Condizioni generali di Hospitality Digital GmbH – Internet Presence Software

Hospitality Digital GmbH Metro-Straße 1, 40235 Düsseldorf (“H.d”) offre alle aziende del settore alberghiero e della ristorazione (“Cliente”) i servizi meglio descritti nel prosieguo (“Servizi”).

1. Oggetto

1.1 H.d fornisce i Servizi di “Internet Presence” esclusivamente sulla base delle seguenti Condizioni generali (“Condizioni Generali”).

1.2 H.d fornisce i Servizi esclusivamente a Clienti che non sono consumatori ai sensi della sezione 13 del Codice civile tedesco (BGB).

1.3 Eventuali condizioni in deroga poste dal Cliente non sono applicabili, anche nel caso in cui H.d non le abbia espressamente rifiutate e/o fornisca servizi e/o altri vantaggi senza riserve pur essendo a conoscenza di tali diverse condizioni deroganti

2. Ambito di applicazione dei Servizi

2.1 H.d fornisce al Cliente i seguenti Servizi per tutto il periodo di validità del presente accordo:

(a) H.d fornirà al Cliente uno Spazio di archiviazione da utilizzare sui sistemi di H.d a cui il Cliente può accedere via internet (“Spazio di archiviazione”), cfr. sezione 4.

(b) H.d concede al Cliente l'accesso online al software che consente al Cliente di creare semplici siti Web con layout preimpostati e testi generati automaticamente e di memorizzarli sullo Spazio di archiviazione, di gestire lo Spazio di archiviazione e/o renderlo accessibile a terze parti ("Software"), fare riferimento alla sezione 5.

(c) L’ambito di applicazione del software include il cosiddetto “servizio di richiesta”, con cui H.d consente al Cliente di trasmettere automaticamente le informazioni pubblicate in merito alla reperibilità dell’attività (in particolare indirizzo e orari di apertura) a fornitori terzi sul suo sito web, cfr. sezione 6.

(d) H.d offrirà al Cliente un sottodominio del dominio “eatbu.com” di proprietà di H.d, corrispondente al campione xyz.eatbu.com; tale sottodominio è collegato allo Spazio di archiviazione e può essere selezionato dal Cliente in base a disponibilità (“Sottodominio”), cfr. sezione 7.

(e) H.d può, di volta in volta, fornire Servizi aggiuntivi al Cliente, in particolare per quanto riguarda la configurazione e l’utilizzo del Software (“Servizi di consulenza”), cfr. sezione 8.

2.2 H.d può offrire al Cliente servizi aggiuntivi legati al Software e allo Spazio di archiviazione; il loro ambito di applicazione viene concordato con il Cliente, ma vengono in ogni caso forniti ai sensi delle presenti CON.

2.3 H.d può adeguare i Servizi e gli altri vantaggi allo stato dell’arte e alle esigenze o agli sviluppi tecnici, a condizione che l’adeguamento avvenga entro limiti ragionevoli per il Cliente. H.d può sospendere i Servizi e gli altri vantaggi con un ragionevole preavviso. H.d informerà tempestivamente il Cliente in merito alla sospensione dei Servizi.

3. Obblighi del Cliente

3.1 Il Cliente deve tenere aggiornati i dati commerciali e le informazioni di contatto indicati al momento della stipula del contratto, aggiornandoli durante tutto il periodo di validità del contratto, ed è tenuto a comunicare immediatamente a H.d qualsiasi modifica, per iscritto o via e-mail. Il Cliente è inoltre tenuto ad assicurarsi che l’indirizzo e-mail comunicato a H.d sia regolarmente consultato al fine di ricevere informazioni rilevanti sul contratto.

3.2 I dati di accesso che il Cliente riceve da H.d non possono essere condivisi con terzi e deve esserne evitato l’accesso da parte di terzi. Il Cliente informerà immediatamente H.d nel caso in cui abbia il ragionevole sospetto o sia a conoscenza di un possibile uso improprio dei dati di accesso forniti. In tal caso, H.d ha il diritto di bloccare temporaneamente i dati di accesso del Cliente allo Spazio di archiviazione e al Software, finché il sospetto di abuso non sia attenuato. In caso di effettivo abuso, H.d ha il diritto di bloccare permanentemente i dati di accesso del Cliente e di assegnargliene altri.

3.3 Il Cliente è consapevole che il suo sito web può essere associato a H.d. Pertanto, il Cliente adotterà tutte le misure necessarie per mantenere separati, in quanto a contenuti, i servizi da lui offerti e quelli offerti da H.d o da terzi.

3.4 Se il Cliente dovesse scoprire che l’utilizzo dei Servizi o di altri vantaggi comporta una violazione della legge, deve immediatamente interromperne l’utilizzo, smettere di violare la legge e cancellare qualsiasi contenuto illegale.

