myGEST | MDPA

(ex art. 28 del Regolamento UE 2016/679)

TRA

(i) MyGest S.r.l., con sede legale in Via Ostiense 131/L – 00154 Roma (RM); C.F. e P. IVA 15813241005; Numero REA RM – 1616343
(di seguito, il “Fornitore” o “myGEST”)

il soggetto indicato nel Contratto quale cliente (di seguito, il “Cliente”)

di seguito, congiuntamente, le “Parti” o disgiuntamente la “Parte”.

PREMESSO CHE

a) Il Cliente ha sottoscritto uno o più contratti con il Fornitore (di seguito, il “Contratto”).
b) Le Parti intendono disciplinare nel presente Accordo Principale per il Trattamento dei Dati Personali – Master Data Processing Agreement (di seguito, “MDPA” o “Accordo”) le condizioni e le modalità del trattamento dei dati personali eseguito dal Fornitore nell’ambito del Contratto e della prestazione dei servizi e le responsabilità connesse, incluso l’impegno del Fornitore quale Responsabile del trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (“GDPR”).
c) Le caratteristiche specifiche del trattamento sono descritte, con riferimento a ciascun Servizio, nelle Condizioni Speciali di trattamento dei Dati Personali – DPA disponibili all’indirizzo https://mygest.it/mdpa/ (di seguito, “DPA – Condizioni Speciali”), che costituiscono parte integrante e sostanziale del presente Accordo.

Tutto ciò premesso, si conviene e stipula quanto segue.

1. Definizioni e interpretazione

1.1 Le premesse costituiscono parte integrante del presente Accordo.
1.2 Ai fini dell’Accordo, valgono le seguenti definizioni:

Data di Decorrenza dell’Accordo: la data in cui il Cliente sottoscrive/accetta il presente Accordo.
Dati Personali: ha il significato di cui alla normativa sulla protezione dei dati personali; includono, a titolo esemplificativo, tutti i dati forniti/archiviati/inviati/ricevuti/elaborati o creati dal Cliente o dai suoi utenti nell’uso dei Servizi, nella misura in cui siano trattati dal Fornitore sulla base del Contratto. Le categorie sono riportate nei DPA – Condizioni Speciali.
Decisione di Adeguatezza: decisione della Commissione europea ex art. 45(3) GDPR che riconosce un livello adeguato di protezione in un Paese terzo.
Giorni Lavorativi: ogni giorno di calendario esclusi sabato, domenica e giorni di chiusura bancaria ordinaria sulla piazza di Milano.
Email di notifica: indirizzo/i email indicato/i dal Cliente all’atto della sottoscrizione o comunicato/i ufficialmente, a cui il Cliente riceve notifiche dal Fornitore.
Istruzioni: le istruzioni scritte impartite dal Titolare nel presente Accordo (e relativi DPA) e/o nel Contratto.
Legislazione in materia di Protezione dei Dati Personali: il GDPR, il D.Lgs. 196/2003 come modificato dal D.Lgs. 101/2018 e ogni altra norma/regolamento/provvedimento del Garante applicabile.
Personale del Fornitore: dirigenti, dipendenti, consulenti e altro personale del Fornitore (escluso il personale dei Responsabili Ulteriori).
Richiesta: richiesta di un Interessato (accesso, cancellazione, rettifica, opposizione, portabilità, ecc.).
Responsabile Ulteriore del Trattamento: sub-responsabile incaricato dal Fornitore che, nell’adempimento delle attività subappaltate, tratta Dati Personali.
Servizi: i servizi oggetto dei Contratti tra Cliente e Fornitore.
Utente Finale: l’eventuale fruitore finale dei Servizi individuato dal Cliente.
Violazione della Sicurezza dei Dati Personali: violazione di sicurezza che comporti la distruzione, perdita, modifica, divulgazione non autorizzata o accesso ai Dati Personali su sistemi gestiti o sotto controllo del Fornitore.

1.3 I termini “incluso”, “ivi compreso” si intendono “a titolo esemplificativo e non esaustivo”.
1.4 I termini “Interessato”, “Trattamento”, “Titolare”, “Responsabile”, “Trasferimento”, “Misure tecnico-organizzative adeguate” hanno il significato del GDPR.

