iDNA Srl, sedente in Navacchio, Cascina (Pisa), Via Giuntini 13, Cf e P.IVA: 01892370501 (di seguito “iDNA”)
E
Il Cliente
PREMESSO CHE
1. Tra le parti intercorre un rapporto contrattuale per la prestazione di una serie di servizi informatici cui questo accordo è richiamato agli articoli a) e b) della sezione II.
2. Nell’esecuzione del richiamato contratto IDNA ha accesso ad, e in ragione del caso concreto dovrà elaborare, una serie di dati personali per conto del cliente, il quale, rispetto a tali dati, ricopre il ruolo di “Titolare del trattamento”, secondo quanto meglio definito nel GDPR.
3. Alla luce di quanto sopra, le parti hanno convenuto di stipulare il presente Accordo per soddisfare gli obblighi imposti al Cliente ai sensi del GDPR ovvero ai sensi di altre Leggi sulla privacy applicabili.
Quanto sopra premesso le parti
CONVENGONO QUANTO SEGUE:
1. DEFINIZIONI
Legge sulla Privacy Applicabile: si intendono la legge sulla protezione dei dati personali e sulla privacy, le direttive europee e i regolamenti europei (incluso il GDPR) e altri atti o provvedimenti normativi o amministrativi (guide, codici di condotta) emessi dalle autorità competenti a cui il Cliente o IDNA siano soggetti.
Claim: si intende ogni richiesta di tenere una certa condotta o di adempiere a certi obblighi, una domanda giudiziale o una contestazione scritta di inadempimento.
Data Breach: si intendono tutte le violazioni di sicurezza ai sistemi IT in grado di comportare la perdita, la distruzione, l’alterazione, la diffusione indebita e/o l’accesso indebito ai dati personali trattati.
GDPR: si intende il REG UE 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).
Dato Personale: si intende qualsiasi informazione relativa a una persona fisica identificata o identificabile come definita dalla Legge sulla privacy applicabile ed avente ad oggetto le categorie di dati elencate nell’allegato a cui IDNA ha accesso, di volta in volta, nell’esecuzione Contratto di fornitura prestazione di servizi.
Garante Privacy: indica l’autorità che nella giurisdizione del Cliente e/o di IDNA sia deputata a vigilare sul rispetto della legge sulla privacy applicabile e/o emani provvedimenti in tema di privacy.
RET: indica IDNA Srl quale Responsabile Esterno del trattamento.
Trattamento o Trattare: indica qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali, automatiche o meno, aventi ad oggetto la raccolta, registrazione, organizzazione, archiviazione, adattamento o modifica, recupero, consultazione, utilizzo, divulgazione, messa a disposizione, allineamento, combinazione, blocco, cancellazione e distruzione dei Dati Personali secondo quanto meglio definito nella Legge sulla Privacy Applicabile.
Utente: indica un utente o comunque un soggetto (persona fisica o giuridica) che utilizzi i servizi e/o i prodotti del Cliente in relazione alla quale il Responsabile Esterno potrebbe Trattare Dati Personali.
2. TRATTAMENTO DA PARTE DEL RESPONSABILE ESTERNO
2.1. Con la sottoscrizione del presente contratto il RET, si obbliga in favore del Cliente a:
2.1.1. trattare i Dati Personali, allo scopo di adempiere al Contratto di Prestazione di Servizi, nel rispetto del presente accordo e secondo le istruzioni ricevute, di volta in volta, dal Cliente;
2.1.2. non esercitare esso stesso il controllo, né trasferire o pretendere di trasferire, il controllo dei Dati Personali a terzi, salvo che sulla base di specifiche istruzioni ricevute dal Cliente;
2.1.3. non elaborare o utilizzare i Dati Personali per scopi diversi da quelli indicati dal Cliente;
2.1.4. non trattare i Dati Personali per propri scopi o comunque includere i Dati Personali in alcun prodotto o servizio offerto o da offrire a terzi;
2.1.5. Adempiere completamente, formare e conservare la documentazione relativa ai trattamenti prescritta dalla Legge sulla Privacy Applicabile.
