Prova gratis per 14 giorni
ASSISTENZA
ACCEDI AL GESTIONALE
SQUBY - Growing together

Data Processing Agreement

Il presente Data Processing Agreement (“DPA”) è stipulato ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (“GDPR”) tra iGrest S.r.l., con sede legale in Via Paolo da Cannobio 9, 20122 Milano (MI), Codice Fiscale e Partita IVA 10743170960 (il “Responsabile del Trattamento” o “iGrest”) e il Cliente che ha accettato le Condizioni Generali di Servizio di Squby o iRugby (il “Titolare del Trattamento” o “Cliente”).
Il presente DPA integra e forma parte integrante delle Condizioni Generali di Servizio. In caso di conflitto tra il presente DPA e le Condizioni Generali, prevalgono le disposizioni del presente DPA limitatamente alla materia del trattamento dei dati personali.

1. DEFINIZIONI

Ai fini del presente DPA si applicano le definizioni di cui all’art. 4 del GDPR. In particolare:

  • Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile trattata nell’ambito dell’utilizzo della Piattaforma.
  • Trattamento: qualsiasi operazione o insieme di operazioni eseguite sui Dati Personali.
  • Titolare del Trattamento: il Cliente, che determina le finalità e i mezzi del trattamento dei Dati Personali raccolti tramite la Piattaforma.
  • Responsabile del Trattamento: iGrest Srl, che tratta i Dati Personali per conto del Titolare nell’ambito della fornitura della Piattaforma.
  • Interessato: la persona fisica i cui Dati Personali sono trattati, inclusi a titolo esemplificativo tesserati, soci, collaboratori e utenti finali del Cliente.
  • Violazione dei Dati Personali: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali.
  • Piattaforma: il software gestionale sviluppato da iGrest Srl, inclusi i prodotti Squby e iRugby e le applicazioni ad essi collegate.
  • Partner: soggetti terzi selezionati da iGrest Srl che offrono prodotti o servizi potenzialmente di interesse per gli utenti della Piattaforma.

2. OGGETTO, FINALITÀ E DURATA DEL TRATTAMENTO

2.1 Il presente DPA disciplina il trattamento dei Dati Personali effettuato da iGrest Srl in qualità di Responsabile del Trattamento, per conto del Cliente in qualità di Titolare, nell’ambito della fornitura della Piattaforma.
2.2 Le categorie di Dati Personali trattati comprendono, a titolo esemplificativo: dati anagrafici e di contatto degli utenti finali (nome, cognome, data di nascita, codice fiscale, indirizzo, email, telefono); dati relativi alle attività svolte tramite la Piattaforma (iscrizioni, presenze, pagamenti, documenti); dati relativi a minori, trattati esclusivamente su istruzione del Cliente che ne è responsabile; immagini e fotografie caricate dal Cliente o dagli utenti finali.
2.3 Le categorie di Interessati comprendono: tesserati, soci, collaboratori, genitori o tutori legali di minori, e qualsiasi altra persona fisica i cui dati siano inseriti nella Piattaforma dal Cliente.
2.4 Le finalità del trattamento sono le seguenti:

  • erogazione dei servizi previsti dalle Condizioni Generali di Servizio;
  • invio tramite la Piattaforma di comunicazioni relative a prodotti e servizi di Partner selezionati da iGrest Srl, senza cessione dei Dati Personali a terzi. I dati degli Interessati non vengono in alcun caso trasmessi ai Partner: iGrest Srl veicola le comunicazioni utilizzando i dati esclusivamente come Responsabile del Trattamento. Il Cliente, in qualità di Titolare, è il solo responsabile di aver raccolto dalle persone fisiche interessate le basi giuridiche necessarie (consenso o altro fondamento idoneo) per questa finalità, prima che iGrest Srl proceda all’invio. iGrest Srl declina ogni responsabilità per l’assenza o l’invalidità delle basi giuridiche raccolte dal Cliente.

2.5 La durata del trattamento coincide con la durata del contratto tra iGrest e il Cliente e prosegue fino all’eventuale richiesta di cancellazione ai sensi dell’art. 7 del presente DPA.

