NOMINA A RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679 (GDPR)
NOMINA A RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679 (GDPR)
Tra:
, con xxxx xx x. , xxx xxxxx , XX , xx persona del suo legale rappresentante pro tempore
(“Società”, “Data Controller” o “Titolare del Trattamento”),
e
ACS DATA SYSTEMS SPA, con sede in Xxx Xxxxx Xxxxxxxx 0, 00000 Xxxxxxx, XX 00701430217, in persona del suo legale rappresentante pro tempore
(“ACS”, “Data Processor” o “Responsabile del Trattamento”), e di seguito anche denominati singolarmente come "Parte" e congiuntamente come "Parti";
PREMESSO CHE
1. Tra le Parti sono in essere uno o più contratti commerciali aventi ad oggetto uno o più servizi informatici erogati da ACS alla Società.
2. Nell’erogazione dei servizi di cui al punto precedente, ACS effettua un trattamento di dati personali per conto della Società.
3. Ai sensi della normativa vigente in materia di trattamento e protezione dei dati personali,
ed in particolare del Regolamento UE 2016/679 del 27 aprile 2016 (di seguito anche “GDPR” o “Regolamento”), pertanto, si rende necessario regolamentare il rapporto tra la Società, titolare del trattamento, ed ACS, responsabile del trattamento, con riferimento al trattamento dati effettuato nell’erogazione dei servizi oggetto degli accordi commerciali in essere. A tal fine la Società ritiene che il responsabile del trattamento possiede adeguati requisiti di esperienza, capacità e affidabilità sufficienti per mettere in atto misure tecniche e organizzative adeguate e per svolgere il ruolo ad esso attribuito.
4. Le Parti intendono disciplinare il rapporto in questione con il presente atto.
Tutto ciò premesso, si conviene e si stipula quanto segue
1. Le premesse costituiscono parte integrante e sostanziale del presente accordo.
2. Nomina a Responsabile del Trattamento
2.1. Il Titolare del Trattamento (di seguito definito “Data Controller”), in qualità di soggetto cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali, designa, ai sensi e per gli effetti dell’art. 28 del Regolamento, ACS Data Systems Spa quale Responsabile del Trattamento (di seguito definito “Data Processor”).
Data Processing Agreement | Clienti
3. Durata del trattamento e luoghi del trattamento dei dati
3.1. La durata del trattamento ha la medesima durata dei servizi oggetto del contratto o dei contratti commerciali in essere tra le Parti. Alla cessazione di uno o più contratti commerciali, per una qualsiasi ragione, anche la presente nomina cesserà automaticamente con riferimento al trattamento dati sottostante il contratto o i contratti cessati. Restano salvi specifici obblighi di legge che per loro natura sono destinati a permanere.
3.2. Il trattamento dei dati personali per conto del Data Controller avverrà da parte del Data Processor, con modalità prevalentemente informatiche, e in ogni caso avverrà all'interno di uno Stato membro dell'Unione europea (UE) o di uno Stato membro dello Spazio Economico Europeo (SEE), ovvero in un paese extra UE o extra SEE il cui sistema privacy è stato soggetto ad una decisione di adeguatezza da parte della Commissione Europea ai sensi dell’art. 45 del GDPR. In ogni caso qualsiasi trasferimento di dati personali verso uno Stato che non è membro né dell'UE né dello SEE avverrà solo se sono rispettate le condizioni specifiche di cui agli articoli 44 e ss. del GDPR.
4. Natura e Finalità del trattamento
4.1. Il trattamento affidato dal Data Controller al Data Processor è necessario per l’erogazione dei servizi e per lo svolgimento delle attività oggetto dei contratti commerciali in essere tra le Parti.
5. Tipo di dati personali trattati
☐ Dati Identificativi (a titolo esemplificativo: dati anagrafici, indirizzi e.mail, video, foto, audio, indirizzi IP, contatti telefonici, dati bancari e fiscali, log degli accessi)
6. Categorie di interessati
☐ Dipendenti
☐ Collaboratori
☐ Clienti
☐ Fornitori
☐ Altri soggetti:
7. Obblighi del Data Controller e Dichiarazioni
7.1. Il Data Controller determina in via esclusiva le finalità e le modalità del trattamento dei dati personali, e si impegna pertanto a comunicare al Data Processor, nelle forme e modalità stabilite dalla presente nomina, qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei suddetti dati.
