CONTRATTO per il TRATTAMENTO dei DATI personali
CONTRATTO per il TRATTAMENTO dei DATI personali
Data processing addendum (ex art. 28 GDPR) Versione 05.01.2022
Il presente Contratto per il Trattamento dei Dati (DPA o anche Accordo di elaborazione dati), è parte integrante del “Contratto di fornitura servizi” (anche Condizioni Generali di Servizio) stipulato tra IlTuoHosting s.r.l. Unipersonale (di seguito anche ITH) con sede in xxx Xxxxxxxx xx Xxxxxxxx 00, Xxxxxxx, mail xxxx@xxxxxxxxxxxx.xx, PEC xxxxxxx@xxx.xxxxxxxxxxxx.xx (quale Responsabile esterno del trattamento) e il Cliente (in qualità di Titolare del trattamento) il quale Contratto di fornitura definisce i termini e le condizioni applicabili ai servizi offerti da IlTuoHosting ai Clienti. Sono parte integrante gli altri documenti legali quali le Condizioni Generali e Speciali di Servizio e l’Informativa Privacy.
Scopo del presente Contratto è di definire le condizioni in base alle quali IlTuoHosting s.r.l. Unipersonale, quale RESPONSABILE DEL TRATTAMENTO (di seguito Responsabile) in ossequio agli artt. 4 e 28 del Regolamento europeo 679/2016 (GDPR), tratta, nel rispetto delle istruzioni del Cliente, i dati personali per conto del Cliente, nonché gli oneri e le responsabilità conseguenti al trattamento dei dati personali.
Il presente Contratto annulla e sostituisce ogni altra precedente intesa eventualmente intervenuta tra le parti nella medesima materia. In caso di conflitto tra con le disposizioni del Contratto di fornitura servizi, il presente Contratto prevale.
Per tutto ciò che non è regolamentato dal presente Contratto si deve fare riferimento alle norme europee e nazionali in materia di protezione dei dati personali, che le parti si impegnano a conoscere e rispettare.
Indice generale
2. Natura e scopo del trattamento 2
5. Luogo del trattamento e meccanismi di trasferimento dei dati 3
7. Obblighi del Responsabile 4
- verifiche da parte delle Autorità 4
- aggiornamento e certificazioni 4
- notifica di violazioni della sicurezza (data breach) 4
- registro delle attività di trattamento 5
- misure tecnico-organizzative e di sicurezza 5
- assistenza al Cliente in relazione all’esercizio dei diritti delle persone interessate 6
- assistenza al Cliente in relazione ai propri diritti 7
14. Soggetti del trattamento e sub-responsabili 8
18. Ripartizione delle responsabilità 9
19. Modifiche del Contratto 10
20. Cliente che opera quale Responsabile del trattamento 10
1. Oggetto del trattamento
ITH quale Responsabile del trattamento elabora i dati personali solo su istruzioni del Cliente e alle condizioni stabilite nel presente Contratto che rappresenta le istruzioni definitive relative al trattamento dei dati per conto del Cliente. Qualsiasi elaborazione al di fuori di tale ambito richiede un ulteriore accordo scritto preventivo.
Il Responsabile è autorizzato esclusivamente al trattamento dei dati personali di cui il Cliente è Titolare/Responsabile per l’esecuzione e la fornitura dei servizi oggetto del Contratto di fornitura, nei limiti necessari e relativi all’esecuzione delle prestazioni. Per i dettagli si fa riferimento alle Condizioni Generali e alle Condizioni Speciali pubblicate sul sito web che qui si intendono riportate per esteso.
Se il Responsabile valuta che una delle istruzioni fornite dal Titolare risulti contraria alle leggi vigenti in materia, avvertirà il Titolare nel più breve tempo possibile, riservandosi il diritto di sospendere l’esecuzione dell’istruzione fino a conferma o modifica da parte del Titolare.
2. Natura e scopo del trattamento
Il trattamento dei dati potrebbe comprendere attività di calcolo, immagazzinamento e altro tipo di operazione. La raccolta dei dati per conto del Cliente avviene per le seguenti finalità:
- fornitura del servizio richiesto dal Cliente in base al Contratto e alle Condizioni Generali, Condizioni Speciali e altre policy presenti sul sito;
- supporto e assistenza al Cliente;
- verifica del funzionamento corretto del servizio;
- verifica della sicurezza del servizio e dei dati stessi;
- adempimento degli obblighi imposti dalle leggi.
