Data Processing Agreement
Nomina a Responsabile del trattamento ai sensi dell’art. 28 GDPR
Il presente Data Processing Agreement (“DPA”) disciplina il trattamento di dati personali effettuato da Fees S.r.l. per conto del Cliente nell’ambito dei servizi fees Can e, ove applicabile, di ulteriori servizi business o enterprise erogati da FEES in qualità di Responsabile del trattamento.
Il presente DPA costituisce parte integrante e sostanziale del contratto principale, dell’Ordine, dell’Offerta, del Service Order o di altro accordo commerciale in essere tra le Parti (il “Contratto Principale”).
1. Parti
1.1 Titolare del trattamento
Il soggetto cliente che sottoscrive il Contratto Principale (il “Titolare” o “Cliente”), che determina le finalità e i mezzi essenziali del trattamento dei dati personali oggetto del servizio.
1.2 Responsabile del trattamento
Fees S.r.l.
P.IVA / C.F.: IT01699840193
Sede legale: Via Giuseppe Di Vittorio 2, 26013 Crema (CR), Italia
Sede operativa: Via Dell’Innovazione Digitale 3, 26100 Cremona (CR), Italia
Email privacy: privacy@fees.world
PEC: fees@pec.it
Nel presente DPA, Fees S.r.l. è indicata come “Responsabile” o “FEES”.
2. Premesse e rapporto con il Contratto Principale
2.1 Il Titolare intende avvalersi di FEES per l’erogazione di servizi documentali, OCR, estrazione dati, API, integrazione, white-label, embedded o di altro servizio descritto nel Contratto Principale.
2.2 Nella misura in cui, per l’erogazione di tali servizi, FEES tratti dati personali per conto del Titolare, FEES è nominata Responsabile del trattamento ai sensi dell’art. 28 GDPR.
2.3 Il presente DPA prevale, per le materie oggetto dello stesso, su eventuali disposizioni incompatibili del Contratto Principale, salvo diverso accordo scritto espresso tra le Parti.
3. Definizioni
Ai fini del presente DPA:
GDPR: il Regolamento (UE) 2016/679;
Dati Personali: qualsiasi dato personale trattato dal Responsabile per conto del Titolare nell’ambito del Servizio;
Interessati: le persone fisiche cui i Dati Personali si riferiscono;
Servizio: il servizio o i servizi oggetto del Contratto Principale;
Sub-responsabile: qualsiasi soggetto terzo incaricato dal Responsabile di svolgere specifiche attività di trattamento per conto del Titolare;
Violazione dei Dati Personali: una violazione di sicurezza che comporti accidentalmente o in modo illecito distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai Dati Personali.
Per quanto non definito nel presente DPA, si applicano le definizioni del GDPR.
4. Oggetto, durata, natura e finalità del trattamento
4.1 Oggetto del trattamento
Il Responsabile tratta i Dati Personali nella misura necessaria all’erogazione del Servizio al Titolare.
4.2 Durata del trattamento
Il trattamento è effettuato per tutta la durata del Contratto Principale e per l’eventuale ulteriore periodo strettamente necessario:
alla gestione della cessazione del rapporto;
alla restituzione o cancellazione dei dati;
all’adempimento di obblighi di legge;
alla gestione di backup o procedure tecniche connesse.
4.3 Natura del trattamento
A seconda del Servizio attivato, il trattamento può comprendere:
raccolta, ricezione, organizzazione e conservazione di dati e documenti;
hosting e storage documentale;
OCR ed estrazione dati;
classificazione, indicizzazione, ricerca e strutturazione di dati;
trasmissione, consultazione, esportazione, condivisione e messa a disposizione;
gestione tecnica, manutenzione, sicurezza, logging e supporto;
attività strettamente necessarie alla continuità e corretta erogazione del Servizio.
4.4 Finalità del trattamento
Il Responsabile tratta i Dati Personali esclusivamente per:
eseguire il Contratto Principale;
erogare il Servizio secondo le istruzioni del Titolare;
garantire sicurezza, manutenzione, continuità operativa e supporto tecnico;
adempiere agli obblighi di legge applicabili al Responsabile.
