DPA - Accordo sul trattamento dei dati

Accordo sul trattamento dei dati

Questo accordo sul trattamento dei dati o Accordo sul trattamento dei dati (DPA) definisce le condizioni alle quali Magileads, in qualità di subappaltatore, tratta i dati personali su istruzioni del Cliente. In questo DPA, Magileads si affida alle clausole contrattuali standard della Commissione Europea (accessibili al seguente indirizzo: https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32021D0915).

Completa il contratto tra Magileads e il Cliente ed è incorporato nel Contratto costituito dall'accettazione da parte del Cliente delle Condizioni Generali d'Uso (accessibili al seguente indirizzo: https://www.magileads.com/cgu-conditions- generales-d -usage/ ), inclusa la Politica di riservatezza di Magileads (accessibile al seguente indirizzo: https://www.magileads.com/accord-de-confidentialite/ ).

In caso di contraddizione con il Contratto prevale il DPA.

Magileads agisce in qualità di subappaltatore, si presuppone che il Cliente agisca come Titolare del trattamento per tutte le operazioni di trattamento diverse da quelle effettuate da Magileads per le proprie esigenze, dettagliate nella Privacy Policy di Magileads.

Qualora egli stesso agisca in qualità di subappaltatore del trattamento dei dati su istruzione di un Titolare terzo, il Cliente si impegna a:

• Ottenere dal Titolare tutte le autorizzazioni necessarie alla conclusione del presente DPA;
• Dichiarare Magileads sub-responsabile del trattamento dei dati;
• Aver concluso un contratto con il Titolare del trattamento ai sensi dell'articolo 28 del GDPR ed in conformità al presente DPA e al Contratto concluso tra Magileads e il Cliente;
• Fornire a Magileads istruzioni coerenti con quelle ricevute dal Titolare, senza che Magileads riceva istruzioni direttamente dal Titolare, salvo il caso in cui il Cliente abbia trasferito i propri diritti e obblighi al Titolare che ne dia prova
• Rendere disponibile il presente DPA al Titolare del trattamento.

Il Cliente resta pienamente responsabile nei confronti di Magileads per l'applicazione del presente DPA da parte del Titolare. Il Cliente esonera Magileads da ogni responsabilità per l'eventuale inosservanza da parte del Titolare della normativa applicabile nonché per qualsiasi azione, pretesa o reclamo del Titolare relativo al presente DPA, al Contratto concluso tra Magileads e il Cliente, o alle istruzioni forniti dal Cliente a Magileads.

SEZIONE I

Clausola 1

Scopo e ambito

1. Le presenti clausole contrattuali tipo (di seguito le “clausole”) hanno lo scopo di garantire il rispetto dell'articolo 28, commi 3 e 4, del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
2. Titolari e responsabili del trattamento hanno accettato tali clausole al fine di garantire il rispetto di quanto previsto dall'articolo 28, commi 3 e 4, del Regolamento (UE) 2016/679.
3. Queste clausole si applicano al trattamento dei dati personali come descritto nell'Allegato I.
4. Gli allegati da I a III costituiscono parte integrante delle clausole.
5. Tali clausole lasciano impregiudicati gli obblighi ai quali è soggetto il titolare del trattamento ai sensi del Regolamento (UE) 2016/679.
6. Le sole clausole non sono sufficienti a garantire il rispetto degli obblighi relativi ai trasferimenti internazionali ai sensi del Capo V del Regolamento (UE) 2016/679.

 Clausola 2

Invariabilità delle clausole

1. Le parti si impegnano a non modificare le clausole, se non per quanto riguarda l'aggiunta di informazioni agli allegati o l'aggiornamento delle informazioni in essi contenute.
2. Non è tuttavia vietato alle parti di inserire in un contratto più ampio le clausole contrattuali tipo definite in tali clausole, né di aggiungere altre clausole o garanzie aggiuntive, purché queste non siano in contrasto diretto o indiretto con le clausole o non violino i diritti e le libertà fondamentali delle persone interessate.

Clausola 3

Interpretazione

1. Quando nelle clausole compaiono termini rispettivamente definiti nel Regolamento (UE) 2016/679, questi si intendono come presenti nel regolamento in questione.
2. Tali clausole devono essere lette ed interpretate alla luce di quanto previsto dal Regolamento (UE) 2016/679.
3. Tali clausole non devono essere interpretate in modo contrario ai diritti e agli obblighi previsti dal Regolamento (UE) 2016/679 o in modo tale da ledere i diritti o le libertà fondamentali degli interessati.