3. OBBLIGHI DI IGREST SRL IN QUALITÀ DI RESPONSABILE DEL TRATTAMENTO

3.1 iGrest Srl si impegna a:

  • trattare i Dati Personali esclusivamente sulla base delle istruzioni documentate del Titolare e per le finalità indicate all’art. 2.4, salvo che un obbligo di legge imponga diversamente;
  • garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza;
  • adottare tutte le misure di sicurezza tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR;
  • rispettare le condizioni di cui agli artt. 28 e 29 GDPR per il ricorso a eventuali sub-responsabili del trattamento;
  • assistere il Titolare, nella misura del possibile, nell’adempimento degli obblighi di risposta alle richieste degli Interessati per l’esercizio dei diritti di cui agli artt. 15-22 GDPR;
  • assistere il Titolare nel garantire il rispetto degli obblighi di cui agli artt. 32-36 GDPR in materia di sicurezza, notifica delle violazioni, valutazione d’impatto e consultazione preventiva;
  • mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi di cui al presente DPA e consentire le attività di revisione e ispezione, da eseguirsi in data preventivamente concordata tra le parti.

4. MISURE DI SICUREZZA

4.1 iGrest Srl adotta le seguenti misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio:

  • hosting su infrastruttura dedicata con accesso fisico e logico controllato;
  • aggiornamento costante del sistema operativo e del database agli ultimi rilasci di sicurezza;
  • accesso ai dati limitato al solo personale autorizzato, ciascuno dei quali accede esclusivamente ai dati di propria competenza;
  • monitoraggio continuo delle piattaforme per la prevenzione di accessi non autorizzati;
  • backup periodici dei dati.

4.2 iGrest Srl si riserva il diritto di aggiornare le misure di sicurezza nel tempo per adeguarle all’evoluzione tecnologica e normativa, garantendo in ogni caso un livello di protezione non inferiore a quello attuale.

5. SUB-RESPONSABILI DEL TRATTAMENTO

5.1 Il Cliente autorizza iGrest Srl a ricorrere a sub-responsabili del trattamento per la fornitura della Piattaforma. I principali sub-responsabili attualmente utilizzati sono:

  • Provider di hosting e infrastruttura cloud — fornitura di servizi di hosting, infrastruttura server e archiviazione dati. Il provider attualmente utilizzato è comunicabile su richiesta scritta inviata a inf@squby.it
  • Mollie B.V. — elaborazione dei pagamenti tramite Squby Pay (Paesi Bassi), limitatamente ai Clienti che attivano il servizio
  • Stripe Inc. — elaborazione dei pagamenti tramite integrazione Stripe, limitatamente ai Clienti che attivano il servizio
  • Satispay S.p.A. — elaborazione dei pagamenti tramite integrazione Satispay, limitatamente ai Clienti che attivano il servizio

5.2 iGrest Srl informerà il Cliente con un preavviso minimo di 30 giorni di qualsiasi modifica prevista riguardante l’aggiunta o la sostituzione di sub-responsabili, dando al Cliente la possibilità di opporsi a tali modifiche.
5.3 iGrest Srl impone ai sub-responsabili, mediante contratto, gli stessi obblighi in materia di protezione dei dati previsti dal presente DPA. iGrest Srl rimane pienamente responsabile nei confronti del Titolare per l’adempimento degli obblighi dei sub-responsabili.

6. VIOLAZIONI DEI DATI PERSONALI

6.1 iGrest Srl notificherà al Cliente, senza ingiustificato ritardo e ove possibile entro 48 ore dalla scoperta, qualsiasi Violazione dei Dati Personali che possa comportare rischi per i diritti e le libertà degli Interessati.
6.2 La notifica conterrà almeno: la descrizione della natura della violazione; le categorie e il numero approssimativo di Interessati coinvolti; le categorie e il numero approssimativo di registrazioni dei dati coinvolte; le misure adottate o proposte per rimediare alla violazione.
6.3 Il Cliente è responsabile di valutare se la violazione debba essere notificata all’Autorità Garante per la protezione dei dati personali ai sensi dell’art. 33 GDPR e/o comunicata agli Interessati ai sensi dell’art. 34 GDPR.

