Accordo sul Trattamento dei Dati Personali
Phlay Studio

Parte 1 - Informativa sul Trattamento dei Dati

Versione Luglio 2022

Insieme alle Clausole Standard per il Trattamento dei Dati, la presente Informativa sul Trattamento dei Dati costituisce l'accordo sul trattamento dei dati per il prodotto o servizio fornito dalla società che ha redatto la presente Informativa sul Trattamento dei Dati.

Informazioni Generali

1. Questa Informativa sul Trattamento dei Dati è stata redatta dal seguente Responsabile del Trattamento dei Dati:

Emoticron s.r.l.
Via dei Mille 16
80121 NA Napoli
Italy

In caso di domande sulla presente Informativa sul Trattamento dei Dati o protezione dei dati in generale, per favore contattare:

Ufficio Legale
legal@phlay.com
+39 0812788176

2. La presente Informativa sul Trattamento dei Dati entrerà in vigore il 2022-07-12 (v1.0)

Rivediamo regolarmente le misure di sicurezza descritte nella presente Informativa sul Trattamento dei Dati per assicurarci di essere sempre completamente preparati e aggiornati per quanto riguarda la protezione dei dati. Se questo documento viene aggiornato, ti informeremo delle versioni riviste attraverso i nostri canali regolari.

La presente Informativa sul Trattamento dei Dati si applica ai seguenti prodotti e servizi forniti dal Responsabile del Trattamento dei Dati :

Phlay Studio | Interactive Video Platform

3. Descrizione del prodotto/servizio

Web-based software Phlay Studio (SaaS); una soluzione a servizio completo per la creazione, la condivisione e l'analisi di video interattivi e personalizzati.

Uso previsto

Il prodotto/servizio è stato progettato e realizzato per elaborare i seguenti tipi di dati:

• Dati personali regolari.

• Quando è stato progettato questo prodotto/servizio, non è stata presa in considerazione la possibilità che venisse utilizzato per elaborare categorie speciali di dati personali o dati relativi a condanne penali e reati o numeri personali emessi dal governo.

4. Il Responsabile del Trattamento dei Dati utilizza le Clausole Standard sul Trattamento dei Dati per il trattamento dei dati, che sono allegate al contratto come addendum.

5. Il Responsabile del Trattamento dei Dati tratterà i dati personali forniti dai suoi clienti all'interno dell' UE/SEE.

6. Il Responsabile del Trattamento dei Dati utilizza i seguenti sub-responsabili:

Amazon AWS Privacy policy

Metabase Privacy policy

Back4app Privacy policy

Google Analytics Privacy policy

7. Una volta terminato il contratto con un cliente, il responsabile del trattamento dei dati cancella i dati personali che elabora per conto del cliente entro [tre mesi], in modo tale che non possano più essere utilizzati e siano resi inaccessibili.

8. Il responsabile del trattamento fornisce supporto per le richieste dei soggetti interessati. È possibile per gli interessati creare un ticket per l'helpdesk e richiedere l'accesso, la modifica, l'esportazione, la cancellazione.

Security policy

9. Il responsabile del trattamento ha implementato le seguenti misure di sicurezza per proteggere il proprio prodotto o servizio:

Content Delivery Network

Questa rete può distribuire in modo efficiente i contenuti e fornire assistenza all'infrastruttura complessiva di una parte che distribuisce i contenuti.

Object Storage

Questa soluzione garantisce la scalabilità e la disponibilità. Oltre alla capacità, la ridondanza diffusa nel data center consente ad Amazon S3, e quindi a noi, di soddisfare indisturbata la disponibilità di dati in caso di perdita di intere regioni.

Container Hosting

Grazie a questo servizio, le applicazioni possono scalare automaticamente in base alla richiesta dell'utente finale. L'utente ha sempre una capacità sufficiente per assorbire il carico previsto e imprevisto sulle applicazioni.

Misure Aggiuntive

Il nostro hosting, Amazon AWS, con pipeline automatizzate e aggiornamenti di sicurezza automatici, garantisce che il nostro ambiente possa archiviare i dati in modo stabile e sicuro tramite crittografia. L'accesso è possibile solo tramite la rete interna con Firewall alle spalle, in modo che sia ben schermato. La configurazione distribuita garantisce che ogni dominio abbia la propria parte di sicurezza definita per una responsabilità extra divisa sui dati archiviati, in modo da prevenire bug e qualsiasi danneggiamento dei dati.

