Contratto di Nomina a Responsabile del Trattamento dei dati personali Tra

Contratto di Nomina a Responsabile del Trattamento dei dati personali Tra

[RAGIONE SOCIALE CLIENTE], con sede in       , via      , P. IVA    

E

Var Hub S.r.l., con sede in Xxxxxx (XX), xxx Xxxxxxx x. 000, X. XXX 00000000000

Premesso che:

• In data  / / , [RAGIONE SOCIALE CLIENTE] (di seguito anche il Titolare del Trattamento) ha concluso con Var Hub S.r.l. un contratto (di seguito denominato accordo di servizio) avente ad oggetto l’erogazione del servizio di emissione, trasmissione e gestione della fattura elettronica e/o la trasmissione dei dati corrispettivi all’Agenzia delle Entrate o/o la trasmissione dei dati fatture emesse e ricevute all’Agenzia delle Entrate e relativa conservazione sostitutiva ai sensi e per gli effetti dell’art. 1, commi da 209 a 213, Legge 24 dicembre 2007, n. 244 e del relativo regolamento di cui al Decreto del Ministero dell’Economia e delle Finanze del 3 aprile 2013, n. 55, del Decreto del Presidente del Consiglio dei Ministri del 3 dicembre 2013 e della Legge 27 dicembre 2017, n. 205.

• Il Regolamento UE 2016/679 (di seguito il Regolamento UE) detta la disciplina in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati medesimi. Ai sensi di suddetta normativa, [RAGIONE SOCIALE CLIENTE] opera in qualità di Titolare del Trattamento dei dati personali, per tale intendendosi “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali”;

• In considerazione dell’erogazione dei servizi di cui sopra, Var Hub S.r.l. compie operazioni di trattamento sui dati personali; in particolare, ai sensi del Regolamento UE per “trattamento dei dati personali” s’intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”.

Di conseguenza, Var Hub S.r.l. opera in qualità di Responsabile del Trattamento dei dati personali di cui [RAGIONE SOCIALE CLIENTE] è Titolare.

Si precisa che per Responsabile del Trattamento s’intende “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del Trattamento”;

• Var Hub S.r.l. risponde ai requisiti di esperienza, capacità e affidabilità necessari a garantire il rispetto della disciplina in materia di trattamento dei dati personali e ad assumere la qualità di Responsabile del Trattamento;

• Con il presente contratto e nel rispetto di quanto statuito ai sensi dell’art. 28 del Regolamento UE, [RAGIONE SOCIALE CLIENTE] e Var Hub S.r.l. intendono disciplinare i reciproci rapporti in relazione alla predetta attività di trattamento dei dati personali.

• Il presente contratto autorizza Var Hub S.r.l. al trattamento dei dati personali sia in forma elettronica che manuale, nel rispetto della normativa vigente in materia di protezione dei dati personali.

In relazione alla nomina a Responsabile del Trattamento, [RAGIONE SOCIALE CLIENTE] e Var Hub S.r.l., al fine di regolare i loro reciproci rapporti in materia di trattamento dei dati personali, con la presente convengono e stipulano quanto segue:

1. PREMESSE

Le premesse di cui sopra costituiscono parte integrante e sostanziale del presente contratto.

2. OBBLIGHI E DIRITTI DEL RESPONSABILE DEL TRATTAMENTO

[RAGIONE SOCIALE CLIENTE], in qualità di Titolare del Trattamento, provvede a:

a) Determinare le finalità e le modalità del trattamento dei dati personali e ad impartire, con il presente contratto, a Var Hub S.r.l. le istruzioni di cui al successivo art. 3 relative al trattamento dei dati personali;

b) Svolgere controlli periodici al fine di vigilare sulle operazioni di trattamento condotte da Var Hub S.r.l. e di garantire il rispetto delle prescrizioni contenute nel presente contratto, nonché degli obblighi stabiliti dalla normativa in materia di trattamento dei dati personali; inoltre [RAGIONE SOCIALE CLIENTE] potrà svolgere controlli e verifiche con riferimento al

livello di sicurezza applicato da Var Hub S.r.l., chiedendone, se del caso, eventuali integrazioni.

3. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO

Var Hub S.r.l., in qualità di Responsabile del Trattamento ed in considerazione del presente contratto, provvede a:

a) Conformarsi alle prescrizioni contenute nel presente contratto e a rispettare gli obblighi di legge previsti in materia di trattamento e sicurezza dei dati personali con riferimento alle attività di propria pertinenza. In particolare, i dati personali andranno trattati nel pieno rispetto dei principi generali previsti ai sensi dell’art. 5 del Regolamento UE: di conseguenza, i dati personali devono essere trattati in modo lecito, corretto e secondo trasparenza, provvedendo, se del caso, alla correzione ed aggiornamento dei dati medesimi. I dati personali sono trattati per scopi determinati, espliciti e legittimi in conformità a quanto stabilito da [RAGIONE SOCIALE CLIENTE], in qualità di Titolare del Trattamento. I dati personali devono essere pertinenti, completi e non eccedenti rispetto alle finalità individuate dal Titolare del Trattamento; la conservazione dei dati medesimi va limitata al periodo di tempo necessario al raggiungimento degli scopi per cui i dati personali sono stati raccolti e trattati. Il trattamento avviene, altresì, riducendo al minimo l'utilizzo dei dati personali in conformità al principio di minimizzazione dei dati personali di cui al Regolamento UE.

In ogni caso, Var Hub S.r.l. si astiene dall’adottare autonome decisioni in merito alle finalità

e alle modalità del trattamento; in caso di urgenza e necessità, Var Hub S.r.l. provvede a informare, senza ingiustificato ritardo, il Titolare del Trattamento affinché quest’ultimo assuma le opportune decisioni;

b) Trattare i dati personali esclusivamente all’interno del territorio italiano; in particolare, Var Hub S.r.l. si astiene dal trasferire i dati personali al di fuori dell’Unione Europea (UE) o dello Spazio economico europeo (SEE), se non in presenza di apposita istruzione rilasciata dal Titolare del Trattamento;

c) Nominare, per iscritto, il proprio personale aziendale autorizzato a provvedere al trattamento dei dati personali, nonché ad istruire il personale medesimo con riferimento alle attività di trattamento connesse all’esecuzione dell’accordo di servizio. In particolare, Var Hub S.r.l. s’impegna a fornire al personale autorizzato al trattamento tutte le istruzioni volte a preservare i dati personali oggetto di trattamento dai rischi di distruzione, perdita, modifica, divulgazione non autorizzata, accesso accidentale o illegale.

Inoltre, Var Hub S.r.l. limita l’accesso ai dati personali al solo personale aziendale che sia stato vincolato alla riservatezza, garantendo, peraltro, la conoscenza, da parte dei soggetti autorizzati al trattamento, della normativa in materia di protezione dei dati personali.

Con riferimento al proprio personale aziendale autorizzato al trattamento, Var Hub S.r.l. provvede a verificare, periodicamente, la conformità delle operazioni svolte alle istruzioni ricevute e alla normativa in materia di protezione dei dati personali.

Su richiesta del Titolare del Trattamento, Var Hub S.r.l. esibisce il documento contenente la lista aggiornata dei soggetti autorizzati al trattamento dei dati personali;

d) Identificare e designare per iscritto, in conformità a quanto statuito dal Provvedimento del Garante per la Protezione dei Dati Personali del 27 novembre 2008, così come modificato in base al provvedimento del 25 giugno 2009, gli amministratori di sistema, previa valutazione in ordine alle caratteristiche di capacità, affidabilità ed esperienza dei soggetti designati.

Var Hub S.r.l. provvede, almeno annualmente, a verificare le attività svolte dagli amministratori di sistema al fine di valutarne la rispondenza rispetto alle misure organizzative, tecniche e di sicurezza predisposte a garanzia dei trattamenti dei dati personali.

Inoltre, Var Hub S.r.l. provvede a conservare il documento recante gli estremi identificativi delle persone fisiche preposte alla funzione di amministratori di sistema, per qualsiasi evenienza e ad aggiornarlo ad ogni modifica.

E’ garantita, altresì, la tracciabilità e la registrazione dell’attività di accesso da parte degli amministratori di sistema; le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità. Le registrazioni, inoltre, devono comprendere i riferimenti allo “username” utilizzato, i riferimenti temporali e la descrizione dell'evento (log in e log out) che le ha generate e devono essere conservate per un periodo congruo, non inferiore a sei mesi;

e) Accedere alle banche dati elettroniche del Titolare del Trattamento solo ed esclusivamente ai fini dell’esecuzione delle attività oggetto dell’accordo di servizio ed astenersi dalla creazione di banche dati ulteriori in assenza di espressa autorizzazione del Titolare del Trattamento.

