Emotion AI for Zoom – Nomina a Responsabile Del Trattamento (DPA)

See also in english language

In vigore dal 3 marzo 2024

Riassunto:

Il documento stabilisce la nomina di Cynny S.p.A. come Responsabile del Trattamento dei dati per un utente business interessato al servizio MorphCast Emotion AI for Zoom, in conformità con il GDPR. Dettaglia gli obblighi del Responsabile del Trattamento, tra cui trattare i dati personali esclusivamente per adempiere agli obblighi derivanti dal contratto, adottare adeguate misure di sicurezza, assistere il Titolare del Trattamento nel rispetto delle obbligazioni GDPR, gestire le violazioni dei dati e specifica le condizioni per il trattamento dei dati personali all’interno dell’UE. Viene inoltre trattato l’utilizzo di sub-incaricati, la durata e la cessazione della nomina, e le disposizioni finali, incluse le limitazioni di responsabilità e la giurisdizione. L’Allegato A classifica i dati personali da trattare e i loro scopi, mentre l’Allegato B elenca AWS come sub-incaricato.

Nomina a Responsabile Del Trattamento ai sensi dell’articolo 28 del Regolamento (UE) 2016/679 del 27 aprile 2016 (di seguito il “GDPR”)

Il presente atto di nomina (di seguito, la “Nomina”) è stipulato da e tra Cynny S.p.A. (“Cynny”), iscritta al Registro delle Imprese di Firenze, P.IVA IT06340560488, D-U-N-S® n. 434193325 (di seguito, il “Responsabile del Trattamento”) e l’utente business interessato all’attivazione del servizio MorphCast Emotion AI for Zoom (di seguito, il “Titolare del Trattamento”). Il Responsabile del Trattamento e il Titolare del Trattamento sono di seguito chiamati le “Parti”.

Premesso che

  1. il Titolare del Trattamento utilizza il servizio “MorphCast Emotion AI for Zoom”, in base ai termini e alle condizioni disponibili al link: MorphCast Emotion AI for Zoom – Terms of Use (di seguito, il “Contratto”);
  2. per l’esecuzione del Contratto, il Responsabile del Trattamento deve trattare per conto del Titolare del Trattamento, i dati personali indicati nell’Allegato A alla presente Nomina (i “Dati Personali”);
  3. il Titolare del Trattamento ha accertato che il Responsabile del Trattamento fornisce sufficienti garanzie in merito al fatto che il trattamento dei dati effettuato da quest’ultimo soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati.

tutto ciò premesso, essendo le Premesse e gli Allegati parte integrante e sostanziale della presente Nomina, le Parti convengono e stipulano quanto segue.

1. Nomina

Durante l’esecuzione dell’incarico oggetto della Nomina, il Responsabile del Trattamento tratterà i Dati Personali secondo quanto previsto nella Nomina e/o in conformità alle istruzioni in materia di Trattamento dei Dati Personali che il Titolare fornirà di volta in volta.

Il Trattamento oggetto della Nomina sarà effettuato esclusivamente con mezzi elettronici.

Il Responsabile del Trattamento si impegna per sé, per i propri dipendenti, nonché per eventuali altri soggetti che collaborano e/o fanno parte della sua organizzazione, a Trattare i Dati Personali esclusivamente ai fini dell’adempimento e dell’esecuzione degli obblighi derivanti dal Contratto, integralmente rispetto a quanto previsto dalla Nomina, nonché di quanto previsto dal GDPR e da ogni altra normativa in materia di protezione dei dati personali applicabile in Italia, ivi compresi i provvedimenti di eventuali Autorità di controllo (di seguito, “Normativa Privacy”).

Ai fini della presente Nomina, i termini utilizzati in maiuscolo avranno il significato attribuito nella presente Nomina o ai sensi del GDPR.

