Data Processing Agreement

Il presente Data Processing Agreement (il 'DPA') si applica tra il cliente che utilizza i servizi SafeDesk per trattare dati personali nell'ambito delle proprie attivita' professionali o organizzative (il 'Cliente' o il 'Titolare') e YE Engineering, P. IVA 03616710368, quale fornitore del servizio SafeDesk (il 'Responsabile' o 'SafeDesk').

Il presente DPA integra i Termini e Condizioni del Servizio e ne costituisce parte integrante. In caso di conflitto tra il presente DPA e i Termini, il DPA prevale per quanto concerne il trattamento di dati personali svolto da SafeDesk per conto del Cliente.

Il presente DPA si applica esclusivamente ai trattamenti di dati personali effettuati da SafeDesk per conto del Cliente nell'ambito dell'erogazione del servizio. Il Cliente determina finalita' e mezzi essenziali del trattamento e agisce quale titolare del trattamento, salvo il caso in cui operi esso stesso quale responsabile per conto di un terzo; in tale ipotesi SafeDesk agisce quale sub-responsabile.

Il presente DPA non si applica ai trattamenti svolti da SafeDesk quale titolare autonomo per proprie finalita', quali gestione del sito, lead, rapporto contrattuale, sicurezza del servizio, supporto commerciale, fatturazione e adempimenti amministrativi, che restano disciplinati dalla Privacy Policy e dai Termini.

Il trattamento svolto da SafeDesk ai sensi del presente DPA ha durata corrispondente alla vigenza del rapporto contrattuale tra le parti e prosegue per il tempo strettamente necessario a restituzione o cancellazione dei dati, gestione dei backup, adempimento di obblighi di legge o gestione di incidenti di sicurezza relativi ai dati trattati per conto del Cliente.

SafeDesk tratta dati personali per consentire al Cliente di utilizzare la piattaforma, incluse attivita' di hosting, archiviazione, organizzazione, consultazione, estrazione, classificazione, analisi documentale, supporto tecnico, gestione di account e permessi, sicurezza applicativa e altre operazioni tecnicamente necessarie all'erogazione del servizio.

Qualora il Cliente utilizzi funzionalita' di analisi assistita da intelligenza artificiale, SafeDesk tratta i dati e i documenti caricati esclusivamente per eseguire le istruzioni del Cliente e rendere disponibile la funzionalita' richiesta. SafeDesk non utilizza i dati trattati per conto del Cliente per addestrare propri modelli di intelligenza artificiale.

SafeDesk tratta i dati personali esclusivamente su istruzioni documentate del Cliente, quali risultano dal contratto, dalle configurazioni e dalle funzionalita' utilizzate dal Cliente, dalle richieste di supporto compatibili con il servizio e da eventuali ulteriori istruzioni scritte concordate tra le parti.

SafeDesk non trattera' i dati per finalita' proprie incompatibili con il ruolo di responsabile, salvo quanto richiesto dal diritto dell'Unione o dello Stato membro applicabile; in tale caso SafeDesk informera' il Cliente prima del trattamento, salvo che la legge vieti tale informazione per rilevanti motivi di interesse pubblico.

Qualora SafeDesk ritenga che un'istruzione del Cliente violi il GDPR o altra normativa applicabile in materia di protezione dei dati, ne dara' informazione al Cliente senza ingiustificato ritardo.

SafeDesk assicura che le persone autorizzate a trattare dati personali per conto del Cliente siano vincolate da obblighi di riservatezza adeguati, di natura legale o contrattuale, e ricevano istruzioni pertinenti rispetto ai compiti svolti.

L'accesso ai dati trattati per conto del Cliente e' limitato ai soggetti che ne abbiano effettiva necessita' per l'erogazione, la manutenzione, la sicurezza o il supporto del servizio, secondo il principio del need-to-know e del privilegio minimo.

