ADDENDUM RESPONSABILE TRATTAMENTO DATI

ADDENDUM RESPONSABILE TRATTAMENTO DATI

NOMINA RESPONSABILE DEL TRATTAMENTO DATI

L’Utente (di seguito “Titolare” o “Cliente” o “Titolare del Trattamento”),

mediante accettazione espressa dei Termini e Condizioni di Climbo S.r.l. (di seguito “Fornitore” o il “Responsabile”), accetta il presente addendum sul trattamento dei dati personali, che costituisce parte integrante del rapporto intercorrente tra le Parti. Il presente addendum è sottoscritto ai sensi dell’articolo 28 del Regolamento 679/2016 e disciplina le modalità con cui il Responsabile tratterà i dati personali per conto del Titolare. Titolare e Responsabile, potranno essere definiti anche singolarmente la “Parte” e congiuntamente le “Parti”.

PREMESSO CHE

• i trattamenti dei dati personali svolti dal Titolare del trattamento sono elencati nel registro dei trattamenti tenuto dal Titolare del trattamento;

• per alcuni trattamenti il Titolare del trattamento si avvale della collaborazione del Fornitore;

• il Fornitore, nell’ambito dei servizi offerti al Titolare del trattamento, così come meglio dettagliati nello specifico contratto in essere, può effettuare un trattamento di dati personali per conto del Titolare del trattamento;

• il Titolare e il Fornitore hanno sottoscritto un accordo per la fornitura di una soluzione integrata web e tablet per la creazione, gestione e invio di richieste di recensioni (“Servizio”), di cui il presente documento è parte integrante;

• con riferimento al Servizio reso disponibile dal Fornitore, quest’ultimo potrebbe trattare dati personali di titolarità del Titolare e, più precisamente, dati comuni (nome, cognome, dati di contatto) dei clienti finali del Titolare;

• la finalità del trattamento consiste nel fornire una soluzione tecnologica che permetta al Titolare di poter fruire del Servizio;

• ai sensi dell’art. 28.1 del Regolamento (UE) 2016/679, Regolamento Generale sulla Protezione dei Dati (da ora in poi “GDPR”), “qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento”;

• il Titolare del trattamento ha verificato che il Fornitore, sempre ai sensi dell’art. 28.1 del GDPR, presenta “garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento e garantisca la tutela dei diritti dell’interessato”;

Il Titolare del Trattamento nomina il Fornitore “RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI”

(da ora in poi anche semplicemente “Responsabile del Trattamento” o “Responsabile”), con riferimento ai dati personali di cui il Fornitore potrà effettuare il trattamento nello svolgimento delle sue attività e di quelle che in futuro potrebbero essere affidate al Fornitore.

In conformità al GDPR, l’attività svolta dal Responsabile del trattamento sarà disciplinata come segue:

1. DURATA. La presente nomina sarà efficace per tutta la durata del rapporto del Responsabile con il Titolare e dovrà intendersi automaticamente revocata in caso di cessazione dello stesso.

2. FINALITA’ DEL TRATTAMENTO. I dati che sono affidati al Responsabile, nell’ambito delle attività ad esso demandate per la fruizione del Servizio, possono essere trattati solo per le finalità indicate nel mandato affidato e/o nel contratto stipulato con il Titolare. In particolar modo, i dati saranno trattati dal Fornitore solo al fine di poter garantire l’erogazione del Servizio al Titolare il quale comunque rimarrà l’unico soggetto obbligato a dover comunicare al cliente finale le finalità e ottenere il consenso al trattamento, nonché la comunicazione dei dati a soggetti terzi.

3. MODALITA’ DEL TRATTAMENTO. I dati potranno essere trattati su supporto cartaceo o digitale, in base alle attività svolte, a patto che gli strumenti siano adeguatamente individuati ed inventariati dal Responsabile e sistematicamente comunicati al Titolare per sua approvazione. In particolar modo, i dati saranno trattati per tramite della piattaforma software “Climbo”.

