CONTRATTO PER IL TRATTAMENTO DI DATI PERSONALI
CONTRATTO PER IL TRATTAMENTO DI DATI PERSONALI
Cerved Group S.p.A., con sede legale in San Xxxxxx Xxxxxxxx – 20097 (MI), via dell’Unione Europea 6/a-6/b, Partita IVA IT08587760961 – P.I. Gruppo IT12022630961, numero di iscrizione al Registro delle Imprese MI-2035639 (di seguito, “Cerved”), è una società titolare dell’autorizzazione di pubblica sicurezza di cui all’articolo 134 TULPS ed è distributrice ufficiale di Infocamere s.c.p.a. che gestisce, per conto delle Camere di Commercio, un sistema informatico nazionale relativo ai dati pubblici tenuti per legge dalle stesse Camere di Commercio; Cerved fornisce, direttamente o tramite società partecipate, controllate o partner: servizi di informazione commerciale, rating, media monitoring, elaborazione dati; software e applicativi di collegamento e gestione banche dati; sistemi decisionali; servizi di valutazione, gestione e recupero del credito; servizi di assistenza e consulenza in ambito aziendale, marketing e ricerche di mercato. Cerved ha sviluppato nel tempo ampie competenze anche in ambito ICT per lo sviluppo di software e piattaforme innovative, finalizzati, tra l’altro, alla gestione delle richieste di garanzie coperte dal Fondo Centrale di Garanzia e relative attività connesse, nonché al supporto operativo ai fini della compliance con la normativa antiriciclaggio.
L’esecuzione dei servizi oggetto del rapporto contrattuale a favore del cliente (“Titolare”) comporta il trattamento di dati personali da parte di Cerved (“Responsabile”) per conto del Titolare. Pertanto, con questo Contratto per il Trattamento, il Titolare nomina il Responsabile in conformità alle previsioni di cui all’art. 28 del Regolamento UE 679/2016.
1. DEFINIZIONI
1.1. Ad integrazione delle definizioni e vocaboli contenuti nelle Condizioni Generali e nelle Condizioni Particolari, che si intendono qui integralmente richiamate, si aggiungono. i termini e le espressioni di seguito elencati, che indicati al singolare si intendono anche al plurale e viceversa:
- Autorità di Controllo: indica ogni autorità competente a vigilare ed assicurare l’applicazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali con riferimento al Trattamento dei Dati Personali del Cliente svolti per mezzo del Servizio;
- Categorie Particolari di Dati Personali: indica i Dati Personali che rivelino: l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché il Trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o i dati relativi a condanne penali e a reati o alle relative misure di sicurezza;
- Contratto: indica il contratto, come definito dalle Condizioni Generali, costituito (i) dalle Condizioni Generali, (ii) dalle Condizioni Particolari, nonché (iii) dall’Offerta e, eventualmente, dalla ulteriore documentazione di progetto;
- Contratto per il Trattamento: indica il presente Contratto per il Trattamento dei Dati Personali, inclusi i relativi allegati;
- Dati Personali: indica i Dati Personali, relativi agli Interessati, trattati in relazione al Servizio fornito dal Responsabile nei confronti del Titolare, ossia qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
- Diritti dell’Interessato: sono i diritti riconosciuti all’Interessato dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. Nei limiti di applicabilità del Regolamento, “Diritti dell’Interessato” significa, ad esempio, il diritto di chiedere al Titolare l’accesso, la rettifica o la cancellazione dei Dati Personali, il diritto alla limitazione del Trattamento dei dati dell’Interessato o il diritto di opposizione al Trattamento, nonché il diritto alla portabilità dei dati;
- Interessati: ha il significato previsto dal Regolamento;
- Normativa Privacy: indica il Regolamento (UE) 2016/679 (“Regolamento”), il d.lgs. n. 196 del 30 giugno 2003 (“Codice Privacy”), i suoi allegati e successive modifiche ed integrazioni, nonché qualsiasi altra disposizione normativa applicabile al trattamento dei Dati Personali, già in vigore o che entrerà in vigore nel corso del termine di efficacia del presente Contratto sul Trattamento, ivi compresi i provvedimenti, le linee guida e i pareri del Garante per la protezione dei dati personali, del Gruppo di Lavoro di cui all'Articolo 29 della Direttiva 95/46/EC, del Comitato Europeo per la Protezione dei Dati di cui all'articolo 63 e seguenti del Regolamento e di ogni altra autorità competente in materia, come tempo per tempo applicabili;
- Persone Autorizzate: indica qualsiasi altra persona fisica autorizzata a compiere operazioni di trattamento dei Dati Personali sotto l’autorità del Responsabile;
- Responsabile: indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che Xxxxxx Dati Personali per conto del Titolare. Ai fini del presente Contratto per il Trattamento, il Responsabile è Cerved Group S.p.A.;
- SEE: indica lo Spazio Economico Europeo;
- Servizio: indica il servizio oggetto del Contratto;
- Sub-Responsabile: indica un organismo individuato dal Responsabile per assisterlo nel (o che intraprenda direttamente qualsivoglia) Trattamento dei Dati Personali del Titolare nel rispetto delle obbligazioni previste dal Responsabile e di cui al
presente Contratto per il Trattamento che sia stato espressamente autorizzato dal Titolare;
- Titolare: indica generalmente la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che, da solo o congiuntamente con altri soggetti, determini le finalità e le modalità del Trattamento dei Dati Personali. Ai fini del presente Contratto per il Trattamento, il Titolare è il Cliente, come definito nelle Condizioni Generali;
- Trattare o Trattamento: significa qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a Dati Personali o insiemi di Dati Personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
- Violazione dei Dati Personali: indica la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati.
