Accordo sul trattamento dei dati
Ultimo aggiornamento: 2 luglio 2026
Il presente è l'accordo sul trattamento dei dati ai sensi dell'art. 28 del GDPR, che copre gli elementi obbligatori con disposizioni operative complete. Non costituisce consulenza legale; si raccomanda una revisione finale alla luce delle tue circostanze concrete prima del lancio. L'accordo è concepito per essere incorporato mediante rinvio nei termini di servizio e per diventare vincolante quando il cliente accetta tali termini.
Il presente accordo sul trattamento dei dati («Accordo») è parte integrante dei termini di servizio tra SDHC AS, numero di organizzazione 926 038 060, Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norvegia («Responsabile del trattamento», «noi») e il cliente che accetta i termini («Titolare del trattamento», «tu»). Disciplina il nostro trattamento dei dati personali contenuti nei contenuti che carichi nel Servizio e si applica dove e nella misura in cui il GDPR si applica a tale trattamento.
Laddove il presente Accordo sia in contrasto con i termini di servizio in merito al trattamento dei dati personali, prevale il presente Accordo.
I termini che iniziano con la maiuscola utilizzati nel presente Accordo senza esservi definiti hanno il significato loro attribuito nei termini di servizio.
1. Ruoli delle parti
Relativamente ai dati personali contenuti nei tuoi contenuti (comprese le immagini che possono mostrare persone identificabili e veicoli), tu sei il Titolare del trattamento e SDHC è il Responsabile del trattamento. Tu determini le finalità e i mezzi di tale trattamento; SDHC tratta i dati esclusivamente per tuo conto.
(Relativamente ai dati di account, abbonamento, fatturazione e analisi del sito, SDHC è titolare del trattamento autonomo, come descritto nell'informativa sulla privacy; tali dati non rientrano nel presente Accordo.)
2. Oggetto, durata, natura e finalità
- Oggetto: il trattamento dei dati personali contenuti nelle immagini e nei contenuti associati che carichi nel Servizio.
- Durata: per la vigenza dell'abbonamento e fino alla cancellazione o restituzione dei dati ai sensi della sezione 10.
- Natura e finalità: l'hosting, la memorizzazione, l'organizzazione e l'analisi automatizzata (classificazione della fauna e rilevamento della presenza di persone/veicoli) dei contenuti caricati, nonché la messa a disposizione dei risultati a te e ai membri del team a cui concedi l'accesso.
3. Tipi di dati personali e categorie di interessati
- Tipi di dati personali: immagini che possono contenere persone identificabili e veicoli; coordinate di posizione della fototrappola; metadati delle immagini (data, ora, nome della fototrappola, marca della fototrappola); risultati del rilevamento automatico.
- Categorie di interessati: persone riprese incidentalmente dalle tue fototrappole (ad esempio passanti, visitatori o altre persone nel raggio della fototrappola).
Non devi caricare consapevolmente dati personali sensibili (art. 9 del GDPR) né utilizzare il Servizio per trattare sistematicamente tali dati, salvo accordo distinto e per iscritto. Il nostro rilevamento automatico di «presenza umana» non identifica le persone e non è concepito per trattare dati biometrici o altri dati personali sensibili.
4. Istruzioni e obblighi del Titolare del trattamento
Trattiamo i dati personali solo sulla base delle tue istruzioni documentate, comprese quelle definite nel presente Accordo e nel tuo utilizzo delle funzionalità del Servizio, salvo che siamo tenuti ad agire ai sensi del diritto norvegese o del SEE (nel qual caso ti informeremo, salvo divieto di legge).
Garantisci che: (a) disponi di una base giuridica valida per il trattamento che istruisci; (b) hai adempiuto a tutti gli obblighi applicabili di informazione, segnaletica e consenso nei confronti delle persone riprese; e (c) le tue istruzioni sono conformi alla legge applicabile. Sei responsabile della liceità dei dati personali e delle istruzioni che fornisci.
Se riscontriamo che un'istruzione viola il GDPR o un'altra normativa applicabile in materia di protezione dei dati, ti informeremo.
5. Riservatezza
Assicuriamo che le persone autorizzate a trattare i dati personali siano soggette a un adeguato obbligo di riservatezza e siano state informate del carattere riservato dei dati.
6. Sicurezza
Tenuto conto dello stato dell'arte, dei costi nonché della natura, dell'ambito, del contesto e delle finalità del trattamento, attuiamo misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio (art. 32 del GDPR), tra cui, a seconda delle circostanze:
- la cifratura dei dati personali in transito (TLS);
- il controllo degli accessi, l'autenticazione e il principio del privilegio minimo per personale e sistemi;
- la protezione delle credenziali di sessione, compreso l'uso degli attributi HttpOnly, Secure e SameSite nei cookie di sessione;
- la separazione logica dei dati dei clienti, in modo che un cliente non possa accedere ai contenuti di un altro cliente;
- la limitazione delle interfacce di amministrazione (ad esempio mediante controllo degli accessi basato su password e IP);
- la registrazione e il monitoraggio degli accessi e degli eventi rilevanti; e
- misure per ripristinare la disponibilità e l'accesso ai dati personali a seguito di un incidente fisico o tecnico (copie di sicurezza).