Prendiamo sul serio la protezione dei tuoi dati e adottiamo misure appropriate per prevenire l'uso improprio, la perdita, l'accesso non autorizzato, la divulgazione indesiderata e la modifica non autorizzata. Abbiamo adottato le seguenti misure per proteggere i tuoi dati personali:

• I server e i dispositivi dei nostri dipendenti sono dotati degli ultimi aggiornamenti e software di sicurezza, come un firewall e antivirus.

• Inviamo i tuoi dati solo tramite connessioni Internet sicure (SSL/TLS). Puoi vederlo nella barra degli indirizzi "https" e nel simbolo del lucchetto.

• Tutti i dipendenti del responsabile del trattamento che hanno accesso ai dati personali sono formati per la gestione attenta dei tuoi dati.

• Tutti i dipendenti del responsabile del trattamento che hanno accesso ai dati personali utilizzano il protocollo di autenticazione a due fattori (2FA). Tale accesso è limitato in base al profilo di autorizzazione di ogni dipendente. Per ogni profilo vengono definiti in dettaglio tutte le azioni consentite. Le definizioni dei profili vengono verificati periodicamente.

• Il Cliente accede ai propri dati utilizzando credenziali (username e password) messe a disposizione dal Fornitore del servizio

10. Il responsabile del trattamento dei dati è conforme ai principi del seguente Sistema di gestione della sicurezza delle informazioni (ISMS):

Lavoriamo secondo lo standard Cloud Security Alliance STAR Certification e utilizziamo i principi OWASP

Protocollo per la violazione dei dati (Data breach protocol)

11. Nel malaugurato caso in cui qualcosa vada storto, il responsabile del trattamento dei dati dovrà seguire il seguente protocollo per la violazione dei dati per garantire che i clienti siano informati degli incidenti:

In caso di violazione dei dati, il Responsabile del Trattamento dei Dati ne informerà il cliente. Si impegna a farlo tramite mail (fornita dal cliente in fase di registrazione al servizio) entro 48 ore dalla scoperta di questa violazione dei dati o non appena possibile dopo che ne è stato informato dai suoi sub-responsabili.

Il responsabile del trattamento dei dati fornirà al cliente le informazioni di cui il cliente ha giustamente bisogno per valutare se effettuare una segnalazione corretta e completa all'Autorità Italiana per la protezione dei dati e, eventualmente, alla persona o alle persone coinvolte nel contesto dell'obbligo di segnalare fughe di dati o il responsabile del trattamento dei dati inoltrerà la segnalazione del suo sub-responsabile al cliente. Il responsabile del trattamento dei dati tiene inoltre informato il cliente delle misure adottate, o da un suo sub-responsabile, a seguito della violazione dei dati.

La notifica di violazioni dei dati all'Autorità Italiana per la protezione dei dati e (eventualmente) alle persone coinvolte è sempre responsabilità del cliente.

Tenere un registro delle violazioni dei dati è sempre responsabilità del cliente.

Parte 2 - Clausole Standard per il Trattamento dei Dati

Versione: Luglio 2022

Insieme all’Informativa sul Trattamento dei Dati, queste clausole standard costituiscono l'accordo sul trattamento dei dati. Costituiscono inoltre un allegato all'Accordo e alle appendici del presente Accordo, ad es. eventuali termini e condizioni generali applicabili.

Articolo 1. Definizioni

I seguenti termini hanno i seguenti significati ad essi attribuiti nelle presenti Clausole standard per il trattamento dei dati, nella Informativa del Trattamento dei Dati e nell'Accordo:

1.1 Garante per la Protezione dei Dati Personali (GDPD): l'autorità di controllo definita nella Sezione 4.21 del GDPR

1.2 GDPR: Il regolamento generale sulla protezione dei dati

1.3 Responsabile del trattamento dei dati: il soggetto che, nella sua qualità di fornitore ICT, tratta i Dati Personali per conto del proprio Cliente come stabilito in fase di stesura del Contratto.