2. OGGETTO
2.1. Con la sottoscrizione del Contratto per il Trattamento, il Titolare affida al Responsabile tutte – ed esclusivamente – le operazioni di Trattamento dei Dati Personali necessarie per dare piena esecuzione al Contratto. In particolare, il Responsabile potrà trattare esclusivamente le categorie di Dati Personali relative alle categorie di Interessati indicate nell’Allegato I.
2.2. Il Responsabile non potrà effettuare alcuna operazione di Trattamento al di fuori di quelle necessarie in forza di quanto previsto al punto precedente.
2.3. Il Titolare si impegna a comunicare ufficialmente al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di Trattamento dei dati.
2.4. Qualora sorgesse la necessità di trattamenti sui Dati Personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, il Responsabile si impegna ad informare preventivamente – e in tempo utile – il Titolare del Trattamento.
3. OBBLIGHI DEL RESPONSABILE
3.1. Il Responsabile, per quanto di propria competenza, è tenuto – in forza di legge e del presente Contratto per il Trattamento – al rispetto delle disposizioni della Normativa Privacy.
3.2. In particolare, il Responsabile si impegna a:
a. eseguire solo ed esclusivamente i Trattamenti necessari per l’esecuzione delle obbligazioni di cui al Contratto;
b. informare senza ingiustificato ritardo il Titolare qualora ritenga che un’istruzione ricevuta violi la Normativa Privacy;
c. adottare il registro delle attività di trattamento di cui all’articolo 30 del Regolamento;
d. laddove il Contratto implichi l’esecuzione di Servizi con mansioni di “Amministratore di Sistema”, rispettare le previsioni contenute nel provvedimento del Garante per la protezione dei Dati Personali del 27 novembre 2008, come modificato in base al provvedimento del 25 giugno 2009;
e. consentire le operazioni di Trattamento esclusivamente alle Persone Autorizzate che, in forma scritta, si siano impegnate alla riservatezza – o, comunque, sui quali grava un adeguato obbligo legale di riservatezza – e la cui attività sia strettamente necessaria per dare esecuzione al Contratto;
f. mettere a disposizione del Titolare, su richiesta di quest’ultimo, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 del Regolamento, inoltre consentendo e contribuendo alle attività di revisione,
comprese le ispezioni, realizzati dal Titolare o da un altro soggetto da questi incaricato;
g. su richiesta del Titolare, cooperare con quest’ultimo nelle procedure davanti al Garante o all’autorità giudiziaria in relazione alle attività rientranti nella sua competenza, fornendo l’assistenza necessaria al Titolare per assicurare il rispetto della Normativa Privacy;
h. alla cessazione del Contratto/dell’esecuzione dei Servizi, cancellare e/o riconsegnare i Dati Personali oggetto del Trattamento entro il termine massimo di 60 (sessanta) giorni dalla richiesta del Titolare, sul quale grava l’osservanza del principio di conservazione. In difetto di richiesta, la cancellazione avverrà entro il termine massimo di 90 (novanta) giorni dalla cessazione del Contratto, salvo ulteriori obblighi di conservazione previsti direttamente ed esclusivamente in capo al Responsabile.
