Privacy Policy
Normative sul trattamento dei dati
PRIVACY POLICY - ACCORDO SUL TRATTAMENTO DEI DATI (EX ART. 28 GDPR)
1. Oggetto e Premesse
Il presente Allegato B (di seguito “DPA”) definisce i termini e le condizioni in base ai quali il Fornitore (Robson S.r.l.), in qualità di Responsabile del Trattamento (Data Processor), tratterà i Dati Personali per conto del Cliente, che agisce in qualità di Titolare del Trattamento (Data Controller), nell’ambito del Contratto di Servizi Grimmy Cloud (di seguito il “Contratto Principale”).
2. Dettagli del Trattamento
2.1 Oggetto del Trattamento
I Dati Personali che sono caricati, raccolti, generati, archiviati ed elaborati dal Cliente tramite l’utilizzo del Servizio “Grimmy Cloud”.
2.2 Finalità del Trattamento
Esecuzione del Contratto Principale, ovvero: raccolta, trasporto, archiviazione, elaborazione, analisi e visualizzazione dei dati IoT e dei dati associati necessari al funzionamento della piattaforma.
2.3 Natura dei Dati Personali
Dati identificativi (es. indirizzi IP, username e-mail degli utenti del Cliente), Dati relativi all’ubicazione (se raccolti dai sensori), Dati relativi al lavoro (es. metadati di utilizzo della macchina/impianto), Dati tecnici (es. chiavi API).
2.4 Categorie di Interessati
Utenti finali del Cliente (es. dipendenti, tecnici, manutentori) che utilizzano l’applicazione web/mobile Grimmy Cloud; Soggetti terzi eventualmente monitorati dai sistemi IoT del Cliente (a discrezione e responsabilità del Cliente).
2.5 Durata del Trattamento
Per la durata del Contratto Principale e per il periodo di conservazione post-contrattuale specificato all’Art. 15
3. Istruzioni e Obblighi del Fornitore (Responsabile)
Il Fornitore si impegna a:
3.1. Trattare i Dati Personali esclusivamente su istruzione documentata del Cliente e per le finalità stabilite nel Contratto Principale, compreso il trasferimento di Dati Personali verso un paese terzo o un’organizzazione internazionale (salvo che tale trasferimento sia richiesto dal diritto dell’Unione o dello Stato membro cui è soggetto il Fornitore).
3.2. Garantire la Riservatezza (Art. 28(3)(b) GDPR) e assicurare che le persone autorizzate a trattare i Dati Personali (dipendenti e collaboratori) si siano impegnate alla riservatezza o abbiano un obbligo legale appropriato di riservatezza.
3.3. Adottare tutte le Misure Tecniche e Organizzative adeguate (Art. 32 GDPR) per garantire un livello di sicurezza commisurato al rischio. Tali misure includono la crittografia, la pseudonimizzazione, la capacità di garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi.
3.4. Rispettare le Condizioni per Ricorrere a Sub-Responsabili (Art. 28(2) e (4) GDPR): Il Fornitore non ricorrerà ad altro Responsabile del Trattamento (Sub-Responsabile) senza specifica autorizzazione generale del Cliente. L’elenco dei Sub-Responsabili attualmente utilizzati è disponibile nell’Appendice A del presente Allegato. Il Fornitore dovrà informare preventivamente il Cliente di eventuali modifiche.
3.5. Assistere il Cliente (Art. 28(3)(e) GDPR) con misure tecniche e organizzative adeguate, laddove possibile, per l’adempimento dell’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’Interessato (Capo III GDPR: accesso, rettifica, cancellazione, ecc.).
3.6. Assistere il Cliente per garantire il rispetto degli obblighi di cui agli Articoli 32-36 del GDPR: Sicurezza, Notifica di violazione (Data Breach), Valutazione d’Impatto (DPIA) e consultazione preventiva.
3.7. Notificare immediatamente il Cliente in caso di Violazione dei Dati Personali (Data Breach) non appena ne viene a conoscenza.
3.8. Restituire o Cancellare i Dati ( Art. 28(3)(g) GDPR ) alla scadenza del Contratto, come specificato nell’Art. 15, salvo obblighi legali di conservazione.
4. Obblighi del Cliente (Titolare)
Il Cliente, in qualità di Titolare del Trattamento, si impegna a:
4.1. Garantire la Base Giuridica: Assicurare che vi sia una valida base giuridica (es. consenso, interesse legittimo) per il trattamento dei Dati Personali, in particolare per la raccolta dei dati tramite dispositivi IoT.
4.2. Fornire Istruzioni Legittime: Garantire che le istruzioni fornite al Fornitore siano conformi al GDPR e a tutte le leggi e regolamenti applicabili.
4.3. Adempiere agli Obblighi di Informativa: Fornire agli Interessati le informative sul trattamento dei dati personali ( Art. 13 e 14 GDPR ) previste dalla legge.
5. Audit e Ispezioni
Il Fornitore metterà a disposizione del Cliente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente Allegato e consentirà e contribuirà a attività di audit e ispezioni, anche tramite un auditor indipendente autorizzato dal Cliente, purché tali attività siano ragionevolmente richieste e sostenute a spese del Cliente, e non compromettano la sicurezza dei dati degli altri clienti del Fornitore.
APPENDICE A – ELENCO DEI SUB-RESPONSABILI ATTUALI
Sub-Responsabile e ubicazione del trattamento dei dati
- Digital Ocean – Amsterdam, Olanda (UE) – Servizio di Hosting e Archiviazione Cloud (DB)
- Amazon Web Services – Dublino, Irlanda (UE) – Servizio di Invio messaggi (EMAIL)
- Google Cloud – Francoforte, Germania (UE) – Servizio di Workspace (DOC)