Accordo sul trattamento dei dati 

1. Scopo

Il presente Accordo sul trattamento dei dati (di seguito "Accordo") costituisce parte integrante del Contratto. L'Accordo ha lo scopo di definire le condizioni in base alle quali Yousign si impegna ad effettuare il Trattamento dei Dati Personali forniti in relazione alla fornitura dei Servizi ai sensi dell'art. 28 del Regolamento (UE) 2016/679 (di seguito il "GDPR"). 

Il presente Accordo entra in vigore dalla data di sottoscrizione del Contratto a cui è allegato e rimarrà in vigore per tutta la durata del rapporto contrattuale tra Yousign e l'Abbonato/Utente.

2. Definizioni 

Tutti i termini scritti con la lettera maiuscola non definiti nel presente Accordo avranno il significato qui attribuito.

3. Descrizione del Trattamento

L'Abbonato/Utente autorizza Yousign, al solo scopo di eseguire il Contratto, a svolgere per suo conto il Trattamento dei Dati personali (di seguito il "Trattamento autorizzato") necessario per fornire i Servizi.

Il tipo di operazioni effettuate sui Dati personali sono la raccolta, l'estrazione, la registrazione, l'organizzazione, la conservazione, l'adattamento, la modifica, l'archiviazione, la visualizzazione, la trasmissione, l’abbinamento, l'anonimizzazione e la cancellazione dei Dati Personali. 

La finalità del Trattamento è la fornitura dei Servizi come descritto nel Contratto.

I Dati Personali trattati sono tutti i dati necessari per la fornitura dei Servizi descritti nel Contratto. In linea di principio, sono considerati rilevanti i dati inclusi nei Documenti, i dati identificativi degli Interessati elencati di seguito e i dati di connessione che registrano le azioni degli Utenti e dei Terzi Firmatari sulla Piattaforma.

Le categorie di Soggetti Interessati sono tutti gli individui i cui Dati Personali devono essere trattati per garantire la fornitura dei Servizi come descritto nel Contratto, ovvero l'Abbonato, gli Utenti, i Firmatari Terzi e i Visitatori della Piattaforma. 

4. Ruoli delle Parti

Le Parti riconoscono espressamente che l'Abbonato/Utente è il Titolare del trattamento e Yousign è un Responsabile del trattamento per tutti i Trattamenti Autorizzati in relazione all'esecuzione del Contratto.

Yousign è autorizzata dall'Utente/Abbonato a trattare i Dati Personali necessari alla fornitura dei Servizi per conto del Titolare del trattamento. 

5. Scelta dei Servizi

L'Abbonato/Utente è l'unico responsabile della scelta dei Servizi e deve assicurarsi che i Servizi a cui si abbona ai fini della propria attività professionale abbiano le caratteristiche e le condizioni richieste dal Titolare del trattamento. 

Yousign deve fornire all'Abbonato/Utente, secondo le condizioni di cui all'articolo "Audit", informazioni sulle misure di sicurezza implementate in relazione ai Servizi, in modo da poter valutare la conformità di tali misure con i Trattamenti Autorizzati assegnati dal Titolare del trattamento.

6. Conformità alle normative vigenti

Ciascuna Parte deve adempiere agli obblighi derivanti dal Contratto in conformità alle leggi e ai regolamenti applicabili in materia di protezione dei Dati Personali e si conformerà in ogni momento agli obblighi previsti a suo carico in virtù dell’esecuzione del Contratto, tra cui, a titolo esemplificativo e non esaustivo, le disposizioni del GDPR .

7. Obblighi dell'Abbonato/Utente in qualità di Titolare del trattamento 

L'Abbonato/Utente, in qualità di Titolare del trattamento, deve adempiere agli obblighi che gli competono ai sensi del GDPR. In particolare, è l'unico responsabile (i) della liceità del Trattamento autorizzato, in particolare alla luce dei principi e degli obblighi stabiliti dalle leggi e dai regolamenti applicabili in materia di protezione dei Dati Personali, in particolare per quanto riguarda la base giuridica del Trattamento autorizzato e la trasparenza in favore degli Interessati, (ii) dell'utilizzo della Piattaforma, dei Servizi e dei Documenti che completano, collocano, memorizzano, archiviano, visualizzano e caricano sulla Piattaforma, (iii) della conservazione di un registro del Trattamento effettuato e (iv), se del caso, l'espletamento delle formalità preliminari all'esecuzione del Trattamento.

