Accordo sul trattamento dei dati

Versione 2.0, pubblicata il 01.08.2024

‍

Il presente Contratto di trattamento dei dati è stipulato tra DSwiss e il Cliente ed entra in vigore a partire dalla data di entrata in vigore dell'Ordine di servizio New Business.

Preambolo

A. Le Parti hanno stipulato un Contratto relativo alla fornitura di Servizi da parte di DSwiss.

B. Nell'ambito del Contratto, il Cliente fornisce a DSwiss dati personali.

C. Al fine di garantire la conformità alle leggi applicabili in materia di protezione dei dati, tra cui, a titolo esemplificativo e non esaustivo, il Regolamento generale sulla protezione dei dati (GDPR) e la Legge federale svizzera sulla protezione dei dati nel trattamento dei dati personali da parte di DSwiss, le Parti stipulano il presente Contratto di trattamento dei dati.

D. Nell'ambito del presente Contratto di Trattamento dei Dati il Cliente è il Titolare del Trattamento e DSwiss è il Responsabile del Trattamento ai sensi delle Leggi Applicabili in materia di Protezione dei Dati.

Pertanto, in considerazione dei reciproci patti di seguito riportati, le Parti convengono quanto segue:

1. generale

1.1 Oggetto: Nel presente Accordo per il trattamento dei dati, le Parti regolano esclusivamente il rapporto tra le Parti in merito alle Leggi applicabili in materia di protezione dei dati. Esse non intendono estendere o limitare i Servizi da fornire ai sensi dell'Accordo.

1.2 Precedenza: in caso di conflitti tra le parti contrattuali dell'Accordo, si applica il seguente ordine di precedenza: Il presente Accordo sull'elaborazione dei dati avrà la precedenza sui suoi Allegati e le altre parti dell'Accordo avranno la precedenza sul presente Accordo sull'elaborazione dei dati.

1.3 Definizioni: tutti i termini in maiuscolo non altrimenti definiti nel presente Accordo sul trattamento dei dati avranno il significato stabilito nell'Accordo. Termini giuridici quali "Dati personali" e "Trattamento" avranno il significato definito nelle Leggi sulla protezione dei dati applicabili. Le definizioni sono reperibili all'indirizzo https://www.dswiss.com/en/legal-definitions. 

2. oggetto e durata del trattamento

2.1 Oggetto del trattamento: in relazione ai Servizi, DSwiss tratta i Dati personali per conto del Cliente. L'oggetto del Trattamento, la sua natura e il suo scopo sono definiti nel Contratto. Le categorie di persone interessate dal Trattamento e le categorie di Dati personali interessate sono descritte nell'Allegato 1.

2.2 Altri servizi: Qualora DSwiss assuma ulteriori servizi per il Cliente nel corso della collaborazione, il presente Contratto di elaborazione dati si applica anche a tali servizi.

2.3 Durata: il presente Contratto di elaborazione dati inizia con la Data di entrata in vigore e termina con la risoluzione del Contratto.

2.4 Responsabilità del Cliente: Il Cliente è consapevole che la responsabilità legale per l'ammissibilità della raccolta e degli altri Trattamenti dei Dati Personali e per l'adempimento dei diritti degli interessati in relazione ai Servizi forniti da DSwiss ricade sul Cliente.

3 Obblighi di DSwiss

3.1 Conformità alle istruzioni:

a) DSwiss è tenuta a utilizzare i Dati personali esclusivamente per i Servizi da fornire ai sensi del Contratto e a seguire le istruzioni del Cliente (in conformità con il Contratto) quando li tratta, fatti salvi gli obblighi diversi previsti dalle leggi applicabili e dagli ordini vincolanti emessi dalle autorità competenti, di cui il Cliente deve essere informato nella misura consentita.

b) Le istruzioni del Cliente saranno impartite in forma di testo.

3.2 Registro delle attività di trattamento: DSwiss si impegna a tenere un registro delle attività di trattamento dei Dati personali in conformità con le leggi applicabili in materia di protezione dei dati. DSwiss consentirà al Cliente di accedere a tale registro in qualsiasi momento su richiesta.

