Designazione del Responsabile del Trattamento - Data Protection Agreement

Addendum al contratto del …………….

Designazione del Responsabile del Trattamento - Data Protection Agreement

Ai sensi dell’art. 28 del Regolamento UE 2016/679

Tra

FONDIMPRESA – Fondo Paritetico Interprofessionale per la Formazione Continua, con sede in Xxxx, Xxx xxx Xxxxxxx x. 0/X, X.X. x. 97278470584, in persona del Direttore Generale Xxxxx Xxxxx, che agisce in virtù dei poteri conferitigli dal Consiglio di Amministrazione di Fondimpresa (in prosieguo anche denominata più semplicemente “Committente” o “Titolare del Trattamento”),

e

………………..., Partita IVA n. ………………….. e Codice Fiscale n. (in

prosieguo anche denominata più semplicemente l’“Operatore economico” o il “Responsabile del Trattamento”), in persona di ……………………. In qualità ,

di seguito indicate congiuntamente come le “Parti”,

premesso che:

- nell’esercizio della sua attività, Fondimpresa ha accesso e tratta i dati personali di diversi soggetti (gli “Interessati”);

- l’Operatore economico è attivo nel settore (…) [settore economico di operatività];

- l’adempimento delle attività oggetto di CIG A02E322474 (in prosieguo anche denominato più semplicemente il “Contratto”) comporta, tra l’altro, che l’Operatore economico tratti dati personali per conto del Committente ed è, quindi, soggetto alle previsioni del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – “GDPR”);

- Fondimpresa, quale Titolare del Trattamento, ha determinato le finalità e i mezzi delle attività di trattamento dei predetti dati personali (in prosieguo anche denominati più semplicemente i “Dati Personali del Committente”), come meglio descritti nel presente atto di designazione (anche di seguito l’“Atto”);

- l’art. 4.8) del GDPR definisce “Responsabile del Trattamento” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

- l’art. 28 del GDPR prevede che (i) qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell'interessato; (ii) i trattamenti da parte di un responsabile del trattamento siano disciplinati da un contratto o da altro atto giuridico ai sensi del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia

disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento;

- l’Operatore economico è risultato essere in possesso di idonei requisiti di esperienza, capacità tecnico-economica ed affidabilità e presenta garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate ai sensi delle previsioni del GDPR in materia di protezione dei dati personali e diritti degli interessati [come risulta altresì da (…) eventuali certificazioni del Responsabile];

- le Parti, pertanto, ai fini dell’avvio dell’affidamento e ai sensi dell’art. 28 del GDPR, intendono procedere, per mezzo del presente Atto, a definire le modalità con cui il Responsabile del Trattamento si impegna ad effettuare per conto del Titolare le operazioni di trattamento dei Dati Personali come di seguito definite.

Tutto ciò premesso, tra le Parti si conviene e stipula quanto segue Articolo 1 – Premesse

1.1.Le Premesse al presente Xxxx formano parte integrante ed essenziale dello stesso.

1.2. L’Atto forma parte integrante ed essenziale del Contratto ed ha valenza di impegno contrattuale tra le parti firmatarie. I termini utilizzati nell’Atto avranno il significato attribuito loro nell’Atto stesso. I termini con la lettera maiuscola non altrimenti definiti nell’Atto avranno il significato loro ascritto nel Contratto.

Articolo 2 – Definizioni

Nell’Atto i seguenti termini avranno il significato che segue:

“Data Breach”: una violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, secondo quanto previsto dall’art. 4 (12) del GDPR e il cui verificarsi comporta gli effetti e gli obblighi di cui agli artt. 33-34 del GDPR.

“Dati Personali del Committente”: i dati personali come definiti dal GDPR che formano oggetto delle attività di trattamento da parte del Responsabile del Trattamento per conto del Titolare del Trattamento, ai sensi del e in connessione all’esecuzione del Contratto.

“DPIA”: va inteso come Data Protection Impact Assessment, ovvero valutazione di impatto sulla protezione dei dati, come disciplinata dall’art. 35 del GDPR. Si tratta di una procedura finalizzata a descrivere le attività di trattamento di dati personali, valutarne necessità e proporzionalità e facilitare la gestione dei rischi che le stesse possono implicare per i diritti e le libertà delle persone fisiche (attraverso una valutazione di tali rischi e la individuazione delle misure idonee ad affrontarli).

