Common use of Obblighi del Responsabile Clause in Contracts

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del Servizio, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del Servizio, il Responsabile si impegna a rispettare procedere al trattamento dei dati personali nel rispetto del Regolamento e delle leggi applicabili sulla protezione dei dati che, con la sottoscrizione del presente atto, dichiara di conoscere. In particolare s’impegna a: - trattare i seguenti obblighidati personali del Titolare solo se necessario ai fini dell’erogazione del Servizio oggetto del contratto in essere tra le Parti e nel rispetto delle istruzioni scritte del Titolare. Le istruzioni sono descritte nel presente Accordo nonchè nell’Allegato 3, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante e sostanziale dell’Accordo stesso; - adottare le misure opportune e necessarie per garantire il rispetto delle modalità di raccolta e dei requisiti dei dati personali previste dall’art. 5 del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione Regolamento, attenendosi alle eventuali indicazioni fornite dal Titolare; - informare il Titolare nel caso in cui ritenga che specifiche istruzioni siano in violazione di leggi applicabili in materia di protezione dei dati; - notificare al Titolare senza ritardo qualsiasi contatto, comunicazione o corrispondenza che potrebbe ricevere da un'Autorità di vigilanza, in relazione al trattamento dei dati personali degli interessati; - nel caso in cui il Responsabile, nelle operazioni di trattamento, si avvalga di soggetti coinvolti nell’erogazione del Servizio, restando soggetto alle istruzioni impartite assicurerà che tali soggetti: • siano stati debitamente designati per iscritto dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che e abbiamo ricevuto le istruzioni previste per legge e impartite in conformità con gli obblighi che lo stesso ha assunto per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 effetto del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto Accordo; • s’impegnino formalmente alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto siano soggetti ad un obbligo legale di riservatezza evietando anche la divulgazione di informazioni, dati riservati senza autorizzazione del Titolare; 2) tratti • accedano con credenziali nominative e strettamente riservate solo ed esclusivamente ai dati necessari per l’erogazione del Servizio, sollevando il Titolare del trattamento da qualsiasi responsabilità per il loro operato; • ricevano la formazione necessaria in materia di protezione dei dati personali; - ove applicabile relativamente al Servizio erogato, procedere alla nomina di uno o più amministratori di sistema, individuati tenendo conto della loro esperienza professionale, in particolare con riferimento alle capacità ed affidabilità dimostrate nello svolgimento delle proprie mansioni, nelle forme e con le modalità indicate dall’Autorità di vigilanza ed eventualmente dal Titolare del trattamento, fornendo loro specifiche istruzioni e indicando espressamente i Dati Personali del Cliente seguendo compiti attribuiti. Il Responsabile s’impegna a fornire al Titolare un elenco contenente i nominativi degli amministratori di sistema nominati e i rispettivi compiti attribuiti, provvedendo ad aggiornare l’elenco ogni qualvolta necessario (i.e. arrivo/cambio di mansione/cessazione). La nomina ad amministratore dovrà contenere almeno le seguenti istruzioni: • rispettare le istruzioni impartite dal Titolare; • considerare i dati personali dei quali avrà conoscenza, nel corso dello svolgimento delle attività connesse all’incarico ricevuto, di titolarità del Titolare; pertanto di tali dati non potrà esserne detenuta una copia se non espressamente autorizzati dal Titolare; • attenersi allo specifico e rigoroso divieto di comunicazione non autorizzata e di diffusione a qualunque titolo delle credenziali di accesso e dei dati personali eventualmente conosciuti; • collaborare con il Titolare mantenendolo informato della gestione e di eventuali anomalie che potrebbero compromettere la sicurezza dei dati; • informare il Titolare del trattamento in caso di mancato rispetto delle norme di sicurezza e in caso di eventuali incidenti; - svolgere i controlli sull’operato degli amministratori di sistema designati, nonché sugli accessi logici ai sistemi di elaborazione e agli archivi elettronici effettuati dagli stessi amministratori di sistema, in conformità alle previsioni del Provvedimento comunicando il risultato di tali controlli al Titolare; - qualora il Servizio oggetto dell’Accordo preveda l’accesso ai sistemi del Titolare, deve comunicare tempestivamente ogni variazione, assunzione/cambio di mansione/cessazione del personale per permettere al Titolare di attivare / modificare / cancellare i profili di accesso e di autorizzazione; - vigilare affinché le persone autorizzate al trattamento e gli amministratori di sistema che operano sotto la propria direzione e/o autorità rispettino le istruzioni impartite e le misure tecniche e organizzative predisposte, segnalando al Titolare il mancato rispetto di dette istruzioni che potrebbero causare vulnerabilità ai dati trattati per conto di quest’ultimo; - qualora previsto dalla tipologia di trattamento, prestare particolare attenzione al trattamento dei dati personali rientranti nelle categorie particolari o relativi a reati e condanne penali degli interessati conosciuti, anche incidentalmente, nel corso dell’erogazione del Servizio, procedendo alla loro raccolta e archiviazione solo ove ciò si renda necessario per lo svolgimento delle attività di competenza e istruendo in tal senso le persone autorizzate che operano all’interno della propria struttura; - collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali; - vigilare affinché i dati personali degli interessati vengano comunicati solo a quei terzi necessari per lo svolgimento del Servizio e i dati personali non siano diffusi, salvo espressa autorizzazione del Titolare; - dare immediato avviso al Titolare in caso di nuovi trattamenti e/o della cessazione di quelli concordati. Il Responsabile non deve creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione del Servizio; - conservare la documentazione cartacea contenente dati personali nell’ufficio di destinazione originaria, avendo cura di non lasciarla esposta e/o facilmente accessibile, al fine di evitare accessi non autorizzati ai dati; - utilizzare esclusivamente mezzi del trattamento dei dati personali adeguati alle normative vigenti, ivi compresi i provvedimenti delle competenti autorità, e volti ad attuare in modo efficace i principi di protezione dei dati di cui alla normativa applicabile, ivi inclusi i principi della “privacy by design” e “privacy by default” e di integrare nel rispetto trattamento le necessarie garanzie al fine di soddisfare i requisiti previsti dalla normativa applicabile e tutelare i diritti degli obblighi contenuti interessati; - tenendo conto della natura del trattamento, assistere il Titolare nella realizzazione di analisi d’impatto relative alla protezione dei dati e nella consultazione preventiva all’Autorità di Xxxxxxxxx, conformemente agli artt. 35 e 36 del Regolamento; - rispettare, in generale, tutte le disposizioni vigenti in materia di trattamento di dati personali, attuando gli eventuali provvedimenti giurisdizionali e/o amministrativi adottati dalla Autorità di vigilanza e ogni altra autorità all’uopo preposta; - comunicare al Titolare del trattamento il nome ed i dati del proprio Responsabile della protezione dei dati, qualora ne abbia designato uno conformemente agli artt. 37 e ss. del Regolamento; - tenere per iscritto un registro di tutte le categorie di attività di trattamento effettuate per conto del Titolare del trattamento ai sensi dell’art. 30 par. 2 del Regolamento; - garantire che i server, gli storage, le infrastrutture contenenti dati del Titolare e necessari per la loro gestione siano ubicati nel presente Contrattoterritorio Italiano o Europeo. Il Responsabile è obbligato ad avvisare il Titolare qualora tale condizione subisse modifiche. Se il Responsabile del trattamento, per l’erogazione del Servizio oggetto dell’Accordo, fosse tenuto a procedere ad un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per motivi importanti di interesse pubblico; - rispettare le istruzioni scritte del Titolare in materia di trattamento di dati personali e, su richiesta del Titolare, è tenuto a dimostrare la conformità a tali obblighi.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Responsabile si impegna a procedere al Trattamento dei Dati Personali nel rispetto del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del ServizioRegolamento e delle leggi applicabili sulla protezione dei dati che, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante con la sottoscrizione del presente Contratto: atto, dichiara di conoscere. In particolare s’impegna a) Il Responsabile tratterà : - trattare i Dati Personali del Cliente Titolare solo per quanto strettamente se necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con a fornire il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo Servizio e nel rispetto delle istruzioni scritte impartite dal Cliente; c) Register del Titolare; - informare il Titolare nel caso in qualità cui ritenga che specifiche istruzioni scritte da esso ricevute siano in violazione del Regolamento; - notificare al Titolare senza ritardo qualsiasi contatto, comunicazione o corrispondenza che potrebbe ricevere da un'Autorità di Responsabile informerà tempestivamente il Clientevigilanza, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Clientedegli Interessati. A tal riguardo, le Le Parti acconsentono riconoscono e concordano accettano che la responsabilità per il riscontro di rispondere a tali richieste rimarrà contatti, comunicazioni o corrispondenza è esclusivamente in capo al del Titolare e non del Responsabile; - individuare e opportunamente designare i propri addetti al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche trattamento e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi propri amministratori di conservazione sistema in quanto deputati al Trattamento dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto personali. La designazione deve essere nominativa e scritta. Contestualmente alla fornitura del Serviziodesignazione, il Responsabile assicura del trattamento, si fa carico di fornire istruzioni scritte e dettagliate, agli addetti e agli Amministratori di sistema, in ottemperanza a quanto disposto dal Regolamento Europeo e dal presente Accordo ed assicurerà che detto personaletali soggetti: 1) si è impegnato a mantenere la • s’impegnino formalmente alla riservatezza o è a soggetto siano soggetti ad un obbligo legale di riservatezza eriservatezza; 2) tratti • trattino i Dati Xxxx Personali del Cliente seguendo Titolare secondo le istruzioni impartite dal Responsabile in conformità con gli obblighi che lo stesso ha assunto per effetto del presente Accordo; • ricevano la formazione necessaria in materia di protezione dei Dati Personali; - tenendo conto della natura del trattamento, assistere il Titolare, qualora richiesto e previo accordo, nella realizzazione di analisi d’impatto relative alla protezione dei dati e nella consultazione preventiva dell’autorità di controllo, conformemente agli artt. 35 e 36 del Regolamento; - rispettare, in generale, tutte le disposizioni vigenti in materia di trattamento dei Dati Personali, attuando gli eventuali provvedimenti giurisdizionali e/o amministrativi adottati dalle Autorità di vigilanza e ogni altra autorità all’uopo preposta; - tenere per iscritto un registro delle categorie di attività di trattamento effettuate per conto del Titolare del trattamento ai sensi dell’art. 30 par. 2 del Regolamento. Se il Responsabile nel rispetto degli obblighi contenuti nel presente Contrattodel trattamento, per l’erogazione del Servizio, è tenuto a procedere ad un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi nazionali o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per motivi importanti di interesse pubblico. Il Responsabile del trattamento si impegna a rispettare le istruzioni impartite per iscritto dal Titolare in materia di trattamento di dati personali, dal medesimo comunicate secondo le modalità ritenute più celeri ed opportune.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del ServizioFatti salvi gli altri obblighi previsti dalle disposizioni di legge e regolamentari applicabili, ivi inclusi i provvedimenti delle Autorità di controllo in materia di dati personali, il Responsabile si impegna è obbligato a: 3.1.1. trattare i dati personali soltanto per le finalità di esecuzione delle attività che il Responsabile è tenuto a rispettare svolgere sulla base dell’Accordo, nel rispetto delle istruzioni di cui al presente Contratto e di ogni altra istruzione impartita dal Titolare, anche in merito ai tempi di conservazione dei dati personali; 3.1.2. garantire, per conto delle persone autorizzate al trattamento dei dati personali, l'obbligo di riservatezza in merito a tutte le informazioni e i seguenti obblighidati acquisiti in esecuzione dell'Accordo e del Contratto; 3.1.3. designare gli incaricati del trattamento e conferire loro, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante in forma scritta, l'incarico di compiere le operazioni di trattamento in coerenza con le istruzioni impartite dal Titolare al Responsabile sulla base del presente Contratto:, istruirli sulle modalità di elaborazione dei dati ai quali hanno accesso e vigilare sugli stessi, nonché comunicare al Titolare, su richiesta di quest’ultimo, i nominativi degli incaricati; a3.1.4. adottare misure tecniche e organizzative adeguate ai sensi dell'art. 32 del Regolamento; 3.1.5. adempiere agli obblighi di cui all'art. 4.2 del presente Contratto, in caso di designazione di sub-responsabili; 3.1.6. assistere il Titolare con misure tecniche e organizzative adeguate, per l'adempimento degli obblighi connessi all'esercizio dei diritti degli Interessati, ivi inclusi i diritti alla limitazione del trattamento e alla portabilità dei dati; 3.1.7. procedere al trattamento dei dati personali in presenza delle misure richieste ai sensi dell'articolo 32 (Sicurezza del trattamento) Il Responsabile tratterà i Dati Personali del GDPR. Le misure di sicurezza adottate sono quelle dichiarate nel Registro dei trattamenti relative al Servizio. Nei casi particolari, di assistenza on-site o di assistenza attraverso collegamento al desktop del Cliente solo per quanto strettamente necessario all’erogazione del Servizioda remoto, restando soggetto alle istruzioni impartite per iscritto il Titolare prende atto che il Responsabile, procederà al trattamento attraverso gli strumenti predisposti e configurati dal Titolare con e pertanto dovrà adottare ogni cautela necessaria solo qualora il presente Contratto;trattamento sia effettuato fuori dal controllo dello strumento impostato e configurato dal Titolare. b) Il Responsabile avvertirà 3.1.8. assistere il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili nell'adempimento degli obblighi in materia di Protezione dei Dati Personalinotifica di cui agli artt. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali 33 e 34 del ClienteRegolamento. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che trattamento può delegare il Responsabile è espressamente autorizzato ad implementare misure alternative effettuare le notifiche per suo conto; 3.1.9. assistere il Titolare nelle attività connesse alla valutazione d'impatto sulla protezione dei dati personali di cui all'art. 35 del Regolamento e, se richiesto, cooperare con il Titolare nell'ambito delle consultazioni preventive di cui all'art. 36 del Regolamento; 3.1.10. cancellare o stabilire luoghi alternativi restituire - a scelta del Titolare - tutti i dati personali oggetto di trattamento in caso di cessazione dell'efficacia dell’Accordo cui il presente contratto afferisce, salvi gli obblighi di conservazione dei dati purché personali al fine di adempiere agli obblighi fiscali e/o regolamentari eventualmente derivanti dal diritto dell'Unione o degli Stati membri; 3.1.11. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il livello rispetto degli obblighi di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente cui al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Serviziopresente art. 3. A tale riguardo, il Responsabile assicura che detto personale: 1) si è impegnato impegna, fermo restando quanto previsto dall'art. 3.1.13., all'ordinata e diligente tenuta della documentazione inerente alle attività di trattamento e la prestazione del servizio di cui all'Accordo, rendendola accessibile al Titolare o ai soggetti da questi designati per eventuali ispezioni. Il Titolare e il Responsabile concorderanno, in buona fede, tempi e modalità degli audit relativi alle attività di trattamento svolte dal Responsabile per conto del Titolare. In caso di violazioni di dati personali, il Responsabile dovrà informare il Titolare senza ingiustificato ritardo dopo essere venuto a mantenere la riservatezza conoscenza della violazione e dovrà collaborare tempestivamente con il Titolare; 3.1.12. informare il Titolare qualora, ad avviso del Responsabile, un'istruzione impartita dal Titolare sia in violazione del Regolamento o è di altre disposizioni di legge applicabili in materia di protezione dei dati personali; 3.1.13. tenere aggiornato il registro dei trattamenti dei dati personali effettuati ai sensi del presente Contratto e dell'Accordo; 3.1.14. ove applicabile, fornire agli Interessati, unitamente al modulo per l’attivazione dei servizi del Titolare, altresì l'informativa predisposta dal Titolare e resa disponibile di volta in volta al Responsabile; 3.1.15. non comunicare a soggetto ad un obbligo legale terzi, salvo quanto previsto dall'art. 4 ovvero in caso di riservatezza econsenso espresso in forma scritta del Titolare, i dati personali oggetto di trattamento; 2) tratti se richiesto, curare, di concerto con il Titolare, i Dati Personali del Cliente seguendo rapporti con le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente ContrattoAutorità di controllo in materia di protezione dei dati personali, anche nell'ambito di procedimenti amministrativi e giurisdizionali inerenti al Titolare medesimo.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del Servizio5.1 Fermo restando ogni altro obbligo previsto dalla normativa applicabile, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contrattoa: a) Il a. trattare i dati personali esclusivamente per le finalità indicate nel presente Accordo, nonché per le finalità ulteriori che il Titolare dovesse eventualmente e successivamente indicare, e comunque esclusivamente per l’esecuzione del contratto; b. non trattare o utilizzare i dati personali per scopi diversi da quelli previsti e necessari per fornire i servizi; c. non trattare dati personali per proprie finalità; d. trattare i dati personali in piena conformità alle istruzioni qui fornite da parte del Titolare ovvero, di quelle presenti nel contratto e di quelle ulteriori che lo stesso dovesse, in futuro, ritenere opportuno fornire per la migliore e più efficiente esecuzione delle attività; le ulteriori istruzioni che dovessero essere fornite dal Titolare, saranno rese al Responsabile tratterà per iscritto o trasmesse al Responsabile a mezzo posta elettronica certificata. Al fine di garantire il rispetto delle istruzioni impartite dal Titolare, secondo quanto previsto dal presente articolo 5, il Responsabile si avvarrà di adeguati processi e di ogni altra misura tecnica idonea ad attuare le istruzioni fornite dal Titolare, incluse: ● le procedure idonee a garantire il rispetto dei diritti e delle richieste formulate al Titolare dagli interessati relativamente ai loro dati personali; ● l’adozione di adeguate interfacce o sistemi di supporto che consentano di garantire e fornire informazioni agli Interessati così come previsto dalla legge applicabile; ● procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta del Titolare, dei dati personali di ogni interessato; ● procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta del Titolare; ● misure che consentano di contrassegnare i Dati Personali personali o gli account, per consentire al Titolare di poter applicare particolari regole ai dati personali dei singoli interessati, così come, ad esempio, terminare l’attività di marketing per alcuni Interessati; ● procedure atte a garantire il diritto degli interessati alla portabilità dei dati e di limitazione di trattamento, su richiesta del Cliente Titolare, in quanto di propria competenza. e. garantire che tutte le persone agenti sotto la propria autorità alle quali sia consentito di accedere o anche trattare i dati personali ricevuti abbiano sottoscritto idoneo impegno, o siano altrimenti comunque adeguatamente vincolate, a mantenere totale riservatezza rispetto a tali dati personali e che, a tal fine, le stesse agiscano sotto il costante controllo del Responsabile ed in conformità alle istruzioni da quest’ultimo fornite; f. non comunicare a terzi e, più in generale, non diffondere e non trasferire a terzi i dati personali, salva diversa richiesta per iscritto dal Titolare; g. non consentire a terzi l’accesso ai dati personali, se non in presenza di adeguati presupposti di liceità per tali ulteriori trattamenti; h. tenere e conservare i dati personali separati dai dati detenuti e/o trattati per conto di altri soggetti e terze parti o per conto proprio; i. trattare i dati personali sul territorio italiano o comunque all’interno dello Spazio Economico Europeo. Il trasferimento di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo, o in un territorio che non garantisce un adeguato livello di protezione dei dati personali riconosciuto dalla Commissione europea, potrà avvenire solo previa esplicita autorizzazione scritta da parte di ACI e nel rispetto della disciplina applicabile; in tal caso il trasferimento sarà regolato dalle Clausole Contrattuali Tipo; j. nel contesto di quanto previsto nel successivo art. 7, adottare idonea procedura di gestione delle violazioni della sicurezza da cui derivino, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali o, in alternativa, conformarsi e dare adeguata attuazione alla corrispondente policy che dovesse essere trasmessa da parte del Titolare, prestando in ogni caso la massima collaborazione nei confronti dello stesso al fine di eliminare o quantomeno ridurre al minimo gli impatti derivanti da eventi di questo tipo; k. nel contesto di quanto specificato nel successivo art. 5 bis, fermo l’obbligo di notificare senza ingiustificato ritardo al Titolare e, comunque, entro e non oltre 12 ore ogni possibile evento qualificabile come violazione dei dati personali ai sensi della legge applicabile, informare prontamente il Titolare riguardo a qualsiasi ulteriore evento, fatto o circostanza, prevedibile o meno, da cui possa derivare un rischio elevato per i diritti e le libertà fondamentali degli interessati coinvolti nelle operazioni di trattamento; l. collaborare con il Titolare e fornire ad esso ogni supporto, limitatamente ai trattamenti relativi ai dati personali, nell’assolvimento degli obblighi di: i) messa in atto di misure tecniche ed organizzative adeguate per garantire un adeguato livello di sicurezza del trattamento dei dati; ii) notifica delle violazioni di dati al Garante o ad altre autorità di controllo competenti e, laddove richiesto in ragione dell’elevato livello di rischio per i diritti e le libertà degli Interessati, anche a questi ultimi; iii) se necessario, esecuzione di idonea valutazione di impatto sulla protezione dei dati, oltre che svolgimento delle procedure di consultazione preventiva con il Garante o le altre autorità competenti; m. al ricorrere dei presupposti, predisporre, mantenere costantemente aggiornato e rendere disponibile a richiesta, in formato elettronico o cartaceo, un registro di tutte le Operazioni di trattamento svolte ai fini dell’esecuzione dell’Accordo, contenente in particolare: i) il proprio nome e i propri dati di contatto, il nome e i dati di contatto del proprio Preposto Ufficio Privacy, oltre a quelli del Titolare e, ove applicabile, del proprio responsabile della protezione dei dati; ii) le categorie dei trattamenti effettuati per conto del Titolare; iii) dettagli relativi ad eventuali trasferimenti dei dati personali ricevuti al di fuori dello Spazio Economico Europeo, con individuazione e indicazione del paese terzo o dell’organizzazione internazionale verso cui i dati personali sono trasmessi e, qualora il trasferimento non sia basato su una decisione di adeguatezza della Commissione UE o su altri meccanismi di garanzia (quali ad esempio Clausole Contrattuali Standard o Binding Corporate Rules) e non sia applicabile nessuna delle deroghe previste dalla normativa vigente, le misure implementate a tutela dei dati personali; iv) una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in conformità al presente atto di nomina e, più in generale, alla normativa applicabile; n. mettere il Titolare al corrente riguardo a qualsiasi richiesta di esercizio di diritti che il Responsabile dovesse ricevere da parte degli interessati entro un termine massimo di 24 ore dal ricevimento della stessa, fornendo anche assistenza al Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti degli interessati; o. nel contesto di quanto strettamente necessario all’erogazione specificato nel successivo art. 6, provvedere alla cancellazione dei dati personali trattati per l’esecuzione dei servizi al termine del Servizioperiodo di conservazione indicato da ACI e in qualsiasi circostanza in cui la cancellazione sia richiesta dalla stessa ACI, restando compresa l’ipotesi in cui la stessa debba avvenire su esercizio del relativo diritto dell’interessato; p. prima di iniziare ogni trattamento di dati personali e, ove occorra, in qualsiasi altro momento, (i) segnalare al Titolare se, a proprio parere, le istruzioni ricevute comportano una violazione della legge applicabile e (ii) se, a proprio parere, il Responsabile è soggetto al rispetto di previsioni di legge, che potrebbero rendere per lo stesso, in tutto o in parte, impossibile o illegittimo agire conformemente alle istruzioni impartite per iscritto dal Titolare con il presente Contrattoo nel rispetto di quanto previsto dalla legge applicabile; b) q. prestare al Titolare ogni necessaria collaborazione nell’assolvimento di richieste che dovessero pervenire dal Garante o da altre autorità competenti o in relazione a procedure o ispezioni che dovessero essere avviate nei confronti del Titolare, dando altresì immediata esecuzione alle istruzioni ricevute e fornendo copia di ogni documento richiesto. Il Responsabile avvertirà si impegna inoltre a rispettare le indicazioni o le decisioni provenienti dal Garante e/o da altre Autorità di controllo entro un tempo utile che consenta al Titolare di rispettare il termine imposto dallo stesso Xxxxxxx e/o dalla diversa Autorità di controllo; r. per quanto di propria competenza, rispettare la legge applicabile e adempiere agli obblighi previsti dal presente Accordo in modo da evitare che il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in incorra nella violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personaliun qualunque obbligo previsto dalla legge applicabile. In nessun caso il Il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono deve inoltre garantire e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo fornire al Titolare cooperazione, assistenza e non al Responsabilele informazioni che potrebbero essere ragionevolmente richieste dal Titolare, per consentirgli di adempiere ai propri obblighi ai sensi della legge applicabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità Responsabile, per quanto di propria competenza, è tenuto – in forza di legge e del presente Contratto per il Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio– al rispetto delle disposizioni della Normativa Privacy. 3.2. Con riferimento all’erogazione del ServizioIn particolare, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contrattoa: a) Il Responsabile tratterà a. eseguire solo ed esclusivamente i Dati Personali del Cliente solo Trattamenti necessari per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente l’esecuzione delle obbligazioni di cui al Contratto; b) Il Responsabile avvertirà b. informare senza ingiustificato ritardo il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Clienteun’istruzione ricevuta violi la Normativa Privacy; c) Register in qualità c. adottare il registro delle attività di Responsabile informerà tempestivamente trattamento di cui all’articolo 30 del Regolamento; d. laddove il ClienteContratto implichi l’esecuzione di Servizi con mansioni di “Amministratore di Sistema”, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento rispettare le previsioni contenute nel provvedimento del Garante per la protezione dei Dati Personali del Cliente27 novembre 2008, come modificato in base al provvedimento del 25 giugno 2009; e. consentire le operazioni di Trattamento esclusivamente alle Persone Autorizzate che, in forma scritta, si siano impegnate alla riservatezza – o, comunque, sui quali grava un adeguato obbligo legale di riservatezza – e la cui attività sia strettamente necessaria per dare esecuzione al Contratto; f. mettere a disposizione del Titolare, su richiesta di quest’ultimo, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 del Regolamento, inoltre consentendo e contribuendo alle attività di revisione, comprese le ispezioni, realizzati dal Titolare o da un altro soggetto da questi incaricato; g. su richiesta del Titolare, cooperare con quest’ultimo nelle procedure davanti al Garante o all’autorità giudiziaria in relazione alle attività rientranti nella sua competenza, fornendo l’assistenza necessaria al Titolare per assicurare il rispetto della Normativa Privacy; h. alla cessazione del Contratto/dell’esecuzione dei Servizi, cancellare e/o riconsegnare i Dati Personali oggetto del Trattamento entro il termine massimo di 60 (sessanta) giorni dalla richiesta del Titolare, sul quale grava l’osservanza del principio di conservazione. A tal riguardoIn difetto di richiesta, le Parti acconsentono e concordano che la responsabilità per cancellazione avverrà entro il riscontro a tali richieste rimarrà termine massimo di 90 (novanta) giorni dalla cessazione del Contratto, salvo ulteriori obblighi di conservazione previsti direttamente ed esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Responsabile si impegna a procedere al Trattamento dei Dati Personali nel rispetto del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del ServizioRegolamento e delle leggi applicabili sulla protezione dei dati che, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante con la sottoscrizione del presente Contratto: atto, dichiara di conoscere. In particolare s’impegna a) Il Responsabile tratterà : - trattare i Dati Personali del Cliente Titolare solo per quanto strettamente se necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con a fornire il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo Servizio e nel rispetto delle istruzioni scritte impartite dal Cliente; c) Register del Titolare; - informare il Titolare nel caso in qualità cui ritenga che specifiche istruzioni scritte da esso ricevute siano in violazione del Regolamento; - notificare al Titolare senza ritardo qualsiasi contatto, comunicazione o corrispondenza che potrebbe ricevere da un'Autorità di Responsabile informerà tempestivamente il Clientevigilanza, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Clientedegli Interessati. A tal riguardo, le Le Parti acconsentono riconoscono e concordano accettano che la responsabilità per il riscontro di rispondere a tali richieste rimarrà contatti, comunicazioni o corrispondenza è esclusivamente in capo al del Titolare e non del Responsabile; - ad individuare e opportunamente designare i propri addetti al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche trattamento e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi propri amministratori di conservazione sistema in quanto deputati al Trattamento dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto personali. La designazione deve essere nominativa e scritta. Contestualmente alla fornitura del Serviziodesignazione, il Responsabile assicura del trattamento, si fa carico di fornire istruzioni scritte e dettagliate, agli addetti e agli Amministratori di sistema, in ottemperanza a quanto disposto dal Regolamento Europeo e dal presente Accordo ed assicurerà che detto personaletali soggetti: 1) si è impegnato a mantenere la ● s’impegnino formalmente alla riservatezza o è a soggetto siano soggetti ad un obbligo legale di riservatezza eriservatezza; 2) tratti ● trattino i Dati Xxxx Personali del Cliente seguendo Titolare secondo le istruzioni impartite dal Responsabile in conformità con gli obblighi che lo stesso ha assunto per effetto del presente Accordo; ● ricevano la formazione necessaria in materia di protezione dei Dati Personali; - tenendo conto della natura del trattamento, assistere il Titolare, qualora richiesto e previo accordo, nella realizzazione di analisi d’impatto relative alla protezione dei dati e nella consultazione preventiva dell’autorità di controllo, conformemente agli artt. 35 e 36 del Regolamento; - rispettare, in generale, tutte le disposizioni vigenti in materia di trattamento dei Dati Personali, attuando gli eventuali provvedimenti giurisdizionali e/o amministrativi adottati dalle Autorità di vigilanza e ogni altra autorità all’uopo preposta; - tenere per iscritto un registro delle categorie di attività di trattamento effettuate per conto del Titolare del trattamento ai sensi dell’art. 30 par. 2 del Regolamento; - inoltrare al Titolare, senza ingiustificato ritardo, ogni richiesta da parte degli Interessati. Se il Responsabile nel rispetto degli obblighi contenuti nel presente Contrattodel trattamento, per l’erogazione del Servizio, è tenuto a procedere ad un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi nazionali o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per motivi importanti di interesse pubblico. Il Responsabile del trattamento si impegna a rispettare le istruzioni impartite per iscritto dal Titolare in materia di trattamento di dati personali, dal medesimo comunicate secondo le modalità ritenute più celeri ed opportune.

