Jforma S.r.l.

Piazza Malatesta, 33 - 47923 Rimini (RN)

P.Iva: 04368190403 - REA: RN-405779

Url: https://www.jforma.it

Pec: jforma@pec.it

Contatti

privacy@jforma.it

supporto@jforma.it

Tel: 071/925 7033

1 di 6

DATA PROCESSING AGREEMENT (DPA)

Nomina a Responsabile Esterno del Trattamento dei Dati Personali

ai sensi dell’art. 28 del Regolamento (UE) 2016/679

Il presente documento disciplina la nomina di Jforma S.r.l. quale Responsabile Esterno del

Trattamento dei Dati Personali, ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (GDPR), da

parte dei clienti che utilizzano i servizi Jforma, in qualità di Titolari del trattamento.

Premesso

• che ai sensi dell'art. 4 del GDPR 679/2016 (di seguito, GDPR), della Legge 90/2024 e altre

normative nazionali applicabili per trattamento dai dati personali si intende qualsiasi

operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e

applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione,

l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione,

la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra

forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione

o la distruzione;

• tenuto conto dei requisiti di esperienza, di capacit e di affidabilità di Jforma srl;

• tenuto conto del Contratto in essere per l’utilizzo del gestionale Jforma, software web cloud

SaaS e dei relativi servizi aggiuntivi mediante accesso autenticato all’infrastruttura cloud

all’indirizzo web https://www.jforma.it (di seguito, il Contratto).

Tutto quanto sopra premesso, ai sensi dell’art. 28 del Regolamento (UE) 2016/679, Jforma

S.r.l. è designata quale Responsabile Esterno del Trattamento dei Dati Personali dai clienti che

utilizzano i servizi Jforma, in qualità di Titolari del trattamento.

Jforma srl, con sede legale in Piazza Malatesta n. 33, Rimini (RN) C.F. e P.IVA 04368190403 in

persona del legale rappresentante pro tempore

Responsabile Esterno del Trattamento dei Dati Personali

ossia, secondo la definizione di cui all'art.4 numero 8) del GDPR 679/2016, “la persona fisica o

giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del

titolare del trattamento”.

Ai fini dell’esecuzione del Contratto, il Responsabile effettua il trattamento e la conservazione

dei dati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.

Jforma S.r.l.

Piazza Malatesta, 33 - 47923 Rimini (RN)

P.Iva: 04368190403 - REA: RN-405779

Url: https://www.jforma.it

Pec: jforma@pec.it

Contatti

privacy@jforma.it

supporto@jforma.it

Tel: 071/925 7033

2 di 6

Classificazione dei Dati e Categorie di Interessati

Il Responsabile tratterà le seguenti tipologie di dati:

• Dati personali: nome, cognome, codice fiscale, email, indirizzo, dati propedeutici alle iscrizioni

ai corsi.

• Dati aziendali: ragione sociale, partita IVA, indirizzo, email generiche aziendali, informazioni

propedeutiche all’istruttoria dei corsi, dati di fatturazione

• Categorie di interessati: corsisti, dipendenti, clienti e fornitori dell’ente che utilizza il

gestionale.

La classificazione dei dati avviene in conformità con le linee guida ACN, tenendo conto del

livello di criticit (ordinari, critici, strategici) come richiesto dall’Allegato 3 del Regolamento

Cloud.

Fermo restando il rispetto delle istruzioni fornite dal Titolare il Responsabile esterno del

trattamento dei dati ha il potere e il dovere di provvedere affinché tutte le operazioni di

trattamento informatico e manuale dei dati personali, nei limiti delle proprie competenze e

attribuzioni, siano effettuate nel rispetto della normativa vigente e dei regolamenti aziendali in

materia di tutela dei dati personali.

