Data Processing Agreement (“DPA”)

This Data Processing Agreement (“DPA”) sets forth the terms and conditions regarding the privacy, confidentiality, and security of Personal Data associated with the Services provided by Tiledesk to the User.

Considerazioni

– The Data Controller utilizes the collaboration of Tiledesk for certain processing activities;

– Tiledesk, within the scope of the Services offered to the Data Controller, as further detailed in the specific Terms and Conditions in force, may process personal data on behalf of the Data Controller;

– Pursuant to Article 28.1 of Regulation (EU) 2016/679, the General Data Protection Regulation (hereinafter “GDPR”), “where processing is to be carried out on behalf of a controller, the controller shall use only processors providing sufficient guarantees to implement appropriate technical and organizational measures in such a manner that processing will meet the requirements of this Regulation and ensure the protection of the rights of the data subject”;

– The Data Controller has verified that Tiledesk, in accordance with Article 28.1 of the GDPR, provides “sufficient guarantees to implement appropriate technical and organizational measures in such a manner that processing will meet the requirements of the Regulation and ensure the protection of the rights of the data subject”;

Definizioni

– Data Controller, Data Processor, Data Subject, Processing, and Personal Data shall have the meanings ascribed to them in the applicable data protection laws.

– Data Protection Law means all applicable laws or regulations relating to the privacy, confidentiality, and security of Personal Data.

– Data Security Breach means a security breach that results in the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to Personal Data processed by Tiledesk on behalf of the User in connection with the User’s use of the Services.

– EU Standard Contractual Clauses means the standard contractual clauses issued pursuant to Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and the Council.

– Services means any service provided by Tiledesk to the User.

– Terms and Conditions means the document governing the contractual relationship between Tiledesk and the User in relation to the Services, available at the following address: Terms and Conditions

1. DPA

1.1 Utilizzando i Servizi di Tiledesk, l’Utente agisce in qualità di Titolare del trattamento dei dati personali associati ai propri clienti (“Clienti”), integrando tali Dati Personali con i Servizi offerti da Tiledesk.

1.2 Tiledesk elabora i Dati Personali dei Clienti per conto dell’Utente nell’ambito dei Servizi e, per tale motivo, ai sensi dell’articolo 28 del GDPR, Tiledesk è il Responsabile del Trattamento dei Dati.

1.3 I dettagli dei Dati Personali che saranno trattati da Tiledesk e le attività di trattamento da svolgere ai sensi del presente Contratto sono i seguenti:

– Conservazione dei dati personali: il Responsabile del trattamento elabora i dati personali dei clienti del Titolare del trattamento finché il Titolare del trattamento rimane un utente di Tiledesk;

– Finalità del trattamento: Il Titolare del trattamento tratta i Dati Personali dei Clienti per consentire all’Utente di usufruire dei Servizi offerti da Tiledesk;

– Categorie di Dati: I Dati Personali trattati dal Titolare del Trattamento sono quelli richiesti o integrati dall’Utente nell’ambito dei Servizi.

2. Istruzioni ed elaborazione

2.1 Tiledesk tratterà i Dati Personali solo su istruzioni documentate dell’Host, salvo quanto diversamente richiesto dalla legge applicabile. Il Titolare del Trattamento garantisce che le proprie istruzioni siano conformi a tutte le leggi, i regolamenti e gli standard applicabili in materia di Dati Personali e che il trattamento di tali Dati Personali da parte di Tiledesk non comporterà una violazione di alcuna legge, regolamento o standard applicabile, incluse le leggi sulla protezione dei dati. Tiledesk informerà l’Utente qualora, a suo giudizio, un’istruzione violi le leggi applicabili sulla protezione dei dati. Ai sensi del presente DPA, l’Utente impartisce istruzioni a Tiledesk, e Tiledesk accetta di trattare i Dati Personali nella misura necessaria ad adempiere agli obblighi di Tiledesk ai sensi dei Termini e Condizioni e per nessun altro scopo, salvo quanto diversamente specificato nel presente DPA o richiesto per ottemperare alla legge o ad altri ordini governativi vincolanti. Qualora il presente DPA o qualsiasi azione da intraprendere o contemplare ai sensi dello stesso non soddisfi o non soddisfi gli obblighi di entrambe le parti ai sensi delle leggi applicabili sulla protezione dei dati, le parti negozieranno in buona fede per modificare il presente DPA di conseguenza.

2.2 Tiledesk rispetta tutte le disposizioni applicabili della normativa sulla protezione dei dati e fornisce lo stesso livello di protezione dei dati personali richiesto all’Utente dalla normativa stessa. Fatto salvo quanto precede, Tiledesk non:

(i) “vendere” o “condividere” Dati Personali;

(ii) conservare, utilizzare o divulgare tali Dati Personali al di fuori del rapporto commerciale diretto tra l’Utente e Tiledesk, salvo quanto consentito dalle Leggi sulla Protezione dei Dati.

L’Utente accetta che Tiledesk possa trasferire i Dati Personali dei Clienti in diverse sedi in relazione alla fornitura dei Servizi. I trasferimenti saranno effettuati in conformità con i meccanismi di trasferimento legalmente applicabili, ove richiesto dalle leggi applicabili in materia di protezione dei dati.

