Contratto per il Trattamento dei Dati
Ai sensi dell’articolo 28.3 del Regolamento (UE) 2016/679 Regolamento Generale sulla Protezione dei Dati
Comparizione delle Parti
Le parti identificate nell’APPENDICE I del presente contratto, agendo nella qualità in cui intervengono e riconoscendosi reciprocamente la capacità giuridica necessaria per contrarre obbligazioni e vincolarsi.
Premesse
Il Regolamento Generale sulla Protezione dei Dati (Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio), di seguito RGPD-UE, stabilisce che il trattamento dei dati personali da parte di un responsabile del trattamento sia disciplinato da un contratto o da un altro atto giuridico. Il contenuto di tale contratto è disciplinato dall’articolo 28.3 del RGPD-UE.
Clausole
1. Oggetto dell’Incarico
Mediante le presenti clausole si autorizza SOCIALO, RESPONSABILE del trattamento, a trattare per conto del TITOLARE del trattamento i dati personali necessari per la prestazione del seguente servizio:
Fornitura di un servizio di piattaforma digitale destinata a facilitare e dinamizzare la vita culturale e comunitaria, promuovendo la partecipazione dei membri e migliorando la comunicazione interna in collegi universitari, residenze universitarie e altre comunità o istituzioni educative.
Il trattamento dei dati personali comprenderà le seguenti operazioni: Raccolta, Registrazione, Organizzazione, Modifica, Conservazione, Estrazione, Consultazione, Comunicazione mediante trasmissione, Diffusione, Interconnessione, Raffronto, Limitazione, Cancellazione, Distruzione e Comunicazione.
2. Identificazione delle Informazioni Interessate
Per l’esecuzione delle prestazioni derivanti dall’adempimento dell’oggetto del presente incarico, il TITOLARE autorizza il RESPONSABILE a trattare le seguenti categorie di dati personali, il cui dettaglio concreto sarà determinato dal TITOLARE mediante la configurazione dei moduli di registrazione e delle funzionalità della piattaforma:
2.1. Categorie di Dati Personali
Il RESPONSABILE è autorizzato a trattare esclusivamente le seguenti categorie di dati personali, nella misura in cui il TITOLARE li abiliti e li fornisca attraverso la piattaforma:
a) Dati identificativi: Nome, cognome, documento di identità (DNI, NIE, passaporto o altro documento identificativo), fotografia.
b) Dati di contatto: Indirizzo e-mail (personale e istituzionale), numero di telefono cellulare e fisso, indirizzo postale, profili di social network professionali.
c) Dati di contesto organizzativo: Informazioni accademiche, professionali o di contesto rilevanti per la comunità (ad esempio: corso di laurea, istituzione, dipartimento, area professionale, specializzazione, carica, funzione o ruolo all’interno dell’organizzazione).
d) Dati di ubicazione o assegnazione: Ubicazione, spazio assegnato o informazione di appartenenza all’interno dell’organizzazione (ad esempio: numero di stanza, edificio, ufficio, area, sezione, gruppo, team o unità), date di ingresso e di cessazione prevista, ove applicabile.
e) Dati di partecipazione e attività: Attività a cui partecipa, eventi a cui assiste, preferenze di attività, interessi personali dichiarati, gruppi o commissioni di appartenenza, commenti e valutazioni.
f) Dati del profilo utente: Biografia personale, interessi, hobby, lingue, competenze, preferenze di notifica e comunicazione.
g) Dati di utilizzo della piattaforma: Registro degli accessi, data e ora di connessione, pagine visitate all’interno della piattaforma, interazioni con i contenuti.
h) Altri dati identificativi: Qualsiasi altro dato di carattere identificativo non compreso nelle categorie precedenti che il TITOLARE ritenga necessario fornire al RESPONSABILE per la corretta prestazione del servizio oggetto del presente contratto, purché non costituiscano categorie particolari di dati ai sensi dell’articolo 9 del RGPD.
2.2. Categorie di Interessati
a) Membri della comunità: Persone che fanno parte dell’organizzazione, comunità o istituzione e utilizzano la piattaforma (ad esempio: residenti, collegiali, studenti, membri, soci, associati, partecipanti o utenti abituali).
b) Personale dell’organizzazione: Personale amministrativo, dirigenziale, di gestione, coordinamento e altro personale autorizzato dal TITOLARE che necessiti dell’accesso alla piattaforma per lo svolgimento delle proprie funzioni.
c) Altri utenti autorizzati: Qualsiasi altra persona fisica che il TITOLARE autorizzi espressamente ad accedere alla piattaforma (ad esempio: ex membri, collaboratori esterni, fornitori di servizi o attività, ospiti, visitatori).