Obblighi del Responsabile. 3.1. Il Responsabile concorda e si impegna a: trattare i Dati Personali relativi agli Interessati esclusivamente: per conto del Titolare determina le e in conformità alle istruzioni impartite dal Titolare, ivi incluse quelle riportate in Appendice 2; al fine di svolgere i Servizi, o in ogni caso come indicato dal Titolare, in conformità al presente Accordo, e per nessun motivo per finalità proprie; non adottare autonome decisioni in ordine alle finalità e alle modalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del Serviziodegli Interessati; informare tempestivamente il Titolare nel caso in cui, il Responsabile si impegna a rispettare i seguenti obblighinella esecuzione dei Servizi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà le Disposizioni Privacy, o altra normativa, gli imponga di trattare i Dati Personali relativi agli Interessati in maniera non conforme alle istruzioni ricevute dal Titolare stesso; adempiere in ogni momento alle Disposizioni Privacy e nello specifico ad adottare tutte le misure richieste ai sensi dell’articolo 32 del Cliente solo GDPR; predisporre e mantenere aggiornato un adeguato sistema di protezione e sicurezza dei Dati Personali degli Interessati per quanto evitare la distruzione, la perdita, la modifica, la diffusione di tali dati o l'accesso non autorizzato agli stessi, e controllare periodicamente l’efficacia delle misure di sicurezza adottate, implementando almeno le misure di cui all'Appendice 2; trattare tutti i Dati Personali relativi agli Interessati come informazioni confidenziali e non comunicare tali informazioni confidenziali senza il preventivo consenso del Titolare, salvo nel caso in cui sia richiesto dall'autorità giudiziaria, o vi sia un obbligo di divulgazione di tali Dati Personali degli Interessati, ma esclusivamente nei limiti in cui ciò sia strettamente necessario all’erogazione per conformarsi a tale ordine dell'autorità giudiziaria od obbligo; adottare misure ragionevoli al fine di assicurare che il proprio personale autorizzato (da intendersi dipendenti, consulenti e collaboratori a vario titolo): sia affidabile; sia a conoscenza della natura confidenziale dei Dati Personali degli Interessati e sia obbligato a mantenere confidenziali e riservati tali Dati Personali degli Interessati; sia a conoscenza e rispetti gli obblighi assunti dal Responsabile in virtù del Serviziopresente Accordo; informare immediatamente il Titolare in merito a: qualsiasi violazione della sicurezza, restando soggetto alle accesso non autorizzato, appropriazione indebita, perdita, danno o altra compromissione della sicurezza, confidenzialità o integrità dei Dati Personali relativi ai Servizi, sia essa effettiva o potenziale ("Violazione di Sicurezza"); qualsiasi reclamo, comunicazione o richiesta ricevuta dal personale del Responsabile o dal Sub-responsabile da parte di un Interessato relativamente ai propri Dati Personali, senza rispondere a tali reclami, comunicazioni o richieste salvo che non sia stato autorizzato dal Titolare; qualsiasi richiesta di informazioni, ispezione, contatto da parte dell'Autorità di controllo relativa ai Dati Personali degli Interessati; non appena abbia scoperto una Violazione di Sicurezza e, in ogni caso, non oltre 24 ore dalla scoperta: agire immediatamente per prevenire qualsiasi ulteriore Violazione di Sicurezza; assicurare al Titolare collaborazione ed assistenza piena ed immediata in relazione a qualsiasi comunicazione che il Titolare sia obbligato ad effettuare a seguito di una Violazione di Sicurezza; assicurare al Titolare collaborazione ed assistenza piena ed immediata in relazione a qualsiasi reclamo, comunicazione o richiesta per l’esercizio dei diritti da parte di un Interessato, inter alia: fornendo al Titolare tutti i dettagli del reclamo, comunicazione o richiesta; se autorizzato dal Titolare, soddisfacendo la richiesta dell'Interessato relativa al Trattamento dei propri Dati Personali nella esecuzione dei Servizi, nei tempi previsti dalla legge e nel rispetto delle istruzioni impartite per iscritto fornite dal Titolare; fornendo al Titolare qualsiasi Dato Personale che detiene con riferimento all'Interessato, se richiesto in un formato elettronico leggibile e comunemente usato; fornendo al Titolare qualsiasi informazione richiesta dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione riferimento al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente degli Interessati effettuato in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 esecuzione dei Servizi ai sensi del presente ContrattoAccordo; correggendo, volte a proteggere eliminando o bloccando i Dati Personali degli Interessati; implementando misure tecniche ed organizzative adeguate che garantiscano al Responsabile di adempiere alle obbligazioni di cui al presente articolo; assicurare al Titolare collaborazione ed assistenza piena ed immediata in relazione a qualsiasi valutazione relativa all'impatto sulla protezione dei Dati Personali degli Interessati trattati nell’esecuzione dei Servizi o consultazione preventiva che il Titolare sia obbligato ad effettuare con riferimento ai Dati Personali degli Interessati, nonché nell'ambito di investigazioni, richieste di informazioni, ispezioni da parte dell'Autorità di controllo; rendere noto al Titolare ogni soggetto che supporti il Responsabile nello svolgimento dell'attività di supervisione del Cliente. Le Parti sono consapevoli rispetto del presente Accordo; mettere a disposizione, su richiesta del Titolare, tutte le informazioni e concordano le prove necessarie a dimostrare che il Responsabile è espressamente autorizzato ad implementare misure alternative ha adempiuto e stia adempiendo alle sue obbligazioni derivanti dal presente Accordo nonché agli obblighi di cui all’articolo 28 del GDPR; mettere a disposizione, su richiesta del Titolare, le proprie strutture per il Trattamento dei Dati Personali degli Interessati al fine di consentire al Titolare di effettuare, direttamente o stabilire luoghi alternativi tramite qualsiasi soggetto indipendente e imparziale selezionato dal Titolare a propria scelta, verifiche e controlli delle attività di conservazione dei dati purché il livello Trattamento previste dal presente Accordo; Sub-responsabile Il Responsabile concorda e si impegna a: fornire immediatamente, su richiesta motivata del Titolare, un estratto di qualsiasi accordo concluso con un Sub-responsabile limitatamente a ciò che concerne le modalità, le istruzioni, gli accorgimenti di sicurezza delle misure e ogni altra informazione utile a definire il Trattamento dei Dati Personali degli Interessati effettuato nella fornitura dei Servizi; comunicare al Titolare ogni eventuale ricorso ad altri Sub-responsabili affinché il Titolare abbia la possibilità di opporsi alla nomina degli stessi. Il Responsabile deve assicurare che il Sub-responsabile abbia sottoscritto un accordo scritto a norma del diritto dell'Unione o di uno degli Stati Membri che abbia ad oggetto il Trattamento dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove Dati Personali degli Interessati effettuato nella fornitura dei Servizi da parte del Responsabile e imponga al Sub-responsabile gli stessi obblighi che sono imposti al Responsabile ai sensi del presente Accordo. Resta inteso che il Responsabile comunichi e il Sub-responsabile possono concordare ulteriori aspetti commerciali fintantoché tali accordi non confliggano con il presente Accordo. Qualora il Titolare abbia ragionevoli motivi per opporsi alla nomina, da parte del Responsabile, di un nuovo Sub-responsabile, il Titolare dovrà comunicarlo per iscritto al Responsabile avendo cura di specificare i Dati Personali del Cliente al proprio personalemotivi a fondamento della sua opposizione, direttamente ed esclusivamente preposto alla fornitura del Servizioentro 30 giorni lavorativi dalla ricezione della suddetta comunicazione. Qualora il Titolare presenti opposizione, il Responsabile assicura si impegnerà a collaborare in buona fede con il Titolare per trovare una proposta accettabile, ragionevole ed alternativa. Qualora il Responsabile non sia in grado di presentare una proposta alternativa entro un termine ragionevole che detto personale: 1non dovrà essere superiore a sessanta (60) si è impegnato a mantenere giorni, il Titolare potrà imporre la riservatezza cessazione del trattamento, senza che ciò comporti alcuna penale o è a soggetto ad un obbligo legale di riservatezza e; 2responsabilità in capo alle Parti, dandone comunicazione scritta al Responsabile entro trenta (30) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contrattogiorni.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Responsabile si impegna a procedere al Trattamento dei Dati Personali nel rispetto del Cliente nell’erogazione Regolamento e delle leggi applicabili sulla protezione dei dati che, con la sottoscrizione del Servizio. 3.2presente atto, dichiara di conoscere. Con riferimento all’erogazione In particolare si impegna a: - trattare i dati personali del ServizioTitolare solo se necessario ai fini dell’erogazione del Servizio e nel rispetto delle istruzioni scritte fornite del Titolare - informare il Titolare nel caso in cui ritenga che specifiche istruzioni scritte da esso ricevute siano in violazione del Regolamento; - notificare al Titolare, senza ritardo, qualsiasi contatto, comunicazione o corrispondenza che potrebbe ricevere da un'Autorità di vigilanza, in relazione al trattamento dei dati personali degli interessati. Le Parti riconoscono e accettano che la responsabilità di rispondere a tali contatti, comunicazioni o corrispondenza è esclusivamente del Titolare e non del Responsabile; - individuare e opportunamente designare i propri addetti al trattamento e i propri amministratori di sistema in quanto deputati al Trattamento dei dati personali. La designazione deve essere nominativa e scritta. Contestualmente alla designazione, il Responsabile del trattamento, si fa carico di fornire istruzioni scritte e dettagliate, agli addetti e agli amministratori di sistema, in ottemperanza a quanto disposto dal Regolamento e dal presente Accordo ed assicurerà che tali soggetti: a) si impegnino formalmente alla riservatezza o siano soggetti ad un obbligo legale di riservatezza; b) trattino i dati personali del Titolare secondo le istruzioni impartite dal Responsabile in conformità con gli obblighi che lo stesso ha assunto per effetto del presente Accordo; c) ricevano la formazione necessaria in materia di protezione dei dati personali; - tenendo conto della natura del trattamento, assistere il Titolare, qualora richiesto e previo accordo, nella realizzazione di analisi d’impatto relative alla protezione dei dati e nella consultazione preventiva dell’Autorità di controllo, conformemente agli artt. 35 e 36 del Regolamento; - rispettare, in generale, tutte le disposizioni vigenti in materia di trattamento dei dati personali, conformandosi agli eventuali provvedimenti giurisdizionali e/o amministrativi adottati dalle Autorità di vigilanza e ogni altra Autorità all’uopo preposta; - tenere per iscritto un registro delle categorie di attività di trattamento effettuate per conto del Titolare del trattamento ai sensi dell’art. 30, paragrafo 2, del Regolamento; - inoltrare al Titolare, senza ingiustificato ritardo, ogni richiesta da parte degli interessati. Se il Responsabile del trattamento, per l’erogazione del servizio, è tenuto a procedere ad un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi nazionali o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per motivi importanti di interesse pubblico. Il Responsabile del trattamento si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle le istruzioni impartite per iscritto dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personalitrattamento di dati personali, dal medesimo comunicate secondo le modalità ritenute più celeri ed opportune. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali Il Titolare del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) trattamento si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.impegna a:

Obblighi del Responsabile. 3.11. Il Titolare determina Responsabile tratterà i dati solo per la finalità o le finalità sopra specificate e per l’esecuzione delle prestazioni previste dalla Convenzione. 2. Il Responsabile dei dati personali si impegna a: a) adempiere agli obblighi previsti dal GDPR e dalla Normativa Nazionale Privacy vigente, compreso l'obbligo di tenere un registro di tutte le categorie di attività di trattamento ai sensi dell'art. 30 del GDPR; b) attenersi alle istruzioni del Garante per la protezione dei dati personali e, in particolare, alle misure di garanzia disposte dal Garante ai sensi dell’art. 2-septies del D.Lgs. 196/03; c) trattare i Dati Personali solo se necessario per l’attivazione dei servizi ed osservare le istruzioni documentate del Titolare e come da questi comunicate per iscritto di volta in volta: qualora il Responsabile ritenga che un'istruzione di trattamento violi le leggi applicabili, informerà immediatamente al riguardo il Titolare e fornirà una motivazione adeguata; d) fornire riscontro tempestivamente a tutte le richieste del Titolare in merito al trattamento dei Dati Personali; e) vincolare il proprio personale che tratta i Dati Personali ad un adeguato obbligo di riservatezza, che rimane in vigore anche dopo il termine delle attività di trattamento; identificare e designare gli incaricati autorizzati ad effettuare operazioni di Trattamento sui Dati Personali, precisando l'ambito autorizzativo consentito ai sensi dell'art. 29 del GDPR e della Normativa Nazionale Privacy e provvedendo alla relativa formazione, fornendo le dovute istruzioni relativamente alle operazioni ed alle modalità di Trattamento dei Dati Personali, vigilando sulla puntuale applicazione delle istruzioni impartite e adottando misure disciplinari nei confronti di chi non rispetti tali istruzioni; f) non divulgare o trasferire Dati Personali oggetto del Cliente nell’erogazione presente accordo a terzi senza previa autorizzazione scritta del Servizio.Titolare, eccetto laddove tale divulgazione o trasferimento siano richiesti per legge, nel qual caso il Responsabile informerà tempestivamente il Titolare per iscritto prima di adempiere a tali richieste di divulgazione; il Responsabile dovrà rispettare tutte le indicazioni del Titolare in relazione a tale divulgazione o trasferimento; 3.2. Con riferimento all’erogazione g) non trasferire i Dati Personali in un paese al di fuori dello Spazio Economico Europeo che non preveda un livello di protezione dei dati equivalente a quello dell'Unione Europea come riconosciuto da una decisione della Commissione Europea, senza previa autorizzazione scritta del ServizioTitolare; in ogni caso, il Responsabile collaborerà con il Titolare per assicurarsi che siano in vigore adeguate salvaguardie legali o contrattuali per tali trasferimenti internazionali in conformità alla legislazione applicabile; h) fornire un'assistenza al Titolare nel rispettare i suoi obblighi di trasparenza nei confronti degli interessati; i) informare tempestivamente il Titolare di qualsiasi comunicazione ricevuta dagli interessati in relazione all'esercizio dei loro diritti sui propri Dati Personali e rispettare le istruzioni del Titolare nel fornire riscontro a tali comunicazioni; j) informare gli interessati sul trattamento dei propri Dati Personali in conformità alle leggi applicabili e alle istruzioni del Titolare ogni volta che il Responsabile del trattamento raccoglie Dati Personali direttamente dagli interessati per conto del Titolare; k) adottare misure tecniche e organizzative adeguate previste dal GDPR e dalla Normativa Nazionale Privacy, cosi come ogni altra previsione derivante dall'Autorità di Controllo, ovvero dal Comitato Europeo per la protezione dei dati e comunque in conformità con l'art. 5, lettera f, ed all'art. 32 del GDPR per proteggere i Dati Personali da distruzione accidentale o illecita o perdita o danno accidentale, alterazione, divulgazione o accesso non autorizzati e da tutte le altre forme di trattamento non autorizzate o illegali o richieste dalle leggi applicabili; l) ad adottare e mantenere appropriate misure di sicurezza di cui all’art. 32 del GDPR, sia tecniche che organizzative, per proteggere i Dati Personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporta trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento. A tal fine il Responsabile del trattamento si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati Requisiti Minimi di Sicurezza stabiliti dal Titolare del Trattamento di cui al successivo Allegato 1 e 2 i provvedimenti in materia del Garante per la protezione dei dati personali, ivi incluso il provvedimento del 27 novembre 2008 in materia di amministratori di sistema, fatti salvi gli adeguamenti che si considerano parte integrante potranno essere necessari a seguito dell’applicazione del presente ContrattoRegolamento e di suoi eventuali provvedimenti attuativi. Tra le misure tecniche ed organizzative che garantiscono un livello di sicurezza adattato al rischio, ivi compresi, sono comprese fra le altre: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto;la pseudonimizzazione e la cifratura dei dati personali b) Il Responsabile avvertirà la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. L’adesione a un codice di condotta o una certificazione può essere utilizzata dal Responsabile, come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 dell’art. 32 del GDPR; m) fornire al Titolare la documentazione tecnica relativa alle procedure, eventualmente poste in essere, per testare e valutare l'efficacia delle misure tecniche e organizzative per la sicurezza del trattamento; n) rispettare la vigente disciplina sugli amministratori di sistema (in origine contemplata dal provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008) e conservare gli estremi identificativi delle persone fisiche preposte alla mansione di amministratore di sistema e il Titolare qualora ritenga registro delle attività dagli stessi poste in essere; o) verificare periodicamente e, comunque, almeno annualmente, la sussistenza delle condizioni per la conservazione dei profili di autorizzazione degli incaricati e/o responsabili del trattamento e/o amministratori di sistema nominati; p) astenersi dal compiere qualsiasi trattamento di dati personali che le istruzioni impartite per iscritto si pongano non sia stato definito in violazione delle Disposizioni Convenzione e/o che comunque abbia finalità diverse da quelle definite e consentite; q) garantire l'affidabilità di Legge Applicabili in materia qualsiasi dipendente che accede ai Dati Personali di Protezione cui è titolare la Regione Sardegna ed assicurare, inoltre, che gli stessi abbiano ricevuto adeguata formazione con riferimento alla protezione e gestione dei Dati Personali, e che siano vincolati al rispetto di obblighi di riservatezza non meno onerosi di quelli previsti nel presente Accordo relativamente al Trattamento dei Dati Personali. In nessun ogni caso il Responsabile del trattamento dei dati sarà onerato dell'obbligo direttamente ritenuto responsabile per qualsiasi divulgazione di procedere Dati Personali che dovesse realizzarsi ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Clienteopera di tali soggetti; cr) Register tenere conto, utilizzando i materiali, i prodotti, le applicazioni o i servizi, dei principi di protezione dei dati a partire da quando questi vengono progettati e della protezione dei dati di default; s) informare il Titolare per iscritto secondo la procedura di data breach di cui alla DGR 51/3 del 16/10/2018, di qualsiasi distruzione accidentale o illecita o perdita o danno accidentale, alterazione, divulgazione o accesso ai Dati Personali non autorizzati, fornendo tutti i dettagli completi della violazione subita ed attivandosi per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive al Titolare ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dal Titolare. In particolare, il Responsabile dovrà fornire una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in qualità questione, l'impatto della violazione dei dati personali sul Titolare e sugli Interessati coinvolti e le misure adottate per mitigare i rischi; il Responsabile dovrà assistere il Titolare nell'obbligo, in conformità con le leggi applicabili, di notificare la violazione alle autorità di controllo competenti e agli Interessati, nella misura in cui il Responsabile informerà del trattamento disponga di informazioni rilevanti per il Titolare al fine di adempiere ai propri obblighi di notifica; t) informare tempestivamente il ClienteTitolare di eventuali ispezioni e misure adottate dalle Autorità di controllo, nella misura in cui incidano sulle operazioni di trattamento ai sensi del presente atto. Ciò vale anche, nella misura consentita dalla legge applicabile, laddove il Responsabile sia oggetto di indagine o sia parte di un'indagine condotta dall'autorità pubblica relativa ai Dati Personali trattati ai sensi del presente accordo. Il Responsabile dovrà conformarsi a tutte le indicazioni del Titolare in merito a qualsiasi divulgazione o trasferimento di Dati Personali alle autorità competenti; u) assistere il Titolare, qualora sia fatta richiesta specifica in tal senso, nell’ambito delle procedure dinnanzi all'Autorità di controllo o all'Autorità Giudiziaria per le attività di sua competenza; v) applicare senza indebito ritardoritardo adeguate misure di sicurezza e di mitigazione, in accordo con il Titolare, per limitare i potenziali effetti negativi di ogni contatto una violazione della sicurezza; w) assistere il Titolare nell'effettuare valutazioni di impatto sulla protezione dei dati e preparare le consultazioni con le autorità di controllo, laddove il Responsabile detenga informazioni rilevanti affinché il Titolare rispetti gli obblighi previsti dalle leggi applicabili; x) il Responsabile del trattamento dei dati accetta che il Titolare o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento un revisore esterno incaricato dal Titolare possa, con ragionevole preavviso, ispezionare e verificare il trattamento dei Dati Personali per confermare l’adempimento degli obblighi stabiliti nel presente atto e nelle leggi applicabili da parte del ClienteResponsabile. A tal riguardoLa verifica può, le Parti acconsentono e concordano che la responsabilità per tra l'altro, comportare richieste di informazioni o un'ispezione dei locali del Responsabile da parte del Titolare o del revisore esterno incaricato; y) il riscontro a tali richieste rimarrà esclusivamente in capo Responsabile fornirà al Titolare e non o al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che revisore esterno incaricato tutte le informazioni necessarie per dimostrare il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel di cui alla presente Contrattonomina e tutto il materiale necessario affinché il Titolare possa condurre tali ispezione o audit; z) esporre all’interno della farmacia e ben visibile al pubblico le informative.