Onde consentire al Responsabile di espletare i compiti e le attribuzioni meglio specificati in

seguito, con il presente documento vengono fornite una serie di informazioni in materia di

privacy, nonché le specifiche istruzioni, ivi incluse quelle previste in ottemperanza al GDPR, per

l’assolvimento del compito assegnato.

In particolare, il Responsabile, in via esemplificativa e non esaustiva, si obbliga a quanto segue:

1. Garantire che il trattamento dei dati personali di cui è Titolare la Società e di cui venga a

conoscenza in seguito all’attivit svolta avviene in conformit alla normativa vigente, incluse le

disposizioni del GDPR, della Legge 90/2024, e delle linee guida ACN;

2. Provvedere a impartire agli Incaricati idonee istruzioni per iscritto circa le modalità di

esecuzione delle attività demandate e vigilare sul rispetto delle istruzioni impartite. Le istruzioni

devono essere periodicamente riviste e aggiornate per rimanere conformi con eventuali

cambiamenti normativi o tecnologici;

3. Aggiornare, con cadenza almeno annuale, l’individuazione dell’ambito di trattamento

consentito ai singoli incaricati e provvedere a mantenere un elenco aggiornato degli incaricati

medesimi;

4. Garantire che le persone autorizzate al trattamento dei dati personali siano impegnate alla

riservatezza o abbiano un adeguato obbligo legale di riservatezza somministrato per iscritto;

5. Programmare e attuare idonee azioni di informazione e formazione degli incaricati nominati;

Jforma S.r.l.

Piazza Malatesta, 33 - 47923 Rimini (RN)

P.Iva: 04368190403 - REA: RN-405779

Url: https://www.jforma.it

Pec: jforma@pec.it

Contatti

privacy@jforma.it

supporto@jforma.it

Tel: 071/925 7033

3 di 6

6. Adottare, ai sensi dell’art.32 del GDPR, tutte le misure tecniche ed organizzative che

garantiscano un livello di sicurezza adeguato al rischio, tenuto conto della natura, dell’oggetto,

del contesto e delle finalità del trattamento effettuato in esecuzione del Contratto. Le misure

saranno aggiornate periodicamente tenendo conto delle nuove minacce e delle vulnerabilità

identificate;

7. Provvedere affinché vengano rigorosamente adottate tutte le misure idonee a ridurre al minimo

i rischi di distruzione o perdita, anche accidentale, dei dati trattati con l’attivit, di accesso non

autorizzato o di trattamento non consentito o non conforme alle finalità per le quali i dati sono

stati raccolti, tali misure saranno adottate in accordo con il titolare e nel rispetto delle linee

guida ACN;

8. Verificare periodicamente lo stato di applicazione del D.lgs.30 giugno 2003 n.196 e s.m.i. e del

Regolamento Europeo 2016/679, nonché

 la corretta applicazione, il buon funzionamento dei

sistemi e, ai sensi dell’art.32 del GDPR, delle misure adottate per la tutela dei dati personali e

la conformit alle indicazioni dell’Autorit Garante e del Titolare del trattamento;

9. Implementare le misure richieste dalla Legge 90/2024 e dalle linee guida ACN, quali:

a. Crittografia dei dati personali in transito e a riposo.

b. Monitoraggio continuo e audit periodici per garantire la conformità.

c. Procedure di backup e disaster recovery per garantire la continuità operativa e la

disponibilità dei dati. I backup e le procedure di disaster recovery sono testati

annualmente per verificarne l’efficacia.

d. Aggiornamento delle misure di sicurezza almeno ogni due anni o in base all’evoluzione

delle minacce o più frequentemente in caso di identificazione di nuove minacce.

