Data processing agreement

Ultimo aggiornamento: 9 Dicembre 2024

Un Accordo per il trattamento dei dati personali (DPA) è un contratto tra l'azienda (il titolare dei dati) e un fornitore di servizi (il responsabile del trattamento) che stabilisce come i dati personali devono essere trattati. Definisce le responsabilità di entrambe le parti, garantendo la protezione dei dati in conformità alle leggi sulla privacy. Mumble S.r.l. tratterà i dati di titolarità del Merchant per poter fornire i servizi di gestione degli account, manutenzione dell’App e assistenza e supporto informatico.

Il presente accordo per il trattamento di dati personali (di seguito, “Accordo”) integra il Contratto Termini e condizioni del servizio Shoppy  aggiornato di volta in volta, o altro accordo tra il Merchant e Mumble che regola l’uso dei Servizi da parte del Merchant (le “Condizioni”).

Il presente Accordo è concluso tra il Merchant in qualità di Titolare del trattamento (di seguito, oltre alle definizioni contenute nelle Condizioni, anche “Titolare”), così come definito nel Contratto, e Mumble S.r.l., con sede legale in Via Tacito 17 – 41123 – Modena (MO), Codice Fiscale e Partita IVA n. 03525740365, in qualità di Responsabile del Trattamento (di seguito, oltre alle definizioni contenute nelle Condizioni, anche “Responsabile”), di seguito, congiuntamente le “Parti” o disgiuntamente la “Parte”).

Premesso che

  • in base all’art. 28 del Reg. UE n. 2016/679 (di seguito “Regolamento” o “GDPR”), il Titolare dei trattamenti di dati personali può proporre una persona fisica, una persona giuridica, una pubblica amministrazione e qualsiasi altro ente, associazione od organismo quale Responsabile del trattamento dei dati, che sia selezionato tra soggetti che, per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso i profili di sicurezza;
  • il Responsabile del trattamento deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato;
  • il Responsabile deve procedere al trattamento secondo le istruzioni impartite dal Titolare;
  • il Titolare consente al Responsabile e a chiunque agisca sotto la sua autorità l’accesso ai soli dati personali la cui conoscenza sia necessaria per adempiere ai compiti loro attribuiti;
  • con il presente Accordo il Titolare intende nominare Mumble quale Responsabile del trattamento dei dati personali ai sensi dell’art. 28 GDPR.

1. Ruoli Privacy

  1. Il Titolare del trattamento, al quale competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali, designa Mumble quale Responsabile del trattamento dei dati personali per le finalità e i trattamenti indicati nel paragrafo 2 – Ambito dei trattamenti di questo documento, effettuati nell’ambito degli accordi contrattuali in vigore.
  2. In ogni caso, il Titolare affida al Responsabile tutte – ed esclusivamente – le operazioni di trattamento dei dati personali necessarie per dare piena esecuzione al Contratto.

2. Ambito dei trattamenti del Responsabile

name Price

Tipologie di dati personali trattati

  • Dati anagrafici: nome, cognome;
  • Dati di contatto: indirizzo, indirizzo e-mail, numero di telefono;
  • Dati di navigazione: indirizzo IP, geolocalizzazione, informazioni relative al sistema operativo utilizzato;
  • Dati di utilizzo: informazioni generate nel contesto dell’utilizzo del Sito e dell’App, quali ad es. dati di log, dati relativi a registrazioni effettuate, processi di interazione, indicatori di prestazione, dati relativi a flussi di navigazione e utilizzo di funzionalità, ID utente e ID dispositivo;
  • Dati relativi a richieste di assistenza: contenuto della richiesta

Categorie di interessati

  • Visitatori dell’App del Merchant
  • Clienti dell’App del Merchant

Finalità del trattamento

  • Gestione account
  • Manutenzione App
  • Assistenza e supporto informatico

Natura del trattamento

  • Raccolta
  • Registrazione
  • Organizzazione
  • Strutturazione
  • Conservazione
  • Consultazione
  • Uso
  • Trasmissione

3. Obblighi del Responsabile

  1. Il Responsabile, per quanto di propria competenza, è tenuto in forza di legge e del presente Accordo, per sé e per i propri dipendenti e per chiunque collabori con la sua attività, al rispetto delle disposizioni del Regolamento, della normativa nazionale di settore applicabile, dei provvedimenti e/o delle autorizzazioni e/o linee guida del Garante per la Protezione dei Dati Personali se e in quanto applicabili. Il Responsabile dovrà eseguire i trattamenti funzionali alle mansioni ad esso attribuite in conformità con il presente Accordo e con le finalità per cui i dati sono raccolti. Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, il Responsabile si impegna ad informare preventivamente e in tempo utile il Titolare del trattamento che potrà opporsi.
  2. Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, implementa le misure organizzative e tecniche adeguate a garantire un livello di sicurezza adeguato al rischio e a proteggere i dati personali ricevuti come previsto dall’articolo 32 del GDPR. Il Responsabile è autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia ritenuto, sotto tutti gli aspetti, adeguato.
  3. Ove il Responsabile comunichi i dati personali oggetto del presente accordo al proprio personale, il Responsabile assicura che detto personale:
    1. si è impegnato a mantenere la riservatezza o è soggetto ad un obbligo legale di riservatezza e;
    2. tratti i dati personali del Titolare seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Accordo.

