ACCORDO DI TRATTAMENTO DEI DATI
ACCORDO DI TRATTAMENTO DEI DATI
tra
Associazione Artigiani della Provincia di Cuneo Service s.r.l., in persona del legale rappresentante, con sede in Cuneo, via I Maggio n.8; tel.: 0171/451111; e-mail: xxxxxxx@xxxxxxxxx.xxx;
C.F. e P. IVA: 01922380041 (di seguito denominato anche semplicemente “Confartigianato” o “il Responsabile”).
e
il Cliente dei servizi forniti dal Responsabile (di seguito denominato anche semplicemente “Impresa” o “Titolare”)
, in persona del legale rappresentante, con sede in
, via
C.F. e P. IVA PEC
(di seguito denominato anche semplicemente “Impresa” o “Titolare”)
premesso che
• il Titolare e il Responsabile hanno stipulato un contratto di fornitura di servizi, in forza del quale il Responsabile fornisce al Titolare i Servizi scelti dallo stesso Titolare (di seguito denominato il “Contratto”);
• l’esecuzione del Contratto comporta il trattamento, da parte del Responsabile, di Dati Personali (come di seguito definiti) di cui l’Impresa è titolare del trattamento ai sensi dell’art. 4, n. 7) del GDPR;
• più precisamente, il trattamento dei Dati Personali da parte del Responsabile rientra nell'ambito di applicazione dell’art. 28 del GDPR e, pertanto, Confartigianato si qualifica quale responsabile del trattamento ai sensi dell’art. 4, n. 8) del GDPR;
• alla luce di quanto precede, è intenzione delle Parti disciplinare con il presente Accordo di trattamento dei dati (di seguito denominato “DPA”) il trattamento dei Dati Personali da parte del Responsabile in accordo con la Normativa Privacy;
• ai fini del presente DPA, valgono le definizioni del Glossario allegato al presente Accordo (All. 1);
tutto ciò premesso, le Parti convengono quanto segue.
1. Dichiarazioni delle Parti
1.1. Il Responsabile dichiara di possedere esperienza, capacità e affidabilità idonee a garantire il rispetto della Normativa Privacy, ivi compreso il profilo relativo alla sicurezza, ed in ogni caso di essere in grado di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate alle indicazioni del Titolare, in modo tale che il Trattamento soddisfi i requisiti della Normativa Privacy e garantisca la tutela dei diritti dell’Interessato.
1.2. Il Titolare autorizza espressamente il Responsabile, ai sensi dell’art. 28, par. 2, del GDPR), a ricorrere ai Sub-responsabili comunque indicatigli.
1.3. Il Responsabile informerà il Titolare (senza obblighi di forma) di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri Sub-responsabili ed il Titolare potrà, entro il termine di dieci giorni dal ricevimento di tale informativa, espressamente opporsi: in mancanza, il Responsabile si intenderà autorizzato a ricorrere anche a tali altri Sub- responsabili.
2. Oggetto del DPA
2.1. Il presente Contratto disciplina le istruzioni che il Titolare impartisce al Responsabile ai fini del Trattamento nonché termini, condizioni e reciproci diritti, obblighi e responsabilità connessi al Trattamento.
2.2. Il Responsabile effettua il Trattamento per conto del Titolare in esecuzione del Contratto.
2.3. In relazione ai trattamenti effettuati autonomamente (cioè di cui ne determina le finalità e i mezzi), il Responsabile assume il ruolo di titolare del trattamento e tali attività non sono regolate dal presente DPA.
3. Natura e finalità del Trattamento, tipo di Dati Personali e categorie degli Interessati
3.1. Il Trattamento ha le seguenti caratteristiche:
a) Modalità: informatizzata/cartacea;
b) Finalità: erogazione dei servizi di cui al Contratto e di quanto ad essi connesso e/o conseguente;
c) Durata (periodo di conservazione dei Dati): fino alla data di Cessazione del Contratto di cui in premessa e successivi eventuali termini di legge.
3.2. Le categorie di Interessati e di Dati Personali sono indicate dal Titolare nelle specifiche integrative di ogni servizio e nella relativa Tabella descrittiva (xxxxx://xxxxx.xxxxxxxxxxxxxxx.xx/xxxxxx/xxxxxxx_xxxxxxxxx
/Tabella_categorie_dati_personali.pdf), consultabile sul portale Impresa Digitale di Confartigianato e oggetto di costante aggiornamento (il Titolare si assume la paternità di tale indicazione anche nel caso in cui le stesse categorie siano proposte dal Responsabile: il Titolare ha, infatti, l’espresso obbligo di verificarle e, se del caso, modificarle o comunque richiedere le modifiche necessarie).
