Accordo sul trattamento dei dati (DPA)

Versione 1.0 (bozza)

Accordo ai sensi dell’art. 28 GDPR tra Currunt (responsabile del trattamento) e il cliente-tenant (titolare del trattamento), accettato in fase di attivazione del workspace.

1. Ruoli e oggetto

Il cliente (Tenant) agisce come Titolare del trattamento; Currunt agisce come Responsabile del trattamento ai sensi dell’art. 28 GDPR. Il presente accordo disciplina il trattamento dei dati personali effettuato da Currunt per conto del Titolare nell’ambito della fornitura della piattaforma.

2. Natura, finalità e durata

Il trattamento ha ad oggetto la gestione di candidati, clienti, posizioni, segnalazioni e comunicazioni del Titolare, per la durata del contratto di servizio. Natura: raccolta, registrazione, organizzazione, conservazione, consultazione, comunicazione e cancellazione.

3. Tipi di dati e categorie di interessati

Dati anagrafici e di contatto, dati professionali (CV, esperienze, retribuzione), eventuali dati contenuti nei CV. Categorie di interessati: candidati, contatti aziendali dei clienti, utenti del Titolare. Il Titolare si impegna a non inserire categorie particolari (art. 9) salvo base giuridica idonea.

4. Istruzioni documentate

Currunt tratta i dati personali solo su istruzioni documentate del Titolare, incluse quelle relative ai trasferimenti, salvo obblighi di legge. Le funzionalità della piattaforma e il presente accordo costituiscono le istruzioni documentate.

5. Riservatezza

Currunt garantisce che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un adeguato obbligo legale di riservatezza.

6. Misure di sicurezza (art. 32)

Currunt adotta misure tecniche e organizzative adeguate: isolamento multi-tenant (RLS), cifratura at-rest dei segreti, storage dei documenti privato con URL firmati a tempo, rate limiting, controllo degli accessi basato su ruoli, registro delle attività. Le misure sono riesaminate periodicamente.

7. Sub-responsabili

Il Titolare autorizza in via generale il ricorso ai sub-responsabili elencati nella pagina dedicata. Currunt informa il Titolare di eventuali modifiche con congruo preavviso, dando facoltà di opporsi. Ai sub-responsabili sono imposti obblighi di protezione equivalenti.

8. Assistenza ai diritti degli interessati

Currunt assiste il Titolare con misure tecniche adeguate per dar seguito alle richieste di esercizio dei diritti (artt. 12-23): accesso/portabilità (export per candidato), rettifica, cancellazione (con rimozione dei file dallo storage), opposizione/revoca (link di disiscrizione).

9. Assistenza su sicurezza, violazioni e DPIA

Currunt assiste il Titolare nel garantire il rispetto degli artt. 32-36, tenuto conto della natura del trattamento e delle informazioni disponibili.

10. Violazioni dei dati

Currunt notifica al Titolare ogni violazione dei dati personali senza ingiustificato ritardo dopo esserne venuto a conoscenza, fornendo le informazioni necessarie affinché il Titolare possa adempiere ai propri obblighi (notifica al Garante entro 72 ore, ove applicabile).

11. Cancellazione o restituzione a fine rapporto

Alla cessazione del servizio, su scelta del Titolare, Currunt cancella o restituisce tutti i dati personali e cancella le copie esistenti, salvo obblighi di conservazione di legge.

12. Audit

Currunt mette a disposizione del Titolare le informazioni necessarie a dimostrare il rispetto dell’art. 28 e consente e contribuisce ad attività di audit, anche tramite ispezioni, condotte dal Titolare o da un soggetto da esso incaricato.

13. Trasferimenti extra-UE

I dati personali “core” (candidati, CV) sono trattati in UE. Per i fornitori extra-UE eventualmente coinvolti sono adottate le Clausole Contrattuali Standard (SCC) e misure supplementari ove necessario.

Elenco sub-responsabili: /legal/subprocessors · Contatto: dpo@currunt.com