Il presente Accordo sul Trattamento dei Dati ("DPA") fa parte dell'accordo di servizio tra Multiuniversal UAB ("Responsabile del trattamento") e il cliente ("Titolare del trattamento"). Si applica automaticamente a tutti gli incarichi in cui Multiuniversal tratta dati personali per conto del Titolare. Non è richiesta una firma separata — l'avvio di un incarico di servizio costituisce accettazione dei presenti termini.
Per domande su questo DPA, contattaci all'indirizzo privacy@multiuniversal.com.
- Definizioni
- Ambito e ruoli
- Obblighi del Responsabile del trattamento
- Obblighi del Titolare del trattamento
- Sub-responsabili
- Misure di sicurezza
- Diritti degli interessati
- Violazioni dei dati personali
- Trasferimenti internazionali
- Diritti di audit
- Durata e risoluzione
- Legge applicabile
- Allegato di trattamento
Definizioni
Nel presente DPA:
- "Titolare del trattamento" indica il cliente che determina le finalità e i mezzi del trattamento dei dati personali.
- "Responsabile del trattamento" indica Multiuniversal UAB, che agisce su istruzione del Titolare.
- "Dati personali", "Interessato", "Trattamento", "Autorità di controllo" e "Violazione dei dati personali" hanno i significati attribuiti dal GDPR.
- "GDPR" indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
- "Servizi" indica i servizi di infrastruttura AI, automazione o integrazione forniti dal Responsabile del trattamento nell'ambito dell'accordo di servizio applicabile.
- "Sub-responsabile" indica qualsiasi terza parte coinvolta dal Responsabile per svolgere attività di trattamento per conto del Titolare.
Ambito e ruoli
Il Responsabile del trattamento fornisce servizi di infrastruttura AI che possono comportare il trattamento di dati personali per conto del Titolare. In tale contesto:
- Il Titolare del trattamento è il titolare responsabile della determinazione della base giuridica e della finalità del trattamento.
- Il Responsabile del trattamento tratta i dati personali esclusivamente su istruzioni documentate del Titolare e per nessun altro scopo.
- Le specifiche categorie di dati personali trattati, la natura del trattamento e la durata sono stabilite nell'Allegato di trattamento concordato per ogni incarico.
Obblighi del Responsabile del trattamento
Il Responsabile del trattamento dovrà:
- Trattare i dati personali solo su istruzioni documentate del Titolare, salvo che sia tenuto a farlo dalla legge dell'Unione o degli Stati membri.
- Garantire che le persone autorizzate a trattare i dati personali siano vincolate da obblighi di riservatezza.
- Implementare misure di sicurezza tecniche e organizzative adeguate.
- Assistere il Titolare nell'adempimento dei propri obblighi di risposta alle richieste degli interessati.
- Assistere il Titolare nell'assicurare la conformità ai propri obblighi ai sensi degli articoli 32–36 del GDPR (sicurezza, notifica delle violazioni, DPIA, consultazione preventiva).
- Su scelta del Titolare, cancellare o restituire tutti i dati personali al Titolare alla cessazione dei Servizi, e cancellare le copie esistenti, a meno che la legge dell'Unione o degli Stati membri non richieda la conservazione.
- Mettere a disposizione tutte le informazioni necessarie per dimostrare la conformità al presente DPA e cooperare con gli audit.
- Notificare immediatamente al Titolare se, a parere del Responsabile, un'istruzione viola il GDPR o altra normativa applicabile in materia di protezione dei dati.
Obblighi del Titolare del trattamento
Il Titolare del trattamento dovrà:
- Garantire di disporre di una base giuridica valida ai sensi dell'articolo 6 del GDPR per tutti i dati personali forniti al Responsabile.
- Fornire istruzioni documentate per il trattamento e notificare tempestivamente al Responsabile qualsiasi modifica.
- Garantire che gli interessati siano stati informati del trattamento, come richiesto dagli articoli 13 e 14 del GDPR.
- Non istruire il Responsabile a svolgere alcuna attività di trattamento che violerebbe la legge applicabile.
Sub-responsabili
Il Responsabile del trattamento non deve coinvolgere sub-responsabili per trattare i dati personali del Titolare senza la previa autorizzazione scritta del Titolare. Laddove il Titolare fornisca un'autorizzazione scritta generale, il Responsabile notifica al Titolare qualsiasi modifica prevista riguardante l'aggiunta o la sostituzione di sub-responsabili, dando al Titolare la possibilità di opporsi entro 14 giorni.
Qualsiasi sub-responsabile coinvolto deve essere vincolato da obblighi di protezione dei dati equivalenti a quelli del presente DPA. Il Responsabile rimane pienamente responsabile nei confronti del Titolare per l'operato dei sub-responsabili.
L'elenco aggiornato dei sub-responsabili approvati utilizzati negli incarichi di servizio standard è disponibile presso privacy@multiuniversal.com e viene fornito su richiesta. Laddove l'inferenza del modello AI faccia parte dell'erogazione del servizio, i sub-responsabili coinvolti sono elencati nello stesso registro e notificati ai Titolari come richiesto dalla clausola 5.1.
Misure di sicurezza
Il Responsabile del trattamento implementa misure tecniche e organizzative adeguate al rischio, tra cui:
| Misura | Implementazione |
|---|---|
| Crittografia in transito | TLS 1.2+ per tutte le trasmissioni di dati |
| Crittografia a riposo | Archiviazione crittografata per i database contenenti dati personali |
| Controllo degli accessi | Accesso basato sui ruoli; principio del privilegio minimo; autenticazione forte |
| Minimizzazione dei dati | Vengono trattati solo i dati necessari per lo scopo specificato |
| Controlli sul trattamento AI | Inferenza AI eseguita all'interno del perimetro dell'incarico; controlli di accesso e registrazione allineati con il resto dello stack di gestione dei dati |
| Risposta agli incidenti | Procedure documentate di rilevamento e risposta alle violazioni |
Il Responsabile del trattamento rivede e aggiorna periodicamente queste misure alla luce degli sviluppi tecnologici e della natura dei dati trattati.
