1. Parti e ruoli
Il Cliente che determina finalità e mezzi essenziali del trattamento è il “Titolare”. UESE ITALIA S.p.A. è il “Responsabile” limitatamente ai dati personali trattati per erogare il servizio SaaS. Il presente Accordo integra i Termini e si considera sottoscritto con l’accettazione del servizio, salvo diverso accordo scritto.
2. Oggetto, natura e durata
Il Responsabile tratta i dati per ospitare, organizzare, estrarre, elaborare, esportare, proteggere e assistere i Contenuti del Cliente. Il trattamento dura per il rapporto contrattuale e per il successivo periodo tecnico necessario alla restituzione o cancellazione, fatti salvi obblighi di legge e copie di sicurezza soggette a rotazione.
3. Istruzioni documentate
Le istruzioni sono costituite dai Termini, dalle configurazioni e dalle operazioni eseguite dagli utenti autorizzati. Il Responsabile informa il Titolare se ritiene che un’istruzione violi la normativa, salvo divieto di legge. Il Titolare non deve impartire istruzioni illecite o incompatibili con il servizio.
4. Obblighi del Responsabile
- trattare i dati soltanto su istruzione documentata e per l’erogazione del servizio;
- vincolare alla riservatezza le persone autorizzate;
- adottare misure tecniche e organizzative adeguate al rischio;
- assistere ragionevolmente il Titolare nelle richieste degli interessati, nelle valutazioni d’impatto e nei rapporti con l’autorità;
- rendere disponibili informazioni necessarie a dimostrare la conformità e consentire verifiche ragionevoli, evitando interferenze sproporzionate e salvaguardando dati di altri clienti;
- non utilizzare i Contenuti del Cliente per finalità autonome incompatibili.
5. Sub-responsabili
Il Titolare autorizza in via generale l’uso di fornitori necessari, inclusi hosting, email, manutenzione, pagamenti e AI. I fornitori attivi dipendono dalla configurazione. Tra quelli potenzialmente applicabili figurano fornitore di hosting configurato dal Titolare, OpenAI Ireland Ltd., Stripe Payments Europe, Limited e fornitore di posta elettronica configurato dal Titolare.
Il Responsabile impone obblighi sostanzialmente equivalenti ai sub-responsabili e resta responsabile verso il Titolare per i propri obblighi. Modifiche rilevanti possono essere comunicate tramite piattaforma o email, consentendo al Titolare di formulare opposizione motivata prima dell’entrata in vigore, quando praticabile.
6. Misure tecniche e organizzative
| Area | Misure |
|---|---|
| Accessi | Account individuali, ruoli, 2FA, reset controllato, sessioni protette, revoca utenti. |
| Segregazione | Isolamento logico per tenant e controlli applicativi sul tenant associato. |
| Protezione applicativa | Hash password, cifratura dei segreti, CSRF, validazione upload, rate limiting e log degli eventi. |
| Riservatezza e integrità | HTTPS da configurare obbligatoriamente, storage protetto, autorizzazioni per ruolo e tracciabilità delle operazioni rilevanti. |
| Continuità | Backup, aggiornamenti e ripristino secondo configurazione hosting e procedure del Titolare del servizio. |
| AI | Invio solo su comando dell’utente, minimizzazione, proposta modificabile, conferma umana e controllo duplicati. |
7. Diritti, DPIA e autorità
Tenuto conto della natura del trattamento, il Responsabile assiste il Titolare con misure ragionevoli per rispondere alle richieste degli interessati. Le richieste ricevute direttamente e riferibili ai dati del Cliente sono inoltrate al Cliente, salvo obbligo contrario. Informazioni utili a DPIA o consultazioni preventive sono fornite nei limiti del servizio e delle informazioni disponibili.
8. Violazioni di dati personali
Il Responsabile comunica al Titolare senza ingiustificato ritardo le violazioni di cui viene a conoscenza che riguardano i dati trattati per suo conto, fornendo le informazioni disponibili su natura, categorie, possibili conseguenze e misure adottate. Il Cliente è responsabile delle valutazioni e notifiche di propria competenza.
9. Restituzione e cancellazione
Alla cessazione, il Cliente deve esportare i dati prima della chiusura. Su richiesta e salvo obblighi di legge, il Responsabile cancella o restituisce i dati secondo le funzioni disponibili e le procedure tecniche. Le copie di sicurezza vengono eliminate secondo i cicli di rotazione e restano protette e non utilizzate per altre finalità.
10. Allegato descrittivo del trattamento
- Interessati: utenti, dipendenti, collaboratori, referenti, fornitori e altre persone i cui dati siano inseriti dal Cliente.
- Dati: identificativi, contatti, ruoli, log, dati contrattuali, documenti energetici e ogni altro dato scelto dal Cliente; categorie particolari solo se legittimamente e necessariamente inserite.
- Operazioni: raccolta, registrazione, organizzazione, conservazione, estrazione, consultazione, modifica, trasmissione a fornitori configurati, esportazione e cancellazione.
- Finalità: fornitura della piattaforma e delle funzioni richieste dal Cliente.
- Frequenza: continuativa per la durata del servizio, in funzione dell’utilizzo.
Per richieste relative al presente Accordo: dpo@uese.it.