Versione: Maggio 2024

Contratto per il trattamento dei dati

tra

utente di Atlanto (mandante)

e

Atlanto SA (mandatario)

Dufourstrasse 40

CH – 9001 San Gallo

per il trattamento dei dati. 

 

1         Trattamento dei dati 

Nell’ambito dei suoi servizi in qualità di gestore della piattaforma, il mandatario tratterà i dati personali (dati oggetto del mandato) per conto del mandante in conformità con le leggi applicabili in materia di protezione dei dati (diritto applicabile in materia di protezione dei dati) nonché con le disposizioni in materia di protezione dei dati e le condizioni d’uso d’Atlanto. Per trattamento dei dati si intende qualsiasi operazione applicata a dati personali come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, l’archiviazione, la cancellazione o la distruzione.

2         Oggetto e durata

a) Oggetto, natura e finalità

I dettagli relativi al servizio fornito dal mandatario sono disciplinati nel relativo contratto tra il mandatario e il mandante (di seguito denominato «contratto»). Tale contratto è costituito dalle condizioni d’uso e dalle disposizioni in materia di protezione del mandatario. Il contratto determina l’oggetto e la durata del mandato, nonché la natura e le finalità del trattamento, salvo diversamente specificato nel presente contratto relativo al trattamento dei dati oggetto del mandato.

b) Tipi di dati personali

Cfr. elenco non esaustivo di cui all’allegato A.

 c) Categorie di soggetti interessati

Cfr. elenco non esaustivo di cui all’allegato A.

 d) Durata

Il trattamento dei dati per conto del mandante inizia con la firma del presente accordo e si basa sulla durata del contratto, salvo ulteriori obblighi derivanti dalle disposizioni di cui alla presente appendice. Il trattamento dei dati commissionato avrà inizio con la firma del presente contratto e sarà definito in base alla durata del contratto stesso, a meno che dalle disposizioni del presente contratto non derivino obblighi ulteriori.

 e) Conclusione

Il mandante, in qualsiasi momento e senza alcun preavviso, può disdire il mandato in caso di grave violazione da parte del mandatario delle disposizioni di cui al presente accordo, se il mandatario non può o non intende seguire un’istruzione conforme al contratto del mandante o se il mandatario, in violazione del contratto, nega al mandante i propri diritti di verifica.

f) Responsabilità

Nell’ambito del trattamento dei dati oggetto del mandato, il mandante è ritenuto responsabile del rispetto delle norme applicabili relative alla protezione dei dati, in particolare in relazione alla legittimità dell’inoltro dei dati al mandatario nonché alla liceità del trattamento dei dati.

3         Obblighi del mandatario

a) Rispetto delle istruzioni

(i)       Il mandatario è tenuto a utilizzare i dati oggetto del mandato esclusivamente per i servizi che deve prestare e a seguire unicamente istruzioni emesse e documentate dal mandante per iscritto per il trattamento di tali dati. Sono fatti salvi obblighi derivanti dal diritto applicabile (per esempio disposizioni vincolanti delle autorità competenti), di cui il mandante deve essere informato il prima possibile, nella misura in cui ciò sia consentito dalla legge. Il mandante dovrà indicare al mandatario, in forma testuale, almeno un destinatario autorizzato a impartire istruzioni. In caso di cambiamento o di impedimento a lungo termine delle persone nominate, il successore o il rappresentante deve essere nominato per iscritto senza indugio al mandatario. Fino al ricevimento di tale notifica da parte del mandante, le persone designate saranno ritenute destinatari autorizzati.

(ii)     Il diritto del mandante di fornire istruzioni è sancito dal presente accordo. Ulteriori istruzioni sono vincolanti per il mandatario solo se sono necessarie per rispettare delle disposizioni cogenti in materia di protezione dei dati.

