ADDENDUM AL CONTRATTO DI FORNITURA DI SERVIZI
NET REAL SOLUTIONS SLU, (di seguito NET REAL SOLUTIONS o "Responsabile del trattamento") con codice fiscale B12550877, con sede legale in Avda. Arcadi García Sanz 19 1A, 12540, Vila-Real, Castellón, Spagna.
E dall'altro lato, il "Titolare del trattamento" o il "Cliente".
Le parti hanno precedentemente concordato
a) attraverso un Contratto di servizio.
b) o attraverso l'accettazione esplicita dei Termini di Servizio al momento della registrazione su uno qualsiasi dei siti web di NET REAL SOLUTIONS (www.wausms.com), che NET REAL SOLUTIONS fornirà al Cliente una piattaforma web o API di integrazione per l'invio massivo di comunicazioni tramite SMS, e-mail, notifiche, web, notifiche push o chiamate automatiche.
Per la fornitura dei servizi di cui al paragrafo precedente, è necessario che NET REAL SOLUTIONS tratti alcuni dati personali per conto del Cliente, che agirà in qualità di responsabile del trattamento dei dati, come definito dalla legge sulla protezione dei dati applicabile;
Le parti concordano di accettare il presente Addendum sulla protezione dei dati in conformità con l'articolo 28 del Regolamento generale sulla protezione dei dati dell'Unione europea, nei seguenti termini:
2° (Definizioni)
a) GDPR: REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
(b) "dati personali": qualsiasi informazione concernente una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
(c) "trattamento": qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati su dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
(d) "titolare del trattamento" o "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento; se il diritto dell'Unione o degli Stati membri determina le finalità e i mezzi del trattamento, il titolare del trattamento o i criteri specifici per la sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
(e) "incaricato del trattamento" o "responsabile del trattamento": la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del responsabile del trattamento;
(f) "violazione della sicurezza": qualsiasi violazione della sicurezza che comporti la distruzione, la perdita o l'alterazione accidentale o illecita dei dati personali trasmessi, memorizzati o altrimenti trattati, o la loro divulgazione o accesso non autorizzati;
3. (Oggetto)
Con il presente contratto e nei termini della sua sottoscrizione, il Titolare del trattamento autorizza NET REAL SOLUTIONS SLU in qualità di Responsabile del trattamento dei dati personali a fornire il servizio specificato di seguito.
Il trattamento consisterà solo ed esclusivamente nella fornitura dei servizi di "Consegna di messaggi SMS, e-mail, notifiche web e app e chiamate automatiche attraverso la piattaforma web di proprietà di NET REAL SOLUTIONS o tramite integrazione con il server di NET REAL SOLUTIONS".
4° (Durata)
Il presente accordo entrerà in vigore dalla data di sottoscrizione, da parte di entrambe le parti, del presente contratto e sarà valido durante la fornitura del servizio, da parte del Responsabile del trattamento, oggetto del contratto principale.
L'obbligo di riservatezza del Responsabile del trattamento sarà valido per due anni dopo la fine della fornitura del servizio descritto nel contratto principale.
Al termine del presente contratto, l'incaricato del trattamento deve restituire i dati personali al responsabile del trattamento e cancellare le copie in suo possesso. Tuttavia, può conservare i dati bloccati per far fronte a eventuali responsabilità amministrative o giurisdizionali.
5° (Obblighi dell'incaricato del trattamento)
L'incaricato del trattamento e tutto il suo personale sono tenuti a:
a) utilizzare i dati personali a cui ha accesso solo per lo scopo per cui è stato incaricato. In nessun caso può utilizzare i dati per i propri scopi.
b) trattare i dati secondo le istruzioni del responsabile del trattamento.
Se l'incaricato ritiene che una qualsiasi istruzione violi il GDPR o altre disposizioni in materia di protezione dei dati, ne informa immediatamente il responsabile del trattamento.
