Condizioni generali di Hospitality Digital GmbH – Strumento di prenotazione online

Hospitality Digital GmbH Metro-Straße 1, 40235 Düsseldorf (“H.d”) offre alle aziende del settore alberghiero e della ristorazione (“Cliente”) servizi meglio descritti nel prosieguo (“Servizi”).

1. Oggetto

1.1 H.d fornisce i Servizi dello “Strumento di prenotazione online” esclusivamente sulla base delle seguenti Condizioni generali (“Condizioni Generali”).

1.2 H.d fornisce i Servizi esclusivamente a Clienti che non sono consumatori ai sensi della sezione 13 del Codice civile tedesco (BGB).

1.3 Eventuali condizioni in deroga poste dal Cliente non sono applicabili, anche nel caso in cui H.d non le abbia espressamente rifiutate e/o fornisca i Servizi e/o altri vantaggi senza riserve, pur essendo a conoscenza di tali diverse condizioni deroganti.

2. Ambito di applicazione dei Servizi

2.1 H.d fornisce al Cliente i seguenti Servizi per tutto il periodo di validità del presente accordo:

(a) H.d fornirà al Cliente uno Spazio di archiviazione da utilizzare sui sistemi di H.d a cui il Cliente può accedere via internet (“Spazio di archiviazione”), cfr. sezione 4.

(b) H.d concederà al Cliente l’accesso online al software che gli permette di gestire, implementare e utilizzare lo Strumento di prenotazione online sul proprio sito web, (“Software”), cfr. sezione 5, e di conservare i dati raccolti in relazione allo Strumento di prenotazione online nello Spazio di archiviazione.

(c) H.d può, di volta in volta, fornire Servizi aggiuntivi al Cliente, in particolare per quanto riguarda la configurazione e l’utilizzo del Software (“Servizi di consulenza”), cfr. sezione 6.

2.2 Per raggiungere un pubblico più ampio, H.d. può anche rendere accessibile le prenotazioni effettivamente disponibili (es. orari, tavoli, numero di persone) a fornitori terzi (es. “Prenota con Google”). Tuttavia, tali richieste di prenotazione possono essere effettuate solamente utilizzando il software di H.d. Poiché i singoli fornitori terzi richiedono un numero minimo di persone per l’accettazione automatizzata della prenotazione, H.d ha fissato un’impostazione predefinita di quattro persone. Tale impostazione può essere modificata dal Cliente in qualsiasi momento. Tuttavia, i fornitori terzi potrebbero non essere in grado di visualizzare le prenotazioni effettivamente disponibili a seguito di tale modifica.

2.3 H.d può adeguare i Servizi e gli altri vantaggi allo stato dell’arte e alle esigenze o agli sviluppi tecnici, a condizione che l’adeguamento avvenga entro limiti ragionevoli per il Cliente. H.d può sospendere i Servizi offerti e quelli collegati con un ragionevole preavviso. H.d informerà tempestivamente il Cliente in merito alla sospensione dei Servizi.

3. Obblighi del Cliente

3.1 Il Cliente deve tenere aggiornati i dati commerciali e le informazioni di contatto indicati al momento della stipula del contratto, aggiornandoli durante tutto il periodo di validità del contratto, ed è tenuto a comunicare immediatamente a H.d qualsiasi modifica, per iscritto o via e-mail. Il Cliente è inoltre tenuto ad assicurarsi che l’indirizzo e-mail comunicato a H.d sia regolarmente consultato al fine di ricevere informazioni rilevanti sul contratto.

3.2 I dati di accesso che il Cliente riceve da H.d non possono essere condivisi con terzi e deve esserne evitato l’accesso da parte di terzi. Il Cliente informerà immediatamente H.d nel caso in cui abbia il ragionevole sospetto o sia a conoscenza di un possibile uso improprio dei dati di accesso forniti. In tal caso, H.d ha il diritto di bloccare temporaneamente i dati di accesso del Cliente al Software finché il sospetto di abuso non sia attenuato. In caso di effettivo abuso, H.d ha il diritto di bloccare permanentemente i dati di accesso del Cliente e di assegnargliene altri.

3.3 L’utilizzo del Software è consentito solo per uso aziendale del Cliente. Il Cliente si impegna qui a non utilizzare il Software in modo illegale o per scopi illeciti.

3.4 Il Cliente è consapevole che il suo utilizzo del Software può essere associato a H.d. Pertanto, il Cliente adotterà tutte le misure necessarie per mantenere separati, in quanto a contenuti, i servizi da lui offerti e quelli offerti da H.d o da terzi.

