Termini e Condizioni del Servizio DINO by Paper-Box
per l'Utente Professionista
​
Il presente contratto (di seguito, i “Termini e Condizioni”) definisce i termini e le condizioni generali di utilizzo del servizio DINO offerto da Paperbox Health S.r.l. (di seguito, per brevità “PaperBox”), tramite il portale web www.paper-box.it, dino.paperbox.health o www.paperbox.health (di seguito anche la “Piattaforma”).
​
​1. Definizioni
Oltre alle parole specificamente definite nel testo, caratterizzate dalla prima lettera maiuscola, le parole ed espressioni che seguono presentano il significato di seguito esposto:
“Piattaforma”: il portale web raggiungibile attraverso www.paper-box.it, dino.paperbox.health o www.paperbox.health.
“Utente”: l’Utente Professionista o Privato che accede alla Piattaforma e/o ai Servizi.
“Utente Professionista”: il terapista registrato sulla Piattaforma, che accede alla stessa per offrire all’Utente Privato e/o all'Utente Minore la possibilità di accedere al servizio DINO.
“Utente Privato”: il soggetto maggiorenne che accede alla Piattaforma ed ai Servizi e li utilizza, in base alle istruzioni ricevute del Professionista.
“Utente Minore”: il soggetto minorenne che, sotto la supervisione ed il controllo del Professionista o dell’Utente Privato, accede al servizio DINO.
“Registrazione”: procedura di registrazione al Sito mediante la creazione di un Account. Tutti i riferimenti contenuti nei presenti Termini e Condizioni ad una registrazione (“registrato”/“registrata”/“registrarsi”/…), salvo diversamente previsto, devono intendersi relativi alla Registrazione qui definita.
“DINO” "Servizio": servizio fornito da PaperBox consistente in una serie di videogiochi "web-based" utilizzato per l'identificazione dei fattori di rischio della dislessia, offerto da Paper Box tramite la Piattaforma e disciplinato dai presenti Termini e Condizioni e da eventuali specifici accordi.
“Servizi del Professionista”: i servizi offerti dal Professionista direttamente all’Utente Privato.
“Account Utente”: l’account personale creato dall’Utente.
“Account Minore”: l’account dell’utente Minore creato e gestito dal Professionista e/o dall’Utente Privato.
2. Introduzione e descrizione del servizio
DINO by Paperbox (da qui in poi “DINO”) è uno strumento digitale concepito per aiutare i professionisti nel processo di identificazione precoce dei DSA nei soggetti minori. Ne consegue che la Piattaforma ed il Servizio DINO non possono costituire, né sostituire il parere di un medico e non costituiscono in alcun modo uno strumento diagnostico, consulenziale o trattamento medico.
DINO è un Servizio "web-based" è un Servizio consistente in una serie di videogiochi che, attraverso l'analisi della sessione del bambino, sono in grado di supportare l’Utente Professionista nella sua attività di identificazione degli indicatori di rischio correlati alla dislessia, come riportati nelle Linee Guida Nazionali DSA del 2021.
DINO può essere utilizzato da chiunque, ma per garantire una buona efficacia nell'identificazione dei fattori di rischio della dislessia, è consigliata la somministrazione ai bambini tra i 4 e gli 8 anni.
Prima di iniziare ad utilizzare la Piattaforma e prima della registrazione alla stessa, nell'ambito della nostra politica di correttezza e trasparenza ed in adempimento degli obblighi di legge, si invita l’Utente a leggere con attenzione i presenti Termini e Condizioni che regolano l'utilizzo dei servizi offerti. Si precisa che i presenti Termini e Condizioni devono intendersi integrati da ogni nota, avviso legale, informativo o disclaimer pubblicati sulla Piattaforma.
L'accesso, la navigazione e l'utilizzo della Piattaforma nelle funzioni di questo liberamente accessibili (senza previa registrazione) implicano, in ogni caso, l’espressa accettazione dei presenti Termini e Condizioni nella parte in cui regolano tali funzioni, nonché il conseguente obbligo per ogni utente di conformarsi ad esse.
I presenti Termini e Condizioni sono interamente vincolanti per l’Utente che si registri alla Piattaforma. Nel caso in cui l’Utente non intenda accettare i presenti Termini e Condizioni, in tutto o in parte, ovvero i termini e condizioni contenuti in qualsiasi altra nota, avviso legale, informativa o disclaimer presenti sulla Piattaforma, è invitato a non utilizzare la stessa, né il servizio DINO.
Laddove l’Utente acceda, navighi e utilizzi la Piattaforma per conto di terzi, dichiara e garantisce di avere il potere di rappresentare, obbligare e vincolare i terzi stessi; in tali casi, l'accettazione dei presenti Termini e Condizioni si intenderà effettuata anche per i terzi.
La Piattaforma può consentire l'accesso a servizi e siti web di terze parti (complessivamente e individualmente indicati come "Servizi Terze Parti"). L'utilizzo della Piattaforma e dei Servizi Terze Parti può richiedere l'accesso a Internet o l’accesso a servizi di terze parti. Alcuni Servizi Terze Parti potranno essere regolati da termini diversi o aggiuntivi, che l’Utente dovrà leggere ed accettare prima di utilizzare.
Il presente accordo integra, altresì, ai sensi di quanto stabilito dall’art. 28 del GDPR l’Accordo sul Trattamento dei Dati tra Paper Box ed il Professionista, in qualità di Titolare e Responsabile del Trattamento per quanto rispettivamente di competenza, che l’Utente Professionista dichiara di accettare unitamente all’accettazione dei presenti Termini e Condizioni (vedasi Sezione Accordo sul Trattamento dei Dati Personali).
3. Requisiti e condizioni per l'utilizzo del Servizio
La Piattaforma ed i Servizi offerti sono destinati a persone fisiche che abbiano compiuto il diciottesimo anno di età, aventi la piena capacità di agire e di stipulare validamente contratti ed accordi per la prestazione di servizi, secondo quanto di seguito previsto.
