Accordo sul Trattamento dei Dati

Ai fini del presente Accordo, si applicano le seguenti definizioni:

• Ai sensi dell'art. 4, n. 7), GDPR, il Titolare del trattamento è il soggetto che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
• Ai sensi dell'art. 4, n. 8), GDPR, il Responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, l'istituzione o altro organismo che tratta dati personali per conto del Titolare del trattamento.
• Ai sensi dell'art. 4, n. 1), GDPR, sono dati personali qualsiasi informazione riguardante una persona fisica identificata o identificabile (l'"Interessato"); si considera identificabile la persona fisica che possa essere identificata, direttamente o indirettamente, in particolare mediante riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
• Costituiscono dati personali che richiedono protezione particolare i dati di cui all'art. 9 GDPR che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale; i dati di cui all'art. 10 GDPR relativi a condanne penali e reati o a connesse misure di sicurezza; nonché i dati genetici (art. 4, n. 13), biometrici (art. 4, n. 14) e relativi alla salute (art. 4, n. 15) GDPR, e i dati relativi alla vita sessuale o all'orientamento sessuale della persona fisica.
• Ai sensi dell'art. 4, n. 2), GDPR, il trattamento è qualsiasi operazione o insieme di operazioni compiute sui dati personali, con o senza l'ausilio di processi automatizzati, quali la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
• Ai sensi dell'art. 4, n. 21), GDPR, l'autorità di controllo è l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'art. 51 GDPR.

Oggetto

Il Responsabile del trattamento presta i servizi indicati nel Contratto Principale a favore del Titolare del trattamento. Nello svolgimento di tali servizi, il Responsabile del trattamento accede a dati personali che tratta per il Titolare del trattamento esclusivamente per conto di quest'ultimo e in conformità alle sue istruzioni. L'ambito e la finalità del trattamento sono stabiliti nel Contratto Principale e nelle relative descrizioni dei servizi. Il Titolare del trattamento è l'unico responsabile della valutazione della liceità del trattamento.

Le Parti concludono il presente Accordo per disciplinare i reciproci diritti e obblighi in materia di protezione dei dati. In caso di dubbio, le disposizioni del presente Accordo prevalgono su quelle del Contratto Principale. L'Accordo si applica a tutte le attività connesse al Contratto Principale nelle quali il Responsabile del trattamento e i suoi dipendenti o le persone da esso autorizzate vengano a contatto con dati personali provenienti dal Titolare del trattamento o raccolti per conto di esso. La durata del presente Accordo è disciplinata dalla durata del Contratto Principale, salvo che le disposizioni che seguono diano luogo a ulteriori obblighi o diritti di recesso.

Potere di istruzione

Il Responsabile del trattamento può raccogliere, trattare o utilizzare dati solo nell'ambito del Contratto Principale e in conformità alle istruzioni del Titolare del trattamento. Qualora il Responsabile del trattamento sia tenuto a effettuare ulteriori trattamenti in forza del diritto dell'Unione o dello Stato membro cui è soggetto, ne informa il Titolare del trattamento prima del trattamento.

Le istruzioni del Titolare del trattamento sono inizialmente determinate dal presente Accordo. Successivamente, possono essere modificate, integrate o sostituite dal Titolare del trattamento per iscritto o in forma testuale mediante istruzioni individuali. Il Titolare del trattamento può impartire tali istruzioni in qualsiasi momento, comprese le istruzioni relative alla rettifica, cancellazione e blocco dei dati. Tutte le istruzioni impartite saranno documentate dal Titolare del trattamento. Le istruzioni che eccedono il servizio concordato nel Contratto Principale saranno trattate come richiesta di modifica del servizio.

Se il Responsabile del trattamento ritiene che un'istruzione del Titolare del trattamento violi le disposizioni in materia di protezione dei dati, lo comunica al Titolare del trattamento senza indebito ritardo. Il Responsabile del trattamento ha diritto di sospendere l'attuazione dell'istruzione in questione fino a quando essa non sia confermata o modificata dal Titolare del trattamento. Il Responsabile del trattamento può rifiutare di eseguire un'istruzione manifestamente illecita.

