FORNITORE e COMMITTENTE ai sensi del presente accordo sono le parti del contratto per l'utilizzo del Nexaro HUB e dei servizi ivi forniti per la gestione e il controllo dei dispositivi (di seguito denominato Nexaro HUB) sulla base delle Condizioni Generali di Utilizzo per l'uso del Nexaro HUB (hub.nexaro.com) di Nexaro GmbH (di seguito ANB). La parte indicata come CLIENTE è il COMMITTENTE, Nexaro GmbH è il FORNITORE del presente accordo.

L'esecuzione del contratto comporta il trattamento di dati personali, pertanto le parti integrano il contratto con i contenuti richiesti dall'art. 28, comma 3, del GDPR. Per rispettare tali requisiti, le parti stipulano in integrazione il seguente accordo sul trattamento per conto:

§1 Ambito di applicazione e componenti contrattuali

1. Il presente accordo integra il contratto per l'utilizzo del Nexaro HUB, in modo che i suoi contenuti diventino parte di quel contratto. Questo accordo può rimanere valido anche dopo la scadenza di quel contratto, se previsto dalle disposizioni seguenti.
2. I seguenti allegati fanno parte del presente accordo integrativo:

   Numero allegato	Descrizione
   1	Categorie di interessati e dati
   2	Subappaltatori autorizzati
   3	Misure tecniche e organizzative

3. Le disposizioni del presente accordo prevalgono, in caso di conflitti, sulle disposizioni delle ANB.

§2 Dettagli sui trattamenti

1. Il FORNITORE fornisce al COMMITTENTE servizi nell'ambito della messa a disposizione del Nexaro HUB e dei servizi e funzionalità ad esso collegati, sulla base delle ANB. Nell'ambito dell'utilizzo del Nexaro HUB, il FORNITORE accede a dati personali e li tratta per conto e su istruzione del COMMITTENTE. La durata dei trattamenti corrisponde alla durata della prestazione dei servizi contrattuali.
2. La natura e la finalità del trattamento dei dati da parte del FORNITORE derivano dalle ANB e dalle relative descrizioni dei servizi.

§3 Diritto di istruzione

1. Il FORNITORE può trattare i dati solo nell'ambito del contratto per l'utilizzo del Nexaro HUB e secondo le istruzioni del COMMITTENTE. Se il FORNITORE è autorizzato a ulteriori trattamenti in base al diritto dell'Unione Europea o degli Stati membri cui è soggetto, può eseguirli (ad esempio per adempiere a obblighi legali a suo carico). Prima di eseguire tali trattamenti, che si basano su una base legale ma sono al di fuori dell'incarico del COMMITTENTE, il FORNITORE informa il COMMITTENTE dei requisiti legali prima del trattamento, salvo che tale comunicazione sia vietata per legge.
2. Le direttive del COMMITTENTE sono inizialmente stabilite da questo contratto e possono essere modificate, integrate o sostituite dal COMMITTENTE in forma scritta o testuale tramite singole direttive (direttiva individuale). Il COMMITTENTE ha il diritto di impartire direttive in qualsiasi momento. Ciò include direttive riguardanti l'esecuzione di trattamenti specifici, in particolare se un trattamento debba essere effettuato o meno. Il diritto di impartire direttive non riguarda la scelta dei mezzi di trattamento né le misure tecniche o organizzative di protezione. Tali modifiche devono essere concordate reciprocamente, e il FORNITORE non rifiuterà ingiustificatamente le richieste di modifica del COMMITTENTE.
3. Tutte le direttive impartite devono essere documentate dal COMMITTENTE. Le direttive che superano il servizio contrattualmente concordato saranno trattate come richieste di modifica del servizio.
4. Se il FORNITORE ritiene che una direttiva del COMMITTENTE violi le disposizioni sulla protezione dei dati, deve informare immediatamente il COMMITTENTE. Il FORNITORE ha il diritto di sospendere l'esecuzione della direttiva fino a quando questa non venga confermata o modificata dal COMMITTENTE. Il FORNITORE può rifiutare l'esecuzione di una direttiva manifestamente illegale. La conferma o modifica di una direttiva è valida solo se effettuata per iscritto o in forma testuale (ad esempio lettera, e-mail o fax).

§4 Tipologia dei dati trattati, categorie di interessati

Nell'ambito dell'esecuzione del contratto per l'utilizzo del Nexaro HUB, il FORNITORE avrà accesso ai dati personali specificati nell'Allegato 1. L'elenco delle persone interessate è anch'esso riportato nell'Allegato 1.