Obblighi del Responsabile. 3.1. 4.1 Il Titolare determina le finalità Responsabile deve trattare i dati personali soltanto su istruzione documentata del Trattamento dei Dati Personali titolare del Cliente nell’erogazione trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organiz- zazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il re- sponsabile del Serviziotrattamento; in tal caso, il responsabile del trattamento informa il titolare del trat- tamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informa- zione per rilevanti motivi di interesse pubblico. 3.2. Con 4.2 Il Responsabile garantisce che le tutte persone agenti sotto la propria autorità alle quali sia con- sentito di accedere o anche trattare i dati ricevuti si sono impegnate alla riservatezza nel tratta- mento di tali dati. 4.3 Il Responsabile deve svolgere esclusivamente le operazioni di trattamento delegate da parte del Titolare e, per l’effetto, non utilizzare i dati ricevuti per finalità diverse da quelle collegate alla so- la esecuzione di ciascun contratto. 4.4 Il Responsabile deve adottare, tenendo conto dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità delle operazioni di trattamento connesse all’esecuzione del Contratto, oltre che dei rischi che tali trattamenti possono determinare per i di- ritti e le libertà degli interessati, delle misure tecniche e organizzative adeguate a garantire un idoneo livello di sicurezza in riferimento all’erogazione ai dati ricevuti; nel valutare l'adeguato livello di sicurez- za tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. 4.5 Tenuto conto della natura del Serviziotrattamento, il Responsabile si impegna a rispettare i seguenti obblighideve assistere il Titolare, compresi quelli definiti negli Allegati 1 con misure tecniche e 2 che si considerano parte integrante organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del presente Contratto:Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del GDPR (artt. 12-23). a) 4.6 Il Responsabile tratterà i Dati Personali deve assistere il titolare del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con trattamento nel garantire il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contrattodi cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a di- sposizione del responsabile del trattamento. 4.7 Il Responsabile non può comunicare a terzi e, più in generale, diffondere i dati ricevuti, se non in presenza di adeguati presupposti di liceità per tali ulteriori trattamenti. 4.8 Il Responsabile deve, su scelta del Titolare, cancellare o restituire al Titolare tutti i dati personali dopo che è terminata l’esecuzione del Contratto e cancellare le copie esistenti, salvo che il dirit- to dell'Unione o degli Stati membri preveda la conservazione dei dati. 4.9 Il Responsabile deve mettere a disposizione del titolare del trattamento tutte le informazioni ne- cessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 GDPR. 4.10 Il Responsabile deve consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati dal Titolare o da altro soggetto da questi incaricato. 4.11 Il Responsabile del trattamento deve informare il Titolare di eventuali modifiche previste riguar- danti l'aggiunta o la sostituzione di altri responsabili del trattamento.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Nell’adempimento delle proprie obbligazioni il Responsabile, i suoi dipendenti ed ogni eventuale Sub-responsabile previamente autorizzato dall’Azienda, che effettuino il Trattamento dei di Dati Personali del Cliente nell’erogazione Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita dall’Azienda, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti al trattamento svolto. Il Responsabile è tenuto a svolgere, con correttezza e buona fede, le seguenti attività: a) rispettare i principi di liceità, correttezza, trasparenza, pertinenza, limitazione della finalità, minimizzazione, esattezza, limitazione della conservazione, integrità e riservatezza, responsabilizzazione, tutela fin dall’inizio del Servizio.trattamento e per progettazione definita, di cui al GDPR; 3.2b) mantenere e far mantenere ai propri incaricati la massima riservatezza sui dati trattati; c) eseguire operazioni di trattamento sui dati al solo scopo di eseguire le prestazioni oggetto del Rapporto e di adempiere ad altre previsioni normative, evitando qualsiasi ulteriore operazione che non sia strettamente necessaria a tale esecuzione; d) rispettare le regole di organizzazione e le altre istruzioni impartite dal Titolare in merito alla collocazione ed all’accesso agli archivi ed al compimento delle operazioni di trattamento sui dati personali, avvisandolo qualora riscontri che taluna di dette regole e/o istruzioni possano contrastare con le norme del GDPR o della legislazione nazionale; e) rispettare le regole di raccolta, archiviazione, conservazione e di ogni altro trattamento dei dati disposte dal Titolare, nonché in particolare assicurarsi che il modulo di informativa e consenso sia reso agli Interessati, ad eccezione dei casi in cui competa direttamente al Titolare medesimo predisporre e controllare l’adempimento alle prescrizioni di legge in tema di informativa e consenso; f) incaricare per iscritto i soggetti autorizzati a compiere operazioni di trattamento in nome e per conto del Responsabile e sotto la sua diretta supervisione e responsabilità, fornendo ai medesimi istruzioni operative per una corretta gestione del trattamento nel rispetto dei diritti degli Interessati; g) il responsabile si impegna, con riferimento ai propri dipendenti, a dare attuazione a quanto previsto nel Provvedimento Generale del Garante del 27 novembre 2008 e s.m.i. Con riferimento all’erogazione per l’attribuzione del Servizioruolo di Amministratore di sistema. In particolare, il Responsabile deve nominare per iscritto e in modo individuale le persone fisiche incaricate della gestione e manutenzione del sistema informativo, indicando i rispettivi ambiti di competenza e le funzioni attribuite a ciascuno; h) eseguire la valutazione di impatto ai sensi dell’art. 35 GDPR ogni qualvolta si renda necessario, nonché avvisare il Titolare della necessità di avviare la consultazione preventiva dell’Autorità di controllo nei casi previsti dall’art. 36 GDPR ovvero richiederne l’autorizzazione in tutti i casi in cui ciò sia previsto, ovvero avviarla o richiederla esso stesso laddove ciò rappresenti un proprio obbligo diretto; i) redigere e mantenere un aggiornato registro dei trattamenti ai sensi dell’art. 30 GDPR, secondo le regole del presente Contratto; j) laddove necessario, cooperare per l’adozione delle misure di reazione e di notifica nel caso di violazione di dati personali (data breach), ai sensi degli artt. 33 e 34 GDPR, secondo le regole del presente Contratto; k) collaborare con gli altri responsabili del trattamento e/o con i contitolari del trattamento; l) collaborare con il Responsabile della protezione dei dati (RPD) eventualmente nominato dal Titolare, nonché provvedere a nominare il proprio RPD nei casi previsti dal GDPR dandone pronta comunicazione al Titolare; m) osservare le misure di sicurezza già adottate dal Titolare ed adottarne in proprio di idonee come da disposizione che segue; n) assistere il Titolare nella soddisfazione delle richieste che gli Interessati avanzino nell’esercizio dei diritti conferiti dal GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile; o) effettuare la comunicazione dei dati personali a Destinatari, laddove prevista, solo nei limiti consentiti dalle finalità del trattamento, dal contenuto del consenso prestato dall’Interessato, da disposizioni di contratto o di legge o da altre previsioni analoghe; p) laddove la comunicazione abbia ad oggetto Destinatari aventi sede al di fuori dell’Unione Europea, assicurarsi che tali Destinatari aderiscano alle regole del Privacy Shield o ad altre analoghe regole convenzionali o di autodisciplina nel rispetto dei diritti degli Interessati; q) evitare qualsiasi diffusione dei dati personali; r) rivolgersi al Titolare per ogni dubbio o chiarimento in merito all’applicazione e all’interpretazione delle disposizioni del GDPR e del presente Contratto, nonché della modulistica privacy adottata (informativa, consenso e simili); s) segnalare al Titolare qualunque azione o evento possa costituire o causare un rischio per la conservazione dei dati o la loro integrità, adottando nel contempo tutte le misure idonee ad evitare conseguenze pregiudizievoli al trattamento dei dati; t) conservare, aggiornare e mettere a disposizione del Titolare e/o degli organi di controllo, l’elenco con i dati (nome, cognome, funzione e /o ambito di competenza) degli amministratori di sistema nominati e muniti dei necessari requisiti di esperienza, capacità ed affidabilità in conformità di quanto previsto dal Provvedimento 27 novembre 2008 del Garante per la protezione dei dati personali e s.m.i. e curare l’applicazione di tutte le ulteriori prescrizioni contenute nel suddetto provvedimento; u) adoperarsi in ogni altro modo ed adottare ogni altra misura sia idonea per garantire il massimo rispetto dei diritti degli Interessati. Nell’ambito di quanto sopra, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare cooperare con l’Azienda in qualsiasi momento al fine di assicurare il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento corretto trattamento dei Dati Personali del Cliente. A tal riguardoe si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, le Parti acconsentono che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato comprovare l’adozione di misure operative, tecniche e organizzativeorganizzative adeguate, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte entro 10 giorni lavorativi dalla richiesta formulata dall’Azienda a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiaratemezzo posta elettronica. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.

Obblighi del Responsabile. 3.1Il Responsabile del trattamento dei dati personali, operando nel rispetto della normativa europea e nazionale sul trattamento dei dati personali deve attenersi ai seguenti compiti ed istruzioni: 1. Trattare i dati solo per la finalità o le finalità sopra specificate e per l’esecuzione delle attività definite all’atto dell’iscrizione al Registro del Terzo Settore; 2. Garantire la riservatezza dei dati personali trattati nell’ambito delle attività suddetta, in quanto informazioni riservate nella titolarità dell’ASST. In virtù di tale obbligo, il Responsabile del trattamento: a) non dovrà in alcun caso comunicare i dati a terzi, a meno che ciò non sia necessario per l'assolvimento di un obbligo di legge, previa comunicazione al Titolare; b) non dovrà in alcun modo trasferire dati personali verso soggetti terzi oppure ad un’organizzazione internazionale, salvo che lo richieda il diritto dell'Unione Europea o nazionale. Fuori dai predetti casi e fatto salvo il trasferimento ad ulteriori Responsabili del trattamento autorizzati dal Titolare, il Responsabile è tenuto a chiedere specifica autorizzazione al Titolare nel caso in cui riceva richiesta o intimazione di comunicare informazioni personali o inerenti alle operazioni di trattamento regolato nel presente contratto (da parte di una pubblica autorità o da parte dell’autorità giudiziaria). 3. Non ricorrere ad un altro Responsabile senza aver ricevuto una previa autorizzazione scritta, generale o specifica, da parte del Titolare del trattamento. Ove necessario, impegnarsi a selezionare esclusivamente Sub-responsabili che presentino garanzie sufficienti, in conformità a quanto previsto dalla normativa in materia di protezione dei dati personali, alla messa in atto di misure tecniche e organizzative appropriate, affinché il trattamento risponda alle esigenze del Regolamento europeo sulla protezione dei dati. Trasmettere ai Sub-responsabili individuati i medesimi obblighi da esso assunti nei confronti del Titolare, fermo che il Sub-responsabile non adempia alle proprie obbligazioni in materia di protezione dei dati, il Responsabile del trattamento risponderà per intero davanti al Titolare del trattamento dell’inadempimento del Sub-responsabile; 4. attenersi alle istruzioni documentate provenienti dal Titolare del trattamento. Il Responsabile si impegna a informare immediatamente il Titolare determina nel caso in cui ritenga che una istruzione costituisca una violazione del GDPR o di altre disposizioni nazionali o dell’Unione, relative alla protezione dei dati personali; 5. informare nel caso in cui sia tenuto a procedere ad un trasferimento di dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione Europea o delle leggi dello stato membro al quale è sottoposto il Titolare, prima del trattamento, sempre che le finalità leggi interessate vietino tale informazione per rilevanti motivi di interesse pubblico; 6. garantire che i propri le persone autorizzate al trattamento (di seguito “Autorizzati”) e gli eventuali amministratori di sistema siano designati per iscritto, con un atto che stabilisca le modalità di accesso ai dati e le attività di competenza, nonché che le stesse siano vincolate, tramite impegno formale, da un obbligo di riservatezza. Il Responsabile si impegna a verificare l’adempimento da parte delle persone autorizzate del Trattamento suddetto obbligo di riservatezza o che le stesse siano sottoposte a un obbligo legale appropriato di segretezza. Il Responsabile si impegna inoltre a sottoporre le persone autorizzate al trattamento alla necessaria formazione in materia di protezione dei Dati Personali dati personali. Il Responsabile si impegna altresì a comunicare annualmente l’elenco nominativo degli autorizzati al trattamento con relativi profili autorizzativi, nonché a comunicare tempestivamente al Titolare del Cliente nell’erogazione del Serviziotrattamento qualsiasi variazione ai profili autorizzativi concessi per motivi di sicurezza. 3.27. Con riferimento all’erogazione comunicare al Titolare del Serviziotrattamento il nome e i dati del proprio Responsabile della protezione dei dati, qualora ne abbia designato uno conformemente all’articolo 37 del GDPR; 8. scegliere gli eventuali amministratori di sistema tra i soggetti in grado di garantire il rispetto della normativa in materia di protezione dei dati personali e nominare e istruire gli amministratori di sistema individualmente, elencando espressamente gli ambiti di operatività consentiti a ciascun amministratore in relazione al proprio profilo di autenticazione; In ogni caso, il Responsabile si impegna a rispettare conformarsi a quanto stabilito dal Provvedimento del Garante per la protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008”, pubblicato in G.U. n. 300 del 24 dicembre 2008 e successive modifiche; 9. tenere conto, utilizzando i materiali, i prodotti, le applicazioni o i servizi, dei principi di protezione dei dati by design e della protezione dei dati by default; 10. assistere il Titolare del trattamento, con misure tecniche e organizzative adeguate, nelle seguenti obblighiattività: ● nel riscontro alle legittime richieste formulate dagli interessati nell’esercizio dei diritti che gli sono riconosciuti dal GDPR (artt. 15-22), compresi quelli definiti negli Allegati 1 fornendo tutte le informazioni eventualmente necessarie a tal fine e comunicando al Titolare senza ritardo, e comunque entro 2 che si considerano parte integrante gg dal momento della ricezione, qualunque istanza ricevuta per l’esercizio dei diritti degli interessati inerente ai trattamenti eseguiti per conto del presente Contratto: a) Il Responsabile tratterà i Dati Personali Titolare medesimo, allegando copia della richiesta; ● nella gestione di eventuali violazioni di dati personali, ai sensi degli artt. 33 e 34 del Cliente solo per quanto strettamente necessario all’erogazione GDPR, comunicando, senza ritardo e comunque entro 36 ore dal momento in cui ne è venuto a conoscenza, al Titolare del Serviziotrattamento, restando soggetto alle qualsiasi violazione dei dati personali di cui è venuto a conoscenza, nel rispetto dell’art. 33 del Reg. GDPR e delle istruzioni impartite per iscritto di volta in volta fornite dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il in ottemperanza alle policy dallo stesso adottate. Tale comunicazione è accompagnata da ogni documentazione utile per permettere al Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Clientedel trattamento, senza indebito ritardose necessario, di ogni contatto o comunicazione ricevuta da un’Autorità notificare questa violazione all’autorità di Controllo in relazione al Trattamento controllo competente; ● nella valutazione d’impatto dei Dati Personali trattamenti previsti sulla protezione dei dati, di cui all’art. 35 del ClienteGDPR; ● nella consultazione preventiva dell’autorità di controllo, nelle ipotesi disciplinate dall’art. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile36 del GDPR. d) Il Responsabile ha implementato misure operative11. cancellare i dati personali alla scadenza dell’iscrizione al Registro del Terzo Settore, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Clientesalvo diversa disposizione normativa. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del ServizioUna volta distrutti, il Responsabile assicura del trattamento deve documentare al Titolare per iscritto la distruzione; 12. provvedere, ogni qualvolta si raccolgano dati (foto, video, nomi e cognomi, ecc…), a fornire, ove necessaria, un’informativa ai soggetti Interessati che detto personale: 1) si è impegnato presenti tutti i requisiti prescritti dagli artt. 13 e 14 del GDPR e dalla normativa vigente in materia. La formulazione e il formato dell’informativa, nei casi in cui la stessa abbia ad oggetto trattamenti di cui al presente accordo, debbono essere convenuti con il Titolare del trattamento, prima della raccolta dei dati; 13. conservare i dati trattati per un periodo di tempo non superiore a mantenere quello necessario agli scopi per i quali essi sono raccolti e successivamente trattati come da privacy policy del Titolare del trattamento; 14. consentire ed agevolare il Titolare nel controllare in qualsiasi momento le operazioni sul trattamento di dati personali svolte per conto di quest’ultimo, ivi comprese le misure di sicurezza impiegate dal Responsabile per la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile tutela dei dati, anche tramite appositi audit da concordarsi preventivamente nel rispetto degli obblighi contenuti nel presente Contrattodei reciproci impegni e necessità.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del ServizioFatti salvi gli altri obblighi previsti dalle disposizioni di legge e regolamentari applicabili, il Responsabile si impegna a rispettare è obbligato a: trattare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante dati personali soltanto sulla base del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, Contratto e di ogni contatto o comunicazione ricevuta da un’Autorità altra istruzione impartita dal Titolare; adottare tutte le misure di Controllo in relazione al Trattamento dei Dati Personali sicurezza richieste ai sensi dell'articolo 32 del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 Regolamento; adempiere agli obblighi di cui all'articolo 3 del presente Contratto, volte a proteggere in caso di designazione di sub-responsabili; assistere il Titolare con misure tecniche e organizzative adeguate, per l'adempimento degli obblighi connessi all'esercizio dei diritti degli interessati, ivi inclusi i Dati Personali diritti alla limitazione del Cliente. Le Parti sono consapevoli trattamento e concordano che alla portabilità dei dati, laddove possibile e, in ogni caso, qualora il Responsabile è espressamente autorizzato ad implementare misure alternative non dovesse incorrere in costi irragionevoli; assistere il Titolare, se richiesto, nell'adempimento degli obblighi derivanti dal Regolamento; cancellare o stabilire luoghi alternativi restituire - a scelta del Titolare - tutti i dati personali oggetto di trattamento in caso di cessazione dell'efficacia del presente Contratto, ai sensi del successivo articolo 4, salvi gli obblighi di conservazione dei dati purché personali eventualmente derivanti dal diritto dell'Unione o degli Stati membri; mettere a disposizione del Titolare, su espressa richiesta formulata per iscritto, tutte le informazioni necessarie per dimostrare il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel di cui al presente Contrattoarticolo 2; informare il Titolare qualora, ad avviso del Responsabile, un'istruzione impartita dal Titolare sia in violazione del Regolamento o di altre disposizioni di legge applicabili in materia di protezione dei dati personali. In tale ipotesi, il Titolare si obbliga a porre in essere tutti gli adempimenti richiesti al fine di porre rimedio a tali violazioni; non comunicare a terzi, salvo quanto previsto dall'articolo 3 ovvero in caso di consenso espresso in forma scritta del Titolare, i dati personali oggetto di trattamento.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del Servizio, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register ETINET SRL in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.

