Bozza. Documento da validare con un consulente legale prima della pubblicazione.
Il presente Accordo sul trattamento dei dati personali (di seguito "Accordo" o "DPA") e' stipulato ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 (di seguito "GDPR") e disciplina il trattamento dei dati personali dei pazienti effettuato per il tramite della piattaforma NutriManager. L'Accordo intercorre tra lo Studio di nutrizione utente della piattaforma, in qualita' di titolare del trattamento (di seguito "Titolare" o "Studio"), ed EV Network s.r.l., con sede in Via Emilio Salgari 14/e, 31056 Roncade (TV), P.IVA IT04417370261, in qualita' di responsabile del trattamento (di seguito "Responsabile" o "EV Network").
Il presente Accordo costituisce parte integrante e inscindibile dei Termini e condizioni di servizio sottoscritti dallo Studio per l'utilizzo di NutriManager (di seguito "Contratto principale"). In caso di contrasto tra le previsioni del presente Accordo e quelle del Contratto principale relativamente al trattamento dei dati personali, prevalgono le previsioni del presente Accordo.
1. Definizioni
Ai fini del presente Accordo, i termini "dati personali", "categorie particolari di dati personali", "trattamento", "titolare del trattamento", "responsabile del trattamento", "interessato", "violazione dei dati personali" e "autorita' di controllo" hanno il significato loro attribuito dall'articolo 4 e dalle ulteriori disposizioni del GDPR. I termini definiti nel Contratto principale conservano il medesimo significato anche nel presente Accordo, salvo diversa indicazione.
- Piattaforma o NutriManager: il servizio software gestionale per studi di nutrizione fornito da EV Network, accessibile in modalita' SaaS.
- Pazienti: le persone fisiche assistite dallo Studio, i cui dati personali sono trattati per il tramite della Piattaforma.
- Sub-responsabile: il soggetto terzo di cui il Responsabile si avvale per eseguire specifiche attivita' di trattamento per conto del Titolare, ai sensi dell'articolo 28, paragrafi 2 e 4, del GDPR.
- Istruzioni documentate: le indicazioni impartite dal Titolare al Responsabile in merito al trattamento dei dati personali, costituite dal presente Accordo, dal Contratto principale e dall'utilizzo delle funzionalita' della Piattaforma, nonche' da eventuali ulteriori istruzioni scritte successive.
2. Oggetto, ruoli e durata
Con il presente Accordo lo Studio, in qualita' di Titolare del trattamento, nomina EV Network s.r.l. quale Responsabile del trattamento per le operazioni di trattamento dei dati personali dei Pazienti svolte per il tramite della Piattaforma. Lo Studio determina le finalita' e i mezzi del trattamento e resta titolare dei dati; EV Network tratta i dati personali esclusivamente per conto e su istruzione documentata del Titolare.
Lo Studio dichiara e garantisce di disporre di un'idonea base giuridica per il trattamento dei dati dei Pazienti e di aver adempiuto agli obblighi di informativa e, ove necessario, di raccolta del consenso nei confronti degli interessati. EV Network non assume alcuna responsabilita' in ordine alla liceita' del trattamento determinato dal Titolare.
Il presente Accordo ha efficacia a decorrere dalla data di accettazione e per tutta la durata del Contratto principale, cessando automaticamente con la risoluzione o l'estinzione di quest'ultimo, fatti salvi gli obblighi che per loro natura sono destinati a sopravvivere alla cessazione del rapporto, ivi inclusi quelli di cui alla Sezione 5 in materia di restituzione o cancellazione dei dati.
3. Natura, finalita' e durata del trattamento
Il trattamento ha ad oggetto la fornitura della Piattaforma NutriManager e dei servizi connessi e si svolge mediante operazioni interamente o parzialmente automatizzate, tra cui la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, la consultazione, l'uso, la comunicazione mediante trasmissione, la limitazione, la cancellazione e la distruzione dei dati personali.
Le finalita' del trattamento svolto da EV Network per conto del Titolare comprendono, a titolo esemplificativo:
- la gestione delle anagrafiche dei Pazienti e dei relativi appuntamenti e agende;
- l'elaborazione e la conservazione di piani alimentari, misurazioni antropometriche e dati clinico-nutrizionali inseriti dallo Studio;
- la gestione delle comunicazioni e dei ticket di supporto tra lo Studio e i propri Pazienti tramite il portale dedicato;
- l'erogazione delle funzionalita' tecniche della Piattaforma, comprese l'autenticazione, la sicurezza, il backup e l'assistenza tecnica.
La durata del trattamento coincide con la durata del Contratto principale. Al termine del rapporto i dati sono trattati esclusivamente per le finalita' di restituzione o cancellazione di cui alla Sezione 5.
4. Tipi di dati personali e categorie di interessati
Le categorie di interessati i cui dati sono oggetto di trattamento sono costituite dai Pazienti dello Studio. In funzione delle informazioni che lo Studio sceglie di inserire nella Piattaforma, possono inoltre essere trattati i dati di ulteriori soggetti collegati al Paziente (ad esempio referenti o esercenti la responsabilita' genitoriale).
