Accordo sul trattamento dei dati 

Aggiornato il 15 novembre 2024
È possibile leggere la versione precedente qui

1. Scopo

Il presente Accordo sul trattamento dei dati (di seguito "Accordo") costituisce parte integrante del Contratto. L'Accordo ha lo scopo di definire le condizioni in base alle quali Yousign si impegna ad effettuare il Trattamento dei Dati Personali forniti in relazione alla fornitura dei Servizi ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (di seguito il "GDPR"). 

Il presente Accordo entra in vigore dalla data di sottoscrizione del Contratto a cui è allegato e rimarrà in vigore per tutta la durata del rapporto contrattuale tra Yousign e l'Abbonato/Utente.

2. Definizioni 

Tutti i termini scritti con la lettera maiuscola non definiti nel presente Accordo avranno il significato qui attribuito.

3. Descrizione del Trattamento

L'Abbonato/Utente autorizza Yousign, al solo scopo di eseguire il Contratto, a svolgere per suo conto il Trattamento dei Dati personali (di seguito il "Trattamento autorizzato") necessario per fornire i Servizi.

4. Ruoli delle Parti

Le Parti riconoscono espressamente che l'Abbonato/Utente è il Titolare del trattamento e Yousign è un Responsabile del trattamento per tutti i Trattamenti Autorizzati in relazione all'esecuzione del Contratto.

Yousign è autorizzata dall'Utente/Abbonato a trattare i Dati Personali necessari alla fornitura dei Servizi per conto del Titolare del trattamento. Tutti i trattamenti effettuati da Yousign in qualità di Titolare del trattamento sono menzionati nell'Informativa sulla privacy disponibile sul Sito.

5. Scelta dei Servizi

L'Abbonato/Utente è l'unico responsabile della scelta dei Servizi e deve assicurarsi che i Servizi a cui si abbona ai fini della propria attività professionale abbiano le caratteristiche e le condizioni richieste da quest’ultimo

6. Conformità alle normative vigenti

Ciascuna Parte deve adempiere agli obblighi derivanti dal Contratto in conformità alle leggi e ai regolamenti applicabili in materia di protezione dei Dati Personali e si conformerà in ogni momento agli obblighi previsti a suo carico in virtù dell’esecuzione del Contratto, tra cui, a titolo esemplificativo e non esaustivo, le disposizioni del GDPR .

7. Obblighi dell'Abbonato/Utente in qualità di Titolare del trattamento 

L'Abbonato/Utente, in qualità di Titolare del trattamento, deve adempiere agli obblighi che gli competono ai sensi del GDPR. In particolare, è l'unico responsabile (i) della liceità del Trattamento autorizzato, in particolare alla luce dei principi e degli obblighi stabiliti dalle leggi e dai regolamenti applicabili in materia di protezione dei Dati Personali, in particolare per quanto riguarda la base giuridica del Trattamento autorizzato e la trasparenza in favore degli Interessati, (ii) dell'utilizzo della Piattaforma, dei Servizi e dei Documenti che completano, collocano, memorizzano, archiviano, visualizzano caricano e/o eliminano dalla Piattaforma, (iii) della conservazione di un registro del Trattamento effettuato e (iv), se del caso, l'espletamento delle formalità preliminari all'esecuzione del Trattamento.

Inoltre, l'Abbonato/Utente deve fornire a Yousign i dati menzionati nell’Allegato 1 per consentire a Yousign di fornire i Servizi di Firma Elettronica, e vigilare suil Trattamentio autorizzatio, anche effettuando audit alle condizioni descritte nell'articolo "Audit".

L’Abbonato/Utente deve designare un punto di contatto primario per rappresentare il Titolare del trattamento e comunicherà i suoi dati di contatto a Yousign attraverso l'Account Aziendale.

L'Abbonato/Utente è responsabile del proprio utilizzo dei Servizi, in particolare della protezione e della sicurezza dei Dati Personali in transito da e verso la Piattaforma.

8. Obblighi di Yousign come Responsabile del trattamento

8.1 Rispetto delle istruzioni. Yousign deve trattare i Dati Personali esclusivamente per le finalità descritte nel presente Accordo o come altrimenti concordato in conformità alle istruzioni legittime fornite dall'Abbonato/Utente. 

Se Yousign ritiene che un'Istruzione costituisca una violazione del GDPR o di qualsiasi altra disposizione di legge o regolamento applicabile in materia di protezione dei Dati Personali, ne deve informare immediatamente l'Abbonato/Utente. 