2.2. Per garantire che le istruzioni del Cliente, in relazione a qualsiasi Dato Personale, possano essere eseguite secondo quanto previsto dal presente Accordo, il RET dovrà predisporre processi e misura tecniche appropriate, ed in particolare che:
2.2.1. eventuali richieste da parte di singoli utenti effettuate al Cliente, o comunque l’esercizio da parte degli Utenti dei diritti in tema di privacy, in relazione ai propri Dati personali, di volta in volta, possano essere soddisfatti nel rispetto di quanto previsto dalla Legge Privacy Applicabile;
2.2.2. ove il Cliente lo richieda, e purché il contratto di prestazioni di servizi lo preveda, vengano messe a disposizione interfacce appropriate tali che le informative siano fornite agli interessati secondo quanto richiesto dalla Legge sulla privacy applicabile;
2.2.3. i Dati Personali degli Utenti possano essere aggiornati, modificati o corretti su semplice richiesta del Cliente;
2.2.4. su richiesta del Cliente l’accesso ai dati personali possa essere annullato o bloccato;
2.2.5. su richiesta del Cliente, e purché il contratto di prestazioni di servizi lo preveda, sia possibile predisporre e/o applicare, tramite appositi strumenti informatici ( i.e.: “flag”) regole particolari ai Dati personali degli Utenti o di gruppi di utenti, ad esempio per la soppressione di attività di marketing non desiderate.
2.3. Il RET provvederà ad agire nel pieno rispetto della Legge sulla Privacy Applicabile, in modo che dalla propria condotta non possa derivare per il Cliente alcuna violazione e/o responsabilità in base alla Legge sulla Privacy Applicabile.
2.4. Il RET dovrà fornire al Cliente la cooperazione, l’assistenza e le informazioni che il Cliente possa ragionevolmente richiedere per consentirgli di adempiere ai propri obblighi ai sensi della Legge Privacy Applicabile, nonché dovrà cooperare con e conformarsi alle direttive o alle decisioni del Garante Privacy avente giurisdizione, in un tempo tale da permettere al Cliente di rispettare eventuali termini a quest’ultimo imposti dalla Legga Privacy Applicabile, ovvero dal Garante Privacy avente giurisdizione.
2.5. Prima di procedere a ciascun trattamento per conto del Cliente il RET provvederà ad informare quest’ultimo:
2.5.1. se una richiesta e/o un’istruzione avanzata dal Cliente, ad opinione del RET, possa confliggere con la Legge Privacy Applicabile;
2.5.2. se sia impossibile per il RET agire secondo quanto richiesto dal Cliente poiché la richiesta esporrebbe il RET ad una violazione della Legge Privacy Applicabile.
2.6. Ove accada quanto al punto 2.5, il RET avrà facoltà di non soddisfare la richiesta e/o le istruzioni di Trattamento avanzate dal Cliente e sospendere l’adempimento del presente contratto nonché del Contratto di prestazione di servizi senza che da ci possa discendere responsabilità alcuna.
2.7. Ove invece la richiesta del Cliente in termini di Trattamento possa essere soddisfatta, ma sia necessaria una variazione e/o integrazione dei prodotti e/o servizi resi in virtù del Contratto di prestazione di servizi, il RET comunicherà tempestivamente, tale possibilità al Cliente con il relativo costo. Il Cliente dovrà accettare ( con il relativo costo) ovvero rifiutare la variazione entro cinque giorni dalla comunicazione e, ove non accetti, il RET potrà astenersi dal soddisfare la richiesta di Trattamento del Cliente senza alcuna responsabilità.
2.8. Nonostante quanto sopra si precisa che il RET non svolge consulenza in tema di Privacy al Cliente né è responsabile dell’individuazione delle fattispecie di legge applicabili al Cliente e alla sua attività commerciale e/o industriale, né potrà essere ritenuto responsabile della conformità delle attività svolte dal Cliente, nello sfruttamento dei prodotti e dei servizi di cui al Contratto di prestazione di servizi, alla Legge Privacy Applicabile.
2.9. A completamento di quanto sopra il Cliente dichiara e garantisce che il Trattamento dei Dati Personali che egli andrà ad effettuare sarà legittimo, pertanto il Cliente non utilizzerà i prodotti e i servizi di cui al Contratto di prestazione di servizi per finalità che comportino la violazione delle Legge Applicabile Privacy.
