​
ACCORDO SUL TRATTAMENTO DEI DATI (DPA)
Questa traduzione è fornita esclusivamente per comodità. In caso di incongruenze, prevarrà la versione in inglese.
​
Data effettiva: 1 gennaio, 2026
Il presente Accordo sul Trattamento dei Dati (“DPA”) costituisce parte integrante ed è incorporato per riferimento nel/i contratto/i stipulato/i tra SOBEREYE INC. (“Responsabile del Trattamento” ai sensi del GDPR: Processor / “Responsabile esterno”) e l’entità cliente (“Titolare del Trattamento”) che disciplinano l’utilizzo della piattaforma OPTOVERA e dei servizi correlati (i “Servizi”).
​
Il presente DPA si applica al trattamento dei Dati Personali effettuato dal Responsabile del Trattamento per conto del Titolare del Trattamento in relazione ai Servizi.
​
1. Definizioni
Ai fini del presente DPA:
“Normativa Applicabile in materia di Protezione dei Dati” indica tutte le leggi e i regolamenti applicabili al trattamento dei Dati Personali ai sensi del presente DPA, inclusi, a titolo esemplificativo e non esaustivo:
-
il Regolamento (UE) 2016/679 (GDPR),
-
la Legge Generale brasiliana sulla Protezione dei Dati (LGPD – Legge n. 13.709/2018),
-
le leggi federali e statali sulla privacy applicabili negli Stati Uniti,
-
e altre leggi sulla protezione dei dati applicabili in America Latina e in altre giurisdizioni.
I termini “Titolare del Trattamento”, “Responsabile del Trattamento”, “Dati Personali”, “Trattamento”, “Interessato” e “Autorità di Controllo” hanno il significato loro attribuito dalla Normativa Applicabile in materia di Protezione dei Dati.
​
“Dati Personali Sensibili” include le categorie particolari di dati personali ai sensi dell’articolo 9 del GDPR e i dati personali sensibili ai sensi dell’articolo 5, II, della LGPD.
​
2. Ruoli delle Parti
​
2.1 Titolare del Trattamento
Il Titolare del Trattamento determina le finalità e i mezzi del Trattamento dei Dati Personali in relazione ai Servizi.
​
2.2 Responsabile del Trattamento
Il Responsabile del Trattamento tratta i Dati Personali esclusivamente per conto del Titolare del Trattamento e in conformità alle sue istruzioni documentate, incluse quelle contenute nel/i contratto/i che disciplinano i Servizi e nel presente DPA.
Il Responsabile del Trattamento non agisce in qualità di titolare autonomo in relazione ai Dati Personali trattati ai sensi del presente DPA.
​
3. Ambito e Finalità del Trattamento
Il Responsabile del Trattamento tratterà i Dati Personali esclusivamente per le seguenti finalità:
-
fornire, gestire e supportare la piattaforma OPTOVERA e i Servizi;
-
consentire flussi di lavoro relativi alla sicurezza sul lavoro, alla prontezza operativa e alla valutazione del rischio di fatica, come configurati dal Titolare del Trattamento;
-
garantire la sicurezza della piattaforma, l’auditabilità e l’integrità dei Servizi;
-
adempiere agli obblighi legali e regolamentari applicabili.
Il Responsabile del Trattamento non tratterà i Dati Personali per finalità proprie, incluse attività di marketing, pubblicità o analisi non correlate.
​
Il Responsabile del Trattamento non utilizzerà i Dati Personali per adottare decisioni automatizzate che producano effetti giuridici o effetti significativamente analoghi nei confronti degli Interessati.
​
4. Categorie di Dati e di Interessati
​
4.1 Categorie di Interessati
Gli Interessati possono includere dipendenti, collaboratori, appaltatori o personale autorizzato del Titolare del Trattamento.
​
4.2 Categorie di Dati Personali
I Dati Personali trattati possono includere:
-
identificativi utente pseudonimizzati assegnati dal Titolare del Trattamento;
-
indicatori di prontezza, di fatica o di sicurezza operativa;
-
risultati di valutazioni operative e registrazioni dei flussi di lavoro in materia di sicurezza;
-
dati tecnici, di sistema, di accesso e log di audit.
Il Responsabile del Trattamento non richiede né tratta identificativi personali diretti quali nomi, numeri di documenti di identità ufficiali, dati di contatto personali o informazioni retributive.
​
5. Trattamento di Dati Biometrici e Dati Personali Sensibili
Ove applicabile, il Responsabile del Trattamento può trattare dati biometrici (incluso il riconoscimento dell’iride) e caratteristiche fisiologiche derivate da dati biometrici esclusivamente per:
-
l’associazione degli utenti in modalità uno a uno (1:1) all’interno dell’ambiente del Titolare del Trattamento;
-
finalità di prontezza operativa e valutazione della sicurezza.
Tale trattamento:
-
è limitato all’associazione uno a uno (1:1);
-
non comporta attività di sorveglianza, tracciamento, profilazione o identificazione di gruppo;
-
non comporta casi d’uso di identificazione pubblica, civile, governativa o per finalità di applicazione della legge.