4. Obblighi del Titolare

  1. Il Titolare si impegna a porre in essere tutte le azioni adeguate e necessarie e sarà responsabile per le conseguenze di ogni utilizzo inidoneo del Servizio da parte dei dipendenti del Titolare e, in particolare, per la conservazione riservata dei nominativi e delle password di accesso al Servizio.
  2. Il Titolare garantisce che i dati personali e/o le categorie particolari di dati personali da lui trasmessi al Responsabile sono raccolti rispettando ogni prescrizione della normativa vigente sul trattamento dei dati personali, inclusa l’individuazione della corretta condizione di liceità. Il Titolare dichiara che i dati personali da lui trasferiti al Responsabile sono esatti, pertinenti e non eccedenti le finalità individuate nel presente accordo. Il Titolare riconosce che è responsabilità del Titolare del trattamento rispettare ogni eventuale compito e obbligo aggiuntivo applicabile al fine di rendere lecito il trasferimento dei dati personali ai Responsabili del trattamento e ai Sub-Responsabili ai sensi delle disposizioni di legge applicabili in materia di protezione dei dati personali.
  3. Il Titolare rimane Responsabile del trattamento delle informazioni attuate tramite procedure applicative sviluppate secondo sue specifiche e/o attraverso propri strumenti informatici o di telecomunicazioni. Il Responsabile, su richiesta del Titolare, coadiuva quest’ultimo nelle procedure davanti al Garante o all’autorità giudiziaria in relazione alle attività rientranti nella sua competenza.

5. Autorizzazione al trattamento da parte di sub-responsabili

Il Titolare acconsente che, esclusivamente per la fornitura del Servizio, il Responsabile possa ricorrere a Sub-Responsabili per il trattamento di dati personali conferiti dal Titolare. I Sub-Responsabili saranno vincolati da un accordo giuridico contenente le medesime obbligazioni individuate dal presente Accordo in relazione alla tutela dei dati personali trattati, inclusa l’adozione di adeguate misure tecniche ed organizzative.

6. Obblighi di collaborazione ed assistenza

Le Parti si impegnano a collaborare in buona fede per assicurare il rispetto delle previsioni di cui al presente Accordo. Il Responsabile assicura l’assistenza nei confronti del Titolare nel caso di esercizio dei diritti dell’interessato, nella gestione di eventuali incidenti di sicurezza e di violazioni dei dati personali al fine di mitigare i possibili effetti avversi da essi derivanti. Il Responsabile assicura inoltre la collaborazione con le autorità di controllo, anche adottando le misure tecniche ed organizzative adeguate ad assicurare l’adempimento a tali obblighi.

7. Trasferimento di dati

  1. Nella misura in cui sia applicabile il Regolamento e non vi sia alcuna Decisione di Adeguatezza, il Titolare e il Responsabile si impegnano a sottoscrivere le Clausole Contrattuali Tipo individuate dalla Commissione Europea. Sul punto, il Titolare autorizza espressamente la sottoscrizione delle Clausole Contrattuali Tipo, consentendo al Responsabile di sottoscrivere le Clausole Contrattuali Tipo con paesi al di fuori dello Spazio Economico Europeo per conto del Titolare.
  2. Il Titolare riconosce la propria responsabilità in riferimento al rispetto di qualsiasi compito e obbligo aggiuntivo applicabile al fine di rendere lecito il trasferimento dei dati personali ai Responsabili del trattamento e ai Sub-Responsabili ai sensi delle disposizioni di legge applicabili in materia di dati personali.

8. Restituzione e cancellazione dei dati

Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte del Responsabile o del rapporto sottostante al Servizio, il Titolare potrà, a sua discrezione, istruire il Responsabile di: i) restituire al Titolare i dati personali oggetti del trattamento o ii) provvedere alla loro integrale distruzione, salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini. In caso non sia espressa alcuna preferenza entro sei mesi dalla cessazione del rapporto, il Titolare dichiara di istruire il Responsabile alla cancellazione automatica dei dati oggetto del presente trattamento.

9. Violazioni dei dati personali

  1. Il Titolare riconosce e accetta che il Responsabile del Trattamento non sarà ritenuto responsabile in caso di violazioni dei dati personali che non sia imputabile a dolo o colpa grave di quest’ultimo.
  2. Nel caso in cui il Responsabile venga a conoscenza di una violazione dei dati personali, dovrà: 
    1. adottare tutte le misure appropriate per contenere e mitigare la violazione dei dati personali, inclusa la notifica al Titolare senza ingiustificato ritardo. Il Responsabile si riserva il diritto di determinare le misure da porre in essere per conformarsi alla disposizione di legge applicabili;
    2. collaborare con il Titolare per indagare: la natura, le categorie ed il numero approssimativo di interessati coinvolti, le categorie ed il numero approssimativo di dati personali coinvolti e le probabili conseguenze di tale violazione con modalità commisurate alla serietà della violazione ed al suo impatto complessivo sul Titolare e sull’erogazione del Servizio previsto dal presente Accordo;
    3. ove le disposizioni di legge applicabili in materia di protezione dei dati personali richiedano la notificazione alle competenti autorità di controllo ed agli interessati della violazione dei dati personali, il Responsabile dovrà attenersi alle istruzioni del Titolare che sarà l’unico ad avere il diritto di determinare le misure per adempiere alle disposizioni applicabili e rimediare a qualsivoglia rischio, tra cui (i) determinare a quali soggetti debba essere indirizzata ogni eventuale notifica in base alle disposizioni di legge applicabili (ii) determinare il contenuto dell’avviso di cui al punto precedente, nonché eventuali rimedi riparatori, inclusa la natura ed i destinatari dello stesso.

 

10. Durata e mandato

  1. La presente nomina avrà la medesima durata del Contratto. Qualora questo venisse meno o perdesse efficacia e per qualsiasi motivo, anche la presente nomina verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Responsabile non sarà più legittimato a trattare i dati del Titolare.
  2. Resta inteso che il presente Accordo non comporta alcun compenso per il Responsabile, essendosi già tenuto conto delle attività che il Responsabile deve svolgere in base al presente atto di nomina nella determinazione del corrispettivo previsto dal Contratto.