§5 Misure di protezione

1. Il FORNITORE organizzerà la propria struttura interna in modo da soddisfare le particolari esigenze della protezione dei dati. Il FORNITORE adotterà le misure tecniche e organizzative necessarie per la protezione adeguata dei dati del COMMITTENTE ai sensi dell'art. 32 del GDPR, garantendo la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi relativi al trattamento in modo duraturo. Al COMMITTENTE sono note le misure tecniche e organizzative adottate secondo quanto previsto nell'Allegato 3 e questi è responsabile che tali misure offrano un livello di protezione adeguato ai rischi dei dati da trattare.
2. Una modifica delle misure di sicurezza adottate rimane riservata al FORNITORE, che deve garantire che il livello di protezione fornito al momento della stipula del contratto non venga ridotto.
3. È vietato alle persone impiegate dal FORNITORE nel trattamento dei dati di elaborare dati personali senza autorizzazione. Il FORNITORE obbligherà tutte le persone incaricate da lui dell'elaborazione e dell'esecuzione di questo contratto (di seguito chiamate dipendenti) in modo appropriato (obbligo di riservatezza, art. 28 comma 3 lett. b GDPR) e controllerà con la dovuta diligenza il rispetto di tale obbligo.
4. Il FORNITORE ha nominato un responsabile della protezione dei dati aziendale:
   
   Nexaro GmbH
   Il responsabile della protezione dei dati
   Blombacher Bach 3, 42287 Wuppertal
   Germania
   
   

   Il FORNITORE pubblica i dati di contatto del responsabile della protezione dei dati sul proprio sito internet e li comunica all'autorità di controllo. La pubblicazione e la comunicazione saranno dimostrate dal FORNITORE su richiesta del Committente in modo adeguato.

§6 Obblighi di informazione

1. In caso di violazione della protezione dei dati personali, il FORNITORE informerà immediatamente il COMMITTENTE, qualora siano coinvolti dati trattati per conto del COMMITTENTE.
2. Il FORNITORE adotterà immediatamente misure per garantire la sicurezza dei dati e per ridurre eventuali conseguenze negative per le persone interessate.
3. Se i dati del COMMITTENTE presso il FORNITORE sono a rischio a causa di pignoramento o sequestro, di una procedura fallimentare o di concordato, o per altri eventi o misure di terzi, il FORNITORE deve informare immediatamente il COMMITTENTE, salvo che ciò sia vietato da un ordine giudiziario o amministrativo. In tale contesto, il FORNITORE informerà tempestivamente tutte le autorità competenti che il controllo decisionale sui dati spetta esclusivamente al COMMITTENTE in qualità di «titolare» ai sensi del GDPR.

§7 Diritti di controllo del Committente

1. Il COMMITTENTE ha il diritto di effettuare controlli presso il FORNITORE – comprese ispezioni in loco. Oggetto del diritto di controllo è il rispetto delle disposizioni di questo contratto nonché di quelle dell'art. 28 del GDPR. Il FORNITORE collabora ai controlli fornendo, ad esempio, informazioni, presentando certificati di esperti, certificazioni o verifiche interne esistenti o mettendo a disposizione, previa tempestiva coordinazione, le misure tecniche e organizzative durante l'orario lavorativo consueto per la verifica, che il COMMITTENTE può esaminare personalmente o far esaminare da un terzo esperto, a condizione che tale terzo non sia in concorrenza con il FORNITORE. Il COMMITTENTE effettuerà i controlli solo nella misura necessaria e senza disturbare in modo sproporzionato le operazioni aziendali del fornitore.
2. Il PRESTATORE DI SERVIZI si impegna a fornire al COMMITTENTE, su richiesta orale o scritta, entro un termine ragionevole, tutte le informazioni e le prove necessarie per effettuare un controllo delle misure tecniche e organizzative.
3. Il COMMITTENTE documenta il risultato del controllo e lo comunica al PRESTATORE DI SERVIZI. In caso di errori o irregolarità riscontrate dal COMMITTENTE, in particolare durante la verifica dei risultati del servizio, deve informare immediatamente il PRESTATORE DI SERVIZI.

§8 Impiego di subappaltatori

1. Il PRESTATORE DI SERVIZI è generalmente autorizzato a impiegare terzi come ulteriori responsabili del trattamento per l'esecuzione del servizio.
2. Con la stipula del contratto è espressamente autorizzato il coinvolgimento dei subappaltatori indicati nell'Allegato 2.
3. Il PRESTATORE DI SERVIZI informa il COMMITTENTE di eventuali modifiche previste riguardanti il coinvolgimento o la sostituzione di un ulteriore responsabile del trattamento. Il COMMITTENTE ha il diritto di opporsi al nuovo RESPONSABILE DEL TRATTAMENTO entro 5 giorni lavorativi dal ricevimento di tale informazione. Se le parti non raggiungono un accordo sull'introduzione del nuovo responsabile del trattamento, questa non avrà luogo.
4. Gli obblighi di legge ai sensi dell'art. 28, commi 2 e 4 del GDPR sono noti al PRESTATORE DI SERVIZI e da questi rispettati.