In assenza di espressa autorizzazione, la creazione di nuove banche dati da parte di Var Hub S.r.l. è consentita solo laddove ciò sia strettamente indispensabile allo scopo di adempiere agli obblighi contrattuali e fermo restando il rispetto dell’obbligo di comunicazione preventiva dell’attività medesima nei confronti del Titolare del Trattamento;

f) Controllare che i dati personali siano custoditi e trattati in modo da ridurre al minimo il rischio di distruzione e perdita, anche accidentale, degli stessi, nonché di accesso non autorizzato e trattamento non consentito o non conforme alle finalità per cui i dati personali sono raccolti e trattati. Pertanto, Var Hub S.r.l., nel rispetto di quanto statuito ai sensi dell’art. 32 del Regolamento UE, adotta le misure di sicurezza ritenute necessarie ed adeguate allo scopo di proteggere i dati personali oggetto di trattamento e parametrate in considerazione dell’oggetto dell’accordo di servizio. Ai fini dell’adozione delle misure di sicurezze, Var Hub S.r.l. prenderà in considerazione lo stato dell'arte, i costi di attuazione, la natura, la portata e le finalità del trattamento nonché la probabilità di accadimento e la gravità del rischio per i diritti e le libertà delle persone fisiche.

Resta inteso che le misure di sicurezza sono soggette al progresso tecnico e all'ulteriore sviluppo. In tal senso, Var Hub S.r.l. potrà provvedere all’implementazione delle misure di sicurezza applicate.

In ogni caso Var Hub S.r.l. assicura la predisposizione di un livello di misure di sicurezza almeno equipollente a quello messo in atto dal Titolare del Trattamento;

g) Comunicare al Titolare del Trattamento la verificazione dell’eventuale data breach; la comunicazione medesima è effettuata senza ingiustificato ritardo dal momento dell’avvenuta conoscenza della violazione dei dati personali.

In particolare, Var Hub S.r.l. s’impegna, ove possibile, a comunicare al Titolare del

Trattamento le seguenti informazioni:

• la natura della violazione dei dati personali, le categorie e il numero approssimativo dei soggetti interessati coinvolti, nonché le categorie e il numero approssimativo di registrazione dei dati in questione,

• il nome e i dati di contatto del Responsabile della protezione dei dati personali,

• le probabili conseguenze della violazione dei dati personali,

• le misure adottate o di cui si propone l’adozione al fine di porre rimedio alla violazione dei

dati personali o al fine di attenuarne i possibili effetti negativi.

Var Hub S.r.l. assiste il Titolare del Trattamento, tenendo conto della natura del trattamento medesimo e delle informazioni in suo possesso, nell’adempimento degli obblighi previsti dal Regolamento UE in materia di sicurezza del trattamento, data breach, valutazione d’impatto e consultazione preventiva all’Autorità Garante per la protezione dei dati personali;

h) Collaborare con il Titolare del Trattamento ai fini dell’esercizio, da parte dei soggetti

interessati, dei diritti di cui agli artt. 15 e ss. del Regolamento UE.

In particolare, Var Hub S.r.l. si impegna a dare tempestiva comunicazione, per iscritto, al Titolare del Trattamento delle richieste avanzate dai soggetti interessati e ad essa pervenute, nonché ad evadere le richieste dei soggetti interessati senza ingiustificato ritardo e comunque, al più tardi, entro un mese dal ricevimento delle relative richieste;

i) Comunicare tempestivamente a [RAGIONE SOCIALE CLIENTE] tutte le informazioni da questa richieste in relazione al trattamento dei dati personali, nonché ad informare spontaneamente il Titolare del Trattamento in ordine a qualsiasi situazione di particolare rilievo in materia di trattamento dei dati personali e di sicurezza. In particolare, se del caso, Var Hub S.r.l. provvede a comunicare al Titolare del Trattamento che una sua istruzione si pone in violazione delle previsioni in materia di trattamento dei dati personali; in tal caso, peraltro, Var Hub S.r.l. si asterrà dal porre in essere operazioni di trattamento che siano in violazione della relativa normativa;

j) Var Hub S.r.l. si astiene dal creare copie o duplicati dei dati personali e dall’asportare supporti informatici contenenti i dati personali oggetto di trattamento in assenza di specifica indicazione del Titolare del Trattamento.

4. AFFIDAMENTO A TERZI

[RAGIONE SOCIALE CLIENTE] prende atto che, ai fini della compiuta esecuzione dell’accordo di servizi, Var Hub S.r.l. potrebbe avvalersi di subappaltatori e pertanto accetta, ora per allora, l’affidamento di specifiche attività di trattamento a subappaltatori, fermo restando il rispetto delle seguenti condizioni da parte di Var Hub S.r.l.:

a) Comunicare, su richiesta del Titolare del Trattamento, il nominativo di ciascun Sub- Responsabile di cui ci si intenda avvalere, precisandone le relative funzioni;

b) Provvedere alla regolamentazione dei rapporti con il Sub-Responsabile del Trattamento mediante la conclusione di apposito contratto con quest’ultimo. Il suddetto contratto dovrà individuare i medesimi obblighi e le medesime garanzie previste nel presente contratto.

