Versione: Maggio 2024
Contratto per il trattamento dei dati
tra
utente di Atlanto (mandante)
e
Atlanto SA (mandatario)
Dufourstrasse 40
CH – 9001 San Gallo
per il trattamento dei dati.
1 Trattamento dei dati
Nell’ambito dei suoi servizi in qualità di gestore della piattaforma, il mandatario tratterà i dati personali (dati oggetto del mandato) per conto del mandante in conformità con le leggi applicabili in materia di protezione dei dati (diritto applicabile in materia di protezione dei dati) nonché con le disposizioni in materia di protezione dei dati e le condizioni d’uso d’Atlanto. Per trattamento dei dati si intende qualsiasi operazione applicata a dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, l’archiviazione, la cancellazione o la distruzione.
2 Oggetto e durata
a) Oggetto, natura e finalità
I dettagli relativi al servizio fornito dal mandatario sono disciplinati nel relativo contratto tra il mandatario e il mandante (di seguito denominato «contratto»). Tale contratto è costituito dalle condizioni d’uso e dalle disposizioni in materia di protezione del mandatario. Il contratto determina l’oggetto e la durata del mandato, nonché la natura e le finalità del trattamento, salvo diversamente specificato nel presente contratto relativo al trattamento dei dati oggetto del mandato.
b) Tipi di dati personali
Cfr. elenco non esaustivo di cui all’allegato A.
c) Categorie di soggetti interessati
Cfr. elenco non esaustivo di cui all’allegato A.
d) Durata
Il trattamento dei dati per conto del mandante inizia con la firma del presente accordo e si basa sulla durata del contratto, salvo ulteriori obblighi derivanti dalle disposizioni di cui alla presente appendice. Il trattamento dei dati commissionato avrà inizio con la firma del presente contratto e sarà definito in base alla durata del contratto stesso, a meno che dalle disposizioni del presente contratto non derivino obblighi ulteriori.
e) Conclusione
Il mandante, in qualsiasi momento e senza alcun preavviso, può disdire il mandato in caso di grave violazione da parte del mandatario delle disposizioni di cui al presente accordo, se il mandatario non può o non intende seguire un’istruzione conforme al contratto del mandante o se il mandatario, in violazione del contratto, nega al mandante i propri diritti di verifica.
f) Responsabilità
Nell’ambito del trattamento dei dati oggetto del mandato, il mandante è ritenuto responsabile del rispetto delle norme applicabili relative alla protezione dei dati, in particolare in relazione alla legittimità dell’inoltro dei dati al mandatario nonché alla liceità del trattamento dei dati.
3 Obblighi del mandatario
a) Rispetto delle istruzioni
(i) Il mandatario è tenuto a utilizzare i dati oggetto del mandato esclusivamente per i servizi che deve prestare e a seguire unicamente istruzioni emesse e documentate dal mandante per iscritto per il trattamento di tali dati. Sono fatti salvi obblighi derivanti dal diritto applicabile (per esempio disposizioni vincolanti delle autorità competenti), di cui il mandante deve essere informato il prima possibile, nella misura in cui ciò sia consentito dalla legge. Il mandante dovrà indicare al mandatario, in forma testuale, almeno un destinatario autorizzato a impartire istruzioni. In caso di cambiamento o di impedimento a lungo termine delle persone nominate, il successore o il rappresentante deve essere nominato per iscritto senza indugio al mandatario. Fino al ricevimento di tale notifica da parte del mandante, le persone designate saranno ritenute destinatari autorizzati.
(ii) Il diritto del mandante di fornire istruzioni è sancito dal presente accordo. Ulteriori istruzioni sono vincolanti per il mandatario solo se sono necessarie per rispettare delle disposizioni cogenti in materia di protezione dei dati.