SafeDesk adotta misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR, tenendo conto dello stato dell'arte, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalita' del trattamento, nonche' dei rischi per i diritti e le liberta' delle persone fisiche.

Tali misure includono, in funzione del contesto, controllo degli accessi basato su ruoli, autenticazione multifattore, protezione delle sessioni, cifratura del traffico in transito, cifratura dei dati a riposo tramite i meccanismi offerti dai principali provider infrastrutturali, logging e monitoraggio degli eventi di sicurezza, segregazione logica degli ambienti, backup periodici, gestione delle vulnerabilita', gestione degli incidenti e limitazione dei privilegi.

Per i servizi Google Cloud rilevanti, SafeDesk adotta vincoli organizzativi che limitano la creazione di nuove risorse alle sole localita' UE per i servizi supportati e utilizza endpoint europei per le funzionalita' Vertex AI. SafeDesk si avvale inoltre, ove applicabili, dei data processing terms, dei meccanismi di audit e degli strumenti di transparency messi a disposizione dai fornitori cloud.

Tenuto conto della natura del trattamento e delle informazioni a disposizione, SafeDesk assiste il Cliente con misure tecniche e organizzative appropriate per consentire, per quanto possibile, l'adempimento degli obblighi del Cliente in materia di esercizio dei diritti degli interessati ai sensi del Capo III GDPR.

SafeDesk assiste altresi' il Cliente, nei limiti ragionevoli e tenuto conto della natura del servizio, in relazione agli obblighi di cui agli artt. 32, 33, 34, 35 e 36 GDPR, incluse sicurezza del trattamento, notifiche di violazione, comunicazioni agli interessati, valutazioni d'impatto e consultazioni preventive.

Qualora SafeDesk riceva direttamente una richiesta da parte di un interessato relativa a dati trattati per conto del Cliente, la inoltrera' al Cliente senza rispondere nel merito, salvo quanto richiesto dalla legge applicabile.

SafeDesk notifichera' al Cliente, senza ingiustificato ritardo dopo esserne venuta a conoscenza, eventuali violazioni di dati personali che riguardino dati trattati per conto del Cliente e che richiedano, ragionevolmente, la sua attenzione ai fini della conformita' GDPR.

La notifica conterra', per quanto ragionevolmente disponibile al momento, descrizione della natura della violazione, categorie di dati coinvolti, possibili conseguenze, misure adottate o proposte per porre rimedio alla violazione e contenere i possibili effetti negativi. Le informazioni potranno essere fornite anche in piu' fasi qualora non siano immediatamente disponibili nella loro interezza.

Spetta al Cliente valutare se la violazione debba essere notificata all'autorita' di controllo o comunicata agli interessati, salvo il caso in cui la legge attribuisca a SafeDesk obblighi diretti ulteriori in relazione a specifici trattamenti di cui sia titolare autonomo.

Il Cliente autorizza in via generale SafeDesk a ricorrere a sub-responsabili per lo svolgimento di specifiche attivita' di trattamento, a condizione che tali soggetti siano vincolati da obblighi di protezione dei dati non meno protettivi di quelli previsti dal presente DPA, nella misura richiesta dall'art. 28 GDPR.

L'elenco dei sub-responsabili autorizzati e' riportato nell'Allegato 3 e nella pagina pubblica /subprocessors. In caso di aggiunta o sostituzione di un sub-responsabile, SafeDesk ne dara' comunicazione al Cliente con ragionevole preavviso tramite e-mail, notifica in-app o aggiornamento della pagina dedicata accompagnato da idonea notifica.

Il Cliente potra' opporsi all'aggiunta o sostituzione di un sub-responsabile per motivi ragionevoli e documentati relativi alla protezione dei dati entro 15 giorni dal ricevimento della comunicazione. Le parti coopereranno in buona fede per individuare una soluzione ragionevole. Qualora cio' non sia possibile, il Cliente potra' cessare la funzionalita' interessata o recedere dal servizio per la parte ancora non fruita successiva alla modifica, senza penali ulteriori per il solo periodo futuro.