Obblighi del Responsabile. 3.12.1 Il Responsabile – per quanto di propria competenza – deve assistere e coadiuvare il Titolare nella corretta gestione delle operazioni di trattamento che dovranno essere effettuate nel pieno rispetto degli obblighi previsti dal GDPR. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del ServizioA tale proposito, il Responsabile si impegna a rispettare deve trattare i seguenti obblighidati personali soltanto su istruzione documentata del Titolare del trattamento, compresi quelli definiti negli Allegati 1 e 2 anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che si considerano parte integrante lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile del presente Contratto:trattamento. Qualora ricorra quest’ultima ipotesi, salvo che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico, il Responsabile deve informare il Titolare circa tale obbligo giuridico prima del trattamento. a) 2.2 Il Responsabile tratterà i Dati Personali assicura per sé stesso e per le persone espressamente autorizzate al trattamento dei dati personali, piena riservatezza rispetto alle operazioni di trattamento effettuate. Sarà cura del Cliente solo Responsabile, qualora lo reputasse opportuno, vincolare le persone autorizzate al trattamento dei dati al segreto mediante un adeguato obbligo legale di riservatezza, anche per quanto strettamente necessario all’erogazione il periodo successivo all'estinzione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare rapporto di lavoro intrattenuto con il presente Contratto;Titolare, in relazione alle operazioni di Trattamento eseguite. b) 2.3 Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano è tenuto ad uniformarsi alle disposizioni del GDPR e, più in violazione delle Disposizioni generale, di Legge Applicabili ogni altra disposizione normativa, nazionale e sovranazionale, in materia di Protezione trattamento dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo dati personali attualmente in vigore o che in futuro vengano a modificare, integrare o sostituire l'attuale disciplina, nonché dei provvedimenti dell'Autorità Garante competente e delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabilelinee guida adottate dall'European Data Protection Board. d) 2.4 Il Responsabile, altresì, trattandosi di Suoi strumenti, prodotti, applicazioni o servizi, applicherà i principi della Privacy by design e della Privacy by default. 2.5 Il Responsabile ha implementato garantisce di attuare misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi organizzative adeguate al fine di conservazione dei dati purché il assicurare un livello di sicurezza delle misure o congruo al rischio in merito al trattamento dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiaratedati effettuato (ai sensi dell’allegato A). e) Ove il 2.6 Il Responsabile comunichi del trattamento deve riferire, su richiesta del Titolare, i Dati Personali del Cliente al proprio personaledettagli relativi all'adempimento di quanto disposto dal presente atto nonché dalla normativa privacy vigente, direttamente ed esclusivamente preposto alla fornitura del Servizioattraverso relazioni scritte ovvero compilazione di check list che verranno fornite all’uopo. 2.7 Inoltre, il Responsabile assicura deve contribuire alle attività di revisione, comprese le ispezioni, e ad informare prontamente il Titolare del trattamento di ogni questione rilevante ai fini del presente atto, quali a titolo indicativo: • Istanze di interessati; • Richieste del Garante; • Esiti delle ispezioni; • Violazioni del GDPR o di altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati, o la messa in pericolo della riservatezza, della completezza o dell'integrità dei dati personali (ai sensi dell’allegato A). 2.8 Qualora il Responsabile si avvalga di persone appositamente autorizzate al trattamento dei dati, che detto personaleoperano sotto la sua responsabilità in quanto deputati alle operazioni di Trattamento, è tenuto a fornire loro specifiche istruzioni scritte ed a vigilare sul loro operato, fatte salve specifiche disposizioni di legge. 2.9 Ove applicabile, il Responsabile deve tenere un Registro delle attività di trattamento svolte sotto la propria responsabilità in nome e per conto del Titolare del trattamento (art. 30 GDPR). Il Responsabile del trattamento deve mettere il Registro a disposizione dell’Autorità di controllo, se richiesto, affinché possa fungere da strumento per il monitoraggio dei trattamenti effettuati (Considerando 82 GDPR). 2.10 Nel caso in cui gli interessati esercitino presso il Responsabile delle domande di esercizio dei loro diritti, lo stesso dovrà trasmetterle, entro cinque giorni lavorativi, al Titolare del Trattamento, fornendo altresì una relazione dettagliata dei termini e modalità del trattamento posto in essere in ragione di questo accordo e comunque collaborando con il Titolare per fornire all’interessato le informazioni e i chiarimenti richiesti. 2.11 Il Responsabile del trattamento è tenuto altresì a: 1- cooperare con l'Autorità di Controllo quando richiesto; - supportare l'attività svolta dal DPO (Data Protection Officer - Responsabile della Protezione dei Dati) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali per conto del Cliente seguendo le istruzioni Titolare del Responsabile nel rispetto degli obblighi contenuti nel presente Contrattotrattamento (artt. 37, 38 GDPR).

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del ServizioFatti salvi gli altri obblighi previsti dalle disposizioni di legge e regolamentari applicabili, il Responsabile si impegna a rispettare è obbligato a: 3.1.1. trattare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante dati personali soltanto sulla base del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto Contratto e di ogni altra istruzione impartita dal Titolare con il presente Contrattoai sensi dell’Accordo; b) Il Responsabile avvertirà 3.1.2. adottare, se del caso, le misure di sicurezza richieste ai sensi dell'articolo 32 del Regolamento; 3.1.3. assistere il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili nell'adempimento degli obblighi in materia di Protezione notificazione di una violazione dei Dati Personalidati personali di cui agli artt. In nessun caso 33 e 34 del Regolamento e, in particolare, informare il Responsabile sarà onerato dell'obbligo Titolare della eventuale violazione di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Clientedati personali senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione stessa; c) Register in qualità 3.1.4. adempiere agli obblighi di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 cui all'articolo 4 del presente Contratto, volte a proteggere in caso di designazione di sub- responsabili; 3.1.5. assistere il Titolare con misure tecniche e organizzative adeguate, per l'adempimento degli obblighi connessi all'esercizio dei diritti degli interessati, ivi inclusi i Dati Personali diritti alla limitazione del Cliente. Le Parti sono consapevoli trattamento e concordano che alla portabilità dei dati, laddove possibile e, in ogni caso, qualora il Responsabile è espressamente autorizzato ad implementare misure alternative non dovesse incorrere in costi irragionevoli; 3.1.6. assistere il Titolare, se richiesto, nell'adempimento degli obblighi derivanti dal Regolamento; 3.1.7. cancellare o stabilire luoghi alternativi restituire - a scelta del Titolare - tutti i dati personali oggetto di trattamento in caso di cessazione dell'efficacia del presente Contratto, ai sensi del successivo articolo 5, salvi gli obblighi di conservazione dei dati purché personali eventualmente derivanti dal diritto dell'Unione o degli Stati membri; 3.1.8. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel di cui al presente Contrattoart. 3; 3.1.9. informare il Titolare qualora, ad avviso del Responsabile, un'istruzione impartita dal Titolare sia in violazione del Regolamento o di altre disposizioni di legge applicabili in materia di protezione dei dati personali. In tale ipotesi, il Titolare si obbliga a porre in essere tutti gli adempimenti richiesti, al fine di porre rimedio a tali violazioni; 3.1.10. non comunicare a terzi, salvo quanto previsto dall'articolo 4 ovvero in caso di consenso espresso in forma scritta del Titolare, i dati personali oggetto di trattamento; 3.1.11. designare le persone fisiche autorizzate al trattamento (ossia i propri dipendenti, come pattuito nell’Accordo) e conferire loro, in forma scritta, l'incarico di compiere le operazioni di trattamento nonché le medesime istruzioni impartite dal Titolare al Responsabile sulla base del presente Contratto e dell’Accordo, istruirle sulle modalità di elaborazione dei dati ai quali hanno accesso e vigilare sulle stesse, nonché comunicare al Titolare, su richiesta di quest’ultimo, i nominativi delle persone autorizzate.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del ServizioFermo restando ogni altro obbligo previsto dalla normativa applicabile, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contrattoa: a) Il Responsabile tratterà a. trattare i Dati Personali personali esclusivamente per le finalità indicate nel presente Accordo, nonché per le finalità ulteriori che il Titolare dovesse eventualmente e successivamente indicare, e comunque esclusivamente per l’esecuzione del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto; b) Il b. trattare i Dati personali in piena conformità alle istruzioni qui fornite da parte del Titolare ovvero, di quelle ulteriori che lo stesso dovesse, in futuro, ritenere opportuno fornire per la migliore e più efficiente esecuzione delle attività; le ulteriori istruzioni che dovessero essere fornite dal Titolare, saranno rese al Responsabile avvertirà per iscritto o trasmesse al Responsabile a mezzo posta elettronica certificata; c. garantire che tutte le persone agenti sotto la propria autorità alle quali sia consentito di accedere o anche trattare i Dati personali abbiano sottoscritto idoneo impegno, o siano altrimenti comunque adeguatamente vincolate, a mantenere totale riservatezza rispetto a tali dati e che, a tal fine, gli stessi agiscano sotto il costante controllo del Responsabile ed in conformità alle istruzioni da quest’ultimo fornite; d. non consentire a terzi l’accesso ai Dati personali, se non in presenza di adeguati presupposti di liceità per tali ulteriori trattamenti; e. tenere i Dati personali separati dai dati detenuti per conto di altri soggetti; f. adottare idonea procedura di gestione delle violazioni della sicurezza da cui derivino, accidentalmente o in modo illecito, la distruzione, la perdita, la divulgazione non autorizzata o l’accesso ai Dati personali o, in alternativa, conformarsi e dare adeguata attuazione alla corrispondente policy che dovesse essere trasmessa da parte del Titolare, prestando in ogni caso la massima collaborazione nei confronti dello stesso al fine di eliminare o quantomeno ridurre al minimo gli impatti derivanti da eventi di questo tipo; g. fermo l’obbligo di notificare senza ingiustificato ritardo al Titolare e, comunque, entro e non oltre 4 ore ogni possibile evento qualificabile come violazione dei dati personali ai sensi della Legge applicabile, ad informare prontamente il Titolare qualora ritenga che riguardo a qualsiasi ulteriore evento, fatto o circostanza, prevedibile o meno, da cui possa derivare un rischio elevato per i diritti e le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni libertà fondamentali degli interessati coinvolti nelle Operazioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Clientetrattamento; ch. collaborare con il Titolare, limitatamente ai trattamenti relativi ai Dati personali, nell’assolvimento degli obblighi di: i) Register notifica delle violazioni di dati al Garante o ad altre autorità di controllo competenti e, laddove richiesto in qualità ragione dell’elevato livello di Responsabile informerà tempestivamente rischio per i diritti e le libertà degli interessati, anche a questi ultimi; ii) se necessario, esecuzione di idonea valutazione di impatto sulla protezione dei dati, oltre che nello svolgimento delle procedure di consultazione preventiva con il ClienteGarante o le altre autorità competenti; i. al ricorrere dei presupposti, senza indebito ritardopredisporre e mantenere costantemente aggiornato, in formato elettronico o cartaceo, un registro di ogni contatto o comunicazione ricevuta da un’Autorità tutte le Operazioni di Controllo trattamento svolte ai fini dell’esecuzione dell’Accordo, contenente in relazione al Trattamento particolare: i) i propri dati di contatto, oltre a quelli del Titolare e, ove applicabile, del proprio responsabile della protezione dei Dati Personali dati; ii) le categorie dei trattamenti effettuati per conto del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile.Titolare; diii) Il Responsabile ha implementato una descrizione generale delle misure operative, di sicurezza tecniche e organizzativeorganizzative adottate in conformità al presente atto di nomina e, incluse quelle descritte nell’Allegato 2 del presente Contrattopiù in generale, volte alla normativa applicabile; j. mettere il Titolare al corrente, riguardo a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano qualsiasi richiesta di esercizio di diritti che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi dovesse ricevere da parte degli Interessati entro un termine massimo di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate.24 ore dal ricevimento della stessa; e) Ove il Responsabile comunichi i Dati Personali del Cliente k. segnalare al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo Titolare se le istruzioni ricevute comportano una violazione della Legge applicabile; l. prestare al Titolare ogni necessaria collaborazione nell’assolvimento di richieste che dovessero pervenire dal Garante o da altre autorità competenti o in relazione a procedure o ispezioni che dovessero essere avviate nei confronti del Responsabile nel rispetto degli obblighi contenuti nel presente ContrattoTitolare, dando altresì immediata esecuzione alle istruzioni ricevute e fornendo copia di ogni documento richiesto.

