ACCORDO IN MERITO AL TRATTAMENTO DI DATI PERSONALI
ACCORDO IN MERITO AL TRATTAMENTO DI DATI PERSONALI
Ai sensi dell'art. 28 del Regolamento UE 2016/679
TRA
con sede in
Codice Fiscale e P. IVA n. in persona di
(di seguito "Committente " o il “Titolare del Trattamento”),
E
Whistleblowing Solutions I.S. S.r.l., con sede in Xxxxx Xxxxxxx, 00, 00000, Xxxxxx, Codice Fiscale e
P. IVA n. 09495830961, in persona di Xxxxxxxx Xxxxxxxxx (di seguito "Fornitore " o il “Responsabile del Trattamento”),
(di seguito, congiuntamente, le “Parti”)
PREMESSO CHE
a) Le Parti hanno sottoscritto un contratto avente ad oggetto la prestazione da parte del Fornitore di un servizio di whistleblowing digitale consistente in fornitura in outsourcing di una piattaforma di whistleblowing digitale (di seguito, “Contratto di servizi”);
b) In virtù del Contratto di servizi il Fornitore esegue operazioni di trattamento di dati personali (di seguito, "Dati Personali") di titolarità del Committente, e riferiti unicamente ai dati necessari per l’erogazione dei servizi pattuiti tra le parti. In particolare l’acquisizione e l’archiviazione delle segnalazioni dà luogo a trattamenti di dati personali appartenenti anche a particolari categorie di dati e relativi a condanne penali e reati, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti agli interessati, ovvero alle persone fisiche (identificate o identificabili) che inoltrano una segnalazione o a quelle indicate come possibili responsabili delle condotte illecite o a quelle a vario titolo coinvolte nelle vicende segnalate (art. 4, par. 1, nn. 1) e 2), del Regolamento.
c) il Fornitore dichiara e garantisce di possedere competenza e conoscenze tecniche in relazione alle finalità e modalità di trattamento, alle misure di sicurezza da adottare a garanzia della riservatezza, completezza ed integrità dei Dati Personali trattati, nonché in relazione alla normativa italiana ed europea in materia di protezione dei dati personali, e di possedere i requisiti di affidabilità idonei a garantire il rispetto delle disposizioni normative in materia;
d) il Titolare ha condotto una positiva valutazione della idoneità e qualificazione del Responsabile atta a soddisfare, anche sotto il profilo della sicurezza del trattamento, i requisiti di cui alla normativa applicabile (artt. 28 e ss. del Regolamento) e intende designare il Fornitore quale Responsabile del trattamento dei Dati Personali derivante dal Contratto di servizi.
Tutto quanto sopra premesso, tenuto conto delle reciproche promesse e degli accordi intercorsi, le Parti convengono quanto segue:
1. PREMESSE
Le premesse costituiscono parte integrante ed essenziale del presente contratto.
2. OGGETTO
2.1 Con la sottoscrizione del presente contratto il Committente nomina il Fornitore, che accetta, responsabile del trattamento in relazione alle operazioni di trattamento Dati Personali poste in essere ai soli fini dell'esecuzione del Contratto di servizi. Tale nomina non comporta il diritto ad alcuna remunerazione integrativa rispetto al corrispettivo pattuito contrattualmente.
2.2 I compiti assegnati al Fornitore sono esclusivamente quelli resi necessari dalle attività connesse all'esecuzione del Contratto di servizi.
3. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO
3.1 Qualora nell'ambito delle operazioni di trattamento dei Dati Personali occorrano eventuali istruzioni aggiuntive al fine di adeguarsi alla normativa in materia di protezione dei dati, il Committente trasmetterà ulteriori istruzioni al Fornitore in merito alle finalità, modalità e procedure per l’utilizzo e il trattamento dei Dati Personali, e concorderà con il Fornitore le misure tecniche ed organizzative più idonee.
4. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
4.1 Ai fini di un corretto trattamento dei Dati Personali, il Fornitore si impegna a:
a) svolgere qualsiasi operazione di trattamento di Dati Personali in conformità ai principi e alla regolamentazione previsti dalla normativa vigente in materia di protezione dei dati personali;
b) eseguire fedelmente ed esclusivamente le istruzioni impartite dal Titolare, evitando attività di trattamento non conformi alle predette istruzioni o volte a perseguire finalità diverse da quelle correlate all'esecuzione del Contratto di servizi;
c) non effettuare copie dei Dati Personali diverse da quelle strettamente necessarie alla corretta esecuzione del Contratto di servizi;
d) garantire il pieno rispetto degli obblighi di cui il Fornitore, quale responsabile del trattamento, è tenuto in virtù della normativa vigente;
e) fuori dai casi strettamente necessari per l'erogazione dei Servizi, non divulgare o rendere noti a terzi i Dati Personali e adottare le misure organizzative e tecniche necessarie per assicurare la massima riservatezza dei Dati Personali acquisiti e utilizzati nello svolgimento delle attività oggetto della presente designazione;
f) garantire che l’accesso ai Dati Personali da parte del personale avvenga solo sulla base del principio di stretta necessità, provvedendo a individuare e designare quali incaricati del trattamento, anche ai fini di cui all’art. 32 del Regolamento Privacy, le persone fisiche (dipendenti e/o collaboratori) autorizzate al trattamento dei dati personali per le suddette finalità, impegnando gli stessi con idonei vincoli di riservatezza;
g) formare adeguatamente il personale addetto all'esecuzione del Contratto di servizi fornendo loro istruzioni precise e vigilando sulla loro osservanza;
h) collaborare con il Committente per l’attuazione di qualsiasi misura che si renda strettamente necessaria al fine di garantire la conformità del trattamento dei Dati Personali con la normativa applicabile;
i) mantenere informato il Committente riguardo alle operazioni di trattamento trasmettendo un rapporto scritto sull’attività svolta in esecuzione dei compiti attribuiti con il presente contratto, con particolare riguardo, ma non esclusivamente, alle misure di sicurezza adottate, nonché riguardo a qualsiasi circostanza o criticità eventualmente riscontrata;
j) informare il Committente, entro 48 ore dal momento in cui ne è venuto a conoscenza, di qualsiasi violazione o rischio di violazione concernente i Dati Personali di cui il Fornitore è venuto a conoscenza nello svolgimento dei Servizi e collaborare, a proprie spese, con il Committente per attuare qualsiasi misura che si renda strettamente necessaria al fine di garantire la conformità del trattamento dei Dati Personali con la normativa applicabile;
k) adottare le misure di sicurezza previste dall'articolo 7 del presente contratto;
5. AFFIDAMENTO A TERZI
5.1 È consentito al Fornitore di avvalersi di soggetti terzi ai fini della prestazione dei Servizi senza il preventivo consenso scritto del Titolare. Il Fornitore si impegna a prevedere nel contratto con il subappaltatore garanzie e obblighi analoghi a quelli di cui al presente contratto. il Responsabile del trattamento dichiara di avvalersi dei Subresponsabili indicati nell'Allegato A. Con la sottoscrizione del presente atto di nomina, i Subresponsabili indicati nell'Allegato A si intendono approvati dal Titolare del trattamento. Il Fornitore dichiara che i Subresponsabili hanno capacità e competenze per mettere in atto misure tecniche e organizzative idonee a garantire il rispetto delle disposizioni della vigente normativa sulla protezione dei dati personali e che sono stati contrattualmente vincolati al rispetto degli stessi obblighi in materia di protezione dei dati personali assunti dal Responsabile del trattamento nei confronti del Titolare. Qualora il Responsabile del trattamento intenda sostituire i Subresponsabili indicati nell'Allegato A, dovrà informare il Titolare preventivamente e per iscritto, con un preavviso di 60 giorni. Resta ferma la possibilità di derogare al termine di preavviso, nel caso siano necessarie operazioni di mitigazione di un disastro imputabile al subfornitore. Il Fornitore dichiara e garantisce che eventuali, nuovi, Subresponsabili presenteranno almeno le stesse caratteristiche e garanzie dei Subresponsabili indicati nell’Allegato A e saranno vincolati contrattualmente al rispetto dei medesimi obblighi in materia di protezione dei dati personali assunti dai Subresponsabili.
