Accordo sul Trattamento dei Dati (DPA)
Il presente Accordo sul Trattamento dei Dati ("DPA") e i seguenti allegati:
Allegato 1 "Descrizione del Trattamento"
Allegato 2 "Misure tecniche e organizzative"
Allegato 3 "Elenco dei sub-responsabili del trattamento"
che sono incorporati nel presente DPA, e parte integrante delle "Condizioni Generali" e integrano le disposizioni dell’Accordo con il Cliente (come definito nell’Accordo) relativamente ai diritti e agli obblighi delle parti in relazione al trattamento dei dati personali del Cliente da parte di Wolters Kluwer Italia srl, licenziatario di Libra by Wolters Kluwer (di seguito anche "Responsabile del trattamento" o “WKI”). Ai sensi dell’articolo 28 del GDPR, in caso di conflitto tra il presente DPA e l’Accordo collegato, prevalgono il DPA e i suoi allegati.
2. Oggetto
Ai fini del presente DPA, WKI è il responsabile del trattamento dei dati personali e il Cliente è il titolare del trattamento. Lo scopo del DPA è definire le condizioni alle quali il responsabile è autorizzato, per conto del titolare, a svolgere il trattamento dei dati personali nella misura necessaria a fornire i servizi previsti dall’Accordo.
I dettagli del trattamento (oggetto, natura e finalità del trattamento, tipologia di dati personali, categorie di interessati, ecc.) sono descritti nell’Allegato 1 "Descrizione del Trattamento dei Dati Personali". La durata del trattamento corrisponde alla durata dell’Accordo.
Qualora in queste clausole siano utilizzati i termini definiti nel Regolamento (UE) 2016/679, gli stessi avranno il significato ivi attribuito.
3. Obblighi del Cliente
3.1 In qualità di titolare, il Cliente garantisce che tutti i dati personali forniti al responsabile dal Cliente o per conto del Cliente siano stati raccolti lecitamente, in modo corretto e trasparente, così da consentirne il trattamento da parte del responsabile. In particolare, il Cliente è responsabile della liceità del trattamento e deve individuare la pertinente base giuridica.
3.2 Il Cliente deve fornire al responsabile istruzioni documentate relative al trattamento. Tali istruzioni sono contenute nell’Accordo, nel presente DPA e nei suoi allegati.
Il Cliente può fornire ulteriori istruzioni ragionevoli, purché rientrino nell’ambito concordato del prodotto standard. Il responsabile può rifiutare, rinviare o proporre un’alternativa a un’istruzione, qualora la sua esecuzione incida in modo sostanziale sulla sicurezza, integrità, disponibilità o normale operatività dei servizi, oppure comporti oneri o costi sproporzionati. Se l’esecuzione di un’istruzione aggiuntiva richiede l’implementazione di misure tecniche e organizzative o altre misure personalizzate per il Cliente e ciò comporta costi aggiuntivi, il responsabile informerà il Cliente di tali costi e della effettività fattibilità dell’implementazione e darà seguito all’istruzione solo dopo avere ricevuto formalizzazione di assunzione dell’onere di spese da parte del Cliente. Le istruzioni del Cliente saranno fornite per iscritto (email sufficiente), salvo emergenze o altre circostanze specifiche che richiedano comunicazioni verbali. Le istruzioni non scritte devono essere prontamente confermate per iscritto dal Cliente e, in ogni caso, non oltre ventiquattro (24) ore dall’impartizione. Inoltre, quando il Cliente non è stabilito nel Paese in cui il responsabile ha la propria sede, il Cliente informerà il responsabile in merito a specifici obblighi applicabili al responsabile ai sensi di leggi locali inderogabili applicabili al Cliente, così che le Parti possano determinare le misure appropriate.
3.3 Il Cliente deve fornire agli interessati le informazioni sulle attività di trattamento come ulteriormente dettagliato negli allegati del presente DPA. Il Cliente è responsabile di rispondere alle richieste degli interessati di esercizio dei loro diritti. Qualora non fosse possibile per il Cliente ottenere direttamente le informazioni e i dati necessari per evadere la richiesta, il Cliente richiederà al responsabile le informazioni e i dati necessari; il responsabile assisterà, per quanto possibile, il Cliente nell’adempimento del proprio obbligo di riscontro.
