ALLEGATO N. 3 ai Termini di utilizzo: Accordo sul trattamento dei dati

Data di decorrenza: 26 novembre 2025

Il presente Accordo sul trattamento dei dati si applica tra l’Utente e ESET ogni volta che l’Utente elabora i dati personali in qualità di titolare del trattamento dei dati attraverso l’utilizzo dei Servizi ESET forniti ai sensi dei Termini e ESET elabora tali dati personali per conto dell’Utente in qualità di responsabile del trattamento dei dati.

Nel rispetto dei requisiti sanciti dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 sulla Protezione delle persone fisiche in relazione al trattamento dei dati personali e del libero movimento di tali dati, che abroga la Direttiva 95/46/CE (qui nel prosieguo denominato “GDPR”), ESET (qui nel prosieguo denominata “Responsabile del trattamento”) e l’Utente (qui nel prosieguo denominato “Titolare del trattamento dei dati”) instaurano un rapporto contrattuale sul trattamento dei dati allo scopo di definire i termini e le condizioni per il trattamento dei dati personali, le modalità di protezione degli stessi, nonché altri diritti e obblighi di entrambe le parti relativamente al trattamento dei dati personali degli interessati per conto del Titolare del trattamento dei dati nel corso dello svolgimento delle attività correlate all’oggetto dei presenti Termini che costituiscono il contratto principale.

1. Dati Personali Elaborazione. I Servizi erogati in conformità dei presenti Termini includono l’elaborazione di informazioni relative a una persona fisica identificata o identificabile per conto del Titolare del trattamento dei dati indicata nell’Informativa sulla privacy (qui nel prosieguo denominati “Dati personali”).

2. Autorizzazione. Il Titolare del trattamento dei dati autorizza il Responsabile del trattamento a elaborare i Dati personali, attenendosi alle seguenti istruzioni:

(i) con il termine “Finalità del trattamento” si intende l’erogazione di servizi in conformità ai presenti Termini e Documentazione. Il Responsabile del trattamento è autorizzato a elaborare esclusivamente i Dati personali per conto del Titolare del trattamento dei dati relativamente all’erogazione dei servizi richiesti da quest’ultimo. Tutte le informazioni raccolte per ulteriori scopi vengono elaborate al di fuori della relazione contrattuale Titolare del trattamento dei dati-Responsabile del trattamento.

(ii) per Periodo del trattamento si intende il periodo che sancisce l’inizio della collaborazione ai sensi dei presenti Termini fino alla relativa cessazione,

(iii) per ambito e categorie di Dati personali si intendono tutti i Dati personali forniti o messi a disposizione dal Titolare del trattamento dei dati durante la fornitura dei Servizi. I Servizi sono concepiti esclusivamente ai fini dell’elaborazione di dati personali di carattere generale. Tuttavia, il Titolare del trattamento dei dati è il solo responsabile della determinazione dell’ambito dei dati personali.

(iv) per “Interessato” si intende una persona fisica come un utente autorizzato dei dispositivi del Titolare del trattamento dei dati al quale vengono erogati i Servizi,

(v) per “Attività di trattamento” si intende qualsiasi operazione necessaria ai fini del trattamento,

(vi) per “Istruzioni documentate” si intendono le istruzioni descritte nei presenti Termini, i relativi Allegati, l’Informativa sulla privacy e la documentazione. Il Titolare del trattamento dei dati è responsabile in merito all’ammissibilità giuridica dell’elaborazione dei Dati personali da parte del Responsabile del trattamento in relazione alle rispettive disposizioni applicabili previste dalla legge sulla protezione dei dati.

3. Obblighi del Responsabile. Il Responsabile sarà obbligato a:

(i) elaborare i Dati personali esclusivamente sulla base di istruzioni documentate e nel rispetto delle finalità del trattamento,

(ii) fornire alle persone autorizzate all’elaborazione dei Dati personali (qui nel prosieguo denominate “Persone autorizzate”) informazioni sui rispettivi diritti e obblighi ai sensi del GDPR e sulla loro responsabilità in caso di violazione, e garantire che le Persone autorizzate siano vincolate alla riservatezza e al rispetto delle Istruzioni documentate,

(iii) Adottare tutte le misure correlate alla protezione del trattamento dei dati previste ai sensi dell’Art. 32 del GDPR, tenendo conto dello stato dell’arte, dei costi di implementazione e della natura, dell’ambito, del contesto e degli scopi del trattamento, nonché del rischio della variabile probabilità e gravità per i diritti e le libertà delle persone fisiche, allo scopo di garantire un livello di protezione durante l’elaborazione dei Dati personali del Titolare del trattamento dei dati che sia proporzionale al rischio.

(iv) tenere conto della natura del trattamento dei dati, fornire assistenza al Titolare del trattamento dei dati nella gestione delle richieste degli Interessati relativamente ai rispettivi diritti. Il Responsabile del trattamento non deve correggere, rimuovere o limitare l’elaborazione dei Dati personali senza fare riferimento alle istruzioni fornite dal Titolare del trattamento dei dati. Tutte le richieste presentate dall’Interessato in relazione ai Dati personali elaborati per conto del Titolare del trattamento dei dati saranno inoltrate senza ritardi a quest’ultimo.

