Accordo sul trattamento dei dati per conto terzi (AVV)
Accordo sul trattamento dei dati per conto terzi (AVV)
Ai sensi dell'articolo 28, paragrafo 3, del Regolamento generale sulla protezione dei dati (RGPD)
1. Oggetto e durata del trattamento
1.1 Oggetto dell'accordo sono i diritti e gli obblighi delle parti nell'ambito della fornitura dei servizi ai sensi delle Condizioni Generali di Contratto (di seguito "Contratto principale") e, in particolare, l'utilizzo del software propform.io per la creazione di moduli web personalizzati, nella misura in cui il trattamento dei dati personali avvenga da parte di maklerform UG (a responsabilità limitata) (di seguito "Committente") in qualità di responsabile del trattamento per conto del cliente in qualità di titolare del trattamento (di seguito "Committente") ai sensi dell'art. 28 del GDPR. Ciò comprende tutte le attività che il Committente svolge per l'adempimento dell'incarico e che costituiscono un trattamento per conto di terzi. Ciò vale anche qualora l'incarico non faccia espressamente riferimento al presente accordo sul trattamento per conto di terzi. I servizi forniti dal Committente derivano dalle Condizioni Generali di Contratto e dai pacchetti e tariffe ivi descritti. Parte integrante del presente contratto è il pacchetto di servizi prenotato dal Committente (ad es. Basic, Premium, Enterprise).
1.2 Il presente contratto è stipulato a tempo indeterminato ed è vincolato al contratto principale, in base al quale il contraente tratta i dati personali del committente per conto di quest'ultimo. Fintantoché quest'ultimo è in vigore, le disposizioni del presente contratto continuano ad applicarsi fino alla regolare scadenza del contratto principale/dei contratti principali.
1.3 Il committente può recedere dal presente contratto senza preavviso in caso di grave violazione da parte del contraente delle norme sulla protezione dei dati o delle disposizioni del presente contratto. In particolare, il mancato rispetto degli obblighi concordati nel presente contratto e derivanti dall'art. 28 del GDPR costituisce una grave violazione.
2. Natura e finalità del trattamento
2.1 La natura del trattamento comprende tutti i tipi di trattamento ai sensi del GDPR per l'adempimento dell'incarico. Nell'ambito dell'incarico, il contraente tratta diversi dati per conto del committente. Tali dati vengono temporaneamente memorizzati presso il contraente per essere successivamente trattati dal committente. I dati vengono memorizzati all'interno del software propform.io e salvati nel software CRM del committente tramite API.
2.2 Il software offre al committente un kit di costruzione per moduli web. Dopo la pubblicazione di un modulo web da parte del committente, quest'ultimo può raccogliere diversi dati tramite il modulo web. Il committente può specificare, durante la creazione del modulo web, quali dati devono essere raccolti.
2.3 Le finalità del trattamento sono tutte quelle necessarie per la fornitura del servizio concordato contrattualmente.
3. Tipo di dati personali
3.1 La natura dei dati che il contraente tratta per conto del committente non può essere definita in modo esaustivo, poiché dipende dai moduli web e dalle domande presenti nel modulo web del committente.
3.2 Normalmente, tramite il software del contraente vengono generati i seguenti dati:
• Dati di contatto professionali e organizzativi (lavorativi): ad es. cognome, nome, indirizzo, indirizzo e-mail, numero di telefono, numero di cellulare, dimensioni dell'azienda, titolo, posizione ecc.
• Dati di contatto e di identificazione privati: ad es. cognome, nome, sesso, indirizzo, indirizzo e-mail, numero di telefono, numero di cellulare, data e luogo di nascita, titolo, ecc.
• Dati immobiliari: ad es. indirizzo, coordinate, anno di costruzione, superficie abitabile, superficie del terreno, prezzi di offerta, dotazioni ecc.
4. Cerchia degli interessati
4.1 La cerchia delle persone interessate, i cui dati vengono trattati dal contraente per conto del committente, non può essere definita in modo esaustivo, poiché dipende dai moduli web e dalla visualizzazione dei moduli web del committente.
4.2 Normalmente, i seguenti gruppi di persone sono considerati gruppi di interessati:
• Dipendenti del committente/del responsabile: dipendenti propri del committente/del responsabile (ad es. lavoratori, apprendisti, candidati, ex dipendenti).