2. Ruolo delle Parti

2.1 Le Parti riconoscono che il Cliente agisce quale Titolare del trattamento dei Dati Personali trattati tramite i Servizi; myGEST agisce quale Responsabile del trattamento ai sensi dell’art. 28 GDPR.
2.2 Qualora il Cliente tratti dati per conto di altro Titolare (e agisca quindi come Responsabile), garantisce di essere autorizzato a nominare myGEST quale Responsabile Ulteriore e, su richiesta scritta, esibirà la documentazione attestante l’autorizzazione.
2.3 Ciascuna Parte si conformerà agli obblighi ad essa spettanti ai sensi della normativa applicabile.
2.4 DPO: myGEST ha nominato un Responsabile della Protezione dei Dati (DPO), domiciliato presso la sede legale di MyGest S.r.l., contattabile alla PEC: mygestsrl@pec.it e al +39 06 56559807.

3. Trattamento dei Dati Personali

3.1 Con il presente Accordo (e relativi DPA), il Cliente incarica il Fornitore di trattare i Dati Personali ai fini dell’erogazione dei Servizi.
3.2 Il Fornitore tratta i Dati Personali solo su Istruzioni documentate del Cliente. Eventuali variazioni richieste dal Cliente saranno oggetto di verifica di fattibilità e, se del caso, di adeguamento di tempi e costi.
3.3 Se le Istruzioni del Cliente violano, a giudizio motivato del Fornitore, la normativa privacy, il Fornitore potrà astenersi dall’eseguirle, informando prontamente il Cliente.

4. Limitazioni all’utilizzo dei Dati Personali

4.1 Il Fornitore tratterà i Dati Personali:
(a) solo nella misura necessaria per erogare i Servizi/adempiere agli obblighi contrattuali o di legge/autorità; ove la legge lo consenta, informerà il Cliente tramite Email di notifica;
(b) in conformità alle Istruzioni del Cliente.
4.2 Il Personale del Fornitore che accede ai Dati è autorizzato, formato e vincolato da obblighi di riservatezza e policy aziendali.

5. Affidamento a terzi (Sub-processor)

5.1 Il Cliente autorizza il ricorso a Responsabili Ulteriori per specifiche attività di trattamento.
5.2 Il Fornitore si avvarrà solo di sub-responsabili che garantiscano misure adeguate e limiterà l’accesso ai dati allo stretto necessario.
5.3 Notifica di nuove nomine: almeno 15 (quindici) giorni prima dell’avvio del trattamento da parte del nuovo sub-responsabile, il Fornitore informerà il Cliente (identità, ubicazione, attività affidate) via Email di notifica o altro mezzo idoneo. Entro tale termine, il Cliente potrà recedere dal Contratto; restano dovuti gli importi maturati.
5.4 L’elenco aggiornato dei sub-responsabili e ulteriori informazioni sono disponibili nei DPA – Condizioni Speciali: https://mygest.it/mdpa/.

6. Sicurezza

6.1 Misure del Fornitore

Il Fornitore adotta misure tecnico-organizzative adeguate per garantire riservatezza, integrità, disponibilità e resilienza dei sistemi e dei Servizi, come descritto nell’Allegato 1 (Misure di Sicurezza).

Le misure potranno essere aggiornate nel tempo senza ridurre il livello di sicurezza; le modifiche rilevanti saranno notificate al Cliente.
Misure ulteriori richieste dal Cliente potranno essere oggetto di valutazione e corrispettivo.

6.1.1 L’assistenza agli obblighi degli artt. 32–34 GDPR è prestata nei limiti di quanto previsto in Allegato 1 e nel punto 6.3.

6.2 Misure del Cliente

Il Cliente resta unico responsabile delle misure di sicurezza lato proprio per l’uso dei Servizi (configurazioni, ruoli/permessi, protezione credenziali e device, backup di competenza, ecc.).
Non sussiste responsabilità del Fornitore sui dati che il Cliente conserva o trasferisce fuori dai sistemi del Fornitore e dei suoi sub-responsabili (es. archivi cartacei, data center propri, installazioni on-premises).

6.3 Violazioni di sicurezza

In caso di Violazione della Sicurezza dei Dati Personali su sistemi sotto controllo del Fornitore, quest’ultimo:
(a) informerà senza ingiustificato ritardo il Cliente via Email di notifica;
(b) adotterà misure ragionevoli di contenimento/mitigazione;
(c) fornirà le informazioni disponibili utili alla gestione dell’evento;
(d) tratterà come confidenziali le informazioni relative all’incidente.
Resta fermo che l’obbligo di notifica al Garante/Interessati spetta al Titolare (Cliente), salvo trattamenti in cui myGEST agisca da Titolare.

