Allegato Contrattuale - Accordo sul Trattamento dei Dati (DPA)
Articolo 1: Definizioni
- Dati personali: Qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»), come definita dal Regolamento Generale sulla Protezione dei Dati (GDPR).
- Titolare del trattamento: La persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
- Responsabile del trattamento: La persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del Titolare del trattamento.
- Trattamento: Qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali.
- Violazione dei dati personali: Una violazione della sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso non autorizzato a dati personali trasmessi, conservati o comunque trattati.
- Trasferimento dei dati: Qualsiasi trasferimento di dati personali al di fuori dello Spazio Economico Europeo (SEE), compreso verso un paese terzo o un'organizzazione internazionale.
- Servizio Cloud: Qualsiasi servizio di trattamento, archiviazione o gestione di dati personali fornito dal Responsabile del trattamento tramite infrastrutture cloud.
- Accesso necessario per il servizio: Qualsiasi accesso ai dati personali strettamente richiesto per l'esecuzione dei servizi contrattuali definiti, inclusi fornitura, manutenzione, supporto tecnico, monitoraggio dei sistemi e risoluzione degli incidenti, escludendo qualsiasi accesso per fini di analisi commerciale, profilazione o marketing diretto.
- HDS (Hébergeur di Dati Sanitari): Status specifico in Francia per gli host di dati sanitari, che richiede una certificazione rilasciata da un ente accreditato.
Articolo 2: Oggetto
Il presente allegato ha lo scopo di definire i termini e le condizioni per il trattamento dei dati personali nell'ambito del Contratto principale, compreso l'uso di servizi cloud. Ha l'obiettivo di garantire la conformità delle parti agli obblighi derivanti dal GDPR e dalle leggi francesi relative alla protezione dei dati personali qualora il Responsabile del trattamento sia certificato come HDS, nonché ai requisiti del codice di condotta CISPE.
Articolo 3: Obblighi del Titolare del trattamento
- Liceità del trattamento: Il Titolare del trattamento si impegna a trattare i dati personali in modo lecito, corretto e trasparente ai sensi degli articoli 5 e 6 del GDPR.
- Finalità determinate: I dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e non essere successivamente trattati in modo incompatibile con tali finalità.
- Minimizzazione dei dati: Il Titolare del trattamento deve garantire che i dati raccolti siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
- Esattezza dei dati: È responsabilità del Titolare del trattamento assicurarsi che i dati personali siano esatti e, se necessario, aggiornati.
- Sicurezza dei dati: Il Titolare del trattamento deve implementare misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio, in conformità con l'articolo 32 del GDPR. Ciò include la valutazione regolare delle misure di sicurezza dei servizi cloud utilizzati.
Articolo 4: Obblighi del Responsabile del trattamento
4.1 Trattamento secondo le istruzioni e limitazione degli accessi
Il Responsabile del trattamento si impegna a:
- Trattare i dati personali solo su istruzione documentata del Titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda un obbligo di legge.
- Limitare rigorosamente il proprio accesso ai dati personali ai soli accessi necessari per il servizio definiti all'Articolo 1.
- Astenersi formalmente da qualsiasi trattamento dei dati personali per fini di:
- Data mining o esplorazione dei dati
- Profilazione degli utenti finali o analisi comportamentale
- Marketing diretto o pubblicità mirata
- Qualsiasi uso commerciale non correlato all'esecuzione dei servizi contrattuali.
4.2 Politica di gestione degli accessi
Il Responsabile del trattamento mantiene una politica dettagliata di gestione degli accessi ai dati dei clienti che include:
- Procedure per la concessione e revoca degli accessi
- Identificazione delle persone autorizzate e dei relativi livelli di accesso
- Controlli fisici e tecnici di accesso alle infrastrutture
- Registrazione completa degli accessi con conservazione per almeno 24 mesi
- Procedure per la gestione degli accessi d'emergenza e la supervisione
4.3 Obblighi generali
- Riservatezza: Il Responsabile del trattamento deve assicurare che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
- Certificazione HDS: Il Responsabile del trattamento dichiara di essere certificato come Host di Dati Sanitari e di mantenere questa certificazione per l'intera durata del Contratto.
