ALLEGATO "C"

ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI - DATA PROCESSING AGREEMENT – "DPA" ex art. 28 del Regolamento UE 2016/679

In ossequio a quanto disposto dall'articolo 17 delle Condizioni, le Parti, con la sottoscrizione del Contratto, si impegnano a rispettare quanto disposto dal presente "Accordo per il trattamento dei dati personali – Data Processing Agreement" ("DPA"), il quale disciplina le condizioni e le modalità del trattamento dei dati personali eseguite da Hermeracles nell'ambito del Contratto e le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto da Hermeracles quale Responsabile del trattamento dei dati personali ai sensi dell'art. 28 del Regolamento generale europeo sulla protezione dei dati del 27 aprile 2016 n. 679 ("GDPR");

Ai fini del presente DPA, le definizioni di cui alle Condizioni avranno il medesimo significato ivi indicato, salvo quanto diversamente disposto nel prosieguo, e i seguenti termini – tanto al singolare, che al plurale a seconda del contesto – si interpreteranno come specificato nella tabella di cui appresso, fermo restando che ogni altro termine non espressamente definito dovrà essere interpretato in conformità alla normativa vigente in materia di protezione dei dati personali, in particolare il GDPR ed il D.lgs. 196 del 30 giugno 2003 (assieme, "Normativa in Tema di Protezione dei Dati Personali":

Art. 1 - Oggetto dell'accordo e Finalità del Trattamento.

1.1 il presente DPA disciplina, ai sensi dell'articolo 28 del GDPR, le modalità e le condizioni alle quali Hermeracles tratta i Dati Personali per conto del Cliente, nell'ambito dell'erogazione dei servizi forniti tramite l'Applicativo in modalità SaaS ai sensi del Contratto.

1.2 Le Parti riconoscono e convengono espressamente che il Cliente riveste la qualifica di Titolare del Trattamento in relazione ai Dati Personali degli Utenti. Hermeracles opera esclusivamente in qualità di Responsabile del Trattamento, trattando i Dati Personali unicamente per conto del Titolare del Trattamento.

1.3 Il Responsabile del Trattamento si impegna a trattare i Dati Personali esclusivamente per le finalità connesse all'esecuzione dei servizi oggetto del Contratto ai sensi del presente DPA, delle istruzioni documentali impartite dal Titolare e della normativa nazionale e sovranazionale applicabile in materia di protezione dei Dati Personali, astenendosi da qualsiasi utilizzo dei Dati Personali per finalità proprie o ulteriori rispetto a quelle determinate dal Titolare.

1.4 Le categorie di Dati Personali trattati dal Responsabile del Trattamento per conto del Titolare del Trattamento sono indicate in via esemplificativa e non esaustiva all'Articolo 3 del presente DPA. Il Responsabile del Trattamento svolge esclusivamente le operazioni di Trattamento strettamente necessarie, pertinenti e proporzionate all'erogazione dei servizi di cui al Contratto, mediante la messa a disposizione dell'Applicativo in modalità SaaS.

1.5 Le Parti riconoscono e accettano che qualsiasi violazione del presente DPA da parte del Titolare del Trattamento o del Responsabile del Trattamento costituisce grave inadempimento contrattuale e integra violazione del Contratto. Resta salva, in tal caso, la facoltà della Parte non inadempiente di risolvere il Contratto con effetto immediato, secondo quanto previsto dal medesimo, fatto salvo ogni ulteriore diritto o rimedio previsto dalla legge, ivi compreso il risarcimento dei danni.

Articolo 2 - Dati Personali trattati.