Si precisa che l'impegno di Yousign è limitato alla fornitura dei Servizi e all'hosting della Piattaforma. Dal momento in cui il Titolare del trattamento inserisce i Dati Personali nella Piattaforma, deve rispettare le disposizioni di legge in materia di protezione dei Dati Personali, tra cui la fornitura di informazioni agli Interessati, e consenso laddove applicabile.  

8.2 Riservatezza. Yousign deve riservare l'accesso ai Dati Personali autorizzati esclusivamente ai dipendenti e ai Sub-responsabili del trattamento che hanno bisogno di accedervi per svolgere i propri compiti in relazione all'esecuzione del Contratto. Yousign si impegna a far sì che tutti questi destinatari siano tenuti a rispettare gli obblighi di riservatezza come menzionato nel presente Accordo.

8.3 Sicurezza del trattamento autorizzato. Yousign deve adottare e mantenere misure tecniche e organizzative per proteggere i Dati personali da qualsiasi violazione, come descritto nella pagina Sicurezza. Yousign può modificare o aggiornare tali misure di sicurezza a sua esclusiva discrezione, a condizione che tali modifiche o aggiornamenti non comportino un livello di sicurezza inferiore. 

8.4 Sub-responsabili. Yousign dispone di un'autorizzazione generale dell'Utente/Abbonato che gli consente di avvalersi dei Sub-responsabili qui elencati. Yousign deve informare ogni Utente/Abbonato, per iscritto, con trenta (30) giorni di anticipo, di qualsiasi modifica prevista relativa all'aggiunta o alla sostituzione dei Sub-responsabili.
Se l'Utente/Abbonato ha motivi legittimi e ragionevoli per opporsi alla nomina di un nuovo Sub-responsabile, l'Utente deve giustificare immediatamente il proprio reclamo a Yousign inviando una notifica scritta al Servizio di Assistenza, entro trenta (30) giorni lavorativi dalla notifica inviata da Yousign; in caso contrario, si riterrà che l'Utente/Abbonato abbia approvato e accettato le modifiche. 

In seguito a contestazioni e in assenza di un accordo tra Yousign e l'Utente/Abbonato, quest'ultimo può risolvere la parte del Contratto interessata dall'aggiornamento in questione entro trenta (30) giorni dalla notifica. 

In ogni caso, Yousign deve dimostrare una ragionevole e adeguata analisi nella valutazione, nomina e monitoraggio dei Trattamenti affidati ai Sub-responsabili. Di conseguenza, i Sub-responsabili dovranno offrire garanzie sufficienti in merito agli obblighi applicabili in termini di sicurezza e di riservatezza dei Dati Personali autorizzati, e devono essere contrattualmente vincolati con Yousign a obblighi identici o equivalenti a quelli stabiliti nel presente Accordo. 

Nel caso in cui il Sub-responsabile non adempia ai propri obblighi in relazione alla protezione dei Dati Personali, Yousign manterrà la piena responsabilità per l'adempimento dei propri obblighi nei confronti dell'Utente/Abbonato.

8.5 Trasferimenti di dati, Qualora, ai sensi del Contratto, i Dati Personali vengono trasferiti al di fuori dell'Unione europea in un paese che non dispone di una decisione di adeguatezza, Yousign si impegna a formalizzare un accordo sul trasferimento dei dati in conformità alle Clausole Contrattuali Standard o, a discrezione di Yousign, qualsiasi altra garanzia adeguata come previsto dal Capo V del GDPR.

Inoltre, se Yousign è obbligata a trasferire i Dati Personali in un paese terzo o a un'organizzazione internazionale, ai sensi del diritto dell'Unione Europea o del diritto di uno Stato membro a cui è soggetta, deve informare l'Abbonato/Utente di tale obbligo normativo prima di effettuare il Trattamento, a meno che la legge in questione non ne vieti tale comunicazione per ragioni di significativo interesse pubblico.

8.6 Diritti degli Interessati. È responsabilità del Titolare del trattamento rispondere alle richieste degli Interessati in merito all'esercizio dei loro diritti sui Dati Personali. Per quanto possibile, Yousign, in qualità di Responsabile del trattamento e su richiesta del Titolare del trattamento, può assistere quest’ultimo nell'adempiere all'obbligo di fornire riscontro alle richieste degli Interessati che esercitano i loro diritti, diritti di accesso, rettifica, cancellazione e opposizione, i diritti alla limitazione del trattamento e alla portabilità dei dati e il diritto di non essere sottoposti a un processo decisionale automatizzato (compresa la profilazione).

Se un Interessato si rivolge direttamente a Yousign per esercitare uno dei suoi diritti, Yousign deve indirizzarlo al Titolare del trattamento nel più breve tempo possibile affinché quest'ultimo possa rispondere alla sua richiesta.

