Documento legale Fotacar Cloud

ACCORDO TRATTAMENTO DATI / DPA

Versione: 2.1 · Data: 04/07/2026

6. ACCORDO TRATTAMENTO DATI / DPA

Versione 2.1 - nomina a responsabile del trattamento per clienti B2B

1. Parti e ruoli

Per i dati personali contenuti in foto, documenti, metadati operativi e informazioni caricate dall'azienda tramite Fotacar Cloud, l'azienda cliente agisce normalmente come titolare del trattamento. Fast Agency di Pettenon Duilio Andrea, tramite Fotacar Cloud, tratta tali dati come responsabile del trattamento nei limiti necessari a fornire il servizio e secondo le istruzioni documentate dell'azienda cliente.

2. Trattamenti come titolare autonomo

Resta inteso che il Fornitore tratta come titolare autonomo i dati necessari alla gestione del proprio rapporto con l'azienda, quali dati di registrazione, amministrazione account, sicurezza, fatturazione, incassi, adempimenti fiscali, comunicazioni di servizio e tutela dei propri diritti.

3. Oggetto

L'accordo disciplina il trattamento dei dati personali effettuato dal Fornitore per conto dell'azienda cliente nell'ambito dell'erogazione di Fotacar Cloud, inclusi app mobile, dashboard, archiviazione operativa, consultazione, verifica tecnica, assistenza, manutenzione e sicurezza.

4. Durata

Il trattamento come responsabile dura per l'intera durata del rapporto contrattuale e per il successivo periodo tecnico necessario a esportazione, cancellazione, backup, assistenza, sicurezza o tutela dei diritti, salvo obblighi di legge o diverso accordo scritto.

5. Natura e finalità

Il trattamento consiste in raccolta, ricezione, registrazione, organizzazione, conservazione, consultazione, elaborazione tecnica, trasmissione, messa a disposizione, verifica, cancellazione e backup dei dati necessari all'erogazione del servizio. Le finalità sono: gestione foto veicoli, gestione documenti, accesso dashboard, collegamento dispositivi, sicurezza, log tecnici, assistenza, manutenzione e continuità del servizio.

6. Tipologie di dati

Possono essere trattati dati identificativi e di contatto di utenti/operatori, dati di dispositivi, dati veicoli, targhe, VIN, informazioni di trasporto, foto, documenti, firme, riferimenti operativi, metadati tecnici, indirizzi IP, log, hash e altri dati eventualmente contenuti nei file caricati dall'azienda.

7. Categorie di interessati

Le categorie di interessati possono includere amministratori dell'account, dipendenti, collaboratori, autisti, operatori, clienti, fornitori, mittenti, destinatari, soggetti firmatari di documenti e soggetti eventualmente presenti o identificabili nei contenuti caricati.

8. Istruzioni documentate

Il Fornitore tratta i dati personali soltanto secondo le istruzioni documentate dell'azienda cliente, incluse le presenti condizioni, le configurazioni della dashboard, le richieste di assistenza e le istruzioni impartite per iscritto. Se il Fornitore ritiene che un'istruzione violi la normativa applicabile, informerà l'azienda nei limiti consentiti dalla legge.

9. Riservatezza

Il Fornitore assicura che le persone autorizzate al trattamento siano soggette a obblighi di riservatezza o a vincoli equivalenti e accedano ai dati solo quando necessario per erogazione, assistenza, manutenzione, sicurezza o obblighi di legge.

10. Misure di sicurezza

Il Fornitore adotta misure tecniche e organizzative adeguate al rischio e proporzionate al servizio, tra cui comunicazioni HTTPS, autenticazione, gestione token dispositivi, separazione logica dei dati per azienda, limitazione degli accessi amministrativi, log tecnici, backup, aggiornamenti, monitoraggio ragionevole e procedure di gestione incidenti. Le misure possono evolvere nel tempo in base allo stato dell'arte e alle esigenze tecniche.

11. Sub-responsabili

L'azienda autorizza in via generale il Fornitore a utilizzare sub-responsabili e fornitori tecnici necessari all'erogazione del servizio, quali hosting, infrastruttura server, posta elettronica, storage, backup, sicurezza, manutenzione e strumenti amministrativi. Il Fornitore resta responsabile verso l'azienda dell'adempimento degli obblighi affidati ai sub-responsabili nei limiti previsti dalla normativa.

12. Elenco subfornitori

Il Fornitore rende disponibili, su richiesta o nella dashboard, informazioni ragionevoli sulle categorie di subfornitori utilizzati. In caso di modifiche rilevanti che incidano sul trattamento, il Fornitore potrà informare l'azienda con modalità idonee, consentendo eventuali osservazioni nei limiti previsti dal contratto.

13. Trasferimenti internazionali

Qualora un subfornitore o componente tecnico comporti trasferimenti di dati fuori dallo Spazio Economico Europeo, il Fornitore adotterà le garanzie richieste dalla normativa applicabile, ove necessarie.

14. Assistenza al titolare

Tenendo conto della natura del trattamento e delle informazioni disponibili, il Fornitore presta ragionevole assistenza all'azienda per rispondere alle richieste degli interessati e per adempiere agli obblighi relativi a sicurezza, violazioni dei dati personali, valutazioni di impatto e consultazioni preventive, quando applicabili.

15. Violazioni dei dati personali

In caso di incidente di sicurezza che comporti una violazione dei dati personali trattati per conto dell'azienda, il Fornitore informerà l'azienda senza ingiustificato ritardo dopo esserne venuto a conoscenza, fornendo le informazioni tecniche disponibili e collaborando ragionevolmente per la gestione dell'evento.

Trattamento di contenuti illeciti o sospetti

Qualora, nell'ambito dell'erogazione del servizio, dell'assistenza tecnica, della manutenzione o della gestione della sicurezza, il fornitore venga a conoscenza della presenza di contenuti potenzialmente illeciti, non autorizzati o comunque contrari alle condizioni del servizio, potrà trattare i dati personali strettamente necessari per effettuare le verifiche tecniche, documentare l'evento, proteggere il servizio, adempiere a obblighi di legge e collaborare con l'azienda cliente o con le autorità competenti.

Nei casi in cui emerga un ragionevole sospetto di illecito o reato, il fornitore potrà limitare temporaneamente l'accesso ai dati interessati, conservare le informazioni tecniche pertinenti e comunicare alle autorità competenti i dati strettamente necessari, nei limiti previsti dalla normativa applicabile.

Resta inteso che l'azienda cliente, in qualità di titolare del trattamento dei dati caricati tramite il servizio, rimane responsabile della liceità, correttezza, pertinenza e autorizzazione dei contenuti trattati dai propri utenti e dispositivi.

16. Restituzione e cancellazione

Alla cessazione del servizio, l'azienda può richiedere esportazione o cancellazione dei dati secondo le funzioni disponibili e i termini comunicati. Decorso il periodo tecnico previsto, il Fornitore potrà cancellare o rendere non accessibili i dati, salvo obblighi di legge, backup tecnici temporanei o necessità di tutela dei diritti.

17. Audit e informazioni

Il Fornitore mette a disposizione informazioni ragionevoli per dimostrare il rispetto degli obblighi previsti dal presente accordo. Eventuali verifiche o audit dovranno essere concordati preventivamente, svolti in modo proporzionato, senza compromettere sicurezza, riservatezza, continuità del servizio o dati di altri clienti.

18. Obblighi dell'azienda

L'azienda è responsabile della liceità delle istruzioni, della base giuridica del trattamento, dell'informativa agli interessati, della gestione dei propri utenti, della minimizzazione dei dati caricati e del rispetto degli obblighi privacy connessi alla propria attività.

19. Prevalenza

In caso di contrasto tra il presente DPA e altri documenti contrattuali, il DPA prevale limitatamente agli aspetti relativi al trattamento dei dati personali effettuato dal Fornitore come responsabile del trattamento per conto dell'azienda cliente.