Data Protection Agreement

Il presente Data Protection Agreement (il ” DPA “) è parte integrante del contratto di servizi offerti da LEA (regolati dal ” Contratto“) verso il Cliente.

1. Definizioni

1. del Cliente Per “Dati personali” si intendono tutti i dati personali trattati da LEA per conto del Cliente per eseguire i Servizi previsti dal Contratto principale.
2. “Leggi applicabili sulla protezione dei dati” indica il GDPR, come recepito nella legislazione nazionale di ciascuno Stato membro (e del Regno Unito) e come modificato, sostituito o abrogato di volta in volta, e le leggi che attuano, sostituiscono o integrano il GDPR e tutte le leggi applicabili al trattamento dei dati personali del cliente, incluso il California Consumer Privacy Rights Act del 2020, che modifica il California Consumer Privacy Act del 2018 Cal. Civ. Code § 1798.100 e seguenti (” CCPA “).
3. “GDPR” significa il Regolamento generale sulla protezione dei dati (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
4. Per “Infrastruttura LEA” si intendono (i) le strutture fisiche di LEA; (ii) l’infrastruttura ospitata; (iii) la rete aziendale di LEA e la rete interna non pubblica, il software e l’hardware necessari per fornire i Servizi e controllati da LEA; in ogni caso nella misura in cui vengono utilizzati per fornire i Servizi.
5. “Trasferimento limitato” indica un trasferimento dei dati personali del Cliente da LEA a un sub-responsabile del trattamento laddove tale trasferimento sarebbe vietato dalle leggi sulla protezione dei dati applicabili (o dai termini degli accordi di trasferimento dati stipulati per affrontare le restrizioni sul trasferimento dati delle leggi sulla protezione dei dati applicabili) in assenza di adeguate garanzie richieste per tali trasferimenti ai sensi delle leggi sulla protezione dei dati applicabili.
6. Per “Servizi” si intendono i servizi forniti al Cliente da LEA ai sensi del Contratto principale.
7. “Clausole contrattuali standard” indica la versione più recente delle clausole contrattuali standard per il trasferimento di dati personali a responsabili del trattamento stabiliti in paesi terzi ai sensi del GDPR (la versione vigente alla data del presente DPA è quella allegata alla decisione 2021/914 (UE) della Commissione europea del 4 giugno 2021).
8. I termini “ consenso ”, “ titolare del trattamento ”, “ interessato ”, “ Stato membro ”, “ dati personali ”, “ violazione dei dati personali ”, “ responsabile del trattamento ”, “ sub-responsabile del trattamento”, “ trattamento ”, “ autorità di controllo ” e “ terza parte ” hanno il significato loro attribuito nell’articolo 4 del GDPR.
9. Conformità alle leggi applicabili sulla protezione dei dati

LEA e il Cliente dovranno rispettare le disposizioni e gli obblighi imposti dalle Leggi applicabili in materia di protezione dei dati e dovranno assicurarsi che i propri dipendenti e sub-responsabili osservino le disposizioni delle Leggi applicabili in materia di protezione dei dati.

2. Dettagli e ambito del trattamento

Il Trattamento dei Dati Personali del Cliente nell’ambito del Contratto sarà effettuato in conformità con le seguenti disposizioni e come richiesto dalle Leggi Applicabili in materia di Protezione dei Dati. Le Parti potranno modificare la presente informativa di volta in volta, qualora lo ritengano ragionevolmente necessario per soddisfare tali requisiti.

Oggetto e durata del trattamento dei dati personali: L’oggetto e la durata del trattamento dei dati personali sono stabiliti nell’Accordo principale.

Natura e finalità del trattamento dei dati personali: ai sensi del Contratto, LEA fornisce al Cliente determinati servizi che comportano il trattamento di dati personali. Tali attività di trattamento includono (a) la fornitura dei Servizi; (b) l’individuazione, la prevenzione e la risoluzione di problemi tecnici e di sicurezza; e (c) la risposta alle richieste di supporto del Cliente.

Tipi di dati personali da trattare: i dati personali inviati alla rete di LEA, la cui entità è determinata e controllata dal Titolare del trattamento a sua esclusiva discrezione, possono includere nome, e-mail, numeri di telefono, indirizzo IP e altri dati personali inclusi negli elenchi dei contatti e nel contenuto dei messaggi o delle chiamate.