(iii) Il mandatario è tenuto a informare il mandante se ritiene che una direttiva violi le norme sulla protezione dei dati. Il mandatario ha il diritto di sospendere l’esecuzione della direttiva in questione fino alla sua conferma o modifica da parte del mandante.
b) Confidenzialità
Il mandatario si impegna a trattare i dati oggetto del mandato in modo confidenziale e a renderli accessibili solo a chi ne ha bisogno per adempiere i loro obblighi. Inoltre, garantisce che tutte le persone che hanno accesso ai dati oggetto del mandato siano soggette a un obbligo di confidenzialità stabilito per legge o contrattualmente.
c) Luogo del trattamento dei dati
I dati oggetto del mandato vengono trattati e utilizzati dal mandatario esclusivamente nel SEE. Il trattamento dei dati oggetto del mandato al di fuori del territorio elvetico è consentito solo con il consenso esplicito e in forma scritta del mandante e in conformità con le disposizioni di legge applicabili. In particolare, in caso sia consentita la divulgazione dei dati in Paesi che non offrono un livello di protezione dei dati adeguato, il mandatario è tenuto a stipulare con il mandante un contratto integrativo basato sulle attuali clausole contrattuali standard dell’UE.
d) Registri di trattamento
Il mandatario deve tenere un registro di trattamento, che dovrà consegnare al mandante nel caso in cui quest’ultimo lo richieda. Il mandatario, inoltre, deve aiutare il mandante a creare un registro delle attività di elaborazione dei dati oggetto del mandato.
e) Obbligo di restituzione e cancellazione
(i) Dopo la risoluzione del contratto principale o su richiesta del mandante, il mandatario dovrà mettere a disposizione del mandante tutti i documenti e i dati forniti o, su richiesta del mandante, dovrà cancellarli completamente e irrevocabilmente, a meno che non sia previsto un periodo di conservazione legale. Ciò vale anche per le copie dei dati del mandante presso la sede del mandatario, come i backup dei dati, ma non per la documentazione che serve a dimostrare il corretto trattamento dei dati del mandante in conformità con l’ordine. Tale documentazione deve essere conservata dal mandatario in conformità ai periodi di conservazione. La fornitura dei dati in un formato leggibile a macchina stabilito dal mandante è possibile dopo un esame separato da parte del mandatario per un compenso aggiuntivo, se necessario.
(ii) Il mandatario continuerà a trattare con confidenzialità i dati di cui è venuto a conoscenza in relazione al contratto principale anche dopo la fine del contratto principale.
f) Valutazione d’impatto sulla protezione dei dati
Il mandatario si impegna ad aiutare il mandante a redigere la valutazione d’impatto sulla protezione dei dati nel caso ciò sia previsto dalla legge o su richiesta nella misura necessaria.
4 Sicurezza dei dati
a) Misure di sicurezza
Il mandatario si impegna ad adottare le misure tecniche e organizzative di cui all’allegato B per proteggere i dati oggetto del mandato da distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato e a mantenerle in essere nella misura necessaria in conformità con il diritto applicabile in materia di protezione dei dati (misure di sicurezza). Le misure di sicurezza comprendono provvedimenti volti a crittografare i dati personali, garantire la confidenzialità, l’integrità, la disponibilità e la resistenza dei sistemi e dei servizi del mandatario, ripristinare i dati oggetto del mandato in tempo utile dopo un inconveniente e verificare regolarmente l’efficacia di tali provvedimenti.
b) Personale
Il mandatario è tenuto ad adottare provvedimenti atti a garantire il rispetto delle misure di sicurezza da parte dei suoi collaboratori, dei suoi mandatari e submandatari, nella misura applicabile ai servizi da loro prestati, nonché a garantire che tutte le persone autorizzate al trattamento dei dati oggetto del mandato si siano impegnate a mantenere la riservatezza o siano soggette per legge all’obbligo di confidenzialità.
c) Sviluppo
Le misure tecniche e organizzative sono soggette al progresso tecnico e all’ulteriore sviluppo. Il fornitore deve dunque garantire che queste siano aggiornate secondo lo stato della tecnica adeguato.
d) Obblighi di notifica
Il mandatario è tenuto a informare il mandante immediatamente nel caso in cui:
(i) riceva una richiesta, una convocazione o una richiesta di accesso o verifica da parte di un’autorità responsabile per l’elaborazione, a meno che la legge non vieti al mandatario di divulgare questa informazione;
(ii) intenda comunicare i dati oggetto del mandato a un’autorità competente; oppure
(iii) rilevi o sospetti che vi sia stata una violazione della protezione dei dati oggetto del mandato, vale a dire una violazione della sicurezza che abbia portato alla distruzione, alla perdita, all’alterazione o alla divulgazione o a un accesso non autorizzato ai dati personali.