I Servizi del Professionista verranno offerti direttamente all’Utente Privato o Minore venendosi ad instaurare un rapporto professionale diretto. In tale rapporto professionale, Paper Box non sarà in alcun modo responsabile per i danni che dovessero derivare dalle condotte del Professionista nei confronti dell’Utente o dei soggetti da lui/lei rappresentati.
L'Utente si impegna a fornire informazioni accurate, aggiornate e complete durante la Registrazione e durante il rapporto professionale con il Professionista e, nel caso vi dovessero essere delle variazioni nei dati forniti, sarà esclusivo onere e responsabilità dell'Utente informare Paper Box di tali variazioni con tempestività.
L'Utente dichiara, che i dati personali forniti a Paper Box e quelli sanitari forniti direttamente ed esclusivamente al Professionista sono veri, corretti, aggiornati, ad esso riferiti e/o alla persona rappresentata; nel caso di Utente che operi in rappresentanza di terzi, che si tratti di dati inseriti con il consenso del terzo, assumendo ogni responsabilità in ordine alla verità, correttezza e aggiornamento delle informazioni fornite.
Gli Utenti riconoscono e accettano che Paper Box non svolga un controllo sulle informazioni inserite nei profili se non a campione o su specifica segnalazione di altro Utente registrato o delle pubbliche autorità.
L’Utente Privato comprende e riconosce tuttavia che la fornitura e l’esecuzione dei Servizi del Professionista da parte di quest’ultimo non dipendono da Paper Box, che, pertanto, non risponde a qualsiasi titolo della mancata fruizione del Servizio e/o del Servizio del Professionista oppure dei risultati da esso derivanti.
4. Account Utente e Registrazione
Per accedere alla Piattaforma e fruire dei Servizi è necessario creare un Account Utente. La creazione di un Account Utente è consentita solo ai soggetti che hanno compiuto 18 anni ed avviene mediante registrazione sulla Piattaforma.
Gli Account Utente per Utenti Minori degli anni 18 (“Account Minori”) possono essere creati solo da un Utente Professionista o da un Utente Privato (i.e. genitore, tutore o esercente patria potestà sul minore). Gli Account Minori ed il loro corretto utilizzo sono sotto la completa responsabilità e controllo dell’Utente Professionista o Privato che li ha creati.
Per fruire dei Servizi è richiesta la Registrazione alla Piattaforma con la conseguente creazione di un Account Utente. La Registrazione è gratuita. La Registrazione consiste nella creazione di un Account che è personale e incedibile, protetto da password, e comporta la comunicazione a Paper Box di alcune informazioni e dati anche di carattere personale (si veda sezione “Trattamento dati personali” per maggiori informazioni). A seguito del completamento della Registrazione, l’Utente potrà in qualsiasi momento accedere al suo Profilo e accedere ai propri dati.
L'Utente potrà procedere in qualsiasi momento alla cancellazione del proprio Account o degli Account da questi gestiti.
​5. Condizioni di vendita
Le presenti condizioni generali di vendita disciplinano la vendita del servizio DINO tramite la Piattaforma. L'Utente Professionista è invitato a leggere attentamente le presenti condizioni prima di procedere ad un qualsiasi acquisto. Effettuando un qualsiasi acquisto, l'Utente Professionista accetta integralmente le presenti condizioni generali di vendita.
Nella piattaforma sono fornite schermate e istruzioni che guidano l'Utente Professionista nel processo di acquisto, dalla scelta dei Prodotti alla conferma dell'acquisto.
Se l'Utente Professionista desidera acquistare una o più partite di DINO, potrà farlo aggiungendo il numero desiderato di Crediti al proprio carrello. Ogni partita al web-game DINO corrisponde a n.1 Credito. Una volta selezionate tutte le partite al web-game DINO che intende acquistare, l'Utente Professionista potrà chiudere il proprio carrello ed inoltrare l'ordine. A questo punto apparirà una pagina riassuntiva dei servizi selezionati, il loro prezzo e le opzioni.
Tutti i prezzi riportati si intendono senza l'IVA applicabile ai sensi di legge. l'IVA viene aggiunta sul totale e comunicata in maniera chiara all'utente al momento di checkout.
All'Utente Professionista verrà richiesto di scegliere il metodo di pagamento. Nella stessa pagina, troverà il tasto per acquistare il numero di partite selezionate, che dovrà cliccare per inoltrare l'ordine.
L'ordine dell'Utente Professionista verrà quindi considerato come una proposta contrattuale di acquisto rivolta a Paper Box per i Crediti-Partite selezionati, considerati ciascuno singolarmente. Al ricevimento dell'ordine, all'Utente Professionista verrà automaticamente accreditato il numero di Crediti-partite acquistati. Il contratto di vendita con Paper Box si concluderà solamente al momento dell’accettazione dell'ordine.
L’Utente Professionista acquista unicamente una licenza per l'uso del Servizio DINO. L’Utente Professionista può utilizzare il Servizio web-game DINO acquistato in base alle modalità descritte nella licenza, ma non avviene alcun trasferimento della proprietà intellettuale del software.
L'Utente Professionista accetta di ricevere le fatture in formato elettronico. Per maggiori informazioni sulle fatture elettroniche e su come ottenerle, può contattare Paper Box al seguente indirizzo: info@paper-box.it.
Se l'Utente Professionista elimina o chiude l'account utilizzato per l'acquisto, potrebbe perdere l'accesso al Servizio e la possibilità di usarlo.
L'Utente Professionista può annullare i propri acquisti se cambia idea, se lo richiede in determinate circostanze ed entro un certo periodo di tempo. Paper Box si riserva la facoltà di valutare discrezionalmente se le circostanze ed i tempi della richiesta meritino o meno l’accoglimento della richiesta di annullamento.