§9 Obblighi di supporto

1. Il PRESTATORE DI SERVIZI supporta il COMMITTENTE nell'ambito dei servizi concordati con le misure tecniche e organizzative incluse per l'adempimento degli obblighi relativi ai diritti degli interessati.
2. Inoltre, il PRESTATORE DI SERVIZI supporta il COMMITTENTE, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, nell'adempimento dei suoi obblighi ai sensi degli artt. 32-36 del GDPR, nella misura in cui tali servizi di supporto siano ragionevoli per il PRESTATORE DI SERVIZI e indispensabili per l'adempimento degli obblighi del COMMITTENTE. Il COMMITTENTE e il PRESTATORE DI SERVIZI collaborano su richiesta con l'autorità di controllo per l'adempimento dei loro compiti.
3. Se un Interessato esercita diritti, ad esempio di accesso, rettifica o cancellazione dei propri dati, direttamente nei confronti del PRESTATORE DI SERVIZI, questi indirizza immediatamente l'Interessato al COMMITTENTE.

§10 Responsabilità

1. Per il risarcimento dei danni subiti da un Interessato a causa di un trattamento o utilizzo dei dati non consentito o errato ai sensi delle leggi sulla protezione dei dati nell'ambito del trattamento su incarico, è responsabile nei confronti dell'Interessato esclusivamente il COMMITTENTE nei confronti del PRESTATORI DI SERVIZI. Ciò non si applica se il PRESTATORE DI SERVIZI non ha adempiuto ai propri obblighi in materia di protezione dei dati come responsabile del trattamento ai sensi del GDPR o ha agito in violazione delle istruzioni legittimamente impartite dal COMMITTENTE o contro le sue istruzioni.
2. Le parti si sollevano reciprocamente da responsabilità se una parte dimostra che, ai sensi del comma 1, non è responsabile nei rapporti interni. Lo stesso vale in caso di eventuale concorso di colpa.

§11 Cessazione del contratto per l’utilizzo del Nexaro HUB

1. Il PRESTATORE restituirà al COMMITTENTE, al termine del contratto per l’utilizzo del Nexaro HUB o in qualsiasi momento su sua richiesta, tutti i dati personali e cancellerà eventuali copie residue o – su richiesta del COMMITTENTE – le cancellerà. Non sussiste l’obbligo di cancellazione se, ai sensi del diritto dell’Unione o del diritto della Repubblica Federale di Germania, il PRESTATORE è obbligato a conservare i dati personali.
2. Il PRESTATORI è obbligato a trattare in modo confidenziale anche dopo la fine del contratto per l’utilizzo del Nexaro HUB i dati di cui è venuto a conoscenza in relazione al contratto per l’utilizzo del Nexaro HUB. Il presente accordo rimane valido anche dopo la fine del contratto per l’utilizzo del Nexaro HUB finché il PRESTATORE non abbia restituito o, su richiesta del COMMITTENTE, cancellato i dati personali precedentemente trattati per conto.

Allegato n. 1

„Categorie di interessati e dati“

 

Allegato n. 2

„Subappaltatori autorizzati“

 

Allegato n. 3

„Misure tecniche e organizzative“

Il responsabile del trattamento eseguirà le seguenti misure tecniche e organizzative per la protezione dei dati personali. Le singole categorie non sono esaustive e possono essere integrate se necessario.

1. Riservatezza (Articolo 32 (1) (b) GDPR)

1. Controllo fisico degli accessi
   Il responsabile del trattamento garantisce che in tutti i luoghi in cui vengono trattati dati personali, siano essi uffici o data center, siano implementati controlli di accesso fisico per prevenire accessi non autorizzati.
2. Sicurezza degli edifici
   Tutti gli edifici sono protetti da sistemi di controllo degli accessi.
   
   Nei data center o nelle sale di elaborazione dati sono implementati controlli aggiuntivi come sistemi di rilevamento umidità o incendio, alimentatori di emergenza e dispositivi di protezione contro sovra- o sottotensioni.
   
   Tutti i visitatori devono registrarsi alla reception e essere accompagnati durante la visita in una sede del responsabile del trattamento.
3. Controllo elettronico degli accessi
   Per prevenire l'uso non autorizzato dei sistemi di elaborazione e memorizzazione dati, il responsabile del trattamento ha implementato diversi livelli o dispositivi di protezione, a seconda del dispositivo, delle autorizzazioni e della posizione.
   