3.3 Luogo di trattamento: il trattamento e l'utilizzo dei dati personali avverrà esclusivamente in Svizzera e nell'UE. Qualsiasi Trattamento dei Dati personali al di fuori della Svizzera o dell'UE (compresa la concessione di diritti di accesso ai Dati personali) è consentito solo previo consenso del Cliente e in conformità alle disposizioni legali e contrattuali applicabili.

3.4 Obbligo di restituzione e cancellazione:

a) Dopo la risoluzione del Contratto, DSwiss deve cancellare i Dati personali. La cancellazione dei dati deve essere definitiva e deve essere confermata al Cliente su richiesta.

b) Se DSwiss è obbligata per legge a conservare i Dati personali in virtù di disposizioni di legge, deve informare tempestivamente il Cliente e i Dati personali in questione possono essere conservati nei sistemi pertinenti solo per il tempo necessario e adeguatamente protetti.

4. sicurezza dei dati

4.1 Misure di sicurezza: DSwiss adotterà le misure tecniche e organizzative appropriate, ma in ogni caso almeno quelle descritte nell'Allegato 2, per proteggere i Dati Personali. Nel corso della durata del Contratto, il Responsabile del trattamento sarà autorizzato ad adeguare le Misure di sicurezza, a condizione che il livello di sicurezza non venga abbassato, e sarà obbligato ad adeguare le Misure di sicurezza nella misura in cui ciò sia necessario per mantenere il livello di protezione in conformità alle Leggi applicabili in materia di protezione dei dati.

4.2 Segnalazione delle violazioni:

a) In caso di specifiche violazioni della sicurezza che comportino la distruzione, la perdita, l'alterazione o la divulgazione di Dati personali, DSwiss informerà il Cliente immediatamente, ma al più tardi entro i termini previsti dalle leggi applicabili in materia di protezione dei dati.

b) DSwiss è tenuta a fornire al Cliente, su richiesta, ulteriori informazioni rilevanti sulla violazione della sicurezza, nella misura in cui ciò sia possibile senza violare gli obblighi di riservatezza contrattuali o legali di DSwiss.

5. subprocessori

5.1 Permessi:

a) Per la fornitura dei Servizi, DSwiss sarà autorizzata a mettere i Dati personali a disposizione di Subprocessori a propria discrezione, a condizione che DSwiss rispetti la presente Sezione 5 e abbia stipulato con i Subprocessori interessati accordi che contengano disposizioni almeno altrettanto rigorose del presente Contratto di trattamento dei dati.

b) Un sub-incaricato ai sensi del presente Contratto di trattamento dei dati è un fornitore di servizi i cui servizi si riferiscono direttamente al trattamento dei dati personali. Nel caso di servizi accessori esternalizzati, DSwiss è inoltre tenuta a stipulare accordi contrattuali adeguati e conformi alla legge per garantire la protezione e la sicurezza dei dati per il Cliente, ad adottare misure di controllo e a documentare tali misure al Cliente su richiesta.

5.2 Approvazione dei subprocessori:

a) L'elenco dei Subprocessori con accesso ai Dati personali esistenti alla Data di entrata in vigore e autorizzati dal Cliente è riportato nell'Appendice 3. Il Cliente dovrà essere informato prima della modifica di un Subprocessore. Se il Cliente non dichiara per iscritto, entro 20 giorni di calendario dal ricevimento della relativa notifica, di non essere d'accordo con la modifica, il Subprocessore in questione sarà considerato approvato dal Cliente.

b) In caso di rifiuto tempestivo del Subprocessore da parte del Cliente ai sensi del paragrafo precedente, le Parti cercheranno di concordare una soluzione alternativa commercialmente ragionevole. Il rifiuto del Cliente deve basarsi su motivi sostanziali dovuti alla potenziale diminuzione della privacy dei dati, che dovranno essere comunicati a DSwiss al momento del rifiuto. Se le Parti non raggiungono un accordo entro 30 giorni dal rifiuto del Cliente, ciascuna delle Parti avrà il diritto di risolvere il Contratto con effetto immediato.

5.3 Subprocessori al di fuori della Svizzera e dell'UE: se, in relazione al coinvolgimento autorizzato di un subprocessore, i dati personali vengono trasferiti o ricevuti da un paese che non dispone di un livello adeguato di protezione dei dati, DSwiss è tenuta a ottenere garanzie adeguate in conformità con la legge applicabile in materia di protezione dei dati (ad esempio, le clausole contrattuali standard dell'UE applicabili) prima della prima divulgazione dei dati personali al subprocessore interessato.

