Accordo sul trattamento dei dati personali su incarico

ClubDesk per le associazioni dello Spazio eco-nomico europeo (SEE) e per le associazioni con sede in Svizzera e membri nello SEE
(SEE: Stati membri dell'Unione europea più Islanda, Liechtenstein e Norvegia)

tra

Associazione che assegna l’incarico
- in qualità di titolare del trattamento, di seguito denominato “cliente” -

e

reeweb ag (Sviluppatore di ClubDesk)
Picassoplatz 8
4052 Basilea
Svizzera
- in qualità di responsabile del trattamento, di seguito denominata "reeweb" -

 

1. Oggetto e durata dell’incarico, applicazione del applicazione della legge sulla protezione dei dati personali

1.1. Oggetto dell’incarico
Oggetto dell’incarico è la fornitura del software ClubDesk per l'amministrazione dei dati dell’associazione come servizio via Internet (software-as-a-service) in conformità al contratto stipulato online tra il cliente e reeweb sulla base delle condizioni generali.

La gestione per quanto riguarda il contenuto dei dati dell'associazione e la responsabilità in materia di liceità del trattamento dei dati, ovvero la questione se determinati dati (per esempio i dati di contatto dei membri) possano essere trattati, spetta al cliente o al soggetto autorizzato a rappresentarlo. Nell'ambito degli accordi stipulati, reeweb tratta i dati inseriti dal cliente solo su incarico e secondo le istruzioni del cliente stesso.

Il presente accordo regola i diritti e gli obblighi del cliente e di reeweb nell'ambito del trattamento dei dati personali per conto del cliente. Le disposizioni si applicano a tutte le attività legate al contratto per cui reeweb e i suoi dipendenti o agenti entrano in contatto con i dati personali provenienti da o raccolti per il cliente.

1.2. Durata dell’incarico
La durata del presente incarico (termine) si basa sul termine del contratto principale. In caso di dubbi, qualora venga risolto il contratto principale, si considererà risolto anche il presente accordo, e viceversa.

In caso di violazioni semplici, ovvero non intenzionali o per negligenza grave, il cliente dovrà innanzitutto fissare un termine ragionevole entro il quale reeweb possa porre rimedio alla violazione. Resta fatto salvo il diritto di risoluzione straordinaria del presente accordo per giusta causa.

1.3. Applicazione del GDPR
Per il cliente in quanto associazione con sede legale nello Spazio Economico Europeo (SEE) o per le associazioni con membri del SEE, si applica il Regolamento generale sulla protezione dei dati (di seguito “GDPR”). In caso contrario, si applica la legge sulla protezione dei dati applicabile al cliente. reeweb, con sede legale in Svizzera, si atterrà alle disposizioni sulla protezione dei dati ad essa applicabili in ogni caso.

1.4. Luogo del trattamento dei dati
Il trattamento dei dati da parte di reeweb avviene in Svizzera. Nella sua decisione del 26.07.2000, la Commissione Europea ha stabilito che in Svizzera esiste un livello adeguato di protezione dei dati. Il trasferimento dell’elaborazione e della conservazione dei dati in uno stato membro dell’Union Europea, in un altro stato contraente dell’Accordo sullo Spazio Economico Europeo da parte die reeweb e in un paese con une decisione di adeguatezza è consentito.

L’eventuale trasmissione successiva a subappaltatori in paesi che non dispongono di un livello adequato di protezione dei dati è garantita dalla stipula di clausole contrattuali standard dell’UE (modulo 3). Qualora reeweb dovesse trasferire i dati anche in futuro sulla base di altri meccanismi di trasferimento legalmente consentiti, ne informerà preventivamente il cliente.

 

2. Dettagli relativi al contenuto dell’incarico

2.1. Portata, natura e scopo del trattamento dei dati previsto
Il trattamento dei dati è utilizzato per l'amministrazione di associazioni o gruppi secondo quanto stabilito nell’accordo. Questo può includere, per esempio, la gestione dei membri, dei prospect, dei partecipanti agli eventi, dei fornitori e degli appuntamenti. La portata, la natura e lo scopo del trattamento dei dati personali da parte di reeweb per il cliente sono descritti più dettagliatamente nell’Informativa sulla privacy.