Obblighi del Responsabile. 3.1. 8.1 Il Titolare determina le finalità Responsabile si impegna, nell’espletamento delle attività di sua competenza necessarie all’esecuzione del Trattamento contratto, ad improntare il trattamento dei Dati Personali dati ai principi di liceità, correttezza, trasparenza, pertinenza e non eccedenza, nel pieno rispetto del Cliente nell’erogazione citato GDPR, del ServizioCodice Privacy e della normativa in materia di trattamento dei dati personali , con particolare attenzione all’adozione di misure tecniche ed organizzative adeguate al fine di garantire l’integrità, la riserva- tezza e la disponibilità dei dati personali e la tutela dei diritti dell’interessato. 3.2. Con riferimento all’erogazione del Servizio, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) 8.2 Il Responsabile tratterà i Dati Personali dati personali solo su istruzione documentata del Cliente solo Titolare, o altrimenti come previsto dalla legge, esclusivamente ai fini dell’erogazione dei Servizi oggetto del contratto in essere tra il Titolare ed il Responsabile. 8.3 Il Responsabile garantirà l’impegno alla riservatezza da parte del proprio personale autorizzato ed istruito al trattamento dei dati personali anche per quanto strettamente necessario all’erogazione il periodo successivo all’estinzione del Serviziorapporto di collaborazione intrattenuto con il Titolare . 8.4 Il Responsabile dichiara che per l’esecuzione delle attività oggetto del contratto si avvale di personale con mansioni di “Amministratore di Sistema”. I trattamenti di dati personali relativi al contratto in oggetto posti in essere dal Responsabile con strumenti elettronici/informatici attraverso suoi Amministratori di Sistema, restando soggetto oltre ad uniformarsi al GDPR ed al Codice Privacy, dovranno anche rispettare le misure e gli accorgimenti prescritti nel Provvedimento del 27 novembre 2008 del Garante per la protezione personale, così come modificato in base al provvedimento del 25 giugno 2009. In particolare, il Responsabile ha il compito di dare attuazione alle prescrizioni del Garante ivi indicate in merito a: valutazione delle caratteristiche soggettive, designazioni individuali, elenco aggiornato degli amministratori di sistema, verifica periodica delle attività, registrazione degli accessi. Il Responsabile infine invierà al Titolare, prima dell’avvio delle attività di trattamento dei dati personali inerenti il contratto in oggetto e ad ogni cessazione e/o nuovo incarico, un elenco contenente gli estremi identificativi (nome, cognome, matr. aziendale) degli amministratori di sistema impiegati nel contratto, comprensivo della data di nomina, della data di cessazione incarico, dell’ambito di competenza e delle funzioni ad essi attribuite, secondo il modello allegato al presente atto (allegato 1). 8.5 Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura e dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia gravità e probabilità per i diritti e le libertà delle persone fisiche, adotterà le misure di sicurezza idonee a garantire un livello di sicurezza adeguato tenendo conto dei rischi presentati dal trattamento che derivano in particolare da:  distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;  trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento. 8.6 Il Responsabile si atterrà alle istruzioni tecniche ed organizzative fornite dal Titolare e qui sotto riportate e quelle eventualmente impartite nel corso del contratto. 8.7 Il Responsabile applicherà le misure di sicurezza, di cui al punto precedente, per garantire: 8.7.1 se del caso, la pseudonimizzazione, l’anonimizzazione e la cifratura dei dati personali; 8.7.2 la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento) ; 8.7.3 la capacità di rispristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, e darne comunicazione al Titolare senza ingiustificato ritardo , consentendo al Titolare di rispettare i termini temporali di legge ex art. 33 e 34 GDPR; 8.7.4 una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento; 8.7.5 che i dati personali non siano comunicati o diffusi senza esplicita autorizzazione del Titolare; 8.7.6 di non duplicare senza motivo né fare copie di basi di dati personali senza l’autorizzazione preventiva del Titolare , salvo quanto previsto dalle finalità indicate al punto 4 del presente Atto di nomina; 8.7.7 di non effettuare stampe di documenti o di liste contenenti dati personali senza l’autorizzazione preventiva del Titolare , salvo quanto previsto dalle finalità indicate al punto 4 del presente Atto di nomina; 8.7.8 di procedere sempre alla distruzione sicura dei documenti cartacei e degli eventuali supporti magnetici contenti dati personali che risultassero da errori o scarti di lavorazione, attraverso un distruggi-documenti o analoga procedura che garantisca la sicurezza della distruzione. 8.7.9 l’istruzione del personale Incaricato prima che questo sia adibito al trattamento dei dati e la verifica periodica dell’operato; 8.7.10 l’accesso del personale Incaricato ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti assegnati, curando la sicurezza fisica, logica ed organizzativa; 8.7.11 la registrazione ed il controllo degli accessi logici ai dati e delle operazioni effettuate dagli Incaricati e degli Amministratori di Sistema e la possibilità di rendicontazione al Titolare, su sua motivata richiesta; tali registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono state chieste, devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate ed essere conservate per un congruo periodo, proporzionale e non eccedente la finalità; 8.7.12 che tutti gli atti, i documenti e gli strumenti informatici di supporto (PC, server, gruppi di continuità, ecc) contenenti dati personali inerenti il contratto in oggetto siano conservati in un luogo sicuro, non accessibile a persone non autorizzate, con idonea protezione contro possibile furto/incendio/allagamento; 8.7.13 la tenuta del registro dei trattamenti del Responsabile, ai sensi art. 30, par. 2 del GDPR; 8.7.14 la nomina del Responsabile della Protezione dei Dati ai sensi art. 37 del GDPR, ove necessario (art. 32, par.1, lett b del GDPR). 8.8 Il Responsabile, tenendo conto della natura del trattamento, assisterà il Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare del Trattamento di dare seguito alle richieste per l’esercizio dei diritti degli interessati di cui al Capo III del GDPR (art. 28, par. 3, let. e), garantendo tempi di risposta massimi di 7 gg lavorativi dalla richiesta del Titolare. Il Responsabile comunicherà al Titolare senza ingiustificato ritardo eventuali richieste pervenute da parte di un interessato, al fine di consentire allo stesso di esercitare i propri obblighi. 8.9 Il Responsabile, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assisterà il Titolare nel garantire il rispetto degli obblighi di cui ai seguenti punti: 8.9.1 tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità di trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio ed impedire l’accesso ai dati ad incaricati che non abbiano ricevuto idonea istruzione dal Titolare , salvo che lo richieda il diritto dell’Unione o nazionale (art. 32 GDPR par.4); 8.9.2 informare il Titolare , senza ingiustificato ritardo , dopo essere venuto a conoscenza di una violazione dei dati personali c.d. “data breach”, fornendo, nei limiti di quanto previsto dalla vigente normativa, ragionevole collaborazione al Titolare, nonché alle Autorità di Controllo competenti, al fine di soddisfare gli obblighi di notifica e di comunicazione previsti dagli art. 33 e art.34 GDPR; 8.9.3 su richiesta formale del Titolare, e nei casi specificatamente previsti, assistere il Titolare nell’ effettuazione della valutazione di impatto del trattamento dati relativo al contratto in oggetto ai sensi dell’art.35 GDPR, ovvero nel caso di necessità di consultazione preventiva di cui all’art.36 GDPR; 8.9.4 al termine della prestazione dei servizi relativi al contratto ed ai trattamenti in oggetto , su richiesta formale scritta del Titolare e previo accordo congiunto su tempi e modalità, ai sensi dell’ art.28, par.3, lett. g del GDPR, il Responsabile dovrà provvedere a distruggere e/o a restituire al Titolare tutti i dati personali (cartacei/digitali/supporti magnetici) in suo possesso e a distruggere tutte le eventuali copie esistenti, assicurandosi che ciò avvenga anche da parte di eventuali ulteriori Sub-Responsabili nominati, salvo il caso in cui la conservazione dei dati sia richiesta da norme di legge dell’Unione o nazionali. In quest’ultimo caso, il Responsabile dovrà conservare tali dati solo ed unicamente per le finalità previste dalla legge e non utilizzarli per nessun altro scopo né trasmetterli ad altri. Il Responsabile provvederà a rilasciare al Titolare, dietro sua richiesta, apposita dichiarazione per iscritto dal Titolare con sotto la propria responsabilità attestando che presso il presente ContrattoResponsabile, e i Sub-Responsabili eventualmente dallo stesso nominati, non esista alcuna copia dei dati personali inerenti il contratto in oggetto; b8.9.5 su richiesta formale del Titolare , il Responsabile metterà a disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di adempimento di cui all’art. 28 del GDPR, nonché consentire e contribuire all’attività di revisione, comprese le ispezioni, realizzate a sua discrezione dal Responsabile (art. 28, par. h del GDPR) Il che avverranno secondo le modalità specificate nel presente Atto di nomina al precedente art. 7.3 e, comunque, con un preavviso di 15 giorni lavorativi. 8.9.6 il Responsabile avvertirà dovrà informare senza ingiustificato ritardo il Titolare qualora ritenga qualora, a suo parere, una sua istruzione ricevuta violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati; 8.10 il Responsabile che le istruzioni impartite intenda ricorrere ad altro Sub-Responsabile ai fini dell’esecuzione di specifiche attività di trattamento di dati personali inerenti il contratto in oggetto, dovrà chiedere la previa specifica autorizzazione scritta del Titolare; (previsto in caso di subappalto) 8.11ogni qualvolta il Titolare autorizzi il ricorso del Responsabile ad altro Sub-Responsabile per iscritto si pongano l’esecuzione di specifiche attività di trattamento inerenti il contratto in violazione delle Disposizioni oggetto, il Responsabile imporrà su tale altro Sub-Responsabile, mediante la stipula di Legge Applicabili contratto o altro atto giuridico scritto a norma del diritto dell’Unione o nazionale, gli stessi obblighi in materia di Protezione protezione dati contenuti nel presente atto, garantendo che gli accordi sottoscritti con tali sub-responsabili rispettino le previsioni dell’art. 28 parr. 4 e 9 GDPR. Il Responsabile verificherà preventivamente la sussistenza, in capo all’altro Sub-Responsabile dal medesimo nominato, delle garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR, del Codice Privacy e della normativa nazionale in materia di protezione dei Dati Personali. In nessun dati personali e garantisca la tutela dei diritti dell’Interessato(previsto in caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Clientesubappalto); c) Register 8.12 qualora l’altro Sub-Responsabile del trattamento dal medesimo nominato ometta di adempiere ai propri obblighi in qualità materia di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento protezione dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Serviziodati, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali conserva, nei confronti del Cliente seguendo le istruzioni del Responsabile nel rispetto Titolare, l’intera responsabilità dell’adempimento degli obblighi contenuti nel presente Contratto.dell’altro Sub-Responsabile. (previsto in caso di subappalto)

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del ServizioTitolare. 3.2. Con riferimento all’erogazione Oltre agli obblighi stabiliti negli Allegati 1 e 2 del Serviziopresente CTDPI, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente Titolare solo per quanto strettamente necessario all’erogazione del Servizionecessario, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente ContrattoCTDPI; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente;. c) Register in qualità di Il Responsabile informerà tempestivamente il ClienteTitolare, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del ClienteTitolare. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle organizzative adeguate ai sensi dell’articolo 32 del Regolamento (le quali sono descritte nell’Allegato 2 del presente ContrattoCTDPI), volte a per proteggere i Dati Personali del Cliente(comprese le Categorie Particolari di Dati Personali). Le Parti Il Titolare e il Responsabile sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarateritenuto, sotto tutti gli aspetti, adeguato. e) Ove il Responsabile comunichi i Dati Personali del Cliente trattati al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1: i) si è sia impegnato a mantenere la riservatezza o è a sia soggetto ad un obbligo legale di riservatezza e; 2; ii) tratti i Dati Personali del Cliente Titolare seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente ContrattoCTDPI. f) Il Responsabile è tenuto ad assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento.

Obblighi del Responsabile. 3.1. 8.1 Il Titolare determina le finalità Responsabile si impegna, nell’espletamento delle attività di sua competenza necessarie all’esecuzione del Trattamento contratto, ad improntare il trattamento dei Dati Personali dati ai principi di liceità, correttezza, trasparenza, pertinenza e non eccedenza, nel pieno rispetto del Cliente nell’erogazione citato Codice Privacy e del ServizioGDPR, con particolare attenzione all’adozione di misure tecniche ed or- ganizzative adeguate al fine di garantire l’integrità, la riservatezza e la disponibilità dei dati personali e la tutela dei di- ritti dell’interessato. 3.2. Con riferimento all’erogazione del Servizio, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) 8.2 Il Responsabile tratterà i Dati Personali dati personali solo su istruzione documentata di AMA, o altrimenti come previsto dalla legge, esclusivamente ai fini dell’erogazione dei Servizi oggetto del Cliente solo contratto in essere tra il Titolare ed il Responsabile. 8.3 Il Responsabile garantirà l’impegno alla riservatezza da parte del proprio personale autorizzato ed istruito al tratta- mento dei dati personali anche per quanto strettamente necessario all’erogazione il periodo successivo all’estinzione del Serviziorapporto di collaborazione intrattenuto con AMA. 8.4 Il Responsabile dichiara che per l’esecuzione delle attività oggetto dell’Accordo di Servizi si avvale di personale con mansioni di “Amministratore di Sistema”. I trattamenti di dati personali relativi al contratto in oggetto posti in essere dal Sub-Responsabile con strumenti elettronici/informatici attraverso suoi Amministratori di Sistema, restando soggetto oltre ad unifor- marsi al GDPR ed al Codice Privacy, dovranno anche rispettare le misure e gli accorgimenti prescritti nel Provvedimen- to del 27 novembre 2008 del Garante per la protezione personale, così come modificato in base al provvedimento del 25 giugno 2009. In particolare, il Responsabile ha il compito di dare attuazione alle prescrizioni del Garante ivi indi- cate in merito a: valutazione delle caratteristiche soggettive, designazioni individuali, elenco aggiornato degli ammini- stratori di sistema, verifica periodica delle attività, registrazione degli accessi. Il Sub-Responsabile infine invierà al Tito- lare, prima dell’avvio delle attività di trattamento dei dati personali inerenti il contratto in oggetto e ad ogni cessazio- ne e/o nuovo incarico, un elenco contenente gli estremi identificativi (nome, cognome, matr. aziendale) degli ammini- stratori di sistema impiegati nel contratto, comprensivo della data di nomina, della data di cessazione incarico, dell’ambito di competenza e delle funzioni ad essi attribuite, secondo il modello allegato al presente atto (allegato 1). 8.5 Il Titolare, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura e dell’oggetto, del conte- sto e delle finalità del trattamento, come anche del rischio di varia gravità e probabilità per i diritti e le libertà delle persone fisiche, adotterà le misure di sicurezza idonee a garantire un livello di sicurezza adeguato tenendo conto dei rischi presentati dal trattamento che derivano in particolare da: • distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati perso- nali trasmessi, conservati o comunque trattati; • trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento. 8.6 Il Responsabile si atterrà alle istruzioni tecniche ed organizzative fornite dal Titolare e qui sotto riportate e quelle eventualmente impartite nel corso del contratto. 8.7 Il Responsabile applicherà le misure di sicurezza, di cui al punto precedente, per garantire: 8.7.1 se del caso, la pseudonimizzazione, l’anonimizzazione e la cifratura dei dati personali; 8.7.2 la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento) ; 8.7.3 la capacità di rispristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, e darne comunicazione al Titolare senza ingiustificato ritardo , consentendo al Titolare di rispettare i termini temporali di legge ex art. 33 e 34 GDPR; 8.7.4 una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento; 8.7.5 che i dati personali non siano comunicati o diffusi senza esplicita autorizzazione del Titolare; 8.7.6 di non duplicare senza motivo né fare copie di basi di dati personali senza l’autorizzazione preventiva del Titolare , salvo quanto previsto dalle finalità indicate al punto 4 del presente Atto di nomina; 8.7.7 di non effettuare stampe di documenti o di liste contenenti dati personali senza l’autorizzazione preventiva di AMA, salvo quanto previsto dalle finalità indicate al punto 4 del presente Atto di nomina; 8.7.8 di procedere sempre alla distruzione sicura dei documenti cartacei e degli eventuali supporti magnetici contenti dati personali che risultassero da errori o scarti di lavorazione, attraverso un distruggi-documenti o analoga pro- cedura che garantisca la sicurezza della distruzione. 8.7.9 l’istruzione del personale Incaricato prima che questo sia adibito al trattamento dei dati e la verifica periodica dell’operato; 8.7.10 l’accesso del personale Incaricato ai soli dati personali la cui conoscenza sia strettamente necessaria per adem- piere ai compiti assegnati, curando la sicurezza fisica, logica ed organizzativa; 8.7.11 la registrazione ed il controllo degli accessi logici ai dati e delle operazioni effettuate dagli Incaricati e degli Am- ministratori di Sistema e la possibilità di rendicontazione al Titolare, su sua motivata richiesta; tali registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono state chieste, devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate ed essere conservate per un congruo periodo, proporzionale e non ec- cedente la finalità; 8.7.12 che tutti gli atti, i documenti e gli strumenti informatici di supporto (PC, server, gruppi di continuità, ecc) conte- nenti dati personali inerenti il contratto in oggetto siano conservati in un luogo sicuro, non accessibile a persone non autorizzate, con idonea protezione contro possibile furto/incendio/allagamento; 8.7.13 la tenuta del registro dei trattamenti del Responsabile, ai sensi art. 30, par. 2 del GDPR; 8.7.14 la nomina del Responsabile della Protezione dei Dati ai sensi art. 37 del GDPR, ove necessario(art. 32, par.1, lett b del GDPR ); 8.8 Il Responsabile, tenendo conto della natura del trattamento, assisterà il Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare del Trattamento di dare segui- to alle richieste per l’esercizio dei diritti degli interessati di cui al Capo III del GDPR (art. 28, par. 3, let. e), garantendo tempi di risposta massimi di 7 gg lavorativi dalla richiesta del Titolare. Il Responsabile comunicherà al Titolare senza ingiustificato ritardo eventuali richieste pervenute da parte di un interessato, al fine di consentire allo stesso di eserci- tare i propri obblighi. 8.9 Il Responsabile, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assisterà il Titola- re nel garantire il rispetto degli obblighi di cui ai seguenti punti: 8.9.1 tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e del- le finalità di trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al ri- schio ed impedire l’accesso ai dati ad incaricati che non abbiano ricevuto idonea istruzione dal Titolare , salvo che lo richieda il diritto dell’Unione o nazionale (art. 32 GDPR par.4); 8.9.2 informare il Titolare , senza ingiustificato ritardo , dopo essere venuto a conoscenza di una violazione dei dati personali c.d. “data breach”, fornendo, nei limiti di quanto previsto dalla vigente normativa, ragionevole collabora- zione al Titolare, nonché alle Autorità di Controllo competenti, al fine di soddisfare gli obblighi di notifica e di co- municazione previsti dagli art. 33 e art.34 GDPR; 8.9.3 su richiesta formale del Titolare, e nei casi specificatamente previsti, assistere il Titolare nell’ effettuazione della valutazione di impatto del trattamento dati relativo al contratto in oggetto ai sensi dell’art.35 GDPR, ovvero nel ca- so di necessità di consultazione preventiva di cui all’art.36 GDPR; 8.9.4 al termine della prestazione dei servizi relativi al contratto ed ai trattamenti in oggetto , su richiesta formale scritta del Titolare e previo accordo congiunto su tempi e modalità, ai sensi dell’ art.28, par.3, lett. g del GDPR, il Responsabile dovrà provvedere a distruggere e/o a restituire al Titolare tutti i dati personali (carta- cei/digitali/supporti magnetici) in suo possesso e a distruggere tutte le eventuali copie esistenti, assicurandosi che ciò avvenga anche da parte di eventuali ulteriori Sub-Responsabili nominati, salvo il caso in cui la conservazione dei dati sia richiesta da norme di legge dell’Unione o nazionali. In quest’ultimo caso, il Responsabile dovrà conservare tali dati solo ed unicamente per le finalità previste dalla legge e non utilizzarli per nessun altro scopo né trasmetterli ad altri. Il Responsabile provvederà a rilasciare al Titolare, dietro sua richiesta, apposita dichiarazione per iscritto dal Titolare con sotto la propria responsabilità attestando che presso il presente ContrattoResponsabile, e i Sub-Responsabili eventualmente dallo stesso nominati, non esista alcuna copia dei dati personali inerenti il contratto in oggetto; b8.9.5 su richiesta formale del Titolare , il Responsabile metterà a disposizione tutte le informazioni necessarie per di- mostrare il rispetto degli obblighi di adempimento di cui all’art. 28 del GDPR, nonché consentire e contribuire all’attività di revisione, comprese le ispezioni, realizzate a sua discrezione dal Responsabile (art. 28, par. h del GDPR) Il che avverranno secondo le modalità specificate nel presente Atto di nomina al precedente art. 7.3 e, comunque, con un preavviso di 15 giorni lavorativi. 8.9.6 il Responsabile avvertirà dovrà informare senza ingiustificato ritardo il Titolare qualora ritenga qualora, a suo parere, una sua istruzione ricevuta violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati; 8.10 il Responsabile che le istruzioni impartite intenda ricorrere ad altro Sub-Responsabile ai fini dell’esecuzione di specifiche attività di tratta- mento di dati personali inerenti il contratto in oggetto, dovrà chiedere la previa specifica autorizzazione scritta del Titolare; 8.11 ogni qualvolta il Titolare autorizzi il ricorso del Responsabile ad altro Sub-Responsabile per iscritto si pongano l’esecuzione di specifiche attività di trattamento inerenti il contratto in violazione delle Disposizioni oggetto, il Responsabile imporrà su tale altro Sub-Responsabile, me- diante la stipula di Legge Applicabili contratto o altro atto giuridico scritto a norma del diritto dell’Unione o nazionale, gli stessi obbli- ghi in materia di Protezione protezione dati contenuti nel presente atto, garantendo che gli accordi sottoscritti con tali sub- responsabili rispettino le previsioni dell’art. 28 parr. 4 e 9 GDPR. Il Responsabile verificherà preventivamente la sus- sistenza, in capo all’altro Sub-Responsabile dal medesimo nominato, delle garanzie sufficienti a mettere in atto mi- sure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR, del Codice Priva- cy e della normativa nazionale in materia di protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Clientedati personali e garantisca la tutela dei diritti dell’Interessato; c) Register 8.12 qualora l’altro Sub-Responsabile del trattamento dal medesimo nominato ometta di adempiere ai propri obblighi in qualità materia di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento protezione dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Serviziodati, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali conserva, nei confronti del Cliente seguendo le istruzioni del Responsabile nel rispetto Titolare, l’intera responsabilità dell’adempimento degli obblighi contenuti nel presente Contrattodell’altro Sub-Responsabile.