10. Garantire un piano di migrazione e gestione dei dati durante la transizione e la gestione

continuativa, come richiesto dalle normative ACN;

11. Assistere il Titolare per quanto concerne gli obblighi di notifica e ogni altra comunicazione verso

l’Autorit Garante, ove dovute;

12. Garantire la stretta osservanza dell’incarico ricevuto, escludendo qualsiasi trattamento o

utilizzo dei dati personali di titolarità della Società non coerente con gli specifici trattamenti

svolti in adempimento del Contratto;

13. Garantire la portabilit dei dati personali trattati in esecuzione del Contratto, ai sensi dell’art.

20 del GDPR, assicurando che gli stessi possano essere trasmessi in un formato strutturato, di

uso comune e leggibile da qualsiasi dispositivo automatico;

14. Assistere il Titolare del Trattamento per quanto concerne gli obblighi di notifica e ogni altra

comunicazione verso l’Autorit Garante, ove dovute assicurando che le misure siano

proporzionate alla tipologia e alla sensibilità dei dati trattati;

Jforma S.r.l.

Piazza Malatesta, 33 - 47923 Rimini (RN)

P.Iva: 04368190403 - REA: RN-405779

Url: https://www.jforma.it

Pec: jforma@pec.it

Contatti

privacy@jforma.it

supporto@jforma.it

Tel: 071/925 7033

4 di 6

15. Tenuto conto della natura del trattamento, assistere il Titolare con misure tecniche e

organizzative adeguate, nella misura in cui ciò

 sia possibile, al fine di soddisfare l'obbligo del

Titolare del Trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di

cui al capo III del Regolamento Europeo 2016/679;

16. Mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto

degli obblighi previsti dalla normativa vigente;

17. Comunicare al Titolare qualsiasi variazione della situazione oggettiva o delle sue proprie

caratteristiche soggettive, tali da compromettere il corretto espletamento dei compiti descritti

nella presente;

18. Tenere un Registro delle attivit di trattamento svolte per conto del Titolare, ai sensi dell’articolo

30 del GDPR.

19. Il Responsabile del trattamento si impegna a informare senza ingiustificato ritardo il Titolare del

trattamento di qualsiasi violazione dei dati personali (data breach) di cui venga a conoscenza,

e comunque entro 72 ore dalla scoperta dell’evento, conformemente a quanto previsto dall’art.

33 del GDPR. Il Responsabile adotterà, in collaborazione con il Titolare, tutte le misure di

sicurezza necessarie per circoscrivere gli effetti negativi dell’evento e ripristinare la situazione

precedente, minimizzando i rischi per gli interessati.

Il Titolare, con il supporto del Responsabile, provveder alla notifica della violazione all’autorit di

controllo competente, qualora necessario. Il Responsabile si avvale di fornitori IT e infrastrutturali

qualificati (sub-responsabili) per l’erogazione del servizio SaaS.

L’elenco aggiornato dei principali fornitori infrastrutturali è reso disponibile a fini informativi nella

sezione “Sicurezza” del sito istituzionale del Responsabile.

Tali fornitori operano esclusivamente come fornitori di infrastruttura, senza accesso ai dati personali

trattati tramite la piattaforma, né alle credenziali o ai sistemi applicativi.

Il Responsabile si impegna a informare il Titolare di eventuali modifiche rilevanti ai sub-responsabili, ai

sensi dell’art. 28, par. 2, del Regolamento (UE) 2016/679.Ogni sub Responsabile deve garantire i

medesimi presidi di sicurezza che garantisce il Responsabile e di cui quest’ultimo risponderà nei

confronti del Titolare.

Clausole Finali

Resta inteso che, in caso di cessazione del Contratto per qualsivoglia motivo e/o ragione, cesserà

automaticamente anche la presente nomina, con obbligo di cancellazione dei dati (fatti salvi gli obblighi

di conservazione imposti per Legge).

Il Titolare si riserva la facoltà di effettuare, nei modi ritenuti più opportuni, nel rispetto delle modalità

operative previste dal presente accordo, anche tramite l’invio presso i locali del Responsabile di propri

Jforma S.r.l.

