è stata elaborata mediante uno Strumento dell’Interessato, risponderà direttamente alla suddetta richiesta, secondo la funzionalità standard di tale Strumento dell’Interessato; oppure
(b) se la richiesta non è stata elaborata mediante uno Strumento dell’Interessato, indicherà all’interessato di inoltrare la propria richiesta al Cliente, il quale sarà incaricato di evadere tale richiesta.
9.2 Richiesta di assistenza dell’Interessato a I/O Net.
Il Cliente acconsente a che I/O Net (tenuto conto della natura del trattamento dei Dati personali del Cliente e, se pertinente, dell’Articolo 11 del GDPR) lo assista al fine di garantire l’adempimento degli obblighi dello stesso per quanto riguarda la risposta alle richieste elaborate dall’interessato, incluso (se applicabile) l’obbligo del Cliente di evadere le richieste in applicazione dei diritti dell’interessato stabiliti nel capitolo III del GDPR tramite:
(a) la fornitura della funzionalità dei Servizi del Responsabile del trattamento;
(b) l’adempimento degli impegni fissati dall’articolo 9.1 (Risposte alle richieste dell’Interessato); e
(c) se applicabile ai Servizi del Responsabile del trattamento, la messa a disposizione degli Strumenti dell’Interessato.
10. Trasferimento dei dati
10.1 Archiviazione dei dati e Sedi del trattamento.
Il Cliente acconsente che I/O Net possa archiviare o trattare i dati personali del Cliente nei Paesi in cui I/O Net o i suoi Sub-responsabili del trattamento possiedono delle sedi e comunque all'interno dello SEE.
10.2 Informazioni relative al data center.
I/O Net utilizza data center certificati ISO/IEC 27001:2013 e PCI DSS ubicati nello SEE (vedi https://www.digitalocean.com FRANCOFORTE).
11. Sub-responsabili del trattamento
11.1 Consenso all'incarico di Sub-responsabili del trattamento.
Il Cliente autorizza espressamente l'incarico delle Affiliate di I/O Net in qualità di Sub-responsabili del trattamento (“Sub-responsabili del trattamento affiliate di I/O Net”). Inoltre, il Cliente autorizzerà il generale incarico di terzi in qualità di Sub-responsabili del trattamento (“Subresponsabili esterni del trattamento”).
11.2 Requisiti per l’incarico dei Sub-responsabili del trattamento.
Qualora incarichi un Sub-responsabile del trattamento, I/O Net :
(a) garantirà tramite contratto scritto:
(i) l’accesso e uso da parte del Sub-responsabile del trattamento dei dati personali del Cliente esclusivamente nella misura necessaria a soddisfare gli obblighi riaffidati allo stesso, conformemente al Contratto (comprensivo dei presenti Termini contrattuali per il trattamento dei dati) e al Privacy Shield; e
(ii) qualora il GDPR sia applicabile al trattamento dei dati personali del Cliente, che gli obblighi in materia di protezione dei dati ai sensi dell’Articolo 28(3) del GDPR vengano imposti al Sub-responsabile del trattamento; e
(b) assumerà la piena responsabilità rispetto ad atti, omissioni e obblighi affidati al Sub-responsabile del trattamento.
11.3 Facoltà di reagire ai cambiamenti di Sub-responsabile del trattamento.
(a) Quando viene incaricato un nuovo Sub-responsabile del trattamento esterno durante il periodo di validità del contratto, I/O Net ne informerà il Cliente almeno 30 giorni prima che il nuovo Sub-responsabile esterno del trattamento tratti i Dati personali del Cliente (notificando anche il nome e la sede del sub-responsabile del trattamento rilevante e le attività da questi svolte) tramite l’invio di un’email all’Indirizzo email di notifica.
(b) Il Cliente potrà reagire all’incarico di un nuovo Sub-responsabile del trattamento esterno recedendo dal contratto con effetto immediato, tramite notifica scritta a I/O Net. Il diritto del Cliente di recedere dal contratto costituisce l’unico rimedio a sua disposizione in caso di disapprovazione di un nuovo Sub-responsabile esterno del trattamento .
12. Contattare I/O Net - Registri dei dati trattati
12.1 Contattare I/O Net.
Il Cliente potrà contattare I/O Net in merito all’esercizio dei propri diritti ai sensi dei presenti Termini contrattuali di trattamento dei dati, avvalendosi dei metodi descritti alla pagina https://bookingdesigner.com/terms/ o dei mezzi forniti da I/O Net di volta in volta.
