Il presente DPA integra le Condizioni Generali di Fornitura dei Servizi Ontrack (“Termini”) e si applica: (i) a KLDiscovery Ontrack S.r.l. con sede legale in Via Marsala, 34/A - 21013 Gallarate (VA) – Italia, numero di partita I.V.A. e codice fiscale 02389900131 (“Ontrack”), e (ii) al Cliente interessato che conferisce un ordine avente per oggetto i servizi forniti ai sensi dei Termini.

Le Parti hanno convenuto che le previsioni del presente DPA si applicano al Trattamento dei Dati Personali (come di seguito definiti) necessario per consentire a Ontrack di fornire i servizi al Cliente interessato.

Definizioni
Nel presente DPA:
“Dati commerciali” con tale locuzione si intendono tutti i Dati Personali forniti a Ontrack dal Cliente;
“Titolare del Trattamento” avrà il significato attribuito a tale locuzione (ovvero al termine ‘titolare’) nella Normativa in materia di protezione dei dati;
“Responsabile del Trattamento” avrà il significato attribuito a tale locuzione (ovvero al termine ‘responsabile’) nella Normativa in materia di protezione dei dati;
“Normativa in materia di protezione dei dati” con tale locuzione si intende tutta la normativa applicabile in materia di protezione dei dati, vincolante per il Cliente, Ontrack e/o in relazione ai servizi, ivi compresi: (i) il GDPR e/o eventuali disposizioni legislative o regolamentari nazionali ad esso corrispondenti o equivalenti, e (ii), negli stati membri dell’Unione europea, tutte le disposizioni legislative o regolamentari che recepiscono il GDPR, ovvero adeguano ad esso il quadro normativo nazionale;
“Interessato” avrà il significato attribuito a tale termine nella Normativa in materia di protezione dei dati;
“Richiesta dell’Interessato” con tale locuzione si intende una richiesta formulata da un Interessato per esercitare qualsiasi diritto degli Interessati ai sensi della Normativa in materia di protezione dei dati;
“GDPR” con tale acronimo si intende il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)
“Dati Personali” avrà il significato attribuito a tale locuzione nella Normativa in materia di protezione dei dati;
“Violazione di dati personali” avrà il significato attribuito a tale locuzione nel GDPR;
“Personale” con tale locuzione si intende qualsiasi presente, passato o futuro dipendente, consulente, lavoratore temporaneo, lavoratore interinale, stagista, altro dipendente non permanente, appaltatore, dipendente distaccato o altro membro del personale;
“Trattamento” avrà il significato attribuito a tale termine nella Normativa in materia di protezione dei dati (e i termini correlati, per esempio il verbo trattare, avranno il significato corrispondente);
“Sub-responsabile del trattamento” con tale locuzione si intende un altro Responsabile del trattamento incaricato da Ontrack per conto del Cliente di svolgere attività di Trattamento in relazione ai Dati commerciali; e
“Autorità di controllo” avrà il significato attribuito a tale locuzione nell’Articolo 4.21 del GDPR.