6. Metodi di pagamento
L’Utente Professionista necessita di un Account Professionista per usare DINO ed è tenuto ad accedere al suo Account nonché ad avere un metodo di pagamento valido associato allo stesso. I metodi di pagamento accettati sono esclusivamente quelli elencati nella procedura di acquisto del Servizio DINO presenti sulla Piattaforma. Qualora il titolare di ciascuno di tali strumenti terzi dovesse rifiutare l'autorizzazione al pagamento, Paper Box non potrà confermare l'acquisto dei Servizi.
Qualora ci fosse un problema nell'effettuare l'addebito sul metodo di pagamento selezionato, Paper Box potrà effettuare l'addebito su qualsiasi altro metodo di pagamento valido associato all’Account. E’ possibile accedere e gestire le proprie opzioni di pagamento nella relativa sezione del proprio Account Professionista.
Paper Box memorizza i dati della carta di credito, della carta di debito utilizzati per una transazione. Tali informazioni verranno utilizzate per gli acquisti futuri, a meno che l’Utente Professionista non decida di eliminarle dalle impostazioni dell'account. Paper Box non conserva il codice di sicurezza a 3 cifre della carta di pagamento. Pertanto, sarà necessario reinserirlo per gli acquisti futuri.
Per altri Metodi di pagamento approvati, potrebbe essere richiesto di inserire i dati ogni volta che l’Utente Professionista effettui un acquisto.
7. Licenza
La Piattaforma è concessa all’Utente in licenza d’uso non esclusiva. All’Utente è concesso il diritto temporaneo, non esclusivo e non cedibile, per la durata dell’accordo, di utilizzare la Piattaforma in conformità con i presenti Termini e Condizioni. L’Utente ha il diritto di accedere al servizio attraverso la web app, utilizzando, entro i limiti consentiti, le funzionalità immediatamente e direttamente rese disponibili dalla Piattaforma. Qualora la Piattaforma dovesse includere o essere fornita con elementi di software open source, si evidenza che detti elementi sono soggetti alle condizioni di licenza, individuate nella relativa documentazione. I diritti sugli elementi di software open source sono di titolarità dei rispettivi detentori, ivi indicati.
8. Limitazioni all'uso di DINO
È proibita l'emulazione del programma DINO.
Nei limiti massimi consentiti dalla legge, è proibito decodificare, decompilare, disassemblare o copiare qualsiasi parte del programma DINO o creare lavori derivati o in altro modo cercare di ricreare il codice sorgente dal codice del Software.
È proibito utilizzare qualsiasi metodo per aggirare o disattivare qualsiasi meccanismo di crittografia, sicurezza o autenticazione per i sistemi autorizzati oppure per qualsivoglia software, o per ottenere accesso non autorizzato o interferire con qualsiasi account, servizio, hardware, software o network collegato alla Piattaforma.
È proibito utilizzare il programma DINO o sistemi autorizzati rubati o acquisiti illegalmente.
9. Durata
I presenti Termini e Condizioni hanno una durata corrispondente al tempo intercorrente tra l’attivazione dell’Account e la sua disattivazione, per qualsiasi ragione essa avvenga.
10. Forza maggiore
Paper Box non sarà responsabile per l’inadempimento delle proprie obbligazioni qualora questo sia dovuto a eventi che siano estranei al suo controllo, includendo, a mero titolo esemplificativo, pandemie, guerre, inondazioni, cataclismi e qualsiasi altra causa che Paper Box non abbia la possibilità di prevenire usando la normale diligenza.
11. Notifiche
L’Utente concorda nel ricevere comunicazioni da parte di Paper Box, ovvero notifiche relative al servizio e alla Piattaforma, incluso eventuali alterazioni ai presenti Termini di Utilizzo e all'Informativa sulla Privacy, all’indirizzo di posta elettronica inserito durante la procedura di registrazione dell’account.
12. Modifiche
Nel caso si rendesse necessario aggiornare la Piattaforma, i Servizi o i presenti Termini e Condizioni, saranno adottate le misure appropriate per informare l’Utente, coerentemente con l'importanza dei cambiamenti effettuati. L’accesso o l’uso continuato della Piattaforma o del Servizio dopo l'entrata in vigore degli aggiornamenti implicano l’accettazione della versione più aggiornata del contenuto dei Termini e Condizioni. Qualora l’Utente non dovesse concordare con le modifiche, gli aggiornamenti, le integrazioni ai presenti Termini e Condizioni apportati, lo si invita a non utilizzare la Piattaforma e qualora registrato a cancellare la propria utenza.
Invalidità parziale
Se qualsiasi disposizione dei presenti Termini e Condizioni dovesse risultare invalida o inefficace, per qualsiasi ragione o in qualsiasi misura, questa invalidità o inefficacia non avrà alcun effetto su, né renderà invalide o inefficaci, le restanti disposizioni dei presenti Termini e Condizioni e l’applicazione di tale disposizione sarà effettuata nella massima misura consentita dalla legge.
13. Cessione
Paper Box si riserva la facoltà di cedere, anche parzialmente, a terzi, il presente accordo, e i diritti e gli obblighi dallo stesso derivanti, in qualsiasi momento, e senza alcuno specifico consenso da parte dell’utente. È fatto divieto all’Utente di cedere i presenti Termini e Condizioni.
In caso di violazione da parte dell’Utente del divieto di cessione, la cessione si intenderà come non avvenuta e quindi priva di effetti nei rapporti con Paper Box, che avrà la facoltà di ritenere risolti i presenti Termini e Condizioni.
14. Garanzie e responsabilità
Paper Box non garantisce che la Piattaforma o il Servizio operino sempre senza errori o senza interruzioni. Salvo quanto espressamente e specificamente previsto nel presente accordo, e nella misura massima consentita dalla legge applicabile, Paper Box non presta alcuna garanzia (esplicita o implicita) in relazione alla Piattaforma e al Servizio, incluse, in via esemplificativa e non esaustiva, garanzie di qualità, di adeguatezza per uno scopo specifico, o qualsiasi altra garanzia implicita derivante dalla prassi o dagli usi commerciali. L’Ente, sempre nella misura massima consentita dalla legge applicabile, non presterà alcuna garanzia relativamente alla compatibilità della Piattaforma con particolari piattaforme e relativamente agli effetti che potranno verificarsi sulla funzionalità di software, servizi o prodotti di terze parti, in ragione dell' adozione della Piattaforma e del Servizio.
