Skip to content
DPA

Accordo sul trattamento dei dati

Le condizioni ai sensi dell'articolo 28 del GDPR in base alle quali Alpha Analytics s.r.o. tratta i dati personali per conto dei propri clienti nella fornitura dei servizi Carsdata.com.

Ultimo aggiornamento9 giugno 2026

Ambito di applicazione e ruoli delle parti

Il presente Accordo sul trattamento dei dati (la «DPA») costituisce parte integrante del contratto tra il cliente (il «Titolare del trattamento») e Alpha Analytics s.r.o. (il «Responsabile del trattamento») per l'utilizzo dei servizi Carsdata.com (i «Servizi»). Esso disciplina il trattamento dei dati personali che il Responsabile del trattamento effettua per conto del Titolare del trattamento e si applica ogniqualvolta tale trattamento è soggetto al Regolamento (UE) 2016/679 (il «GDPR»).

Il Titolare del trattamento determina le finalità e i mezzi del trattamento dei dati personali ed è responsabile della liceità di tale trattamento. Il Responsabile del trattamento tratta i dati personali soltanto per conto del Titolare del trattamento e sulla base delle istruzioni documentate di quest'ultimo. Qualora il Responsabile del trattamento determini le finalità e i mezzi del trattamento per le proprie attività, esso agisce in qualità di titolare del trattamento e tale trattamento è disciplinato dall'Informativa sulla privacy anziché dalla presente DPA.

In caso di conflitto tra la presente DPA e la restante parte del contratto tra le parti in relazione al trattamento dei dati personali, prevale la presente DPA.

Definizioni

I termini quali «dati personali», «trattamento», «titolare del trattamento», «responsabile del trattamento», «sub-responsabile del trattamento», «interessato», «violazione dei dati personali» e «autorità di controllo» hanno il significato loro attribuito nel GDPR. Per «normativa applicabile in materia di protezione dei dati» si intende il GDPR e ogni altra normativa in materia di protezione dei dati o di riservatezza applicabile al trattamento dei dati personali ai sensi del contratto.

Oggetto, durata, natura e finalità del trattamento

L'oggetto del trattamento è la fornitura dei Servizi. Il Responsabile del trattamento tratta i dati personali per la durata del contratto e per il periodo successivo necessario ad adempiere ai propri obblighi di legge o altrimenti previsto nella presente DPA.

La natura e la finalità del trattamento consistono nell'esercizio e nella fornitura dei Servizi al Titolare del trattamento, compresi l'hosting, l'archiviazione, l'analisi e le operazioni tecniche necessarie a rendere disponibili i Servizi. Il Responsabile del trattamento tratta le categorie di dati personali e di interessati che il Titolare del trattamento trasmette ai Servizi, o rende disponibili tramite essi — di norma i dati identificativi e di contatto dei rappresentanti e degli utenti autorizzati del Titolare del trattamento, nonché qualsiasi dato personale contenuto nei registri che il Titolare del trattamento sceglie di trattare tramite i Servizi.

Obblighi del Responsabile del trattamento

Il Responsabile del trattamento si impegna a:

  • trattare i dati personali soltanto sulla base delle istruzioni documentate del Titolare del trattamento, anche con riguardo ai trasferimenti di dati personali verso un paese terzo, salvo che vi sia tenuto per legge — nel qual caso il Responsabile del trattamento informa il Titolare del trattamento di tale obbligo di legge prima del trattamento, a meno che la legge non vieti tale informazione per rilevanti motivi di interesse pubblico;
  • informare immediatamente il Titolare del trattamento qualora, a suo parere, un'istruzione violi la normativa applicabile in materia di protezione dei dati;
  • garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  • attuare e mantenere le misure di sicurezza tecniche e organizzative descritte nella presente DPA;
  • rispettare le condizioni per il ricorso a sub-responsabili del trattamento stabilite nella presente DPA;
  • assistere il Titolare del trattamento, tenuto conto della natura del trattamento, nel dare seguito alle richieste degli interessati che esercitano i loro diritti;
  • assistere il Titolare del trattamento nel garantire il rispetto dei propri obblighi relativi alla sicurezza del trattamento, alla notifica delle violazioni, alle valutazioni d'impatto sulla protezione dei dati e alla consultazione preventiva, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento;
  • a scelta del Titolare del trattamento, cancellare o restituire tutti i dati personali al termine della fornitura dei Servizi, e cancellare le copie esistenti salvo che la conservazione sia richiesta dalla legge;
  • mettere a disposizione del Titolare del trattamento le informazioni necessarie per dimostrare il rispetto degli obblighi di un responsabile del trattamento, e consentire e contribuire alle attività di revisione (audit) secondo quanto previsto nella presente DPA.

