Contrat de nomination en tant que responsable du traitement des données

La persona giuridica, libero professionista o consumatore individuato come cliente nel Modulo d’Ordine (il “Cliente”).

PREMESSO CHE

  1. Artshell è una società attiva nel settore del management di opere d’arte e, in particolare, nello sviluppo di sistemi informatici per la facilitazione e semplificazione delle attività di gestione, catalogazione e condivisione di opere e collezioni artistiche, nonché per la messa a disposizione di spazi espositivi digitali per l’organizzazione di eventi di stampo fieristico-espositivo. In tale contesto, Artshell ha sviluppato un software – denominato ugualmente “Artshell” e accessibile tramite piattaforma online all’indirizzo https://app.artshell.eu – in grado di offrire a gallerie, collezionisti, artisti e musei ed enti organizzatori di manifestazioni, una gestione completa e integrata delle opere d’arte, attraverso un’interfaccia web o mobile-based semplice e intuitiva;
  2. il Cliente è professionalmente attivo nel settore dell’arte e/o dell’organizzazione di eventi e manifestazioni (ad esempio, fieristiche) e intende avvalersi dei servizi offerti da Artshell (i Servizi SaaS, come definiti nel Contratto) al fine di migliorare la gestione, presentazione e comunicazione al pubblico delle opere d’arte detenute e, in generale dell’esecuzione delle proprie iniziative e attività nel settore;
  3. il Cliente ha sottoscritto un contratto di licenza SaaS (il “Contratto”) – di cui il presente contratto di conferimento di incarico a responsabile del trattamento dei dati personali (l’“Atto”) costituisce parte integrante e sostanziale in qualità di Allegato 4 – ai sensi del quale Artshell erogherà, tramite il software di cui alla premessa A che precede (il Software, come definito nel Contratto), di alcuni Servizi SaaS (come definiti nel Contratto) che implicano il Trattamento di Dati Personali di titolarità del Cliente da parte di Artshell, in particolare i Servizi SaaS (come meglio definiti singolarmente nel Contratto): (i) di gestione, archiviazione, catalogazione, conservazione, condivisione, tagging, presentazione, integrazione con documentazione e certificazione delle immagini delle opere d’arte (le Fotografie delle Opere, come definite nel Contratto) e, in generale, di tutto quanto contenuto nel database caricato dal Cliente sul Software (il Database Cliente, come definito nel Contratto); (ii) di Newslettering, messaggistica (Chatting), di creazione, promozione e accredito ad Eventi, nonché il servizio di WebSite Integration (ove selezionati) e (iii) di Network al cui interno sono attive le funzioni di Following e di Firma Libro ; e
  4. il Cliente ritiene che Artshell presenti garanzie sufficienti al fine di mettere in atto misure tecniche e organizzative adeguate affinché il Trattamento dei Dati Personali (come di seguito definiti) soddisfi i requisiti stabiliti dalla normativa in materia di protezione dei dati personali e garantisca la tutela dei diritti degli Interessati (come di seguito definiti);

TUTTO CIÒ PREMESSO, IL TITOLARE CONFERISCE A

ARTSHELL S.R.L., con sede legale in Milano, 20123, Via Carducci n. 8, C.F. e Partita I.V.A. 10440980968, l’incarico di responsabile del trattamento dei dati ai sensi e per gli effetti dell’art. 28 del GDPR (come di seguito definito) in esecuzione del Contratto, secondo i limiti e nei termini di seguito specificati (“Artshell” o il “Responsabile”).