3.5 Se il Cliente dovesse scoprire che l’utilizzo dei Servizi o di altri vantaggi comporta una violazione della legge, deve interromperloe immediatamente, smettere di violare la legge e cancellare qualsiasi contenuto illegale.

4. Disposizioni particolari relative allo Spazio di archiviazione

4.1 Lo Spazio di archiviazione è fornito al Cliente gratuitamente. Di conseguenza, H.d non può garantire una particolare disponibilità dello Spazio di archiviazione. Inoltre, lo Spazio di archiviazione non sarà disponibile durante i necessari lavori di manutenzione. H.d si impegnerà a ridurre al minimo qualsiasi danno causato dai lavori di manutenzione. H.d fornirà al Cliente le altre specifiche relative alle prestazioni dello Spazio di archiviazione prima della stipula dell’accordo.

4.2 Il Cliente si impegna a garantire che tutti i file, tra cui HTML e altri documenti, testi, immagini, grafici, font, video ecc. (“Contenuti”) saranno conservati, pubblicati e/o messi a disposizione nello Spazio di archiviazione e/o con l’ausilio del Software in conformità alla legge applicabile. In particolare il Cliente garantisce che, all’interno dello Spazio di archiviazione e/o con l’ausilio del Software, conserverà solo i Contenuti di cui detiene i necessari diritti, tra cui il diritto di utilizzo e sfruttamento economico previsto della legge sul diritto d’autore, e che tali Contenuti non violeranno diritti personali di terzi. Inoltre, il Cliente assicura che nello Spazio di archiviazione e/o con l’ausilio del Software non conserverà, pubblicherà, e/o metterà a disposizione nessun Contenuto di natura immorale, in particolare di tipo pornografico, razzista o discriminatorio. H.d avrà il diritto di cancellare qualsiasi Contenuto memorizzato nello Spazio di archiviazione e/o con l’ausilio del Software in violazione della presente sezione 4, sia che H.d ne venga informata da agenzie governative, tribunali o ulteriori soggetti terzi, sia che ne venga a conoscenza in altro modo.

4.3 Il Cliente concede a H.d i diritti necessari per tutti i Contenuti che conserva, pubblica e/o mette a pubblica disposizione sullo Spazio di archiviazione e/o con l’ausilio del Software, in particolare i diritti necessari per conservare tali Contenuti, apportarvi modifiche tecniche, metterli a pubblica disposizione e copiarli. H.d può avere accesso ai Contenuti del Cliente nello Spazio di archiviazione solamente nella misura in cui ciò sia tecnicamente necessario per fornire e/o pubblicare i Contenuti, e nella misura in cui ciò corrisponda alle autorizzazioni concesse contrattualmente.

4.4 Inoltre, il Cliente non è autorizzato a eseguire o organizzare l’esecuzione di processi automatizzati, script, software o altri dati e/o Contenuti presenti nello Spazio di archiviazione e/o intraprendere o far intraprendere (con l’ausilio del Software) qualsiasi azione che possa danneggiare in maniera consistente i sistemi, le reti e/o altri hardware e software, come componenti di rete di H.d e/o di terze parti. Nel caso in cui H.d venga a conoscenza di tale danno, H.d avrà il diritto di fermarlo e/o prevenirlo.

4.5 Il Cliente dovrà eseguire quotidianamente il backup dei dati al fine di poter recuperare i Contenuti dello Spazio di archiviazione senza costi aggiuntivi.

4.6 Il Cliente è tenuto ad avere sul suo sito web una nota con tutte le informazioni obbligatorie, in quanto agisce in qualità di parte responsabile dei confronti dell’utente/utente finale.

5. Disposizioni particolari relative al Software

Il Cliente non può accedere al Software o utilizzarlo per conto di terzi o per altri fini. Il Cliente non è autorizzato a copiare il Software, a metterlo a disposizione di terzi, a scomporlo o a modificarlo in qualsiasi altro modo.

6. Disposizioni particolari relative ai Servizi di consulenza

6.1 H.d può offrire Servizi di consulenza al Cliente, in particolare riguardo alla configurazione iniziale e al miglior utilizzo a lungo termine del Software (ad esempio quali funzioni aggiungere), oltre a indicazioni sul modo in cui tale utilizzo può migliorare la situazione generale dell’attività. I Servizi di consulenza possono inoltre includere la raccomandazione al Cliente di strumenti e servizi aggiuntivi corrispondenti al Software.