Disposizioni in materia di trattamento dei dati
1 Responsabile del Trattamento e Titolare del Trattamento
1.1
 Le Parti convengono che, con riferimento ai Dati commerciali, il Cliente sarà il Titolare del Trattamento e Ontrack sarà il Responsabile del Trattamento. Le Parti riconoscono altresì che il Cliente avrà la responsabilità esclusiva della precisione, qualità, integrità e affidabilità dei Dati commerciali, nonché dei mezzi con cui lo stesso ha acquisito questi ultimi.
1.2 Il Cliente dichiara e garantisce, impegnandosi al riguardo, quanto segue: (i) che tutti i Dati commerciali utilizzati in relazione ai servizi forniti ai sensi dei Termini rispetteranno sotto tutti gli aspetti la Normativa in materia di protezione dei dati, (ii) che tutte le istruzioni impartite dallo stesso a Ontrack con riferimento ai Dati commerciali saranno in ogni momento conformi alla Normativa in materia di protezione dei dati, (iii) di aver ottenuto tutte le autorizzazioni necessarie da parte di ogni Interessato i cui Dati Personali sono inclusi nei Dati commerciali, ovvero di essere altrimenti in possesso di un’adeguata autorizzazione legale per fornire i Dati Personali a Ontrack, e (iv) di rispettare le disposizioni del presente DPA. 
1.3 Ontrack dichiara e garantisce, impegnandosi al riguardo, di: (i) trattare i Dati commerciali soltanto nella misura necessaria in relazione ai Termini, e (ii) di sottoporre a trattamento i Dati commerciali in conformità alle istruzioni documentate del Cliente e ai requisiti della Normativa in materia di protezione dei dati, (iii) di informare prontamente il Cliente nel caso in cui Ontrack ritenga che le istruzioni di quest’ultimo violino la Normativa in materia di protezione dei dati, ovvero nel caso in cui Ontrack non sia più in grado di rispettare le istruzioni del Cliente circa il Trattamento dei Dati commerciali (in seguito a una modifica della legge applicabile, ovvero a una modifica delle istruzioni del Cliente), e (iv) di rispettare le previsioni del presente DPA.

2 Istruzioni e dettagli del Trattamento
2.1
 Il Trattamento dei Dati commerciali che sarà effettuato da Ontrack ai sensi del presente DPA includerà le attività di Trattamento necessarie nell’ambito della fornitura dai servizi a opera di Ontrack.

3 Misure tecniche e organizzative
3.1 
Ontrack si impegna a istituire e mantenere, a proprie spese, idonee misure tecniche e organizzative in relazione al Trattamento e alla sicurezza dei Dati commerciali, in conformità alla Normativa in materia di protezione dei dati e, in particolare, agli Articoli 32-34 del GDPR. Ontrack si impegna altresì a garantire che tali misure tecniche e organizzative saranno adeguate ai rischi specifici connessi alle proprie attività di Trattamento, in particolare per salvaguardare i Dati commerciali da potenziali Violazioni di dati personali.

4 Impiego di Personale e Sub-responsabili del trattamento
4.1
 Fatte salve le disposizioni della clausola 4.2, Ontrack non potrà avvalersi di eventuali Sub-responsabili del trattamento per lo svolgimento di attività di Trattamento relative ai Dati commerciali senza la previa autorizzazione scritta del Cliente. Qualora tale autorizzazione venga concessa, prima di divulgare un qualunque dato a un Sub-responsabile approvato, Ontrack dovrà concludere con tale Sub-responsabile un accordo scritto avente contenuto equivalente a quello del presente DPA. Le Parti riconoscono e accettano che, in deroga a qualsiasi disposizione contraria contenuta nel presente DPA, Ontrack rimarrà pienamente responsabile nei confronti del Cliente per l’adempimento degli obblighi da parte di ciascun Sub-responsabile. Ontrack si impegna a informare il Cliente in merito a qualsiasi modifica prevista avente ad oggetto l’aggiunta o la sostituzione di tali Sub-responsabili e a concedere al Cliente una ragionevole possibilità di opporsi, per fondati motivi, a tali modifiche o sostituzioni.  
4.2 I Sub-responsabili approvati alla data del presente DPA sono indicati nell’Allegato 1.
4.3 Ontrack si impegna a garantire l’affidabilità del proprio Personale che avrà accesso ai Dati Personali, nonché a garantire che tale Personale tratterà i Dati Personali solamente nei casi in cui ciò sia strettamente necessario ai fini dei servizi, assicura che detto Personale è a perfetta conoscenza delle misure da mettere in atto e dei provvedimenti da adottare, tenuto conto della Normativa in materia di protezione dei dati, durante il Trattamento dei Dati commerciali, e si è impegnato a proteggere la riservatezza dei Dati commerciali, anche mediante l’assunzione di un idoneo obbligo di riservatezza (attraverso la conclusione di un contratto scritto o in altro modo) con riferimento ai Dati commerciali.