1.4 Informativa sul Trattamento dei dati: una informativa rilasciata dal Responsabile del trattamento dei dati in cui fornisce informazioni quali la destinazione d'uso dei propri prodotti e/o servizi, le eventuali misure di sicurezza implementate, i sub-responsabili, la violazione dei dati, la certificazione e il trattamento dei diritti dei soggetti interessati.

1.5 Soggetto interessato: una persona fisica che può essere identificata, direttamente o indirettamente.

1.6 Cliente: il soggetto per conto del quale il Responsabile del Trattamento dei Dati tratta i Dati Personali. Il cliente può essere il titolare del trattamento (il soggetto che determina la finalità e i mezzi del trattamento) o un altro responsabile del trattamento.

1.7 Contratto: il contratto stipulato tra il Cliente e il Responsabile del trattamento dei Dati, in base al quale il fornitore di ICT fornisce servizi e/o prodotti al Cliente, l'accordo sul trattamento dei dati fa parte del presente contratto.

1.8 Dati Personali: qualsiasi informazione riguardante una persona fisica che è stata o può essere identificata, come definita all'articolo 4.1 del GDPR, trattata dal Responsabile del trattamento dei dati per soddisfare i requisiti previsti dal Contratto.

1.9 Accordo sul Trattamento dei dati: le presenti Clausole Standard per il trattamento dei dati, che, unitamente all'Informativa sul trattamento dei dati personali del Responsabile del trattamento (o informazioni simili), costituiscono il contratto sul trattamento dei dati ai sensi dell'articolo 28.3 del GDPR.

Articolo 2. Disposizioni Generali

2.1 Le presenti Clausole Standard per il trattamento dei dati si applicano a tutte le operazioni di trattamento dei dati personali eseguite dal responsabile del trattamento dei dati nel fornire i propri prodotti e servizi, nonché a tutti gli accordi e le offerte. La richiesta di eventuali modifiche degli accordi sul trattamento dei dati del Cliente è esplicitamente rifiutata.

2.2 L’Informativa sul Trattamento dei Dati, e in particolare le misure di sicurezza in essa descritte, possono essere adattate di volta in volta a circostanze mutevoli dal Responsabile del trattamento dei dati. Il Responsabile del trattamento dei dati informerà il Cliente in caso di revisioni significative. Se il Cliente in tutta ragionevolezza non può accettare le revisioni, il Cliente avrà il diritto di recedere dal contratto di trattamento dei dati per iscritto, indicandone i motivi, entro trenta giorni dalla notifica delle revisioni.

2.3 Il Responsabile del trattamento dei dati tratterà i Dati Personali per conto del Cliente, in conformità con le istruzioni scritte fornite dal Cliente e accettate dal Responsabile del trattamento dei dati.

2.4 Il cliente o il suo cliente fungerà da responsabile del controllo del trattamento dei dati ai sensi del GDPR, avrà il controllo sul trattamento dei Dati personali e determinerà lo scopo e i mezzi del trattamento dei Dati personali.

2.5 Il Responsabile del trattamento dei dati fungerà da responsabile del trattamento dei dati ai sensi del GDPR e, pertanto, non determinerà lo scopo e i mezzi del trattamento dei Dati Personali e non prenderà alcuna decisione sull'uso dei Dati Personali e altre questioni simili.

2.6 Il Responsabile del trattamento dei dati implementerà il GDPR come stabilito nelle presenti Clausole Standard per il trattamento dei dati, nella Informativa sul trattamento dei dati e nel Contratto. Spetta al Cliente valutare, sulla base di tali informazioni, se il Responsabile del trattamento dei dati fornisce garanzie sufficienti in merito all'attuazione di misure tecniche e organizzative adeguate al fine di garantire che le operazioni di trattamento soddisfino i requisiti del GDPR e che i diritti dei soggetti interessati siano sufficientemente tutelati.

2.7 Il Cliente garantisce al Responsabile del trattamento dei dati che agisce in conformità al GDPR, che fornisce in ogni momento un elevato livello di protezione dei propri sistemi e infrastrutture, che la natura, l'uso e/o il trattamento dei Dati Personali non sono illeciti e che essi non violano i diritti di terzi.