Nell'ambito dell'esecuzione del Contratto Principale, il Responsabile del trattamento accede alle seguenti categorie di dati personali (Allegato 1 del contratto sottostante):

Dati personali e di contatto

• Nomi: nome del venditore (se pubblicamente disponibile), nome del compratore (fornito dall'agente immobiliare), nome dell'agente.
• Dati di contatto: numeri di telefono (compresi i numeri WhatsApp), indirizzi di posta elettronica (se presenti in un annuncio pubblico o forniti dall'utente).

Dati dell'immobile e di localizzazione

• Localizzazione: indirizzo completo dell'immobile, quartiere o coordinate.
• Dati dell'annuncio: URL o ID dell'annuncio online.
• Caratteristiche dell'immobile: superficie, numero di stanze, prezzo, anno di costruzione, condizione e caratteristiche specifiche.

Contenuti forniti dall'utente

• File multimediali: fotografie dell'immobile caricate dall'utente.
• Documenti facoltativi: scansioni di documenti caricate dall'utente (ad es. bolletta IMU / imposta municipale sugli immobili).

Dati di comunicazione e di consenso

• Contenuto delle comunicazioni: cronologia dei messaggi (ad es. messaggi WhatsApp con i nostri assistenti); schede lead o messaggi inviati agli agenti.
• Consenso e preferenze: stato del consenso (ad es. opt-in "SÌ", opt-out "STOP"); richieste inviate (ad es. valutazione immobiliare); orizzonte temporale indicato per l'intenzione di vendita.

Dati tecnici di log e metadati interni

• Identificativi: ID utente WhatsApp, indirizzi IP (ove applicabile).
• Log: marche temporali, log degli eventi e di audit.
• Gestione lead: identificativi interni di lead, stato del lead (aperto, contattato, chiuso), origine del lead (ad es. portale di provenienza).
• Scoring dei lead: punteggio o classifica interna (ad es. scala 0–100, classificazione caldo/neutro/freddo).
• Metriche di performance dell'agente: tasso di risposta, frequenza di contatto ed esiti (conservati esclusivamente in forma aggregata e anonimizzata).

Categorie di Interessati (Allegato 2)

• Agenti immobiliari.
• Venditori.
• Compratori.

Trasferimenti verso paesi terzi

Qualsiasi trasferimento di dati personali verso un paese terzo può avvenire solo alle condizioni di cui all'art. 44 e seguenti GDPR, in particolare sulla base di una decisione di adeguatezza ai sensi dell'art. 45 GDPR o, in mancanza di tale decisione, sulla base di garanzie adeguate ai sensi dell'art. 46 GDPR — incluse le Clausole Contrattuali Tipo adottate dalla Commissione europea ai sensi dell'art. 46, par. 2, lett. c), GDPR — unitamente alle misure supplementari eventualmente necessarie a seguito di una valutazione d'impatto del trasferimento.

Il Responsabile del trattamento osserva le disposizioni di legge in materia di protezione dei dati e non divulga a terzi le informazioni acquisite nell'ambito del Titolare del trattamento, né le espone al loro accesso. I documenti e i dati sono protetti contro la divulgazione a persone non autorizzate, tenuto conto dello stato dell'arte.

Il Responsabile del trattamento organizza la propria struttura interna in modo da soddisfare i requisiti specifici della protezione dei dati. Ha attuato le misure tecniche e organizzative indicate nell'Allegato 3 per proteggere adeguatamente i dati del Titolare del trattamento ai sensi dell'art. 32 GDPR, misure che il Titolare del trattamento riconosce come adeguate. Il Responsabile del trattamento si riserva il diritto di modificare le misure di sicurezza adottate, garantendo che il livello di protezione contrattualmente concordato non sia ridotto.