Fermo restando l'impegno nel cercare di garantire la continuità della Piattaforma e dei Servizi, Paper Box non presta alcuna garanzia e, nei limiti previsti dalla normativa applicabile, non sarà in alcun modo responsabile, per le ipotesi di ritardi, imprecisioni nell’aggiornamento delle informazioni, malfunzionamenti, interruzioni e/o sospensioni dell'accesso ai dati causati da:
-
errato utilizzo da parte dell’Utente della Piattaforma o dei Servizi;
-
malfunzionamenti di qualsiasi tipo del dispositivo mobile utilizzato;
-
interruzioni totali o parziali, o in ogni caso inefficienze, dei servizi forniti dagli operatori di telecomunicazioni o da qualunque altro soggetto terzo addetto alla trasmissione dei dati;
-
operazioni di manutenzione effettuate da Paper Box al fine di salvaguardare l'efficienza e la sicurezza della Piattaforma e dei Servizi (di tali interruzioni dei Servizi sarà data, qualora possibile, preventiva comunicazione);
-
qualsiasi altra causa non imputabile a Paper Box.
​
La Piattaforma ed il Servizio DINO sono dotati di efficaci misure di sicurezza e di procedure di autenticazione finalizzate a consentire l'accesso ai dati esclusivamente a favore dell’Utente legittimato ad accedervi. L’Utente è tenuto all'efficace e scrupolosa custodia delle credenziali di autenticazione e dei codici di sicurezza necessari per accedere alla Piattaforma ed ai Servizi, a non comunicare a soggetti terzi le predette credenziali e i codici, e, ove consentito, a modificare e aggiornare gli stessi periodicamente, assumendo ogni responsabilità al riguardo. L’Utente accetta, altresì, che qualora dovesse procedere a sua discrezione a esportare al di fuori della Piattaforma, memorizzandoli sul Suo dispositivo, documenti e informazioni estratti dalla stessa, le misure di sicurezza implementate nella Piattaforma e nei Servizi non saranno più efficaci per proteggere i tali dati, i quali potranno essere soggetti al rischio di accesso abusivo da parte di soggetti non autorizzati. L’Utente si assume ogni responsabilità riguardo all’efficace custodia del suo dispositivo mobile, all'eventuale applicazione di altri strumenti (quali codici di accesso o sistemi biometrici) finalizzati a prevenire accessi non consentiti al dispositivo stesso, e accetta che Paper Box non sarà in alcun modo, e in nessun caso, responsabile di eventuali accessi abusivi al suo dispositivo e comunque causati da imperizia nella gestione dello stesso, delle credenziali di autenticazione, e dei codici di sicurezza. Ugualmente Paper Box non sarà in nessun caso responsabile degli eventuali danni arrecati ai dati di titolarità dell’Utente dalla presenza, sul dispositivo di quest’ultimo, di codici maligni (virus informatici, trojan horses, worms, o altra tipologia di malware) e/o dall'interazione con software di terze parti.
Le predette limitazioni di responsabilità si applicano nella misura massima consentita dalla legge applicabile.
15. Manleva da parte del Professionista
Il Professionista si impegna a manlevare e a tenere indenne Paper Box, nonché gli esponenti della predetta e tutte le società del gruppo cui fa parte la Società ed i loro esponenti, da qualsiasi pretesa e/o rivendicazione e/o eccezione e/o richiesta risarcitoria, comprese eventuali spese legali, causate e/o derivanti dalla violazione da parte degli Utenti dei presenti Termini e Condizioni e/o derivanti da un uso non corretto/illecito e/o abusivo del software stesso o dalla violazione di qualsiasi legge e/o regolamento applicabile e/o diritto di terzi.
16. Limitazione di responsabilità
L’Utente riconosce ed accetta che Paper Box non è parte del rapporto professionale Professionista-Utente e che tale rapporto professionale ha luogo esclusivamente tra Utente Professionista ed Utente Privato, in ossequio alle condizioni stabilite di volta in volta tra le parti.
Resta inteso che in nessun caso Paper Box potrà essere ritenuto responsabile con riferimento alla qualità, caratteristiche e/o disponibilità dei Servizi del Professionista.
Il Professionista e l’Utente Privato riconoscono e accettano rispettivamente che Paper Box:
-
non potrà essere ritenuta responsabile né a titolo di colpa, né a titolo di dolo, per qualunque danno diretto e/o indiretto, patrimoniale e non patrimoniale, incidentali, consequenziali, che dovesse derivare dalla condotta e attività del Professionista;
-
non sarà pertanto responsabile per le eventuali perdite subite, il mancato guadagno o qualsiasi altro danno che non sia conseguenza immediata e diretta del proprio inadempimento o che non fosse prevedibile all'atto della conclusione del contratto di vendita (fatto salvo il caso di dolo o colpa grave).
-
non potrà essere ritenuta responsabile nei confronti del Professionista per un importo superiore a quanto versato dal Professionista per il servizio fornito.
17. Diritti di proprietà intellettuale
Paper Box è titolare esclusiva dei segni distintivi Paper Box (di seguito il “Marchio”) e dei nomi di dominio “paper-box.it”.
La Società è titolare e/o licenziataria di tutti i diritti di proprietà intellettuale e industriale relativi al Sito, alla Piattaforma e a quanto ivi pubblicato e caricato (i “Diritti IP”), ivi inclusi, a titolo esemplificativo, i testi, i disegni, le foto, i video, le banche dati, il know-how, i software, i dati e le informazioni contenute o connesse allo stesso diverse dai Contenuti ai sensi dei presenti Termini e Condizioni per i quali Paper Box abbia ottenuto autorizzazione d’uso da terzi (a titolo esemplificativo contenuti concessi in licenza da fornitori).
