Home
PrezziParla con un esperto
Logo
Parla con un esperto

Accordo sul trattamento dei dati (DPA)

Legale

Ultimo aggiornamento / 27 maggio / 2026

1. Ambito di applicazione e priorità

Il presente Accordo sul trattamento dei dati ("DPA") costituisce parte integrante del rapporto contrattuale tra il Cliente e W&W Global Marketing Group GmbH ("W&W") ai sensi dei Termini e Condizioni d'uso, dei contratti di servizio e/o dei moduli d'ordine applicabili (collettivamente il "Contratto"). Esso stabilisce le condizioni alle quali W&W e il Cliente trattano i dati personali in connessione con i Servizi.

Il presente DPA si compone di due parti. La Parte A (sezioni 2 e 3) stabilisce le condizioni applicabili in qualità di responsabile del trattamento ai dati personali che il Cliente carica, importa o inserisce nei Servizi. La Parte B (sezione 4) stabilisce le condizioni applicabili da titolare del trattamento a titolare del trattamento quando W&W effettua lo sblocco o divulga al Cliente un candidato proveniente dalla propria banca dati dei talenti.

Il DPA può essere aggiornato da W&W di volta in volta. Le modifiche sostanziali saranno comunicate al Cliente attraverso canali appropriati (ad esempio tramite e-mail o notifiche nell'applicazione) o pubblicate sul sito web. In caso di conflitto tra il DPA e il Contratto principale, prevalgono le disposizioni del presente DPA per quanto riguarda il trattamento dei dati personali.

Il DPA rimane in vigore finché W&W tratta dati personali del Cliente ai sensi del Contratto. I termini con iniziale maiuscola non definiti nel presente DPA hanno il significato loro attribuito nel Contratto o nel diritto applicabile in materia di protezione dei dati.

2. Definizioni

"Dati del Cliente / Dati personali del Cliente": i dati personali che il Cliente carica, importa o altrimenti fornisce o inserisce nei Servizi, e che W&W tratta per conto del Cliente e secondo le sue istruzioni documentate. Non comprendono i dati personali contenuti nella banca dati dei talenti propria di W&W, che W&W raccoglie da fonti accessibili al pubblico e controlla in modo indipendente (come descritto nell'Informativa sulla privacy).

"Trattamento": qualsiasi operazione o insieme di operazioni compiute su dati personali, ad esempio la raccolta, la conservazione, l'accesso, l'uso o la cancellazione.

"LPD": la legge federale riveduta sulla protezione dei dati del 25 settembre 2020 (RS 235.1), in vigore dal 1° settembre 2023, unitamente alla relativa ordinanza di esecuzione sulla protezione dei dati (OPDa, RS 235.11).

"Interessato": qualsiasi persona fisica i cui dati personali sono oggetto di trattamento.

"Titolare del trattamento": la parte che, da sola o congiuntamente ad altri, determina le finalità e i mezzi del trattamento.

"Sub-responsabile del trattamento": qualsiasi terzo incaricato da W&W per il trattamento di dati personali.

"Violazione della sicurezza dei dati": una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali (art. 4, par. 12, GDPR).

"Categorie particolari di dati personali" (dati personali degni di particolare protezione): i dati personali elencati all'art. 9, par. 1, GDPR e all'art. 5 lett. c LPD — ossia i dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale; i dati genetici, i dati biometrici trattati per identificare in modo univoco una persona, i dati relativi alla salute e i dati relativi alla vita sessuale o all'orientamento sessuale di una persona.

3. Trattamento dei dati personali del Cliente

3.1 Ruoli e responsabilità

Il presente DPA disciplina i dati personali che il Cliente carica, importa o inserisce nei Servizi ("Dati personali del Cliente"). Rispetto a tali dati, il Cliente agisce in qualità di titolare del trattamento ai sensi della LPD e, ove applicabile, del GDPR, e W&W agisce in qualità di responsabile del trattamento secondo le istruzioni documentate del Cliente. Il Cliente è responsabile della liceità dei dati che fornisce e della determinazione della finalità e della base giuridica del trattamento.

La banca dati dei talenti propria di W&W, che W&W costituisce a partire da fonti professionali accessibili al pubblico, non è trattata per conto del Cliente: W&W è il titolare del trattamento indipendente di tali dati, come descritto nella sua Informativa sulla privacy. Quando un candidato proveniente dalla banca dati dei talenti è sbloccato o altrimenti divulgato al Cliente, il Cliente diventa titolare del trattamento indipendente dei dati che riceve; tale rapporto da titolare del trattamento a titolare del trattamento è disciplinato dalla Parte B (sezione 4) del presente DPA.

I Servizi comprendono la profilazione ai sensi dell'art. 4, par. 4, GDPR e dell'art. 5 lett. f LPD (quali punteggi di pertinenza e altre valutazioni basate sull'IA). I risultati di tale profilazione costituiscono elementi consultivi destinati ai decisori umani del Cliente; in qualità di titolare del trattamento, il Cliente si impegna a non utilizzare i Servizi per adottare decisioni che producono effetti giuridici o effetti analogamente significativi nei confronti di una persona fisica basate unicamente su un trattamento automatizzato ai sensi dell'art. 22, par. 1, GDPR o dell'art. 21 cpv. 1 LPD, e a fornire le garanzie richieste da tali disposizioni. Ciò rispecchia la sezione 4 dei Termini e Condizioni.

3.2 Istruzioni e ambito del trattamento

W&W tratta i dati personali del Cliente esclusivamente secondo le istruzioni documentate del Cliente (DPA + contratto di servizio). Eventuali istruzioni aggiuntive devono essere concordate per iscritto e possono richiedere adeguamenti dell'ambito, della tempistica o del prezzo.

Le istruzioni documentate comprendono qualsiasi istruzione relativa al trasferimento di Dati personali del Cliente verso un Paese terzo, salvo che W&W sia tenuto a effettuare il trasferimento in virtù del diritto applicabile (nel qual caso W&W informerà il Cliente di tale obbligo di legge prima del trattamento, a meno che il diritto non lo vieti per rilevanti motivi di interesse pubblico). W&W informerà immediatamente il Cliente qualora, a suo avviso, un'istruzione violi la LPD, il GDPR o un altro diritto applicabile in materia di protezione dei dati.

3.3 Trattamento consentito

I dati sono trattati esclusivamente ai fini della fornitura dei Servizi convenuti contrattualmente. Qualsiasi trattamento che vada oltre tale finalità (compresa la divulgazione a terzi) ha luogo solo se legalmente richiesto o espressamente consentito contrattualmente.

Nota: W&W non tratta né inferisce dati degni di particolare protezione (relativi a categorie particolari) (ad esempio i dati che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale; i dati genetici o biometrici; i dati relativi alla salute; o i dati relativi alla vita sessuale o all'orientamento sessuale, come definiti all'art. 9 GDPR e all'art. 5 lett. c LPD), e non trae conclusioni in merito a tali caratteristiche; eventuali conclusioni di questo tipo sono di esclusiva responsabilità del Cliente.

3.4 Assistenza per i diritti degli interessati

W&W assiste il Cliente nella gestione delle richieste degli interessati (accesso, rettifica, cancellazione). Il Cliente rimane responsabile del trattamento; l'assistenza da parte di W&W è fornita su richiesta scritta. I costi relativi a richieste complesse o frequenti possono essere fatturati separatamente.

Tenendo conto della natura del trattamento e delle informazioni a sua disposizione, W&W assiste inoltre il Cliente nel garantire il rispetto dei suoi obblighi ai sensi degli articoli da 32 a 36 GDPR e degli articoli 8, 22, 23 e 24 LPD — compresi la sicurezza dei dati, la gestione delle violazioni della sicurezza dei dati, le valutazioni d'impatto sulla protezione dei dati e la consultazione preventiva dell'autorità di controllo competente.

