TRA

Il presente accordo è concluso tra GPI, come di seguito definito, e il cliente che accetta il presente accordo. Per “GPI” si intende: GPI S.r.l. con sede legale in viale Abruzzi, 13/A – 20131 Milano (MI) – codice fiscale e partita IVA n. 11841020156;

E

il soggetto indicato nel Contratto quale cliente (di seguito il “Cliente”), di seguito, congiuntamente, le “Parti”

PREMESSO CHE

– il Cliente ha sottoscritto uno o più contratti con GPI (di seguito il “Contratto”);
– le Parti intendono disciplinare tramite il presente “accordo per il trattamento dei dati personali” (nel seguito “Accordo”) le condizioni e le modalità del trattamento dei dati personali eseguito da GPI nell’ambito del Contratto e della prestazione dei Servizi e le responsabilità connesse al trattamento medesimo, ivi incluso l’impegno assunto da GPI quale Responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 (nel seguito “GDPR”);

Quanto sopra premesso le Parti convengono quanto segue:

1. Definizioni

1.1. Le premesse costituiscono parte integrante del presente Accordo. Ai fini dello stesso, i termini e le espressioni sotto elencati avranno il significato di seguito specificato:
-“Data di Decorrenza dell’Accordo”: la data in cui il Cliente sottoscrive o accetta il presente Accordo oppure, se anteriore, la data di decorrenza del Contratto a cui il presente Accordo è collegato;
-“Dati Personali”: ha il significato previsto dalla normativa in materia di protezione dei dati personali e include, a titolo esemplificativo, tutti i dati forniti, archiviati, trasmessi, ricevuti, elaborati o generati dal Cliente o dagli Utenti Finali nell’ambito dell’utilizzo dei Servizi, nella misura in cui tali dati siano trattati da GPI ai sensi del Contratto. Le categorie di Dati Personali trattati sono elencate nell’articolo 14 del presente Accordo;
-“Responsabile Ulteriore del Trattamento”: qualunque subappaltatore a cui GPI affidi l’esecuzione di obblighi contrattuali e che, per tale motivo, possa raccogliere, accedere, ricevere, conservare o trattare in altro modo Dati Personali;
– “Email di notifica”: l’indirizzo email (o gli indirizzi) fornito dal Cliente al momento della sottoscrizione del Servizio o successivamente comunicato tramite canali ufficiali a GPI, al quale il Cliente desidera ricevere le notifiche da parte di GPI;
-“Istruzioni”: le istruzioni scritte fornite dal Titolare nel presente Accordo e, se del caso, nel Contratto;
-“Legislazione relativa alla Protezione dei Dati Personali”: il GDPR e tutte le altre disposizioni normative e regolamentari vigenti in Italia in materia di protezione dei dati personali, compreso il D.Lgs. n. 196/2003 come modificato dal D.Lgs. n. 101/2018, nonché ogni provvedimento vincolante emanato dalle autorità di controllo competenti (es. Garante per la protezione dei dati personali), anche se antecedente al 25 maggio 2018 e tuttora efficace;
-“Personale di GPI”: dirigenti, dipendenti, consulenti e collaboratori di GPI, con esclusione del personale di eventuali Responsabili Ulteriori del Trattamento;
-“Richiesta”: qualsiasi richiesta da parte di un Interessato relativa all’accesso, cancellazione, rettifica dei Dati Personali o all’esercizio di altri diritti previsti dal GDPR;
– “Servizio/i”: il servizio o i servizi oggetto del Contratto o dei contratti se più di uno, sottoscritti di tra il Cliente e GPI;
-“Utente Finale”: il soggetto che effettivamente utilizza il Servizio, e che agisce in qualità di Titolare del Trattamento;
-“Violazione della Sicurezza dei Dati Personali”: qualsiasi evento che comporti, accidentalmente o in modo illecito, la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai Dati Personali trattati su sistemi gestiti da GPI o comunque soggetti al suo controllo.