5 Assistenza per la conformità del Cliente e i Diritti dell’Interessato
5.1
 Ontrack si impegna a inoltrare prontamente al Cliente  tutte le Richieste dell’Interessato dalla stessa ricevute. Ontrack si impegna altresì a fornire al Cliente tutta l’assistenza ragionevolmente richiesta da quest’ultimo (tenendo conto della natura del Trattamento e delle informazioni di cui dispone Ontrack) allo scopo di garantire il rispetto da parte del Cliente degli obblighi a suo carico previsti dalla Normativa in materia di protezione dei dati con riferimento a quanto segue: (i) sicurezza del Trattamento, (ii) valutazione d’impatto sulla protezione dei dati (secondo la definizione data a tale locuzione nella Normativa in materia di protezione dei dati), (iii) consultazione preliminare con un’Autorità di controllo riguardo a un Trattamento ad alto rischio, e (iv) notifiche all’Autorità di controllo e/o comunicazioni agli Interessati da parte del Cliente a seguito di una qualunque Violazione di dati personali, a condizione che, qualora tale assistenza comporti per Ontrack uno sforzo sproporzionato in termini di tempo e risorse, il Cliente dovrà pagare a quest’ultima le tariffe applicate da Ontrack per la fornitura di tale assistenza.

6 Trasferimenti internazionali di dati
6.1
 In generale, i Dati commerciali vengono archiviati e trattati da Ontrack all’interno dell’Unione europea (“UE”). Ciononostante, Ontrack appartiene a un gruppo societario accreditato dalla Camera di commercio statunitense nel contesto dello scudo UE-USA e dello scudo USA-Svizzera per la privacy e svolge una notevole quantità di operazioni nel Regno Unito. Di conseguenza, è possibile che Ontrack abbia, occasionalmente, necessità di trasferire Dati commerciali al di fuori dell’UE al fine di fornire effettivamente i servizi, per esempio qualora si renda necessaria una tecnica specialistica di recupero dati, ovvero per fornire attività di sostegno e manutenzione destinate ai propri servizi. Il Cliente riconosce e accetta tali trasferimenti, i quali saranno effettuati in conformità ai requisiti di tutte le leggi e le norme applicabili. Nell’Allegato 1 sono inoltre indicati i trasferimenti richiesti e necessari sulla base della scelta di prodotti e servizi effettuata dal Cliente, i quali si intendono espressamente approvati.

7 Registri, informazioni e controllo
7.1
 Ontrack si impegna a: (i) creare, (ii) tenere aggiornati e (ii) conservare registri completi e accurati riguardanti tutte le attività di Trattamento dei Dati commerciali. 
7.2 Ontrack si impegna a concedere al Cliente il diritto di controllo, non più di una volta per anno civile e con un preavviso scritto minimo di 30 (trenta) giorni, durante il normale orario di lavoro e previa assunzione di un ragionevole impegno alla riservatezza, per accedere ai suddetti registri del Trattamento dei Dati commerciali e acquisire copie degli stessi, fornendo al Cliente tutta l’assistenza ragionevolmente possibile nell’esercizio dei diritti di controllo di quest’ultimo. Il presente diritto di controllo non si estende a eventuali centri dati di parte terza né ad altre strutture di parte terza ospitanti apparecchiature server dove sarà consentita solamente un’ispezione visiva e scortata.
7.3 Ontrack si impegna a fornire prontamente al Cliente, su richiesta e spese di quest’ultimo, tutte le informazioni necessarie per consentire allo stesso di dimostrare la propria conformità agli obblighi cui è soggetto ai sensi del GDPR, nella misura in cui Ontrack è in grado di fornire tali informazioni.

8 Notifica delle Violazioni
8.1
 In relazione a qualsiasi Violazione di dati personali, che coinvolga i Dati commerciali, suscettibile di comportare un elevato rischio per i diritti e le libertà delle persone fisiche, Ontrack si impegna, senza indebito ritardo, a: (i) notificare la Violazione di dati personali al Cliente, e (ii) fornire al Cliente tutti i dettagli della Violazione di dati personali.