  1. Definizioni
    1. In aggiunta a quanto altrove espressamente definito all’interno del presente Atto, i seguenti termini, in lettera maiuscola, dovranno intendersi secondo il significato loro attribuito nel presente Articolo:
      • “Dati Personali” indica qualsiasi informazione riguardante un Interessato (come di seguito definito).
      • “Categorie Particolari di Dati” indica i Dati Personali rivelanti l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale degli Interessati (come di seguito definiti).
      • “Garante Privacy” indica l’Autorità garante italiana per la protezione dei dati personali.
      • GDPR” indica il Regolamento (UE) 2016/679 (il “GDPR”)
      • Designati” indica qualsiasi persona fisica istruita e autorizzata a compiere attività di trattamento dei Dati Personali sotto l’autorità del Responsabile e/o dai propri eventuali Sub-responsabili (come di seguito definiti).
      • Interessati” indica le persone fisiche identificate o identificabili a cui sono riferiti i Dati Personali (si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale);
      • Trattamento” indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a Dati Personali o insiemi di Dati Personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
      • Sub-responsabile” indica una persona giuridica, ditta individuale o libero professionista incaricato dal Responsabile di eseguire per conto del Titolare delle attività di Trattamento dei Dati Personali; e
      • Violazione dei Dati Personali” indica una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati.
    2. All’interno del presente Atto i termini utilizzati al singolare si intendono riferiti anche al plurale e viceversa.
  2. Oggetto dell’incarico a responsabile
    1. Artshell si impegna ad agire quale Responsabile per le finalità di cui all’ Articolo 9 che segue, in conformità con la normativa in materia di protezione dei dati personali di tempo in tempo applicabile, nonché con i termini e le istruzioni di cui al presente Atto.
  3. Categorie di Dati Personali oggetto del Trattamento
    1. Nell’esecuzione del Contratto e ai fini dell’Atto, il Responsabile tratterà unicamente le seguenti categorie di Dati Personali:
      • i Dati Personali contenuti e/o ricavabili dalle Fotografie delle Opere, fra i quali figurano, i.e.: le immagini ritratte all’interno delle opere eventualmente ricollegabili a soggetti identificabili, i dati personali contenuti in tutta la documentazione inerente alle Fotografie delle Opere e alle opere artistiche ivi rappresentate (dati relativi agli attuali titolari e precedenti passaggi di proprietà, ecc.), nonché le certificazioni relative alle stesse e tutti gli ulteriori dati e/o informazioni e/o contenuti caricati, immessi, salvati, gestiti, trattati ed elaborati dal Cliente sulla Piattaforma e per il tramite del Software, ivi compresi i risultati delle attività di gestione, archiviazione, catalogazione, tagging, presentazione e condivisione (Network) delle Fotografie delle Opere, oggetto dei Servizi SaaS;
      • tutti i Dati Personali contenuti nel Database Cliente, fra i quali figurano i.a.: eventuali immagini fotografiche e/o video acquisite durante gli “Eventi”; i dati personali e di contatto dei nominativi facenti parte della mailing list del Cliente necessari per usufruire, previa apposita selezione, del servizio di Newslettering al fine di consentire l’invio a tali contatti/nominativi di comunicazioni di carattere informativo e/o commerciale relative all’attività del Cliente per il tramite della Piattaforma e del Software;
      • tutti i Dati Personali correlati alla fruizione del servizio di condivisione denominato “Network”, che consente al Cliente di condividere specifici elementi del proprio Database e/o account con altri utenti o contatti, fra i quali figurano i.a.: il nominativo del destinatario; il contenuto degli elementi condivisi; la data della condivisione; il numero di volte in cui il destinatario della condivisione ha visualizzato, inoltrato o acquisito la “scheda” condivisa a seconda del permesso di condivisione ricevuto;
      • i Dati Personali, le immagini, le informazioni e la documentazione condivisa da e con il Cliente attraverso la funzione Following integrata nel servizio di “Network” fra i quali figurano i.a.: il nome e l’ID utente dell’Interessato inserito nella lista dei followers dell’account del Cliente seguito al fine di dare esecuzione alle finalità meglio specificate alla sezione 9 che segue; i dati, le immagini e le informazioni condivise tra gli utenti attraverso i servizi di Chatting e/o di Newslettering; eventuali immagini fotografiche e video acquisite durante lo svolgimento degli “Eventi”; nonché i dati statistici inerenti alla visualizzazione, apertura e inoltro delle e-mail inviate agli account seguiti;
      • i Dati Personali associati all’attività di messaggistica e alla fruizione del servizio di “Chatting” fra i quali figurano i.e.: il nominativo del mittente e del destinatario; data e ora di invio e ricezione della comunicazione; e i dati statistici correlati all’analisi e alla comprensione dei risultati dell’attività di messaggistica;
      • i Dati Personali volontariamente condivisi e comunicati dagli Utenti per l’iscrizione nelle “rubriche contatti” di altri Utenti usufruendo della funzione Firma Libro integrata nel servizio di “Network” fra i quali figurano i.a.: il nome account e l’indirizzo e-mail dell’Interessato;
      • i Dati Personali e le informazioni associate alla registrazione e partecipazione dell’Interessato ad un evento organizzato, promosso e condiviso dal Cliente tramite il servizio “Eventi” di Artshell, fra i quali figurano i.e.: il nome (e/o ID Utente) e l’indirizzo e-mail; data e ora in cui l’Interessato ha effettuato l’accredito all’evento ovvero ha rifiutato l’invito o eliminato l’evento; data e ora del suo ingresso all’evento tramite scansione del passbook generato dal Software o tramite spunta dell’apposita sezione dell’app di Artshell, nonché i dati statistici generati dall’analisi dei risultati del Servizio SaaS di gestione eventi.
    2. Fermo restando quanto previsto dall’Articolo 11 che segue, nonché dalle sezioni 9.3(x) e 13.4(ii) del Contratto, previa richiesta scritta del Titolare, il Responsabile si impegna nel minor tempo possibile e comunque non superiore a 15 (quindici) giorni, ad aggiornare, modificare, correggere o cancellare i Dati Personali trattati.
  4. Categorie di Interessati
    1. I Dati Personali trattati dal Responsabile, indicati nell’Articolo 3 che precede, sono riferibili esclusivamente alle seguenti categorie di Interessati:
      • tutti gli utenti Artshell e i contatti personali (anche non iscritti ad Artshell) verso i quali il Cliente indirizza le proprie attività di condivisione (“Network”), Following, messaggistica (“Chatting”), invio di newsletter e gestione eventi;
      • soggetti identificabili eventualmente ritratti nelle Fotografie delle Opere;
      • soggetti titolari di diritti sulle opere d’arte ricavabili dalla documentazione inerente alle Fotografie delle Opere e alle opere artistiche ivi rappresentate, nonché dalle certificazioni relative alle stesse;
      • eventuali ulteriori soggetti terzi i cui dati e/o informazioni siano a vario titolo ricollegabili alle Fotografie delle Opere e alle opere artistiche ivi rappresentate in ragione delle attività di gestione, catalogazione e certificazione da essi svolte sulle opere medesime.
  5. Obblighi del Responsabile