2. Ruoli

2.1. Le Parti riconoscono e accettano che GPI opera in qualità di Responsabile del trattamento dei Dati Personali, mentre il Cliente, di norma, riveste il ruolo di Titolare del trattamento.
2.2. Nel caso in cui il Cliente effettui trattamenti di dati personali anche per conto di un altro Titolare, assumerà per questi dati il ruolo di Responsabile del trattamento. In tale ipotesi, il Cliente garantisce che le istruzioni impartite e le attività svolte in relazione a tali Dati Personali – inclusa la nomina di GPI come ulteriore Responsabile del trattamento mediante il presente Accordo – siano state preventivamente autorizzate dal relativo Titolare. Il Cliente si impegna inoltre a fornire a GPI, su semplice richiesta scritta, la documentazione che comprova tale autorizzazione.
2.3. Entrambe le Parti si impegnano a rispettare, nell’ambito del trattamento dei Dati Personali, tutti gli obblighi ad esse applicabili in base alla normativa vigente in materia di protezione dei dati personali.
2.4. GPI ha designato un Responsabile della protezione dei dati (DPO), domiciliato presso la sede legale di GPI S.r.l., in Viale Abruzzi 13/A – 20131 Milano (MI), contattabile all’indirizzo email info@telesegretaria.it oppure al numero telefonico 02 205726035.

3. Trattamento dei dati personali

3.1. Con la stipula del presente Accordo, il Cliente affida a GPI l’incarico di trattare i Dati Personali ai fini della prestazione dei Servizi, così come meglio dettagliato nel Contratto.
3.2. GPI si impegna a rispettare le Istruzioni eventualmente fornite dal Cliente. Qualora il Cliente richieda modifiche rispetto alle Istruzioni originarie, GPI valuterà la fattibilità di tali modifiche e concorderà con il Cliente eventuali adeguamenti, compresi i relativi costi.
3.3. Nei casi di cui al punto 3.2, nonché nel caso in cui le richieste del Cliente comportino, a giudizio di GPI, un trattamento dei Dati Personali in contrasto con la normativa vigente in materia di protezione dei dati personali, GPI si riserva il diritto di non eseguire tali Istruzioni, informandone il Cliente. In tali circostanze, il Cliente potrà valutare una revisione delle Istruzioni oppure rivolgersi all’Autorità di controllo competente per verificarne la legittimità.

4. Limitazioni all’uso dei Dati Personali

4.1. Nell’ambito del trattamento dei Dati Personali connesso all’erogazione dei Servizi, GPI si impegna a trattare i Dati Personali:
4.1.1. esclusivamente nella misura e con le modalità strettamente necessarie per fornire i Servizi, adempiere ai propri obblighi contrattuali e a quanto previsto dal presente Accordo, oppure per rispondere a obblighi di legge, disposizioni di autorità di vigilanza o controllo competenti, o a richieste specifiche del Cliente e/o dell’Utente Finale. In quest’ultimo caso, GPI informerà il Cliente, salvo divieti di legge legati a motivi di interesse pubblico, tramite comunicazione inviata all’Email di notifica;
4.1.2. nel rispetto delle Istruzioni eventualmente fornite dal Cliente.
4.2. Il personale di GPI autorizzato ad accedere o trattare i Dati Personali è adeguatamente incaricato e ha ricevuto una formazione specifica in materia di protezione dei dati personali. Tale personale è inoltre vincolato da obblighi di riservatezza e tenuto a rispettare le policy interne di GPI in materia di riservatezza e protezione dei dati.

5. Affidamento a terzi di specifiche attività di trattamento dei Dati Personali

5.1. In merito all’affidamento ad altri soggetti (Responsabili Ulteriori del Trattamento) di specifiche attività di trattamento dei Dati Personali, le Parti concordano quanto segue:
5.1.1. Il Cliente acconsente espressamente che GPI possa affidare determinate operazioni di trattamento a soggetti terzi.
5.1.2. Il Cliente presta inoltre il proprio consenso all’affidamento di ulteriori operazioni di trattamento dei Dati Personali a soggetti terzi secondo quanto stabilito al successivo articolo 5.1.4.
5.1.3. È inteso che, in caso di trasferimento all’estero dei Dati Personali, la sottoscrizione da parte del Cliente delle Clausole Contrattuali (come previsto al punto 7) equivale a consenso all’affidamento delle relative attività di trattamento al soggetto terzo designato.
5.1.4. Nel caso in cui GPI si avvalga di Responsabili Ulteriori del Trattamento per svolgere specifiche attività legate al trattamento dei Dati Personali, si impegna a:
5.1.4.1. selezionare soggetti che offrano garanzie adeguate in termini di misure tecniche e organizzative, assicurando che l’accesso ai Dati Personali e il loro trattamento avvengano esclusivamente nei limiti strettamente necessari all’erogazione dei servizi oggetto di subappalto;
5.1.4.2. informare il Cliente, almeno 15 (quindici) giorni prima dell’inizio dell’attività del Responsabile Ulteriore, mediante invio di Email di notifica (o altro mezzo ritenuto idoneo), fornendo i dati identificativi del soggetto terzo, la sua sede (e, se possibile, quella dei server su cui saranno conservati i dati), nonché una descrizione delle attività affidate. Il Cliente potrà recedere dal Contratto entro 15 (quindici) giorni dal ricevimento della comunicazione, fermo restando l’obbligo di corrispondere a GPI tutti gli importi maturati fino alla cessazione del Contratto.
5.1.5. Ulteriori dettagli riguardanti l’elenco dei Responsabili Ulteriori del Trattamento, le attività loro affidate e la loro ubicazione sono riportati nell’Articolo 14

