Ultimo aggiornamento: 10 luglio 2025
1.1 Ambito di applicazione. Il presente documento stabilisce le condizioni generali di utilizzo (di seguito, le "Condizioni") della piattaforma online denominata "Tuduu" (di seguito, la "Piattaforma"), sviluppata e fornita da Drilldown S.r.l., con sede legale in Viale Isonzo 8, 20135 Milano (MI), Italia, P. IVA/C.F. 12392590969 (di seguito "Drilldown"). Le presenti Condizioni si applicano a tutti gli Utenti Professionali che si registrano alla Piattaforma e ne utilizzano i servizi. Per Utenti Professionali si intendono, a titolo esemplificativo: i professionisti della nutrizione (es. nutrizionisti, dietologi, dietisti) che utilizzano le sezioni "Ricette" e "Nutrition"; i creatori di contenuti e content provider (che utilizzano principalmente la sezione "Ricette"); e gli operatori e-commerce (che utilizzano le sezioni "Shop" e "Ricette").
1.2 Accettazione. L'accesso, la registrazione e qualsiasi utilizzo della Piattaforma da parte dell'Utente presuppongono la lettura integrale e l'accettazione espressa delle presenti Condizioni, nonché di eventuali documenti ad esse collegati (come la Privacy Policy e l'Accordo sul trattamento dei dati, ove applicabile). In mancanza di accettazione, non è consentito l'uso della Piattaforma. L'Utente dichiara di aver preso visione delle Condizioni e si impegna a rispettarle in ogni momento.
1.3 Requisiti dell'Utente. La Piattaforma è destinata a Utenti Professionali maggiorenni e dotati di capacità giuridica. Registrandosi, l'Utente garantisce di avere almeno 18 anni (o l'età di maggiore età legale nel proprio paese) e, se agisce per conto di una società o ente, di avere i necessari poteri di rappresentanza. Drilldown si riserva il diritto di richiedere informazioni o documentazione aggiuntiva per verificare lo status professionale dell'Utente (ad esempio, iscrizione a un Albo professionale per i nutrizionisti, ove richiesto dalla normativa vigente).
2.1 Procedura di registrazione. La registrazione alla Piattaforma può avvenire (i) attraverso l'apposito modulo di iscrizione online messo a disposizione sul sito web della Piattaforma, nel quale l'Utente fornirà i dati richiesti, oppure (ii) mediante invito diretto inviato da Drilldown (ad esempio, nell'ambito di collaborazioni, programmi pilota o affiliazioni). In entrambi i casi, al completamento della registrazione all'Utente sarà creato un account personale (di seguito, "Account").
2.2 Dati forniti e credenziali. L'Utente si impegna a fornire durante la registrazione informazioni accurate, complete e veritiere (ad esempio: nome, cognome, indirizzo email, dati professionali, ecc.) e a mantenerle aggiornate. Le credenziali di accesso all'Account (username e password) sono personali e non cedibili. L'Utente è tenuto a custodire le proprie credenziali con la massima riservatezza e a non condividerle con terzi. In caso di smarrimento, furto o sospetto di uso non autorizzato dell'Account, l'Utente dovrà informare immediatamente Drilldown, che potrà adottare le misure necessarie (es. sospensione temporanea dell'Account).
2.3 Unicità dell'Account. Ogni Utente può creare un solo Account, salvo diversa autorizzazione scritta di Drilldown per esigenze specifiche (ad esempio, account separati per diversi collaboratori di una medesima organizzazione). Drilldown si riserva il diritto di eliminare o unificare account duplicati relativi al medesimo Utente.
2.4 Gestione e sospensione dell'Account. L'Utente è responsabile di tutte le attività svolte tramite il proprio Account. Drilldown si riserva la facoltà di rifiutare, sospendere o cancellare una registrazione o un Account, in qualsiasi momento e senza preavviso, nel caso in cui ritenga che vi siano violazioni delle presenti Condizioni, uso improprio della Piattaforma, o per motivi di sicurezza. In caso di cancellazione dell'Account da parte di Drilldown per violazione delle Condizioni, l'Utente non avrà diritto ad alcun rimborso di eventuali corrispettivi pagati per periodi di servizio non utilizzati, fatto salvo quanto diversamente previsto dalla legge applicabile.
3.1 Sezione "Ricette". La Piattaforma mette a disposizione una sezione "Ricette" in cui gli Utenti possono creare, caricare e gestire ricette culinarie. Questa sezione è accessibile a tutti gli Utenti Professionali registrati, in particolare: (i) professionisti della nutrizione, che possono creare ricette da includere nei piani alimentari per i propri clienti o per condividerle con altri utenti; (ii) creator e content provider, che possono pubblicare ricette originali, con testi, ingredienti, istruzioni e immagini, rendendole disponibili sulla Piattaforma; (iii) operatori e-commerce, che possono associare i prodotti del proprio negozio online come ingredienti delle ricette, rendendo tali ricette uno strumento di promozione e vendita dei prodotti alimentari. La sezione Ricette consente di applicare filtri nutrizionali e di preferenza alimentare (ad es. ricette vegetariane, vegane, senza glutine, ecc.) per facilitare la ricerca di piatti adatti a specifiche esigenze. Le ricette caricate vengono elaborate dalla Piattaforma mediante algoritmi che analizzano gli ingredienti e calcolano automaticamente i valori nutrizionali (ad esempio calorie, macronutrienti, ecc.) per porzione, nonché la compatibilità con determinati regimi dietetici in base agli ingredienti indicati.
3.2 Sezione "Shop". La sezione "Shop" è dedicata agli Utenti Professionali che sono operatori di e-commerce e/o retail, nonché nel settore alimentare o nutrizionale. In questa sezione, l'Utente può integrare il proprio catalogo di prodotti alimentari o ingredienti con la Piattaforma Tuduu. In particolare, l'operatore e-commerce può collegare i prodotti del proprio shop online alle ricette presenti su Tuduu: ciò permette, ad esempio, che un ingrediente elencato in una ricetta corrisponda a un prodotto acquistabile sullo shop dell'operatore. Gli utenti finali della Piattaforma (es. visitatori o clienti dell'operatore) potranno così aggiungere tali ingredienti/prodotti direttamente al carrello d'acquisto con un clic, creando un'esperienza di "ricetta acquistabile". La Piattaforma offre inoltre funzionalità SEO (Search Engine Optimization) automatiche per le ricette integrate con lo shop, al fine di aumentarne la visibilità online. Anche per i prodotti associati allo Shop, la Piattaforma può applicare algoritmi di analisi nutrizionale e categorizzazione: ad esempio, identificando le caratteristiche nutrizionali o la presenza/assenza di allergeni e generando automaticamente filtri (es. "senza lattosio", "biologico", ecc.) che aiutino gli utenti a trovare prodotti in linea con le loro esigenze dietetiche.