4. Disposizioni particolari relative allo Spazio di archiviazione

4.1 Lo Spazio di archiviazione è fornito al Cliente gratuitamente. Di conseguenza, H.d non può garantire una particolare disponibilità dello Spazio di archiviazione. Inoltre, lo Spazio di archiviazione non sarà disponibile durante i necessari lavori di manutenzione. H.d si impegnerà a ridurre al minimo qualsiasi danno causato dai lavori di manutenzione. H.d fornirà al Cliente le altre specifiche relative alle prestazioni dello Spazio di archiviazione prima della stipula dell’accordo.

4.2 Il Cliente si impegna a garantire che tutti i file, tra cui HTML e altri documenti, testi, immagini, grafici, font, video ecc. (“Contenuti”) saranno conservati, pubblicati e/o messi a disposizione nello Spazio di archiviazione e/o con l’ausilio del Software in conformità alla legge applicabile. In particolare il Cliente garantisce che, all’interno dello Spazio di archiviazione e/o con l’ausilio del Software, conserverà solo i Contenuti di cui detiene i necessari diritti, tra cui il diritto di utilizzo e sfruttamento economico previsto della legge sul diritto d’autore, e che tali Contenuti non violeranno diritti personali di terzi. Inoltre, il Cliente assicura che nello Spazio di archiviazione e/o con l’ausilio del Software non conserverà, pubblicherà, e/o metterà a disposizione nessun Contenuto di natura immorale, in particolare di tipo pornografico, razzista o discriminatorio. H.d avrà il diritto di cancellare qualsiasi Contenuto memorizzato nello Spazio di archiviazione e/o con l’ausilio del Software in violazione della presente sezione 4, sia che H.d ne venga informata da agenzie governative, tribunali o ulteriori soggetti terzi, sia che ne venga a conoscenza in altro modo.

4.3 Il Cliente concede a H.d i diritti necessari per tutti i Contenuti che conserva, pubblica e/o mette a pubblica disposizione sullo Spazio di archiviazione e/o con l’ausilio del Software, in particolare i diritti necessari per conservare tali Contenuti, apportarvi modifiche tecniche, metterli a pubblica disposizione e copiarli. H.d può avere accesso ai Contenuti del Cliente nello Spazio di archiviazione solamente nella misura in cui ciò sia tecnicamente necessario per fornire e/o pubblicare i Contenuti, e nella misura in cui ciò corrisponda alle autorizzazioni concesse contrattualmente.

4.4 Inoltre, il Cliente non è autorizzato a eseguire o organizzare l’esecuzione di processi automatizzati, script, software o altri dati e/o Contenuti presenti nello Spazio di archiviazione, e/o intraprendere o far intraprendere (con l’ausilio del Software) qualsiasi azione che possa danneggiare in maniera consistente i sistemi, le reti e/o altri hardware e software, come componenti di rete di H.d e/o di terze parti. Nel caso in cui H.d venga a conoscenza di tale danno, H.d avrà il diritto di fermarlo e/o prevenirlo.

4.5 Il Cliente dovrà eseguire quotidianamente il backup dei dati al fine di poter recuperare i Contenuti dello Spazio di archiviazione senza costi aggiuntivi.

4.6 Il Cliente può mettere a disposizione del pubblico, nello Spazio di archiviazione, solamente i siti web creati con l’ausilio del Software.

5. Disposizioni particolari relative al Software

5.1 Il Cliente è autorizzato ad accedere al Software esclusivamente per crearsi il proprio sito web e per amministrarsi il proprio Spazio di archiviazione. H.d garantisce l’accesso al punto di trasferimento alla rete pubblica.

5.2 Il Cliente non può accedere al Software o utilizzarlo per conto di terzi o per altri fini. Il Cliente non è autorizzato a copiare il Software, a metterlo a disposizione di terzi, a scomporlo o a modificarlo in qualsiasi altro modo.

6. Disposizioni particolari relative al Servizio di rivendicazione dell’attività

6.1 H.d consente al Cliente di pubblicare informazioni relative alla reperibilità della propria attività (es. indirizzo e orari di apertura) sul sito web creato utilizzando il Software, e allo stesso tempo lo autorizza a trasmettere tali informazioni a fornitori terzi affinché vengano pubblicate su piattaforme online da loro gestite.

6.2 H.d è tenuta a fornire al Cliente il servizio di richiesta fino a nuovo avviso; ciò vale in ogni caso per la trasmissione automatica a Google My Business dei Contenuti inseriti a tal fine dal Cliente utilizzando il Software.

6.3 La trasmissione di tali dati a fornitori terzi rappresenta un servizio opzionale fornito da H.d nell’ambito del servizio di richiesta; il cliente può avvalersene o meno. Nel caso in cui il Cliente intenda avvalersi di tale servizio, acconsente contestualmente alla trasmissione di tali dati ai fornitori terzi da lui selezionati.

