Translations proofread by EDPB Members. This language version has not yet been proofread.
Pagina 1 di 19
Translations proofread by EDPB Members.
This language version has not yet been proofread.
Clausole contrattuali tipo
Ai fini dell’articolo 28, paragrafo 3, del regolamento 2016/679 (RGPD) tra
[PAESE]
"[CODICE PISTALE E CITTÀ]"
"[IDENTIFICATIVO CVR]"
[NOME] CVR [INDIRIZZO]
(il titolare del trattamento) e
[PAESE]
"[CODICE PISTALE E CITTÀ]"
"[IDENTIFICATIVO CVR]"
[NOME] CVR [INDIRIZZO]
(il responsabile del trattamento)
Di seguito indicati singolarmente come «la parte» e congiuntamente come «le parti»
SONO STATE CONVENUTE le seguenti clausole contrattuali (le Clausole) al fine di soddi- sfare i requisiti del RGPD e garantire la tutela dei diritti dell’interessato.
1. Indice
2. Preambolo 3
3. Diritti e obblighi del titolare del trattamento 3
4. Il responsabile del trattamento agisce secondo le istruzioni 4
5. Riservatezza 4
6. Sicurezza del trattamento 4
7. Impiego di sub-responsabili del trattamento 5
8. Trasferimento di dati a paesi terzi o organizzazioni internazionali 7
9. Assistenza al titolare del trattamento 7
10. Notifica di violazione dei dati personali 8
11. Cancellazione e restituzione dei dati 9
12. Attività di revisione e ispezione 9
13. Accordo delle parti su altri termini 10
14. Inizio e cessazione 10
15. Contatti/punti di contatto del titolare e del responsabile del trattamento 10
Appendice A Informazioni sul trattamento 12
Appendice B Sub-responsabili del trattamento autorizzati 13
Appendice C Istruzioni relative all’uso dei dati personali 14
Appendice D Termini dell’accordo delle parti su altri argomenti 19
Pagina 2 di 19
2. Preambolo
1. Le presenti clausole contrattuali (le Clausole) stabiliscono i diritti e gli obblighi del titolare del trattamento e del responsabile del trattamento, qualora quest’ultimo effet- tui il trattamento dei dati personali per conto del titolare del trattamento.
2. Le Clausole sono state concepite per garantire che le parti rispettino l’articolo 28, pa- ragrafo 3, del regolamento 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al tratta- mento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
Pagina 3 di 19
3. Nel contesto della fornitura di [NOME DEL SERVIZIO], il responsabile del trattamento tratterà i dati personali per conto del titolare del trattamento in conformità alle Clau- sole.
4. Le Clausole hanno priorità rispetto a qualunque disposizione simile contenuta in altri accordi tra le parti.
5. Le Clausole comprendono quattro appendici, che ne costituiscono parte integrante.
6. L’appendice A contiene dettagli sul trattamento dei dati personali, tra cui la finalità e la natura del trattamento, il tipo di dati personali, le categorie di interessati e la durata del trattamento.
7. L’appendice B riporta le condizioni stabilite dal titolare del trattamento in base alle quali il responsabile del trattamento si avvale di sub-responsabili del trattamento e un elenco di sub-responsabili del trattamento autorizzati dal titolare del trattamento.
8. L’appendice C comprende le istruzioni del titolare del trattamento relativamente al trattamento dei dati personali, alle misure minime di sicurezza che il responsabile del trattamento deve attuare e alle modalità in cui vanno effettuate le attività di revisione del responsabile e di qualsiasi sub-responsabile del trattamento.
9. L’appendice D include le disposizioni per le altre attività che non sono contemplate dalle Clausole.
10. Ambo le parti conservano per iscritto ed elettronicamente le Clausole e relative ap- pendici.
11. Le Clausole non esentano il responsabile del trattamento dagli obblighi cui è soggetto ai sensi del regolamento generale sulla protezione dei dati (RGPD) o di altra norma- tiva.
3. Diritti e obblighi del titolare del trattamento
1. Il titolare del trattamento è responsabile di garantire che il trattamento dei dati perso- nali sia effettuato conformemente al RGPD (cfr. articolo 24, RGPD), alle disposizioni applicabili relative alla protezione dei dati dell’UE o degli Stati membri1 e alle Clausole.
1 Nelle clausole, il termine «Stati membri» si riferisce agli «Stati membri del SEE».
Pagina 4 di 19
2. Il titolare del trattamento ha il diritto e l’obbligo di prendere decisioni sulle finalità e sui mezzi del trattamento dei dati personali.
3. Spetta al titolare del trattamento, tra l’altro, di assicurare che il trattamento dei dati personali del quale è incaricato il responsabile del trattamento abbia una base giuri- dica.
4. Il responsabile del trattamento agisce secondo le istruzioni
1. Il responsabile del trattamento effettua il trattamento dei dati personali soltanto su istruzione documentata del titolare del trattamento, salvo ove richiesto dal diritto dell’Unione o dal diritto nazionale dello stato membro cui è soggetto il responsabile del trattamento. Tali istruzioni devono essere specificate nelle appendici A e C. Il tito- lare del trattamento può impartire istruzioni successive durante il periodo di tratta- mento dei dati personali, ma queste devono essere sempre documentate e conser- vate per iscritto, anche elettronicamente, unitamente alle Clausole.
2. Il responsabile del trattamento è tenuto a informare tempestivamente il titolare del trattamento se ritiene che le istruzioni impartite da quest’ultimo violino il RGPD o le disposizioni applicabili relative alla protezione dei dati dell’UE o degli Stati membri.
QUESTO ASPETTO IN UN ACCORDO TRA LE PARTI]
[NOTA: LE PARTI DOVREBBERO PREVEDERE E CONSIDERARE LE CONSE- QUENZE CHE POTREBBERO DERIVARE DA ISTRUZIONI POTENZIALMENTE IL-
LEGITTIME IMPARTITE DAL TITOLARE DEL TRATTAMENTO E DISCIPLINARE
5. Riservatezza
1. Il responsabile del trattamento concede l’accesso ai dati personali trattati per conto del titolare del trattamento soltanto alle persone sotto la propria autorità che si sono impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza ed esclusivamente nei casi di effettiva necessità. L’elenco delle persone a cui è stato concesso l’accesso deve essere sottoposto a revisione periodica. Sulla base di tale revisione, l’accesso ai dati personali può essere revocato se non è più necessario e, di conseguenza, i dati personali non dovranno più essere accessibili a queste per- sone.
2. Il responsabile del trattamento, su richiesta del titolare del trattamento, è tenuto a dimostrare che le persone interessate sotto la sua autorità sono soggette alla succi- tata riservatezza.
6. Sicurezza del trattamento
1. L’articolo 32, RGPD, prevede che tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del tratta- mento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Il titolare del trattamento deve valutare i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attua misure per attenuare tali rischi. A seconda della loro pertinenza, le misure possono comprendere quanto segue:
a. la pseudonimizzazione e la cifratura dei dati personali;
b. la capacità di assicurare su base permanente la riservatezza, l’integrità, la dispo- nibilità e la resilienza dei sistemi e dei servizi di trattamento;
c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati per- sonali in caso di incidente fisico o tecnico;
d. una procedura per testare, verificare e valutare regolarmente l’efficacia delle mi- sure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
2. Ai sensi dell’articolo 32, RGPD, il responsabile del trattamento valuta anche, indipen- dentemente dal titolare del trattamento, i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attua misure per attenuare tali rischi. A tal fine, il tito- lare del trattamento fornisce al responsabile del trattamento tutte le informazioni ne- cessarie per identificare e valutare tali rischi.
3. Inoltre, il responsabile del trattamento assiste il titolare del trattamento nel garantire il rispetto degli obblighi imposti a quest’ultimo ai sensi dell’articolo 32, RGPD, fornen- dogli, tra l’altro, le informazioni riguardanti le misure tecniche e organizzative da questi già attuate ai sensi dell’articolo 32 medesimo, unitamente a tutte le altre informazioni necessarie al titolare del trattamento per conformarsi agli obblighi a lui imposti a norma del predetto articolo 32.
Laddove successivamente, secondo la valutazione del titolare del trattamento, il re- sponsabile del trattamento sia tenuto ad attuare ulteriori misure per attenuare i rischi identificati oltre a quelle già attuate ai sensi dell’articolo 32, RGPD, il titolare del trat- tamento deve specificare tali misure aggiuntive da adottare nell’appendice C.
7. Impiego di sub-responsabili del trattamento
1. Al fine di poter incaricare un altro responsabile del trattamento (un sub-responsabile), il responsabile del trattamento deve soddisfare i requisiti di cui all’articolo 28, paragrafi 2 e 4, RGPD.
[SCELTA 1] autorizzazione specifica scritta
2. Il responsabile del trattamento non può, pertanto, incaricare un altro responsabile del trattamento (sub-responsabile) per l’adempimento delle Clausole senza la previa
/ [SCELTA 2] autorizzazione generale
Pagina 5 di 19
scritta del titolare del trattamento.
3. [OPZIONE 1 PREVIA AUTORIZZAZIONE SPECIFICA] Il responsabile del tratta- mento incarica i sub-responsabili del trattamento esclusivamente con la previa auto- rizzazione specifica del titolare del trattamento. Il responsabile del trattamento inoltra la richiesta di autorizzazione specifica almeno [SPECIFICARE IL TERMINE] prima del conferimento dell’incarico al sub-responsabile del trattamento interessato. L’elenco dei sub-responsabili del trattamento già autorizzati dal titolare del tratta- mento è consultabile nell’appendice B.
[OPZIONE 2 AUTORIZZAZIONE GENERALE SCRITTA] Il responsabile del tratta- mento ha l’autorizzazione generale del titolare del trattamento ai fini del conferimento di un incarico a sub-responsabili del trattamento. Il responsabile del trattamento in- forma per iscritto il titolare del trattamento in merito a eventuali variazioni in termini di aggiunta o sostituzione di sub-responsabili del trattamento almeno [SPECIFICARE UN TERMINE] prima, garantendo in tal modo al titolare del trattamento la possibilità di opporsi a tali variazioni prima del conferimento dell’incarico ai sub-responsabili in- teressati. Per specifici servizi affidati a sub-responsabili del trattamento possono es- sere previsti, nell’appendice B, termini di preavviso più lunghi. L’elenco dei sub-re- sponsabili del trattamento già autorizzati dal titolare del trattamento è consultabile nell’appendice B.
4. Quando un responsabile del trattamento ricorre a un sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del tratta- mento, su tale sub-responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione europea o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nelle Clausole, preve- dendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organiz- zative adeguate in modo tale che il trattamento soddisfi i requisiti delle Clausole e del RGPD.
Spetta quindi al responsabile del trattamento esigere che il sub-responsabile del trat- tamento adempia almeno agli obblighi cui è soggetto il responsabile stesso secondo le Clausole e il RGPD.
5. Una copia di tale accordo relativo al sub-responsabile del trattamento e ogni succes- siva modifica dello stesso è inviata al titolare del trattamento su sua richiesta, così da permettergli di garantire che al sub-responsabile del trattamento siano imposti gli stessi obblighi in materia di protezione dei dati contenuti nelle Clausole . Le clausole commerciali che non pregiudicano i contenuti giuridici in materia di protezione dei dati di cui all’accordo relativo al sub-responsabile del trattamento non necessitano di es- sere trasmesse al titolare del trattamento.
6. Il responsabile del trattamento concorda una clausola del terzo beneficiario con il sub- responsabile del trattamento, per cui, in caso di bancarotta del primo, il titolare del trattamento è un terzo beneficiario dell’accordo relativo al sub-responsabile del trat- tamento e ha il diritto di far valere l’accordo nei confronti di tale sub-responsabile , ad es. consentendo al titolare del trattamento di richiedere al sub-responsabile del trat- tamento di cancellare o restituire i dati personali.
7. Qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile del trattamento conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi di tale sub-responsabile del trattamento. Ciò non pregiudica i diritti degli interessati ai sensi del RGPD (in particolare quelli previsti negli articoli 79 e 82, RGPD) nei confronti del titolare del trattamento e del responsabile del trattamento, incluso il sub-respon- sabile.
Pagina 6 di 19
8. Trasferimento di dati a paesi terzi o organizzazioni internazionali
1. Qualsiasi trasferimento di dati personali verso paesi terzi o organizzazioni internazio- nali avviene soltanto sulla base di istruzioni documentate del titolare del trattamento e ha luogo sempre in conformità con il capo V del RGPD.
2. Qualora trasferimenti di dati a paesi terzi o organizzazioni internazionali, per i quali il titolare del trattamento non ha fornito istruzioni al responsabile del trattamento, siano richiesti dal diritto dell’UE o dello Stato membro cui è soggetto il responsabile del trattamento, quest’ultimo informa il titolare di tale obbligo giuridico prima del tratta- mento, a meno che il diritto dell’UE o dello Stato membro vieti tale informazione per rilevanti motivi di interesse pubblico.
3. Nel quadro delle Clausole, il responsabile del trattamento, se non dispone di istruzioni documentate da parte del titolare del trattamento, non può quindi:
a. trasferire dati personali a un titolare del trattamento o a un responsabile del trattamento in un paese terzo o in un’organizzazione internazionale;
b. trasferire il trattamento dei dati personali a un sub-responsabile del tratta- mento in un paese terzo;
Pagina 7 di 19
c. far trattare i dati personali dal responsabile del trattamento in un paese terzo.
4. Le istruzioni del titolare del trattamento relative al trasferimento di dati personali verso un paese terzo incluso, ove applicabile, lo strumento di trasferimento di cui al capo V del RGPD su cui tali istruzioni sono basate, sono descritte nell’appendice C.6.
5. Le Clausole non vanno confuse con le clausole tipo di protezione dei dati ai sensi dell’articolo 46, paragrafo 2, lettere c) e d), RGPD, e non possono essere invocate quale strumento di trasferimento di cui al capo V del RGPD.
9. Assistenza al titolare del trattamento
1. Tenendo conto della natura del trattamento, il responsabile del trattamento assiste il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare gli obblighi del titolare di dare seguito alle richieste di esercizio dei diritti dell’interessato di cui al capo III del RGPD.