5. Categorie di dati personali e categorie di interessati
5.1 Categorie di dati personali
A seconda del Servizio e delle istruzioni del Titolare, i Dati Personali possono includere:
dati identificativi;
dati di contatto;
dati documentali;
dati amministrativi, fiscali o contrattuali;
metadati;
dati estratti automaticamente da documenti;
log e dati tecnici connessi all’utilizzo del Servizio.
5.2 Categorie di interessati
Gli Interessati possono includere, a seconda del progetto:
clienti finali del Titolare;
dipendenti o collaboratori del Titolare;
utenti del Titolare;
fornitori o controparti del Titolare;
altri soggetti i cui dati siano presenti nei documenti o nei flussi affidati dal Titolare.
5.3 Categorie escluse di default
Salvo diverso accordo scritto e specifico, il Servizio non è destinato, come categoria ordinaria, al trattamento di:
dati sanitari;
dati giudiziari;
dati biometrici;
documenti di minori;
documenti ultra-sensibili.
Eventuali trattamenti di categorie ulteriori o più sensibili richiedono accordo scritto, setup dedicato e misure rafforzate.
6. Istruzioni documentate del Titolare
6.1 Il Responsabile tratta i Dati Personali solo su istruzioni documentate del Titolare, salvo che il trattamento sia richiesto dal diritto dell’Unione o dello Stato membro cui è soggetto il Responsabile. In tal caso, FEES informa il Titolare prima del trattamento, salvo divieto di legge.
6.2 Le istruzioni del Titolare sono contenute:
nel Contratto Principale;
nel presente DPA;
nella Service Description o documentazione tecnica applicabile;
in comunicazioni scritte successive del Titolare, purché compatibili con il Contratto Principale e tecnicamente attuabili.
6.3 Il Responsabile informerà il Titolare qualora ritenga che un’istruzione violi il GDPR o altra normativa applicabile in materia di protezione dei dati.
7. Obblighi generali del Responsabile
Il Responsabile si impegna a:
a) trattare i Dati Personali esclusivamente per l’esecuzione del Servizio e secondo le istruzioni documentate del Titolare;
b) garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
c) adottare misure tecniche e organizzative adeguate ai sensi del GDPR;
d) assistere il Titolare nei limiti previsti dal presente DPA;
e) rispettare le condizioni applicabili per il ricorso a Sub-responsabili;
f) al termine del rapporto, cancellare o restituire i dati secondo quanto previsto dal presente DPA, salvo obblighi di legge;
g) mettere a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dal presente DPA e dal GDPR.
8. Riservatezza e personale autorizzato
8.1 Il Responsabile garantisce che l’accesso ai Dati Personali sia limitato alle persone che ne abbiano necessità per l’erogazione del Servizio.
8.2 Il Responsabile assicura che il personale autorizzato:
sia adeguatamente istruito;
operi entro i limiti delle mansioni assegnate;
sia vincolato da obblighi di riservatezza.
8.3 Il Responsabile adotta misure di controllo accessi, segregazione dei ruoli e tracciamento degli accessi coerenti con il rischio e con il Servizio erogato.
9. Sicurezza del trattamento
9.1 Il Responsabile adotta misure tecniche e organizzative adeguate al rischio, ai sensi dell’art. 32 GDPR, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, dell’ambito di applicazione, del contesto, delle finalità del trattamento e del rischio per i diritti e le libertà delle persone fisiche.
9.2 Tali misure possono includere, a seconda del Servizio e dell’ambiente tecnico:
cifratura in transito;
cifratura a riposo;
controllo accessi e least privilege;
MFA per accessi privilegiati;
segregazione ambienti;
logging e monitoraggio;
backup e test di ripristino;
vulnerability management;
procedure di incident response;
misure di continuità operativa e disaster recovery.
9.3 Le misure tecniche e organizzative di dettaglio possono essere ulteriormente descritte in un allegato dedicato (“TOMs / Security Annex”), che costituisce parte integrante del presente DPA.
10. Ricorso a Sub-responsabili
10.1 Il Titolare autorizza in via generale il Responsabile a ricorrere a Sub-responsabili per l’erogazione del Servizio, ai sensi dell’art. 28(2) GDPR.
