Data Processing Agreement

Il presente Data Processing Agreement (“DPA”), allegato alle Condizioni Generali per l’utilizzo del Software e dei Servizi “Keplero AI”, disciplina le regole per il trattamento dei Dati Personali nell’ambito dell’esecuzione del Contratto ed è concluso tra il Cliente (“Titolare”) e Keplero AI SRL, con Sede legale in Via Migliara 50 Sx, 3211, Pontinia (LT), P.IVA  03251240598 (“Responsabile”).

Il Titolare e il Responsabile, nel prosieguo indicati singolarmente anche come “Parte” e, congiuntamente, come “Parti”.

PREMESSO CHE:

  1. il Titolare con l’acquisto di un abbonamento al Software e ai Servizi “Keplero AI” ha accettato le Condizioni Generali che ne regolano l’utilizzo (“Contratto”) – di cui il presente DPA rappresenta un allegato, nonché parte integrante e sostanziale;
  2. il Responsabile dichiara di essere consapevole che i trattamenti di Dati Personali connessi all'espletamento delle proprie obbligazioni derivanti dall’esecuzione del Contratto, saranno effettuati secondo le istruzioni impartite dal Titolare, nel rispetto del GDPR e di tutte le disposizioni/provvedimenti emanati dalle autorità nazionali per la protezione dei dati personali (“Normativa Privacy”);
  3. il Responsabile è stato individuato dal Titolare come un soggetto dotato di esperienza, affidabilità e capacità necessarie per assolvere al ruolo di Responsabile dei Trattamenti di Dati Personali previsti dal presente DPA;
  4. l’esecuzione del Contratto implica il Trattamento di Dati Personali di titolarità del Titolare da parte del Responsabile.

TUTTO CIÒ PREMESSO, IL TITOLARE CONFERISCE A Keplero AI SRL

L’incarico di responsabile del trattamento dei Dati Personali ai sensi e per gli effetti dell’art. 28 del GDPR in esecuzione del Contratto, secondo i limiti e nei termini di seguito specificati. 

1. Definizioni
  1. In aggiunta a quanto altrove espressamente definito all’interno del presente DPA e del Contratto, i seguenti termini, in lettera maiuscola, dovranno intendersi secondo il significato loro attribuito nel presente Articolo:“Dati Personali” indica qualsiasi informazione riguardante un Interessato (come di seguito definito).
  2. Categorie Particolari di Dati” indica i Dati Personali rivelanti l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale degli Interessati (come di seguito definiti).
  3. Garante Privacy” indica l’Autorità garante italiana per la protezione dei dati personali.
  4. GDPR” indica il Regolamento (UE) 2016/679 (il “GDPR”).
  5. Interessati” indica le persone fisiche identificate o identificabili a cui sono riferiti i Dati Personali (si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale);
  6. Trattamento” indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a Dati Personali o insiemi di Dati Personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
  7. Sub-responsabile” indica una persona giuridica, ditta individuale o libero professionista incaricato dal Responsabile di eseguire per conto del Titolare delle attività di Trattamento dei Dati Personali; e
  8. Violazione dei Dati Personali” indica una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati.
2. Oggetto dell'incarico a Reponsabile
  1. Keplero AI SRL si impegna ad agire quale responsabile del trattamento ai sensi dell’art. 28 del GDPR per le finalità di cui all’ Articolo 4 che segue, in conformità con la normativa in materia di protezione dei dati personali di tempo in tempo applicabile, nonché con i termini e le istruzioni di cui al presente DPA.
3. Categorie di Dati Personali oggetto del Trattamento e Interessati

3.1. Nell'esecuzione del Contratto e ai fini del presente DPA, il Responsabile tratterà le seguenti categorie di Dati Personali:

  1. Dati Personali identificativi (a titolo esemplificativo, nome, cognome, data di nascita, età, genere); 
  2. Dati Personali di contatto (a titolo esemplificativo, e-mail, telefono, residenza, domicilio); 
  3. Dati bancari; 
  4. Dati relativi ad acquisiti di prodotti e servizi; 
  5. Dati relativi a richieste di informazioni e assistenza; 
  6. Categorie Particolari di Dati (a titolo esemplificativo, dati sanitari, l’origine etnica, disabilità). 

3.2. Il Responsabile sarà tenuto a verificare regolarmente che i Dati Personali siano esatti, completi e non eccedenti le finalità di cui al successivo Articolo 4, segnalando per iscritto al Titolare eventuali esigenze di modifica, aggiornamento, correzione o cancellazione dei Dati Personali trattati.

3.3. Previa richiesta scritta del Titolare, il Responsabile si impegna nel minor tempo possibile e comunque non superiore a 15 (quindici) giorni decorrenti dalla ricezione della richiesta trasmessa dal Titolare, ad aggiornare, modificare, correggere o cancellare i Dati Personali trattati.

3.4. I Dati Personali trattati dal Responsabile sono riferibili a persone fisiche che richiedono assistenza attraverso il Software Keplero AI e sono a vario titolo collegati al Titolare (a titolo esemplificativo, clienti, potenziali clienti, utenti, fornitori).

4. Finalità del Trattamento da parte del Responsabile

4.1. Il Responsabile, nei limiti previsti dal Contratto e dal presente DPA, tratterà i Dati Personali per conto del Titolare per le seguenti finalità:

  1. esecuzione del Contratto;
  2. gestione del rapporto contrattuale e commerciale con il Titolare;
  3. migliorare i propri prodotti e servizi, nonché per addestrare il Software
  4. adempimento di eventuali obblighi di legge cui è soggetto il Responsabile.

