Accordo sul trattamento dei dati

Versione 3.0, pubblicata il 01.07.2025

‍

‍

Accordo sul trattamento dei dati

Il presente accordo sul trattamento dei dati viene stipulato tra DSwiss e il cliente e diventa effettivo a partire dalla data di entrata in vigore del nuovo ordine di servizio commerciale.

Il presente documento viene fornito in diverse lingue. In caso di discrepanze o contraddizioni, la versione inglese prevarrà e sarà legalmente vincolante.

‍

Preambolo

A. Le Parti hanno stipulato un Contratto relativo alla fornitura di Servizi da parte di DSwiss.

B. Nell'ambito del Contratto, il Cliente fornisce a DSwiss Dati Personali.

C. Al fine di garantire il rispetto delle leggi applicabili in materia di protezione dei dati, tra cui, a titolo esemplificativo e non esaustivo, il Regolamento Generale sulla Protezione dei Dati (GDPR) e la Legge Federale Svizzera sulla Protezione dei Dati nel Trattamento dei Dati Personali da parte di DSwiss, le Parti stipulano il presente Contratto di Trattamento dei Dati.

D. Nell'ambito del presente Contratto di Trattamento dei Dati il Cliente è il Titolare del Trattamento e DSwiss è il Responsabile del Trattamento ai sensi delle Leggi Applicabili sulla Protezione dei Dati.

PERTANTO, in considerazione dei reciproci patti di seguito riportati, le Parti convengono quanto segue:

‍

1. Aspetti generali

1.1 Oggetto: Nel presente Accordo per il trattamento dei dati, le Parti regolano esclusivamente il rapporto tra le Parti in merito alle Leggi applicabili in materia di protezione dei dati. Esse non intendono estendere o limitare i Servizi da fornire ai sensi dell'Accordo.

1.2 Precedenza: In caso di conflitti tra le parti contrattuali dell'Accordo, si applica il seguente ordine di precedenza: Il presente Accordo sul trattamento dei dati avrà la precedenza sui suoi Allegati e le altre parti dell'Accordo avranno la precedenza sul presente Accordo sul trattamento dei dati.

1.3 Definizioni: Tutti i termini in maiuscolo non altrimenti definiti nel presente Contratto del trattamento dei dati avranno il significato stabilito nel Contratto. I termini giuridici quali "Dati Personali" e "Trattamento" avranno il significato definito nelle Leggi sulla protezione dei dati applicabili. Le definizioni sono reperibili all'indirizzo https://www.dswiss.com/it/legal-definitions.

‍

2. Oggetto e durata del trattamento

2.1. Oggetto del trattamento: In relazione ai Servizi, DSwiss tratta i Dati Personali per conto del Cliente. L'oggetto del Trattamento, la sua natura e il suo scopo sono definiti nel Contratto. Le categorie di persone interessate dal Trattamento e le categorie di Dati Personali interessate sono descritte nell'Allegato 1.

2.2. Altri servizi: Qualora DSwiss assuma ulteriori servizi per il Cliente nel corso della collaborazione, il presente Accordo sul trattamento dei dati si applica anche a tali servizi.

2.3. Durata: Il presente Contratto di elaborazione dati inizia con la Data di entrata in vigore e termina con la cessazione del Contratto.

2.4. Responsabilità del Cliente: Il Cliente è consapevole che la responsabilità legale per l'ammissibilità della raccolta e degli altri Trattamenti dei Dati Personali e per l'adempimento dei diritti degli interessati in relazione ai Servizi che DSwiss deve fornire è del Cliente.

‍

3. Doveri di DSwiss

3.1. Rispetto delle istruzioni:

a) DSwiss è tenuta a utilizzare i Dati Personali esclusivamente per i Servizi da fornire ai sensi del Contratto e a seguire le istruzioni del Cliente (in conformità con il Contratto) quando li tratta, fatti salvi gli obblighi diversi previsti dalle leggi applicabili e dagli ordini vincolanti emessi dalle autorità competenti, di cui il Cliente deve essere informato nella misura consentita.

b) Le istruzioni del Cliente saranno impartite in forma di testo.

3.2. Registro delle attività di trattamento: DSwiss si impegna a tenere un registro delle attività di trattamento dei Dati Personali in conformità con le leggi applicabili in materia di protezione dei dati. DSwiss consentirà al Cliente di accedere a tale registro in qualsiasi momento su richiesta.