2.1 Il Responsabile del Trattamento tratterà i Dati Personali identificativi esclusivamente per dare esecuzione al Contratto, nei limiti e secondo le modalità di quanto disposto dallo stesso, dal presente DPA, dalle istruzioni del Titolare del Trattamento, dalla Normativa in Tema di Protezione dei Dati Personali e nel rispetto degli obblighi di legge. Le operazioni di Trattamento svolte dal Responsabile possono comprendere, nei limiti di quanto strettamente necessario alla fornitura dei servizi, la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'estrazione, l'utilizzo, la comunicazione mediante trasmissione, nonché la cancellazione o distruzione dei Dati Personali degli Utenti. Tali Dati Personali possono includere sia informazioni fornite direttamente dagli Utenti in sede di prenotazione, sia dati rilevati automaticamente dall'Applicativo in funzione delle impostazioni del dispositivo dell'Utente, delle preferenze tecniche o linguistiche, ovvero delle modalità di utilizzo del Servizio, nella misura in cui tali dati risultino necessari a garantire il corretto funzionamento dell'Applicativo, l'erogazione dei Servizi richiesti e una corretta esperienza d'uso per l'Utente.

2.2 I Dati Personali oggetto di Trattamento da parte del Responsabile, in funzione dei servizi attivati dal Titolare e a titolo meramente esemplificativo e non esaustivo, possono includere: dati identificativi e di contatto (quali nome, cognome, lingua, indirizzo di posta elettronica, numero di telefono), informazioni connesse alla prenotazione (quali data, orario, numero di persone), eventuali preferenze o annotazioni fornite volontariamente dall'Utente in sede di prenotazione, incluse indicazioni relative alla sua salute come esigenze alimentari o allergie.

2.3 Ove, nell'ambito dell'erogazione dei servizi, siano trattati Dati Personali rientranti nelle categorie particolari di cui all'articolo 9 del GDPR, il Titolare resta esclusivamente responsabile della sussistenza delle condizioni di liceità del relativo Trattamento, nonché dell'adempimento degli obblighi informativi nei confronti degli Interessati. Il Responsabile tratta tali Dati Personali unicamente in via strumentale e per finalità strettamente connesse all'erogazione dei servizi, nel rispetto delle istruzioni documentate del Titolare e del presente DPA.

2.4 Il Titolare del Trattamento dichiara e garantisce che i Dati Personali oggetto del presente DPA sono e saranno raccolti in modo lecito, corretto e trasparente, nel rispetto dei principi di cui all'articolo 5 del GDPR, e che il loro conferimento al Responsabile del Trattamento non viola diritti o libertà degli Interessati. Resta inteso che il Titolare del Trattamento è l'unico responsabile della determinazione delle finalità e delle basi giuridiche del Trattamento dei Dati Personali degli Utenti.

Articolo 3 – Nomina e autorizzazione al Trattamento dei Dati Personali in qualità di Responsabile.

3.1 Con la stipula del Contratto e del presente DPA, il Titolare nomina Hermeracles quale Responsabile del Trattamento ai sensi dell'articolo 28 del GDPR. La presente nomina ha efficacia dalla data di stipula e rimane valida per tutta la durata del rapporto contrattuale intercorrente tra le Parti, salvo cessazione anticipata, da qualsiasi motivo determinata, nei casi e secondo le modalità previste dal Contratto, dalle Condizioni e dalla normativa applicabile.

3.2 Il Responsabile si impegna a trattare i Dati Personali esclusivamente per conto del Titolare, in modo lecito, corretto e trasparente, nel rispetto della normativa vigente, nazionale e sovranazionale, in materia di protezione dei Dati Personali, nonché in conformità alle istruzioni documentate impartite dal Titolare ai sensi dell'articolo 28, paragrafo 3, del GDPR.

3.3 Il Titolare dichiara di aver valutato preventivamente e ritenuto adeguate, ai sensi dell'articolo 28, paragrafo 1, del GDPR, le garanzie fornite dal Responsabile in relazione all'adozione di misure tecniche e organizzative idonee a garantire che il Trattamento dei Dati Personali sia effettuato in conformità al GDPR e assicuri la tutela dei diritti e delle libertà fondamentali degli Interessati.

Articolo 4 – Durata dell'incarico e del Trattamento dei Dati Personali.