2.2. Tipo e categorie di dati personali
La raccolta, il trattamento o l'utilizzo riguardano qualsiasi tipo/categoria di dati, a seconda della configurazione delle funzionalità flessibili di ClubDesk, nonché del loro utilizzo da parte dell’associazione/gruppo in conformità con il contratto principale. In particolare, possono essere considerate le seguenti categorie di dati:

• Dati anagrafici degli interessati, in particolare dei membri dell'associazione, tra cui
• Indirizzo e numero di telefono
• Indirizzo e-mail
• Coordinate bancarie
• Dati del libro paga (come lo stato del conto contributivo, lo stato dei conti clienti/fornitori e del libro paga)
• Dati riguardanti la qualifica professionale (ad esempio partecipazione a eventi e competizioni e relativi risultati, formazione dei dipendenti)

2.3. Gruppo e categorie di soggetti interessati
Il gruppo o le categorie di soggetti interessati dal presente trattamento su incarico comprendono qualsiasi persona, a seconda della configurazione delle funzionalità flessibili di ClubDesk, nonché del loro utilizzo da par-te dell’associazione/gruppo in conformità con il contratto principale. In particolare, vengono prese in conside-razione le seguenti categorie di persone:

• Membri dell'associazione / gruppo
• Soggetti interessati e ospiti
• Sponsor e finanziatori
• Partecipanti a eventi
• Dipendenti
• Fornitori/fornitori di servizi

 

3. Descrizione delle misure tecniche e organizzative di protezione e sicurezza dei dati da adottare

(1) Le misure tecniche e organizzative necessarie per un'adeguata protezione dei dati del cliente (ai sensi dell'art. 32 del GDPR) vengono descritte da reeweb nell'allegato. Se accettate dal cliente, le misure documentate diventano la base dell’incarico. Nella misura in cui un esame del cliente riveli la necessità di un adeguamento, questo deve essere attuato di comune accordo.

(2) reeweb stabilisce la sicurezza del trattamento dei dati in conformità con l'allegato al presente accordo. Nel complesso, le misure da adottare sono misure di sicurezza dei dati e misure per garantire un livello di protezione adeguato al rischio per quanto riguarda la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi, in particolare tenendo conto del controllo organizzativo, controllo dell’accesso, controllo del trasferimento, controllo dell’incarico, controllo della disponibilità e requisito della separazione. Si tiene conto dello stato dell'arte, dei costi di attuazione e della natura, della portata e delle finalità del trattamento, nonché della diversa probabilità e gravità del rischio per i diritti e le libertà delle persone fisiche.

(3) Le misure tecniche e organizzative sono soggette al progresso tecnico e all’evoluzione. A questo proposito, reeweb è autorizzata ad attuare misure alternative adeguate. Così facendo, il livello di sicurezza delle misure definite non deve essere sottovalutato. Il cliente deve essere informato immediatamente in forma scritta circa qualsiasi cambiamento significativo.

 

4. Correzione, blocco e cancellazione dei dati; Diritti dell'interessato e responsabilità

(1) reeweb non può correggere, cancellare o bloccare i dati elaborati per conto del cliente di propria iniziativa, ma solo in base alle istruzioni documentate del cliente, né limitarne il trattamento. Il blocco dell'accesso del cliente a ClubDesk da parte di reeweb è possibile nella misura in cui ciò sia consentito dalle condizioni generali di contratto di ClubDesk, ad esempio in caso di arretrati di pagamento o in caso di sospetto fondato di uso improprio.

(2) Nella misura in cui un interessato (ad es. un membro di un'associazione) si rivolge direttamente a reeweb in merito ai propri diritti di protezione dei dati, in particolare per ottenere informazioni, correzioni, cancellazioni e blocchi in conformità alla legge applicabile in materia di protezione dei dati, reeweb inoltrerà tale richiesta al cliente e/o rinvierà l'interessato al cliente e contemporaneamente informerà il cliente della richiesta dell'interessato. reeweb stessa non prenderà alcuna decisione sulla legittimità delle richieste degli interessati e in particolare non risponderà alle richieste di informazioni degli interessati.

(3) reeweb sosterrà il cliente nell'adempimento delle richieste degli interessati nell'ambito delle sue possibilità, a condizione che il cliente non possa rispondere alle richieste senza l'assistenza di reeweb. reeweb può esigere dal cliente un adeguato compenso aggiuntivo per le spese giustificate da tale collaborazione.