5 Trattamento da parte di submandatari
Se il mandatario si avvale di submandatari o liberi professionisti dell’UE/SEE che forniscono i loro servizi nell’UE/SEE, ciò richiede la preventiva informazione del mandante in forma di testo.
Il consenso preventivo del mandante in forma testuale è necessario per l’affidamento di incarichi a submandatario o liberi professionisti con sede legale al di fuori dell’UE/SEE o che forniscono i loro servizi al di fuori dell’UE/SEE. Il mandante non può rifiutare arbitrariamente il proprio consenso. Il rifiuto del consenso costituisce motivo di risoluzione straordinaria.
Per i dipendenti submandatario indicati nell’Allegato C al momento della stipula del contratto e per le relative aree di responsabilità, il consenso del mandante si intende comunque prestato al momento della stipula del contratto. Il mandatario deve garantire che questi submandatario rispettino i requisiti tecnici e organizzativi in conformità alla sezione 2 dell’Allegato B allo stesso modo del mandante stesso.
6 Poteri di controllo del mandante
a) Poteri di controllo
Il mandante ha diritto a verificare il rispetto da parte del mandatario degli obblighi legali e contrattuali connessi al trattamento dei dati oggetto del mandato. Il mandante eseguirà le ispezioni solo nella misura necessaria e terrà in debito conto le procedure operative del mandatario. Le ispezioni in loco non saranno effettuate se il mandatario può dimostrare per iscritto la conformità ai requisiti di protezione dei dati, ad esempio mediante certificati o attestati.
b) Organismo di controllo esterno
Il mandante ha diritto a far eseguire i controlli di cui al punto 6.a da un organismo esterno, competente e vincolato al rispetto della riservatezza. I costi derivanti dal coinvolgimento di un organismo di controllo esterno in conformità con il punto 6.a sono a carico del mandante. Se il controllo viene effettuato a causa della violazione del presente accordo da parte del mandatario o se dai controlli emerge una violazione di tali obblighi, i costi sono interamente a carico del mandatario.
7 Supporto
a) Sicurezza dei dati, violazioni della protezione dei dati e valutazioni d’impatto sulla protezione dei dati
Il mandatario si impegna a fornire pieno supporto al mandante al fine di rispettare gli obblighi legali volti a garantire un’adeguata sicurezza dei dati, per la segnalazione di violazioni della protezione dei dati e per le valutazioni d’impatto sulla protezione dei dati. In caso di violazione della protezione dei dati oggetto del mandato, il mandatario è tenuto a informare il mandante immediatamente, e in ogni caso entro 24 ore, non appena venga a conoscenza della violazione o la sospetti (cfr. punto 4 d) (iii)). Il mandatario, inoltre, è tenuto ad adottare immediatamente tutte le misure necessarie per mitigare gli effetti della violazione della protezione dei dati. Il mandatario si impegna a fornire pieno supporto al mandante nell’elaborazione e nell’attuazione di un piano di risposta e, su sua istruzione, nell’informare le soggetti interessati e/o l’autorità competente.
b) Diritti delle soggetti interessati
Se una persona interessata contatta il mandatario in relazione ai propri diritti in materia di protezione dei dati (per esempio con una richiesta di informazioni o di cancellazione), il mandatario deve inoltrare tale richiesta al mandante immediatamente. Il mandante in questo caso è tenuto a fornire supporto al mandatario per soddisfare tali richieste. Tale supporto include, se necessario, la raccolta dei dati e delle informazioni necessari.
c) Obbligo d’informazione
Il mandatario è tenuto a informare tempestivamente il mandante in caso di attività di controllo e altre misure adottate da autorità di controllo della protezione dei dati, da tribunali e da altre autorità se queste riguardano i dati oggetto del mandato o i sistemi utilizzati per il loro trattamento. Il mandatario informerà immediatamente tutte le autorità e i tribunali che la sovranità sui dati è unicamente del mandante.