Nessun utilizzo del Marchio, dei Nomi di Dominio, dei Diritti IP è consentito, in assenza di previa autorizzazione scritta della Società.
L'Utente prende atto che, la riproduzione, la duplicazione, la copia, la vendita, l'esecuzione di framing e/o scraping, la rivendita, lo sfruttamento in qualsiasi forma, sia a titolo oneroso che gratuito, a fini privati o commerciali, di tutto o di singole parti, della Piattaforma senza la preventiva autorizzazione scritta di Paper Box non è consentita e sarà considerata ad ogni effetto di legge violazione della normativa in materia di proprietà intellettuale ed industriale. Gli unici utilizzi consentiti sono gli usi strettamente necessari ai fini della fruizione dei Servizi.
Pertanto, l’Utente non potrà:
-
effettuare reverse engineering, decompilare, disassemblare, modificare o creare lavori derivati basati sulla Piattaforma o su qualunque porzione di essa;
-
aggirare i sistemi informatici usati da Paper Box o dai suoi licenziatari per proteggere il contenuto accessibile tramite di essa;
-
utilizzare qualunque robot, spider, applicazione di ricerca e/o di reperimento di siti, ovvero qualunque altro dispositivo, processo o mezzo automatico per accedere, recuperare, effettuare scraping o indicizzare qualunque porzione della Piattaforma o dei suoi contenuti;
-
affittare, licenziare o sublicenziare la Piattaforma;
-
utilizzare la Piattaforma in qualunque altra modalità impropria tale da violare i presenti Termini e Condizioni;
-
diffamare, offendere, molestare, mettere in atto pratiche minatorie, minacciare o in altro modo violare i diritti di altri attraverso la Piattaforma;
-
diffondere o pubblicare contenuti illegali, osceni, illegittimi, diffamatori o inappropriati aventi ad oggetto la Piattaforma;
-
appropriarsi illecitamente dell'account in uso presso altro Utente.
18. Trattamento dati personali
PaperBox procederà al trattamento dei dati personali degli Utenti nel rispetto della normativa vigente in materia di privacy come definito in dettaglio nell'informativa sul trattamento dei dati personali, "Privacy Policy".
19. Disposizioni finali
Qualora una o più disposizioni dei presenti Termini e Condizioni venga dichiarata invalida o inefficace interamente o parzialmente per una qualsiasi ragione, sarà scindibile dalle altre e non inciderà sulla validità ed efficacia degli altri Termini e Condizioni ovvero sulla loro esecuzione nella loro interezza o di qualsiasi altra clausola o disposizione.
Le comunicazioni da trasmettere all’Utente registrato verranno effettuate mediante lettera raccomandata, lettera semplice, attraverso il portale ovvero tramite posta elettronica agli indirizzi indicati dall'Utente in sede di Registrazione. Le comunicazioni da trasmettere a Paper Box dovranno essere effettuate mediante il Servizio Clienti attraverso la pagina di supporto.
L'eventuale tolleranza di Paper Box in merito a comportamenti dell'Utente posti in essere in violazione delle disposizioni contenute nelle presenti Condizioni Generali non costituisce rinuncia ai diritti derivanti dalle disposizioni violate né a qualsivoglia diritto e facoltà di legge e di contratto, nonché al diritto di esigere l'esatto adempimento di tutti i presenti Termini e Condizioni qui previsti.
20. Legge applicabile e Foro competente
I presenti Termini e Condizioni, gli eventuali contratti per singoli Servizi, nonché ogni e qualsivoglia rapporto tra la Società e gli Utenti che tragga origine dall’utilizzo del Portale o della Piattaforma sono regolati dalla legge Italiana.
Competente a conoscere delle controversie sull'applicazione e interpretazione dei Presenti Termini e Condizioni è il Tribunale di Torino in via esclusiva, ad eccezione delle ipotesi in cui la legge preveda un Foro diverso esclusivo ed inderogabile.
21. Contatti
Paperbox Health S.r.l.
Sede Legale: via Cernaia 24, Torino, 10122, Partita IVA 12724620013
Email: info@paper-box.it
ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI
Il presente Accordo sul trattamento dei dati personali (“DPA”) (basato su Clausole Contrattuali Tipo della Commissione Europea tra titolari e responsabili del trattamento ex art. 28(7) del Regolamento Europeo 2016/679 - GDPR è incorporato ed integra i presenti Termini e Condizioni di Servizio ("Termini e Condizioni") sottoscritti dalle parti, e afferisce al trattamento dei Dati personali effettuato da Paper Box per conto del Professionista.
Qualora non diversamente definito nel presente DPA, tutti i termini in maiuscolo utilizzati avranno il significato loro attribuito nei Termini e Condizioni.
​
SEZIONE I
Clausola 1 - Scopo e ambito di applicazione
-
Scopo delle presenti clausole contrattuali tipo (di seguito "clausole") è garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
-
I titolari del trattamento e i responsabili del trattamento di cui all'allegato I hanno accettato le presenti clausole al fine di garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679.
-
Le presenti clausole si applicano al trattamento dei dati personali specificato all'allegato II.
-
Gli allegati da I a IV costituiscono parte integrante delle clausole.
-
Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto il titolare del trattamento a norma del regolamento (UE) 2016/679.
-
Le presenti clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del regolamento (UE) 2016/679.
Clausola 2 - Invariabilità delle clausole
-
Le parti si impegnano a non modificare le clausole se non per aggiungere o aggiornare informazioni negli allegati.
-
Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio o di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
Clausola 3 - Interpretazione
-
Quando le presenti clausole utilizzano i termini definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui al regolamento interessato.
-
Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
-
Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679 o che pregiudichi i diritti o le libertà fondamentali degli interessati.
Clausola 4 - Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Clausola 5 - Clausola di adesione successiva
-
Qualunque entità che non sia parte delle presenti clausole può, con l'accordo di tutte le parti, aderire alle presenti clausole in qualunque momento, in qualità di titolare del trattamento o di responsabile del trattamento, compilando gli allegati e firmando l'allegato I.