4.1 Il presente (DPA) e la nomina del Responsabile del Trattamento in esso contenuta entrano in vigore alla data di stipula del Contratto e rimangono efficaci per tutta la durata del rapporto contrattuale intercorrente tra le Parti.

4.2 Il Trattamento dei Dati Personali da parte del Responsabile è limitato al periodo strettamente necessario all'erogazione dei servizi oggetto del Contratto e, successivamente alla cessazione dello stesso, potrà proseguire esclusivamente nei limiti e per le finalità previste dal presente DPA e dalla normativa applicabile, in particolare per consentire la restituzione dei Dati Personali al Titolare, la loro cancellazione o l'adempimento di obblighi di conservazione imposti dalla Legge.

4.3 Resta inteso che, anche successivamente alla cessazione del Contratto, per qualsiasi motivo determinata, le disposizioni del presente DPA continuano ad applicarsi ai Dati Personali eventualmente ancora detenuti dal Responsabile fino alla loro definitiva cancellazione o anonimizzazione, secondo quanto previsto dall'articolo 9 che segue.

Articolo 5 - Gestione degli Autorizzati da parte del Responsabile del Trattamento.

5.1 Il Responsabile del Trattamento garantisce che il Trattamento dei Dati Personali è effettuato esclusivamente da personale competente in qualità di Autorizzato, ai sensi dell'articolo 29 del GDPR e dell'articolo 2-quaterdecies del D.Lgs. 196/2003, e debitamente istruito in merito alle rispettive responsabilità e agli obblighi derivanti dal presente DPA.

5.2 In conformità all'articolo 32, paragrafo 4, del GDPR, il Responsabile si impegna a consentire l'accesso e il Trattamento dei Dati Personali unicamente agli Autorizzati che, per esperienza, competenza e formazione, siano idonei a garantire il rispetto della normativa applicabile in materia di protezione dei Dati Personali. Nello specifico, il Responsabile assicura che ciascun Autorizzato: a) sia formalmente nominato per iscritto e autorizzato alle specifiche operazioni di Trattamento dei Dati Personali di competenza; b) riceva istruzioni operative documentate e adeguate, con particolare riferimento al Trattamento dei Dati Personali in conformità al presente DPA e alla normativa applicabile, alle misure da adottare per prevenire violazioni dei Dati Personali e alle procedure da seguire in caso di Data Breach, nonché alle modalità di gestione delle richieste di esercizio dei diritti degli Interessati; c) sia sottoposto a idonee attività di vigilanza e controllo in merito al rispetto delle istruzioni ricevute.

5.3 Il Responsabile adotta misure tecniche e organizzative idonee a garantire che gli Autorizzati abbiano accesso esclusivamente ai Dati Personali strettamente necessari per l'esecuzione del Contratto o per l'adempimento di obblighi di legge, nel rispetto dei principi di minimizzazione e di limitazione delle finalità.

5.4 Il Responsabile garantisce che tutto il personale coinvolto nell'esecuzione del Contratto agisca nel rispetto degli obblighi di riservatezza, e sia consapevole del carattere confidenziale dei Dati Personali e delle informazioni ricevute dal Titolare. Resta inteso che le disposizioni del presente articolo si applicano esclusivamente agli Autorizzati che operano sotto l'autorità diretta del Responsabile e non si estendono ai Sub-responsabili, la cui nomina e disciplina sono regolate dall'articolo 9 del presente DPA.

Articolo 6 - Controlli e obblighi del Responsabile

6.1 Il Responsabile del Trattamento si impegna a trattare i Dati Personali esclusivamente per conto del Titolare e nel rispetto del presente DPA, del Contratto, delle istruzioni documentate impartite dal Titolare e della Normativa in Tema di Protezione dei Dati Personali.