SafeDesk resta responsabile nei confronti del Cliente per l'adempimento degli obblighi del sub-responsabile nella misura prevista dall'art. 28, par. 4, GDPR.

SafeDesk ha strutturato i principali trattamenti svolti per conto del Cliente in modo da utilizzare, per quanto tecnicamente disponibile e coerente con il servizio, infrastrutture e regioni UE/SEE. In particolare, per i servizi Google Cloud pertinenti, SafeDesk applica policy organizzative che limitano la creazione di nuove risorse alle sole localita' UE per i servizi supportati e configura Vertex AI sull'endpoint europeo europe-west1.

Qualora, nonostante tale assetto, il trattamento comporti trasferimenti di dati personali verso Paesi terzi o organizzazioni internazionali, SafeDesk adottera' o fara' adottare le garanzie richieste dal Capo V GDPR, incluse decisioni di adeguatezza, clausole contrattuali tipo o altri strumenti giuridici validi in relazione al caso concreto.

La configurazione europea adottata riduce il rischio di localizzazione extra-SEE dei trattamenti principali, ma non esclude in assoluto la rilevanza di termini contrattuali del provider, attivita' di supporto autorizzate o altri meccanismi di servizio che richiedano una valutazione ulteriore sotto il profilo del Capo V GDPR.

SafeDesk mettera' a disposizione del Cliente le informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR, anche mediante documentazione tecnica, risposte a questionari ragionevoli, policy, attestazioni, report di sicurezza o altre evidenze documentali disponibili.

Gli audit dovranno essere limitati a quanto ragionevolmente necessario, svolti con preavviso non inferiore a 30 giorni, durante il normale orario lavorativo, senza compromettere sicurezza, riservatezza o continuita' operativa del servizio e senza consentire accesso a dati di altri clienti o a segreti industriali non pertinenti.

SafeDesk potra' soddisfare le richieste di audit prioritariamente tramite audit documentale o remoto. Eventuali audit in presenza saranno ammessi solo quando le informazioni gia' fornite siano ragionevolmente insufficienti e non piu' di una volta per anno solare, salvo violazioni di sicurezza rilevanti o specifici obblighi di legge. I costi straordinari ragionevoli sostenuti da SafeDesk per audit richiesti dal Cliente potranno essere addebitati al Cliente previa comunicazione.

Alla cessazione del rapporto contrattuale, il Cliente potra' richiedere la restituzione o l'esportazione dei dati trattati per suo conto nei limiti delle funzionalita' disponibili e delle tempistiche tecniche ragionevoli. In assenza di una diversa richiesta scritta del Cliente entro 30 giorni dalla cessazione, SafeDesk potra' procedere alla cancellazione dei dati dai sistemi attivi.

Le copie residue contenute in sistemi di backup o in supporti di disaster recovery potranno permanere fino alla naturale sovrascrittura secondo i normali cicli di retention tecnica, pur restando soggette alle garanzie di sicurezza previste dal presente DPA.

Resta salva la facolta' di conservare dati personali per il tempo strettamente necessario ad adempiere obblighi di legge, rispondere a ordini dell'autorita', gestire o documentare incidenti di sicurezza oppure esercitare o difendere un diritto in sede giudiziaria, nei limiti in cui tali attivita' siano consentite dalla normativa applicabile.

Per quanto non espressamente disciplinato dal presente DPA, trovano applicazione i Termini e Condizioni del Servizio, nella misura compatibile con il ruolo di responsabile del trattamento assunto da SafeDesk.

Qualora una disposizione del presente DPA sia dichiarata invalida o inefficace, le restanti disposizioni resteranno pienamente valide ed efficaci. Il presente DPA e' regolato, per quanto non diversamente richiesto dalla normativa privacy applicabile, dalla legge indicata nei Termini.