Esclusione del titolare del trattamento dei dati indipendente : nonostante qualsiasi altra disposizione qui contenuta, quando si elaborano dati personali nel corso della fornitura di servizi di comunicazione come parte dei Servizi, inclusa la trasmissione e lo scambio di SMS tramite reti di telecomunicazioni e altri messaggi e comunicazioni, tra cui e-mail, voce e altri media tramite altre piattaforme di comunicazione, indipendentemente dal fatto che il Cliente agisca come titolare del trattamento o responsabile del trattamento, LEA agisce come titolare del trattamento dei dati indipendente e non come titolare del trattamento congiunto, al fine di fornire i propri servizi di comunicazione e svolgere le proprie funzioni e attività necessarie in qualità di fornitore di servizi di comunicazione, comprese le misure necessarie per prevenire spam e frodi e il controllo, la sicurezza e la manutenzione della propria rete, la gestione delle proprie funzioni aziendali e di conformità, e in conformità con i propri obblighi ai sensi delle leggi applicabili.

Categorie di interessati a cui si riferiscono i dati personali: mittenti e destinatari di messaggi di posta elettronica e SMS, chiamate vocali o altre comunicazioni.

LEA tratterà i Dati Personali del Cliente esclusivamente (i) al fine di adempiere ai propri obblighi ai sensi del Contratto Principale e (ii) in conformità con le istruzioni documentate descritte nel presente DPA o come altrimenti indicato dal Cliente di volta in volta. Tali istruzioni del Cliente saranno documentate nell’ordine applicabile, nella descrizione dei servizi, nel ticket di supporto, in altre comunicazioni scritte o come indicato dal Cliente stesso utilizzando i Servizi.
Qualora LEA ritenga ragionevolmente che un’istruzione del Cliente sia contraria alle disposizioni del Contratto o del presente DPA, o che violi il GDPR o altre disposizioni applicabili in materia di protezione dei dati, dovrà informarne tempestivamente il Cliente. In entrambi i casi, LEA sarà autorizzata a rinviare l’esecuzione dell’istruzione in questione fino a quando non sia stata modificata dal Cliente o non sia stata concordata tra il Cliente e LEA.
Il Cliente è l’unico responsabile dell’utilizzo e della gestione dei dati personali inviati o trasmessi tramite i Servizi, inclusi: (i) la verifica delle informazioni del destinatario, quali numero di telefono o indirizzo, e la loro corretta immissione nei Servizi; (ii) la ragionevole notifica a qualsiasi destinatario della natura non sicura delle e-mail o dei messaggi come mezzo di trasmissione di dati personali (ove applicabile); (iii) la ragionevole limitazione della quantità o del tipo di informazioni divulgate tramite i Servizi; (iv) la crittografia di tutti i dati personali trasmessi tramite i Servizi, ove appropriato o richiesto dalla legge applicabile (ad esempio tramite l’uso di allegati crittografati, set di strumenti PGP o S/MIME). Le informazioni caricate sui Servizi, incluso il contenuto dei messaggi, vengono archiviate in formato crittografato al momento dell’elaborazione da parte dell’Infrastruttura LEA.

3. Titolare del trattamento e Responsabile del trattamento

Ai fini del presente DPA, il Cliente è il titolare del trattamento dei propri Dati personali e LEA è il responsabile del trattamento di tali dati, tranne quando il Cliente agisce in qualità di responsabile del trattamento dei propri Dati personali, nel qual caso LEA è un sub-responsabile.

LEA dovrà sempre disporre di un responsabile incaricato di assistere il Cliente (i) nel rispondere alle richieste relative al Trattamento dei Dati ricevute dagli Interessati; e (ii) nell’adempimento di tutti gli obblighi di informazione e informativa legali applicabili e associati al Trattamento dei Dati. Tale assistenza può essere richiesta all’indirizzo lea @ lexetars.com.

