COMUNE DI TERTENIA
COMUNE DI TERTENIA
Provincia di Nuoro
AFFIDAMENTO DEL SERVIZIO DI GESTIONE DELLA BIBLIOTECA COMUNALE PER UN ANNO. CIG Z3F2F06566
APPENDICE CONTRATTUALE
AI SENSI DELL'ART. 28 DEL REGOLAMENTO (EU) 2016/679 RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI
Comune di Tertenia (C.F.: 82000170918 - P. IVA: 00200660918) con sede in xxx Xxxx x. 000, PEC: xxxxxxxxxx.xxxxxxxx@xxx.xxxxxxx.xx, all’uopo rappresentato dal Responsabile del Servizio Amministrativo
(d’ora innanzi, più semplicemente, Titolare del trattamento)
E
, con sede in , codice fiscale e partita IVA n. , PEC: , all’uopo rappresentato dal legale rappresentante (d’ora innanzi, più semplicemente, Responsabile del trattamento)
PREMESSO CHE
1) tra le parti è in essere un contratto, stipulato in data rep. avente ad oggetto Servizio di gestione della biblioteca comunale per la durata di un anno (d’ora innanzi, più semplicemente, Contratto);
2) nel dare esecuzione alle obbligazioni dedotte nel Contratto il Responsabile si troverà ad effettuare operazioni di trattamento di dati personali per conto del Titolare, rimanendo a quest’ultimo di stabilire autonomamente le finalità, le modalità ed i mezzi del trattamento medesimo;
3) che in data 25 maggio 2018 è divenuto pienamente operativo il REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (d’ora innanzi, più semplicemente, GDPR);
4) l’articolo 4, paragrafo 1, n. 8) del GDPR definisce quale responsabile del trattamento “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;
5) a norma dell’articolo 28, paragrafo 1 del GDPR “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”; 6) a norma dell’articolo 28, paragrafo 3 del GDPR “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”;
7) a norma dell’articolo 28, paragrafo 9 del GDPR “Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico”
8) alla data di sottoscrizione della presente appendice non risulta che la Commissione europea ovvero l’Autorità di controllo nazionale abbiano adottato clausole contrattuali tipo ai sensi dei paragrafi 7 ed 8 del
GDPR;
9) è intenzione delle Parti contraenti regolamentare i diritti e gli obblighi reciproci quali conseguono alla puntuale osservanza delle norme e dei principi contenuti nel GDPR, addivenendo alla sottoscrizione della presente Appendice contrattuale, da considerarsi parte integrante e sostanziale del Contratto;
SI CONVIENE E SI STIPULA QUANTO SEGUE
Articolo 1 – Pattuizioni preliminari
1. Il Responsabile è tenuto a trattare i dati personali di cui entra in possesso o rispetto ai quali abbia comunque accesso, in adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso, nel rispetto dei principi e delle norme contenute nel GDPR ed attenendosi alle istruzioni del Titolare del trattamento, tenendo altresì conto dei provvedimenti, tempo per tempo, emanati dall’Autorità di controllo inerenti al Trattamento svolto.
2. Scopo della presente Appendice è l’identificazione della materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi ed i diritti del Titolare e del Responsabile del trattamento. In particolare la presente Appendice non costituisce autorizzazione generale ma, bensì, autorizzazione limitata esclusivamente ai trattamenti relativi al servizio specificatamente indicato nel Contratto.
3. La presente Appendice contrattuale non determina l’insorgere di alcun diritto del Responsabile alla revisione del prezzo già definito tra le Parti, trattandosi di obblighi ed adempimenti derivanti da norme di legge già conosciute.
4. La presente Appendice annulla e/o sostituisce qualsivoglia regolazione pattizia esistente tra le Parti in relazione al medesimo oggetto, di talché, a far data dalla stipulazione della presente, i loro rapporti saranno regolati esclusivamente dalla presente Appendice.