12.2 Registri dei dati trattati tenuti da I/O Net.
Il Cliente riconosce che, ai sensi del GDPR, I/O Net è obbligata a: (a) predisporre un registro di determinati dati, tra cui nomi e informazioni di contatto di ogni responsabile e/o titolare del trattamento, per conto del quale agisce e (se rilevante) dei rappresentanti locali e responsabili della protezione dei dati di tali responsabili e/o titolari del trattamento; e (b) mettere tali informazioni a disposizione delle autorità di vigilanza. Di conseguenza, il Cliente fornirà, laddove gliene venga fatta richiesta e sia applicabile , tali informazioni a I/O Net tramite l’interfaccia utente dei Servizi del responsabile del trattamento o attraverso altri mezzi forniti da I/O Net, e utilizzando quest'ultimi per garantire che tutte le informazioni fornite siano accurate e aggiornate.
13. Responsabilità
L'Autorità Giudiziaria italiana sarà giurisdizionalmente competente, in via esclusiva, a risolvere e decidere ogni e qualsiasi controversia relativa all'interpretazione e/o esecuzione e/o applicazione del Contratto, salvo il caso in cui il Cliente abbia agito e concluso il Contratto in qualità di Consumatore per scopi estranei all'attività imprenditoriale o professionale svolta; in tale ipotesi la competenza giurisdizionale sarà dell'Autorità Giudiziaria dello Stato ove era domiciliato il Consumatore al momento della conclusione del Contratto salvo il caso che lo stesso Consumatore preferisca rivolgersi all'Autorità Giudiziaria italiana.
14. Efficacia dei presenti Termini contrattuali per il trattamento dei dati
In caso di conflitto o incongruenza tra i termini del presente documento e quelli del Contratto, prevarranno i presenti Termini contrattuali per il trattamento dei dati. Il Contratto, passibile di successive modifiche ai presenti Termini contrattuali per il trattamento dei dati, rimarrà pienamente valido ed efficace.
15. Modifiche ai presenti Termini contrattuali di trattamento dei dati
15.1 Modifiche degli URL.
I/O Net si riserva di modificare di volta in volta gli URL riportati nei presenti Termini contrattuali per il trattamento dei dati, così come il contenuto di tali URL. I/O Net può modificare solo l’elenco dei Servizi potenziali forniti dal Responsabile del trattamento sul sito https://bookingdesigner.com unicamente per:
(a) riportare una modifica al nome di un servizio;
(b) aggiungere un nuovo servizio; oppure
(c) rimuovere un servizio laddove: (i) sia sopraggiunta la risoluzione di tutti i contratti per la fornitura del suddetto servizio; oppure (ii) I/O Net disponga del consenso del Cliente.
15.2 Modifiche ai presenti Termini contrattuali per il trattamento dei dati.
I/O Net potrà modificare i presenti Termini contrattuali per il trattamento dei dati:
(a) se espressamente consentito dai presenti Termini contrattuali per il trattamento dei dati, e così come descritto dall’articolo 15.1 (Modifiche agli URL);
(b) per riportare una modifica nel nome o nella forma di un’entità giuridica;
(c) se necessario ai fini dell’adempimento di leggi e regolamenti in vigore, ordinanze del tribunale o direttive emesse da organismi di vigilanza o agenzie governative; oppure
(d) qualora non: (i) determini una diminuzione della sicurezza complessiva dei Servizi del Responsabile del trattamento; (ii) ampli l’ambito di applicazione o elimini le limitazioni di I/O Net in materia di trattamento dei Dati personali del Cliente, come descritto dall’articolo 5.3 (Adempimento delle istruzioni da parte di I/O Net ); oppure (iii) si ripercuota in maniera sfavorevole sui diritti del Cliente di cui ai presenti Termini contrattuali per il trattamento dei dati, come ragionevolmente valutato da I/O Net .
15.3 Notifica delle modifiche.
Qualora I/O Net intenda modificare i presenti Termini contrattuali per il trattamento dei dati ai sensi dell’articolo 15.2(c) o (d), ne informerà il Cliente con un preavviso di almeno 30 giorni (o inferiore, se così prescritto in adempimento delle leggi e regolamenti in vigore, di ordinanze del tribunale o direttive emesse da organismi di vigilanza o agenzie governative) rispetto all’entrata in vigore della modifica, a mezzo di: (a) email inviata all’Indirizzo email di notifica; o (b) avviso fatto pervenire al Cliente tramite l’interfaccia utente dei Servizi del Responsabile del trattamento. Qualora il Cliente si opponga alle suddette modifiche, potrà terminare il Contratto trasmettendone comunicazione scritta a I/O Net entro 90 giorni a decorrere dalla notifica della modifica da parte di I/O Net.
Allegato 1: Oggetto e Particolari del trattamento di dati
Oggetto
La prestazione, da parte di I/O Net, dei Servizi del Responsabile del trattamento e della inerente assistenza tecnica al Cliente.
Durata del Trattamento di dati
Il Periodo di validità, oltre al periodo compreso dalla scadenza del Periodo di validità fino all’eliminazione di tutti i Dati personali del Cliente da parte di I/O Net, ai sensi dei presenti Termini contrattuali di trattamento dei dati.