4. XXXXXX E COMPITI DEL RESPONSABILE. Il Responsabile, così come previsto dall’art.28 del GDPR, si impegna a:

a) trattare i dati personali affidati soltanto su istruzione documentata del Titolare, anche in caso di trasferimento di dati personali verso un paese terzo, salvo diversa disposizione di legge. In tal caso il Responsabile è comunque tenuto all’obbligo di informazione verso il Titolare;

b) garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza, o abbiano un adeguato obbligo legale di riservatezza. Allo scopo il Responsabile di verificare periodicamente che gli incaricati: (i) effettuino il trattamento in modo lecito e corretto, esclusivamente ai fini della prestazione dei servizi oggetto del rapporto contrattuale tra le Parti;

(ii) trattino i dati personali unicamente per finalità inerenti i compiti loro assegnati; (iii) non comunichino o diffondano i dati personali senza la preventiva autorizzazione del Titolare del trattamento; (iv) verifichino, in caso di interruzione anche temporanea del lavoro, che i dati personali trattati non siano accessibili a terzi non autorizzati; (v) custodiscano e mantengano strettamente riservate le credenziali di autenticazione; (vi) rispettino le misure di sicurezza richieste dal Responsabile e/o dal Titolare del trattamento;

c) garantire adeguata e comprovata istruzione alle persone autorizzate al trattamento, ai sensi dell’art. 29 del GDPR;

d) adottare, ai sensi dell’art. 32 del GDPR, tutte le misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, in modo da ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

e) informare il Titolare, ai sensi dell’art.28 GDPR, qualora sia necessario ricorrere ad altro Responsabile del Trattamento;

f) assistere il Titolare nel rispetto degli obblighi di legge di cui agli articoli 32 (Sicurezza del trattamento), 33 (Notifica di una violazione dei dati personali all’autorità di controllo), 34 (Comunicazione di una violazione dei dati personali all’interessato), 35 (Valutazione d’impatto sulla protezione dei dati), 36 (Consultazione preventiva), tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

g) provvedere all’aggiornamento, modifica, rettifica dei dati personali qualora ciò sia necessario in relazione alle finalità del trattamento e cancellare o restituire tempestivamente, a richiesta del Titolare, tutti i dati personali e le copie esistenti di cui il Responsabile è in possesso senza poterne conservare copia alcuna, salvo espresso diverso accordo o previsione di legge. In ogni caso, eliminare e/o distruggere, secondo quanto previsto dalle norme di legge (come per esempio il “wiping” per i dati digitali), i dati personali quando siano state raggiunte le finalità per le quali i dati siano stati raccolti e trattati in mancanza di un obbligo di legge o della necessità di ulteriore conservazione;

h) consentire al Titolare l’esercizio del potere di controllo ai sensi dell’art. 28 GDPR: in tal contesto, mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente Addendum e per dimostrare il rispetto degli obblighi di legge e consentire ad attività di verifica (Audit), realizzate dal Titolare o da terzi dallo stesso incaricati, al fine di accertare l’osservazione delle presenti modalità di trattamento dei dati e il rispetto delle norme di legge. Il Titolare avrà facoltà di verificare, con un preavviso di almeno 20 (venti) giorni lavorativi, anche presso la sede del Responsabile, la conformità delle procedure adottate da quest’ultimo rispetto a quanto indicato nel presente Addendum ovvero richiesto dalla normativa;

i) impegnarsi a conformarsi al Provvedimento generale del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal Provvedimento del Garante del 25 giugno 2009 “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento”, così come eventualmente modificato o sostituito dallo stesso Xxxxxxx, e ad ogni altro pertinente provvedimento dell’Autorità;

j) collaborare ai fini dell’esatta applicazione della legge, anche tramite riunioni periodiche ed agire nell’ambito e nei limiti del proprio compito, autonomamente, ma sempre secondo le direttive stabilite dal Titolare.

5. VIGILANZA. Il Titolare del trattamento potrà vigilare sulla puntuale osservanza delle istruzioni qui impartite al Responsabile del trattamento e verificherà il perdurare dei requisiti di esperienza, capacità ed affidabilità che hanno influito sulla designazione del Responsabile del trattamento.