5. Qualsiasi modifica od integrazione della presente Appendice potrà farsi soltanto per iscritto a pena di nullità.
6. Ciascuna Parte riconosce di essere addivenuta alla stipula della presente Appendice esclusivamente sulla base della rappresentazione dei fatti ricevuta dall’altra Parte e, pertanto, in caso di falsa rappresentazione, la presente Appendice deve intendersi radicalmente nulla sin dall’origine, senza alcuna possibilità di sanatoria, qualsivoglia eccezione intendendosi sin da ora rimossa e/o rinunziata.
Articolo 2 - Oggetto del trattamento
1. Le prestazioni già affidate al Responsabile, ai sensi del Contratto, consistono nell’erogazione del seguente servizio: gestione della biblioteca comunale.
2. Dette prestazioni comportano il trattamento delle seguenti categorie di dati personali: dati anagrafici, dati di contatto.
3. Le categorie di Interessati sono: utenti del servizio.
4. La natura delle operazioni eseguite sui dati è: rilevazione ed archivio.
5. Le finalità del trattamento dei dati medesimi sono: corretta erogazione del servizio.
Articolo 3 – Xxxxxx ed effetti conseguenti allo scioglimento del Contratto
1. Trattandosi di patto accessorio ed aggiunto al Contratto, esso diviene efficace tra le parti immediatamente all’atto della sua sottoscrizione e sarà valido ed efficace sino alla scadenza, originale o prorogata del Contratto ovvero alla sua cessazione di validità ed efficacia a qualsiasi causa dovuta.
2. Il Trattamento per conto del Titolare, pertanto, deve avere una durata non superiore a quella necessaria agli scopi per i quali i dati personali sono stati raccolti e tali dati devono essere conservati nei sistemi e nelle banche dati del Responsabile in una forma che consenta l'identificazione degli Interessati per un periodo di tempo non superiore a quello in precedenza indicato.
3. A seguito della cessazione del Trattamento affidato al Responsabile, nonché a seguito della cessazione del rapporto contrattuale sottostante, qualunque ne sia la causa, il Responsabile sarà tenuto, a discrezione del Titolare, a restituire al Titolare i dati personali trattati, oppure a provvedere alla loro integrale distruzione, salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge e/o altre finalità (contabili, fiscali, ecc.) od il caso in cui si verifichino circostanze autonome e ulteriori che giustifichino la continuazione del Trattamento dei dati da parte del Responsabile, con modalità limitate e per il periodo di tempo a ciò strettamente necessario.
4. Il Responsabile, su richiesta del titolare, provvede a rilasciare apposita dichiarazione scritta contenente l’attestazione che, presso di sé, non esiste alcuna copia dei dati personali e delle informazioni trattate per conto del Titolare. Sul contenuto di tale dichiarazione il Titolare si riserva il diritto di effettuare controlli e verifiche volte ad accertarne la veridicità.
5. In caso di fallimento o sottoposizione ad altra procedura concorsuale del Responsabile, ovvero in caso di mancato assolvimento da parte di quest’ultimo degli obblighi previsti ai commi che precedono, ovvero ancora in caso di omissione ovvero di sospensione anche parziale, da parte del Responsabile, dell’esecuzione delle obbligazioni oggetto della presente Appendice, il Titolare, ove possibile e dandone opportuna comunicazione, potrà sostituirsi al Responsabile nell’esecuzione delle obbligazioni ovvero potrà avvalersi di soggetto terzo in danno ed a spese del Responsabile, fatto salvo il risarcimento del maggior danno.
Articolo 4 - Obblighi in capo al Responsabile
1. Il Responsabile dichiara e conferma la propria diretta ed approfondita conoscenza degli obblighi ed oneri derivanti dall’osservanza delle disposizioni contenute nel GDPR, in conseguenza della relazione contrattuale instaurata con il Titolare. Dichiara inoltre di possedere esperienza, capacità e affidabilità idonee a garantire il rispetto delle disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza, ed in ogni caso di essere in grado di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della normativa e garantisca la tutela dei diritti dell’Interessato.