8.7 Notifica di violazioni di dati personali. Yousign deve informare l'Abbonato/Utente qualsiasi violazione dei Dati Personali. Tale notifica sarà accompagnata da ogni informazione utile per consentire all'Abbonato/Utente, se necessario, di notificare la violazione all'autorità di controllo competente.

8.8 Registro delle attività di Trattamento Yousign dichiara di avere un registro scritto di tutte le categorie di Trattamento effettuate per conto del Titolare del trattamento in conformità alle disposizioni del GDPR.

8.9 Trasparenza e assistenza al Titolare del trattamento. Yousign, su richiesta scritta dell'Abbonato/Utente, deve fornire a quest'ultimo un'assistenza ragionevole per l'esecuzione delle valutazioni d'impatto sulla Protezione dei Dati, come previsto dal GDPR. Yousign deve fornire al Titolare del trattamento tutte le informazioni necessarie relative ai Trattamenti autorizzati per assisterlo nell'adempimento degli obblighi di legge a cui è soggetto.

9. Verifiche

Il Titolare del trattamento, al fine di verificare il rispetto delle disposizioni del presente Accordo, può effettuare o far effettuare a proprie spese verifiche organizzative o tecniche, nel rispetto di quanto previsto dal presente articolo, fino a un massimo di una (1) verifica all'anno per un massimo di tre (3) giorni lavorativi, addebitando al Titolare del trattamento il tempo impiegato dal personale di Yousign.

La verifica deve essere effettuata in conformità alle norme e ai requisiti di sicurezza di Yousign. Per nessun motivo sarà autorizzata una verifica senza il previo accordo scritto di Yousign. Yousign può opporsi alla nomina di un determinato revisore che non sia indipendente o con cui vi è un conflitto di interessi. In tal caso, il Titolare del trattamento comunicherà a Yousign il nome di un altro revisore.

Qualunque verifica deve essere soggetta a un accordo specifico fornito per iscritto dal Titolare del trattamento e formalmente approvato da Yousign almeno trenta (30) giorni prima dell'inizio della verifica. L'accordo deve definire puntualmente il perimetro preciso della verifica, i limiti, le esclusioni, gli obiettivi, la natura delle verifiche e la metodologia utilizzata dai revisori, le date e gli orari, il processo di escalation in caso di incidente durante la verifica e i dati di contatto di tutte le parti interessate. 

Le informazioni ottenute durante la verifica sono da considerarsi Informazioni Confidenziali e devono essere trattate come tali dal Titolare del trattamento. Nel caso in cui la verifica venga effettuata da un revisore esterno, il Titolare del trattamento dovrà assicurarsi che quest'ultimo fornisca sufficienti garanzie di riservatezza in relazione alla natura delle informazioni a cui potrebbe accedere nel corso della verifica.

Il Titolare del trattamento deve inviare sistematicamente e gratuitamente a Yousign il rapporto completo elaborato all’esito della verifica, affinché Yousign possa formulare le proprie osservazioni. Se il rapporto evidenzia eventuali inadempimenti degli obblighi previsti dal presente Accordo, Yousign stabilità, sulla base delle proprie policy interne, il periodo di tempo - a partire dal ricevimento della versione finale del rapporto - per correggere le carenze e/o le non conformità rilevate.

10. Conservazione, cancellazione e ripristino dei Dati Personali 

Yousign si impegna a rispettare il periodo di conservazione dei Dati Personali applicabile alle finalità per cui sono stati raccolti o forniti e li cancellerà/anonimizzerà al loro venire meno, fatti salvi gli obblighi di conservazione previsti per legge. 

Per tutta la durata del Contratto, Yousign deve rendere disponibile all'Utente/Abbonato una copia dei Dati Personali che gli sono stati forniti nel corso dell'esecuzione dello stesso. 

Inoltre, al termine della relazione contrattuale l’Abbonato/Utente può recuperare i Dati Personali forniti in relazione alla fornitura dei Servizi, alle condizioni stabilite nel Contratto. Tali dati saranno messi a disposizione dell'Utente/Abbonato in un formato interoperabile garantito.

11. Responsabilità

Yousign può essere ritenuta responsabile solo per i danni causati da un Trattamento autorizzato per il quale (i) non ha rispettato gli obblighi previsti dal GDPR che incombono specificamente sul Responsabile del trattamento o per il quale (ii) ha agito al di fuori delle legittime istruzioni del Titolare del trattamento o in violazione delle stesse.

