Accordo sul trattamento dei dati

1. Definizioni

• "Accordo" indica congiuntamente i Termini di Servizio, l'Informativa sulla Privacy e il presente Accordo sul trattamento dei dati.
• "Titolare" indica il Cliente, che determina le finalità e i mezzi del trattamento dei Dati Personali tramite la Piattaforma.
• "Interessato" indica la persona fisica identificata o identificabile cui si riferiscono i Dati Personali, compresi a titolo esemplificativo i candidati i cui CV sono caricati nella Piattaforma.
• "GDPR" indica il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio.
• "Dati Personali" indica qualsiasi informazione relativa a un Interessato trattata tramite la Piattaforma.
• "Violazione dei Dati Personali" indica una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali.
• "Piattaforma" indica la piattaforma di screening dei candidati basata su AI tenperzent.com.
• "Responsabile" indica Argon Servizi di Impresa srl, che tratta i Dati Personali per conto del Titolare.
• "Sub-responsabile" indica qualsiasi terza parte incaricata dal Responsabile di trattare Dati Personali per conto del Titolare.
• "Autorità di Controllo" indica il Garante per la protezione dei dati personali o qualsiasi altra autorità di controllo competente.

2. Ambito e finalità del trattamento

Il presente DPA si applica al trattamento dei Dati Personali da parte del Responsabile per conto del Titolare in relazione all'erogazione dei servizi della Piattaforma.

Il Responsabile tratta i Dati Personali esclusivamente per le seguenti finalità:

• Screening e scoring dei CV dei candidati rispetto alle descrizioni delle posizioni mediante AI
• Conservazione e gestione dei dati dei candidati all'interno dell'account del Titolare
• Generazione di insight, ranking e raccomandazioni di selezione tramite AI
• Gestione delle pipeline di selezione e dei flussi di stato dei candidati
• Funzionalità di esportazione dati e reportistica

La natura del trattamento comprende analisi automatizzata, conservazione, recupero, organizzazione e cancellazione dei Dati Personali.

3. Categorie di Dati Personali e Interessati

3.1 Interessati

• Candidati i cui CV/curriculum sono caricati nella Piattaforma
• Recruiter e hiring manager che utilizzano la Piattaforma (dipendenti/collaboratori del Titolare)

3.2 Categorie di Dati Personali

Categorie particolari di dati: il Titolare non deve caricare CV o dati contenenti categorie particolari di dati personali (art. 9 GDPR) salvo che disponga del consenso esplicito dell'Interessato o di altra valida base giuridica.

4. Obblighi del Responsabile

4.1 Trattamento lecito

Il Responsabile tratta i Dati Personali esclusivamente sulla base di istruzioni documentate del Titolare, anche in relazione ai trasferimenti verso paesi terzi, salvo diverso obbligo previsto dal diritto UE o nazionale.

4.2 Riservatezza

Il Responsabile garantisce che le persone autorizzate al trattamento dei Dati Personali si impegnino alla riservatezza o siano vincolate da un adeguato obbligo legale di riservatezza.

4.3 Misure di sicurezza (art. 32 GDPR)

Il Responsabile adotta le seguenti misure tecniche e organizzative:

• Cifratura dei dati in transito (TLS 1.2+) e a riposo
• Politiche di Row-Level Security (RLS) che garantiscono un rigoroso isolamento dei dati tra utenti
• Autenticazione tramite sessioni token sicure con verifica email
• Audit log di tutti gli accessi ai dati e dei cambi di stato
• Procedure automatizzate di backup e disaster recovery
• Controllo accessi basato sui ruoli secondo il principio del minimo privilegio
• Scansioni di sicurezza periodiche e valutazioni delle vulnerabilità
• Storage file sicuro con isolamento per cartella per utente e validazione della titolarità

4.4 Sub-responsabili

Il Titolare fornisce un'autorizzazione generale al Responsabile per l'incarico di Sub-responsabili, alle seguenti condizioni:

1. Il Responsabile mantiene un elenco aggiornato dei Sub-responsabili (vedi Allegato B)
2. Il Responsabile informa il Titolare di qualsiasi modifica ai Sub-responsabili con almeno 30 giorni di preavviso
3. Il Titolare può opporsi alla nomina di un nuovo Sub-responsabile entro 14 giorni dalla notifica
4. Il Responsabile impone a tutti i Sub-responsabili obblighi equivalenti in materia di protezione dei dati mediante contratto scritto

4.5 Diritti degli Interessati

Il Responsabile assiste il Titolare nel rispondere alle richieste degli Interessati che esercitano i propri diritti ai sensi degli artt. 15-22 GDPR, tra cui:

• Diritto di accesso (art. 15)
• Diritto di rettifica (art. 16)
• Diritto alla cancellazione (art. 17)
• Diritto di limitazione del trattamento (art. 18)
• Diritto alla portabilità dei dati (art. 20)
• Diritto di opposizione (art. 21)

La Piattaforma fornisce al Titolare strumenti per cancellare i dati dei candidati, esportare i dati e gestire il proprio account, a supporto di tali obblighi.

