Data Processing Agreement (DPA)

Data Processing Agreement (DPA) – Agent-X

Il presente Data Processing Agreement (“DPA”) disciplina il trattamento dei dati personali effettuato da DIGITLESS di Luca Papagni per conto del cliente nell’ambito dell’utilizzo del Servizio.

Il presente DPA integra e costituisce parte dei Termini e Condizioni d’Uso di Agent-X e si applica nella misura in cui DIGITLESS di Luca Papagni tratti dati personali per conto del cliente ai sensi del Regolamento (UE) 2016/679 (“GDPR”). I contenuti minimi di questo tipo di accordo derivano proprio dall’art. 28, par. 3 GDPR.

1. Parti

Il presente DPA è concluso tra:

Cliente
la persona fisica o giuridica che acquista o utilizza il Servizio Agent-X e che determina finalità e mezzi del trattamento dei dati personali trattati tramite il Servizio, in qualità di Titolare del trattamento o, se del caso, di diverso soggetto qualificato ai sensi della normativa applicabile;

e

DIGITLESS di Luca Papagni
P.IVA: IT17049331006
Via Francesco De Sanctis 13, 00013 Fonte Nuova (RM), Italia
Email: support@agent-x.it
in qualità di Responsabile del trattamento (“Responsabile”).

2. Oggetto del DPA

Il presente DPA disciplina il trattamento di dati personali effettuato dal Responsabile per conto del Cliente nell’ambito dell’erogazione del Servizio Agent-X, incluse le relative funzionalità, automazioni, integrazioni e strumenti tecnici collegati.

3. Durata del trattamento

Il trattamento dei dati personali da parte del Responsabile avrà durata pari al tempo in cui il Responsabile fornisce il Servizio al Cliente e/o mantiene attive integrazioni, credenziali, configurazioni o dati necessari alla sua erogazione, salvo ulteriori periodi di conservazione richiesti dalla legge o necessari alla tutela dei diritti del Responsabile.

Alla cessazione del rapporto, il trattamento proseguirà solo nella misura e per il tempo strettamente necessario agli adempimenti di legge, alla chiusura tecnica del servizio, alla gestione di eventuali contestazioni o alla cancellazione/restituzione dei dati ai sensi del presente DPA.

4. Natura e finalità del trattamento

Il Responsabile tratta dati personali esclusivamente per conto del Cliente e nella misura necessaria a:

  • fornire il Servizio Agent-X;

  • eseguire le istruzioni del Cliente;

  • attivare, mantenere e gestire integrazioni con piattaforme di terze parti;

  • generare, elaborare, organizzare, pianificare o pubblicare contenuti e attività automatizzate richieste dal Cliente;

  • fornire supporto tecnico e assistenza operativa;

  • garantire sicurezza, monitoraggio, continuità e manutenzione del Servizio.

5. Tipologie di dati personali

A seconda delle funzionalità attivate dal Cliente, il Responsabile può trattare, per conto del Cliente, categorie di dati quali:

  • dati identificativi e di contatto;

  • dati contenuti nei contenuti caricati, generati o pubblicati tramite il Servizio;

  • dati presenti su siti, pagine, CMS o piattaforme integrate dal Cliente;

  • metadati relativi a pubblicazioni, automazioni, configurazioni e attività operative;

  • credenziali applicative, token, autorizzazioni tecniche o identificativi di integrazione, nei limiti necessari al funzionamento del Servizio;

  • dati tecnici e logici funzionali all’esecuzione del Servizio.

Il Cliente riconosce che, a seconda di come configura e utilizza il Servizio, i dati trattati possono variare.

6. Categorie di interessati

Le categorie di interessati possono includere, a seconda dell’uso del Servizio da parte del Cliente:

  • dipendenti, collaboratori o referenti del Cliente;

  • utenti finali, visitatori o contatti del Cliente;

  • clienti o prospect del Cliente;

  • soggetti i cui dati siano contenuti nei sistemi, contenuti o piattaforme integrate dal Cliente;

  • altri soggetti i cui dati personali siano resi accessibili al Responsabile tramite il Servizio su istruzione del Cliente.

7. Istruzioni del Cliente

Il Responsabile tratta i dati personali soltanto su istruzione documentata del Cliente, salvo che il trattamento sia richiesto da una norma dell’Unione o dello Stato membro cui è soggetto il Responsabile; in tal caso, il Responsabile informerà il Cliente di tale obbligo giuridico, salvo divieto di legge. Questo obbligo deriva espressamente dall’art. 28 GDPR.

Le istruzioni del Cliente sono costituite da:

  • il presente DPA;

  • i Termini e Condizioni del Servizio;

  • le configurazioni, autorizzazioni e istruzioni operative impartite dal Cliente mediante la piattaforma, il pannello di controllo, le integrazioni attivate o altri canali concordati;

  • eventuali ulteriori istruzioni scritte concordate tra le parti.

Il Cliente garantisce che le istruzioni fornite al Responsabile siano lecite e conformi alla normativa applicabile.

8. Obblighi del Responsabile

Il Responsabile si impegna a:

  • trattare i dati personali esclusivamente per le finalità indicate e nei limiti delle istruzioni ricevute;

  • assicurare che le persone autorizzate al trattamento siano vincolate alla riservatezza o a un adeguato obbligo legale di confidenzialità;

  • adottare misure tecniche e organizzative adeguate al rischio ai sensi dell’art. 32 GDPR;

  • assistere il Cliente, nei limiti del ragionevole e tenuto conto della natura del trattamento, per l’adempimento degli obblighi previsti dalla normativa privacy;

  • notificare al Cliente senza ingiustificato ritardo eventuali violazioni di dati personali di cui venga a conoscenza;

  • cancellare o restituire i dati personali al termine del rapporto, salvo obblighi di conservazione previsti dalla legge;

  • mettere a disposizione del Cliente le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dal presente DPA, nei limiti indicati nel presente accordo.

Questi sono esattamente i contenuti tipici richiesti al contratto titolare-responsabile dall’art. 28 GDPR.

9. Misure di sicurezza

Il Responsabile adotta misure tecniche e organizzative adeguate al rischio, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Questo criterio è quello previsto dall’art. 32 GDPR.

Tali misure possono includere, a titolo esemplificativo:

  • controllo e limitazione degli accessi;

  • protezione di credenziali, autorizzazioni e dati di integrazione;

  • segregazione logica degli accessi e delle funzionalità;

  • misure di sicurezza applicativa e infrastrutturale;

  • monitoraggio tecnico e gestione di anomalie;

  • procedure organizzative e operative per la gestione degli incidenti;

  • misure di minimizzazione e limitazione del trattamento, ove applicabili.

Il Cliente riconosce che nessun sistema può garantire sicurezza assoluta e che il Responsabile è tenuto ad adottare misure adeguate, non a garantire l’assenza assoluta di incidenti.

10. Sub-responsabili del trattamento

Il Cliente autorizza il Responsabile, in via generale, a ricorrere a sub-responsabili del trattamento per l’erogazione del Servizio, inclusi fornitori di infrastruttura, hosting, cloud, sicurezza, supporto, CRM, automazione, provider AI, provider di pagamento e altri soggetti necessari al funzionamento del Servizio.

Ai sensi dell’art. 28 GDPR, il responsabile non può nominare un altro responsabile senza autorizzazione specifica o generale del titolare; in caso di autorizzazione generale, il titolare deve poter essere informato di aggiunte o sostituzioni rilevanti e opporsi quando appropriato.

Il Responsabile si impegna a imporre ai sub-responsabili obblighi sostanzialmente analoghi a quelli previsti dal presente DPA, nella misura applicabile al servizio svolto.

Qualora un sub-responsabile non adempia ai propri obblighi in materia di protezione dei dati, il Responsabile resterà responsabile nei confronti del Cliente nei limiti previsti dalla legge e dal presente accordo.

11. Assistenza al Cliente

Tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile, il Responsabile assisterà il Cliente, nella misura ragionevole e proporzionata, per consentirgli di adempiere agli obblighi relativi a:

  • richieste di esercizio dei diritti degli interessati;

  • sicurezza del trattamento;

  • notifiche di violazioni di dati personali;

  • valutazioni d’impatto sulla protezione dei dati, ove necessarie;

  • consultazioni preventive con l’autorità di controllo, ove richieste.

12. Data breach

Il Responsabile notificherà al Cliente senza ingiustificato ritardo qualsiasi violazione dei dati personali di cui venga a conoscenza e che riguardi i dati trattati per conto del Cliente. L’obbligo del responsabile di informare il titolare “without undue delay” è previsto dall’art. 33, par. 2 GDPR.