- Sicurezza del trattamento: Il Responsabile del trattamento si impegna ad attuare adeguate misure tecniche e organizzative per garantire la sicurezza dei dati personali che tratta, compresi quelli trattati tramite servizi cloud, in conformità all'articolo 32 del GDPR.
- Sub-responsabili: Il Responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta specifica o generale del Titolare del trattamento. Nel caso di sub-trattamento autorizzato, il Responsabile deve assicurare che il sub-responsabile rispetti i medesimi obblighi in materia di protezione dei dati.
- Assistenza al Titolare del trattamento: Il Responsabile del trattamento deve assistere il Titolare del trattamento, per quanto possibile, nell'adempimento dei propri obblighi in materia di sicurezza dei dati, notifica delle violazioni dei dati, effettuazione di valutazioni d'impatto sulla protezione dei dati e consultazioni preventive con le autorità di controllo.
- Localizzazione dei dati: Il Responsabile del trattamento deve fornire informazioni chiare sui luoghi di stoccaggio e trattamento dei dati nelle infrastrutture cloud, e assicurare che tali luoghi siano conformi alle normative applicabili sulla protezione dei dati.
Articolo 5: Descrizione dei trattamenti
Il Responsabile del trattamento è autorizzato a trattare i dati personali per conto del Titolare del trattamento per quanto necessario alla fornitura dei Servizi. La natura e la categoria delle operazioni compiute sui dati personali saranno definite dal Titolare del trattamento in base alle esigenze specifiche di ciascun Servizio. Le finalità del trattamento sono stabilite dal Titolare del trattamento e comunicate al Responsabile del trattamento. La natura e le categorie dei dati personali trattati sono specificate dal Titolare del trattamento. Le categorie di interessati sono identificate dal Titolare del trattamento. Ai fini dell'esecuzione dei Servizi, il Titolare del trattamento mette a disposizione le informazioni necessarie. La durata del trattamento è fissata dal Titolare del trattamento in base alle esigenze dei Servizi forniti.
Articolo 6: Diritti degli interessati
- Accesso e rettifica: Il Titolare e il Responsabile del trattamento devono consentire agli interessati di esercitare i propri diritti di accesso e rettifica dei propri dati personali, ai sensi degli articoli 15 e 16 del GDPR.
- Cancellazione e limitazione del trattamento: Gli interessati devono poter esercitare i propri diritti alla cancellazione dei dati (diritto all'oblio) o alla limitazione del trattamento, in conformità agli articoli 17 e 18 del GDPR.
- Portabilità dei dati: Il Titolare del trattamento deve garantire, ove applicabile, la portabilità dei dati personali degli interessati, ai sensi dell'articolo 20 del GDPR.
- Opposizione: Gli interessati devono poter esercitare il proprio diritto di opposizione al trattamento dei propri dati personali in conformità con l'articolo 21 del GDPR.
6.1 Modalità per l'esercizio dei diritti
In qualità di Responsabile del trattamento, Cloud Temple assiste il Titolare nell'adempimento dei diritti degli interessati secondo le seguenti modalità:
Processo standard:
- Le richieste vengono generalmente inviate dal Titolare del trattamento tramite i consueti canali di comunicazione: Account Manager e Service Delivery Manager.
- Il Responsabile del trattamento fornisce assistenza tecnica nei limiti del proprio ruolo di responsabile e delle capacità dei propri servizi.
Contatto diretto:
- Per casi eccezionali o domande specifiche, il Responsabile della Protezione dei Dati di Cloud Temple può essere contattato direttamente a: DPD@cloud-temple.com
- Viene mantenuto un flusso di convalida da parte del DPO di Cloud Temple per garantire la coerenza delle risposte.
- È garantita la tracciabilità delle richieste e delle azioni intraprese.
Ricezione delle richieste: Nel caso in cui un interessato rivolga direttamente al Responsabile del trattamento una richiesta per l'esercizio dei propri diritti (accesso, rettifica, cancellazione, opposizione, limitazione o portabilità), quest'ultimo si impegna a trasmetterla per iscritto al Cliente entro un massimo di 72 ore dalla ricezione. Il Responsabile del trattamento non risponderà direttamente all'interessato senza preventiva istruzione scritta da parte del Titolare del trattamento.