Le categorie di dati personali oggetto di trattamento comprendono:
- dati anagrafici e identificativi (nome, cognome, data di nascita, codice fiscale, eventuale documento di identita');
- dati di contatto (indirizzo, recapito telefonico, indirizzo di posta elettronica);
- dati relativi agli appuntamenti e alla cronologia delle interazioni con lo Studio;
- dati relativi alla salute, costituenti categoria particolare di dati personali ai sensi dell'articolo 9 del GDPR, quali misurazioni antropometriche e composizione corporea, anamnesi nutrizionale, patologie, allergie e intolleranze, piani alimentari e ogni ulteriore informazione di natura clinico-nutrizionale inserita dallo Studio.
Lo Studio riconosce che il trattamento ha ad oggetto categorie particolari di dati personali e si impegna ad assicurarne il trattamento nel rispetto delle condizioni di cui all'articolo 9 del GDPR e della normativa nazionale applicabile.
5. Obblighi del Responsabile
EV Network, in qualita' di Responsabile del trattamento, si impegna a:
5.1 Trattamento su istruzione documentata
Trattare i dati personali soltanto sulla base di istruzioni documentate del Titolare, anche in caso di trasferimento verso un Paese terzo o un'organizzazione internazionale, salvo che lo imponga il diritto dell'Unione o dello Stato membro cui e' soggetto EV Network; in tal caso EV Network informa il Titolare di tale obbligo giuridico prima del trattamento, a meno che il diritto applicabile non lo vieti per rilevanti motivi di interesse pubblico. Qualora EV Network ritenga che un'istruzione violi il GDPR o altre disposizioni applicabili, ne informa tempestivamente il Titolare.
5.2 Riservatezza del personale
Garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e che l'accesso ai dati sia limitato al personale che ne abbia effettiva necessita' per l'erogazione dei servizi.
5.3 Misure di sicurezza
Adottare e mantenere le misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, ai sensi dell'articolo 32 del GDPR, secondo quanto specificato alla Sezione 8.
5.4 Assistenza al Titolare
Assistere il Titolare, tenendo conto della natura del trattamento e mediante misure tecniche e organizzative adeguate, nella misura in cui cio' sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste degli interessati che esercitano i diritti loro riconosciuti dal Capo III del GDPR. EV Network assiste inoltre il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione di EV Network.
5.5 Notifica delle violazioni dei dati personali
Informare il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione dei dati personali, fornendo le informazioni ragionevolmente disponibili necessarie a consentire al Titolare di adempiere ai propri eventuali obblighi di notifica all'autorita' di controllo e di comunicazione agli interessati ai sensi degli articoli 33 e 34 del GDPR. Resta inteso che la valutazione circa la sussistenza degli obblighi di notifica e comunicazione compete al Titolare.
5.6 Cancellazione o restituzione dei dati
Su scelta del Titolare, cancellare o restituire tutti i dati personali al termine della prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell'Unione o dello Stato membro preveda la conservazione dei dati. Il Titolare puo' richiedere l'esportazione dei dati entro un termine ragionevole successivo alla cessazione del rapporto; decorso tale termine [da definire], EV Network procede alla cancellazione secondo le proprie procedure tecniche, ferma restando la conservazione dei dati eventualmente presenti nei sistemi di backup fino alla loro naturale rotazione.
5.7 Informazioni per audit
Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'articolo 28 del GDPR e consentire e contribuire alle attivita' di revisione, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da questi incaricato. Le attivita' di audit sono svolte previo congruo preavviso scritto, in orari di lavoro, con modalita' tali da non pregiudicare l'operativita' di EV Network e nel rispetto degli obblighi di riservatezza e di sicurezza degli altri clienti. EV Network puo' soddisfare tali richieste anche mediante la messa a disposizione di certificazioni, attestazioni o relazioni redatte da soggetti terzi indipendenti, ove disponibili.
6. Sub-responsabili
Il Titolare conferisce a EV Network un'autorizzazione generale ad avvalersi di sub-responsabili per l'esecuzione di specifiche attivita' di trattamento connesse all'erogazione dei servizi. L'elenco aggiornato dei sub-responsabili e' riportato nell'Allegato A in calce al presente Accordo.
EV Network informa il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili con un preavviso ragionevole [da definire], dando cosi' al Titolare la possibilita' di opporsi a tali modifiche per motivi legittimi e documentati. In caso di opposizione fondata, le parti coopereranno in buona fede per individuare una soluzione; ove non sia possibile pervenire a un accordo, il Titolare ha facolta' di recedere dal Contratto principale limitatamente ai servizi interessati, secondo le previsioni del Contratto medesimo.
EV Network impone a ciascun sub-responsabile, mediante contratto o altro atto giuridico, obblighi in materia di protezione dei dati equivalenti a quelli previsti dal presente Accordo, in particolare l'obbligo di adottare misure tecniche e organizzative adeguate ai sensi dell'articolo 28, paragrafo 4, del GDPR. EV Network risponde nei confronti del Titolare dell'inadempimento degli obblighi in materia di protezione dei dati da parte del sub-responsabile.
