Vianova S.p.A.
Spett.le
Vianova S.p.A.
Xxx xx Xxxxxxxxxx, 000/x 00000 – Xxxxxxxxx (XX)
Oggetto: contratto tra Titolare e Responsabile per il trattamento dei dati personali e relative istruzioni
Il Cliente, in persona del legale rappresentante - di seguito “Titolare” -, in relazione all’utilizzo dei servizi Vianova sottoscritti (di seguito “Servizio”), così come indicato dal Contratto Vianova (di seguito “Contratto”), ai sensi degli artt. 4, comma 1, n. 8, e 28 del Regolamento Europeo in materia di protezione dei dati personali 2016/679 (di seguito GDPR),
DESIGNA
Vianova S.p.A. - di seguito “Responsabile” -, rappresentata ai fini del presente atto dal proprio legale rappresentante Xxxxxxx Xxxxxxxx (Amministratore Delegato), Responsabile del trattamento dei dati personali che sono trattati per l’erogazione del Servizio.
I dati in questione sono relativi al servizio di connettività dati, di telefonia, di posta elettronica, di hosting, di sms, di drive e di cloud (a seconda dei servizi sottoscritti nel Contratto o attivati successivamente) e sono trattati con strumenti elettronici o comunque automatizzati, limitatamente a quanto necessario per garantire l’erogazione ed il corretto funzionamento del Servizio e nel rispetto delle misure di sicurezza, riservatezza e liceità prescritte dal GDPR per le seguenti finalità: erogazione e assistenza tecnica relativa al Servizio.
Le categorie di interessati sono: dipendenti, clienti e fornitori del Titolare.
Vianova, in qualità di Responsabile del Trattamento dei dati personali,
DICHIARA
di avere ricevuto, esaminato e compreso le istruzioni di seguito impartite per iscritto dal Titolare e costituenti parte integrante del presente atto di nomina.
Qualsiasi modifica o aggiornamento delle istruzioni impartite dal Titolare, per quanto compatibili, nell’immediato, con i sistemi di sicurezza, comporterà una modifica del presente atto di nomina e pertanto dovrà essere sottoscritta dalle parti, fermo restando gli obblighi previsti dalla legge in materia di protezione dei dati personali.
Autorità di Controllo | L'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51 del Regolamento. |
Dati personali | Qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. |
DPO o Data Protection Officer o Responsabile della protezione dei dati | Il soggetto designato dal Titolare del Trattamento o dal Responsabile del trattamento in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all'articolo 39 del Regolamento. |
Persona autorizzata o Incaricato al trattamento | Le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del Titolare o del Responsabile ai sensi dell’art. 29 del Regolamento. |
Responsabile del trattamento o Responsabile | La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento. |
Servizi | Si intendono i servizi oggetto del Contratto di cui questo atto è parte integrante. |
Titolare del trattamento o Titolare | La persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il Titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri. |
Trattamento | Qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione. |
Sub-responsabile o altro Responsabile | Qualsiasi altro responsabile a cui il Responsabile del Trattamento può ricorrere per l’esecuzione di specifiche attività di trattamento per conto del Titolare. |
1. Durata dell’incarico
La durata dell’incarico a Responsabile del trattamento è pari alla durata del Contratto.
2. Nomina degli Incaricati del trattamento dati personali e di altro Responsabile
Con la presente nomina, il Responsabile è autorizzato ad effettuare, per iscritto, le nomine a Incaricato del trattamento e quella di altro Responsabile del trattamento.
A tale fine il Responsabile si obbliga a:
• fornire agli Incaricati le istruzioni relative alle operazioni da compiere, affinché il trattamento avvenga in conformità alla legge, per gli scopi e le finalità previste nel Contratto e nel rispetto delle misure di sicurezza idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito, previste dal GDPR e dalle presenti disposizioni impartite dal Titolare;
• vigilare sulla corretta osservanza delle istruzioni impartite.
