ACCORDO EX ART. 28, PAR. 3, REG. UE N.679/2016 (RGPD)

Tra la società “Lexdebita S.r.l.”, con sede in via Trinacria n. 11, 95030 - Tremestieri Etneo (CT), C.F. e P. IVA 05968190875

  • Responsabile del trattamento

ed il Cliente, nell’ambito dell’esecuzione del contratto di licenza d’uso del Software “Lexdebita”

  • Titolare del trattamento

PREMESSA

  1. Il presente accordo stabilisce e regola i diritti e gli obblighi del Titolare del trattamento e del Responsabile del trattamento, qualora quest’ultimo effettui il trattamento dei dati personali per conto del titolare del trattamento;
  2. Nel contesto dell’utilizzo del software denominato “Lexdebita”, il Responsabile del trattamento tratterà i dati personali per conto del titolare del trattamento in conformità al presente accordo;
  3. Quanto in tal sede pattuito prevale su qualunque altra ed eventuale disposizione contenuta in ulteriori accordi tra le Parti.

Tale premessa è da ritenersi parte formale e sostanziale del presente accordo.

  1. Soggetti
    1. Le Parti convengono che la società “Lexdebita S.r.l.” assuma le vesti di Responsabile del trattamento in relazione ai Dati Personali di soggetti terzi che tratta per conto del Cliente,  il quale riveste pertanto la qualità di Titolare del trattamento dei Dati Personali.
    2. Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare (di seguito anche “Utente Finale”), il Cliente agirà come Responsabile del trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite alla società “Lexdebita S.r.l.” e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina, da parte del Cliente, della suddetta Società quale (Sub) Responsabile del trattamento derivante dalla stipulazione del presente Accordo è stata autorizzata dal relativo Titolare del trattamento e si impegna ad esibire alla Società medesima, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.
    3. Il personale della società “Lexdebita S.r.l.” che tratta i Dati Personali è autorizzato al trattamento di tali dati sulla base di idonee autorizzazioni e ha ricevuto la necessaria formazione anche in merito al trattamento dei dati personali. Tale personale è altresì vincolato da obblighi di riservatezza e si attiene alle policy di riservatezza e di protezione dei dati personali adottate dalla Società.
    4. Ciascuna delle Parti si impegna a conformarsi, nel trattamento dei Dati Personali, ai rispettivi obblighi derivanti dalla legislazione in materia di Protezione dei Dati Personali applicabile.
    5. Il Cliente dichiara che il Responsabile del trattamento soddisfa ai requisiti e condizioni di cui all’art. 28, Par. 1, Reg. UE n. 679/2016.
  2. Sub-Responsabili del trattamento
    1. Le Parti convengono che il Responsabile del trattamento possa avvalersi di soggetti terzi, i quali – se pertinente – saranno nominati da quest’ultimo “Sub-Responsabili”, ex art. 28 RGPD.
      In particolare, la società “Lexdebita S.r.l.” nomina, con il consenso del Cliente, i seguenti Sub-Responsabili del trattamento:
      • Microsoft Privacy, Microsoft Corporation, One Microsoft Way, Redmond, Washington 98052, USA. Telefono: +1 (425) 882 8080.
        Incarico: servizio di hosting server<
      • Google Ireland Ltd, Google Building Gordon House, 4 Barrow St, Grand Canal Dock, Dublin 4, D04 V4X7, Irlanda.
        Incarico: servizio di raccolta dati delle visite.
      • Fatture in Cloud: MadBit Entertainment S.r.l. a socio unico,  con sede in Via Gerolamo Zanchi n. 22/C, 24126 - Bergamo (BG), P. IVA e C.F.: IT03881520161.
        Incarico: servizio di fatturazione.
      • Banca Sella S.p.a, Piazza Gaudenzio Sella n. 1 - 13900 Biella (BI), Tel. 015 35011, C.F.
        Incarico: servizi bancari.
      • Studio Barbagallo (Orazio Lorenzo Barbagallo), Via Trinacria n. 11 - Tremestieri Etneo (CT), E-Mail: studiobarbagallo.it, P. IVA: 03323120877.
        Incarico: servizio di consulenza aziendale e tributaria.
      • Stripe Payments Europe Limited, Via Privata Maria Teresa n. 4 - 20123 Milano (MI), P. IVA e C.F. 12221650968.
        Incarico: piattaforma esterna per pagamenti online.
    2. Il Cliente autorizza sin d’ora espressamente la società “Lexdebita S.r.l.” ad affidare specifiche operazioni di trattamento di Dati Personali a soggetti terzi ulteriori rispetto a quelli di cui al punto 2.1., secondo le modalità previste al successivo punto 2.3.
    3. Nei casi di cui al precedente comma, il Responsabile del trattamento:
      • si impegna ad avvalersi di Sub-Responsabili che garantiscono misure tecniche e organizzative adeguate e garantisce che l’accesso ai Dati Personali e il relativo trattamento saranno effettuati esclusivamente nei limiti di quanto necessario per l’erogazione dei servizi subappaltati;
      • si impegna ad informare il Cliente dell’affidamento al terzo (nonché dei dati identificativi del terzo, della sua ubicazione – ed eventualmente, dell’ubicazione dei server sui quali saranno conservati i dati, se applicabile – e delle attività affidate) mediante invio di comunicazione all’Indirizzo di notifica o altro mezzo ritenuto idoneo dal Fornitore.