Alle persone impiegate dal Responsabile del trattamento nel trattamento dei dati è vietato raccogliere, trattare o utilizzare dati personali senza autorizzazione. Il Responsabile del trattamento obbliga tutte le persone cui affida il trattamento e l'esecuzione del presente Accordo (i "Dipendenti") di conseguenza (obbligo di riservatezza, art. 28, par. 3, lett. b), GDPR) e ne garantisce con la dovuta diligenza il rispetto.

Il Responsabile del trattamento ha nominato un responsabile della protezione dei dati. Il responsabile della protezione dei dati del Responsabile del trattamento è heyData GmbH, Schützenstraße 5, 10117 Berlino, datenschutz@heydata.eu, www.heydata.eu.

Misure tecniche e organizzative (Allegato 3)

Il Responsabile del trattamento attua misure tecniche e organizzative adeguate ai sensi dell'art. 32, par. 1, GDPR, riguardanti i seguenti ambiti:

• Riservatezza — controllo degli ingressi (sistemi di chiusura, videosorveglianza degli accessi ove applicabile, pratiche sicure per il lavoro da remoto); controllo dell'ammissione (autenticazione con nome utente e password, antivirus, firewall, blocco automatico del desktop, cifratura di notebook e tablet, gestione delle autorizzazioni utente, regole centrali sulle password, autenticazione a due fattori, policy aziendale sulle password sicure); controllo degli accessi (registrazione degli accessi alle applicazioni, schema di autorizzazione, numero minimo di amministratori, gestione dei diritti da parte degli amministratori di sistema); controllo della separazione (separazione di produzione e test, cifratura dei set di dati, separazione logica dei client, diritti di database definiti, anonimizzazione/pseudonimizzazione ove possibile).
• Integrità — controllo del trasferimento (connessioni cifrate SFTP/HTTPS, registrazione di accessi e recuperi); controllo dell'inserimento (registrazione di inserimenti, modifiche e cancellazioni di dati, tracciabilità mediante nomi utente individuali, assegnazione dei diritti tramite schema di autorizzazione, chiare responsabilità di cancellazione).
• Disponibilità e resilienza — backup regolari, archiviazione esterna sicura dei backup, hosting professionale almeno per i dati più importanti.
• Procedure per la verifica, valutazione e revisione periodica (art. 32, par. 1, lett. d); art. 25, par. 1, GDPR) — utilizzo della piattaforma heyData per la gestione della protezione dei dati; nomina di heyData come responsabile della protezione dei dati; obbligo dei dipendenti alla segretezza; formazione periodica del personale; registro delle attività di trattamento (art. 30 GDPR); gestione degli incidenti con processi documentati di notifica ai sensi degli artt. 33/34 GDPR; coinvolgimento del responsabile della protezione dei dati negli incidenti di sicurezza e nelle violazioni.
• Protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25, par. 2, GDPR) — formazione dei dipendenti su "privacy by design" e "privacy by default"; minimizzazione dei dati; controllo degli incarichi con istruzioni scritte, conferme di distruzione, impegni di riservatezza dei fornitori e revisione continua dei medesimi.

Il Responsabile del trattamento informa il Titolare del trattamento di qualsiasi modifica significativa alle misure di sicurezza.

In caso di disservizi, sospette violazioni in materia di protezione dei dati o inadempimenti degli obblighi contrattuali del Responsabile del trattamento, sospetti incidenti di sicurezza o altre irregolarità nel trattamento dei dati personali da parte del Responsabile del trattamento, di persone da esso impiegate nell'ambito del contratto o di terzi, il Responsabile del trattamento informa il Titolare del trattamento senza indebito ritardo. Lo stesso vale per gli audit nei confronti del Responsabile del trattamento da parte dell'autorità di controllo. La notifica di una violazione dei dati personali contiene almeno le seguenti informazioni:

• una descrizione della natura della violazione, comprese, ove possibile, le categorie e il numero approssimativo di Interessati e le categorie e il numero approssimativo di record di dati personali interessati;
• una descrizione delle misure adottate o proposte dal Responsabile del trattamento per affrontare la violazione e, se del caso, delle misure per attenuarne i possibili effetti negativi;
• una descrizione delle probabili conseguenze della violazione.

