TRA
CONTRATTO PER IL TRATTAMENTO DEI DATI PERSONALI, AI SENSI DELL'ARTICOLO 28 DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (n. 2016/679/UE)
TRA
[-], con sede legale in [-], C.F. e X.XXX [-], in persona di [-], nella sua qualità di [-] (di seguito "Società" o "Titolare")
E
Sixtema S.p.A., con sede legale in Xxx Xxxxx x Xxxxxxxxxxx, 00, 00000 – Xxxx, CF-P.IVA 09884901001, in persona del Xxxx. Xxxxxxx Xxxxxxxxxx, nella sua qualità di Amministratore Delegato (di seguito "Sixtema" o "Responsabile")
La Società e Sixtema di seguito indicate, ciascuna singolarmente, anche "Parte" e, congiuntamente, "Parti".
Premesso che
X. Xxxxxxx e la Società hanno concluso, un contratto avente ad oggetto la fornitura di un Servizio (di seguito, “Accordo”), del quale il presente contratto costituisce allegato e parte integrante, così come meglio ivi indicato e specificato;
B. per l'esecuzione del suddetto Accordo, Sixtema è tenuta a svolgere, per conto della Società, attività di trattamento di dati personali (raccolta, accesso, utilizzazione, archiviazione, protezione, cancellazione) di cui la Società è titolare, ai sensi dell'art. 4, par. 1, n. 2), del Regolamento generale sulla protezione dei dati n. 679/2016/UE (di seguito, "Regolamento"); Sixtema è in grado di porre in essere misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli interessati;
C. I dati trattati nell’ambito del Servizio sono i dati dei clienti e/o dipendenti e collaboratori del Titolare del Trattamento e/o dei soggetti i cui dati vengono trattati dal Titolare per l’adempimento di propri obblighi contrattuali o per la esecuzione del servizio (“Categoria dei soggetti interessati”) ed in generale :
- dati anagrafici e identificativi (e.g., nome, cognome, codice fiscale, partita IVA);
- dati di contatto, quali indirizzo fisico, indirizzo di posta elettronica, numero di telefono;
- azienda/studio, settore, ruolo lavorativo, funzione;
- informazioni necessarie per finalità di pagamento e/o fatturazione;
- ogni altra informazione necessaria per l’instaurazione e successiva esecuzione del contratto o per attività a ciò accessorie o funzionali;
- dati appartenenti a categorie particolari (art. 9 del regolamento), dati, in genere, riferiti alla salute o all’appartenenza sindacale.
D. ai sensi dell'art. 28 del Regolamento, le Parti con il presente contratto (di seguito, "Contratto") intendono disciplinare le attività di trattamento dei dati personali di cui la Società è titolare ad opera di Sixtema.
Tutto ciò premesso, le Parti convengono e stipulano quanto segue.
1. Premesse
1.1. Le premesse costituiscono parte integrante e sostanziale del presente Contratto.
2. Obblighi del Titolare
2.1. Fermo restando quanto sancito dalle disposizioni di legge e regolamentari applicabili, il Titolare è obbligato a:
2.1.1. determinare la tipologia di dati personali che il Responsabile può trattare nell’ambito del rapporto stabilito tra le Parti, e fornire chiare e precise istruzioni per iscritto a Sixtema in merito al trattamento configurato;
2.1.2. garantire che agli interessati siano state fornite sufficienti informazioni, in conformità con le disposizioni applicabili in materia di protezione dei dati personali, in merito al trattamento dei loro dati personali;
2.1.3. garantire che sussiste una base legale per il trattamento dei dati personali degli interessati, inclusi i necessari consensi qualora siano richiesti dalle norme applicabili in materia di protezione dei dati personali;
2.1.4. garantire che il trattamento che Sixtema è tenuta ad effettuare per conto della Società, ai sensi del presente Contratto, avvenga nel rispetto di tutti i doveri e gli obblighi che gravano sul Titolare ai sensi delle disposizioni applicabili in materia di protezione dei dati personali.