    1. Il Responsabile sarà tenuto a rispettare gli obblighi previsti dal Contratto e dal presente Atto. In particolare, il Responsabile dovrà:
      • seguire pedissequamente le istruzioni del Titolare ed effettuare esclusivamente le operazioni di Trattamento sui Dati Personali concordate con il Titolare e da questi indicate, e strettamente necessarie per dare esecuzione al rapporto contrattuale;
      • tenendo in considerazione la natura, l’oggetto, il contesto, la finalità del Trattamento, nonché l’eventuale rischio per i diritti e le libertà degli Interessati, adottare le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio e, in ogni caso, l’integrità, l’esattezza dei Dati Personali trattati e la liceità del Trattamento. In particolare, al fine di garantire:some text
        1. la cifratura dei Dati Personali;
        2. la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di Trattamento;
        3. la capacità di ripristinare tempestivamente la disponibilità dei Dati Personali nonché l’accesso agli stessi, in caso di incidente fisico o tecnico;
        4. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del Trattamento; e
        5. altre misure tecniche e organizzative volte a evitare rischi di distruzione, perdita o alterazione dei Dati Personali, accessi ai Dati Personali da parte di soggetti non autorizzati, uso dei Dati Personali non conforme agli scopi dichiarati della raccolta e/o usi non consentiti dei Dati Utilizzati.
      • Garantire al Titolare la possibilità di dare seguito alle richieste di esercizio dei diritti degli Interessati, tra cui rientrano, a titolo esemplificativo, il diritto di accesso ai Dati Personali che li riguardano, il diritto di rettifica, il diritto di cancellazione (o diritto all’oblio), il diritto di limitazione di trattamento, il diritto alla portabilità, il diritto di opposizione, il diritto a non essere assoggettati a decisioni basate su un processo decisionale automatizzato;
      • individuare nominativamente per iscritto i Designati, fare in modo che gli stessi rispettino le istruzioni fornite dal Titolare ed altresì garantire che – con riferimento ai Dati Personali trattati dal Responsabile per conto del Titolare – i Designati siano vincolati dagli obblighi di riservatezza stabiliti nel Contratto per ciò che attiene alle Informazioni Confidenziali (come definiti nel Contratto);
      • sulla base delle informazioni a propria disposizione e in seguito alla ricezione di una richiesta scritta da parte del Titolare, assistere quest’ultimo nell’adempimento degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati personali, con particolare riferimento all’attuazione di misure tecniche e organizzative, al compimento delle attività necessarie in seguito ad una Violazione dei Dati Personali, nonché all’effettuazione di una valutazione d’impatto sulla protezione dei Dati Personali;
      • mettere a disposizione del Titolare tutte le informazioni richieste dallo stesso per dimostrare il rispetto degli obblighi previsti dalla normativa in materia di protezione dei dati personali di tempo in tempo applicabile;
      • contribuire alle attività di revisione, comprese eventuali ispezioni, realizzate dal Titolare e/o da un altro soggetto dallo stesso incaricato.
  6. Registro delle attività di trattamento
    1. Il Responsabile sarà tenuto a istituire e predisporre un registro delle attività di trattamento svolte per conto del Titolare ai sensi dell’Articolo 30, Par. 2 del GDPR (il “Registro”).
    2. Il Responsabile si impegna a tenere il Registro distinto da altri registri eventualmente tenuti, o, alternativamente, ad indicare nel proprio registro delle attività di Trattamento i Trattamenti effettuati per conto del Titolare separatamente dagli altri Trattamenti effettuati come titolare del trattamento o come responsabile.
    3. Su richiesta del Garante Privacy, il Responsabile fornirà tempestivamente una copia di tale Registro.
  7. Trattamento di Dati Personali verso Paesi Terzi
    1. Fatto salvo quanto stabilito all’art. 8.1 che segue, il Responsabile è tenuto ad effettuare il Trattamento avvalendosi di server ubicati all’interno del territorio dell’Unione europea, evitando qualsiasi trasferimento verso Paesi terzi extra-UE.
    2. Fermo restando quanto sopra, il trasferimento dei Dati Personali trattati dal Responsabile per conto del Titolare è consentito in presenza di una decisione di adeguatezza da parte della Commissione Europea.
  8. Nomina di Sub-responsabili del trattamento
    1. Il Titolare, con la sottoscrizione del presente Atto, autorizza il Responsabile a ricorrere ai soggetti indicati nella tabella che segue in qualità di sub-responsabili del Trattamento:
      • Provider: Stripe, Inc.
      • Trattamento: Servizi di pagamento online
      • Luogo del Trattamento: US: CALIFORNA, San Francisco
      Stripe Inc, tratterà i Dati Personali, in qualità di sub-responsabile di Artshell, in conformità alla normativa europea in materia al fine di garantire un adeguato livello di tutela per il trasferimento dei Dati Personali verso gli Stati Uniti. In tal senso, Stripe Inc. ha adottato misure di conformità per il trasferimento internazionale dei dati – valide per tutte le società a livello globale di Stripe che si occupano del trattamento dei dati personali degli Interessati dell’UE – basate sulle clausole contrattuali tipo dell’UE (SCC, Standard Contractual Clauses), continuando in ogni caso a rispettare i principi del previgente framework del c.d. Privacy Shield (di cui aveva ottenuto le certificazioni nell’ambito del EU-US e EU-Swiss Privacy Shield); maggiori informazioni disponibili qui: General Data Protection Regulation
    2. Fermo quanto sopra, il Responsabile potrà incaricare ulteriori sub-responsabili previa comunicazione al Titolare. In tali casi, il Responsabile selezionerà sub-responsabili tra soggetti che per esperienza, capacità e affidabilità forniscono garanzie sufficienti per mettere in atto misure tecniche e organizzative di sicurezza adeguate, in modo tale che il Trattamento soddisfi i requisiti di cui alla normativa di volta in volta applicabile e garantisca la tutela dei diritti degli Interessati anche secondo quanto stabilito nel presente Atto. Inoltre, tutti i sub-responsabili saranno tenuti, in virtù di un contratto di conferimento di incarico sostanzialmente conforme al presente Atto, a rispettare i medesimi obblighi contenuti nell’Atto.
    3. Qualora un Sub-responsabile ometta di adempiere ai propri obblighi contenuti nel contratto di conferimento di incarico di cui al Paragrafo 8.2 che precede, il Responsabile conserverà nei confronti del Titolare l'intera responsabilità dell’adempimento degli obblighi del Sub-responsabile.
  9. Finalità del Trattamento da parte del Responsabile
    1. Il Responsabile, nei limiti previsti dal Contratto e dal presente Atto, tratterà i Dati Personali per conto del Titolare per le seguenti finalità:
      • prestazione dei Servizi SaaS che implicano il Trattamento dei Dati Personali di titolarità del Cliente da parte di Artshell, i.e. gestione, archiviazione, catalogazione, condivisione, tagging, presentazione, integrazione con documentazione e certificazione, e condivisione delle Fotografie delle Opere e, in generale, di tutto quanto contenuto nel Database Cliente (tramite il Servizio SaaS “Network”); e