Ciò significa che il responsabile del trattamento, nella misura in cui ciò sia possibile, deve assistere il titolare del trattamento a ottemperare a quanto segue:
a. diritto di essere informato all’atto della raccolta dei dati personali presso l’in- teressato;
b. diritto di essere informato quando i dati non sono stati raccolti presso l’inte- ressato;
c. diritto di accesso dell’interessato;
d. diritto di rettifica;
e. diritto alla cancellazione («diritto all’oblio»);
f. diritto di limitazione di trattamento;
g. obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limi- tazione del trattamento;
h. diritto alla portabilità dei dati;
i. diritto di opposizione;
j. diritto di non essere sottoposto a una decisione basata unicamente sul trat- tamento automatizzato, compresa la profilazione.
2. Il responsabile del trattamento, oltre all’obbligo di assistere il titolare del trattamento secondo quanto previsto dalla clausola 6.4, tenendo conto della natura del tratta- mento e delle informazioni a sua disposizione, assiste il titolare del trattamento nel garantire la conformità a quanto segue:
a. l’obbligo del titolare del trattamento di notificare la violazione dei dati perso- nali all’autorità di controllo competente [INDICARE L’AUTORITÀ DI CON- TROLLO COMPETENTE] senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia impro- babile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
b. l’obbligo del titolare del trattamento di comunicare la violazione dei dati per- sonali all’interessato senza ingiustificato ritardo, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
c. l’obbligo del titolare del trattamento di effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali (una valutazione d’impatto sulla protezione dei dati);
d. l’obbligo del titolare del trattamento di consultare l’autorità di controllo com- petente, [INDICARE L’AUTORITÀ DI CONTROLLO COMPETENTE], prima del trattamento laddove una valutazione di impatto sulla protezione dei dati indichi che il trattamento comporterebbe un alto rischio in assenza di misure adottate dal titolare del trattamento per mitigare il rischio.
3. Le parti definiscono nell’appendice C le misure tecniche e organizzative adeguate con le quali il responsabile del trattamento deve assistere il titolare del trattamento nonché l’ambito di applicazione e la misura dell’assistenza richiesta. Ciò si applica agli obbli- ghi previsti nelle clausole 9.1 e 9.2.
10. Notifica di violazione dei dati personali
1. In caso di violazione dei dati personali, il responsabile del trattamento ne dà notifica al titolare del trattamento senza ingiustificato ritardo dal momento in cui ne è venuto a conoscenza.
2. La notifica del responsabile del trattamento al titolare del trattamento avviene, se pos- sibile, entro [NUMERO DI ORE] dal momento in cui è venuto a conoscenza della violazione dei dati personali per permettere al titolare del trattamento di rispettare il suo obbligo di notifica della violazione stessa all’autorità di controllo competente, cfr. articolo 33, RGPD.
3. Ai sensi della clausola 9.2.a., il responsabile del trattamento assiste il titolare del trat- tamento nel notificare la violazione dei dati personali all’autorità di controllo compe-
Pagina 8 di 19
tente, il che significa che egli è tenuto ad assisterlo nel reperire le informazioni elen- cate nel prosieguo, le quali sono riportate nella notifica del titolare del trattamento all’autorità di controllo competente ai sensi dell’articolo 33, paragrafo 3, RGPD:
a. la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati dalla violazione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b. le probabili conseguenze della violazione dei dati personali;
c. le misure adottate o di cui si propone l’adozione da parte del titolare del trat- tamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
4. Le parti stabiliscono nell’appendice D tutti gli elementi che il responsabile del tratta- mento fornisce quando assiste il titolare del trattamento nella notifica di una violazione dei dati personali all’autorità di controllo competente.
11. Cancellazione e restituzione dei dati
cancellare le copie esistenti
[OPZIONE 2] restituire tutti i dati personali al titolare del trattamento e
/
struzione
trattati per conto del titolare del trattamento, certificando a quest’ultimo l’avvenuta di-
[OPZIONE 1] cancellare tutti i dati personali
1. Al termine della prestazione dei servizi relativi al trattamento dei dati personali, il re- sponsabile del trattamento ha l’obbligo di
Pagina 9 di 19
, salvo che il diritto dell’Unione o degli Stati membri pre- veda la conservazione dei dati.
2. [FACOLTATIVO] La seguente legislazione dell’UE o nazionale applicabile al respon- sabile del trattamento richiede la conservazione dei dati personali dopo il termine della prestazione dei servizi relativi al trattamento dei dati personali,
a. […]
Il responsabile del trattamento s’impegna a trattare i dati personali esclusivamente per le finalità e il periodo previsti dalla suddetta legislazione e nel rispetto rigoroso delle condizioni applicabili.
12. Attività di revisione e ispezione
1. Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 e alle Clausole e consente e contribuisce alle attività di revisione, comprese le ispe- zioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.
2. Le procedure applicabili alle attività di revisione, incluse le ispezioni, del responsabile e del sub-responsabile del trattamento ad opera del titolare del trattamento sono spe- cificate nelle appendici C.7 e C.8.
