DATA PROCESSING AGREEMENT

EX ART. 28 DEL REGOLAMENTO UE 2016/679

TRA

L’Utente della Piattaforma e/o delle App e/o dei Servizi e/o dei Servizi Extra, quale operatore professionale che agisce nel settore sportivo o che utilizza la Piattaforma e/o l’App e/o i Servizi e/o i Servizi Extra di GLE per scopi professionali

“UTENTE” o “TITOLARE DEL TRATTAMENTO”

E

GLE Holding S.R.L. S.B., con sede legale in via Cusani 10 – 20121 Milano (MI), P. IVA 10327970967 contattabile al seguente indirizzo mail: [email protected] in persona del proprio legale rappresentante pro tempore

“GLE” o “RESPONSABILE DEL TRATTAMENTO”

TITOLARE DEL TRATTAMENTO e RESPONSABILE DEL TRATTAMENTO potranno essere definiti anche singolarmente la “PARTE” e congiuntamente le “PARTI

PREMESSO CHE

A. Le Parti accettano che il presente contratto (nel seguito, anche “Data Processing Agreement” o “DPA”) definisce le rispettive obbligazioni riguardanti il trattamento e la protezione dei dati personali inseriti dall’Utente all’interno delle Piattaforme e Applicazioni, o nel corso dell’erogazione dei Servizi (compresi, se del caso, i Servizi Extra) a favore del Cliente, così come definiti dalle condizioni generali di contratto di cui il presente DPA forma parte integrante e sostanziale. B. Il Titolare del Trattamento e il Responsabile del Trattamento si obbligano a porre in essere, nell’ambito dei compiti delimitati contrattualmente e dei rispettivi ruoli definiti dal legislatore nazionale e comunitario in materia di trattamento dei dati personali, tutte le misure necessarie a ridurre al minimo il rischio di data breach, inteso quale rischio connesso alla violazione di dati personali, così come definito dal Reg. UE n. 679/16 (il “GDPR”). C. L’Utente accetta che le condizioni generali di contratto, unitamente al presente Data Processing Agreement e all’informativa sul trattamento dei dati personali costituiscano l’insieme completo e finale di istruzioni documentate fornite dall’Utente a GLE per il trattamento dei Dati Personali (come definiti nel prosieguo). D. Le premesse costituiscono parte integrante e sostanziale del presente DPA.