6.2 Il Responsabile garantisce che il Trattamento dei Dati Personali è effettuato nel rispetto dei principi di liceità, correttezza e sicurezza, adottando misure tecniche e organizzative adeguate ai sensi dell'articolo 32 del GDPR, idonee a garantire un livello di sicurezza proporzionato ai rischi del Trattamento, nonché la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di Trattamento. Il Responsabile precisa che le misure di sicurezza adottate potranno essere aggiornate o modificate nel tempo in funzione dell'evoluzione tecnologica e dei rischi, purché tali aggiornamenti non comportino una riduzione del livello di sicurezza complessivamente assicurato e si impegna a informare, senza indebito ritardo, il Titolare riguardo eventuali criticità idonee a compromettere i sistemi utilizzati per l'erogazione dei servizi.

6.3 I Dati Personali sono conservati e trattati all'interno dello Spazio Economico Europeo (SEE), in particolare presso infrastrutture di fornitori di servizi cloud localizzate nell'Unione Europea. Qualsiasi trasferimento di Dati Personali verso Paesi terzi o organizzazioni internazionali avverrà esclusivamente nel rispetto degli articoli 44 e seguenti del GDPR e sarà preventivamente comunicato al Titolare, salvo i casi in cui tale comunicazione sia vietata dalla legge.

6.4 Il Responsabile assicura la riservatezza dei Dati Personali trattati e garantisce che gli Autorizzati siano vincolati da obblighi di riservatezza di natura legale o contrattuale e abbia ricevuto adeguata formazione in materia di protezione dei Dati Personali.

6.5 Qualora il Responsabile ritenga che un'istruzione impartita dal Titolare violi il GDPR o altre disposizioni applicabili in materia di protezione dei Dati Personali, ne informa senza ritardo il Titolare, sospendendo, ove necessario, l'esecuzione dell'istruzione fino a ricezione di chiarimenti o indicazioni conformi.

6.6 Il Responsabile fornisce al Titolare un'assistenza ragionevole, tenuto conto della natura del Trattamento e delle informazioni a sua disposizione, ai fini della gestione delle richieste di esercizio dei diritti degli Interessati e dell'adempimento degli obblighi relativi alla sicurezza del Trattamento, alla notifica delle violazioni dei Dati Personali e alle valutazioni d'impatto sulla protezione dei Dati Personali ai sensi degli articoli 32 e ss. del GDPR.

6.7 In caso di Data Breach concernente i Trattamenti effettuati per conto del Titolare, il Responsabile ne darà comunicazione al Titolare senza indebito ritardo, entro 48 (quarantotto) ore dalla scoperta, fornendo le informazioni disponibili e collaborando per l'adozione delle misure correttive necessarie. La comunicazione conterrà tutte le informazioni utili per consentire al Titolare di adempiere agli obblighi di cui agli artt. 33 e 34 GDPR

6.8 Il Responsabile mette a disposizione del Titolare, su sua specifica richiesta, le informazioni necessarie a dimostrare il rispetto degli obblighi previsti dal presente DPA e consente lo svolgimento di audit, nel rispetto di criteri di ragionevolezza, proporzionalità e previa adeguata pianificazione. Il Responsabile potrà opporsi motivatamente alla nomina di revisori esterni che non offrano adeguate garanzie di indipendenza, competenza o riservatezza, ovvero che siano concorrenti diretti.

Articolo 7 – Obblighi e responsabilità del Titolare del Trattamento

7.1 Il Titolare del Trattamento dichiara e garantisce di trattare i Dati Personali nel rispetto della normativa applicabile in materia di protezione dei Dati Personali ed è responsabile della determinazione delle finalità e delle basi giuridiche del Trattamento. Qualora, nell'ambito dell'erogazione dei Servizi, siano trattate categorie particolari di Dati Personali ai sensi dell'articolo 9 del GDPR, come, ad esempio, dati relativi alla salute, il Titolare del Trattamento dichiara e garantisce il rispetto delle condizioni di cui all'art. 9, paragrafo 2, GDPR, nonché l'adempimento degli obblighi informativi rafforzati previsti. Il Titolare garantisce altresì di aver adottato misure tecniche e organizzative adeguate a garantire un livello di protezione dei Dati proporzionato alla natura dei dati, alla durata e alle finalità del Trattamento.