6. Disposizioni in materia di sicurezza

6.1. Misure di sicurezza adottate da GPI
Nell’ambito dell’erogazione dei Servizi, GPI si impegna ad attuare misure tecnico-organizzative adeguate per prevenire trattamenti illeciti o non autorizzati, distruzioni accidentali o illecite, perdite, alterazioni, divulgazioni non autorizzate o accessi non consentiti ai Dati Personali. Tali misure comprendono tra gli altri: sistemi di Firewall, Antivirus, protezioni da Malware, sistemi di back-up, credenziali di accesso.
6.1.1. Sono incluse misure volte a garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei Servizi di GPI. Sono inoltre previste procedure per il ripristino tempestivo dei dati in caso di violazione della sicurezza, nonché strumenti per testare e verificare periodicamente l’efficacia di tali misure. Il Cliente riconosce che le misure di sicurezza adottate da GPI sono adeguate al livello di rischio connesso ai propri Dati Personali, considerando lo stato dell’arte, i costi di implementazione, la natura, l’ambito e le finalità del trattamento.
6.1.2. GPI potrà aggiornare o modificare le Misure di Sicurezza, garantendo in ogni caso che non venga ridotto il livello complessivo di sicurezza dei Servizi. Ogni modifica sarà comunicata al Cliente tramite l’Email di notifica.
6.1.3. Qualora il Cliente richieda misure di sicurezza aggiuntive rispetto a quelle previste, GPI valuterà la fattibilità delle stesse e potrà applicare costi supplementari.
6.1.4. Tenuto conto della natura dei dati e delle informazioni disponibili, GPI assisterà il Cliente nel garantire il rispetto degli obblighi di sicurezza previsti dagli artt. 32-34 del GDPR mediante:
6.1.4.1. l’implementazione e il continuo aggiornamento delle Misure di Sicurezza indicate nei punti precedenti;
6.1.4.2. l’adempimento degli obblighi descritti al successivo punto 6.3.
6.1.6. Qualora il prodotto consenta l’integrazione con applicativi di terze parti, GPI non sarà responsabile per l’applicazione delle misure di sicurezza relative a tali componenti né per eventuali effetti sull’operatività del prodotto derivanti da tali integrazioni.
6.2. Misure di sicurezza a carico del Cliente
Fermo restando quanto previsto a carico di GPI, il Cliente riconosce di essere direttamente responsabile dell’adozione di adeguate misure di sicurezza per l’utilizzo dei Servizi da parte del proprio personale e degli utenti autorizzati.
6.2.1. Il Cliente si impegna ad utilizzare i Servizi e le relative funzionalità in modo conforme al livello di rischio effettivo, garantendo un’adeguata protezione dei Dati Personali.
6.2.2. Il Cliente è inoltre tenuto a tutelare le credenziali di autenticazione, i dispositivi e i sistemi utilizzati per accedere ai Servizi, nonché ad eseguire salvataggi e backup dei Dati Personali, così da garantirne il ripristino in conformità alla normativa vigente.
6.2.3. Resta esclusa ogni responsabilità in capo a GPI per la protezione dei Dati Personali conservati o trasferiti dal Cliente (o dall’Utente Finale, se applicabile) al di fuori dei sistemi GPI o dei suoi Responsabili Ulteriori del Trattamento (ad esempio, in archivi cartacei o data center di terze parti).
6.3. Violazioni di sicurezza – Nel caso in cui GPI venga a conoscenza di una violazione della sicurezza dei Dati Personali, egli:
6.3.1. informerà tempestivamente il Cliente, tramite comunicazione inviata all’indirizzo Email di notifica;
6.3.2. adotterà misure ragionevoli al fine di contenere i potenziali danni e garantire la protezione dei Dati Personali;
6.3.3. fornirà al Cliente, per quanto possibile, una descrizione dell’accaduto, comprese le misure adottate per prevenirne o mitigarne i rischi e le azioni raccomandate per la gestione della violazione;
6.3.4. tratterà come riservate, secondo quanto previsto dal Contratto, tutte le informazioni relative alla violazione della sicurezza, inclusi documenti, comunicazioni e avvisi, e non le condividerà con terzi, salvo autorità competenti o pubblici ufficiali muniti di apposito mandato e salvo nei casi strettamente necessari per adempiere agli obblighi del Cliente ai sensi della normativa sulla protezione dei dati personali.
6.4. Nei casi descritti al punto 6.3, il Cliente sarà l’unico responsabile dell’adempimento degli obblighi di notifica della violazione verso terzi, ove previsto dalla normativa applicabile in materia di trattamento dei dati personali, inclusi – se il Cliente agisce in qualità di Responsabile del Trattamento – gli Utenti Finali, e – se agisce come Titolare del Trattamento – l’Autorità di controllo e gli interessati.
6.5. Resta inteso che la notifica di una violazione della sicurezza o l’adozione di misure per la sua gestione non comporta, da parte di GPI, alcun riconoscimento di responsabilità o inadempimento.
6.6. Il Cliente dovrà informare tempestivamente il Fornitore di eventuali utilizzi impropri degli account o delle credenziali di autenticazione, nonché di qualsiasi violazione della sicurezza di cui venga a conoscenza e che riguardi i Servizi.