      • prestazione dei Servizi SaaS precipuamente volti a consentire l’interazione tra Cliente e gli altri Interessati iscritti alla piattaforma Artshell tramite le funzioni di Following (i.e. inserimento e dunque dare visibilità del nome e ID utente dell’Interessato nella lista dei followers dell’account del Cliente); condivisione dei dati account tramite la funzione Firma Libro (i.e. inserimento nella “rubrica contatti” di altri utenti); invio e ricezione degli elementi del Database Cliente che il Cliente intende condividere con l’Interessato; invio e ricezione di messaggi istantanei tra Cliente e Interessati attraverso la funzione di “Chatting”; invio e ricezione della newsletter del Cliente ed eventuali comunicazioni e-mail contenenti proposte commerciali o informative; eventuale servizio di WebSite Integration (ove selezionato);
      • creazione, organizzazione, personalizzazione, generazione di passbook VIP, promozione, calendarizzazione e condivisione degli eventi del Cliente con gli Interessati facenti parte del proprio Network, nonché acconsentire alle successive attività di accredito e partecipazione agli eventi (i.e. inserimento del nominativo e del contatto e-mail dell’Interessato nella lista degli “ospiti” del Cliente, registrazione della data e dell’ora in cui l’Interessato ha effettuato una determinata azione – apertura invito, eliminazione, RSVP o altro –; registrazione della presenza fisica dell’Interessato all’evento tramite scansione del passbook o spunta della lista sull’app di Artshell ed elaborazione dei dati statistici relativi all’analisi dei risultati del Servizio SaaS di gestione eventi);
      • conservazione e storage del Database Cliente;
      • invio al Cliente di comunicazioni, anche personalizzate e confezionate ad hoc, senza l’impiego di strumenti automatizzati di profilazione, concernenti aggiornamenti sul mondo dell’arte, sulle nuove soluzioni digitali per facilitare e semplificare le attività di gestione, catalogazione e condivisione di opere e collezioni artistiche, nonché sulle attività di Artshell.
    2. Resta inteso che i dati personali sottesi alle finalità di cui al Paragrafo 9.1 che precede saranno visibili esclusivamente dal Cliente che li tratta in qualità di titolare; Artshell tratterà tali dati esclusivamente per conto del Cliente e solo conservandoli e archiviandoli per consentire la piena fruizione dei Servizi SaaS da parte del Cliente.
  10. Durata dell’Atto
    1. L’Atto sarà efficace a partire dalla data di sottoscrizione dello stesso e per tutta la Durata del Contratto (come in quest’ultimo definita), fatto salvo il caso di revoca da parte del Titolare ai sensi dall’Articolo 11 che segue.
    2. Alla scadenza, risoluzione, recesso o cessazione per qualsivoglia causa del Contratto, l’Atto cesserà automaticamente di produrre i propri effetti, senza necessità di disdetta alcuna.
    3. Alla scadenza del Contratto o in caso di revoca di cui all’Articolo 11 che segue, il Responsabile riconsegnerà al Titolare tutti i materiali – di qualsiasi genere e natura e in qualsiasi formato – contenenti Dati Personali cui dovesse aver avuto accesso e che gli sono stati consegnati nell’esecuzione del Contratto. Fermo restando quanto previsto dalle sezioni 9.3(x) e 13.4(ii) del Contratto, il Responsabile provvederà altresì a cancellare i Dati Personali trattati per conto del Titolare dai propri file e/o dalle proprie cartelle, e le relative copie in formato elettronico e/o cartaceo, ad eccezione di tutti i Dati Personali la cui conservazione è richiesta dalla legge di tempo in tempo applicabile.
  11. Diritti e obblighi del Titolare
    1. Il Titolare potrà richiedere al Responsabile informazioni e compiere revisioni volte a valutare le misure organizzative, tecniche e di sicurezza adottate dal Responsabile, al fine di verificare che il Responsabile agisca in conformità agli obblighi di cui al presente Atto e alla normativa di tempo in tempo applicabile in materia di protezione dei dati personali.
    2. Qualora il Titolare, in seguito alle attività di verifica di cui al Paragrafo 11.1 che precede, dovesse ritenere sulla base di motivate ragioni scritte e previamente comunicate al Responsabile, che le garanzie menzionate nella Premessa C del presente Atto siano venute meno, e/o accerti una violazione da parte del Responsabile degli obblighi di cui al presente Atto, potrà revocare l’incarico del Responsabile con effetto immediato.
  12. Corrispettivo
    1. Il Corrispettivo (come definito e pattuito nel Contratto) include le prestazioni inerenti alla qualifica di Responsabile del trattamento; pertanto il Responsabile non ha nulla a che pretendere a tale riguardo.
  13. Violazione dei Dati Personali
    1. Nel caso in cui si verificasse una Violazione dei Dati Personali trattati dal Responsabile per conto del Titolare, anche in conseguenza della condotta di eventuali Sub-responsabili, il Responsabile si impegna a:
      • informare il Titolare senza ingiustificato ritardo; e
      • predisporre e aggiornare un registro nel quale siano descritti la natura delle Violazioni dei Dati Personali avvenute, gli Interessati coinvolti, le possibili conseguenze, nonché le misure di sicurezza implementate, anche di concerto con il Titolare, per circoscrivere gli effetti negativi dell’evento e ripristinare la situazione precedente la suddetta violazione.
  14. Responsabilità
    1. Il Responsabile sarà responsabile nei confronti del Titolare - anche per il fatto dei propri Designati - per ritardi e/o per inesatto o mancato adempimento degli obblighi di cui al presente Atto.
    2. Il Responsabile sarà altresì responsabile a titolo esclusivo per qualsiasi violazione della normativa tempo per tempo applicabile in materia di protezione dei dati personali, che dovesse verificarsi per causa attribuibile allo stesso e in conseguenza del mancato rispetto delle istruzioni impartite dal Titolare nell’Atto e nel Contratto, ai sensi e nei limiti previsti dalla legge applicabile.
    3. Nell’eventualità in cui il Responsabile determini le finalità e i mezzi del Trattamento dei Dati Personali, in violazione degli obblighi di cui al presente Atto, egli sarà considerato un titolare del trattamento.
  15. Modalità di comunicazione
    1. Fermi restando i recapiti di Artshell altrove indicati nel Contratto, le Parti riconoscono e concordano che le reciproche comunicazioni e spedizioni contemplate o richieste dal presente Contratto, nonché tutte quelle che le Parti intratterranno in relazione ad esso, saranno effettuate per iscritto e indirizzate agli indirizzi sotto indicati:Per le comunicazioni ad Artshell:
    2. Indirizzo:
    3. Via Giosuè Carducci 8, 20123 Milano
    4. e-mail:
    5. admin@artshell.eu
    6. PEC:
    7. artshell@legalmail.it
    8. Alla c.a. di:
    9. Artshell S.r.l
    10. Per le comunicazioni al Cliente:
    11. Indirizzo:
    12. Indirizzo della Sede Legale del Cliente indicato nel Modulo d’Ordine
    13. e-mail:
    14. Indirizzo e-mail dell’Utente Admin indicato in fase di registrazione
    15. PEC:
    16. Indirizzo PEC indicato nel Modulo d’Ordine
    17. Alla c.a. di:
    18. Soggetto indicato quale legale rappresentante nel Modulo d’Ordine
  16. Legge Applicabile e foro competente
    1. Il presente Atto è regolato dalla legge italiana.
    2. Qualunque controversia dovesse insorgere con riferimento all’esecuzione, interpretazione e/o applicazione del presente Atto, sarà di esclusiva competenza del foro di Milano.
  17. Varie
    1. Ogni modifica del presente Atto sarà valida solo se effettuata per iscritto con la sottoscrizione dei rappresentanti autorizzati del Titolare e del Responsabile.
    2. In caso di contrasto tra il presente Atto e il Contratto, il presente Atto prevarrà sulle disposizioni relative al Trattamento dei Dati Personali contenute nel Contratto.