2. Il Responsabile prende atto che il Contratto in essere viene mantenuto anche successivamente all’operatività del GDPR per l’esclusiva ragione che il profilo professionale / societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto dal Titolare idoneo a soddisfare i requisiti di esperienza, capacità ed
affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di ritenere risolto il rapporto in essere per fatto e colpa del Responsabile.
3. Il Responsabile è tenuto a:
a) trattare i dati nel rispetto dei principi del trattamento previsti nel GDPR e solo per le finalità indicate dal Contratto. In particolare il Responsabile garantisce che i dati da trattarsi per conto del Titolare, saranno: a1) trattati in modo lecito, corretto e trasparente nei confronti dell’Interessato; a2) raccolti per le finalità` determinate, esplicite e legittime sopra indicate, e successivamente trattati in modo che non sia incompatibile con tali finalità`; a3) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità` per le quali sono trattati; a4) esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità` per le quali sono trattati;
a5) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità` per le quali sono trattati;
b) trattare i dati secondo le istruzioni documentate del Titolare del trattamento dei dati;
c) garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate formalmente alla riservatezza od abbiano un adeguato obbligo legale di riservatezza ed abbiano ricevuto la formazione necessaria in materia di protezione dei dati personali;
d) prendere in considerazione, in termini di strumenti, prodotti, applicazioni o servizi, i principi della protezione dei dati in base alla progettazione e per impostazione predefinita (cc.dd. data protection by design e by default);
e) assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento ed in particolare a collaborare nelle comunicazioni di violazioni di dati personali, negli adempimenti della valutazione di impatto e consultazione preventive;
4. Il Responsabile si impegna ad informare il Titolare di ogni richiesta, ordine o controllo da parte di una o più Autorità e da soggetti da queste autorizzati e/o delegati, in relazione ai trattamenti oggetto della presente Appendice;
5. Il Responsabile informa il Titolare, per quanto di necessità, che i suoi dati verranno conservati e trattati per l’intera durata del rapporto contrattuale e, all’eventuale termine dello stesso, per il tempo previsto dalla vigente normativa, nazionale e comunitaria, in materia contabile, fiscale, civilistica e processuale.
Articolo 5 - Obblighi in capo al Titolare del trattamento
1. Il Titolare del trattamento si impegna a:
a) fornire al Responsabile i dati oggetto del trattamento curandone l’esattezza, la veridicità, l’aggiornamento,la pertinenza e la non eccedenza rispetto alle finalità per le quali sono stati raccolti e saranno successivamente trattati;
b) individuare la base legale del trattamento dei dati personali degli Interessati;
c) documentare, per iscritto, ogni istruzione relativa al trattamento dei dati da parte del Responsabile. Il Responsabile del trattamento informa immediatamente il Titolare qualora, a suo parere, un'istruzione violi il GDPR od altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati;
d) assicurare, prima e durante l'intero processo, il rispetto degli obblighi su di sé incombenti ai sensi del GDPR e della normativa nazionale di riferimento;
e) supervisionare il trattamento, in tutte le sue fasi, anche effettuando audit ed ispezioni presso il Responsabile;
f) adottare tutte le misure di sicurezza di sua competenza idonee a garantire il rispetto della normativa in materia di privacy e di trattamento dei dati in regime di sicurezza.
2. Il Titolare si dichiara edotto che in caso di violazione di dati personali (c.d. data breach) rimane a suo carico, ai sensi dell’art. 33 del GDPR, l’obbligo di notifica all’Autorità di controllo senza ingiustificato ritardo e, comunque, entro 72 ore dal momento in cui il Titolare è venuto a conoscenza della violazione di dati personali.
3. Il Titolare si impegna, altresì, a comunicare al Responsabile del trattamento qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati.
4. Il Titolare rimane responsabile del trattamento dei dati personali attuato tramite procedure applicative sviluppate secondo sue specifiche e/o attraverso propri strumenti informatici o di telecomunicazioni.