3.5 Sub-responsabili del trattamento

Il Cliente autorizza W&W a incaricare sub-responsabili del trattamento per il trattamento dei Dati personali del Cliente. W&W incarica attualmente:

  • Google Cloud — infrastruttura cloud e archiviazione dei dati, ospitate in Svizzera;
  • Google Cloud Vertex AI (Gemini) — servizi di modello linguistico di grandi dimensioni utilizzati per generare punteggi e valutazioni, eseguiti in una regione svizzera; sono trasmessi solo dati professionali deidentificati, e i dati non sono utilizzati per addestrare alcun modello;
  • Lemlist SAS (Francia) — arricchimento dei dati di contatto, effettuato nel momento in cui un candidato è sbloccato per il Cliente;
  • PostHog — analisi del sito web e del prodotto, su PostHog Cloud EU (Frankfurt, Germania).

Ogni sub-responsabile del trattamento è vincolato da un contratto scritto che impone obblighi di protezione dei dati sostanzialmente identici a quelli stabiliti nel presente DPA. W&W mantiene un elenco aggiornato dei sub-responsabili del trattamento, comprensivo dei nomi delle entità e delle loro localizzazioni, nel suo Elenco dei sub-responsabili del trattamento pubblico, e darà al Cliente un preavviso di qualsiasi aggiunta o sostituzione. Entro trenta (30) giorni da tale preavviso, il Cliente può opporsi per ragionevoli motivi di protezione dei dati; se le parti non riescono a risolvere l'opposizione in buona fede, il Cliente può recedere dai Servizi interessati senza penalità. W&W rimane responsabile del rispetto degli obblighi da parte dei propri sub-responsabili del trattamento.

3.6 Misure tecniche e organizzative (MTO)

W&W attua misure appropriate per proteggere i dati del Cliente: crittografia, restrizione degli accessi, monitoraggio dei sistemi, backup e registri di audit. W&W garantisce che le persone autorizzate a trattare i Dati personali del Cliente siano vincolate da un obbligo di riservatezza contrattuale o legale e ricevano una formazione adeguata in materia di protezione dei dati.

3.7 Trasferimenti transfrontalieri di dati

I Dati personali del Cliente sono ospitati e conservati in Svizzera sull'infrastruttura Google Cloud. Il trattamento mediante IA che genera i punteggi e le valutazioni è eseguito su Google Cloud Vertex AI in una regione svizzera, riceve solo dati professionali deidentificati e non è utilizzato per addestrare alcun modello.

I sub-responsabili del trattamento di W&W trattano i Dati personali del Cliente solo in Svizzera o nell'UE/SEE (cfr. §3.5). Gli Stati membri dell'UE e del SEE sono riconosciuti come garanti di un livello adeguato di protezione dei dati nell'Allegato 1 dell'ordinanza sulla protezione dei dati (OPDa), cosicché le comunicazioni dalla Svizzera verso tali sub-responsabili del trattamento sono consentite ai sensi dell'art. 16 cpv. 1 LPD senza garanzie supplementari. W&W rispetta gli articoli 16 e 17 LPD e non trasferisce Dati personali del Cliente verso gli Stati Uniti.

3.8 Cancellazione o restituzione dopo la fine del contratto

Al termine dei Servizi, o altrimenti su richiesta scritta del Cliente, W&W procederà, a scelta del Cliente, alla restituzione o alla cancellazione sicura di tutti i Dati personali del Cliente, comprese le copie esistenti, entro trenta (30) giorni, salvo che il diritto dell'Unione, di uno Stato membro o il diritto svizzero esiga un'ulteriore conservazione (nel qual caso W&W isolerà e proteggerà i dati conservati e li cancellerà una volta scaduto l'obbligo di conservazione). Se il Cliente non comunica la propria scelta entro trenta (30) giorni dalla fine del contratto, W&W cancellerà in modo sicuro i Dati personali del Cliente. W&W fornirà conferma scritta della restituzione o della cancellazione su richiesta.