TUTTO CIÒ PREMESSO

LE PARTI CONVENGONO E STIPULANO QUANTO SEGUE

  1. DEFINIZIONI
    1. Nel presente DPA vengono utilizzate le seguenti definizioni: “App”: le applicazioni mobili integrate o integrabili alla Piattaforma. “Dati dell’Utente”: tutti i Dati Personali, inclusi i file di testo, audio, video o immagini contenenti dati personali e forniti a GLE da o per conto dell’Utente tramite l’utilizzo della Piattaforma e/o dell’App e/o la fruizione dei Servizi e/o dei Servizi Extra. “Dati Personali”: qualsiasi dato e/o informazione relativi a una persona fisica identificata o identificabile. “GDPR”: il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati. “Piattaforma”: il software gestionale creato e sviluppato da GLE, in grado di rispondere alle esigenze degli operatori del settore sportivo mediante la digitalizzazione di processi relativi alle aree organizzative tipiche di una società sportiva, fra cui, a titolo esemplificativo e non esaustivo, l’area amministrativa, finanziaria e sportiva. La Piattaforma è concessa in licenza d’uso all’Utente in modalità “SaaS” (Software as a Service). “Servizi”: i servizi offerti da GLE insieme alla concessione in licenza d’uso della Piattaforma, inclusi nei Pacchetti. “Servizi Extra”: i servizi forniti da GLE in aggiunta ai Servizi inclusi nei Pacchetti, la cui fornitura è disciplinata dall’Addendum. “Utente”: l’utente della Piattaforma e/o delle App e/o dei Servizi e/o dei Servizi Extra, quale operatore professionale che agisce nel settore sportivo o che utilizza la Piattaforma e/o l’App e/o i Servizi e/o i Servizi Extra di GLE per scopi professionali.
    2. I termini utilizzati con la lettera maiuscola, ma non definiti dal presente Data Processing Agreement, hanno il significato attribuito loro nelle condizioni generali di contratto stipulate con GLE.
    3. I termini utilizzati, ma non definiti nel presente Data Processing Agreement relativo alla protezione dei Dati Personali, ad esempio “violazione dei dati personali”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “profilazione” “interessato” avranno la stessa accezione attribuita nell’Articolo 4 del GDPR, anche se quest’ultimo non fosse applicabile.
  2. NOMINA
    1. L’Utente, quale Titolare del trattamento dei dati cui competono le decisioni in ordine alle finalità e alle modalità del trattamento dei Dati Personali, riconosce e accetta GLE quale responsabile dei trattamenti dei dati personali effettuati nell’ambito del rapporto contrattuale principale in essere tra le Parti (nella specie, le condizioni generali di contratto per la concessione in licenza della Piattaforma e l’erogazione dei Servizi, inclusi, se del caso, i Servizi Extra).
  3. OGGETTO
    1. Ai sensi dell’art. 28 del GDPR il presente Data Processing Agreement disciplina i rapporti tra Titolare (Utente) e Responsabile (GLE) e le operazioni di trattamento da quest’ultimo intraprese per conto del Titolare nell’ambito dell’utilizzo e/o fruizione della Piattaforma e/o delle App e/o dei Servizi e/o dei Servizi Extra e dei Dati Personali che il Titolare inserisce al loro interno.
    2. L’Utente, in qualità di Titolare dei dati personali immessi nella Piattaforma e/o nell’App, conserva la piena autonomia in merito ai mezzi e alle finalità dei trattamenti di tali dati e dichiara di trattarli legittimamente, avendo pienamente adempiuto a tutti gli obblighi di sua competenza previsti dal GDPR e dalle altre normative applicabili, compresi gli obblighi di informazione a cui è tenuto nei confronti delle persone fisiche interessate.
    3. L’Utente, inoltre, dichiara fin da ora di manlevare e tenere indenne GLE da qualunque pretesa – a qualsiasi titolo o causa – avanzata da interessati e/o terzi e/o Autorità di controllo nazionali o estere, in conseguenza del mancato o parziale adempimento dei propri obblighi sanciti dal GDPR o da altre normative applicabili in materia di protezione dei dati personali.
    4. GLE si impegna, nella sua veste di Responsabile del Trattamento e nei limiti delle sue competenze, a elaborare i Dati Personali trattati tramite la Piattaforma e/o l’App nel rispetto e in conformità del GDPR e delle altre normative applicabili in materia di protezione dei dati personali.
    5. In merito alle operazioni di trattamento effettuate dal Responsabile del Trattamento si precisa quanto segue:
      1. BASE GIURIDICA Il Titolare del Trattamento conferisce a GLE un mandato in base al quale quest’ultima tratterà i Dati Personali riferibili a soci, dipendenti, collaboratori, tesserati dell’Utente e in ogni caso dati personali di cui l’Utente è titolare, al fine di offrire servizi a favore dell’Utente per la digitalizzazione di processi relativi ad aree, funzioni e attività tipiche di una società e/o associazione sportiva, mediante l’accesso e l’utilizzo della Piattaforma “Golee” e/o di altre App integrate o integrabili, nonché la fruizione dei Servizi e/o Servizi Extra.