Obblighi del Titolare del trattamento

Il Titolare del trattamento è responsabile di assicurare di disporre di una valida base giuridica per il trattamento dei dati personali tramite i Servizi, di aver fornito le informative e ottenuto i consensi eventualmente richiesti dagli interessati, e che le proprie istruzioni al Responsabile del trattamento siano conformi alla normativa applicabile in materia di protezione dei dati. Il Titolare del trattamento non deve trasmettere tramite i Servizi alcun dato personale che non sia legittimato a trattare.

Riservatezza

Il Responsabile del trattamento tratta tutti i dati personali come riservati e garantisce che l'accesso sia limitato al personale che ne ha necessità per fornire i Servizi. Tale personale è vincolato da obblighi di riservatezza scritti e riceve un'adeguata formazione in materia di protezione dei dati e di sicurezza.

Sicurezza del trattamento

Tenuto conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche del rischio per i diritti e le libertà degli interessati, il Responsabile del trattamento attua misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio, in conformità con l'articolo 32 del GDPR. Tali misure sono descritte nella Panoramica sulla sicurezza e comprendono, ove opportuno, la cifratura dei dati personali, la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi di trattamento, la capacità di ripristinare tempestivamente la disponibilità e l'accesso a seguito di un incidente, nonché una procedura per testare e valutare regolarmente l'efficacia di tali misure.

Sub-responsabili del trattamento

Il Titolare del trattamento conferisce al Responsabile del trattamento un'autorizzazione generale a ricorrere a sub-responsabili del trattamento per supportare la fornitura dei Servizi (ad esempio, fornitori di infrastruttura e di archiviazione in cloud). Il Responsabile del trattamento mantiene un elenco aggiornato dei sub-responsabili del trattamento e informa il Titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di sub-responsabili del trattamento, dando al Titolare del trattamento la possibilità di opporsi per ragionevoli motivi attinenti alla protezione dei dati.

Il Responsabile del trattamento impone a ciascun sub-responsabile del trattamento, mediante contratto, obblighi in materia di protezione dei dati non meno protettivi di quelli stabiliti nella presente DPA, e resta pienamente responsabile nei confronti del Titolare del trattamento dell'adempimento degli obblighi di ciascun sub-responsabile del trattamento.

Assistenza in relazione ai diritti degli interessati

Tenuto conto della natura del trattamento, il Responsabile del trattamento assiste il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura del possibile, nell'adempimento dell'obbligo del Titolare del trattamento di dare seguito alle richieste degli interessati che esercitano i loro diritti di accesso, rettifica, cancellazione, limitazione, portabilità e opposizione. Qualora il Responsabile del trattamento riceva una richiesta direttamente da un interessato, esso, senza ingiustificato ritardo, inoltra la richiesta al Titolare del trattamento e non vi dà seguito autonomamente salvo che ciò gli sia stato istruito dal Titolare del trattamento.