3.3. Luogo del trattamento: Il Trattamento e l'utilizzo dei Dati Personali avverrà esclusivamente in Svizzera e nell'Unione Europea. Qualsiasi Trattamento dei Dati Personali al di fuori della Svizzera o dell'UE (compresa la concessione di diritti di accesso ai Dati Personali) è consentito solo previo consenso del Cliente e in conformità alle disposizioni legali e contrattuali applicabili.

3.4. Obbligo di restituzione e cancellazione:

a) Dopo la risoluzione del Contratto, DSwiss deve cancellare i Dati Personali. La cancellazione dei dati deve essere definitiva e deve essere confermata al Cliente su richiesta.

b) Se DSwiss è obbligata per legge a conservare i Dati Personali a causa di disposizioni di legge, deve informare tempestivamente il Cliente e i Dati Personali in questione possono essere conservati unicamente nei sistemi pertinenti per il periodo strettamente necessario, in forma bloccata e adeguatamente protetta, e resi inaccessibili per altri scopi.

‍

4. Sicurezza dei dati

4.1. Misure di sicurezza: DSwiss adotterà le misure tecniche e organizzative appropriate, ma in ogni caso almeno quelle descritte nell'Allegato 2, per proteggere i Dati Personali. Nel corso della durata del Contratto, il Responsabile del Trattamento sarà autorizzato a adeguare le Misure di Sicurezza, a condizione che il livello di sicurezza non venga abbassato, e sarà obbligato ad adeguare le Misure di Sicurezza nella misura in cui ciò sia necessario per mantenere il livello di protezione in conformità alle Leggi Applicabili sulla Protezione dei Dati.

4.2. Segnalazione delle violazioni:

a) In caso di specifiche violazioni della sicurezza che comportino la distruzione, la perdita, l'alterazione o la divulgazione di Dati Personali, DSwiss informerà il Cliente immediatamente, ma al più tardi entro i termini previsti dalle leggi applicabili in materia di protezione dei dati.

b) DSwiss è tenuta a fornire al Cliente, su richiesta, ulteriori informazioni pertinenti sulla violazione della sicurezza, nella misura in cui ciò sia possibile senza violare gli obblighi di riservatezza contrattuali o legali di DSwiss.

‍

5. Subprocessori

5.1. Autorizzazione:

a) Per la fornitura dei Servizi, DSwiss sarà autorizzata a mettere i Dati Personali a disposizione di Subprocessori a propria discrezione, a condizione che DSwiss si attenga alla presente Sezione 5 e abbia stipulato con i Subprocessori interessati accordi che contengano disposizioni almeno altrettanto rigorose del presente Contratto di trattamento dei dati.

b) Un Subprocessore ai sensi del presente Contratto di trattamento dei dati è un fornitore di servizi i cui servizi si riferiscono direttamente al trattamento dei Dati Personali. Nel caso di servizi accessori esternalizzati, DSwiss è inoltre tenuta a stipulare accordi contrattuali adeguati e conformi alla legge per garantire la protezione e la sicurezza dei dati per il Cliente, ad adottare misure di controllo e a documentare tali misure al Cliente su richiesta.

5.2. Approvazione dei subprocessori:

a) L'elenco dei Subprocessori con accesso ai Dati Personali esistenti alla Data di entrata in vigore e autorizzati dal Cliente è riportato nell'Allegato 3. Il Cliente dovrà essere informato prima della modifica di un Subprocessore. Se il Cliente non dichiara per iscritto, entro 20 giorni di calendario dal ricevimento della relativa notifica, di non essere d'accordo con la modifica, il Subprocessore in questione sarà considerato approvato dal Cliente.

b) In caso di rifiuto tempestivo del Subprocessore da parte del Cliente ai sensi del paragrafo precedente, le Parti cercheranno di concordare una soluzione alternativa commercialmente ragionevole. Il rifiuto del Cliente deve basarsi su motivi sostanziali dovuti alla potenziale riduzione della privacy dei dati, che dovranno essere comunicati a DSwiss al momento del rifiuto. Se le Parti non raggiungono un accordo entro 30 giorni dal rifiuto del Cliente, ciascuna delle Parti avrà il diritto di risolvere il Contratto con effetto immediato.