d) Responsabile della protezione dei dati
Il mandatario conferma di aver nominato un responsabile della protezione dei dati, nella misura in cui vi è un obbligo legale in tal senso. I dati di contatto del responsabile della protezione dei dati sono:
Helvetia Versicherungen, Fachstelle Datenschutz
Steinengraben 41, 4052 Basel, Schweiz
datenschutz@helvetia.ch
8 Disposizioni finali
a) Diritto applicabile e foro competente
Fatte salve eventuali disposizioni contrarie contenute nel relativo contratto, il presente accordo è disciplinato esclusivamente dal diritto svizzero, a esclusione delle norme di conflitto di leggi ai sensi del diritto privato internazionale e degli accordi internazionali. Foro competente esclusivo per ogni controversia è San Gallo, salvo eventuali disposizioni contrarie nel relativo contratto.
b) Clausola liberatoria
Per il resto si applicano le disposizioni del contratto. In caso di contraddizioni tra le disposizioni della presente appendice e quelle del contratto, prevale la presente appendice. Qualora singole parti della presente appendice risultino invalide, ciò non pregiudica la validità del contratto e del resto dell’appendice.
c) Ulteriori disposizioni
Gli allegati A, B e C sono parte integrante del Contratto relativo al trattamento dei dati oggetto del mandato
Allegato A al Contratto relativo al trattamento dei dati oggetto del mandato
Oggetto del mandato | Trattamento di dati personali del mandante nell’ambito del suo utilizzo dei servizi del fornitore come software as a service. |
Natura e finalità del trattamento previsto dei dati: | I dati personali trattati dal mandante vengono trasferiti al mandatario nell’ambito del servizio di software as a service. Il mandatario tratta tali dati esclusivamente in conformità all’accordo stipulato (ovvero gestione degli ordini, gestione dei contatti (CRM), contabilità, e-banking, contabilità salariale, gestione del magazzino, gestione dei progetti). |
Tipo di dati personali: | Le tipologie di dati variano in base ai dati trasmessi dal mandante. Questi sono in particolare (a seconda del mandato): · Dati di gestione degli ordini · Dati di gestione dei contatti · Dati contabili · Dati E-Banking · Dati di busta paga · Dati di gestione del magazzino · Dati di gestione del progetto |
Categorie di soggetti interessati: | Le categorie di soggetti interessati dipendono dai servizi ricevuti e dai dati trasmessi dal committente. Questi sono in particolare (a seconda del mandato): · collaboratori (compresi candidati ed ex collaboratori) del mandante, · clienti del mandante · persone coinvolte con il mandante · fornitori di servizi del mandante · dati di contatto dei referenti |
Cancellazione, blocco e rettifica dei dati: | Le richieste di cancellazione, blocco e rettifica devono essere inviate al mandante; in tutti gli altri casi si applicano le disposizioni del contratto. |
Allegato B: misure tecniche e organizzative (TOM)
1 Informazioni generali
In base alla classificazione delle informazioni dell’Atlanto è necessario utilizzare le misure tecniche e organizzative (TOM) adeguate.
- Le TOM descritte nel presente documento sono valide esclusivamente per le informazioni dell’Atlanto classificate come «pubbliche» o «interne».
- Nel caso in cui il partner esterno debba gestire anche informazioni dell’Atlanto classificate come «riservate» o «segrete», come base per la conformità dovranno essere prese come riferimento le TOM per questi specifici tipi di informazioni.