3. Categorie di dati
Oggetto del trattamento sono i dati inviati dal Cliente nel corso dell’utilizzo dei servizi, la cui tipologia e entità è determinata e controllata esclusivamente dal Cliente medesimo, incluso a titolo esemplificativo ma non esaustivo le seguenti categorie di soggetti dei dati personali:
- clienti, partner commerciali e venditori del Cliente;
- dipendenti, referenti, agenti, consulenti, liberi professionisti del Cliente;
- utenti del Cliente autorizzati dal Cliente a utilizzare i Servizi;
- individui che trasmettono dati tramite i Servizi, compresi gli individui che collaborano e comunicano con il Cliente o gli utenti finali del Cliente;
- individui i cui dati sono forniti tramite i Servizi da o tramite il Cliente o dagli utenti finali del Cliente.
Incluso, inoltre, a titolo esemplificativo ma non esaustivo le seguenti categorie di dati personali:
- dati e parametri del dispositivo di connessione al servizio;
- dati e parametri del tipo di browser utilizzato per la connessione;
- dati dell’internet service provider (ISP);
- data, orario e durata della visita;
- pagina web di provenienza (referral) e di uscita;
- nazione di provenienza;
- eventualmente il numero di click;
- dati demografici;
- dati geografici;
- comportamento sul sito web (frequenza e regency);
- nomi a dominio;
- indirizzi mail;
- dati anagrafici;
- e comunque ogni altro dato fornito dal Cliente tramite i servizi attivati e specificati nel Contratto.
Il Cliente riconosce che il Responsabile inoltre è obbligato a raccogliere una serie di informazioni del Cliente per obblighi legali e/o da mettere eventualmente a disposizione delle autorità. Il Cliente si impegna a fornire queste informazioni e a tenerle costantemente aggiornate.
Il Cliente è il solo responsabile per la selezione dei Servizi a seconda delle condizioni richieste per il trattamento dei dati, ivi compreso il trattamento di dati soggetti a prescrizioni specifiche (es. dati sanitari) per i quali occorrono più elevati standard di sicurezza. È responsabilità del Cliente selezionare i Servizi accuratamente in particolare quando il trattamento presenta elevati rischi per i diritti delle persone fisiche.
4. Durata del trattamento
Il trattamento dei dati sarà effettuato fino alla scadenza del contratto stipulato col Cliente, così come previsto dalle Condizioni Generali di Contratto e/o dai listini online, o comunque fino al verificarsi di condizioni che rendono impossibile continuare l’esecuzione del contratto (es. mancato pagamento). Alla scadenza i dati forniti saranno messi a disposizione del Cliente (tramite procedure di download automatizzato) e cancellati dai server del Responsabile oppure solo cancellati a scelta del Cliente, a meno che non sia previsto un obbligo legale di conservazione dei dati (es. garanzia, motivi fiscali). Le copie di sicurezza dei dati saranno cancellate.
Per l’eliminazione o cancellazione completa dei dati del Cliente potrebbe occorrere un periodo variabile fino a 30 giorni.
Qualsiasi prova e documentazione intesa a dimostrare il corretto trattamento dei dati in conformità con i requisiti contrattuali e altri requisiti applicabili sarà conservata dal Responsabile anche oltre la fine del contratto e fino alla scadenza dei termini previsti dalle leggi vigenti per azioni giudiziarie.
5. Luogo del trattamento e meccanismi di trasferimento dei dati
I dati sono trattati presso la sede del Responsabile e presso i datacenter. Sia la sede che i data center si trovano nel SEE (Spazio Economico Europeo). Il Responsabile si riserva il diritto di aggiornare le sedi di trattamento dei dati se necessario.
Il trasferimento di dati personali al di fuori del SEE, qualora sia richiesto dal Cliente anche tramite le impostazioni del servizio (es. utilizzo di servizi di analytics), è ammesso a condizione che il paese di destinazione garantisca un livello di protezione adeguato oppure esistano specifiche decisione di adeguatezza emanate dalla Commissione europea o clausole contrattuali utilizzate dal Cliente.
Qualora un servizio selezionato dal Cliente implichi un trasferimento di dati al di fuori del SEE, e ciò comporti la sottoscrizione di apposita clausola o DPA con il servizio in questione, tale sottoscrizione dovrà essere operata dal Cliente quale Titolare del suo trattamento.