Il Titolare del trattamento autorizza Xxxxxxx a ricorrere ad altro Responsabile del trattamento al fine di erogare i servizi oggetto di Contratto. La lista aggiornata degli altri Responsabili del trattamento a cui si rivolge Xxxxxxx sarà resa disponibile su richiesta.
In ogni caso, il Responsabile si obbliga a:
• mettere a disposizione del Titolare l'elenco dei Responsabili e prontamente informarlo su eventuali modifiche riguardanti l’aggiunta o la sostituzione di altri Responsabili del trattamento;
• riportare gli obblighi e le istruzioni del presente atto nel contratto instaurato con l’altro Responsabile;
• non consentire ai propri affiliati e subappaltatori di trasferire in un Paese terzo extra UE i dati trattati, o che potrebbero essere trattati, nella prestazione dei servizi, salvo verificare l’adozione di misure di sicurezza come, ad esempio, l’adozione delle Clausole Contrattuali Standard UE o la presenza di accordi relativi ai Paesi extra UE.
Vianova, ai sensi dell’art. 37 del GDPR, ha designato il proprio Responsabile della Protezione dei Dati contattabile alla email xxx@xxxxxxx.xx.
3. Disposizioni varie
Il presente atto integra ed aggiorna il Contratto e sostituisce eventuali atti di nomina già sottoscritti.
In caso di contrasto con ogni altro accordo o atto tra le parti, le previsioni contenute nel presente documento prevalgono con riguardo agli obblighi relativi alla protezione dei dati personali.
Qualsiasi previsione di questo atto che risultasse non valida o non applicabile, non inficia la validità o l’efficacia delle altre clausole ivi contenute.
Questo atto sarà regolato dalla stessa disciplina, su legge applicabile e foro di competenza, contenute nel Contratto.
Per tutto quanto non indicato, si richiamano le disposizioni dell’art. 28 del GDPR.
4. Istruzioni
Fermo restando quanto posto a carico del Titolare con riferimento agli obblighi previsti in materia di protezione dei dati personali prescritti dal GDPR, il Responsabile esterno preposto dal Titolare ha il compito e la responsabilità di:
• adempiere a tutto quanto necessario per il rispetto delle disposizioni del GDPR;
• operare secondo le istruzioni generali impartite dal Titolare.
Modalità di utilizzazione dei dati personali
Il Responsabile deve:
a) utilizzare i dati solo per le finalità connesse all’erogazione e al supporto tecnico del Servizio, con divieto di qualsiasi altra diversa utilizzazione che non sia prevista dalla legge, che sia necessaria ad adempiere agli obblighi in materia di protezione dei dati personali o che sia pertinente alla tutela giudiziaria o amministrativa di Vianova. Il Responsabile non può, inoltre, diffondere, né comunicare dati a soggetti che non siano stati designati come Responsabili, agli incaricati espressamente nominati o, comunque, al di fuori dei casi
previsti dalla legge. In nessun caso il Responsabile acquisisce la titolarità di dati e informazioni trattati nell’ambito di svolgimento del Contratto;
b) attivarsi per istituire un modello organizzativo efficace ed efficiente individuando ruoli, competenze e funzioni previste dal GDPR;
c) identificare e censire i trattamenti di dati personali, le banche dati e gli archivi gestiti con supporti informatici e/o cartacei necessari all’espletamento delle attività rientranti nella propria sfera di competenza;
d) garantire che i dati personali siano trattati nel rispetto dei principi di liceità, correttezza, trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza.