      • Il Titolare del trattamento avrà diritto di opporsi all’indicazione di uno specifico Sub-Responsabile mediante comunicazione da inviarsi a mezzo pec entro 15 giorni dalla ricezione da parte del destinatario. Resta inteso che decorso il predetto termine senza opposizione da parte del Cliente, i nominativi si intenderanno approvati da quest’ultimo.
  3. Oggetto - Tipo di trattamento e finalità
    1. Le Parti convengono che il trattamento dei Dati Personali avverrà esclusivamente ai fini e nei limiti della prestazione dell’esecuzione del contratto di Licenza d’uso del Software “Lexdebita”, come già in precedenza concluso tra le stesse, e regolato dalle condizioni generali disponibili sul sito del Software.
    2. In particolare, il Responsabile del trattamento si impegna a trattare i Dati Personali:
      • soltanto nella misura e con le modalità necessarie per erogare i servizi o per adempiere opportunamente i propri obblighi, previsti dal Contratto e dal presente Accordo ovvero imposti dalla legge o dall’Autorità competente.
        In tale ultima circostanza il Responsabile informerà il Cliente (salvo il caso in cui ciò sia vietato dalla legge) mediante comunicazione (PEC o Racc. A/R) all’Indirizzo di notifica;
      • in conformità alle direttive impartite del Cliente.
    3. Il Soggetto legittimato a dare le direttive di cui sopra è il Cliente.
      Il soggetto autorizzato a ricevere le direttive è il legale rappresentante pro-tempore della società “Lexdebita S.r.l.” nonché il personale e collaboratori della medesima società, previa autorizzazione da parte del legale rappresentante o da chi da questi preposto.
    4. Il Responsabile non utilizzerà i Dati personali forniti per il trattamento per nessun’altra finalità, in particolare per i propri interessi. Il Responsabile si impegna a mantenere la riservatezza nel trattamento dei Dati personali del Titolare. Ciò vale anche dopo la fine del contratto.
  4. Tipologia di dati - Categorie di interessati
    1. Le Parti convengono che, in forza del presente accordo, il Responsabile potrà trattare esclusivamente le seguenti tipologie di dati:
      • dati personali di base (es. dati di identificazione);
      • dati di comunicazione (es. recapiti telefonici etc);
      • dati relativi alla posizione reddituale;
      • dati relativi all’identificazione della consistenza patrimoniale;
      • dati relativi all’esposizione debitoria;
      • dati relativi ai rapporti con l’amministrazione finanziaria;
      • dati contrattuali di base (es. tipologie di acquisti effettuati dall’Interessato);
      • dati relativi a procedimenti giudiziari, in atto o definiti al momento del trattamento;
      • dati relativi alla salute;
      • dati relativi alle relazioni familiari, ed i relativi rapporti patrimoniali.
    2. Le categorie di persone interessate dal trattamento sono:
      • le persone fisiche soggette od assoggettabili alle procedure di sovraindebitamento di cui alla legge 27 gennaio 2012, n. 3 e D.lgs 12 gennaio 2019, n. 14;
      • ogni altra persona fisica che, sulla base del rapporto intercorrente con il Titolare del trattamento, abbia legittimato quest’ultimo al trattamento dei loro dati con riferimento alle rispettive esposizioni debitorie.
  5. Diritti degli interessati
    1. Il Responsabile del trattamento si obbliga nei confronti del Titolare del trattamento a porre in essere ogni attività utile ed idonea al fine di soddisfare gli obblighi di quest’ultimo in relazione all’esercizio dei diritti dell’interessato di cui al capo III del RGPD.
      Pertanto, nei limiti dei dati da esso trattati e delle funzioni dallo stesso espletate, il Responsabile assisterà il Titolare del trattamento in ordine all’ottemperanza delle richieste dell’Interessato in relazione ai seguenti diritti: 
      • diritto di essere informato all’atto della raccolta dei dati personali presso l’interessato;
      • diritto di essere informato quando i dati non sono stati raccolti presso l’interessato;
      • diritto di accesso dell’interessato;
      • diritto di rettifica;
      • diritto alla cancellazione («diritto all’oblio»);
      • diritto di limitazione di trattamento;
      • obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento;
      • diritto alla portabilità dei dati;
      • diritto di opposizione;
      • diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione;
      • nonché ogni altro diritto previsto dalla vigente normativa in tema di privacy e protezione di dati personali.
    2. Il Responsabile del trattamento, oltre all’obbligo di assistere il Titolare del trattamento secondo quanto sopra pattuito, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assiste il Titolare del trattamento nel garantire la conformità a quanto segue:
      • l’ obbligo del titolare del trattamento di notificare la violazione dei dati personali all’autorità di controllo competente;
      • l’obbligo del titolare del trattamento di comunicare la violazione dei dati personali all’interessato senza ingiustificato ritardo, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