“DPO” o “RPD”: si intende il Data Protection Officer o Responsabile della Protezione dei Dati, ai sensi dell’art. 37 del GDPR.

“GDPR”: il Regolamento Europeo n. 2016/679 sulla protezione dei dati personali.

“Servizi”: i servizi e le altre attività che dovranno essere eseguiti dall’Operatore economico o per suo conto a favore del Committente ai sensi del Contratto.

“Legge Applicabile”: è da intendere come qualsiasi disposizione normativa dell’Unione Europea o dello Stato membro alla cui legge Fondimpresa è soggetta, in materia di protezione dei Dati Personali, ivi

inclusi i provvedimenti adottati di tempo in tempo, in materia di protezione dei dati personali, dall’Autorità Garante Italiana per la Protezione dei Dati Personali e dall’European Data Protection Board (EDPB).

“Soggetto Collegato”: qualsiasi soggetto partecipato o controllato da una delle Parti, ovvero in cui una delle Parti detenga una partecipazione o su cui eserciti un controllo o che sia soggetto al comune controllo o partecipazione di una delle Parti, laddove la definizione di controllo dovrà intendersi quella di cui all’art. 2359 c.c.

“Sub-Responsabile”: ciascun soggetto (incluso qualsiasi terzo e qualsiasi Soggetto Collegato all’Operatore economico, ma esclusi i dipendenti dell’Operatore economico o dei suoi sub-contractor) delegato dall’Operatore economico a effettuare alcune operazioni di trattamento per conto del Committente in connessione con il Contratto.

I termini “Titolare”, “Responsabile”, “Interessato”, “Stato Membro”, “Dati Personali”, “Trattamento” e “Autorità Garante” avranno il significato loro ascritto nel GDPR e dovranno essere interpretati di conseguenza.

Articolo 3 – Oggetto delle prestazioni del Responsabile del Trattamento

3.1. Il Responsabile del Trattamento è autorizzato a trattare per conto del Titolare del Trattamento i Dati Personali necessari per fornire i Servizi.

3.2. I Dati Personali oggetto di trattamento sono (…) [Descrizione del tipo di dati personali trattati].

3.3. La natura delle operazioni realizzate sui dati personali è (…) [automatizzata e/o non automatizzata].

3.4. La finalità o le finalità del trattamento sono (…) [Descrizione della finalità del trattamento].

3.5. Le categorie di interessati sono (…) [Descrizione delle categorie di interessati].

Articolo 4 – Obblighi del Responsabile del Trattamento

Ai sensi dell’art. 28, comma terzo, del GDPR, l’Operatore economico quale Responsabile del Trattamento (così come chiunque svolga operazioni di trattamento sotto le sue istruzioni) sarà tenuto all’osservanza dei seguenti obblighi.

a) Rispetto della normativa. Attenersi scrupolosamente a e rispettare, nel trattamento dei Dati Personali, la Legge Applicabile.

b) Rispetto delle finalità. Trattare i Dati Personali esclusivamente per la finalità o le finalità specificate all’articolo 3 che precede e per l’esecuzione delle prestazioni dedotte nel Contratto, nonché conformemente alle istruzioni documentate in forma scritta da parte del Committente. Il Responsabile del Trattamento dovrà, quindi, astenersi dal fare uso dei Dati Personali per finalità diverse da quelle specificate dal Titolare del Trattamento. I Dati Personali trattati dal Responsabile del Trattamento rimarranno di proprietà del Committente e/o degli Interessati. Il Responsabile del Trattamento non dovrà assumere decisioni unilaterali concernenti le attività di trattamento per finalità diverse da quelle previste, ivi inclusa la decisione di comunicare tali dati a soggetti terzi e quella relativa ai tempi di conservazione dei Dati Personali del Committente.

c) Dovere di cooperazione. Informare immediatamente il Titolare (i) se ritenga che un’istruzione impartita dal Titolare del Trattamento comporti una violazione delle disposizioni del GDPR o, più in generale, della Legge Applicabile e (ii) dell’esistenza dell’obbligo giuridico di procedere ad un trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, a meno che la normativa vigente vieti tale informazione per rilevanti motivi di interesse pubblico.