6.2 I Servizi di consulenza possono essere forniti dalle Affiliate di H.d. L’Allegato alle presenti Condizioni Generali contiene informazioni in merito a quale Affiliata fornisce i Servizi di consulenza presso la sede operativa del Cliente. Con l’accettazione di tali Condizioni Generali, il Cliente accetta che i Servizi di consulenza possano essere forniti dall’Affiliata situata nella sede operativa del Cliente.

6.3 Per la fornitura dei Servizi di consulenza, H.d condivide i dati personali e altri dati con la rispettiva Affiliata al fine di consentirle di fornire i Servizi di consulenza.

6.4 H.d non garantisce nessun livello specifico di servizio né una disponibilità specifica o continuativa dei Servizi di consulenza.

7. Stipula dell’accordo, durata, risoluzione

7.1 Il Cliente propone di stipulare un contratto per l’utilizzo del Software ai sensi e alle condizioni di cui alle Condizioni Generali, registrandosi per l’accesso al Software sul sito web di H.d dà accesso al Software. Generalmente l’accettazione da parte di H.d coincide con l’inizio della fornitura del servizio.

7.2 Il contratto è stipulato per un periodo di tempo indeterminato; il Cliente ha facoltà di recedere in qualsiasi momento, mentre H.d può recedere con un preavviso di due (2) settimane.

7.3 La risoluzione deve avvenire in forma scritta o via e-mail.

7.4 Resta impregiudicato il diritto delle parti di recedere dal contratto senza preavviso per giusta causa. La giusta causa vale in particolare quando il Cliente viola un obbligo derivante dalle clausole 3 e 5.

7.5 Con la risoluzione del contratto tutti i dati del Cliente devono essere cancellati da H.d, a meno che non sussista un obbligo legale di conservazione dei dati. In tal caso, i dati vengono cancellati dopo la scadenza del relativo periodo di conservazione.

8. Garanzia e responsabilità, manleva

8.1 H.d è tenuta a risarcire il Cliente limitatamente ai danni derivanti da difetti nei Servizi dissimulati fraudolentemente. H.d non si assume alcuna ulteriore responsabilità per vizi giuridici e/o difetti materiali dei Servizi e dei vantaggi forniti gratuitamente.

8.2 H.d e i suoi ausiliari o rappresentanti legali sono responsabili solamente in caso di atti intenzionali, negligenza grave o lesioni colpose alla vita, al corpo o alla salute, nonché per dolo. Resta inalterata la responsabilità ai sensi della legge tedesca sulla responsabilità del prodotto.

8.3 Le limitazioni di responsabilità di cui ai punti 8.1 e 8.2 si applicano altresì alle Affiliate di H.d.

8.4 Ai sensi dell’art. 15 della legge tedesca sulle società per azioni (AktG), il Cliente esonera in prima istanza H.d, i suoi ausiliari e rappresentanti legali e le società affiliate a H.d (“Affiliate”) da pretese di terzi avanzate contro H.d, i suoi ausiliari e rappresentanti legali e/o società affiliate a H.d a causa dei Servizi o in relazione a essi; tale manleva riguarda anche le pretese di terzi per l’utilizzo illegale dei dati e/o il mancato consenso dei soggetti interessati e/o la violazione dei diritti della personalità dei dipendenti del Cliente. La manleva si applica anche alle necessarie spese legali e di arbitrato.

8.5 Il Cliente sarà considerato l’unico responsabile per i Contenuti. Pertanto, ai sensi dell’art. 15 dell’AktG, è tenuto in prima istanza a esonerare e manlevare H.d, i suoi ausiliari e rappresentanti legali e tutte le società affiliate a H.d da qualsiasi pretesa di terzi nei confronti di H.d, i suoi ausiliari, rappresentanti legali e/o società affiliate a H.d a causa dei Servizi e di altri vantaggi, o in relazione a essi. Quanto detto vale in particolare per tutte le violazioni relative a marchi, diritto d’autore, protezione dei dati e concorrenza. Tale manleva si applicherà anche a tutte le necessarie spese legali, comprese le spese per le procedure arbitrali.

9. Protezione dei dati personali, riservatezza

9.1 Il trattamento dei dati personali in relazione alla fornitura di servizi da parte di H.d è soggetto all’Informativa sulla privacy, accessibile in qualsiasi momento sul sito web indicato nella descrizione del servizio.

9.2 Nella misura in cui H.d tratta dati personali per conto del Cliente, si applica l’Accordo per il trattamento dei dati allegato alle presenti Condizioni Generali.