5.3. Subprocessori al di fuori della Svizzera e dell'UE: Se, in relazione al coinvolgimento autorizzato di un Subprocessore, i Dati Personali vengono trasferiti o ricevuti da un paese che non dispone di un livello adeguato di protezione dei dati, DSwiss è tenuta a ottenere garanzie adeguate in conformità con la legge applicabile in materia di protezione dei dati (ad esempio, le clausole contrattuali standard dell'UE applicabili) prima della prima divulgazione dei Dati Personali al Subprocessore interessato.

5.4. Responsabilità: DSwiss sarà responsabile nei confronti del Cliente dell'adempimento degli obblighi dei Subprocessori in conformità alle disposizioni del Contratto.

‍

6. Diritti di ispezione

6.1. Diritti di ispezione: Il Cliente ha il diritto di verificare in qualsiasi momento, ma non più di una volta per anno solare, l'adempimento degli obblighi legali e contrattuali relativi al presente Contratto di trattamento dei dati da parte di DSwiss e/o dei suoi Subprocessori, a condizione che tali verifiche siano notificate a DSwiss con un preavviso minimo di 21 giorni. La procedura di ispezione viene concordata preventivamente con DSwiss. DSwiss è tenuta a collaborare in modo adeguato ad ogni ispezione. Tutte le ispezioni devono essere concordate in anticipo con DSwiss. Nella pianificazione e nello svolgimento dell'ispezione, il Cliente dovrà tenere conto delle esigenze e dei requisiti di sicurezza di DSwiss e dovrà rispettare gli obblighi di riservatezza di DSwiss.

6.2. Ispezione da parte di partner esterni: Il Cliente ha il diritto di far eseguire l'ispezione di cui al precedente punto 6.1 da un partner esterno, competente e tenuto alla riservatezza. I costi del partner esterno ai sensi della presente Sezione 6.2 sono a carico del Cliente.

‍

7. Obblighi di supporto

7.1. Sicurezza dei dati: DSwiss supporterà il Cliente in modo ragionevole nell'adempimento degli obblighi legali del Cliente di garantire un'adeguata sicurezza dei dati e di segnalare le violazioni dei dati, nonché nell'esecuzione di valutazioni d'impatto sulla protezione dei dati.

7.2. Diritti degli Interessati: Se un Soggetto interessato si rivolge a DSwiss in relazione a reclami ai sensi delle Leggi applicabili in materia di protezione dei dati (ad esempio, con una richiesta di informazioni o di cancellazione) e tali reclami sono correlati ai Servizi, DSwiss inoltrerà la relativa richiesta al Cliente senza indugio. DSwiss fornirà al Cliente un supporto adeguato per l'elaborazione di tali richieste.

7.3. Obbligo di informazione: Ispezioni e altre misure da parte delle autorità di controllo della protezione dei dati devono essere comunicate al Cliente in modo tempestivo, nella misura consentita, se riguardano i Dati Personali o i sistemi utilizzati per il Trattamento dei Dati Personali.

7.4. Informazioni di contatto: Per le questioni relative alla protezione dei dati, si dovrà contattare in prima istanza la seguente persona:

Cliente: Il Cliente specificherà per iscritto chi DSwiss dovrà contattare in prima istanza. Se il Cliente non indica nessuno, si presume che il primo contatto sia il firmatario dell'ordine di servizio.
DSwiss: CISO,  security@dswiss.com

‍

8. Riservatezza

8.1. Dati Personali: DSwiss si impegna a trattare i Dati Personali in modo strettamente confidenziale e a renderli accessibili all'interno e all'esterno della propria organizzazione solo alle persone che necessitano di accedere ai Dati Personali per adempiere alle proprie mansioni. Resta inteso che le disposizioni della Sezione 5 rimangono applicabili. DSwiss si impegna a garantire che tutte le persone che hanno accesso ai Dati Personali siano soggette a un obbligo di riservatezza legale o contrattuale in relazione ai Dati Personali.

8.2. Altre informazioni: Entrambe le Parti sono inoltre soggette agli obblighi di riservatezza previsti dalla legge ad esse applicabili e a qualsiasi obbligo di riservatezza concordato tra loro nell'Accordo in relazione ai Dati Personali percepiti nel contesto del presente Accordo di trattamento dei dati.

‍

9. Varie

9.1. Responsabilità: Le disposizioni pertinenti dell'Accordo si applicano alla responsabilità derivante da violazioni del presente Accordo sul trattamento dei dati.

9.2. Notifiche: Le notifiche previste dal presente Contratto per il trattamento dei dati devono essere effettuate espressamente e in forma testuale (ad es. via e-mail o per posta), se non diversamente concordato per iscritto.

