SUB-PROCESSOR MANAGEMENT POLICY - Antherica Srl

  1. Home
  2. SUB-PROCESSOR MANAGEMENT POLICY

ALLEGATO C

SUB-PROCESSOR MANAGEMENT POLICY

Politica di Gestione dei Sub-Responsabili del Trattamento

Versione 1.0

Applicabile a:

  • AnthericaMail

  • Servizi SaaS gestiti da Antherica S.r.l.

  • Trattamenti effettuati per conto dei Clienti

1. SCOPO

La presente Policy disciplina i criteri adottati da Antherica S.r.l. per:

  • selezionare;

  • autorizzare;

  • monitorare;

  • sostituire;

  • revocare

eventuali Sub-Responsabili del Trattamento utilizzati nell'erogazione dei propri servizi.

L'obiettivo è garantire che ogni Sub-Responsabile offra garanzie sufficienti per soddisfare i requisiti del GDPR e delle normative applicabili.

2. DEFINIZIONI

Sub-Responsabile

Qualsiasi soggetto terzo incaricato da Antherica di svolgere attività che comportino il trattamento di dati personali per conto dei Clienti.

Servizi Critici

Servizi che possono avere accesso a:

  • dati personali;

  • infrastrutture produttive;

  • backup;

  • sistemi di autenticazione;

  • sistemi di invio comunicazioni.

3. PRINCIPI GENERALI

Antherica si impegna a:

  • utilizzare il minor numero possibile di Sub-Responsabili;

  • privilegiare fornitori con infrastrutture localizzate nello SEE;

  • limitare l'accesso ai dati al minimo necessario;

  • effettuare verifiche preliminari prima dell'affidamento.

4. CRITERI DI SELEZIONE

Prima dell'ingaggio di un Sub-Responsabile vengono valutati:

4.1 Affidabilità Aziendale

  • reputazione sul mercato;

  • stabilità economica;

  • esperienza nel settore.

4.2 Sicurezza

  • misure tecniche adottate;

  • misure organizzative adottate;

  • politiche di sicurezza;

  • capacità di protezione dei dati.

4.3 Privacy

  • conformità GDPR;

  • presenza di DPA;

  • gestione dei trasferimenti internazionali;

  • gestione dei diritti degli interessati.

4.4 Continuità Operativa

  • disponibilità del servizio;

  • resilienza;

  • capacità di recupero.

5. VALUTAZIONE PRELIMINARE

Prima dell'approvazione di un nuovo Sub-Responsabile possono essere valutati:

  • documentazione privacy;

  • DPA del fornitore;

  • privacy policy;

  • misure di sicurezza dichiarate;

  • condizioni contrattuali.

6. CONTRATTUALIZZAZIONE

Ogni Sub-Responsabile che tratti dati personali deve essere vincolato da un accordo contrattuale adeguato.

Tale accordo deve prevedere obblighi sostanzialmente equivalenti a quelli imposti ad Antherica dal Data Processing Agreement sottoscritto con il Cliente.

7. PRINCIPIO DI MINIMIZZAZIONE

I Sub-Responsabili ricevono esclusivamente:

  • i dati necessari;

  • gli accessi necessari;

  • le autorizzazioni strettamente indispensabili

all'esecuzione del servizio affidato.

8. MONITORAGGIO CONTINUO

Antherica può riesaminare periodicamente:

  • affidabilità;

  • sicurezza;

  • conformità privacy;

  • adeguatezza dei fornitori utilizzati.

9. GESTIONE DELLE MODIFICHE

Qualora Antherica intenda introdurre un nuovo Sub-Responsabile che comporti un trattamento significativo dei dati personali:

  • aggiornerà la documentazione applicabile;

  • aggiornerà l'elenco dei Sub-Responsabili;

  • informerà i Clienti secondo modalità ragionevoli.

10. OPPOSIZIONE DEL CLIENTE

Qualora previsto dalla normativa applicabile, il Cliente potrà presentare motivata opposizione all'utilizzo di un nuovo Sub-Responsabile.

L'opposizione dovrà:

  • essere formulata per iscritto;

  • essere motivata;

  • indicare le ragioni di rischio o incompatibilità.

11. REVOCA DEL SUB-RESPONSABILE

Antherica può interrompere il rapporto con un Sub-Responsabile qualora:

  • non soddisfi più i requisiti richiesti;

  • emergano criticità di sicurezza;

  • emergano criticità privacy;

  • si verifichino violazioni contrattuali.

12. RESPONSABILITÀ

Antherica rimane responsabile nei confronti del Cliente per le attività affidate ai propri Sub-Responsabili nella misura prevista dal GDPR e dal DPA.

13. TRASFERIMENTI INTERNAZIONALI

Antherica privilegia fornitori operanti all'interno dello Spazio Economico Europeo.

Qualora un Sub-Responsabile comporti trasferimenti internazionali di dati, tali trasferimenti dovranno avvenire nel rispetto degli articoli 44-49 GDPR.

14. ELENCO SUB-RESPONSABILI AUTORIZZATI

Alla data di emissione del presente documento il seguente soggetto è autorizzato come Sub-Responsabile del Trattamento.

Akamai Technologies Inc. (Linode)

Servizi forniti

  • infrastruttura cloud;

  • hosting;

  • servizi di datacenter;

  • connettività.

Finalità

  • erogazione della piattaforma AnthericaMail;

  • disponibilità dei servizi;

  • conservazione dei dati.

Localizzazione

Datacenter di Francoforte (Germania).

Categoria

Sub-Responsabile Critico.

15. SUB-PROCESSOR REGISTER

Antherica mantiene un registro aggiornato contenente almeno:

  • denominazione del fornitore;

  • servizio erogato;

  • categoria del trattamento;

  • localizzazione;

  • stato della valutazione.

16. REVISIONE DELLA POLICY

La presente Policy viene riesaminata periodicamente e può essere aggiornata in caso di:

  • modifiche normative;

  • introduzione di nuovi fornitori;

  • modifiche infrastrutturali;

  • evoluzione dei rischi.

17. CONTATTI PRIVACY

Antherica S.r.l.

Via Passo Buole n. 82
42123 Reggio Emilia (RE)

P.IVA / C.F. 02058130358

privacy@antherica.it

dpo@antherica.it

https://www.antherica.com

Fine dell'Allegato C.

Informativa

Utilizziamo cookie o tecnologie simili per finalità tecniche e, con il tuo consenso, anche per altre finalità come specificato nella cookie policy.

Puoi acconsentire all'utilizzo di tali tecnologie utilizzando il pulsante "Accetta tutti". Fino a che non sceglierai una opzione utilizzeremo solo i cookie tecnici e necessari.