6. VIOLAZIONE. Il Responsabile è reso edotto che, qualora violi le norme di legge, determinando autonomamente le finalità e i mezzi del Trattamento, o disattendendo le istruzioni ricevute dal Titolare, verrà considerato Titolare del Trattamento in questione;

7. ASSISTENZA AL TITOLARE IN CASO DI VIOLAZIONE. In caso di violazione dei dati personali, il Fornitore si impegna a informare il Titolare senza ingiustificato ritardo dal momento in cui ha conoscenza della violazione. Il Fornitore dovrà assistere il Titolare, avviando un’analisi preliminare finalizzata alla raccolta dei dati concernenti l’anomalia e alla compilazione di una scheda evento, contenente tutte le informazioni raccolte ed in quel momento disponibile, quali, a titolo esemplificativo:

- Data evento, anche la data presunta di avvenuta violazione (in tal caso va specificato)

- Data e ora in cui si è avuto conoscenza della violazione;

- Fonte segnalazione;

- Tipologia violazione e di informazioni coinvolte;

- Descrizione evento anomalo;

- Numero interessati coinvolti;

- Numerosità di dati personali di cui si presume una violazione;

- Indicazione della data, anche presunta, della violazione e del momento in cui se ne è avuta conoscenza;

- Indicazione del luogo in cui è avvenuta la violazione dei dati, specificando altresì se essa sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili;

- Sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione.

8. RISERVATEZZA. Il Responsabile del trattamento si impegna a mantenere strettamente riservate e confidenziali e ad usare solo per l’esecuzione delle obbligazioni previste del contratto, ogni informazione relativa all’altra Parte e/o agli interessati al trattamento dei dati personali e/o ai prodotti, servizi, organizzazione, strategia commerciale o tecnica ricevute dall’altra Parte o di cui

vengano a conoscenza in occasione dell’esecuzione del contratto legato al Servizio (nel seguito denominate “Informazioni Riservate”). Il Responsabile si impegna a non utilizzare le Informazioni Riservate al di fuori degli scopi previsti dal presente accordo, né a rivelarle a soggetti non previsti dallo stesso, senza l’approvazione scritta del Titolare. Il Responsabile adotterà ogni misura necessaria a non divulgare o rendere in alcun modo disponibili le Informazioni Riservate del Titolare e/o degli interessati a terzi e sarà comunque ritenuto direttamente responsabile nei confronti del Titolare di ogni violazione da parte dei propri dipendenti e/o subfornitori degli obblighi di riservatezza di cui al presente articolo. Le disposizioni del presente articolo non si applicano o cesseranno di applicarsi a quelle singole informazioni che il Responsabile possa dimostrare: (i) essere già divenute di pubblico dominio per ragioni diverse dall’inadempimento del Responsabile stesso; (ii) essere già note prima di averle ricevute dal Titolare; (iii) essere comunicate o divulgate in ottemperanza ad un ordine legittimo di qualsiasi autorità o in forza di un obbligo di legge. Le Informazioni Riservate rivelate rimangono di proprietà del Titolare. A seguito di richiesta scritta dello stesso Titolare tali informazioni devono essere restituite o distrutte dal Responsabile.

9. MODIFICHE ED INTEGRAZIONI. Le Parti hanno la facoltà di apportare al presente accordo, in qualsiasi momento, le modifiche e gli adeguamenti che dovessero rendersi necessari, anche per conformarsi ad eventuali aggiornamenti normativi. Di ogni richiesta di modifica verrà data comunicazione al Responsabile a mezzo di raccomandata a/r o posta elettronica certificata. A seguito della suddetta richiesta di modifica, il Responsabile avrà 60 giorni per recedere dall’accordo. Trascorso tale termine, le variazioni si riterranno accettate dal Responsabile del trattamento. Per quanto non espressamente previsto nel presente accordo, si rinvia alle disposizioni generali vigenti in materia di protezione di dati personali.

10. LEGGI APPLICABILI. In caso di controversie concernenti la validità, l’interpretazione, l’esecuzione e la risoluzione del presente Addendum, le Parti si impegnano a cercare tra loro un equo e bonario componimento. Qualora la controversia non sia risolta bonariamente, la stessa deve ritenersi di competenza esclusiva dell'Autorità Giudiziaria del foro di Roma. Per la risoluzione di ogni controversia concernente la validità, l’interpretazione, l’esecuzione e la risoluzione del presente accordo sarà applicata la Legge Italiana.

Resta inteso che la presente nomina non comporta alcun diritto del Fornitore ad uno specifico compenso e/o indennità e/o rimborso derivante dalla nomina medesima, oltre quanto già previsto dai termini e condizioni.

Ultima modifica 26.07.2021