6.4 Il Cliente informerà tempestivamente il Fornitore di usi impropri/violazioni di cui venga a conoscenza.

7. Trasferimenti extra-SEE

7.1 Il Fornitore non trasferirà Dati Personali fuori dallo Spazio Economico Europeo (SEE) salvo: (i) Istruzioni del Cliente; (ii) necessità operative con garanzie adeguate (artt. 44–49 GDPR).
7.2 In mancanza di Decisione di Adeguatezza, si applicheranno le Clausole Contrattuali Standard (SCC) e ogni misura supplementare necessaria; il Cliente conferisce mandato al Fornitore a sottoscriverle con i sub-responsabili indicati nei DPA.
7.3 Qualora il Cliente agisca per conto di un Titolare terzo, si impegna a informarlo dei trasferimenti e delle relative garanzie.

8. Verifiche e controlli (Audit)

8.1 Il Fornitore esegue audit periodici della sicurezza (anche tramite professionisti indipendenti) e può mettere a disposizione report riservati al Cliente.
8.2 Il diritto di verifica del Cliente si intende, di regola, esercitato mediante l’esame dei report messi a disposizione.
8.3 Resta salvo un diritto di audit mirato del Cliente, previo accordo scritto su scopo, perimetro, tempi, riservatezza e riparto costi (oneri del Fornitore comunicati ex ante). Il Fornitore può opporsi a revisori non idonei/concorrenti.
8.4 Restano salvi i diritti di ispezione previsti nelle eventuali SCC sottoscritte.
8.5 Le verifiche presso i sub-responsabili si svolgeranno nel rispetto delle loro policy e regole di accesso.

9. Assistenza alla conformità

9.1 Il Fornitore assisterà ragionevolmente il Cliente per: (i) richieste delle Autorità, (ii) gestione incidenti, (iii) informazioni utili per eventuali DPIA del Cliente, (iv) supporto tecnico alle Richieste degli Interessati (quando il Cliente lo richieda).
9.2 Le richieste di assistenza personalizzate potranno essere soggette a corrispettivo.
9.3 La gestione dei rapporti con gli Interessati resta in capo al Cliente (Titolare).

10. Obblighi del Cliente e limitazioni

10.1 Il Cliente impartirà Istruzioni lecite e userà i Servizi in conformità alla normativa, trattando dati lecito-provenienti.
10.2 Il trattamento di particolari categorie di dati (artt. 9–10 GDPR) è consentito solo se previsto nei DPA – Condizioni Speciali o previo accordo scritto ai sensi del punto 3.2.
10.3 Il Cliente adempirà agli obblighi del Titolare (informative, basi giuridiche, registri, tempi di conservazione, DPIA ove dovute, ecc.).
10.4 Il Cliente valuta e configura il prodotto ai fini di eventuale raccolta consensi/informative; eventuali modelli messi a disposizione dal Fornitore sono esempi da adattare.
10.5 È onere del Cliente evadere/gestire Richieste degli Interessati (aggiornamento, rettifica, cancellazione, portabilità).
10.6 Il Cliente manterrà attiva e aggiornata l’Email di notifica.
10.7 Ai sensi dell’art. 30 GDPR, il Fornitore può richiedere dati identificativi e di contatto del Titolare/Responsabile per il registro dei trattamenti; il Cliente fornirà e manterrà aggiornate tali informazioni.
10.8 Non ingerenza: myGEST non controlla né determina finalità/mezzi dei trattamenti del Cliente nel SaaS, né i contenuti immessi, configurazioni, esportazioni o integrazioni abilitate dal Cliente; di ciò il Cliente è unico responsabile.

11. Durata

11.1 Il presente Accordo decorre dalla Data di Decorrenza e cessa con la cancellazione di tutti i Dati Personali da parte del Fornitore, come previsto dal presente Accordo e dai relativi DPA.