2 Misure tecniche e organizzative
Il partner esterno deve garantire che siano adottate le seguenti TOM:
- I sistemi su cui sono archiviati i dati dell’Atlanto sono sicuri
- Seguire le best practice di sicurezza del settore per la configurazione del sistema
- Effettuare controlli di rilevamento, prevenzione e ripristino per proteggersi dai malware
- Garantire la sicurezza della rete attraverso la limitazione e il controllo di porte, protocolli e servizi di rete
- Impedire l’accesso non autorizzato ai sistemi di trattamento dei dati in cui sono elaborati i dati dell’Atlanto
- Proteggere l’accesso alle informazioni con misure di controllo degli accessi fisiche e logiche
- Identificare e autenticare gli utenti prima di concedere l’accesso ai dati dell’Atlanto
- Stabilire procedure per gestire attivamente il ciclo di vita degli account utente, di sistema e applicativi (creazione, utilizzo, inattività, cancellazione)
- Garantire che le persone autorizzate a utilizzare le procedure di trattamento dei dati possano accedere solo ai dati dell’Atlanto contemplati nella loro autorizzazione di accesso
- Autorizzare gli utenti effettuando controlli sugli accessi basati sui ruoli e seguendo i principi del privilegio minimo e della necessità di venire a conoscenza delle informazioni
- Ridurre al minimo i privilegi da amministratore e utilizzare gli account amministratore solo quando sono necessari
- I dati dell’Atlanto non possono essere letti, copiati, alterati o rimossi da persone non autorizzate durante la trasmissione elettronica o durante il trasporto o l’archiviazione su un supporto dati
- Le informazioni in transito sono protette da crittografia
- Garantire che sia possibile controllare e determinare a quali punti vengono trasmessi i dati dell’Atlanto con i dispositivi di trasmissione dei dati
- Garantire che sia possibile verificare e stabilire se e da chi i dati dell’Atlanto sono stati inseriti, modificati o rimossi all’interno dei sistemi di trattamento dei dati
- Le informazioni di login sono archiviate in conformità ai requisiti di legge
- I dati dell’Atlanto sono protetti contro la distruzione o la perdita accidentale
- Elaborare un piano di backup per il backup delle informazioni
- Elaborare un piano di ripristino e testarlo regolarmente
- Garantire che i dati raccolti per scopi diversi possano essere trattati separatamente
- I dati dell’Atlanto vengono eliminati in modo sicuro quando non sono più necessari, utilizzando procedure formali
3 Misure organizzative
Il partner esterno deve assicurarsi che siano soddisfatti i seguenti requisiti:
- Sono state stabilite le responsabilità e le procedure di gestione
- per valutare le possibili minacce, il loro impatto sul business e le misure di protezione
- per garantire una risposta rapida, efficace e precisa agli incidenti di sicurezza riguardanti le informazioni
- I dipendenti e tutte le altre persone coinvolte nel trattamento dei dati dell’Atlanto sono stati selezionati, istruiti e monitorati accuratamente e adeguatamente
- Adeguati obblighi di protezione dei dati e di riservatezza vengono attuati, controllati e applicati in conformità alle istruzioni
- I dipendenti e le altre persone coinvolte nel trattamento dei dati dell’Atlanto seguono regolarmente corsi di formazione sulla protezione dei dati
4 Efficacia delle misure tecniche e organizzative
- Il partner esterno deve garantire di controllare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
- Stabilire procedure per verificare l’efficacia dei sistemi di gestione della vulnerabilità e delle patch
- Stabilire le responsabilità e le procedure di gestione al fine di riesaminare regolarmente le misure implementate per la sicurezza delle informazioni nell’ottica di possibili miglioramenti
- Il partner esterno deve garantire di documentare i risultati di tali audit e porre rimedio alle carenze identificate immediatamente e in modo appropriato
Allegato C: submandatari
Azienda, indirizzo | Descrizione del servizio |
Institut für Jungunternehmen AG Schützengasse 10 9000 San Gallo | Creazione di contenuti per il sito web e la piattaforma, concessione della licenza di Business Plan Tool incl. funzione consultiva |
Comitas AG Wiesenstrasse 5 8952 Schlieren | Fornitura di servizi IT, compreso lo sviluppo di software e piattaforme, gestione di software incl. la manutenzione e lo sviluppo della piattaforma, responsabilità per l’integrazione tecnica, assistenza ai clienti finali per la piattaforma |
Helvetia Schweizerische Versicherungesellschaft AG Dufourstrasse 40 9001 San Gallo | Fornitura di servizi di supporto al cliente finale nell’area delle infrastrutture e dei servizi |
Amazon Web Services EMEA SARL
| Fornitura di servizi cloud |
Swisscom AG Alten Tiefenaustrasse 6 3050 Bern | Fornitura di servizi di backup |