(c) tenere per iscritto un registro di tutte le categorie di attività di trattamento svolte per conto del responsabile del trattamento, contenente:
- Il nome e i dati di contatto dell'incaricato o degli incaricati del trattamento e di ciascun responsabile del trattamento per conto del quale l'incaricato agisce e, se del caso, del rappresentante del responsabile del trattamento o dell'incaricato del trattamento e del responsabile della protezione dei dati.
- Le categorie di trattamenti effettuati per conto di ciascun responsabile del trattamento.
- Ove applicabile, i trasferimenti di dati personali a un paese terzo o a un'organizzazione internazionale, compresa l'identificazione di tale paese terzo o organizzazione internazionale e, nel caso dei trasferimenti di cui all'articolo 49, paragrafo 1, secondo comma, del GDPR, la documentazione delle garanzie appropriate.
- Una descrizione generale delle misure di sicurezza tecniche e organizzative relative a:
i. Pseudonimizzazione e crittografia dei dati personali.
ii. La capacità di garantire la continuità della riservatezza, dell'integrità, della disponibilità e della resilienza dei sistemi e dei servizi di elaborazione.
iii. Capacità di ripristinare rapidamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico.
iv. Il processo di verifica, valutazione e verifica periodica dell'efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.
d) Non comunicare i dati a terzi, salvo espressa autorizzazione del titolare del trattamento, nei casi legalmente ammissibili.
L'incaricato del trattamento può comunicare i dati ad altri soggetti designati dal titolare del trattamento, secondo le istruzioni di quest'ultimo. In tal caso, il titolare del trattamento dovrà individuare preventivamente e per iscritto il soggetto a cui comunicare i dati, i dati da comunicare e le misure di sicurezza da applicare per procedere alla comunicazione.
Se l'incaricato del trattamento è tenuto, in base al diritto dell'Unione o degli Stati membri, a trasferire dati personali a un paese terzo o a un'organizzazione internazionale, deve informare preventivamente il responsabile del trattamento di tale obbligo giuridico, a meno che tale diritto non lo vieti per importanti motivi di interesse pubblico.
e) Non subappaltare nessuno dei servizi che fanno parte dell'oggetto del presente contratto e che comportano il trattamento di dati personali, ad eccezione dei servizi accessori necessari per il normale funzionamento dei servizi dell'incaricato del trattamento.
Qualora si renda necessario il subappalto di un trattamento, il titolare del trattamento deve essere informato per iscritto con un mese di anticipo, indicando il trattamento da subappaltare e identificando in modo chiaro e inequivocabile la società subappaltatrice e i suoi dati di contatto. Il subappalto può essere effettuato se il responsabile del trattamento non si oppone entro il termine stabilito (un mese).
Il subappaltatore, che avrà anche lo status di incaricato del trattamento, è tenuto a rispettare gli obblighi previsti dal presente documento per l'incaricato del trattamento e le istruzioni impartite dal responsabile del trattamento. È responsabilità dell'incaricato iniziale regolare il nuovo rapporto in modo che il nuovo incaricato sia soggetto alle stesse condizioni (istruzioni, obblighi, misure di sicurezza, ecc.) e agli stessi requisiti formali dell'incaricato iniziale, per quanto riguarda il corretto trattamento dei dati personali e la garanzia dei diritti degli interessati. In caso di inadempienza da parte del subincaricato, l'incaricato iniziale rimane pienamente responsabile nei confronti del titolare del trattamento per il rispetto degli obblighi.
f) Mantenere il dovere di segretezza sui dati personali a cui ha avuto accesso in virtù del presente incarico, anche dopo la cessazione del contratto.
g) Assicurarsi che le persone autorizzate al trattamento dei dati personali si impegnino, espressamente e per iscritto, a rispettare la riservatezza e le relative misure di sicurezza, di cui devono essere debitamente informate.
h) Tenere a disposizione del titolare del trattamento la documentazione che attesti il rispetto dell'obbligo stabilito nella sezione precedente.
i) Garantire la necessaria formazione in materia di protezione dei dati personali delle persone autorizzate al trattamento dei dati personali.
j) Assistere il titolare del trattamento nel rispondere all'esercizio dei diritti di:
- Accesso, rettifica, cancellazione e opposizione.