12. Intero Accordo

Il presente Accordo costituisce l'intero accordo tra le Parti in relazione al suo oggetto e sostituisce tutti gli accordi precedenti o attuali tra le Parti per lo stesso scopo, compresa qualsiasi versione precedente dell'accordo sulla protezione dei Dati Personali sottoscritta dall'Utente/Abbonato e da Yousign.

13. Contatto 

In caso di domande sul Trattamento autorizzato in relazione al presente Accordo, l'Utente/Abbonato può contattare Yousign utilizzando l'apposito modulo di contatto sul Sito Web di Yousign o contattando il Servizio di Assistenza.

Yousign SAS, con sede in Francia, è lo stabilimento principale di Yousign ai sensi dell'articolo 4 del GDPR. Con riguardo al Trattamento transfrontaliero, ai sensi dell'Articolo 56 del GDPR l'autorità di controllo capofila per Yousign è la CNIL.

14. Legge applicabile 

Il Contratto è disciplinato e interpretato in conformità alla legge francese.

Allegato 1 - Elenco dei trattamenti di dati personali

Nell'ambito della fornitura di Servizi di firma elettronica, Yousign esegue i seguenti trattamenti per conto del Abbonato/Utente in qualità di Responsabile del trattamento.

Trattamento n. 1 \- Gestione dei Conti dei clienti/utenti

  1. Trattamento. I Servizi Yousign comportano la raccolta, la registrazione, l'organizzazione, la conservazione, l'aggiornamento, la riproduzione, la messa a disposizione, la consultazione, l'utilizzo, il trasferimento, l'anonimizzazione e la cancellazione dei Dati personali affidati nell'ambito di questo trattamento.
  2. Finalità del Trattamento.
    1. Gestione dei contatti per le richieste di firma
    2. Gestione degli spazi di lavoro
    3. Gestione delle etichette
    4. Gestione dei profili utente (ruoli e diritti di accesso)
    5. Gestione dei cruscotti di monitoraggio
  3. Base giuridica del Trattamento. È responsabilità del Titolare del trattamento determinare la base giuridica prima di qualsiasi trattamento.
  4. Categoria(e) di Interessati.
    1. Abbonati e Utenti
    2. Individui identificati nei contatti.
  5. Categoria/e di Dati Personali.
    1. Dati di identificazione: nome, nome, foto (opzionale)
    2. Dati di contatto: email, indirizzo postale, località (città/paese), numero di telefono
    3. Vita professionale: titolo di lavoro, azienda, lingua utilizzata
    4. Dati di connessione: ID utente
  6. Destinatari dei dati. I Sub-responsabili approvati sono elencati qui.
  7. Periodo di conservazione. I dati vengono conservati per la durata del rapporto contrattuale.

Trattamento n. 2 \- Gestione dei documenti e delle richieste di firma

  1. Trattamento. I Servizi Yousign comportano la raccolta, la registrazione, l'organizzazione, la conservazione, l'aggiornamento, la riproduzione, la messa a disposizione, la consultazione, l'utilizzo, il trasferimento, l'anonimizzazione e la cancellazione dei Dati personali affidati nell'ambito di questo trattamento.
  2. Finalità del Trattamento.
    1. Strutturazione dei documenti da firmare: Generazione e utilizzo di modelli/gestione di "Moduli"/caricamento di documenti in formato PDF sulla Piattaforma
    2. Creazione di richieste di firma e invito a firmare (+ promemoria)
    3. Gestione del monitoraggio delle richieste di firma (promemoria/scadenza/notifica della disponibilità dei documenti firmati)
    4. Gestione delle versioni intermedie (documento parzialmente firmato)
    5. Gestione dei documenti firmati (download/consultazione/stoccaggio/archiviazione)
    6. Gestione delle comunicazioni per il reperimento dei documenti e delle piste di controllo.
  3. Base giuridica del Trattamento. È responsabilità del Titolare del trattamento determinare la base giuridica prima di qualsiasi trattamento.
  4. Categoria(e) di Interessati.
    1. Abbonati e Utenti
    2. Firmatari
    3. Creatori e individui che forniscono informazioni da compilare nei "Moduli".
    4. Validatori/follower
  5. Categoria/e di Dati Personali.
    1. Dati di identificazione: stato civile, cognome, nome
    2. Dati di contatto: email, indirizzo postale, numero di telefono
    3. Vita professionale: titolo di lavoro, azienda
    4. Dati di connessione: Nome del documento/metadati del documento
  6. Destinatari dei dati. I Sub-responsabili approvati sono elencati qui.
  7. Periodo di conservazione. I dati vengono conservati per la durata del rapporto contrattuale.

