APPENDICE I: Contratto sul trattamento dei dati

Il presente Contratto sul Trattamento dei Dati disciplina le modalità con cui ILOVEPDF tratta i dati personali per conto del Titolare ai sensi del Regolamento (UE) 2016/679 (GDPR).

Questo accordo sul trattamento dei dati (l'"Accordo sul Trattamento dei Dati") costituisce il contratto applicabile alla gestione dei dati personali che ILOVEPDF ("ILOVEPDF"), con CIF B66921552 e sede legale in Calle Sabino de Arana, 60, 08028 Barcellona, esegue per vostro conto in relazione ai dati personali che tratta in conformità alle disposizioni seguenti.

In questo contesto, iLovePDF fornirà determinati servizi erogati tramite il software o programmi informatici di proprietà di iLovePDF. L'utilizzo di questi servizi richiederà l'accesso e il trattamento da parte di iLovePDF, in qualità di responsabile del trattamento (qui indicato come "responsabile") di specifici dati personali per i quali agite come titolari del trattamento (qui indicati come "titolari").

Questo Accordo di Trattamento fa parte dei Termini e Condizioni di iLovePDF e si applicherà all'accettazione dei Termini e Condizioni. In caso di conflitto, opposizione o contraddizione tra i Termini e Condizioni e il Contratto di Trattamento, il Contratto di Trattamento prevale sui Termini e Condizioni.

Al fine di rispettare le disposizioni del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 sulla protezione delle persone fisiche riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati (il "GDPR"), il titolare e il responsabile del trattamento firmano questo contratto di trattamento conformemente a quanto segue.



CLAUSOLE

Clausola 1

Scopo e ambito

  1. Lo scopo dell'Accordo di Trattamento è garantire la conformità con gli articoli 28(3) e (4) del GDPR.
  2. Il titolare e il responsabile del trattamento hanno acconsentito a essere vincolati da questo Accordo per garantire la conformità con gli articoli 28(3) e (4) del GDPR.
  3. Questo Accordo di Trattamento si applica al trattamento di dati personali specificati nell'Allegato I.
  4. Gli allegati I e II fanno parte dell'Accordo di Trattamento.
  5. Questi termini e condizioni non pregiudicano gli obblighi cui il titolare è soggetto ai sensi del GDPR.
  6. Questi termini e condizioni di per sé non garantiscono la conformità agli obblighi relativi ai trasferimenti internazionali conformemente al Capitolo V del GDPR.

Clausola 2

Interpretazione

  1. Quando i termini definiti nel GDPR sono usati in questo Accordo di Trattamento, si intendono avere lo stesso significato del GDPR.
  2. Questo Accordo di trattamento deve essere letto e interpretato alla luce delle disposizioni del GDPR.
  3. Questo Accordo di Trattamento non deve essere interpretato in modo da contrastare i diritti e gli obblighi previsti dal GDPR e/o in modo da pregiudicare i diritti o le libertà fondamentali degli interessati.

Clausola 3

Gerarchia

In caso di contraddizione tra questo Accordo di Trattamento e le disposizioni degli accordi relativi tra le Parti esistenti al momento in cui questi termini e condizioni sono concordati successivamente, questo Accordo di Trattamento prevarrà.

Clausola 4

Descrizione dei trattamenti

L'Allegato I specifica i dettagli delle operazioni di trattamento, in particolare le categorie di dati personali e le finalità del trattamento per le quali i dati personali sono trattati per conto del titolare.

Clausola 5

Obblighi delle Parti

5.1. Istruzioni

  1. Il responsabile deve trattare i dati personali solo su istruzioni documentate del titolare, salvo che non sia tenuto a farlo dal diritto dell'Unione o dello Stato membro applicabile cui è soggetto il responsabile. In questo caso, il responsabile deve informare il titolare di tale obbligo legale prima di trattare i dati, salvo che il diritto lo vieti per motivi rilevanti di interesse pubblico. Istruzioni successive possono essere fornite dal titolare durante l'intero arco di tempo del trattamento dei dati personali. Queste istruzioni devono sempre essere documentate.
  2. Il responsabile deve informare immediatamente il titolare se, a suo avviso, le istruzioni date dal titolare violano il GDPR o il diritto dell'Unione o dello Stato membro applicabile in merito alle normative sulla protezione dei dati.