3. Il responsabile del trattamento è tenuto a fornire alle autorità di controllo, le quali ai sensi della normativa vigente hanno accesso alle strutture del responsabile e del tito- lare del trattamento, o ai rappresentanti che agiscono per conto di tali autorità, l’ac- cesso alle strutture fisiche del responsabile del trattamento previa presentazione di documentazione atta a identificarli come tali.
13. Accordo delle parti su altri termini
1. Le parti possono concordare altre clausole riguardanti la prestazione del servizio re- lativo al trattamento dei dati personali specificando ad es. la responsabilità, purché esse non siano incompatibili, direttamente o indirettamente, con le Clausole o ledano i diritti o le libertà fondamentali dell’interessato e la protezione prevista dal RGPD.
14. Inizio e risoluzione
1. Le Clausole sono efficaci dalla data della firma a opera di entrambe le parti.
2. Le parti hanno il diritto di richiedere la rinegoziazione delle Clausole laddove una mo- difica alla legge o l’inadeguatezza delle Clausole dovessero dare luogo a tale rinego- ziazione.
3. Le Clausole sono valide per la durata della prestazione dei servizi relativi al tratta- mento dei dati personali. Per la durata della prestazione dei servizi relativi al tratta- mento dei dati personali le Clausole non possono essere risolte, a meno che le parti abbiano concordato altre Clausole che disciplinino tale prestazione.
4. Se la prestazione dei servizi relativi al trattamento dei dati personali cessa e i dati personali sono cancellati o restituiti al titolare del trattamento ai sensi della clausola
11.1 e dell’appendice C.4., le Clausole possono essere risolte per iniziativa di una delle due parti con preavviso scritto.
5. Firma
Per il titolare del trattamento
Pagina 10 di 19
(FIRMA
[DATA]
[QUALIFICA]
[NOME]
Nome Qualifica Data
Firma )
Per il responsabile del trattamento
(FIRMA
[DATA]
[QUALIFICA]
[NOME]
Nome Qualifica Data
Firma )
15. Contatti/punti di contatto del titolare e del responsabile del trattamento
1. Le parti possono mettersi in contatto tra di loro utilizzando i seguenti contatti/punti di contatto:
2. Le parti sono tenute a informarsi costantemente di ogni modifica riguardante i con- tatti/punti di contatto.
Nome Qualifica Telefono E-mail
Pagina 11 di 19
[E-MAIL]
[POSIZIONE] [TELEFONO]
[NOME]
[E-MAIL]
[POSIZIONE]
[TELEFONO]
[NOME]
Nome Qualifica Telefono E-mail
Appendice AInformazioni sul trattamento
Pagina 12 di 19
ESSERE COMPLETATI PER CIASCUNA DI ESSE.]
[NOTA: IN CASO DI PLURIME ATTIVITÀ DI TRATTAMENTO, QUESTI ELEMENTI DEVONO
A.1. La finalità del trattamento dei dati personali da parte del responsabile del tratta- mento per conto del titolare del trattamento è:
[DESCRIVERE LA FINALITÀ DEL TRATTAMENTO].
A.2. Il trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento si riferisce principalmente a (la natura del trattamento):
[DESCRIVERE LA NATURA DEL TRATTAMENTO].
A.3. Il trattamento comprende le seguenti tipologie di dati personali sugli interessati:
[DESCRIVERE LE TIPOLOLGIE DI DATI PERSONALI TRATTATI].
[AD ESEMPIO]
«Nome, indirizzo di posta elettronica, numero di telefono, numero di identificazione nazionale, dettagli di pagamento, numero di tessera, tipo di affiliazione, presenze presso il centro fitness e registrazione a specifici corsi di fitness».
[NOTA: QUESTA DESCRIZIONE DOVREBBE ESSERE IL PIÙ DETTAGLIATA POSSIBILE E, IN OGNI CASO, L’INDICAZIONE DELLE TIPOLOGIE DI DATI PERSONALI DEVE ES- SERE ULTERIORE RISPETTO AL SEMPLICE RINVIO A «DATI PERSONALI DEFINITI NELL’ARTICOLO 4, PARAGRAFO 1, DEL RGPD» OPPURE ALL’INDICAZIONE DELLE CA-
TEGORIE (“ARTICOLI 6, 9 O 10 DEL RGPD”) DI DATI PERSONALI OGGETTO DI TRATTA-
MENTO.]
A.4. Il trattamento comprende le seguenti categorie di interessati:
[DESCRIVERE LA CATEGORIA DI INTERESSATI].
A.5. Il trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento può essere effettuato dalla data di entrata in vigore delle Clausole. Il trattamento ha la seguente durata:
[DESCRIVERE LA DURATA DEL TRATTAMENTO].