5. Il Titolare si impegna ad informare il Responsabile di ogni richiesta, ordine o controllo da parte di una o più Autorità e da soggetti da queste autorizzati e/o delegati, in relazione ai trattamenti oggetto della presente Appendice;
6. Il Titolare informa il Responsabile, per quanto di necessità, che i suoi dati verranno conservati e trattati per l’intera durata del rapporto contrattuale e, all’eventuale termine dello stesso, per il tempo previsto dalla vigente normativa, nazionale e comunitaria, in materia contabile, fiscale, civilistica e processuale.
Articolo 6 - Incaricati e persone autorizzate
1. Il Responsabile dovrà identificare e designare le persone autorizzate ad effettuare operazioni di Trattamento sui dati per conto del Titolare identificando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo
alla relativa formazione. Allo stesso tempo, il Responsabile dovrà fornire ai soggetti da sé autorizzati le dovute istruzioni relativamente alle operazioni ed alle modalità di trattamento dei dati personali.
2. Il Responsabile garantisce che i propri dipendenti e collaboratori sono affidabili ed hanno piena conoscenza della normativa primaria e secondaria in materia di protezione dei dati personali.
Articolo 7 - Sub-responsabile del trattamento e Terze parti
1. Il Responsabile del trattamento non ricorre ad un altro Responsabile se non previa autorizzazione scritta,del Titolare del trattamento. Qualora il Responsabile ravvisasse la necessità di avvalersi di un altro responsabile del trattamento (Sub responsabile) per l'esecuzione di specifiche attività di trattamento per conto del Titolare, è tenuto a richiederne l'autorizzazione al Titolare con congruo preavviso.
2. Nel caso in cui il Responsabile del trattamento (Responsabile primario) ricorra ad un altro Responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento, su tale altro Responsabile sono imposti, mediante un contratto od un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nella presente Appendice per il Responsabile del trattamento, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della legge vigente.
3. Nel caso in cui l'altro Responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile iniziale conserva nei confronti del Titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro Responsabile, anche ai fini del risarcimento di eventuali danni causati dal trattamento, salvo dimostri che l'evento dannoso non gli è imputabile.
4. Il Responsabile si impegna a non comunicare, trasferire o condividere, i dati personali trattati per conto del Titolare a Terze parti, salvo qualora legislativamente richiesto e, in ogni caso, informandone preventivamente il Titolare.
Articolo 8 - Misure di sicurezza
1. Il Responsabile, in considerazione della conoscenza maturata in relazione ai progressi tecnici etecnologici, della natura dei dati personali e delle caratteristiche delle operazioni di trattamento, nonché dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche ed organizzative adeguate e dovrà assicurare che le misure di sicurezza progettate ed implementate siano in grado di ridurre il rischio di danni volontari o accidentali, perdita di dati, accessi non autorizzati ai dati, trattamenti non autorizzati o trattamenti non conformi agli scopi di cui alla presente Appendice.
2. Ai fini della sicurezza dei dati e dei sistemi IT, il Responsabile si obbliga:
- ad adottare adeguate misure IT per la sicurezza dei dati personali, ai sensi dell’art. 32 del GDPR, in modo da garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; - ad adottare adeguate misure che consentano di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
- a non trasferire i dati personali oggetto di trattamento per conto del Titolare, senza il preventivo consenso di questi, al di fuori dell’usuale luogo di lavoro, a meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza;
- a fornire, in caso di richiesta, al Titolare una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al trattamento dei dati personali;
- ad impiegare sistemi di cifratura per i dati personali memorizzati su dispositivi di archiviazione digitali od elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari. I dati personali dovranno essere cifrati nel rispetto della normativa vigente ed il Responsabile dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di vigilanza;
- ad adottare una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento
Articolo 9 - Registro delle categorie di trattamento
1. Il Responsabile del trattamento adotta, aggiorna e conserva una registrazione scritta di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, avente il contenuto minimo previsto dall’articolo 30, paragrafo 2 del GDPR e, su richiesta, lo rende disponibile all’Autorità di controllo od al Titolare.
