DATA PROCESSING AGREEMENT
EX ART. 28 DEL REGOLAMENTO UE 2016/679
TRA
L’utente della Piattaforma e/o delle App e/o dei Servizi, quale operatore professionale che agisce nel settore sportivo o che utilizza la Piattaforme e/o i Servizi di GLE per scopi professionali
“TITOLARE DEL TRATTAMENTO”
E
GLE Holding S.R.L., con sede legale in Corso Monforte, 7 – 20122 Milano (MI), P. IVA 10327970967 (nel seguito, “GLE”) contattabile al seguente indirizzo mail: [email protected] in persona del proprio presidente pro tempore
“RESPONSABILE DEL TRATTAMENTO”
Titolare e Responsabile potranno essere definiti anche singolarmente la “Parte” e congiuntamente le “Parti”
PREMESSO CHE
– Le parti accettando che il presente Agreement (nel seguito, anche DPA) definisce le rispettive obbligazioni riguardanti il trattamento e la protezione dei dati personali inseriti dall’Utente all’interno delle Piattaforme e Applicazioni, o nel corso dell’erogazione dei Servizi a favore del Cliente, così come definiti dalle condizioni generali di contratto di cui il presente DPA forma parte integrante e sostanziale;
– Il Titolare del Trattamento e il Responsabile del Trattamento si obbligano a porre in essere, nell’ambito dei compiti delimitati contrattualmente e dei rispettivi ruoli definiti dal legislatore nazionale e comunitario in materia di trattamento dei dati personali, tutte le misure necessarie a ridurre al minimo il rischio data breach, inteso quale rischio connesso alla violazione di dati personali, così come definito dal Reg. UE n. 679/16;
– L’Utente accetta che le condizioni generali di contratto, unitamente al presente Agreement e all’informativa sul trattamento dei dati personali costituiscano l’insieme completo e finale di istruzioni documentate fornite dall’Utente a GLE per il trattamento dei Dati Personali.
– Le premesse costituiscono parte integrante e sostanziale del presente contratto.
TUTTO CIÒ PREMESSO
- DEFINIZIONI
- Nel presente Agreement vengono utilizzate le seguenti definizioni:
- “Dati dell’Utente”: tutti i dati personali, inclusi i file di testo, audio, video o immagini contenenti dati personali e forniti a GLE da o per conto dell’Utente tramite l’utilizzo delle Piattaforme.
- “Dati personali”: qualsiasi dato relativo a una persona fisica identificata o identificabile.
- Nel presente Agreement vengono utilizzate le seguenti definizioni:
- “GDPR”: il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
- “Piattaforma”: la piattaforma digitale di servizi denominata “Golee”, creato e sviluppato da GLE, erogato al Cliente in modalità “SaaS” (Software As A Service).
- “Piattaforme”: il termine include, oltre alla Piattaforma, anche le altre Applicazioni, integrate o integrabili alla Piattaforma, nonché i servizi online ad esse correlati e qualsiasi altro prodotto o servizio di GLE.
- I termini utilizzati, ma non definiti nel presente Agreement relativo alla Protezione dei Dati Personali, ad esempio “violazione dei dati personali”, “trattamento”, “titolare del trattamento”, “responsabile del trattamento”, “profilazione” “interessato” avranno la stessa accezione attribuita nell’Articolo 4 del Regolamento Generale sulla Protezione dei Dati (Reg. UE n. 679/16), anche se quest’ultimo non fosse applicabile.
- QUALITÀ DELLE PARTI
- L’Utente delle Piattaforme quale Titolare del trattamento dei dati cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali, riconosce e accetta GLE quale Responsabile dei trattamenti dei dati personali effettuati nell’ambito dei contratti in essere tra le parti.
- OGGETTO
- Ai sensi dell’art. 28 del GDPR il presente accordo (Data Processing Agreement) disciplina i rapporti tra Titolare (Utente) e Responsabile (GLE) e le operazioni di trattamento da quest’ultimo intraprese per conto del Titolare nell’ambito delle Piattaforme e dei dati che il Titolare inserisce al loro interno.