Appendice BSub-responsabili del trattamento autorizzati
B.1. Sub-responsabili del trattamento approvati
Dalla data di applicazione delle Clausole, il titolare del trattamento autorizza il conferimento dell’incarico ai seguenti sub-responsabili del trattamento:
NOME | CVR | INDIRIZZO | DESCRIZIONE DEL TRATTAMENTO |
Il titolare del trattamento, dalla data di applicazione delle Clausole, autorizza l’utilizzo dei sum- menzionati sub-responsabili con riguardo al trattamento rispettivamente descritto. In assenza della previa esplicita autorizzazione scritta del titolare del trattamento, il responsabile del trat- tamento non ha il diritto di incaricare un sub-responsabile di effettuare un trattamento “diverso” rispetto a quello concordato né di richiedere a un altro sub-responsabile di effettuare il tratta- mento descritto.
B.2. Preavviso per l’autorizzazione a ricorrere a sub-responsabili del trattamento
Pagina 13 di 19
[FACOLTATIVO] [SE APPLICABILE, DESCRIVERE I TERMINI DI PREAVVISO PER L’AU-
TORIZZAZIONE A RICORRERE A SUB-RESPONSABILI DEL TRATTAMENTO]
Appendice CIstruzioni relative all’uso dei dati personali
C.1. Oggetto del/istruzioni per il trattamento
Il trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento è effettuato dal responsabile del trattamento che svolge quanto segue:
Pagina 14 di 19
INCARICATO DI ESEGUIRE].
[DESCRIVERE IL TRATTAMENTO CHE IL RESPONSABILE DEL TRATTAMENTO È STATO
C.2. Sicurezza del trattamento
Il livello di sicurezza tiene conto di quanto segue:
SONO ESSENZIALI PER IL LIVELLO DI SICUREZZA]
[TENUTO CONTO DELLA NATURA, DELL’AMBITO DI APPLICAZIONE, DEL CONTESTO E DELLE FINALITÀ DELL’ATTIVITÀ DI TRATTAMENTO NONCHÉ DEL RISCHIO PER I DI-
RITTI E LE LIBERTÀ DELLE PERSONE FISICHE, DESCRIVERE GLI ELEMENTI CHE
[AD ESEMPIO]
«del fatto che il trattamento prevede un grande volume di dati personali disciplinati dall’articolo 9, RGPD, sulle categorie particolari di dati personali, cosicché si dovrebbe stabilire un alto livello di sicurezza».
Il responsabile del trattamento ha conseguentemente il diritto e l’obbligo di prendere decisioni sulle misure di sicurezza tecniche e organizzative che dovranno essere applicate per creare il livello necessario (e concordato) di sicurezza dei dati.
Tuttavia, il responsabile del trattamento è tenuto ad attuare quantomeno e in ogni caso le seguenti misure concordate con il titolare del trattamento:
[DESCRIVERE I REQUISITI PER LA PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI]
[DESCRIVERE I REQUISITI PER ASSICURARE SU BASE PERMANENTE LA RISERVA-
TEZZA, L’INTEGRITÀ, LA DISPONIBILITÀ E LA RESILIENZA DEI SISTEMI E DEI SERVIZI
DI TRATTAMENTO]
[DESCRIVERE I REQUISITI PER LA CAPACITÀ DI RIPRISTINARE TEMPESTIVAMENTE LA DISPONIBILITÀ E L’ACCESSO DEI DATI PERSONALI IN CASO DI INCIDENTE FISICO
O TECNICO]
[DESCRIVERE I REQUISITI PER LE PROCEDURE PER TESTARE, VERIFICARE E VALU- TARE REGOLARMENTE L’EFFICACIA DELLE MISURE TECNICHE E ORGANIZZATIVE AL
FINE DI GARANTIRE LA SICUREZZA DEL TRATTAMENTO]
[DESCRIVERE I REQUISITI PER L’ACCESSO AI DATI ONLINE]
[DESCRIVERE I REQUISITI PER LA PROTEZIONE DEI DATI DURANTE LA TRASMIS- SIONE]
ZIONE]
[DESCRIVERE I REQUISITI PER LA PROTEZIONE DEI DATI DURANTE LA CONSERVA-
Pagina 15 di 19
TATI I DATI PERSONALI]
[DESCRIVERE I REQUISITI PER LA SICUREZZA FISICA DEL LUOGO IN CUI SONO TRAT-
[DESCRIVERE I REQUISITI PER L’USO DEL TELELAVORO/LAVORO DA CASA]
[DESCRIVERE I REQUISITI PER IL LOG-IN]
C.3. Assistenza al titolare del trattamento
Il responsabile del trattamento, per quanto possibile, in conformità all’ambito e alla misura dell’assistenza specificati nel prosieguo, deve prestare assistenza al titolare del trattamento ai sensi delle Clausole 9.1 e 9.2, attuando le seguenti misure tecniche e organizzative:
[DESCRIVERE L’AMBITO DI APPLICAZIONE E LA MISURA DELL’ASSISTENZA CHE DEVE FORNIRE IL RESPONSABILE DEL TRATTAMENTO]
[DESCRIVERE LE SPECIFICHE MISURE TECNICHE E ORGANIZZATIVE CHE IL RESPON-
SABILE DEL TRATTAMENTO ADOTTA PER FORNIRE ASSISTENZA AL TITOLARE DEL
TRATTAMENTO]
C.4. Periodo di conservazione/procedure di cancellazione
[INDICARE IL PERIODO DI CONSERVAZIONE/PROCEDURE DI CANCELLAZIONE PER IL RESPONSABILE DEL TRATTAMENTO, SE APPLICABILE]
[AD ESEMPIO]
«I dati personali sono conservati per [INDICARE IL TERMINE O L’INCIDENTE], dopo di che sono automaticamente cancellati dal responsabile del trattamento.