-
Una volta compilati e firmati gli allegati di cui alla lettera a), l'entità aderente è considerata parte delle presenti clausole e ha i diritti e gli obblighi di un titolare del trattamento o di un responsabile del trattamento, conformemente alla sua designazione nell'allegato I.
-
L'entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all'adesione.
SEZIONE II - OBBLIGHI DELLE PARTI
Clausola 6 - Descrizione del trattamento
I dettagli dei trattamenti, in particolare le categorie di dati personali e le finalità del trattamento per le quali i dati personali sono trattati per conto del titolare del trattamento, sono specificati nell'allegato II.
Clausola 7 - Obblighi delle parti
7.1. Istruzioni
-
Il responsabile del trattamento tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento. In tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto lo vieti per rilevanti motivi di interesse pubblico. Il titolare del trattamento può anche impartire istruzioni successive per tutta la durata del trattamento dei dati personali. Tali istruzioni sono sempre documentate.
-
Il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, le istruzioni del titolare del trattamento violino il regolamento (UE) 2016/679 o le disposizioni applicabili, nazionali o dell'Unione, relative alla protezione dei dati.
7.2. Limitazione delle finalità
Il responsabile del trattamento tratta i dati personali soltanto per le finalità specifiche del trattamento di cui all'allegato II, salvo ulteriori istruzioni del titolare del trattamento.
7.3. Durata del trattamento dei dati personali
Il responsabile del trattamento tratta i dati personali soltanto per la durata specificata nell'allegato II.
7.4. Sicurezza del trattamento
-
Il responsabile del trattamento mette in atto almeno le misure tecniche e organizzative specificate nell'allegato III per garantire la sicurezza dei dati personali. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati (violazione dei dati personali). Nel valutare l'adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati.
-
Il responsabile del trattamento concede l'accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l'attuazione, la gestione e il controllo del contratto. Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
7.5. Dati sensibili
Se il trattamento riguarda dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o dati relativi a condanne penali e a reati ("dati sensibili"), il responsabile del trattamento applica limitazioni specifiche e/o garanzie supplementari.
7.6 Documentazione e rispetto
-
Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole.
-
Il responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati conformemente alle presenti clausole.
-
Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e che derivano direttamente dal regolamento (UE) 2016/679 . Su richiesta del titolare del trattamento, il responsabile del trattamento consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un'attività di revisione, il titolare del trattamento può tenere conto delle pertinenti certificazioni in possesso del responsabile del trattamento.
-
Il titolare del trattamento può scegliere di condurre l'attività di revisione autonomamente o incaricare un revisore indipendente. Le attività di revisione possono comprendere anche ispezioni nei locali o nelle strutture fisiche del responsabile del trattamento e, se del caso, sono effettuate con un preavviso ragionevole.
-
Su richiesta, le parti mettono a disposizione della o delle autorità di controllo competenti le informazioni di cui alla presente clausola, compresi i risultati di eventuali attività di revisione.
7.7. Ricorso a sub-responsabili del trattamento
-
Il responsabile del trattamento non può subcontrattare a un sub-responsabile del trattamento i trattamenti da effettuare per conto del titolare del trattamento conformemente alle presenti clausole senza la previa autorizzazione specifica scritta del titolare del trattamento. Il responsabile del trattamento presenta la richiesta di autorizzazione specifica almeno 20 giorni prima di ricorrere al sub-responsabile del trattamento in questione, unitamente alle informazioni necessarie per consentire al titolare del trattamento di decidere in merito all'autorizzazione. L'elenco dei sub-responsabili del trattamento autorizzati dal titolare del trattamento figura nell'allegato IV. Le parti tengono aggiornato tale allegato.
-
Qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento per l'esecuzione di specifiche attività di trattamento (per conto del responsabile del trattamento), stipula un contratto che impone al sub-responsabile del trattamento, nella sostanza, gli stessi obblighi in materia di protezione dei dati imposti al responsabile del trattamento conformemente alle presenti clausole. Il responsabile del trattamento si assicura che il sub-responsabile del trattamento rispetti gli obblighi cui il responsabile del trattamento è soggetto a norma delle presenti clausole e del regolamento (UE) 2016/679.
-
Su richiesta del titolare del trattamento, il responsabile del trattamento gli fornisce copia del contratto stipulato con il sub-responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, il responsabile del trattamento può espungere informazioni dal contratto prima di trasmetterne una copia.
-
Il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento dell'adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con il responsabile del trattamento. Il responsabile del trattamento notifica al titolare del trattamento qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi contrattuali.
-
Il responsabile del trattamento concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora il responsabile del trattamento sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, il titolare del trattamento ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest'ultimo di cancellare o restituire i dati personali.
7.8. Trasferimenti internazionali
-
Qualunque trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del responsabile del trattamento è effettuato soltanto su istruzione documentata del titolare del trattamento o per adempiere a un requisito specifico a norma del diritto dell'Unione o degli Stati membri cui è soggetto il responsabile del trattamento, e nel rispetto del capo V del regolamento (UE) 2016/679.
-
Il titolare del trattamento conviene che, qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento conformemente alla clausola 7.7 per l'esecuzione di specifiche attività di trattamento (per conto del titolare del trattamento) e tali attività di trattamento comportino il trasferimento di dati personali ai sensi del capo V del regolamento (UE) 2016/679, il responsabile del trattamento e il sub-responsabile del trattamento possono garantire il rispetto del capo V del regolamento (UE) 2016/679 utilizzando le clausole contrattuali tipo adottate dalla Commissione conformemente all'articolo 46, paragrafo 2, del regolamento (UE) 2016/679, purché le condizioni per l'uso di tali clausole contrattuali tipo siano soddisfatte.
Clausola 8 - Assistenza al titolare del trattamento
-
Il responsabile del trattamento notifica prontamente al titolare del trattamento qualunque richiesta ricevuta dall'interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal titolare del trattamento.