3. SICUREZZA DEI DATI PERSONALI
3.1. Il RET manterrà i Dati personali separati logicamente dai dati trattati per conto di terzi diversi dal Cliente.
3.2. Il RET manterrà e continuerà a mantenere adeguate misure di sicurezza tecniche e organizzative per proteggere i Dati Personali da distruzione accidentale o illecita o perdita accidentale, danno, alterazione, divulgazione o accesso non autorizzati in particolare laddove il trattamento preveda la diffusione dei Dati Personali attraverso una rete.
3.3. Una descrizione delle misure tecniche adottate dal RET è inserita nell’allegato b. Resta inteso che in funzione del processo tecnologico tali misure potranno variare a discrezione del RET, ferma la necessità di comunicazione al Cliente di tali variazioni.
3.4. Ove richiesto dal Cliente il RET provvederà alla pseudonomizzazione e alla cifratura dei Dati personali.
3.5. In caso di incidente fisico o tecnico l’accesso ai dati e la loro disponibilità saranno ripristinati tempestivamente, e comunque non oltre 48 ore dall’incidente
4. RICHIESTE PROVENIENTI DIRETTAMENTE DAGLI UTENTI
4.1. Fermi gli inderogabili obblighi di legge, il RET informerà tempestivamente e comunque non oltre 48 ore, il Cliente in caso di richieste direttamente avanzate dagli Utenti al RET stesso e relative all’esercizio dei propri diritti (ossia rettifica, cancellazione, blocco dei dati) circa i propri Dati Personali.
4.2. Il Cliente rimarrà unico responsabile circa tali richieste inoltrate dagli Utenti, pertanto comunicate le richieste degli Utenti, il RET rimarrà in attesa di istruzioni dal Cliente.
4.3. Resta inteso che ove un Utente presenti un Claim direttamente nei confronti del RET per una violazione dei propri diritti, il Cliente difenderà, terrà indenne e manleverà il RET da qualsiasi costo, addebito, danno, spesa o perdita derivanti da tale richiesta, purché il RET abbia:
4.3.1. provveduto a notificare tempestivamente il Claim al Cliente e
4.3.2. correttamente eseguito le istruzioni ricevute dal Cliente
4.3.3. adottato le misure tecniche e organizzative adeguate per soddisfare l’obbligo dell’utente dell’esercizio dei diritti dell’interessato
4.3.4 fornito al Cliente medesimo l’opportunità di collaborare con il RET nell’azione difensiva e nella composizione della vertenza stessa.
5. RISERVATEZZA SUI DATI PERSONALI E RICHIESTE DI DISCLOSURE
5.1. Il RET non divulgherà /o cederà i Dati Personali ad alcuna terza parte, salvo che non venga autorizzata dal Cliente o ci sia richiesto dalla normativa vigente.
5.2. Qualora un Tribunale, una pubblica amministrazione o il Garante Privacy avente giurisdizione richieda l’accesso ai Dati Personali del Cliente, il RET informerà il Cliente prima di renderli disponibili, salvo che ci sia proibito dalla normativa vigente.
5.3. Il RET impone a tutto il suo personale incaricato e autorizzato a trattare i Dati Personali, l’impegno alla riservatezza e a limitarsi a trattare i Dati Personali entro i limiti strettamente necessari all’esecuzione del Contratto di prestazione di Servizi.
6. FACOLTÀ DI CONTROLLO DEL CLIENTE SUL TRATTAMENTO
6.1. Il Cliente ha diritto di verificare e ispezionare le modalità in cui il RET svolgerà il proprio incarico attraverso un “audit”.
6.2. In particolare il RET si impegna a consentire e a collaborare per il regolare svolgimento delle attività di audit, che possano essere, effettuate dal Cliente o da un altro revisore incaricato dal Cliente secondo quanto di seguito definito:
6.2.1. il RET, su richiesta scritta del Cliente, fornirà al quest’ultimo o al suo revisore incaricato, evidenza delle eventuali certificazioni più recenti circa le adeguate misure di sicurezza implementate;
6.2.2. il RET collaborerà ragionevolmente con il Cliente per fornire informazioni riguardanti le misure minime di sicurezza, nonché aiuterà il Cliente a meglio comprendere dette misure;
6.2.3. qualora il Cliente abbia bisogno di ulteriori informazioni per adempiere ad obblighi di audit proprio ad una richiesta del Garante Privacy, il Cliente informerà il RET per iscritto per consentire a quest’ultimo di fornire tali informazioni al Cliente.