9.3 Le parti si impegnano a non divulgare a terzi informazioni riservate anche dopo la risoluzione del contratto, e a non utilizzarle per scopi diversi da quelli previsti dal contratto. Sono considerate riservate tutte le informazioni tecniche e il know-how messi a disposizione del Cliente, nonché altre informazioni contrassegnate come riservate da una delle due parti e aventi valore economico. Ciò include espressamente i segreti aziendali e commerciali.

9.4 L’obbligo di riservatezza non si applica alle informazioni già note all’altra parte o al pubblico senza che una delle due parti violi la clausola 9.3, alle informazioni che devono essere rese accessibili in virtù di un obbligo legale o di una decisione giudiziaria, o alle informazioni destinate a un’ispezione accurata da parte di soggetti terzi tenuti al segreto in vista di un’acquisizione aziendale.

10. Compenso

10.1 Il Cliente non deve alcun compenso per i Servizi forniti da H.d. I Servizi saranno forniti gratuitamente.

10.2 La sezione 10.1 non riguarda i servizi forniti da terzi nell’ambito di servizi più estesi.

11. Altre disposizioni

11.1 H.d ha facoltà di subappaltare una o tutte le prestazioni dovute da H.d ai sensi del presente accordo, in particolar modo i Servizi. Ai sensi dell’art. 15 dell’AktG, H.d ha facoltà di trasferire il presente contratto a una società affiliata previa notifica, a meno che ciò non sia ritenuto irragionevole dal Cliente.

11.2 H.d ha facoltà di modificare le presenti Condizioni Generali previa notifica, e può anche apportare modifiche con effetti per il Cliente. H.d può modificare le presenti Condizioni Generali solo nella misura in cui le modifiche siano ritenute ragionevoli dal Cliente, non incidano sugli obblighi contrattuali essenziali e non peggiorino le condizioni del Cliente. Quest’ultimo può opporsi a una modifica delle Condizioni Generali entro quattro (4) settimane dalla ricezione della notifica o risolvere il contratto senza preavviso. Se il Cliente non si oppone alla modifica delle Condizioni Generali o non lo fa in tempo utile, si considera concesso il consenso del Cliente alla modifica delle Condizioni Generali. In caso di notifica di modifiche delle Condizioni Generali, H.d comunicherà al Cliente le conseguenze di un’omessa obiezione e il diritto alla risoluzione del contratto senza preavviso.

11.3 Nel caso in cui una disposizione del presente contratto sia o diventi completamente o parzialmente nulla, non valida, impraticabile o inapplicabile (“Disposizione difettosa”), ciò non pregiudica la validità o l’applicabilità delle restanti disposizioni. Piuttosto, le parti si impegnano sin da ora a sostituire la Disposizione difettosa con una simile, secondo il senso e lo scopo del contratto, nel caso in cui riconoscano la disposizione come difettosa. Nel caso in cui una disposizione risulti difettosa in riferimento a un’indicazione operativa o temporale qui riportata (limite di tempo o scadenza), allora la disposizione deve essere coerente con un livello giuridicamente ammissibile il più vicino possibile a quello originario. Lo stesso vale per eventuali lacune nel presente contratto. È intenzione espressa delle parti che questa clausola di salvaguardia non si traduca in una semplice inversione dell’onere probatorio, bensì che si rinunci congiuntamente all’art. 139 del BGB.

11.4 Il contratto e tutte le pretese e i diritti derivanti da o in relazione a esso sono soggetti esclusivamente al diritto tedesco, a esclusione del conflitto di leggi, e devono essere interpretati ed eseguiti secondo il diritto tedesco. È esclusa l’applicazione della Convezione delle Nazioni Unite sui contratti per la vendita internazionale di beni immobili (CISG). Il luogo di esecuzione è Düsseldorf.

11.5 Il foro competente esclusivo per la risoluzione di qualsiasi controversia derivante da o in relazione al presente contratto, alla sua stipula o alla sua attuazione è, nei casi permessi dalla legge, Düsseldorf.

Status: July 2019 / AG
Res_B2B_TC_V3 July_2019_it




Contratto di nomina a responsabile esterno del trattamento o Data Protection Agreement (DPA)

Accettando le Condizioni generali di cui sopra il Cliente (“Titolare del trattamento”) e H.d (“Responsabile del trattamento”), nel prosieguo “Parti”, singolarmente “Parte”, stipulano altresì il presente Accordo per il trattamento dei dati (“DPA”).