9.3. Allegati: Gli allegati al presente Contratto di elaborazione dati sono parte integrante dello stesso.

9.4. Modifiche: Gli emendamenti e le altre modifiche al presente Contratto di elaborazione dati richiedono la firma di entrambe le Parti per essere validi.

9.5. Risoluzione delle controversie: La legge applicabile e il foro competente in caso di controversie saranno determinati dall'Accordo.

‍

Allegato 1: Specifiche dell'Accordo sul trattamento dei dati

1. Categorie di dati

Dati che direttamente o indirettamente consentono l'identificazione di persone fisiche, quali:

• Dati di contatto (ad esempio, nome, indirizzo, indirizzo e-mail, numeri di telefono, nomi utente, ecc.)
• Identificatori online (ad es. indirizzi IP, dati dei cookie, quantità di dati trasferiti, browser, sistemi operativi, informazioni relative alla visita del sito web, ecc.)

‍

2. Categorie di persone interessate

Dati del Cliente, degli Utenti finali o del Cliente e dei partner del Cliente.

• Dipendenti
• Clienti
• Utenti finali del Cliente
• Partner del Cliente
• Visitatori/utenti del sito web
• Richiedenti lavoro

‍

Allegato 2: Misure di sicurezza

1. Riservatezza (art. 32 par. 1 lett. b GDPR)

• Controllo degli accessi fisici
  Nessun accesso non autorizzato ai sistemi di trattamento dei dati, ad esempio: carte magnetiche o a chip, chiavi, apriporta elettrici, sistemi di sicurezza o guardiani di impianti, sistemi di allarme, sistemi video;
• Controllo elettronico degli accessi
  Nessun utilizzo non autorizzato del sistema, ad esempio: password (forti), meccanismi di chiusura automatica, autenticazione a due fattori, crittografia dei supporti di dati;
• Controllo degli accessi interni
  Nessuna lettura, copia, modifica o rimozione non autorizzata all'interno del sistema, ad esempio: concetti di autorizzazione e diritti di accesso basati sulle esigenze, registrazione degli accessi;
• Controllo della separazione
  Elaborazione separata dei dati raccolti per scopi diversi, ad esempio funzionalità multi-client, sandboxing;
• Pseudonimizzazione (Art. 32 para. 1 lit. a GDPR; Art. 25 (1) GDPR)
  Il trattamento dei Dati Personali in modo tale che i dati non possano più essere attribuiti a un soggetto specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette a misure tecniche e organizzative adeguate.

‍

2. Integrità (art. 32 par. 1 lett. b GDPR)

• Controllo del trasferimento
  Nessuna lettura, copia, modifica o rimozione non autorizzata durante la trasmissione o il trasporto elettronico, ad esempio: crittografia, reti private virtuali (VPN), firma elettronica;
• Controllo degli ingressi
  Determinazione di se e da chi i Dati Personali sono stati inseriti, modificati o rimossi nei sistemi di elaborazione dati, ad esempio registrazione, gestione dei documenti. 

‍

3. Disponibilità e resilienza (art. 32 par. 1 lett. b GDPR)

• Verifica della disponibilità
  Protezione contro la distruzione o la perdita accidentale o intenzionale, ad esempio: strategia di backup (online/offline; on-site/off-site), gruppo di continuità (UPS), protezione antivirus, firewall, canali di segnalazione e piani di emergenza;
• Rapida recuperabilità (art. 32 par. 1 lett. c GDPR).

‍

4. Procedure per il riesame, la valutazione e l'analisi periodica (art. 32 par. 1 lett. d GDPR; art. 25 par. 1 GDPR)

• Gestione della protezione dei dati;
• Gestione degli incidenti e delle risposte;
• Impostazioni predefinite rispettose della privacy (art. 25 par. 2 GDPR);
• Controllo degli ordini
  Nessun trattamento dei dati commissionato ai sensi dell'art. 28 GDPR senza le relative istruzioni del cliente, ad es. 28 GDPR senza istruzioni corrispondenti da parte del cliente, ad esempio: struttura del contratto non ambigua, gestione formalizzata dell'ordine, selezione rigorosa del fornitore di servizi, obbligo di convincere in anticipo, controlli successivi.

‍

Allegato 3: Subprocessori Approvati

I seguenti fornitori sono considerati Subprocessori approvati ai sensi del presente Accordo sul trattamento dei dati alla Data di entrata in vigore: