I. Scopo

Lo scopo di queste clausole è definire le condizioni alle quali il subappaltatore si impegna a svolgere per conto del titolare del trattamento le operazioni di trattamento dei dati personali definite di seguito. Nell’ambito dei propri rapporti contrattuali, le parti si impegnano al rispetto della normativa vigente applicabile al trattamento dei dati personali e, in particolare, del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016. applicabile dal 25 maggio 2018 (di seguito, « il regolamento europeo sulla protezione dei dati »).

II. Descrizione del trattamento oggetto del subappalto

Il subappaltatore è autorizzato a trattare per conto del titolare del trattamento i dati personali necessari per fornire i servizi di seguito dettagliati :

Documento di identità

Servizio Verifica dei documenti di identità (carta d’identità, passaporto, permesso di soggiorno e altri documenti personali (RIB, prova di indirizzo, busta paga, avviso fiscale, patente di guida, ecc.)
Natura delle operazioni Acquisizione dell’immagine del documento, ricezione, estrazione dei dati del documento, controllo sulla base di regole definite, restituzione dei risultati del controllo.
Finalità del trattamento Verifica dei documenti comunicati dai clienti finali.
Categorie di interessati Clienti finali
Informazioni messe a disposizione del subappaltatore dal titolare del trattamento per l’esecuzione del servizio oggetto del presente contratto Immagine del documento o documento di identità, eventualmente acquisita direttamente dal cliente finale.

Riconoscimento facciale

Servizio Riconoscimento facciale per identificare il titolare del documento di identità
Natura delle operazioni Scatta una foto di tipo selfie, ricevi il selfie e confrontalo automaticamente con il viso trovato sul documento di identità.
Finalità del trattamento Verifica dei documenti comunicati dai clienti finali.
Categorie di interessati Clienti finali
Informazioni messe a disposizione del subappaltatore dal titolare del trattamento per l’esecuzione del servizio oggetto del presente contratto Immagine della carta d’identità e selfie del cliente finale, eventualmente acquisita direttamente dal cliente finale.

III. Lunghezza del contratto

Questo contratto è valido durante il periodo di servizio come definito nel contratto.

IV. Obblighi del subappaltatore nei confronti del responsabile del trattamento

Il subappaltatore si impegna a:

Elaborare i dati solo per le sole finalità oggetto del subappalto

Trattare i dati in conformità alla descrizione del servizio comunicata al titolare del trattamento in appendice al presente contratto. Se il responsabile del trattamento è tenuto a trasferire i dati a un paese terzo oa un’organizzazione internazionale, ai sensi del diritto dell’Unione o dello Stato membro a cui è soggetto, deve informare il responsabile del trattamento dei suoi obblighi legali prima del trattamento, a meno che il la legge in questione vieta tali informazioni per importanti motivi di interesse pubblico.

Garantire la riservatezza dei dati personali trattati ai sensi del presente contratto

Garantire che le persone autorizzate al trattamento dei dati personali ai sensi del presente contratto: si impegnino a rispettare la riservatezza o siano soggette ad un adeguato obbligo legale di riservatezza ricevano la necessaria formazione in materia di protezione dei dati personali

Subappalto: il responsabile del trattamento può utilizzare un altro responsabile (di seguito, « il successivo responsabile del trattamento ») per svolgere specifiche attività di elaborazione. In tal caso, informa preventivamente e per iscritto il titolare del trattamento di qualsiasi modifica programmata riguardante l’aggiunta o la sostituzione di altri subappaltatori. Queste informazioni devono indicare chiaramente le attività di trattamento subappaltate, l’identità e i dettagli di contatto del subappaltatore e le date del subappalto. Il titolare del trattamento ha un periodo minimo di 15 giorni dalla data di ricezione di queste informazioni per presentare le proprie obiezioni. Questo subappalto può essere eseguito solo se il titolare del trattamento non si è opposto entro il periodo concordato.