* * *      *      * * *

The legal entity or the self-employed professional identified as client in the Order Form (the “Data Controller” or the “Client”),

WHEREAS

  1. Artshell is a company operating in the sector of management of works of art and, more specifically, in the development of IT systems to facilitate and streamline the activities relating to the management, classification and share of works of art and artistic collections, as well as availability of online spaces for the organization of trade show-exhibition events. In this context, Artshell developed a software – called “Artshell” and accessible through an online platform at https://www.artshell.eu/ – capable to provide galleries, art collectors, artists and museums and event organizers with a full and integrated management of works of art, through a simple and intuitive web or mobile-based interface;
  2. The Client operates in the arts and/or event organization (e.g. exhibition events) sector and intends to use the services provided by Artshell (the SaaS Services, as defined under the Agreement) for the purpose of improving the management, presentation and communication to the public of the works of art and, in general, the performance of its initiatives and activities in the sector;
  3. The Client entered into a SaaS license agreement (the “Agreement”) – of which this agreement of appointment of Data Processor (“Deed”) is integral and substantial part as Annex 4 – pursuant to which Artshell will deliver, through the software as per the foregoing recital A (the Software, as defined under the Agreement), of some SaaS Services (as defined in the Agreement) involving the Processing by Artshell of the Personal Data owned by the Client, namely the Saas Services (as better defined individually in the Agreement) relating to: (i) the management, archiving, classification, retention, share, tagging, presentation, integration with documentation and certification of the images of the works of art (the Photos of the Works, as defined under the Agreement) and, in general, what is contained in the database loaded by the Client in the Software (the Client Database, as defined under the Agreement); (ii) Newslettering, Chatting, the creation, promotion and registration at Events, as well as the Website Integration service (when selected) and (iii) Network within which the Following and Visitors Book functions are operational; and
  4. The Client believes that Artshell has sufficient guarantees to adopt appropriate technical and organizational measures in order that the Processing of Personal Data (as defined hereinafter) meets the requirements established by the legislation on personal data protection and guarantees the protection of the rights of the data subjects (as defined hereinafter);

ALL THAT BEING SAID, THE DATA CONTROLLER APPOINTS

ARTSHELL S.R.L., with registered office in Milan, 20123, Via Carducci n. 8, Tax Code and VAT Number 10440980968, as data processor pursuant to article 28 of the GDPR (as defined hereinafter) in accordance with the Agreement, according to the restrictions and terms specified hereinafter (“Artshell” o il “Data Processor”).