• Clienti e fornitori del committente/del responsabile: persone che intrattengono un rapporto commerciale con il committente (ad es. clienti, fornitori)
• Esterni: qualsiasi persona che non intrattenga alcun rapporto commerciale con la rispettiva società (titolare del trattamento) (ad es. visitatori, ospiti, potenziali clienti)
5. Misure tecniche e organizzative
5.1 Il contraente si impegna nei confronti del committente a rispettare le misure tecniche e organizzative necessarie per l'osservanza delle norme applicabili in materia di protezione dei dati. Ciò include in particolare i requisiti di cui all'art. 32 del GDPR.
5.2 Lo stato delle misure tecniche e organizzative esistenti al momento della conclusione del contratto è allegato al presente contratto come Allegato 1.
5.3 Il contraente deve garantire la sicurezza ai sensi dell'art. 28, comma 3, lett. c, e dell'art. 32 del GDPR, in particolare in combinato disposto con l'art. 5, commi 1 e 2 del GDPR. Nel complesso, le misure da adottare sono misure di sicurezza dei dati e volte a garantire un livello di protezione adeguato al rischio in termini di riservatezza, integrità, disponibilità e resilienza dei sistemi. A tal fine si deve tenere conto dello stato dell'arte, dei costi di implementazione, della natura, dell'ambito e delle finalità del trattamento, nonché della diversa probabilità di verificarsi e della gravità del rischio per i diritti e le libertà delle persone fisiche ai sensi dell'art. 32, comma 1 del GDPR (dettagli nell'Allegato 1).
5.4 Le misure tecniche e organizzative sono soggette al progresso tecnico e all'evoluzione. A tal proposito, il contraente è autorizzato ad attuare misure alternative adeguate. In tal caso, il livello di sicurezza delle misure stabilite non deve essere inferiore. Le modifiche sostanziali devono essere documentate.
6. Responsabilità
6.1 Nell'ambito del presente contratto, il committente è l'unico responsabile del rispetto delle disposizioni di legge in materia di protezione dei dati, in particolare della liceità della trasmissione dei dati al contraente e della liceità del trattamento dei dati («titolare del trattamento» ai sensi dell'art. 4 n. 7 del GDPR). Ciò vale anche per quanto riguarda le finalità e i mezzi del trattamento disciplinati dal presente accordo.
6.2 Il trattamento dei dati concordato contrattualmente avviene esclusivamente in uno Stato membro dell'Unione Europea o in un altro Stato contraente dell'Accordo sullo Spazio Economico Europeo, a meno che il trasferimento dei dati verso paesi terzi non sia necessario per l'esecuzione della prestazione. Qualsiasi trasferimento verso un paese terzo richiede il previo consenso del committente e può avvenire solo se sono soddisfatti i requisiti specifici di cui agli articoli 44 e seguenti del GDPR.
7. Trattamento sulla base di istruzioni documentate
7.1 Le istruzioni sono inizialmente stabilite dal contratto principale e possono essere successivamente modificate dal committente in forma scritta o in formato elettronico (forma testuale) mediante singole istruzioni (istruzione singola). Le istruzioni verbali devono essere confermate immediatamente per iscritto o in forma testuale. Le istruzioni devono essere documentate sia dal committente che dal contraente. In caso di proposte di modifica, il contraente comunica al committente quali effetti ne derivano sulle prestazioni concordate, in particolare sulla possibilità di fornire le prestazioni, sulle scadenze e sul compenso.
7.2 Se l'attuazione dell'istruzione non è ragionevole per il contraente, quest'ultimo ha il diritto di interrompere il trattamento. Si ha in particolare una situazione di irragionevolezza quando le prestazioni vengono fornite in un'infrastruttura utilizzata da più committenti/clienti del contraente e una modifica del trattamento non è possibile o non è ragionevole per i singoli committenti.
