DATA PROCESSING AGREEMENT (servizio host analytics)
Art. 28 Reg. UE 2016/679
Il presente Data Processing Agreement (DPA) costituisce parte integrante del contratto in base al quale la società Host S.p.a. (in seguito “Mandatario”) fornisce al Cliente (in seguito “Mandante”) il servizio di Host Analytics.
PREMESSE
  • Il Mandante ha affidato al Mandatario un incarico per la gestione dei dati di Analytics su uno o più siti web di sua titolarità o da lui gestiti (in seguito “Siti Web”), sulla base di un contratto di fornitura di servizi (in seguito “Contratto Principale”);
  • tale incarico comporta il trattamento da parte del Mandatario per conto del Mandante di alcuni dati personali degli utenti dei Siti Web;
  • con riferimento a questi trattamenti di dati personali, il Mandatario assume il ruolo di responsabile del trattamento (o sub-responsabile se il Mandante è a sua volta un responsabile del trattamento), secondo le definizioni di cui all’art. 4 Reg. UE 2016/679 (GDPR);
  • ai sensi dell’art. 28, par. 3, Reg. UE 2016/679 è richiesta alle parti la conclusione di un contratto che vincoli il responsabile del trattamento al titolare del trattamento (oppure il sub-responsabile al responsabile del trattamento) e che disciplini la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Dato atto che le premesse costituiscono parte integrante del presente contratto, le Parti stipulano le seguenti
CONDIZIONI CONTRATTUALI
  1. Oggetto
    Con la stipula del presente contratto, il Mandante designa il Mandatario, che accetta, quale responsabile (o sub-responsabile) del trattamento, secondo la definizione di cui all’articolo 4 Reg. UE 2016/679, con riferimento alle operazioni di trattamento dei dati personali di seguito determinate. Questo ruolo non comporta il diritto a compensi aggiuntivi rispetto a quelli oggetto del Contratto Principale.
  2. Operazioni di trattamento oggetto del contratto
    Il Mandatario potrà trattare per conto del Mandante alcuni dati personali degli utenti dei Siti Web nello svolgimento delle seguenti operazioni ed in tutte quelle necessarie alla fornitura del servizio contrattualizzato:
    - raccolta dei dati di Analytics dei Siti Web;
    - anonimizzazione dei dati di Analytics;
    - trasferimento dei dati anonimizzati verso il fornitore del servizio di Analytics;
    - archiviazione dei dati anonimizzati su un proprio datacenter.
    Le operazioni che il Mandatario potrà porre in essere sui dati possono variare in base al tipo di servizio acquistato dal Mandante e dalle istruzioni da quest’ultimo fornite.
  3. I dati oggetto di trattamento ed i soggetti interessati
    Il Mandatario tratterà per conto del Mandante i dati personali degli utenti dei Siti Web necessari alla fornitura del servizio di cui al Contratto Principale.
    In particolare, il Mandatario potrà trattare i seguenti dati degli utenti: identificatori online unici che consentono sia l’identificazione del browser o del dispositivo dell’utente che visita il sito web, sia del gestore stesso del sito (attraverso l’ID account Google); indirizzo, nome del sito web e dati di navigazione; indirizzo IP del dispositivo utilizzato dall’utente; informazioni relative al browser, al sistema operativo, alla risoluzione dello schermo, alla lingua selezionata, nonché a data e ora della visita al sito web.
  4. Finalità del trattamento
    I dati personali sopra menzionati vengono trattati dal Mandatario al fine di fornire al Mandante il servizio descritto nel Contratto Principale.
  5. ISTRUZIONI Al trattamento
    Il Mandante potrà fornire al Mandatario istruzioni specifiche su come i dati dovranno essere trattati, scegliendo fra le diverse impostazioni del servizio che gli vengono messe a disposizione. A titolo esemplificativo, il Mandante potrà: scegliere se attivare i Personalized Ads oppure mantenerli disattivati; scegliere se attivare la modalità “solo proxy”, evitando così l’archiviazione da parte del Mandatario dei dati anonimizzati.
  6. Obblighi e responsabilità del Mandante
    Il Mandante, se titolare del trattamento, si impegna a fornire agli interessati una corretta informativa sul trattamento dei loro dati personali, conformemente a quanto previsto dall’art. 13 Reg. UE 2016/679 e ad individuare finalità, criteri di liceità e basi giuridiche di ogni trattamento.