Al termine della prestazione dei servizi relativi al trattamento dei dati personali, il responsabile del trattamento cancella o restituisce i dati personali ai sensi della clausola 11.1, a meno che il titolare del trattamento abbia modificato, dopo la firma del contratto, la sua scelta iniziale. Tale modifica deve essere documentata e conservata per iscritto, anche elettronicamente, unitamente alle Clausole».
C.5. Luogo del trattamento
Il trattamento dei dati personali ai sensi delle Clausole non può essere effettuato in luoghi diversi da quelli che seguono, senza la previa autorizzazione scritta da parte del titolare del trattamento:
[INDICARE DOVE HA LUOGO IL TRATTAMENTO] [INDICARE IL RESPONSABILE O IL SUB-RESPONSABILE DEL TRATTAMENTO CHE USA L’INDIRIZZO]
C.6. Istruzioni sul trasferimento di dati personali verso paesi terzi
Pagina 16 di 19
UN PAESE TERZO O UN’ORGANIZZAZIONE INTERNAZIONALE]
[DESCRIVERE UN’ISTRUZIONE SUL TRASFERIMENTO DEI DATI PERSONALI VERSO
[INDICARE LA BASE GIURIDICA DEL TRASFERIMENTO DI CUI AL CAPO V DEL RGPD]
Se il titolare del trattamento non fornisce nelle Clausole o successivamente istruzioni docu- mentate riguardanti il trasferimento dei dati personali verso un paese terzo, il responsabile del trattamento non ha diritto di eseguire tale trasferimento nell’ambito delle Clausole.
C.7. Procedure per le attività di revisione da parte del titolare del trattamento, comprese le ispezioni, relativamente al trattamento di dati personali da parte del responsabile
[DESCRIVERE LE PROCEDURE PER LE ATTIVITÀ DI REVISIONE DA PARTE DEL TITO- LARE DEL TRATTAMENTO, COMPRESE LE ISPEZIONI, RELATIVAMENTE AL TRATTA-
MENTO DI DATI PERSONALI DA PARTE DEL RESPONSABILE ]
Ad esempio:
«Il responsabile del trattamento deve disporre [INDICARE IL TERMINE] a spese del [RE- SPONSABILE DEL TRATTAMENTO/TITOLARE DEL TRATTAMENTO] di una [RELAZIONE
DI REVISIONE/RELAZIONE DI ISPEZIONE] effettuata da un terzo indipendente riguardante la conformità del responsabile stesso al RGPD, a disposizioni nazionali o dell’Unione applica- bili relative alla protezione dei dati e alle Clausole.
Le parti hanno concordato che le seguenti tipologie di [RELAZIONE DI REVISIONE/RELA- ZIONE DI ISPEZIONE] possono essere usate in ottemperanza alle Clausole:
[INDICARE LE RELAZIONI DI REVISIONE/RELAZIONI DI ISPEZIONE APPROVATE]
La [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] è trasmessa senza ingiustifi- cato ritardo al titolare del trattamento a titolo informativo. Il titolare del trattamento può conte- stare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova revisione/ispezione con un ambito modificato e/o una diversa metodologia.
Sulla base dei risultati ottenuti da tale attività di revisione/ispezione, il titolare del trattamento può richiedere l’adozione di ulteriori misure per garantire la conformità al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Al titolare del trattamento o a un suo rappresentante è inoltre consentito l’accesso per ispezio- nare, anche fisicamente, i luoghi in cui è effettuato il trattamento dei dati personali a opera del responsabile del trattamento, compresi le strutture fisiche e i sistemi utilizzati e collegati al trattamento. Tale ispezione è effettuata quando il titolare del trattamento lo ritiene necessario».
[OPPURE]
«Il titolare del trattamento o un suo rappresentante effettua [INDICARE IL TERMINE] un’ispe- zione fisica dei luoghi in cui è svolto il trattamento dei dati personali a opera del responsabile del trattamento, compresi le strutture fisiche e i sistemi utilizzati e collegati al trattamento, al fine di accertare la conformità del responsabile del trattamento al RGPD, a disposizioni nazio- nali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Oltre all’ispezione pianificata, il titolare del trattamento può effettuare un’ispezione nei confronti del responsabile del trattamento quando lo ritiene necessario»
Pagina 17 di 19
[E, SE APPLICABILE]
«I costi, se del caso, sostenuti dal titolare del trattamento per l’ispezione fisica restano a carico di quest’ultimo. Tuttavia, il responsabile del trattamento ha l’obbligo di destinare le risorse (so- prattutto in termini di tempo) necessarie affinché il titolare del trattamento possa effettuare l’ispezione.»