8. Obblighi generali del contraente
8.1 Qualora il contraente sia tenuto, ai sensi dell'art. 37 del GDPR, a nominare un responsabile della protezione dei dati, questi dovrà esercitare la propria attività ai sensi degli artt. 38 e 39 del GDPR. Il contraente non è tenuto, ai sensi delle disposizioni di legge, a nominare un responsabile della protezione dei dati, poiché impiega meno di 20 persone nel trattamento permanente di dati personali. Pertanto, al momento non viene effettuata alcuna nomina. Qualora in futuro dovesse sorgere tale obbligo, il contraente ne informerà immediatamente il committente.
8.2 Il contraente tratta i dati personali esclusivamente nell'ambito degli accordi stipulati e/o nel rispetto delle eventuali istruzioni integrative impartite dal committente. Fanno eccezione le disposizioni di legge che eventualmente obbligano il contraente a un trattamento diverso. In tal caso, il contraente comunica al committente tali requisiti legali prima del trattamento, a meno che la legge in questione non vieti tale comunicazione per un importante interesse pubblico. Lo scopo, la natura e l'entità del trattamento dei dati si basano altrimenti esclusivamente sul presente contratto e/o sulle istruzioni del committente. Al contraente è vietato un trattamento dei dati che si discosti da quanto sopra, a meno che il committente non abbia dato il proprio consenso scritto.
8.3 Il contraente garantisce l'esecuzione contrattuale di tutte le misure concordate nell'ambito del trattamento dei dati personali previsto dal contratto.
8.4 Il contraente è tenuto a organizzare la propria azienda e i propri processi operativi in modo tale che i dati da lui trattati per conto del committente siano protetti nella misura necessaria e al riparo da accessi non autorizzati da parte di terzi.
8.5 Il contraente informerà immediatamente il committente qualora, a suo avviso, una direttiva impartita dal committente violi le disposizioni di legge. Il contraente ha il diritto di sospendere l'esecuzione della disposizione in questione fino a quando questa non venga confermata o modificata dal committente. Qualora il contraente possa dimostrare che un trattamento secondo le istruzioni del committente possa comportare una responsabilità del contraente ai sensi dell'art. 82 del GDPR, il contraente ha il diritto di sospendere l'ulteriore trattamento fino al chiarimento della responsabilità tra le parti.
9. Obblighi di assistenza del contraente
9.1 Il contraente adotta misure tecniche e organizzative adeguate (Allegato 1), tenuto conto della natura del trattamento, per assistere il committente nell’adempimento del suo obbligo di rispondere alle richieste degli interessati ai sensi degli articoli da 12 a 22 del GDPR.
9.2 Tenendo conto della natura del trattamento e delle informazioni a sua disposizione, il contraente assiste il titolare del trattamento nell'adempimento dei suoi obblighi ai sensi degli articoli da 32 a 36 del GDPR. In particolare per quanto riguarda la sicurezza del trattamento, le notifiche di violazioni all'autorità di controllo, l'informazione degli interessati in caso di violazione, la valutazione d'impatto sulla protezione dei dati e la consultazione dell'autorità di controllo competente. Il contraente ha il diritto di richiedere al committente un compenso adeguato per tali prestazioni, a meno che l'assistenza non sia stata resa necessaria a causa di una violazione di legge o del contratto da parte del contraente. Il contraente fornirà al committente in anticipo un'informativa sui costi.
9.3 Qualora un interessato si rivolga al contraente con richieste di rettifica, cancellazione o accesso ai dati, il contraente indirizzerà l’interessato al committente, a condizione che sia possibile attribuire la richiesta al committente in base alle indicazioni fornite dall’interessato. Il contraente inoltrerà immediatamente la richiesta dell’interessato al committente. Il contraente assisterà il committente nei limiti delle proprie possibilità. Il contraente non è responsabile qualora il committente non risponda alla richiesta dell'interessato, o lo faccia in modo errato o non entro i termini previsti.
10. Diritti di verifica del committente
10.1 Il committente ha il diritto di effettuare verifiche, d'intesa con il contraente, o di farle effettuare da revisori da nominare caso per caso. Ha il diritto di accertarsi, mediante controlli a campione, che di norma devono essere comunicati per tempo, del rispetto del presente accordo da parte del contraente nella sua attività commerciale.
10.2 Su richiesta del committente, il contraente mette a disposizione di quest’ultimo tutte le informazioni necessarie a dimostrare l’adempimento degli obblighi disciplinati dal presente contratto e dall’art. 28 del GDPR. In particolare, il contraente fornisce al committente informazioni sui dati memorizzati e sui programmi di trattamento dei dati.