Natura e finalità del Trattamento di dati
I/O Net tratterà (includendo, se applicabile ai Servizi del responsabile del trattamento e alle istruzioni descritte dall’articolo 5.2 (Istruzioni del Cliente), la raccolta, la registrazione, l’ organizzazione, la struttura, l’archivio, le modifiche, il recupero, l’uso, la divulgazione, le combinazioni, la cancellazioni e la distruzione) i Dati personali del Cliente al fine di fornire i Servizi del Responsabile del trattamento e la relativa assistenza tecnica al Cliente ai sensi dei presenti Termini contrattuali per il trattamento dei dati.
Tipologie di Dati personali
I Dati personali del Cliente possono includere le tipologie di dati personali descritte alla pagina https://bookingdesigner.com/privacy/ .
Categorie di Interessati
I Dati personali del Cliente possono riferirsi alle seguenti categorie di interessati:
di cui I/O Net raccoglie i dati personali nella fornitura dei Servizi del Responsabile del trattamento;
i cui dati personali vengono trasferiti a I/O Net dal Cliente, dietro sue istruzioni o per suo conto, in relazione ai Servizi del Responsabile del trattamento.
A seconda della natura dei Servizi del Responsabile del trattamento, gli interessati potrebbero essere degli individui: (a) a cui viene o sarà rivolto l'utilizzo dei moduli di prenotazione online e/o contatto di Sguario; (b) che hanno visitato siti web o applicazioni specifiche in rapporto a cui I/O Net presta i Servizi del Responsabile del trattamento; e/o (c) sono clienti o utenti dei prodotti o dei servizi del Cliente.
Allegato 2: Misure di sicurezza
A partire dalla Data di efficacia dei Termini contrattuali, I/O Net attuerà e manterrà le Misure di sicurezza fissate nel presente Allegato 2. I/O Net potrà di volta in volta aggiornare o modificare tali Misure di sicurezza, sempre che tali interventi di aggiornamento o modifica non comportino un deterioramento della sicurezza generale dei Servizi del Responsabile del trattamento.
1. Data center e Sicurezza della rete
(a) Centri elaborazione dati.
Infrastruttura.
I/O Net utilizza centri elaborazione dati distribuiti in diverse aree geografiche del SEE. I/O Net archivia i dati in data center sicuri e certificati.
Ridondanza.
L’infrastruttura IT è stata concepita per eliminare i singoli punti di vulnerabilità e minimizzare l’impatto dei rischi ambientali prevedibili. Circuiti doppi, commutatori, reti o altri dispositivi necessari contribuiscono alla realizzazione della ridondanza. I Servizi del Responsabile del trattamento sono concepiti per consentire a I/O Net di attuare determinate tipologie di manutenzione preventiva e correttiva su base continua. Tutte le attrezzature ambientali e sedi hanno attestato le procedure di manutenzione preventiva che descrivono il processo e la frequenza di performance in base alle specifiche interne o del produttore. La manutenzione preventiva e correttiva delle attrezzature dei centri elaborazione dati è programmata per mezzo di un procedimento standard conforme alle procedure attestate.
Sistemi di alimentazione.
I sistemi elettrici del data centre sono concepiti per essere ridondanti e sostenibili senza avere impatto sulla continua operatività , 24 ore al giorno, sette giorni su sette. Nella maggior parte dei casi, una fonte di energia primaria e una fonte di energia alternativa, entrambe con pari capacità, vengono fornite per i settori sensibili delle infrastrutture dei centri elaborazione dati. Una fonte di alimentazione di riserva è fornita da vari meccanismi, quali i gruppi statici di continuità (UPS), che forniscono una protezione energetica altamente affidabile durante gli sbalzi di tensione della rete, blackout, sovratensione, sottotensione e condizioni di frequenza fuori dai parametri di tolleranza. Se la fornitura di energia elettrica viene interrotta, l’energia di riserva è concepita per fornire un’alimentazione transitoria al data centre , al pieno della capacità, per un massimo di 10 minuti, finché non viene rilevata dai sistemi di generazione diesel. I generatori diesel sono in grado di avviarsi automaticamente in pochi secondi per fornire una quantità di energia elettrica di emergenza sufficiente a far funzionare il centro elaborazione dati al pieno delle proprie capacità, generalmente per una durata di giorni.
Sistemi operativi del server.
I server di I/O Net utilizzano sistemi operativi sottoposti a stress-test e adattati alle esclusive esigenze delle attività del server. I dati vengono archiviati utilizzando algoritmi proprietari al fine di accrescere la sicurezza e la ridondanza. I/O Net impiega un procedimento di revisione del codice per aumentare la sicurezza del codice fornito ai Servizi del Responsabile del trattamento e potenziare i prodotti di sicurezza negli ambienti di produzione..