5.2. Limitazione delle finalità

Il responsabile deve trattare i dati personali solo per le specifiche finalità del trattamento, indicate nell'Allegato I, a meno che non riceva ulteriori istruzioni dal titolare.

5.3. Durata del trattamento dei dati personali

Il trattamento da parte del responsabile deve avvenire solo per la durata specificata nell'Allegato I.

5.4. Sicurezza del trattamento

  1. Il responsabile deve implementare, almeno, le misure tecniche e organizzative specificate nell'Allegato II per garantire la sicurezza dei dati personali. Questo include la protezione dei dati contro una violazione della sicurezza che porta alla distruzione accidentale o illecita, alla perdita, alla modifica, alla divulgazione o all'accesso non autorizzati ai dati (violazione dei dati personali). Nel valutare il livello adeguato di sicurezza, le Parti devono tenere conto dello stato dell'arte, dei costi di attuazione, della natura, della portata, del contesto e delle finalità del trattamento e dei rischi per i titolari.
  2. Il responsabile deve concedere l'accesso ai dati personali oggetto di trattamento ai membri del proprio personale solo nella misura strettamente necessaria per l'attuazione, la gestione e il monitoraggio del contratto. Il responsabile deve garantire che le persone autorizzate a trattare i dati personali abbiano assunto l'obbligo di riservatezza o siano soggette a obblighi di riservatezza imposti dalla legge.

5.5. Dati sensibili

Se il trattamento include dati personali che rivelano origine razziale o etnica, opinioni politiche, convinzioni religiose o filosofiche, iscrizione a sindacati, dati genetici o biometrici per identificare una persona fisica in modo univoco, informazioni sulla salute o sulla vita sessuale od orientamento sessuale o dati relativi a condanne penali e reati ("dati sensibili"), il responsabile deve applicare specifiche restrizioni e/o una salvaguardia aggiuntive.

5.6. Documentazione e conformità

  1. Le Parti devono essere in grado di dimostrare la conformità con questo Accordo di Trattamento dei Dati.
  2. Il responsabile deve trattare tempestivamente e adeguatamente le richieste del titolare in merito al trattamento dei dati in conformità con questo Accordo di Trattamento.
  3. Il responsabile deve mettere a disposizione del titolare o di una terza parte indipendente tutte le informazioni necessarie per dimostrare la conformità con gli obblighi stabiliti in questo Accordo di Trattamento e quelli previsti direttamente dal GDPR. Su richiesta del titolare, il responsabile deve consentire e contribuire a verifiche delle attività di trattamento coperte da questo Accordo sul Trattamento dei Dati. Gli audit saranno materialmente limitati e temporalmente a ciò che è strettamente necessario affinché il titolare possa eseguire i controlli necessari in caso di sospetto - debitamente giustificato in anticipo per iscritto - di mancata conformità a uno dei punti di questo Accordo di Trattamento da parte del responsabile dei dati. In ogni caso, le revisioni avranno l'esclusivo scopo di verificare le circostanze della non conformità, saranno limitati a un massimo di uno (1) all'anno e dovranno essere notificati con almeno un (1) mese di anticipo. In ogni caso, le revisioni saranno a carico del titolare dei dati.
  4. Le parti devono mettere a disposizione delle autorità di controllo competenti, su richiesta, le informazioni di cui alla presente clausola e, in particolare, i risultati delle revisioni.

5.7. Uso di sub-responsabili

  1. Il responsabile ha l'autorizzazione generale del titolare per l'impiego di responsabili delegati. Il responsabile deve fornire al titolare le informazioni necessarie per permettergli di esercitare il diritto di opposizione.
  2. Quando il responsabile si avvale di un sub-responsabile per eseguire specifiche attività di trattamento (per conto del titolare), lo farà attraverso un contratto che imponga al sub-responsabile obblighi in sostanza analoghi agli obblighi imposti al responsabile del trattamento secondo le presenti clausole. Il responsabile deve garantire che il sub-responsabile rispetti gli obblighi a cui il responsabile è soggetto ai sensi di questo Accordo di Trattamento e del GDPR.
  3. Il responsabile rimane pienamente garante nei confronti del titolare per l'adempimento degli obblighi del sub-responsabile in conformità con il suo contratto con il responsabile. Il responsabile deve notificare al titolare ogni inadempimento degli obblighi contrattuali da parte del sub-responsabile.