10.3 Su richiesta, il contraente deve fornire al committente una prova adeguata del rispetto degli obblighi di cui all’art. 28, commi 1 e 4, del GDPR. Tale prova può essere fornita mediante la presentazione di documenti e certificati che attestino l'adozione di codici di condotta approvati ai sensi dell'art. 40 del GDPR o di procedure di certificazione approvate ai sensi dell'art. 42 del GDPR.
11. Riservatezza
11.1 Il contraente conferma di essere a conoscenza delle disposizioni di legge in materia di protezione dei dati del GDPR applicabili al trattamento dei dati per conto di terzi. Nel trattamento dei dati personali del committente, egli garantisce la segretezza dei dati e la riservatezza. Tale obbligo persiste anche dopo la cessazione del presente rapporto contrattuale.
11.2 Il contraente garantisce di istruire i dipendenti impiegati nell'esecuzione dei lavori in merito alle disposizioni di protezione dei dati a loro applicabili. Egli obbliga tali dipendenti, mediante accordo scritto, a garantire la riservatezza per la durata dell'attività e anche dopo la cessazione del rapporto di lavoro, a meno che essi non siano soggetti a un adeguato obbligo di riservatezza previsto dalla legge. Il contraente vigila sul rispetto delle norme in materia di protezione dei dati all'interno della propria azienda.
11.3 Il contraente può fornire informazioni a terzi solo previo consenso scritto, o consenso in formato elettronico, da parte del committente.
12. Obblighi di informazione del contraente e violazione della protezione dei dati personali
12.1 Il contraente informa immediatamente il committente in merito a qualsiasi violazione o presunta violazione del presente contratto o delle norme relative alla protezione dei dati personali.
12.2 Il contraente assiste il committente nell'indagine, nella limitazione dei danni e nella risoluzione delle violazioni.
12.3 Qualora i dati personali trattati ai sensi del presente accordo siano messi a rischio presso il contraente a causa di pignoramento o sequestro, di una procedura di insolvenza o di concordato o di altri eventi o misure di terzi, il contraente è tenuto a informarne immediatamente il committente. Il contraente informerà immediatamente anche tutte le autorità competenti in merito al fatto che la titolarità dei dati spetta al committente.
12.4 Qualora vengano effettuate verifiche da parte delle autorità di controllo della protezione dei dati, il contraente si impegna a comunicare il risultato al committente, nella misura in cui ciò riguardi il trattamento dei dati personali ai sensi del presente contratto. Il contraente provvederà immediatamente a porre rimedio alle carenze riscontrate nella relazione di verifica e ne informerà il committente.
12.5 Il presente punto 10 si applica analogamente agli eventi relativi a processi eseguiti da subappaltatori.
13. Subappaltatori
13.1 Per l'esecuzione dell'incarico del Committente vengono impiegati subappaltatori. Di seguito sono elencati tutti i subappaltatori.
• IONOS SE, Elgendorfer Str. 57, 56410 Montabaur: hosting del dominio e del server (ubicazione del server: Germania)
13.2 Il contraente può incaricare ulteriori subappaltatori qualora i loro servizi supportino il contraente nell’adempimento dell’incarico. Egli informa il committente per iscritto in merito a ogni modifica prevista relativa al coinvolgimento o alla sostituzione di altri subappaltatori, consentendo così al committente di opporsi a tali modifiche entro due settimane. Se il committente si oppone alle modifiche, entrambe le parti hanno il diritto di recedere in via straordinaria dal rapporto contrattuale generale a partire dal giorno dell'opposizione. L'attuazione della risoluzione straordinaria è disciplinata nelle condizioni generali di contratto del contraente. A tal fine, il contraente invierà al committente per iscritto le seguenti informazioni: descrizione della modifica prevista, nome e indirizzo del subappaltatore; quali prestazioni il subappaltatore deve fornire, il tipo di dati personali e la categoria di interessati.
13.3 Il contraente deve garantire contrattualmente che le disposizioni concordate nel presente contratto si applichino anche ai subappaltatori. Il contratto del contraente con il subappaltatore deve essere stipulato per iscritto o in formato elettronico.