7.2. Fermo restando gli obblighi in capo al Data Processor previsti nella presente nomina, il Data Controller mantiene la responsabilità generale per qualsiasi trattamento di dati personali che quest’ultimo abbia direttamente effettuato o che altri abbiano effettuato per suo conto, ed è pertanto tenuto a mettere in atto misure adeguate ed efficaci ed essere in grado di dimostrare la conformità delle attività di trattamento con il GDPR, compresa l’efficacia delle misure, le quali devono tener conto della natura, dell’ambito di
applicazione, del contesto e delle finalità del trattamento, nonché del rischio per i diritti e le libertà delle persone fisiche. Il Data Controller, pertanto, è tenuto, a titolo meramente esemplificativo e non esaustivo, a predisporre ed adottare un sistema privacy conforme al GDPR ed alla normativa in materia, adottando, tra le altre, adeguate misure tecnico- organizzative ed effettuando la relativa valutazione di adeguatezza, ad acquisire legittimamente i dati personali e a fornire le informative ex artt. 13 e 14 agli interessati, ad effettuare la notifica al Garante nei casi previsti ex art. 33 previa relativa valutazione, a garantire la tutela dei diritti degli interessati e la conseguente gestione ed evasione delle richieste di questi ultimi, ad effettuare, ai sensi dell’art. 34 del GDPR e previa apposita valutazione, la comunicazione agli interessati nelle ipotesi di data breach.
7.3. Il Data Controller dichiara di essere conforme ai principi di liceità, correttezza, trasparenza, riduzione dei dati, accuratezza, limitazione, integrità dello spazio di archiviazione e riservatezza. Egli inoltre dichiara che i dati personali oggetto di operazioni trattamento in virtù dell’esecuzione del Contratto o dei Contratti di Servizi stipulati con il Data Processor sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati. Egli dichiara, infine, di aver correttamente individuato la base giuridica del trattamento dei dati personali degli interessati.
7.4. Il Data Controller dichiara che i dati personali e/o le eventuali categorie particolari di dati personali oggetto delle operazioni di trattamento affidate al Data Processor, sono stati raccolti e trasmessi rispettando ogni prescrizione della normativa applicabile.
7.5. Il Data Controller dichiara di rimanere l’unico responsabile delle modalità e dei mezzi di trasmissione dei dati personali qualora tali modalità si basano su procedure applicative sviluppate secondo sue regole e/o attraverso propri strumenti informatici o di telecomunicazioni. Nei casi, pertanto, di mancata trasmissione di tali dati per un qualsiasi motivo non imputabile al Data Processor, costui non potrà ritenersi responsabile del trattamento dei suddetti dati.
7.6. Ai sensi dell’art. 30 del GDPR, ove previsto, il Data Controller è obbligato alla tenuta ed aggiornamento del Registro dei Trattamenti.
7.7. Il Data Controller si attiene e si conforma alle prescrizioni stabilite nella presente nomina, in particolare per quanto riguarda l’eventuale attività di verifica e revisione nei confronti del Data Processor, nonché per quanto riguarda ogni eventuale richiesta di informazioni ed assistenza inoltrata al Data Processor, e sempre nei limiti degli obblighi stabiliti in capo a quest’ultimo.
7.8. Restano salvi gli ulteriori obblighi di legge previsti dalla normativa in materia.
8. Obblighi del Data Processor
8.1. Il Data Processor si obbliga a trattare i dati soltanto su istruzione documentata del Data Controller, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Data Processor.
8.2. Il Data Processor garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
Data Processing Agreement | Clienti
8.3. Ai sensi dell’art. 32 del GDPR, il Data Processor, nel trattare i dati personali oggetto della presente nomina, si impegna ad adottare tutte le misure tecnico-organizzative adeguate, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, e del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
8.4. Tenendo conto della natura del trattamento, il Data Processor assiste il Data Controller con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Data Controller di dare seguito alle richieste per l’esercizio dei diritti degli interessati. Resta inteso che Il Data Processor assisterà il Data Controller esclusivamente previe istruzioni documentate e che il punto di contatto con gli interessati resta il Data Controller. Il Data Processor si riserva di richiedere un corrispettivo rapportato all’attività svolta, ai tempi ed alle risorse impiegate, e tenendo conto delle eventuali tariffe di legge o di mercato vigenti.
8.5. Il Data Processor assiste il Data Controller nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni messe a disposizione del Data Processor. Resta inteso che l’assistenza è limitata, tra l’altro, al ruolo di Data Processor, alla durata, e all’ambito di operatività della presente nomina, con esclusione, a titolo esemplificativo, delle attività di consulenza legale ed informatica, e comunque di quelle attività tipiche fornite da figure professionali differenti quali, a titolo esemplificativo, il Consulente Privacy o il Responsabile della Protezione Dati (cd “DPO”, ossia Data Protection Officer). Per l’attività di assistenza richiesta dal Data Controller, il Data Processor si riserva di richiedere un corrispettivo rapportato all’attività svolta, ai tempi ed alle risorse impiegate, tenendo conto delle eventuali tariffe di legge o di mercato vigenti, ovvero di non evadere la richiesta laddove l’assistenza richiesta esorbiti gli obblighi ed i limiti di cui alla presente nomina.