2. Obblighi del Responsabile del Trattamento

  1. Misure di Sicurezza

Tenuto conto dello stato dell’arte e dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile del Trattamento adotta adeguate misure tecniche e organizzative. Misure atte a garantire un livello di sicurezza adeguato al rischio. Il Responsabile si impegna inoltre ad assistere il Titolare, sulla base della natura del Trattamento dei Dati Personali e delle informazioni a sua disposizione, nell’assicurare il rispetto dei propri obblighi di rispondere alle richieste degli interessati di esercitare i propri diritti, segnalando eventuali violazioni dei dati, valutazione dell’impatto sulla protezione dei dati e consultazioni preventive ai sensi dell’articolo 32-36 del GDPR.

  1. Valutazione dell’impatto sulla protezione dei dati

Il Responsabile del Trattamento fornirà al Titolare del Trattamento ragionevole assistenza per qualsiasi valutazione d’impatto sulla protezione dei dati richiesta dall’articolo 35 del GDPR e previa consultazione con qualsiasi autorità di controllo da parte del Titolare del Trattamento richiesta dall’articolo 36 del GDPR, in tutti i casi solo per quanto riguarda il trattamento dei dati personali del Titolare da parte del Responsabile del Trattamento.

  1. Violazione dei dati 

Ai sensi dell’articolo 33 del GDPR, il Responsabile del Trattamento deve informare il Titolare del Trattamento senza indebito ritardo e in ogni caso entro ventiquattro (24) ore dal momento in cui è venuto a conoscenza o ha avuto motivi ragionevoli per sospettare una violazione dei dati personali. Il Responsabile del Trattamento fornirà al Titolare del Trattamento informazioni sufficienti per consentire al Titolare del Trattamento di adempiere a qualsiasi obbligo di segnalare una violazione dei dati personali ai sensi delle leggi sulla protezione dei dati.

  1. Possibili trasferimenti extra UE

I Dati Personali disciplinati dalla presente Nomina saranno Trattati nel territorio italiano, in altro stato membro dell’Unione Europea o nello Spazio Economico Europeo. Qualora i Dati Personali siano trasferiti a soggetti al di fuori del territorio degli Stati membri dell’Unione Europea, il Responsabile del Trattamento assicura che il Trattamento dei Dati Personali da parte di tali soggetti avvenga nel rispetto della Normativa Privacy. In particolare, in mancanza di un preventivo consenso scritto del Titolare del Trattamento, si garantisce che il trasferimento avverrà, alternativamente, sulla base di:

  1. una decisione di adeguatezza della Commissione ai sensi dell’articolo 45 del GDPR;
  2. clausole contrattuali standard di cui all’articolo 46, paragrafo 2, GDPR;
  3. regole aziendali vincolanti che disciplinano il trasferimento di Dati Personali verso un paese terzo in conformità con le disposizioni dell’articolo 47 GDPR;
  4. altre garanzie o circostanze specifiche per il trasferimento dei dati personali riconosciute dal GDPR, ad esempio ai sensi dell’articolo 46, paragrafo 3, e dell’articolo 49 del GDPR.
  5. Registro delle attività di trattamento

Il Responsabile del Trattamento si impegna a redigere e mantenere aggiornato il Registro dei Trattamenti secondo quanto previsto dall’art. 30 del GDPR.

  1. Richieste degli Interessati e delle autorità

Il Responsabile del Trattamento informerà senza indugio il Titolare del Trattamento se riceve una richiesta da un interessato, dall’Autorità di controllo e/o da un’altra autorità competente ai sensi delle leggi sulla protezione dei dati in materia di dati personali del Titolare.

  1. Amministratori dei sistemi

Il Responsabile del Trattamento nomina uno o più amministratori di sistema (“Amministratori di sistema”) per il trattamento dei dati personali effettuato con strumenti elettronici, nel rispetto delle disposizioni contenute nel provvedimento del 27.11.2008 dell’Autorità di controllo italiana. A tal fine, il Responsabile del Trattamento:

  • valutare preventivamente le caratteristiche soggettive dei soggetti ai quali intende attribuire la funzione di Amministratore di Sistema, nominando Amministratori di Sistema solo persone di comprovata capacità, esperienza ed affidabilità in relazione alla protezione dei Dati Personali, con particolare riferimento alle misure di sicurezza;
  • elencare specificamente l’ambito delle operazioni assegnate;
  • fornire, su richiesta, gli estremi identificativi degli Amministratori di Sistema e delle funzioni ad essi singolarmente attribuite, mantenendo a tal fine un elenco documentale aggiornato;
  • registrare gli accessi logici degli Amministratori di Sistema, mediante registrazioni complete, comprensive di riferimenti temporali e descrizione dell’evento che le ha generate, inalterabili (con possibilità di verificarne l’integrità) e conservate per almeno sei mesi;
  • verificare l’operato degli Amministratori di Sistema attraverso audit interni svolti con cadenza almeno annuale.
  1. Affidabilità e Riservatezza

Il Responsabile del Trattamento adotta misure ragionevoli per garantire l’affidabilità di qualsiasi persona autorizzata che possa avere accesso ai dati personali trattati. 

Il Responsabile del Trattamento si impegna a:

  • individuare per iscritto le persone autorizzate al Trattamento dei Dati Personali e fornire loro le istruzioni relative alle operazioni da compiere, assicurando il corretto rispetto delle istruzioni impartite;
  • garantire che le persone autorizzate al Trattamento dei Dati Personali si impegnino alla riservatezza e che Trattano tali Dati Personali osservando le presenti istruzioni fornite dal Titolare e la Normativa Privacy.

3. Ispezioni e controlli

3.1 Al fine di verificare il rispetto di quanto previsto dalla Nomina, il Titolare del Trattamento può organizzare visite e sopralluoghi, su base ragionevole, presso la sede del Responsabile del Trattamento, ove i Dati Personali sono conservati ai sensi dell’Allegato A, ovvero mediante verifiche documentali. In quest’ultimo caso, il Responsabile del Trattamento invierà la documentazione richiesta, ove ragionevole, al Titolare del Trattamento, via posta elettronica, fermo restando che le spese di spedizione con altro mezzo saranno a carico del Titolare del Trattamento.

3.2 Le visite ed i sopralluoghi possono essere effettuati dal Titolare del Trattamento solo previa comunicazione scritta da pervenire al Responsabile del Trattamento con un preavviso minimo di 15 (quindici) giorni lavorativi. Il Titolare del Trattamento è consapevole che qualsiasi di tali visite e ispezioni può interrompere in modo significativo le attività commerciali del Responsabile del Trattamento. Il Titolare del Trattamento garantisce che i propri revisori si adopereranno per evitare di causare interruzioni, interferenze, disservizi e/o danni alle apparecchiature, al personale e/o alle attività aziendali del Responsabile del Trattamento durante o in conseguenza del controllo o dell’ispezione. Ogni richiesta di controllo deve comunque soddisfare i seguenti requisiti:

  1. essere condotto da una società di revisione indipendente riconosciuta a livello internazionale;
  2. deve avvenire durante il normale orario di lavoro del Responsabile del Trattamento, soggetto a un ambito di controllo concordato di comune accordo;
  3. la durata dell’ispezione deve essere ragionevole e comunque non superiore a otto ore in un giorno lavorativo;
  4. l’ambito delle ispezioni sarà in ogni caso strettamente limitato al Trattamento dei Dati Personali, essendo espressamente vietato l’accesso a qualsiasi altra informazione; i controlli non saranno autorizzati se interferiscono con la capacità del Responsabile di fornire i propri servizi;
  5. le ispezioni devono essere effettuate nel pieno rispetto degli obblighi di riservatezza del Titolare del Trattamento e/o degli altri obblighi contrattuali e/o di legge;
  6. i costi e le spese delle verifiche sono integralmente a carico del Titolare del Trattamento.

4. Utilizzo di sub-incaricati

Il Responsabile del Trattamento si avvale attualmente di un altro responsabile del trattamento dati per l’esecuzione di specifiche attività di trattamento ai sensi della presente nomina (di seguito “Sub-responsabile”), come indicato nell’allegato B.

In aggiunta a quanto sopra, con la sottoscrizione della presente Nomina, il Titolare del Trattamento conferisce al Responsabile del Trattamento autorizzazione scritta generale alla nomina di nuovi e/o ulteriori Sub-Responsabili.

