Accordo sul Trattamento dei Dati Personali nell'ambito dell'erogazione del Servizio LEXTEL AI (“Accordo”), ai sensi dell'art. 28 del Regolamento UE 2016/679 (“GDPR”)
Ultimo aggiornamento: 04 novembre 2024
I termini contrassegnati, nell’ambito del presente Accordo, con l’iniziale maiuscola, presentano il medesimo significato agli stessi attribuiti dall’Accordo e/o dal GDPR e/o dalle Condizioni Generali di Contratto Lextel AI, pubblicate nell’ambito della pagina “Documentazione”, sul sito www.lextel.ai.
Premesso che
- il Cliente risulta essere Titolare del trattamento (“Titolare”) dei dati anche personali dei propri clienti finali (“Clienti Finali”) per i trattamenti specificati nel presente accordo;
- in virtù del Contratto, Visura erogherà il Servizio Lextel AI e, a tal fine, sarà tenuta a svolgere, per conto del Cliente, attività di trattamento di dati personali di cui il Cliente è Titolare, ai sensi del GDPR e in qualità di Responsabile del trattamento dei suddetti dati personali (“Responsabile”);
- Visura è in possesso dei requisiti di esperienza, capacità ed affidabilità richieste dall’art. 28 del GDPR e rispetta le disposizioni vigenti in materia di sicurezza del trattamento, anche rispetto alle categorie particolari di dati di cui agli artt. 9 e 10 del GDPR; lo stesso, pertanto, tratterà i dati personali per conto del Titolare, in conformità al presente Accordo;
TUTTO CIÒ PREMESSO
1. Premesse e allegati
1.1. Le premesse e gli allegati richiamati nell’ambito del presente Accordo costituiscono parte integrante e sostanziale del Contratto.
2. Nomina
Il Cliente nomina Visura quale Responsabile del trattamento dei dati sopra individuati dei propri Clienti Finali/Interessati nelle seguenti modalità:
Trattamenti |
|
Categorie di Dati trattati | Etichettature dei fascicoli delle pratiche (e.g. nome e cognome delle parti della controversia) Quesiti (e.g. nome e cognome delle parti della controversia) |
Natura del Trattamento | I trattamenti sono eseguiti a mezzo di strumenti informatizzati e consistono nelle seguenti operazioni: Raccolta, Organizzazione, Strutturazione, Conservazione e Cancellazione |
Finalità perseguite | I trattamenti sono eseguiti al fine di:
|
Durata del Trattamento | Per quanto riguarda le ricerche e i quesiti posti dal Cliente e i fascicoli di studio, i dati personali contenuti al loro interno verranno conservati per tutta la durata del servizio. Al termine del periodo di abbonamento, i dati saranno conservati per un periodo ulteriore di 60 giorni, decorso il quale, senza che si sia provveduto al rinnovo dell’abbonamento, i dati saranno definitivamente eliminati. |
Categorie di interessati | Interessati al trattamento Lextel AI – (a titolo esemplificativo ci si riferisce ai soggetti coinvolti nelle controversie). |
Il presente Accordo è stato redatto da Visura prendendo a modello le clausole contrattuali tipo ex art. 28, par. 3 del GDPR, al fine di soddisfare i requisiti del GDPR e garantire la tutela dei diritti dell’interessato. Con tale Accordo, il Cliente prende atto e accetta che le presenti clausole contrattuali (le Clausole) stabiliscono i diritti e gli obblighi del Titolare del trattamento e del Responsabile del trattamento. La predisposizione unilaterale dell’Accordo da parte di Visura deriva dal fatto che Visura stessa tratterà i dati personali di titolarità del Cliente, quale Responsabile, in modo standard e, in particolare, per la sola finalità di erogazione del Servizio Lextel AI.
È responsabilità delle Parti conservare per iscritto ed elettronicamente il presente Accordo e i relativi allegati. Il presente Accordo non esenta il Responsabile del trattamento dagli obblighi cui è soggetto ai sensi del GDPR o di altra normativa applicabile in materia di protezione dei dati personali, ivi inclusi i provvedimenti delle Autorità di controllo in materia di dati personali (di seguito, congiuntamente, la “Normativa Privacy”).
3. Gerarchia
3.1. In caso di contraddizione tra le clausole dell’Accordo e le disposizioni di accordi correlati, vigenti tra le Parti alla data dell’Accordo, o conclusi successivamente, le clausole dell’Accordo avranno prevalenza.
4. Obblighi delle Parti
4.1. Il Titolare del trattamento ha il diritto e l’obbligo di prendere decisioni sulle finalità e sui mezzi del trattamento dei dati personali. Inoltre, fermo quanto previsto dalla Normativa Privacy, il Titolare è obbligato a:
4.1.1. garantire che agli Interessati siano state fornite sufficienti informazioni in merito al trattamento effettuato anche da Visura, ai sensi della Normativa Privacy;
4.1.2. garantire che sussista una base legale per il trattamento dei dati personali degli Interessati, inclusi i necessari consensi qualora richiesti dalla Normativa Privacy;
4.1.3. garantire il rispetto di tutti gli obblighi gravanti sul Titolare ai sensi della Normativa Privacy.
4.2. Fatti salvi gli altri obblighi previsti dalla Normativa Privacy, il Responsabile si impegna, ai sensi dell’art. 28 GDPR a:
4.2.1 trattare i dati personali nel pieno rispetto della Normativa Privacy tempo per tempo vigente, per le sole finalità identificate dal Contratto;
4.2.2 adottare idonei sistemi informatici per il trattamento dei dati personali;
4.2.3 garantire, per conto delle persone autorizzate al trattamento dei dati personali, l’obbligo di riservatezza in merito a tutte le informazioni e i dati acquisiti in esecuzione del Contratto;
4.2.4 autorizzare al trattamento di dati personali solo persone sotto la propria autorità che si sono impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza ed esclusivamente nei casi di effettiva necessità (ossia i propri dipendenti); formare adeguatamente le stesse mediante appositi eventi formativi in materia di trattamento dei dati personali e conferire loro, in forma scritta, l’incarico di compiere le operazioni di trattamento nonché le medesime istruzioni impartite dal Titolare al Responsabile sulla base del presente Accordo e del Contratto, istruirle sulle modalità di elaborazione dei dati ai quali hanno accesso e vigilare sulle stesse;
4.2.5 adottare tutte le misure di sicurezza richieste ai sensi dell’art. 32 del GDPR o (anche attraverso la valutazione di liceità, di minimizzazione dei trattamenti e la valutazione strutturata dei rischi), tra le quali anche le misure di attuazione dei principi di privacy by design e by default (le misure di sicurezza adottate sono disponibili all’indirizzo www.lextel.ai/documentazione/misure-di-sicurezza/);
4.2.6 essere in possesso di una procedura di gestione accessi logici basata sul principio della minimizzazione dei permessi e del need to know;
4.2.7 assistere il Titolare con misure tecniche e organizzative adeguate, per l’adempimento degli obblighi connessi all’esercizio dei diritti degli Interessati, previsti dagli artt. 15-22 del GDPR;
4.2.8 adottare e aggiornare un registro delle violazioni dei dati personali, stabilire le procedure interne che disciplinano il processo di gestione del “Data Breach”, assistere il Titolare nell’adempimento degli obblighi in materia di notificazione dei dati personali di cui agli artt. 33 e 34 del GDPR e, in particolare, informare il Titolare della eventuale violazione di dati personali, entro e non oltre 48 (quarantotto) ore decorrenti dal momento della violazione stessa;
4.2.9 assistere il Titolare nelle attività connesse alla valutazione d’impatto sulla protezione dei dati personali di cui all’art. 35 del GDPR e, se richiesto, cooperare con il Titolare nell’ambito delle consultazioni preventive di cui all’art. 36 del GDPR;
4.2.10 cancellare o restituire – a scelta del Titolare – tutti i dati personali oggetto di trattamento in caso di cessazione dell’efficacia della presente nomina salvi gli obblighi di conservazione dei dati personali eventualmente derivanti dal diritto dell’Unione o degli Stati membri;
4.2.11 mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi discendenti dalla normativa (art. 28 del GDPR). A tale riguardo, il Responsabile si impegna all’ordinata e diligente tenuta della documentazione inerente alle attività di trattamento e la prestazione dei Servizi di cui al Contratto, rendendola accessibile al Titolare o ai soggetti da questi designati per eventuali ispezioni. Con un preavviso minimo di 4 (quattro) settimane – non dovuto in caso di violazioni di dati personali -, il Titolare potrà disporre un accesso presso la sede del Responsabile o altro luogo nella disponibilità giuridica del Responsabile in cui sia conservata la documentazione relativa alle attività di trattamento, sostenendone i relativi costi e dando preventiva comunicazione al Responsabile delle generalità dei soggetti incaricati delle verifiche. I costi delle verifiche saranno addebitati al Responsabile qualora, all’esito delle stesse, risulti un grave inadempimento agli obblighi di cui al presente Accordo o al Contratto;
4.2.12 informare il Titolare qualora, ad avviso del Responsabile, un’istruzione impartita dal Titolare sia in violazione del GDPR o di altre disposizioni di legge applicabili in materia di protezione dei dati personali;
4.2.13 tenere aggiornato il registro dei trattamenti dei dati personali effettuati ai sensi della presente nomina, mettendolo a disposizione del Titolare in caso di sua richiesta nonché delle Autorità di controllo;
4.2.14 laddove applicabile, adempiere alle prescrizioni impartite dal Garante per la protezione dei dati personali relativamente alle attribuzioni di amministratore di sistema, con il Provv. del 27.11.2008. Il Responsabile si impegna, in particolare, a nominare gli amministratori di sistema e verificare le attività svolte dagli stessi, in modo da assicurarne la conformità con (i) gli obblighi assunti nella nomina; (ii) le misure di sicurezza tecniche e organizzative richieste dal GDPR e (iii) i provvedimenti del Garante e le altre disposizioni di legge applicabili;
4.2.15 ove applicabile, fornire agli Interessati l’informativa predisposta dal Titolare;
4.2.16 non comunicare a terzi i dati personali oggetto di trattamento;
4.2.17 se richiesto, curare, di concerto con il Titolare, i rapporti con le Autorità di controllo in materia di protezione dei dati personali, anche nell’ambito di procedimenti amministrativi e giurisdizionali inerenti al Titolare medesimo;
4.2.18 rispettare quanto prescritto dal GDPR o in merito alla raccolta del consenso informato degli Interessati, al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale, nonché solo ed esclusivamente per le finalità e secondo le modalità operative indicate dal Titolare, fornire agli Interessati, per conto del Titolare, idonea informativa nel rispetto delle istruzioni ricevute, prima che il trattamento abbia inizio.
5. Precisazioni relative all'utilizzo della Generative Artificial Intelligence
5.1 Il Responsabile del Trattamento rende noto, come specificato nelle Condizioni Generali di Contratto LEXTEL AI, che non è tecnicamente possibile assicurare alcun tipo di anonimizzazione dei dati personali che il Cliente potrebbe inserire durante tutto il processo di ricerca compresa la funzione generativa del servizio. Tale impossibilità riguarda sia i dati personali riferibili al Cliente, sia qualsiasi dato personale riferibile ai suoi Clienti finali e alle loro vicende giudiziarie.