Obblighi del Responsabile. 3.1ITH si impegna a: 1. Il Titolare determina trattare i Dati Personali immessi e utilizzati dal Cliente per i Servizi unicamente nella misura necessaria e proporzionata allo scopo di fornire tali Servizi; 2. non accedere né utilizzare i Dati Personali per qualunque altro scopo se non quello strettamente necessario per lo svolgimento dei Servizi (in particolare in riferimento alle finalità di gestione delle Violazioni); 3. adottare le finalità del Trattamento misure tecniche e organizzative adeguate e conformi agli standard di settore per garantire la sicurezza dei Dati Personali nella fornitura dei Servizi; 4. garantire che i dipendenti di ITH autorizzati al trattamento dei Dati Personali in base al Contratto siano vincolati da un obbligo di riservatezza e ricevano una formazione adeguata in merito alla tutela di tali dati; 5. informare il Cliente qualora, in base alle informazioni a sua disposizione, ritenga che un'istruzione del Cliente nell’erogazione stesso violi il GDPR o altre disposizioni per la tutela dei dati dell’Unione europea o di uno Stato membro dell’UE; 6. in caso di ricevimento di richieste da parte di un’Autorità competente e relative ai Dati Personali trattati, informare il Cliente (fatto salvo quando proibito dalle normative vigenti o da un'ingiunzione di un’autorità competente), nonché limitare la comunicazione dei dati a quanto l'Autorità abbia espressamente richiesto. Eventuali verifiche, controlli o indagini da parte dell’Autorità di controllo (Garante Privacy) relative ai trasferimenti operati per conto del Servizio. 3.2Cliente, saranno comunicate nel più breve tempo possibile al Cliente all’indirizzo mail indicato in sede di Contratto. Con Il Responsabile si obbliga a cooperare e assistere il Cliente in casi di verifiche, controlli o indagini sul Cliente stesso, fornendo ogni informazione utile o necessaria riguardo al trattamento dei dati personali. Entrambe le parti si obbligano a cooperare con le Autorità al meglio in caso di verifica, controlli o indagini da parte delle Autorità. In caso di verifiche da parte dell’Autorità di controllo con riferimento all’erogazione al trattamento dati del ServizioCliente, il Cliente si impegna a tenere indenne il Responsabile da spese o eventuali costi. Il Responsabile si obbliga a curare l’aggiornamento delle proprie competenze specifiche e a tenersi aggiornato in merito a codici di condotta e alle certificazioni approvate dalle autorità di controllo e verificate dagli istituti di certificazione. - notifica di violazioni della sicurezza (data breach) Il Responsabile si impegna ad informare il Cliente senza ritardo in caso di accesso non autorizzato ai dati o comunque di una violazione della sicurezza o dei dati personali. Il Responsabile farà ogni ragionevole sforzo per identificare la causa della violazione, per valutare il relativo rischio in relazione ai diritti e le libertà degli Interessati coinvolti, e per adottare le misure più opportune per ridurre il rischio. Le informazioni in questione saranno, altresì, comunicate al Cliente all’indirizzo email indicato in sede di Contratto. Il Cliente si impegna a tenere aggiornato tale indirizzo email. La comunicazione non implica alcun riconoscimento di responsabilità in relazione alla violazione dei dati. Spetta al Cliente valutare la sussistenza di un obbligo di comunicazione agli Interessati o di notifica alle Autorità di controllo (Garante) della violazione dei dati (data breach). Il Responsabile dichiara di tenere per iscritto un registro di tutte le categorie di attività di trattamento effettuate per conto del Titolare del trattamento e che comprendono: - nome e dati del Cliente e, se applicabile, del Responsabile della protezione dei dati (DPO); - categorie di trattamenti effettuati per conto del Cliente; - se applicabili, i trasferimenti di dati a carattere personale verso un paese terzo o ad una organizzazione internazionale e, nel caso di trasferimenti previsti dall’articolo 49, paragrafo 1, secondo comma del GDPR, i documenti che attestano l’esistenza di opportune garanzie; - per quanto possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative; - gli strumenti che permettono di garantire la riservatezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di trattamento; - gli strumenti che permettono di ristabilire la disponibilità dei dati a carattere personale e l’accesso a questi nei tempi appropriati in caso di incidente fisico o tecnico; - la procedura che mira a testare, ad analizzare ed a valutare regolarmente l’efficacia delle misure tecniche ed organizzative per assicurare la sicurezza del trattamento. Il Cliente si impegna a fornire per iscritto tutte le istruzioni necessarie per il trattamento dei dati, e tutte le informazione necessarie per la creazione e la corretta tenuta dei registri del Responsabile sulle attività di trattamento dei dati. Il Cliente resta l’unico responsabile per le informazioni trattate e le istruzioni comunicate nel caso siano non corrette o incomplete. Il Responsabile è vincolato dall’obbligo di riservatezza, anche dopo la cessazione del contratto, con riferimento a tutti i dati trattati per conto del Cliente, come anche il personale autorizzato al trattamento, per il quale l’obbligo permane anche dopo la cessazione dei rapporto di lavoro. Il personale viene istruito in merito agli obblighi particolari relativi alla protezione dei dati derivanti dal presente mandato, nonché dalle leggi in materia di protezione dei dati personali. Il Responsabile vigila sull’osservanza delle istruzioni e degli obblighi imposti. Tale obbligo di riservatezza non si applica nel caso in cui il Cliente abbia autorizzato la fornitura di informazioni a terzi, oppure laddove la fornitura delle informazioni a terzi sia ragionevolmente necessaria in considerazione della natura delle istruzioni e dell’attuazione di questo Accordo per l’elaborazione dei dati, o se vi è l’obbligo legale di rendere l’informazione disponibile a terzi. Il Responsabile propone Servizi con misure organizzative e di sicurezza specificatamente studiate per il trattamento anche di dati a trattamento speciale ex art. 9 GDPR (sensibili, giudiziari, biometrici, ecc...). Il Responsabile adotta tutte le preventive misure previste dalle norme e dalle prassi internazionali o comunque ritenute idonee e proporzionate al fine di ridurre al minimo i rischi di distruzione, perdita anche accidentale, accesso non autorizzato o comunque trattamento non consentito dei dati, tenendo conto dello stato dell’arte della tecnologia, dell’importanza dei dati trattati e dei costi relativi. Non può, però, garantire che tali misure siano efficaci in ogni circostanza. Le misure tecniche e organizzative sono soggette al progresso tecnico e all’ulteriore sviluppo. Il Responsabile, in attuazione del principio della protezione dei dati fin dalla progettazione del sistema e del principio di protezione per impostazione predefinita (privacy by design e by default, ai sensi dell’art. 25 GDPR) verifica periodicamente l’adeguatezza delle misure di sicurezza adottate, valutando eventuali modifiche delle stesse in base alle mutate tecnologie, che eventualmente saranno opportunamente documentate sul sito web, a meno che non si tratti di informazioni riservate o commercialmente sensibili. La sicurezza del trattamento dati è garantita dalle seguenti misure, elencate in via esemplificativa ma non esaustiva: - accesso alle strutture e/o locali ristretto alle sole persone autorizzate e indispensabili per lo svolgimento dei compiti e nell’ambito delle loro responsabilità, e misure di controllo fisiche dei locali H24; - accesso al sistema informatico alle sole persone autorizzate, con controllo degli accessi e delle operazioni; - separazione dei servizi: a seconda dei servizi i Clienti sono isolati tra loro fisicamente o logicamente; - procedure di log: per tracciare le azioni svolte sul sistema informatico, i log sono protetti da accessi non autorizzati; - procedure di disaster recovery per garantire la continuità operativa e la sicurezza dei dati; - cifratura dei dati e dei supporti di backup e custodia degli stessi; - formazione e aggiornamento del personale autorizzato al trattamento dei dati; - accordi di riservatezza e non divulgazione dei dati; - limitazione della creazione di materiale cartaceo e smaltimento sicuro degli stessi; - divieto di utilizzo di supporti e dispositivi di memorizzazione portatili non crittografati a meno di eccezioni; - adozione di politiche BYOD per la gestione dell’intero ciclo dei dispositivi mobili. Il Cliente prende atto che (tenendo conto dei costi di implementazione e della natura, portata, contesto e scopo del trattamento dei dati del Cliente nonché dei rischi per le persone) le misure di sicurezza implementate dal Responsabile sono adeguate al livello di sicurezza necessario in relazione ai Dati del cliente, ai sensi dell’art. 32 GDPR. Il Responsabile pone tutti gli sforzi possibili e utilizza le migliori tecnologie per assicurare che i Dati trattati in esecuzione del Contratto siano predisposti secondo formati e standard in grado di assicurare la leggibilità e la portabilità degli stessi. Il Responsabile si impegna per quanto possibile ad assistere il Cliente nell’adempimento dell’obbligo di evadere le richieste di esercizio dei diritti degli interessati. I sistemi software (es. posta, posta certificata) sono progettati per facilitare il compito del Cliente. Il Responsabile rimane a disposizione del Cliente per ulteriori eventuali informazioni. Nel caso il Cliente richiedesse servizi aggiuntivi (es. il trattamento diretto da parte del Responsabile) per l’evasione delle richieste degli interessati, tali forniture dovranno essere oggetto di separato accordo. Qualora le persone interessate esercitino tale diritto presso il Responsabile del trattamento presentandogli la relativa richiesta, il Responsabile del trattamento inoltrerà tempestivamente tali richieste al Titolare al contatto (es. email) indicato in sede di stipula del Contratto. Il Responsabile si impegna, nei limiti delle sue possibilità, ad assistere il Cliente nel garantire il rispetto dei suoi compiti e delle sue funzioni, quali le misure di sicurezza, la notifica delle violazioni dei dati personali, l’eventuale esecuzione di valutazioni di impatto del trattamento (DPIA) se espressamente richiesto. Si impegna a rispettare i seguenti obblighimettere a disposizione del Cliente, compresi quelli definiti negli Allegati 1 tramite pubblicazione sul sito web, tutte le informazioni necessarie a dimostrare la conformità agli obblighi di legge del trattamento dei dati, delle misure di sicurezza e 2 che si considerano parte integrante del presente Contratto: a) in genere delle procedure. Ulteriori informazioni potranno essere richieste per iscritto al responsabile. La fornitura di servizi specifici dovrà essere oggetto di separato accordo. Il Responsabile tratterà si riserva il diritto, a sua esclusiva discrezione e in ossequio alle leggi vigenti, di rifiutare la divulgazione di qualsiasi informazione che possa essere critica per la sua attività, o che possa costituire una violazione di norme statali o clausole contrattuali o di riservatezza o che comunque possano ledere i Dati Personali del diritti di terzi. Al Cliente solo non verrà concesso l’accesso a dati o informazioni di altri Clienti, o comunque a informazioni non rilevanti per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, I registri e le Parti acconsentono e concordano che la responsabilità per il riscontro misurazioni fornite dal Responsabile sono considerati autentici a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano meno che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarateCliente non fornisca prove convincenti del contrario. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del Servizio5.1 Fermo restando ogni altro obbligo previsto dalla normativa applicabile, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contrattoa: a) Il Responsabile tratterà a. trattare i Dati personali esclusivamente per le finalità indicate nel presente Accordo, nonché per le finalità ulteriori che il Titolare dovesse eventualmente e successivamente indicare, e comunque esclusivamente per l’esecuzione del Contratto; b. non trattare o utilizzare i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto scopi diversi da quelli previsti e necessari per fornire i Servizi; c. non trattare Dati Personali per proprie finalità; d. trattare i Dati personali in piena conformità alle istruzioni qui fornite da parte del Titolare ovvero, di quelle eventualmente presenti nel Contratto, e di quelle ulteriori che lo stesso dovesse, in futuro, ritenere opportuno fornire per la migliore e più efficiente esecuzione delle attività; le ulteriori istruzioni che dovessero essere fornite dal Titolare saranno rese al Responsabile per iscritto o trasmesse al Responsabile via posta elettronica certificata. Al fine di garantire il rispetto delle istruzioni impartite dal Titolare, secondo quanto previsto dal presente articolo 5, il Responsabile si avvarrà di adeguati processi e di ogni altra misura tecnica idonea ad attuare le istruzioni fornite dal Titolare, incluse: • le procedure idonee a garantire il rispetto dei diritti e delle richieste formulate al Titolare dagli Interessati relativamente ai loro Dati personali; • l’adozione di adeguate interfacce o sistemi di supporto che consentano di garantire e fornire informazioni agli Interessati così come previsto dalla Legge applicabile; • procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta del Titolare, dei Dati personali di ogni Interessato; • procedure atte a garantire la cancellazione o il blocco dell’accesso ai Dati personali a richiesta del Titolare; • misure che consentano di contrassegnare i Dati personali o gli account, per consentire al Titolare di poter applicare particolari regole ai Dati personali dei singoli Interessati, così come, ad esempio, terminare l’attività di marketing per alcuni Interessati; • procedure atte a garantire il diritto degli Interessati alla portabilità dei dati e di limitazione di trattamento, su richiesta del Titolare, in quanto di propria competenza. e. garantire che tutte le persone agenti sotto la propria autorità alle quali sia consentito di accedere o anche trattare i Dati personali ricevuti abbiano sottoscritto idoneo impegno, o siano altrimenti comunque adeguatamente vincolate, a mantenere totale riservatezza rispetto a tali Dati personali e che, a tal fine, le stesse agiscano sotto il costante controllo del Responsabile ed in conformità alle istruzioni da quest’ultimo fornite; f. non comunicare a terzi e, più in generale, non diffondere e non trasferire a terzi i Dati personali, salvo ciò non sia richiesto per iscritto dal Titolare; g. non consentire a terzi l’accesso ai Dati personali, se non in presenza di adeguati presupposti di liceità per tali ulteriori trattamenti; h. tenere e conservare i Dati personali separati dai dati detenuti e/o trattati per conto di altri soggetti e terze parti o per conto proprio; i. trattare i Dati personali sul territorio italiano o comunque all’interno dello Spazio Economico Europeo. Il trasferimento di Dati personali verso Paesi non appartenenti allo Spazio Economico Europeo, o in un territorio che non garantisce un adeguato livello di protezione dei Dati personali riconosciuto dalla Commissione europea, potrà avvenire solo previa esplicita autorizzazione scritta da parte dell’Amministrazione e nel rispetto della disciplina applicabile; in tal caso il trasferimento sarà regolato dalle Clausole Contrattuali Tipo; j. nel contesto di quanto previsto nel successivo art. 7, adottare idonea procedura di gestione delle violazioni della sicurezza da cui derivino, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati personali o, in alternativa, conformarsi e dare adeguata attuazione alla corrispondente policy che dovesse essere trasmessa da parte del Titolare, prestando in ogni caso la massima collaborazione nei confronti dello stesso al fine