2.3. Finalità del Trattamento
I dati personali saranno trattati dal RESPONSABILE esclusivamente per le seguenti finalità connesse alla prestazione del servizio:
- Gestione degli utenti e controllo degli accessi alla piattaforma.
- Facilitazione della comunicazione interna tra i membri della comunità e con l’amministrazione dell’organizzazione.
- Organizzazione e promozione di attività, eventi e servizi dell’organizzazione.
- Miglioramento della partecipazione e del coinvolgimento dei membri della comunità.
- Invio di notifiche e comunicazioni relative al servizio.
- Manutenzione, supporto tecnico e miglioramento della piattaforma.
- Elaborazione di statistiche aggregate e anonimizzate sull’utilizzo della piattaforma.
2.4. Esclusione Espressa delle Categorie Particolari di Dati
Il RESPONSABILE NON tratterà in nessun caso categorie particolari di dati personali ai sensi dell’articolo 9 del RGPD, che comprendono:
- Dati che rivelino l’origine razziale o etnica.
- Opinioni politiche.
- Convinzioni religiose o filosofiche.
- Appartenenza sindacale.
- Dati genetici.
- Dati biometrici intesi a identificare in modo univoco una persona fisica.
- Dati relativi alla salute fisica o mentale.
- Dati relativi alla vita sessuale o all’orientamento sessuale di una persona fisica.
Non tratterà altresì dati relativi a condanne penali e reati ai sensi dell’articolo 10 del RGPD.
Il TITOLARE garantisce che non abiliterà né fornirà al RESPONSABILE alcun dato compreso in tali categorie particolari. Nel caso in cui il RESPONSABILE rilevi accidentalmente il trattamento di tali categorie di dati, dovrà notificarlo immediatamente al TITOLARE affinché quest’ultimo adotti le misure correttive opportune, inclusa la cancellazione immediata di detti dati.
2.5. Determinazione dei Dati Specifici da Parte del TITOLARE
Il TITOLARE è l’unico soggetto legittimato a determinare quali dati specifici, tra le categorie sopra descritte, siano necessari e proporzionati per la prestazione del servizio. Tale determinazione avverrà mediante:
- La configurazione dei campi obbligatori e facoltativi nei moduli di registrazione della piattaforma.
- L’abilitazione o disabilitazione di funzionalità specifiche che richiedano il trattamento di determinate categorie di dati.
- Le istruzioni specifiche comunicate al RESPONSABILE in ogni momento.
Il RESPONSABILE si impegna a non trattare alcun dato personale a cui abbia accesso per una finalità diversa da quella espressamente autorizzata dal TITOLARE, né a effettuare operazioni di trattamento che eccedano le istruzioni ricevute.
3. Durata
Il presente accordo entrerà in vigore alla data della sua sottoscrizione e rimarrà in vigore per tutta la durata del rapporto contrattuale tra le parti derivante dal contratto di sottoscrizione dei servizi di Socialo. La risoluzione, per qualsiasi causa, del contratto principale comporterà automaticamente la cessazione del presente accordo per il trattamento dei dati, fatti salvi gli obblighi che devono permanere conformemente a quanto stabilito nella Sezione 4 (Restituzione dei Dati).
4. Restituzione dei Dati
Al termine del presente accordo:
-
Il TITOLARE disporrà di un termine di 30 giorni di calendario dalla data di cessazione del rapporto contrattuale per scaricare dalla piattaforma tutte le informazioni disponibili nel proprio account. Il RESPONSABILE metterà a disposizione i mezzi tecnici necessari per detta estrazione in formato strutturato, di uso comune e leggibile da dispositivo automatico (ad esempio: JSON, CSV, XML), conformemente all’articolo 28.3.g del RGPD.
Nota: Il termine di 30 giorni di calendario è considerato ragionevole per la maggior parte dei casi. In situazioni eccezionali che richiedano un termine superiore a causa del volume dei dati, il TITOLARE dovrà farne richiesta per iscritto prima della cessazione del contratto, e le parti concorderanno in buona fede una proroga ragionevole.