  1. Definitions
    1. In addition to what is otherwise expressly defined herein, the following terms, with capital letter, shall have the meaning attributed thereto in this Article:
      • “Personal Data” means any information concerning the data subject (as defined hereinafter).
      • “Special Categories of Data” means Personal Data revealing the racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade-union membership, as well as genetic data, biometric data having the purpose to uniquely identify an individual, data concerning health or sex life of the data subjects (as defined hereinafter).
      • “Personal Data Protection Authority” means the Italian Personal Data Protection Authority.
      • GDPR” means the Regulation (EU) 2016/679 (“GDPR”)
      • Designated Persons” means any individual authorised and instructed to perform Personal Data processing activities under the authority of the Data Processor and/or its Data Subprocessors, if any (as defined hereinafter).
      • Data Subjects” means the individuals identified or that can be identified to whom Personal Data refer (an individual who can be identified, directly or indirectly, with particular reference to any identification data like name, ID number, data relating to the place, an online ID or to any or more elements typical of the individual’s physical, physiologic, genetic, psychic, economic, cultural or social is considered identifiable);
      • Processing” means any operation or set of operations, made with or without the assistance of automated processes and applied to Personal Data or sets of Personal Data, as collection, registration, organization, structuring, use, communication through transmission, dissemination or any other form of disclosure, comparison or interconnection, restriction, erasure or destruction;
      • Subprocessor” means a legal person, sole proprietorship or self-employed professional appointed by the Data Processor to carry out Personal Data Processing activities on behalf of the Data Controller; and
      • Personal Data Breach” means a breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of or access to Personal Data transmitted, stored or otherwise processed.
    2. The singular terms used herein shall refer also to the plural and vice versa.
  2. Purpose of the appointment as data processor
    1. Artshell undertakes to act as Data Processor for the purposes specified in the following Article 9, in accordance with the personal data protection legislation applicable from time to time as well as with the terms and instructions established hereunder.
  3. Categories of Personal Data being Processed
    1. For the performance of the Agreement and for the purposes of this Deed, the Data Processor shall solely process the following categories of Personal Data:
      • the Personal Data contained and/or retrievable from the Photos of the Works, including: images shot from the works possibly referable to identifiable subjects, personal data contained in all the documents inherent to the Photos of the Works and to the works of art represented therein (data relating to the current controllers and previous changes of ownership, etc.) as well as certifications relating to the same and all the additional data and/or information and/or contents loaded, entered, stored, managed, processed and prepared by the Client on the Platform and through the Software, including the results of the activities relating to the management, archiving, classification, tagging, presentation and share (Network) of the Photos of the Works relating to the SaaS Services
      • all Personal Data contained in the Client Database, including: any photographic and/or video images acquired during the “Events”; personal and contact data of the names included in the Client’s mailing list that are required for the use, subject to a prior selection, of the Newslettering service in order to allow the forwarding to such contacts/names of information and/or marketing communications relating to the Client’s activity through the Platform and the Software;
      • all Personal Data related to the use of the share service called “Network”, that enables the Client to share specific elements of its Database and/or account with other users or contacts, including: the recipient’s name; the contents of the shared elements; the sharing date; the number of times the sharing recipient has displayed, forwarded or acquired the shared “card” according to the received share permit;
      • the Personal Data, images, information and documentation shared by and with the Client through the Following function integrated in the “Network” service including: the name and user ID of the Data Subject included in the list of the followers of the Client’s account followed in order to fulfil the purposes specified more in detail in section 9 below; the data, images and information shared among the users through the Chatting and/or Newslettering services; any photographic and video images acquired during the performance of the “Events”; as well as statistical data inherent to display, opening and forwarding of the emails sent to the accounts followed;
      • the Personal Data associated with the messaging activity and with the use of the “Chatting” service, including: the name of sender and of recipient; date and time of forwarding and reception of the communication; and the statistical data related to the analysis and understanding of the results of the messaging activity;
      • the Personal Data intentionally shared and notified to Users for the registration in the “contact lists” of other Users by using the Visitors Book function integrated in the “Network” service including, among other things: the account name and email address of the data subject;
      • the Personal Data and information associated with the registration and attendance of the Data Subject at an event organized, promoted and shared by the Client through the Artshell “Events” service, including: name (and/or User ID) and email address; date and time at which the data subject made its registration at the event or refused the invitation or cancelled the event; date and time of the data subject’s entrance at the event through the scan of the passbook generated by the Software or by ticking the specific section of the Arthsell app, as well as the statistical data generated by the analysis of the results of the event management SaaS Service.
    2. Without prejudice to the provisions of Article 11 below, as well as to sections 9.3(x) and 13.4(ii) of the Agreement, subject to a prior written request by the Data Controller, the Data Processor undertakes to update, change, correct or erase the processed Personal Data in the shortest time possible and, in any case, within 15 (fifteen) days
  4. Categories of Data Subjects
    1. The Personal Data processed by the Data Processor specified in the foregoing Article 3 is exclusively referable to the following categories of Data Subjects:
      • all Artshell users and the personal contacts (even not registered at Artshell) to whom the Client targets its share (“Network”), Following, messaging (“Chatting”), forwarding of newsletters and event management activities;
      • any identifiable subjects possibly portrayed in the Photos of the Works;
      • any subjects holding rights to works of art retrievable from the documentation inherent to the Photos of the Works and to the works of art represented therein, as well as from the certifications relating thereto;