d) Riservatezza. Garantire la riservatezza dei Dati Personali trattati e, in particolare, che (i) l’accesso ai Dati Personali sia limitato alle sole persone che hanno necessità di conoscere e/o accedere a tali dati per le finalità di cui al Contratto (i c.d. “Soggetti Autorizzati al Trattamento”) e (ii) i Soggetti Autorizzati al trattamento dei Dati Personali si siano previamente impegnati alla riservatezza o siano, comunque, assoggettati ad un adeguato obbligo legale di riservatezza e abbiano ricevuto un’adeguata formazione in materia di protezione dei dati personali.

e) Sicurezza. Tenuto conto dello stato delle conoscenze tecniche, dei costi di realizzazione e della natura, della finalità, del contesto e dello scopo del trattamento nonché dei diversi livelli di rischio (in termini di gravità e probabilità) che il trattamento comporta per i diritti e le libertà fondamentali degli Interessati, adottare le misure di sicurezza tecnica e organizzativa adeguate ad assicurare un livello di sicurezza appropriato rispetto al rischio di perdita, alterazione o illegittimo trattamento dei Dati Personali del Committente, ivi incluse, ove applicabili, le misure di cui all’art. 32 (1) del GDPR. Nel valutare il livello di sicurezza appropriato in relazione al rischio, l’Operatore economico dovrà tenere in considerazione in particolare i rischi implicati dalle specifiche attività di trattamento dallo stesso compiute, ivi inclusi i rischi implicati dalla Violazione dei Dati Personali. In ogni caso il Responsabile del Trattamento dovrà garantire almeno l’adozione di procedure e strumenti in grado di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità dei dati oggetto di trattamento nonché l’implementazione di una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Inoltre, in relazione alle attività oggetto del contratto di cui al presente Atto di designazione, l’Operatore economico si impegna a nominare individualmente - ai sensi del Provvedimento a carattere generale dell’Autorità Garante Privacy del 27 Novembre 2008 (G.U. N. 300 Del 24 dicembre 2008) così come modificato dal Provvedimento a carattere generale dell’Autorità Garante Privacy del 25 giugno 2009 (G.U. N. 149 Del 30 giugno 2009) - gli incaricati della Sua struttura che rivestono il ruolo di Amministratori del Sistema informativo per il Committente, ed a comunicare tale elenco al Committente stesso. La designazione quale Amministratore di Sistema deve essere individuale e recare l'elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato. Su richiesta, in qualsiasi momento, l’Operatore economico fornirà al titolare del trattamento l’elenco aggiornato degli Amministratori di Sistema e provvederà a verificare l’attività dei soggetti individuati, come indicato nel Provvedimento sopra richiamato. Resta inteso che è compito del Responsabile riportare in un documento interno da mantenere aggiornato e disponibile, in caso di accertamenti anche da parte del Garante, gli estremi identificativi delle persone fisiche Amministratori di Sistema interni alla propria struttura societaria che accedono ai sistemi del Titolare per i servizi di cui al contratto in essere con il Titolare, con l'elenco delle funzioni ad essi attribuite e, nel caso di concreto rischio di perdita delle rispettive competenze, procedere alla loro revoca. Inoltre, ai sensi del citato Provvedimento, l’Operatore economico si impegna a mantenere per un periodo minimo di 6 mesi i log degli accessi degli Amministratori di Sistema per tutti i sistemi affidatigli, rispettando le condizioni previste dal Provvedimento stesso. Infine, il Responsabile si impegna a vincolare gli Amministratori di Sistema alle procedure concordate con il titolare sia con il presente Atto che con il contratto, ma anche alle misure tecniche ed organizzative eventualmente comunicate dal Titolare, e che questi deciderà anche in seguito di implementare.

f) Privacy by design e privacy by default. Le attività di analisi, progettazione e realizzazione

dovranno essere svolte conformemente al GDPR, alla normativa nazionale applicabile, ai provvedimenti del Garante per la Protezione dei dati personali e dell’European Data Protection Board, nonché a eventuali ulteriori disposizioni nazionali o internazionali che dovessero essere emanate sul tema della protezione dei dati. Dovranno, tra l’altro, rispettare i principi della Privacy by design e Privacy by default di cui all’art. 25 GDPR. Pertanto, ogni attività messa in atto per l’erogazione dei Servizi dovrà tenere in considerazione e documentare gli impatti in termini di protezione dei dati personali, nonché le contromisure adottate per garantirne la sicurezza, in applicazione dei principi previsti all’art. 5, all’art. 25 e delle indicazioni in materia di sicurezza di cui all’art. 32.

g) Sub-Responsabili. Astenersi dal designare altri soggetti come sub-responsabili senza ottenere il consenso scritto e preventivo del Titolare.