(4) Se un interessato si rivolge direttamente a reeweb a causa di una presunta violazione della protezione dei dati e ottiene da quest'ultima un risarcimento, il cliente è tenuto a risarcire a reeweb il danno risultante, nella misura in cui reeweb non risulti responsabile nei confronti del cliente per tale violazione della protezione dei dati secondo le disposizioni del presente accordo e del contratto principale, in par-ticolare se ha rispettato l'accordo e le istruzioni del cliente. Questo vale anche nel caso di una sanzione pecuniaria inflitta a reeweb.

 

5. Controlli e altri obblighi di reeweb

Oltre alle disposizioni del presente incarico, reeweb si attiene alle disposizioni legali sulla protezione dei dati in vigore presso la sua sede legale in Svizzera. Il legame tra le diverse norme contrattuali e legali si traduce in particolare nei seguenti obblighi di reeweb:

1. reeweb non è obbligata a nominare un responsabile della protezione dei dati. Le domande in materia di privacy possono essere indirizzate a datenschutz@clubdesk.com.

2. Nello svolgimento delle proprie attività, reeweb si avvale esclusivamente di collaboratori che si sono impegnati per iscritto alla riservatezza e che hanno precedentemente appreso le disposizioni sulla protezione dei dati che li riguardano, o che sono soggetti a un obbligo legale di riservatezza. Inoltre, reeweb garantirà il rispetto di questo obbligo con la dovuta diligenza. reeweb e qualsiasi persona subordinata a reeweb che abbia accesso ai dati personali tratterà tali dati esclusivamente in conformità alle istruzioni del cliente, compresi i poteri concessi nel presente accordo, a meno che non siano obbligati al trattamento per legge. In tal caso, reeweb informerà il cliente di tali requisiti legali prima del trattamento, a meno che la legge pertinente non vieti tale notifica a causa di un importante interesse pubblico.

3. reeweb verifica regolarmente le misure tecniche e organizzative di sicurezza dei dati per garantire che il trattamento, nel proprio ambito di responsabilità, sia effettuato in conformità con i requisiti di protezione dei dati ad esso applicabili per la durata del trattamento dei dati del cliente.

4. reeweb terrà un registro di tutte le categorie di attività di trattamento effettuate per conto del cliente.

 

6. Rapporti di subappalto

(1) Per rapporti di subappalto ai sensi del presente regolamento si intendono quelle prestazioni che si riferiscono direttamente alla fornitura della prestazione principale. Sono escluse le prestazioni accessorie di cui si avvale reeweb, come ad esempio i servizi di telecomunicazione, i servizi postali/di trasporto, la manutenzione e l'assistenza agli utenti o lo smaltimento dei supporti dati, nonché altre misure volte a garantire la riservatezza, la disponibilità, l'integrità e la resilienza dell'hardware e del software dei sistemi di trattamento dati. reeweb è tuttavia tenuta ad eseguire accordi contrattuali adeguati e conformi alla legge, nonché ad attuare misure di controllo per garantire la protezione e la sicurezza dei dati del cliente, anche nel caso di servizi accessori esternalizzati.

(2) Il cliente acconsente in generale all'incarico dei subappaltatori con i quali reeweb ha stipulato un accordo in conformità al presente accordo. Un elenco degli attuali fornitori di servizi può essere consultato sul sito web di reeweb all'indirizzo www.clubdesk.com/unterauftragnehmer.

(3) L'esternalizzazione a subappaltatori o il cambiamento del subappaltatore esistente è consentito nella misura in cui:

• un accordo contrattuale con il subappaltatore si basa su questo accordo in modo analogo
• reeweb comunichi al cliente tale esternalizzazione ai subappaltatori per iscritto o in forma di testo con un ragionevole anticipo (di solito due (2) mesi), indicando il momento del trasferimento dei dati, e
• il cliente non sollevi un’obiezione giustificata all’esternalizzazione prevista, per iscritto o in forma di testo, a reeweb entro il momento dalla trasmissione dei dati.

Un’eventuale opposizione da parte del cliente è considerata come una risoluzione straordinaria del contratto principale nel momento immediatamente precedente al trasferimento. Dopo tale data, il cliente non potrà più in alcun modo utilizzare i servizi di reeweb. Prima della consegna al subappaltatore, i dati del cliente saranno cancellati da reeweb. È compito del cliente effettuare il backup dei dati all’interno dei propri sistemi prima di questo momento.

