Effettua il login

ALLEGATO - ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI

Il presente Accordo sul Trattamento dei Dati Personali (di seguito “il DPA”) è parte integrante del Contratto. L’accettazione delle Condizioni Generali ne comporta l’accettazione da parte del Cliente

Articolo preliminare. Definizioni 

Ai fini del DPA, i termini seguenti hanno il significato di:

Dati Personali: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi specifici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale (GDPR, art. 4.1).

Interessato: la persona fisica cui si riferiscono i Dati Personali trattati (GDPR, art. 4.1).

Autorità di controllo: l’autorità pubblica indipendente istituita da uno Stato membro ai sensi dell’articolo 51 del GDPR, incaricata di sorvegliare l’applicazione del GDPR (ad es. il Garante in Italia) (GDPR, art. 4.21 e 51 ss.).

Violazione dei Dati Personali (o Data Breach): una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati (GDPR, art. 4.12).

Titolare del Trattamento: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del Trattamento, ai sensi del GDPR.

GDPR: il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei Dati Personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) e qualsiasi legge relativa alla protezione dei Dati Personali applicabile nel paese in cui la Soluzione e i Servizi sono utilizzati.

Responsabile del Trattamento: si intende ai sensi del GDPR e designa la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta Dati Personali per conto del Titolare del Trattamento;

Sub-Responsabile (o Sub-Processor): qualsiasi Responsabile del Trattamento incaricato dal Responsabile del Trattamento (ai sensi dell’art. 4.8 del GDPR) per l’esecuzione di specifiche attività di trattamento per conto del Titolare del Trattamento, come autorizzato ai sensi dell’articolo 28, §§ 2 e 4 del GDPR. Il Sub-Responsabile è vincolato da un contratto che impone obblighi di protezione dei dati almeno equivalenti a quelli previsti dal presente DPA, e il Responsabile del Trattamento resta pienamente responsabile nei confronti del Titolare del Trattamento per l’adempimento degli obblighi del Sub-Responsabile.

Trattamento: si intende ai sensi del GDPR e designa qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a Dati Personali o insiemi di Dati Personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione.

1. Ruoli e relazioni delle Parti in materia di Trattamento dei Dati Personali

Nell’ambito dell’esecuzione del Contratto e del DPA, i Dati Personali sono trattati con ruoli distinti.

1.1. Skello in qualità di Titolare del Trattamento

Skello agisce in qualità di Titolare del Trattamento dei Dati Personali dei Clienti (ivi inclusi i loro rappresentanti e contatti), come specificato nella Politica sulla Privacy (https://www.skello.io/it/landing/informativa-sulla-privacy).

Questi trattamenti hanno come finalità la gestione del rapporto contrattuale e commerciale, la fatturazione, il supporto (per i dati del Cliente), l'attività di prospecting commerciale, le statistiche di audience e di utilizzo del Sito e dei Servizi.

Le basi giuridiche di tali trattamenti sono l'esecuzione del Contratto, gli obblighi legali e il legittimo interesse di Skello, o il consenso del Cliente, ove necessario.

1.2. Skello in qualità di Responsabile del Trattamento per conto del Cliente

Per quanto riguarda i Dati Personali degli Utenti trattati tramite l'utilizzo della Soluzione e dei Servizi da parte del Cliente, il Cliente agisce in qualità di Titolare del Trattamento, e Skello in qualità di Responsabile del Trattamento.

I Dati Personali in questione includono in particolare i dati di identificazione, i dati relativi all'impiego (pianificazioni, orari di lavoro, assenze, contratti di lavoro), i dati contrattuali, i dati relativi agli elementi di retribuzione (elementi di paga) e all'orario di lavoro, nonché qualsiasi dato inserito nella Soluzione dal Cliente.

Tali dati sono trattati esclusivamente per le esigenze della fornitura dei Servizi e secondo le istruzioni documentate del Cliente.

2. Trattamento dei Dati Personali da parte di Skello in qualità di Responsabile del Trattamento

Per l’esecuzione del Contratto, Skello è autorizzata a trattare, per conto del Cliente, i Dati Personali necessari per fornire i Servizi a cui il Cliente ha aderito, come descritti nel Contratto.

I Dati Personali trattati riguardano in particolare:

  • i dipendenti, collaboratori e rappresentanti del Cliente;
  • gli utenti autorizzati della Soluzione;
  • i prospect (potenziali clienti) integrati dal Cliente;
  • gli amministratori HR e i manager designati dal Cliente.