4.6 Notifica delle violazioni dei dati

Il Responsabile notifica al Titolare, senza ingiustificato ritardo e comunque entro 48 ore dalla conoscenza, ogni Violazione dei Dati Personali. La notifica include:

1. Una descrizione della natura della violazione, comprese categorie e numero approssimativo di Interessati coinvolti
2. Nome e contatto del referente del Responsabile
3. Descrizione delle probabili conseguenze della violazione
4. Descrizione delle misure adottate o proposte per affrontare la violazione

4.7 Valutazione d'impatto sulla protezione dei dati

Il Responsabile assiste il Titolare nelle valutazioni d'impatto sulla protezione dei dati (art. 35) e nelle consultazioni preventive con le autorità di controllo (art. 36) ove richiesto.

5. Obblighi del Titolare

Il Titolare garantisce e si impegna a quanto segue:

1. Dispone di una valida base giuridica per il trattamento dei Dati Personali dei candidati (es. legittimo interesse nell'ambito della selezione, oppure consenso)
2. Ha fornito adeguate informative privacy agli Interessati i cui dati sono caricati nella Piattaforma
3. Non caricherà categorie particolari di dati senza una valida base giuridica e, ove richiesto, consenso esplicito
4. È responsabile dell'accuratezza dei Dati Personali forniti al Responsabile
5. Rispetterà tutte le normative applicabili in materia di protezione dei dati nell'utilizzo della Piattaforma

6. Trasferimenti internazionali di dati

Il Responsabile può trasferire Dati Personali al di fuori dello Spazio Economico Europeo (SEE) solo in presenza di adeguate garanzie, tra cui:

• Clausole Contrattuali Standard (SCC) approvate dalla Commissione europea
• Decisione di adeguatezza della Commissione europea (art. 45 GDPR)
• Norme Vincolanti d'Impresa approvate da un'Autorità di Controllo competente

I dettagli sui trasferimenti in essere e sulle garanzie applicabili sono indicati nell'Allegato B (Sub-responsabili).

7. Durata, cessazione e restituzione dei dati

7.1 Durata

Il presente DPA resta efficace per tutta la durata dell'utilizzo della Piattaforma da parte del Titolare e finché il Responsabile conserva Dati Personali per conto del Titolare.

7.2 Restituzione e cancellazione dei dati

Alla cessazione dell'account del Titolare o su richiesta scritta del Titolare:

1. Il Responsabile mette tutti i Dati Personali a disposizione del Titolare per l'esportazione
2. A seguito di conferma o trascorso un ragionevole periodo di conservazione (non superiore a 30 giorni), il Responsabile cancella in modo definitivo tutti i Dati Personali, salvo diverso obbligo previsto dal diritto UE o nazionale
3. Il Titolare può avviare la cancellazione immediata dell'account dalle impostazioni della Piattaforma, con conseguente rimozione permanente di tutti i dati associati (analisi, candidati, CV, note e punteggi)
4. I documenti relativi alle transazioni di fatturazione sono conservati per finalità contabili e di conformità legale e non contengono Dati Personali dei candidati

8. Diritti di audit

Il Titolare ha diritto di effettuare audit, comprese ispezioni, per verificare la conformità del Responsabile al presente DPA. Il Responsabile:

1. Mette a disposizione tutte le informazioni necessarie a dimostrare il rispetto dell'art. 28 GDPR
2. Consente e contribuisce ad audit svolti dal Titolare o da un revisore indipendente da questi incaricato
3. Informa immediatamente il Titolare qualora, a suo avviso, un'istruzione del Titolare violi il GDPR o altre disposizioni in materia di protezione dei dati

Gli audit si svolgono con ragionevole preavviso (almeno 30 giorni) e durante il normale orario di lavoro, salvo necessità di audit urgente a seguito di una violazione dei dati.

9. Responsabilità

La responsabilità di ciascuna parte ai sensi del presente DPA è soggetta alle limitazioni ed esclusioni di responsabilità previste nei Termini di Servizio, fermo restando che nessuna delle parti esclude o limita la propria responsabilità per:

• Frode o false dichiarazioni dolose
• Qualsiasi responsabilità che non possa essere esclusa o limitata dalla legge applicabile
• Sanzioni irrogate da un'Autorità di Controllo nella misura imputabile alla violazione della parte responsabile

10. Legge applicabile e foro competente

Il presente DPA è regolato e interpretato in conformità alla legge italiana. Eventuali controversie saranno sottoposte alla giurisdizione esclusiva dei tribunali italiani, fatto salvo il diritto degli Interessati di proporre reclamo a un'Autorità di Controllo.

11. Modifiche

Il Responsabile può aggiornare di volta in volta il presente DPA per riflettere modifiche normative o delle attività di trattamento della Piattaforma. Le modifiche sostanziali saranno comunicate al Titolare con almeno 30 giorni di preavviso. L'uso continuato della Piattaforma successivo a tale comunicazione costituisce accettazione del DPA aggiornato.