(4) Il trasferimento dei dati personali del cliente al subappaltatore e la prima attività del subappaltatore sono consentiti solo dopo aver soddisfatto tutti i requisiti per il subappalto. Se un subappaltatore non rispetta i propri obblighi in materia di protezione dei dati, reeweb è responsabile nei confronti del cliente per il rispetto degli obblighi di tale subappaltatore.

(5) Se il subappaltatore fornisce il servizio concordato al di fuori dell'UE/SEE/Svizzera, reeweb dovrà garantire i requisiti speciali per il trasferimento in un paese terzo adottando misure adeguate. Lo stesso vale se i fornitori di servizi devono essere utilizzati per servizi ausiliari ai sensi del precedente paragrafo 1, frase 2, della legge al di fuori dell’UE/SEE/Svizzera.

7. Diritti di controllo del cliente

(1) reeweb si impegna a garantire che il cliente sia in grado di assicurarsi che reeweb rispetti i propri obblighi ai sensi del presente accordo. reeweb si impegna a fornire al cliente le informazioni necessarie su richiesta e, in particolare, a fornire prove dell'attuazione delle misure tecniche e organizzative.

(2) reeweb è autorizzata, a sua esclusiva discrezione, tenendo conto degli obblighi legali del cliente, a non divulgare informazioni sensibili in relazione alla propria attività o la cui divulgazione porterebbe reeweb a violare disposizioni di legge o altre disposizioni contrattuali. Il cliente non è autorizzato ad avere accesso a dati o informazioni riguardanti altri clienti di reeweb, a informazioni sui costi e a qualsiasi altro dato riservato di reeweb che non sia direttamente rilevante ai fini del controllo concordato.

(3) Il cliente ha il diritto, d'accordo con reeweb, di effettuare ispezioni (controllo dell’incarico) nell'ambito del consueto orario di lavoro a proprie spese, senza interrompere le ordinarie attività e nel rigoroso rispetto del segreto aziendale e commerciale di reeweb, o di farle eseguire da ispettori da nominare di volta in volta, a condizione che questi non siano in rapporto di concorrenza con reeweb. Il cliente deve informare reeweb in tempo utile (di regola almeno quattro settimane prima) di tutte le circostanze legate all'esecuzione dell'ispezione.

(4) A discrezione di reeweb, la prova del rispetto delle misure tecniche e organizzative può essere fornita anche in sostituzione di un'ispezione in loco, presentando un idoneo e attuale certificato di audit, rapporti o estratti di organismi indipendenti (ad es. revisori, controllori, responsabili della protezione dei dati, reparto sicurezza IT, controllori della protezione dei dati o controllori della qualità) o un'idonea certificazione di audit sulla sicurezza IT o sulla protezione dei dati - ad es. secondo la norma ISO 27001 o secondo l'art. 42 del GDPR - ("rapporto di audit"), se il rapporto di audit consente ragionevolmente al cliente di accertarsi del rispetto delle misure tecniche e organizzative. Anche il rispetto dei codici di con-dotta approvati può essere considerato come prova.

(5) Se il cliente incarica un soggetto terzo per effettuare l'ispezione, il cliente deve obbligare il soggetto terzo a mantenere la riservatezza. reeweb ha inoltre il diritto di esigere da terzi, prima dell’ispezione, un obbligo di riservatezza che vieta al cliente di essere informato su qualsiasi circostanza relativa all’incarico diversa da quelle rilevanti per la protezione dei dati, e a terzi di essere informati su qualsiasi circostanza accertata nel corso dell’incarico e dell’ispezione. Il cliente non può affidare l’ispezione a un concorrente di reeweb.

(6) Per il supporto nell'ambito dei controlli del cliente, reeweb può richiedere un adeguato compenso aggiuntivo per le spese giustificate da tali attività.

8. Notifica di violazione da parte di reeweb e supporto per il cliente

(1) reeweb comunicherà in ogni caso senza indugio al cliente se si sono verificate violazioni delle norme sulla protezione dei dati personali del cliente o delle disposizioni contenute nell’incarico da parte del cliente, delle persone impiegate dal cliente o dei subappaltatori assegnati al cliente e se queste vengono rese note a reeweb. Il contenuto delle notifiche è disciplinato dalla legge applicabile in materia di protezione dei dati.

(2) Il cliente è tenuto a informare immediatamente e integralmente reeweb nel caso in cui vengano rilevati errori o irregolarità rispetto alle norme sulla protezione dei dati o alle sue istruzioni durante l’ispezione dei risultati dell’incarico.