- Limitazione del trattamento
- Portabilità dei dati
- Non essere soggetti a decisioni individualizzate automatizzate (compresa la profilazione).
Il responsabile del trattamento deve risolvere, per conto del titolare del trattamento, ed entro i termini stabiliti, le richieste di esercizio dei diritti di accesso, rettifica, cancellazione e opposizione, limitazione del trattamento, portabilità dei dati e non sottoposizione a decisioni individuali automatizzate, in relazione ai dati trattati dal responsabile del trattamento.
k) È responsabilità del responsabile del trattamento dei dati fornire il diritto all'informazione al momento della raccolta dei dati.
l) Notifica di violazioni della sicurezza dei dati
L'incaricato del trattamento deve notificare al responsabile del trattamento senza indebito ritardo, e in ogni caso non oltre 72 ore, qualsiasi violazione della sicurezza dei dati personali sotto il suo controllo di cui venga a conoscenza, insieme a tutte le informazioni pertinenti per la documentazione e la comunicazione dell'incidente.
La notifica non è richiesta quando è improbabile che tale violazione della sicurezza costituisca un rischio per i diritti e le libertà delle persone fisiche.
Devono essere fornite almeno le seguenti informazioni:
- una descrizione della natura della violazione dei dati personali, comprese, ove possibile, le categorie e il numero approssimativo di persone interessate, le categorie e il numero approssimativo di registrazioni di dati personali interessate.
- Il nome e i dettagli di contatto del responsabile della protezione dei dati o di un altro punto di contatto per ottenere ulteriori informazioni.
- Descrizione delle possibili conseguenze della violazione dei dati personali.
- Descrizione delle misure adottate o proposte per porre rimedio alla violazione dei dati personali, comprese, se del caso, le misure adottate per attenuare i possibili effetti negativi.
Se e nella misura in cui non è possibile fornire le informazioni simultaneamente, le informazioni devono essere fornite in modo graduale e senza ritardi ingiustificati.
(m) Mettere a disposizione del responsabile del trattamento tutte le informazioni necessarie per dimostrare l'adempimento dei propri obblighi, nonché per gli audit o le ispezioni che saranno effettuati dal responsabile del trattamento o da un altro revisore autorizzato dal responsabile del trattamento.
n) Attuare le misure di sicurezza di cui all'ALLEGATO MISURE DI SICUREZZA.
o) In ogni caso, deve attuare le misure di sicurezza necessarie per:
- Garantire la riservatezza, l'integrità, la disponibilità e la resilienza permanenti dei sistemi e dei servizi di trattamento.
- Ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico.
- Verificare, valutare e valutare regolarmente l'efficacia delle misure tecniche e organizzative implementate per garantire la sicurezza del trattamento.
- Pseudonimizzare e criptare i dati personali, ove opportuno.
p) Destinazione dei dati
Distruggere i dati, una volta completata la prestazione. Una volta distrutti, l'incaricato del trattamento deve certificarne la distruzione per iscritto e consegnare il certificato al responsabile del trattamento.
Tuttavia, l'incaricato del trattamento può conservarne una copia, con i dati debitamente bloccati, per tutto il tempo in cui la responsabilità può derivare dall'esecuzione del servizio.
