Documento legale
Data Processing Agreement
Accordo sul trattamento dei dati personali ai sensi dell'art. 28 del Regolamento (UE) 2016/679 — template applicabile ai clienti aziendali (Titolari) che utilizzano la piattaforma in qualità di Responsabili del trattamento dei dati dei propri utenti finali.
1. Parti
Titolare del trattamento ("Titolare" o "Cliente"): la persona fisica o giuridica che sottoscrive l'ordine di servizio per l'utilizzo della Piattaforma e che determina finalità e mezzi del trattamento dei dati dei propri utenti finali, medici, agenti commerciali, contatti e lead.
Responsabile del trattamento ("Responsabile" o "Fornitore"):
I dati identificativi del Titolare devono essere configurati in admin → Piattaforma → Legal.
2. Oggetto e durata
Il presente Accordo disciplina i trattamenti di dati personali effettuati dal Fornitore per conto del Cliente nell'ambito dell'erogazione della Piattaforma SaaS "Aesthe Insider Club" e dei servizi accessori. La durata dell'Accordo coincide con quella del contratto principale; le obbligazioni di riservatezza e cancellazione restano in vigore anche dopo la cessazione.
3. Natura, finalità e categorie di dati
- Natura: hosting, conservazione, elaborazione, trasmissione di dati per il funzionamento della Piattaforma (autenticazione, gestione anagrafica, generazione documenti, invio comunicazioni transazionali e marketing su istruzione del Cliente).
- Finalità: erogazione dei servizi richiesti dal Cliente nei limiti delle funzionalità della Piattaforma.
- Categorie di interessati: medici, agenti commerciali, dipendenti del Cliente, contatti commerciali (lead), utenti dei contenuti formativi.
- Categorie di dati: dati anagrafici, di contatto, professionali, di autenticazione, di navigazione, di interazione commerciale. Sono tassativamente esclusi dati appartenenti a categorie particolari (art. 9 GDPR) e dati relativi a condanne penali (art. 10 GDPR).
4. Obblighi del Responsabile
Il Fornitore, in qualità di Responsabile:
- tratta i dati personali esclusivamente su istruzione documentata del Titolare (incluse le istruzioni implicite nelle funzionalità della Piattaforma utilizzate dal Cliente), salvo diverso obbligo di legge;
- garantisce che le persone autorizzate al trattamento siano vincolate al segreto o tenute a un adeguato obbligo legale di riservatezza;
- adotta tutte le misure di sicurezza richieste dall'art. 32 GDPR adeguate al rischio (cifratura in transito e a riposo, controllo degli accessi basato su ruoli, segregazione logica dei dati per Cliente, backup, log di audit, procedure di gestione incidenti);
- assiste il Titolare con misure tecniche e organizzative adeguate per dare seguito alle richieste degli interessati ex artt. 15-22 GDPR, nei limiti delle funzionalità della Piattaforma;
- assiste il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR;
- al termine del contratto, su richiesta scritta del Cliente, cancella o restituisce tutti i dati personali entro 30 giorni, salvi obblighi di conservazione di legge;
- mette a disposizione del Titolare, su richiesta scritta motivata, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR.
5. Obblighi del Titolare
Il Cliente, in qualità di Titolare, è l'unico responsabile:
- della liceità, correttezza, esattezza e aggiornamento dei dati personali inseriti, importati o caricati nella Piattaforma, anche tramite i propri agenti commerciali;
- dell'individuazione della corretta base giuridica per ciascun trattamento (consenso, contratto, legittimo interesse, obbligo di legge) e della raccolta e conservazione delle prove relative;
- della preventiva informativa agli interessati e della raccolta dei consensi necessari, in particolare per le comunicazioni marketing inviate tramite la Piattaforma;
- della verifica che eventuali database B2B di medici importati nella Piattaforma siano stati acquisiti da fonti lecite e nel rispetto delle norme applicabili;
- della gestione delle richieste degli interessati e del relativo riscontro nei termini di legge;
- della valutazione d'impatto sulla protezione dei dati (DPIA) ove richiesta dalla natura dei trattamenti effettuati;
- della corretta configurazione dei propri utenti, ruoli, permessi e visibilità dei dati all'interno della Piattaforma.