7.2 Il Titolare garantisce che la raccolta dei Dati Personali degli Interessati avviene in modo lecito, corretto e trasparente e, in particolare, assicura: a) la predisposizione e messa a disposizione di informative privacy conformi agli articoli 12–14 del GDPR. L'eventuale predisposizione di modelli di informative privacy da parte del Responsabile non esime il Titolare dalla verifica della loro adeguatezza e conformità alla Normativa in tema di protezione dei Dati Personali e l'obbligo di modificarli ove necessario. b) l'acquisizione di validi consensi, ove richiesti dalla normativa applicabile, per specifiche finalità di Trattamento.

7.3 Il Titolare garantisce che le istruzioni impartite al Responsabile sono conformi alla normativa applicabile e che il Trattamento dei Dati Personali effettuato dal Responsabile sulla base di tali istruzioni non comporta violazioni di disposizioni di legge o di diritti degli Interessati.

7.4 Il Titolare si impegna a cooperare con il Responsabile e a fornire tempestivamente tutte le informazioni necessarie affinché quest'ultimo possa adempiere correttamente agli obblighi previsti dal presente DPA, in particolare con riferimento alla gestione delle richieste degli Interessati e agli adempimenti previsti dal GDPR.

Articolo 8 - Autorizzazione generale alla nomina di sub-responsabili

8.1 Ai sensi dell'articolo 28, paragrafo 2, del GDPR, il Titolare conferisce al Responsabile del Trattamento un'autorizzazione generale a ricorrere a Sub-responsabili per l'esecuzione di specifiche attività di Trattamento connesse all'erogazione dei servizi, nel rispetto delle condizioni e delle garanzie previste dal presente DPA e dalla normativa applicabile.

8.2 Alla data di sottoscrizione del presente DPA, il Responsabile si avvale dei Sub-responsabili indicati nel Sub-Allegato A, che costituisce parte integrante del presente accordo. L'elenco dei Sub-responsabili potrà essere aggiornato nel corso del rapporto contrattuale.

8.3 Il Responsabile si impegna a informare preventivamente il Titolare di ogni modifica riguardante l'aggiunta o la sostituzione di Sub-responsabili, mediante comunicazione scritta, prima che il nuovo Sub-responsabile inizi a trattare i Dati Personali per conto del Titolare.

8.4 Il Titolare ha facoltà di opporsi per iscritto alla nomina di un nuovo Sub-responsabile entro 10 (dieci) giorni lavorativi dal ricevimento della comunicazione di cui al comma precedente, per giustificati motivi inerenti alla protezione dei Dati Personali. In mancanza di opposizione entro tale termine, la nomina del Sub-responsabile si intenderà accettata.

8.5 Qualora il Titolare eserciti il diritto di opposizione e il Responsabile non sia in grado di soddisfare tale richiesta senza pregiudicare l'erogazione dei Servizi, il Titolare avrà facoltà di recedere dal Contratto limitatamente ai Servizi interessati, previa comunicazione scritta, senza che ciò comporti l'applicazione di penali.

8.6 Il Responsabile si impegna a stipulare con ciascun Sub-responsabile un accordo scritto ai sensi dell'articolo 28, paragrafo 4, del GDPR, imponendo allo stesso obblighi di protezione dei Dati Personali non meno stringenti di quelli previsti dal presente DPA, incluse adeguate misure tecniche e organizzative di sicurezza.

8.7 In relazione a Sub-responsabili qualificabili come fornitori di servizi standardizzati su larga scala (quali, a titolo esemplificativo, servizi di hosting, cloud computing, infrastruttura IT o servizi di comunicazione), il Titolare prende atto che i relativi accordi di Trattamento dei Dati Personali possono essere predisposti unilateralmente e non essere suscettibili di negoziazione. In tali casi, il Responsabile garantisce di aver valutato l'adeguatezza delle misure di sicurezza e delle garanzie offerte da tali Sub-responsabili, in conformità al GDPR.