7. TRATTAMENTO DI DATI AL DI FUORI DEI CONFINI EUROPEI
7.1. Nel caso in cui vi sia il trasferimento dei dati personali al di fuori del territorio dell’Unione Europea ad un responsabile o sub-responsabile del trattamento non sottoposto a norme e regole considerate compatibili con la disciplina del GDPR si applicheranno le “Standard Contract Clauses” rinvenibili all’URL a questo URL
8. AUTORIZZAZIONE ALLA NOMINA DI SUB-RESPONSABILI
8.1. Il Cliente autorizza il RET a dare incarico a subappaltatori (Subresponsabili) per eseguire il Trattamento dei Dati Personali del Cliente.
8.2. Ove il RET ritenga necessario o anche solo opportuno la nomina di un sub-responsabile notificherà al Cliente il soggetto nominando.
8.3. il Cliente potrà opporsi alla nomina del sub-responsabile solo nel caso in cui ciò possa causare la violazione degli obblighi della normativa vigente da parte del Cliente e comunque entro 15 giorni dall’effettuata notifica da parte del RET dell’intenzione di nominare uno o più Subresponsabili.
8.4. Se il Cliente non si oppone entro il termine di 15 giorni, il Subresponsabile si intenderà autorizzato al Trattamento dei Dati Personali del Cliente.
8.5. Prima del Trattamento dei Dati Personali del Cliente da parte di un Subresponsabile autorizzato, il RET si obbliga ad imporre allo stesso il rispetto dei medesimi obblighi relativi alla protezione dei dati definiti nel presente Accordo (ovvero obblighi similari).
9. REGISTRI DEI TRATTAMENTI
9.1. Ai sensi e per gli effetti dell’articolo 30, comma 2, del GDPR il RET, purché sia integrata la fattispecie di cui all’articolo 30 comma 5 del GDPR, terrà un registro dei trattamenti svolti per conto del Cliente contenente:
9.1.1. il nome e i dati di contatto del responsabile o dei responsabili del trattamento, del Cliente del rappresentante Cliente o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati del Cliente.
9.1.2. le categorie dei trattamenti effettuati per conto del Cliente.
9.1.3. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate.
9.1.4. una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del GDPR.
10. FORMA DELLE ISTRUZIONI E DELLE RICHIESTE COMUNICATE DAL CLIENTE
10.1. Ai sensi dell’articolo 28 comma 3 lettera a del GDPR le istruzioni e/o le richieste del Cliente, per essere valide, dovranno rivestire la forma scritta.
10.2. Le istruzioni dovranno essere inviate all’indirizzo e-mail privacy@idna.it
11. DATA BREACH
11.1. Il RET, dopo essere venuto a conoscenza di un Data Breach relativo ai Dati Personali, avvenuto nell’ambito dello sfruttamento dei prodotti e dei servizi di cui al Contratto di Fornitura di Software e Servizi, notificherà l’avvenuta violazione al Cliente entro 36 ore, affinché quest’ultimo possa adottare le misure ritenute opportune e collaborerà con lo stesso secondo quanto previsto dalla Legge Privacy Applicabile.
11.2. Il Cliente dichiara che il termine di 36 ore per la notifica sopra indicato è accettato come ragionevole anche tenendo conto delle previsioni dell’articolo 33 del GDPR.
12. DURATA
12.1. Il presente accordo ha la medesima durata del Contratto di prestazione di servizi. Alla data di cessazione il RET provvederà alla cancellazione dei dati ovvero su preventiva richiesta del Cliente alla restituzione degli stessi al Cliente, salvo vi siano diversi obblighi imposti dalla Legge Privacy Applicabile.
13. LEGGE APPLICABILE
13.1. Il presente accordo è integralmente regolato dalla legge Italiana.
14. FORO ESCLUSIVAMENTE COMPETENTE
14.1. Le parti convengono che per qualsiasi controversia dovesse insorgere in relazione al presente accordo, foro esclusivamente competente sarà il Tribunale di Pisa.
ALLEGATO A
- INDICAZIONE DEL DPO DEL CLIENTE da comunicare all’agenzia se presente.