3.3 Sezione "Nutrition". La sezione "Nutrition" è rivolta principalmente ai professionisti della nutrizione (nutrizionisti, dietologi, dietisti o altre figure abilitate). In quest'area della Piattaforma, il professionista può gestire informazioni e piani nutrizionali per i propri clienti/pazienti. Le funzionalità della sezione Nutrition includono strumenti per creare e personalizzare piani alimentari, diete o report nutrizionali. Il professionista può utilizzare le ricette (proprie o disponibili sulla Piattaforma) all'interno dei piani nutrizionali, con la possibilità di modificare le porzioni e vedere gli impatti nutrizionali in tempo reale grazie agli algoritmi di calcolo nutrizionale integrati. Inoltre, la sezione Nutrition fornisce la possibilità di generare documenti PDF (ad esempio, schede dieta o report da consegnare al cliente) e di sfruttare un'app mobile dedicata: questa applicazione mobile consente al cliente finale di visualizzare il proprio piano nutrizionale, le ricette consigliate e altre informazioni condivise dal professionista, direttamente sul proprio smartphone. Ciò favorisce un monitoraggio continuo e un'interazione più diretta tra il professionista e il cliente attraverso la Piattaforma.
3.4 Algoritmi di analisi nutrizionale. In tutte le sezioni sopra descritte, la Piattaforma Tuduu utilizza algoritmi avanzati per l'analisi nutrizionale di ricette e prodotti. Tali algoritmi elaborano i dati forniti dagli Utenti (ingredienti delle ricette, informazioni nutrizionali dei prodotti, porzioni, ecc.) e producono in automatico output quali: il calcolo dei valori nutrizionali (es. energia, macronutrienti, micronutrienti), indicazioni su allergeni o sostanze specifiche presenti, e suggerimenti sulla compatibilità di ricette/prodotti con diete particolari (ad esempio, se una ricetta è adatta a una dieta vegana o senza glutine). Gli algoritmi mirano a fornire informazioni utili e accurate; tuttavia, essi operano in base ai dati disponibili e a regole generali, senza l'intervento umano diretto. Pertanto, gli output generati potrebbero non essere sempre perfettamente precisi o adeguati a ogni circostanza. È responsabilità dell'Utente (specialmente del professionista della nutrizione) esaminare e verificare l'esattezza delle informazioni nutrizionali e dei suggerimenti forniti algoritmicamente prima di utilizzarli o comunicarli ai propri clienti. Le modalità con cui gli Utenti devono gestire eventuali errori o incongruenze sono descritte nelle sezioni seguenti delle presenti Condizioni.
4.1 Utilizzo conforme e lecito. L'Utente si impegna ad utilizzare la Piattaforma e i servizi correlati in modo conforme alle presenti Condizioni, alle eventuali istruzioni fornite da Drilldown, e nel rispetto delle leggi e regolamenti applicabili. È fatto divieto all'Utente di utilizzare la Piattaforma per scopi illegali o non autorizzati. In particolare, l'Utente non dovrà: (i) utilizzare la Piattaforma in modo tale da violare diritti di terzi o norme di legge (ad esempio, norme in materia di proprietà intellettuale, protezione dei dati personali, concorrenza leale, ecc.); (ii) introdurre contenuti o materiali dannosi, offensivi, diffamatori, osceni o altrimenti inappropriati; (iii) tentare di accedere senza autorizzazione alle funzionalità della Piattaforma, ad account altrui o a sistemi informatici di Drilldown, né compromettere la sicurezza o l'integrità della Piattaforma (ad esempio attraverso l'introduzione di virus, malware o altre attività perturbative).
4.2 Verifica degli output algoritmici. Come descritto al paragrafo 3.4, la Piattaforma genera automaticamente informazioni nutrizionali e suggerimenti mediante algoritmi. L'Utente riconosce che tali informazioni sono di natura indicativa e vanno sempre valutate criticamente. È obbligo dell'Utente, in particolare se professionista della nutrizione, controllare l'esattezza e la coerenza degli output algoritmici (ad esempio, valori nutrizionali calcolati per una ricetta, etichette nutrizionali o dietetiche assegnate a un prodotto) prima di utilizzarli a fini professionali o di condividerli con i propri clienti o con il pubblico. Qualora l'Utente riscontri errori, incongruenze o anomalie nei dati generati dalla Piattaforma, si impegna a segnalarlo tempestivamente a Drilldown tramite gli strumenti di assistenza o contatto messi a disposizione. L'Utente è consapevole che il mancato rispetto di tale obbligo di verifica potrebbe comportare la diffusione di informazioni inesatte, di cui egli stesso sarà considerato responsabile.
4.3 Contenuti dell'Utente – Licenze e garanzie. Tutti i contenuti caricati, pubblicati o altrimenti inseriti dall'Utente sulla Piattaforma (inclusi, a titolo esemplificativo: testi, ricette, ingredienti, foto, video, marchi, loghi, descrizioni di prodotti) devono essere nella legittima disponibilità dell'Utente. L'Utente garantisce di disporre dei necessari diritti (di proprietà intellettuale e/o di utilizzo) su tali contenuti, o comunque di avere ottenuto le opportune autorizzazioni dai titolari dei diritti, in modo che l'utilizzo dei contenuti sulla Piattaforma e da parte di Drilldown ai sensi delle presenti Condizioni non violi diritti di terzi. Inoltre, caricando contenuti sulla Piattaforma, l'Utente concede a Drilldown il diritto e la licenza non esclusivi, sublicenziabili e gratuiti di utilizzare, riprodurre, modificare, pubblicare, tradurre, distribuire, visualizzare ed eseguire tali contenuti esclusivamente in relazione alla fornitura dei servizi della Piattaforma e alle attività promozionali della stessa. Tale licenza cesserà nel momento in cui l'Utente rimuova i contenuti dall'Account o dalla Piattaforma, fatti salvi i casi in cui la conservazione sia richiesta per obblighi di legge o per tutela di diritti. L'Utente garantisce inoltre che i contenuti forniti sono accurati, veritieri (ad esempio, le informazioni nutrizionali o gli ingredienti di una ricetta corrispondono al vero) e non sono contrari a norme di legge o regolamenti (ad esempio, non contengono affermazioni ingannevoli o non consentite in ambito alimentare). L'Utente si assume la piena responsabilità per i contenuti che immette sulla Piattaforma, manlevando e tenendo indenne Drilldown da qualsiasi pretesa di terzi derivante dai suddetti contenuti (si veda anche la Clausola di Manleva al par. 9.4). Drilldown si riserva il diritto di rimuovere o oscurare qualsiasi contenuto dell'Utente che ritenga, a suo insindacabile giudizio, violare le presenti Condizioni o diritti di terzi, o risultare inappropriato.
4.4 Obblighi specifici per Operatori e-commerce. L'Utente che utilizza la sezione Shop in qualità di operatore e-commerce è l'unico responsabile dei prodotti che rende disponibili e delle transazioni commerciali eventualmente concluse attraverso la Piattaforma. Ciò include, a titolo esemplificativo ma non esaustivo: la conformità dei prodotti alimentari alle normative vigenti (ad esempio in materia di sicurezza alimentare, etichettatura, indicazioni nutrizionali e salutistiche autorizzate); la veridicità e completezza delle descrizioni dei prodotti (ingredienti, allergeni, caratteristiche nutrizionali, prezzo, ecc.); la gestione degli ordini effettuati dagli utenti finali, della relativa spedizione, consegna, fatturazione, nonché dell'assistenza post-vendita, resi e rimborsi secondo quanto previsto dalla legge applicabile (ad esempio il Codice del Consumo, se applicabile al cliente finale). Drilldown fornisce esclusivamente l'infrastruttura tecnologica della Piattaforma per facilitare l'incontro tra l'operatore e-commerce e gli utenti finali acquirenti: Drilldown, salvo intervento di partner terzi, non è parte contrattuale delle compravendite di prodotti tra l'Utente operatore e-commerce e i clienti finali, né assume obblighi di garanzia sui prodotti venduti da tali Utenti. L'operatore e-commerce manterrà completamente indenne Drilldown da qualsivoglia responsabilità o costo derivante da reclami, contestazioni, danni o violazioni relativi ai prodotti da lui offerti o alle transazioni commerciali effettuate tramite la Piattaforma.