2.8 Le sanzioni amministrative imposte al Cliente dall'Autorità italiana per la protezione dei dati non possono essere recuperate dal Responsabile del trattamento.

Articolo 3. Sicurezza

3.1 Il Responsabile del trattamento dei dati deve implementare le misure di sicurezza tecniche e organizzative stabilite nella sua Informativa sul trattamento dei dati. Nell'attuare le misure di sicurezza tecniche e organizzative, il Responsabile del trattamento dei dati tiene conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'ambito, del contesto e delle finalità del trattamento e della destinazione d'uso dei propri prodotti e servizi, e il rischio nel trattamento dei dati di diversa probabilità e gravità inerente ai diritti e alle libertà degli Interessati che è prevedibile considerando la natura dell'uso previsto dei prodotti e servizi del Responsabile del trattamento dei dati.

3.2 Salvo diversa indicazione espressa nell'Informativa sul trattamento dei dati, i prodotti e i servizi forniti dal Responsabile del trattamento dei dati non devono prevedere il trattamento di categorie particolari di dati personali o dati relativi a condanne penali e reati.

3.3 Il Responsabile del trattamento dei dati si impegna a garantire che le misure di sicurezza da esso implementate siano adeguate al modo in cui il Responsabile del trattamento dei dati intende utilizzare i prodotti e servizi.

3.4 A giudizio del Cliente, dette misure di sicurezza forniscono un livello di sicurezza adeguato al rischio inerente al trattamento dei Dati Personali utilizzati o forniti dal Cliente, tenendo conto dei fattori di cui all'Articolo 3.1.

3.5 Il Responsabile del trattamento dei dati ha il diritto di adeguare le misure di sicurezza che ha implementato se a sua discrezione ciò è necessario per una fornitura continua di un livello di sicurezza adeguato. Il Responsabile del trattamento dei dati registrerà tutte le modifiche significative che decide di apportare, ad es. in una Informativa sul trattamento dei dati revisionata, e informerà il Cliente di detti adeguamenti dove è rilevante.

3.6 Il Cliente può richiedere al Responsabile del Trattamento dei dati di implementare ulteriori misure di sicurezza. Il Responsabile del trattamento dei dati non è obbligato a soddisfare tali richieste per adeguare le proprie misure di sicurezza. Se il Responsabile del trattamento dei dati apporta modifiche alle sue misure di sicurezza su richiesta del Cliente, il Responsabile del trattamento dei dati ha il diritto di fatturare al Cliente i costi associati a tali adeguamenti. Il Responsabile del trattamento dei dati non sarà tenuto ad attuare effettivamente le misure di sicurezza richieste fino a quando entrambe le Parti non le avranno concordate per iscritto.

Articolo 4. Violazione dei dati

4.1 Il Responsabile del trattamento non garantisce che le sue misure di sicurezza siano efficaci in ogni circostanza. Se il Responsabile del trattamento scopre una violazione dei dati ai sensi dell'articolo 4 sub 12 del GDPR, ne informa il Cliente senza indebito ritardo. La sezione "Protocollo per la violazione dei dati" della Informativa sul trattamento dei dati delinea il modo in cui il Responsabile del trattamento dei dati deve notificare al Cliente le violazioni dei dati.

4.2 Spetta al Titolare (il Cliente o il suo cliente) valutare se la violazione dei dati di cui il Responsabile del trattamento dei dati ha notificato al Titolare debba essere segnalata all'Autorità italiana per la protezione dei dati o al soggetto interessato. Il Titolare del trattamento (Cliente o suo cliente) rimane sempre responsabile della segnalazione di violazioni dei dati che devono essere segnalate all'Autorità italiana per la protezione dei dati e/o ai soggetti interessati ai sensi degli articoli 33 e 34 del GDPR. Il Responsabile del trattamento dei dati non è obbligato a segnalare violazioni dei dati all'Autorità italiana per la protezione dei dati e/o al soggetto interessato.

4.3 Ove necessario, il Responsabile del trattamento dei dati fornirà ulteriori informazioni sulla violazione dei dati e aiuterà il Cliente a soddisfare i suoi requisiti di notifica di violazione ai sensi degli articoli 33 e 34 del GDPR fornendo tutte le informazioni necessarie a sua disposizione.