(3) Nell'ambito delle sue possibilità e del presente accordo, reeweb sosterrà il cliente nell'adempimento degli obblighi legali in materia di sicurezza dei dati personali, degli obblighi di notifica in caso di violazione dei dati, delle valutazioni d'impatto sulla protezione dei dati e consultazioni preventive con l'autorità di controllo. Ciò include, in particolare, la garanzia di un adeguato livello di protezione attraverso misure tecniche e organizzative che tengano conto delle circostanze e delle finalità del trattamento, nonché della probabilità e della gravità previste di una possibile violazione della legge dovuta a vulnerabilità della sicurezza e che consentano l'immediata individuazione di eventi di violazione rilevanti.

(4) Per i servizi di supporto che non sono inclusi nella descrizione delle prestazioni del contratto principale o che non sono dovuti a un comportamento scorretto da parte di reeweb, quest'ultima può richiedere un adeguato compenso aggiuntivo per le spese giustificate da tali attività.

9. Autorità del cliente

(1) Il trattamento dei dati avviene esclusivamente nell'ambito degli accordi presi e secondo le istruzioni del cliente, a meno che le disposizioni di legge non siano in contrasto con tali istruzioni. reeweb informerà il cliente in merito a tali requisiti legali, a meno che non vi sia un importante interesse pubblico a non farlo. Il cliente deve impartire le proprie istruzioni generali automaticamente attraverso le funzioni del software ClubDesk fornite secondo il contratto principale, i loro ingressi e configurazioni lato cliente.

(2) reeweb non è tenuta ad eseguire altre istruzioni individuali. Fa eccezione la singola istruzione di cancellare tutti i dati elaborati per conto del cliente, che reeweb deve sempre eseguire se è garantito che tale richiesta sia impartita dal cliente o da una persona autorizzata a rappresentarlo. Il cliente deve confermare immediatamente le istruzioni individuali verbali almeno in forma di testo. Una cancellazione necessita sempre di un'istruzione almeno in forma di testo. reeweb deve informare immediatamente il cliente se ritiene che un'istruzione individuale ai sensi del presente paragrafo violi le norme sulla protezione dei dati. reeweb ha il diritto di sospendere l'esecuzione dell'istruzione in questione fino alla sua conferma o modifica da parte del cliente. Se reeweb esegue un'istruzione individuale ai sensi del presente paragrafo, ha il diritto di richiedere un adeguato compenso aggiuntivo per le spese giustificate da tali attività.

(3) Le persone autorizzate a impartire istruzioni sono quelle che possono rappresentare efficacemente il cliente.

10. Cancellazione dei dati personali

(1) Non è possibile eseguire copie o duplicati dei dati senza che il cliente ne sia a conoscenza. Questo non si applica alle copie di backup, nella misura in cui sono necessarie per garantire il corretto trattamento dei dati. Inoltre, reeweb può utilizzare copie dei dati del cliente per eseguire test del software (ad esempio la migrazione dei dati per le nuove versioni) e per il supporto (ad esempio il debugging sui sistemi di prova).

(2) Su richiesta del cliente e al più presto dopo la conclusione delle attività previste dal contratto (ovvero al termine del contratto in conformità alle condizioni generali applicabili), reeweb cancellerà tutti i dati personali del cliente di cui è entrata in possesso e che sono legati al rapporto contrattuale in conformità alle norme sulla protezione dei dati. Questo vale anche per le duplicazioni dei dati dei clienti presso reeweb, come i backup dei dati. È responsabilità del cliente fare il backup dei dati sui propri sistemi prima della conclusione del contratto o prima di emettere un ordine di cancellazione. reeweb confermerà la cancellazione al cliente in forma di testo.

(3) La documentazione, che serve come prova del trattamento richiesto e corretto dei dati, deve essere conservata da reeweb secondo i rispettivi periodi di conservazione anche dopo la conclusione del contratto. Potrà altrimenti consegnarli al cliente al momento della conclusione del contratto.

 

11. Disposizioni varie

Nella misura in cui il presente accordo non contenga disposizioni speciali, le disposizioni dell'accordo si applicano in conformità alle condizioni generali applicabili, in particolare le limitazioni di responsabilità ai sensi della sezione 14 delle GTC.