    Se responsabile del trattamento, il Mandante garantisce di aver ottenuto dal titolare del trattamento l’autorizzazione alla nomina del Mandatario come sub-responsabile del trattamento.
    Il Mandante garantisce che i dati personali oggetto delle operazioni di trattamento affidate al Mandatario siano raccolti e trasmessi rispettando ogni prescrizione delle normative applicabili.
    Resta in capo al titolare del trattamento e non viene trasferita al Mandatario la responsabilità in ordine alla valutazione della liceità del trattamento oggetto dei servizi contrattualizzati. Il Mandante non potrà conseguentemente rivalersi sul Mandatario in caso di sanzioni o danni subiti a causa dell’illiceità del trattamento di dati personali o dell’insufficienza delle misure di sicurezza adottate.
  7. Obblighi del Mandatario
    Nel trattare i dati personali oggetto del presente contratto, il Mandatario si obbliga a:
    • rispettare le istruzioni fornite e documentate per iscritto dal Mandante, purché coerenti con quanto disposto dal Reg. UE 2016/679;
    • limitare i trattamenti a quelli necessari per le finalità sopra menzionate;
    • garantire riservatezza, integrità e disponibilità dei dati personali trattati;
    • designare i dipendenti autorizzati a trattare i dati personali, garantire che questi mantengano su di essi la massima riservatezza e che vengano debitamente istruiti e formati in materia di protezione dei dati personali;
    • adottare misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali, conformemente all’art. 32 Reg. UE 2016/679, in particolare tutelandoli dalla distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale;
    • assistere il Mandante nel dar seguito alle richieste dei soggetti interessati relative al trattamento dei loro dati personali conformemente al Capo III del Reg. UE 2016/679 e comunicare immediatamente al Mandante eventuali richieste di esercizio dei diritti sui dati personali trattati in virtù del presente contratto;
    • assistere il Mandante al rispetto degli obblighi di cui agli articoli 33 e 34 Reg. UE 2016/679 in caso di Data Breach;
    • assistere il Mandante al rispetto degli obblighi di cui agli articoli 35 e 36 Reg. UE 2016/679 nel predisporre un Data Protection Impact Assessment;
    • mettere a disposizione del Mandante tutte le informazioni necessarie a dimostrare il rispetto degli obblighi derivanti dal presente contratto e dal Reg. UE 2016/679, anche consentendo al Mandante di svolgere ispezioni e controlli;
    • informare il Mandante nel caso in cui ritenga che un’istruzione impartitagli ai fini dell’esecuzione del presente contratto non sia conforme alle norme del Reg. UE 2016/679 o alle norme nazionali in materia di trattamento dei dati personali;
    • non trasferire i dati in Paesi non appartenenti all’Unione Europea al di fuori dei casi previsti sulla base delle istruzioni fornite dal Mandante con l’acquisto e la configurazione del servizio contrattualizzato;
    • comunicare immediatamente al Mandante ogni Data Breach che coinvolga i dati trattati in virtù del presente contratto e fornire tutte le informazioni e la documentazione necessaria affinché il Mandante possa, ove necessario, notificare il Data Breach all’Autorità Garante.
  8. Nomina di sub-responsabili e comunicazione a terzi
    Il Mandatario viene autorizzato a ricorrere ad ulteriori responsabili del trattamento, purché si assicuri che questi vengano sottoposti alle medesime condizioni poste a suo carico nel presente contratto. Il Mandatario è tenuto a comunicare al Mandante l'identità dei sub-responsabili in caso di richiesta.
  9. Durata del trattamento
    Il Mandatario è autorizzato a trattare dati personali per conto del Mandante per la sola durata necessaria all’adempimento del Contratto Principale.
  10. Cessazione del trattamento
    Il presente DPA è inscindibilmente legato al Contratto Principale. Nel momento in cui quest’ultimo rapporto dovesse sciogliersi, per qualsiasi ragione, il Mandatario sarà tenuto a mettere a disposizione del Mandante tutti i dati personali trattati per suo conto ed a non conservarne copia. La cancellazione dei dati personali eventualmente conservati dal Mandatario avverrà compatibilmente con i tempi tecnici necessari e con le esigenze di back-up.