Nomina a Responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento UE n. 679 del 27 aprile 2016 (DPA - Data Processing Agreement)
TEM025 – Modello di Nomina a Responsabile del Trattamento ex art. 28 del GDPR - v. 1.6 del 10.03.2023
Il contenuto di questo modello può essere riportato su vostra carta intestata
Nomina a Responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento UE n. 679 del 27 aprile 2016
(DPA - Data Processing Agreement)
La Società/L’Ente: ____________________________________________
Sede Legale: ____________________________________________
Indirizzo PEC: ____________________________________________
Codice Fiscale: ____________________________________________
Partita IVA/Codice IPA: ____________________________________________
Numero REA: ____________________________________________
Legale Rappresentante: ____________________________________________
Numero contratto/ordine/accordo e data: ____________________________________________
premesso che:
l’art. 28 del Regolamento (UE) n. 2016/679 del Parlamento Europeo e del Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (d’ora innanzi anche “GDPR” o “Regolamento”) riconosce al Titolare del trattamento la facoltà di avvalersi di uno o più Responsabili del trattamento dei dati, che abbiano esperienza, capacità, conoscenza per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del GDPR, anche relativamente al profilo della sicurezza;
ai fini del rispetto della normativa, ciascuna persona che tratta dati personali deve essere autorizzata e istruita in merito agli obblighi normativi per la gestione dei suddetti dati durante lo svolgimento delle proprie attività;
il Titolare ha affidato alla società Unimatica S.p.A., con sede in Xxx X. Xxxxxxx 00, 00000, Xxxxxxx (di seguito “Unimatica” o “Responsabile”, e congiuntamente con il Titolare, “Parti”) il servizio/i servizi digitale/i, come da contratto/ordine/accordo sopra indicato, che si richiama espressamente e del quale la presente costituisce parte integrante e sostanziale, che comporta il trattamento di dati personali di titolarità della Società/dell’Ente;
tenuto conto delle attività di trattamento necessarie e/o opportune per dare esecuzione agli obblighi concordati tra le Parti, previa valutazione di quanto imposto dal GDPR, il Titolare ha ritenuto che il Responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR ed a garantire la tutela dei diritti e le libertà degli interessati coinvolti nelle suddette attività di trattamento;
con il presente atto, relativamente alle attività di trattamento dei dati necessarie e/o opportune per dare esecuzione agli obblighi concordati tra le Parti, il Titolare vincola il Responsabile a trattare i propri dati personali nel rispetto delle istruzioni di seguito fornite;
tale nomina non comporta alcuna modifica della qualifica professionale del Responsabile e/o degli obblighi concordati tra le Parti.
Tutto quanto sopra premesso,
la Società/l’Ente, in qualità di Titolare del trattamento, in attuazione dell’art. 28 del Regolamento del Parlamento Europeo n. 2016/679/UE (nel seguito “GDPR”), con la presente
NOMINA,
la Società (di seguito anche Responsabile): Unimatica S.p.A.,
nella persona del legale rappresentante
con sede legale e amministrativa in: Xxx X. Xxxxxxx 00, 00000, Xxxxxxx
Codice Fiscale/Partita Iva: 02098391200
RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
di cui è Titolare la Società/l’Ente e di cui il Responsabile può venire a conoscenza nell’esercizio delle attività espletate per conto del Titolare relativamente al servizio digitale/ai servizi digitali che formano oggetto di accordo così come specificatamente indicato nel contratto/ordine/accordo sopradetto che si richiama espressamente e del quale la presente costituisce parte integrante e sostanziale.
Durata del trattamento. La durata del trattamento è stabilita dal contratto/ordine/accordo sussistente tra le parti.
Natura e finalità del trattamento. Il trattamento dei dati personali è effettuato esclusivamente per la corretta esecuzione delle attività concordate tra le Parti, attraverso strumenti informatici.
Categorie di dati personali trattati. Il Responsabile del trattamento, per espletare le attività pattuite tra le Parti, potrebbe trattare per conto del Titolare direttamente o anche solo indirettamente una o più delle seguenti categorie di informazioni:
- dati personali,
- dati rientranti nelle categorie “particolari” di dati personali,
- dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza,
di cui è Titolare la Società/l’Ente.