Atteso che le persone autorizzate al trattamento dei dati personali, secondo quanto statuito dalla legge, sono poste sotto la diretta autorità e il controllo del Responsabile, questi deve inoltre:
a) per quanto riguarda le operazioni di trattamento a loro consentite, predisporre adeguati profili di accesso ai sistemi informatici, tenendo conto eventualmente delle funzioni svolte dal personale autorizzato nell’ambito dell’organizzazione aziendale;
b) individuare, designare ed istruire le persone indicate a compiere le operazioni di trattamento dei dati personali, anche attraverso specifico atto scritto;
c) garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza e che trattino tali dati osservando le presenti istruzioni fornite dal Titolare, i provvedimenti generali dell’Autorità Garante, ma anche le Policy aziendali fornite dal Titolare e di volta in volta aggiornate, salvo che il trattamento sia richiesto dal diritto dell’Unione o dello Stato membro cui il Responsabile appartiene;
d) sensibilizzare, informare e formare il personale autorizzato al trattamento circa le responsabilità che la legge comporta e renderli edotti sui rischi connessi ad eventuali comportamenti illeciti e sui modi per prevenirli;
e) attivarsi al fine di fornire, alle funzioni nominate o individuate per iscritto ai sensi di legge, il necessario supporto per l’esecuzione di quanto previsto nelle presenti istruzioni e nella normativa di settore per la soluzione di problematiche inerenti il trattamento dei dati.
Eventuale trasferimento dati all’estero
I dati personali oggetto di questo accordo saranno trattati nel territorio italiano, di un altro Stato membro dell’Unione europea o dello spazio economico europeo. I dati potranno essere trasferiti al di fuori del territorio degli stati membri UE e, in tal caso, il Responsabile assicura che il trattamento dei dati personali da parte dei soggetti a cui vengono trasferiti avviene nel rispetto del Regolamento Europeo 679/2016, il tutto sempre in conformità dei principi indicati all’art. 45 del GDPR 2016/679 relativamente alla sussistenza di una decisione di adeguatezza da parte della Commissione Europea, o in assenza di tali decisioni in presenza di garanzie adeguate ai sensi dell'art. 46 del GDPR 2016/679 o in ottemperanza all’art 49 comma 1 lett b), c) ed f).
Misure di sicurezza
Il Responsabile deve:
a) adottare le misure tecniche e organizzative necessarie per consentire il blocco del trattamento, ove venisse disposto dall’Autorità Garante o da un’autorità giudiziaria o comunque fosse necessario (anche, eventualmente, in conseguenza di legittime richieste degli interessati), nonché per l’evasione delle domande di accesso ai dati personali da parte degli interessati e per garantire l’esercizio da parte degli stessi del diritto alla portabilità dei dati di cui all’art. 20 del GDPR, nonché degli altri diritti previsti dalla normativa in materia di protezione dei dati personali di volta in volta applicabile. Il Responsabile non risponde a tali richieste se non espressamente autorizzato a farlo dal Titolare. Conseguentemente, il Responsabile dovrà portare a conoscenza del Titolare, tempestivamente, qualunque richiesta di esercizio, da parte degli interessati, dei diritti di cui sopra;
b) recepire e garantire la pronta esecuzione delle eventuali richieste di modificazione e integrazione ritenute opportune dal Garante, al fine di rendere il trattamento conforme alle disposizioni vigenti;
c) assistere il Titolare nel garantire il rispetto degli obblighi in materia di sicurezza dei dati personali richiesti dalla legge. Più precisamente, il Responsabile deve adottare misure tecniche e organizzative adeguate per garantire livelli di sicurezza adeguati ai rischi propri
dell’attività svolta. Ciò deve esser fatto tenuto conto dello stato dell’arte, della natura dei dati oggetto del trattamento, per evitare il verificarsi di gravi rischi per i diritti e le libertà dei soggetti cui i dati ineriscono, al fine di evitare la loro distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso illegale agli stessi. Tra le misure adottabili si ricomprendono, in modo non esaustivo:
o la pseudonimizzazione e la cifratura dei dati personali se tecnicamente applicabile;
o la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
o la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
o una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Valutazione d’impatto sulla protezione dei dati
Qualora ricorrano i presupposti richiesti dalla legge (es. uso di nuove tecnologie, rischio elevato per diritti e libertà degli interessati, ecc..), il Responsabile deve:
a) assistere il Titolare nella definizione dei requisiti di Privacy-by-Design e Privacy-by- Default, nonché nello svolgimento delle attività di Valutazione d’Impatto e di Consultazione Preventiva sulla protezione dei dati (artt. 35-36 del GDPR), tenendo conto delle informazioni possedute e della natura del trattamento effettuato;
b) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del GDPR, contribuendo altresì alle attività di revisione e ispezione realizzate dal Titolare, o da altro incaricato, secondo necessità;
c) cooperare, ove applicabile e su richiesta, ai sensi dell’art. 31 del GDPR, assieme al Titolare o suo rappresentante con l’Autorità di Controllo nell’esecuzione dei suoi compiti.