Continuità operativa.
I/O Net riproduce i dati su molteplici sistemi per favorire la protezione contro le perdite o la distruzione accidentali. I/O Net ha concepito i propri programmi di pianificazione del disaster recovery/continuità operativa e li controlla e testa regolarmente.
(b) Network e Trasmissione.
Trasmissione dei dati.
I centri di elaborazione dati sono generalmente connessi tramite collegamenti privati ad alta velocità in grado di fornire il trasferimento rapido e sicuro dei dati tra i centri di elaborazione. Tale trasmissione è stata concepita per prevenire la lettura, copia, alterazione o estrazione dei dati senza autorizzazione durante il trasferimento elettronico o il trasporto, ovvero la copia su supporti di memorizzazione dei dati. I/O Net trasferisce i dati impiegando protocolli di rete standardizzati.
Superficie di attacco esterna.
I/O Net impiega dispositivi di rete e di rilevamento delle intrusioni a vari livelli per proteggere la propria superficie di attacco esterna. I/O Net prevede i potenziali vettori di attacco e integra tecnologie progettate a tal fine nei sistemi rivolti verso l’esterno.
Rilevamento delle intrusioni.
Il rilevamento delle intrusioni mira a fornire una panoramica delle attività di attacco in corso e le informazioni adeguate per poter reagire agli incidenti. Il sistema di rilevamento delle intrusioni di I/O Net prevede:
1. il controllo minuzioso delle dimensioni e del camuffamento della superficie di attacco di I/O Net attraverso misure preventive;
2. l’impiego di comandi di rilevamento intelligenti nei punti d’ingresso dei dati; e
3. l’impiego di tecnologie in grado di rimediare automaticamente a determinate situazioni di pericolo.
Risposta all’incidente.
I/O Net monitora una varietà di canali di comunicazione per gli incidenti che intaccano la sicurezza, e il personale addetto alla sicurezza di I/O Net reagisce tempestivamente agli incidenti di cui viene a conoscenza.
Tecnologie di crittografia.
I/O Net mette a disposizione la crittografia del protocollo HTTPS (noto anche come connessione SSL o TLS). I server di I/O Net supportano lo scambio di chiave Diffie Hellman su curve ellittiche firmato RSA ed ECDSA. Tali metodi di Perfect Forward Secrecy (PFS) contribuiscono a proteggere il traffico di dati e minimizzano l’impatto di una chiave compromessa o di una penetrazione crittografica.
2. Dati
(a) Memorizzazione di dati, isolamento e autenticazione.
I/O Net archivia i dati in un ambiente multipiattaforma all’interno dei propri server. I dati, le basi di dati dei Servizi del Responsabile del trattamento e l’architettura dei file di sistema vengono replicati tra centri elaborazione dati sparpagliati in diverse aree geografiche. I/O Net isola logicamente tutti i dati del cliente. Un sistema di autenticazione centrale viene usato per tutti i Servizi del Responsabile del trattamento per ottenere una maggiore uniformità nella sicurezza dei dati.
3. Sicurezza del personale
I/O Net richiede al proprio personale di adottare una condotta coerente con le linee guida dell'azienda in materia di riservatezza, etica commerciale, uso adeguato e standard professionali. I/O Net conduce un controllo esaustivo delle referenze nella misura consentita dalla legge e ai sensi delle leggi e dei regolamenti locali sul lavoro.
I/O Net richiede al personale di attenersi a un accordo di riservatezza della cui ricezione e conformità alla Politica sulla privacy e la riservatezza di I/O Net deve dare atto. Il personale riceve una formazione in materia di sicurezza. Il personale incaricato della gestione dei Dati personali del cliente deve soddisfare delle esigenze aggiuntive inerenti al proprio ruolo. Il personale di I/O Net non tratterà i Dati personali del cliente senza autorizzazione.
4. Sicurezza del Sub-responsabile del trattamento
Prima di arruolare i Sub-responsabili del trattamento, I/O Net conduce un audit relativo alle pratiche di sicurezza e di riservatezza adottate dai Sub-responsabili del trattamento, per garantire che questi forniscano un livello di sicurezza e riservatezza consono all’accesso ai dati e alla portata dei servizi per cui vengono incaricato. Dopo che I/O Net ha valutato i rischi presentati dal Sub-responsabile del trattamento, ai sensi dei requisiti prescritti dall’articolo 11.3 (Requisiti per l’incarico del Sub-responsabile del trattamento), il Sub-responsabile del trattamento dovrà sottoscrivere i termini contrattuali per l’idoneità della sicurezza, della riservatezza e della privacy.
Termini contrattuali per il trattamento dei dati nella piattaforma Sguario di I/O Net , versione 1
17 maggio 2018