Contratto di nomina a responsabile del trattamento di dati personali
Contratto di nomina a responsabile del trattamento di dati personali
Fra le sottoscritte:
X S.p.A., in seguito: “X”, o “Titolare”, C.F./P.IVA , con sede in , qui in persona
e
Y S.r.l., in seguito: “Y”, o “Responsabile”, C.F./P.IVA , con sede in , qui in persona
X e Y in seguito collettivamente indicate come: “le Parti”.
Premesso che:
a) in forza di contratto in data , Y svolge per conto di X i servizi e le attività meglio descritti nella predetta scrittura e relativi allegati, cui si rinvia;
b) i servizi e le attività di cui al punto a) comportano per parte di Y un trattamento di dati personali di vari soggetti interessati, effettuato per conto di X che ne è titolare;
c) Y è fornitore di fiducia di X, e offre garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento UE 2016/679 (in seguito: “Regolamento”) e garantisca la tutela dei diritti degli interessati.
Tanto premesso, che forma parte integrante del presente contratto, si conviene quanto segue:
1) Nomina a responsabile del trattamento, identificazione dei dati oggetto del trattamento e delle categorie di interessati.
Ai sensi dell’art. 28 del Regolamento, X nomina Y, che accetta la nomina, responsabile del trattamento dei seguenti dati personali 1, di cui X è Titolare.
2) Durata, finalità, modalità e luogo di trattamento da parte del Responsabile.
I dati personali di cui all’art. 1 saranno trattati da Y in qualità di Responsabile per tutta la durata del contratto di cui al punto a) delle premesse, anche con strumenti elettronici, per le finalità di cui a detto contratto.
Il Responsabile, su espressa richiesta del Titolare, potrà svolgere esclusivamente le seguenti operazioni di trattamento sui dati2:
1 Specificare se si tratta di dati comuni o di dati appartenenti a categorie particolari, ed in entrambi i casi di quali dati si tratta. Ad esempio: “dati personali comuni (anagrafici e di contatto) contenuti nel CRM aziendale”
2 Individuare le operazioni di trattamento che verranno svolte dal Responsabile fra le seguenti, espressamente indicate nell’art. 4 GDPR: raccolta; registrazione; organizzazione; strutturazione; conservazione; adattamento o modifica; estrazione; consultazione; uso; comunicazione mediante trasmissione; diffusione o qualsiasi altra forma di messa a disposizione; raffronto o interconnessione; limitazione; cancellazione o distruzione; inserire nel testo del contratto le attività che verranno effettivamente svolte dal Responsabile.
I dati saranno archiviati su server localizzati all’interno dell’UE3.
3) Obblighi del Responsabile.
In esecuzione del presente contratto, il Responsabile si impegna a:
a) trattare i dati di cui all’art. 1 esclusivamente per le finalità specificate all’art. 2 e sulla base di istruzioni del Titolare, quali risultanti dalla presente nomina e dal contratto di cui al punto a) delle premesse, o impartite dal Titolare a mezzo email o comunque in forma scritta. Esso potrà far ricorso a sub-responsabili per tutte o per alcune operazioni e attività di trattamento qui previste solo in caso di preventiva e specifica autorizzazione scritta da parte del Titolare;
b) nominare ed istruire per iscritto le persone che svolgono le funzioni di amministratori di sistema ai sensi del provvedimento del Garante Privacy in data 27.11.2008 e le persone autorizzate al trattamento (c.d. “incaricati”) nonché i sub-responsabili (ove autorizzati dal Titolare), indicando analiticamente le operazioni di trattamento consentite; predisporre un elenco degli amministratori di sistema da comunicare per iscritto al Titolare, che lo conserverà ed utilizzerà secondo quanto previsto dal provvedimento summenzionato del Garante, e registrare gli accessi logici ai sistemi informativi effettuati dai soggetti nominati amministratori di sistema e conservarli per almeno 6 mesi. Il Titolare si riserva la possibilità di verificare, con cadenza almeno annuale, l’operato degli amministratori di sistema nominati dal Responsabile;
c) formare adeguatamente i propri dipendenti e collaboratori rispetto all’applicazione del Regolamento e vigilare sull’operato dei propri incaricati, amministratori di sistema ed eventuali sub- responsabili, facendo sottoscrivere a costoro un apposito impegno di riservatezza, di contenuto analogo a quello previsto nel successivo art. 4;
d) introdurre nel contratto con i sub-responsabili eventualmente autorizzati dal Titolare i medesimi obblighi e garanzie previsti nella presente scrittura e specificare chiaramente in tale contratto quali operazioni di trattamento sono affidate ai sub-responsabili;
e) comunicare per iscritto al Titolare, nel minore tempo possibile e comunque non oltre 8 ore da quando ne è venuto a conoscenza, la violazione di dati personali (c.d. “data breach”) ai sensi dell’art. 33 del Regolamento o qualsivoglia altro incidente che coinvolga i dati non qualificabile come data breach;
f) collaborare ed assistere il Titolare nella notifica e nella comunicazione del data breach (o altro diverso incidente) al Garante privacy (o ad altra autorità) e agli interessati. In particolare, il responsabile dovrà fornire al Titolare tutte le informazioni rilevanti per la documentazione, la notifica e la comunicazione della violazione, quali ad esempio la descrizione della natura della violazione, dei dati violati, delle categorie e numero di interessati coinvolti, delle probabili conseguenze e delle misure adottate o da adottare per porre rimedio alla violazione;
g) documentare qualsiasi violazione dei dati personali, comprese le circostanze ad esse relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio, con l’obbligo di consegnare tale documentazione al Titolare nel minore tempo possibile, e comunque non oltre 8 ore da quando il responsabile è venuto a conoscenza della violazione;
3 È l’ipotesi più semplice; in caso di trasferimento extra UE occorrerà rispettare le condizioni di liceità del trasferimento.
h) ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di data breach (o altro diverso incidente) e adottare le misure idonee a rimediare alla violazione;
i) adottare tutte le misure organizzative e tecniche di sicurezza necessarie per garantire un adeguato livello di sicurezza dei dati trattati, ai sensi di quanto disposto nell’art. 32 del Regolamento;
l) assistere il Titolare nel dare seguito alle richieste degli interessati con riferimento ai diritti loro riconosciuti dal capo III del Regolamento, ossia: diritto di informativa, accesso, rettifica, cancellazione, limitazione, portabilità e opposizione al trattamento;
m) fornire un adeguato supporto e assistenza al Titolare nella conduzione della valutazione di impatto dei dati ex art. 35 del Regolamento e nella consultazione preventiva del Garante Privacy ai sensi dell’art. 36 del Regolamento, nel caso in cui il Titolare ritenga siano necessarie o opportune;
n) dopo che è terminata la prestazione di servizi di cui al contratto di cui al punto a) delle premesse, cancellare o restituire al Titolare, in base ad una scelta discrezionale di quest’ultimo, tutti i dati e cancellare le copie esistenti, dando prova dell’avvenuta cancellazione, salvo che la legge preveda la conservazione dei dati per specifici motivi o sussistano motivi legittimi di conservazione, che sarà onere del Responsabile individuare specificamente e comunicare al Titolare;
o) mettere a disposizione del Titolare tutte le informazioni e i documenti necessari per dimostrare il rispetto degli obblighi previsti nel presente articolo e la conformità del trattamento al Regolamento, prestando al Titolare la più ampia collaborazione in caso di attività di revisione, controllo e ispettive di quest’ultima, di cui verranno separatamente concordate, ove necessario, modalità e tempistiche, come pure in caso di attività di revisione, controllo e ispettive del Garante privacy o di altre autorità;
p) informare immediatamente il Titolare se un’istruzione di quest’ultima violi il Regolamento o altre disposizioni relative alla protezione dei dati;
q) tenere un registro dei trattamenti in qualità di Responsabile ex art. 30 del Regolamento e nominare un Responsabile della protezione dei dati (“Data Protection Officer-DPO”) ex art. 37 e ss. del Regolamento, nei casi di obbligatorietà previsti dal medesimo Regolamento.
4. Riservatezza
Il Responsabile si impegna a mantenere riservati e confidenziali i dati, i documenti, le informazioni e notizie di qualsiasi genere, relative al Titolare o comunque dallo stesso forniti, dei quali verrà a conoscenza in occasione dell’incarico, anche successivamente alla cessazione di esso e senza alcuna limitazione di tempo o spazio. In particolare, non potrà comunicare o diffondere alcuna delle informazioni, notizie, dati e documenti (salvo che ciò non sia espressamente richiesto dal Titolare, dal Garante privacy o da altra autorità), cederli a terzi a titolo gratuito o oneroso, utilizzarli per qualsiasi finalità, anche di terzi.
5. Gratuità
La nomina a responsabile conferita con il presente accordo e le attività e prestazioni conseguenti da parte di Y non comportano oneri economici a carico del Titolare, oltre a quelli già espressamente indicati nel contratto di cui al punto a) delle premesse.
6. Manleva
Il Responsabile si impegna a manlevare e tenere indenne il Titolare da qualsiasi pregiudizio potesse derivare in conseguenza di qualunque azione o pretesa mossa o avanzata da terzi, ivi compreso il
Garante Privacy o altra autorità, nei confronti del Titolare a causa dell’inosservanza degli impegni previsti all’art. 3.