Clausola 4

Gerarchia

In caso di contraddizione tra le presenti clausole e le disposizioni dei relativi accordi esistenti tra le parti al momento della stipula di tali clausole o successivamente stipulati, prevarranno tali clausole.

Clausola 5

Clausola di ormeggio

1. Qualsiasi entità che non sia parte di queste clausole può, con l'accordo di tutte le parti, aderirvi in ​​qualsiasi momento, sia come titolare che come subappaltatore, completando gli allegati.
2. Una volta compilati e sottoscritti gli allegati di cui al punto a), l'aderente è considerato parte delle presenti clausole e gode dei diritti ed è soggetto agli obblighi del titolare o del responsabile.
3. Tali clausole non creano in capo all'aderente alcun diritto o obbligo per il periodo precedente l'adesione.

SEZIONE II – OBBLIGHI DELLE PARTI

Clausola 6

Descrizione del/i trattamento/i

I dettagli dei trattamenti, e in particolare le categorie di dati personali e le finalità del trattamento per le quali i dati personali sono trattati per conto del titolare, sono specificati nell'allegato I.

Clausola 7

Obblighi delle parti

7.1. Istruzioni

1. Il responsabile del trattamento tratta i dati personali solo seguendo le istruzioni documentate del titolare del trattamento, a meno che non sia richiesto dal diritto dell'Unione o dello Stato membro a cui è sottoposto il trattamento. In questo caso, il responsabile del trattamento informa il titolare del trattamento di tale obbligo legale prima del trattamento, a meno che la legge lo vieti per importanti motivi di interesse pubblico. Istruzioni potranno essere impartite anche successivamente dal titolare per tutta la durata del trattamento dei dati personali. Queste istruzioni devono essere sempre documentate.
2. Il responsabile del trattamento informa immediatamente il titolare del trattamento se, a suo avviso, un'istruzione impartita dal titolare del trattamento costituisce una violazione del Regolamento (UE) 2016/679 o di altre disposizioni del diritto dell'Unione o degli Stati membri in materia di protezione dei dati.

7.2. Limitazione dello scopo

Il responsabile del trattamento tratta i dati personali solo per lo/gli scopo/i specifico/i del trattamento, come definito nell'allegato I, salvo diversa istruzione del responsabile del trattamento.

7.3. Durata del trattamento dei dati personali

Il trattamento da parte del responsabile del trattamento avviene solo per la durata specificata nell'allegato I.

7.4. Sicurezza del trattamento

1. Il responsabile del trattamento attua almeno le misure tecniche e organizzative specificate nell'allegato II per garantire la sicurezza dei dati personali. Tali misure comprendono la protezione dei dati contro qualsiasi violazione della sicurezza che comporti, accidentalmente o illecitamente, la distruzione, la perdita, l'alterazione, la divulgazione non autorizzata dei dati personali o l'accesso non autorizzato a tali dati (violazione dei dati personali). Nel valutare il livello di sicurezza adeguato, le parti tengono debitamente conto dello stato delle conoscenze, dei costi di attuazione, della natura, dell'ambito, del contesto e delle finalità del trattamento, nonché dei rischi per gli interessati.
2. Il subappaltatore concede ai membri del proprio personale l'accesso ai dati personali oggetto del trattamento solo nella misura strettamente necessaria per l'esecuzione, la gestione e il monitoraggio del contratto. Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali si impegnino a rispettare la riservatezza o siano soggette ad un adeguato obbligo legale di riservatezza.

7.5. Dati sensibili

Se il trattamento riguarda dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, nonché dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o dati relativi al sesso vita o l'orientamento sessuale di una persona fisica, ovvero dati relativi a condanne penali e reati ("dati sensibili"), il Titolare applica specifiche limitazioni e/o garanzie aggiuntive.

7.6 Documentazione e conformità

1. Le parti devono essere in grado di dimostrare il rispetto di tali clausole.
2. Il Responsabile gestirà tempestivamente e adeguatamente le richieste del Titolare in merito al trattamento dei dati in conformità a tali clausole.
3. Il subappaltatore mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalle presenti clausole e derivanti direttamente dal Regolamento (UE) 2016/679. Su richiesta del titolare del trattamento, il responsabile del trattamento consente inoltre lo svolgimento di audit sulle attività di trattamento oggetto delle presenti clausole e vi contribuisce, a intervalli ragionevoli o in presenza di indizi di non conformità. Quando decide una revisione o un audit, il titolare del trattamento può tenere conto delle certificazioni pertinenti possedute dal responsabile del trattamento.
4. Il titolare del trattamento può decidere di effettuare egli stesso la revisione contabile o di nominare un revisore indipendente. Gli audit possono includere anche ispezioni presso i locali o le strutture fisiche del subappaltatore e, ove opportuno, vengono eseguiti con ragionevole preavviso.
5. Le Parti mettono a disposizione delle autorità di vigilanza competenti, su richiesta, le informazioni di cui alla presente clausola, compresi i risultati di eventuali audit.