4.5 Rispetto delle normative professionali. Se l'Utente è un professionista soggetto a norme deontologiche o requisiti legali specifici (ad esempio, un nutrizionista iscritto a un Ordine professionale), egli è tenuto a utilizzare la Piattaforma in modo coerente con gli obblighi derivanti dal proprio status professionale. Ad esempio, il professionista della nutrizione dovrà assicurarsi che l'utilizzo degli strumenti della Piattaforma (come l'elaborazione di diete o consigli nutrizionali) avvenga nel rispetto delle linee guida e normative applicabili alla sua professione. Nulla nelle presenti Condizioni esonera l'Utente dal rispetto di tali obblighi professionali.
5.1 Servizi a pagamento e piani SaaS. L'accesso ad alcune funzionalità o sezioni della Piattaforma (ad esempio, l'utilizzo avanzato della sezione Ricette per e-commerce, o strumenti avanzati della sezione Nutrition) potrebbe essere subordinato alla sottoscrizione di un piano in abbonamento SaaS (Software-as-a-Service) a pagamento. Drilldown può offrire diversi piani con differenti livelli di servizio (ad esempio: piani con un numero massimo di ricette gestibili, funzionalità aggiuntive come ricette "acquistabili", rimozione di watermark Tuduu, supporto prioritario, ecc.), come descritti sulla Piattaforma o nella documentazione commerciale di Drilldown. Alcuni piani potrebbero prevedere un periodo di prova gratuita iniziale, al termine del quale l'abbonamento diverrà a pagamento salvo cancellazione tempestiva da parte dell'Utente.
5.2 Corrispettivi e modalità di pagamento. I prezzi dei vari pacchetti di abbonamento (di seguito "Corrispettivi") sono indicati sulla Piattaforma o comunicati da Drilldown all'Utente al momento della sottoscrizione. I Corrispettivi sono di norma espressi al netto dell'IVA e di eventuali tasse applicabili, che saranno aggiunte se dovute secondo la normativa fiscale vigente. Il pagamento dei Corrispettivi avviene attraverso sistemi di pagamento elettronico esterni, quali a titolo esemplificativo Stripe. Al momento della sottoscrizione, all'Utente potrà essere richiesto di inserire i dati di una carta di credito o di altro metodo di pagamento supportato, e l'Utente autorizza Drilldown (o il fornitore terzo Stripe) ad addebitare automaticamente il Corrispettivo dovuto con la periodicità prevista dal piano scelto (es. mensile o annuale). Tutte le transazioni sono soggette ai termini e alle condizioni del fornitore di pagamento Stripe; Drilldown non memorizza i dettagli completi delle carte di credito dell'Utente, che sono gestiti in sicurezza da Stripe.
5.3 Variazioni di prezzo. Drilldown si riserva il diritto di modificare il prezzo dei piani di abbonamento in qualsiasi momento. Eventuali variazioni di prezzo diverranno effettive non prima del periodo di fatturazione successivo alla comunicazione all'Utente. Drilldown informerà l'Utente in modo appropriato (ad esempio via e-mail o tramite notifica all'interno della Piattaforma) riguardo a modifiche di prezzo con ragionevole anticipo. Qualora l'Utente non intenda accettare il nuovo prezzo, potrà disdire l'abbonamento prima che la modifica divenga effettiva; il proseguimento nell'utilizzo del servizio dopo l'entrata in vigore della modifica costituirà accettazione del nuovo prezzo.
5.4 Durata dell'abbonamento e cancellazione. Salvo diversa indicazione, gli abbonamenti si intendono a rinnovo automatico: alla scadenza di ciascun periodo (mensile, annuale, ecc.), l'abbonamento si rinnova automaticamente per un ulteriore periodo di uguale durata, salvo cancellazione da parte dell'Utente o disdetta da parte di Drilldown entro i termini indicati di seguito. L'Utente può recedere dall'abbonamento in qualsiasi momento tramite l'apposita funzionalità sulla Piattaforma (ad esempio, nelle impostazioni dell'Account) o contattando il supporto di Drilldown per richiederne la cancellazione. La cancellazione avrà effetto al termine del periodo di abbonamento già pagato: fino a tale termine l'Utente manterrà l'accesso alle funzionalità a pagamento, e non sono previsti rimborsi per eventuali periodi non utilizzati. In caso di mancato pagamento del Corrispettivo (ad esempio per carta di credito non valida o insufficienza di fondi) o di violazione delle presenti Condizioni da parte dell'Utente, Drilldown potrà sospendere o risolvere l'abbonamento; in tal caso l'Utente rimane obbligato al pagamento degli importi maturati fino alla data di cessazione, fermo restando il diritto di Drilldown al risarcimento di ulteriori danni se la risoluzione è avvenuta per inadempimento dell'Utente.
Qualora Drilldown e l'Utente abbiano stipulato un accordo scritto specifico che prevede termini e condizioni particolari per l'utilizzo della Piattaforma (ad esempio un contratto personalizzato di servizio, una convenzione aziendale o partner), o la pubblicazione dei contenuti (ricette e prodotti) su canali esterni quali il marketplace Tuduu.it o altri canali condivisi, le disposizioni di tale accordo particolare si applicheranno in aggiunta alle presenti Condizioni. In caso di contrasto tra le clausole del contratto personalizzato e quanto previsto nelle presenti Condizioni generali, prevarranno le clausole del contratto personalizzato, limitatamente agli aspetti in conflitto. Resta inteso che per tutto quanto non espressamente disciplinato nell'accordo specifico, si applicheranno le presenti Condizioni Generali.
7.1 Piattaforma e contenuti di Drilldown. La Piattaforma (inclusi il software, il codice sorgente, il design, l'interfaccia utente, i database, i marchi "Tuduu" e "Drilldown", i loghi, i nomi a dominio, e tutti gli altri contenuti e materiali presenti sul sito e sull'app ad eccezione dei Contenuti dell'Utente come definiti sopra) è di esclusiva proprietà di Drilldown o dei suoi eventuali licenzianti. Tali elementi sono protetti dalle leggi in materia di diritto d'autore, marchi, brevetti, design industriale e/o altre normative a tutela della proprietà intellettuale. L'Utente si impegna a non copiare, modificare, distribuire, vendere, o creare opere derivate da alcuna parte della Piattaforma o dei suoi contenuti proprietari, salvo quanto espressamente consentito da Drilldown o dalla legge. L'accesso alla Piattaforma non comporta in alcun modo il trasferimento in capo all'Utente di diritti di proprietà intellettuale su software o altri elementi di titolarità di Drilldown, ma solo la concessione di una licenza d'uso limitata, revocabile e non esclusiva, finalizzata all'utilizzo della Piattaforma conformemente alle presenti Condizioni.
