Accordo sul Trattamento dei Dati (DPA)
Articolo 1 – Oggetto
Il presente accordo ha lo scopo di definire le condizioni in cui The Form Company agisce in qualità di responsabile del trattamento per conto del titolare del trattamento riguardo al trattamento dei dati personali in conformità al GDPR.
Questo accordo costituisce un emendamento obbligatorio che regola il trattamento dei dati personali nell'ambito dell'esecuzione dei servizi, a complemento delle condizioni generali di servizio o di qualsiasi altro contratto tra le parti.
Articolo 2 – Entrata in Vigore e Durata
Il presente accordo entra in vigore alla data di inizio del contratto di servizio. Rimane applicabile per tutta la durata del rapporto contrattuale e continua dopo la risoluzione per le operazioni di cancellazione, restituzione o archiviazione dei dati.
Articolo 3 – Descrizione del Trattamento
Finalità
Permettere ai titolari del trattamento di:
- Raccogliere dati tramite moduli
- Gestire fascicoli digitali con documenti giustificativi
- Organizzare flussi di lavoro di validazione
- Esportare le informazioni raccolte
Operazioni Effettuate da The Form Company
- Messa a disposizione dell'infrastruttura per l'inserimento, l'archiviazione e la consultazione dei dati
- Hosting sicuro
- Attivazione di notifiche
- Trattamento automatizzato di documenti
- Supporto tecnico
Tipi di Dati Trattati
- Dati identificativi: nome, email, telefono
- Documenti giustificativi: copie di documenti d'identità, contratti
- Dati tecnici: indirizzi IP, registri di accesso
Interessati
Clienti, partecipanti ai moduli e potenzialmente dipendenti o partner che utilizzano la piattaforma.
Durata del Trattamento
I dati sono trattati durante la durata del rapporto contrattuale o secondo i parametri definiti dal titolare del trattamento. Sono cancellati o restituiti alla fine del contratto.
Articolo 4 – Impegni del Responsabile del Trattamento
- Trattare i dati solo secondo le istruzioni documentate del titolare del trattamento
- Assicurarsi che il personale rispetti gli obblighi di riservatezza
- Tenere un registro delle attività di trattamento
- Implementare le misure di sicurezza appropriate
- Avvisare il titolare del trattamento in caso di istruzioni manifestamente illegali
- Assistere il titolare del trattamento nella dimostrazione della conformità al GDPR
Articolo 5 – Obblighi del Titolare del Trattamento
- Determinare le finalità e le modalità del trattamento
- Fornire un'informazione chiara agli interessati prima della raccolta
- Assicurarsi dell'esistenza di una base giuridica valida
- Configurare la piattaforma nel rispetto della privacy-by-design
- Permettere l'esercizio effettivo dei diritti degli interessati
- Fornire le istruzioni necessarie al responsabile del trattamento
Articolo 6 – Sub-responsabili
Il responsabile del trattamento può avvalersi di sub-responsabili. Il titolare del trattamento riceve un preavviso scritto di 15 giorni prima di qualsiasi nuovo incarico.
Il titolare del trattamento dispone di 10 giorni lavorativi per opporsi. Il responsabile del trattamento rimane pienamente responsabile della conformità dei sub-responsabili tramite obblighi contrattuali conformi al presente accordo.
Articolo 7 – Trasferimenti al di Fuori del SEE
I trasferimenti sono autorizzati solo con decisioni di adeguatezza, clausole contrattuali tipo o deroghe previste dall'articolo 49 del GDPR.
Il responsabile del trattamento informa il titolare del trattamento dei trasferimenti con la destinazione, la base giuridica e le garanzie supplementari, e fornisce la documentazione su richiesta.
Articolo 8 – Assistenza per i Diritti degli Interessati
Il responsabile del trattamento assiste nell'esercizio dei diritti: accesso, rettifica, cancellazione, limitazione del trattamento, opposizione e portabilità dei dati.
Le richieste dirette indirizzate al responsabile del trattamento sono trasmesse al titolare del trattamento senza risposta autonoma, salvo istruzione contraria precedente.
Articolo 9 – Notifica delle Violazioni dei Dati
Il responsabile del trattamento notifica al titolare del trattamento senza ingiustificato ritardo, al massimo 48 ore dopo qualsiasi incidente di sicurezza che colpisce i dati personali, includendo:
- La natura dell'incidente
- La data e l'ora
- Il volume dei dati interessati
- Le conseguenze
- Le misure correttive
- Le informazioni di contatto
Articolo 10 – Misure di Sicurezza
Il responsabile del trattamento implementa:
- Crittografia dei dati
- Firewall
- Controlli di accesso basati sui ruoli
- Autenticazione
- Isolamento logico degli ambienti
- Registrazione degli accessi
- Procedure di backup
- Rilevamento delle anomalie
- Selezione rigorosa dei fornitori
Articolo 11 – Trattamento dei Dati dopo la Fine del Contratto
Alla fine del contratto, il responsabile del trattamento restituisce i dati in un formato strutturato o li cancella in modo sicuro entro 60 giorni di calendario, salvo obbligo legale di conservazione.
Un'attestazione di cancellazione è fornita su richiesta.
Articolo 12 – Audit e Documentazione
Il titolare del trattamento può effettuare audit di conformità con preavviso ragionevole, al massimo una volta all'anno, salvo che un'emergenza giustifichi una verifica supplementare.
Il responsabile del trattamento coopera proteggendo al contempo i segreti industriali e i dati degli altri clienti.
Articolo 13 – Responsabilità e Limiti
Il responsabile del trattamento assume la responsabilità del trattamento definito contrattualmente nei limiti delle istruzioni ricevute.
Il responsabile del trattamento non è responsabile delle inadempienze del titolare del trattamento, degli errori di configurazione o delle istruzioni illegali.
Il titolare del trattamento rimane responsabile della liceità del trattamento, dell'esattezza dei dati e degli obblighi di informazione.
Articolo 14 – Legge Applicabile
Il presente accordo è regolato dalla legge francese.
Le controversie sono trattate mediante risoluzione amichevole. I conflitti non risolti sono portati davanti ai tribunali della giurisdizione della sede legale del responsabile del trattamento.