7.7. Utilizzo di subappaltatori

1. Il responsabile del trattamento dispone dell'autorizzazione generale del titolare del trattamento per l'assunzione di subresponsabili sulla base di un elenco concordato. Il responsabile del trattamento informa espressamente per iscritto il titolare di ogni proposta di modifica del presente elenco mediante l'integrazione o la sostituzione di subresponsabili con almeno 30 (trenta) giorni di anticipo, dando così al titolare tempo sufficiente per potersi opporre a tali modifiche prima dell'assunzione del responsabile. il/i sub-responsabile/i interessato/i. Il responsabile fornisce al titolare del trattamento le informazioni necessarie per consentirgli di esercitare il suo diritto di opposizione.
2. Quando il responsabile affida a un sub-responsabile lo svolgimento di specifiche attività di trattamento (per conto del titolare), ciò avviene mediante un contratto che impone al sub-responsabile, in sostanza, gli stessi obblighi in materia di protezione dei dati di quelli imposti al sub-responsabile. il subappaltatore ai sensi di queste clausole. Il subappaltatore garantisce che il subappaltatore rispetti gli obblighi ai quali è esso stesso soggetto ai sensi delle presenti clausole e del Regolamento (UE) 2016/679.
3. Su richiesta del titolare, il responsabile del trattamento fornisce al titolare del trattamento una copia del presente contratto concluso con il subresponsabile del trattamento e delle eventuali modifiche ad esso successivamente apportate. Nella misura necessaria per proteggere segreti commerciali o altre informazioni riservate, compresi i dati personali, il responsabile del trattamento può oscurare il testo del contratto prima di rilasciarne una copia.
4. Il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento per l'adempimento degli obblighi del sub-responsabile in conformità al contratto concluso con il sub-responsabile. Il responsabile del trattamento informa il titolare del trattamento di qualsiasi inadempimento da parte del sub-responsabile dei propri obblighi contrattuali.
5. Il responsabile concorda con il sub-responsabile una clausola di beneficiarietà terza secondo la quale – nel caso in cui il subappaltatore sia materialmente scomparso, abbia cessato di esistere giuridicamente o sia divenuto insolvente – il titolare del trattamento ha il diritto di risolvere il contratto concluso con il sub-responsabile. subresponsabile e di incaricare il subresponsabile di cancellare o restituire i dati personali.

 7.8. Trasferimenti internazionali

1. L'eventuale trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del responsabile del trattamento viene effettuato solo sulla base di istruzioni documentate del titolare del trattamento o al fine di soddisfare un requisito specifico del diritto dell'Unione o dello Stato membro presso il quale fa capo il subappaltatore. oggetto ed è svolto in conformità al Capo V del Regolamento (UE) 2016/679.
2. Il Titolare concorda che laddove il Responsabile incarica un sub-responsabile in conformità alla clausola 7.7 per svolgere specifiche attività di trattamento (per conto del Titolare) e tali attività di trattamento comportano un trasferimento di dati a carattere personale ai sensi del Capo V del Regolamento (UE ) 2016/679, il responsabile e il subresponsabile possono garantire il rispetto del capo V del regolamento (UE) 2016/679 utilizzando le clausole contrattuali tipo adottate dalla Commissione sulla base dell'articolo 46, paragrafo 2, del regolamento (UE) 2016/679, a condizione che ricorrano le condizioni per l’utilizzo di tali clausole contrattuali tipo.