Per i dettagli, si rinvia a quanto pattuito nel contratto/ordine/accordo e nella scheda cliente/scheda tecnica/scheda di attivazione.
Categorie di interessati cui si riferiscono i dati trattati. I dati trattati dal Responsabile si riferiscono potenzialmente, a titolo esemplificativo, ma non esaustivo, alle seguenti categorie di interessati: clienti, dipendenti, utenti, fornitori, richiedenti impiego, soci, etc. Per i dettagli, si rinvia a quanto pattuito nel contratto/ordine/accordo e nella scheda cliente/scheda tecnica/scheda di attivazione.
Compiti e istruzioni per il Responsabile. Il Responsabile ha il potere e il dovere di trattare i dati personali indicati nel rispetto della normativa vigente, attenendosi sia alle istruzioni di seguito fornite, sia a quelle che verranno rese note dal Titolare mediante procedure e/o comunicazioni specifiche.
Il Responsabile dichiara espressamente di comprendere ed accettare le istruzioni di seguito rappresentate e si obbliga a porre in essere, nell’ambito dei compiti affidati, tutti gli adempimenti prescritti dalla normativa di riferimento in materia di tutela dei dati personali al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e di trattamento non consentito o non conforme alla raccolta.
Il Responsabile si impegna ad informare il Titolare qualora ritenga che un’istruzione da questi fornita violi il disposto della normativa applicabile. A seguito di tale comunicazione, il Responsabile non sarà tenuto ad osservare l'istruzione contestata. Se, a seguito dell’informazione fornita dal Responsabile, il Titolare conferma l'istruzione contestata, assumendosi formalmente la propria responsabilità, il Responsabile sarà tenuto ad osservare l'istruzione contestata.
Modalità di trattamento e requisiti dei dati personali. Il Responsabile si impegna a:
trattare direttamente, o per il tramite dei propri dipendenti, collaboratori, consulenti - designati incaricati del trattamento - i dati personali del Titolare, per le sole finalità connesse allo svolgimento delle attività previste dal contratto/ordine/accordo, in modo lecito e secondo correttezza, nonché nel pieno rispetto delle disposizioni impartite dal GDPR e delle presenti istruzioni;
non diffondere o divulgare o rendere noti a terzi -per alcuna ragione ed in alcun momento, presente o futuro ed anche una volta cessati i trattamenti oggetto del contratto/ordine/accordo- i dati personali ricevuti dal Titolare o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, se non previamente autorizzato per iscritto dal Titolare, fatti salvi eventuali obblighi di legge o ordini dell’Autorità Giudiziaria e/o di competenti Autorità amministrative;
collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;
non creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;
in caso di ricezione di richieste specifiche avanzate dall’Autorità Nazionale per la protezione dei dati personali o altre Autorità, coadiuvare il Titolare per quanto di propria competenza;
segnalare eventuali criticità al Titolare che possono mettere a repentaglio la sicurezza dei dati, al fine di consentire idonei interventi da parte dello stesso;
vigilare affinché i dati personali degli interessati vengano comunicati solo a quei soggetti preventivamente autorizzati dal Titolare che presentino garanzie sufficienti secondo le procedure di autorizzazione disposte e comunicate dal Titolare. Sono altresì consentite le comunicazioni richieste per legge nei confronti di soggetti pubblici.
Istruzioni specifiche per il trattamento dati particolari e/o relativi a condanne penali e reati. Il Titolare indica al Responsabile la presenza nei propri documenti di tali categorie di dati nel contratto/ordine/accordo e nella scheda cliente/scheda tecnica/scheda di attivazione. Nel caso di trattamento di tali dati, il Responsabile, oltre a quanto già sopra garantito, si impegna a:
prestare particolare attenzione al trattamento di tali dati conosciuti in esecuzione dell’incarico affidato, procedendo al loro trattamento solo ove ciò si renda necessario per lo svolgimento delle attività di competenza e istruendo in tal senso le persone autorizzate che operano all’interno della propria struttura;
gestire la documentazione contenente tali dati adottando, implementando e aggiornando misure di sicurezza adeguate e idonee, concordate con il Titolare, al fine di evitare accessi non autorizzati, distruzione, perdita e/o qualunque violazione dei dati.