Riesaminiamo tali misure a intervalli regolari e le aggiorniamo secondo necessità. Una sintesi aggiornata è disponibile su richiesta.
7. Sub-responsabili del trattamento
Concedi un'autorizzazione generale al ricorso a sub-responsabili del trattamento al fine di erogare il Servizio. Attualmente ci avvaliamo di:
| Sub-responsabile | Ruolo | Ubicazione |
|---|---|---|
| Hosting.com | Hosting / infrastruttura | Germania (SEE) |
| Cloudflare, Inc. | DNS, CDN e sicurezza | Stati Uniti |
| Mapbox, Inc. | Mappa interattiva (tessere/stili/caratteri) | Stati Uniti |
| Paddle.com Market Limited | Elaborazione dei pagamenti (Merchant of Record) | Regno Unito |
Imponiamo a ciascun sub-responsabile obblighi di protezione dei dati non meno protettivi di quelli definiti nel presente Accordo. Ti informiamo con almeno 30 giorni di anticipo di qualsiasi prevista aggiunta o sostituzione di un sub-responsabile. Durante tale periodo puoi opporti per ragionevoli motivi di protezione dei dati; se non possiamo dare seguito alla tua opposizione, puoi risolvere la parte del Servizio interessata quale tuo rimedio.
8. Assistenza al Titolare del trattamento
Tenuto conto della natura del trattamento, ti assistiamo mediante misure tecniche e organizzative adeguate e nella misura del possibile:
- nel rispondere alle richieste degli interessati che esercitano i loro diritti (accesso, rettifica, cancellazione, limitazione, portabilità dei dati, opposizione). Il Servizio ti consente inoltre di visualizzare e cancellare tu stesso le immagini caricate e i dati associati;
- nell'adempiere ai tuoi obblighi in materia di sicurezza (art. 32), notifica delle violazioni (artt. 33-34) e valutazioni d'impatto sulla protezione dei dati e consultazione preventiva (artt. 35-36).
Se riceviamo una richiesta direttamente da un interessato relativa ai tuoi contenuti, non vi rispondiamo noi stessi (salvo per reindirizzarla in modo appropriato) e te la trasmettiamo senza ingiustificato ritardo.
9. Violazione dei dati personali
Ti notifichiamo senza ingiustificato ritardo dopo essere venuti a conoscenza di una violazione dei dati personali che riguardi dati personali trattati ai sensi del presente Accordo, e forniamo le informazioni ragionevolmente a nostra disposizione per aiutarti ad adempiere ai tuoi obblighi di notifica nei confronti del Datatilsynet (art. 33) e, ove richiesto, nei confronti degli interessati coinvolti (art. 34). La notifica di una violazione non costituisce un riconoscimento di responsabilità.
10. Cancellazione o restituzione dei dati
Alla cessazione del Servizio o su tua richiesta, cancelleremo o restituiremo tutti i dati personali trattati per tuo conto e cancelleremo le copie esistenti entro 30 giorni, salvo che il diritto norvegese o del SEE ne imponga la conservazione. Puoi cancellare le tue immagini e i dati associati nel Servizio in qualsiasi momento. Su richiesta presentata prima della cancellazione, ti restituiamo i dati in un formato comune e leggibile da dispositivo automatico.
11. Audit e informazioni
Mettiamo a tua disposizione le informazioni ragionevolmente necessarie a dimostrare il rispetto dell'art. 28 del GDPR e consentiamo e contribuiamo agli audit — comprese le ispezioni — svolti da te o da un revisore da te incaricato. Rispondiamo a una ragionevole richiesta scritta di audit entro 30 giorni, al massimo una volta ogni periodo di 12 mesi (salvo che sia richiesto da un'autorità di controllo o a seguito di una violazione dei dati personali), fatto salvo un preavviso di almeno 14 giorni, ragionevoli impegni di riservatezza e la condizione che ciascuna parte sostenga i propri costi. Gli audit non devono perturbare in modo irragionevole la nostra attività né compromettere la riservatezza o la sicurezza dei dati di altri clienti.
12. Trasferimenti internazionali
I dati personali di cui al presente Accordo sono ospitati all'interno del SEE (Germania). Laddove un sub-responsabile si trovi al di fuori del SEE (vedi la sezione 7):
- i trasferimenti a Paddle nel Regno Unito sono coperti dalla decisione di adeguatezza del SEE/UE per il Regno Unito;
- i trasferimenti a Cloudflare e Mapbox negli Stati Uniti avvengono secondo un adeguato meccanismo di trasferimento riconosciuto dal GDPR, come il Data Privacy Framework UE-USA e/o le clausole contrattuali tipo.
Trasferiamo dati personali al di fuori del SEE solo nel quadro di tali garanzie.
13. Disposizioni generali
Il presente Accordo è disciplinato dalla legge della Norvegia. Qualora una disposizione fosse ritenuta invalida, le restanti disposizioni rimangono in vigore. In caso di contrasto con i termini di servizio in merito al trattamento dei dati personali, prevale il presente Accordo.
SDHC AS — numero di organizzazione 926 038 060 — Postboks 570 Vestre Glemmen, 1612 Fredrikstad, Norvegia — [email protected]