- DESCRIZIONE DEL RET
iDNA è una digital agency italiana specializzata in sviluppo web, graphic design, social media marketing, advertising e strategie di inbound marketing. - INDICAZIONE DEL DPO DEL RET
Elisa Farinella – dpo@idna.it
SUPPORTO ALL’INVIO DI SERVIZI DEM (DIRECT EMAIL MARKETING E NEWSLETTER)
| CATEGORIE DEI DATI TRATTATI | FINALITÀ DEL TRATTAMENTO | STATO IN CUI I DATI SONO CONSERVATI | PERIODO DI CONSERVAZIONE DEI DATI* | EVENTUALE SUB RESPONSABILE* |
| Campi presenti sul form newsletter del sito | Invio DEM/Newsletter per comunicazioni e promozioni | Per conto del cliente non si effettua la conservazione dei dati | Il tempo necessario per concludere il trattamento previsto dal contratto vigente | Non presente (se non espresso esplicitamente) |
*Il Cliente si assume ogni responsabilità sui dati e le informazioni precompilate. In caso di dati non corretti, il Cliente dovrà integrarli o modificarli.
GESTIONE E PRODUZIONE CONTENUTI LEGATI AI SOCIAL MEDIA
| CATEGORIE DEI DATI TRATTATI | FINALITÀ DEL TRATTAMENTO | STATO IN CUI I DATI SONO CONSERVATI | PERIODO DI CONSERVAZIONE DEI DATI* | EVENTUALE SUB RESPONSABILE* |
| Dati pubblici che l’utente dichiara nel suo profilo di rendere pubblico a titolo esemplificativo: nome, cognome, soprannome, azienda, ruolo, luogo di residenza, email personale o aziendale, numero di telefono. | Comunicazioni dell’azienda, far conoscere i prodotti e le promozioni attive e creare interazioni richiedendo la partecipazione (engagement). | Per conto del cliente non si effettua la conservazione dei dati | Il tempo necessario per concludere il trattamento previsto dal contratto vigente | Non presente (se non espresso esplicitamente) |
*Il Cliente si assume ogni responsabilità sui dati e le informazioni precompilate. In caso di dati non corretti, il Cliente dovrà integrarli o modificarli.
ANALISI E POSIZIONAMENTO SEO
| CATEGORIE DEI DATI TRATTATI | FINALITÀ DEL TRATTAMENTO | STATO IN CUI I DATI SONO CONSERVATI | PERIODO DI CONSERVAZIONE DEI DATI* | EVENTUALE SUB RESPONSABILE* |
| IP, luogo, età, interessi, comportamento dell’utente sul sito web | Analisi delle performance del sito/landing. | Per conto del cliente non si effettua la conservazione dei dati | Il tempo necessario per concludere il trattamento previsto dal contratto vigente | Non presente (se non espresso esplicitamente) |
*Il Cliente si assume ogni responsabilità sui dati e le informazioni precompilate. In caso di dati non corretti, il Cliente dovrà integrarli o modificarli.
PIANIFICAZIONE E GESTIONE DI CAMPAGNE DI DIGITAL ADVERTISING (FACEBOOK, LINKEDIN, INSTAGRAM, GOOGLE ADS ETC…)
| CATEGORIE DEI DATI TRATTATI | FINALITÀ DEL TRATTAMENTO | STATO IN CUI I DATI SONO CONSERVATI | PERIODO DI CONSERVAZIONE DEI DATI* | EVENTUALE SUB RESPONSABILE* |
| Dati pubblici che l’utente dichiara nel suo profilo di rendere pubblico a titolo esemplificativo: azienda, ruolo, luogo di residenza, email personale o aziendale, interessi e preferenze | Campagne pubblicitarie | Per conto del cliente non si effettua la conservazione dei dati | Il tempo necessario per concludere il trattamento previsto dal contratto vigente. | Non presente (se non espresso esplicitamente) |
*Il Cliente si assume ogni responsabilità sui dati e le informazioni precompilate. In caso di dati non corretti, il Cliente dovrà integrarli o modificarli.
SERVIZI COMPLEMENTARI: CASELLE POSTA ELETTRONICA
| CATEGORIE DEI DATI TRATTATI | FINALITÀ DEL TRATTAMENTO | STATO IN CUI I DATI SONO CONSERVATI | PERIODO DI CONSERVAZIONE DEI DATI* | EVENTUALE SUB RESPONSABILE* |
| Indirizzo email, nome, cognome e password | Creazione, modifica, eliminazione di caselle di posta per conto del cliente | File Google Drive protetti da password | Il tempo necessario per concludere il trattamento previsto dal contratto vigente | Server di Register, Cpanel Linux, Google Account, Serverplan |
*Il Cliente si assume ogni responsabilità sui dati e le informazioni precompilate. In caso di dati non corretti, il Cliente dovrà integrarli o modificarli.