Il Responsabile del Trattamento si impegna a mettere a disposizione del Titolare del Trattamento l’elenco dei propri Sub-Responsabili, previa sua richiesta scritta. Nel caso in cui il Responsabile del Trattamento nomini nuovi o ulteriori Sub-responsabili, il Titolare del Trattamento ne informerà il Responsabile del Trattamento via e-mail (facendo riferimento ai recapiti forniti nella registrazione al servizio ai sensi del Contratto).

Qualora il Titolare del Trattamento abbia fondati motivi per opporsi alla nomina di nuovi e/o ulteriori Sub-Responsabili ed è in grado di dimostrare che ciò comporterebbe un rischio significativo per la protezione dei Dati Personali, il Titolare del Trattamento dovrà inviare una comunicazione scritta al Responsabile del Trattamento specificando le ragioni della sua posizione. Se le condizioni di cui sopra sono soddisfatte, il Responsabile del Trattamento collaborerà con il Titolare del Trattamento al fine di concordare una soluzione alternativa commercialmente ragionevole che potrebbe essere accettabile per entrambe le Parti. In caso di mancato raggiungimento di un accordo e/o in caso di parziale impossibilità di fornire i servizi in mancanza di tale accordo, le Parti definiranno in buona fede, caso per caso, come continuare a fornire i servizi nel rispetto dei termini del Contratto.

Il Responsabile del Trattamento coinvolgerà i Sub-responsabili tramite accordi scritti chiedendo loro di fornire almeno il livello di protezione dei Dati Personali richiesto dalla presente Nomina.

5. termine e cessazione della nomina

5.1 La Nomina produce i suoi effetti a decorrere dalla data di entrata in vigore del Contratto e rimarrà in vigore fino alla sua cessazione, indipendentemente dalla causa della risoluzione predetta.

5.2 In caso di risoluzione del Contratto o della presente Nomina per qualsiasi motivo o titolo, il Responsabile del Trattamento, in conformità alle istruzioni impartite per iscritto dal Titolare del Trattamento, si impegna: (i) a restituire i Dati Personali; o in alternativa (ii) distruggere completamente i suddetti Dati Personali mediante cancellazione definitiva di questi ultimi dai propri sistemi.

6. disposizioni finali

6.1 Le Parti riconoscono e convengono che, nella misura massima consentita dalla normativa applicabile, la limitazione di responsabilità prevista dal Contratto troverà applicazione anche al presente Nomina.

6.2 In caso di domande sul presente documento, contattare privacy@cynny.com o inviare la richiesta al seguente indirizzo postale: Cynny S.p.a., Via Delle Mantellate n. 8, 50129 Firenze (Italia). Cynny ha inoltre nominato un Data Protection Officer, contattabile al seguente indirizzo email: info@agiledpo.it.

6.3 La presente Nomina è regolata dalla legge italiana. Qualsiasi controversia relativa alla presente Nomina sarà decisa in via esclusiva dal Foro di Firenze (Italia).

[x] Il Responsabile del Trattamento dichiara di aver attentamente esaminato e specificamente approvato i seguenti articoli della presente Nomina ai sensi degli artt. 1341 e 1342 cc: 6.1 (limitazione di responsabilità), 6.3 (foro competente).

Accettato elettronicamente dal Titolare del Trattamento

Allegato A

Categorie dei Dati Personalinome inserito dall’ospite prima della partecipazione alla videoconferenza/webinar;  con un certo grado di accuratezza, le emozioni dominanti secondo il modello di Paul Ekman; stato d’animo, livello di attenzione e coinvolgimento (modello circonflesso degli affetti di Russell basato su arousal and valence).
Scopo del trattamento messo in atto dal Responsabile del Trattamento per il Titolare del Trattamento Visualizzazione dei dati in tempo reale durante la videoconferenza/webinar e visualizzazione dashboard dei dati dopo la videoconferenza/webinar
Attività consentite sui Dati PersonaliVisualizzazione riservata al Titolare del Trattamento
Luogo di conservazione dei Dati Personali Unione Europea

Allegato B

AWS (Amazon Servizi) – Amazon Virtual Private Cloud