4. MISURE DI SICUREZZA
4.1. In conformità a quanto previsto dall’articolo 32 del Regolamento e per quanto di sua competenza, il Responsabile adotta le misure di sicurezza tecniche e organizzative adeguate a garantire la sicurezza dei Trattamenti, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del Trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
4.2. In particolare, il Responsabile:
a. è certificato ISO 9001:2015 (Sistemi di gestione per la qualità) e ISO 27001:2017 (Sistemi di gestione della sicurezza delle informazioni), osservandone i relativi controlli;
b. aderisce al “Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale” – approvato dal Garante per la protezione dei dati personali con il Provvedimento del 29 aprile 2021 – essendo pertanto soggetto all’attività di controllo dell’Organismo di Monitoraggio ivi previsto (art. 12 del Codice di Condotta);
c. adotta un proprio modello organizzativo privacy, nel quale sono individuati i compiti e le funzioni degli appartenenti all’organizzazione aziendale per quanto riguarda la protezione dei dati personali;
d. adotta policies e procedure al fine di garantire la corretta osservanza degli obblighi prescritti dalla Normativa Privacy.
4.3. Ove non altrimenti riportato nella documentazione condivisa tra le Parti, l’elenco delle misure di sicurezza applicabili al Trattamento è reso disponibile dal Responsabile al Titolare, su richiesta di quest’ultimo.
5. SUB-RESPONSABILI
5.1. Il Responsabile ricorre agli eventuali Sub-Responsabili indicati nell’Allegato I.
5.2. Il Cliente, in via generale e preventiva, autorizza il Responsabile a ricorrere ad ulteriori Sub-Responsabili, che verranno selezionati dal Responsabile tra soggetti che per esperienza, capacità e affidabilità forniscano garanzie sufficienti in ordine al rispetto della Normativa Privacy.
5.3. Il Responsabile si impegna a stipulare specifici contratti, o altri atti giuridici, con i Sub-Responsabili a mezzo dei quali il Responsabile descriva analiticamente i loro compiti e imponga a tali soggetti di rispettare i medesimi obblighi, per quanto riguarda la protezione dei Dati Personali, imposti dal Titolare sul Responsabile, affinché sia garantito il rispetto della Normativa Privacy.
5.4. Qualora il Sub-Responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile riconosce di conservare nei confronti del Titolare la responsabilità dell’adempimento degli obblighi dei Sub-Responsabili coinvolti, secondo quando previsto dagli articoli 28 e 82 del Regolamento.
6. TRASFERIMENTI DEI DATI EXTRA UE/SEE
6.1. Qualora il Servizio comporti il trasferimento dei Dati Personali verso un Paese Non Adeguato, il Responsabile ne darà informazione al Titolare, raccogliendone l’autorizzazione al trasferimento.
6.2. In ogni caso, il trasferimento dei Dati Personali avverrà nel rispetto delle istruzioni ricevute dal Titolare e delle condizioni previste dal
Capo V del Regolamento.
7. VIOLAZIONE DEI DATI PERSONALI
7.1. In caso di Violazione dei Dati Personali, il Responsabile informerà il Titolare della circostanza senza ingiustificato ritardo e, comunque, entro 48 (quarantotto) ore dalla relativa rilevazione, inviando una comunicazione ai dati di contatto messi a disposizione dal Titolare. A tal fine, il Responsabile potrà utilizzare il modello di comunicazione contenuto nell’Allegato II.
7.2. Il Responsabile fornirà l’assistenza necessaria al Titolare, affinché quest’ultimo possa adempiere agli obblighi di cui agli articoli da 32 a 36 del Regolamento.
8. DIRITTI DEGLI INTERESSATI
8.1. Nei limiti delle operazioni di Trattamento dei Dati Personali effettuate dal Responsabile, qualora il Responsabile riceva istanze degli Interessati per l’esercizio dei diritti di cui agli artt. 15-22 del Regolamento, il Responsabile ne darà comunicazione al Titolare, fornendo copia della richiesta ricevuta.
8.2. Per quanto di sua competenza, il Responsabile fornirà l’assistenza necessaria affinché il Titolare possa disporre delle informazioni per riscontrare le richieste avanzate dagli Interessati. Resta inteso che l’obbligo di dare seguito alle richieste avanzate dagli Interessati grava solo ed esclusivamente sul Titolare.
9. AUDIT
9.1. In caso di ispezioni da parte del Titolare presso la sede e/o i sistemi e/o applicativi del Responsabile, il Titolare dovrà, prima dell’avvio delle attività (i) inviare richiesta scritta al Responsabile dando almeno 30 (trenta) giorni di preavviso, (ii) concordare con il Responsabile i tempi e le modalità, nonché l'oggetto di tale ispezione che dovrà in ogni caso limitarsi ai Dati Personali oggetto del Trattamento, (iii) sottoporre il proprio personale o eventuali soggetti terzi incaricati dell’ispezione ad adeguati vincoli di riservatezza, da concordare con il Responsabile.