6.4 H.d ha facoltà di interrompere il “servizio di richiesta” in qualsiasi momento e a propria discrezione (es. nel caso in cui fornitori terzi non offrano più determinati servizi). Nel prendere tale decisione H.d terrà in debita considerazione gli interessi legittimi del Cliente.

7. Disposizioni particolari relative ai Sottodomini

7.1 Al momento della registrazione del Sottodominio presso H.d il Cliente è tenuto a soddisfare i requisiti della Internet Corporation for Assigned Names and Numbers (“ICANN”), un’entità che assegna i domini .com. Il Cliente può registrare un massimo di tre Sottodomini con H.d.

7.2 Il Cliente si impegna a selezionare il Sottodominio unicamente secondo i termini di legge e, in particolare, garantisce che sceglierà solo nomi di cui possiede i relativi diritti, inclusi i diritti di marchio e/o utilizzo del nome. Inoltre, il Cliente garantisce che per il Sottodominio non registrerà nomi di dominio contrari all’ordine pubblico o immorali. H.d ha il diritto di cancellare tutti i Sottodomini scelti in violazione del presente paragrafo 7.2, sia che ne venga informata da agenzie governative, tribunali, titolari di diritti o ulteriori soggetti terzi, sia che ne venga a conoscenza in altro modo.

8. Disposizioni particolari relative ai Servizi di consulenza

8.1 H.d può offrire Servizi di consulenza al Cliente, in particolare riguardo alla configurazione iniziale e al miglior utilizzo a lungo termine del Software (ad esempio quali funzioni aggiungere), oltre a indicazioni sul modo in cui tale utilizzo può migliorare la situazione generale dell’attività. I Servizi di consulenza possono inoltre includere la raccomandazione al Cliente di strumenti e servizi aggiuntivi corrispondenti al Software.

8.2 I Servizi di consulenza possono essere forniti dalle Affiliate di H.d. L’Allegato alle presenti Condizioni Generali contiene informazioni in merito a quale Affiliata fornisce i Servizi di consulenza presso la sede operativa del Cliente. Con l’accettazione di tali Condizioni Generali, il Cliente accetta che i Servizi di consulenza possano essere forniti dall’Affiliata situata nella sede operativa del Cliente.

8.3 Per la fornitura dei Servizi di consulenza, H.d condivide i dati personali e altri dati con la rispettiva Affiliata al fine di consentirle di fornire i suddetti Servizi di consulenza.

8.4 H.d non garantisce nessun livello specifico di servizio né una disponibilità specifica o continuativa dei Servizi di consulenza.

9. Disposizioni particolari relative ai Servizi aggiuntivi

9.1 In deroga al punto 2.1(d), il Cliente può registrare il proprio dominio e/o utilizzare un dominio già registrato e collegarlo allo Spazio di archiviazione. Per la registrazione, H.d indirizzerà il Cliente a un fornitore di servizi esterno. L’accordo per la registrazione di tale dominio si stipula tra il Cliente e il fornitore di servizi esterno. H.d non sarà né parte contraente né qualsiasi altra parte di tale accordo.

9.2 H.d fornirà al Cliente il supporto tecnico per il collegamento del dominio allo Spazio di archiviazione.

10. Stipula dell’accordo, durata, risoluzione

10.1 Il Cliente propone di stipulare un contratto per l’utilizzo dello Spazio di archiviazione e del Software, ai sensi e alle condizoni di cui alle Condizioni Generali, registrandosi per l’accesso al allo Spazio di archiviazione ed al Software sul sito web di H.d. Generalmente l’accettazione da parte di H.d coincide con l’inizio della fornitura del servizio.

10.2 Il contratto è stipulato per un periodo di tempo indeterminato; il Cliente ha facoltà di recedere in qualsiasi momento, mentre H.d può recedere con un preavviso di due (2) settimane.

10.3 La risoluzione deve avvenire in forma scritta o via e-mail.

10.4 Resta impregiudicato il diritto delle parti di recedere dal contratto senza preavviso per giusta causa. La giusta causa vale in particolare quando il Cliente viola un obbligo derivante dalle sezioni 3, 4, 5, 7, 12.2 e 12.3.

10.5 Con la risoluzione del contratto tutti i dati del Cliente dovranno essere cancellati da H.d entro trenta (30) giorni, a meno che il Cliente non provveda personalmente a eliminarli con l’ausilio del Software, o a meno che non sussista un obbligo legale di conservazione dei dati. In tal caso, i dati vengono cancellati dopo la scadenza del relativo periodo di conservazione.

11. Garanzia e responsabilità, manleva

11.1 H.d è tenuta a risarcire il Cliente limitatamente ai danni derivanti da difetti nei Servizi dissimulati fraudolentemente. H.d non si assume alcuna ulteriore responsabilità per vizi giuridici e/o difetti materiali dei Servizi e dei vantaggi forniti gratuitamente.

11.2 H.d e i suoi ausiliari o rappresentanti legali sono responsabili solamente in caso di atti intenzionali, negligenza grave o lesioni colpose alla vita, al corpo o alla salute, nonché per dolo. Resta inalterata la responsabilità ai sensi della legge tedesca sulla responsabilità del prodotto.