Premessa

Nell’ambito della propria attività e in conformità alle suddette Condizioni generali, il Responsabile del trattamento riceve dati personali di cui è responsabile il Titolare del trattamento. Le Parti accettano le disposizioni del presente DPA al fine di adempiere agli obblighi in materia di protezione dei dati previsti dalla normativa europea, in particolare dal Regolamento generale sulla protezione dei dati (art. 28 GDPR).

1. Definizioni

1.1 Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (“Interessato”). Una persona fisica è considerata identificabile quando può essere identificata, direttamente o indirettamente, con attraverso una informazione come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (nel prosieguo “dati”).

1.2 Il trattamento dei dati per conto di qualcuno è la raccolta, il trattamento o l’utilizzo di dati da parte del Responsabile del trattamento per conto del Titolare del trattamento.

2. Oggetto e contenuto dell’ordine

2.1 Oggetto e durata dell’ordine

I dettagli e la durata dell’ordine sono stabiliti dalle Condizioni generali di cui sopra.

2.2 Tipologia dei dati

· Dati anagrafici personali (es. nome, cognome, data di nascita)

· Dati di contatto (es. telefono, e-mail, indirizzo)

· Luogo, data e ora delle prenotazioni dei clienti effettuate tramite il Software

  • Indirizzo IP

2.3 Finalità della raccolta, del trattamento o dell’utilizzo dei dati

Le finalità della raccolta, del trattamento o dell’utilizzo dei dati sono descritte più dettagliatamente nelle Condizioni generali e nell’Informativa sulla privacy.

2.4 Natura e portata della raccolta, del trattamento o dell’utilizzo dei dati

La natura e la portata della raccolta, del trattamento o dell’utilizzo dei dati sono descritte più dettagliatamente nelle Condizioni generali e nell’Informativa sulla privacy.

2.5 Categoria degli Interessati

Clienti del Cliente

2.6 Misure tecniche e organizzative

(a) Le misure tecniche e organizzative che il Responsabile del trattamento è tenuto ad attuare sono indicate nell’Allegato (cfr. sotto) al presente DPA. Il Responsabile del trattamento provvederà regolarmente ad adeguare tali misure allo stato dell’arte a proprie spese, a condizione che il livello di protezione concordato non diminuisca e che i soggetti responsabili ne siano immediatamente informati.

(b) Il Responsabile del trattamento è tenuto a consentire al Titolare del trattamento di verificare in loco il rispetto delle misure tecniche e organizzative prima di iniziare le attività di trattamento previste dal presente contratto. Rimane inalterato il diritto di revisione del Titolare del trattamento ai sensi del punto 2.10.

(c) Il Responsabile del trattamento deve garantire che i sistemi di trattamento dei dati utilizzati nell’ambito dell’DPA siano conformi agli standard di "privacy by design" e "privacy by default" in base allo stato dell’arte.

2.7 Correzione, cancellazione e blocco dei dati, diritto alla portabilità dei dati e diritto di opporsi

(a) I diritti dei soggetti coinvolti nel trattamento dei dati da parte del Responsabile del trattamento, in particolare la rettifica, la cancellazione e il blocco, la portabilità dei dati e il diritto di opporsi si fanno valere nei confronti del Titolare del trattamento. Quest’ultimo è l’unico responsabile della protezione dei dati.

(b) Nel corso della sua attività per conto del Titolare del trattamento, il Responsabile del trattamento è tenuto a trasmettere senza indugio al Titolare del trattamento qualsiasi richiesta rivoltagli dai soggetti coinvolti per un trattamento adeguato. Nel caso in cui il Titolare del trattamento e il Responsabile del trattamento agiscano congiuntamente in qualità di soggetti esterni responsabili, il Responsabile del trattamento ha il diritto di rispondere a tale richiesta in maniera indipendente.

(c) Il Responsabile del trattamento è inoltre tenuto ad assistere il Titolare del trattamento con misure tecniche e organizzative adeguate per adempiere al suo obbligo di rispondere agli interessati.

(d) In conformità con le istruzioni del Titolare del trattamento, il Responsabile del trattamento deve rettificare, bloccare e/o cancellare i dati immediatamente, e comunque entro cinque (5) giorni, e darne informazione entro tale termine.

2.8 Obblighi del Responsabile del trattamento

(a) Il Responsabile del trattamento può raccogliere, trattare e utilizzare i dati esclusivamente nell’ambito delle finalità e delle istruzioni documentate del Titolare del trattamento.