Trattamento n. 3 \- Gestione dell'atto di firma

  1. Trattamento. I Servizi Yousign comportano la raccolta, la registrazione, l'organizzazione, la conservazione, l'aggiornamento, la riproduzione, la messa a disposizione, la consultazione, l'utilizzo, il trasferimento, l'anonimizzazione e la cancellazione dei Dati personali affidati nell'ambito di questo trattamento.
  2. Finalità del Trattamento.
    1. Cancellazione e cestinazione delle richieste di firma
    2. Approvazione/rifiuto da parte di un destinatario
    3. Firma (scorrere/scorrere per inserire la firma/immagine)
    4. Gestione dei collegamenti magici
  3. Base giuridica del Trattamento. È responsabilità del Titolare del trattamento determinare la base giuridica prima di qualsiasi operazione di trattamento.
  4. Categoria(e) di Interessati.
    1. Abbonati e Utenti
    2. Creatore della richiesta di firma
    3. Firmatari
    4. Approvazione
  5. Categoria/e di dati personali.
    1. Dati di identificazione: nome, cognome
    2. Dati di contatto: email
    3. Vita professionale: titolo di lavoro, azienda
    4. Dati di connessione: Registro legale/indirizzo IP/ID degli interessati
  6. Destinatari dei dati. I Sub-responsabili approvati sono elencati qui.
  7. Periodo di conservazione. I dati vengono conservati per la durata del rapporto contrattuale.

Trattamento n. 4 \- Gestione della Traccia di Controllo

  1. Trattamento . I Servizi di Yousign comportano la raccolta, la registrazione, l'organizzazione, la conservazione, la riproduzione, la messa a disposizione, la consultazione, l'utilizzo, il trasferimento e la cancellazione dei Dati Personali affidati nell'ambito di questo trattamento.
  2. Finalità del Trattamento:
    1. Creazione della Traccia di Controllo
    2. Archiviazione della Traccia di Controllo
    3. Fornitura della Traccia di Controllo
  3. Base giuridica del Trattamento. È responsabilità del Titolare del trattamento determinare la base giuridica prima di qualsiasi operazione di trattamento.
  4. Categoria(e) di Interessati.
    1. Abbonati e utenti.
    2. Firmatari
  5. Categoria/e di Dati Personali.
    1. Dati di identificazione: cognome, nome, ID utente, ID firmatario
    2. Dati di contatto: email, numero di telefono
    3. Vita professionale: titolo di lavoro, azienda, ID azienda
    4. Dati di connessione: Indirizzo IP/ID degli interessati/log e dati del documento/ID e metadati della richiesta di firma
    5. Dati relativi al certificato e all'hash
    6. Dati ID estratti: Numero ID, tipo di documento, data di scadenza, MRZ, paese di emissione, nome di nascita, cognome, nome, data di nascita, luogo di nascita, data di verifica dell'ID, validità della carta d'identità, stato.
  6. Destinatari dei dati. I Sub-responsabili approvati sono elencati qui.
  7. Periodo di conservazione. I dati vengono conservati per la durata del rapporto contrattuale.

Trattamento n. 5 \- Gestione API

  1. Trattamento . I Servizi Yousign comportano la raccolta, la registrazione, l'organizzazione, la conservazione, l'aggiornamento, la riproduzione, la messa a disposizione, la consultazione, l'utilizzo, il trasferimento, l'anonimizzazione e la cancellazione dei Dati personali affidati nell'ambito di questo trattamento.
  2. Finalità del Trattamento.
    1. Gestione della sandbox
    2. Gestione della demozone
    3. Gestione della migrazione delle versioni
    4. Gestione delle richieste di reversibilità in uscita dai client API
    5. Generazione della chiave API
  3. Base giuridica del Trattamento. È responsabilità del Titolare del trattamento determinare la base giuridica prima di qualsiasi operazione di trattamento.
  4. Categoria(e) di Interessati.
    1. Abbonati e Utenti
    2. Firmatari
    3. I tester sulla demozone
    4. Interessati che partecipano alla creazione e alla convalida della richiesta di firma (approvatore/seguace/destinatario, ecc.)
  5. Categoria/e di Dati Personali
    1. Dati di identificazione: nome, cognome
    2. Dati di contatto: email, numero di telefono, indirizzo postale
    3. Vita professionale: titolo di lavoro, azienda
    4. Dati di connessione: Token ID
  6. Destinatari dei dati. I Sub-responsabili approvati sono elencati qui.
  7. Periodo di conservazione. I dati vengono conservati per la durata del rapporto contrattuale.