3. Obblighi del Responsabile
3.1. Fatti salvi gli altri obblighi previsti dalle disposizioni di legge e regolamentari applicabili, il Responsabile è obbligato a:
3.1.1. trattare i dati personali soltanto sulla base del presente Contratto e di ogni altra istruzione impartita dal Titolare ai sensi dell’Accordo;
3.1.2. adottare, se del caso, le misure di sicurezza richieste ai sensi dell'articolo 32 del Regolamento;
3.1.3. assistere il Titolare nell'adempimento degli obblighi in materia di notificazione di una violazione dei dati personali di cui agli artt. 33 e 34 del Regolamento e, in particolare, informare il Titolare della eventuale violazione di dati personali senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione stessa;
3.1.4. adempiere agli obblighi di cui all'articolo 4 del presente Contratto, in caso di designazione di sub- responsabili;
3.1.5. assistere il Titolare con misure tecniche e organizzative adeguate, per l'adempimento degli obblighi connessi all'esercizio dei diritti degli interessati, ivi inclusi i diritti alla limitazione del trattamento e alla portabilità dei dati, laddove possibile e, in ogni caso, qualora il Responsabile non dovesse incorrere in costi irragionevoli;
3.1.6. assistere il Titolare, se richiesto, nell'adempimento degli obblighi derivanti dal Regolamento;
3.1.7. cancellare o restituire - a scelta del Titolare - tutti i dati personali oggetto di trattamento in caso di cessazione dell'efficacia del presente Contratto, ai sensi del successivo articolo 5, salvi gli obblighi di conservazione dei dati personali eventualmente derivanti dal diritto dell'Unione o degli Stati membri;
3.1.8. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente art. 3;
3.1.9. informare il Titolare qualora, ad avviso del Responsabile, un'istruzione impartita dal Titolare sia in violazione del Regolamento o di altre disposizioni di legge applicabili in materia di protezione dei dati personali. In tale ipotesi, il Titolare si obbliga a porre in essere tutti gli adempimenti richiesti, al fine di porre rimedio a tali violazioni;
3.1.10. non comunicare a terzi, salvo quanto previsto dall'articolo 4 ovvero in caso di consenso espresso in forma scritta del Titolare, i dati personali oggetto di trattamento;
3.1.11. designare le persone fisiche autorizzate al trattamento (ossia i propri dipendenti, come pattuito nell’Accordo) e conferire loro, in forma scritta, l'incarico di compiere le operazioni di trattamento nonché le medesime istruzioni impartite dal Titolare al Responsabile sulla base del presente Contratto e dell’Accordo, istruirle sulle modalità di elaborazione dei dati ai quali hanno accesso e vigilare sulle stesse, nonché comunicare al Titolare, su richiesta di quest’ultimo, i nominativi delle persone autorizzate.
4. Designazione di sub-responsabili
4.1. Il Titolare conferisce al Responsabile autorizzazione generale ad avvalersi di soggetti esterni per l’espletamento dei Servizi quali Sub-Responsabili del trattamento. In particolare, Sixtema potrebbe avvalersi anche dei servizi di Data Center di Infocert s.p.a., sito in Padova, così come meglio indicato e dettagliato nel documento di descrizione del Data Center, disponibile all’indirizzo web xxxxx://xxx.xxxxxxx.xx/xx-xxxxxxx/xxxxxxx/0000/00/XxxxxxxxxXxxxxxxXxxxxxxx_XX_XX.xxx.
4.2. In tal caso, il Responsabile si impegna ad informare il Titolare di eventuali aggiunte o sostituzioni dei Sub-Responsabili del trattamento e a consentire al Titolare di opporsi a tali aggiunte o sostituzioni. In particolare, il Responsabile è tenuto a:
a) selezionare detti soggetti tra coloro che abbiano la necessaria competenza ed esperienza tecnica;
b) informare il Titolare della volontà di avvalersi di un Sub-Responsabile del trattamento per l’esecuzione di parte dei Servizi;
c)in caso di mancata opposizione del Titolare nei 2 (due) giorni lavorativi successivi alla comunicazione al Titolare di cui alla lettera b) che precede, nominare il soggetto indicato quale Sub-Responsabile del trattamento impartendo per iscritto istruzioni per il trattamento dei Dati Personali analoghe a quelle impartite dal Titolare al Responsabile.
4.3. Qualora gli eventuali Sub-Responsabili esterni del trattamento siano situati in un paese extra-UE,
il Responsabile si impegna ad assicurare un livello di protezione dei Dati Personali adeguato, stipulando con i sub-responsabili esterni le Standard Contractual Clauses (SCC) adottate dalla Commissione Europea.
5. Durata
5.1. Il presente Contratto è efficace dal momento della sottoscrizione. Esso cesserà di avere efficacia in caso di cessazione, a qualsiasi causa dovuta, dell'efficacia dell'Accordo.
6. Disposizioni finali
6.1. Il corrispettivo del Responsabile per l'esecuzione del presente Xxxxxxxxx si intende ricompreso nel corrispettivo concordato dalle Parti per l'esecuzione dell'Accordo.
6.2. L’invalidità, inefficacia o inapplicabilità di talune disposizioni del presente Contratto non inficia la validità, efficacia o applicabilità delle altre disposizioni del presente Contratto. Le Parti si impegnano a sostituire una disposizione invalida, inefficace o altrimenti inapplicabile con una disposizione valida ed efficace che si avvicini all’intento originario dal punto di vista economico. Lo stesso vale per le disposizioni mancanti.
6.3. Il presente Contratto è regolato dalla legge italiana, con esclusione delle norme di diritto internazionale privato.
6.4. Ogni controversia relativa alla validità, efficacia e interpretazione del presente Contratto è devoluta alla competenza esclusiva del Foro di Roma.
6.5. Le modifiche e le integrazioni del Contratto devono essere approvate in forma scritta dalle Parti.
6.6. Il mancato esercizio ad opera di una delle Parti di un qualsiasi diritto o facoltà garantiti dalla legge o dal presente Contratto non costituirà rinuncia a tali diritti e facoltà.
6.7. Le Parti danno atto che il presente Contratto è stato oggetto di trattativa individuale e che, pertanto, gli articoli 1341 e 1342, c.c., non trovano applicazione.
[LUOGO E DATA]
……………. Xxxxxxx S.p.A.