(b) Il Responsabile del trattamento è tenuto ad adempiere a intervalli regolari alle misure tecniche e organizzative definite al punto 2.6 del presente DPA e a presentarle su richiesta.

(c) Il Responsabile della protezione dei dati o Data Protection Officer (DPO) è nominato come persona di riferimento per la protezione dei dati presso il Responsabile del trattamento. Il DPO può essere contattato all’indirizzo privacy@hd.digital. Ove necessario, il Responsabile del trattamento nomina anche un rappresentante in conformità ai requisiti di cui all’art. 27 del GDPR.

(d) Il Responsabile del trattamento è tenuto a mantenere la riservatezza. Chiunque, presso il Responsabile del trattamento, venga autorizzato ad accedere ai dati del Titolare del trattamento deve essere vincolato da un obbligo di riservatezza o soggetto a un ragionevole segreto professionale e deve essere informato degli obblighi speciali di protezione dei dati derivanti dal presente DPA, nonché delle istruzioni e delle finalità esistenti. Il Responsabile del trattamento documenterà tali obblighi per iscritto e li fornirà su richiesta del Titolare del trattamento.

2.9 Motivazione delle condizioni di subfornitura

(a) La giustificazione dei rapporti di subfornitura è consentita. Il Responsabile del trattamento informerà in anticipo il Titolare del trattamento in merito alla modifica in questione. Il Titolare del trattamento ha il diritto di opporsi.

(b) Nel caso di incarico commissionato da altri responsabili, il Responsabile del trattamento assicura contrattualmente che gli obblighi per lui previsti dal presente DPA si applichino anche per l’altro responsabile.

(c) Il Responsabile del trattamento eseguirà controlli ad hoc e periodici sulle misure tecniche e organizzative adottate dagli altri responsabili durante il periodo di subfornitura al fine di proteggere i dati da lui forniti. La trasmissione dei dati è consentita solamente nel caso in cui l’altro responsabile abbia attuato le misure tecniche e organizzative necessarie, perlomeno secondo quanto specificato nel presente DPA.

(d) Il Responsabile del trattamento è completamente responsabile per i subfornitori di cui si avvale.

2.10 Diritto di revisione del Titolare del trattamento

Il Titolare del trattamento è autorizzato a verificare la conformità alle norme applicabili in materia di protezione dei dati personali e all’DPA, durante il normale orario di lavoro. Il Responsabile del trattamento si impegna a fornire al Titolare del trattamento tutte le informazioni ragionevolmente necessarie al fine di effettuare l’ispezione entro un periodo di tempo ragionevole. Qualora il Titolare del trattamento ritenga necessaria una revisione nel luogo di attività del Responsabile del trattamento, quest’ultimo gli garantirà accesso al proprio ufficio al fine di eseguire la revisione e un’ispezione dei dati conservati e dei programmi di trattamento dei dati. Il Titolare del trattamento ha il diritto di far eseguire la verifica da un soggetto terzo (ispettore) che sarà di volta in volta nominato. Il Titolare del trattamento deve annunciare l’esecuzione di tale revisione per iscritto con almeno venti (20) giorni lavorativi di preavviso. I costi della revisione e quelli sostenuti dal Responsabile del trattamento a normali prezzi di mercato sono a carico del Titolare del trattamento.

2.11 Avvisi di violazione da parte del Responsabile dei dati

(a) Il Responsabile del trattamento avviserà il Titolare del trattamento senza indugio e al più tardi entro quarantotto (48) ore dalla scoperta di tutti i casi in cui il Responsabile del trattamento o soggetti o subfornitori da quest’ultimo assunti abbiano violato le norme che disciplinano la protezione dei dati del Titolare del trattamento o le condizioni stabilite nel presente DPA.

(b) Il Titolare del trattamento sarà informato di qualsiasi perdita, trasmissione o ricezione illecita da parte di terzi, indipendentemente dalla causa. Il Responsabile del trattamento, previa consultazione con il Titolare del trattamento, adotterà misure appropriate al fine di salvaguardare i dati e attenuare le possibili conseguenze negative per gli Interessati. Nella misura in cui i soggetti responsabili adempiono agli obblighi di avviso, il Responsabile del trattamento assisterà il Titolare del trattamento nell’adempimento di tali obblighi.

2.12 Istruzioni del Titolare del trattamento

(a) I dati del Titolare del trattamento saranno gestiti dal Responsabile del trattamento esclusivamente nei termini del presente DPA e secondo le specifiche istruzioni da quest’ultimo riferite.