11.3 Ai sensi dell’art. 15 della legge tedesca sulle società per azioni (AktG), il Cliente esonera in prima istanza H.d, i suoi ausiliari e rappresentanti legali e le società affiliate a H.d (“Affiliate”) da pretese di terzi avanzate contro H.d, i suoi ausiliari e rappresentanti legali e/o società affiliate a H.d a causa dei Servizi o in relazione a essi; tale manleva riguarda anche le pretese di terzi per l’utilizzo illegale dei dati e/o il mancato consenso dei soggetti interessati e/o la violazione dei diritti della personalità dei dipendenti del Cliente. La manleva si applica anche alle necessarie spese legali e di arbitrato.

11.4 Le limitazioni di responsabilità di cui alle sezioni 11.1 e 11.2 si applicano altresì alle Affiliate di H.d.

11.5 Il Cliente sarà considerato l’unico responsabile per i Contenuti e il nome del Sottodominio. Pertanto, ai sensi dell’art. 15 dell’AktG, è tenuto in prima istanza a esonerare e manlevare H.d, i suoi ausiliari e rappresentanti legali e tutte le società affiliate a H.d (“Affiliate”) da qualsiasi pretesa di terzi nei confronti di H.d, i suoi ausiliari, rappresentanti legali e/o società affiliate a H.d a causa dei Servizi e di altri vantaggi, o in relazione a essi. Quanto detto vale in particolare per tutte le violazioni relative a marchi, diritto d’autore, protezione dei dati e concorrenza. Tale manleva si applicherà anche a tutte le necessarie spese legali, comprese le spese per le procedure arbitrali.

12. Protezione dei dati personali, riservatezza

12.1 Il trattamento dei dati personali in relazione alla fornitura di servizi da parte di H.d è soggetto all’Informativa sulla privacy, accessibile in qualsiasi momento sul sito web indicato nella descrizione del servizio.

12.2 Nella misura in cui H.d tratta dati personali per conto del Cliente, si applica l’Accordo per il trattamento dei dati allegato alle presenti Condizioni Generali.

12.3 Le parti si impegnano a non divulgare a terzi informazioni riservate anche dopo la risoluzione del contratto, e a non utilizzarle per scopi diversi da quelli previsti dal contratto. Sono considerate riservate tutte le informazioni tecniche e il know-how messi a disposizione del Cliente, nonché altre informazioni contrassegnate come riservate da una delle due parti e aventi valore economico. Ciò include espressamente i segreti aziendali e commerciali.

12.4 L’obbligo di riservatezza non si applica alle informazioni già note all’altra parte o al pubblico senza che una delle due parti violi la clausola 12.2, alle informazioni che devono essere rese accessibili in virtù di un obbligo legale o di una decisione giudiziaria, o alle informazioni destinate a un’ispezione accurata da parte di soggetti terzi tenuti al segreto in vista di un’acquisizione aziendale.

13. Compenso

13.1 Il Cliente non deve alcun compenso per i Servizi forniti da H.d. I Servizi saranno forniti gratuitamente.

13.2 Il punto 13.1 non riguarda i servizi forniti da terzi nell’ambito di servizi più estesi.

14. Altre disposizioni

14.1 H.d ha facoltà di subappaltare una o tutte le prestazioni dovute da H.d ai sensi del presente accordo, in particolar modo i Servizi. Ai sensi dell’art. 15 dell’AktG, H.d ha facoltà di trasferire il presente contratto a una società affiliata previa notifica, a meno che ciò non sia ritenuto irragionevole dal Cliente.

14.2 H.d ha facoltà di modificare le presenti Condizioni Generali previa notifica, e può anche apportare modifiche con effetti per il Cliente. H.d può modificare le presenti Condizioni Generali solo nella misura in cui le modifiche siano ritenute ragionevoli dal Cliente, non incidano sugli obblighi contrattuali essenziali e non peggiorino le condizioni del Cliente. Quest’ultimo può opporsi a una modifica delle Condizioni Generali entro quattro (4) settimane dalla ricezione della notifica o risolvere il contratto senza preavviso. Se il Cliente non si oppone alla modifica delle Condizioni Generali o non lo fa in tempo utile, si considera concesso il consenso del Cliente alla modifica delle Condizioni Generali. In caso di notifica di modifiche delle Condizioni Generali, H.d comunicherà al Cliente le conseguenze di un’omessa obiezione e il diritto alla risoluzione del contratto senza preavviso.

