Data Processing Agreement esteso

Ruoli privacy

Per i dati inseriti dal cliente nell’applicativo, il cliente è normalmente titolare del trattamento e Team Control Center è responsabile del trattamento. Per sito, marketing, pagamenti, sicurezza e gestione del rapporto contrattuale, Team Control Center può operare come titolare autonomo.

1. Oggetto e durata

Il DPA riguarda le attività di hosting, gestione, manutenzione, assistenza, sicurezza, backup e supporto del servizio SaaS Team Control Center quando comportano trattamento di dati personali per conto del Cliente.

La durata del trattamento coincide con la durata del contratto principale e con gli ulteriori periodi tecnici necessari a cancellazione, restituzione, backup, obblighi legali o tutela di diritti.

2. Categorie di interessati

Possono essere interessati dipendenti, collaboratori, consulenti, utenti aziendali, lead, amministratori, referenti del Cliente, persone indicate in documenti o comunicazioni caricate dal Cliente e altri soggetti i cui dati siano inseriti legittimamente nella piattaforma.

3. Categorie di dati

Possono essere trattati dati identificativi, dati di contatto, dati account, ruoli, permessi, dati di presenza, assenze, ferie, permessi, malattie, straordinari, attività, progetti, documenti, allegati, chat, note operative, log, metadati tecnici e informazioni necessarie alla sicurezza.

Il Cliente si impegna a non caricare categorie particolari di dati o dati giudiziari salvo quando strettamente necessario, lecito, documentato e coerente con le proprie informative, basi giuridiche e istruzioni.

4. Istruzioni del Cliente

Team Control Center tratta i dati personali solo sulla base del contratto, del DPA, delle configurazioni eseguite dal Cliente e delle istruzioni documentate ricevute. Se un’istruzione appare illecita o rischiosa, il Fornitore può segnalarlo al Cliente e sospendere l’esecuzione nei limiti necessari.

5. Riservatezza

Il personale e i collaboratori autorizzati al trattamento sono vincolati da obblighi di riservatezza o da obblighi equivalenti e accedono ai dati solo quando necessario per erogazione, sicurezza, assistenza o manutenzione del servizio.

6. Misure tecniche e organizzative

Le misure comprendono HTTPS, controllo accessi, autenticazione, ruoli applicativi, separazione logica per azienda, principio del minimo privilegio, logging, backup, gestione vulnerabilità, aggiornamenti, protezione infrastrutturale, monitoraggio, procedure di incident response e limitazione degli accessi amministrativi.

Il Cliente riconosce che la sicurezza è un processo condiviso e deve gestire correttamente utenti, permessi, password, esportazioni, dispositivi, policy interne e contenuti caricati.

7. Sub-responsabili

Team Control Center può utilizzare fornitori terzi per hosting, email, pagamento, sicurezza, monitoraggio, assistenza o servizi tecnici. L’elenco dei sub-responsabili o delle categorie di sub-responsabili è pubblicato nella pagina dedicata e può essere aggiornato.

Il Fornitore impone ai sub-responsabili obblighi di protezione sostanzialmente equivalenti a quelli del presente DPA quando trattano dati personali per conto del Cliente.

8. Assistenza al Cliente

Team Control Center assiste il Cliente, nei limiti ragionevoli e tenendo conto della natura del trattamento, per rispondere a richieste degli interessati, valutazioni d’impatto, consultazioni preventive, incidenti di sicurezza, cancellazione, esportazione o limitazione dei dati.

Attività straordinarie, massive o non incluse nel piano possono richiedere costi aggiuntivi se non dipendono da inadempimenti del Fornitore.

9. Data breach

In caso di violazione dei dati personali che riguardi dati trattati per conto del Cliente, Team Control Center informa il Cliente senza ingiustificato ritardo dopo esserne venuto a conoscenza, fornendo le informazioni disponibili e collaborando alle attività ragionevoli di gestione dell’incidente.

10. Cancellazione o restituzione

Alla cessazione del servizio, il Cliente può richiedere esportazione o cancellazione dei dati nei limiti delle funzionalità disponibili e delle procedure tecniche. I backup possono permanere per periodi tecnici limitati e vengono sovrascritti secondo le policy operative.

11. Audit e verifiche

Il Cliente può richiedere informazioni ragionevoli sulle misure adottate. Audit invasivi, accessi diretti all’infrastruttura, test o verifiche tecniche devono essere concordati preventivamente, non compromettere sicurezza, segreti commerciali o dati di altri clienti e possono essere soggetti a condizioni operative e costi ragionevoli.

12. Trasferimenti internazionali

Eventuali trasferimenti fuori dallo SEE avvengono sulla base di strumenti validi, come decisioni di adeguatezza, clausole contrattuali standard o altri meccanismi ammessi, anche tramite i fornitori utilizzati.