2.3 Al termine del Servizio e del relativo trattamento dei dati forniti dal Titolare per qualsiasi causa, il Responsabile del trattamento si impegna a cancellare o restituire al Titolare tutti i dati in suo possesso per l’esecuzione del relativo contratto, fatti salvi gli eventuali obblighi di conservazione previsti dalla legge.

2.4 Considerato che le operazioni di trattamento possono essere svolte solo da personale operante sotto la diretta autorità del Responsabile del trattamento, il Responsabile del trattamento deve:

a) individuare specificamente l’ambito del trattamento consentito e fornire istruzioni sul trattamento, determinare profili di accesso appropriati ai sistemi informatici, tenendo conto delle funzioni svolte dal “personale” all’interno della struttura organizzativa;

b) identificare e istruire i soggetti autorizzati a compiere operazioni di trattamento dei dati personali;

c) imporre il divieto di comunicazione e diffusione dei dati trattati da parte del personale autorizzato, salvo i casi in cui la comunicazione sia consentita da specifica autorizzazione del Titolare.

2.5 Tiledesk è autorizzata a nominare Sub-responsabili per specifiche attività di trattamento, nel rispetto dei medesimi obblighi contrattuali che vincolano il Titolare e il Responsabile principale. Il Responsabile è responsabile, anche nei confronti del Titolare, dell’operato del Sub-responsabile, inclusi gli eventuali danni causati dal trattamento, a meno che il Responsabile non dimostri che l’evento dannoso non gli è in alcun modo imputabile e di aver adeguatamente monitorato l’operato del Sub-responsabile. Tiledesk, nell’ambito del trattamento dei Dati Personali, si avvale di fornitori di servizi terzi debitamente nominati in qualità di Sub-responsabili. Su richiesta del Titolare, Tiledesk fornirà un elenco dettagliato di tali Sub-responsabili.

2.6 Il Responsabile del trattamento, nell’ambito delle proprie competenze, svolge tutte le attività previste dalla legge e tutti i compiti assegnati dal Titolare del trattamento, e in particolare:

– adottare misure tecniche e organizzative adeguate a garantire la sicurezza del trattamento;

– nominare un Responsabile della Protezione dei Dati (RPD), nei casi espressamente previsti dall’art. 37 GDPR;

– assistere il Titolare del trattamento nella conduzione della Valutazione d’Impatto sulla Protezione dei Dati (di seguito “DPIA”) fornendo tutte le informazioni necessarie in suo possesso;

– informare il Titolare del trattamento senza ingiustificato ritardo e comunque non oltre 30 ore dal momento in cui ne è venuto a conoscenza, di eventuali violazioni dei dati personali, per consentire al Titolare del trattamento di notificare la violazione all’Autorità Garante per la protezione dei dati personali, qualora ritenga che la violazione sia suscettibile di presentare un rischio per i diritti e le libertà degli interessati.

2.7 Tiledesk implementerà e manterrà tutte le misure necessarie per garantire che i Dati Personali dei Clienti siano archiviati e controllati, tenendo conto dello stato dell’arte, della natura dei dati e delle caratteristiche specifiche del trattamento.

2.8 Il Responsabile del trattamento predisporrà, nell’ambito delle proprie competenze, le misure necessarie per rispondere alle richieste di accesso degli interessati entro 10 giorni lavorativi e predisporrà la propria organizzazione interna per modificare, rettificare, integrare o cancellare i dati, o bloccarne il trattamento, su disposizione dell’autorità giudiziaria. Resta inteso che Tiledesk informerà immediatamente il Titolare del trattamento di eventuali richieste di accesso ai sensi dell’articolo 15 del GDPR.

2.9 Il Responsabile del trattamento dei dati risponderà e terrà indenne il Titolare del trattamento dei dati per qualsiasi danno derivante da un trattamento illecito o non corretto dei dati imputabile ad azioni od omissioni del Responsabile o di chiunque collabori con esso. Il Responsabile è esonerato da tale responsabilità qualora dimostri che l’evento dannoso non gli è in alcun modo imputabile.

3. Revisione contabile

3.1 Tiledesk consentirà lo svolgimento di audit, indagini e ispezioni (“Audit”) in materia di protezione e sicurezza dei dati, da parte di un revisore esterno o secondo quanto altrimenti richiesto, per esaminare le procedure di protezione e sicurezza dei dati di Tiledesk e dei suoi Sub-Responsabili autorizzati in relazione al trattamento dei dati personali ai sensi del presente DPA. Tiledesk potrà fornire tutte le informazioni necessarie e concedere l’accesso ai propri locali aziendali, ai sistemi e ai dipendenti in alternativa o in aggiunta all’esecuzione di un Audit in loco.

3.2 Tiledesk sarà informata della data e dell’ora dell’Audit con almeno 10 giorni lavorativi di anticipo. Gli audit saranno condotti durante il normale orario di lavoro di Tiledesk e saranno svolti in modo da evitare inutili interruzioni delle sue attività, salvo diversa indicazione di urgenza, nel qual caso dovrà essere fornita la documentazione appropriata. I costi dell’Audit saranno a carico della parte richiedente, salvo nei casi in cui Tiledesk riscontri una violazione da parte sua degli obblighi in materia di protezione dei dati, nel qual caso Tiledesk rimborserà le spese dell’Audit.