ALLEGATO B: MISURE MINIME DI SICUREZZA ADOTTATE
Al fine di meglio tutelare i diritti degli Utenti e del Cliente quale Titolare del Trattamento dei Dati Personali il RET ha implementato le seguenti misure di sicurezza:
| MISURA DI SICUREZZA SOFTWARE E HARDWARE | DESCRIZIONE |
| CRITTOGRAFIA DEI DATI | IL RET utilizza l’apposito algoritmo di key recovery chiamato Des (Data Encryption Standard) scelto per garantire la sicurezza matematica dello standard. Sulle piattaforme di CMS Content Management System è attiva la crittografia HTTP e HTTPS, i certificati SSL dati dal fornitore di Hosting Serverplan/Amazon AWS. Il trasferimento di dati personali avviene mediante invio dello ZIP protetto da password per poterlo consultare. |
| PSEUDOANONIMIZZAZIONE | L’agenzia non utilizza meccanismi di pseudoanonimizzazione. |
| ANONIMIZZAZIONE | L’agenzia non esegue meccanismi di anoninimizzazione. |
| PARTIZIONAMENTO | Nei progetti che prevedono una categorizzazione degli utenti si esegue il partizionamento dei dati in base all’area di interesse dell’utente, registrando gli utenti in tabelle diverse di un database MySql oppure su liste differenziate utilizzando servizi di terze parti come MailUp (https://www.mailup.it/) o MailChimp (https://mailchimp.com/). |
| CONTROLLO ACCESSO LOGICO | Le login avvengono attraverso la login nativa del CMS o realizzata ex-novo se necessario al progetto. Nel caso in cui si sviluppi un sistema di login ex-novo l’algoritmo di crittografia utilizzato per il salvataggio della password è l’MD5. Nel caso dell’utilizzo di un CMS la composizione della password, la sua validità e il numero di tentativi possibili per accedere al sistema è dettato dal CMS scelto. Nel caso di un sistema ex-novo la password deve essere almeno 6 caratteri alfanumerici, generalmente non ha scadenza ma dipende dai requisiti di progetto, e il numero di tentativi di accesso massimo è 3 |
| LOG-FILE | I log file sono gestiti dal fornitore hosting ServerPlan/Amazon AWS/Aruba. |
| SISTEMI DI CONSERVAZIONE CLOUD/BACKUP E SISTEMI DI RIDONDANZA | I sistemi di backup sono gestiti dal fornitore hosting ServerPlan/Amazon AWS/Aruba. Criteri di sicurezza dei fornitori. |
| DISASTER RECOVERY PLAN | In caso di disaster recovery si richiede assistenza ai fornitori del servizio. Misure del fornitore: https://www.serverplan.com/about-us/sla-e-tos |
| LOTTA CONTRO MALWARE E VIRUS INFORMATICI | Antivirus e anti malware sul web server sono gestite dal fornitore. |
| FIREWALL E CONTROLLO DELL’ACCESSO ALLE RETI | Firewall e altri controlli sulla rete dove è ospitata la macchina del web server sono gestite dal fornitore. |
| MISURE ORGANIZZATIVE | DESCRIZIONE |
| DPO, E VIGILANZA PRIVACY | Il RET ha nominato un DPO, il quale con l’ausilio di uno staff vigila sull’applicazione della normativa Privacy da parte dell’organizzazione. |
| REGISTRO DEI TRATTAMENTI | Il RET ha implementato il Registro dei trattamenti ai sensi dell’articolo 30 del GDPR. |
| PRIVACY POLICY E GESTIONE DEI DATA BREACH | Il RET ha censito i trattamenti privacy ed effettuato un assessment dei rischi privacy ed ha stabilito una politica di intervento in caso di data breach. |
| ORGANIZZAZIONE DELLE RISORSE UMANE E PRIVACY AWARENESS | Il RET, con apposite lettere di incarico, ha disciplinato le mansioni attribuite ai propri dipendenti che siano stati incaricati e/o autorizzati di eseguire singole o plurime operazioni di trattamento dati. |