(b) Il Responsabile del trattamento si adeguerà alle istruzioni (individuali) sulla natura, la portata e le modalità di trattamento, senza indugio o, se del caso, entro il termine fissato dal Titolare del trattamento.

(c) Il Responsabile del trattamento indicherà tempestivamente al Titolare del trattamento se ritiene che le istruzioni comunicate da quest’ultimo violino il Regolamento sulla protezione dei dati personali. Il Responsabile del trattamento è autorizzato a sospendere l’attuazione delle relative istruzioni fino a quando non siano state confermate o modificate da parte del Titolare del trattamento.

2.13 Cancellazione a seguito del termine dell’ordine

Al termine dell’attività contrattuale il Responsabile del trattamento è tenuto a consegnare al Titolare del trattamento tutti i dati che ha gestito oppure a distruggerli, previo consenso del Titolare del trattamento, secondo lo stato dell’arte. È escluso il diritto di conservare i documenti, i dati, il trattamento, i risultati di utilizzo e i supporti associati, fatto salvo il caso in cui la normativa dell’Unione Europea o quella di uno Stato membro dell’UE non richiedano la conservazione dei dati.

3. Ulteriori obblighi del Responsabile del trattamento

3.1 Il Responsabile del trattamento non utilizzerà i dati forniti per scopi diversi dal trattamento. Non potranno essere creati duplicati o copie a insaputa e senza previo consenso scritto del Titolare del trattamento, fatto salvo il caso in cui ciò sia necessario per i servizi ordinati nel presente DPA. Il Responsabile del trattamento garantisce che i dati da lui trattati per conto del Titolare del trattamento saranno separati dagli altri dati. La trasmissione a terzi dei dati del Titolare del trattamento da parte del Responsabile del Trattamento non è consentita senza consenso scritto del Titolare del trattamento.

3.2 Il Responsabile del trattamento fornirà ragionevole assistenza a chi si occupa della difesa contro i reclami basati su una presunta o effettiva violazione degli obblighi in materia di protezione dei dati. Il Titolare del trattamento, da parte sua, esaminerà e tratterà in maniera appropriata i reclami dei soggetti interessati nell’ambito della propria responsabilità in materia di protezione dei dati.

3.3 Il Responsabile del trattamento riconosce che le informazioni da comunicare ai soggetti interessati, sulla base del loro diritto all’informazione, vengono fornite esclusivamente tramite il Titolare del trattamento o un soggetto autorizzato da quest’ultimo. Il Responsabile del trattamento è tenuto a fornire tempestivamente al Titolare del trattamento le informazioni richieste e a supportarlo. Qualora agisca da Titolare esterno del trattamento, il Responsabile del trattamento può rispondere a tali richieste e avvisare il Titolare del trattamento.

3.4 Il Responsabile del trattamento assisterà il Titolare del trattamento nella preparazione degli indici delle procedure necessarie, ove applicabile.

3.5 Il Responsabile del trattamento assisterà il Titolare del trattamento nello svolgimento delle valutazioni d’impatto (DPIA) quando una tipologia di trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

3.6 Il Responsabile del trattamento si impegna a informare il Titolare del trattamento senza indugio in merito ai risultati delle ispezioni da parte delle autorità di controllo della protezione dei dati, nella misura in cui tali risultati sono connessi al presente DPA. Il Responsabile del trattamento informerà chi di dovere in caso di reclami, relativi alla sua area di azione, da parte delle autorità di controllo della protezione dei dati e, come previsto dalla legge, porrà rimedio a qualsiasi reclamo individuato.

4. Responsabilità

4.1 Il Titolare del trattamento è responsabile dell’ammissibilità del trattamento dei dati, nonché della tutela dei diritti dei soggetti interessati.

4.2 Il Responsabile del trattamento, in deroga al punto 4.1, è responsabile delle richieste di risarcimento dei soggetti interessati a causa di violazioni delle disposizioni di legge applicabili o delle disposizioni del presente DPA.

4.3 In relazione al Titolare del trattamento, il Responsabile del trattamento risponde esclusivamente per dolo e colpa grave nell’ambito dell’esclusione di responsabilità e delle limitazioni consentite dalla legge.

5. Disposizioni finali

5.1 Il Titolare del trattamento informerà immediatamente e in maniera esaustiva il Responsabile del trattamento qualora riscontri errori o irregolarità nel trattamento dei dati da parte di quest’ultimo.

5.2 Il presente DPA può essere modificato e risolto in conformità alle stesse condizioni delle Condizioni generali di cui sopra.