-
Trascorso tale termine, il RESPONSABILE procederà alla cancellazione o alla restituzione di tutti i dati personali al TITOLARE, secondo le indicazioni di quest’ultimo, e cancellerà le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri ne imponga la conservazione.
-
Il RESPONSABILE potrà conservare i dati personali debitamente bloccati per un periodo massimo di 5 anni dalla cessazione dell’accordo, esclusivamente per far fronte a eventuali responsabilità legali derivanti dall’esecuzione del contratto (fiscali, civili, commerciali o amministrative), in conformità all’articolo 32 della LOPDGDD e all’articolo 1.964.2 del Codice Civile spagnolo.
-
Durante il periodo di blocco, i dati non potranno essere consultati né trattati dal RESPONSABILE, se non per la loro messa a disposizione di organi giurisdizionali, del Pubblico Ministero (Ministerio Fiscal), delle Pubbliche Amministrazioni competenti, del Difensore del Popolo (Defensor del Pueblo), della Corte dei Conti (Tribunal de Cuentas) o delle autorità di protezione dei dati che lo richiedano per l’esercizio delle proprie funzioni.
-
Trascorso il periodo di blocco senza che sia risultata necessaria la loro conservazione, i dati saranno definitivamente eliminati mediante procedure sicure che ne impediscano il recupero.
5. Obblighi del RESPONSABILE del Trattamento
5.1. Finalità
Il RESPONSABILE utilizzerà i dati personali oggetto di trattamento esclusivamente per la finalità del presente incarico. In nessun caso potrà utilizzare i dati per fini propri.
5.2. Istruzioni del TITOLARE
Il RESPONSABILE tratterà i dati conformemente alle istruzioni del TITOLARE.
Qualora il RESPONSABILE ritenga che una delle istruzioni violi il RGPD-UE o qualsiasi altra disposizione in materia di protezione dei dati dell’Unione o degli Stati membri, il RESPONSABILE ne informerà immediatamente il TITOLARE.
5.3. Registro delle Attività di Trattamento
Il RESPONSABILE terrà un registro di tutte le categorie di attività di trattamento effettuate per conto del TITOLARE, che conterrà:
-
Il nome e i dati di contatto del responsabile o dei responsabili e di ciascun titolare per conto del quale il responsabile agisce e, se del caso, del rappresentante del titolare o del responsabile e del responsabile della protezione dei dati.
-
Le categorie di trattamenti effettuati per conto di ciascun titolare.
-
Trasferimenti internazionali: Se del caso, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione di detto paese terzo o organizzazione internazionale. Nel caso dei trasferimenti di cui all’articolo 49, paragrafo 1, secondo comma del RGPD-UE, la documentazione delle garanzie adeguate.
-
Descrizione generale delle misure tecniche e organizzative di sicurezza relative a:
a) La pseudonimizzazione e la cifratura dei dati personali.
b) La capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
c) La capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico.
d) Una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
5.4. Divieto di Comunicazione
Il RESPONSABILE non comunicherà i dati a terzi, salvo che disponga dell’autorizzazione espressa del TITOLARE, nei casi legalmente ammissibili.
Il RESPONSABILE può comunicare i dati ad altri responsabili del trattamento dello stesso TITOLARE, conformemente alle istruzioni del TITOLARE. In tal caso, il TITOLARE identificherà, preventivamente e per iscritto, l’entità a cui devono essere comunicati i dati, i dati da comunicare e le misure di sicurezza da applicare per procedere alla comunicazione.
5.5. Trasferimento Internazionale
Il RESPONSABILE potrà trasferire dati personali verso paesi terzi o organizzazioni internazionali quando ciò sia necessario per la prestazione del servizio, purché siano rispettate le garanzie previste dal Capo V del RGPD (decisioni di adeguatezza, clausole contrattuali tipo o altri meccanismi legalmente riconosciuti).
Il RESPONSABILE manterrà aggiornato un elenco di tutti i sub-responsabili, compresi quelli che effettuano trasferimenti internazionali, specificando i paesi di destinazione e i meccanismi di protezione applicati. Tale elenco è allegato come APPENDICE II e sarà aggiornato ogni volta che un sub-responsabile del trattamento venga aggiunto, sostituito o rimosso.
Qualora fosse legalmente richiesto il trasferimento di dati da parte di autorità pubbliche di paesi terzi, il RESPONSABILE ne informerà preventivamente il TITOLARE, ove ciò sia legalmente possibile, affinché il TITOLARE possa esercitare le azioni che ritenga opportune.