Clausola 8

Assistenza al titolare del trattamento

1. Il responsabile del trattamento informa senza ritardo il titolare del trattamento di ogni richiesta pervenuta dall'interessato. Egli non risponde personalmente a tale richiesta, a meno che il titolare del trattamento non lo abbia autorizzato a farlo.
2. Il responsabile del trattamento assiste il titolare del trattamento nell'adempimento dell'obbligo di rispondere alle richieste degli interessati di esercizio dei propri diritti, tenendo conto della natura del trattamento. Nell'adempimento degli obblighi di cui ai punti a) e b), il responsabile del trattamento si atterrà alle istruzioni del titolare.
3. Oltre all'obbligo del Responsabile di assistere il Titolare ai sensi della Clausola 8(b), il Responsabile assisterà ulteriormente il Titolare nel garantire il rispetto dei seguenti obblighi, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile:
4. L’obbligo di effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali (“valutazione dell’impatto della protezione dei dati”) laddove un tipo di trattamento potrebbe presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
5. L’obbligo di consultare l’autorità di controllo competente prima del trattamento qualora una valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato se il titolare del trattamento non adottasse misure adeguate per attenuare il rischio;
6. L’obbligo di garantire che i dati personali siano esatti e aggiornati, informando senza ritardo il titolare del trattamento qualora il responsabile del trattamento venga a conoscenza che i dati personali trattati sono inaccurati o divenuti obsoleti;
7. Gli obblighi previsti dall’articolo 32 del Regolamento (UE) 2016/679. 
8. Le Parti definiscono nell'Allegato II le misure tecniche e organizzative adeguate con cui il Responsabile è tenuto a fornire assistenza al Titolare nell'applicazione della presente clausola, nonché la portata e la portata dell'assistenza richiesta.

Clausola 9

Notifica di violazioni dei dati personali

In caso di violazione dei dati personali, il responsabile del trattamento collabora e assiste il titolare del trattamento nell’adempimento degli obblighi previsti dagli articoli 33 e 34 del Regolamento (UE) 2016/679, tenendo conto della natura del trattamento e delle informazioni a sua disposizione. il subappaltatore.

9.1 Data Breach in relazione ai dati trattati dal titolare

In caso di violazione dei dati personali relativi ai dati trattati dal titolare del trattamento, il responsabile del trattamento assiste il titolare del trattamento:

1. ai fini della notifica della violazione dei dati personali all'autorità o alle autorità di controllo competenti, il più presto possibile dopo che il titolare del trattamento ne viene a conoscenza, ove applicabile (a meno che sia improbabile che la violazione dei dati personali crei un rischio per i diritti e le libertà delle persone fisiche); 
2. al fine di ottenere le seguenti informazioni che, ai sensi dell'articolo 33, paragrafo 3, del Regolamento (UE) 2016/679, devono essere incluse nella notifica del titolare e includono almeno:
3. la natura dei dati personali, comprese, ove possibile, le categorie e il numero approssimativo di soggetti interessati dalla violazione e le categorie e il numero approssimativo di dati personali interessati; 
4. le probabili conseguenze della violazione dei dati personali;  
5. le misure adottate o le misure che il titolare del trattamento propone di adottare per porre rimedio alla violazione dei dati personali, comprese, ove applicabile, misure per attenuare le possibili conseguenze negative. 

Laddove e nella misura in cui non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento e, non appena diventano disponibili, vengono fornite successivamente informazioni aggiuntive non appena possibile.

1. al fine di soddisfare, ai sensi dell’articolo 34 del Regolamento (UE) 2016/679, l’obbligo di comunicare all’interessato la violazione dei dati personali il prima possibile, qualora il personale responsabile della violazione dei dati personali sia suscettibile di creare un rischio elevato per i diritti e le libertà delle persone fisiche.

9.2 Data Breach in relazione ai dati trattati dal responsabile

In caso di violazione dei dati personali relativi ai dati trattati dal subappaltatore, quest'ultimo informa il titolare del trattamento il prima possibile dopo esserne venuto a conoscenza. Questa notifica contiene almeno:

1. una descrizione della natura della violazione riscontrata (compresi, ove possibile, le categorie e il numero approssimativo dei soggetti interessati dalla violazione e i dati personali interessati);
2. estremi di un punto di contatto dal quale è possibile ottenere ulteriori informazioni in merito alla violazione dei dati personali;
3. le sue probabili conseguenze e le misure adottate o proposte da adottare per porre rimedio alla violazione, anche per mitigare le possibili conseguenze negative.

Qualora e nella misura in cui non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento e, non appena queste diventano disponibili, sono successivamente fornite informazioni aggiuntive quanto prima.

Le Parti definiscono nell'Allegato III tutti gli altri elementi che il responsabile del trattamento deve comunicare quando presta assistenza al titolare del trattamento ai fini dell'adempimento degli obblighi a carico di quest'ultimo previsti dagli articoli 33 e 34 del Regolamento (UE) 2016/679.