5.3 L’invalidità di una o più disposizioni del presente DPA non pregiudica l’efficacia dello stesso. In caso di inefficacia di una o più disposizioni del presente DPA le Parti la sostituiranno con una disposizione efficace ed il più economica possibile. Lo stesso vale in caso di lacune.

5.4 Il presente DPA è soggetto agli stessi diritti delle Condizioni enerali di cui sopra.

5.5 In caso di conflitto tra il DPA e altri accordi tra le Parti, prevalgono le disposizioni del presente DPA.

Status: July 2019 / AG


Misure tecniche e organizzative

Tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, della portata, delle circostanze e delle finalità del trattamento e della diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche, il Responsabile del trattamento attuerà misure tecniche e organizzative adeguate al fine di garantire un livello di protezione commisurato al rischio; tali misure comprendono, inter alia, quanto segue:

• la pseudonimizzazione e la codifica dei dati;

• la capacità di garantire in maniera permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

• la capacità di ripristinare rapidamente la disponibilità e l’accessibilità dei dati in caso di incidente fisico o tecnico;

• un processo di revisione periodica, valutazione e valutazione dell’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Fermo restando quanto precede, saranno adottate le seguenti misure specifiche:

1. Controllo degli accessi

Misure atte a impedire che soggetti non autorizzati possano accedere al sistema di elaborazione dati utilizzato per il trattamento dei dati:

• indicazione dei soggetti autorizzati e della relativa documentazione;

• controllo elettronico degli accessi;

• rilascio di ID di accesso;

• introduzione di linee guida per soggetti esterni;

• allarme o sorveglianza al di fuori degli orari di lavoro;

• distribuzione delle proprietà in diverse zone di sicurezza;

• introduzione di linee guida per la gestione delle chiavi (tessere);

• porte di sicurezza (apriporta elettronico, lettore ID, TVCC);

• introduzione di misure per la sicurezza in loco (es. rilevamento/notifica intrusioni).

2. Controllo degli accessi

Medidas para evitar que personas no autorizadas utilicen el sistema y los procedimientos de tratamiento de datos:

• Definición del grupo de personas con acceso a los sistemas de tratamiento de datos;

• Puesta en marcha de directrices para personas externas; y

• Protección con contraseña para ordenadores personales.

3. Controllo degli accessi

Medidas para garantizar que las personas que tienen autorizado el uso de las técnicas de tratamiento de datos únicamente puedan acceder a los datos que estén sujetos a su autorización:

• Puesta en marcha de derechos de acceso limitados basados en los datos y funciones correspondientes;

• Obligación de identificar los equipos de tratamiento de datos (por ejemplo, mediante identificación y autenticación);

• Puesta en marcha de políticas sobre acceso y roles de usuario; y

• Evaluación de protocolos en caso de hecho dañoso.

4. Control de transferencias

Medidas para garantizar la imposibilidad de leer, copiar, alterar o eliminar los datos durante la transmisión electrónica o durante su transporte o almacenamiento en soportes de datos, y que sea posible comprobar y determinar en qué momentos y circunstancias se ha de ofrecer una transferencia de los datos mediante transmisión.

• Cifrado

5. Control de entradas

Medidas para garantizar la posibilidad de verificar y, posteriormente, determinar si los datos han sido introducidos, modificados o eliminados de los sistemas informáticos, así como quién lo ha hecho.

• Registro de entradas de datos.

6. Control de encargos

Medidas para garantizar el tratamiento de los datos que hay que tratar por encargo de conformidad expresa con las instrucciones del Responsable del tratamiento:

• Documentación de las diferentes competencias y obligaciones del Responsable y del Encargado del tratamiento;

• Puesta en marcha formal; y

• Control de los resultados del trabajo realizado.

7. Control de disponibilidad

Medidas para garantizar la debida protección de los datos frente a su posible destrucción o pérdida accidental.

• Implementación de un plan de copias de seguridad periódicas;

• Almacenamiento seguro de las copias de seguridad de los datos en armarios de seguridad resistentes al fuego y al agua;

• Puesta en marcha y control periódico de un sistema de alimentación de emergencia y de un sistema de protección contra sobretensiones;

• Puesta en marcha de un plan de emergencia; y

• Protocolo sobre la puesta en marcha de la gestión de crisis o emergencias.

8. Control de separación

Medidas para garantizar el tratamiento por separado de los datos recopilados para distintos fines.

• Separación de los datos de los respectivos clientes del Encargado del tratamiento.

Status: July 2019/AG
Res_B2B_TC_V3 July_2019_es