I Dati Personali interessati includono:

  • dati identificativi (nome, cognome, indirizzo di posta elettronica, indirizzo postale, numeri di telefono, credenziali di accesso (identificativi di connessione), indirizzo IP);
  • dati relativi all’impiego (posizione, orari, pianificazioni (plannings), assenze, contratti di lavoro, stato, retribuzione);
  • dati contrattuali (contratti, clausole aggiuntive (avenants), documenti relativi al rapporto di lavoro);
  • dati relativi alla retribuzione (paga) e all'orario di lavoro (elementi variabili, ore lavorate, assenze, ferie, permessi per malattia);
  • qualsiasi dato inserito dal Cliente nella Soluzione.

I Trattamenti sono effettuati per le seguenti finalità:

  • fornitura e gestione (exploitation) della Soluzione e dei Servizi;
  • gestione e monitoraggio delle pianificazioni e dell'orario di lavoro;
  • gestione degli elementi variabili di retribuzione;
  • hosting, backup e conservazione (stoccaggio) dei dati;
  • supporto e assistenza tecnica;
  • notifica e comunicazione agli Utenti;
  • trasmissione ai fornitori del Cliente quando ciò sia necessario per l'esecuzione dei Servizi.

La base giuridica dei Trattamenti è:

  • l’esecuzione del Contratto concluso tra il Cliente e Skello;
  • gli obblighi legali del Cliente;
  • le istruzioni documentate del Cliente.

I Dati Personali sono conservati per la durata del Contratto e, alla scadenza del Contratto, sono archiviati per tre anni, salvo istruzione espressa di cancellazione da parte del Cliente o obbligo legale di conservarli.

3. Gli impegni di Skello in qualità di Responsabile del Trattamento

3.1. Istruzioni del Cliente e portata del Trattamento

Skello tratta i Dati Personali sulla base di istruzioni documentate del Cliente in conformità al Contratto. Qualora Skello sia tenuta a procedere a un trattamento in virtù del diritto dell'Unione o del diritto di uno Stato membro, essa informerà il Cliente prima del trattamento, a meno che tale informazione non sia vietata dalla legge.

3.2. Riservatezza 

Skello assicura che qualsiasi persona autorizzata a trattare i Dati Personali per suo conto sia soggetta a un obbligo appropriato di riservatezza, legale o contrattuale, e tratti i Dati Personali solo nella stretta misura necessaria all'esecuzione dei suoi compiti (missioni).

3.3. Misure tecniche e organizzative

Skello mette in atto tutte le misure tecniche e organizzative appropriate per garantire la sicurezza, l'integrità e la riservatezza dei Dati Personali e per prevenire qualsiasi accesso non autorizzato, perdita, distruzione o alterazione.

Tali misure includono, senza che questo elenco sia esaustivo:

  • l’hosting di tutti i dati di Skello, inclusi i Dati Personali, presso un host certificato PCI-DSS, HIPAA/HITECH, FedRAMP, FIPS 140-2 e NIST 800-171, SOC ISO 27001, ISO 27017 e ISO 27018;
  • la supervisione della sicurezza da parte di un Responsabile dedicato e audit regolari di conformità;
  • l'attribuzione dei diritti di accesso ai dipendenti (préposés) di Skello, secondo il principio del minimo privilegio;
  • la procedura rigorosa di gestione del ciclo di vita degli account (creazione, modifica, cancellazione in caso di cessazione del rapporto);
  • l'autenticazione tramite SSO, password complessa e rinnovo regolare per i dipendenti di Skello;
  • l'autenticazione tramite identificativo e password, con requisiti di robustezza per gli Utenti di Skello;
  • l'attuazione di un sistema di gestione dei ruoli (RBAC) che consente di limitare l'accesso ai soli dati necessari in base al profilo dell'Utente;
  • l'obbligo contrattuale di riservatezza per tutti i dipendenti di Skello;
  • una formazione continua in materia di protezione dei dati e cybersecurity;
  • la cifratura (chiffrement) dei dati at rest (AES-256) e in transit (TLS 1.2 o superiore);
  • la segmentazione degli ambienti di sviluppo, test e produzione;
  • la sorveglianza e il rilevamento delle intrusioni sull'infrastruttura;
  • i backup quotidiani dei Dati;
  • la ridondanza multi-AZ garantita dall'host scelto da Skello;
  • i piani di disaster recovery e di continuità operativa (continuità d’attività) testati regolarmente;
  • la journalisation (logging) degli accessi e delle azioni sensibili;
  • la messa a disposizione delle informazioni necessarie per dimostrare la conformità;
  • la possibilità di audit da parte del Cliente secondo le modalità previste nel presente Accordo.