4. Obblighi del Responsabile del trattamento
4.1 Il responsabile tratterà i dati personali per conto del Cliente solo conformemente alle istruzioni documentate del Cliente. Tale obbligo vale anche per i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale.
Il responsabile informerà immediatamente il Cliente qualora, a suo avviso, un’istruzione violi la normativa applicabile in materia di protezione dei dati. In tal caso, il responsabile potrà sospendere l’erogazione dei servizi ai sensi dell’Accordo e non sarà tenuto a seguire l’istruzione fino a quando non sarà chiarita in modo da non violare la normativa applicabile. Il responsabile informerà inoltre il Cliente qualora, per qualsiasi motivo, non sia in grado di conformarsi a un’istruzione del Cliente.
4.2 Il responsabile garantirà che le persone da esso autorizzate a trattare i dati personali per conto del Cliente siano vincolate da obblighi di riservatezza (contrattuali o di legge) e che tali persone che hanno accesso ai dati personali, li trattino esclusivamente secondo le istruzioni del Cliente. Qualora un sub-responsabile tratti dati del Cliente, si applicano allo stesso anche le disposizioni della Sezione 5.
4.3 Il responsabile implementa misure tecniche e organizzative nel proprio ambito di responsabilità, tenendo conto della natura, dell’ambito, del contesto e delle finalità del trattamento, dello stato dell’arte e dei costi di attuazione, nonché del rischio per gli interessati. Tali misure possono variare, in particolare per effetto del progresso tecnico, e il responsabile può modificarle purché non venga ridotta la sicurezza dei servizi prestati ai sensi dell’Accordo e il livello di protezione concordato. Il Cliente conferma che le attuali misure tecniche e organizzative, come elencate nell’Allegato 2 "Misure tecniche e organizzative", forniscono un livello di protezione adeguato per i suoi dati personali.
4.4 Il responsabile assiste il Cliente nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenuto conto della natura del trattamento e delle informazioni disponibili al responsabile, e in particolare: (a) mantiene un registro scritto delle categorie di attività di trattamento svolte per conto del Cliente, se tale obbligo è applicabile ai sensi dell’art. 30 GDPR; (b) notifica al Cliente senza ingiustificato ritardo ogni violazione dei dati personali che incida sui dati del Cliente, di cui il responsabile venga a conoscenza. Tale notifica sarà inviata via email ai recapiti forniti dal Cliente in sede di conclusione dell’Accordo e conterrà tutte le informazioni disponibili al responsabile ai sensi degli articoli 33 e 34 GDPR per documentare la violazione; (c) informa il Cliente: i) di ogni richiesta legalmente vincolante pervenuta da un’autorità pubblica o da Autorità Garante della Privacy ad oggetto la divulgazione dei dati personali del Cliente, salvo divieti di legge (ad es. a tutela della riservatezza delle indagini); ii) di ogni richiesta, reclamo o istanza ricevuti direttamente dagli interessati, senza rispondervi, salvo autorizzazione scritta del Cliente; iii) se il responsabile è tenuto, ai sensi del diritto dell’Unione o degli Stati membri cui è soggetto, a trattare i dati personali oltre le istruzioni del Cliente, prima di effettuare tale trattamento (salvo divieto per rilevanti motivi di interesse pubblico), indicando la specifica base giuridica; (d) su richiesta scritta del Cliente o quando richiesto dalla normativa applicabile, rettifica o cancella i dati personali del Cliente.
5. Sub-responsabili del trattamento
5.1 Il Cliente conferisce al responsabile un’autorizzazione generale scritta a incaricare sub-responsabili del trattamento. Il Cliente riconosce e accetta che (a) le affiliate del responsabile possano essere incaricate quali sub-responsabili, incluse quelle indicate nell’“Elenco dei sub-responsabili” all’Allegato 3; e (b) il responsabile e le sue affiliate possano coinvolgere terzi quali sub-responsabili in relazione all’erogazione dei servizi, come elencati nell’Allegato 3 "Elenco dei sub-responsabili".
