Versione 1.0
1. PREMESSE
1.1 Il presente Data Processing Agreement ("DPA") costituisce parte integrante e sostanziale delle Condizioni Generali di Servizio di ProfessionalMail ed è espressamente richiamato dall'art. 14 delle medesime.
1.2 La sottoscrizione del Contratto, l'adesione ai servizi o la loro attivazione secondo le modalità previste dalle Condizioni Generali di Servizio comportano la piena conoscenza e accettazione del presente DPA.
1.3 Il presente DPA disciplina il rapporto tra il Cliente, quale Titolare del trattamento, e ProfessionalMail, quale Responsabile del trattamento, relativamente ai trattamenti di dati personali effettuati per conto del Cliente nell'ambito dei servizi acquistati e nei casi previsti dall'art. 14 delle Condizioni Generali di Servizio.
1.4 Qualora, nell'ambito dell'erogazione dei servizi, ProfessionalMail tratti dati personali per conto del Cliente ai sensi dell'art. 28 del Regolamento (UE) 2016/679 ("GDPR"), ProfessionalMail opererà quale Responsabile del trattamento e il Cliente quale Titolare del trattamento.
2. OGGETTO E AMBITO DEL TRATTAMENTO
2.1 ProfessionalMail tratta i dati personali esclusivamente per conto del Cliente e nell'ambito dei servizi richiesti e disciplinati nel rapporto contrattuale instaurato tra le Parti, nella misura necessaria all'erogazione dei servizi acquistati, alle attività di assistenza tecnica, amministrativa e commerciale ad essi connesse e all'adempimento degli obblighi di legge applicabili.
2.2 Le categorie di interessati, le categorie di dati personali e le finalità del trattamento sono determinate dal Cliente nell'ambito dell'utilizzo dei servizi acquistati.
3. PERSONALE AUTORIZZATO
3.1 ProfessionalMail garantisce che le persone autorizzate al trattamento dei dati personali:
a) siano vincolate da obblighi di riservatezza;
b) ricevano adeguate istruzioni in materia di protezione dei dati personali;
c) accedano ai dati esclusivamente nei limiti necessari allo svolgimento delle attività loro affidate.
4. MISURE DI SICUREZZA
4.1 ProfessionalMail adotta misure tecniche ed organizzative adeguate ai sensi dell'art. 32 GDPR in relazione alle attività direttamente svolte dalla società.
4.2 Le misure di sicurezza sono commisurate alla natura dei servizi erogati, alle attività svolte da ProfessionalMail e ai rischi ragionevolmente prevedibili per i dati personali trattati.
5. SUB-RESPONSABILI E FORNITORI INFRASTRUTTURALI
5.1 Il Cliente autorizza ProfessionalMail ad avvalersi di fornitori tecnologici, infrastrutturali, applicativi e cloud che operano quali sub-responsabili del trattamento ai sensi dell'art. 28 GDPR. ProfessionalMail si assicura che tali soggetti siano vincolati da obblighi di protezione dei dati personali, riservatezza e sicurezza non inferiori a quelli applicabili a ProfessionalMail in relazione ai servizi erogati.
5.2 ProfessionalMail non gestisce direttamente data center, infrastrutture cloud, piattaforme di virtualizzazione o altre infrastrutture fisiche utilizzate per l'erogazione dei servizi e si avvale di fornitori specializzati e sub-responsabili del trattamento selezionati sulla base di adeguate garanzie tecniche, organizzative e di sicurezza.
5.3 Le misure di sicurezza fisica, infrastrutturale, sistemistica, di continuità operativa, disaster recovery, backup, protezione dei data center e delle piattaforme utilizzate per l'erogazione dei servizi sono implementate e mantenute dai rispettivi fornitori infrastrutturali e sub-responsabili.
5.4 L'elenco aggiornato dei sub-responsabili utilizzati da ProfessionalMail è disponibile su richiesta scrivendo all'indirizzo email: privacy@professionalmail.it.