Skello si impegna a mantenere e ad adattare tali misure in funzione dell'evoluzione dello stato dell'arte, dei rischi e della normativa.

3.4. Sub-Responsabili (Sub-Processori)

Il Cliente autorizza Skello a ricorrere a Sub-Responsabili (o Sub-Processori) per la fornitura dei Servizi.

Skello informerà il Cliente per iscritto e con un termine ragionevole di qualsiasi aggiunta o sostituzione di un Sub-Responsabile. Il Cliente avrà un termine di dieci (10) giorni di calendario per sollevare obiezioni ragionevoli. In assenza di obiezioni, il Sub-Responsabile sarà ritenuto approvato.

Skello impone contrattualmente ai suoi Sub-Responsabili obblighi di protezione dei dati equivalenti a quelli previsti dal presente Articolo e rimane pienamente responsabile nei confronti del Cliente per il loro adempimento.

Società Natura del Sub-Trattamento Sede Garanzie & DPA
Aircall Piattaforma di telecomunicazione 🇫🇷 Francia DPA
Amazon Web Services Hosting del software (SaaS) 🇮🇪 Irlanda DPA
Anthropic (via AWS) LLM 🇮🇪 Irlanda DPA
Atlassian (JIRA) Gestione dei ticket di bug 🇺🇸 Stati Uniti DPA con CCTData Privacy Framework
Brevo Invio di email agli utenti 🇫🇷 Francia DPA con CCT
Calendly Pianificazione di appuntamenti online 🇺🇸 Stati Uniti Privacy Notice
ChargeBee Fatturazione ai clienti 🇺🇸 Stati Uniti DPA con CCT
Chift API verso software di terze parti (cassa, contabilità, e-commerce, fatturazione) 🇧🇪 Belgio DPA con CCT
Cloudflare Servizio DNS 🇺🇸 Stati Uniti DPA con CCTData Privacy Framework
Intercom Supporto clienti 🇺🇸 Stati Uniti DPA con CCTData Privacy Framework
Kombo Integratore di API per HRIS 🇩🇪 Germania CCT
Salesforce.com SAS CRM 🇫🇷 Francia CCT
SmsMode Invio di SMS agli utenti 🇫🇷 Francia CCT
Snowflake Data Warehouse 🇮🇪 Irlanda CCT
Yousign Firma elettronica integrata nella soluzione 🇫🇷 Francia DPA

3.5.  Assistenza al Titolare del Trattamento

Skello fornisce al Cliente l’assistenza necessaria affinché questi possa adempiere ai suoi obblighi in qualità di Titolare del Trattamento:

  1. Esercizio dei diritti degli interessati: Skello assisterà ragionevolmente il Cliente per consentirgli di rispondere alle richieste di esercizio dei diritti formulate dagli interessati. Qualsiasi richiesta ricevuta direttamente da Skello sarà immediatamente trasmessa al Cliente, senza fornire risposta, salvo istruzione contraria o obbligo legale.
  2. Violazioni dei Dati Personali (Data Breach): Skello notificherà il Cliente di qualsiasi violazione dei Dati Personali di cui venga a conoscenza, per iscritto e nel più breve tempo possibile dopo esserne venuta a conoscenza. Skello adotterà tutte le misure correttive utili e coopererà con il Cliente al fine di fornirgli le informazioni necessarie per l'adempimento dei suoi obblighi di notifica all’Autorità di controllo e, se del caso, agli interessati.
  3. Valutazioni d'impatto e consultazioni: Skello fornirà un'assistenza ragionevole al Cliente per la realizzazione delle valutazioni d'impatto sulla protezione dei dati (Data Protection Impact Assessment - DPIA) e per la consultazione preventiva dell'Autorità di controllo, se il Cliente è tenuto a farlo, nella misura in cui le informazioni siano a disposizione di Skello e non siano già incluse nella Documentazione.

3.6. Audit e documentazione 

Skello metterà a disposizione del Cliente tutte le informazioni necessarie per dimostrare il rispetto dei suoi obblighi ai sensi del GDPR. Il Cliente potrà effettuare un audit all'anno, esclusivamente da remoto, sulla base della documentazione fornita da Skello. Qualsiasi audit aggiuntivo o richiesta specifica darà luogo a fatturazione da parte di Skello in base al suo tariffario in vigore. Tali audit saranno eseguiti a spese del Cliente, previa notifica con un preavviso di trenta (30) giorni e comunicazione dell'identità dell'auditor (che non sia un concorrente di Skello) e del piano di audit.