In ogni caso, le Parti convengono che, nel caso di designazione di un Sub-Responsabile del trattamento:

(i) prima che il Sub-Responsabile del trattamento cominci a svolgere le attività di trattamento dei Dati Personali delegategli, il Responsabile del Trattamento dovrà svolgere un’accurata due diligence volta ad assicurarsi che il Sub-Responsabile del trattamento sia in grado di garantire il livello di protezione dei Dati Personali richiesto dal Contratto e dall’Atto;

(ii) al predetto Sub-Responsabile del trattamento dovranno essere imposti, mediante la stipulazione di un contratto o di un altro atto giuridico vincolante, i medesimi obblighi in materia di protezione dei dati personali stabiliti in questo Atto e, in particolare, garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del GDPR;

(iii) qualora il Sub-Responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile del Trattamento sarà integralmente responsabile nei confronti del Committente dell'adempimento degli obblighi da parte del Sub-Responsabile.

h) Trasferimento dei Dati Personali del Committente. Il Responsabile del Trattamento potrà trattare i Dati Personali in paesi siti al di fuori dell’Unione Europea nonché trasferirli in tali paesi a condizione che i suddetti paesi garantiscano il livello di protezione dei dati e il rispetto degli altri obblighi previsti dalla normativa europea nonché da questo Atto. Il Responsabile del Trattamento è tenuto ad informare il Titolare del Trattamento in merito ai paesi in cui i Dati Personali saranno trattati o trasferiti.

In ogni caso, il Responsabile del trattamento dovrà effettuare una mappatura completa e continuamente aggiornata degli eventuali trasferimenti di dati verso paesi esterni all’Unione Europea o organizzazioni internazionali e delle relative misure di protezione dei dati adottate, dandone continua visibilità a Fondimpresa per le valutazioni di merito e l’eventuale opposizione. In proposito, si intende inclusa nella nozione di trasferimento di dati qualsiasi forma di trattamento ai sensi dell’art. 4, punto 2, del Reg. UE 2016/679, svolto in paesi terzi rispetto all’Unione Europea (UE) o organizzazioni internazionali, compreso il mero accesso a dati conservati nel territorio dell’Unione Europea da parte di personale localizzato in territorio esterno all’UE.

i) Diritti degli Interessati. Tenuto conto della natura del trattamento, il Responsabile del Trattamento dovrà assistere il Titolare con misure tecniche e organizzative adeguate, nella misura

in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare del Trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'Interessato di cui al capo III del GDPR ( il diritto di accesso, di rettifica, di cancellazione e di opposizione, alla limitazione del trattamento, alla portabilità dei dati, di non essere oggetto di una decisione individuale automatizzata). Nell’ipotesi in cui gli Interessati presentino richiesta per l’esercizio dei suddetti diritti al Responsabile del Trattamento, quest’ultimo dovrà inoltrare immediatamente, e comunque entro 72 ore dalla ricezione, detta richiesta per posta elettronica al Titolare del Trattamento, utilizzando l’indirizzo email del responsabile della protezione dei dati (Data Protection Officer o “DPO”): xxx@xxxxxxxxxxx.xx.

j) Cooperazione in caso di Data Breach e redazione di DPIA. Assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR e, pertanto, nella elaborazione e nell’attuazione delle misure di sicurezza, nella notifica e nella comunicazione dei Data Breach, nella redazione della DPIA e nella consultazione preventiva, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del Trattamento.

