Accordo sul trattamento dei dati

Data di decorrenza: 26 novembre 2025

Nel rispetto dei requisiti del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla Protezione delle persone fisiche in merito al trattamento dei dati personali e del libero movimento di tali dati, abrogando la Direttiva 95/46/CE (“GDPR”), nonché la legge sulla protezione dei dati applicabile nel Regno Unito di Gran Bretagna e Irlanda del Nord, ESET (“Responsabile del trattamento”) e il Cliente (“Titolare del trattamento dei dati”) sottoscrivono un rapporto contrattuale sul trattamento dei dati allo scopo di definire i termini e le condizioni per il trattamento dei dati personali, le modalità di protezione degli stessi, nonché altri diritti e obblighi di entrambe le parti rispetto al trattamento dei dati personali degli interessati per conto del Titolare del trattamento dei dati durante l’esecuzione della materia oggetto dei presenti Termini come contratto principale.

1. Dati personali. Ai fini della fornitura dei Servizi in conformità dei Termini, il Responsabile del trattamento potrebbe dover elaborare informazioni relative a una persona fisica identificata o identificabile (“Dati personali”) per conto del Titolare del trattamento dei dati.
2. Autorizzazione. Il Titolare del trattamento dei dati autorizza il Responsabile del trattamento a elaborare i Dati personali, attenendosi alle seguenti istruzioni:
   1. per “finalità del trattamento” si intende la fornitura dei Servizi ordinati, in base a quanto definito negli Allegati, in conformità dei Termini.
   2. per “periodo del trattamento” si intende il periodo durante il quale saranno forniti i Servizi.
   3. l’espressione “scopo e categorie dei Dati personali” include qualsiasi Dato personale fornito o messo a disposizione dal Titolare del trattamento dei dati durante la fornitura dei Servizi, in particolare qualsiasi Dato personale inviato nelle richieste di Servizio o durante il processo di gestione di qualsiasi richiesta di Servizio, o qualsiasi Dato personale che possa essere accessibile o a disposizione del Responsabile del trattamento in caso di concessione di un accesso temporaneo o permanente da parte del Titolare del trattamento dei dati ai propri Prodotti o dispositivi nel corso dell’esecuzione dei Servizi.
   4. con il termine “Interessato” si intende qualsiasi persona fisica che sia un utente autorizzato dei dispositivi del Titolare del trattamento dei dati e/o dei dipendenti o degli appaltatori del Titolare del trattamento dei dati e, se applicabile, delle entità affiliate, nonché qualsiasi persona i cui dati possano essere forniti o messi a disposizione dal Titolare del trattamento dei dati del Responsabile del trattamento nel corso dell’esecuzione dei Servizi.
   5. con l’espressione “attività di elaborazione” si intende ogni operazione necessaria ai fini dell’elaborazione dei dati.
   6. con l’espressione “Istruzioni documentate” si intendono le istruzioni per il Trattamento dei dati personali descritte nei Termini, nei relativi Allegati, nella documentazione del Servizio o nelle richieste di fornitura del Servizio.
3. Obblighi del Responsabile. Il Responsabile del trattamento sarà obbligato a:
   1. elaborare i Dati personali allo scopo di fornire i Servizi in conformità dei Termini e solo sulla base delle Istruzioni documentate, compreso il trasferimento dei Dati personali in un Paese terzo, salvo nel caso in cui sia richiesto dalla legislazione dell’UE o degli Stati Membri o dalla legislazione del Regno Unito. In questi casi, il Responsabile del trattamento informerà il Titolare del trattamento dei dati di tale requisito legale prima del trattamento, a meno che tale legge non impedisca il trattamento di tali informazioni per importanti motivi di interesse pubblico.
   2. istruire le persone autorizzate a elaborare i Dati personali (qui nel prosieguo denominate “Persone autorizzate”) sui rispettivi diritti e obblighi ai sensi del GDPR, sulla loro responsabilità in caso di violazione degli obblighi e garantire che le Persone autorizzate al trattamento dei Dati personali siano state vincolate alla riservatezza e al rispetto delle Istruzioni documentate,
   3. Adottare tutte le misure correlate alla protezione del trattamento dei dati previste ai sensi dell’Art. 32 del GDPR, tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e degli scopi del trattamento, nonché del rischio della variabile probabilità e gravità per i diritti e le libertà delle persone fisiche, allo scopo di garantire un livello di protezione durante l’elaborazione dei Dati personali del Titolare del trattamento dei dati che sia proporzionale al rischio.
   4. Tenendo conto della natura del trattamento, assistere il Titolare del trattamento dei dati mediante appropriate misure tecniche e organizzative, nella misura ragionevolmente possibile, per l’adempimento dell’obbligo dello stesso di rispondere alle richieste di esercizio dei diritti dell’Interessato di cui al Capitolo III del GDPR.
   5. Su richiesta, fornire ragionevole assistenza al Titolare del trattamento dei dati nell’assicurare la conformità agli obblighi previsti dagli Articoli dal 32 al 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento. Il Responsabile del trattamento comunicherà al Titolare del trattamento dei dati qualsiasi violazione del trattamento dei dati personali o della sicurezza dei dati personali subito dopo il rilevamento. Il Responsabile del trattamento dovrà collaborare in misura ragionevole nell’ambito di un’indagine e nella correzione di tale violazione e dovrà adottare misure ragionevoli per limitare ulteriori conseguenze negative.
