Accordo sul Trattamento dei Dati

Data di entrata in vigore: 1 gennaio 2025

Introduzione

Il presente Accordo sul Trattamento dei Dati ("DPA") integra i Termini di Servizio tra RemoteOps ("Responsabile del trattamento") e l'organizzazione sottoscrivente ("Titolare del trattamento"). Il presente DPA regola il trattamento dei dati personali da parte del Responsabile per conto del Titolare in relazione alla piattaforma RemoteOps, in conformità con l'Articolo 28 del Regolamento Generale sulla Protezione dei Dati (GDPR).

Definizioni

"Titolare del trattamento" indica l'organizzazione che determina le finalità e i mezzi del trattamento dei dati personali tramite la piattaforma RemoteOps. "Responsabile del trattamento" indica RemoteOps, che tratta i dati personali per conto del Titolare. "Interessato" indica una persona fisica identificata o identificabile i cui dati personali sono trattati. "Dati personali" indica qualsiasi informazione relativa a un Interessato. "Trattamento" indica qualsiasi operazione eseguita sui dati personali, inclusa raccolta, archiviazione, recupero, utilizzo, divulgazione e cancellazione.

Ambito e finalità del trattamento

Il Responsabile tratta i dati personali esclusivamente allo scopo di fornire la piattaforma di gestione dei servizi sul campo RemoteOps al Titolare. Le categorie di interessati includono i dipendenti, i tecnici, i dispatcher e i clienti finali del Titolare. Le categorie di dati personali includono nomi, indirizzi email, numeri di telefono, dati di posizione (quando le funzionalità di navigazione sono attive), cronologia degli ordini di lavoro e metadati delle chiamate.

Obblighi del Responsabile

Il Responsabile dovrà: (a) trattare i dati personali solo su istruzioni documentate del Titolare; (b) garantire che le persone autorizzate a trattare i dati personali siano vincolate da obblighi di riservatezza; (c) implementare misure di sicurezza tecniche e organizzative adeguate; (d) non coinvolgere un altro responsabile senza previa autorizzazione scritta del Titolare; (e) assistere il Titolare nel rispondere alle richieste degli interessati; (f) assistere il Titolare nel garantire la conformità agli obblighi GDPR relativi a sicurezza, notifica delle violazioni e valutazioni d'impatto; (g) cancellare o restituire tutti i dati personali alla cessazione dell'accordo; (h) mettere a disposizione tutte le informazioni necessarie per dimostrare la conformità al presente DPA.

Sub-responsabili

Il Responsabile mantiene un elenco di sub-responsabili approvati. Il Titolare concede un'autorizzazione generale al Responsabile per l'impiego di sub-responsabili, subordinatamente alle seguenti condizioni: (a) il Responsabile notificherà al Titolare qualsiasi aggiunta o sostituzione prevista di sub-responsabili con almeno 30 giorni di anticipo; (b) il Titolare può opporsi a un nuovo sub-responsabile entro 14 giorni dalla notifica; (c) ogni sub-responsabile è vincolato da obblighi di protezione dei dati non meno protettivi del presente DPA.

Diritti degli interessati

Il Responsabile assisterà il Titolare nell'adempimento dei suoi obblighi di rispondere alle richieste degli interessati ai sensi degli Articoli 15-22 del GDPR (accesso, rettifica, cancellazione, portabilità, limitazione e opposizione). Il Responsabile inoltrerà tempestivamente al Titolare qualsiasi richiesta dell'interessato ricevuta direttamente.

Misure di sicurezza

Il Responsabile implementa misure tecniche e organizzative adeguate al rischio, tra cui: (a) crittografia dei dati personali in transito (TLS 1.3) e a riposo (AES-256); (b) isolamento dei dati multi-tenant che garantisce nessun accesso ai dati inter-tenant; (c) controllo degli accessi basato sui ruoli con principio del privilegio minimo; (d) valutazioni di sicurezza regolari e scansione delle vulnerabilità; (e) formazione dei dipendenti sulla consapevolezza della sicurezza; (f) registrazione degli accessi e tracce di audit.

Notifica di violazione dei dati

Il Responsabile notificherà il Titolare senza ingiustificato ritardo, e in ogni caso entro 72 ore, dal momento in cui viene a conoscenza di una violazione dei dati personali. La notifica includerà: (a) una descrizione della natura della violazione; (b) le categorie e il numero approssimativo di interessati coinvolti; (c) le probabili conseguenze della violazione; (d) le misure adottate o proposte per affrontare la violazione.

Trasferimenti di dati

I dati personali sono principalmente archiviati e trattati all'interno dell'Unione Europea. Laddove i trasferimenti al di fuori dell'UE siano necessari (ad esempio per specifici sub-responsabili), il Responsabile si affida alle Clausole Contrattuali Standard (SCC) approvate dalla Commissione Europea o ad altri meccanismi di trasferimento legalmente riconosciuti ai sensi del Capo V del GDPR.

Diritti di audit

Il Titolare ha il diritto di condurre audit o nominare un revisore indipendente per verificare la conformità del Responsabile al presente DPA. Gli audit richiedono un preavviso di 30 giorni e dovranno essere condotti durante l'orario lavorativo con un disturbo minimo alle operazioni. Il Responsabile collaborerà pienamente e fornirà accesso alla documentazione, ai sistemi e alle strutture pertinenti.

Cancellazione e restituzione dei dati

Alla cessazione dell'accordo di servizio, il Responsabile, a scelta del Titolare, cancellerà o restituirà tutti i dati personali entro 30 giorni. La cancellazione certificabile sarà completata entro 90 giorni dalla cessazione. Il Responsabile può conservare i dati solo quando richiesto dalla legge dell'UE o degli Stati membri e informerà il Titolare di tale requisito.

Durata e risoluzione

Il presente DPA entra in vigore quando il Titolare inizia a utilizzare la piattaforma RemoteOps e resta in vigore per tutto il tempo in cui il Responsabile tratta dati personali per conto del Titolare. Gli obblighi del Responsabile relativi alla protezione dei dati sopravvivono alla risoluzione del presente DPA.