6° (Obblighi del responsabile del trattamento)
Il titolare del trattamento è responsabile di
a) Inviare comunicazioni digitali attraverso la piattaforma web di proprietà di NET REAL SOLUTIONS, o attraverso l'integrazione con i server di NET REAL SOLUTIONS, solo a destinatari che abbiano precedentemente ed esplicitamente concesso la propria autorizzazione a ricevere tali comunicazioni.
b) Fornire al responsabile del trattamento i dati di cui alla clausola 3 del presente documento, allo scopo di facilitare la fornitura dei servizi di cui al contratto principale.
c) Effettuare una valutazione dell'impatto, se necessario, sulla protezione dei dati personali delle operazioni di trattamento che l'incaricato del trattamento deve effettuare.
d) Effettuare le opportune consultazioni preventive.
e) Garantire, prima e durante il trattamento, il rispetto del GDPR da parte dell'incaricato del trattamento.
f) supervisionare il trattamento, compresa l'esecuzione di ispezioni e verifiche.
7. (MISURE DI SICUREZZA)
MISURE ORGANIZZATIVE
INFORMAZIONI CHE DEVONO ESSERE CONOSCIUTE DA TUTTO IL PERSONALE CHE HA ACCESSO AI DATI PERSONALI
Tutto il personale che ha accesso ai dati personali deve essere consapevole dei propri obblighi in relazione al trattamento dei dati personali e deve essere informato di tali obblighi. Le informazioni minime che devono essere note a tutto il personale sono le seguenti:
- OBBLIGO DI RISERVATEZZA E SEGRETEZZA
- Deve essere impedito l'accesso ai dati personali da parte di persone non autorizzate; a tal fine, deve essere evitato di lasciare i dati personali esposti a terzi (schermi elettronici incustoditi, documenti cartacei in aree di accesso al pubblico, supporti con dati personali, ecc. In caso di assenza dalla postazione di lavoro, lo schermo deve essere bloccato o la sessione deve essere chiusa.
I documenti cartacei e i supporti elettronici devono essere conservati in un luogo sicuro (armadietti o locali ad accesso limitato) 24 ore al giorno.
I documenti o i supporti elettronici (CD, pen drive, hard disk, ecc.) contenenti dati personali non devono essere smaltiti senza garantire la loro distruzione.
I dati personali o qualsiasi informazione personale non devono essere divulgati a terzi e si deve prestare particolare attenzione a non divulgare dati personali protetti durante le richieste telefoniche, le e-mail, ecc.
L'obbligo di segretezza e riservatezza permane anche dopo la cessazione del rapporto di lavoro con l'azienda.
DIRITTI DEGLI INTERESSATI
Tutti i dipendenti saranno informati della procedura per la tutela dei diritti degli interessati, definendo chiaramente i meccanismi con cui è possibile esercitare i diritti (mezzi elettronici, riferimento al delegato alla protezione dei dati, se presente, indirizzo postale, ecc:
- Su presentazione della carta d'identità nazionale o del passaporto, i titolari dei dati personali (interessati) possono esercitare i diritti di accesso, rettifica, cancellazione, opposizione e portabilità. Il responsabile del trattamento deve rispondere agli interessati senza ritardi ingiustificati.
Per quanto riguarda il diritto di accesso, agli interessati deve essere fornito un elenco dei dati personali in possesso, insieme allo scopo per cui sono stati raccolti, all'identità dei destinatari dei dati, ai periodi di conservazione e all'identità del responsabile del trattamento a cui possono chiedere la rettifica, la cancellazione e l'opposizione al trattamento dei dati.
Per quanto riguarda il diritto di rettifica, i dati degli interessati che sono inesatti o incompleti saranno modificati in conformità con le finalità del trattamento.
Per quanto riguarda il diritto alla cancellazione, i dati degli interessati saranno cancellati quando gli interessati esprimono il loro rifiuto o la loro opposizione al trattamento dei loro dati e non vi è alcun obbligo legale di impedirlo.
Per quanto riguarda il diritto alla portabilità, gli interessati devono comunicare la loro decisione e informare il responsabile del trattamento, se del caso, dell'identità del nuovo responsabile del trattamento a cui fornire i loro dati personali.