13.4 Il ricorso a subappaltatori in paesi terzi è consentito solo se sono soddisfatti i requisiti specifici di cui agli articoli 44 e seguenti del GDPR.
13.5 Il contraente garantisce che il committente abbia nei confronti del subappaltatore gli stessi diritti di istruzione e di controllo che ha nei confronti del contraente ai sensi del presente contratto. Se un subappaltatore non adempie ai propri obblighi in materia di protezione dei dati, il contraente è responsabile nei confronti del committente per l'adempimento degli obblighi di tale subappaltatore.
14. Cancellazione dei dati personali
14.1 Al termine delle prestazioni di trattamento concordate nel contratto principale, il contraente è tenuto a cancellare tutti i dati personali che ha ricevuto nel corso del trattamento per conto del committente. Ciò include in particolare i risultati del trattamento dei dati, i documenti e i supporti dati ceduti e le copie dei dati personali. L'obbligo di cancellazione non sussiste qualora il contraente sia tenuto per legge, ai sensi del diritto dell'UE o degli Stati membri, a conservare ulteriormente i dati. In caso di ulteriore obbligo di conservazione, il contraente deve limitare il trattamento dei dati personali e utilizzare i dati solo per le finalità per le quali sussiste l'obbligo di conservazione. Gli obblighi relativi alla sicurezza del trattamento permangono per il periodo di conservazione. Il contraente deve cancellare i dati immediatamente non appena cessa l'obbligo di conservazione.
14.2 La cancellazione deve avvenire in modo tale che i dati non siano recuperabili.
15. Responsabilità
15.1 Il committente e il contraente rispondono nei confronti di terzi, ai sensi dell'art. 82, comma 1, del GDPR, per i danni materiali e immateriali subiti da una persona a causa di una violazione del GDPR. Se sia il committente che il contraente sono responsabili di tale danno ai sensi dell'art. 82, comma 2 del GDPR, le parti rispondono internamente di tale danno in proporzione alla loro quota di responsabilità. Se in tal caso una persona avanza una richiesta di risarcimento danni, in tutto o in gran parte, nei confronti di una delle parti, quest'ultima può esigere dall'altra parte l'esonero o l'indennizzo, nella misura corrispondente alla sua quota di responsabilità.
15.2 Il contraente fornirà al committente tutto il supporto necessario, fornendo tutte le informazioni a sua disposizione, qualora il committente sia soggetto a un procedimento amministrativo o penale, a una richiesta di risarcimento da parte di un interessato o di un terzo, o a qualsiasi altra richiesta in relazione al trattamento dei dati per conto del contraente.
15.3 Il contraente è responsabile, nei limiti previsti dalla legge, per i danni derivanti da comportamenti colposi in violazione delle norme sulla protezione dei dati o del presente accordo sulla protezione dei dati.
16. Disposizioni finali
16.1 È esclusa l'eccezione del diritto di ritenzione ai sensi del § 273 del BGB (Codice civile tedesco) per quanto riguarda i dati trattati per conto del Committente.
16.2 Per le modifiche o gli accordi accessori è richiesta la forma scritta o un formato elettronico. Ciò vale anche per le modifiche a tale requisito di forma.
16.3 Qualora una disposizione del presente accordo risultasse inefficace, ciò non pregiudica l'efficacia delle restanti disposizioni dell'accordo.
Allegato 1: Misure tecniche e organizzative del contraente
Il contraente adotta le seguenti misure tecniche e organizzative per la sicurezza dei dati ai sensi dell'art. 32 del GDPR.
1. RISERVATEZZA (art. 32, comma 1, lett. b del GDPR)
1.1 Controllo degli accessi
Il contraente adotta, tra l'altro, le seguenti misure per impedire l'accesso di persone non autorizzate alle strutture di trattamento dei dati con cui vengono trattati o utilizzati i dati:
• sistema di barriere a più livelli: accesso all'edificio, accesso all'unità organizzativa all'interno dell'edificio. Per l'accesso sono necessarie chiavi diverse, disponibili solo alle persone autorizzate.