Inoltre, l'Abbonato/Utente deve fornire a Yousign i dati indicati nelle caratteristiche del Trattamento autorizzato e vigilare sul Trattamento autorizzato, anche effettuando audit alle condizioni descritte nell'articolo "Audit".

L’Abbonato/Utente deve designare un punto di contatto primario per rappresentare il Titolare del trattamento e comunicherà i suoi dati di contatto a Yousign attraverso l'Account Aziendale.

L'Abbonato/Utente è responsabile del proprio utilizzo dei Servizi, in particolare della protezione e della sicurezza dei Dati Personali in transito da e verso la Piattaforma.

8. Obblighi di Yousign come Responsabile del trattamento

8.1 Rispetto delle istruzioni. Yousign deve trattare i Dati Personali esclusivamente per le finalità descritte nel presente Accordo o come altrimenti concordato in conformità alle istruzioni legittime fornite dall'Abbonato/Utente. 

Se Yousign ritiene che un'Istruzione costituisca una violazione del GDPR o di qualsiasi altra disposizione di legge o regolamento applicabile in materia di protezione dei Dati Personali, ne deve informare immediatamente l'Abbonato/Utente. 

Si precisa che l'impegno di Yousign è limitato alla fornitura dei Servizi e all'hosting della Piattaforma. Dal momento in cui il Titolare del trattamento inserisce i Dati Personali nella Piattaforma, deve rispettare le disposizioni di legge in materia di protezione dei Dati Personali, tra cui la fornitura di informazioni agli Interessati, e consenso laddove applicabile.  

8.2 Riservatezza. Yousign deve riservare l'accesso ai Dati Personali autorizzati esclusivamente ai dipendenti e ai Responsabili del trattamento che hanno bisogno di accedervi per svolgere i propri compiti in relazione all'esecuzione del Contratto. Yousign si impegna a far sì che tutti questi destinatari siano tenuti a rispettare gli obblighi di riservatezza sui Dati personali affidati.

8.3 Sicurezza del trattamento autorizzato. Yousign deve adottare e mantenere misure tecniche e organizzative per proteggere i Dati personali da qualsiasi violazione, come descritto nella pagina Sicurezza. Yousign può modificare o aggiornare tali misure di sicurezza a sua esclusiva discrezione, a condizione che tali modifiche o aggiornamenti non comportino un livello di sicurezza inferiore. 

8.4 Sub-responsabili. Yousign dispone di un'autorizzazione generale dell'Utente/Abbonato che gli consente di avvalersi dei Sub-responsabili qui elencati. Yousign deve informare ogni Utente/Abbonato, per iscritto, con trenta (30) giorni di anticipo, di qualsiasi modifica prevista relativa all'aggiunta o alla sostituzione dei Sub-responsabili.
Se l'Utente/Abbonato ha motivi legittimi e ragionevoli per opporsi alla nomina di un nuovo Sub-responsabile, l'Utente deve giustificare immediatamente il proprio reclamo a Yousign inviando una notifica scritta al Servizio di Assistenza, entro trenta (30) giorni lavorativi dalla notifica inviata da Yousign; in caso contrario, si riterrà che l'Utente/Abbonato abbia approvato e accettato le modifiche. 

In seguito a contestazioni e in assenza di un accordo tra Yousign e l'Utente/Abbonato, quest'ultimo può risolvere la parte del Contratto interessata dall'aggiornamento in questione entro trenta (30) giorni dalla notifica. 

In ogni caso, Yousign deve dimostrare una ragionevole e adeguata analisi nella valutazione, nomina e monitoraggio dei Trattamenti affidati ai Sub-responsabili. Di conseguenza, i Sub-responsabili designati dovranno offrire garanzie sufficienti in merito agli obblighi applicabili in termini di sicurezza dei Trattamenti autorizzati e di riservatezza dei Dati Personali autorizzati, e devono essere contrattualmente vincolati con Yousign a obblighi identici o equivalenti a quelli stabiliti nel presente Accordo. 