Data Breach
Il Responsabile deve comunicare al Titolare, senza ingiustificato ritardo, ogni violazione della sicurezza che comporti anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura (Data Breach, art. 33 del GDPR). La comunicazione deve essere effettuata all’indirizzo di posta elettronica indicato nel Contratto. Le comunicazioni di Data Breach devono riportare, se disponibili, le informazioni che permettono al Titolare di descrivere:
a) la natura della violazione dei dati, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati personali coinvolti;
b) le probabili conseguenze della violazione;
c) le misure adottate, o di cui si propone l’adozione, per porre rimedio alla violazione o attenuarne gli effetti pregiudizievoli.
Il Responsabile si impegna a non rilasciare alcun comunicato stampa o alcuna altra comunicazione pubblica relativa ad un incidente di sicurezza, sospetto o effettivo, che coinvolga dati personali dei Clienti del Titolare senza la preventiva approvazione di quest’ultimo, salvo diversa disposizione della legge.
Registro dei trattamenti
Il Responsabile deve adottare, laddove ne ricorrano i presupposti di cui all’art. 30 del GDPR, un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare.
Il Responsabile deve inserire in tale registro le seguenti informazioni:
a) il suo nome e i suoi dati di contatto, la denominazione e i dati di contatto del Titolare per conto del quale agisce e il nome e i dati di contatto del Responsabile della protezione dei dati del “DPO”;
b) le categorie di trattamenti effettuati per conto di ogni Titolare del trattamento;
c) eventuali trasferimenti di dati verso un paese terzo o un’organizzazione internazionale;
d) una descrizione generale delle misure di sicurezza tecniche e organizzative attuate.
Il Responsabile ha l’obbligo, su richiesta del Titolare, di mettere il registro a disposizione dell’Autorità di controllo.
Ulteriori obblighi del Responsabile
Il Responsabile è obbligato a:
a) comunicare senza ritardo al Titolare quando un’istruzione violi il GDPR;
b) avvisare tempestivamente il Titolare qualora ricevesse ispezioni o richieste di informazioni, documenti o altro, da parte del Garante in merito ai trattamenti effettuati;
c) fornire al Titolare tutte le comunicazioni inerenti i compiti, le funzioni e gli obblighi derivanti dalla presente scrittura;
d) fornire al Titolare, a semplice richiesta e secondo le modalità indicate da quest’ultimo, i dati e le informazioni necessari per consentire, allo stesso, di svolgere una tempestiva difesa in eventuali procedure instaurate davanti al Garante o all’Autorità Giudiziaria e relative al trattamento dei dati personali connessi all’esecuzione del Contratto in vigore tra le parti;
e) verificare periodicamente lo stato di applicazione del GDPR;
f) adempiere agli obblighi relativi alla riservatezza, alla comunicazione e alla diffusione dei dati personali anche dopo che l’incarico è stato portato a termine o revocato.
Il Cliente è consapevole che eventuali controlli di persona in loco possono avere interferenza con le attività aziendali di Vianova S.p.A., incluse le attività relative ai Servizi forniti ai sensi dell’Accordo. Il Cliente garantisce che i propri revisori compiranno ogni ragionevole sforzo per evitare di causare eventuali disturbi, danni o lesioni alle sedi, alle attrezzature, al personale e alle attività aziendali di Vianova S.p.A. nel corso del controllo o dell’ispezione. Ogni richiesta di controllo richiesto deve rispondere ai seguenti requisiti:
• Non può essere richiesto o effettuato più di un controllo all’anno e solo dopo aver fornito a Vianova S.p.A. un preavviso di almeno 90 giorni;
• Deve essere condotto da una società di revisione indipendente riconosciuta a livello internazionale;
• Deve aver luogo durante le normali ore lavorative di Vianova S.p.A., secondo nel rispetto di un ambito di controllo reciprocamente concordato;
• La durata del controllo deve essere ragionevole e in ogni caso non oltre due giorni lavorativi;
• L’accesso ai dati di altri clienti non è consentito; i controlli non saranno autorizzati se interferiranno con la capacità di Vianova S.p.A. di fornire i propri Servizi ai Clienti;
• I controlli saranno soggetti al dovere di riservatezza o altri obblighi contrattuali di Vianova
S.p.A. (ivi inclusi obblighi di riservatezza verso altri clienti, o altri soggetti terzi);
• Eventuali terzi non affiliati coinvolti nel controllo devono stipulare un accordo di riservatezza ragionevolmente accettabile da parte di Vianova S.p.A.;
• I costi e le spese del controllo sono a carico del Cliente;
• Eventuali controlli della struttura saranno condotti sotto forma di ispezioni scortate e strutturate e saranno soggetti alle politiche per la sicurezza di Vianova S.p.A.;
• Vianova S.p.A. deve immediatamente informare il Cliente se ritiene che determinate istruzioni riguardo i diritti del Cliente ai sensi della presente Sezione violino le Normative Europee.
Il Titolare dà atto, e il Responsabile ne è consapevole, che, fatti salvi gli artt. 82, 83 e 84 del Regolamento, se un Responsabile del trattamento viola il GDPR, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.
Amministratori di Sistema
Atteso che gli Amministratori di Sistema (AdS) sono posti sotto la diretta autorità e il controllo del Responsabile esterno, questi deve:
a) aver adeguatamente individuato, istruito, informato, formato e designato tali amministratori, sulla base dell’esperienza, della capacità e affidabilità, con specifico atto scritto controfirmato, con le specifiche e i criteri dettati dalla relativa normativa;
b) implementare specifici e periodici corsi di formazione per gli AdS;
c) verificare periodicamente, e almeno una volta l’anno, l’attività degli AdS al fine di valutarne la conformità con le misure tecniche, organizzative e di sicurezza, secondo quanto previsto dalla norma;
d) predisporre adeguati standard di sicurezza idonei a garantire la rispondenza delle attività degli AdS alle misure richieste;
e) conservare e fornire se richiesto con sollecitudine, e comunque entro 48 ore, il relativo elenco aggiornato completo degli AdS che trattano i dati personali di cui alla presente nomina;
f) ove i dati personali siano presenti sui sistemi informativi del Responsabile, adottare sistemi idonei alla registrazione degli accessi logici (cd. access log) ai sistemi garantendo che la registrazione abbia le caratteristiche richieste dal provvedimento del Garante sugli Amministratori di Sistema e dunque siano conservati per un congruo periodo, non inferiore a sei mesi;
g) in ogni caso attenersi scrupolosamente ai provvedimenti del Garante per la riservatezza, tra i quali il provvedimento del 27 novembre 2008, in tema di Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema, nonché, salvo preventiva autorizzazione scritta del Titolare, non trasferire i dati sui sistemi informativi di soggetti diversi dal Responsabile, anche in tecnologie cloud computing e similari.
Le relative anagrafiche degli AdS, ottenute per gli adempimenti richiesti dalla legge, saranno trasmesse dal Titolare a terzi legittimamente autorizzati.
5. Cessazione dell’incarico
In caso di cessazione per qualsiasi causa del presente incarico e del conseguente trattamento dei dati forniti dal Titolare, il Responsabile si obbliga a cancellare i dati in suo possesso per l'esecuzione del relativo Contratto, nonché cancellare le copie esistenti, salvi gli eventuali obblighi di conservazione di legge o per tutelare il proprio diritto di difesa in ogni sede.