• Serrature di sicurezza
• Regolamentazione delle chiavi (consegna/restituzione delle chiavi)
• Controllo all'uscita dalla sede
• I visitatori e i fornitori di servizi vengono accompagnati
• Videosorveglianza dell'area esterna
1.2 Controllo degli accessi
Il contraente adotta, tra l'altro, le seguenti misure per impedire l'utilizzo non autorizzato degli impianti di elaborazione dati con cui vengono trattati i dati:
• Autenticazione sicura tramite password complesse e aggiornate regolarmente per tutti i sistemi (sistema di sviluppo, server, banca dati, gestione del dominio).
• Requisiti per le password e la modifica delle password
• Autenticazione a due fattori (2FA) per l'accesso ai sistemi critici
• Impiego di firewall e blocchi IP a livello di server e database per impedire l'accesso non autorizzato e potenziali minacce da indirizzi IP non autorizzati.
• Utilizzo di Fail2ban
• Le password vengono memorizzate solo dopo la conversione tramite funzioni unidirezionali (funzioni hash). L'accesso ai dati delle password convertiti è protetto da criteri di autorizzazione ed è consentito solo ai dipendenti con le relative responsabilità.
• Concetto di diritti e ruoli (principio del "need-to-know")
• Serrature di sicurezza
• Regolamentazione delle chiavi (consegna/restituzione delle chiavi)
• I visitatori e i fornitori di servizi vengono accompagnati
• Crittografia di supporti dati mobili e computer
• Utilizzo di software antivirus
1.3 Controllo degli accessi
Il contraente adotta, tra l'altro, le seguenti misure per impedire la lettura, la copia, la modifica o la rimozione non autorizzate all'interno del sistema:
• Concetto di diritti e ruoli (principio del "need-to-know")
• Numero di amministratori ridotto al minimo indispensabile
• Requisiti per le password e le modifiche delle password
• Crittografia dei supporti dati mobili e dei computer
• Distruzione a regola d'arte dei supporti dati fisici e dei mezzi di memorizzazione (ad es. trituratore)
1.4 Controllo della separazione
Il contraente adotta, tra l'altro, le seguenti misure per garantire il trattamento separato dei dati raccolti per scopi diversi:
• Separazione tra ambiente locale, sviluppo, test e produzione (sistema live)
• Concetto di diritti e ruoli (principio del "need-to-know")
• Separazione della conservazione dei dati sotto forma di separazione logica dei dati con account specifici per cliente
• Archiviazione crittografata di tutti i dati inviati tramite moduli creati dai committenti
1.5 Pseudonimizzazione
Il contraente adotta, tra l'altro, le seguenti misure per trattare i dati personali, ove possibile, in modo tale che non possano essere associati senza ulteriori informazioni:
• I dati personali vengono crittografati con un codice alfanumerico casuale prima di essere memorizzati nel database
• Scelta adeguata delle chiavi di pseudonimizzazione
1.6 Crittografia
Il contraente adotta, tra l'altro, le seguenti misure per convertire il testo in chiaro in testo cifrato illeggibile tramite chiavi:
• Scelta adeguata della crittografia (AES-256)
• Crittografia dei computer di sviluppo e dei backup
• Registrazione automatica dell'utilizzo delle chiavi
• Controllo degli accessi (principio del "need-to-know")
• Gestione delle chiavi sicura e a prova di guasto
2. INTEGRITÀ (art. 32, par. 1, lett. b RGPD)
2.1 Controllo della trasmissione
Il contraente adotta, tra l'altro, le seguenti misure per impedire la lettura, la copia, la modifica o la rimozione non autorizzate durante la trasmissione o il trasporto elettronico:
• Tutte le trasmissioni di dati avvengono tramite protocolli crittografati (HTTPS) a tutela dell'integrità e della riservatezza dei dati (crittografia SSL della comunicazione dei dati)
• Crittografia delle e-mail in conformità con i requisiti di legge (IMAPS, STMPS, STARTTLS, SSL)
• Prevenzione di SQL injection e cross-site scripting: utilizzo di prepared statement e parametrizzazione delle query, convalida e sanificazione degli input, utilizzo di web application firewall (WAF)
2.2 Controllo degli input
Il contraente adotta, tra l'altro, le seguenti misure per garantire che sia possibile verificare e accertare a posteriori se e da chi i dati sono stati inseriti, modificati o rimossi nei sistemi di trattamento dei dati:
• Registrazione di tutte le modifiche (inserimento, modifica e cancellazione di dati) nel codice e nei database
2.3 Integrità dei dati in caso di malfunzionamenti
Garanzia che i dati personali memorizzati non possano essere danneggiati da malfunzionamenti del sistema:
• Aggiornamenti, upgrade e patch vengono installati regolarmente
• Vengono eseguiti backup regolari (ad es. server, banche dati, codice sorgente)
• I nuovi software o le nuove versioni vengono testati in ambienti di prova per evitare tali malfunzionamenti.