      • l’obbligo del titolare del trattamento di effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali;
      • l’obbligo del titolare del trattamento di consultare l’autorità di controllo competente, prima del trattamento laddove una valutazione di impatto sulla protezione dei dati indichi che il trattamento comporterebbe un alto rischio in assenza di misure adottate dal titolare del trattamento per mitigare il rischio.
  6. Notifica di violazione dei dati personali
    1. In caso di violazione dei dati personali, il Responsabile del trattamento ne dà notifica al Titolare del trattamento senza ingiustificato ritardo dal momento in cui ne è venuto a conoscenza.
      La notifica del Responsabile del trattamento al Titolare del trattamento avviene, se pos- sibile, entro 72 ore dal momento in cui è venuto a conoscenza della violazione dei dati personali per permettere al Titolare del trattamento di rispettare il suo obbligo di notifica della violazione stessa all’autorità di controllo competente.
    2. In forza dell’art. 5 del presente accordo, il Responsabile del trattamento assiste il Titolare del trattamento nel notificare la violazione dei dati personali all’autorità di controllo competente, il che significa che egli è tenuto ad assisterlo nel reperire le informazioni elen- cate nel prosieguo, le quali sono riportate nella notifica del Titolare del trattamento all’autorità di controllo competente ai sensi dell’articolo 33, paragrafo 3, RGPD:
      • la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati dalla violazione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
      • le probabili conseguenze della violazione dei dati personali;
      • le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
  7. Sicurezza del trattamento
    1. Il Responsabile del trattamento dichiara che tutti i Dati personali del Titolare sono conservati presso l’infrastruttura hardware (server web, server di back up, server database) ospitati presso i datacenter di Azure Microsoft, i cui contatti sono riportati all’art. 2 del presente accordo.
      Nessuna copia dei Dati personali del Titolare è conservata in modo permanente in locale, presso i personal computer del Responsabile o dei suoi collaboratori.
    2. Ai fini dell’attuazione del presente contratto, viene fornito un livello adeguato di protezione dai rischi per i diritti e le libertà delle persone fisiche interessate dal trattamento. A tal fine, gli obiettivi di protezione di cui all’articolo 32, paragrafo 1, del RGPD, quali la riservatezza, l’integrità e la disponibilità dei sistemi e dei servizi e la loro solidità in termini di natura, portata, contesto e finalità del trattamento sono presi in considerazione in modo tale da adottare misure correttive e tecnico-organizzative adeguate che riducano permanentemente il rischio:
      1. la pseudonimizzazione e la cifratura dei dati personali
        • Pseudonimizzazione
          I Dati personali del Titolare possono essere trattati in modo che non possano più essere attribuiti a un soggetto interessato specifico senza il ricorso a informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano mantenute separate e soggette ad adeguate misure tecniche e organizzative.
        • Cifratura dei dati personali
          Tutti i dati sensibili del Titolare sono conservati presso il nostro database utilizzando le più moderne tecniche di crittografia basate sull’algoritmo Advanced Encryption Standard (AES).
          Tutti i documenti, o immagini, caricati dal Titolare presso i nostri server sono conservati su File System crittografati basati sullo standard AES.
      2. La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
        • Riservatezza
          Il controllo degli accessi fisici ai server è soggetto al regolamento del fornitore che ospita i server di Lexdebita.
          L’accesso da remoto ai server è regolamentato da politiche di sicurezza che prevedono processi di strong authentication basato su Password e Codice OTP (One Time Password) Ogni accesso ai server è monitorato e registrato.
          L’accesso al gestionale è regolamentato dal sistema di User e Passwod univoche. Per aumentare il livello di sicurezza, il titolare può abilitare il processo di strong authentication basato su User, Password e Codice OTP per accedere nel proprio account del gestionale. Ogni accesso è monitorato e registrato e l’accesso ai Dati personali del Titolare è tracciato in un apposito registro.
        • Integrità, disponibilità e resilienza dei sistemi
          Sono stati adottati una serie procedure per la protezione da distruzione o perdita accidentali o intenzionali, quali
          • strategia di backup: sistemi di back-up dei dati e dei documenti del Titolare in modo automatico;
          • ripristino del back-up: intervento manuale, in caso di incidente che comporta la perdita, anche parziale, dei dati.
      3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali del Titolare in caso di incidente fisico o tecnico;

