Nomina Responsabile del Trattamento (DPA)

NOMINA A RESPONSABILE DEL TRATTAMENTO

La presente nomina a Responsabile del Trattamento (di seguito denominata “Nomina”) è aggiunta e allegata ai termini e condizioni di Tuurbo, un prodotto di Tuurbo Srl (di seguito denominato il “Contratto”).

Premesso che:

• Il cliente riconosce di essere qualificato come titolare del trattamento (di seguito denominato “Titolare”) dei dati personali (di seguito denominati “Dati”).
• Tuurbo Srl assume il ruolo di responsabile del trattamento (di seguito denominato “Responsabile”) ai sensi dell’Articolo 28 del GDPR, al fine di trattare i dati per conto del Titolare.
• L’esecuzione del Contratto richiede il trattamento di dati di persone fisiche (di seguito denominate “Interessati”) e di informazioni non attribuibili a singole persone fisiche.
• Sia i Dati che le informazioni devono essere considerati come informazioni riservate del Titolare e sono soggetti a obbligo di riservatezza tra il Titolare e il Responsabile.
• Il Contratto vincola il Responsabile al Titolare, che decide la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati e le categorie di interessati.
• Il Responsabile garantisce di adottare misure tecniche e organizzative adeguate affinché il trattamento sia conforme ai requisiti del GDPR e garantisca la riservatezza.
• Il Responsabile si impegna a trattare i Dati e le informazioni inerenti al Contratto in modo lecito e corretto, nel rispetto del GDPR, delle procedure del Titolare e delle istruzioni fornite.
• Il Titolare e il Responsabile sono congiuntamente indicati come le Parti.

Pertanto, il Titolare e il Responsabile convengono quanto segue:

Finalità e Dati Trattati

Le premesse costituiscono parte integrante della Nomina.
Il trattamento dei Dati deve essere effettuato dal Responsabile esclusivamente per l’esecuzione del Contratto e della presente Nomina.

Il trattamento deve essere strettamente necessario per l’esecuzione del Contratto e deve avvenire nel rispetto della riservatezza e del GDPR, nonché delle disposizioni previste nella presente Nomina.

Se necessario per l’esecuzione del Contratto, il trattamento può estendersi anche a categorie particolari di dati o a dati relativi a condanne penali e reati, come previsto dagli Articoli 9 e 10 del GDPR.

I Dati trattati comprendono:

• Nome e cognome
• Indirizzo email
• Numero di telefono

Misure di Sicurezza

Il Responsabile deve adottare tutte le misure di sicurezza previste dall’Articolo 32 del GDPR, implementando misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato ai rischi, in particolare rispetto alla distruzione accidentale o illecita, alla perdita, alla modifica, alla divulgazione non autorizzata o all’accesso ai dati trattati.

Le persone autorizzate e gli eventuali Amministratori di Sistema devono essere adeguatamente istruiti.

In particolare, il Titolare riconosce che il Responsabile adotta le seguenti misure di sicurezza:

• Controllo degli Accessi Fisici:
  Il Responsabile previene l’accesso non autorizzato alle postazioni di lavoro e ai dispositivi contenenti dati personali, sia durante l’orario lavorativo mediante la presenza di personale di controllo, sia al di fuori dell’orario lavorativo grazie a serrature, sistemi di sicurezza e allarmi.

• Controllo degli Accessi Virtuali:
  Il Responsabile utilizza antivirus, firewall e server proxy per prevenire accessi non autorizzati agli ambienti virtuali dove sono conservati i dati personali. L’accesso è consentito solo a persone autorizzate come dipendenti, sub-responsabili e amministratori di sistema.

• Controllo dell’Integrità dei Dati:
  Il Responsabile implementa misure per prevenire l’accesso, la copia, la modifica o la perdita non autorizzata dei Dati. I dispositivi elettronici del Titolare sono crittografati e gli accessi sono tracciati tramite file di log.

• Controllo della Disponibilità dei Dati:
  Il Responsabile applica una politica di backup e disaster recovery basata su cloud, garantendo che il fornitore di servizi segua le misure di sicurezza richieste dall’Articolo 32 del GDPR.