Notifica delle violazioni dei dati personali

Il Responsabile del trattamento notifica al Titolare del trattamento, senza ingiustificato ritardo, dopo essere venuto a conoscenza di una violazione dei dati personali riguardante dati personali trattati per conto del Titolare del trattamento. La notifica comprende, nella misura disponibile, una descrizione della natura della violazione, le probabili conseguenze, le misure adottate o proposte per porvi rimedio, e un punto di contatto per ulteriori informazioni. Il Responsabile del trattamento assiste il Titolare del trattamento nell'adempimento dei propri obblighi di notifica e comunicazione delle violazioni alle autorità di controllo e agli interessati.

Valutazioni d'impatto sulla protezione dei dati

Il Responsabile del trattamento fornisce una ragionevole assistenza al Titolare del trattamento in relazione a qualsiasi valutazione d'impatto sulla protezione dei dati e consultazione preventiva con le autorità di controllo che il Titolare del trattamento ragionevolmente ritenga necessaria ai sensi degli articoli 35 o 36 del GDPR, in ciascun caso esclusivamente in relazione al trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare del trattamento e tenuto conto delle informazioni a disposizione del Responsabile del trattamento.

Trasferimenti internazionali di dati

Il Responsabile del trattamento tratta e archivia i dati personali principalmente all'interno dell'Unione europea / dello Spazio economico europeo. Il Responsabile del trattamento non trasferisce dati personali verso un paese al di fuori dello SEE che non benefici di una decisione di adeguatezza, salvo che abbia predisposto un meccanismo di trasferimento adeguato riconosciuto ai sensi del GDPR, quali le Clausole contrattuali tipo della Commissione europea, unitamente a eventuali misure supplementari necessarie a garantire un livello di protezione adeguato.

Revisioni e ispezioni

Il Responsabile del trattamento mette a disposizione del Titolare del trattamento le informazioni ragionevolmente necessarie per dimostrare il rispetto della presente DPA e consente e contribuisce alle attività di revisione (audit), comprese le ispezioni, svolte dal Titolare del trattamento o da un revisore da esso incaricato. Le revisioni sono svolte con ragionevole preavviso, durante il normale orario di lavoro, non più di una volta all'anno (salvo che ciò sia richiesto da un'autorità di controllo o a seguito di una violazione dei dati personali) e in modo da non perturbare le attività del Responsabile del trattamento né compromettere la riservatezza dei dati di altri clienti. Il Responsabile del trattamento può soddisfare le richieste di revisione fornendo, ove disponibili, pertinenti relazioni o certificazioni di revisione di terzi.

Restituzione e cancellazione dei dati

Alla cessazione o alla scadenza dei Servizi, il Responsabile del trattamento, a scelta del Titolare del trattamento, cancella o restituisce tutti i dati personali trattati per conto del Titolare del trattamento e cancella le copie esistenti, salvo che la normativa applicabile imponga la continuazione della conservazione. I backup di sistema standard sono cancellati in conformità con il ciclo di conservazione documentato del Responsabile del trattamento.

Responsabilità, durata e legge applicabile

La responsabilità di ciascuna parte ai sensi della presente DPA è soggetta alle limitazioni ed esclusioni di responsabilità stabilite nel contratto tra le parti. La presente DPA produce effetti dalla data di efficacia del contratto e resta in vigore per tutto il tempo in cui il Responsabile del trattamento tratta dati personali per conto del Titolare del trattamento. La presente DPA è disciplinata dal diritto della Repubblica Ceca, salvo che il contratto tra le parti non disponga diversamente, e fatte salve le disposizioni imperative del GDPR.

Per richiedere una copia controfirmata della presente DPA, o per discutere specifiche modalità di protezione dei dati, ci contatti all'indirizzo info@carsdata.com.

Dati della società
Alpha Analytics s.r.o.
Sede legale
Gustav Mahlerplein 2
1082 MA Amsterdam
Paesi Bassi
Numero identificativo della società (IČO)
228 01 154
Registro delle imprese
Krajský soud v Ústí nad Labem
N. di fascicolo C 32406

Domande su questo documento? Scrivici all'indirizzo info@carsdata.com.