        Oltre agli interventi di integrità, disponibilità e resilienza dei sistemi nel caso di incidenti tecnici il fornitore del servizio è in grado di intervenire in tempi rapidi per ripristinare la normale operatività dei sistemi.

      4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
        Non deve essere operato alcun trattamento dei dati senza le corrispondenti istruzioni del Titolare ai sensi dell’articolo 28 GDPR, ad esempio: chiara progettazione del contratto, gestione degli ordini formalizzata, selezione rigorosa del Responsabile di servizi, controlli di follow-up.
        Misure adottate:
        • i collaboratori del Responsabile sono soggetti all’obbligo di segretezza dei dati;
        • i rapporti di subappalto del Responsabile sono definiti per contratto e le azienda che collaborano con il fornitore (partner o subappalto) sono conforme al GDPR;
        • controllo regolare dell’affidabilità del subappaltatore (deve rispettare il GDPR).
  8. Trasferimento di dati a Paesi terzi o organizzazioni internazionali
    1. Qualsiasi eventuale trasferimento di dati personali verso Paesi terzi o organizzazioni internazionali avviene soltanto sulla base di istruzioni documentate del Titolare del trattamento e ha luogo sempre in conformità con il capo V del RGPD.
    2. Qualora trasferimenti di dati a Paesi terzi o organizzazioni internazionali, per i quali il Titolare del trattamento non ha fornito istruzioni al Responsabile del trattamento, siano richiesti dal diritto dell’UE o dello Stato membro cui è soggetto il Responsabile del trattamento, quest’ultimo informa il Titolare di tale obbligo giuridico prima del trattamento, a meno che il diritto dell’UE o dello Stato membro vieti tale informazione per rilevanti motivi di interesse pubblico.
    3. Il Responsabile del trattamento, se non dispone di istruzioni documentate da parte del Titolare del trattamento, non può quindi:
      • trasferire dati personali a un Titolare del trattamento o a un Responsabile del trattamento in un paese terzo o in un’organizzazione internazionale;
      • trasferire il trattamento dei dati personali a un Sub-Responsabile del trattamento in un Paese terzo;
      • far trattare i dati personali dal Responsabile del trattamento in un Paese terzo.
    4. In ogni caso, il Responsabile del trattamento assicura che ogni trasferimento di dati personali presso Paesi terzi o organizzazioni internazionali non coperte da una decisione di adeguatezza della Commissione europea, ex art. 45 RGPD, avverrà ai sensi dell’art. 49, par. 1, lett. b), RGPD, ossia solo perché necessario all’esecuzione del contratto di licenza d’uso del Software “Lexdebita”.
  9. Cancellazione e restituzione dei dati
    1. Al termine della prestazione dei servizi relativi al trattamento dei dati personali, come regolato dall’art. 5.3 delle Condizioni generali della licenza d’uso (https://lexdebita.it/termini-e-condizioni) disponibili sul sito lexdebita.it, il Responsabile del trattamento conserverà i dati trattati per i 90 giorni successivi.
      Entro tale termine il Titolare e l’Interessato hanno diritto di poterne richiedere copia in un formato di uso comune e leggibile dai comuni dispositivi disponibili in commercio.
    2. Decorso il citato termine, il Responsabile ha l’obbligo di cancellare ogni dato entro i 90 giorni successivi, previo diritto restituzione esercitabile nei termini e modalità come sopra indicate.