7.2 Contenuti dell'Utente. L'Utente mantiene la piena titolarità dei diritti sui contenuti propri che carica sulla Piattaforma (come definiti al paragrafo 4.3). Tuttavia, conformemente a quanto stabilito nella clausola 4.3, l'Utente concede a Drilldown una licenza d'uso dei suddetti contenuti per le finalità e con le limitazioni ivi descritte. L'Utente prende atto che tali contenuti pubblicati sulla Piattaforma potrebbero essere visibili ad altri utenti o, nel caso di ricette o informazioni rese pubbliche, anche a visitatori non registrati, e autorizza Drilldown a effettuare eventuali attività di pubblicazione, condivisione o indicizzazione necessarie a dare visibilità a detti contenuti nei termini previsti dalle funzionalità della Piattaforma.
7.3 Feedback e suggerimenti. Nel caso in cui l'Utente fornisca a Drilldown commenti, suggerimenti o idee relative alla Piattaforma o ai servizi (ad esempio segnalazione di nuove funzionalità o migliorie), tali contributi non saranno considerati confidenziali. Drilldown sarà libero di utilizzare tali feedback per qualsiasi scopo, senza che ciò comporti per l'Utente diritto ad alcun compenso o riconoscimento, e senza che ciò comporti trasferimento di diritti all'Utente su eventuali modifiche o miglioramenti implementati.
8.1 Trattamento dei dati personali. Drilldown tratta i dati personali forniti dall'Utente o altrimenti raccolti durante l'utilizzo della Piattaforma in conformità al Regolamento UE 2016/679 ("GDPR") e alla normativa privacy italiana applicabile. Le informazioni sulle modalità e finalità del trattamento dei dati personali sono dettagliate nell'Informativa Privacy fornita all'Utente e disponibile sul sito della Piattaforma. L'Utente, accettando le presenti Condizioni, dichiara di aver preso visione di tale informativa.
8.2 Dati di terzi immessi dall'Utente. Nel caso in cui l'Utente (ad esempio un professionista della nutrizione) inserisca sulla Piattaforma dati personali di terzi, come informazioni sui propri clienti o pazienti (es. nome, contatti, dati relativi a salute o regime alimentare), egli garantisce di aver acquisito tali dati in modo lecito e, ove necessario, di aver ottenuto il consenso informato degli interessati per l'utilizzo di tali dati all'interno della Piattaforma. In relazione a tali trattamenti, l'Utente si qualifica come Titolare del trattamento e Drilldown opera come Responsabile del trattamento ai sensi dell'art. 28 GDPR, limitatamente alle attività di conservazione ed elaborazione necessarie per fornire i servizi della Piattaforma. A tal proposito, potrà essere predisposto un apposito Accordo sul Trattamento dei Dati (Data Processing Agreement) che disciplinerà nel dettaglio i rispettivi obblighi in materia di protezione dei dati personali; tale accordo, ove applicabile, si intende parte integrante delle presenti Condizioni.
8.3 Dati di utilizzo e dati aggregati. Drilldown è autorizzata a raccogliere ed elaborare dati relativi all'utilizzo della Piattaforma da parte degli Utenti (ad esempio, funzionalità utilizzate, numero di ricette create, parametri di ricerca, statistiche di navigazione, feedback forniti, ecc.) allo scopo di migliorare il servizio e garantire il corretto funzionamento della Piattaforma. Tali dati di utilizzo, una volta raccolti, potranno essere sottoposti a processi di anonimizzazione e aggregazione, in modo da non consentire più l'identificazione diretta o indiretta degli Utenti o di persone fisiche. L'Utente prende atto ed accetta espressamente che Drilldown, nel rispetto della normativa vigente, potrà utilizzare questi dati anonimi e aggregati per finalità di analisi statistica, ricerca e sviluppo, e anche a fini commerciali e di monetizzazione. Ciò potrà includere, ad esempio, la pubblicazione di report o insights sulle tendenze nutrizionali ricavati dai dati complessivi degli utenti, o la condivisione di dati statistici con terze parti interessate (ad esempio partner commerciali) in forma rigorosamente anonima. In nessun caso tali attività comporteranno la comunicazione a terzi di dati personali identificativi dell'Utente senza il consenso di quest'ultimo o senza un'altra valida base di liceità prevista dalla legge.
9.1 Funzionalità della Piattaforma - "come vista". La Piattaforma Tuduu e tutti i suoi servizi e funzionalità sono forniti all'Utente secondo la formula "così come sono" e "come disponibili" ("as is" e "as available"). Ciò significa che, pur impegnandosi Drilldown a mantenere la Piattaforma operativa e aggiornata, non viene rilasciata alcuna garanzia specifica circa l'assenza di errori o interruzioni. In particolare, Drilldown non garantisce che: (i) la Piattaforma soddisfi pienamente le esigenze specifiche dell'Utente; (ii) i risultati ottenuti tramite l'uso della Piattaforma (incluse le analisi nutrizionali algoritmiche) siano sempre precisi, accurati o affidabili; (iii) il funzionamento della Piattaforma sia privo di interruzioni, ritardi, malfunzionamenti o errori; (iv) eventuali difetti o bug del software vengano corretti immediatamente. L'Utente accetta che l'utilizzo della Piattaforma avvenga a proprio rischio.
9.2 Limitazione della responsabilità di Drilldown. Nella misura massima consentita dalla legge applicabile, Drilldown non sarà responsabile per danni indiretti, incidentali, consequenziali, speciali o punitivi subiti dall'Utente o da terzi in connessione con l'utilizzo della Piattaforma o l'impossibilità di utilizzare la stessa. Sono in ogni caso esclusi dal risarcimento, entro i limiti di cui sopra, i danni quali: perdita di profitto, mancato guadagno o risparmio, perdita di opportunità commerciali, perdita di dati, interruzione dell'attività o pretese di terzi nei confronti dell'Utente. Nel caso in cui Drilldown fosse ritenuta responsabile per qualsivoglia motivo nell'ambito del rapporto contrattuale con l'Utente, la responsabilità complessiva di Drilldown non potrà eccedere l'importo dei corrispettivi che l'Utente ha corrisposto a Drilldown nei 12 mesi precedenti l'evento che ha generato la responsabilità (ovvero, se l'utilizzo della Piattaforma avviene gratuitamente, un importo pari a Euro 100 a titolo di massimale). Questa limitazione di responsabilità si applica nella misura massima consentita dalla legge, e nulla nelle presenti Condizioni intende limitare la responsabilità di Drilldown per dolo o colpa grave, o altri casi in cui per legge non è ammessa limitazione.
9.3 Nessuna consulenza medica o diagnostica. L'Utente riconosce che la Piattaforma e le funzionalità fornite non hanno carattere di dispositivo medico e non costituiscono in alcun modo offerta di consulenza medica, diagnosi o trattamento sanitario personalizzato. Le informazioni nutrizionali, i dati e i suggerimenti generati tramite Tuduu hanno esclusivamente scopo informativo e di supporto professionale, e non sostituiscono in nessun caso il parere medico o la valutazione di un professionista sanitario abilitato. Qualsiasi decisione riguardante la salute, la dieta o il trattamento di un individuo deve essere presa da un professionista competente sulla base della valutazione diretta del caso specifico. Se l'Utente è un professionista della nutrizione, egli rimane pienamente responsabile delle consulenze fornite ai propri clienti/pazienti: l'uso della Piattaforma non esonera l'Utente dal dovere di valutazione personale e dal rispetto delle migliori pratiche professionali. Se l'Utente non è un operatore sanitario, egli dovrà sempre consultare medici o specialisti qualificati per diagnosi o consigli terapeutici. Drilldown non garantisce alcun risultato in termini di salute o condizione fisica derivante dall'uso della Piattaforma, né assume responsabilità per conseguenze derivanti dall'affidamento esclusivo a informazioni ottenute tramite la Piattaforma.