5.4 Responsabilità: DSwiss è responsabile nei confronti del Cliente dell'adempimento degli obblighi dei Subprocessori in conformità alle disposizioni del Contratto. ‍

6. diritti di ispezione

6.1 Diritti di ispezione: Il Cliente ha il diritto di verificare in qualsiasi momento, ma non più di una volta per anno solare, l'adempimento degli obblighi legali e contrattuali relativi al presente Contratto di trattamento dei dati da parte di DSwiss e/o dei suoi Subprocessori, a condizione che tali ispezioni siano state notificate a DSwiss entro 21 giorni. La procedura di ispezione viene concordata preventivamente con DSwiss. DSwiss è tenuta a collaborare in modo adeguato a ogni ispezione. Tutte le ispezioni devono essere concordate in anticipo con DSwiss. Nel pianificare e condurre l'ispezione, il Cliente dovrà tenere conto delle esigenze e dei requisiti di sicurezza di DSwiss e rispettare gli obblighi di riservatezza di DSwiss.

6.2 Ispezione da parte di partner esterni: il Cliente ha il diritto di far eseguire l'ispezione di cui al punto 6.1 da un partner esterno competente e tenuto alla riservatezza. I costi del partner esterno ai sensi della presente Sezione 6.2 sono a carico del Cliente.‍

7 Obblighi di sostegno

7.1 Sicurezza dei dati: DSwiss supporterà il Cliente in modo ragionevole nell'adempimento degli obblighi legali del Cliente di garantire un'adeguata sicurezza dei dati e di segnalare le violazioni dei dati, nonché nell'esecuzione di valutazioni di impatto sulla protezione dei dati.

7.2 Diritti degli interessati: Se un Soggetto interessato si rivolge a DSwiss in relazione a reclami ai sensi delle Leggi applicabili in materia di protezione dei dati (ad esempio, con una richiesta di informazioni o di cancellazione) e tali reclami sono correlati ai Servizi, DSwiss inoltrerà la relativa richiesta al Cliente senza indugio. DSwiss fornirà al Cliente un supporto adeguato per l'elaborazione di tali richieste.

7.3 Obbligo di informazione: le ispezioni e le altre misure delle autorità di controllo della protezione dei dati devono essere comunicate al Cliente in modo tempestivo, nella misura consentita, se riguardano i Dati personali o i sistemi utilizzati per il Trattamento dei Dati personali.

7.4 Informazioni di contatto: per le questioni relative alla protezione dei dati, è necessario contattare in prima istanza la seguente persona:

Cliente: Il Cliente specificherà per iscritto chi DSwiss contatterà in prima istanza. Se il Cliente non specifica nessuno, si presume che il primo contatto sia il firmatario dell'ordine di servizio.

DSwiss: CISO, security@dswiss.com

8 Riservatezza

8.1 Dati personali: DSwiss si impegna a trattare i dati personali in modo strettamente confidenziale e a renderli accessibili all'interno e all'esterno della propria organizzazione solo alle persone che necessitano di accedere ai dati personali per adempiere ai propri compiti. Il punto 5 è riservato. DSwiss si impegna a garantire che tutte le persone che hanno accesso ai Dati personali siano soggette a un obbligo di riservatezza legale o contrattuale in relazione ai Dati personali.

8.2 Altre informazioni: entrambe le Parti sono inoltre soggette agli obblighi di riservatezza previsti dalla legge e a qualsiasi obbligo di riservatezza concordato tra loro nell'Accordo per quanto riguarda i Dati personali percepiti nel contesto del presente Accordo sul trattamento dei dati.

9. Varie

9.1 Responsabilità: le disposizioni pertinenti dell'Accordo si applicano alla responsabilità derivante da violazioni del presente Accordo sul trattamento dei dati.

9.2 Notifiche: Le notifiche previste dal presente Contratto di elaborazione dei dati devono essere effettuate espressamente e in forma testuale (ad esempio, tramite e-mail o posta), a meno che non sia stato concordato diversamente per iscritto.