Diritto all’informazione degli interessati: A seconda che le informazioni siano raccolte dal titolare del trattamento o dal responsabile del trattamento, è responsabilità rispettivamente del titolare o del responsabile del trattamento fornire le informazioni alle persone interessate dalle operazioni di trattamento presso il momento della raccolta dei dati.

Esercizio dei diritti personali: per quanto possibile, il subappaltatore deve aiutare il titolare del trattamento ad adempiere al proprio obbligo di rispondere alle richieste di esercizio dei diritti degli interessati: diritto di accesso, rettifica, cancellazione e opposizione, diritto di limitazione di trattamento, diritto alla portabilità dei dati, diritto di non essere oggetto di singola decisione automatizzata (compresa la profilazione). Quando gli interessati fanno richieste al subappaltatore per esercitare i propri diritti, il subappaltatore deve inviare tali richieste non appena ricevute via e-mail a un contatto all’interno del titolare del trattamento i cui dati di contatto sono riportati in allegato al contratto.

Notifica di violazioni dei dati personali: il responsabile del trattamento notifica al titolare del trattamento qualsiasi violazione dei dati personali entro un massimo di 24 ore dal momento in cui ne è venuto a conoscenza e tramite e-mail inviata a un contatto all’interno del responsabile del trattamento i cui dettagli di contatto sono riportati in allegato al contrarre. . Tale notifica è accompagnata da ogni documentazione utile per consentire al titolare, se necessario, di notificare tale violazione all’autorità di controllo competente.

Dopo l’accordo del responsabile del trattamento, il subappaltatore notifica all’autorità di controllo competente (la CNIL), in nome e per conto del responsabile del trattamento, le violazioni dei dati personali il prima possibile e, se possibile, al più tardi 72 ore dopo essere venuto a conoscenza di esso, a meno che la violazione in questione non possa creare un rischio per i diritti e le libertà degli individui.

La notifica contiene almeno :

  • Descrizione della natura della violazione dei dati personali, inclusi, ove possibile, le categorie e il numero approssimativo di persone interessate dalla violazione e le categorie e il numero approssimativo di record di dati personali interessati ;
  • Il nome e i dettagli di contatto del responsabile della protezione dei dati o altro punto di contatto da cui è possibile ottenere ulteriori informazioni ;
  • Descrizione delle probabili conseguenze della violazione dei dati personali;
  • Una descrizione delle misure adottate o che il titolare del trattamento si propone di adottare per porre rimedio alla violazione dei dati personali, comprese, ove applicabile, le misure per mitigare eventuali conseguenze negative. Se e nella misura in cui non è possibile fornire tutte queste informazioni contemporaneamente, le informazioni possono essere comunicate in più fasi senza indebito ritardo.

Aiuto del subappaltatore nel contesto del rispetto da parte del responsabile del trattamento dei suoi obblighi : il responsabile del trattamento aiuta il responsabile del trattamento dei dati a svolgere :

  • Valutazioni d’impatto relative alla protezione dei dati
  • Consultazione preventiva dell’autorità di controllo.

Misure di sicurezza: Il subappaltatore si impegna ad attuare le seguenti misure di sicurezza :

  • I dati personali memorizzati nel database vengono crittografati utilizzando AES256.
  • I dati archiviati come immagine sul file system vengono crittografati utilizzando AES256.
  • Non appena i dati non sono più necessari, vengono immediatamente cancellati.
  • Le tracce tecniche non contengono informazioni personali.
  • I dati in transito sono protetti da connessioni TLS.
  • L’accesso esterno al servizio è protetto da apparati di sicurezza, le cui configurazioni vengono periodicamente verificate.
  • I dati che sono conservati nel database (per la durata del loro trattamento o durante il loro periodo di utilizzo per il titolare del trattamento) sono conservati in un database replicato che consente il riassemblaggio del servizio in caso di guasto di uno dei nodi. In caso di guasto su tutti i nodi, viene attivato un piano di continuità operativa che utilizza l’ultimo backup giornaliero dei dati crittografati.
  • I nodi di elaborazione dati sono ridondanti in modo che il servizio possa essere fornito anche in caso di guasto di uno dei nodi.
  • Il servizio nel suo complesso è supervisionato in tempo reale ed è attivo un sistema di alert automatico per informare gli amministratori di sistema di qualsiasi anomalia nell’erogazione del servizio.
  • L'accesso ai server è limitato al personale identificato. Tutte le loro azioni su questi server vengono registrate in log inalterabili.
  • Un audit annuale del servizio verifica il rispetto delle procedure e delle misure di vigilanza.