Il Cliente manleva e tiene indenne il Fornitore da qualunque pretesa, sanzione, richiesta di risarcimento o costo (incluse spese legali) derivanti dalla violazione delle obbligazioni di cui al presente articolo, nonché dall'utilizzo della Piattaforma in modo difforme rispetto alle istruzioni d'uso e alle finalità contrattualmente previste.
6. Sub-responsabili
Il Cliente autorizza in via generale il Fornitore a designare sub-responsabili del trattamento, in particolare i fornitori di infrastruttura cloud, email transazionali, messaggistica SMS/WhatsApp, analytics e monitoraggio errori, necessari all'erogazione della Piattaforma. Il Fornitore impone ai sub-responsabili obblighi di protezione dei dati equivalenti a quelli del presente Accordo. L'elenco aggiornato dei sub-responsabili è disponibile su richiesta scritta. Il Cliente può opporsi all'aggiunta di nuovi sub-responsabili comunicandolo entro 15 giorni dalla notifica; in caso di opposizione fondata, il Fornitore potrà offrire una soluzione tecnica alternativa ovvero, in mancanza, recedere dal contratto principale con preavviso ragionevole, senza ulteriori obblighi risarcitori.
7. Trasferimenti extra-UE
I dati sono trattati, in via principale, all'interno dello Spazio Economico Europeo. Eventuali trasferimenti verso paesi terzi avvengono esclusivamente verso paesi oggetto di decisione di adeguatezza della Commissione Europea ovvero tramite Clausole Contrattuali Standard ex Decisione UE 2021/914, integrate da misure supplementari ove necessario. Il Cliente prende atto e accetta tali trasferimenti come condizione necessaria per l'erogazione del servizio.
8. Notifica di violazioni (data breach)
Il Fornitore notifica al Titolare, senza ingiustificato ritardo e comunque entro 72 ore dall'avvenuta conoscenza, qualunque violazione di dati personali che riguardi dati trattati per conto del Cliente, fornendo le informazioni ragionevolmente disponibili per consentire al Titolare l'eventuale notifica all'Autorità di controllo ex art. 33 GDPR. Resta in capo al Titolare la decisione e la responsabilità di effettuare la notifica al Garante e la comunicazione agli interessati ex art. 34 GDPR.
9. Limitazione di responsabilità
Salvi i casi di dolo o colpa grave inderogabili per legge, la responsabilità complessiva del Fornitore in relazione al presente Accordo e al trattamento dei dati personali del Cliente è limitata, per ciascun anno solare, al corrispettivo netto effettivamente corrisposto dal Cliente al Fornitore nei dodici mesi precedenti l'evento dannoso. È espressamente esclusa la responsabilità del Fornitore per danni indiretti, mancato guadagno, perdita di dati derivante da cause non imputabili al Fornitore (incluse le attività dei sub-responsabili che operino in modo non conforme alle istruzioni ricevute), interruzioni dovute a forza maggiore o eventi al di fuori del ragionevole controllo del Fornitore.
10. Audit
Il Titolare può richiedere, una volta l'anno, evidenza documentale del rispetto degli obblighi del presente Accordo (certificazioni, report di audit di terze parti, descrizione delle misure di sicurezza). Eventuali ispezioni in loco sono ammesse esclusivamente in caso di gravi e motivati indizi di non conformità, previo preavviso scritto di almeno 30 giorni, durante l'orario lavorativo, senza intralcio all'operatività del Fornitore e con copertura dei relativi costi a carico del Cliente.
11. Modifiche
Il Fornitore può aggiornare il presente template per adeguarlo a sopravvenute esigenze normative o organizzative; le modifiche sostanziali sono comunicate al Cliente con preavviso ragionevole.
12. Legge applicabile e foro
Il presente Accordo è regolato dalla legge italiana. Per qualunque controversia è competente in via esclusiva il foro della sede legale del Fornitore, salvo competenze inderogabili di legge a tutela del consumatore.