6. Designazione dei Sub Responsabili
6.1 Il Responsabile del Trattamento rende noto (ai sensi dell’art. 28 par. 4 GDPR) che, per la corretta erogazione di tutte le funzionalità del Servizio, ricorre a Sub-Responsabili (“Sub-Responsabili”). L’elenco dei Sub-Responsabili del trattamento è riportato all’indirizzo www.lextel.ai/documentazione/sub-responsabili/. La selezione dei fornitori è avvenuta a seguito della valutazione degli stessi quali soggetti in possesso dei requisiti di affidabilità e di sicurezza tali da garantire il corretto svolgimento dei servizi, in conformità con quanto previsto dal GDPR o 679/2016 EU. A tal proposito si precisa che:
- i servizi erogati dai fornitori sono regolati da appositi accordi formali. Nell’ambito di tali accordi, ciascun fornitore è formalmente nominato quale responsabile del trattamento dei dati.
- i fornitori sono stati opportunamente sottoposti a checklist di valutazione per verificare le misure tecniche e organizzative dei servizi, all’esito della quale è emerso che gli stessi sono in grado di assicurare un adeguato livello di protezione dei dati;
6.2 Il Responsabile ha l’autorizzazione generale del Titolare a ricorrere ad ulteriori Sub-Responsabili del trattamento. Il Responsabile informerà il Titolare di eventuali modifiche a tale elenco, anche tramite avvisi specifici veicolati tramite il Servizio, riguardanti l’aggiunta o la sostituzione di Sub-responsabili. Il Titolare avrà, in tali casi, la possibilità di opporsi al ricorso al o ai Sub-responsabili in questione.
6.3. Qualora il Responsabile ricorra a ulteriori Sub-Responsabili per l’esecuzione di specifiche attività di trattamento, il contratto che disciplina i rapporti tra Responsabile e Sub-responsabile dovrà prevedere l’imposizione, nei confronti del Sub-responsabile, di obblighi nella sostanza equivalenti a quelli gravanti sul Responsabile ai sensi del presente Accordo.
6.4. Il Responsabile si assicura che il Sub-responsabile rispetti gli obblighi a cui il Responsabile è soggetto a norma dell’Accordo e del GDPR.
6.5. Il Responsabile rimane responsabile nei confronti del Titolare dell’adempimento degli obblighi dei Sub-responsabili del trattamento derivanti dal contratto che questi hanno stipulato con il Responsabile, notificando al Titolare eventuali gravi inadempimenti, da parte dei Sub-responsabili, degli obblighi contrattuali ove questi possano comportare una violazione del GDPR.
7. Trasferimenti Internazionali
7.1. Il Titolare conviene che, conformemente al precedente articolo 5, per l’esecuzione di specifiche attività di trattamento per conto del Titolare che comportino il trasferimento di dati personali, il Responsabile e il Sub-responsabile possono garantire il rispetto del capo V del GDPR utilizzando le clausole contrattuali tipo adottate dalla Commissione conformemente all’articolo 46, paragrafo 2, del GDPR, purché le condizioni per l’uso di tali clausole contrattuali tipo siano soddisfatte.
8. Durata ed effetti dell'Accordo
8.1. Il presente Accordo è efficace dal momento della sua accettazione da parte del Cliente, congiuntamente alle Condizioni Generali di Contratto Lextel AI. Il presente Accordo cesserà con la cessazione del Contratto Lextel AI, per qualsiasi causa dovuta.
9. Disposizioni finali
9.1. Il corrispettivo del Responsabile per l’esecuzione del presente Accordo si intende ricompreso nel corrispettivo concordato dalle Parti per l’esecuzione del Contratto Lextel AI.
9.2. Il presente Accordo è regolato dalla legge italiana, con esclusione delle norme di diritto internazionale privato. Per tutto quanto non quivi previsto, il presente Accordo è disciplinato dalle Condizioni Generali di Contratto Lextel AI.
9.3. Per tutto quanto non espressamente in questa sede previsto, il presente Accordo è disciplinato dalle disposizioni di legge applicabili.
