Emotion AI Interactive Video Platform – Nomina a Responsabile Del Trattamento (DPA)

See also in english language

In vigore dal 23 gennaio 2023

Nomina a Responsabile del Trattamento Dati ai sensi dell'art. 28 del Regolamento (UE) 2016/679 del 27 aprile 2016 (di seguito “GDPR”)

Il presente atto di nomina (di seguito, la “Nomina”) è stipulato da e tra Cynny S.p.A. (“Cynny”), iscritta al Registro delle Imprese di Firenze, P.IVA IT06340560488, DUNS® n. 434193325, (di seguito, il “Responsabile del Trattamento”) e l'utente professionale (di seguito, il “Titolare del Trattamento”), che ha attivato il servizio MorphCast Emotion AI Interactive Video Platform, come descritto nelle relative Condizioni d'Uso (di seguito, il “Contratto”), come disponibili qui. Il Responsabile del Trattamento e il Titolare del Trattamento sono di seguito indicati come le “Parti”. 

Premesso che

  1. il Titolare del Trattamento utilizza il servizio “MorphCast Emotion AI Interactive Video Platform”, in base ai termini e alle condizioni disponibili qui (di seguito, il “Contratto”);
  2. per l'esecuzione del Contratto, il Responsabile del Trattamento deve trattare per conto del Titolare del Trattamento i dati personali indicati nell'Allegato A alla presente Nomina (i “Dati Personali”), anch'essi soggetti alla relativa previsione del Contratto ;
  3. il Titolare del Trattamento ha accertato che il Responsabile del Trattamento fornisce sufficienti garanzie in merito al fatto che il trattamento dei dati effettuato da quest'ultimo soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati.

Tutto ciò premesso, essendo le Premesse e gli Allegati parte integrante e sostanziale della presente Nomina, le Parti convengono e stipulano quanto segue. 

1. Nomina

Durante l'esecuzione dell'incarico oggetto della Nomina, il Responsabile del Trattamento tratterà i Dati Personali secondo quanto previsto nella Nomina e/o in conformità alle istruzioni in materia di Trattamento dei Dati Personali che il Titolare del Trattamento fornirà di tempo al tempo.

Il Trattamento oggetto della Nomina sarà effettuato esclusivamente con mezzi elettronici. 

Il Responsabile del Trattamento si impegna per sé, per i propri dipendenti, nonché per eventuali altri soggetti che collaborano e/o fanno parte della sua organizzazione, a Trattare i Dati Personali esclusivamente ai fini dell'adempimento e dell'esecuzione degli obblighi derivanti dal Contratto, integralmente rispetto di quanto previsto dal Conferimento, nonché di quanto previsto dal GDPR e da ogni altra normativa in materia di protezione dei dati personali applicabile in Italia, ivi inclusi i provvedimenti di eventuali Autorità di controllo (di seguito, “Normativa Privacy”). 

Ai fini della presente Nomina, i termini utilizzati in maiuscolo avranno il significato attribuito nella presente Nomina o ai sensi del GDPR.

2. Obblighi del Responsabile del Trattamento

  1. Misure di sicurezza 

Tenendo presente lo stato dell'arte e i costi di attuazione, la natura, l'oggetto, il contesto e le finalità del trattamento, nonché i rischi di diversa probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile del Trattamento adotta adeguate misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio. Il Responsabile del Trattamento si impegna inoltre ad assistere il Titolare del Trattamento, in base alla natura del Trattamento dei Dati Personali e alle informazioni a disposizione del Responsabile del Trattamento, nell'assicurare il rispetto dei propri obblighi per rispondere alle richieste degli interessati di esercitare i propri diritti, segnalare eventuali violazioni dei dati, valutare l'impatto sulla protezione dei dati e consultazioni preventive ai sensi degli artt. 32-36 del GDPR.

  1. Valutazione d'impatto sulla protezione dei dati 

Il Responsabile del Trattamento fornirà al Titolare del Trattamento ragionevole assistenza per qualsiasi valutazione d'impatto sulla protezione dei dati richiesta dall'articolo 35 del GDPR e previa consultazione con qualsiasi autorità di controllo da parte del Titolare del Trattamento richiesta dall'articolo 36 del GDPR, in tutti i casi solo per quanto riguarda il trattamento dei dati personali del Titolare da parte del Responsabile del Trattamento.

  1. Violazione dei dati

Ai sensi dell'articolo 33 del GDPR, Il Responsabile del Trattamento informerà il Titolare senza ingiustificato ritardo, e in ogni caso entro ventiquattro (24) ore dal momento in cui ne è venuto a conoscenza o ha avuto ragionevoli motivi per sospettare una violazione dei dati personali. Il Responsabile del Trattamento fornirà al Titolare del Trattamento informazioni sufficienti per consentire al Titolare del Trattamento di adempiere a qualsiasi obbligo di segnalare una violazione dei dati personali ai sensi delle leggi sulla protezione dei dati.