4. Diritti del Titolare
4.1. Il Titolare ha diritto di chiedere la cessazione e/o la sospensione del Trattamento qualora essa sia imposta dalla necessità di adempiere a divieti o obblighi derivanti dalla Normativa Privacy o dalla Normativa Applicabile, e/o a provvedimenti dell’Autorità di Controllo o dall’Autorità Giudiziaria.
5. Obblighi del Titolare
5.1. Il Titolare ha l’obbligo di:
a) eseguire il Trattamento nel rispetto della Normativa Privacy e dell’ulteriore Normativa Applicabile;
b) impartire legittime istruzioni al Responsabile in merito al Trattamento conformi alla Normativa Privacy e alla Normativa Applicabile;
c) fornire e verificare espressamente le indicazioni di cui al precedente punto 3.2 nonché integrarle/aggiornarle, quando ci siano eventuali modifiche.
6. Diritti del Responsabile
6.1. Il Responsabile ha diritto di:
a) inoltrare al Titolare, senza ingiustificato ritardo, ogni richiesta da parte degli Interessati;
b) regresso, nei confronti del Titolare, della parte di somma già pagata dal Responsabile a titolo di risarcimento del danno, corrispondente alla parte di responsabilità del Titolare stesso.
7. Obblighi del Responsabile
7.1. Il Responsabile ha l’obbligo di:
a) eseguire il Trattamento conformemente al presente DPA;
b) far eseguire ai Sub-responsabili le operazioni di Trattamento conformemente al presente DPA, impartendo loro le istruzioni scritte definite dal Titolare;
c) informare il Titolare dopo essere venuto a conoscenza di una Violazione di Xxxx;
d) far sottoscrivere agli Autorizzati e/o agli eventuali amministratori di sistema, di cui al Provvedimento del 27.11.2008 così come modificato dal Provvedimento del 25.06.2009 del Garante per la Protezione dei Dati Personali, impegni scritti alla riservatezza (esclusa l’ipotesi in cui essi siano già destinatari di un obbligo di riservatezza imposto dalla Normativa Applicabile) e al divieto di Comunicazione e/o diffusione dei Dati Personali nonché di impartire loro istruzioni conformi alle Normativa Privacy;
e) mettere in atto preventivamente, tenuto conto dello stato dell’arte e dei costi di attuazione, le misure tecniche e organizzative idonee e comunque adeguate al Trattamento
per garantirne la sicurezza, con riferimento a quanto indicato all’art. 32 del GDPR;
f) collaborare con il Titolare per l’attuazione delle prescrizioni eventualmente impartite da un’Autorità di Controllo.
8. Facoltà del Titolare
8.1. Il Titolare ha facoltà di:
a) richiedere la collaborazione del Responsabile, ove possibile e tenuto conto della natura del Trattamento, nelle attività relative all’obbligo del Titolare stesso di dare seguito alle richieste per l’esercizio dei diritti formulate dagli Interessati secondo la Normativa Privacy;
b) richiedere la ragionevole collaborazione del Responsabile ai fini del rispetto degli obblighi di sicurezza, di quelli relativi alla Notifica di una Violazione di Dati, alla Comunicazione della Violazione agli Interessati e sulla Consultazione Preventiva.
8.2. Si specifica che il prezzo delle prestazioni di cui ai precedenti
p. 8.1.a ed 8.1.b non è compreso nel canone del Contratto nè sono rese dal Responsabile a titolo gratuito, ma verranno da esso quotate di volta in volta, a seconda dell’attività necessaria al loro espletamento.
9. Obblighi delle Parti
9.1. Le Parti si obbligano reciprocamente a:
a) informare l’altra Parte di ogni richiesta, ordine o controllo da parte di una o più Autorità o da soggetti da queste autorizzati e/o delegati (a mero titolo di esempio, la Polizia Giudiziaria o l’Autorità Giudiziaria di qualunque Paese del mondo);
b) mettere tempestivamente al corrente l’altra Parte di ogni eventuale circostanza che impedisca a ciascuna di adempiere agli impegni di cui al presente DPA.
10. Responsabilità
Il Responsabile risponde dei danni patrimoniali e non patrimoniali nei confronti del Titolare o degli Interessati, nel solo caso di suo comprovato inadempimento alle disposizioni di legge o di cui al presente DPA e la dimostrazione che l’evento dannoso gli è direttamente - ed in modo esclusivo – imputabile ed inequivocabilmente causato dall’inadempimento stesso.