14.3 Nel caso in cui una disposizione del presente contratto sia o diventi completamente o parzialmente nulla, non valida, impraticabile o inapplicabile (“Disposizione difettosa”), ciò non pregiudica la validità o l’applicabilità delle restanti disposizioni. Piuttosto, le parti si impegnano sin da ora a sostituire la Disposizione difettosa con una simile, secondo il senso e lo scopo del contratto, nel caso in cui riconoscano la disposizione come difettosa. Nel caso in cui una disposizione risulti difettosa in riferimento a un’indicazione operativa o temporale qui riportata (limite di tempo o scadenza), allora la disposizione deve essere coerente con un livello giuridicamente ammissibile il più vicino possibile a quello originario. Lo stesso vale per eventuali lacune nel presente contratto. È intenzione espressa delle parti che questa clausola di salvaguardia non si traduca in una semplice inversione dell’onere probatorio, bensì che si rinunci congiuntamente all’art. 139 del BGB.

14.4 Il contratto e tutte le pretese e i diritti derivanti da o in relazione a esso sono soggetti esclusivamente al diritto tedesco, a esclusione del conflitto di leggi, e devono essere interpretati ed eseguiti secondo il diritto tedesco. È esclusa l’applicazione della Convezione delle Nazioni Unite sui contratti per la vendita internazionale di beni immobili (CISG). Il luogo di esecuzione è Düsseldorf.

14.5 Il foro competente esclusivo per la risoluzione di qualsiasi controversia derivante da o in relazione al presente contratto, alla sua stipula o alla sua esecuzione è, nei casi permessi dalla legge, Düsseldorf.

Status: July 2019 / AG


Contratto di nomina a responsabile esterno del trattamento o Data Protection Agreement (DPA)

Accettando le Condizioni generali di cui sopra il Cliente (“Titolare del trattamento”) e H.d (“Responsabile del trattamento”), nel prosieguo “Parti”, singolarmente “Parte”, stipulano altresì il presente Accordo per il trattamento dei dati (“DPA”).

Premessa

Nell’ambito della propria attività e in conformità alle suddette Condizioni generali, il Responsabile del trattamento riceve dati personali di cui è responsabile il Titolare del trattamento. Le Parti accettano le disposizioni del presente DPA al fine di adempiere agli obblighi in materia di protezione dei dati previsti dalla normativa europea, in particolare dal Regolamento generale sulla protezione dei dati (art. 28 GDPR).

1. Definizioni

1.1 Per dati personali si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile (“Interessato”). Una persona fisica è considerata identificabile quando può essere identificata, direttamente o indirettamente, attraverso una informazione come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (nel prosieguo “dati”).

1.2 Il trattamento dei dati per conto di qualcuno è la raccolta, il trattamento o l’utilizzo di dati da parte del Responsabile del trattamento per conto del Titolare del trattamento.

2. Oggetto e contenuto dell’ordine

2.1 Oggetto e durata dell’ordine

I dettagli e la durata dell’ordine sono stabiliti dalle Condizioni generali di cui sopra.

2.2 Tipologia dei dati

• Dati anagrafici personali (es. nome, cognome, data di nascita)

• Dati di contatto (es. telefono, e-mail, indirizzo)

• Luogo, data e ora delle prenotazioni dei clienti effettuate tramite il Software

• Indirizzo IP

2.3 Finalità della raccolta, del trattamento o dell’utilizzo dei dati

Le finalità della raccolta, del trattamento o dell’utilizzo dei dati sono descritte più dettagliatamente nelle Condizioni generali e nell’Informativa sulla privacy.

2.4 Natura e portata della raccolta, del trattamento o dell’utilizzo dei dati

La natura e la portata della raccolta, del trattamento o dell’utilizzo dei dati sono descritte più dettagliatamente nelle Condizioni generali e nell’Informativa sulla privacy.

2.5 Categoria degli Interessati

Clienti del Cliente

2.6 Misure tecniche e organizzative

(a) Le misure tecniche e organizzative che il Responsabile del trattamento è tenuto ad attuare sono indicate nell’Allegato (cfr. sotto) al presente DPA. Il Responsabile del trattamento provvederà regolarmente ad adeguare tali misure allo stato dell’arte a proprie spese, a condizione che il livello di protezione concordato non diminuisca e che i soggetti responsabili ne siano immediatamente informati.

(b) Il Responsabile del trattamento è tenuto a consentire al Titolare del trattamento di verificare in loco il rispetto delle misure tecniche e organizzative prima di iniziare le attività di trattamento previste dal presente contratto. Rimane inalterato il diritto di revisione del Titolare del trattamento ai sensi del punto 2.10.

(c) Il Responsabile del trattamento deve garantire che i sistemi di trattamento dei dati utilizzati nell’ambito dell’DPA siano conformi agli standard di "privacy by design" e "privacy by default"in base allo stato dell’arte.

2.7 Correzione, cancellazione e blocco dei dati, diritto alla portabilità dei dati e diritto di opporsi

(a) I diritti dei soggetti coinvolti nel trattamento dei dati da parte del Responsabile del trattamento, in particolare la rettifica, la cancellazione e il blocco, la portabilità dei dati e il diritto di opporsi si fanno valere nei confronti del Titolare del trattamento. Quest’ultimo è l’unico responsabile della protezione dei dati.