(iii)    Il mandatario è tenuto a informare il mandante se ritiene che una direttiva violi le norme sulla protezione dei dati. Il mandatario ha il diritto di sospendere l’esecuzione della direttiva in questione fino alla sua conferma o modifica da parte del mandante.

b) Confidenzialità

Il mandatario si impegna a trattare i dati oggetto del mandato in modo confidenziale e a renderli accessibili solo a chi ne ha bisogno per adempiere i loro obblighi. Inoltre, garantisce che tutte le persone che hanno accesso ai dati oggetto del mandato siano soggette a un obbligo di confidenzialità stabilito per legge o contrattualmente.

c) Luogo del trattamento dei dati

I dati oggetto del mandato vengono trattati e utilizzati dal mandatario esclusivamente nel SEE. Il trattamento dei dati oggetto del mandato al di fuori del territorio elvetico è consentito solo con il consenso esplicito e in forma scritta del mandante e in conformità con le disposizioni di legge applicabili. In particolare, in caso sia consentita la divulgazione dei dati in Paesi che non offrono un livello di protezione dei dati adeguato, il mandatario è tenuto a stipulare con il mandante un contratto integrativo basato sulle attuali clausole contrattuali standard dell’UE.

d) Registri di trattamento

Il mandatario deve tenere un registro di trattamento, che dovrà consegnare al mandante nel caso in cui quest’ultimo lo richieda. Il mandatario, inoltre, deve aiutare il mandante a creare un registro delle attività di elaborazione dei dati oggetto del mandato.

e) Obbligo di restituzione e cancellazione

(i) Dopo la risoluzione del contratto principale o su richiesta del mandante, il mandatario dovrà mettere a disposizione del mandante tutti i documenti e i dati forniti o, su richiesta del mandante, dovrà cancellarli completamente e irrevocabilmente, a meno che non sia previsto un periodo di conservazione legale. Ciò vale anche per le copie dei dati del mandante presso la sede del mandatario, come i backup dei dati, ma non per la documentazione che serve a dimostrare il corretto trattamento dei dati del mandante in conformità con l’ordine. Tale documentazione deve essere conservata dal mandatario in conformità ai periodi di conservazione. La fornitura dei dati in un formato leggibile a macchina stabilito dal mandante è possibile dopo un esame separato da parte del mandatario per un compenso aggiuntivo, se necessario.

(ii)     Il mandatario continuerà a trattare con confidenzialità i dati di cui è venuto a conoscenza in relazione al contratto principale anche dopo la fine del contratto principale. 

f) Valutazione d’impatto sulla protezione dei dati

Il mandatario si impegna ad aiutare il mandante a redigere la valutazione d’impatto sulla protezione dei dati nel caso ciò sia previsto dalla legge o su richiesta nella misura necessaria.

4         Sicurezza dei dati

a) Misure di sicurezza

Il mandatario si impegna ad adottare le misure tecniche e organizzative di cui all’allegato B per proteggere i dati oggetto del mandato da distruzione accidentale o illecita, perdita, alterazione, divulgazione non autorizzata o accesso non autorizzato e a mantenerle in essere nella misura necessaria in conformità con il diritto applicabile in materia di protezione dei dati (misure di sicurezza). Le misure di sicurezza comprendono provvedimenti volti a crittografare i dati personali, garantire la confidenzialità, l’integrità, la disponibilità e la resistenza dei sistemi e dei servizi del mandatario, ripristinare i dati oggetto del mandato in tempo utile dopo un inconveniente e verificare regolarmente l’efficacia di tali provvedimenti.

b) Personale

Il mandatario è tenuto ad adottare provvedimenti atti a garantire il rispetto delle misure di sicurezza da parte dei suoi collaboratori, dei suoi mandatari e submandatari, nella misura applicabile ai servizi da loro prestati, nonché a garantire che tutte le persone autorizzate al trattamento dei dati oggetto del mandato si siano impegnate a mantenere la riservatezza o siano soggette per legge all’obbligo di confidenzialità.

c) Sviluppo

Le misure tecniche e organizzative sono soggette al progresso tecnico e all’ulteriore sviluppo. Il fornitore deve dunque garantire che queste siano aggiornate secondo lo stato della tecnica adeguato.

d) Obblighi di notifica

Il mandatario è tenuto a informare il mandante immediatamente nel caso in cui:

(i) riceva una richiesta, una convocazione o una richiesta di accesso o verifica da parte di un’autorità responsabile per l’elaborazione, a meno che la legge non vieti al mandatario di divulgare questa informazione;

(ii) intenda comunicare i dati oggetto del mandato a un’autorità competente; oppure

(iii) rilevi o sospetti che vi sia stata una violazione della protezione dei dati oggetto del mandato, vale a dire una violazione della sicurezza che abbia portato alla distruzione, alla perdita, all’alterazione o alla divulgazione o a un accesso non autorizzato ai dati personali.