4.4 Se il Responsabile del trattamento dei dati sostiene costi ragionevoli in tal senso, ha il diritto di fatturarli al Cliente, alle tariffe in vigore in quel momento.

Articolo 5. Riservatezza

5.1 Il Responsabile del trattamento dei dati garantisce che le persone che trattano i Dati Personali e che agiscono sotto la sua autorità si siano obbligate alla riservatezza.

5.2 Il Responsabile del trattamento dei dati ha il diritto di fornire a terzi Dati Personali se e nella misura in cui ciò sia necessario a causa di un'ingiunzione del tribunale, di una disposizione di legge o di un'ordinanza emessa da un'autorità governativa competente.

5.3 Tutti i codici di accesso e/o di identificazione, i certificati, le informazioni relative alle politiche di accesso e/o password forniti dal Responsabile del trattamento dei dati al Cliente e qualsiasi altra informazione fornita dal Responsabile del trattamento dei dati al Cliente che descriva in dettaglio le misure di sicurezza tecniche e organizzative incluse nella Informativa sul trattamento dei dati sono riservate e devono essere trattate come tali dal Cliente e devono essere divulgate solo ai dipendenti autorizzati del Cliente. Il Cliente deve garantire che i propri dipendenti rispettino i requisiti descritti in questo articolo.

Articolo 6. Durata e termine

6.1 Il presente contratto di trattamento dei dati costituisce parte dell'Accordo e qualsiasi accordo nuovo o successivo da esso derivante entrerà in vigore al momento della conclusione dell'Accordo e rimarrà in vigore a tempo indeterminato.

6.2 Il presente accordo sul trattamento dei dati si estingue per legge con la risoluzione del contratto o con la risoluzione di qualsiasi accordo nuovo o successivo che ne derivi tra le parti.

6.3 In caso di risoluzione del contratto di trattamento dei dati, il Responsabile del trattamento dei dati cancellerà tutti i Dati Personali attualmente archiviati e che ha ottenuto dal Cliente entro il termine stabilito nell'Informativa sul trattamento dei dati, in modo tale che i Dati Personali non possano più essere utilizzati e dovranno essere resi inaccessibili.

In alternativa, se ciò è stato concordato, il Responsabile del Trattamento dei dati restituirà i Dati Personali al Cliente in un formato leggibile a macchina.

6.4 Se il Responsabile del trattamento dei dati sostiene costi associati alle disposizioni dell'Articolo 6.3, avrà il diritto di fatturare al Cliente tali costi. Ulteriori disposizioni relative a questo argomento possono essere stabilite nella Informativa sul trattamento dei dati.

6.5 Le disposizioni dell'articolo 6.3 non si applicano qualora una disposizione di legge impedisca al Responsabile del trattamento dei dati di rimuovere o restituire in tutto o in parte i Dati Personali. In tali casi, il Responsabile del Trattamento dei dati continuerà a trattare i Dati Personali solo nella misura in cui ciò sia necessario in virtù dei suoi obblighi di legge. Inoltre, le disposizioni di cui all'articolo 6.3 non si applicano se il Responsabile del Trattamento dei dati è il Titolare del trattamento dei Dati Personali ai sensi del GDPR.

Articolo 7. I diritti dei soggetti interessati, Valutazione d’Impatto Protezione Dati (DPIA - Data protection Impact Assessment) e i diritti di audit

7.1 Ove possibile, il Responsabile del trattamento dei dati collaborerà con le richieste ragionevoli avanzate dal Cliente in relazione ai soggetti interessati che invocano i propri diritti dal Cliente. Se il Responsabile del trattamento dei dati viene contattato direttamente da un soggetto interessato, dovrà indirizzare il soggetto interessato al Cliente ove possibile.

7.2 Se al Cliente è richiesto di effettuare una Valutazione di Impatto sulla Protezione dei Dati o una successiva consultazione ai sensi degli Articoli 35 e 36 del GDPR, il Responsabile del Trattamento dei dati dovrà così collaborare, a seguito di una ragionevole richiesta in tal senso.