Si precisa che Var Hub S.r.l. si impegna ora per allora a manlevare e tenere indenne [RAGIONE SOCIALE CLIENTE], i suoi collaboratori, amministratori, dipendenti, successori e agenti da qualsiasi azione, danno, responsabilità, valutazione, perdita, costo, sanzione amministrativa e altra spesa (compresi ragionevoli onorari e spese legali) derivanti da qualsiasi azione legale, pretesa, richiesta, ordine o altro procedimento da parte di terzi (comprese le autorità di controllo) che derivi da una condotta, commissiva o omissiva, del Sub-Responsabile del Trattamento o comunque dei soggetti da esso preposti allo svolgimento delle operazioni di trattamento.

5. DURATA DEL CONTRATTO

Il presente contratto trova applicazione per l’intera durata dell’accordo di servizio fra [RAGIONE SOCIALE CLIENTE] e Var Hub S.r.l., fatta salva l’ipotesi di cessazione anticipata, per qualsiasi causa diversa dal decorso del termine contrattuale, dell’accordo di servizio medesimo.

A seguito della conclusione per qualsiasi causa dell’accordo di servizio o prima su richiesta del Titolare del Trattamento, Var Hub S.r.l. provvede a cancellare o restituire i dati personali, nonché a cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati Membri non preveda la conservazione dei dati personali.

6. CONTROLLI

[RAGIONE SOCIALE CLIENTE], previa consultazione con Var Hub S.r.l., potrà disporre controlli e verifiche sulle operazioni di trattamento, nonché sui livelli di sicurezza messi in atto al fine di valutare la conformità delle attività poste in essere da Var Hub S.r.l. con le istruzioni di cui al presente contratto e con la normativa in materia di trattamento dei dati personali.

Fermo restando che le suddette attività dovranno concordarsi preventivamente nel rispetto delle reciproche esigenze lavorative, Var Hub S.r.l. assicura la piena collaborazione con il Titolare del Trattamento al fine di consentire lo svolgimento delle attività di controllo e verifica.

Inoltre, Var Hub S.r.l., nel caso in cui venga sottoposta ad un’ispezione o ad altra misura equipollente da parte dell’Autorità Garante per la Protezione dei Dati Personali con riferimento al trattamento di dati personali di cui al presente contratto, provvede a fornire immediata comunicazione scritta al Titolare del Trattamento.

7. INTEGRAZIONE E MODIFICA DELLE CLAUSOLE CONTRATTUALI

Le parti si impegnano a modificare ovvero ad integrare, per iscritto, il presente accordo nella misura in cui ciò sia necessario al fine di garantire il rispetto della normativa in materia di trattamento dei dati personali, nonché nei limiti di quanto consentito dalla normativa medesima. Resta inteso che il presente contratto non implica il diritto di Var Hub S.r.l. a percepire uno specifico compenso, indennità o rimborso per l’attività di trattamento dei dati personali.

8. SUBRESPONSABILI

[RAGIONE SOCIALE CLIENTE] autorizza Var Hub S.r.l. a far ricorso ai seguenti sub-responsabili del trattamento per gestire le attività di trattamento specifiche derivanti dal servizio di conservazione dei documenti informatici:

- Namirial S.p.A., con sede legale in Senigallia (AN), Via Caduti sul Lavoro n.4, codice fiscale e partita I.V.A. 02046570426 e iscrizione al Registro delle Imprese di Ancona n.02046570426,

- 2C Solution S.r.l., con sede legale in Xxx Xxxxxx Xxxx x.00, 00000 Xxxxxx (XX), codice fiscale e partita I.V.A. 04030410288.

Var Hub S.r.l. si impegna ad informare previamente e per iscritto il Titolare del Trattamento di ogni cambiamento ravvisato riguardante l’aggiunta o la sostituzione di altri responsabili del trattamento. Questa informazione deve indicare chiaramente le attività di trattamento delegate, l’identità e gli indirizzi del sub-responsabile del trattamento ed i termini del contratto con lo stesso. Il Titolare del Trattamento dispone di un tempo massimo di 5 giorni lavorativi a partire dalla data di ricevimento di questa informazione scritta per presentare le proprie obiezioni. Di conseguenza, il ricorso da parte del Responsabile del Trattamento ad un sub-responsabile del trattamento può essere effettuato solo se il Titolare del Trattamento non ha posto obiezioni durante il tempo stabilito.

Resta inteso che sull’eventuale sub-responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel presente accordo. In ogni caso, qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile del Trattamento conserva nei confronti del Titolare del Trattamento l'intera responsabilità dell'adempimento degli obblighi del sub-responsabile del trattamento.

Luogo e data                                                                                                                 

Firma e timbro del Titolare del Trattamento, [RAGIONE SOCIALE CLIENTE]

Firma e timbro del Responsabile del Trattamento, Var Hub S.r.l.