12. Restituzione e cancellazione dei dati

12.1 Alla cessazione del Servizio, il Fornitore:
(a) cancellerà i Dati Personali dai sistemi sotto il suo controllo entro i termini contrattuali (salvo obblighi di conservazione di legge);
(b) distruggerà eventuali supporti cartacei in suo possesso (salvo obblighi di legge);
(c) manterrà i Dati a disposizione per l’estrazione per 12 (dodici) mesi dalla cessazione, limitando ogni trattamento alla sola conservazione per tale finalità.
12.2 Il Cliente potrà estrarre i Dati secondo le modalità contrattuali ed è responsabile di farlo entro il termine di cui sopra.
12.3 Per prodotti on-premises, l’estrazione/cancellazione compete esclusivamente al Cliente secondo i termini contrattuali.
12.4 Restano ferme eventuali previsioni diverse nei DPA/Contratto.

13. Responsabilità

13.1 Ciascuna Parte risponde del proprio adempimento ai sensi di Accordo/DPA e legge applicabile.
13.2 Fatti salvi i limiti inderogabili di legge, l’eventuale responsabilità del Fornitore verso il Cliente è limitata nei massimi previsti dal Contratto.

14. Disposizioni finali

14.1 Il presente Accordo sostituisce ogni precedente intesa sul medesimo oggetto.
14.2 Il Fornitore potrà modificare il presente Accordo dandone comunicazione (anche via email/portale). Il Cliente potrà recedere entro 15 giorni dalla comunicazione. In difetto, le modifiche si intendono accettate.
14.3 In caso di conflitto tra Contratto e presente Accordo/DPA, prevalgono Accordo e DPA per i profili privacy.

Allegato 1 – Misure tecnico-organizzative

A) Misure organizzative

Policy & disciplinari interni su sicurezza, uso sistemi, gestione dati e riservatezza.
Autorizzazioni e ruoli: principio del least privilege, segregazione dei compiti, riesami periodici delle abilitazioni.
Gestione assistenza: procedure che limitano l’accesso ai soli dati necessari per attività di supporto previste contrattualmente (preferenza per dati mascherati/ambienti di test).
Formazione e riservatezza: corsi periodici al personale coinvolto nel trattamento; NDA e impegni di riservatezza.
Incident Management & Data Breach: processi per rilevazione, classificazione, risposta e notifica al Cliente degli incidenti, con playbook di contenimento e post-mortem.
Business Continuity & DR: piani per continuità operativa e disaster recovery in funzione dei RTO/RPO concordati.
DPIA support: metodologia interna per supportare, ove richiesto, le valutazioni d’impatto del Cliente (fornendo informazioni tecniche generali).
Vendor & Sub-processor management: due diligence, contratti ex art. 28 GDPR, monitoraggi periodici, lista aggiornata su https://mygest.it/mdpa/.

B) Misure tecniche

Cifratura: TLS per i dati in transito; cifratura a riposo ove applicabile (es. volumi/db/snapshot).
Segregazione logica dei tenant e isolamento degli ambienti (prod/test).
Controllo accessi: MFA per account critici; password policy robuste; session management; IP allowlisting ove richiesto.
Hardening & Patch management: sistemi e applicazioni aggiornati; gestione vulnerabilità con scansioni periodiche.
IDPS / Firewall: protezioni di rete a più livelli; rate-limiting/antibruteforce.
Logging & Audit trail: tracciamento accessi e azioni amministrative; protezione integrità dei log; retention coerente.
Backup & Restore: backup regolari testati; verifica periodica restore; cifratura e separazione logica dei supporti.
VA/PT: Vulnerability Assessment periodici e, ove opportuno, Penetration Test su componenti critiche.
Amministratori di Sistema: nomina formale, tracciamento attività con log management e verifiche periodiche.
Data Center & Cloud provider: controlli fisici e ambientali demandati ai provider certificati; integrazione contrattuale delle loro misure.

Fornitori infrastrutturali attualmente utilizzati (sub-responsabili di infrastruttura – dettaglio e aggiornamenti in https://mygest.it/mdpa/):

OVHcloud (OVH S.A.S.) – servizi di data center/cloud in UE.
Hetzner Online GmbH – servizi di data center/cloud in UE.
Amazon Web Services, Inc. (AWS) – servizi cloud; sedi UE e, solo ove necessario e con adeguate garanzie, eventuali trasferimenti extra-SEE.

Per il dettaglio delle misure di sicurezza dei singoli provider, si rinvia alla relativa documentazione ufficiale resa disponibile dai medesimi. L’elenco dei sub-responsabili e delle sedi è mantenuto aggiornato nelle DPA – Condizioni Speciali.

Collegamenti utili

MDPA / DPA – Condizioni Speciali: https://mygest.it/mdpa/