Assistenza tecnica ed esecuzione: Il Responsabile del trattamento si impegna ad assistere il Cliente alle seguenti condizioni per consentire l'esercizio dei diritti:
- Accesso e Portabilità: Il Responsabile mette a disposizione del Cliente gli strumenti o le procedure che permettono l'estrazione dei dati sanitari in un formato strutturato e di uso comune.
- Consultazione dei log: In conformità con gli impegni di sicurezza, l'Host consente al Cliente di consultare i registri di accesso ai Dati Personali Sanitari (DSCP) per rispondere a richieste di informazioni sugli accessi ai dati.
- Rettifica e Cancellazione: Il Responsabile si impegna ad eseguire, su richiesta motivata del Cliente, le operazioni tecniche per la modifica o la cancellazione definitiva dei dati negli ambienti di produzione e backup, e a fornirne conferma scritta.
- Limitazione: In caso di richiesta di limitazione del trattamento, il Responsabile collaborerà con il Cliente per implementare misure tecniche atte a isolare o bloccare i dati interessati.
- Documentazione: Il Responsabile fornirà al Cliente tutte le informazioni necessarie per dimostrare che le misure tecniche adottate consentono il rispetto effettivo dei diritti degli individui.
Articolo 7: Misure di sicurezza e riservatezza
Il Responsabile del trattamento si impegna in particolare ad attuare misure sufficienti per garantire la sicurezza e la riservatezza dei Dati Personali e in particolare dei dati sanitari affidati e trattati nell'ambito dei Servizi, vale a dire:
- Attuare misure tecniche e organizzative adeguate per proteggere i dati personali dalla distruzione accidentale o illecita, perdita accidentale, modifica, divulgazione o accesso non autorizzati, nonché da qualsiasi altra forma di trattamento illecito.
- Non utilizzare i dati personali per proprio conto o per conto di terzi e non trasferirli senza la preventiva autorizzazione scritta del Titolare del trattamento o del cliente finale.
- Assicurare che le persone autorizzate al trattamento dei dati personali siano soggette a adeguati obblighi di riservatezza.
- Non effettuare copie o duplicati dei dati personali senza la preventiva autorizzazione scritta del Titolare del trattamento o del cliente finale (a meno che non sia necessario per l'esecuzione dei Servizi forniti dal fornitore di servizi ai sensi del Contratto).
- Informare il Titolare del trattamento di qualsiasi accesso accidentale o non autorizzato ai dati personali, di qualsiasi violazione delle normative sui dati personali o di qualsiasi sospetto di tale violazione, il più presto possibile e, se possibile, entro 48 ore dalla conoscenza.
- A scelta del Titolare del trattamento, cancellare o restituire i dati personali al termine del Contrato e distruggere le copie esistenti, salvo che non esista un obbligo legale di conservazione.
- Implementare una politica di sicurezza dei sistemi informativi e una gestione delle autorizzazioni di accesso logico e fisico, che dovrà mantenere e sviluppare per tutta la durata del Contratto.
- Cifrare i dati memorizzati.
Il Responsabile del trattamento implementa un sistema di controllo degli accessi ai dati dei clienti che comprende:
- Un sistema forte di autenticazione e gestione delle identità
- Una politica di privilegio minimo con revisione periodica delle autorizzazioni
- Separazione degli ambienti cliente e isolamento dei dati
- Un sistema di logging completo con avvisi automatici
- Audit periodici degli accessi e dei controlli di sicurezza.
Articolo 8: Notifica delle violazioni dei dati
In caso di violazione di dati personali o di Dati Sanitari Personali, il Responsabile del trattamento deve informare il Titolare del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza. Tale notifica deve includere:
- La natura della violazione dei dati personali
- Le categorie e il numero approssimativo di interessati coinvolti
- Le categorie e il numero approssimativo di registrazioni di dati personali coinvolte
- Il nome e i dati di contatto del punto di contatto presso cui ottenere maggiori informazioni
- Le probabili conseguenze della violazione dei dati personali
- Le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione dei dati e attenuarne i possibili effetti negativi.
Tale notifica deve specificare l'impatto potenziale sui dati ospitati nel cloud e le misure adottate per porvi rimedio, consentendo al Titolare del trattamento di notificare tale violazione all'autorità di controllo competente e, se del caso, agli interessati, in conformità all'articolo 33 del GDPR.