9.3 Allegati: Gli allegati al presente Contratto di elaborazione dati sono parte integrante dello stesso.

9.4 Modifiche: le modifiche e gli altri cambiamenti al presente Accordo per il trattamento dei dati richiedono la firma di entrambe le Parti per essere validi.

9.5 Risoluzione delle controversie: la legge applicabile e il foro competente in caso di controversie saranno determinati dal Contratto.

‍

‍Allegato1: Specifiche dell'Accordo sul trattamento dei dati

1. categorie di dati

Dati che consentono, direttamente o indirettamente, l'identificazione di persone fisiche, quali:

- Dati di contatto (ad es. nome, indirizzo, indirizzo e-mail, numeri di telefono, nomi di utenti, ecc.)

- Identificatori online (ad es. indirizzi IP, dati dei cookie, quantità di dati trasferiti, browser, sistemi operativi, informazioni sulla visita al sito web, ecc.)

2 Categorie di persone interessate

Dati del Cliente, degli Utenti finali o del Cliente e dei partner del Cliente.

- I dipendenti

- Clienti

- Utenti finali del cliente

- Partner del cliente

- Visitatori/utenti del sito web

- Candidati al lavoro

‍

Allegato 2: Misure di sicurezza‍

1. riservatezza (art. 32 par. 1 lett. b GDPR)

- Controllo degli accessi fisici
Nessun accesso non autorizzato ai sistemi di elaborazione dati, ad esempio: carte magnetiche o a chip, chiavi, apriporta elettrici, impianti di sicurezza o guardiani, sistemi di allarme, sistemi video;

- Controllo elettronico degli accessi
Nessun utilizzo non autorizzato del sistema, ad esempio: password (forti), meccanismi di blocco automatico, autenticazione a due fattori, crittografia dei supporti di dati;

- Controllo degli accessi interni
Nessuna lettura, copia, modifica o rimozione non autorizzata all'interno del sistema, ad esempio: concetti di autorizzazione e diritti di accesso basati sulle esigenze, registrazione degli accessi;

- Controllo della separazione
Elaborazione separata dei dati raccolti per scopi diversi, ad esempio funzionalità multi-client, sandboxing;

- Pseudonimizzazione (art. 32 par. 1 lett. a GDPR; art. 25 par. 1 GDPR)
Il trattamento dei dati personali in modo tale che i dati non possano più essere attribuiti a un determinato interessato senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e siano soggette ad adeguate misure tecniche e organizzative.

‍

2. integrità (art. 32 par. 1 lett. b GDPR)

- Controllo dei trasferimenti
Nessuna lettura, copia, modifica o rimozione non autorizzata durante la trasmissione o il trasporto elettronico, ad esempio: crittografia, reti private virtuali (VPN), firma elettronica;

- Controllo degli ingressi
Determinare se e da chi i dati personali sono stati inseriti, modificati o rimossi nei sistemi di elaborazione dati, ad esempio la registrazione, la gestione dei documenti.

3. disponibilità e resilienza (art. 32 par. 1 lett. b GDPR)

- Controllo della disponibilità
Protezione contro la distruzione o la perdita accidentale o intenzionale, ad esempio: strategia di backup (online/offline; on-site/off-site), gruppo di continuità (UPS), protezione antivirus, firewall, canali di segnalazione e piani di emergenza;

- Recuperabilità rapida (art. 32 par. 1 lett. c GDPR).

4. procedure per il riesame, la valutazione e l'analisi periodica (art. 32, par. 1, lett. d GDPR; art. 25, par. 1 GDPR).

- Gestione della protezione dei dati;

- Gestione della risposta agli incidenti;

- Impostazioni predefinite rispettose della privacy (art. 25 par. 2 GDPR);

- Controllo dell'ordine
Nessun trattamento dei dati commissionato ai sensi dell'art. 28 GDPR senza le relative istruzioni del cliente, ad esempio: strutturazione univoca del contratto, gestione formalizzata dell'ordine, selezione rigorosa del fornitore di servizi, obbligo di convincere in anticipo, controlli successivi.

Allegato 3: Subprocessori approvati

I seguenti soggetti sono considerati Subprocessori approvati ai sensi del presente Accordo sul trattamento dei dati alla Data di entrata in vigore:

‍