Il Cliente garantisce che:

Il trattamento dei dati personali del cliente si basa su basi giuridiche per il trattamento, come potrebbe essere richiesto dalle leggi applicabili sulla protezione dei dati e che ha ottenuto e manterrà per tutta la durata del contratto principale tutti i diritti, le autorizzazioni, le registrazioni e i consensi necessari in conformità e come richiesto dalle leggi applicabili sulla protezione dei dati in relazione al trattamento da parte di LEA dei dati personali del cliente ai sensi del presente DPA e del contratto principale;
ha il diritto e possiede tutti i diritti, i permessi e i consensi necessari per trasferire i Dati personali del Cliente a LEA e altrimenti consentire a LEA di elaborare i Dati personali del Cliente per suo conto, in modo che LEA possa legalmente utilizzare, elaborare e trasferire i Dati personali del Cliente al fine di fornire i Servizi ed eseguire gli altri diritti e obblighi di LEA ai sensi del presente DPA e del Contratto principale;

informerà i propri Interessati in merito all’utilizzo di Responsabili del trattamento nell’elaborazione dei loro dati personali, nella misura richiesta dalle Leggi applicabili sulla protezione dei dati; e,

risponderà in tempi ragionevoli e nella misura ragionevolmente praticabile alle richieste degli interessati in merito al trattamento dei loro dati personali e fornirà tempestivamente a LEA istruzioni appropriate.
Riservatezza

LEA garantisce che tutto il suo personale e quello dei sub-responsabili autorizzati a trattare i Dati personali del Cliente siano soggetti a impegni di riservatezza o obblighi professionali o statutari di riservatezza e siano formati sui requisiti di sicurezza e protezione dei dati pertinenti.

4. Misure tecniche e organizzative

In relazione ai Dati personali del Cliente, LEA dovrà (a) adottare e documentare misure ragionevoli e appropriate in relazione alla sicurezza dell’Infrastruttura LEA e delle piattaforme utilizzate per fornire i Servizi come descritto nel Contratto e (b) su richiesta ragionevole e a spese del Cliente, assistere il Cliente nel garantire la conformità agli obblighi del Cliente ai sensi delle Leggi applicabili sulla protezione dei dati.

Le procedure operative interne di LEA devono essere conformi ai requisiti specifici di una gestione efficace della protezione dei dati.

5. Richieste dell’interessato

LEA fornisce strumenti specifici per assistere i clienti nel rispondere alle richieste ricevute dagli interessati. Quando LEA riceve un reclamo, una richiesta o una richiesta (incluse le richieste presentate dagli interessati per esercitare i propri diritti ai sensi delle Leggi Applicabili sulla Protezione dei Dati) relativa ai Dati Personali del Cliente direttamente dagli interessati, LEA ne darà comunicazione al Cliente. Tenendo conto della natura del trattamento, LEA assisterà il Cliente, mediante misure tecniche e organizzative adeguate, nella misura in cui ciò sia ragionevolmente possibile, per l’adempimento dell’obbligo del Cliente di rispondere alle richieste di esercizio dei diritti di tali interessati.

6. Violazioni dei dati personali

LEA informerà il Cliente senza indebito ritardo non appena verrà a conoscenza di una violazione dei dati personali che riguarda i Dati Personali del Cliente. LEA, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, compirà ogni sforzo commercialmente ragionevole per fornire al Cliente informazioni sufficienti a consentirgli, a proprie spese, di adempiere a qualsiasi obbligo di segnalazione o informazione alle autorità di regolamentazione, agli interessati e ad altre entità in merito a tale violazione dei dati personali, nella misura richiesta dalle Leggi Applicabili in materia di Protezione dei Dati.

7. Valutazioni di impatto sulla protezione dei dati

LEA, tenendo conto della natura del trattamento e delle informazioni disponibili, fornirà al Cliente, a spese di quest’ultimo, un’assistenza ragionevole per le valutazioni d’impatto sulla protezione dei dati e le consultazioni preventive con le autorità di vigilanza o altre autorità di regolamentazione competenti, come richiesto dal Cliente per adempiere ai propri obblighi ai sensi delle Leggi applicabili sulla protezione dei dati.

8. Revisioni contabili

LEA metterà a disposizione del Cliente, su richiesta ragionevole, le informazioni ragionevolmente necessarie per dimostrare la conformità al presente DPA.

Il Cliente o un revisore terzo incaricato, su richiesta scritta ragionevole, può effettuare un audit in relazione al trattamento dei dati personali del Cliente da parte di LEA e nella misura necessaria in conformità alle leggi sulla protezione dei dati e senza interrompere le operazioni aziendali di LEA e garantendo la riservatezza.

Il diritto di audit di cui sopra si applicherà al Cliente nel caso in cui LEA non abbia fornito prove sufficienti della propria conformità alle disposizioni del presente DPA. Per prove sufficienti si intende la presentazione di: (i) una certificazione di conformità alla norma ISO 27001 o ad altri standard implementati da LEA (ambito di applicazione come definito nel certificato); oppure (ii) un rapporto di audit o attestazione di una terza parte. Un audit come descritto sarà effettuato a spese del Cliente e richiederà un preavviso ragionevole da parte del Cliente di almeno trenta (30) giorni.