5.8. Trasferimenti internazionali

  1. I trasferimenti di dati in un paese terzo o a un'organizzazione internazionale da parte del responsabile saranno effettuati in conformità con il Capitolo V del GDPR.
  2. Il titolare accetta che, nel caso il responsabile coinvolga un sub-responsabile in conformità con la clausola 5.7 per eseguire specifiche attività di trattamento per conto del titolare, e queste attività comportino un trasferimento di dati personali secondo il Capitolo V del GDPR, il responsabile e il sub-responsabile possono ottemperare al Capitolo V del GDPR: (i) trasferendo i dati personali a paesi in cui la Commissione Europea ha adottato una decisione di adeguatezza ai sensi dell'articolo 45 del GDPR; oppure (ii) utilizzando clausole contrattuali standard adottate dalla Commissione in conformità all'articolo 46(2) del GDPR, purché siano soddisfatte le condizioni per l'uso di tali clausole. Come regola generale, e salvo che il titolare non scelga diversamente, il responsabile tratta i dati personali all'interno dello Spazio Economico Europeo. Ciononostante, e per i titolari al di fuori dello Spazio Economico Europeo, al fine di ottimizzare le prestazioni e l'efficienza dei nostri servizi, il responsabile può trattare i dati personali in aree geografiche più vicine alla posizione dell'utente, a condizione che le summenzionate garanzie siano applicate.
  3. Inoltre, se ci fosse una comunicazione di dati personali dal responsabile al titolare che comporti un trasferimento di dati personali ai sensi del Capitolo V del GDPR, il responsabile e il titolare devono inserire le clausole contrattuali standard (modulo 4) allegati come Appendice II.

Clausola 6

Assistenza al titolare

  1. Il responsabile deve immediatamente notificare al titolare qualsiasi richiesta ricevuta da parte dello stesso. Non deve rispondere alla richiesta stessa, a meno che non sia autorizzato dal titolare.
  2. Il responsabile inoltrerà al titolare qualsiasi richiesta di esercizio dei diritti dallo stesso ricevuta e la cui risposta spetti al titolare in quanto i dati personali cui si riferiscono vedono il titolare come responsabile del trattamento.
  3. Oltre all'obbligo del responsabile di assistere il titolare secondo la Clausola 6 (b), il responsabile assisterà ulteriormente il titolare nell'assicurare il rispetto delle seguenti obbligazioni, tenendo conto della natura del trattamento dei dati e delle informazioni disponibili al responsabile:
    1. L'obbligo di effettuare un'assessment dell'impatto delle operazioni di trattamento pianificate sulla protezione dei dati personali ("Data Protection Impact Assessment") se un tipo di trattamento probabilmente comporta un alto rischio per i diritti e le libertà delle persone fisiche;
    2. L'obbligo di consultare le autorità di controllo competenti prima del trattamento se una valutazione dell'impatto sulla protezione dei dati indica che il trattamento potrebbe comportare un rischio alto in assenza di misure adottate dal responsabile per mitigare il rischio;
    3. L'obbligo di garantire che i dati personali siano accurati e aggiornati, informando il responsabile senza ritardi nel caso in cui il gestore venga a conoscenza che i dati personali trattati siano inesatti o divenuti obsoleti;
    4. gli obblighi previsti nell'Articolo 32 del GDPR.
  4. Le Parti devono indicare nell'Allegato II le misure tecniche e organizzative appropriate per le quali il responsabile è obbligato ad assistere il titolare nell'applicazione di questa clausola, nonché la portata e l'estensione dell'assistenza richiesta.

Clausola 7

Notifica di una violazione dei dati personali

  1. In caso di violazione dei dati personali, il responsabile deve cooperare e assistere il titolare affinché lo stesso adempia agli obblighi conformemente agli articoli 33 e 34 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile.
  2. In caso di violazione della sicurezza dei dati personali trattati dal responsabile per conto del titolare, il responsabile deve notificare al titolare senza un ritardo non giustificato appena ne viene a conoscenza. Tale notifica deve includere almeno:
    1. una descrizione della natura della violazione (inclusi, ove possibile, le categorie e numero approssimativo dei soggetti interessati e dei registri dei dati coinvolti);
    2. i dati di un punto di contatto dove ottenere maggiori informazioni sulla violazione dei dati personali;
    3. le probabili conseguenze e le misure adottate o proposte per affrontare la violazione, incluso mitigare i suoi effetti avversi possibili.
  3. Laddove e nella misura in cui non tutte le informazioni possano essere fornite contemporaneamente, le informazioni allora disponibili devono essere fornite nella notifica iniziale e, una volta raccolte, ulteriori informazioni devono essere fornite senza ritardi ingiustificati.