-
Il responsabile del trattamento assiste il titolare del trattamento nell'adempimento degli obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti, tenuto conto della natura del trattamento. Nell'adempiere agli obblighi di cui alle lettere a) e b), il responsabile del trattamento si attiene alle istruzioni del titolare del trattamento.
-
Oltre all'obbligo di assistere il titolare del trattamento in conformità della clausola 8, lettera b), il responsabile del trattamento assiste il titolare del trattamento anche nel garantire il rispetto dei seguenti obblighi, tenuto conto della natura del trattamento dei dati e delle informazioni a disposizione del responsabile del trattamento:
-
l'obbligo di effettuare una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali ("valutazione d'impatto sulla protezione dei dati") qualora un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
-
l'obbligo, prima di procedere al trattamento, di consultare la o le autorità di controllo competenti qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio;
-
l'obbligo di garantire che i dati personali siano esatti e aggiornati, informando senza indugio il titolare del trattamento qualora il responsabile del trattamento venga a conoscenza del fatto che i dati personali che sta trattando sono inesatti o obsoleti;
-
gli obblighi di cui all'articolo 32 regolamento (UE) 2016/679.
-
Le parti stabiliscono nell'allegato III le misure tecniche e organizzative adeguate con cui il responsabile del trattamento è tenuto ad assistere il titolare del trattamento nell'applicazione della presente clausola, nonché l'ambito di applicazione e la portata dell'assistenza richiesta.
Clausola 9 - Notifica di una violazione dei dati personali
In caso di violazione dei dati personali, il responsabile del trattamento coopera con il titolare del trattamento e lo assiste nell'adempimento degli obblighi che incombono a quest'ultimo a norma degli articoli 33 e 34 del regolamento (UE) 2016/679, ove applicabile, tenuto conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.
9.1 Violazione riguardante dati trattati dal titolare del trattamento
In caso di una violazione dei dati personali trattati dal titolare del trattamento, il responsabile del trattamento assiste il titolare del trattamento:
-
nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il titolare del trattamento ne è venuto a conoscenza, se del caso/(a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche);
-
nell'ottenere le seguenti informazioni che, in conformità dell'articolo 33, paragrafo 3, del regolamento (UE) 2016/679, devono essere indicate nella notifica del titolare del trattamento e includere almeno:
-
la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
-
le probabili conseguenze della violazione dei dati personali;
-
le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali, se del caso anche per attenuarne i possibili effetti negativi.
-
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
-
nell'adempiere, in conformità dell'articolo 34 del regolamento (UE) 2016/679 all'obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
9.2 Violazione riguardante dati trattati dal responsabile del trattamento
In caso di una violazione dei dati personali trattati dal responsabile del trattamento, quest'ultimo ne dà notifica al titolare del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza. La notifica contiene almeno:
-
una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione);
-
i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;
-
le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
Le parti stabiliscono nell'allegato III tutti gli altri elementi che il responsabile del trattamento è tenuto a fornire quando assiste il titolare del trattamento nell'adempimento degli obblighi che incombono al titolare del trattamento a norma degli articoli 33 e 34 del regolamento (UE) 2016/679.
SEZIONE 6 - DISPOSIZIONI FINALI
Clausola 10 - Inosservanza delle clausole e risoluzione
-
Fatte salve le disposizioni del regolamento (UE) 2016/679, qualora il responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti clausole, il titolare del trattamento può dare istruzione al responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti clausole o non sia risolto il contratto. Il responsabile del trattamento informa prontamente il titolare del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
-
Il titolare del trattamento ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali conformemente alle presenti clausole qualora:
-
il trattamento dei dati personali da parte del responsabile del trattamento sia stato sospeso dal titolare del trattamento in conformità della lettera a) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
-
il responsabile del trattamento violi in modo sostanziale o persistente le presenti clausole o gli obblighi che gli incombono a norma del regolamento (UE) 2016/679;
-
il responsabile del trattamento non rispetti una decisione vincolante di un organo giurisdizionale competente o della o delle autorità di controllo competenti per quanto riguarda i suoi obblighi in conformità delle presenti clausole o del regolamento (UE) 2016/679.
-
Il responsabile del trattamento ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora, dopo aver informato il titolare del trattamento che le sue istruzioni violano i requisiti giuridici applicabili in conformità della clausola 7.1, lettera b), il titolare del trattamento insista sul rispetto delle istruzioni.
-
Dopo la risoluzione del contratto il responsabile del trattamento, a scelta del titolare del trattamento, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica a quest'ultimo di averlo fatto, oppure restituisce al titolare del trattamento tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell'Unione o dello Stato membro non richieda la conservazione dei dati personali. Finché i dati non sono cancellati o restituiti, il responsabile del trattamento continua ad assicurare il rispetto delle presenti clausole.
ALLEGATO I
ELENCO DELLE PARTI
Titolare del trattamento
Il Professionista, così come indicato nei Termini e Condizioni
Responsabile del trattamento
Paperbox Health S.r.l.
via Cernaia 24, Torino, 10122, Partita IVA 12724620013
Email info@paper-box.it
ALLEGATO II
DESCRIZIONE DEL TRATTAMENTO
II.1 Finalità del trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento:
La finalità del trattamento è la fornitura di DINO, così come descritto nei Termini e Condizioni in cui il presente DPA è allegato.
Le principali attività di trattamento fornite dal Responsabile del trattamento sono le seguenti:
Servizio
Attività di trattamento
DINO
-
Autenticazione dell’Utente Professionista
-
Gestione delle comunicazioni tra l’Utente Professionista e l’Utente Privato
-
Invio delle credenziali di accesso all’Utente Privato per accedere a DINO
-
Autenticazione e gestione dell’Account Utente
-
Raccolta, organizzazione, interconnessione, elaborazione dei dati degli Utenti per conto del Titolare del trattamento
-
Generazione e conservazione di report PDF scaricabili dal Professionista
-
Supporto tecnico
II.2. Il trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento riguarderà principalmente (natura del trattamento):
Il Responsabile del trattamento tratta i dati personali solo nella misura necessaria a fornire i propri Servizi così come descritti nei Termini e Condizioni.
