Accordo sul trattamento dei dati

Finalità

Tra le altre cose, SoftApp tratta dati personali per e per conto del “cliente” perché il cliente ha un contratto utente con il servizio cloud CallerConnect. CallerConnect è un servizio cloud fornito da SoftApp.

SoftApp e il cliente sono tenuti dal Regolamento Generale sulla Protezione dei Dati (GDPR) a stipulare un Accordo di trattamento. SoftApp e il cliente si impegnano reciprocamente al rispetto del GDPR. Le definizioni seguono il GDPR. SoftApp tratterà i dati personali esclusivamente per e per conto del cliente e per dare attuazione al contratto.

Istruzioni per il trattamento

Il trattamento consiste nel rendere disponibili le applicazioni SoftApp con i dati inseriti e generati dal cliente. SoftApp non aggiungerà, modificherà o cancellerà dati senza specifica istruzione del cliente — le istruzioni possono essere fornite tramite una richiesta o tramite il portale self-service.

All’interno delle applicazioni possono essere registrate varie categorie di dati personali, tra cui: nome visualizzato, nome, cognome, nome ufficio, numero di telefono, città, paese, titolo, azienda, manager, dipartimento, nome utente. SoftApp è consapevole che il cliente può inserire tali dati e qualsiasi categoria di dati personali creata dal cliente, e che SoftApp li tratterà di conseguenza. Il cliente è responsabile di valutare se la finalità e la natura del trattamento siano adeguati al servizio fornito da SoftApp.

Obbligo di riservatezza

SoftApp è consapevole che le informazioni condivise dal cliente in CallerConnect sono riservate e sensibili a livello aziendale. Tutti i dipendenti di SoftApp gestiscono le informazioni dei clienti in modo responsabile durante il rapporto di lavoro e successivamente, come previsto dal contratto di lavoro con clausola di riservatezza.

Dipendenti con accesso ai dati dei clienti

Gli amministratori di sistema e il personale di supporto SoftApp hanno pieno accesso ai dati dei clienti per:

• creare il cliente (tenant) sulla piattaforma CallerConnect;
• installare una nuova versione;
• applicare patch e hot fix;
• effettuare un backup;
• spostare dati all’interno del dominio CallerConnect.

Sicurezza

SoftApp adotta in modo permanente misure tecniche e organizzative adeguate a proteggere i dati personali del cliente da perdita o da qualsiasi forma di trattamento illecito. Tali misure sono considerate un livello di sicurezza adeguato ai sensi del GDPR. Il cliente ha diritto, in accordo con SoftApp durante la durata del contratto, di far verificare la conformità da un esperto indipendente — ad esempio tramite audit. Tutti i costi relativi all’audit sono a carico del cliente.

SoftApp è responsabile dei danni relativi ai dati personali dovuti ad atti od omissioni dei sub-responsabili, nei limiti di responsabilità previsti nel capitolo Responsabilità. Tale limitazione non si applica in caso di colpa grave o dolo del sub-responsabile. SoftApp non è inoltre responsabile in caso di forza maggiore propria o del sub-responsabile.

Se l’Autorità per la protezione dei dati personali emette un’istruzione vincolante al Responsabile del trattamento, il Cliente deve informare immediatamente SoftApp. SoftApp farà tutto il ragionevolmente esigibile per consentire la conformità.

Sub-responsabili

SoftApp tratta i dati dei clienti nei data center di Iron Mountain Data Centers (Leaseweb), Whitesky.cloud (Gig.tech) e Microsoft Azure in qualità di sub-responsabili. I data center di SoftApp si trovano nei Paesi Bassi e in Belgio e sono soggetti alle leggi e ai regolamenti olandesi

belgi e rispettano la stretta legislazione olandese

belga ed europea in materia di protezione logica e fisica degli accessi e di continuità. I data center sono almeno certificati ISO 27001. I dati (personali) sono trattati da SoftApp e dai sub-responsabili esclusivamente all’interno dello Spazio Economico Europeo.

SoftApp non consentirà a nuovi sub-responsabili di trattare dati senza informare tempestivamente il cliente. Il cliente può opporsi a un nuovo sub-responsabile; le obiezioni sono gestite a livello di management. Se SoftApp intende comunque utilizzare il nuovo sub-responsabile, il cliente può recedere dal contratto.

Diritti in materia di privacy

SoftApp non ha controllo sui dati personali messi a disposizione dal cliente. Senza necessità (data la natura dell’incarico), esplicito consenso del cliente od obbligo di legge, SoftApp non fornirà i dati a terzi né li tratterà per scopi diversi da quelli concordati. Il cliente garantisce che i dati personali possono essere trattati su una base prevista dal GDPR.

SoftApp tuttavia, in caso di richiesta dell’Autorità olandese per i mercati finanziari, della Banca Centrale Europea o di De Nederlandsche Bank N.V. nell’esercizio dei loro compiti ai sensi della Wft (o di altre leggi), metterà a disposizione dell’organizzazione competente tutte le informazioni possibili. SoftApp obbliga inoltre i sub-responsabili a conformarsi a tali richieste.

Notifica al cliente

Se SoftApp identifica un incidente di sicurezza o una violazione di dati, ne informerà il cliente quanto prima dopo esserne venuta a conoscenza. A tal fine, SoftApp si assicura che tutti i dipendenti siano e restino in grado di rilevare una violazione di dati. Se una violazione di dati avviene presso un fornitore di SoftApp, SoftApp la segnalerà. SoftApp è il punto di contatto per il cliente; il cliente non deve rivolgersi direttamente ai fornitori di SoftApp.

Informazione al cliente (amministratore)

In primis, SoftApp informa la persona di contatto (amministratore) del contratto in merito a una violazione di dati.

Fornire informazioni

SoftApp cerca di fornire immediatamente al cliente tutte le informazioni necessarie per un’eventuale notifica all’Autorità per la Protezione dei Dati e/o agli interessati.

Termine di informazione

Il GDPR prevede una notifica “senza ritardo”. Secondo l’AP, ciò significa senza indebito ritardo e, se possibile, entro 72 ore dalla scoperta da parte del titolare. SoftApp informerà il cliente non oltre 48 ore dopo che SoftApp ha scoperto un incidente di sicurezza. Il cliente valuta se l’incidente rientra in una “violazione di dati” e se debba essere segnalato all’AP — il cliente dispone di 72 ore per farlo dal momento in cui è informato.

Avanzamento e misure

SoftApp tiene il cliente informato sull’avanzamento e sulle misure adottate. SoftApp registra tutti gli incidenti di sicurezza e li gestisce secondo una procedura definita (workflow).

Cancellazione dei dati

Al termine del contratto, SoftApp cancellerà tutti i dati del cliente. Se il cliente desidera la rimozione anticipata, può presentare richiesta; SoftApp si impegna a darvi seguito.