      2. FINALITÀ Il trattamento delegato al Responsabile del Trattamento, in relazione alla Piattaforma e/o alle App, ha come finalità quello di erogare all’Utente i Servizi e/o Servizi Extra e per svolgere attività aziendali di GLE, nei limiti riportati di seguito: a. Erogazione Servizi GLE · Gestire un archivio di dati personali relativi a staff tecnico e dirigenziale, giocatori e/o tesserati, clienti e/o fornitori del Titolare del Trattamento. · Trattare i Dati dell’Utente per gestire adempimenti di natura finanziaria, amministrativa o per agevolare l’organizzazione e per monitorare eventi o attività legate all’area sportiva. · Conservare Dati Personali anche per fini statistici connessi alle prestazioni sportive dell’Utente. · Effettuare operazioni di backup per motivi legati ad interventi di manutenzione e/o riparazione dei sistemi. · Archiviare dati personali in data center e/o archivi digitali. b. Attività aziendali di GLE · Attività di risoluzione dei problemi (prevenzione, rilevamento e correzione di problemi) e di miglioramento continuo (installazione degli ultimi aggiornamenti e applicazione di miglioramenti relativi a produttività utente, affidabilità, efficacia e sicurezza). · Gestione account e fatturazioni. · Attivazione di servizi a favore degli utenti. · Creazione di report e modelli interni, in modalità aggregata e per finalità statistiche. · Attività volte alla prevenzione di frodi, crimini informatici o cyber attacchi che potrebbero avere impatto negativo su GLE o su prodotti e servizi di GLE.
      3. TIPOLOGIE DI DATI Le tipologie dei dati che il Responsabile è autorizzato a trattare sono: · Dati anagrafici e/o di contatto di giocatori, allenatori, staff dirigenziale e staff tecnico, clienti e fornitori. · Dati finanziari/contabili riguardanti lo stato pagamento di giocatori · Dati finanziari/contabili riguardanti clienti o fornitori · Dati di fatturazione riguardanti clienti e/o fornitori · Certificati di idoneità medico-sportiva di giocatori e/o atleti · Dati statistici e di performance di giocatori e/o atleti · Files, documentazione contenenti dati personali · attività Internet, ad esempio cronologia esplorazioni, cronologia di ricerca e attività di lettura · Documenti di identificazione univoci ad esempio codice fiscale, numero di conto corrente bancario, numero di passaporto e carta d’identità, numero di patente, indirizzi IP, firma, identificatore univoco per cookie o tecnologie simili. · Credenziali e/o chiavi di accesso, ad esempio nome utente e password.
      4. CATEGORIE DI INTERESSATI I soggetti interessati dal trattamento sono lo staff dirigenziale o tecnico, giocatori e/o tesserati, dipendenti, collaboratori, clienti e/o fornitori dell’Utente.
      5. TRATTAMENTO CONCESSO AL RESPONSABILE Al Responsabile è delegato ogni trattamento di dati personali che sia inerente alla corretta esecuzione dei Servizi a cui ha accesso l’Utente in relazione al tipo di Pacchetto o Applicazione scelta.
  4. AMBITO E DURATA
    1. Il Responsabile del Trattamento è autorizzato a trattare, per conto del Titolare del Trattamento, i dati personali necessari a svolgere la sua attività, così come meglio descritti al punto 3 del presente DPA, nonché ai relativi contratti inter partes.
    2. Il presente DPA avrà durata pari al rapporto contrattuale principale in essere tra le Parti, costituendone parte integrante, e dovrà considerarsi automaticamente cessato in seguito a qualunque causa interruttiva del medesimo rapporto.
  5. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO
    1. Spetta all’Utente ogni adempimento connesso al titolare del trattamento dei dati, con riguardo a tutte le attività di trattamento in cui assume tale veste nei rapporti con GLE.
    2. Spetta all’Utente, in veste di titolare del trattamento, fornire ai soggetti interessati, al momento dell’acquisizione dei dati, l’informativa sul trattamento dei dati personali di cui agli artt. 13 e 14 del GDPR.
  6. OBBLIGHI GENERALI DEL RESPONSABILE DEL TRATTAMENTO
    1. Il Responsabile del Trattamento dichiara di presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, così come espressamente richiesto dal Titolare, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.
    2. Il Responsabile del Trattamento si obbliga a dare notizia al Titolare del Trattamento tramite comunicazione scritta di ogni eventuale nuovo trattamento che si dovesse rendere necessario al fine di erogare i servizi connessi al rapporto fra le Parti.
    3. Il Responsabile del Trattamento è autorizzato a svolgere operazioni di trattamento di Dati Personali connessi ai Servizi e/o Servizi Extra descritti dalle condizioni d’uso accettate dal Titolare del Trattamento o quelle operazioni compatibili a tali finalità.
    4. Il Responsabile del Trattamento è inoltre tenuto a: · garantire la protezione dei dati personali oggetto del presente Data Processing Agreement, adottando misure tecniche e organizzative adeguate e tenendo conto dello stato dell’arte in materia; · garantire che le persone autorizzate dal Responsabile a trattare i dati personali ricevano la formazione adeguata in materia di protezione dei dati personali nel rispetto della normativa vigente in materia di protezione dei dati personali e siano soggette ad impegni di riservatezza; · non trattare i Dati dell’Utente per finalità differenti e/o ulteriori senza previo accordo con il Titolare del Trattamento. Se il Responsabile, in violazione del GDPR e del presente DPA, determina ulteriori finalità e mezzi del trattamento, è considerato a tutti gli effetti un titolare per quei trattamenti; · vigilare costantemente sull’operato delle persone autorizzate al trattamento relativamente alla puntuale applicazione da parte di esse delle istruzioni dettagliate in merito alle operazioni di trattamento consentite e alle misure di sicurezza adottate in relazione alle criticità dei dati trattati; · garantire diversi livelli di autorizzazione al trattamento dei dati, al fine di consentire l’accesso ai soli dati necessari allo svolgimento delle operazioni rispetto alle mansioni svolte.