7. Limitazioni al trasferimento dei Dati Personali al di fuori dello Spazio Economico Europeo (SEE)

7.1. GPI si impegna a non trasferire Dati Personali al di fuori dello SEE, salvo previo accordo con il Cliente.
7.2. Qualora, per esigenze legate alla conservazione o al trattamento dei Dati Personali da parte di un Responsabile Ulteriore del Trattamento, si renda necessario il trasferimento verso un Paese non soggetto a decisione di adeguatezza ai sensi dell’art. 45(3) del GDPR, GPI adotterà modalità di trasferimento conformi alla normativa vigente in materia di protezione dei dati personali. In particolare, GPI si atterrà anche alle indicazioni della Corte di Giustizia dell’Unione Europea nella causa C-311/18 e del Comitato Europeo per la Protezione dei Dati (EDPB), come riportato nelle:
“Raccomandazioni 01/2020 sulle misure che integrano gli strumenti di trasferimento per garantire il rispetto del livello di protezione dei dati personali nell’UE”;“Raccomandazioni 2/2020 relative alle garanzie essenziali europee per le misure di sorveglianza”.
7.3. In tali casi, il Cliente, con il presente Accordo, conferisce espressamente mandato a GPI a sottoscrivere, per proprio conto, le Clausole Contrattuali Tipo ai sensi dell’art. 46, comma 2, lett. c) del GDPR con i Responsabili Ulteriori del Trattamento indicati nell’Accordo stesso. GPI è inoltre autorizzata ad adottare tutte le eventuali misure supplementari necessarie a garantire che il trasferimento dei Dati Personali al di fuori dello SEE avvenga in conformità ai requisiti stabiliti dal GDPR.
7.4. Qualora il Titolare del trattamento sia l’Utente Finale, il Cliente si impegna ad informarlo in merito al trasferimento dei Dati Personali fuori dallo SEE. In tal caso, l’autorizzazione a utilizzare un Responsabile Ulteriore del Trattamento situato fuori dallo SEE equivale alla concessione del mandato di cui al punto 7.3.
Analogamente, qualora il trasferimento sia connesso all’attivazione da parte dell’Utente Finale di specifiche funzionalità del Servizio, tale attivazione sarà considerata come conferimento del medesimo mandato.