3. DISPONIBILITÀ E RESILIENZA (Art. 32, comma 1, lett. b, lett. c RGPD)
3.1 Controllo della disponibilità
Il contraente adotta, tra l'altro, le seguenti misure per garantire che i dati siano protetti da distruzione o perdita accidentale o intenzionale:
• Aggiornamenti regolari e gestione delle patch: aggiornamento regolare di tutti i sistemi (server, sistemi e ambienti di sviluppo, software di database, linguaggi di programmazione, framework, software antivirus ecc.) con le patch di sicurezza più recenti, previa verifica nel sistema locale e di sviluppo.
• Utilizzo di firewall e software antivirus per la protezione da minacce esterne.
• Utilizzo di Fail2ban
• Copie di backup regolari
• Utilizzo di software antivirus
• Utilizzo di firewall
• Esecuzione di test di penetrazione interni ed esterni a intervalli regolari
3.2 Ripristinabilità
Il contraente adotta, tra l'altro, le seguenti misure per garantire che la disponibilità dei dati personali e l'accesso agli stessi possano essere rapidamente ripristinati in caso di incidente fisico o tecnico:
• Elaborazione di un piano di emergenza
• Copie di sicurezza/ridondanze periodiche
3.3 Manutenzione e aggiornamento
• Aggiornamenti regolari e gestione delle patch: aggiornamento regolare di tutti i sistemi (server, sistemi e ambienti di sviluppo, software di database, linguaggio di programmazione, framework, software antivirus, ecc.) con le patch di sicurezza più recenti, previa verifica nei sistemi locali, di sviluppo e di test.
• Esecuzione di test automatici e manuali durante lo sviluppo
• Utilizzo di ambienti di test prima del go-live delle modifiche al codice e degli aggiornamenti
• Monitoraggio costante dei sistemi per quanto riguarda la registrazione e la notifica all'amministratore in caso di malfunzionamenti durante il funzionamento in produzione
4. PROCEDURE PER LA VERIFICA, LA VALUTAZIONE E L'ANALISI PERIODICA (Art. 32, comma 1, lett. d RGPD; Art. 25, comma 1 RGPD)
4.1 Gestione della protezione dei dati
• Nomina di un responsabile della protezione dei dati, qualora il contraente sia tenuto a farlo per legge
• Nomina di coordinatori della protezione dei dati, qualora le dimensioni e la struttura aziendale del contraente lo richiedano
• Registro delle attività di trattamento
• Misure di formazione / sensibilizzazione dei dipendenti
• Impegno alla riservatezza da parte dei dipendenti
• Processi definiti e documentati
• Istruzioni di lavoro / politiche relative alla protezione dei dati
• Revisioni periodiche delle misure tecnico-organizzative
4.2 Gestione della risposta agli incidenti
• Definizione di competenze e responsabilità
• Processo di segnalazione definito
• Misure definite per casi rilevanti e ipotizzabili
• Percorsi di escalation definiti
• Elenchi aggiornati di segnalazione e contatti
• Processo di verifica degli incidenti segnalati e successiva classificazione del rischio, se del caso
• Risposte preparate all'incidente
• Processo di riflessione e follow-up
4.3 Impostazioni predefinite rispettose della privacy
• Processo per garantire la privacy by design e by default in caso di modifiche
4.4 Controllo dell'incarico
• Le responsabilità del committente e del contraente derivano dal contratto principale
• Garanzia dell'esistenza di accordi di prestazione di servizi e disposizioni contrattuali legali con tutti i subappaltatori
• Rispetto della riservatezza e della segretezza dei dati