Basilea, 15 settembre 2023

 

 

12. Allegato - Misure tecniche e organizzative

1. Riservatezza

• Controllo degli accessi (nessun accesso non autorizzato ai mezzi di trattamento dei dati):
  
  reeweb ag: Nessuna conservazione di dati presso reeweb ag, il software e i dati sono com-pletamente ospitati in un centro dati esterno (sistemi di produzione e di test);
  
  Centro dati: Nessun accesso non autorizzato ai mezzi di trattamento dei dati; la videosor-veglianza e il principio di controllo dell'accesso a più livelli garantiscono la sicurezza fisica;
  
  
• Controllo dell'accesso (nessun uso non autorizzato del sistema): Password sicure (lunghezza minima di 8 caratteri per le password di amministratore per ClubDesk, numero e caratteri speciali richiesti, ecc.), meccanismi di blocco automatico (gli account utente vengono bloccati automaticamente dopo 10 accessi falliti), solo il valore hash delle password viene memorizzato;
  
  
• Controllo dell'accesso (nessuna lettura, copia, modifica o rimozione non autorizzata all'in-terno del sistema): ClubDesk offre un ampio sistema di ruoli per i diritti di accesso basati sulle necessità dei sin-goli utenti di un’associazione, la registrazione dei login e degli accessi in scrittura (le modifi-che ai dati vengono memorizzate in cronologia, compresa la validazione temporale e l'utente);
  
  
• Controllo della separazione(trattamento separato dei dati raccolti per scopi diversi): I dati sono conservati per associazione in un database separato con un login separato.

2. Integrità

• Controllo del trasferimento (nessuna lettura, copia, modifica o rimozione non autorizzata durante la trasmissione o il trasporto elettronico):
  
  Connessione web sicura con i server delle applicazioni tramite HTTPS - anche per i siti web dell’associazione creati all’interno del software ClubDesk.
  
  Invio e ricezione sicuri dei messaggi di posta elettronica tramite TLS (se supportato dal server di posta elettronica di ricezione o di invio). Inoltre, ClubDesk utilizza diverse tecnologie per proteggere l'integrità e l'autenticità delle e-mail e dei loro mittenti: Autenticazione dei messaggi basata sul dominio (DMARC), Domain Keys Identified Mail (DKIM) e Sender Policy Framework (SPF). Il Cliente è responsabile dell'invio non criptato di e-mail (se un server di posta elettronica ricevente o mittente non supporta TLS) da parte del Cliente che utilizza la corrispondente funzionalità di ClubDesk.

• Controllo dell'input(determinare se e da chi i dati personali sono stati inseriti, modificati o ri-mossi dai sistemi di trattamento dei dati): Registrazione dei login e degli accessi in scrittura: Le modifiche ai dati sono memorizzate in cronologia, compresa la validazione temporale e l'utente;

3. Disponibilità e resilienza

• Controllo della disponibilità (protezione contro la distruzione o la perdita accidentale o deli-berata):
  
  reeweb ag: tra gli altri, mirroring dei dischi rigidi (RAID), backup giornalieri nel centro dati, fi-rewall, protezione antivirus per i file caricati, monitoraggio esterno di importanti compo-nenti software e hardware con avviso via SMS al supporto di terzo livello;
  
  Centro dati: Rilevatori di incendio; linee ridondanti e completamente separate per l'alimen-tazione e i dati; Internet fail-safe, componenti di rete ridondanti; gruppo di continuità (UPS); backup dei dati all'avanguardia: backup multipli, separati localmente in diverse zone antincendio;
  
  
• Recuperabilità rapida: Grazie ai backup e alla configurazione standardizzata dei server, le operazioni possono es-sere ripristinate rapidamente in caso di emergenza.

4. Procedure per la verifica periodica, l'accertamento e la valutazione

• Gestione della privacy: Disposizioni relative alla protezione dei dati in tutti i contratti di lavoro e linee guida sul wiki interno; il management viene sensibilizzato sul tema della protezione dei dati;
  
  
• Gestione della risposta agli incidenti: Strumento di supporto esterno per gli incidenti dove tutte le richieste di supporto sono ge-stite e monitorate;
  
  
• Protezione dei dati per impostazione predefinita: per esempio, ruoli predefiniti per funzioni tipiche all'interno di un'associazione;
  
  
• Controllo degli incarichi (nessun trattamento dei dati per conto del cliente senza istruzioni corrispondenti):
  Progettazione chiara del contratto, selezione e controllo rigorosi del centro dati.