Il responsabile del trattamento deve informare tutte le persone che hanno accesso ai dati personali dei termini di conformità con cui devono essere soddisfatti i diritti degli interessati, nonché delle modalità e delle procedure con cui tali diritti devono essere soddisfatti.
- VIOLAZIONI DELLA SICUREZZA DEI DATI PERSONALI
- Quando si verificano violazioni della sicurezza dei DATI PERSONALI, come ad esempio il furto o l'accesso improprio ai dati personali, l'Agenzia spagnola per la protezione dei dati dovrà essere informata entro 72 ore di tali violazioni della sicurezza, includendo tutte le informazioni necessarie per chiarire i fatti che hanno dato origine all'accesso improprio ai dati personali. La notifica dovrà essere effettuata per via elettronica attraverso la sede elettronica dell'Agenzia Spagnola per la Protezione dei Dati al seguente indirizzo: https://sedeagpd.gob.es.
MISURE TECNICHE
IDENTIFICAZIONE
- Quando lo stesso computer o dispositivo viene utilizzato per il trattamento dei dati personali e per uso personale, si raccomanda di avere diversi profili o utenti per ciascuno degli scopi. L'uso professionale e quello personale del computer devono essere tenuti separati.
- Si consiglia di avere profili con diritti di amministrazione per l'installazione e la configurazione del sistema e utenti senza privilegi o diritti di amministrazione per l'accesso ai dati personali. In questo modo si eviterà di ottenere i privilegi di accesso o di modificare il sistema operativo in caso di attacco di cybersecurity.
- Per l'accesso ai dati personali memorizzati nei sistemi elettronici devono essere garantite delle password. La password deve essere composta da almeno 8 caratteri, un misto di numeri e lettere.
- Nel caso in cui i dati personali siano accessibili a diverse persone, per ogni persona che ha accesso ai dati personali devono essere disponibili un nome utente e una password specifici (identificazione univoca).
- Deve essere garantita la riservatezza delle password, impedendo che vengano esposte a terzi. In nessun caso le password devono essere condivise o lasciate scritte in un luogo comune e accessibili a persone diverse dall'utente.
DOVERE DI CURA
Di seguito sono riportate le misure tecniche minime per garantire la salvaguardia dei dati personali:
- AGGIORNAMENTO DI COMPUTER E DISPOSITIVI: i dispositivi e i computer utilizzati per la memorizzazione e il trattamento dei dati personali devono essere mantenuti aggiornati per quanto possibile.
- MALWARE: i computer e i dispositivi in cui viene effettuato il trattamento automatizzato dei dati personali devono essere dotati di un sistema antivirus che garantisca per quanto possibile il furto e la distruzione dei dati e delle informazioni personali. Il sistema antivirus deve essere aggiornato regolarmente.
- FIREWALL: al fine di evitare l'indebito accesso remoto ai dati personali, deve essere attivato un firewall sui computer e sui dispositivi in cui i dati personali sono conservati e/o trattati.
- CIFRATURA DEI DATI: quando è necessario estrarre i dati personali al di fuori dei locali in cui vengono trattati, sia con mezzi fisici che elettronici, deve essere valutata la possibilità di utilizzare un metodo di cifratura per garantire la riservatezza dei dati personali in caso di accesso improprio alle informazioni.
- BACK-UP: Una copia di back-up deve essere effettuata periodicamente su un secondo supporto diverso da quello utilizzato per il lavoro quotidiano. La copia deve essere conservata in un luogo sicuro, diverso da quello in cui si trova il computer con i file originali, per consentire il recupero dei dati personali in caso di perdita delle informazioni.
Le misure di sicurezza devono essere riviste periodicamente; la revisione può essere effettuata con meccanismi automatici (software o programmi informatici) o manualmente. Considerate che qualsiasi incidente di sicurezza informatica capitato a qualcuno che conoscete può capitare anche a voi e prendete le dovute precauzioni.