  1. Eventuali trasferimenti extra-UE

I Dati Personali oggetto della presente Nomina saranno Trattati nel territorio italiano, in altro stato membro dell'Unione Europea o nello Spazio Economico Europeo. Come indicato nella sezione “Avvisi importanti per gli utenti professionali europei” dell'informativa sulla privacy di MorphCast Emotion AI Interactive Video Platform, come disponibile qui, se i Dati Personali sono trasferiti a soggetti al di fuori del territorio degli Stati membri dell'UE, il Responsabile del Trattamento assicura che il Trattamento dei Dati Personali da parte di questi soggetti avviene nel rispetto della Legge sulla Privacy. In particolare, in assenza di un preventivo consenso scritto del Titolare del Trattamento, si garantisce che il trasferimento avverrà, in alternativa, sulla base di: 

  1. una decisione di adeguatezza della Commissione ex art. 45 GDPR;
  2. clausole contrattuali standard di cui all'articolo 46, paragrafo 2, GDPR;
  3. regole aziendali vincolanti che disciplinano il trasferimento di dati personali verso un paese terzo in conformità con le disposizioni dell'articolo 47 GDPR; 
  4. altre garanzie o circostanze specifiche per il trasferimento dei dati personali riconosciute dal GDPR, ad esempio ai sensi dell'articolo 46, paragrafo 3, e dell'articolo 49 del GDPR.
  1. Registro dei trattamenti 

Il Responsabile del Trattamento si impegna a redigere e mantenere aggiornato il Registro dei trattamenti secondo quanto previsto dall'art. 30 del GDPR. 

  1. Richieste degli Interessati e delle autorità 

Il Responsabile del Trattamento informerà senza indugio il Titolare del Trattamento se riceve una richiesta da un interessato, dall'Autorità di controllo e/o da un'altra autorità competente ai sensi delle leggi sulla protezione dei dati in materia di dati personali del Titolare.

  1. Affidabilità e riservatezza

Il Responsabile del Trattamento adotta misure ragionevoli per garantire l'affidabilità di qualsiasi persona autorizzata che possa avere accesso ai dati personali trattati.

Il Responsabile del Trattamento si impegna a:

  • individuare per iscritto le persone autorizzate al Trattamento dei Dati Personali e fornire loro le istruzioni relative alle operazioni da compiere, assicurando il corretto rispetto delle istruzioni impartite;
  • garantire che le persone autorizzate al Trattamento dei Dati Personali si impegnino alla riservatezza e che Trattano tali Dati Personali osservando le presenti istruzioni fornite dal Titolare e la Normativa Privacy.
  1. Responsabile del Trattamento

Il Responsabile del Trattamento si impegna a: 

  • identificare per iscritto le persone autorizzate al Trattamento dei Dati Personali e fornire loro le istruzioni relative alle operazioni da svolgere, assicurando il corretto rispetto delle istruzioni impartite;
  • garantire che le persone autorizzate al Trattamento dei Dati Personali si impegnino alla riservatezza e che Trattano tali Dati Personali osservando le presenti istruzioni fornite dal Titolare del Trattamento e la Normativa Privacy. 

3. Ispezioni e controlli

3.1 Al fine di verificare il rispetto di quanto previsto dalla Nomina, il Titolare del Trattamento può organizzare visite e sopralluoghi, su base ragionevole, presso la sede del Responsabile del Trattamento, ove sono conservati i Dati Personali di cui all'Allegato A, ovvero mediante verifiche documentali. In quest'ultimo caso, il Responsabile del Trattamento invierà la documentazione richiesta, ove ragionevole, al Titolare del Trattamento, via posta elettronica, fermo restando che le spese di spedizione con altro mezzo saranno a carico del Titolare del Trattamento.

3.2 Le visite ed i sopralluoghi possono essere effettuati dal Titolare del Trattamento solo previa comunicazione scritta da pervenire al Responsabile del Trattamento con un preavviso minimo di 15 (quindici) giorni lavorativi. Il Titolare del Trattamento è consapevole che qualsiasi di tali visite e ispezioni può interrompere in modo significativo le attività commerciali del Responsabile del Trattamento. Il Titolare del Trattamento garantisce che i propri revisori si adopereranno per evitare di causare interruzioni, interferenze, disservizi e/o danni alle apparecchiature, al personale e/o alle attività aziendali del Responsabile del Trattamento durante o in conseguenza del controllo o dell'ispezione. Ciascuna richiesta di controllo deve comunque soddisfare i seguenti requisiti: 

  1. essere condotta da una società di revisione indipendente riconosciuta a livello internazionale;
  2. deve avvenire durante il normale orario di lavoro del Responsabile del Trattamento, soggetto a un ambito di controllo concordato di comune accordo;
  3. la durata dell'ispezione deve essere ragionevole e comunque non superiore a otto ore in un giorno lavorativo;
  4. l'ambito delle ispezioni sarà in ogni caso strettamente limitato al Trattamento dei Dati Personali, essendo espressamente vietato l'accesso a qualsiasi altra informazione; i controlli non saranno autorizzati se interferiscono con la capacità del Responsabile del Trattamento di fornire i propri servizi;
  5. le ispezioni devono essere effettuate nel pieno rispetto degli obblighi di riservatezza del Titolare del Trattamento e/o degli altri obblighi contrattuali e/o di legge; 
  6. i costi e le spese delle verifiche sono integralmente a carico del Titolare del Trattamento. 

