DPA — Condizioni Speciali sul trattamento dei dati personali

I termini in maiuscolo non altrimenti definiti nel presente DPA hanno il significato loro attribuito dal Contratto o, in mancanza, dal GDPR. In particolare:

• Cliente / Titolare: il soggetto che determina finalità e mezzi del trattamento.
• Fornitore / Responsabile: Nexhort S.r.l., con sede in Via Lungo Dora Colletta 75, 10153 Torino, C.F./P.IVA 13410680014.
• Servizi: la piattaforma SaleAssistant AI e i servizi connessi, come definiti nel Contratto.
• Dati Personali: i dati trattati dal Fornitore per conto del Cliente nell'ambito dei Servizi.
• Sub-responsabile: ogni terzo nominato dal Fornitore per il trattamento di Dati Personali per conto del Cliente.
• Violazione dei Dati Personali: ai sensi dell'art. 4, n. 12) GDPR.

Il Fornitore tratta i Dati Personali al solo fine di erogare i Servizi al Cliente, secondo le istruzioni documentate del Titolare contenute nel Contratto, nel presente DPA e in eventuali ulteriori istruzioni scritte impartite dal Cliente nel corso del rapporto.

• Oggetto: trattamento dei Dati Personali necessario per l'erogazione dei Servizi.
• Durata: per tutta la durata del Contratto e fino alla restituzione o cancellazione dei Dati Personali.
• Natura e finalità: hosting, elaborazione, archiviazione, analisi automatizzata e supporto agli utenti, in funzione delle caratteristiche dei Servizi.
• Tipologie di dati: dati anagrafici e di contatto, dati di account e autenticazione, contenuti caricati dall'utente, log tecnici, metadati di utilizzo, eventuali contenuti di conversazioni commerciali processati dalla piattaforma.
• Categorie di interessati: utenti del Cliente, dipendenti, collaboratori, clienti e prospect del Cliente.

Il Fornitore si impegna a:

1. trattare i Dati Personali esclusivamente sulla base di istruzioni documentate del Titolare;
2. garantire che le persone autorizzate al trattamento siano vincolate ad un obbligo di riservatezza;
3. adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 GDPR (cfr. art. 6);
4. assistere il Titolare, mediante misure tecniche e organizzative adeguate, nell'adempimento degli obblighi di cui agli artt. 32-36 GDPR e nel riscontro alle richieste degli interessati (artt. 12-22 GDPR);
5. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 GDPR;
6. cancellare o restituire al Titolare tutti i Dati Personali al termine della prestazione dei Servizi, salvo obblighi di legge che ne impongano la conservazione;
7. informare immediatamente il Titolare qualora un'istruzione, a suo parere, violi il GDPR o altre disposizioni applicabili in materia di protezione dei dati.

Il Cliente autorizza in via generale il Fornitore a ricorrere a Sub-responsabili per l'erogazione dei Servizi. L'elenco dei Sub-responsabili è disponibile su richiesta scritta all'indirizzo privacy@nexhort.com.

Il Fornitore informerà il Cliente di qualsiasi modifica intesa ad aggiungere o sostituire Sub-responsabili, con un preavviso ragionevole, dando al Cliente la possibilità di opporsi a tali modifiche per giustificati motivi relativi alla protezione dei dati. Il Fornitore impone ai Sub-responsabili obblighi di protezione dei dati equivalenti a quelli del presente DPA, mediante contratto scritto.

Qualora il trattamento comporti il trasferimento di Dati Personali al di fuori dello Spazio Economico Europeo, il Fornitore garantisce che tale trasferimento avvenga sulla base di una decisione di adeguatezza della Commissione europea ovvero di garanzie adeguate ai sensi dell'art. 46 GDPR, ivi incluse le Clausole Contrattuali Standard adottate con Decisione di esecuzione (UE) 2021/914, integrate ove necessario da misure supplementari.

Tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento, il Fornitore adotta misure tecniche e organizzative adeguate, tra cui in via esemplificativa:

• cifratura dei Dati Personali in transito (TLS 1.2+) e a riposo;
• controllo degli accessi basato sul principio del minimo privilegio e autenticazione multi-fattore per gli accessi amministrativi;
• segregazione logica degli ambienti di produzione, sviluppo e test;
• backup periodici e procedure documentate di disaster recovery;
• logging e monitoraggio degli accessi e delle attività rilevanti;
• processi di gestione delle vulnerabilità e di patching;
• formazione periodica del personale autorizzato al trattamento;
• processi di valutazione, verifica e revisione periodica delle misure adottate.

Il Fornitore notifica al Cliente, senza ingiustificato ritardo e comunque entro 48 ore dalla relativa conoscenza, ogni Violazione dei Dati Personali di cui venga a conoscenza, fornendo le informazioni di cui all'art. 33, par. 3, GDPR nei limiti delle informazioni disponibili, e collabora con il Cliente nella gestione e documentazione dell'evento.

Il Fornitore mette a disposizione del Cliente, su richiesta scritta motivata e con un preavviso non inferiore a 30 giorni, la documentazione necessaria a dimostrare la conformità agli obblighi di cui all'art. 28 GDPR. Le verifiche on-site sono ammesse, una volta all'anno, previo accordo sulle modalità di svolgimento, nel rispetto della riservatezza, della sicurezza e della continuità operativa del Fornitore. Eventuali costi sono a carico del Cliente, salvo che l'audit accerti una violazione imputabile al Fornitore.

Al termine del Contratto, il Fornitore, su scelta del Cliente, restituisce o cancella i Dati Personali entro 30 giorni, cancellando le copie esistenti, salvo i casi in cui la conservazione sia richiesta dal diritto dell'Unione o dello Stato membro applicabile.

La responsabilità delle Parti per il trattamento dei Dati Personali è disciplinata dall'art. 82 GDPR e dalle limitazioni di responsabilità previste nel Contratto, nei limiti consentiti dalla legge applicabile.

Il presente DPA è disciplinato dalla legge italiana. Per ogni controversia relativa alla sua interpretazione o esecuzione si applica il foro indicato nel Contratto.

Per ogni richiesta relativa al presente DPA è possibile scrivere a privacy@nexhort.com.