8. Verifiche e controlli

8.1. GPI potrà effettuare audit periodici sulla sicurezza dei sistemi e degli ambienti utilizzati per l’elaborazione dei Dati Personali ai fini dell’erogazione dei Servizi, comprese le sedi fisiche dove avviene tale trattamento. Tali audit potranno essere condotti anche da professionisti indipendenti selezionati da GPI, secondo standard internazionali e best practice. Gli esiti delle verifiche sono documentati in appositi report (“Report”), considerati informazioni confidenziali di GPI. Tali Report potranno essere messi a disposizione del Cliente per consentire la verifica del rispetto da parte di GPI degli obblighi di sicurezza previsti dal presente Accordo.
8.2. Il Cliente prende atto e accetta che il proprio diritto di verifica potrà essere esercitato tramite l’esame dei Report forniti da GPI, ai sensi del punto 8.1.
8.3. GPI riconosce al Cliente il diritto di effettuare audit indipendenti, finalizzati a verificare l’osservanza da parte di GPI degli obblighi stabiliti nel presente Accordo, nei relativi DPA – Condizioni Speciali e nella normativa applicabile. Tali attività potranno essere svolte da personale del Cliente o da revisori esterni, a condizione che siano preventivamente vincolati da adeguati obblighi di riservatezza.
8.4. In caso di audit indipendenti ai sensi del punto 8.3, il Cliente dovrà inviare una richiesta scritta al Responsabile della Protezione dei Dati (DPO) di GPI. Successivamente, GPI e il Cliente concorderanno i dettagli operativi delle verifiche, tra cui: data di inizio e durata, ambito e modalità dei controlli, obblighi di riservatezza applicabili, nonché i costi eventualmente addebitabili da GPI, calcolati sulla base dell’estensione e durata delle attività.
8.5. GPI si riserva il diritto di opporsi, con comunicazione scritta, alla nomina da parte del Cliente di revisori esterni che, a proprio insindacabile giudizio, non risultino adeguatamente qualificati, non indipendenti, concorrenti di GPI, o comunque inadeguati. In tali casi, il Cliente dovrà procedere alla sostituzione dei soggetti incaricati o condurre le verifiche internamente.
8.6. Il Cliente si impegna a corrispondere a GPI i costi eventualmente calcolati e comunicati in fase di pianificazione dell’audit, secondo le modalità e i termini concordati. Resteranno a esclusivo carico del Cliente i costi di eventuali soggetti terzi da esso incaricati.
8.7. Restano ferme le disposizioni relative ai diritti di ispezione del Titolare del trattamento e delle autorità competenti contenute nelle Clausole Contrattuali eventualmente sottoscritte, le quali non potranno ritenersi modificate da alcuna delle previsioni del presente Accordo.

9. Obblighi del Cliente e limitazioni

9.1. Il Cliente si impegna a impartire Istruzioni conformi alla normativa vigente e a utilizzare i Servizi esclusivamente in conformità alla Legislazione relativa alla Protezione dei Dati Personali. Il Cliente si impegna altresì a trattare, mediante i Servizi, unicamente Dati Personali raccolti in maniera conforme alla suddetta normativa.
9.2. Il trattamento di categorie particolari di Dati Personali ai sensi degli articoli 9 e 10 del GDPR è consentito unicamente se espressamente previsto. In mancanza di tale previsione, il trattamento sarà ammesso solo previo accordo scritto tra le Parti, secondo quanto stabilito al punto 3.2.
9.3. Il Cliente si assume la responsabilità del rispetto di tutti gli obblighi attribuiti al Titolare del Trattamento ai sensi della Legislazione relativa alla Protezione dei Dati Personali. Qualora tali obblighi siano in capo all’Utente Finale, il Cliente garantisce che lo stesso sia vincolato da obblighi equivalenti. Rientra tra tali obblighi anche l’onere di fornire adeguata informativa agli Interessati e di assicurarsi che ogni trattamento effettuato tramite i Servizi avvenga sulla base di una valida base giuridica.
9.4. Nel caso in cui l’informativa e l’acquisizione del consenso debbano avvenire tramite il Servizio oggetto del Contratto, il Cliente dichiara di aver valutato il prodotto e di ritenerlo idoneo alle proprie esigenze. La modulistica eventualmente fornita da GPI per facilitare tali adempimenti dovrà essere valutata dal Cliente, che resta responsabile della sua conformità alla normativa e della sua eventuale personalizzazione.
9.5. Il Cliente è l’unico responsabile della gestione delle Richieste avanzate dagli Interessati, comprese le attività di aggiornamento, integrazione, rettifica e cancellazione dei Dati Personali.
9.6. Il Cliente ha l’obbligo di mantenere attivo e aggiornato l’account associato all’Email di notifica.
9.7. Il Cliente prende atto che, ai sensi dell’art. 30 del GDPR, GPI è tenuta a mantenere un registro delle attività di trattamento effettuate per conto di Titolari (o Responsabili) del Trattamento, e a raccogliere i relativi dati identificativi e di contatto. Tali informazioni devono poter essere fornite alle autorità competenti su richiesta. Il Cliente si impegna pertanto a fornire a GPI, secondo le modalità da essa indicate, tali dati e ad aggiornarli tempestivamente tramite i medesimi canali.
9.8. Il Cliente dichiara che le attività di trattamento dei Dati Personali, come descritte nei Contratti, nel presente Accordo, sono conformi alla normativa e, pertanto, lecite.