Articolo 9: Trasferimenti di dati al di fuori dell'Unione Europea
9.1 Localizzazione dei dati in base ai servizi
Servizi Cloud:
- Tutti i dati personali sono elaborati e memorizzati esclusivamente all'interno dell'Unione Europea.
- Tutte le infrastrutture e i data center si trovano nell'Unione Europea.
- Il cliente può selezionare le zone geografiche di elaborazione tra le località europee disponibili.
- Nessun trattamento o archiviazione di dati avviene al di fuori dell'Unione Europea.
Servizi Gestiti (Infogérance):
- I dati personali sono di default elaborati e memorizzati all'interno dell'Unione Europea.
- I team di supporto tecnico situati al di fuori dell'Unione Europea potrebbero dover accedere ai dati come parte della fornitura del servizio, solo con il preventivo accordo scritto del Titolare del trattamento.
- Questi accessi sono strettamente limitati alle esigenze operative e inquadrati nelle opportune garanzie del GDPR.
9.2 Condizioni per i trasferimenti extra-UE
Qualsiasi accesso o trasferimento di dati personali da parte di team o verso paesi terzi può essere effettuato solo con:
- La preventiva autorizzazione scritta del Titolare del trattamento per il servizio interessato.
- Il rispetto delle condizioni previste dal GDPR, in particolare negli articoli da 44 a 50.
- L'attuazione di garanzie adeguate, quali clausole contrattuali tipo approvate dalla Commissione Europea o l'esistenza di una decisione di adeguatezza.
- La limitazione degli accessi alle sole esigenze operative.
Articolo 10: Durata e fine del trattamento
10.1 Fine del contratto
Alla fine del contratto principale, il Responsabile del trattamento si impegna, secondo le istruzioni del Titolare del trattamento, a cancellare tutti i dati personali o a restituirli al Titolare del trattamento, e a distruggere le copie esistenti a meno che un obbligo di legge non richieda diversamente.
10.2 Processo di recupero
Il Responsabile del trattamento fornisce una guida dettagliata che consente al Titolare del trattamento di recuperare i propri dati in un formato standard e utilizzabile, tra cui:
- Formati di esportazione disponibili
- Procedure di recupero
- Tempistiche di messa a disposizione
- Assistenza tecnica disponibile.
10.3 Tempistiche di cancellazione dei dati
Il Responsabile del trattamento si impegna a rispettare le seguenti tempistiche:
- Cancellazione logica: entro 48 ore dalla richiesta
- Cancellazione fisica definitiva: entro 30 giorni di calendario dalla cancellazione logica
- Conferma della cancellazione: certificato di distruzione fornito entro 5 giorni lavorativi dalla cancellazione fisica.
Tale obbligo si estende anche ai dati archiviati sui supporti di backup nelle infrastrutture cloud, a meno che un obbligo di legge non ne imponga la conservazione. In tal caso, il Responsabile del trattamento informa il Titolare del trattamento con giustificazione legale e periodo di conservazione.
Articolo 11: Documentazione e audit
Il Responsabile del trattamento metterà a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti nel presente allegato e consentirà e contribuirà alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro revisore incaricato da questi, per verificare la conformità al presente allegato e al GDPR.
Il Responsabile del trattamento mette a disposizione del Titolare del trattamento:
- Una pagina dedicata che elenca tutti i processi di conformità mantenuta aggiornata all'indirizzo: https://www.cloud-temple.com/demarches-conformite/
- Certificati di conformità disponibili (ISO 27001, SecNumCloud, HDS, ISAE, ecc.)
- Raccomandazioni per l'uso sicuro dei servizi Cloud Temple, tra cui:
- Migliori pratiche per proteggere l'accesso alla Console Cloud
- Gestione controllata di accessi e permessi
- Messa in sicurezza delle risorse implementate tramite servizi cloud.
Articolo 12: Registro delle attività di trattamento
12.1 Contenuto del registro
Il Responsabile del trattamento mantiene un registro elettronico delle attività di trattamento in conformità all'articolo 30(2) del GDPR. Questo registro contiene l'elenco dei clienti per i quali Cloud Temple opera in qualità di responsabile del trattamento, con per ciascun cliente:
- I dati di contatto della società cliente e del responsabile della protezione dei dati (cognome, nome, telefono, email)
- Le categorie di trattamenti effettuati per conto di questo cliente
- Trasferimenti al di fuori dell'Unione Europea, se applicabili
- Le misure tecniche e organizzative di sicurezza adottate.