SEZIONE III – DISPOSIZIONI FINALI

Clausola 10 

Inosservanza delle clausole e risoluzione

1. Fatto salvo quanto previsto dal Regolamento (UE) 2016/679, in caso di inadempimento da parte del responsabile del trattamento degli obblighi previsti dalle presenti clausole, il titolare del trattamento può incaricare il responsabile del trattamento di sospendere il trattamento dei dati a carattere personale fino a quando quest'ultimo non abbia rispettato tali clausole o fino alla risoluzione del contratto. Il responsabile del trattamento informerà tempestivamente il titolare del trattamento qualora, per qualsiasi motivo, non fosse in grado di rispettare tali clausole.
2. Il responsabile del trattamento ha il diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali ai sensi delle presenti clausole se:
3. il trattamento dei dati personali da parte del responsabile è stato sospeso dal titolare ai sensi del punto a) e il rispetto di tali clausole non è ripristinato entro un termine congruo e, comunque, entro un mese dalla sospensione;
4. il subappaltatore viola in modo grave o persistente tali clausole o i suoi obblighi ai sensi del Regolamento (UE) 2016/679; 
5. il responsabile del trattamento non rispetta una decisione vincolante di un tribunale competente o di un'autorità di controllo competente in merito ai suoi obblighi ai sensi di queste clausole o del regolamento (UE) 2016/679.
6. Il responsabile del trattamento ha il diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali ai sensi di queste clausole qualora, dopo aver informato il responsabile del trattamento che le sue istruzioni violano i requisiti legali applicabili ai sensi della clausola 7.1(b), il responsabile del trattamento insiste affinché le sue istruzioni essere seguito.
7. Dopo la risoluzione del contratto, il responsabile del trattamento cancella, su scelta del titolare del trattamento, tutti i dati personali trattati per suo conto e certifica al titolare del trattamento di aver effettuato tale cancellazione, oppure restituisce tutti i dati personali al titolare del trattamento e distrugge quelli esistenti copie, salvo che il diritto dell’Unione o nazionale ne imponga la conservazione per un periodo più lungo. Il responsabile del trattamento continua a garantire il rispetto di queste clausole finché i dati non vengono cancellati o restituiti. 

ALLEGATO I

Descrizione dei trattamenti

Categorie di dati personali trattati e soggetti interessati

La tipologia dei Dati Personali e le categorie di persone interessate sono determinate e controllate dal Cliente, a sua esclusiva discrezione, attraverso l'utilizzo della Piattaforma Magileads.

Al fine di garantire la sicurezza della Piattaforma, la gestione degli errori e la registrazione degli accessi, Magileads sarà tenuto a trattare i seguenti dati personali per conto del Cliente: indirizzo IP e User Agent delle connessioni alla Piattaforma (incluso l'accesso alle applicazioni ospitate sulla Piattaforma Piattaforma del Cliente), gli indirizzi delle risorse a cui ha avuto accesso (URL).

Natura dei trattamenti

Le operazioni di trattamento effettuate da Magileads riguardanti i Dati Personali possono includere il calcolo, la classificazione, l'organizzazione dei dati, l'archiviazione, la sicurezza e/o qualsiasi altro trattamento effettuato dal Cliente nel contesto del suo utilizzo della piattaforma Magileads.

Durata dei trattamenti

Il trattamento oggetto del presente DPA è effettuato per tutta la durata del contratto, o per qualunque durata inferiore sotto l'esclusivo controllo del Cliente.

ALLEGATO II

Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati

Magileads implementa misure organizzative e tecniche per garantire la sicurezza e la riservatezza dei dati trattati per conto del Cliente. Queste misure includono l’uso di:

1. Misure di crittografia dei dati in transito e durante la conservazione;
2. Misure di sicurezza fisica (inclusa la verifica dell'identità) e controllo logico dei diritti di accesso ai server Magileads e alle sale del data center che ospitano detti server;
3. Processi di autenticazione rafforzati per tutti gli accessi a Magileads e ai dati dei suoi clienti;
4. Isolamento fisico e/o logico dei dati personali e non personali di diversi clienti Magileads;
5. Procedure per l'applicazione sistematica delle patch di sicurezza documentate dal CERT-FR nel più breve tempo possibile;
6. Impegni di riservatezza richiesti a tutti i dipendenti e fornitori di servizi che agiscono per conto di Magileads;
7. Registrazione delle azioni effettuate sui sistemi informativi Magileads.
8.  

Di seguito designato titolare del trattamento.
Francois KOLLI DPO – dpo@magileads.eu
Azienda KA-Groupe – MAGILEADS
40 Rue de Plaisance, 75014 Parigi

Numero RC/Siret: numero 848746632
Codice APE: 7022Z