10. Durata

10.1. Il presente Accordo avrà efficacia a partire dalla Data di Decorrenza dell’Accordo stesso e cesserà automaticamente, alla data di cancellazione di tutti i Dati Personali da parte di GPI, come previsto nel presente Accordo o dal Contratto.

11. Disposizioni la cancellazione dei Dati Personali

11.1. Alla cessazione del Servizio, per qualsiasi causa intervenuta, GPI provvederà come segue:
11.1.1. Cancellerà i Dati Personali (inclusi eventuali backup) dai propri sistemi o da quelli sotto il suo controllo entro il termine stabilito nel Contratto, salvo nei casi in cui la conservazione dei dati sia necessaria o consentita per adempiere a disposizioni di legge italiane o europee;
11.1.2. Distruggerà eventuali Dati Personali conservati in formato cartaceo, salvo nei casi in cui la conservazione sia richiesta per il rispetto delle normative legali italiane o europee;
11.1.3. Manterrà i Dati Personali disponibili per l’estrazione da parte del Cliente per il periodo previsto dal Contratto. Qualora il Contratto non preveda un termine specifico, GPI li manterrà a disposizione per un massimo di 60 (sessanta) giorni dalla cessazione del Contratto.
11.2. Il Cliente riconosce di avere la possibilità di estrarre i Dati Personali alla cessazione del Servizio, secondo le modalità concordate nel Contratto. Il Cliente si impegna a provvedere all’estrazione completa o parziale dei Dati Personali che desidera conservare, ed è sua responsabilità eseguire tale estrazione entro il termine di cui al punto 11.1.3.
11.3. Resta inteso che eventuali altre disposizioni relative alla cancellazione dei Dati Personali, previste nel Contratto, continueranno ad applicarsi.

12. Responsabilità

12.1. Ciascuna Parte è responsabile per l’adempimento dei propri obblighi previsti dal presente Accordo e dalla Legislazione relativa alla Protezione dei Dati Personali.
12.2. Fatti salvi i limiti inderogabili di legge, GPI sarà tenuto a risarcire il Cliente in caso di violazione del presente Accordo entro i limiti massimi convenuti nel Contratto.

13. Disposizioni varie

13.1. Il presente Accordo sostituisce ogni altro accordo, contratto o intesa tra le Parti relativo al suo oggetto, nonché qualsiasi istruzione precedentemente fornita dal Cliente a GPI riguardante il trattamento dei Dati Personali nell’ambito dell’esecuzione del Contratto.
13.2. Il presente Accordo può essere modificato da GPI, che dovrà informare il Cliente tramite comunicazione scritta (anche via e-mail o con l’ausilio di software appropriati). In caso di modifica, il Cliente avrà il diritto di recedere dal Contratto mediante comunicazione scritta inviata a GPI tramite raccomandata con ricevuta di ritorno o tramite posta elettronica certificata (PEC), entro 15 giorni dalla ricezione della comunicazione di GPI. Se il Cliente non esercita il diritto di recesso nei termini sopra indicati, le modifiche al presente Accordo saranno considerate da lui definitivamente conosciute e accettate, e diventeranno efficaci e vincolanti.