5.6. Sub-responsabilità
Autorizzazione generale con notifica preventiva: Il TITOLARE autorizza in via generale il RESPONSABILE a subappaltare servizi di trattamento dei dati personali, purché siano rispettate le condizioni stabilite nel presente paragrafo.
Categorie di servizi subappaltabili:
Il RESPONSABILE potrà incaricare sub-responsabili nell’ambito delle seguenti categorie di servizi:
- Fornitori di hosting e infrastruttura cloud
- Servizi di comunicazione e messaggistica (e-mail, SMS, notifiche)
- Elaborazione dei pagamenti
- Analisi, monitoraggio e gestione degli errori
- Database gestiti e archiviazione
- CDN e archiviazione di file
- Servizi di autenticazione e sicurezza
- Altri servizi tecnici ausiliari necessari per la prestazione del servizio
Il RESPONSABILE potrà incaricare, sostituire o utilizzare fornitori nell’ambito delle categorie sopra indicate senza necessità di notifica preventiva né di autorizzazione aggiuntiva da parte del TITOLARE. La notifica preventiva (con 10 giorni lavorativi di anticipo per esercitare il diritto di opposizione) sarà necessaria esclusivamente nel caso in cui il RESPONSABILE intenda incaricare sub-responsabili che NON rientrino nelle categorie sopra menzionate.
Il RESPONSABILE si impegna a garantire che tutti i sub-responsabili incaricati rispettino obblighi equivalenti in materia di protezione dei dati conformemente al RGPD. Un elenco aggiornato dei sub-responsabili attivi è allegato come APPENDICE II al presente contratto.
5.7. Obbligo di Segretezza
Il RESPONSABILE e tutto il suo personale manterranno l’obbligo di segretezza in relazione ai dati personali a cui abbiano avuto accesso in virtù del presente incarico, anche dopo la cessazione dello stesso.
5.8. Impegni Scritti di Riservatezza
Il RESPONSABILE garantirà che le persone autorizzate al trattamento dei dati personali si impegnino, in modo espresso e per iscritto, a rispettare la riservatezza e a osservare le misure di sicurezza corrispondenti, delle quali devono essere debitamente informate.
Il RESPONSABILE terrà a disposizione del TITOLARE la documentazione attestante l’adempimento di tale obbligo.
5.9. Formazione delle Persone Autorizzate
Il RESPONSABILE garantirà la formazione necessaria in materia di protezione dei dati personali delle persone autorizzate al trattamento dei dati personali.
5.10. Assistenza in Caso di Esercizio dei Diritti
Il RESPONSABILE assisterà il TITOLARE nella risposta all’esercizio dei seguenti diritti:
- Accesso, rettifica, cancellazione e opposizione
- Limitazione del trattamento
- Portabilità dei dati
- Diritto a non essere sottoposto a decisioni individuali automatizzate (inclusa la profilazione)
Quando gli interessati esercitino i diritti di accesso, rettifica, cancellazione e opposizione, limitazione del trattamento, portabilità dei dati e il diritto a non essere sottoposti a decisioni individuali automatizzate presso il RESPONSABILE, quest’ultimo dovrà comunicarlo via e-mail al TITOLARE. La comunicazione dovrà avvenire immediatamente e in ogni caso entro il giorno lavorativo successivo al ricevimento della richiesta, unitamente, ove applicabile, ad altre informazioni che possano essere rilevanti per la risoluzione della richiesta.
5.11. Diritto all’Informazione
Spetta al TITOLARE garantire il diritto all’informazione al momento della raccolta dei dati.
5.12. Notifica delle Violazioni di Sicurezza
Il RESPONSABILE notificherà al TITOLARE, senza indebito ritardo e in ogni caso entro il termine massimo di 48 ore dal momento in cui ne sia venuto effettivamente a conoscenza, le violazioni della sicurezza dei dati personali sotto la propria responsabilità di cui abbia avuto notizia, unitamente a tutte le informazioni rilevanti. Saranno fornite, come minimo, le seguenti informazioni:
a) Descrizione della natura della violazione della sicurezza dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni di dati personali interessate.
b) Il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto del RESPONSABILE presso il quale possano essere ottenute ulteriori informazioni.
c) Descrizione delle probabili conseguenze della violazione della sicurezza dei dati personali.
d) Descrizione delle misure adottate o proposte per porre rimedio alla violazione della sicurezza dei dati personali, comprese, ove applicabile, le misure adottate per attenuarne i possibili effetti negativi.