11. Durata e Cessazione dell’Accordo
11.1. Il presente DPA ha la medesima durata del Contratto.
11.2. Al momento della cessazione della prestazione dei servizi oggetto del Contratto, per qualunque motivo, il Responsabile dovrà interrompere ogni attività di Trattamento, cancellando tutti i Dati Personali in suo possesso, senza trattenerne alcuna copia (assicurandosi che anche i Sub-responsabili facciano lo stesso), salvo che: (i) norme di legge impongano al Responsabile la conservazione dei Dati Personali; o (ii) la conservazione dei Dati Personali sia indispensabile per tutelare i diritti del Responsabile; o (iii) il Titolare ne richieda per iscritto, prima della cessazione della prestazione dei servizi, la conservazione ulteriore per un periodo determinato, restando inteso che tale richiesta dovrà indicare i motivi alla base della stessa, che alla scadenza del periodo ulteriore si applicheranno le altre disposizioni del presente articolo; iv) la conservazione dei Dati Personali da parte (anche) del Responsabile sia indispensabile per tutelare i diritti o per adempiere obblighi del Titolare.
11.3. Gli eventuali costi della conservazione ultronea di cui ai precedenti punti 11.2, iii) e 11.2. iv), saranno a carico del Titolare, salvo diversamente concordato.
12. Comunicazioni
12.1. Ove non diversamente indicato, tutte le comunicazioni da inviarsi in esecuzione del presente DPA dovranno essere formulate per iscritto (anche via PEC) e dovranno ritenersi ricevute alla data della loro comprovata ricezione, ai recapiti contenuti in epigrafe o sui Pubblici Xxxxxxx.
13. Altre norme
13.1.Gli Allegati sono parte integrante e sostanziale del presente DPA.
13.2.Qualsiasi modifica del DPA e/o degli Allegati deve essere
concordata con atto sottoscritto da entrambe le Parti.
13.3.L’eventuale nullità di una o più clausole del presente DPA non incide sulla validità del DPA nel suo complesso o del Contratto.
13.4.Per quanto non espressamente previsto si rinvia al Contratto e alla Normativa Applicabile.
00.0.Xx foro competente in via esclusiva, per qualsiasi eventuale controversia relativa al DPA, è quello di cui al Contratto.
13.6.Le parti dichiarano che il presente Accordo non rappresenta un modulo o un formulario predisposto da una di esse, ma di aver specificamente redatto, discusso e concordato ogni clausola dell’Accordo stesso.
Allegati:
- All. 1: Glossario;
- All. 2: Informativa Confartigianato; Cuneo,
ALLEGATO 1 GLOSSARIO
“Autorità di Controllo”: l’autorità pubblica indipendente istituita da uno Stato dell’Unione Europea, o dall’Unione Europea stessa, incaricata di sorvegliare l’applicazione della Normativa Privacy (per l’Italia il Garante per la Protezione dei Dati Personali, xxx.xxxxxxxxxxxxxx.xx), o altra autorità di controllo indipendente incaricata della sorveglianza dell’applicazione di qualunque altra Normativa Applicabile.
“Autorizzato”: la persona fisica individuata dal Titolare o dal Responsabile che tratta i dati sotto l’autorità diretta del Titolare o del Responsabile.
“Codice Privacy”: il D. Lgs. 196/2003 e successive modificazioni e/o integrazioni.
“Codici di Condotta”: i documenti di cui all’art. 40 del GDPR. “Comitato”: il Comitato europeo per la protezione dei dati, istituito dall’art. 68 del GDPR e disciplinato dagli artt. da 68 a 76 del GDPR, che sostituisce il WP29 dal 25/5/2018.
“Comunicazione”: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'Interessato, dal rappresentante del Titolare nel territorio dello Stato, dal Responsabile e dagli Autorizzati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
“Comunicazione della Violazione agli Interessati”: il procedimento previsto dall’art. 34 del GDPR.
“Consultazione Preventiva”: le attività previste dall’art. 36 del GDPR.
“Contratto”: l’accordo di servizi in essere tra le Parti ed indicato nella premessa.
““Dati Personali” (anche al singolare): “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”, come definito dall’art. 4, sottoparagrafo 1, n. 1, del GDPR, che il Responsabile tratta per conto del Titolare nel corso dell’esecuzione del Contratto. “GDPR”: il Regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”; “Interessato” (anche al plurale): “la persona fisica identificata o identificabile”, come definito dall’art. 4, n. 1 del GDPR, al quale si riferiscono i Dati Personali.