10.2 Il Responsabile:
mantiene un elenco aggiornabile dei Sub-responsabili rilevanti;
informa il Titolare di eventuali modifiche rilevanti, secondo il meccanismo previsto dalla documentazione contrattuale applicabile;
consente al Titolare, nei limiti concordati, di formulare opposizione ragionevole in caso di nuovi Sub-responsabili, in particolare nei contesti regulated.
10.3 Il Responsabile impone ai Sub-responsabili obblighi di protezione dei dati non meno onerosi di quelli previsti dal presente DPA, nella misura richiesta dal GDPR.
10.4 Il Responsabile resta responsabile nei confronti del Titolare dell’adempimento degli obblighi del Sub-responsabile, nei limiti previsti dalla normativa applicabile.
11. Trasferimenti verso Paesi terzi
11.1 Il Responsabile privilegia, ove possibile, configurazioni con dati e infrastrutture in UE/SEE.
11.2 Qualora, per l’erogazione del Servizio, si renda necessario un trasferimento di Dati Personali verso Paesi terzi o un accesso da Paesi terzi, il Responsabile assicura che ciò avvenga nel rispetto del Capo V del GDPR, adottando uno dei meccanismi consentiti, quali decisioni di adeguatezza, clausole contrattuali standard o altre garanzie appropriate.
11.3 Per clienti enterprise o regulated, FEES può prevedere:
restrizioni su specifici Sub-responsabili;
deployment dedicati;
configurazioni con maggiore controllo sulla data residency;
condizioni contrattuali rafforzate sui trasferimenti.
12. Assistenza al Titolare
Il Responsabile assiste il Titolare, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile, per quanto ragionevolmente necessario e proporzionato in relazione a:
a) gestione delle richieste di esercizio dei diritti degli interessati;
b) sicurezza del trattamento;
c) notifiche di violazioni dei dati personali;
d) valutazioni d’impatto sulla protezione dei dati (DPIA);
e) consultazioni preventive con l’autorità di controllo, ove necessarie.
13. Richieste degli interessati
13.1 Se FEES riceve direttamente da un Interessato una richiesta relativa a Dati Personali trattati per conto del Titolare, FEES:
non risponderà nel merito salvo autorizzazione del Titolare o obbligo di legge;
informerà senza ritardo il Titolare;
coopererà, per quanto ragionevolmente necessario, alla gestione della richiesta.
13.2 Il Titolare resta responsabile della valutazione e della gestione sostanziale delle richieste degli interessati, salvo diversa pattuizione espressa.
14. Violazioni dei dati personali
14.1 Il Responsabile informa il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una Violazione dei Dati Personali che riguardi i Dati Personali trattati per conto del Titolare.
14.2 La comunicazione includerà, per quanto disponibile al momento:
la natura della violazione;
le categorie e, ove possibile, il numero approssimativo di interessati e di dati coinvolti;
le probabili conseguenze;
le misure adottate o proposte per porre rimedio alla violazione e mitigarne gli effetti.
14.3 Il Responsabile coopera con il Titolare per consentire a quest’ultimo di adempiere agli eventuali obblighi di notifica verso l’autorità di controllo e/o verso gli interessati.
15. Audit e dimostrazione della conformità
15.1 Il Responsabile mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dal presente DPA e dal GDPR.
15.2 Su richiesta ragionevole del Titolare, FEES può:
condividere documentazione privacy e sicurezza;
fornire risposte a questionari di due diligence;
consentire audit documentali;
consentire, ove pattuito, audit contrattuali entro limiti ragionevoli di frequenza, preavviso, riservatezza e non interferenza con le attività operative.
15.3 Gli eventuali audit on-site o tecnici saranno soggetti a:
preavviso ragionevole;
limitazione ai soli aspetti rilevanti;
tutela delle informazioni riservate di FEES e degli altri clienti;
rimborso dei costi, ove contrattualmente previsto.
16. Restituzione e cancellazione dei dati
16.1 Alla cessazione del Contratto Principale o su istruzione del Titolare, il Responsabile, a scelta del Titolare e nei limiti tecnicamente praticabili:
restituisce i Dati Personali al Titolare; oppure
li cancella.