Qualora non sia possibile fornire le informazioni contemporaneamente, e nella misura in cui ciò non sia possibile, le informazioni saranno fornite in modo graduale senza indebito ritardo.
Il RESPONSABILE effettuerà tale comunicazione tramite e-mail contrassegnata come URGENTE all’indirizzo di posta elettronica previamente concordato.
Comunicazione alle Autorità di Protezione dei Dati: Spetta al TITOLARE comunicare le violazioni della sicurezza dei dati all’Autorità di Protezione dei Dati.
Comunicazione agli interessati: Spetterà al TITOLARE comunicare le violazioni della sicurezza dei dati agli interessati, ove necessario. Il RESPONSABILE fornirà il supporto necessario affinché il TITOLARE possa effettuare detta comunicazione nel minor tempo possibile.
5.13. Supporto nella Realizzazione delle Valutazioni d’Impatto sulla Protezione dei Dati
Il RESPONSABILE fornirà supporto al TITOLARE nella realizzazione delle valutazioni d’impatto sulla protezione dei dati, ove opportuno.
5.14. Supporto nella Realizzazione delle Consultazioni Preventive alle Autorità di Controllo
Il RESPONSABILE fornirà supporto al TITOLARE nella realizzazione delle consultazioni preventive all’autorità di controllo, ove opportuno.
5.15. Adempimento degli Obblighi
Il RESPONSABILE metterà a disposizione del TITOLARE le informazioni ragionevolmente necessarie per dimostrare il rispetto dei propri obblighi in materia di protezione dei dati. Tali informazioni potranno comprendere certificazioni di sicurezza, documentazione relativa a politiche e procedure, o rapporti di audit esistenti.
Presentazione di rapporti di audit esistenti:
Il TITOLARE accetta che il RESPONSABILE possa soddisfare i requisiti di audit mediante la presentazione di rapporti di audit recenti (con un’anzianità inferiore a 12 mesi) realizzati da altri clienti o auditor indipendenti, purché coprano le aree rilevanti del trattamento dei dati. Nel caso in cui il TITOLARE ritenga che tali rapporti non siano sufficienti per le proprie esigenze specifiche, potrà richiedere un audit aggiuntivo giustificandone la necessità.
Il TITOLARE potrà richiedere la realizzazione di audit con una frequenza massima di una volta l’anno, salvo che sussista una causa giustificata (come una violazione di sicurezza, cambiamenti significativi nel trattamento dei dati o richiesta da parte di un’autorità competente). Gli audit dovranno essere notificati con un preavviso minimo di 30 giorni di calendario, svolgersi esclusivamente in orario lavorativo del RESPONSABILE (dal lunedì al venerdì, dalle 9:00 alle 18:00), per via telematica salvo che l’accesso fisico sia strettamente necessario, e non potranno interferire con le normali operazioni aziendali.
L’auditor dovrà preventivamente sottoscrivere un accordo di riservatezza con il RESPONSABILE, rispettare ogni informazione riservata non attinente all’audit ed essere soggetto alla supervisione del personale del RESPONSABILE durante l’intero processo. I costi dell’audit saranno a carico del TITOLARE, salvo che vengano rilevate inadempienze significative da parte del RESPONSABILE.
5.16. Misure di Sicurezza
Il RESPONSABILE applicherà come minimo le misure di sicurezza che consentano di:
a) Garantire la riservatezza, l’integrità, la disponibilità e la resilienza permanenti dei sistemi e dei servizi di trattamento.
b) Ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico.
c) Verificare, valutare e stimare regolarmente l’efficacia delle misure tecniche e organizzative attuate per garantire la sicurezza del trattamento.
d) Pseudonimizzare e cifrare i dati personali, ove applicabile.
5.17. Responsabile della Protezione dei Dati
Il RESPONSABILE comunicherà l’identità e i dati di contatto del responsabile della protezione dei dati al TITOLARE, ogniqualvolta la sua nomina sia obbligatoria o il RESPONSABILE vi abbia proceduto in modo volontario.