9.4 Manleva dell'Utente. L'Utente si impegna a manlevare e tenere indenne Drilldown, nonché i suoi rappresentanti, dipendenti e collaboratori, da qualsiasi perdita, danno, responsabilità, costo o spesa (incluse le spese legali ragionevoli) derivante da qualsivoglia reclamo o pretesa di terzi causato da o collegato a: (i) contenuti forniti dall'Utente sulla Piattaforma, che violino diritti di terzi o norme di legge; (ii) violazione da parte dell'Utente delle presenti Condizioni o di obblighi di legge nell'utilizzo della Piattaforma; (iii) negligenza, imprudenza o dolo dell'Utente nell'utilizzo della Piattaforma; (iv) prodotti venduti o commercializzati dall'Utente tramite la Piattaforma (nel caso di operatore e-commerce), ivi incluse eventuali contestazioni sulla qualità, conformità o sicurezza di tali prodotti. Drilldown notificherà tempestivamente all'Utente l'eventuale insorgenza di tali reclami e collaborerà ragionevolmente nella difesa, restando inteso che sarà facoltà di Drilldown disporre autonomamente della propria difesa legale.
10.1 Durata del contratto. Il presente accordo contrattuale tra l'Utente e Drilldown entra in vigore al momento dell'accettazione delle Condizioni da parte dell'Utente (registrazione e/o primo utilizzo della Piattaforma) e rimane valido per tutta la durata dell'utilizzo della Piattaforma da parte dell'Utente. L'account e l'eventuale abbonamento dell'Utente sono a tempo indeterminato con rinnovi periodici automatici come descritto sopra, salvo cessazione secondo quanto previsto di seguito.
10.2 Recesso dell'Utente. L'Utente può recedere in qualsiasi momento dal presente rapporto contrattuale richiedendo la cancellazione del proprio Account e cessando l'utilizzo della Piattaforma. La cancellazione dell'Account può essere effettuata tramite l'apposita funzione sulla Piattaforma (ove disponibile) o contattando Drilldown per iscritto. In caso di recesso volontario, l'Utente non avrà diritto ad alcun rimborso dei corrispettivi già pagati per servizi non integralmente goduti, fatto salvo quanto previsto al precedente par. 5.4 per gli abbonamenti in corso. La chiusura dell'Account comporta l'inaccessibilità futura ai dati e ai contenuti inseriti dall'Utente nella Piattaforma, fatti salvi gli obblighi di conservazione di dati per adempimenti di legge o tutela di diritti come indicato nella Privacy Policy.
10.3 Sospensione o risoluzione da parte di Drilldown. Drilldown si riserva il diritto di sospendere temporaneamente l'accesso dell'Utente alla Piattaforma o di risolvere il presente contratto con effetto immediato (disabilitando l'Account), nei seguenti casi: (i) quando ciò sia necessario per garantire la sicurezza della Piattaforma o dei dati (ad esempio, in caso di violazione o minaccia alla sicurezza informatica); (ii) in caso di violazione grave o reiterata da parte dell'Utente delle presenti Condizioni (ad esempio, uso illecito della Piattaforma, mancato pagamento di corrispettivi dovuti, divulgazione non autorizzata di dati riservati, ecc.); (iii) se richiesto da un provvedimento dell'Autorità o da una norma di legge; (iv) in caso di cessazione dell'attività di Drilldown relativa alla Piattaforma o di sopravvenuta impossibilità a fornire i servizi. Salvo che ciò sia vietato da legge o provvedimenti (es. ordine dell'autorità di oscuramento immediato), Drilldown fornirà all'Utente una comunicazione scritta della sospensione o risoluzione, indicando le relative motivazioni, con un preavviso ragionevole quando possibile. In caso di risoluzione non imputabile all'Utente (ad esempio, ipotesi (iv) sopra), Drilldown, ove applicabile, provvederà a rimborsare all'Utente la parte di corrispettivo già pagato relativa al periodo di abbonamento non goduto successivo alla data di efficacia della risoluzione.
10.4 Effetti della cessazione. A seguito della cessazione del rapporto contrattuale, per qualsiasi causa, l'Utente dovrà immediatamente cessare l'utilizzo della Piattaforma. Tutte le clausole delle presenti Condizioni che per loro natura sono destinate a sopravvivere alla cessazione (quali, a titolo esemplificativo: le obbligazioni di pagamento maturate, le esclusioni di garanzia, le limitazioni di responsabilità, le manleve, le disposizioni in materia di proprietà intellettuale e trattamento dei dati) continueranno ad avere piena efficacia. La cessazione dell'efficacia delle Condizioni non pregiudica eventuali diritti o rimedi legali maturati in capo alle parti fino a tale momento.
Drilldown si riserva il diritto di aggiornare o modificare in qualsiasi momento le presenti Condizioni, ad esempio per adeguarle a cambiamenti normativi, introduzione di nuove funzionalità o servizi, o per altre esigenze organizzative. In caso di modifica sostanziale delle Condizioni, Drilldown ne darà comunicazione all'Utente con adeguato preavviso, mediante pubblicazione di un avviso sul sito della Piattaforma e/o mediante invio di una comunicazione all'indirizzo email registrato dell'Utente. Le modifiche saranno efficaci a partire dalla data indicata nella comunicazione (o, in assenza di indicazione, trascorsi 15 giorni dalla comunicazione). Qualora l'Utente non intenda accettare le modifiche, potrà recedere dal contratto entro la data di efficacia delle stesse, cancellando il proprio Account. In mancanza di recesso entro tale termine, le nuove Condizioni si intenderanno accettate e troveranno applicazione nei confronti dell'Utente a decorrere dalla data di efficacia indicata.
Le presenti Condizioni e tutti i rapporti contrattuali che ne discendono sono regolati dalla legge italiana. Qualsiasi controversia che dovesse insorgere tra Drilldown e l'Utente in relazione all'interpretazione, validità, esecuzione o risoluzione delle presenti Condizioni, o comunque attinente all'uso della Piattaforma, sarà devoluta alla competenza esclusiva del Foro di Milano, fatti salvi eventuali fori inderogabili previsti dalla legge applicabile.
13.1 Interezza dell'accordo. Le presenti Condizioni (unitamente ai documenti richiamati o allegati, come l'Informativa Privacy e, ove applicabile, l'Accordo sul Trattamento dei Dati) costituiscono l'integrale accordo tra l'Utente e Drilldown in merito all'utilizzo della Piattaforma da parte dell'Utente, e sostituiscono ogni precedente intesa o accordo, orale o scritto, intercorsi tra le parti sul medesimo oggetto. Resta salva la possibilità di stipulare contratti ad hoc secondo quanto previsto all'art. 6 sopra.