7. Trasferimenti verso Paesi terzi
EV Network tratta i dati personali in via prioritaria all'interno dello Spazio economico europeo. Qualora un trattamento comporti il trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale, EV Network procede unicamente in presenza di adeguate garanzie ai sensi del Capo V del GDPR, quali una decisione di adeguatezza della Commissione europea ovvero le clausole contrattuali tipo (Standard Contractual Clauses) adottate dalla Commissione europea, integrate, ove necessario, da misure supplementari idonee, e nel rispetto delle istruzioni documentate del Titolare.
8. Misure di sicurezza
Tenuto conto dello stato dell'arte, dei costi di attuazione, nonche' della natura, dell'oggetto, del contesto e delle finalita' del trattamento, come anche del rischio per i diritti e le liberta' degli interessati, EV Network adotta misure tecniche e organizzative adeguate ai sensi dell'articolo 32 del GDPR, tra cui:
- Isolamento multi-tenant dei dati di ciascuno Studio mediante Row-Level Security a livello di database, in modo che ogni Studio possa accedere esclusivamente ai dati dei propri Pazienti;
- Controllo degli accessi basato sui ruoli, con assegnazione dei privilegi secondo il principio del minimo privilegio e autenticazione degli utenti;
- Registro di audit delle operazioni rilevanti effettuate sulla Piattaforma, a supporto della tracciabilita' e della responsabilizzazione;
- Cifratura dei dati in transito mediante protocolli di trasporto sicuri;
- Esecuzione periodica di backup dei dati, a presidio della disponibilita' e dell'integrita' delle informazioni;
- procedure volte a garantire la riservatezza, l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento, nonche' la capacita' di ripristinare tempestivamente la disponibilita' e l'accesso ai dati in caso di incidente.
EV Network puo' aggiornare le misure di sicurezza nel tempo, a condizione che tali aggiornamenti non comportino una riduzione del livello complessivo di protezione dei dati personali.
9. Responsabilita' e durata
Ciascuna parte risponde dei danni cagionati dal trattamento secondo quanto previsto dall'articolo 82 del GDPR e dalla normativa applicabile. I limiti e le esclusioni di responsabilita' previsti dal Contratto principale si applicano anche al presente Accordo, nei limiti consentiti dalla legge e fatta salva la responsabilita' che non puo' essere esclusa o limitata ai sensi della normativa imperativa applicabile.
Il presente Accordo decorre dalla data di accettazione e resta in vigore per tutta la durata del trattamento dei dati personali da parte di EV Network per conto del Titolare, ferma restando la sopravvivenza degli obblighi che per loro natura sono destinati a perdurare oltre la cessazione del rapporto.
Il presente Accordo e' regolato dalla legge italiana. Per ogni controversia relativa alla sua validita', interpretazione, esecuzione o risoluzione e' competente in via esclusiva il Foro di Treviso, fatte salve le competenze inderogabili previste dalla legge.
Per ogni comunicazione relativa al presente Accordo, il Responsabile puo' essere contattato ai seguenti recapiti: EV Network s.r.l., Via Emilio Salgari 14/e, 31056 Roncade (TV), P.IVA IT04417370261, PEC evnetwork@pec.it, email info@evnetwork.it, tel. +39 366 4373328.
Allegato A - Elenco dei sub-responsabili
Il presente Allegato riporta l'elenco aggiornato dei sub-responsabili di cui EV Network s.r.l. si avvale per l'erogazione dei servizi NutriManager, ai sensi della Sezione 6 del presente Accordo. Per ciascun sub-responsabile sono indicati la denominazione, l'attivita' di trattamento affidata e il Paese in cui i dati sono trattati. EV Network comunichera' al Titolare ogni modifica del presente elenco secondo le modalita' e con il preavviso previsti alla Sezione 6.
Tabella dei sub-responsabili
| Sub-responsabile | Finalità | Dati trattati | Ubicazione | Stato |
|---|---|---|---|---|
| Stripe Payments Europe, Ltd. | Elaborazione dei pagamenti e della fatturazione degli abbonamenti | Dati di contatto e di pagamento dello studio | UE / USA (Clausole Contrattuali Tipo) | Attivo |
| Provider di hosting infrastrutturale (da definire) | Hosting di applicazione, database e archiviazione dei file | Tutti i dati trattati tramite il Servizio, inclusi i dati dei pazienti | Unione Europea | Da attivare |
| Provider di posta elettronica transazionale (da definire) | Invio di email di notifica, inviti e promemoria | Indirizzi email e contenuto dei messaggi | Unione Europea | Da attivare |
| Provider di fatturazione elettronica SdI (da definire) | Emissione e trasmissione delle fatture elettroniche | Dati anagrafici e fiscali dei pazienti | Unione Europea | Da attivare |