ALLEGATO I: DESCRIZIONE DEL TRATTAMENTO

Le categorie di soggetti cui i dati personali sono trattati
Le categorie di soggetti dei dati i cui dati sono contenuti nei file che il titolare carica utilizzando i servizi forniti da iLovePDF (per esempio, dipendenti, clienti, fornitori, ecc.).

Categorie di dati personali trattati
Le categorie di dati personali che sono inclusi nei file che il titolare carica usando i servizi forniti da iLovePDF.

Dati sensibili trattati (se applicabile) e restrizioni o salvaguardie applicate che considerino la natura dei dati e i rischi coinvolti nella loro totalità, come per esempio limiti rigorosi di scopo, restrizioni di accesso (incluso l'accesso solo per il personale che ha seguito una formazione specializzata), registrazione degli accessi ai dati, restrizioni per trasferimenti successivi o misure di sicurezza aggiuntive.
Le categorie speciali di dati personali saranno trattate nella misura in cui i file che il titolare carica utilizzando i servizi forniti da iLovePDF contengano tali categorie speciali di dati personali.

Natura del trattamento
Il responsabile eseguirà tutte le azioni necessarie per fornire i servizi (per esempio conversione, modifica e compressione del documento contenente i dati personali).

Finalità per cui i dati personali sono trattati per conto del titolare
Fornire i servizi per conto di iLovePDF.

Durata del trattamento
Nella misura strettamente necessaria a fornire i servizi.

Sub-responsabili e tipo di servizi forniti

Nel contesto della fornitura dei suoi servizi, iLovePDF utilizza fornitori di servizi terzi come sub-responsabili dei dati personali. Tra questi, iLovePDF ha Cloudscale, Digital Ocean, Hetzner, OVHcloud, Vultr, come fornitori di soluzioni di hosting web e cloud computing, i quali forniscono servizi di infrastruttura tecnologica per garantire il trattamento sicuro, lo stoccaggio temporaneo dei dati e la continuità operativa della piattaforma.

I sub-responsabili agiscono conformemente alle istruzioni di iLovePDF, applicando misure tecniche e organizzative adeguate per garantire la protezione dei dati personali in conformità al Regolamento (UE) 2016/679 (GDPR) e altre norme in materia di protezione dati applicabili.

Per ulteriori informazioni sui sub-processori di iLovePDF, puoi accedere cliccando qui.

ALLEGATO II: MISURE TECNICHE E ORGANIZZATIVE INCLUSI GLI STRUMENTI TECNICI E LE MISURE ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI

Il responsabile deve applicare le seguenti misure tecniche e organizzative di sicurezza alle attività di trattamento svolte ai sensi di questo Accordo di Trattamento:

  • Misure tecniche per tutelare contro intercettazione, copia, modifica, errori di instradamento e distruzione delle informazioni trasferite.
  • Procedure tecniche e politiche interne per rilevare, proteggere e mitigare applicazioni dannose (malware) che potrebbero essere trasmesse attraverso comunicazioni elettroniche.
  • Protezione tecnica delle informazioni sensibili quando trasmesse come allegati.
  • Politica interna sull'uso accettabile delle risorse di comunicazione.
  • Misure organizzative per garantire la responsabilità di tutti gli utenti (personale e terzi) con accesso autorizzato alle risorse del responsabile rispetto alle proprie informazioni.
  • Uso di tecniche crittografiche per tutelare la riservatezza, l'integrità e l'autenticità delle informazioni.
  • Linee guida organizzative per la conservazione e l'eliminazione di tutta la corrispondenza aziendale, compresi i messaggi, in conformità con le leggi e i regolamenti nazionali e locali rilevanti.
  • Informazioni ricorrenti e stabilimento di politiche interne per il personale riguardo la non divulgazione di informazioni riservate, per scopi come: non lasciare messaggi contenenti informazioni sensibili su segreterie telefoniche, non avere conversazioni confidenziali in luoghi pubblici, non utilizzare canali di comunicazione non sicuri, non avere conversazioni riservate in uffici aperti, ecc.

Controllo versioni: giovedì 19 febbraio 2026

Ops! Qualcosa non va nella tua connessione Internet...