13.2 Invalidità parziale. Qualora una qualsiasi disposizione delle presenti Condizioni fosse ritenuta nulla, invalida o inefficace da parte di un'autorità competente (ad esempio, un Tribunale), essa sarà applicata nella misura massima consentita e ciò non inficerà la validità e l'efficacia delle restanti disposizioni, che continueranno a rimanere pienamente valide e vincolanti.
13.3 Non rinuncia. L'eventuale mancato o ritardato esercizio di un diritto o facoltà previsto a favore di Drilldown dalle presenti Condizioni non costituisce in alcun modo rinuncia a far valere tale diritto o facoltà, che potrà essere altresì fatto valere in un momento successivo, nei limiti consentiti dalla legge.
13.4 Cessione del contratto. L'Utente non può cedere o trasferire a terzi il presente contratto (ossia il proprio Account e i diritti/obblighi derivanti dalle Condizioni) senza il previo consenso scritto di Drilldown. Drilldown, previa comunicazione all'Utente, potrà cedere il presente contratto nell'ambito di trasferimenti di azienda, operazioni societarie straordinarie o a società controllanti, controllate o collegate, fermo restando che ciò non pregiudicherà i diritti dell'Utente ai sensi delle presenti Condizioni.
13.5 Lingua e versioni. Le presenti Condizioni Generali di Utilizzo sono redatte in lingua italiana. Eventuali traduzioni in altre lingue o versioni locali sono fornite esclusivamente per comodità di consultazione; in caso di difformità o dubbi interpretativi, il testo in lingua italiana prevarrà sugli altri.
13.6 Contatti. Per qualsiasi comunicazione relativa alle presenti Condizioni o all'utilizzo della Piattaforma, l'Utente può contattare Drilldown ai recapiti indicati sul sito (ad esempio, all'indirizzo email di supporto fornito). Drilldown potrà contattare l'Utente ai recapiti (email, indirizzo) forniti in sede di registrazione.
Parti: Il presente Accordo sul Trattamento dei Dati è stipulato tra:
Titolare del trattamento (di seguito "Titolare"): il professionista (persona fisica o giuridica) che utilizza il modulo nutrizione e determina finalità e mezzi del trattamento dei dati personali dei pazienti;
Responsabile del trattamento (di seguito "Responsabile"): la società fornitrice del modulo nutrizione (es. piattaforma software/CRM), che tratta i dati personali per conto del Titolare.
1.1 Oggetto
Ai sensi dell’art. 28 del Regolamento (UE) 2016/679 (GDPR), il presente accordo disciplina il trattamento dei dati personali che il Responsabile effettua per conto del Titolare nell’ambito del modulo nutrizione del servizio fornito al Titolare. In particolare, il Responsabile tratterà i dati inseriti dal Titolare nel CRM (nome, cognome, contatti, dati nutrizionali dei pazienti, ecc.) esclusivamente per fornire le funzionalità del modulo nutrizione e in conformità alle istruzioni del Titolare (vedi Sez. 6). Il trattamento dei dati personali avverrà secondo le operazioni consentite dall’art. 4(2) GDPR, quali la raccolta, registrazione, organizzazione, conservazione, consultazione, uso, modifica, cancellazione, ecc., necessarie per erogare il servizio.
1.2 Durata
La durata del presente accordo coincide con quella del rapporto contrattuale tra Titolare e Responsabile relativo all’utilizzo del modulo nutrizione. L’accordo resta in vigore finché il Responsabile tratta dati personali per conto del Titolare. In caso di cessazione del servizio principale (es. cancellazione account o termine del contratto di servizio), troveranno applicazione le disposizioni sulla restituzione/cancellazione dei dati di cui alla Sez. 10. Il Titolare ha facoltà di risolvere con effetto immediato il presente accordo in caso di grave violazione da parte del Responsabile delle norme sulla protezione dei dati o degli obblighi qui previsti. Resta salvo il diritto di ciascuna parte di chiedere il risarcimento di eventuali danni derivanti dalla violazione dell’accordo.
Il Responsabile fornisce al Titolare una piattaforma software (modulo nutrizione) in modalità Software as a Service per la gestione dell’attività nutrizionale dei pazienti. La finalità del trattamento è permettere al Titolare di archiviare ed elaborare informazioni sui propri pazienti al fine di offrire consulenze nutrizionali personalizzate, elaborare piani alimentari, monitorare l’andamento del peso e altri parametri sanitari, nonché gestire comunicazioni con i pazienti e appuntamenti correlati. Tali funzionalità rientrano nell’ambito delle pratiche mediche/nutrizionali gestite dal software, analogamente a servizi digitali sanitari per la gestione di cartelle cliniche e piani di cura.
In concreto, la natura del trattamento svolto comprende tutte le operazioni necessarie all’erogazione del servizio di modulo nutrizione, tra cui la raccolta, l’organizzazione, la consultazione, la modifica, il salvataggio, l’estrazione, la comunicazione al Titolare stesso, la cancellazione o distruzione dei dati inseriti nel sistema, secondo le istruzioni del Titolare. Il Responsabile non utilizzerà i dati per finalità proprie ulteriori rispetto a quelle pattuite, né li comunicherà a terzi se non su istruzione del Titolare o obbligo di legge (come dettagliato più avanti).
Nell’ambito del modulo nutrizione, il Responsabile tratterà per conto del Titolare le seguenti tipologie di dati personali riferiti ai pazienti del Titolare:
Dati anagrafici e di contatto: nome, cognome, indirizzo email, data e luogo di nascita, recapiti telefonici ed eventuali indirizzi (es. per contattare il paziente).
Dati nutrizionali/sanitari: informazioni sullo stato di salute e sulle abitudini alimentari del paziente, ad esempio preferenze o restrizioni nutrizionali (diete particolari, allergie alimentari, scelte vegetariane/vegane, ecc.), dati di monitoraggio del peso e parametri antropometrici o di salute similari, nonché eventuali note sullo stile di vita rilevanti per la nutrizione. Tali informazioni rientrano tra i dati personali attinenti alla salute ai sensi dell’art. 4(15) GDPR e /o possono indirettamente rivelare convinzioni di carattere religioso o filosofico (es. scelte alimentari), costituendo categorie particolari di dati ai sensi dell’art. 9 GDPR. Di conseguenza, sia il Titolare che il Responsabile si impegnano ad adottare le cautele e misure di sicurezza necessarie previste dalla normativa per proteggere questi dati sensibili.
Le categorie di soggetti interessati i cui dati vengono trattati in esecuzione del presente accordo sono: i pazienti (clienti) del Titolare, persone fisiche che ricevono consulenza nutrizionale o altri servizi dal Titolare e i cui dati personali sono inseriti nel modulo nutrizione.
Il Titolare si impegna a:
Liceità e trasparenza: Garantire che i dati personali dei pazienti affidati al Responsabile siano raccolti e trattati lecitamente (ad esempio, ottenendo ove necessario il consenso informato del paziente o altra base giuridica valida ai sensi dell’art.6 GDPR) e che gli interessati siano stati informati adeguatamente sulle finalità e modalità del trattamento, conformemente agli artt. 13 e 14 GDPR. Il Titolare rimane responsabile verso gli interessati per l’osservanza degli obblighi di legge in relazione a tali dati.