7. CONSERVAZIONE E CANCELLAZIONE DEI DATI

7.1 I Dati Personali trattati da iGrest Srl per conto del Cliente sono conservati per tutta la durata del contratto e successivamente fino a esplicita richiesta scritta di cancellazione da parte del Cliente, inviata a inf@squby.it.
7.2 Il Cliente, in qualità di Titolare del Trattamento, è il solo responsabile di valutare i tempi di conservazione dei dati adeguati alla propria attività e di richiedere a iGrest Srl la cancellazione quando i dati non siano più necessari. iGrest Srl non è tenuta ad avviare procedure di cancellazione in assenza di esplicita istruzione scritta del Cliente.
7.3 A seguito di richiesta scritta di cancellazione, iGrest Srl procederà alla cancellazione di tutti i Dati Personali trattati per conto del Cliente entro 30 giorni dalla ricezione della richiesta, dandone conferma scritta. In alternativa, su richiesta del Cliente, iGrest Srl fornirà un export dei dati in formato standard (CSV o equivalente) prima della cancellazione.
7.4 La cancellazione non si applica ai dati che iGrest Srl è obbligata a conservare per adempiere a obblighi di legge.

8. TRASFERIMENTI VERSO PAESI TERZI

8.1 iGrest Srl non trasferisce Dati Personali verso paesi terzi al di fuori dello Spazio Economico Europeo, salvo che ciò sia necessario per l’erogazione del servizio tramite sub-responsabili che operano in paesi terzi con garanzie adeguate ai sensi degli artt. 44-49 GDPR.
8.2 I sub-responsabili che operano al di fuori dello SEE garantiscono un livello adeguato di protezione dei dati mediante l’adesione al Data Privacy Framework UE-USA o mediante clausole contrattuali standard approvate dalla Commissione europea.

9. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO

9.1 Il Cliente, in qualità di Titolare del Trattamento, è responsabile di:

  • garantire che il trattamento dei Dati Personali tramite la Piattaforma avvenga in conformità al GDPR e alla normativa applicabile;
  • fornire agli Interessati le informative sul trattamento dei dati ai sensi degli artt. 13 e 14 GDPR prima della raccolta dei dati, inclusa l’informativa relativa all’eventuale ricezione di comunicazioni di Partner tramite la Piattaforma;
  • raccogliere le basi giuridiche necessarie per il trattamento dei Dati Personali, incluso il consenso degli Interessati per la ricezione di comunicazioni di Partner ove richiesto dalla normativa applicabile;
  • gestire le richieste di esercizio dei diritti degli Interessati, con il supporto di iGrest Srl ove necessario;
  • notificare all’Autorità Garante eventuali violazioni dei dati ai sensi dell’art. 33 GDPR;
  • richiedere tempestivamente a iGrest Srl la cancellazione dei Dati Personali quando questi non siano più necessari alle finalità per cui sono stati raccolti.

9.2 iGrest Srl declina ogni responsabilità per violazioni del GDPR o della normativa applicabile derivanti dall’inadempimento da parte del Cliente degli obblighi di cui al presente articolo, ivi inclusa l’assenza o l’invalidità delle basi giuridiche per le comunicazioni di Partner. Il Cliente terrà indenne e manleverà iGrest Srl da qualsiasi pretesa, sanzione, costo o responsabilità derivante da tali inadempimenti.

10. LEGGE APPLICABILE E FORO COMPETENTE

10.1 Il presente DPA è disciplinato dalla legge italiana e dal GDPR. Per qualsiasi controversia relativa all’interpretazione o all’esecuzione del presente DPA, le parti concordano la competenza esclusiva del Foro di Milano, salvo diversa disposizione inderogabile di legge.

11. AGGIORNAMENTI

11.1 iGrest Srl si riserva il diritto di aggiornare il presente DPA per adeguarlo a modifiche normative o all’evoluzione dei servizi erogati, dandone comunicazione al Cliente con un preavviso minimo di 30 giorni tramite email o notifica in piattaforma.

ACCETTAZIONE

Il presente Data Processing Agreement è accettato dal Cliente contestualmente all’accettazione delle Condizioni Generali di Servizio di iGrest Srl, ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (GDPR).
Data Processing Agreement — iGrest Srl — Via Paolo da Cannobio 9, 20122 Milano — P.IVA IT10743170960 — inf@squby.it