    5. Il Responsabile, quando ritiene che un’istruzione del Titolare possa violare una disposizione del GDPR, o altra normativa vigente in materia di protezione dei dati personali, deve informare immediatamente il Titolare.
    6. Il Responsabile è tenuto a tenere per iscritto un registro delle attività di trattamento per conto del Titolare ai sensi dell’art. 30 GDPR. Su richiesta del Titolare, il Responsabile fornisce copia del registro aggiornata in formato strutturato di uso comune e leggibile.
    7. Il Responsabile si impegna a collaborare con il Titolare e mettere a disposizione del Titolare tutte le informazioni e i documenti necessari per dimostrare la conformità del trattamento al GDPR e normativa vigente in materia di protezione dei dati personali.
    8. Il Titolare autorizza espressamente il Responsabile, che a ciò si impegna, a stipulare per suo conto con eventuali terzi sub-fornitori, quando stabiliti in un paese al di fuori dell’Unione Europea per il quale la Commissione Europea non abbia emesso un giudizio di adeguatezza del livello di protezione dei dati personali, un accordo per il trasferimento dei dati all’estero contenente le apposite clausole contrattuali (e successive modifiche) adottate dalla stessa Commissione Europea con Decisione di Esecuzione (UE) 2021/914 del 4 giugno 2021 (cd. Clausole Contrattuali Tipo) e l’Allegato II “Misure di sicurezza”.
    9. Alla cessazione rapporto contrattuale principale o su richiesta del Titolare, il Responsabile è tenuto a restituire tutti i dati personali oggetto del trattamento, ad eccezione di quei dati che il Responsabile è tenuto a conservare per legge e comunque per un periodo di tempo non eccedente gli scopi per i quali sono stati raccolti o successivamente conservati. Il Responsabile deve fornire certificazione sottoscritta dal Titolare attestante il rispetto delle procedure per la restituzione dei dati personali.
  7. ESERCIZIO DEI DIRITTI DEI SOGGETTI INTERESSATI
    1. Per quanto possibile, il Responsabile deve assistere il Titolare nelle attività e procedure dirette a permettere l’esercizio dei diritti dei soggetti interessati previsti agli artt. 15 – 22 del GDPR, tenendo conto del fatto che in caso di attività di profilazione, i diritti di cui agli artt. 16 e 17 (diritto di rettifica e cancellazione) si applicano non soltanto ai dati personali utilizzati per creare il profilo, ma anche l’output dell’attività di profilazione (il profilo o il punteggio assegnato).
    2. Qualora l’interessato faccia valere i suoi diritti presso il Responsabile presentandogli relativa richiesta, il Responsabile è tenuto ad informare tempestivamente il Titolare.
  8. SUB-RESPONSABILI
    1. Il Responsabile è autorizzato sin d’ora ad impiegare “sub-responsabili” per lo svolgimento delle operazioni di trattamento di dati personali per conto del Titolare, garantendo che quest’ultimi siano in possesso dei requisiti di esperienza, capacità e affidabilità necessari per l’esecuzione delle attività affidategli, incluso il profilo relativo alla sicurezza (cfr.: art. 32 GDPR).
    2. Il Responsabile del trattamento informa il Titolare di eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando al Titolare la possibilità di visionare preventivamente il contratto tra Responsabile e sub-responsabile ed opporsi, eventualmente, a tali modifiche.
    3. Il Responsabile si impegna a svolgere le adeguate procedure di controllo in relazione a ciascun sub-responsabile del trattamento per verificare che sia in grado di fornire un livello adeguato di protezione dei dati personali attraverso l’implementazione di idonee misure tecniche ed organizzative.
    4. Rimane inteso che il Responsabile del trattamento conserva nei confronti del Titolare l’intera responsabilità per l’inadempimento degli obblighi a cui sono soggetti i sub-responsabili.
  9. NOTIFICA DELLE VIOLAZIONI (“DATA BREACH”)
    1. Il Responsabile si impegna a documentare qualsiasi violazione dei dati personali, comprese le circostanze ad esse relative, le sue conseguenze e le azioni intraprese per limitare l’impatto della violazione sui diritti e le libertà dei soggetti interessati. Il Responsabile dovrà: · comunicare tempestivamente tutti gli elementi e le informazioni ai sensi dell’art. 33 del GDPR; · fornire l’assistenza necessaria alla comprensione dell’evento anche per l’eventuale notifica all’Autorità di Controllo competente ed ai soggetti interessati qualora necessario.
  10. VARIE
    1. L’eventuale nullità di una o più clausole del presente accordo o di parte di esse non inficerà la validità e l’applicabilità delle altre clausole e/o del resto della disposizione in questione.
    2. Eventuali deroghe, modifiche e/o aggiunte al DPA saranno comunicate da GLE con mezzi adeguati a renderle conoscibili all’Utente.
    3. Il presente DPA e i diritti e gli obblighi da esso derivanti per le Parti non sono trasferibili, né direttamente né indirettamente, senza il previo accordo scritto della controparte. L’eventuale o persino ripetuta mancata applicazione dalle Parti di un dato diritto è interpretabile unicamente come tolleranza di una determinata situazione e non dà adito ad acquiescenza.