Istruzioni documentate: Fornire al Responsabile istruzioni documentate, chiare e aggiornate sul trattamento dei dati (es. mediante questo accordo e eventuali policy o indicazioni operative). Eventuali istruzioni aggiuntive o modifiche alle istruzioni iniziali dovranno essere comunicate per iscritto (anche via email PEC o sistema di ticketing elettronico) e conservate come riferimento. Il Responsabile tratterà i dati solo secondo le istruzioni ricevute. Qualora, a giudizio del Responsabile, un’istruzione del Titolare violi la normativa privacy, il Responsabile informerà immediatamente il Titolare (vedi anche Sez. 6).
Vigilanza e audit: Verificare, prima dell’inizio e poi regolarmente, che il Responsabile fornisca garanzie sufficienti in termini di misure tecniche e organizzative adeguate alla protezione dei dati affidati, e che rispetti le disposizioni del presente accordo. Il Titolare ha il diritto di effettuare o far effettuare audit periodici (es. annuali) e ispezioni, previo ragionevole preavviso, sulle attività del Responsabile relative ai dati affidati, per controllare il rispetto delle norme sulla protezione dei dati e delle istruzioni concordate. Il Responsabile si impegna a cooperare fornendo informazioni o accesso ragionevole alle infrastrutture, nei limiti concordati (vedi Sez. 6 e 8 per dettagli su audit e subfornitori).
Segnalazione di irregolarità: Informare prontamente il Responsabile qualora rilevi errori, incongruenze o violazioni nelle modalità di trattamento effettuate dal Responsabile che possano comportare una non conformità al presente accordo o alle norme privacy vigenti. Le parti coopereranno per porre rimedio tempestivamente a qualsiasi irregolarità riscontrata.
Riservatezza delle informazioni: Trattare come strettamente confidenziali tutte le informazioni relative alle misure di sicurezza, ai sistemi e ai segreti commerciali del Responsabile di cui venisse a conoscenza nell’ambito del rapporto contrattuale. Tale obbligo di riservatezza rimane valido anche successivamente alla cessazione del presente accordo.
Gestione delle richieste degli interessati: Il Titolare resta responsabile nel dare riscontro alle richieste di esercizio dei diritti presentate dai propri pazienti (accesso, rettifica, cancellazione, opposizione, portabilità, etc. – Capo III GDPR). Qualora il Responsabile riceva direttamente comunicazioni o richieste da parte di un interessato relative ai dati oggetto di questo accordo, dovrà trasmetterle immediatamente al Titolare senza darvi seguito autonomamente, salvo specifica autorizzazione. Il Titolare fornirà al Responsabile le istruzioni necessarie per soddisfare tali richieste, tenendo conto che il Responsabile assisterà il Titolare nella misura prevista dalla legge (vedi Sez. 6).
Il Responsabile si impegna ad adempiere a tutti gli obblighi previsti dall’art. 28 GDPR. In particolare, fermi restando gli obblighi ulteriormente dettagliati altrove nel presente accordo, il Responsabile deve:
Trattare solo su istruzioni: trattare i dati personali esclusivamente su istruzione documentata del Titolare. Ciò vale anche per eventuali trasferimenti di dati verso Paesi terzi o organizzazioni internazionali: tali operazioni non sono consentite al Responsabile senza preventiva istruzione/autorizzazione del Titolare (si veda anche Sez. 9), salvo che una norma di diritto dell’Unione o dello Stato membro imponga al Responsabile un determinato trattamento; in tal caso il Responsabile informerà il Titolare di tale obbligo giuridico prima del trattamento, a meno che la legge vieti tale comunicazione per importanti motivi di interesse pubblico.
Riservatezza del personale: garantire che le persone da lui autorizzate a trattare i dati personali (propri dipendenti o eventuali collaboratori) abbiano ricevuto adeguate istruzioni sul rispetto della normativa privacy e si siano impegnate contrattualmente alla riservatezza (o siano soggette ad un appropriato obbligo legale di riservatezza). Il Responsabile vigilerà affinché chiunque agisca sotto la sua autorità e abbia accesso ai dati personali del Titolare non li tratti se non su istruzione del Titolare stesso. Tale obbligo di riservatezza permane anche dopo la cessazione del presente accordo.
Sicurezza dei dati: adottare e mantenere misure tecniche e organizzative adeguate ai sensi dell’art. 32 GDPR per garantire un livello di sicurezza appropriato al rischio dei trattamenti affidati. Tali misure comprendono, tra l’altro, la pseudonimizzazione e la cifratura dei dati personali (quando opportuno), sistemi di controllo degli accessi e autenticazione, la capacità di assicurare la riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento, nonché la capacità di ripristinare tempestivamente l’accesso ai dati in caso di incidenti fisici o tecnici. Il Responsabile adotterà procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative implementate (si veda anche Sez. 7 sottostante per maggiori dettagli sulle misure di sicurezza).
Limitazioni d’uso: non utilizzare i dati personali forniti dal Titolare per finalità proprie e non effettuare copie o duplicati dei dati se non necessari per l’erogazione del servizio e comunque previo consenso/istruzione del Titolare. Il Responsabile garantisce di tenere i dati trattati per il Titolare logicamente o fisicamente separati da quelli di altri clienti o dalle banche dati proprie, onde evitare commistioni.
Sub-processori: non affidare a sub-responsabili (sub-processors) l’esecuzione di specifiche attività di trattamento per conto del Titolare senza autorizzazione (scritta) preventiva di quest’ultimohttps://www.privacy-regulation.eu/it/28.htm. In caso di autorizzazione all’uso di sub-responsabili (si veda Sez. 8 per dettagli), il Responsabile dovrà imporre a tali soggetti gli stessi obblighi in materia di protezione dei dati personali previsti dal presente accordo e rimarrà pienamente responsabile verso il Titolare dell’adempimento da parte del sub-responsabile dei propri obblighi.
Assistenza al Titolare: tenendo conto della natura del trattamento e delle informazioni a disposizione, assistere il Titolare nell’adempimento dei propri obblighi in materia di protezione dei dati. In particolare, il Responsabile fornirà supporto adeguato al Titolare affinché questi possa soddisfare le richieste per l’esercizio dei diritti degli interessati (diritto di accesso, rettifica, cancellazione, opposizione, portabilità, etc.), ad esempio mettendo a disposizione funzionalità del software che consentano al Titolare di estrarre, rettificare o cancellare i dati dei pazienti su richiesta. Inoltre, il Responsabile assisterà il Titolare nel garantire il rispetto degli obblighi di sicurezza dei dati e, se applicabile, di notifica di eventuali violazioni dei dati personali alle autorità di controllo o agli interessati, ai sensi degli artt. 32-34 GDPR (ad es. fornendo prontamente al Titolare le informazioni relative a un data breach per consentirgli di effettuare la notifica entro 72 ore, vedi anche punto seguente). Allo stesso modo, il Responsabile coopererà con il Titolare nel caso in cui sia necessaria una valutazione d’impatto sulla protezione dei dati (DPIA) o consultazioni preventive con l’autorità di controllo ex artt. 35-36 GDPR, fornendo le informazioni di competenza.