6. Obblighi del TITOLARE del Trattamento
Spetta al TITOLARE del trattamento:
a) Fornire al RESPONSABILE i dati necessari per la prestazione dei servizi di cui al presente accordo.
b) Effettuare, ove la normativa lo preveda, una valutazione d’impatto sulla protezione dei dati personali delle operazioni di trattamento da effettuarsi da parte del RESPONSABILE.
c) Effettuare le consultazioni preventive pertinenti presso le Autorità di Protezione dei Dati.
d) Vigilare, preventivamente e durante l’intero trattamento, sul rispetto del RGPD-UE da parte del RESPONSABILE.
e) Supervisionare il trattamento dei dati, inclusa la realizzazione di ispezioni e audit.
7. Inadempimento
L’inadempimento da parte del RESPONSABILE degli obblighi di cui al presente accordo comporterà che lo stesso sia considerato anche titolare del trattamento, rispondendo dinanzi alle Autorità di Protezione dei Dati, o dinanzi a qualsiasi terzo, delle infrazioni che possano essere state commesse in conseguenza dell’esecuzione del presente accordo e/o del rispetto della legislazione vigente in materia di protezione dei dati personali.
8. Responsabilità
Tanto il TITOLARE quanto il RESPONSABILE risponderanno della totalità dei danni e pregiudizi arrecati all’altra parte in tutti i casi di condotta negligente o colposa nell’adempimento degli obblighi rispettivamente a loro carico, ai sensi di quanto pattuito nel presente accordo.
Nessuna delle parti assumerà alcuna responsabilità per la mancata esecuzione o il ritardo nell’esecuzione di uno qualsiasi degli obblighi derivanti dal presente accordo, qualora tale mancata esecuzione o ritardo sia dovuto a causa di forza maggiore o caso fortuito riconosciuto come tale dalla giurisprudenza, purché tale evento sia: (i) imprevedibile, (ii) inevitabile e insuperabile, e (iii) estraneo alla parte che lo invoca.
Saranno considerate cause di forza maggiore: catastrofi naturali di portata straordinaria (terremoti, inondazioni catastrofiche), guerra, atti terroristici o misure eccezionali di confinamento totale adottate dalle autorità governative che impediscano materialmente l’esecuzione del servizio.
Non saranno considerate cause di forza maggiore: guasti tecnici ordinari, interruzioni dell’alimentazione elettrica di durata inferiore a 24 ore continuative, scioperi interni del RESPONSABILE, né qualsiasi circostanza che avrebbe potuto essere evitata mediante l’adozione di ragionevoli misure tecniche e organizzative di sicurezza, inclusa l’implementazione di sistemi di ridondanza, copie di sicurezza e piani di continuità aziendale.
In particolare, gli obblighi di sicurezza, riservatezza e notifica delle violazioni della sicurezza dei dati del RESPONSABILE non saranno esonerati da cause di forza maggiore, salvo che il loro adempimento risulti materialmente impossibile a causa della distruzione fisica totale degli impianti e delle copie di sicurezza.
9. Riservatezza
Il RESPONSABILE garantisce che manterrà la più rigorosa riservatezza e il rispetto espresso del dovere di segreto professionale in relazione agli affari del TITOLARE durante la vigenza della prestazione dei servizi e dopo la sua cessazione.
Il RESPONSABILE, durante e dopo la vigenza del presente accordo, tratterà ogni informazione di proprietà del TITOLARE in modo strettamente riservato, adottando le misure necessarie affinché il suo contenuto non venga divulgato a terzi, né questi possano avervi accesso senza l’autorizzazione espressa del TITOLARE.
Ai fini del presente accordo, si intende per informazione riservata qualsiasi informazione suscettibile di essere comunicata verbalmente, per iscritto o con qualsiasi altro mezzo o supporto, tangibile o intangibile, attualmente conosciuto o che sarà inventato in futuro, sia essa scambiata in conseguenza del presente rapporto contrattuale sia designata come riservata da una parte all’altra.
10. Notifiche
Ogni notifica necessaria ai fini del presente accordo sarà effettuata per iscritto all’attenzione e all’indirizzo di chi figura nell’intestazione del presente accordo.
11. Disposizioni Generali
Il presente contratto contiene l’intero accordo tra le parti sullo stesso oggetto e sostituisce e rimpiazza qualsiasi precedente accordo, verbale o scritto, raggiunto tra le parti. Altresì, in caso di contraddizione tra le condizioni stipulate nel presente accordo e qualsiasi altro accordo precedentemente sottoscritto tra le parti, prevarranno le condizioni stipulate nel presente accordo.
Nulla di quanto stabilito nel presente accordo implica identità tra le parti, né che una sia considerata agente dell’altra. Nessuna delle parti risponderà di qualsiasi dichiarazione, atto od omissione dell’altra parte che sia contraria a quanto sopra.