7.3 Il Responsabile del trattamento dei dati deve essere in grado di dimostrare la propria conformità ai requisiti previsti dall'accordo sul trattamento dei dati mediante un certificato di trattamento dei dati valido o un certificato equivalente o un rapporto di audit (memorandum di terze parti) rilasciato da un esperto indipendente.

7.4 Inoltre, su richiesta del Cliente, il Responsabile del trattamento dei dati fornirà tutte le altre informazioni ragionevolmente necessarie per dimostrare il rispetto degli accordi presi nel presente accordo sul trattamento dei dati. Se, nonostante quanto sopra, il Cliente ha motivo di ritenere che i Dati Personali non siano trattati in conformità con l'accordo sul trattamento dei dati, il Cliente avrà il diritto di far eseguire un audit (a proprie spese) non più di una volta all'anno da parte di un esperto esterno indipendente, certificato, che ha una comprovata esperienza con il tipo di operazioni di trattamento dei dati effettuate nell'ambito dell'Accordo. L'ambito dell'audit sarà limitato alla verifica che il Responsabile del trattamento dei dati rispetti gli accordi presi in merito al trattamento dei Dati Personali come stabilito nel presente accordo sul trattamento dei dati. L'esperto è soggetto all'obbligo di riservatezza per quanto riguarda le sue scoperte e deve notificare al Cliente solo le questioni che causano il mancato rispetto degli obblighi del Responsabile del trattamento dei dati ai sensi dell'accordo sul trattamento dei dati. L'esperto fornirà al Responsabile del trattamento dei dati copia della propria relazione. Il Responsabile del trattamento dei dati ha il diritto di rifiutare un audit o un'istruzione emessa dall'esperto se, a sua discrezione, l'audit o l'istruzione non sono coerenti con il GDPR o qualsiasi altra legge, o se costituiscono una violazione inaccettabile delle misure di sicurezza da esso implementate.

7.5 Le parti si consultano quanto prima possibile sui risultati della relazione. Le parti attuano le misure di miglioramento suggerite nella relazione nella misura in cui è ragionevolmente prevedibile che lo facciano. Il Responsabile del trattamento dei dati metterà in atto le misure di miglioramento proposte nella misura a sua discrezione appropriate, tenendo conto dei rischi di elaborazione associati al proprio prodotto o servizio, allo stato dell'arte, ai costi di attuazione, al mercato in cui opera e la destinazione d'uso del prodotto o servizio.

7.6 Il Responsabile del trattamento dei dati avrà il diritto di fatturare al Cliente gli eventuali costi sostenuti per l'attuazione delle misure di cui al presente articolo.

Articolo 8. Sub-responsabili

8.1 Il Responsabile del trattamento ha specificato nell'Informativa sul trattamento dei dati se il Responsabile del trattamento dei dati utilizza terze parti (sub-responsabili) per aiutarlo a elaborare i Dati Personali e, in tal caso, quali terze parti.

8.2 Il Cliente autorizza il Responsabile del trattamento dei dati ad assumere altri sub-responsabili del trattamento dei dati per adempiere ai propri obblighi ai sensi dell'Accordo.

8.3 Il Responsabile del trattamento notificherà al Cliente eventuali modifiche riguardanti l'aggiunta o la sostituzione di soggetti terzi (sub-responsabili) assunti dal Responsabile del trattamento dei dati, ad es. attraverso una nuova Informativa sul trattamento dei dati. Il Cliente ha il diritto di opporsi a tali modifiche. Il Responsabile del trattamento dei dati deve assicurarsi che le terze parti da esso assunte si impegnino a garantire lo stesso livello di protezione dei Dati personali che il Responsabile del trattamento dei dati è tenuto a fornire al Cliente ai sensi della Dichiarazione per i dati personali.

Articolo 9. Altre disposizioni

Queste clausole standard per il trattamento dei dati, insieme alla Informativa sul trattamento dei dati, costituiscono parte integrante dell'Accordo. Pertanto, tutti i diritti e gli obblighi derivanti dall’accordo, comprese le condizioni generali applicabili e/o le limitazioni di responsabilità, si applicano anche al contratto sul trattamento dei dati.

TORNA SU