8.6. Il Data Processor, su scelta del Data Controller, cancella o restituisce tutti i dati personali dopo che è terminata la prestazione di servizi relativa al trattamento oggetto della presente nomina, e cancella le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati. Il Data Processor potrà richiedere al Data Controller un corrispettivo secondo quanto previsto negli accordi commerciali tra le Parti.
8.7. Il Data Processor mette a disposizione del Data Controller, su richiesta scritta e dettagliata, le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente nomina.
8.8. il Data Processor informa immediatamente il Data Controller qualora, a suo parere, un’istruzione violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati personali.
8.9. Il Data Processor, in virtù dei trattamenti svolti per conto del Data Controller, è tenuto alla redazione ed al regolare aggiornamento del proprio “Registro dei trattamenti”, in conformità alle prescrizioni dell’articolo 30 del GDPR.
8.10. Ai sensi dell’art. 33 del GDPR, qualora si verificasse un “Data Breach”, ossia una violazione dei dati personali oggetto di trattamento, il Data Processor informa il Data Controller senza ingiustificato ritardo dopo essere venuto a conoscenza della violazione.
9. DPO
9.1. Tenuto conto dell’art. 37 del GDPR, il Data Processor ha provveduto a designare internamente il Responsabile della Protezione Dati (anche conosciuto con la dizione in lingua inglese “Data Protection Officer” – DPO). I dati di contatto del DPO sono reperibili al seguente link: xxxxx://xxx.xxx.xx/xx/xxxxxxx.xxxx.
10. Sub Processor
10.1. Per l’esecuzione di specifiche operazioni di trattamento oggetto della presente nomina, Il Data Controller autorizza sin d’ora il Data Processor a ricorrere ad altri responsabili del trattamento (di seguito “Sub Processor”).
10.2. Il Data Processor, nel servirsi di Sub Processor, assicura che gli stessi si vincolino, con contratto od altro atto giuridico, ai medesimi obblighi e condizioni contenute nel presente atto di nomina, e che adottino garanzie sufficienti per mettere in atto misure tecnico- organizzative adeguate. Il Data Controller può richiedere al Data Processor l’elenco aggiornato dei Sub Processor incaricati.
10.3. In caso di aggiunta o sostituzione di Sub Processor, il Data Processor comunicherà tempestivamente l’eventuale modifica al Data Controller, per consentire a quest’ultimo di opporsi a tali modifiche. Decorso il termine di 5 (cinque) giorni dal ricevimento della comunicazione senza che sia stata manifestata alcuna opposizione da parte del Data Controller, il Data Processor considererà accettate le modifiche apportate.
11. Ispezioni e controlli
11.1. Il Data Processor, nell’ambito dei trattamenti effettuati per conto del Data Controller, consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Data Controller o da altro soggetto da questi regolarmente incaricato.
11.2. In caso di attività di audit ovvero di verifica o revisione delegate a terzo soggetto, qualora venga rilevato tra quest’ultimo e il Data Processor un rapporto di concorrenza ovvero un conflitto di interessi, il Data Processor può rifiutare lo svolgimento delle predette operazioni da parte del soggetto incaricato.
11.3. Nelle ipotesi di audit ovvero di ogni altra operazione di verifica o ispezione, in special modo effettuate presso i locali del Data Processor, al fine di ridurre al minimo l’impatto sull’attività d’impresa di quest’ultimo nonché di consentire lo svolgimento delle suddette operazioni in maniera efficiente e proficua, il Data Controller si impegna ad inoltrare per iscritto l’istanza di audit ovvero verifica-revisione o ispezione con un preavviso di almeno 15 (quindici) giorni lavorativi. Attesa la natura, le modalità e l’oggetto delle attività di cui al precedente capoverso, il Data Processor può subordinare l’esecuzione di tali attività alla sottoscrizione di un accordo di segretezza (cd “NDA”) da parte del Data Controller.