Misure Tecniche e Organizzative

Il Responsabile aggiorna continuamente la documentazione interna e regola i rapporti con terzi attraverso idonei accordi. Vengono effettuati controlli periodici sulle infrastrutture tecniche per garantire la conformità al GDPR.

Coinvolgimento di Altri Responsabili

Il Titolare autorizza il Responsabile a coinvolgere sub-responsabili esterni (“Sub-Responsabili”) per l’esecuzione delle attività previste dal Contratto, inclusi eventuali trasferimenti di dati fuori dall’Unione Europea. Il Responsabile fornirà, su richiesta, l’elenco dei Sub-Responsabili.

Il Responsabile è responsabile della conformità dei Sub-Responsabili alle disposizioni previste dall’Articolo 28 del GDPR e rimane pienamente responsabile nei confronti del Titolare in caso di inadempienza.

Persone Autorizzate

Prima di iniziare qualsiasi trattamento, il Responsabile deve identificare le persone autorizzate al trattamento dei Dati (“Persone Autorizzate”) e specificarne i limiti di accesso e le modalità operative. Le Persone Autorizzate devono ricevere istruzioni dettagliate, in particolare riguardo:

• La riservatezza delle informazioni trattate
• Il rispetto dei principi sanciti dall’Articolo 5 del GDPR (liceità, correttezza, trasparenza, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza)

Valutazione d’Impatto, Consultazione Preventiva, Diritti degli Interessati e Violazioni dei Dati

Il Responsabile supporta il Titolare nello svolgimento della valutazione d’impatto e della consultazione preventiva previste dagli Articoli 35 e 36 del GDPR.

In caso di violazione dei dati personali, il Responsabile deve informare tempestivamente il Titolare fornendo le informazioni necessarie affinché possa adempiere agli obblighi di notifica alle autorità competenti e agli interessati.

Il Responsabile deve inoltre supportare il Titolare nella gestione delle richieste degli interessati in merito ai diritti previsti dal GDPR (accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati).

Diritto di Controllo del Titolare

Il Titolare ha il diritto di effettuare controlli, anche mediante ispezioni presso le sedi del Responsabile, per verificare la conformità del trattamento alle disposizioni del GDPR e agli obblighi contrattuali. Il Responsabile deve fornire tutta la documentazione necessaria e collaborare alle attività di verifica.

Esclusione di Responsabilità

Il Responsabile non potrà essere ritenuto responsabile per eventi al di fuori del proprio controllo, come guasti tecnici, interruzioni di rete, malfunzionamenti dei server o errori imputabili al Titolare.

Allo stesso modo, non è responsabile per eventuali ritardi causati da circostanze imprevedibili o di forza maggiore.

Cessazione del Trattamento e Cancellazione dei Dati

La presente Nomina si considera conclusa al termine del Contratto tra le Parti. Al termine, il Responsabile cesserà ogni attività di trattamento e restituirà o cancellerà i Dati, salvo obblighi di conservazione previsti dalla legge.

Disposizioni Finali

La presente Nomina rappresenta l’intero accordo tra le Parti in relazione al trattamento dei Dati e sostituisce eventuali accordi precedenti.

Ogni Parte agisce in piena autonomia e nessuna delle disposizioni contenute potrà essere interpretata come creazione di ulteriori vincoli o rapporti tra le Parti.

Eventuali modifiche dovranno essere comunicate e pubblicate nella sezione dedicata del sito web: www.tuurbo.ai/it/dpa.

Legge Applicabile e Foro Competente

La presente Nomina è disciplinata dalla legge italiana.

Per ogni controversia relativa all’interpretazione, esecuzione o cessazione della presente Nomina, sarà competente in via esclusiva il Foro di Catania.

Il Titolare si riserva il diritto di modificare la presente Policy in qualsiasi momento. Eventuali modifiche verranno pubblicate sul sito ufficiale e l’Interessato è invitato a consultare periodicamente la pagina per restare aggiornato.

Proseguendo nell’uso del sito dopo eventuali modifiche, l’Interessato accetta i nuovi termini e presta consenso al trattamento dei dati come descritto.