5         Trattamento da parte di submandatari

Se il mandatario si avvale di submandatari o liberi professionisti dell’UE/SEE che forniscono i loro servizi nell’UE/SEE, ciò richiede la preventiva informazione del mandante in forma di testo.

Il consenso preventivo del mandante in forma testuale è necessario per l’affidamento di incarichi a submandatario o liberi professionisti con sede legale al di fuori dell’UE/SEE o che forniscono i loro servizi al di fuori dell’UE/SEE. Il mandante non può rifiutare arbitrariamente il proprio consenso. Il rifiuto del consenso costituisce motivo di risoluzione straordinaria.

Per i dipendenti submandatario indicati nell’Allegato C al momento della stipula del contratto e per le relative aree di responsabilità, il consenso del mandante si intende comunque prestato al momento della stipula del contratto. Il mandatario deve garantire che questi submandatario rispettino i requisiti tecnici e organizzativi in conformità alla sezione 2 dell’Allegato B allo stesso modo del mandante stesso.

6         Poteri di controllo del mandante

a) Poteri di controllo

Il mandante ha diritto a verificare il rispetto da parte del mandatario degli obblighi legali e contrattuali connessi al trattamento dei dati oggetto del mandato. Il mandante eseguirà le ispezioni solo nella misura necessaria e terrà in debito conto le procedure operative del mandatario. Le ispezioni in loco non saranno effettuate se il mandatario può dimostrare per iscritto la conformità ai requisiti di protezione dei dati, ad esempio mediante certificati o attestati.

b) Organismo di controllo esterno

Il mandante ha diritto a far eseguire i controlli di cui al punto 6.a da un organismo esterno, competente e vincolato al rispetto della riservatezza. I costi derivanti dal coinvolgimento di un organismo di controllo esterno in conformità con il punto 6.a sono a carico del mandante. Se il controllo viene effettuato a causa della violazione del presente accordo da parte del mandatario o se dai controlli emerge una violazione di tali obblighi, i costi sono interamente a carico del mandatario.

7         Supporto

a) Sicurezza dei dati, violazioni della protezione dei dati e valutazioni d’impatto sulla protezione dei dati

Il mandatario si impegna a fornire pieno supporto al mandante al fine di rispettare gli obblighi legali volti a garantire un’adeguata sicurezza dei dati, per la segnalazione di violazioni della protezione dei dati e per le valutazioni d’impatto sulla protezione dei dati. In caso di violazione della protezione dei dati oggetto del mandato, il mandatario è tenuto a informare il mandante immediatamente, e in ogni caso entro 24 ore, non appena venga a conoscenza della violazione o la sospetti (cfr. punto 4 d) (iii)). Il mandatario, inoltre, è tenuto ad adottare immediatamente tutte le misure necessarie per mitigare gli effetti della violazione della protezione dei dati. Il mandatario si impegna a fornire pieno supporto al mandante nell’elaborazione e nell’attuazione di un piano di risposta e, su sua istruzione, nell’informare le soggetti interessati e/o l’autorità competente.

b) Diritti delle soggetti interessati

Se una persona interessata contatta il mandatario in relazione ai propri diritti in materia di protezione dei dati (per esempio con una richiesta di informazioni o di cancellazione), il mandatario deve inoltrare tale richiesta al mandante immediatamente. Il mandante in questo caso è tenuto a fornire supporto al mandatario per soddisfare tali richieste. Tale supporto include, se necessario, la raccolta dei dati e delle informazioni necessari.

c) Obbligo d’informazione

Il mandatario è tenuto a informare tempestivamente il mandante in caso di attività di controllo e altre misure adottate da autorità di controllo della protezione dei dati, da tribunali e da altre autorità se queste riguardano i dati oggetto del mandato o i sistemi utilizzati per il loro trattamento. Il mandatario informerà immediatamente tutte le autorità e i tribunali che la sovranità sui dati è unicamente del mandante.