5.2 Tutti i sub-responsabili sono tenuti a rispettare obblighi sostanzialmente equivalenti a quelli del responsabile ai sensi del presente DPA. Il responsabile rimane responsabile nei confronti del Cliente per l’eventuale inadempimento del sub-responsabile. Qualora un’affiliata del responsabile sia incaricata come sub-responsabile, all’interno del gruppo del responsabile è in vigore un accordo intra-gruppo per il trasferimento dei dati che assicura che la condivisione e, se del caso, il trasferimento di dati personali tra le affiliate del responsabile sia conforme alla normativa applicabile. Qualora sia coinvolta una terza parte come sub-responsabile, il responsabile o le sue affiliate si assicurano che tale sub-responsabile accetti un contratto contenente gli obblighi applicabili conformi all’articolo 28 e, se del caso, al Capo V del GDPR, e fornisca garanzie sufficienti per l’attuazione di adeguate misure tecniche e organizzative, in modo che il trattamento soddisfi i requisiti della normativa applicabile in materia di protezione dei dati.
5.3 Il responsabile informerà il Cliente di qualsiasi cambiamento relativo all’aggiunta o sostituzione di un sub-responsabile, specificando l’identità del soggetto e le attività di trattamento esternalizzate ("Comunicazione Sub-responsabile"). Il Cliente dispone di quindici giorni lavorativi (15) dalla Comunicazione Sub-responsabile per presentare un’obiezione, specificando i motivi dell’opposizione. In caso di opposizione, il responsabile compirà ragionevoli sforzi per modificare i servizi al fine di evitare il trattamento dei dati personali da parte del nuovo sub-responsabile contestato. Se ciò non fosse possibile, il Cliente può (i) confermare il sub-responsabile precedentemente contestato oppure (ii) risolvere straordinariamente l’Accordo, in tutto o in parte.
5.4 Inoltre, sub-responsabili stabiliti in paesi terzi possono essere incaricati solo se sono rispettati i requisiti speciali di cui agli articoli da 44 e seguenti del GDPR.
6. Ispezioni e audit
6.1 Il responsabile mette a disposizione del Cliente tutte le informazioni in suo possesso necessarie a dimostrare il rispetto degli obblighi previsti nel presente DPA. Ulteriori informazioni (salvo quelle confidenziali o soggette a segreto industriale) saranno fornite al Cliente su richiesta scritta. Qualora le informazioni sopra indicate non risultino sufficienti a consentire al Cliente di dimostrare che il responsabile adempie ai propri obblighi, le Parti concorderanno le condizioni di un’ulteriore verifica. Il Cliente incarica il responsabile di effettuare controlli e audit presso i sub-responsabili; il responsabile fornirà al Cliente le informazioni relative ai sub-responsabili necessarie a dimostrare il rispetto degli obblighi qui indicati e dell’articolo 28 GDPR.
6.2 Inoltre, in caso di ispezioni o altre richieste da parte di un’Autorità di controllo, le Parti si impegnano a cooperare reciprocamente e con l’Autorità e a fornirsi le informazioni necessarie.
7. Effetti della cessazione dell’Accordo
Alla cessazione del rapporto contrattuale, per qualsiasi motivo, il responsabile, a scelta del Cliente, cancellerà tutti i dati personali o li restituirà al Cliente e cancellerà tutte le copie esistenti, salvo che il responsabile sia tenuto ai sensi del diritto dell’Unione o degli Stati membri a conservarli.
Allegato 1 – Descrizione del Trattamento dei Dati Personali
I. Oggetto, natura e finalità del trattamento
L’oggetto, la natura e la finalità del trattamento sono definiti nell’Accordo e, se del caso, nella relativa descrizione dei servizi.