4.2. Il Titolare riconosce alla Società il diritto di trattare i Dati Personali su base aggregata per finalità di ricerca statistica anche finalizzata al miglioramento dei Servizi offerti attraverso l’esecuzione del Contratto e le prestazioni del Software.

5. Obblighi del Responsabile

5.1. Il Responsabile sarà tenuto a rispettare gli obblighi previsti dal Contratto e dal presente DPA. In particolare, il Responsabile dovrà:

  1. rispettare gli obblighi previsti dalla Normativa Privacy;
  2. rispettare integralmente le istruzioni impartite dal Titolare del trattamento; 
  3. mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza del trattamento dei Dati Personali adeguato al rischio in conformità alle istruzioni ricevute dal Titolare del Trattamento;
  4. mettere in atto le misure tecniche e organizzative adeguate a garantire la riservatezza, la disponibilità e l'integrità dei sistemi informativi utilizzati nelle attività di trattamento;
  5. mantenere per iscritto il registro delle attività di trattamento dei Dati Personali; 
  6. comunicare al Titolare, senza ingiustificato ritardo, eventuali dati e/o informazioni relativi a contestazioni e/o accertamenti con i soggetti interessati e/o con le Autorità di controllo e/o con altre Autorità giudiziarie e/o amministrative in relazione alle attività di trattamento previste dal presente DPA; 
  7. informare il Titolare del trattamento di ogni richiesta degli Interessati relativa all'esercizio dei diritti previsti dal GDPR, senza ritardo, al fine di adempiere all'obbligo del Titolare di dare seguito a tali richieste entro i termini previsti dalla Normativa Privacy; 
  8. assicurarsi che il personale che effettuerà le operazioni di Trattamento sia adeguatamente formato in materia di protezione dei Dati Personali e vincolato da obblighi di riservatezza per ciò che attiene il trattamento dei Dati Personali di proprietà del Titolare.
6. Trattamento di Dati Personali verso Paesi Terzi

6.1. Il Responsabile è tenuto ad effettuare il Trattamento avvalendosi, ove possibile, di server ubicati all’interno del territorio dell’Unione europea, evitando, se non strettamente necessario, qualsiasi trasferimento verso Paesi terzi extra-UE.

6.2. Fermo restando quanto sopra, il trasferimento dei Dati Personali trattati dal Responsabile per conto del Titolare è consentito in presenza di una decisione di adeguatezza da parte della Commissione Europea, o dell’adozione delle misure adeguate di cui all’articolo 46 del GDPR.

7. Nomina di sub-responsabili del trattamento

7.1. Il Titolare, con la sottoscrizione del presente DPA, autorizza il Responsabile a ricorrere a soggetti esterni per le attività di trattamento di dati necessarie per l’esecuzione del Contratto, nominandoli quali sub-responsabili del trattamento. Il Responsabile si impegna a vincolare tali soggetti ai medesimi obblighi assunti con il presente DPA nei confronti del Titolare.

7.2. Il Responsabile si impegna a selezionare sub-responsabili che per esperienza, capacità e affidabilità forniscono garanzie sufficienti per mettere in atto misure tecniche e organizzative di sicurezza adeguate, in modo tale che il Trattamento soddisfi i requisiti di cui alla normativa di volta in volta applicabile e garantisca la tutela dei diritti degli Interessati anche secondo quanto stabilito nel presente DPA.

8. Durata

8.1. Il presente DPA sarà efficace a partire dalla data di accettazione del Contratto, di cui il presente DPA è un allegato, e resterà in vigore per tutta la durata del Contratto medesimo. Alla scadenza, risoluzione, recesso o cessazione per qualsivoglia causa del Contratto, il presente DPA cesserà automaticamente di produrre i propri effetti, senza necessità di disdetta alcuna.

8.2. Salvo diverso obbligo legislativo o regolamentare, alla scadenza del Contratto, il Responsabile cesserà di trattare i Dati Personali di proprietà del Titolare e riconsegnerà al Titolare tutti i materiali – di qualsiasi genere e natura e in qualsiasi formato – contenenti Dati Personali cui ha avuto accesso e che gli sono stati consegnati nell’esecuzione del Contratto.

9. Violazione dei Dati Personali

9.1. Nel caso in cui si verificasse una Violazione dei Dati Personali trattati dal Responsabile per conto del Titolare, anche in conseguenza della condotta di eventuali sub-responsabili, il Responsabile si impegna a:

  1. informare il Titolare senza ingiustificato ritardo, e, comunque, non oltre 36 (trentasei) ore dal verificarsi dell’evento; e
  2. predisporre e aggiornare un registro nel quale siano descritti la natura delle Violazioni dei Dati Personali avvenute, gli Interessati coinvolti, le possibili conseguenze, nonché le misure di sicurezza implementate, anche di concerto con il Titolare, per circoscrivere gli effetti negativi dell’evento e ripristinare la situazione precedente la suddetta violazione.

9.2. Resta inteso che ogni notifica al Garante Privacy e agli Interessati, ove necessaria, sarà a carico del Titolare e il Responsabile si impegna fin da ora a prestare il supporto ragionevolmente necessario.

10. Modalità di Comunicazione

10.1. Le reciproche comunicazioni contemplate o richieste dal presente DPA, nonché tutte quelle che Titolare e Responsabile intratterranno in relazione ad esso, saranno effettuate per iscritto, con le modalità e agli indirizzi indicati all’interno del Contratto.

11. Legge applicabile e foro competente
  1. Le disposizioni contenute all’interno del presente DPA sono regolate dalla Legge Italiana.
  1. Ogni controversia relativa alla validità, efficacia, interpretazione ed esecuzione del presente DPA sarà rimessa alla competenza esclusiva e inderogabile del Foro di Milano.