Accesso ai dati personali. In linea di principio, i compiti affidati al Responsabile dovranno essere svolti senza che vi sia accesso e conoscenza ai dati personali contenuti nei documenti informatici e cartacei; in ogni caso, se da parte del Responsabile risulterà indispensabile accedere ai dati personali, l'accesso dovrà avvenire esclusivamente per accertate e documentate esigenze di operatività e gestione di sistema, e solo nei casi in cui le medesime finalità non possano venire perseguite senza che via sia accesso o conoscenza dei dati personali.
Sicurezza dei dati personali. Il Responsabile, ai sensi dell’art. 32 del GDPR, deve mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio (di distruzione, di perdita, di modifica, di divulgazione non autorizzata o dell’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati) di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
Il Titolare concorda sulle misure di sicurezza adottate dal Responsabile e le ritiene adeguate. Il Responsabile, su richiesta, fornirà al Titolare l’elenco aggiornato delle misure di sicurezza adottate, in particolare, in merito alle Politiche di crittografia si rimanda al documento di dettaglio presente al seguente link: xxxxx://xxx.xxxxxxxxxxxx.xx/xx/xxxxxxxxxxx-xxx-xxxxxxx.
Sicurezza e Amministrazione del Sistema (ADS). Il Responsabile dichiara che per l’esecuzione delle attività oggetto dei Servizi in oggetto si avvale di personale con mansioni di “Amministratore di Sistema” e rispetta le misure e gli accorgimenti prescritti nel Provvedimento del 27 novembre 2008 del Garante per la protezione personale. Il Responsabile, su richiesta, fornirà al Titolare la lista nominativa degli ADS.
Data Breach. Il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo e, ove possibile, entro 24 ore dal momento in cui è venuto a conoscenza, con comunicazione da inviarsi all’indirizzo PEC del Titolare ogni violazione dei dati personali (data breach) che riguardi il trattamento di cui in argomento. Ulteriori informazioni possono essere fornite dal Responsabile, su richiesta, anche successivamente e appena disponibili senza giustificato ritardo. Il Responsabile si impegna a prestare assistenza al Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 32 - 34 del GDPR.
Valutazione di impatto e consultazione preventiva. Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile de trattamento, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai Sub - Responsabili.
Attività di trattamento delegate dal Responsabile a terze parti. In esecuzione degli accordi in essere, il Titolare del trattamento concede al Responsabile l’autorizzazione generale ad affidare l’attività -parziale o totale- a soggetti terzi, dei quali garantisce il possesso dei requisiti di esperienza, capacità ed affidabilità, ivi compreso il profilo relativo alla sicurezza. Ove ricorra tale ipotesi, il Responsabile provvede personalmente a designare Responsabili del trattamento ai sensi dell’art. 28 del GDPR i suddetti soggetti terzi (nel seguito anche “Sub-Responsabile del trattamento”) con idoneo atto giuridico e ne dà notizia al Titolare tramite la pubblicazione dell’elenco sul proprio sito web al seguente link: xxxxx://xxx.xxxxxxxxxxxx.xx/xx/xxxx-xxxxxx-xxx-xxxxxxxxxxxx. Il Titolare può opporsi entro e non oltre 14 giorni dalla pubblicazione.
Trasferimento dei dati personali. Il Responsabile assicura che nessun dato personale potrà essere trasferito all’esterno dell’Area Economica Europea (EEA), anche per il tramite di eventuali Sub – Responsabili, senza la preventiva e documentata autorizzazione scritta del Titolare. Qualora tale autorizzazione fosse concessa, l’attività di trasferimento dei dati personali oggetto del trattamento dovrà avvenire nel rispetto delle garanzie appropriate previste dalla normativa applicabile e degli articoli 45 e 46 del GDPR.