   Per impostazione predefinita, tutti i computer e dispositivi mobili, nonché supporti dati e memorie, sono crittografati. I sistemi vengono bloccati automaticamente dopo un certo periodo e richiedono password sicure per essere sbloccati.
   
   Per poter accedere ai dispositivi di elaborazione del responsabile del trattamento, tutti i dipendenti devono disporre di account personalizzati.
4. Controllo interno degli accessi (autorizzazioni per i diritti degli utenti per l'accesso e la modifica dei dati)

   Il responsabile del trattamento ha implementato un concetto di accesso basato sui ruoli.

5. Separazione 

   I sistemi sono progettati per essere multi-tenant.

2. Pseudonimizzazione (Articolo 32 (1) (a) GDPR; Articolo 25 (1) GDPR)

Il trattamento dei dati personali avviene in modo tale che i dati non possano essere associati a una persona interessata specifica senza il supporto di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative adeguate, se richiesto dal titolare del trattamento e compatibile con le attività di trattamento dei dati.

1. Controllo di isolamento: l'elaborazione isolata dei dati raccolti per scopi diversi

3. Integrità (Articolo 32 (1) (B) GDPR)

1. Controllo del trasferimento dati
   Per proteggere i dati da lettura, copia, modifica o cancellazione non autorizzate, il responsabile del trattamento ha implementato controlli per la crittografia dei dati durante la trasmissione e supporta gli standard di crittografia e-mail X.509 e PGP.
2. Controllo dell'immissione dati
   Il responsabile del trattamento ha implementato sistemi o fa parte di soluzioni di sistemi informativi per verificare se e da chi i dati personali vengono inseriti, modificati o cancellati in un sistema di elaborazione dati.
   
   I file di registro sono strutturati in modo da fornire prove su chi ha aggiunto, modificato, cambiato o cancellato dati e quando, e anche per identificare errori di inserimento e abusi.

4. Disponibilità e resilienza (articolo 32 (1) GDPR)

Il responsabile del trattamento ha adottato numerose misure per garantire la disponibilità e la resilienza dei dati, in particolare dei dati personali, e per proteggerli da eventi accidentali o intenzionali come distruzione, interruzione di corrente, fulmini, incendi e danni causati dall'acqua.

1. Controllo della disponibilità
   Per proteggere dalla perdita di dati, il responsabile del trattamento ha sviluppato e implementato una strategia di backup per salvare regolarmente i dati. I supporti di backup sono conservati in un luogo fisico diverso dalla sede del sistema.
   
   Inoltre, i sistemi di sicurezza informatica del responsabile del trattamento sono protetti contro gli attacchi.

5. Procedure per la verifica, valutazione e valutazione regolare (articolo 32 (1) (d) GDPR; articolo 25 (1) GDPR)

1. Gestione della protezione dei dati
   Il responsabile del trattamento ha implementato processi e procedure per garantire che le attività siano eseguite nei tempi previsti e che i dati possano essere salvati e ripristinati.
2. Gestione della risposta agli incidenti
   Per essere preparato a tutti gli incidenti, il responsabile del trattamento ha istituito un centro operativo di sicurezza per gestire la risposta agli incidenti. Inoltre, ha sviluppato, implementato e testato un piano di risposta agli incidenti di sicurezza informatica trasversale alle funzioni, per gestire e amministrare gli incidenti di sicurezza informatica.
3. Controllo degli incarichi
   Senza istruzioni appropriate da parte del responsabile del trattamento, ad esempio accordi chiari e inequivocabili, gestione formale degli incarichi, controlli rigorosi nella selezione del fornitore, obbligo di valutazione preventiva, controlli successivi di vigilanza, il trattamento dei dati da parte di terzi ai sensi dell'articolo 28 del GDPR non è consentito.

6. Organizzazione

1. Nomina di un responsabile della protezione dei dati
   Il responsabile del trattamento ha nominato un responsabile della protezione dei dati (interno/esterno). Per svolgere funzioni di consulenza e controllo. I dati di contatto sono sempre accessibili sul sito web aziendale del responsabile del trattamento.
2. Ulteriori misure
   Il responsabile del trattamento effettua regolarmente corsi di formazione per i propri dipendenti. Tutti i dipendenti sono istruiti sulla protezione dei dati e sono obbligati a garantire un trattamento conforme alla normativa dei dati personali.

Aggiornamento: 01 gennaio 2026

Il contratto di elaborazione dei dati (AVV) è disponibile anche per il download: Nexaro AVV