Articolo 10 - Violazioni di dati personali
1. In eventuali casi di violazione della sicurezza dei dati personali che comporti, accidentalmente od in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o
comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto del Titolare (c.d. data breach), il Responsabile deve:
a) informare il Titolare tempestivamente ed in ogni caso entro e non oltre 24 ore dalla scoperta dell’evento,tramite PEC, di essere venuto a conoscenza di una violazione e fornire al Titolare tutti i dettagli della violazione subita, in particolare una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali sul Titolare e sugli Interessati coinvolti e le misure adottate per mitigare i rischi;
b) fornire assistenza al Titolare per far fronte alla violazione ed alle sue conseguenze soprattutto in capo agli Interessati coinvolti. Il Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive al Titolare ed attuando tutte le azioni correttive approvate e/o richieste dal Titolare. Tali misure sono richieste al fine di garantire un livello di sicurezza adeguato al rischio correlato al Trattamento eseguito.
Articolo 11 - Accordo relativo al trasferimento dei dati all’estero
1. Il Responsabile si impegna a circoscrivere gli ambiti di circolazione e di trattamento dei Dati personali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server od in cloud) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 (Paese terzo giudicato adeguato dalla Commissione Europea, BCR di gruppo, clausole contrattuali modello, consenso degli interessati, etc.).
2. Il Responsabile pertanto non dovrà trasferire od effettuare il Trattamento dei Dati personali del Titolare al di fuori dell’Unione Europea, per nessuna ragione, in assenza di autorizzazione scritta del Titolare. Qualora il Titolare rilasci l’autorizzazione di cui al presente articolo e venga pertanto effettuato un trasferimento dei dati personali del Titolare al di fuori dell’Unione Europea, tale trasferimento dovrà rispettare le previsioni di cui al GDPR sopra indicate. Resta inteso tra le Parti che il Responsabile dovrà garantire che i metodi di trasferimento impiegati, ivi inclusa la conformità alle clausole contrattuali standard approvate dalla Commissione Europea e sulla base dei presupposti indicati nella medesima decisione consentano il mantenimento di costanti e documentabili standard di validità per tutta la durata della presente Appendice. Il Responsabile è obbligato a comunicare immediatamente al Titolare il verificarsi di una delle seguenti fattispecie:
(a) mancato rispetto delle clausole contrattuali standard di cui sopra, oppure
(b) qualsiasi modifica della metodologia e delle finalità trasferimento dei dati personali all’estero.
Articolo 12 - Diritti delle persone interessate
1. È compito del Responsabile del trattamento fornire adeguata informativa agli Interessati dalle operazioni di trattamento, nel momento in cui i dati vengono raccolti.
2. Il Responsabile, per quanto di propria competenza, si obbliga ad assistere ed a supportare il Titolare con misure tecniche e organizzative adeguate al fine di soddisfare l'obbligo del Titolare di dare riscontro alle richieste per l'esercizio dei diritti dell'Interessato (negli ambiti e nel contesto del ruolo ricoperto e in cui opera il Responsabile) nel rispetto dei termini previsti dall’art. 12 del GDPR.
3. In particolare, qualora il Responsabile riceva richieste provenienti dagli Interessati, finalizzate all’esercizio dei propri diritti, esso dovrà:
- darne tempestiva comunicazione scritta al Titolare via posta elettronica certificata, allegando copia delle richieste ricevute;
- coordinarsi, ove necessario e per quanto di propria competenza, con le funzioni interne designate dal Titolare per gestire le relazioni con gli Interessati;
Articolo 13 - Verifiche circa il rispetto delle regole di protezione dei dati personali
1. Il Responsabile riconosce al Titolare il diritto di effettuare controlli (audit) relativamente alle operazioni aventi ad oggetto il trattamento dei dati personali per conto del Titolare. A tal fine, il Titolare ha il diritto di disporre – a propria cura e spese – verifiche a campione o specifiche attività di audit o di rendicontazione in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile.
2. Il Responsabile del trattamento fornisce al Titolare tutta la documentazione necessaria per dimostrare la conformità a tutti i suoi obblighi e per consentire al Titolare od a qualsiasi soggetto dal medesimo autorizzato o delegato di condurre audit, comprese le ispezioni, e per contribuire a tali verifiche.