    3. Il Responsabile del trattamento s’impegna a trattare i dati personali esclusivamente per le finalità e il periodo previsti dalla suddetta legislazione e nel rispetto rigoroso delle condizioni applicabili.
    4. I dati personali del Cliente saranno conservati per tutta la durata dell’esecuzione del contratto e, successivamente, per la durata richiesta dalle vigenti disposizioni in materia civile, fiscale ed amministrativa.
    5. Quanto sopra non trova applicazione in relazione ad ogni dato od informazione che, per disposizione di legge civile, amministrativa o tributaria, il Responsabile sarà obbligato a trattenere oltre i citati termini.
  10. Attività di revisione e ispezione
    1. Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 del RGPD e alle presenti condizioni contrattuali, e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato.
    2. Il Responsabile del trattamento garantisce l’impegno a fornire alle autorità di controllo, le quali ai sensi della normativa vigente hanno accesso alle strutture del responsabile e del titolare del trattamento, o ai rappresentanti che agiscono per conto di tali autorità, l’accesso alle strutture fisiche del Responsabile del trattamento previa presentazione di documentazione atta a identificarli come tali.
  11. Inizio e risoluzione
    • Il presente accordo produrrà effetti dalla data della sua conclusione, che avverrà mediante prestazione di consenso da parte del Titolare esternata tramite apposizione del segno di spunta sull’apposito riquadro in calce alle presenti clausole.
    • Il presente accordo conserverà la sua validità per la durata del contratto di licenza d’uso del software Lexdebita, come stipulato tra le Parti.
      Per la durata della prestazione dei servizi relativi al trattamento dei dati personali il presente accordo non potrà essere risolto, a meno che le Parti non ne abbiano concluso uno ulteriore e successivo, avente oggetto la disciplina del medesimo oggetto.
    • Le Parti hanno il diritto di richiedere la rinegoziazione del presente accordo laddove una modifica alla legge o l’inadeguatezza dello stesso dovessero dare luogo a tale rinegoziazione.
    • Se la prestazione dei servizi relativi al trattamento dei dati personali cessa e i dati personali sono cancellati o restituiti al Titolare del trattamento, nel rispetto dell’art. 9 del presente accordo, quest’ultimo potrà essere risolto per iniziativa di una delle due Parti con preavviso scritto.
  12. Contatti del titolare e del responsabile del trattamento
    1. Le Parti possono mettersi in contatto tra di loro utilizzando i seguenti contatti dalle stesse indicati sotto la loro esclusiva responsabilità:
      • la società “Lexdebita S.r.l.” indica quali recapiti: via Trinacria n. 11, 95030 - Tremestieri Etneo (CT), C.F. e P. IVA 05968190875 - PEC: postacertificata@pec.lexdebita.it.
      • il Cliente, indica quali recapiti i dati inseriti al momento dell’iscrizione al sito lexdebita.it.
    2. Le Parti sono tenute a informarsi costantemente di ogni modifica riguardante i contatti/punti di contatto.
  13. Clausola di rinvio
    Per quanto non espressamente regolato dal presente accordo, si rinvia alla vigente normativa in tema di privacy.

Il presente accordo si intenderà concluso nei termini e modalità indicati all’art. 14 delle nei termini e condizioni generali della licenza d’uso (https://lexdebita.it/termini-e-condizioni).


Condizioni aggiornate al 12/06/2023