Piazza Malatesta, 33 - 47923 Rimini (RN)

P.Iva: 04368190403 - REA: RN-405779

Url: https://www.jforma.it

Pec: jforma@pec.it

Contatti

privacy@jforma.it

supporto@jforma.it

Tel: 071/925 7033

5 di 6

funzionari a ciò delegati, ovvero tramite l’invio di apposite check list, verifiche tese a vigilare sulla

puntuale osservanza delle disposizioni di legge (con particolare riferimento a quelle relative alle misure

minime di sicurezza) e delle presenti istruzioni.

Il Responsabile tiene indenne e manleva il Titolare da qualsiasi sanzione imposta da organismi di

regolamentazione applicate per azioni od omissioni non dipendenti dal Titolare medesimo.

Clausola di Limitazione di Responsabilità

Resta inteso che il Responsabile del trattamento non sarà ritenuto responsabile di eventi negativi

causati da un utilizzo improprio o errato degli strumenti elettronici ed informatici di proprietà e sotto il

controllo del Titolare del Trattamento. In particolare, il Responsabile non sarà responsabile per

eventuali problemi, perdite di dati o violazioni derivanti dall’uso, dalla manutenzione o dalla gestione

del sistema informativo aziendale del Titolare del Trattamento, quando tali sistemi non sono sotto il

diretto controllo o gestione del Responsabile.

Il Titolare del Trattamento si impegna a gestire i propri sistemi informatici in conformità con le buone

pratiche di sicurezza e in linea con le policy aziendali e le istruzioni fornite dal Responsabile, qualora

applicabili.

Il Titolare del Trattamento è responsabile dell'adozione e della manutenzione delle misure di sicurezza

adeguate per i propri sistemi informatici e per l'infrastruttura utilizzata per il trattamento dei dati

personali, in conformità con le istruzioni fornite dal Responsabile, ove applicabili, e con le buone

pratiche di settore.

Il Titolare e il Responsabile collaboreranno per garantire che i rispettivi sistemi siano allineati con le

misure di sicurezza necessarie per proteggere i dati personali trattati, e per adottare le procedure di

aggiornamento e manutenzione necessarie a mantenere tale sicurezza.

Clausola per le Verifiche e Attività Extra

Le attivit di verifica, controllo o audit previste dal presente accordo ai sensi dell’art. 28 del

Regolamento (UE) 2016/679 saranno svolte prevalentemente in modalità documentale, mediante

la messa a disposizione di informazioni, dichiarazioni, attestazioni, checklist di conformità o altra

documentazione ritenuta idonea.

Eventuali audit on-site presso le sedi o le infrastrutture del Responsabile potranno essere effettuati

solo ove strettamente necessari, previo accordo scritto tra le Parti, e dovranno in ogni caso essere

pianificati in modo da non compromettere la continuità e la sicurezza del servizio.

Qualora il Titolare del trattamento richieda al Responsabile del trattamento di effettuare verifiche, audit

o altre attività di controllo ulteriori rispetto alle normali attività di monitoraggio e conformità già previste

Jforma S.r.l.

Piazza Malatesta, 33 - 47923 Rimini (RN)

P.Iva: 04368190403 - REA: RN-405779

Url: https://www.jforma.it

Pec: jforma@pec.it

Contatti

privacy@jforma.it

supporto@jforma.it

Tel: 071/925 7033

6 di 6

dal presente accordo, le relative modalità operative ed eventuali costi saranno concordati tra le Parti

prima dell’avvio delle attivit, nel rispetto della continuit e della sicurezza del servizio.

La presente nomina si intende validamente conferita ed efficace ai sensi dell’art. 28 del Regolamento

(UE) 2016/679 mediante l’accettazione delle Condizioni Generali e dell’Informativa Privacy di Jforma

S.r.l., tramite adesione online ai servizi Jforma, senza necessità di sottoscrizione autografa o digitale.

La presente nomina produce effetti per tutta la durata del rapporto contrattuale relativo all’utilizzo dei

servizi Jforma.