16.2 La restituzione e/o cancellazione avvengono secondo quanto previsto dal Contratto Principale, dal presente DPA e dalla documentazione di exit eventualmente applicabile.
16.3 Il Responsabile può conservare i Dati Personali ove ciò sia richiesto dal diritto dell’Unione o dello Stato membro applicabile. In tal caso, FEES continua a garantire la riservatezza e la protezione dei dati.
16.4 I dati cancellati dai sistemi attivi possono permanere nei backup fino al normale ciclo di sovrascrittura, senza essere più oggetto di trattamento ordinario.
16.5 Per clienti enterprise o regulated, FEES può rilasciare, ove previsto, una deletion confirmation o altra attestazione di completamento delle operazioni di restituzione/cancellazione.
17. Divieto di uso ulteriore dei dati
17.1 Il Responsabile non utilizzerà i Dati Personali del Titolare per finalità proprie incompatibili con il Servizio.
17.2 Salvo diverso accordo scritto, FEES non riutilizza i Dati Personali del Titolare per:
training generalizzato;
miglioramento generalizzato di modelli;
sfruttamento commerciale autonomo;
finalità ulteriori rispetto all’erogazione del Servizio.
17.3 Per clienti regulated, tale divieto è da intendersi come regola standard rafforzata.
18. Responsabilità
18.1 Ciascuna Parte è responsabile del rispetto degli obblighi che le competono ai sensi del GDPR e del presente DPA.
18.2 Il presente DPA non amplia né riduce, se non nei limiti consentiti, il regime di responsabilità pattuito tra le Parti nel Contratto Principale.
18.3 Resta inteso che, ai sensi del GDPR, un soggetto che determini autonomamente finalità e mezzi del trattamento al di fuori delle istruzioni del Titolare può essere considerato Titolare per quel trattamento.
19. Contatti privacy
Per questioni relative al presente DPA, il Titolare può contattare FEES ai seguenti recapiti:
privacy@fees.world
fees@pec.it
DPO FEES:
Monteluna Srl
Email: fabio@adelyon.it
PEC: montelunasrls@pec.it
20. Legge applicabile e foro
Il presente DPA è regolato dalla legge italiana, salvo applicazione di norme inderogabili del GDPR e della normativa europea in materia di protezione dei dati.
Per ogni controversia relativa al presente DPA si applica il foro previsto dal Contratto Principale, salvo diversa previsione inderogabile di legge.
21. Clausole finali
21.1 Il presente DPA entra in vigore alla data di efficacia del Contratto Principale o, se successiva, alla data della sua sottoscrizione o accettazione.
21.2 Qualora una clausola del presente DPA sia ritenuta invalida o inefficace, le restanti clausole resteranno valide ed efficaci.
21.3 Il presente DPA può essere integrato da:
allegato descrittivo del trattamento;
elenco Sub-responsabili;
TOMs / Security Annex;
clausole di exit;
eventuali allegati regulated.
Allegato 1 — Descrizione sintetica del trattamento
Oggetto del trattamento:
Erogazione del servizio fees Can e dei servizi documentali/API/integration concordati tra le Parti.
Durata:
Per la durata del Contratto Principale e per l’eventuale periodo tecnico necessario a restituzione/cancellazione, salvi obblighi di legge.
Natura del trattamento:
Raccolta, ricezione, registrazione, organizzazione, conservazione, consultazione, elaborazione, estrazione, classificazione, indicizzazione, utilizzo, comunicazione tecnica, esportazione, cancellazione.
Finalità:
Erogazione del Servizio al Titolare secondo istruzioni documentate.
Categorie di dati personali:
Dati identificativi, di contatto, documentali, amministrativi, fiscali, metadati, dati estratti da OCR, log e dati tecnici, secondo il perimetro definito dal Cliente.
Categorie di interessati:
Clienti finali del Titolare, dipendenti, collaboratori, utenti, controparti, altri soggetti i cui dati siano presenti nei documenti o flussi affidati.
Sub-responsabili:
Secondo Subprocessor List aggiornata o documentazione equivalente