3.9 Violazione della sicurezza dei dati

W&W mantiene procedure interne per il rilevamento e la risposta alle violazioni della sicurezza dei dati. W&W notificherà al Cliente qualsiasi violazione della sicurezza dei dati che interessi i Dati personali del Cliente senza ingiustificato ritardo dopo esserne venuto a conoscenza, e in ogni caso entro un termine sufficiente a consentire al Cliente di adempiere al proprio obbligo di notifica entro 72 ore ai sensi dell'art. 33 GDPR (o all'obbligo corrispondente ai sensi dell'art. 24 LPD, ove applicabile). La notifica comprenderà, nella misura delle informazioni note: (a) la natura della violazione, comprese, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni interessate; (b) le probabili conseguenze; (c) le misure adottate o proposte per porvi rimedio e attenuarne gli effetti; e (d) un punto di contatto per ulteriori informazioni. Qualora non tutte le informazioni siano disponibili contemporaneamente, esse possono essere fornite per fasi senza ulteriore ingiustificato ritardo.

3.10 Divulgazioni legalmente richieste

W&W informerà immediatamente il Cliente di qualsiasi ordine ufficiale o giudiziario, salvo divieto legale. Sarà fornita assistenza per rispondere a tali richieste.

3.11 Analisi dei Servizi

W&W può analizzare dati aggregati e non identificabili relativi alle prestazioni e all'utilizzo dei Servizi. I dati del Cliente non saranno identificabili.

3.12 Responsabilizzazione (accountability)

W&W tiene un registro delle attività di trattamento ai sensi dell'art. 12 LPD. W&W mette a disposizione del Cliente tutte le informazioni ragionevolmente necessarie per dimostrare il rispetto del presente DPA e dell'art. 28 GDPR / dell'art. 9 LPD, e consente e contribuisce allo svolgimento di audit — comprese ispezioni in loco con ragionevole preavviso (non più di una volta ogni 12 mesi, in assenza di una causa specifica) — condotti dal Cliente o da un auditor indipendente incaricato dal Cliente e vincolato dalla riservatezza. W&W può adempiere a tale obbligo in prima istanza fornendo certificazioni o relazioni di audit di terzi in vigore (ad esempio ISO 27001 o SOC 2) che coprano l'ambito pertinente.

4. Condizioni da titolare del trattamento a titolare del trattamento — Candidati sbloccati (Parte B)

La presente Parte B si applica quando un candidato proveniente dalla banca dati dei talenti propria di W&W è sbloccato o altrimenti divulgato al Cliente attraverso i Servizi. Essa non riguarda i dati che il Cliente carica o importa, i quali sono disciplinati dalla Parte A di cui sopra.

4.1 Titolari del trattamento indipendenti

W&W è il titolare del trattamento indipendente della banca dati dei talenti, che costituisce e mantiene a partire da fonti professionali accessibili al pubblico. Quando il Cliente effettua lo sblocco di un candidato, il Cliente riceve il profilo identificato del candidato unitamente ai recapiti ottenuti tramite arricchimento dei dati di contatto, e da quel momento il Cliente è titolare del trattamento indipendente dei dati che ha ricevuto. Ciascuna parte determina le finalità e i mezzi del proprio trattamento; non si tratta di un rapporto di responsabile del trattamento, e nessuna delle parti tratta tali dati secondo le istruzioni dell'altra.