4. Utilizzo di sub-responsabili 

Il Responsabile del Trattamento si avvale attualmente di altri responsabili del trattamento per l'esecuzione di specifiche attività di Trattamento ai sensi della presente Nomina (di seguito “Sub-Responsabile del Trattamento”), come indicato nell'Allegato B. 

In aggiunta a quanto sopra, firmando la presente Nomina, il Titolare del Trattamento conferisce al Responsabile del Trattamento autorizzazione scritta generale alla nomina di nuovi e/o ulteriori Sub-Responsabili.

Il Responsabile del Trattamento si impegna a mettere a disposizione del Titolare del Trattamento l'elenco dei propri Sub-Responsabili, previa sua richiesta scritta. Nel caso in cui il Responsabile del Trattamento nomini nuovi o ulteriori Sub-responsabili, il Titolare del Trattamento ne informerà il Responsabile del Trattamento via e-mail (facendo riferimento ai recapiti forniti nella registrazione al servizio ai sensi del Contratto).

Qualora il Titolare del Trattamento abbia fondati motivi per opporsi alla nomina di nuovi e/o ulteriori Sub-Responsabili ed è in grado di dimostrare che ciò comporterebbe un rischio significativo per la protezione dei Dati Personali, il Titolare del Trattamento dovrà inviare una comunicazione scritta al Responsabile del Trattamento specificando le ragioni della sua posizione. Se le condizioni di cui sopra sono soddisfatte, il Responsabile del Trattamento collaborerà con il Titolare del Trattamento al fine di concordare una soluzione alternativa commercialmente ragionevole che potrebbe essere accettabile per entrambe le Parti. In caso di mancato raggiungimento di un accordo e/o in caso di parziale impossibilità di fornire i servizi in mancanza di tale accordo, le Parti definiranno in buona fede, caso per caso, come continuare a fornire i servizi nel rispetto dei termini del Contratto.

Il Responsabile del Trattamento coinvolgerà i Sub-responsabili attraverso accordi scritti chiedendo loro di fornire almeno il livello di protezione dei Dati Personali richiesto dalla presente Nomina.

5. durata e cessazione della nomina

5.1 La Nomina produce i suoi effetti a decorrere dalla data di entrata in vigore del Contratto e rimarrà in vigore fino alla sua cessazione, indipendentemente dalla causa della suddetta cessazione.

5.2 In caso di risoluzione del Contratto o della presente Nomina per qualsiasi motivo o titolo, il Responsabile del Trattamento, in conformità alle istruzioni impartite per iscritto dal Titolare del Trattamento, si impegna: (i) a restituire i Dati Personali; o in alternativa (ii) distruggere completamente i suddetti Dati Personali mediante cancellazione definitiva di questi ultimi dai propri sistemi.

6. Disposizioni finali 

6.1 Le Parti riconoscono e convengono che, nella misura massima consentita dalla normativa applicabile, la limitazione di responsabilità prevista dal Contratto troverà applicazione anche alla presente Nomina. 

6.2 In caso di domande su questo documento, contattare [email protected] o inviare la richiesta al seguente indirizzo postale: Cynny Spa, Via Delle Mantellate n. 8, 50129 Firenze (Italia). Cynny ha inoltre nominato un Data Protection Officer, contattabile al seguente indirizzo email: [email protected].

6.3 La presente Nomina è regolata dalla legge italiana. Qualsiasi controversia relativa alla presente Nomina sarà decisa in via esclusiva dal Foro di Firenze (Italia).

Accettato elettronicamente dal Titolare del Trattamento

[x] Il Responsabile del Trattamento dichiara di aver attentamente esaminato ed espressamente approvato i seguenti articoli della presente Nomina ai sensi degli artt. 1341 e 1342 c.c.: 6.1 (limitazione di responsabilità), 6.3 (foro competente).

Allegato A

Categorie di Dati Personali  

contenuti multimediali caricati dall’Utente Professionale sulla piattaforma “MorphCast Emotion AI Interactive Video Platform” e sui quali Cynny non ha alcun controllo

Finalità del Trattamento effettuato dal Responsabile del Trattamento a favore del Titolare del Trattamento 

funzionalità della piattaforma

Attività consentite sui Dati Personali

archiviazione e visualizzazione

Luogo di conservazione dei Dati Personali 

Unione Europea

Allegato B

AWS (Amazon Servizi) – Amazon Virtual Private Cloud