Notifica delle violazioni: informare immediatamente il Titolare in caso di violazioni di sicurezza o incidenti (es. accessi non autorizzati, perdita, distruzione o divulgazione accidentale dei dati personali) riguardanti i dati trattati per conto del Titolare. Tale comunicazione dovrà includere tutte le informazioni di cui il Responsabile venga a conoscenza utili al Titolare per valutare la gravità dell’evento e adempiere agli eventuali obblighi di notifica verso il Garante Privacy e/o di comunicazione agli interessati ex artt. 33 e 34 GDPR. Il Responsabile si impegna a supportare il Titolare nelle attività di analisi e gestione dell’incidente e nell’elaborazione delle relative notifiche o comunicazioni, secondo le istruzioni del Titolare.
Prova della conformità e audit: mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi previsti nel presente accordo. A richiesta del Titolare, il Responsabile fornirà documentazione attestante le misure di sicurezza implementate (es. certificazioni, report di audit interni/esterni, attestazioni di conformità) e faciliterà lo svolgimento di ispezioni o verifiche da parte del Titolare o di un soggetto dallo stesso incaricato. Le modalità di audit (tempi, estensione, misure di sicurezza per proteggere i dati di altri clienti, etc.) saranno concordate tra le parti nel rispetto delle reciproche esigenze.
Segnalazione di istruzioni in conflitto: qualora il Responsabile ritenesse che un’istruzione impartita dal Titolare violi il GDPR o altre disposizioni di legge in materia di protezione dei dati, dovrà informarne tempestivamente il Titolare prima di dare esecuzione a tale istruzione, potendo sospenderne l’applicazione fino a conferma o modifica da parte del Titolare (come consentito dall’art. 28(3) GDPR).
Il Responsabile dichiara di aver adottato misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio dei trattamenti effettuati, in conformità con l’art. 32 GDPR. La selezione di tali misure è stata effettuata tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, portata, contesto e finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche. In particolare, il Responsabile attua misure quali:
Controllo degli accessi: accesso ai dati personali consentito solo a personale autorizzato per le finalità strettamente necessarie; adozione di sistemi di autenticazione sicura per utenti e amministratori (es. password robuste, autenticazione a due fattori).
Cifratura e pseudonimizzazione: utilizzo di protocolli di crittografia per proteggere i dati personali durante la trasmissione (es. HTTPS/TLS) e, dove possibile, cifratura dei dati a riposo sui server o nei backup. Eventuale pseudonimizzazione dei dati identificativi dei pazienti nelle analisi aggregate, in modo che non possano essere attribuiti a persone fisiche specifiche senza informazioni aggiuntive.
Integrità e disponibilità: sistemi di backup regolari dei dati e procedure di ripristino per assicurare la disponibilità e l’accesso ai dati personali in tempi rapidi in caso di incidenti fisici o tecnici. Utilizzo di misure anti-malware, firewall e monitoraggio per prevenire accessi non autorizzati o perdita dei dati.
Test e monitoraggio: verifica periodica dell’efficacia delle misure di sicurezza adottate, tramite audit interni, test di vulnerabilità, monitoraggio dei log di sicurezza e, se del caso, correzione tempestiva di eventuali punti deboli individuati.
Le misure di sicurezza adottate dal Responsabile sono descritte in maggior dettaglio in apposita documentazione tecnica (es. appendice sulle Misure Tecniche e Organizzative), che può essere fornita al Titolare su richiesta e che si intende parte integrante del presente accordo. Il Responsabile garantisce di mantenere aggiornate tali misure per adeguarle all’evoluzione dei rischi e delle migliori pratiche di sicurezza, notificando al Titolare eventuali cambiamenti sostanziali che possano impattare sulla protezione dei dati affidati.
Il Responsabile potrà coinvolgere altri soggetti come sub-responsabili del trattamento (subfornitori) solo previa autorizzazione del Titolare. L’autorizzazione può essere specifica per un singolo sub-responsabile, oppure generale per categorie di sub-responsabili (ad esempio, fornitori di hosting, servizi di email, etc.) noti al momento della stipula: in quest’ultimo caso il Responsabile informerà comunque il Titolare di qualsiasi previsione di aggiunta o sostituzione di tali sub-responsabili, dandogli modo di opporsi a tali cambiamenti prima che il sub-responsabile inizi il trattamento dei dati.
Eventuali sub-responsabili autorizzati saranno vincolati per iscritto dal Responsabile con un contratto che imponga almeno gli stessi obblighi in materia di protezione dei dati previsti nel presente accordo, inclusi in particolare adeguate garanzie di sicurezza e riservatezza. Il Responsabile rimane pienamente responsabile nei confronti del Titolare dell’adempimento degli obblighi in capo ai sub-responsabili che dovesse nominare; qualora un sub-responsabile violi i suoi obblighi, il Responsabile risponderà in prima persona verso il Titolare per qualsiasi inadempimento.
Il trattamento dei dati personali oggetto del presente accordo avverrà esclusivamente in infrastrutture (server, data center) situate in territori dell’Unione Europea o dello Spazio Economico Europeo. Non è previsto alcun trasferimento dei dati personali verso Paesi terzi (al di fuori dello SEE) da parte del Responsabile, salvo quanto eventualmente necessario per l’uso di sub-responsabili autorizzati dal Titolare secondo la Sez. 8. In ogni caso, qualsiasi trasferimento di dati verso un Paese terzo o un’organizzazione internazionale da parte del Responsabile (o di suoi sub-responsabili) potrà aver luogo solo in conformità a quanto previsto dal Capo V GDPR. In particolare, dovrà essere ottenuta l’autorizzazione previa del Titolare e dovranno sussistere le condizioni previste dagli artt. 44 e seguenti GDPR, ad esempio sulla base di una decisione di adeguatezza della Commissione Europea oppure tramite l’adozione di clausole contrattuali standard approvate dalla Commissione, di regole vincolanti d’impresa o di altre garanzie appropriate. Il Responsabile informerà il Titolare sulle modalità e le basi giuridiche del trasferimento proposto affinché il Titolare possa valutare e concedere (o negare) l’autorizzazione.
Alla cessazione, per qualunque causa, del rapporto di servizio tra le parti relativo al modulo nutrizione (ad esempio, in caso di recesso o scadenza del contratto principale, o di sospensione definitiva del servizio da parte del Responsabile), il Responsabile cesserà ogni ulteriore trattamento dei dati personali effettuato per conto del Titolare. Su scelta del Titolare, comunicata per iscritto al momento della cessazione del contratto o entro un termine concordato, il Responsabile procederà a restituire tutti i dati personali trattati per conto del Titolare (ad esempio mediante esportazione in formato interoperabile) oppure a cancellare definitivamente tutti tali dati dai propri sistemi. In ogni caso, il Responsabile provvederà a cancellare eventuali copie esistenti dei dati (incluse copie di backup) salvo nella misura in cui la conservazione dei dati sia richiesta dalla normativa dell’Unione o degli Stati membri applicabile al Responsabile (in tal caso, il Responsabile comunicherà al Titolare i dati e la normativa che impongono la conservazione, trattandoli solo per tale finalità di conservazione legale). L’avvenuta cancellazione su richiesta sarà attestata per iscritto dal Responsabile su richiesta.
Restano ferme anche dopo la cessazione dell’accordo le obbligazioni di riservatezza assunte dal Responsabile e dal personale autorizzato durante la vigenza del medesimo. Il Responsabile inoltre garantisce che, in caso di cessazione, eventuali sub-responsabili nominati saranno vincolati agli stessi obblighi di restituzione/cancellazione dei dati personali del Titolare.