- L’Utente, in qualità di Titolare dei dati personali immessi nelle Piattaforme, conserva la piena autonomia in merito ai mezzi e alle finalità dei trattamenti di tali dati e dichiara di trattarli legittimamente, avendo pienamente adempiuto a tutti gli obblighi di sua competenza previsti dal Reg. UE n. 679/16 e dalle altre normative applicabili, compresi gli obblighi di informazione a cui è tenuto nei confronti delle persone fisiche interessate;
- L’Utente, inoltre, dichiara fin da ora di manlevare e tenere indenne GLE da qualunque pretesa – a qualsiasi titolo o causa – avanzata da interessati e/o terzi e/o Autorità di controllo nazionali o estere, in conseguenza del mancato o parziale adempimento dei propri obblighi sanciti dal Reg. UE n. 679/16 o da altre normative applicabili in materia di protezione dei dati personali;
- GLE si impegna, nella sua veste di Responsabile del Trattamento e nei limiti delle sue competenze, ad elaborare i dati personali trattati tramite le Piattaforme nel rispetto e in conformità del Reg. UE n. 679/16 e delle altre normativi applicabili in materia di protezione dei dati personali.
- In merito alle operazioni di trattamento effettuate dalle Piattaforme si precisa quanto segue:
- BASE GIURIDICA:
Il Titolare conferisce a GLE un mandato in base al quale il Responsabile tratterà i dati personali riferibili a soci dipendenti, collaboratori, tesserati dell’Utente e in ogni caso dati personali di cui l’Utente è titolare al fine di: offrire servizi a favore dell’Utente per la digitalizzazione di processi relativi ad aree, funzioni e attività tipiche di una società e/o associazione sportiva, mediante l’accesso e l’utilizzo di “Golee” e/o di altre App integrate o integrabili.
- FINALITÁ:
Il trattamento delegato al Responsabile in relazione alle singole Piattaforme, ha come finalità quello di erogare all’Utente i servizi relativi alle Piattaforme utilizzate e per svolgere attività aziendali di GLE, nei limiti riportati di seguito:
EROGAZIONE SERVIZI
GOLEE
- Gestire un archivio di dati personali relativi a staff tecnico e dirigenziale, giocatori e/o tesserati, clienti e/o fornitori del Titolare;
- Trattare i dati personali immessi nella piattaforma dall’Utente, per gestire adempimenti di natura finanziaria, amministrativa o per agevolare l’organizzazione e per monitorare eventi o attività legate all’area sportiva;
- Conservare dati personali anche per fini statistici connessi alle prestazioni sportive dell’Utente;
- effettuare operazioni di backup per motivi legati ad interventi di manutenzione e/o riparazione dei sistemi;
- Archiviare dati personali in Data Center e/o archivi digitali;
ATTIVITÀ AZIENDALI DI GLE
- Attività di Risoluzione dei problemi (prevenzione, rilevamento e correzione di problemi) e di Miglioramento continuo (installazione degli ultimi aggiornamenti e applicazione di miglioramenti relativi a produttività utente, affidabilità, efficacia e sicurezza).
- Gestione account e fatturazioni.
- Attivazione di servizi a favore degli utenti.
- Creazione di report e modelli interni, in modalità aggregata e per finalità statistiche.
- attività volte alla prevenzione di frodi, crimini informatici o cyber attacchi che potrebbero avere impatto negativo su GLE o su Prodotti e Servizi di GLE.
III. TIPOLOGIE DI DATI
Le tipologie dei dati che il Responsabile è autorizzato a trattare sono:
- Dati anagrafici e/o di contatto di giocatori, allenatori, staff dirigenziale e staff tecnico, clienti e fornitori.
- Dati finanziari/contabili riguardanti lo stato pagamento di giocatori;
- Dati finanziari/contabili riguardanti clienti o fornitori;
- Dati di fatturazione riguardanti clienti e/o fornitori;
- Certificati di idoneità medico-sportiva di giocatori e/o atleti;
- Dati statistici e di performance di giocatori e/o atleti;
- Files, documentazione contenenti dati personali;
- attività Internet, ad esempio cronologia esplorazioni, cronologia di ricerca e attività di lettura;
- Documenti di identificazione univoci ad esempio codice fiscale, numero di conto corrente bancario, numero di passaporto e carta d’identità, numero di patente, indirizzi IP, firma, identificatore univoco per cookie o tecnologie simili;
- Credenziali e/o chiavi di accesso, ad esempio nome utente e password;
- CATEGORIE DI INTERESSATI:
I soggetti interessati dal trattamento sono lo staff dirigenziale o tecnico, giocatori e/o tesserati, dipendenti, collaboratori, clienti e/o fornitori dell’Utente.