In particolare:

- nel caso di Data Breach, il Responsabile del Trattamento dovrà notificare al Titolare del Trattamento ogni violazione riscontrata, a prescindere da qualsiasi valutazione circa l’impatto e le conseguenze attese della violazione stessa, senza indugio e, in ogni caso, entro il tempo massimo di 24 ore dal momento in cui ne sia venuto a conoscenza tramite invio di una comunicazione via email agli indirizzi ---------------@xxxxxxxxxxx.xx e xxx@xxxxxxxxxxx.xx, corredando detta comunicazione con ogni documentazione utile a consentire al Committente, quale Titolare del Trattamento, di notificare tale violazione al Garante e agli Interessati, ove necessario, nel rispetto delle tempistiche di cui all’art. 33 del GDPR. La comunicazione dovrà, in ogni caso, contenere quantomeno i seguenti dettagli: (i) l’indicazione della probabile causa della violazione; (ii) le conseguenze note o attese di tale violazione; (iii) la soluzione proposta; (iv) le misure che siano state già adottate per contenere e limitare le conseguenze della violazione. Il Responsabile del Trattamento garantisce sin d’ora che ogni informazione fornita a tal fine sarà completa, corretta e accurata;

- nella redazione della DPIA e nella consultazione preventiva, il Responsabile del trattamento, dovrà assistere il Titolare nella realizzazione delle analisi di impatto relative alla protezione dei dati ai sensi dell’art. 35 del GDPR e nella consultazione preventiva al Garante ai sensi dell’art. 36 del GDPR.

k) Cancellazione dei Dati Personali del Committente. Xxxxxxxxxx/distruggere o restituire a Fondimpresa, secondo quanto la stessa deciderà e comunicherà al Responsabile del Trattamento di volta in volta, tutti i dati personali. Alla cessazione della prestazione dei Servizi, restituire tutti i dati a Fondimpresa e procedere alla cancellazione/distruzione delle copie esistenti, inviandone conferma a Fondimpresa e documentandone per iscritto l’avvenuta cancellazione/distruzione, salvo che la normativa applicabile preveda la conservazione dei dati.

l) Audit. Mettere a disposizione del Committente, dietro semplice richiesta dello stesso, tutta la documentazione e le informazioni necessarie per dimostrare il rispetto degli obblighi stabiliti dall’art. 28 del GDPR e da questo Atto e consentire e contribuire allo svolgimento delle attività di revisione, comprese le ispezioni, realizzate dal Titolare del Trattamento o da un altro soggetto da questi incaricato. L’audit sarà condotto dal Titolare del Trattamento cercando di limitare al massimo le interferenze con la normale attività di business del Responsabile del Trattamento. Le

risultanze dell’audit saranno discusse in buona fede tra le Parti e il Responsabile del Trattamento si impegna sin d’ora ad attuare i cambiamenti ritenuti necessari dal Titolare del Trattamento in seguito all’audit, al fine di garantire la conformità alla Legge Applicabile e all’Atto.

m) DPO. Comunicare al Titolare del trattamento il nome ed i dati del proprio Responsabile della Protezione dei dati, qualora ne abbia designato uno ai sensi dell’art. 37 del GDPR.

n) Registro delle attività di trattamento. Tenere per iscritto un registro di tutte le categorie di attività di trattamento svolte per conto del Committente, contenente a) il nome e i dati di contatto dell’Operatore economico quale Responsabile del trattamento, di ogni titolare del trattamento per conto del quale agisce, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del Responsabile della protezione dei dati; b) le categorie dei trattamenti effettuati per conto del Titolare e per altri titolari del trattamento; c) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49 del GDPR, i documenti che attestano l’esistenza di garanzie adeguate; d) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1, del GDPR.

Articolo 5 – Obblighi del Titolare del trattamento

Fondimpresa, quale Titolare del trattamento, è tenuta a:

1) fornire agli Interessati l’informativa di cui agli articoli 13 e 14 del GDPR;

2) fornire all’Operatore economico le informazioni ed i dati elencati nel presente Atto, nonché ogni altra informazione utile per l’esecuzione delle attività di trattamento illustrate nello stesso;

3) documentare per iscritto tutte le istruzioni impartite al Responsabile del Trattamento per il trattamento dei Dati Personali del Committente;

4) vigilare, in via preventiva e per tutta la durata del trattamento, sul rispetto degli obblighi previsti dal GDPR;

5) svolgere un’attività di supervisione sul trattamento dei dati personali, ivi incluse le previsioni e le ispezioni di cui al presente Atto.