12.2 Gestione automatizzata
Il registro viene aggiornato automaticamente al verificarsi di:
- Creazione di nuovi contratti clienti
- Modifiche ai servizi esistenti
- Evoluzioni delle misure di sicurezza.
12.3 Accesso al registro
Su richiesta scritta:
- Il Titolare del trattamento può accedere solo alle informazioni che lo riguardano presenti nel registro.
- Le autorità competenti (CNIL, ANSSI, ecc.) possono accedere al registro completo nell'ambito delle loro missioni di controllo.
Il Responsabile del trattamento ha un termine di 15 giorni lavorativi per comunicare le informazioni richieste dal ricevimento della domanda. È implementato un processo di convalida per le richieste legittime per garantire la riservatezza delle informazioni sensibili.
Articolo 13: Sub-responsabili del trattamento
Il Responsabile del trattamento può avere necessità di avvalersi di uno o più prestatori di servizi o fornitori esterni per l'erogazione di servizi specifici rientranti nel Contratto. A tal fine, il Responsabile può incaricare, sotto la propria responsabilità, uno o più sub-responsabili di secondo livello al solo scopo di fornire parte dei servizi necessari per il sistema gestito.
Il Responsabile del trattamento si impegna a stipulare un atto giuridico vincolante con qualsiasi sub-responsabile successivo da esso incaricato per il Trattamento dei Dati, al fine di imporgli il rispetto dei requisiti del GDPR e degli stessi obblighi previsti dall'Articolo 20.2. In particolare, il Responsabile del trattamento deve assicurare che il sub-responsabile successivo incaricato fornisca garanzie sufficienti per l'implementazione delle necessarie misure di sicurezza, specialmente nel contesto dei dati sanitari.
In caso di inadempimento da parte del sub-responsabile successivo dei propri obblighi di protezione dei dati, il Responsabile del trattamento rimarrà pienamente responsabile nei confronti del Titolare del trattamento, fatti salvi i diritti degli Interessati previsti dagli articoli 79 e 82 del GDPR.
L'elenco dei sub-responsabili successivi autorizzati è il seguente:
| Sub-responsabile | Attività | Sede | Data di autorizzazione |
|---|---|---|---|
| Digital Realty | Hosting di data center | Francia / UE | 15/01/2025 |
| Data4 | Hosting di data center | Francia / UE | 15/01/2025 |
| Telehouse | Hosting di data center | Francia / UE | 15/01/2025 |
| Iron Mountain | Esternalizzazione su nastro | Francia / UE | 15/01/2025 |
Iron Mountain non è certificato HDS.
In aggiunta a questi sub-responsabili vi sono quelli del Contratto.
Durante l'esecuzione del Contratto, il Titolare del trattamento può accedere all'aggiornamento di questa lista in qualsiasi momento presso il Responsabile. Il Responsabile del trattamento informerà il Titolare del trattamento per iscritto di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili almeno 30 giorni di calendario prima dell'implementazione. Per ogni nuovo sub-responsabile critico è richiesta un'autorizzazione preventiva specifica del Titolare del trattamento.
Articolo 14: Responsabilità
Il Titolare del trattamento e il Responsabile riconoscono di poter essere ritenuti responsabili per danni causati da un trattamento di dati personali non conforme al GDPR e alle leggi francesi applicabili. Il Responsabile è responsabile per il danno causato dal trattamento se non ha adempiuto agli obblighi del GDPR specificamente diretti ai responsabili del trattamento o se ha agito in modo difforme o contrario alle legittime istruzioni del Titolare del trattamento.
Articolo 15: Modifiche
Qualsiasi modifica a questo allegato deve essere oggetto di un emendamento scritto firmato da entrambe le parti. Le modifiche devono essere conformi ai requisiti del GDPR e delle leggi francesi relative alla protezione dei dati personali.
Articolo 16: Legge applicabile e giurisdizione
Il presente allegato è disciplinato dalla legge francese. Qualsiasi controversia relativa alla sua interpretazione o esecuzione sarà sotto la giurisdizione esclusiva dei tribunali francesi. In caso di divergenza tra le versioni linguistiche di questo allegato, prevarrà la versione francese.