di eliminare o quantomeno ridurre al minimo gli impatti derivanti da eventi di questo tipo; k. nel contesto di quanto specificato nel successivo art. 5 bis, fermo l’obbligo di notificare senza ingiustificato ritardo al Titolare e, comunque, entro e non oltre 24 ore ogni possibile evento qualificabile come violazione dei Dati personali ai sensi della Legge applicabile, informare prontamente il Titolare riguardo a qualsiasi ulteriore evento, fatto o circostanza, prevedibile o meno, da cui possa derivare un rischio elevato per i diritti e le libertà fondamentali degli Interessati coinvolti nelle Operazioni di trattamento; l. collaborare con il presente ContrattoTitolare, e fornire ad esso ogni supporto, limitatamente ai trattamenti relativi ai Dati personali, nell’assolvimento degli obblighi di: • notifica delle violazioni di dati al Garante o ad altre autorità di controllo competenti e, laddove richiesto in ragione dell’elevato livello di rischio per i diritti e le libertà degli Interessati, anche a questi ultimi; • se necessario, esecuzione di idonea valutazione di impatto sulla protezione dei dati, oltre che svolgimento delle procedure di consultazione preventiva con il Garante o le altre autorità competenti; bm. al ricorrere dei presupposti, predisporre, mantenere costantemente aggiornato e rendere disponibile a richiesta, in formato elettronico o cartaceo, un registro di tutte le Operazioni di trattamento svolte ai fini dell’esecuzione dell’Accordo, contenente in particolare: i) Il Responsabile avvertirà il proprio nome e i propri dati di contatto, oltre a quelli del Titolare e, ove applicabile, del proprio responsabile della protezione dei dati; ii) le categorie dei trattamenti effettuati per conto del Titolare; iii) dettagli relativi ad eventuali trasferimenti dei Dati personali ricevuti al di fuori dello Spazio Economico Europeo, con individuazione e indicazione del paese terzo o dell’organizzazione internazionale verso cui i Dati personali sono trasmessi e, qualora il trasferimento non sia basato su una decisione di adeguatezza della Commissione UE o su altri meccanismi di garanzia (quali ad esempio Clausole Contrattuali Standard o Binding Corporate Rules) e non sia applicabile nessuna delle deroghe previste dalla normativa vigente, le misure implementate a tutela dei Dati personali; iv) una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in conformità al presente atto di nomina e, più in generale, alla normativa applicabile; n. mettere il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni al corrente riguardo a qualsiasi richiesta di Legge Applicabili in materia esercizio di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano diritti che il Responsabile è espressamente autorizzato ad implementare dovesse ricevere da parte degli Interessati entro un termine massimo di 72 ore dal ricevimento della stessa, fornendo anche assistenza al Titolare con misure alternative o stabilire luoghi alternativi tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti degli Interessati; o. nel contesto di quanto specificato nel successivo art. 6, provvedere alla cancellazione dei Dati personali trattati per l’esecuzione dei Servizi al termine del periodo di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti indicato dall’Amministrazione e in qualsiasi circostanza in cui la cancellazione sia mantenuto o aumentato rispetto alle misure dichiarate.richiesta dall’Amministrazione stessa, compresa l’ipotesi in cui la stessa debba avvenire su esercizio del relativo diritto dell’Interessato; e) Ove il Responsabile comunichi i Dati Personali del Cliente p. segnalare al Titolare se, a proprio personaleparere, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni ricevute comportano una violazione della Legge applicabile; q. prestare al Titolare ogni necessaria collaborazione nell’assolvimento di richieste che dovessero pervenire dal Garante o da altre autorità competenti o in relazione a procedure o ispezioni che dovessero essere avviate nei confronti del Responsabile nel rispetto degli obblighi contenuti nel presente ContrattoTitolare, dando altresì immediata esecuzione alle istruzioni ricevute e fornendo copia di ogni documento richiesto.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del Servizio, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile il Responsabile, stante il suo ruolo, informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzativeorganizzative adeguate, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a per proteggere i Dati Personali del ClienteCliente (comprese le Categorie Particolari di Dati Personali). Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarateritenuto, sotto tutti gli aspetti, adeguato. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.

Obblighi del Responsabile. 3.1II ResponsabiIe garantisce di trattare i dati escIusivamente aI fine di svoIgere i Servizi regoIati daI Contratto, in base aIIe specifiche pattuizioni ed in base aIIe eventuaIi successive istruzioni deIIa Direzione dell’Esecuzione, come sopra descritto e specificato. Il Titolare determina le finalità Responsabile garantisce di trattare i dati conformemente aIIe istruzioni che di seguito vengono impartite daI TitoIare deI trattamento, per Ie finaIità sopra indicate. Se iI ResponsabiIe deI trattamento considera che una istruzione costituisca una vioIazione deI RegoIamento suIIa protezione dei dati o di tutte Ie aItre disposizioni deIIe Ieggi dell’Unione o deIIe Ieggi degIi Stati membri reIative aIIa protezione dei dati, deve informare immediatamente iI Direttore dell’Esecuzione del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del Servizio, Contratto e il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare RUP (se non coincidente con il presente Contratto; bDEC) Il Responsabile avvertirà tramite PEC. Considerato che l’oggetto del contratto è finalizzato all’erogazione di servizi pubblici (essenziali) il Titolare qualora ritenga fornitore dovrà procedere con quanto previsto daI contratto stesso, mettendo in atto Ie cauteIe che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni a suo giudizio saIvaguardino i diritti e Xx Xxxxxxx fondamentaIi deIIe persone fisiche, senza causare maggiore Iesione ai diritti stessi anche da parte dell’ASL stessa e di Legge Applicabili in materia di Protezione dei Dati PersonaliaItri soggetti, dandone immediata comunicazione all’Azienda nelle figure sopra indicate che potranno dare indicazioni diverse. In nessun caso il Responsabile sarà onerato dell'obbligo di InoItre, se iI ResponsabiIe deI trattamento è tenuto a procedere ad un esame giuridico esaustivo trasferimento di dati personaIi verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello Stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico, prima deI trattamento, a meno che Ie Ieggi interessate proibiscano una taIe informazione per motivi importanti di interesse pubbIico. 0.Xx Responsabile garantisce di nominare per iscritto “le persone autorizzate al trattamento” e garantisce che tali “persone autorizzate al trattamento”, abbiamo ricevuto specifiche e dettagIiate istruzioni scritte impartite dal Cliente; c) Register dirette ad assicurare il pieno rispetto delle disposizioni di legge, ai sensi dell’art. 29 del RGPD, in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano particolare: garantire che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) taIi persone autorizzate si è impegnato a mantenere la siano impegnate aIIa riservatezza o è a soggetto siano sottoposte ad un obbligo legale adeguato obbIigo IegaIe di riservatezza e; 2) tratti i Dati Personali siano state istruite suIIa procedura di gestione degIi incidenti di sicurezza. 0.Xx Responsabile garantisce di nominare, ove applicabili, gli “Amministratori di sistema”, con l’elencazione anaIitica degIi ambiti di operatività consentiti in base aI profiIo di autorizzazione assegnato, e di attenersi al rispetto di quanto contenuto nel provvedimento “Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti eIettronici reIativamente aIIe attribuzioni deIIe funzioni di amministratore di sistema”, del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.25.6.2009

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità Responsabile del Trattamento si impegna a: i. trattare i dati personali secondo le istruzioni documentate del titolare del trattamento ii. garantire che le persone autorizzate al trattamento dei Dati Personali dati personali si siano impegnate alla riservatezza e siano adeguatamente istruite; iii. adottare tutte le misure richieste ai sensi dell'articolo 32 del Cliente nell’erogazione Regolamento; iv. rispettare le condizioni di cui all’art. 28 paragrafi 2 e 4 del Servizio.Regolamento nel ricorrere a un altro responsabile del trattamento; 3.2v. tenendo conto della natura del trattamento, assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III del Regolamento; vi. Con riferimento all’erogazione assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del ServizioRegolamento, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento; vii. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, comprese le ispezioni e nei procedimenti davanti all’Autorità di Controllo e Giudiziaria che coinvolgano il Titolare; viii. su scelta del Titolare del trattamento, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati; ix. comunicare tempestivamente al Titolare istanze degli interessati, contestazioni, ispezioni o richieste dell’Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali. Xxxxx restando i principi generali di tutela dei dati personali, il Responsabile si impegna a rispettare i seguenti obblighi, compresi quelli definiti negli Allegati 1 adempie ai propri obblighi in misura proporzionata allo scopo e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. In nessun caso il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo delle istruzioni scritte impartite dal Cliente; c) Register in qualità di Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo finalità perseguite anche in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, agli sforzi necessari e ai rischi per i diritti e le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabilelibertà degli interessati. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati purché il livello di sicurezza delle misure o dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove il Responsabile comunichi i Dati Personali del Cliente al proprio personale, direttamente ed esclusivamente preposto alla fornitura del Servizio, il Responsabile assicura che detto personale: 1) si è impegnato a mantenere la riservatezza o è a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali del Cliente seguendo le istruzioni del Responsabile nel rispetto degli obblighi contenuti nel presente Contratto.

Obblighi del Responsabile. 3.1. Il Titolare determina le finalità del Trattamento dei Dati Personali del Cliente nell’erogazione del Servizio. 3.2. Con riferimento all’erogazione del ServizioFatti salvi gli altri obblighi previsti dalle disposizioni di legge e regolamentari applicabili, il Responsabile si impegna a rispettare ivi inclusi i seguenti obblighi, compresi quelli definiti negli Allegati 1 e 2 che si considerano parte integrante del presente Contratto: a) Il Responsabile tratterà i Dati Personali del Cliente solo per quanto strettamente necessario all’erogazione del Servizio, restando soggetto alle istruzioni impartite per iscritto dal Titolare con il presente Contratto; b) Il Responsabile avvertirà il Titolare qualora ritenga che le istruzioni impartite per iscritto si pongano in violazione provvedimenti delle Disposizioni Autorità di Legge Applicabili controllo in materia di Protezione dei Dati Personali. In nessun caso dati personali, il Il Responsabile è in particolare obbligato a: trattare i dati personali soltanto per le finalità di esecuzione delle attività che il Responsabile sarà onerato dell'obbligo di procedere ad un esame giuridico esaustivo è tenuto a svolgere sulla base del Mandato, nel rispetto delle istruzioni scritte di cui al presente Contratto e di ogni altra istruzione impartita dal Titolare, anche in merito ai tempi di conservazione dei dati personali; garantire, per conto delle persone autorizzate al trattamento dei dati personali, l'obbligo di riservatezza in merito a tutte le informazioni e i dati acquisiti in esecuzione del Mandato e del Contratto; individuare le persone autorizzate al trattamento e conferire loro, in forma scritta, l'incarico di compiere le operazioni di trattamento nonché le medesime istruzioni impartite dal Cliente; c) Register in qualità di Titolare al Responsabile informerà tempestivamente il Cliente, senza indebito ritardo, di ogni contatto o comunicazione ricevuta da un’Autorità di Controllo in relazione al Trattamento dei Dati Personali del Cliente. A tal riguardo, le Parti acconsentono e concordano che la responsabilità per il riscontro a tali richieste rimarrà esclusivamente in capo al Titolare e non al Responsabile. d) Il Responsabile ha implementato misure operative, tecniche e organizzative, incluse quelle descritte nell’Allegato 2 sulla base del presente Contratto, volte a proteggere i Dati Personali del Cliente. Le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi istruirli sulle modalità di conservazione elaborazione dei dati purché ai quali hanno accesso e vigilare sugli stessi, nonché comunicare al Titolare, su richiesta di quest’ultimo, i nominativi delle persone preposte al trattamento; adottare tutte le misure tecniche ed organizzative adeguate, richieste ai sensi dell'art. 32 del Regolamento; assistere il livello Titolare con misure tecniche e organizzative adeguate, per l'adempimento degli obblighi connessi all'esercizio dei diritti degli Interessati, ivi inclusi i diritti alla limitazione del trattamento e alla portabilità dei dati; fornire agli Interessati l'informativa sul trattamento dei dati personali predisposta dal Titolare; non comunicare a terzi, salvo quanto previsto dall'art. 3 ovvero in caso di sicurezza delle misure o consenso espresso in forma scritta del Titolare, i dati personali oggetto di trattamento; se richiesto, curare, di concerto con il Titolare, i rapporti con le Autorità di controllo in materia di protezione dei luoghi scelti sia mantenuto o aumentato rispetto alle misure dichiarate. e) Ove dati personali, anche nell'ambito di procedimenti amministrativi e giurisdizionali inerenti il Responsabile comunichi i Dati Personali del Cliente al proprio personaleTitolare medesimo; in caso di violazione di dati personali, direttamente ed esclusivamente preposto alla fornitura del Servizio, informare il Responsabile assicura che detto personale: 1) Titolare senza ritardo dal momento in cui si è impegnato venuti a mantenere la riservatezza o è conoscenza della violazione, e collaborare attivamente con questo nella raccolta documentale e in tutte le attività connesse all’eventuale notifica all’Autorità Garante e ai soggetti interessati, ai sensi degli artt. 33 e 34 del Regolamento (UE) 2016/679; restituire tutti i dati personali dopo l’espletamento delle attività di trattamento dei dati alla cessazione del Mandato sottoscritto, per qualsiasi causa essa avvenga; mettere a soggetto ad un obbligo legale di riservatezza e; 2) tratti i Dati Personali disposizione del Cliente seguendo Titolare tutte le istruzioni del Responsabile nel informazioni necessarie per dimostrare il rispetto degli obblighi contenuti di cui al presente Xxxx, consentendo e contribuendo alle attività di revisione, comprese le ispezioni realizzate dal Titolare (o da un altro soggetto da questi incaricato); adempiere a tutte le prescrizioni contenute nei provvedimenti delle Autorità di controllo che risultano applicabili per il corretto espletamento dell'incarico, nel presente Contrattorispetto della normativa vigente; in generale, prestare la più ampia e completa collaborazione al fine di compiere tutto quanto sia necessario ed opportuno per il corretto espletamento dell'incarico, nel rispetto della normativa vigente.