4.2 Responsabilità di ciascuna parte

Ciascuna parte è responsabile del rispetto del diritto applicabile in materia di protezione dei dati (la LPD e, ove applicabile, il GDPR) per quanto riguarda il proprio trattamento. Il Cliente tratta i dati sbloccati per le proprie finalità di reclutamento, sulla propria base giuridica, applica misure di sicurezza tecniche e organizzative appropriate e non divulga ulteriormente i dati se non a destinatari vincolati da obblighi equivalenti di protezione dei dati. In particolare, in qualità di titolare del trattamento indipendente, il Cliente assume i propri obblighi di informazione e trasparenza nei confronti dei candidati sbloccati ai sensi degli artt. 13, 14 e 21 GDPR e dell'art. 19 LPD, compresi il dovere di trasparenza nei confronti dei candidati e la gestione di eventuali richieste di opposizione/opt-out relative al proprio trattamento di tali dati.

4.3 Diritti degli interessati

W&W gestisce le richieste degli interessati relative ai dati personali conservati sui propri sistemi, compresa la banca dati dei talenti. Il Cliente gestisce le richieste degli interessati relative ai dati che ha ricevuto e tratta ulteriormente. Ciascuna parte informerà l'altra senza ingiustificato ritardo di qualsiasi richiesta, reclamo o indagine di un'autorità che riguardi il trattamento dell'altra parte, e le fornirà ragionevole assistenza.

4.4 Trasferimenti transfrontalieri

Qualora i dati sbloccati siano trasferiti al di fuori della Svizzera o dell'UE/SEE, le parti si basano su una decisione di adeguatezza o sulle clausole contrattuali tipo (CCT) della Commissione europea per i trasferimenti da titolare del trattamento a titolare del trattamento (decisione (UE) 2021/914, Modulo Uno). Per i trasferimenti soggetti alla LPD, tali clausole si applicano con le modifiche riconosciute dall'IFPDT: i riferimenti al GDPR si intendono come riferimenti alla LPD; l'autorità di controllo competente è l'IFPDT; le clausole sono disciplinate dal diritto svizzero; e gli interessati possono adire i tribunali del Cantone di Zugo.

Allegato 1 – Dettagli del trattamento

Esportatore di dati (titolare del trattamento): il Cliente.

Importatore di dati (responsabile del trattamento): W&W Global Marketing Group GmbH, Landis + Gyr-Strasse 1, 6300 Zug, Svizzera (UID CHE-165.987.703).

  • Interessati: le persone i cui dati personali il Cliente carica, importa o inserisce nei Servizi (ad esempio, i candidati o i contatti propri del Cliente).
  • Categorie di dati: i dati personali contenuti nelle registrazioni fornite dal Cliente — di norma il nome, il profilo professionale, l'esperienza, la formazione, le competenze e i recapiti.
  • Finalità: il trattamento dei dati forniti dal Cliente al fine di erogare i Servizi di reclutamento e di abbinamento dei talenti secondo le istruzioni del Cliente — in particolare, l'identificazione dei candidati e il primo contatto.
  • Durata: finché il Cliente utilizza i Servizi, fatte salve le condizioni di restituzione/cancellazione di cui al §3.8.
  • Sub-responsabili del trattamento: come elencati al §3.5 e nell'Elenco dei sub-responsabili del trattamento pubblico, ciascuno vincolato da obblighi di protezione dei dati sostanzialmente identici.
  • Autorità di controllo: Incaricato federale della protezione dei dati e della trasparenza (IFPDT).

Allegato 2 – Misure tecniche e organizzative

  • Hosting sull'infrastruttura Google Cloud in Svizzera (regione svizzera), con sicurezza fisica e ambientale gestita dal fornitore dell'infrastruttura
  • Crittografia a riposo (AES-256) e in transito (TLS)
  • Diritti di accesso secondo il principio della necessità di conoscere, MFA per gli amministratori
  • Scansioni di sicurezza regolari, test di penetrazione, gestione delle patch
  • Backup giornalieri, piani di ripristino di emergenza e di continuità
  • Cancellazione o distruzione sicura dopo la fine del contratto
  • Monitoraggio dei sistemi, backup e registri di audit

Contatto

Foro competente: Zugo, Svizzera.