II.3.- II.4. Il trattamento riguarderà le seguenti categorie di dati personali appartenenti alle indicate categorie di interessati:
Soggetti interessati al trattamento
Categorie di dati personali
Esempi di dati trattati
Utente Professionista
Dati identificativi
Nome
Cognome
Indirizzo mail
Dati professionali
Ruolo, titolo, posizione lavorativa ricoperta
Utente Privato
Dati identificativi
Nome
Cognome
Indirizzo mail
Utente Minore
Dati identificativi
Data di nascita
ID utente
Caratteristiche personali
Lingua madre
Bilinguismo
Genere
Altre categorie di dati personali (non particolari)
Umore prima e dopo la sessione di gioco
Dati relativi alla salute - risultati di esercizi e progressi
Risultati della sessione di gioco (errori, tempo di risposta, livello di attenzione)
Rischio di sviluppare un disturbo dell’apprendimento
II.5. Il trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare ha la seguente durata e frequenza:
La durata e la frequenza del trattamento sarà la stessa del contratto di fornitura del servizio stipulato tra Paper Box ed il Professionista.
II.6 Altre disposizioni in merito al trattamento dei dati personali degli Utenti e del Titolare del trattamento.
Il Responsabile del trattamento potrà raccogliere dati personali degli Utenti, incluse categorie particolari di dati personali degli Utenti Minori, per finalità di miglioramento e sviluppo di DINO. In tal caso, il Responsabile del trattamento provvederà a fornire agli interessati tutte le informazioni necessarie in merito alle proprie finalità e modalità di trattamento dei dati personali mediante specifica informativa al trattamento dei dati personali.
ALLEGATO III
MISURE TECNICHE E ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI
Misura tecnico-organizzativa
Descrizione della misura tecnico-organizzativa implementata
Organizzazione e gestione del personale
Il trattamento dei dati personali viene effettuato da un numero definito di dipendenti, debitamente istruito in relazione alle politiche e procedure interne adottate dal Responsabile del trattamento.
Il personale che ha accesso dati personali firma un accordo di riservatezza o specifiche clausole di riservatezza.
L'accesso alle risorse informatiche avviene nel rispetto del principio del “need to know”, i privilegi vengono concessi solo su base individuale per il periodo di tempo strettamente necessario.
In caso di mutamento di ruolo o di funzioni, vengono revocati i permessi che non sono più conformi al ruolo.
Il Responsabile del trattamento regola l'uso sicuro delle postazioni di lavoro, della posta elettronica e di internet, tramite procedure interne. Le procedure includono raccomandazioni generali, dei beni dell'organizzazione, dei supporti rimovibili, dei dispositivi mobili e del telelavoro.
Una persona specifica è stata incaricata di mantenere e aggiornare il registro delle risorse informatiche.
Continuità operativa
Il Responsabile del trattamento aggiorna e testa il suo piano di Business Continuity almeno una volta all'anno.
Il Responsabile del trattamento aggiorna e testa il suo piano di Disaster Recovery almeno una volta all'anno.
Monitoraggio dei log
Tutte le operazioni effettuate su dati personali, nonché tutte le attività performate dagli amministratori di sistema, sono registrate da specifici log, il cui accesso è limitato al solo personale autorizzato.
I log sono soggetti a verifica periodica al fine di identificare possibili alert di sicurezza.
Gestione dei backup
I Backup di tutti i dati personali vengono eseguiti regolarmente.
Il Responsabile del trattamento conserva i backup in un luogo fisico diverso dai server primari.
Pseudonimizzazione
Il Responsabile del trattamento utilizza meccanismi sicuri per pseudonimizzare i dati personali raccolti.
Diritti di accesso all'applicazione e login
Ad ogni utente viene fornito un identificatore univoco. Le utenze hanno profondità di accesso ai dati relative al ruolo a cui sono assegnate.
Gestione delle password
Le password di accesso all’applicativo hanno requisiti di complessità aggiornati e sono soggette a meccanismi di protezione e monitoraggio che ne garantiscano la riservatezza e integrità.
Minimizzazione dei dati
L’applicativo raccoglie solo i dati necessari per le proprie finalità, minimizzando al contempo eventuali duplicazioni.
Correttezza dei dati
Il formato e completezza dei dati personali inseriti sono oggetto di verifiche di integrità. In caso i dati personali vengano aggiornati, il Responsabile del trattamento garantisce che l’aggiornamento venga propagato a tutti i sistemi.
Cancellazione dei dati
Il Responsabile del trattamento dispone di una procedura per garantire la cancellazione di tutti i dati.
Provider di terze parti
La scelta dei fornitori esterni è ricaduta sui soli partner che potessero offrire adeguate garanzie di sicurezza e di disponibilità dei loro servizi.
Sicurezza della rete
Il Responsabile del trattamento dispone di una policy per garantire la sicurezza delle comunicazioni.
Crittografia della rete
Su tutti gli endpoint e per i trasferimenti di dati sono utilizzati protocolli sicuri quali HTTPS.
Sicurezza dei sistemi informatici
Tutti i server sono regolarmente aggiornati. L’autenticazione utenti è gestita interamente dai sistemi di back-end.
Controllo degli accessi alle infrastrutture
È stato creato un criterio di controllo degli accessi che limiti gli utenti amministrativi ad alto privilegio. Tali utenze sono assegnate individualmente e controllate periodicamente.
Gestione dei sistemi di autenticazione.
L’obbligo di autenticazione è applicato a tutti i dati non pubblici. L’applicazione implementa un sistema di autenticazione a più fattori.
ALLEGATO IV
ELENCO DEI SUB-RESPONSABILI DEL TRATTAMENTO
Il Titolare del trattamento autorizza l'utilizzo dei seguenti sub-responsabili del trattamento:
​