Diritti degli interessati. Premesso che l’accesso ai dati personali da parte degli interessati esercitato ai sensi degli artt. 15 e seguenti del GDPR sarà gestito direttamente dal Titolare, il Responsabile si rende disponibile a collaborare con il Titolare fornendogli tutte le informazioni necessarie in suo possesso a soddisfare le eventuali richieste ricevute in tal senso.
Il Responsabile dovrà comunicare al Titolare, senza ritardo, le istanze eventualmente ricevute e avanzate dagli interessati, in virtù dei diritti previsti dalla vigente normativa, al fine di consentire al Titolare di evadere le stesse entro i termini stabiliti dalla normativa.
Persone autorizzate al trattamento. Il Responsabile garantisce di adottare ogni misura ragionevole per assicurare l’affidabilità di ogni soggetto che avrà accesso ai dati personali del Titolare in ragione di qualunque rapporto lavorativo o di collaborazione instaurato con il Responsabile. Inoltre, garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e vigila costantemente sull’operato delle stesse. Il Responsabile del trattamento dei dati è tenuto ad assicurare un’adeguata formazione in materia di privacy e sicurezza agli autorizzati al trattamento dei dati, in particolare in occasione di assunzioni, variazioni significative di incarico o di responsabilità, evoluzioni tecnologiche o normative.
Registro dei trattamenti. Il Responsabile –ove tale obbligo si applichi in base alle disposizioni del comma 5 dell’art. 30 del GDPR- mantiene un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, garantendo di metterlo a disposizione del Titolare e/o dell’Autorità di controllo che ne dovessero fare richiesta.
Attività di audit. Il Responsabile si impegna a mettere a disposizione del Titolare le informazioni necessarie a fine di dimostrare il rispetto degli obblighi di cui all’art. 28 del GDPR, consentendo e, su richiesta, contribuendo alle attività di audit, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da esso incaricato. L'Audit del Titolare è soggetto alle seguenti condizioni: (i) deve riguardare solamente il personale e le strutture di trattamento del Responsabile coinvolte nelle attività di trattamento disciplinate nel contratto; (ii) deve essere svolto non più di una volta l'anno o secondo quanto previsto dalla legge applicabile in materia di protezione dei dati o dall'autorità di controllo competente; (iii) la data dell’effettuazione dell’Audit deve essere concordata, ed in ogni caso deve essere previsto un congruo preavviso di almeno 30 giorni lavorativi prima della data concordata; (iv) l’Audit deve essere svolto durante il normale orario di lavoro, senza interrompere la continuità delle attività commerciali del Responsabile e in ottemperanza alle politiche sulla sicurezza del Responsabile; e (v) il Titolare si fa carico di tutte le spese derivanti o in relazione agli Audit.
Ulteriori
istruzioni.
I
livelli di servizio (Service Level Agreement – SLA) standard
relativi ai servizi che Unimatica eroga dai propri data center in
modalità Outsourcing/Cloud/SaaS, sono validi per tutti i servizi che
fornisce l’azienda, fatte salve eventuali diverse specificazioni a
livello di singolo contratto di servizio e sono pubblicati al
seguente link:
xxxxx://xxx.xxxxxxxxxxxx.xx/xx/xxxxxxxxxxx-xxx-xxxxxxx.
Proprietà
dei dati. I
dati sono di proprietà esclusiva del Titolare e pertanto non
potranno essere venduti o ceduti, in tutto o in parte, ad altri
soggetti.
Obbligo alla riservatezza. Il Responsabile si impegna, anche ai sensi dell'articolo 1381 cod. civ., a mantenere i dati personali, strettamente riservati e a non comunicarli né divulgarli in alcun modo, in tutto o in parte, a terzi non autorizzati; a osservare i vincoli di segretezza e di riservatezza; ad adottare ogni misura necessaria a garantire il rispetto dei menzionati vincoli.
Validità e Revoca della nomina. La presente nomina inizierà a decorrere dalla data di sottoscrizione e ha validità per tutta la durata del rapporto giuridico intercorrente tra le Parti e potrà essere revocata a discrezione del Titolare.
La presente nomina annulla e sostituisce quella eventualmente già in essere e non costituisce aggravio in capo al Responsabile, rientrando negli obblighi normativi che regolano i rapporti con il Titolare sotto il profilo privacy.