11.4. Nelle ipotesi di ispezioni, revisioni e controlli, il Data Processor si riserva di richiedere al Data Controller congruo corrispettivo rapportato all’attività espletata, al numero di sessioni e risorse impiegate, tenendo conto delle tariffe orarie in vigore al momento del trattamento, ovvero di non evadere la richiesta laddove le attività di verifica esorbitano gli obblighi ed i limiti di cui alla presente nomina. E’ sempre richiesto il corrispettivo per ogni attività di revisione, ispezione o controllo svoltasi presso i locali del Data Processor fuori l’ordinario orario di lavoro. In ogni caso tutte le spese per le attività di verifica e revisione restano a carico del Data Controller.
Data Processing Agreement | Clienti
12. Responsabilità
12.1. Ai sensi dell’art. 82 del GDPR, il Data Controller risponde per il danno materiale o immateriale causato dal trattamento affidato al Data Processor qualora il danno derivi dalla violazione degli obblighi a lui imposti dalla normativa in materia di privacy e da quelli stabiliti nella presente nomina.
12.2. Ai sensi dell’art. 82 del GDPR, il Data Processor risponde per il danno materiale o immateriale causato dal trattamento affidatogli soltanto qualora non abbia adempiuto agli obblighi specificatamente diretti al Data Processor e previsti dalla normativa in materia di privacy e da quelli stabiliti dalla presente nomina, ovvero abbia agito in modo difforme o contrario a legittime istruzioni impartite dal Data Controller.
12.3. Il Data Processor è in ogni caso esonerato da qualsiasi responsabilità per il trattamento affidatogli, qualora dimostri che l’evento dannoso non gli è in alcun modo imputabile, ovvero sia derivato da istruzioni illegittimamente impartite dal Data Controller nonostante l’informativa resa ai sensi dell’art. 8.8. Altresì il Data Controller è esonerato da ogni responsabilità se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
13. Disposizioni finali
13.1. La presente nomina è soggetta esclusivamente al diritto della Repubblica italiana ed è altresì conforme alla normativa europea in materia di trattamento dati personali. La versione ufficiale della presente nomina è quella italiana, e pertanto, in caso di incongruenze e/o discrepanze tra la versione italiana e versioni redatte in altre lingue, prevale e fa fede la versione italiana.
13.2. Ove nella presente nomina sono utilizzati termini o definizioni a cui il Regolamento (UE) 2016/679 (cd “GDPR”) attribuisce un significato, a tali termini andrà dato tale specifico significato.
13.3. La presente nomina costituisce integrazione degli accordi contrattuali intercorsi tra le Parti. Essa sostituisce ogni eventuale precedente intesa, anche verbale, e costituisce pertanto l’unico accordo giuridicamente valido ed efficace in relazione alle materie da esso trattate. Le disposizioni della presente nomina si applicano altresì anche a tutti i futuri trattamenti dati che il Data Processor potrà effettuare per conto del Data Controller, fatte salve eventuali integrazioni da effettuarsi in conformità dell’art. 13.5.
13.4. L’eventuale tolleranza di una Parte all’inadempimento dell’altra non potrà in alcun modo essere considerata come rinuncia ai diritti derivanti dal presente accordo.
13.5. Qualora una disposizione della presente nomina sia o diventi totalmente o parzialmente invalida o inapplicabile, ovvero in essa vi sia una lacuna, le restanti disposizioni resteranno comunque valide ed efficaci. Le Parti dovranno sostituire la disposizione non valida o non applicabile, ovvero colmare la lacuna, con una disposizione valida ed applicabile che si avvicini il più possibile alla natura ed allo scopo del presente accordo. Le modifiche o le integrazioni di cui al precedente capoverso dovranno avvenire tramite accordo scritto tra le Parti, ad integrazione della presente nomina.
13.6. Le Parti dichiarano di aver negoziato in modo specifico tutte le clausole della presente nomina. Qualora dovessero sorgere controversie concernenti la validità, l’interpretazione, l’esecuzione e la risoluzione del presente accordo ovvero di allegati o documenti ad esso collegati, le Parti si impegnano a cercare tra loro un equo e xxxxxxx componimento. In caso di mancato componimento bonario, la risoluzione della controversia è demandata in via esclusiva all'Autorità Giudiziaria di Bolzano.
13.7. Ai fini dell’esecuzione degli obblighi di cui alla presente nomina, le comunicazioni tra le Parti dovranno avvenire esclusivamente ai seguenti indirizzi:
Per il Data Controller:
pec ; e.mail ;
persona di contatto:
Per il Data Processor:
pec xxxx@xxx.xxx.xx ; x.xxxx: xxxxxxx@xxx.xx ;
persona di contatto: Xxxx Xxxxxxx.
Eventuali modifiche degli indirizzi sopra indicati dovranno essere comunicate per iscritto all’altra Parte.
Luogo e data
, / /
Per accettazione
Data Controller Data Processor
ACS DATA SYSTEMS SPA