3.7. Durata della conservazione

Al termine del Contratto, Skello cesserà qualsiasi trattamento e, a scelta del Cliente, restituirà o eliminerà tutti i Dati Personali trattati per suo conto, salvo obbligo legale di conservazione. In assenza di istruzione espressa, i Dati Personali saranno conservati per una durata massima di tre (3) anni dopo la fine del Contratto, fatto salvo il rispetto degli obblighi legali applicabili.

3.8. Trasferimenti extra-UE/SEE 

Qualora trasferisca Dati Personali al di fuori dell'Unione Europea o del SEE (Spazio Economico Europeo), Skello implementerà le garanzie appropriate in conformità all'articolo 46 del GDPR, in particolare le Clausole Contrattuali Tipo (Standard Contractual Clauses - SCC) adottate dalla Commissione europea e, se del caso, misure tecniche supplementari (come la pseudonimizzazione).

4. Impegni del Cliente in qualità di Titolare del Trattamento

Il Cliente, in qualità di Titolare del Trattamento, è il solo ed unico responsabile dei trattamenti di Dati Personali che attua tramite la Soluzione o nell'ambito dei Servizi. È suo onere assicurarsi della liceità, della pertinenza e della proporzionalità di tali trattamenti rispetto alle finalità che esso determina. Skello non si assume alcuna responsabilità per la conformità dei trattamenti di dati decisi e attuati dal Cliente con la normativa vigente, in particolare il GDPR. In qualità di Titolari del Trattamento, i Clienti devono rispondere agli Utenti per consentire loro di esercitare in particolare i loro diritti di accesso, di rettifica o all’oblio.

Il Cliente si impegna a (i) fornire a Skello i Dati Personali necessari all’esecuzione dei Servizi, assicurandosi che siano stati raccolti lecitamente e che disponga delle basi giuridiche appropriate per il loro trattamento e la loro comunicazione a Skello; (ii) documentare per iscritto qualsiasi istruzione riguardante il trattamento dei Dati Personali da parte di Skello; (iii) assicurarsi della conformità dei suoi stessi trattamenti di dati, inclusa l'attuazione delle informazioni previste dagli articoli 13 e 14 del GDPR nei confronti degli interessati e la raccolta del loro consenso se necessario; (iv) supervisionare il trattamento effettuato da Skello, incluso l'esecuzione degli audit e delle ispezioni.

5. Responsabile della Protezione dei Dati (DPO)

5.1. DPO di Skello

Skello ha designato un Responsabile della Protezione dei Dati (Data Protection Officer - DPO): Carole Franco, privacy@skello.io.

Questo punto di contatto è dedicato alle questioni relative alla «protezione dei dati» (richieste di esercizio dei diritti, notifiche di incidenti, questioni di conformità). Non gestisce le richieste di supporto funzionale o contrattuale.

5.2. DPO del Cliente 

Il Cliente si impegna a comunicare a Skello, al più tardi al momento della sottoscrizione dell’Abbonamento (o appena designato), i dati di contatto del suo DPO ai sensi dell'articolo 37 del GDPR o, in assenza di un DPO, di un referente “protezione dei dati” (nome, funzione, e-mail professionale). Il Cliente notifica senza indugio e al più tardi entro quindici (15) giorni qualsiasi modifica di tali dati di contatto.

5.3. Canale di comunicazione incidenti e diritti. 

Le Parti convengono di utilizzare privacy@skello.io (e l'indirizzo DPO/Privacy del Cliente) come canale prioritario per (i) le notifiche di Violazione dei Dati Personali (Data Breach) e (ii) le richieste di esercizio dei diritti. In mancanza, qualsiasi notifica inviata al contatto contrattuale principale è ritenuta valida.

5.4. Base giuridica e finalità

I dati di contatto dei DPO o del referente sono trattati da ciascuna Parte ai fini della conformità al GDPR (gestione degli incidenti, risposte alle autorità, diritti degli interessati), sulla base degli obblighi legali e/o del legittimo interesse della Parte destinataria. Tali dati sono conservati per la durata del Contratto, aumentata dei termini legali applicabili.

Piazza Città di Lombardia n. 1,
20124 Milano, Italia
Paramètres des cookies