La perdita da parte del Responsabile dei requisiti di cui all’art. 28 e al considerando 81 del GDPR consentirà al Titolare di esercitare il diritto di revoca. L’esercizio della facoltà di revoca da parte del Titolare avverrà mediante invio di una comunicazione, da inviarsi all’indirizzo PEC del Responsabile.
Cessazione del trattamento. Alla data di cessazione del contratto/ordine/accordo, il Responsabile si impegna ad interrompere e far interrompere al Sub-Responsabile eventualmente nominato, ogni Trattamento effettuato e a restituire o cancellare i dati personali secondo quanto di volta in volta deciso dal Titolare. Resta inteso che la dimostrazione delle ragioni che giustificano il protrarsi degli obblighi di conservazione è a carico del Titolare e che le uniche finalità perseguibili con tali dati sono esclusivamente circoscritte a rispondere ad adempimenti normativi. I dati trattati per conto del Titolare, saranno cancellati dal Responsabile entro tempi compatibili con le ulteriori necessità che possano prospettarsi e comunque entro 12 mesi dalla data di cessazione degli effetti del contratto/ordine/accordo. In tale periodo intermedio tra la fine del rapporto e detto termine, i dati saranno conservati dal Responsabile per fini esclusivamente di sicurezza e non saranno oggetto di ulteriori trattamenti E’ fatto salvo il diritto del Responsabile di trattare i dati personali anche successivamente alla data di cessazione al solo ed esclusivo fine di ottemperare a specifici obblighi disposti da leggi o regolamenti applicabili al Responsabile, nei limiti e per la durata da questi previsti.
Data Protection Officer (DPO). Il Responsabile ha nominato un DPO contattabile tramite l’email: xxx@xxxxxxxxxxxx.xx. Il Responsabile è tenuto a collaborare e a coadiuvare il DPO nominato dal Titolare nello svolgimento delle attività da questo effettuate. Il Titolare comunica al Responsabile i contatti del DPO, eventualmente nominato, all’indirizzo email: xxx@xxxxxxxxxxxx.xx.
Codici di Condotta e Certificazioni. Il Responsabile si impegna a comunicare al Titolare l’adesione a codici di condotta approvati ai sensi dell’art. 40 del GDPR, e/o l’ottenimento di certificazioni che impattano sui servizi offerti al Titolare, intendendo anche quelle disciplinate dall’art. 42 del GDPR. Il Responsabile possiede le certificazioni ISO/IEC 27001, integrata con le linee guida ISO/IEC 27017, 27018 e 27701, ISO 9001, ISO 37001 e ISO 14001.
++++
Il Titolare, poste le suddette istruzioni e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio ruolo, di impartire per iscritto eventuali ulteriori istruzioni che dovessero risultare necessarie per il corretto e conforme svolgimento delle attività di trattamento dei dati collegate all’accordo vigente tra le Parti, anche a completamento ed integrazione di quanto sopra definito.
Il Responsabile risponderà dei danni derivanti dal suo trattamento qualora gli stessi derivino dall’inottemperanza del Responsabile, o di suoi Sub – Responsabili, agli obblighi della disciplina in materia di protezione dei dati personali specificatamente diretti ai Responsabili del trattamento o da sue azioni difformi o contrarie alle legittime istruzioni del Titolare in conformità a quanto previsto dall’art. 82 del GDPR.
…………………………………..(Luogo e Data)
Firma del Titolare del Trattamento
___________________________
Per presa visione ed accettazione del presente documento
Unimatica S.p.A.
_________________________________________
(si precisa che l’accettazione può essere espressa
attraverso l’uso di un documento apposito)
UNIMATICA S.p.A. a Socio Unico Xxx X. Xxxxxxx, 00 - 00000 Xxxxxxx - Cap.Sociale 500.000,00 Euro i.v. - CF. RI. P Iva 02098391200 - REA BO 413696 Tel: x00.000.0000000 – Fax: x00.000.0000000 - xxx.xxxxxxxxxxxx.xx - e-mail: xxxx@xxxxxxxxxxxx.xx |
Pag.5 di 5 |