(b) Nel corso della sua attività per conto del Titolare del trattamento, il Responsabile del trattamento è tenuto a trasmettere senza indugio al Titolare del trattamento qualsiasi richiesta rivoltagli dai soggetti coinvolti per un trattamento adeguato. Nel caso in cui il Titolare del trattamento e il Responsabile del trattamento agiscano congiuntamente in qualità di soggetti esterni responsabili, il Responsabile del trattamento ha il diritto di rispondere a tale richiesta in maniera indipendente.

(c) Il Responsabile del trattamento è inoltre tenuto ad assistere il Titolare del trattamento con misure tecniche e organizzative adeguate per adempiere al suo obbligo di rispondere ai soggetti coinvolti.

(d) In conformità con le istruzioni del Titolare del trattamento, il Responsabile del trattamento deve rettificare, bloccare e/o cancellare i dati immediatamente, e comunque entro cinque (5) giorni, e darne informazione entro tale termine.

2.8 Obblighi del Responsabile del trattamento

(a) Il Responsabile del trattamento può raccogliere, trattare e utilizzare i dati esclusivamente nell’ambito dell’ordine e delle istruzioni documentate del Titolare del trattamento.

(b) Il Responsabile del trattamento è tenuto ad adempiere a intervalli regolari alle misure tecniche e organizzative definite al punto 2.6 del presente DPA e a presentarle su richiesta.

(c) Il Responsabile della protezione dei dati o Data Protection Officer (DPO) è nominato come persona di riferimento per la protezione dei dati presso il Responsabile del trattamento. Il DPO può essere contattato all’indirizzo privacy@hd.digital. Ove necessario, il Responsabile del trattamento nomina anche un rappresentante in conformità ai requisiti di cui all’art. 27 del GDPR.

(d) Il Responsabile del trattamento è tenuto a mantenere la riservatezza. Chiunque, presso il Responsabile del trattamento, venga autorizzato ad accedere ai dati del Titolare del trattamento deve essere vincolato da un obbligo di riservatezza o soggetto a un ragionevole segreto professionale e deve essere informato degli obblighi speciali di protezione dei dati derivanti dal presente DPA, nonché delle istruzioni e delle finalità esistenti. Il Responsabile del trattamento documenterà tali obblighi per iscritto e li fornirà su richiesta del Titolare del trattamento.

2.9 Motivazione delle condizioni di subfornitura

(a) La giustificazione dei rapporti di subfornitura è consentita. Il Responsabile del trattamento informerà in anticipo il Titolare del trattamento in merito alla modifica in questione. Il Titolare del trattamento ha il diritto di opporsi.

(b) Nel caso di incarico commissionato da altri responsabili, il Responsabile del trattamento assicura contrattualmente che gli obblighi per lui previsti dal presente DPA si applichino anche per l’altro responsabile.

(c) Il Responsabile del trattamento eseguirà controlli ad hoc e periodici sulle misure tecniche e organizzative adottate dagli altri responsabili durante il periodo di subfornitura al fine di proteggere i dati da lui forniti. La trasmissione dei dati è consentita solamente nel caso in cui l’altro responsabile abbia attuato le misure tecniche e organizzative necessarie, perlomeno secondo quanto specificato nel presente DPA.

(d) Il Responsabile del trattamento è completamente responsabile per i subfornitori di cui si avvale.

2.10 Diritto di revisione del Titolare del trattamento

Il Titolare del trattamento è autorizzato a verificare la conformità alle norme applicabili in materia di protezione dei dati personali e all’DPA, durante il normale orario di lavoro. Il Responsabile del trattamento si impegna a fornire al Titolare del trattamento tutte le informazioni ragionevolmente necessarie al fine di effettuare l’ispezione entro un periodo di tempo ragionevole. Qualora il Titolare del trattamento ritenga necessaria una revisione nel luogo di attività del Responsabile del trattamento, quest’ultimo gli garantirà accesso al proprio ufficio al fine di eseguire la revisione e un’ispezione dei dati conservati e dei programmi di trattamento dei dati. Il Titolare del trattamento ha il diritto di far eseguire la verifica da un soggetto terzo (ispettore) che sarà di volta in volta nominato. Il Titolare del trattamento deve annunciare l’esecuzione di tale revisione per iscritto con almeno venti (20) giorni lavorativi di preavviso. I costi della revisione e quelli sostenuti dal Responsabile del trattamento a normali prezzi di mercato sono a carico del Titolare del trattamento.

2.11 Avvisi di violazione da parte del Responsabile dei dati

(a) Il Responsabile del trattamento avviserà il Titolare del trattamento senza indugio e al più tardi entro quarantotto (48) ore dalla scoperta di tutti i casi in cui il Responsabile del trattamento o soggetti o subfornitori da quest’ultimo assunti abbiano violato le norme che disciplinano la protezione dei dati del Titolare del trattamento o le condizioni stabilite nel presente DPA.