- TRATTAMENTO CONCESSO AL RESPONSABILE:
Al Responsabile è delegato ogni trattamento di dati personali che sia inerente alla corretta esecuzione dei Servizi a cui ha accesso l’Utente in relazione al tipo di Pacchetto o Applicazione scelta.
- AMBITO E DURATA
- Il Responsabile è autorizzato a trattare, per conto del Titolare, i dati personali necessari a svolgere la sua Attività, così come meglio descritti al punto 2 del presente Accordo (cfr: oggetto), nonché ai relativi contratti inter partes;
- Il presente accordo avrà durata pari al rapporto contrattuale in essere tra le Parti, costituendone parte integrante, e dovrà considerarsi automaticamente cessata in seguito a qualunque causa interruttiva del medesimo rapporto.
- OBBLIGHI DEL TITOLARE
- Spetta all’Utente ogni adempimento connesso al Titolare del trattamento dei dati, con riguardo a tutte le attività di trattamento in cui assume tale veste nei rapporti con GLE;
- spetta all’Utente, in veste di Titolare, fornire ai soggetti Interessati, al momento dell’acquisizione dei dati, l’informativa sul trattamento dei dati personali di cui agli artt. 13 e 14 del GDPR.
- OBBLIGHI GENERALI DEL RESPONSABILE
- Il Responsabile del trattamento dichiara di presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, così come espressamente richiesto dal Titolare, in modo tale che il trattamento soddisfi i requisiti del Regolamento UE n. 679/16 e garantisca la tutela dei diritti dell’interessato;
- Il Responsabile si obbliga a dare notizia al Titolare tramite comunicazione scritta di ogni eventuale nuovo trattamento che si dovesse rendere necessario al fine di erogare i servizi connessi al rapporto fra le parti;
- il Responsabile è autorizzato a svolgere operazioni di trattamento di dati personali connessi ai Servizi descritti dalle condizioni d’uso accettate dal Titolare o quelle operazioni compatibili a tali finalità;
- il Responsabile è inoltre tenuto a:
- garantire la protezione dei dati personali oggetto del presente accordo, adottando misure tecniche e organizzative adeguate e tenendo conto dello stato dell’arte;
- garantire che le persone autorizzate dal Responsabile a trattare i dati personali ricevano la formazione adeguata in materia di protezione dei dati personali nel rispetto della normativa vigente in materia di protezione dei dati personali e siano soggette ad impegni di riservatezza;
- non trattare i dati personali di cui all’Incarico per finalità differenti e/o ulteriori senza previo accordo con il Titolare. Se il Responsabile, in violazione del GDPR e del presente contratto, determina ulteriori finalità e mezzi del trattamento, è considerato a tutti gli effetti un Titolare per quei trattamenti;
- vigilare costantemente sull’operato delle persone autorizzate al trattamento relativamente alla puntuale applicazione da parte di esse delle istruzioni dettagliate in merito alle operazione di trattamento consentito e alle misure di sicurezza adottate in relazione alle criticità dei dati trattati;
- garantire diversi livelli di autorizzazione al trattamento dei dati, al fine di consentire l’accesso ai soli dati necessari allo svolgimento delle operazioni rispetto alle mansioni svolte;
- il Responsabile ritiene che un’istruzione del Titolare possa violare una disposizione del GDPR, o altra normativa vigente in materia di protezione dei dati personali, deve informare immediatamente il Titolare;
- il Responsabile è tenuto a tenere per iscritto un Registro delle attività di trattamento per conto del Titolare ai sensi dell’art. 30 GDPR. Su richiesta del Titolare il Responsabile fornisce copia del registro aggiornata in formato strutturato di uso comune e leggibile;
- il Responsabile si impegna a collaborare con il Titolare e mettere a disposizione del Titolare tutte le informazioni e i documenti necessari per dimostrare la conformità del trattamento al GDPR e normativa vigente in materia di protezione dei dati personali;