II. Tipologia di dati personali
In qualità di titolare, il Cliente può inserire o altrimenti fornire dati del Cliente, inclusi dati personali, nell’ambito dell’utilizzo dei servizi a propria discrezione e nella misura desiderata. Il responsabile non ha conoscenza dei dati personali esatti inseriti o forniti dal Cliente. I dati personali trattati possono includere in particolare:
- Dati di indirizzo
- Dati bancari / informazioni di fatturazione
- Dati dei dipendenti
- Dati sulle qualifiche
- Dati assicurativi
- Dati sulle prestazioni personali
- Dati utente
- Dati di utilizzo
- Storico di utilizzo
- Dati di comunicazione
- Contenuti di messaggi
- Dati contrattuali
- Dati di contatto
- Dati anagrafici
- Dati audio e vocali
- Se del caso, anche categorie particolari di dati personali.
III. Categorie di interessati
In qualità di titolare, il Cliente può inserire o fornire dati personali a propria discrezione e nella misura desiderata. Il responsabile non ha conoscenza dei dati personali esatti inseriti o forniti dal Cliente. Le categorie di interessati trattate possono includere in particolare:
- Soci e dipendenti del Cliente
- Clienti e altre controparti contrattuali del Cliente e soggetti coinvolti nell’oggetto dell’incarico, come familiari, controparti, partner commerciali, fornitori/erogatori di servizi
- Altri soggetti i cui dati siano forniti dal Cliente (es. parti del procedimento, parti, avvocati della controparte, colleghi esterni coinvolti in un caso, consulenti/esperti, testimoni)
Allegato 2 – Misure tecniche e organizzative (TOM)
Di seguito è riportata la traduzione delle sezioni originariamente in inglese. Le parti già presenti in tedesco non richiedono traduzione.
I. Controllo degli accessi (Access control)
Misure per impedire a persone non autorizzate di accedere ai sistemi di elaborazione dati che trattano e utilizzano dati personali.
Descrizione:
• Serrature e sistemi di accesso che consentono l’ingresso solo a persone autorizzate.
• Videosorveglianza degli accessi ai sistemi di elaborazione dati.
• Personale di sicurezza che monitora l’accesso fisico.
• Registri dei visitatori per documentare l’accesso dei non dipendenti.
II. Controllo di accesso al sistema (System access control)
Misure per impedire l’uso dei sistemi da parte di persone non autorizzate.
Descrizione:
• Utilizzo di account utente con password robuste e autenticazione a più fattori.
• Blocco automatico degli account dopo vari tentativi di accesso non riusciti.
• Verifica periodica dei diritti di accesso e adeguamento in caso di cambi di ruolo.
III. Controllo di accesso ai dati (Data access control)
Misure per garantire che i soggetti autorizzati all’uso di un sistema possano accedere solo ai dati rientranti nella loro autorizzazione e che i dati personali non possano essere letti, copiati, modificati o rimossi senza autorizzazione durante il trattamento, l’uso e dopo l’archiviazione.
Descrizione:
• Modelli di autorizzazione dettagliati e assegnazione di ruoli nei sistemi IT.
• Accesso ai dati solo secondo necessità; registrazione degli accessi per rilevare letture, copie, modifiche o rimozioni non autorizzate.
• Uso di tecnologie di cifratura per proteggere i dati.
IV. Controllo del trasferimento (Transfer control)
Misure per garantire che i dati personali non possano essere letti, copiati, alterati o rimossi da persone non autorizzate durante la trasmissione elettronica o durante il trasporto o la memorizzazione su supporti, e che sia possibile verificare e determinare le destinazioni di trasmissione.
Descrizione:
• Protocolli di trasmissione sicuri come HTTPS, SFTP o VPN.
• Cifratura dei supporti e delle email che contengono dati personali.
• Registrazione e monitoraggio di tutti i trasferimenti di dati.
V. Controllo degli inserimenti (Input control)
Misure per consentire la verifica a posteriori se e da chi i dati personali sono stati inseriti, modificati o rimossi dai sistemi di elaborazione.