(b) Il Titolare del trattamento sarà informato di qualsiasi perdita, trasmissione o ricezione illecita da parte di terzi, indipendentemente dalla causa. Il Responsabile del trattamento, previa consultazione con il Titolare del trattamento, adotterà misure appropriate al fine di salvaguardare i dati e attenuare le possibili conseguenze negative per gli Interessati. Nella misura in cui i soggetti responsabili adempiono agli obblighi di avviso, il Responsabile del trattamento assisterà il Titolare del trattamento nell’adempimento di tali obblighi.

2.12 Istruzioni del Titolare del trattamento

(a) I dati del Titolare del trattamento saranno gestiti dal Responsabile del trattamento esclusivamente nei termini del presente DPA e secondo le specifiche istruzioni da quest’ultimo riferite.

(b) Il Responsabile del trattamento si adeguerà alle istruzioni (individuali) sulla natura, la portata e le modalità di trattamento, senza indugio o, se del caso, entro il termine fissato dal Titolare del trattamento.

(c) Il Responsabile del trattamento indicherà tempestivamente al Titolare del trattamento se ritiene che le istruzioni comunicate da quest’ultimo violino il Regolamento sulla protezione dei dati personali. Il Responsabile del trattamento è autorizzato a sospendere l’attuazione delle relative istruzioni fino a quando non siano state confermate o modificate da parte del Titolare del trattamento.

2.13 Cancellazione a seguito del termine dell’ordine

Al termine dell’attività contrattuale il Responsabile del trattamento è tenuto a consegnare al Titolare del trattamento tutti i dati che ha gestito oppure a distruggerli, previo consenso del Titolare del trattamento, secondo lo stato dell’arte. È escluso il diritto di conservare i documenti, i dati, il trattamento, i risultati di utilizzo e i supporti associati, fatto salvo il caso in cui la normativa dell’Unione Europea o quella di uno Stato membro dell’UE non richiedano la conservazione dei dati.

3. Ulteriori obblighi del Responsabile del trattamento

3.1 Il Responsabile del trattamento non utilizzerà i dati forniti per scopi diversi dal trattamento. Non potranno essere creati duplicati o copie a insaputa e senza previo consenso scritto del Titolare del trattamento, fatto salvo il caso in cui ciò sia necessario per i servizi ordinati nel presente DPA. Il Responsabile del trattamento garantisce che i dati da lui trattati per conto del Titolare del trattamento saranno separati dagli altri dati. La trasmissione a terzi dei dati del Titolare del trattamento da parte del Responsabile del Trattamento non è consentita senza consenso scritto del Titolare del trattamento.

3.2 Il Responsabile del trattamento fornirà ragionevole assistenza a chi si occupa della difesa contro reclami basati su una presunta o effettiva violazione degli obblighi in materia di protezione dei dati. Il Titolare del trattamento, da parte sua, esaminerà e tratterà in maniera appropriata i reclami dei soggetti interessati nell’ambito della sua responsabilità in materia di protezione dei dati.

3.3 Il Responsabile del trattamento riconosce che le informazioni da comunicare ai soggetti interessati, sulla base del loro diritto all’informazione, vengono fornite esclusivamente tramite il Titolare del trattamento o un soggetto autorizzato da quest’ultimo. Il Responsabile del trattamento è tenuto a fornire tempestivamente al Titolare del trattamento le informazioni richieste e a supportarlo. Qualora agisca da Titolare esterno del trattamento, il Responsabile del trattamento può rispondere a tali richieste e avvisare il Titolare del trattamento.

3.4 Il Responsabile del trattamento assisterà il Titolare del trattamento nella preparazione degli indici delle procedure necessarie, ove applicabile.

3.5 Il Responsabile del trattamento assisterà il Titolare del trattamento nello svolgimento delle valutazioni d’impatto (DPIA) quando una tipologia di trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

3.6 Il Responsabile del trattamento si impegna a informare il Titolare del trattamento senza indugio in merito ai risultati delle ispezioni da parte delle autorità di controllo della protezione dei dati, nella misura in cui tali risultati sono connessi al presente DPA. Il Responsabile del trattamento informerà chi di dovere in caso di reclami, relativi alla sua area di azione, da parte delle autorità di controllo della protezione dei dati e, come previsto dalla legge, porrà rimedio a qualsiasi reclamo individuato.

4. Responsabilità

4.1 Il Titolare del trattamento è responsabile dell’ammissibilità del trattamento dei dati, nonché della tutela dei diritti dei soggetti interessati.

4.2 Il Responsabile del trattamento, in deroga al punto 4.1, è responsabile delle richieste di risarcimento dei soggetti interessati a causa di violazioni delle disposizioni di legge applicabili o delle disposizioni del presente DPA.

4.3 In relazione al Titolare del trattamento, il Responsabile del trattamento risponde esclusivamente per dolo e colpa grave nell’ambito dell’esclusione di responsabilità e delle limitazioni consentite dalla legge.