3. Il Responsabile del trattamento deve informare e coinvolgere tempestivamente il Titolare in tutte le questioni riguardanti il trattamento dei dati personali ed in particolare nel caso di richieste di informazioni, controlli, ispezioni ed accessi da parte dell’Autorità di controllo.
Articolo 14 - Manleva e Responsabilità per violazione delle disposizioni
1. Il Responsabile s’impegna a mantenere indenne il Titolare da qualsiasi responsabilità, danno, incluse le spese legali, od altro onere che possa derivare da pretese, azioni o procedimenti avanzate da terzi a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento dei dati personali che sia imputabile a fatto, comportamento od omissione del Responsabile (o di suoi dipendenti e/o collaboratori), ivi incluse le eventuali sanzioni che dovessero essere comminate ai sensi del GDPR.
2. Il Responsabile si impegna a comunicare prontamente al Titolare eventuali situazioni sopravvenute che,per il mutare delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità alla prestazione dei servizi dedotti nel Contratto.
3. Il Titolare ha il diritto di reclamare dal Responsabile la parte dell’eventuale risarcimento di cui dovesse essere chiamato a rispondere nei confronti di terzi per le violazioni commesse dal Responsabile ai sensi dell’art. 82, paragrafo 5, del GDPR.
4. Fatti salvi gli articoli 82, 83, e 84 del GDPR, in caso di violazione delle disposizioni contenute nella presente Appendice, relative alle finalità e modalità di trattamento dei dati, di azione contraria alle istruzioni ivi contenute od in caso di mancato adempimento agli obblighi specificatamente diretti al Responsabile dal GDPR, il Responsabile sarà considerato quale Titolare del trattamento e ne risponderà direttamente, anche dal punto di vista sanzionatorio.
Articolo 15 - Responsabile della Protezione dei dati personali
1. Il Titolare rende noto di aver provveduto alla nomina del Responsabile della Protezione dei Dati personali (RPD o DPO) in conformità alla previsione contenuta nell’art. 37, par. 1, lett a) del GDPR, individuando quale soggetto idoneo la Xxxxxx Xxxxxx s.r.l. e per essa l’Avv. Xxxx Xxxx, e che il medesimo è raggiungibile ai seguenti recapiti: Telefono: 000000000 - 0000000000
E-mail: xxxxxxx@xxxxxx.xx PEC: xxxxxxx@xxx.xxxxxx.xx
2. Detto nominativo è stato altresì comunicato all’Autorità Garante per la Protezione dei dati personali con procedura telematica.
3. Il Responsabile del trattamento dichiara di aver/non aver provveduto alla nomina del proprio responsabile della protezione dei dati (in caso affermativo, indicarne i dati di contatto).
Articolo 16 – Clausole nulle o inefficaci
1. Qualora una o più clausole della presente Appendice fossero o divenissero contrarie a norme imperative o di ordine pubblico, esse saranno considerate come non apposte e non incideranno sulla validità della stessa, fatto salvo il diritto di ciascuna parte di chiedere una modifica dell’Appendice ove la pura e semplice eliminazione della clausola nulla menomasse gravemente i suoi diritti.
Articolo 17 – Comunicazioni
1. Qualsiasi comunicazione relativa alla presente Appendice ed al sottostante Contratto dovrà essere data per iscritto ed a mezzo di posta elettronica certificata, con ricevuta di accettazione e conferma di consegna, purché inviati o consegnati all'indirizzo indicato in testa all’Appendice. Tale indirizzo potrà essere modificato da ciascuna delle Parti, dandone comunicazione all'altra ai sensi del presente articolo.
Articolo 18 – Disposizioni finali
1. Per quanto non espressamente indicato nella presente Appendice, il Titolare ed il Responsabile del trattamento rinviano al GDPR, alle disposizioni di legge vigenti, nonché ai provvedimenti dell’Autorità di controllo.