Nel caso in cui il Sub-responsabile non adempia ai propri obblighi di protezione dei dati, Yousign manterrà la piena responsabilità per l'adempimento dei propri obblighi nei confronti dell'Utente/Abbonato. 

8.5 Trasferimenti di dati, Qualora, ai sensi del Contratto, i Dati Personali vengono trasferiti al di fuori dell'Unione europea in un paese che non dispone di una decisione di adeguatezza, deve essere formalizzato un accordo sul trasferimento dei dati in conformità alle Clausole Contrattuali Standard o, a discrezione di Yousign, qualsiasi altra garanzia adeguata come previsto dal Capo V del GDPR.

Inoltre, se Yousign è obbligata a trasferire i Dati Personali in un paese terzo o a un'organizzazione internazionale, ai sensi del diritto dell'Unione Europea o del diritto di uno Stato membro a cui è soggetta, deve informare l'Abbonato/Utente di tale obbligo normativo prima di effettuare il trattamento, a meno che la legge in questione non ne vieti tale comunicazione per ragioni di significativo interesse pubblico.

8.6 Diritti degli Interessati. È responsabilità del Titolare del trattamento rispondere alle richieste degli Interessati in merito all'esercizio dei loro diritti sui Dati Personali. Per quanto possibile, Yousign, in qualità di Responsabile del trattamento e su richiesta del Titolare del trattamento, può assistere quest’ultimo nell'adempiere all'obbligo di fornire riscontro alle richieste degli Interessati che esercitano i loro diritti, in particolare i diritti di accesso, rettifica, cancellazione e opposizione, i diritti alla limitazione del trattamento e alla portabilità dei dati e il diritto di non essere sottoposti a un processo decisionale automatizzato (compresa la profilazione). 

Se un Interessato si rivolge direttamente a Yousign per esercitare uno dei suoi diritti, Yousign deve indirizzarlo al Titolare del trattamento nel più breve tempo possibile affinché quest'ultimo possa rispondere alla sua richiesta. Yousign può assistere il Titolare del trattamento nel rispondere alle richieste, nella misura in cui ciò sia ragionevolmente necessario, ma il Titolare del trattamento rimane responsabile delle risposte fornite.

8.7 Notifica di violazioni di dati personali. Yousign deve informare l'Abbonato/Utente qualsiasi violazione dei Dati Personali. Tale notifica sarà accompagnata da ogni informazione utile per consentire all'Abbonato/Utente, se necessario, di notificare la violazione all'autorità di controllo competente.

8.8 Registro delle attività di trattamento Yousign dichiara di avere un registro scritto di tutte le categorie di Trattamento effettuate per conto del Titolare del trattamento in conformità alle disposizioni del GDPR.

8.9 Trasparenza e assistenza al Titolare del trattamento. Yousign, su richiesta scritta dell'Abbonato/Utente, deve fornire a quest'ultimo un'assistenza ragionevole per l'esecuzione delle valutazioni d'impatto sulla protezione dei dati e della consultazione preventiva dell'autorità di controllo competente, come previsto dal GDPR. Yousign deve fornire al Titolare del trattamento tutte le informazioni necessarie relative ai Trattamenti autorizzati per assisterlo nell'adempimento degli obblighi di legge a cui è soggetto.

9. Verifiche

Il Titolare del trattamento, al fine di verificare il rispetto delle disposizioni del presente Accordo, può effettuare o far effettuare a proprie spese verifiche organizzative o tecniche, nel rispetto di quanto previsto dal presente articolo, fino a un massimo di una (1) verifica all'anno per un massimo di tre (3) giorni lavorativi, addebitando al Titolare del trattamento il tempo impiegato dal personale di Yousign.