      • any additional third party subjects whose data and/or information can be related for various reasons to the Photos of the Works and to the works of art represented therein due to the management, classification and certification activities performed by the same relatively to the same works.
  5. Data Processor’s Obligations
    1. The Data Processor shall perform the obligations envisaged under the Agreement and hereunder. More specifically, the Data Processor shall:
      • accurately follow the Data Controller’s instructions and make exclusively the Personal Data Processing operations agreed with the Data Controller and indicated by the latter, and strictly necessary to perform the contract;
      • taking into account the nature, object, context, purposes of the Processing, as well as any risk to the rights and freedom of the Data Subjects, adopt the appropriate technical and organizational measures to guarantee a level of security adequate to the risk and, in any case, the integrity, the exactness of the Personal Data processed and the lawfulness of the Processing. In particular, in order to guarantee:some text
        1. the encryption of Personal Data;
        2. the capability to permanently ensure the confidentiality, integrity, availability and resilience of Processing systems and services;
        3. the capability to promptly restore the availability of Personal Data as well as the access to the same, in case of any physical or technical incident;
        4. a procedure to regularly test, verify and assess the effectiveness of the technical and organizational measures adopted in order to guarantee the Processing security; and
        5. other technical and organizational measures aimed at preventing any risk of destruction, loss or alteration of Personal Data, access to Personal Data by unauthorised subjects, use of Personal Data not compliant with the declared purposes of collection and/or any unauthorised use of the Data Used.
      • guarantee to the Data Controller the possibility to follow up the requests for the exercise of the rights of data subjects, including, by way of example without limitation, the right to access the Personal Data concerning them, the right to rectification, the right to erasure (or right to be forgotten), the right to restriction of processing, the right to portability, the right to opposition, the right not be subject to decisions based on an automated decision-making process;
      • identify on a name basis in writing the Designated Persons, procure that the same adhere to the instructions provided by the Data Controller and also guarantee that – with reference to Personal Data processed by the Data Processor on behalf of the Data Controller – the Designated Persons are bound by the confidentiality obligations established under the Agreement, with regard to Confidential Information (as defined under the Agreement);
      • based on the information available to it and following reception of a written request by the Data Controller, assist the latter in performing the obligations envisaged by the applicable personal data protection legislation, with special reference to the implementation of technical and organizational measures, to the performance of the activities required as a result of a Personal Data Breach, as well as to the execution of an impact valuation on Personal Data protection;
      • make available to the Data Controller all the information requested by the same to prove the fulfilment of the obligations envisaged by the personal data protection legislation applicable from time to time;
      • contribute to the review activities, including any inspections, made by the Data Controller and/or by any other subject authorised by the same.
  6. Record of processing activities
    1. The Data Processor shall create and prepare a record of processing activities carried out on behalf of the Data Controller pursuant to Article 30, Par. 2, of the GDPR (the “Record”).
    2. The Data Processor undertakes to maintain the Record separate from any other registers kept or, alternatively, to report in its record of Processing activities any Processing made on behalf of the Data Controller separately from any other Processing made as data controller or data processor.
    3. Upon request by the Personal Data Protection Authority, the Data Processor shall promptly provide copy of such Record.
  7. Processing of Personal Data to Third Countries
    1. Without prejudice to what is provided for under the following article 8.1, the Data Processor shall carry out the data Processing by using servers located within the European Union, avoiding any transfer to Non-EU third countries.
    2. Subject to the above, the transfer of Personal Data processed by the Data Processor on behalf o the Data Controller is allowed in case of a European Commission adequacy decision.
  8. Appointment of Data Subprocessors
    1. The Data Controller hereby authorises the Data Processor to use the subjects specified in the table below as Data Subprocessors:
      • Provider: Stripe, Inc.
      • Processing: Online payment services
      • Place of Processing: US: CALIFORNA, San Francisco
      Stripe Inc, will process Personal Data, as Artshell Data Subprocessor, in compliance with the European legislation on the matter in order to guarantee an adequate level of protection for the transfer of Personal Data to the United States. In this respect, Stripe Inc. adopted compliance measures for the international transfer of data – applicable to all Stripe companies worldwide dealing with the processing of personal data of EU data subjects – based on the EU typical contractual provisions (SCC, Standard Contractual Clauses), continuing in any case to adhere to the principles of the so-called Privacy Shield framework previously in force (in relation to which it had been EU-US and EU-Swiss Privacy Shield certified); more information is available at General Data Protection Regulation
    2. Subject to the above, the Data Processor may appoint further data subprocessors subject to prior notice to the Data Controller thereof. In such cases, the Data Processor shall select subprocessors among subjects who, due to their expertise, capacity and reliability, provide enough guarantees to implement adequate technical and organizational security measures, in order that the Processing meets the requirements of the legislation applicable from time to time and guarantees protection of the rights of data subjects also pursuant hereto. In addition, all subprocessors shall respect the same obligations contained herein by virtue of an appointment agreement substantially in line herewith.
    3. In the event that any Subprocessor fails to perform its obligations envisaged in the appointment agreement as per the foregoing Paragraph 8.2, the Data Processor shall continue to be entirely responsible to the Data Controller for the performance of the Subprocessor’s obligations.
  9. Purposes of Processing by Data Processor
    1. The Data Processor, within the limits envisaged under the Agreement and hereunder, shall process Personal Data on behalf of the Data Controller for the following purposes:
      • performance of the SaaS Services that involve the Processing of the Client’s Personal Data by Artshell , i.e. management, archiving, classification, share, tagging, presentation, integration with documentation and certification, and share of the Photos of the Works and, in general, all that is contained in the Client Database (through the “Network” SaaS Service); and