Descrizione:
• Log di audit che documentano tutti gli inserimenti, le modifiche e le cancellazioni dei dati.
• Verifica periodica dei file di log da parte dei responsabili della sicurezza IT.
VI. Controllo dell’ordine (Order control)
Misure per garantire che i dati personali trattati per conto del Cliente siano trattati solo conformemente alle istruzioni del Cliente.
Descrizione:
• Contratti di trattamento per conto che definiscono con precisione le istruzioni del Cliente.
• Formazione periodica del personale per la conformità a tali istruzioni.
• Restrizioni tecniche nei sistemi IT che limitano il trattamento alle finalità contrattuali.
VII. Controllo della disponibilità (Availability control)
Misure per garantire che i dati personali siano protetti contro distruzione o perdita accidentale.
Descrizione:
• Backup regolari e sistemi di archiviazione ridondanti.
• Piani di emergenza e strategie di disaster recovery.
• Protezione da malware e virus tramite software di sicurezza adeguato.
VIII. Requisito di separazione (Separation requirement)
Misure per garantire che i dati raccolti per finalità diverse possano essere trattati separatamente.
Descrizione:
• Separazione logica dei dati dei Clienti tramite separazione a livello di tenant.
• Uso di tecnologie di containerizzazione (ad es. Docker) per esecuzione in ambienti isolati.
• Separazione fisica tra ambienti di test, sviluppo e produzione.
IX. Cancellazione dei dati (Data deletion)
Misure per garantire che i dati personali siano cancellati non appena viene meno la finalità del trattamento e non sussistono obblighi di conservazione.
Descrizione:
• Procedure automatizzate di cancellazione basate sui periodi di conservazione previsti dalla legge.
• Metodi di cancellazione sicuri (sovrascrittura o distruzione dei supporti conformemente a norme DIN) per impedire il ripristino.
• Documentazione di tutte le operazioni di cancellazione nel registro delle cancellazioni.
• Per la piattaforma libratech.ai: i dati inseriti dagli utenti e gli output risultanti (es. funzioni di chatbot o assistente AI) sono conservati solo per la durata del relativo utilizzo; i dati salvati nei profili utente (es. documenti contrattuali) sono cancellati definitivamente quando l’utente li elimina dal proprio profilo o, al più tardi, alla cessazione dell’Accordo. Tutti i dati di input/output o salvati dagli utenti non possono essere utilizzati per finalità diverse dall’uso della piattaforma avviato dall’utente.
X. Valutazione (Evaluation)
Misure per verificare e valutare l’efficacia delle misure tecniche e organizzative a garanzia della sicurezza del trattamento.
Descrizione:
• Audit interni ed esterni periodici delle misure di sicurezza.
• Test di penetrazione e analisi delle vulnerabilità svolti da fornitori esterni.
• Valutazione continua e adeguamento delle TOM agli standard di sicurezza correnti.
Allegato 3 – Elenco dei sub-responsabili del trattamento
L’elenco aggiornato dei sub-responsabili è sempre disponibile all’indirizzo: https://trust.libratech.ai/subprocessors
Descrizione dei servizi parziali
• Hosting della piattaforma legale tecnologica del Responsabile del trattamento, sulla quale i dati del Cliente sono elaborati in un ambiente cloud sicuro e scalabile. • L'Open Telekom Cloud garantisce l'elaborazione dei dati esclusivamente in data center situati in Germania.
• Fornitura del cloud Azure in Europa.
• Principalmente utilizzato come fornitore di LLM.
• Fornitura del cloud AWS in Europa.
• Principalmente utilizzato come fornitore di LLM.
• Fornitura del cloud di Google in Europa
• Principalmente utilizzato come fornitore di LLM
• Fornitura di software di traduzione.
• Fornitura di un'interfaccia ai dati degli editori da Otto Schmidt.
• Fornitura del prodotto “Libra AI” e dei servizi correlati.
• Fornitura di servizi di supporto interno (tecnico).
• Fornitura di servizi di supporto e hosting interno (tecnico).
• Fornitura di servizi di supporto e hosting interno (tecnico).