9. Restituzione o distruzione dei dati personali del Cliente

Il Cliente può, mediante comunicazione scritta a LEA entro e non oltre il momento della risoluzione del Contratto, richiedere la restituzione e/o la cancellazione di tutte le copie dei Dati Personali del Cliente in possesso o sotto il controllo di LEA e dei sub-responsabili del trattamento. LEA fornirà una copia dei Dati del Cliente in un formato che possa essere letto ed elaborato ulteriormente.

Entro novanta (90) giorni solari dalla chiusura dell’account, LEA cancellerà tutti i dati personali trattati ai sensi del presente DPA, a meno che il Cliente non ne richieda la restituzione come descritto al punto precedente. Tale disposizione non pregiudica eventuali obblighi legali delle Parti di conservare i dati per i periodi di conservazione stabiliti dalla legge o dal Contratto.

Eventuali costi aggiuntivi derivanti dalla restituzione dei dati personali dopo la risoluzione o la scadenza del Contratto saranno a carico del Cliente.

10. Trasferimenti di dati

Il Cliente riconosce e accetta che, in relazione all’esecuzione dei Servizi previsti dal Contratto, LEA possa trasferire dati personali all’interno del proprio gruppo aziendale.

LEA non trasferirà mai dati personali a terzi senza consenso preventivo ed esplicito del Cliente.

Qualora per ragioni meramente tecniche ed indipendenti dalla volontà di LEA, i dati personali vengano trattati al di fuori del Paese in cui ha sede legale LEA, LEA garantirà un adeguato livello di protezione dei dati personali mediante misure organizzative, tecniche e contrattuali, come richiesto dalle Leggi sulla protezione dei dati applicabili e dal presente DPA.

11. Sub-elaborazione

Il Cliente autorizza in via generale LEA a nominare sub-responsabili del trattamento in conformità al presente DPA. LEA garantirà che i sub-responsabili del trattamento siano vincolati da accordi scritti che impongono loro di fornire almeno il livello di protezione dei dati richiesto a LEA dal presente DPA. Il Cliente autorizza inoltre LEA a continuare a utilizzare i sub-responsabili del trattamento già incaricati alla data del presente DPA.

LEA sarà responsabile degli atti e delle omissioni di eventuali sub-responsabili del trattamento, così come lo è nei confronti del Cliente per i propri atti e omissioni in relazione alle questioni previste nel presente DPA.

12. Legge applicabile e giurisdizione

Le parti del presente DPA si sottopongono alla scelta della giurisdizione stipulata nell’Accordo principale rispetto a qualsiasi controversia o reclamo derivante in qualsiasi modo dal presente DPA, comprese le controversie relative alla sua esistenza, validità o risoluzione o alle conseguenze della sua nullità.

Il presente DPA e tutti gli obblighi extracontrattuali o di altro tipo derivanti da o in relazione allo stesso sono disciplinati dalle leggi del Paese o del territorio stipulato a tal fine nell’Accordo principale.

Fatto salvo quanto sopra indicato, tutti gli obblighi derivanti da o in connessione con gli articoli del presente DPA saranno disciplinati dalle leggi dell’Italia.

13. Ordine di precedenza

Per quanto riguarda l’oggetto del presente DPA, in caso di incongruenze tra le disposizioni del presente DPA e qualsiasi altro accordo tra le Parti, incluso il Contratto, gli accordi stipulati o che si suppone siano stipulati dopo la data del presente DPA, prevarranno sulle le disposizioni del presente DPA.

14. Separazione

Qualora una qualsiasi disposizione del presente DPA dovesse risultare invalida o inapplicabile, le restanti disposizioni del presente DPA rimarranno valide e in vigore. La disposizione invalida o inapplicabile sarà (i) modificata secondo quanto necessario per garantirne la validità e l’applicabilità, preservando il più possibile le intenzioni delle parti o, qualora ciò non fosse possibile, (ii) interpretata come se la parte invalida o inapplicabile non fosse mai stata in essa contenuta.

15. Risoluzione

Il presente DPA e le Clausole Contrattuali Standard cesseranno di avere effetto contestualmente e automaticamente alla risoluzione del Contratto.

Cookie	Durata	Descrizione
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.