   6. Su scelta del Titolare del trattamento dei dati, rimuovere o restituire tutti i Dati personali elaborati per conto dello stesso entro 30 (trenta) giorni lavorativi dalla fine della fornitura dei Servizi correlati al trattamento e rimuovere le copie esistenti, a meno che la legislazione dell’UE o degli Stati membri dell’UE non preveda l’archiviazione di tali Dati personali. Il Titolare del trattamento dei dati si impegna a informare il Responsabile del trattamento in merito alla propria decisione entro dieci (10) giorni dalla fine del Periodo di trattamento. La presente disposizione non avrà alcun effetto sul diritto del Responsabile del trattamento di mantenere i Dati personali nella misura necessaria per gli scopi di archiviazione in termini di legislazione speciale o per finalità di creazione, esercizio o difesa di diritti in sede giudiziaria.
   7. Mantenere un registro aggiornato di tutte le categorie delle attività di trattamento dei dati che ha eseguito per conto del Titolare del trattamento dei dati,
   8. Mettere a disposizione del Titolare del trattamento dei dati tutte le informazioni necessarie per dimostrare la conformità nell’ambito dei Termini, dei relativi Allegati e della documentazione dei Servizi e, se strettamente necessario, consentire i controlli eseguiti dallo stesso o da un altro revisore da lui incaricato in relazione al trattamento eseguito nell’ambito del presente Accordo. In caso di audit o di controllo del Trattamento dei dati personali da parte del Titolare del trattamento dei dati, il Titolare del trattamento dei dati è tenuto a informare per iscritto il Responsabile del trattamento almeno dieci (10) giorni prima dell’audit o del controllo pianificato.
4. Incarico di un altro responsabile del trattamento dei dati. Il Responsabile del trattamento dei dati è generalmente autorizzato a incaricare un altro Responsabile del trattamento (“Altro responsabile”) a svolgere specifiche attività di trattamento dei dati in conformità dei Termini, principalmente il presente Accordo e la documentazione dei Servizi. Il Responsabile del trattamento garantirà che eventuali Altri responsabili saranno vincolati dagli stessi obblighi sanciti nel presente Accordo. Anche in questo caso, il Responsabile del trattamento rimarrà pienamente responsabile nei confronti del Titolare del trattamento dei dati per il trattamento dei dati personali da parte dell’Altro responsabile. Ai fini dell’erogazione dei Servizi, il Responsabile del trattamento si avvale del Distributore in qualità di Altro responsabile. Il Responsabile del trattamento dei dati è tenuto a informare il Titolare del trattamento dei dati in merito a eventuali variazioni desiderate relative all’aggiunta o alla sostituzione di altri Responsabili, dando in tal modo al Titolare del trattamento dei dati la possibilità di obiettare in merito a tali variazioni. Eventuali obiezioni avanzate nei confronti di un nuovo Altro responsabile dovranno essere ricevute entro sette (7) giorni lavorativi dalla notifica, altrimenti il nuovo Altro responsabile sarà considerato accettato dal Titolare del trattamento. Nel caso in cui il Titolare del trattamento dei dati sollevi un’obiezione a un nuovo Altro responsabile e l’obiezione non possa essere risolta in modo soddisfacente entro un termine ragionevole, il Titolare del trattamento dei dati può risolvere il presente Accordo senza alcuna sanzione previo avviso scritto di 30 (trenta) giorni inviato al Responsabile del trattamento. Qualora non venga posto rimedio all’obiezione del Titolare del trattamento decorsi 30 (trenta) giorni dalla presentazione e qualora non sia stata ricevuta alcuna comunicazione di risoluzione, si considera che il Titolare del trattamento abbia accettato il nuovo Altro responsabile.
5. Territorio del trattamento. Il Responsabile del trattamento farà del suo meglio per garantire che il trattamento venga eseguito nello Spazio economico europeo o in un Paese considerato sicuro per decisione della Commissione europea sulla base della decisione del Titolare del trattamento dei dati. Le Clausole contrattuali standard (disponibili qui: Clausole contrattuali standard | Servizi ESET | Guida online ESET) si applicheranno in caso di trasferimenti e di elaborazione dei Dati personali al di fuori dello Spazio economico europeo o di un Paese considerato sicuro per decisione della Commissione europea.
6. Protezione. Il Responsabile è certificato ISO 27001 e utilizza la struttura ISO 27001 per implementare una strategia di protezione con difesa a strati nell’applicazione dei controlli di sicurezza a livello della rete, dei sistemi operativi, dei database, delle applicazioni, del personale e dei processi operativi. La conformità ai requisiti normativi e contrattuali viene periodicamente valutata e revisionata analogamente ad altre infrastrutture e processi del Responsabile del trattamento e vengono adottate misure atte a garantire la conformità su base continuativa. Il Responsabile del trattamento ha organizzato la protezione dei dati utilizzando il sistema ISMS in base allo standard ISO 27001. La documentazione sulla protezione include principalmente documenti sulle politiche per la protezione delle informazioni, la sicurezza fisica e quella delle apparecchiature, la gestione degli incidenti, la gestione della perdita dei dati e degli incidenti di sicurezza e cosi via.
7. Misure tecniche e organizzative. Il Responsabile del trattamento dei dati proteggerà i Dati personali da danni e distruzioni casuali e illegali, perdite casuali, modifiche, accessi e divulgazioni non autorizzati. A tal fine, il Responsabile del trattamento adotterà adeguate misure tecniche e organizzative corrispondenti alla modalità di trattamento dei dati e al rischio presentato dal trattamento in termini di diritti degli Interessati in conformità dei requisiti del GDPR. Una descrizione dettagliata delle misure tecniche e organizzative è fornita nella documentazione di protezione correlata al Prodotto specifico.
8. Informazioni di contatto del Responsabile. Tutte le notifiche, richieste e altre comunicazioni riguardanti la protezione dei dati personali dovranno essere inviate a ESET, spol. s.r.o., all’attenzione di: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.