Diritti degli interessati
Tenuto conto della natura del trattamento, il Responsabile assiste il Titolare — mediante misure tecniche e organizzative adeguate — nell'adempimento dell'obbligo del Titolare di rispondere alle richieste degli interessati che esercitano i propri diritti ai sensi del Capo III del GDPR (accesso, rettifica, cancellazione, limitazione, portabilità, opposizione).
Laddove il Responsabile riceva direttamente una richiesta di un interessato relativa ai dati del Titolare, la trasmette tempestivamente al Titolare e non risponde direttamente all'interessato, a meno che non venga istruito in tal senso.
Violazioni dei dati personali
Il Responsabile del trattamento notifica al Titolare senza ingiustificato ritardo — e in ogni caso entro 48 ore — dopo essere venuto a conoscenza di una Violazione dei dati personali che riguarda i dati del Titolare. La notifica include, nella misura in cui disponibile:
- Una descrizione della natura della violazione, incluse le categorie e il numero approssimativo di interessati e dati interessati
- Il nome e i dati di contatto del referente per la protezione dei dati del Responsabile
- Una descrizione delle probabili conseguenze della violazione
- Una descrizione delle misure adottate o proposte per affrontare la violazione
Il Responsabile del trattamento coopera con il Titolare e adotta misure ragionevoli per mitigare gli effetti della violazione. Il Titolare rimane responsabile di qualsiasi notifica alle autorità di controllo e agli interessati ai sensi degli articoli 33 e 34 del GDPR.
Trasferimenti internazionali
L'infrastruttura e il personale del Responsabile del trattamento sono ubicati in Lituania, che è uno Stato membro dell'Unione europea. I dati personali trattati nell'ambito del presente DPA non vengono trasferiti al di fuori dello Spazio economico europeo per impostazione predefinita.
Laddove un incarico specifico richieda il trasferimento di dati personali in un paese terzo, il Responsabile notifica preventivamente al Titolare. Tale trasferimento è soggetto a un'adeguata garanzia ai sensi del Capo V del GDPR (come le Clausole contrattuali standard o una decisione di adeguatezza), implementata prima del trasferimento.
Diritti di audit
Il Responsabile del trattamento mette a disposizione del Titolare tutte le informazioni ragionevolmente necessarie per dimostrare la conformità al presente DPA. Il Titolare (o un revisore da esso incaricato) può condurre audit o ispezioni delle attività di trattamento del Responsabile, subordinatamente a:
- Ragionevole preavviso scritto di almeno 14 giorni
- L'audit deve essere condotto durante il normale orario lavorativo e in modo da non disturbare irragionevolmente le operazioni del Responsabile
- Il revisore deve essere vincolato da obblighi di riservatezza equivalenti a quelli previsti dal presente DPA
Il Titolare del trattamento sostiene i costi di qualsiasi audit, a meno che l'audit non riveli una violazione sostanziale del presente DPA da parte del Responsabile.
Durata e risoluzione
Il presente DPA rimane in vigore per tutta la durata dell'accordo di servizio applicabile. Alla cessazione o alla scadenza dell'accordo di servizio, il Responsabile del trattamento, entro 30 giorni e su scelta del Titolare, restituirà o cancellerà tutti i dati personali. Il Responsabile può conservare una copia per un massimo di 3 anni dalla cessazione ai fini della risoluzione delle controversie, dell'audit e delle azioni legali — dopo di che sarà eliminata in modo sicuro. Durante tale periodo di conservazione, il trattamento è limitato a tali soli scopi. Il Titolare può richiedere la cancellazione anticipata in qualsiasi momento.
Laddove la conservazione oltre i 3 anni sia richiesta dalla legge dell'Unione o degli Stati membri applicabile, il Responsabile informa il Titolare del requisito legale e limita il trattamento al minimo necessario per adempiervi.
Legge applicabile
Il presente DPA è disciplinato e interpretato in conformità alle leggi della Repubblica di Lituania. Qualsiasi controversia derivante dal presente DPA sarà soggetta alla giurisdizione esclusiva dei tribunali di Vilnius, Lituania, salvo che l'accordo di servizio applicabile non stabilisca diversamente.
Laddove il Titolare del trattamento sia soggetto alle leggi di un altro Stato membro dell'UE, nulla nel presente DPA limita il diritto del Titolare di presentare un reclamo alla propria autorità di controllo locale.
Allegato di trattamento
Il seguente allegato viene completato per ogni incarico e fa parte del presente DPA. Una copia firmata viene fornita al Titolare prima dell'avvio del trattamento.
| Nome e indirizzo del Titolare del trattamento | Da completare per ogni incarico |
| Descrizione dei servizi | Da completare per ogni incarico |
| Finalità del trattamento | Da completare per ogni incarico |
| Categorie di dati personali | Da completare per ogni incarico |
| Categorie di interessati | Da completare per ogni incarico |
| Periodo di conservazione | Da completare per ogni incarico |
| Sub-responsabili approvati | Nessuno per impostazione predefinita; elencato se applicabile |
| Trasferimenti internazionali | Nessuno per impostazione predefinita; meccanismo elencato se applicabile |
Per richiedere un Allegato di trattamento completato per il tuo incarico, o per discutere qualsiasi aspetto del presente DPA, contattaci all'indirizzo privacy@multiuniversal.com.