6. DURATA - CESSAZIONE
6.1 L’efficacia del presente contratto decorre dalla data di sottoscrizione dello stesso ad opera di entrambe le Parti sino alla cessazione, per qualsiasi causa intervenuta, del Contratto di servizi.
6.2 All'atto della cessazione del Contratto di servizi il Fornitore dovrà cessare qualsiasi operazione di trattamento dei Dati Personali e restituire al Committente tutti gli eventuali Dati Personali trattati ai fini dell'esecuzione del Contratto di servizi di cui il Fornitore dovesse disporre (es. anagrafiche degli interessati, dati di contatto degli interessati) o, su richiesta del Committente, provvedere alla loro distruzione, fornendone apposita attestazione, eccettuate eventuali esigenze di loro conservazione in adempimento di obblighi normativi di cui andrà data contestuale attestazione al Committente.
7. MISURE DI SICUREZZA
7.1 Con riferimento alle operazioni di trattamento dei Dati Personali necessarie ai fini della esecuzione del Contratto di servizi, il Fornitore dichiara e garantisce (i) di mantenere, ogni e qualsiasi misura di sicurezza idonea a prevenire i rischi di distruzione, perdita, anche accidentale, dei Dati Personali nonché di accesso non autorizzato o trattamento illecito dei medesimi come previsto nel Contratto di servizi e (ii) che tali misure sono conformi anche alle misure di sicurezza necessarie e conformi ai principi di cui all’art. 32 del Regolamento Privacy, nonché ogni altra misura obbligatoria di legge.
7.2 Con riferimento al trattamento di Dati Personali svolti con l’ausilio di strumenti elettronici per la prestazione dei Servizi e la gestione del database per conto del Committente, il Responsabile si impegna ad attuare le seguenti misure:
i. scegliere gli amministratori di sistema tra quei soggetti dotati di esperienza, capacità ed affidabilità, in grado di garantire il pieno rispetto della normativa italiana in materia di protezione dei dati personali, ivi compreso il profilo relativo alla sicurezza;
ii. nominare gli amministratori di sistema individualmente, elencando analiticamente gli ambiti di operatività consentiti a ciascun amministratore di sistema in relazione al proprio profilo di autenticazione;
iii. tenere un elenco aggiornato dei soggetti nominati amministratori di sistema e, su richiesta, mettere tale elenco a disposizione del Committente e/o delle autorità competenti;
7.3 Il Fornitore si impegna a verificare regolarmente l'idoneità delle misure adottate.
8. CONTROLLI
8.1 Il Fornitore riconosce e accetta che il Committente, nell’ambito dei poteri e obbligazioni ad esso spettanti in quanto Titolare del trattamento, possa controllare le operazioni di trattamento di Dati Personali svolte dal Fornitore, come anche le misure di sicurezza attuate da quest’ultimo per le finalità di cui al presente contratto, anche mediante appositi audit da concordarsi preventivamente nel rispetto delle reciproche esigenze lavorative.
[Luogo, Data]
Il Titolare del trattamento
Whistleblowing Solutions I.S. S.r.l. preso atto di quanto previsto nel presente atto di nomina e dalla normativa vigente, dichiara di accettare l’incarico di Responsabile del trattamento.
Il Responsabile del trattamento
ALLEGATO A
(elenco degli eventuali subresponsabili di cui si avvale il RESPONSABILE del trattamento al momento della sottoscrizione dell’atto di nomina)
Denominazione, sede e dati di contatto del subresponsabile | ATTIVITÀ DI TRATTAMENTO DEMANDATE AL SUBRESPONSABILE | Luogo del trattamento localizzazione dei SERVER |
Seeweb S.r.l | Archiviazione Hosting Cloud IASS | Milano Frosinone |