Articolo 6 – Conseguenze della violazione delle disposizioni della Legge Applicabile da parte del Responsabile del Trattamento

Nel caso in cui dovesse violare le disposizioni della Legge Applicabile, determinando le finalità e i mezzi del trattamento, l’Operatore economico sarà considerato un autonomo titolare del trattamento in questione, fatte salve le disposizioni del GDPR di cui all’art. 82 in tema di diritto al risarcimento e responsabilità, all’art. 83 in tema di condizioni generali per infliggere sanzioni amministrative pecuniarie e all’art. 84 in tema di sanzioni.

Articolo 7 – Clausola di manleva

L’Operatore economico si impegna a manlevare e tenere indenne Fondimpresa da qualsiasi danno, pregiudizio, costo, spesa, onere che la stessa dovesse subire e/o dover risarcire a terzi a causa della violazione, da parte del Responsabile del Trattamento, delle disposizioni della Legge Applicabile e delle istruzioni impartite dal Titolare del Trattamento.

Eventuale A tale riguardo, il Responsabile del Trattamento dichiara di avere contratto specifica polizza assicurativa ... con massimale pari a ... la quale dovrà essere esibita al Committente dietro semplice richiesta.

Articolo 8 – Clausola risolutiva espressa

Nel caso in cui l’Operatore economico si rendesse inadempiente ad uno degli obblighi stabiliti all’articolo 4 che precede, il presente Atto e il Contratto si intenderanno risolti ai sensi e per gli effetti di cui all’art. 1456 c.c. dopo che Fondimpresa avrà comunicato per iscritto all’Operatore economico che intende avvalersi della clausola risolutiva espressa, fatto salvo il diritto del Titolare del Trattamento alla manleva ed al risarcimento dei danni conseguenti all’inadempimento.

Articolo 9 – Durata

Il presente Xxxx avrà la stessa durata del Contratto. Lo stesso si intenderà pertanto cessato e/o risolto laddove il Contratto venga a cessare o sia risolto per qualsiasi ragione o causa. In caso di proroga o estensione temporale del Contratto, il presente Xxxx si intenderà prorogato o esteso per lo stesso arco temporale.

Articolo 10- Miscellanea

Per quanto concerne i trattamenti che il Responsabile esegue per conto del Titolare in esecuzione del Contratto, Il Titolare ha facoltà di modificare unilateralmente e discrezionalmente il presente Atto per le istruzioni di cui al precedente articolo 3, nonché per ogni altra disposizione relativa ai trattamenti dei dati, mediante apposita comunicazione scritta.

Nel caso in cui il Responsabile ritenga di non poter dare esecuzione alle nuove istruzioni dovrà immediatamente darne comunicazione scritta al Titolare, indicandone specificamente i motivi. Le Parti si impegnano a collaborare per raggiungere al più presto un accordo sul punto; nel frattempo il Responsabile sarà tenuto a proseguire le attività di trattamento secondo le modalità previste dalle istruzioni previgenti alla modifica, oppure a sospendere l’attività di trattamento (impregiudicati i diritti vantati in forza del contratto), a scelta e su indicazione del Titolare.

Le Parti si impegnano a prestare la loro massima cooperazione per modificare o integrare l’Atto nel caso ciò si renda necessario in virtù di intervenute modifiche nella Legge Applicabile.

Il presente Xxxx e la sua interpretazione ed esecuzione sono regolate dalla Legge Italiana.

Qualsiasi controversia che dovesse sorgere in connessione o in relazione all’Atto sarà devoluta alla cognizione esclusiva del Foro previsto nel Contratto.

FONDIMPRESA IL RESPONSABILE DEL TRATTAMENTO

Ai sensi e per gli effetti di cui all’art. 1341 c.c., l’Operatore economico dichiara di avere letto e di approvare espressamente le seguenti clausole: art. 7 (Clausola di manleva); art. 8 (Clausola risolutiva espressa); art. 10 (Miscellanea).

IL RESPONSABILE DEL TRATTAMENTO

La sottoscrizione deve avvenire con firma digitale nel formato PADES non protetto, con apposizione in chiaro delle firme presso gli appositi spazi di firma. Il documento sottoscritto deve essere inviato via PEC all’indirizzo xxxxxxxxxxx@xxxxxxxxxxxxxx.xxxxxxxxxxx.xx.