Il Responsabile del trattamento adotta immediatamente le misure necessarie per mettere in sicurezza i dati e attenuare ogni possibile conseguenza negativa per gli Interessati, ne informa il Titolare del trattamento e richiede ulteriori istruzioni.

Inoltre, il Responsabile del trattamento è tenuto a fornire al Titolare del trattamento informazioni in qualsiasi momento qualora i dati di quest'ultimo siano interessati da una violazione. Il Responsabile del trattamento informa altresì il Titolare del trattamento di qualsiasi modifica significativa alle misure di sicurezza di cui alla Clausola 4.

Il Titolare del trattamento può verificare le misure tecniche e organizzative del Responsabile del trattamento prima dell'inizio del trattamento e, successivamente, con cadenza annuale. A tal fine, il Titolare del trattamento può, ad esempio, acquisire informazioni dal Responsabile del trattamento, ottenere certificazioni di esperti, attestazioni o relazioni di audit interno o — previo coordinamento tempestivo — ispezionare personalmente le misure del Responsabile del trattamento durante il normale orario di lavoro, oppure farle ispezionare da un terzo competente che non si trovi in rapporto di concorrenza con il Responsabile del trattamento. Il Titolare del trattamento effettua i controlli solo nella misura necessaria e non disturba in modo sproporzionato le operazioni del Responsabile del trattamento.

Il Responsabile del trattamento si impegna a fornire al Titolare del trattamento, su richiesta verbale o scritta e in un termine ragionevole, tutte le informazioni e gli elementi necessari per effettuare la verifica delle sue misure tecniche e organizzative.

Il Titolare del trattamento documenta i risultati dell'ispezione e li notifica al Responsabile del trattamento. In caso di errori o irregolarità riscontrati durante l'ispezione, il Titolare del trattamento ne informa il Responsabile del trattamento senza indebito ritardo. Qualora, nel corso del controllo, emergano fatti la cui futura prevenzione richieda modifiche alla procedura concordata, il Titolare del trattamento comunica al Responsabile del trattamento le necessarie modifiche procedurali senza ritardo.

I servizi contrattualmente concordati sono eseguiti con il coinvolgimento dei sub-responsabili elencati nell'Allegato 4 (i "Sub-responsabili"). Il Titolare del trattamento concede al Responsabile del trattamento la propria autorizzazione generale ai sensi dell'art. 28, par. 2, prima parte, GDPR a coinvolgere ulteriori sub-responsabili nell'ambito dei propri obblighi contrattuali o a sostituire sub-responsabili già incaricati.

Il Responsabile del trattamento informa il Titolare del trattamento prima di qualsiasi modifica relativa al coinvolgimento o alla sostituzione di un sub-responsabile. Il Titolare del trattamento può opporsi al coinvolgimento o alla sostituzione di un sub-responsabile per motivo importante in materia di protezione dei dati. L'opposizione deve essere proposta entro due (2) settimane dal ricevimento dell'informazione sulla modifica. In mancanza di opposizione, il coinvolgimento o la sostituzione si considera approvato. In presenza di un motivo importante in materia di protezione dei dati e in mancanza di una soluzione amichevole tra le Parti, il Titolare del trattamento dispone di un diritto speciale di recesso con effetto alla fine del mese successivo all'opposizione.

Nel ricorrere a sub-responsabili, il Responsabile del trattamento li vincola in conformità alle disposizioni del presente Accordo.

Non sussiste rapporto di sub-responsabilità ai sensi delle presenti disposizioni qualora il Responsabile del trattamento incarichi terzi di servizi meramente accessori. Sono compresi, ad esempio, i servizi postali, di trasporto e spedizione, di pulizia, di telecomunicazione senza specifico riferimento ai servizi resi dal Responsabile del trattamento al Titolare del trattamento e i servizi di vigilanza. I servizi di manutenzione e di test costituiscono rapporti di sub-responsabilità soggetti a consenso nella misura in cui siano resi per sistemi informatici utilizzati anche nella prestazione dei servizi al Titolare del trattamento.