Qualsiasi modifica del contenuto del presente accordo sarà efficace solo se effettuata per iscritto e con il consenso di entrambe le parti.
La mancata pretesa da parte di una delle parti di uno qualsiasi dei propri diritti ai sensi del presente accordo non sarà considerata come rinuncia a detti diritti in futuro.
I documenti contrattuali sono, in ordine di priorità, il presente contratto e i suoi allegati. In caso di contraddizione, il contratto prevarrà sugli allegati.
12. Legge Applicabile e Foro Competente
Il presente accordo sarà regolato e interpretato conformemente alla legislazione spagnola per tutto quanto non espressamente disciplinato, e le parti si sottopongono, per le controversie che possano insorgere in relazione allo stesso, alla competenza dei Tribunali di Madrid, con rinuncia a qualsiasi altro foro che possa loro spettare.
APPENDICE I — Identificazione delle Parti e Descrizione del Trattamento
Titolare/i del Trattamento
- Nome: ___________________________
- Indirizzo: ___________________________
- Nome della persona di contatto: ___________________________
- Telefono: ___________________________
- Email: ___________________________
Responsabile/i del Trattamento
- Nome: Socialo, S.L.
- NIF: B26602979
- Indirizzo: Paseo de la Castellana, 194, Bajo B, 28046 Madrid, Spagna
- Nome della persona di contatto: José Javier Román Camacho
- Carica: CEO
- Email: dpo@socialo.live
Descrizione del trattamento
- Creazione e gestione degli utenti sulla piattaforma.
- Gestione e archiviazione dei dati personali necessari per fornire i servizi di comunicazione e partecipazione comunitaria.
- Invio di notifiche e comunicazioni relative all’utilizzo della piattaforma.
- Organizzazione e promozione di attività ed eventi.
- Servizi di qualità e miglioramento della piattaforma.
- Assistenza tecnica.
Categorie di interessati i cui dati personali sono trattati
- Membri della comunità o dell’organizzazione
- Personale amministrativo e dirigenziale
- Altri utenti autorizzati
Comunicazione
Email: dpo@socialo.live
SOCIALO ha designato un Responsabile della Protezione dei Dati nella propria organizzazione. Per qualsiasi richiesta relativa al trattamento dei tuoi dati personali, puoi contattarci all’indirizzo e-mail sopra indicato.
Natura del trattamento
Raccolta, conservazione, recupero, consultazione, utilizzo, limitazione, cancellazione o distruzione.
Finalità per le quali i dati personali sono trattati per conto del Titolare del Trattamento
Fornitura dei servizi concordati nel presente contratto. La base giuridica è pertanto il rapporto contrattuale con il Titolare.
Durata del trattamento
La durata del presente contratto è stabilita nella Sezione 3 del presente documento.
APPENDICE II — Sub-responsabili del Trattamento
Ultimo aggiornamento: Febbraio 2026
I seguenti sub-responsabili del trattamento sono autorizzati a trattare dati personali per conto di Socialo, S.L.:
| Nome dell’Entità | Attività del Sub-responsabile | Ubicazione | Meccanismo di Trasferimento | Utilizzo del Prodotto |
|---|---|---|---|---|
| Google Cloud Platform | Servizi di infrastruttura cloud e hosting | Stati Uniti / Unione Europea | EU-US Data Privacy Framework | Infrastruttura principale della piattaforma |
| Google Analytics | Servizi di analisi web | Stati Uniti | EU-US Data Privacy Framework | Statistiche aggregate sull’utilizzo della piattaforma |
| GetStream | Messaggistica in tempo reale e feed di attività | Unione Europea | N/A (all’interno del SEE) | Chat e notifiche |
| Twilio SendGrid | Servizi di invio e-mail | Stati Uniti | EU-US Data Privacy Framework | E-mail transazionali |
Aggiornamento di questo elenco
Questo elenco viene aggiornato ogni volta che un sub-responsabile del trattamento viene aggiunto, sostituito o rimosso. La data dell’ultimo aggiornamento è indicata all’inizio del documento.
Contatto
Per ulteriori informazioni sui sub-responsabili del trattamento: dpo@socialo.live
Il presente documento è una traduzione fornita a scopo puramente informativo. In caso di discrepanza o conflitto tra questa versione e l’originale in spagnolo, prevarrà la versione in spagnolo.