“Normativa Applicabile”: una qualunque disposizione, di qualunque rango, appartenente al diritto italiano o a quello dell’Unione Europea, in qualunque modo applicabile all’oggetto del presente Contratto.
“Normativa Privacy”: il GDPR e l’ulteriore normativa applicabile, di qualunque rango, inclusi i pareri del WP29 e, dal 25/5/2018, del Comitato; il Codice Privacy”, nonché i Provvedimenti Generali emessi ai sensi dell’art. 154 comma 1 lett. c) e h).
“Notifica della Violazione di Dati”: il procedimento previsto dall’art. 33 del GDPR.
“Parte” o “Parti”: a seconda dei casi, il Titolare, il Responsabile, o entrambi.
“Pubblici Elenchi”: gli elenchi di indirizzi PEC di cui all'art. 16-ter D.L. 179/2012.
“Registro dei Trattamenti”: il documento previsto dall’art. 30.2 del GDPR.
“Registro delle Violazioni di Dati”: l’elenco delle eventuali Violazioni di Xxxx, tenuto dal Titolare e/o dal Responsabile.
“Sub-responsabile”: qualunque soggetto, persona fisica o giuridica, terzo rispetto alla organizzazione del Responsabile cui questo affida la prestazione dei servizi oggetto del Contratto o parte di essi e che, per tale ragione, effettui attività di Trattamento o comunque abbia accesso ai Dati Personali.
“Terzo” o “Terzi”: “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile”, come definito dall’art. 4, sottoparagrafo 1, n. 10, del GDPR.
“Trattamento”: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”, come definito dall’art. 4, n. 2, del GDPR, relativo ai Dati Personali.
“Violazione di Dati”: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”, come definita dall’art. 4, n. 12, del GDPR.
ALLEGATO 2
Informativa sul trattamento dei dati personali dei Clienti
Con il presente documento intendiamo informare, ai sensi dell’art.13 del Regolamento (UE) 2016/679 (di seguito GDPR), i clienti che fruiscono dei servizi erogati dall’Associazione Artigiani della Provincia di Cuneo Service s.r.l. sui dati personali che sono oggetto di trattamento, sui motivi per i quali vengono trattati e sui diritti che possono esercitare.
Titolare del trattamento
I Suoi dati personali saranno trattati, in qualità di Contitolari del trattamento, dall’Associazione Artigiani della Provincia di Cuneo Service s.r.l. e da Confartigianato Imprese - Associazione Artigiani della Provincia di Cuneo, entrambe con sede in Cuneo, Via I Maggio n.8 (di seguito, il “Titolare”).
Finalità del trattamento
I dati personali trattati - forniti volontariamente dal Cliente in occasione di incontri e/o telefonate, richieste di informazioni, richiesta di adesione a uno o più servizi, richieste/accettazione di offerte o preventivi, sono trattati per le seguenti finalità:
1) esecuzione di obblighi derivanti dal contratto di servizi quale il Cliente è parte e/o adempimento, prima o dopo l’esecuzione del contratto, di specifiche richieste del Cliente;
2) gestione organizzativa, amministrativa, contabile e commerciale del contratto;
3) gestione degli adempimenti di natura amministrativa, contabile, civilistica, fiscale e degli obblighi previsti in materia di antiriciclaggio ai sensi del D. Lgs. 231/2007 alla cui osservanza è tenuto il Titolare del trattamento;
4) gestione di possibili contenziosi;
5) analisi statistiche interne;
6) invio di comunicazioni, aggiornamenti tecnici e normativi, segnalazione di accordi, convenzioni, opportunità commerciali, convocazioni, presentazione di atti, documenti, iniziative di vario genere.
I dati del Cliente non verranno utilizzati per finalità diverse e ulteriori rispetto a quelle descritte nella presente informativa, se non informandoLa previamente e, ove necessario, ottenendo il Suo consenso.
Base giuridica del trattamento
Il trattamento dei dati personali per le finalità sopra indicate è lecito in quanto:
- esecuzione del contratto di cui il Cliente è parte o delle misure precontrattuali adottate su sua richiesta, ai sensi dell’art. 6 lett.b GDPR;
- adempimento di un obbligo legale a cui è soggetto il Titolare del trattamento, ai sensi dell’art.6 lett.c GDPR;
- perseguimento del legittimo interesse del Titolare, ai sensi dell’art. 6 lett. f GDPR (es. perseguimento delle finalità statutarie o, se necessario, esercizio/difesa di diritti dell’impresa in sede giudiziaria).