8.8 Il Responsabile assicura che l'accesso ai Dati Personali da parte dei Sub-responsabili sia limitato esclusivamente a quanto strettamente necessario per l'esecuzione delle attività loro affidate, nel rispetto dei principi di minimizzazione e limitazione delle finalità.

Articolo 9 - Cancellazione o restituzione dei Dati Personali

9.1 Alla cessazione, per qualsiasi causa, del Contratto e/o del presente DPA, il Responsabile del Trattamento, su istruzione del Titolare e, secondo quanto previsto dal Contratto, provvederà a cancellare o a restituire – qualora vi sia stata richiesta ai sensi dell'articolo 12 delle Condizioni - al Titolare tutti i Dati Personali trattati per suo conto entro il termine di 30 (trenta) giorni, nonché a eliminare eventuali copie esistenti, fatto salvo quanto diversamente previsto dal presente articolo o dalla normativa applicabile

9.2 Qualora la legge applicabile imponga al Responsabile di conservare alcuni o tutti i Dati Personali, questi saranno archiviati e verranno adottate misure ragionevoli per impedirne qualsiasi ulteriore Trattamento, salvo quanto strettamente necessario per adempiere agli obblighi legali.

9.3 Qualora la normativa applicabile imponga al Responsabile del Trattamento la conservazione di alcuni o tutti i Dati Personali oltre la cessazione del Contratto, tali Dati saranno conservati esclusivamente per il periodo previsto dalla legge e saranno sottoposti a misure idonee a limitarne l'accesso e a impedire qualsiasi ulteriore Trattamento non necessario, oltre a quello relativo all'adempimento degli obblighi legali.

9.4 In ogni caso, con riferimento ai Dati Personali eventualmente conservati ai sensi del comma che precede, le disposizioni del presente DPA continueranno ad applicarsi fino alla loro definitiva cancellazione.

Art. 10 - Matrici documentali forniti dal Responsabile

Il Responsabile del Trattamento mette a disposizione del Titolare matrici documentali utili a facilitare l'adempimento degli obblighi in materia di protezione dei Dati Personali (quali, a titolo esemplificativo, informative, netiquette o istruzioni operative), allegati alla presente nomina e/o già caricati all'interno dell'Applicativo ove necessario (es. informativa privacy). Con la sottoscrizione della presente nomina, il Titolare dichiara di averne preso visione e comprende che tali documenti sono forniti unicamente come supporto e riferimento esemplificativo, restando a suo carico la responsabilità di verificarne l'idoneità rispetto al contesto specifico e di procedere agli opportuni adattamenti. L'applicabilità e l'utilizzo dei documenti messi a disposizione dipendono dai moduli e dai servizi effettivamente attivati dal Titolare.

Articolo 11 – Comunicazioni

11.1 Ai fini del presente DPA, il Titolare del Trattamento può contattare il Responsabile del Trattamento per qualsiasi comunicazione inerente al Trattamento dei Dati Personali, incluse, a titolo esemplificativo e non esaustivo, richieste di informazioni, l'esercizio di attività di audit, la gestione di Data Breach o richieste di assistenza, al seguente indirizzo e-mail: info@hermeracles.it.

11.2 Il Responsabile del Trattamento può contattare il Titolare del Trattamento all'indirizzo e-mail indicato in sede di stipula del Contratto. Il Titolare del Trattamento si impegna a comunicare tempestivamente al Responsabile del Trattamento eventuali variazioni dei recapiti forniti.

Articolo 13 - Rinvio

Per quanto non espressamente previsto e disciplinato nel presente DPA, le Parti rinviano al Contratto, alla normativa applicabile in materia di privacy, con specifico riferimento al GDPR, ed alla normativa di settore applicabile ai Servizi erogati con il Contratto.

Sub-allegati:

• Elenco dei principali sub responsabili
• Informativa privacy modulo di prenotazione

Sub-Allegato A Elenco dei principali Sub Responsabili