La notifica conterrà, per quanto ragionevolmente disponibile al momento:

  • una descrizione della natura della violazione;

  • le categorie di dati e di interessati coinvolti, se note;

  • le probabili conseguenze della violazione, se note;

  • le misure adottate o proposte per porre rimedio alla violazione e attenuarne i possibili effetti.

Il Cliente resta responsabile delle decisioni relative all’eventuale notifica all’autorità di controllo e/o agli interessati, salvo diverso obbligo di legge.

13. Richieste degli interessati

Qualora il Responsabile riceva direttamente una richiesta da parte di un interessato relativa ai dati trattati per conto del Cliente, il Responsabile, salvo quanto imposto dalla legge, informerà il Cliente senza indebito ritardo.

Il Responsabile non sarà tenuto a rispondere autonomamente alla richiesta, salvo diversa istruzione del Cliente o obbligo legale.

14. Audit e informazioni

Il Responsabile metterà a disposizione del Cliente le informazioni ragionevolmente necessarie a dimostrare il rispetto degli obblighi previsti dal presente DPA.

Eventuali audit o verifiche da parte del Cliente o di un revisore indipendente incaricato dal Cliente:

  • dovranno essere ragionevoli, proporzionati e non eccessivamente gravosi;

  • dovranno essere svolti previo congruo preavviso scritto;

  • dovranno rispettare obblighi di riservatezza;

  • non dovranno compromettere la sicurezza, la riservatezza o l’operatività del Responsabile o di altri clienti;

  • potranno essere soddisfatti anche tramite documentazione, questionari di compliance, attestazioni o altri mezzi ragionevoli, quando appropriato.

15. Trasferimenti internazionali

Qualora il trattamento effettuato dal Responsabile o dai suoi sub-responsabili comporti trasferimenti di dati personali al di fuori dello Spazio Economico Europeo, il Responsabile adotterà garanzie adeguate ai sensi della normativa applicabile, inclusi, ove necessario, decisioni di adeguatezza, clausole contrattuali standard o altri strumenti legittimi di trasferimento. Anche questo tema discende dal GDPR quando vi siano trasferimenti extra-SEE.

16. Restituzione o cancellazione dei dati

Alla cessazione del rapporto, e salvo diversa istruzione del Cliente o obblighi di legge, il Responsabile provvederà, a propria scelta e secondo quanto tecnicamente ragionevole:

  • a cancellare i dati personali trattati per conto del Cliente; oppure

  • a restituirli al Cliente, se tecnicamente fattibile e ragionevole.

Il Responsabile potrà conservare i dati nella misura in cui ciò sia richiesto dalla legge o necessario alla tutela dei propri diritti, applicando in tal caso adeguate misure di protezione e limitazione del trattamento.

17. Responsabilità delle Parti

Il Cliente resta responsabile:

  • della liceità del trattamento e delle basi giuridiche;

  • dell’esattezza, qualità e legittimità delle istruzioni fornite;

  • della configurazione degli accessi, delle autorizzazioni e delle integrazioni;

  • del rispetto dei propri obblighi verso gli interessati e verso le autorità competenti;

  • dell’adozione delle misure organizzative di propria competenza.

Il Responsabile resta responsabile dell’adempimento degli obblighi che gli competono direttamente ai sensi del presente DPA e della normativa applicabile.

18. Prevalenza

In caso di conflitto tra il presente DPA e altri accordi tra le parti in materia di protezione dei dati personali, prevarrà il presente DPA nella misura del conflitto.

In caso di conflitto tra il presente DPA e norme inderogabili di legge, prevarranno queste ultime.

19. Legge applicabile e foro

Il presente DPA è disciplinato dalla legge italiana, salvo l’applicazione diretta delle norme inderogabili del GDPR e della normativa privacy applicabile.

Per quanto riguarda il foro competente, si applicano le disposizioni previste nei Termini e Condizioni del Servizio, fatti salvi eventuali fori inderogabili previsti dalla legge.

20. Contatti

Per comunicazioni relative al presente DPA, il Cliente può contattare:

DIGITLESS di Luca Papagni
Email: support@agent-x.it
Sito: https://agent-x.it

Carrello
Torna in alto
Agent-X
Powered by  GDPR Cookie Compliance
Panoramica privacy

This website uses cookies so that we can provide you with the best user experience possible. Cookie information is stored in your browser and performs functions such as recognising you when you return to our website and helping our team to understand which sections of the website you find most interesting and useful.