- il Titolare autorizza espressamente il Responsabile, che a ciò si impegna, a stipulare per suo conto con eventuali terzi sub-fornitori, quando stabiliti in un paese al di fuori dell’Unione Europea per il quale la Commissione Europea non abbia emesso un giudizio di adeguatezza del livello di protezione dei dati personali, un accordo per il trasferimento dei dati all’estero contenente le apposite clausole contrattuali (e successive modifiche) adottate dalla stessa Commissione Europea con Decisione 2010/87/UE del 5 febbraio 2010 (di seguito: “Clausole Contrattuali Tipo”);
- alla cessazione dell’incarico o su richiesta del Titolare, il Responsabile è tenuto a restituire tutti i dati personali oggetto del trattamento al termine della prestazione di servizi, ad eccezione di quei dati che il Responsabile è tenuto a conservare per legge e comunque per un periodo di tempo non eccedente gli scopi per i quali sono stati raccolti o successivamente conservati. Il Responsabile deve fornire certificazione sottoscritta dal Titolare attestante il rispetto delle procedure per la restituzione dei dati personali;
- ESERCIZIO DEI DIRITTI DEI SOGGETTI INTERESSATI
- Per quanto possibile, il Responsabile deve assistere il Titolare nelle attività e procedure dirette a permettere l’esercizio dei diritti dei soggetti interessati previsti agli artt. 15 – 22 del GDPR, tenendo conto del fatto che in caso di attività di profilazione, i diritti di cui agli artt. 16 e 17 (diritto di rettifica e cancellazione) si applicano non soltanto ai dati personali utilizzati per creare il profilo, ma anche l’output dell’attività di profilazione (il profilo o il punteggio assegnato);
- qualora l’interessato faccia valere i suoi diritti presso il Responsabile presentandogli relativa richiesta, il Responsabile è tenuto ad informare tempestivamente il Titolare;
- SUB-RESPONSABILI
- Il Responsabile è autorizzato sin d’ora ad impiegare “sub-responsabili” per lo svolgimento delle operazioni di trattamento di dati personali per conto del Titolare, garantendo che quest’ultimi siano in possesso dei requisiti di esperienza, capacità e affidabilità necessari per l’esecuzione delle attività affidategli, incluso il profilo relativo alla sicurezza (cfr.: art. 32 GDPR);
- il Responsabile del trattamento informa il Titolare di eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando al Titolare la possibilità di visionare preventivamente il contratto tra Responsabile e sub-responsabile ed opporsi, eventualmente, a tali modifiche;
- il Responsabile si impegna a svolgere le adeguate procedure di controllo in relazione a ciascun sub-responsabile del trattamento per verificare che sia in grado di fornire un livello adeguato di protezione dei dati personali attraverso l’implementazione di idonee misure tecniche ed organizzative;
- rimane inteso che il Responsabile del trattamento conserva nei confronti del Titolare l’intera responsabilità per l’inadempimento degli obblighi a cui sono soggetti i sub-responsabili.
- NOTIFICA DELLE VIOLAZIONI (“DATA BREACH”)
- Il Responsabile si impegna a documentare qualsiasi violazione dei dati personali, comprese le circostanze ad esse relative, le sue conseguenze e le azioni intraprese per limitare l’impatto della violazione sui diritti e le libertà dei soggetti interessati. Il Responsabile dovrà:
- comunicare tempestivamente tutti gli elementi e le informazioni ai sensi dell’art. 33 del GDPR;
- fornire l’assistenza necessaria alla comprensione dell’evento anche per l’eventuale notifica all’Autorità di Controllo competente ed ai soggetti interessati qualora necessario.
- VARIE
- L’eventuale nullità di una o più clausole del presente accordo o di parte di esse non inficerà la validità e l’applicabilità delle altre clausole e/o del resto della disposizione in questione.