5.5 ProfessionalMail potrà aggiornare l'elenco dei sub-responsabili in relazione all'evoluzione dei servizi erogati, dandone evidenza mediante aggiornamento dell'elenco pubblicato sul sito internet.
6. SERVIZI DI POSTA ELETTRONICA CERTIFICATA (PEC)
6.1 Per i servizi di Posta Elettronica Certificata (PEC), ProfessionalMail svolge attività commerciali, amministrative e di assistenza al Cliente.
6.2 L'erogazione del servizio PEC e le relative infrastrutture tecnologiche sono gestite dal Gestore PEC accreditato utilizzato da ProfessionalMail.
6.3 Le misure tecniche, organizzative e di sicurezza relative alla piattaforma PEC, ai sistemi di trasmissione, conservazione e gestione dei messaggi certificati sono implementate direttamente dal Gestore PEC in conformità alla normativa applicabile e alle regole tecniche di settore.
6.4 Per i servizi PEC il Cliente prende atto che il Gestore PEC può rendere disponibili proprie condizioni contrattuali, informative privacy, manuali operativi, regole tecniche e ulteriore documentazione relativa all'attivazione, gestione ed erogazione del servizio. Tali documenti restano autonomamente applicabili ai trattamenti e alle attività direttamente svolte dal Gestore PEC nell'ambito del servizio erogato.
7. ASSISTENZA AL TITOLARE
7.1 Tenuto conto della natura del trattamento e delle informazioni a disposizione di ProfessionalMail, quest'ultima assisterà ragionevolmente il Cliente:
a) nella gestione delle richieste di esercizio dei diritti degli interessati;
b) nella gestione delle violazioni di dati personali;
c) nell'adempimento degli obblighi previsti dagli articoli 32, 33, 34, 35 e 36 GDPR, ove applicabili.
8. DATA BREACH
8.1 ProfessionalMail notificherà al Cliente, senza ingiustificato ritardo e comunque entro 48 ore dalla conoscenza dell'evento, le violazioni di dati personali riguardanti i trattamenti effettuati per conto del Cliente delle quali venga a conoscenza.
9. AUDIT E VERIFICHE
9.1 Il Cliente potrà richiedere informazioni ragionevolmente necessarie a dimostrare il rispetto degli obblighi previsti dal presente DPA.
9.2 Eventuali audit dovranno essere richiesti con un preavviso non inferiore a trenta giorni lavorativi.
9.3 ProfessionalMail potrà fornire, in alternativa all'audit in presenza, documentazione, attestazioni, certificazioni, report o altra documentazione idonea a dimostrare il rispetto degli obblighi applicabili.
9.4 ProfessionalMail potrà opporsi alla designazione di uno specifico per giusta causa, inclusi, a titolo esemplificativo, esigenze di riservatezza, tutela del know-how aziendale, conflitti di interesse o carenza di adeguate garanzie di indipendenza e riservatezza.
10. CESSAZIONE DEL SERVIZIO
10.1 Alla cessazione del rapporto contrattuale, ProfessionalMail provvederà alla cancellazione o alla restituzione dei dati personali trattati per conto del Cliente secondo quanto previsto dalle condizioni contrattuali applicabili.
10.2 Restano salvi gli obblighi di conservazione previsti dalla legge o da ordini dell'Autorità competente, nonché i tempi tecnici necessari alla gestione dei sistemi di backup e delle copie di sicurezza.
11. DISPOSIZIONI FINALI
11.1 Per quanto non espressamente disciplinato dal presente DPA si applicano le Condizioni Generali di Servizio, il Regolamento (UE) 2016/679 ("GDPR"), il D.Lgs. 196/2003 e successive modificazioni e ogni altra normativa applicabile in materia di protezione dei dati personali.
11.2 Il presente DPA è soggetto alla legge italiana.