-
​
Il Responsabile del Trattamento tratta i Dati Personali Sensibili esclusivamente nei casi consentiti dalla Normativa Applicabile in materia di Protezione dei Dati, inclusi l’articolo 9, paragrafo 2, lettere (b) e (h) del GDPR e l’articolo 11, II, della LGPD, e nel rispetto di adeguate garanzie.
​
6. Obblighi del Responsabile del Trattamento
Il Responsabile del Trattamento dovrà:
a) trattare i Dati Personali esclusivamente in conformità alle istruzioni documentate del Titolare del Trattamento;
b) garantire che le persone autorizzate al trattamento dei Dati Personali siano soggette a obblighi di riservatezza;
c) implementare misure tecniche e organizzative adeguate per proteggere i Dati Personali;
d) non comunicare i Dati Personali a terzi, salvo quanto consentito dal presente DPA o richiesto dalla legge;
e) informare tempestivamente il Titolare del Trattamento, nella misura in cui ciò sia ragionevolmente evidente, qualora un’istruzione violi la Normativa Applicabile in materia di Protezione dei Dati.
​
7. Misure di Sicurezza
Il Responsabile del Trattamento manterrà un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) conforme alla norma ISO/IEC 27001, che copra persone, processi e tecnologia, tenendo conto dello stato dell’arte e della natura dei Servizi.
Le misure di sicurezza includono, ove applicabile:
-
cifratura dei dati in transito e a riposo;
-
controlli di accesso basati sui ruoli;
-
segregazione degli ambienti;
-
registrazione, monitoraggio e controlli di audit;
-
politiche interne di sicurezza e programmi di formazione del personale.
-
​
8. Sub-responsabili del Trattamento
Il Titolare del Trattamento autorizza il Responsabile del Trattamento a nominare sub-responsabili del trattamento necessari per l’erogazione dei Servizi.
Il Responsabile del Trattamento garantirà che ciascun sub-responsabile del trattamento sia vincolato da obblighi di protezione dei dati non meno tutelanti rispetto a quelli previsti dal presente DPA.
Il Responsabile del Trattamento renderà disponibile un elenco aggiornato dei sub-responsabili del trattamento su richiesta o tramite il proprio sito web. Il Titolare del Trattamento potrà opporsi a un nuovo sub-responsabile esclusivamente per motivi ragionevoli connessi alla protezione dei dati.
​
9. Assistenza al Titolare del Trattamento
Il Responsabile del Trattamento fornirà un’assistenza ragionevole, tenendo conto della natura del Trattamento e delle informazioni disponibili al Responsabile del Trattamento, fermo restando che la responsabilità per tali valutazioni rimane in capo al Titolare del Trattamento.
Tale assistenza potrà essere soggetta a un rimborso ragionevole dei costi, ove consentito dalla legge applicabile.
​
10. Violazioni dei Dati Personali
Il Responsabile del Trattamento notificherà al Titolare del Trattamento senza ingiustificato ritardo, una volta venuto a conoscenza di una violazione dei Dati Personali trattati ai sensi del presente DPA, entro un termine commercialmente ragionevole, nella misura in cui le informazioni siano disponibili in quel momento.
​
La notifica includerà le informazioni disponibili necessarie affinché il Titolare del Trattamento possa adempiere ai propri obblighi legali.
​
11. Trasferimenti Internazionali di Dati
Qualora i Dati Personali siano trasferiti a livello internazionale, il Responsabile del Trattamento garantirà l’adozione di adeguate garanzie in conformità alla Normativa Applicabile in materia di Protezione dei Dati.
Tali garanzie possono includere clausole contrattuali standard, impegni contrattuali e misure organizzative.
​
12. Conservazione e Cancellazione dei Dati
I Dati Personali saranno conservati esclusivamente per il periodo determinato dal Titolare del Trattamento, dai requisiti contrattuali o dalla legge applicabile.
​
Alla cessazione dei Servizi o su istruzione del Titolare del Trattamento, il Responsabile del Trattamento cancellerà in modo sicuro o renderà anonimi i Dati Personali, salvo che la conservazione sia richiesta dalla legge.
​
13. Audit e Conformità
Il Responsabile del Trattamento metterà a disposizione le informazioni ragionevolmente necessarie per dimostrare la conformità al presente DPA, in modo da non interferire irragionevolmente con le proprie operazioni.
​
Ove appropriato, la conformità potrà essere dimostrata mediante certificazioni, rapporti di audit o meccanismi equivalenti di garanzia. Gli audit saranno limitati a una volta all’anno, salvo quanto richiesto dalla legge.
​
14. Legge Applicabile e Prevalenza
Il presente DPA è disciplinato dalla stessa legge applicabile al contratto che regola i Servizi, salvo quanto diversamente richiesto dalla Normativa Applicabile in materia di Protezione dei Dati.
In caso di conflitto, il presente DPA prevarrà con riferimento agli obblighi in materia di protezione dei dati.
​
15. Durata e Sopravvivenza
Il presente DPA rimarrà in vigore per tutta la durata del trattamento dei Dati Personali da parte del Responsabile del Trattamento per conto del Titolare del Trattamento e continuerà ad avere efficacia anche successivamente alla cessazione dei Servizi nella misura necessaria per adempiere ai propri obblighi.
​
16. Contatti
Per questioni relative alla protezione dei dati ai sensi del presente DPA, il Titolare del Trattamento potrà contattare:
info@sobereye.com