Il conferimento dei dati per gli adempimenti richiesti e sanzionati dalla legge è obbligatorio e l’eventuale rifiuto a fornirli comporta l’impossibilità di eseguire i servizi richiesti; per il resto, il conferimento dei dati è facoltativo ma necessario per migliorare la qualità e l’efficienza del servizio; sicché, l’eventuale rifiuto comporta l’impossibilità per il Titolare di dare seguito all’instaurando rapporto, alla sua puntuale esecuzione e ai servizi di assistenza.
Modalità di trattamento
Il trattamento dei dati personali è realizzato sia con strumenti/supporti cartacei sia elettronici/informatici/telematici per mezzo delle operazioni indicate all’art. 4 n.2) GDPR e precisamente: raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, cancellazione e distruzione dei dati.
Periodo di conservazione dei dati
I dati personali sono conservati per il tempo necessario ad adempiere alle finalità indicate e comunque nel rispetto dei termini di legge.
Decorso tale periodo i dati saranno cancellati e/o resi anonimi in modo da non permettere, anche indirettamente o collegando altre banche di dati, di identificare gli interessati, fatta salva la necessità di conservare i dati per rispondere agli obblighi previsti dalla normativa applicabile vigente anche successivamente alla cessazione delle operazioni di trattamento.
Destinatari dei dati
I dati personali trattati non vengono diffusi ovvero non ne viene data conoscenza a soggetti indeterminati in nessuna possibile forma, inclusa quella della loro messa a disposizione o semplice consultazione. Possono, invece, essere comunicati a soggetti legittimati ad accedervi in forza di disposizioni di legge, regolamenti, normative comunitarie, ai lavoratori che operano alle dipendenze del Titolare, autorizzati al trattamento e informati in materia di data protection ai sensi dell’art.29 GDPR nonché a soggetti esterni che con esso collaborano e che debbano fornire beni o eseguire su incarico del Titolare prestazioni o servizi, designati Responsabili del trattamento ai sensi dell’art.28 GDPR, previa valutazione della presenza di garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti GDPR e garantisca la tutela dei diritti dell’interessato. Infine, possono essere comunicati ai lavoratori che operano alle dipendenze di Confartigianato Imprese Cuneo, ad altri soggetti partecipati e/o ad altri soggetti terzi comunque facenti parte del Sistema Confartigianato Nazionale.
Trasferimento dei dati
In nessun caso il Titolare trasferisce i dati personali in paesi terzi o a organizzazioni internazionali. Tuttavia, si riserva la possibilità di utilizzare servizi in cloud; nel qual caso, i fornitori dei servizi saranno selezionati tra coloro che forniscono garanzie adeguate, così come previsto dall’art. 46 GDPR 679/16.
Diritti dell’interessato
In qualsiasi momento l’interessato potrà chiedere al Titolare, ai sensi degli artt.15 e 22 GDPR, l’accesso ai dati che lo riguardano, la loro cancellazione, la rettifica dei dati inesatti, la limitazione del trattamento nei casi previsti dall’art.18 del GDPR, l’opposizione al trattamento nelle ipotesi di legittimo interesse del titolare nonché la portabilità dei dati.
Inoltre, ai sensi dell’art.7 par.3 GDPR l’interessato può esercitare in qualsiasi momento il diritto di revoca del consenso, senza che venga pregiudicata la liceità del trattamento basata sul consenso prestato antecedentemente. L’interessato può altresì proporre reclamo dinanzi all’Autorità di Controllo, che in Italia è il Garante per la Protezione dei Dati Personali.
Per esercitare tali diritti, segnalare problemi o chiedere chiarimenti sul trattamento dei propri dati personali l’interessato può inviare una mail al seguente indirizzo xxxxxxx@xxxxxxxxx.xxx, specificando l’oggetto della richiesta, il diritto che intendete esercitare e allegando fotocopia di un documento di identità che attesti la legittimità della richiesta.
Modifiche e aggiornamenti
La presente informativa potrebbe essere soggetta a modifiche e/o integrazioni, anche quale conseguenza dell’aggiornamento della normativa applicabile. L’informativa aggiornata sarà consultabile sul sito, nella sezione Privacy. Invitiamo pertanto l’interessato a visitare con regolarità tale sezione per prendere cognizione della più recente e aggiornata visione della Privacy Policy.