Nota: i dati non sono anonimizzati / pseudonimizzati poiché lo scopo del servizio è convalidare l’identità dell’utente finale

Destino dei dati: Al termine della fornitura dei servizi relativi al trattamento di questi dati, il subappaltatore si impegna a restituire quindi a distruggere tutti i dati personali al controllore.

  • La restituzione deve essere accompagnata dalla distruzione di tutte le copie esistenti nei sistemi informativi del subappaltatore.
  • Poiché il subappaltatore utilizza algoritmi di apprendimento e di elaborazione automatica da lui stesso sviluppati, è autorizzato dal titolare del trattamento a conservare i dati allo scopo di migliorare tali algoritmi. I dati memorizzati vengono utilizzati da un team dedicato del subappaltatore, i cui membri hanno tutti sottoscritto uno specifico obbligo di riservatezza. I dati memorizzati non sono accessibili al di fuori del sistema informativo interno del subappaltatore.

Responsabile della protezione dei dati: il responsabile del trattamento comunica al titolare del trattamento il nome e i dati di contatto del suo responsabile della protezione dei dati, se ne ha nominato uno ai sensi dell’articolo 37 del regolamento europeo sulla protezione dei dati.

Registro delle categorie di attività di trattamento: Il responsabile del trattamento dichiara di tenere per iscritto un registro di tutte le categorie di attività di trattamento svolte per conto del titolare, tra cui:

  • Il nome e i dati di contatto del titolare del trattamento per conto del quale agiscono, degli eventuali subappaltatori e, ove applicabile, del responsabile della protezione dei dati;
  • Le categorie di trattamenti svolti per conto del titolare ;
  • Dove applicabile, trasferimenti di dati personali a un paese terzo oa un’organizzazione internazionale, compresa l’identificazione di tale paese terzo o di tale organizzazione internazionale e, nel caso dei trasferimenti di cui all’articolo 49, paragrafo 1, secondo comma dei dati europei regolamento di tutela, i documenti attestanti l’esistenza di adeguate garanzie
  • Per quanto possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative, incluso ma non limitato a, come richiesto :
    • Pseudonimizzazione e crittografia dei dati personali; o mezzi per garantire la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di elaborazione ;
    • Mezzi per ripristinare la disponibilità dei dati personali e l’accesso ad essi entro limiti di tempo adeguati in caso di incidente fisico o tecnico; o una procedura per testare, analizzare e valutare regolarmente l’efficacia delle misure tecniche e organizzative per garantire la sicurezza del trattamento.

Documentazione : il responsabile del trattamento fornisce al responsabile del trattamento la documentazione necessaria per dimostrare la conformità a tutti i suoi obblighi e per consentire che gli audit, comprese le ispezioni, siano svolti dal responsabile del trattamento dei dati o da un altro revisore incaricato e contribuisca a tali audit.

V. Obblighi del titolare del trattamento nei confronti del responsabile

Il titolare del trattamento si impegna a:

  • Fornire al subappaltatore i dati di cui al punto II di queste clausole
  • Documentare per iscritto eventuali istruzioni in merito al trattamento dei dati da parte del responsabile
  • Garantire, preventivamente e per tutta la durata del trattamento, il rispetto degli obblighi previsti dalla normativa europea sulla protezione dei dati da parte del responsabile
  • Supervisionare il trattamento, compreso lo svolgimento di audit e ispezioni sul responsabile del trattamento