9 Cancellazione o restituzione dei Dati Personali e relative copie
9.1
 Ontrack, su richiesta scritta del Cliente , si impegna a cancellare tutti i Dati commerciali, ovvero a restituire gli stessi al Cliente nella forma ragionevolmente richiesta da quest’ultimo, entro un termine ragionevole decorrente (i) dalla fine della fornitura, ai sensi dei Termini, dei servizi pertinenti relativi al Trattamento ovvero, se precedente, (ii) dal momento in cui il Trattamento da parte di Ontrack di eventuali Dati commerciali non sia più necessario ai fini dell’adempimento degli obblighi di Ontrack ai sensi del presente DPA, cancellando altresì tutte le copie esistenti (a meno che la conservazione di eventuali Dati commerciali sia prevista ai sensi della legge applicabile, nel qual caso Ontrack si impegna a informare il Cliente dell’esistenza di tale obbligo). Ontrack si impegna a far sì che i propri Sub-responsabili del trattamento intraprendano le stesse azioni con riferimento ai Dati commerciali. 
9.2 Ontrack cancellerà gli eventuali Dati commerciali che dovessero rimanere in suo possesso o sotto il suo controllo per un periodo di tempo superiore a 12 (dodici) mesi senza che, in tale periodo di tempo, siano state ricevute istruzioni operative da parte del Cliente.

10 Indennizzo
10.1
 Ciascuna Parte (la “Parte indennizzante”) è tenuta a risarcire e tenere indenne l’altra Parte (la “Parte indennizzata”) in relazione a qualsivoglia pretesa, domanda, azione giudiziaria, transazione, interesse, addebito, procedimento, spesa, perdita e danni che la Parte Indennizzata subisca, sostenga, sia condannata a risarcire/pagare ovvero accetti di pagare in seguito o in relazione all’inadempimento del presente DPA e/o alla violazione della Normativa in materia di protezione dei dati da parte della Parte indennizzante.

11 Responsabilità
11.1
 In nessun caso le responsabilità complessive di ciascuna delle Parti del presente DPA potranno superare i limiti contrattuali indicati e concordati nei Termini.

12 Durata e scioglimento anticipato del contratto
12.1
 Salvo in caso di scioglimento anticipato mediante accordo delle Parti, il presente DPA comincerà a produrre effetti alla data del conferimento di un ordine avente per oggetto servizi forniti ai sensi dei Termini e continuerà ad avere efficacia per tutto il tempo durante il quale Ontrack sottoporrà a Trattamento i Dati commerciali.

13 Scelta della legge applicabile al contratto
13.1
 Il presente DPA è soggetto alle disposizioni in materia di scelta della legge applicabile di cui ai Termini.

Data: 1 marzo 2019

Allegato 1 – Sub-responsabili del trattamento e Trasferimenti di dati

Prodotto/sistema aziendale di OntrackImpiego obbligatorio di un Sub-responsabile del trattamentoNome del Sub-responsabile del trattamentoSede del Sub-responsabile del trattamentoTrasferimenti di dati al di fuori del SEEDati
Contabilità (visibilità delle fatture)SiMTEAItaliaNoNome, indirizzo, recapiti, codice fiscale, numero di partita I.V.A., modalità di pagamento
Servizio di recupero creditiSiStudio CantoreItaliaNoNome, indirizzo, recapiti, codice fiscale, numero di partita I.V.A., dettagli relativi al debito e informazioni sui pagamenti
Raccolta dei supporti per il recupero dei dati/consegna del backup con i dati recuperatiNoDHLItaliaNoNome, indirizzo, telefono e/o indirizzo e-mail
Fornitore di servizi Internet e telefoniciNoFastwebItaliaNoNumero di telefono, indirizzo IP
Supporto contatti clientiNoSegretaria24Germania/ItaliaNoNome, indirizzo e-mail, telefono
Sistema di Customer Management (interno)Nobile (supporto tracking degli ordini)NorvegiaNoRecapiti e storico