d) Responsabile della protezione dei dati

Il mandatario conferma di aver nominato un responsabile della protezione dei dati, nella misura in cui vi è un obbligo legale in tal senso. I dati di contatto del responsabile della protezione dei dati sono:

Helvetia Versicherungen, Fachstelle Datenschutz

Steinengraben 41, 4052 Basel, Schweiz

datenschutz@helvetia.ch

8         Disposizioni finali

a) Diritto applicabile e foro competente

Fatte salve eventuali disposizioni contrarie contenute nel relativo contratto, il presente accordo è disciplinato esclusivamente dal diritto svizzero, a esclusione delle norme di conflitto di leggi ai sensi del diritto privato internazionale e degli accordi internazionali. Foro competente esclusivo per ogni controversia è San Gallo, salvo eventuali disposizioni contrarie nel relativo contratto.

b) Clausola liberatoria

Per il resto si applicano le disposizioni del contratto. In caso di contraddizioni tra le disposizioni della presente appendice e quelle del contratto, prevale la presente appendice. Qualora singole parti della presente appendice risultino invalide, ciò non pregiudica la validità del contratto e del resto dell’appendice.

c) Ulteriori disposizioni

Gli allegati A, B e C sono parte integrante del Contratto relativo al trattamento dei dati oggetto del mandato

Allegato A al Contratto relativo al trattamento dei dati oggetto del mandato

 

Oggetto del mandatoTrattamento di dati personali del mandante nell’ambito del suo utilizzo dei servizi del fornitore come software as a service.

Natura e finalità del

trattamento

previsto dei

dati:

I dati personali trattati dal mandante vengono trasferiti al mandatario nell’ambito del servizio di software as a service. Il mandatario tratta tali dati esclusivamente in conformità all’accordo stipulato (ovvero gestione degli ordini, gestione dei contatti (CRM), contabilità, e-banking, contabilità salariale, gestione del magazzino, gestione dei progetti).

Tipo di dati

personali:

Le tipologie di dati variano in base ai dati trasmessi dal mandante. Questi sono in particolare (a seconda del mandato):

·        Dati di gestione degli ordini

·        Dati di gestione dei contatti

·        Dati contabili

·        Dati E-Banking

·        Dati di busta paga

·        Dati di gestione del magazzino

·        Dati di gestione del progetto

Categorie di soggetti

interessati:

Le categorie di soggetti interessati dipendono dai servizi ricevuti e dai dati trasmessi dal committente. Questi sono in particolare (a seconda del mandato):

·      collaboratori (compresi candidati ed ex collaboratori) del mandante,

·      clienti del mandante

·      persone coinvolte con il mandante

·      fornitori di servizi del mandante

·      dati di contatto dei referenti

Cancellazione, blocco

e rettifica dei

dati:

Le richieste di cancellazione, blocco e rettifica devono essere inviate al mandante; in tutti gli altri casi si applicano le disposizioni del contratto.

 

 

 

 

 

Allegato B: misure tecniche e organizzative (TOM)

1 Informazioni generali

In base alla classificazione delle informazioni dell’Atlanto è necessario utilizzare le misure tecniche e organizzative (TOM) adeguate.

  • Le TOM descritte nel presente documento sono valide esclusivamente per le informazioni dell’Atlanto classificate come «pubbliche» o «interne».
  • Nel caso in cui il partner esterno debba gestire anche informazioni dell’Atlanto classificate come «riservate» o «segrete», come base per la conformità dovranno essere prese come riferimento le TOM per questi specifici tipi di informazioni.
2 Misure tecniche e organizzative

Il partner esterno deve garantire che siano adottate le seguenti TOM:

  1. I sistemi su cui sono archiviati i dati dell’Atlanto sono sicuri
    1. Seguire le best practice di sicurezza del settore per la configurazione del sistema
    2. Effettuare controlli di rilevamento, prevenzione e ripristino per proteggersi dai malware
    3. Garantire la sicurezza della rete attraverso la limitazione e il controllo di porte, protocolli e servizi di rete
  2. Impedire l’accesso non autorizzato ai sistemi di trattamento dei dati in cui sono elaborati i dati dell’Atlanto
    1. Proteggere l’accesso alle informazioni con misure di controllo degli accessi fisiche e logiche
    2. Identificare e autenticare gli utenti prima di concedere l’accesso ai dati dell’Atlanto
    3. Stabilire procedure per gestire attivamente il ciclo di vita degli account utente, di sistema e applicativi (creazione, utilizzo, inattività, cancellazione)
  3. Garantire che le persone autorizzate a utilizzare le procedure di trattamento dei dati possano accedere solo ai dati dell’Atlanto contemplati nella loro autorizzazione di accesso
    1. Autorizzare gli utenti effettuando controlli sugli accessi basati sui ruoli e seguendo i principi del privilegio minimo e della necessità di venire a conoscenza delle informazioni
    2. Ridurre al minimo i privilegi da amministratore e utilizzare gli account amministratore solo quando sono necessari
  4. I dati dell’Atlanto non possono essere letti, copiati, alterati o rimossi da persone non autorizzate durante la trasmissione elettronica o durante il trasporto o l’archiviazione su un supporto dati
    1. Le informazioni in transito sono protette da crittografia
  5. Garantire che sia possibile controllare e determinare a quali punti vengono trasmessi i dati dell’Atlanto con i dispositivi di trasmissione dei dati
  6. Garantire che sia possibile verificare e stabilire se e da chi i dati dell’Atlanto sono stati inseriti, modificati o rimossi all’interno dei sistemi di trattamento dei dati
    1. Le informazioni di login sono archiviate in conformità ai requisiti di legge
  7. I dati dell’Atlanto sono protetti contro la distruzione o la perdita accidentale
    1. Elaborare un piano di backup per il backup delle informazioni
    2. Elaborare un piano di ripristino e testarlo regolarmente
  8. Garantire che i dati raccolti per scopi diversi possano essere trattati separatamente
  9. I dati dell’Atlanto vengono eliminati in modo sicuro quando non sono più necessari, utilizzando procedure formali
3 Misure organizzative

Il partner esterno deve assicurarsi che siano soddisfatti i seguenti requisiti:

  1. Sono state stabilite le responsabilità e le procedure di gestione
    1. per valutare le possibili minacce, il loro impatto sul business e le misure di protezione
    2. per garantire una risposta rapida, efficace e precisa agli incidenti di sicurezza riguardanti le informazioni
  2. I dipendenti e tutte le altre persone coinvolte nel trattamento dei dati dell’Atlanto sono stati selezionati, istruiti e monitorati accuratamente e adeguatamente
  3. Adeguati obblighi di protezione dei dati e di riservatezza vengono attuati, controllati e applicati in conformità alle istruzioni
  4. I dipendenti e le altre persone coinvolte nel trattamento dei dati dell’Atlanto seguono regolarmente corsi di formazione sulla protezione dei dati
4 Efficacia delle misure tecniche e organizzative
  1. Il partner esterno deve garantire di controllare e valutare regolarmente l’efficacia delle misure tecniche e organizzative
    1. Stabilire procedure per verificare l’efficacia dei sistemi di gestione della vulnerabilità e delle patch
    2. Stabilire le responsabilità e le procedure di gestione al fine di riesaminare regolarmente le misure implementate per la sicurezza delle informazioni nell’ottica di possibili miglioramenti
  2. Il partner esterno deve garantire di documentare i risultati di tali audit e porre rimedio alle carenze identificate immediatamente e in modo appropriato

Allegato C: submandatari

 

Azienda, indirizzo

Descrizione del servizio

Institut für Jungunternehmen AG

Schützengasse 10

9000 San Gallo

Creazione di contenuti per il sito web e la piattaforma, concessione della licenza di Business Plan Tool incl. funzione consultiva

Comitas AG

Wiesenstrasse 5

8952 Schlieren

Fornitura di servizi IT, compreso lo sviluppo di software e piattaforme, gestione di software incl. la manutenzione e lo sviluppo della piattaforma, responsabilità per l’integrazione tecnica, assistenza ai clienti finali per la piattaforma

Helvetia Schweizerische

Versicherungesellschaft AG

Dufourstrasse 40

9001 San Gallo

Fornitura di servizi di supporto al cliente finale nell’area delle infrastrutture e dei servizi

Amazon Web Services EMEA SARL

 

 

Fornitura di servizi cloud

Swisscom AG

Alten Tiefenaustrasse 6

3050 Bern

Fornitura di servizi di backup