      • performance of SaaS Services mainly aimed at allowing interaction between the Client and the Data Subjects registered on the Artshell platform through the Following (i.e. entry and consequently giving visibility of the name and user ID of the Data Subject in the list of the followers of the Client account); share of the account data through the Visitors Book function (i.e. entry in the “contact list” of other users); sending and reception of the elements of the Client Database that the Client intends to share with the Data Subject; forwarding and reception of instant messages between Client and Data Subjects through the “Chatting” function; sending and reception of the Client’s newsletter and any email communications containing marketing or information offers; any WebSite Integration service (when selected);
      • creation, organization, customization, generation of VIP passbook, promotion, scheduling and share of the Client’s events with the Data Subjects being members of its Network, as well as allowing the following activities relating to registration and attendance at the events (i.e. entry of name and email contact of the Data Subject in the Client’s “guest” list, registration of date and time at which the Data Subject made a given action – opening, removal, RSVP or other –; registration of the physical presence of the Data Subject at the event through the scan of the passbook or by ticking the list on the Artshell app and processing of statistical data relating to the analysis of the event management SaaS Service results);
      • retention and storage of Client Database;
      • forwarding to the Client any communications, even customized and made ad hoc, without using computerized profiling tools, concerning updates on the world of art, new digital solutions to facilitate and streamline the activities relating to the management, classification and share of works of art and artistic collections, as well as on Artshell activities.
    2. It is hereby agreed that personal data associated with the purposes as per the foregoing Paragraph 9.1 shall be visible exclusively to the Client that processes it as data controller; Artshell shall process such data exclusively on behalf of the Client and only storing and recording it to allow the full use of the SaaS Services by the Client.
  10. Term of the Deed
    1. This Deed shall be effective starting from the date of its stipulation and for the entire Term of the Agreement (as defined thereunder), subject to revocation by the Data Controller pursuant to Article 11 below.
    2. Upon expiration, termination of or withdrawal from the Agreement for any reason whatsoever, the Deed shall automatically terminate its effects, without any notice.
    3. Upon expiration of the Agreement or in case of revocation as per Article 11 below, the Data Processor shall return to the Data Controller all the materials – of any kind whatsoever and in any form – containing Personal Data to which it may have had access and that have been delivered to the same in performing the Agreement. Without prejudice to the provisions of sections 9.3(x) and 13.4(ii) of the Agreement, the Data Processor shall also erase any Personal Data processed on behalf of the Data Controller from its files and/or folders, and the relevant copies in digital and/or paper format, except for all Personal Data the retention of which is requested by the law applicable from time to time.
  11. Data Controller’s rights and obligations
    1. The Data Controller may request information from the Data Processor and make reviews for the purpose of assessing the technical, organizational and security measures adopted by the Data Processor, in order to verify that the Data Processor acts in compliance with the obligations envisaged hereunder and under the personal data protection legislation applicable from time to time.
    2. If, following the audit activities as per the foregoing Paragraph 11.1, the Data Controller believes on the basis of founded written reasons previously notified to the Data Processor that the warranties mentioned in Recital C hereof are no longer applicable, and/or ascertains a breach by the Data Processor of the obligations envisaged hereunder, the Data Controller may revoke the Data Processor mandate with immediate effect.
  12. Fee
    1. The Fee (as defined and agreed under the Agreement) includes the services inherent to the Data Processor qualification; therefore the Data Processor shall have nothing to claim in this respect.
  13. Personal Data Breach
    1. In the event of a Breach of the Personal Data processed by the Data Processor on behalf of the Data Controller, also as a consequence of the conduct of any Subprocessors, the Data Processor undertakes to:
      • inform the Data Controller without any unjustified delay; and
      • prepare and update a record describing the type of any Personal Data Breach occurred, the Data Subjects involved, the possible consequences as well as the security measures implemented, also in agreement with the Data Controller, in order to limit the negative effects of the event and restore the situation existing before any such breach.
  14. 14. Liability
    1. The Data Processor shall be liable to the Data Controller – also for any fact related to its Designated Persons – for any delay and/or inexact or failed performance of the obligations hereof.
    2. The Data Processor shall also be exclusively liable for any breach of the personal data protection legislation applicable from time to time, that may occur for any reason attributable to the same and as a consequence of the non-compliance with the instructions provided by the Data Controller in this Deed and in the Agreement, pursuant to and within the limits envisaged by the applicable law.
    3. In the event that the Data Processor determines the purposes and means of Personal Data Processing, in breach of the obligations envisaged hereunder, the same will be considered a data controller.
  15. Communications
    1. The mutual communications contemplated or requested hereunder, as well as all communications between Data Controller and Data Processor in relation hereto, shall be made in writing and addressed to the addresses specified below or to any different address that Data Controller and Data Processor reserve the right to provide to each other.As to Data Processor
    2. Address:
    3. Via Giosuè Carducci 8, 20123 Milano
    4. Email:
    5. admin@artshell.eu
    6. Certified email:
    7. artshell@legalmail.it
    8. Attn:
    9. Artshell S.r.l
    10. Per le comunicazioni al Cliente:
    11. Address:
    12. Registered Office of the Client specified in the Order Form
    13. Email:
    14. Email address of the User Admin provided upon registration
    15. Certified email:
    16. Certified email address specified in the Order Form
    17. Attn:
    18. Person indicated as legal representative in the Order Form
  16. Applicable law and competent court
    1. This Deed is governed by the Italian laws.
    2. Any dispute arising in relation to the performance, interpretation and/or application hereof shall be submitted to the court of Milan, having exclusive jurisdiction.
  17. Miscellaneous
    1. Any amendment hereto shall not be valid unless it is made in writing and signed by the authorised representatives of Data Controller and Data Processor.
    2. In case of conflict between this Deed and the Agreement, this Deed shall prevail over the provisions relating to Personal Data Processing contained in the Agreement.

* * *      *      * * *

S'inscrire à la newsletter

Merci de votre attention! Votre demande a bien été reçue!
Oups! Un problème s'est produit lors de l'envoi du formulaire.

Accueil

Produits

Solutions pour:

galeries

Collections

Artistes

Salons

Nos services:

Concierge

les plans

A propos de nous

Contactez nous

Accédez
inscrits