9.2. Il Responsabile potrà opporsi alla nomina da parte del Titolare di soggetti terzi incaricati che, ad insindacabile giudizio del Responsabile, non offrano adeguate garanzie di indipendenza o che siano concorrenti del Responsabile. In tali circostanze, il Titolare sarà tenuto a individuare altri soggetti terzi o a condurre le ispezioni in proprio.
9.3. In caso di richieste eccessive e/o che richiedano un impegno sproporzionato delle risorse del Responsabile (in termini di tempi e costi), il Responsabile potrà addebitare al Titolare un costo, da concordarsi tra le Parti, fermi restando a carico esclusivo del Titolare tutti i costi delle attività dallo stesso commissionate a terzi.
9.4. Le ispezioni che interessino eventuali Sub-Responsabili saranno svolte nel rispetto delle regole di accesso e delle politiche di sicurezza dei Sub-Responsabili.
10. RESPONSABILITÀ
10.1. In conformità a quanto previsto dall’articolo 82 del Regolamento, in caso di danni derivanti dal Trattamento, il Responsabile manterrà manlevato e indenne il Titolare da qualsiasi danno, pretesa, risarcimento, costo, onere, spesa e/o sanzione che siano imputabile al Responsabile e/o ai Sub-Responsabili e che derivino da una violazione da parte degli stessi (i) degli obblighi della Normativa Privacy specificatamente diretti al Responsabile, (ii) di quelli previsti nel presente Contratto sul Trattamento o (iii) delle legittime istruzioni del Titolare.
11. COMUNICAZIONI
11.1. Tutte le comunicazioni indirizzate al Titolare dovranno essere inviate ai recapiti indicati nell’Offerta.
11.2. Le comunicazioni e le notifiche a Cerved andranno invece inviate all’indirizzo xxxxxx_xxxxxxxxxxxxxxxxx@xxx.xxxxxx.xxx o tramite posta raccomandata A/R presso l’indirizzo della sede legale indicato in epigrafe.
11.3. Eventuali variazioni dei recapiti dovranno essere tempestivamente comunicate, fermo restando che tali variazioni saranno eccepibili a Cerved solo a seguito di tale comunicazione.
*** *** ***
“Descrizione del Trattamento, categorie di Dati Personali e di Interessati”
Natura del Trattamento
Trattamento effettuato con modalità manuali ed automatizzate volto alla registrazione, organizzazione, strutturazione, conservazione, estrazione, consultazione, uso, raffronto o interconnessione ed, eventualmente, modifica e/o comunicazione e/o cancellazione dei dati personali di seguito meglio specificati.
Finalità del Trattamento
Trattamento effettuato con finalità antifrode e/o di compliance rispetto agli obblighi imposti dalla normativa AML e CFT.
Categorie di Interessati
I Dati Personali trattati riguardano le seguenti categorie di Interessati: Clienti e Fornitori.
Tipologia di Dati Personali
I trattamenti effettuati dal Fornitore per conto del Titolare del Trattamento riguardano le seguenti categorie di Dati Personali: dati identificativi previsti dalla normativa AML in tema di adeguata verifica della clientela, dati personali relativi a condanne penali e a reati eventualmente riscontrati sulle banche dati specializzate, interrogate con tali finalità.
Durata del trattamento
Il trattamento avrà durata fino alla scadenza del contratto.
“Scheda evento per segnalazione violazioni di dati”
SCHEDA EVENTO | |
[NR. SCHEDA/ANNO] (Ad esempio, 01/2024) | |
Azienda segnalante dell’evento/violazione dei dati personali (specificare se in qualità di titolare o come responsabile di aziende terze) | |
Dati identificativi e di contatto del referente/segnalante | |
Data e ora in cui si è avuta conoscenza dell’evento/ violazione | |
Fonte e modalità attraverso la quale si è avuta conoscenza dell’evento/violazione | |
Data e ora in cui si è verificato l’evento/la violazione, anche solo presunta (in questo caso, specificare che è presunta); | |
Luogo in cui è verificato l’evento/la violazione | |
Soggetti coinvolti (specificare se nel ruolo di titolare, contitolare, responsabile, ecc.) | |
Descrizione dell’evento/della violazione (incluse potenziali cause, numero e categoria di interessati coinvolti, quantità e tipologia di dati interessata dall’evento ecc.) | |
Misure di sicurezza/mitigazione del rischio adottate in relazione all’evento/alla violazione | |