L'elenco aggiornato dei sub-responsabili (Allegato 4) è pubblicato e mantenuto all'indirizzo https://www.leonandvera.com/subprocessors. L'elenco specifica nome, funzione e luogo di trattamento di ciascun sub-responsabile.

Il Responsabile del trattamento assiste il Titolare del trattamento, con misure tecniche e organizzative adeguate, nell'adempimento degli obblighi di quest'ultimo di cui agli articoli 12-22 e 32-36 GDPR.

Qualora un Interessato faccia valere direttamente nei confronti del Responsabile del trattamento diritti, quali il diritto di accesso, rettifica o cancellazione, quest'ultimo non risponde autonomamente, ma rinvia l'Interessato al Titolare del trattamento e attende le istruzioni di quest'ultimo.

Nel rapporto interno tra le Parti, il Titolare del trattamento risponde in via esclusiva nei confronti dell'Interessato per il risarcimento dei danni subiti da quest'ultimo a causa di un trattamento inammissibile o errato ai sensi della normativa sulla protezione dei dati o di un utilizzo nell'ambito del trattamento commissionato.

Il Responsabile del trattamento risponde in modo illimitato per i danni la cui causa risieda in un inadempimento doloso o gravemente colposo del Responsabile del trattamento, del suo rappresentante legale o dei suoi ausiliari.

Il Responsabile del trattamento risponde per colpa lieve solo in caso di inadempimento di un'obbligazione il cui adempimento sia presupposto per la corretta esecuzione del contratto e sulla cui osservanza il Titolare del trattamento regolarmente confida e può confidare, e comunque limitatamente al danno tipico del contratto. Per il resto, è esclusa la responsabilità del Responsabile del trattamento, inclusa quella dei suoi ausiliari.

Le limitazioni sopra previste non si applicano alle pretese risarcitorie derivanti da lesioni alla vita, al corpo o alla salute, né a quelle derivanti dall'assunzione di una garanzia.

Cessazione

Dopo la cessazione del Contratto Principale, il Responsabile del trattamento restituisce al Titolare del trattamento tutti i documenti, i dati e i supporti forniti o — su richiesta del Titolare del trattamento e salvo che sussista un obbligo di conservazione dei dati personali ai sensi del diritto dell'Unione o di altro diritto nazionale applicabile — li cancella. Lo stesso vale per eventuali backup detenuti dal Responsabile del trattamento. Il Responsabile del trattamento, su richiesta, fornisce prova documentata della corretta cancellazione dei dati.

Il Titolare del trattamento ha diritto di verificare in modo adeguato la restituzione o cancellazione completa e conforme dei dati detenuti dal Responsabile del trattamento.

Il Responsabile del trattamento è tenuto a mantenere riservati i dati di cui sia venuto a conoscenza in relazione al Contratto Principale anche dopo la cessazione di quest'ultimo. Il presente Accordo resta in vigore oltre il termine del Contratto Principale fintanto che il Responsabile del trattamento disponga di dati personali a esso trasmessi dal Titolare del trattamento o raccolti per suo conto.

Disposizioni finali

Nella misura in cui il Responsabile del trattamento non esegua espressamente a titolo gratuito le attività di supporto previste dal presente Accordo, può addebitare al Titolare del trattamento un compenso ragionevole, salvo che le azioni o omissioni del Responsabile del trattamento abbiano reso direttamente necessario tale supporto.

Le modifiche e le integrazioni del presente Accordo devono essere fatte per iscritto. Lo stesso vale per la rinuncia al presente requisito di forma. La priorità degli accordi contrattuali individuali resta impregiudicata.

Qualora singole disposizioni del presente Accordo siano o divengano in tutto o in parte invalide o inefficaci, ciò non pregiudica la validità delle restanti disposizioni.

Il presente Accordo è soggetto al diritto tedesco.