14 Condizioni Specifiche per il Servizio TelePrenotazioni di GPI

14.1 Tipologie di Dati Personali
Ai fini della prestazione dei Servizi previsti dal Contratto, GPI tratta le seguenti categorie di Dati Personali forniti, archiviati, trasmessi o prodotti dal Cliente. Per “Cliente” si intende anche i collaboratori autorizzati a utilizzare i Servizi e i soggetti in favore dei quali i Servizi sono erogati, ossia gli Utenti Finali, nell’ambito della fruizione del Servizio:
– dati identificativi e di contatto;
– dati relativi a transazioni o a prestazioni di servizi;
– dati commerciali;
– credenziali di accesso e dati di log relativi alle utenze che accedono alla piattaforma;
– altri dati necessari allo svolgimento del servizio di prenotazioni.
Il Servizio TelePrenotazioni è concepito in modo da consentire il trattamento dei Dati Personali necessari ai fini della gestione delle prenotazioni, alla tenuta del relativo calendario degli appuntamenti e alla trasmissione delle informazioni relative alle prenotazioni.
Il trattamento dei Dati Personali richiede che il Servizio TelePrenotazioni sia utilizzato in conformità ai principi di minimizzazione, integrità e riservatezza previsti dalla normativa in materia di protezione dei dati personali applicabile. Ad esempio, è necessario limitare la descrizione delle prestazioni oggetto di prenotazione, inserite nelle pagine web del Servizio, nei calendari o nelle email di notifica, a quanto strettamente necessario, evitando l’inclusione di dati relativi a minori, prestazioni sanitarie, condanne penali o reati.
14.2 Categorie di Interessati
Nella prestazione del Servizio GPI tratta Dati Personali forniti, trasmessi, archiviati, o creati dal Cliente o dai terzi a lui riferibili, nel contesto della fruizione del Servizio, relativi alle seguenti categorie di interessati:
– Clienti persone fisiche, e relativi dipendenti o collaboratori ove abbiano accesso agli applicativi web relativi al servizio ‘TelePrenotazioni’;
– Utenti Finali persone fisiche o giuridiche (di solito, i clienti del Cliente);
– altri terzi persone fisiche o giuridiche (es. fornitori) i cui dati sono riportati nelle prenotazioni o nelle pagine di back-office gestite in relazione al Servizio.
14.3 Principali attività di trattamento
GPI tratta i Dati Personali forniti, archiviati, trasmessi, raccolti o creati dal Cliente o da terzi a lui riferibili nel contesto della fruizione dei Servizi legati al Servizio TelePrenotazioni e indicato nel Contratto. Il trattamento è effettuato in conformità a quanto previsto nel presente Accordo per il trattamento di Dati Personali. Il trattamento ha ad oggetto i dati dei Clienti e dei soggetti terzi a lui riferibili. Tali Dati personali verranno memorizzati e trasmessi al fine della gestione del Servizio di prenotazioni (es. nominativi, indirizzi email e telefonici e altri dati del Cliente, degli Utenti Finali o dei dipendenti o collaboratori del Cliente). Il trattamento è effettuato in conformità con quanto previsto dalle Condizioni Generali.
In base alle scelte di configurazione del Cliente, il Servizio offre la possibilità di integrarsi con ulteriori applicativi esterni, quali calendari fruibili da internet di titolarità del Cliente o dei suoi dipendenti o collaboratori. In tal caso il Cliente sarà responsabile per il trattamento di tali dati Personali trasferiti da lui o dai suoi dipendenti o collaboratori.
14.4 Luogo di conservazione dei dati
I server utilizzati per l’archiviazione dei dati personali ai fini dell’erogazione del Servizio TelePrenotazioni sono ubicati in territorio italiano presso i data-center Arubabusiness spa. Arubabusiness si riserva la possibilità di spostare i server anche al di fuori dell’Unione Europea, ma sempre nel rispetto delle disposizioni di legge e delle clausole contrattuali standard previste dalla Commissione Europea.
14.5 Fornitori terzi che trattano dati personali del Cliente/Utente Finale nel contesto del Servizio
GPI si può avvalere per operazioni di trattamento di Dati Personali correlate alla prestazione dei Servizi, di soggetti terzi selezionati che offrono adeguate garanzie di riservatezza e protezione dei dati, in particolare per l’erogazione delle seguenti categorie di servizi:
– Servizi IT;
– Servizi di mailing;
– Servizi di assistenza clienti;
– Servizi di consulenza e assistenza tecnica.
Tali soggetti terzi, o i loro sub-fornitori, possono effettuare attività di trasferimento dei dati personali negli Stati Uniti d’America e in altri paesi al di fuori dello Spazio Economico Europeo.
In ogni caso ciascun trasferimento dei Dati Personali al di fuori dello Spazio Economico Europeo viene effettuato nel rispetto delle misure previste dagli artt. 44-49 del GDPR e in generale dalla Legislazione applicabile in materia di Protezione dei Dati Personali.
L’elenco completo e aggiornato dei soggetti terzi che trattano dati per conto del Fornitore nonché dei Paesi in cui avviene il trasferimento può essere richiesto scrivendo a info@telesegretaria.it.