La verifica deve essere effettuata in conformità alle norme e ai requisiti di sicurezza di Yousign. Per nessun motivo sarà autorizzata una verifica senza il previo accordo scritto di Yousign. Yousign può rifiutare di accettare un revisore che non sia indipendente o con sui vi è un conflitto di interessi. In tal caso, il Titolare del trattamento comunicherà a Yousign il nome di un altro revisore.

Qualunque verifica deve essere soggetta a un accordo specifico fornito per iscritto dal Titolare del trattamento e formalmente approvato da Yousign almeno trenta (30) giorni prima dell'inizio della verifica. L'accordo deve definire puntualmente il perimetro preciso della verifica, i limiti, le esclusioni, gli obiettivi, la natura delle verifiche e la metodologia utilizzata dai revisori, le date e gli orari, il processo di escalation in caso di incidente durante la verifica e i dati di contatto di tutte le parti interessate. 

Le informazioni ottenute durante la verifica sono da considerarsi Informazioni Confidenziali e devono essere trattate come tali dal Titolare del trattamento. Nel caso in cui la verifica venga effettuata da un revisore esterno, il Titolare del trattamento dovrà assicurarsi che quest'ultimo fornisca sufficienti garanzie di riservatezza in relazione alla natura delle informazioni a cui potrebbe accedere nel corso della verifica.

Il Titolare del trattamento deve inviare sistematicamente e gratuitamente a Yousign il rapporto completo elaborato all’esito della verifica, affinché Yousign possa formulare le proprie osservazioni. Se il rapporto evidenzia eventuali inadempimenti degli obblighi previsti dal presente Accordo, Yousign stabilità, sulla base delle proprie policy interne, il periodo di tempo - a partire dal ricevimento della versione finale del rapporto - per correggere le carenze e/o le non conformità rilevate.

10. Conservazione, cancellazione e ripristino dei Dati Personali 

Yousign si impegna a rispettare il periodo di conservazione dei Dati Personali applicabile alle finalità per cui sono stati raccolti o forniti e li cancellerà/anonimizzerà al loro venire meno, fatti salvi gli obblighi di legge. 

Per tutta la durata del Contratto, Yousign deve rendere disponibile all'Utente/Abbonato una copia dei Dati Personali che gli sono stati forniti nel corso dell'esecuzione dello stesso. 

Al termine dei Servizi l'Abbonato/Utente può recuperare i Dati Personali forniti in relazione alla fornitura dei Servizi, alle condizioni stabilite nel Contratto. Tali dati saranno messi a disposizione dell'Utente/Abbonato in un formato interoperabile garantito. 

Yousign deve cancellare inoltre i Dati Personali al termine dei Servizi e alle condizioni stabilite nel Contratto, fatti salvi gli obblighi di conservazione previsti dalla legge a cui Yousign può essere soggetta.

11. Responsabilità

Yousign può essere ritenuta responsabile solo per i danni causati da un Trattamento autorizzato per il quale (i) non ha rispettato gli obblighi previsti dal GDPR che incombono specificamente sul Responsabile del trattamento o per il quale (ii) ha agito al di fuori delle legittime istruzioni del Titolare del trattamento o in violazione delle stesse.

12. Intero Accordo

Il presente Accordo costituisce l'intero accordo tra le Parti in relazione al suo oggetto e sostituisce tutti gli accordi precedenti o attuali tra le Parti per lo stesso scopo, compresa qualsiasi versione precedente dell'accordo sulla protezione dei Dati Personali sottoscritta dall'Utente/Abbonato e da Yousign.

13. Contatto 

In caso di domande sul Trattamento autorizzato in relazione al presente Accordo, l'Utente/Abbonato può contattare Yousign utilizzando l'apposito modulo di contatto sul Sito Web di Yousign o contattando il Servizio di Assistenza.

Yousign SAS, con sede in Francia, è lo stabilimento principale di Yousign ai sensi dell'articolo 4 del GDPR. Con riguardo al Trattamento transfrontaliero, ai sensi dell'Articolo 56 del GDPR l'autorità di controllo capofila per Yousign è la CNIL.

14. Legge applicabile 

Il Contratto è disciplinato e interpretato in conformità alla legge del paese in cui ha sede il Titolare del trattamento.