(v) assistere il Titolare del trattamento dei dati nella notifica di violazione dei dati personali all’autorità di supervisione e all’Interessato, Il Responsabile del trattamento comunicherà al Titolare del trattamento dei dati qualsiasi violazione del trattamento dei dati personali o della sicurezza dei dati personali subito dopo il rilevamento. Il Responsabile del trattamento dovrà collaborare in misura ragionevole nell’ambito di un’indagine e nella correzione di tale violazione e dovrà adottare misure ragionevoli per limitare ulteriori conseguenze negative.

(vi) a discrezione del Titolare del trattamento dei dati, rimuovere o restituire tutti i Dati personali al Titolare del trattamento dei dati al termine del Periodo di elaborazione. Il Titolare del trattamento dei dati si impegna a informare il Responsabile del trattamento in merito alla propria decisione entro dieci (10) giorni dalla fine del Periodo di trattamento. La presente disposizione non avrà alcun effetto sul diritto del Responsabile del trattamento di conservare i Dati personali nella misura necessaria ai fini dell’archiviazione nell’interesse pubblico, per scopi di ricerca in campo scientifico, per scopi statistici o ai fini della costituzione, dell’esercizio o della difesa di richieste legali.

(vii) mantenere un registro aggiornato di tutte le categorie delle attività di trattamento dei dati che ha eseguito per conto del Titolare,

(viii) rendere disponibili al Titolare del trattamento dei dati tutte le informazioni necessarie a dimostrare la conformità nell’ambito dei Termini, dei relativi Allegati, dell’Informativa sulla privacy e della documentazione. In caso di audit o di controllo del Trattamento dei dati personali da parte del Titolare del trattamento dei dati, il Titolare del trattamento dei dati è tenuto a informare per iscritto il Responsabile del trattamento almeno dieci (30) giorni prima dell’audit o del controllo pianificato.

4. Incarico di un altro responsabile del trattamento dei dati. Il Responsabile del trattamento ha generalmente facoltà di incaricare un altro responsabile del trattamento dell’esecuzione di specifiche attività di elaborazione dei dati, quali la fornitura di spazi di archiviazione sul cloud e di infrastrutture per il Servizio ai sensi dei presenti Termini, dei relativi Allegati, dell’Informativa sulla privacy e della Documentazione. Anche in questo caso, il Responsabile rimarrà l’unico punto di contatto e la parte responsabile della conformità. Il Responsabile del trattamento dei dati ivi si impegna a informare il Titolare del trattamento dei dati in caso di aggiunta o di sostituzione di un altro Responsabile del trattamento per le finalità correlate alla possibilità di obiettare in merito a tale modifica. I sub-responsabili del trattamento attualmente impegnati sono specificati nell’Informativa sulla privacy del Responsabile.

5. Territorio del trattamento. Il Responsabile assicura che il trattamento avviene nell’Area Economica Europea o in un Paese designato come sicuro per decisione della Commissione Europea sulla base della decisione del Titolare. In caso di trasferimenti e di elaborazione dei dati al di fuori dello Spazio Economico Europeo o di un Paese designato come sicuro per decisione della Commissione europea saranno applicabili le Clausole contrattuali standard su richiesta del Titolare del trattamento dei dati.

6. Protezione. Il Responsabile è certificato ISO 27001 e utilizza la struttura ISO 27001 per implementare una strategia di protezione con difesa a strati nell’applicazione dei controlli di sicurezza a livello della rete, dei sistemi operativi, dei database, delle applicazioni, del personale e dei processi operativi. La conformità ai requisiti normativi e contrattuali viene periodicamente valutata e revisionata analogamente ad altre infrastrutture e operazioni del Responsabile e vengono adottate misure necessarie a garantire la conformità su base continuativa. Il Responsabile del trattamento ha organizzato la protezione dei dati utilizzando il sistema ISMS in base allo standard ISO 27001. La documentazione sulla protezione include principalmente documenti sulle politiche per la protezione delle informazioni, la sicurezza fisica e quella delle apparecchiature, la gestione degli incidenti, la gestione della perdita dei dati e degli incidenti di sicurezza e cosi via.

7. Misure tecniche e organizzative. Il Responsabile del trattamento dei dati proteggerà i Dati personali da danni e distruzioni casuali e illegali, perdite casuali, modifiche, accessi e divulgazioni non autorizzati. A tal fine, il Responsabile del trattamento adotterà adeguate misure tecniche e organizzative corrispondenti alla modalità di trattamento dei dati e al rischio presentato dal trattamento in termini di diritti degli Interessati in conformità dei requisiti del GDPR. Una descrizione dettagliata delle misure tecniche e organizzative è indicata nel “Criterio di sicurezza”.

8. Informazioni di contatto del Responsabile del trattamento. Tutte le notifiche, richieste e altre comunicazioni riguardanti la protezione dei dati personali dovranno essere inviate a ESET, spol. s.r.o., all’attenzione di: Data Protection Officer, Einsteinova 24, 85101 Bratislava, Slovak Republic, email: dpo@eset.sk.