C.8. [SE APPLICABILE] Procedure per le attività di revisione, comprese le ispezioni, del trattamento di dati personali svolto da sub-responsabili
[SE APPLICABILE, DESCRIVERE LE PROCEDURE PER LE ATTIVITÀ DI REVISIONE DA PARTE DEL TITOLARE DI TRATTAMENTO, COMPRESE LE ISPEZIONI, RELATIVAMENTE
ALTRATTAMENTO DI DATI PERSONALI SVOLTO DAL SUB-RESPONSABILE ]
[AD ESEMPIO]
«Il responsabile del trattamento deve disporre [INDICARE IL TERMINE] a spese del [RE- SPONSABILE DEL TRATTAMENTO/TITOLARE DEL TRATTAMENTO] di una [RELAZIONE
DI REVISIONE/RELAZIONE DI ISPEZIONE] effettuata da un terzo indipendente riguardante la conformità del sub-responsabile del trattamento al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Le parti hanno concordato che le seguenti tipologie di [RELAZIONE DI REVISIONE/RELA- ZIONE DI ISPEZIONE] possono essere usate in ottemperanza alle Clausole:
[INDICARE LE RELAZIONI DI REVISIONE/RELAZIONI DI ISPEZIONE APPROVATE]
La [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] è trasmessa senza ingiustifi- cato ritardo al titolare del trattamento a titolo informativo. Il titolare del trattamento può conte- stare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova revisione/ispezione con un ambito modificato e/o una diversa metodologia.
Sulla base dei risultati ottenuti da tale attività di revisione/ispezione, il titolare del trattamento può richiedere l’adozione di ulteriori misure per garantire la conformità al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Al responsabile del trattamento o a un suo rappresentante è inoltre consentito l’accesso per ispezionare, anche fisicamente, i luoghi in cui è effettuato il trattamento dei dati personali a opera del sub-responsabile del trattamento, compresi le strutture fisiche e i sistemi utilizzati e collegati al trattamento. Tale ispezione è effettuata quando il responsabile del trattamento (o il titolare del trattamento) lo ritengono necessario.
La documentazione di tali ispezioni è trasmessa tempestivamente al titolare del trattamento a titolo informativo. Il titolare del trattamento può contestare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova ispezione con un ambito modificato e/o una diversa metodologia ».
[OPPURE]
«Il responsabile del trattamento o un suo rappresentante effettua [INDICARE IL TERMINE] un’ispezione fisica dei luoghi in cui è svolto il trattamento dei dati personali a opera del sub- responsabile del trattamento, compresi le strutture fisiche e i sistemi utilizzati e collegati al trattamento, al fine di accertare la conformità del sub-responsabile del trattamento al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Oltre all’ispezione pianificata, il responsabile del trattamento può effettuare un’ispezione nei confronti del sub-responsabile del trattamento, quando questi (o il titolare del trattamento) lo ritengono necessario»
La documentazione di tali ispezioni è trasmessa senza ingiustificato ritardo al titolare del trat- tamento a titolo informativo. Il titolare del trattamento può contestare l’ambito e/o la metodolo- gia applicati alla relazione e richiedere in questi casi una nuova ispezione con un ambito mo- dificato e/o una diversa metodologia.
Sulla base dei risultati ottenuti da tale ispezione, il titolare del trattamento può richiedere l’ado- zione di ulteriori misure per garantire la conformità al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole».
Pagina 18 di 19
[E, SE APPLICABILE]
«Il titolare del trattamento può, se necessario, decidere di avviare e prendere parte a un’ispe- zione fisica del sub-responsabile del trattamento. Questo accade qualora il titolare del tratta- mento ritenga che la supervisione del responsabile del trattamento nei confronti del sub-re- sponsabile non abbia fornito al titolare stesso documenti sufficienti per stabilire che il tratta- mento svolto dal sub-responsabile è conforme alle presenti Clausole.
La partecipazione del titolare del trattamento a un’ispezione nei confronti del sub-responsabile lascia impregiudicata la piena responsabilità in capo al responsabile del trattamento per la conformità del sub-responsabile stesso al RGPD, a disposizioni nazionali o dell’Unione appli- cabili relative alla protezione dei dati e alle Clausole».
[E, SE APPLICABILE]
«I costi sostenuti dal responsabile e dal sub-responsabile del trattamento per la supervi- sione/ispezione fisica presso le strutture del sub-responsabile non riguardano il titolare del trattamento, a prescindere dal fatto che questi abbia avviato e preso parte a tale ispezione».
Appendice D Termini dell’accordo delle parti su altri aspetti
Pagina 19 di 19