Clausole ai sensi dell’articolo 28 GDPR
Il presente DPA integra il contratto quando il cliente tratta dati personali attraverso GARAIA e UESE ITALIA S.p.A. opera quale responsabile del trattamento.
1. Parti e ruoli
Il cliente è titolare del trattamento, o responsabile autorizzato a nominare un sub-responsabile. UESE ITALIA S.p.A. è responsabile del trattamento limitatamente ai dati personali gestiti per conto del cliente nell’ambiente SaaS.
2. Oggetto, durata, natura e finalità
Il trattamento riguarda l’hosting, la disponibilità, la ricerca, l’organizzazione, la collaborazione, la reportistica, l’assistenza e la sicurezza dei dati inseriti dal cliente. La durata coincide con il rapporto contrattuale e con il periodo tecnico necessario alla restituzione o cancellazione dei dati.
3. Categorie di interessati e dati
Possono essere coinvolti dipendenti, collaboratori, clienti, referenti di enti, consulenti, fornitori e altri soggetti i cui dati siano inseriti dal cliente. Le categorie possono comprendere dati identificativi, professionali, di contatto, documentali e attività registrate nella piattaforma. Il cliente si impegna a non inserire dati eccedenti o categorie particolari non necessarie.
4. Istruzioni documentate
Il responsabile tratta i dati soltanto sulla base delle istruzioni documentate del cliente, incluse quelle contenute nel contratto e nelle configurazioni della piattaforma, salvo obblighi di legge. Se un’istruzione appare illecita, il responsabile ne informa il cliente e può sospenderne l’esecuzione.
5. Riservatezza e autorizzazioni
Le persone autorizzate al trattamento sono vincolate alla riservatezza e ricevono istruzioni adeguate. Gli accessi amministrativi sono limitati alle esigenze di assistenza, sicurezza, manutenzione e adempimento contrattuale.
6. Misure di sicurezza
Le misure includono, in funzione del rischio e della configurazione: controllo degli accessi, segregazione multi-tenant, cifratura dei dati in transito, protezione dei segreti, hashing delle password, autenticazione a più fattori, logging, backup, gestione delle vulnerabilità, procedure di incident response e continuità operativa.
7. Sub-responsabili
Il cliente autorizza in via generale l’impiego di sub-responsabili necessari a hosting, email, supporto, pagamenti, sicurezza e IA. Le modifiche sostanziali vengono comunicate attraverso il portale o canali contrattuali. Il responsabile impone ai sub-responsabili obblighi di protezione sostanzialmente equivalenti.
8. Assistenza al titolare
Tenuto conto della natura del trattamento, il responsabile assiste il cliente nella gestione dei diritti degli interessati, delle valutazioni d’impatto, delle consultazioni preventive e degli obblighi di sicurezza, nei limiti delle informazioni disponibili e del piano contrattuale.
9. Violazioni di dati personali
Il responsabile informa il cliente senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione che riguarda dati trattati per suo conto, fornendo le informazioni ragionevolmente disponibili e aggiornamenti successivi.
10. Restituzione e cancellazione
Alla cessazione, il cliente può richiedere l’esportazione nei formati disponibili. Decorso il periodo di conservazione tecnica indicato nel contratto, i dati vengono cancellati o anonimizzati, salvo obblighi di legge o copie di backup soggette a sovrascrittura programmata.
11. Audit
Il responsabile mette a disposizione informazioni ragionevoli per dimostrare la conformità. Audit ulteriori possono essere concordati con preavviso, nel rispetto della sicurezza, della riservatezza degli altri clienti e dei costi effettivi, privilegiando attestazioni, report e verifiche documentali.