- Eventuali deroghe, modifiche e/o aggiunte all’accordo saranno comunicate da GLE con mezzi adeguati a renderle conoscibili all’Utente;
- Il presente accordo e i diritti e gli obblighi da esso derivanti per le Parti non sono trasferibili, né direttamente né indirettamente, senza il previo accordo scritto della controparte. L’eventuale o persino ripetuta mancata applicazione dalle Parti di un dato diritto è interpretabile unicamente come tolleranza di una determinata situazione e non dà adito ad acquiescenza.
ALLEGATO 1.
ELENCO MISURE DI SICUREZZA IMPLEMENTATE DA GLE
1- INVENTARIO DISPOSITIVI E SOFTWARE.
a. Il Team tecnico di GLE si compone di personale specializzato in ambito ICT;
- Sono inoltre definiti e resi noti (mediante apposite nomine) ruoli e responsabilità inerenti al trattamento e la protezione dei dati personali per tutto il personale e per terze parti rilevanti (clienti, fornitori), anche tramite invio e/o pubblicazione di informative aggiornate alla nuova normativa;
- I servizi web offerti da terze parti (a cui si è registrati) sono quelli strettamente necessari. In ogni momento potrai richiedere l’elenco dei Responsabili o Sub-responsabili del Trattamento.
- GLE, anche per mezzo della compilazione del registro del trattamento, ha individuato i dati e le informazioni più rilevanti in relazione al proprio business. In tal senso, i trattamenti di dati personali sono identificati e catalogati.
2- GOVERNANCE e GESTIONE ACCOUNT/PASSWORD.
- Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di trattamento dati personali. Nello specifico il Titolare ha predisposto: 1) registro del trattamento; 2) organigramma privacy con relative nomine; 3) informative aggiornate a Reg. UE n. 674/16; 4) policy relative al trattamento dei dati personali; 5) valutazioni di impatto là dove necessarie.
- La Società prevede la gestione degli accessi con sessioni giornaliere gestite con JSON Web Tokens.
3- PROTEZIONE DA MALWARE.
- Tutti i dispositivi aziendali sono dotati di software di protezione regolarmente aggiornati e disposti su più livelli.
- E’ pianificata la dismissione dei software, che viene gestita direttamente dal Team competente di GLE;
- La posta elettronica aziendale è dotata di strumenti antispam/antivirus di adeguata efficacia.
4- FORMAZIONE.
- L’azienda affida a consulenti l’organizzazione di incontri formativi rivolti al personale perché venga adeguatamente sensibilizzato sul corretto trattamento dei dati personali e sulle procedure da adottare per un loro impiego sicuro.
5- PROTEZIONE DEI DATI.
- La configurazione iniziale di tutti i dispositivi IT è svolta dai referenti interni di competenza;
- Sono eseguiti back-up giornalieri e incrementali e back-up in cloud;
- I backup del database sono di tipo snapshot e conservati da Atlas. Si tratta di uno storage snapshot che non consuma spazio al momento della creazione. È solo una copia dei metadati che contengono informazioni sui dati acquisiti. L’elemento di diversificazione tra uno storage snapshot e un backup è che lo snapshot risiede nella stessa posizione in cui si trovano i dati originali. Pertanto, dipende interamente dall’affidabilità della fonte. Ciò significa che in caso di disastro o danni ai dati di origine, lo storage snapshot andrà perso o sarà inaccessibile. La fonte è tuttavia rappresentata da Google Cloud, il quale garantisce – a sua volta – back-up cifrati.
6- PROTEZIONE DELLE RETI.
- le reti e i sistemi sono protetti da accessi esterni non autorizzati attraverso strumenti specifici: firewall (hardware e software); intrusion detection-prevention system.
- Le reti wireless sono adeguatamente protette e configurate con algoritmo di protezione WPA2 e password complesse;
- L’accesso che viene eseguito tramite Internet è crittografato tramite protocolli crittografici (TLS/SSL);
7- PREVENZIONE E MITIGAZIONE.
- In caso di data breach è stato predisposto un apposito registro per annotare violazioni di dati personali.
- I sistemi vengono messi in sicurezza da personale esperto.
- Tutti i software in uso sono aggiornati ed i dispositivi o software obsoleti sono dismessi.