5. Disposizioni finali

5.1 Il Titolare del trattamento informerà immediatamente e in maniera esaustiva il Responsabile del trattamento qualora riscontri errori o irregolarità nel trattamento dei dati da parte di quest’ultimo.

5.2 Il presente DPA può essere modificato e risolto in conformità alle stesse condizioni delle Condizioni generali di cui sopra.

5.3 L’invalidità di una o più disposizioni del presente DPA non pregiudica l’efficacia dello stesso. In caso di inefficacia di una o più disposizioni del presente DPA, le Parti la sostituiranno con una disposizione efficace ed il più economica possibile. Lo stesso vale in caso di lacune.

5.4 Il presente DPA è soggetto agli stessi diritti delle Condizioni generali di cui sopra.

5.5 In caso di conflitto tra il DPA e altri accordi tra le Parti, prevalgono le disposizioni del presente DPA.

Status: July 2019 / AG


Misure tecniche e organizzative

Tenendo conto dello stato dell’arte, dei costi di attuazione e della natura, della portata, delle circostanze e delle finalità del trattamento e della diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche, il Responsabile del trattamento attuerà misure tecniche e organizzative adeguate al fine di garantire un livello di protezione commisurato al rischio; tali misure comprendono, inter alia, quanto segue:

• la pseudonimizzazione e la codifica dei dati;

• la capacità di garantire in maniera permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

• la capacità di ripristinare rapidamente la disponibilità e l’accessibilità dei dati in caso di incidente fisico o tecnico;

• un processo di revisione periodica, valutazione e valutazione dell’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Fermo restando quanto precede, saranno adottate le seguenti misure specifiche:

1. Controllo degli accessi

Misure atte a impedire che soggetti non autorizzati possano accedere al sistema di elaborazione dati utilizzato per il trattamento dei dati:

• indicazione dei soggetti autorizzati e della relativa documentazione;

• controllo elettronico degli accessi;

• rilascio di ID di accesso;

• introduzione di linee guida per soggetti esterni;

• allarme o sorveglianza al di fuori degli orari di lavoro;

• distribuzione delle proprietà in diverse zone di sicurezza;

• introduzione di linee guida per la gestione delle chiavi (tessere);

• porte di sicurezza (apriporta elettronico, lettore ID, TVCC);

• introduzione di misure per la sicurezza in loco (es. rilevamento/notifica intrusioni).

2. Controllo degli accessi

Misure atte a impedire che soggetti non autorizzati possano utilizzare il sistema e le procedure di trattamento dei dati:

• definizione dei soggetti che hanno accesso ai sistemi informatici;

• introduzione di linee guida per soggetti esterni;

• protezione dei personal computer con password.

3. Controllo degli accessi

Misure atte a garantire che i soggetti autorizzati a utilizzare le tecniche di trattamento dei dati possano accedere solo ai dati per cui sono autorizzati:

• introduzione di diritti di accesso limitati in base ai vari dati e funzioni;

• obbligo di identificarsi per accedere alle attrezzature di trattamento dati (es. tramite ID e autenticazione);

• introduzione di norme sull’accesso e sui ruoli degli utenti;

• valutazione dei protocolli in caso di evento dannoso.

4. Controllo della trasmissione

Misure atte a garantire che i dati non possano essere letti, copiati, alterati o rimossi durante la trasmissione elettronica o durante il trasporto o la conservazione su supporti informatici e che sia possibile verificare e determinare in quali punti è prevista una trasmissione dei dati:

• crittografia.

5. Controllo ingressi

Misure atte a garantire che sia possibile verificare e determinare a posteriori se e da chi i dati sono stati inseriti, alterati o rimossi dai sistemi informatici:

• registrazione dei dati inseriti.

6. Controllo dell’ordine

Misure atte a garantire che i dati trattati su ordine possano essere trattati esclusivamente in conformità alle istruzioni fornite dal Titolare del trattamento:

• documentazione sulle diverse competenze e sui diversi obblighi che spettano al Titolare del trattamento e al Responsabile del trattamento;

• incarico formale;

• controllo dei risultati del lavoro svolto.

7. Controllo della disponibilità

Misure atte a garantire la protezione dei dati contro la distribuzione o la perdita accidentale:

• attuazione di un piano di backup periodico;

• conservazione sicura dei backup dei dati in armadietti di sicurezza resistenti a fuoco e acqua;

• introduzione e verifica periodica di un sistema di alimentazione di emergenza e di un sistema di protezione dai sovraccarichi;

• introduzione di un piano di emergenza;

• protocollo sull’introduzione della gestione delle crisi e/o delle emergenze.

8. Controllo separazione

Misure atte a garantire che i dati raccolti per finalità diverse possano essere trattati separatamente:

• separazione dei dati dei vari clienti del Responsabile del trattamento.

Status: July 2019 / AG