ITH si riserva il diritto di stipulare Clausole Contrattuali Standard (SCC) con l’importatore dei dati per consentire il trasferimento dei dati personali qualora il Cliente comunichi espressamente
l’intenzione di avviare trasferimenti con paesi al di fuori del SEE autorizzandolo a stipulare le Clausole con l’importatore dei dati e dichiarando di disporre di tutte le autorizzazioni necessarie.
ITH si impegna a:
1. trattare i Dati Personali immessi e utilizzati dal Cliente per i Servizi unicamente nella misura necessaria e proporzionata allo scopo di fornire tali Servizi;
2. non accedere né utilizzare i Dati Personali per qualunque altro scopo se non quello strettamente necessario per lo svolgimento dei Servizi (in particolare in riferimento alle finalità di gestione delle Violazioni);
3. adottare le misure tecniche e organizzative adeguate e conformi agli standard di settore per garantire la sicurezza dei Dati Personali nella fornitura dei Servizi;
4. garantire che i dipendenti di ITH autorizzati al trattamento dei Dati Personali in base al Contratto siano vincolati da un obbligo di riservatezza e ricevano una formazione adeguata in merito alla tutela di tali dati;
5. informare il Cliente qualora, in base alle informazioni a sua disposizione, ritenga che un'istruzione del Cliente stesso violi il GDPR o altre disposizioni per la tutela dei dati dell’Unione europea o di uno Stato membro dell’UE;
6. in caso di ricevimento di richieste da parte di un’Autorità competente e relative ai Dati Personali trattati, informare il Cliente (fatto salvo quando proibito dalle normative vigenti o da un'ingiunzione di un’autorità competente), nonché limitare la comunicazione dei dati a quanto l'Autorità abbia espressamente richiesto.
- verifiche da parte delle Autorità
Eventuali verifiche, controlli o indagini da parte dell’Autorità di controllo (Garante Privacy) relative ai trasferimenti operati per conto del Cliente, saranno comunicate nel più breve tempo possibile al Cliente all’indirizzo mail indicato in sede di Contratto. Il Responsabile si obbliga a cooperare e assistere il Cliente in casi di verifiche, controlli o indagini sul Cliente stesso, fornendo ogni informazione utile o necessaria riguardo al trattamento dei dati personali.
Entrambe le parti si obbligano a cooperare con le Autorità al meglio in caso di verifica, controlli o indagini da parte delle Autorità.
In caso di verifiche da parte dell’Autorità di controllo con riferimento al trattamento dati del Cliente, il Cliente si impegna a tenere indenne il Responsabile da spese o eventuali costi.
- aggiornamento e certificazioni
Il Responsabile si obbliga a curare l’aggiornamento delle proprie competenze specifiche e a tenersi aggiornato in merito a codici di condotta e alle certificazioni approvate dalle autorità di controllo e verificate dagli istituti di certificazione.
- notifica di violazioni della sicurezza (data breach)
Il Responsabile si impegna ad informare il Cliente senza ritardo in caso di accesso non autorizzato ai dati o comunque di una violazione della sicurezza o dei dati personali. Il Responsabile farà ogni ragionevole sforzo per identificare la causa della violazione, per valutare il relativo rischio in relazione ai diritti e le libertà degli Interessati coinvolti, e per adottare le misure più opportune per
ridurre il rischio. Le informazioni in questione saranno, altresì, comunicate al Cliente all’indirizzo email indicato in sede di Contratto. Il Cliente si impegna a tenere aggiornato tale indirizzo email.
La comunicazione non implica alcun riconoscimento di responsabilità in relazione alla violazione dei dati.
Spetta al Cliente valutare la sussistenza di un obbligo di comunicazione agli Interessati o di notifica alle Autorità di controllo (Garante) della violazione dei dati (data breach).
- registro delle attività di trattamento
Il Responsabile dichiara di tenere per iscritto un registro di tutte le categorie di attività di trattamento effettuate per conto del Titolare del trattamento e che comprendono:
- nome e dati del Cliente e, se applicabile, del Responsabile della protezione dei dati (DPO);
- categorie di trattamenti effettuati per conto del Cliente;
- se applicabili, i trasferimenti di dati a carattere personale verso un paese terzo o ad una organizzazione internazionale e, nel caso di trasferimenti previsti dall’articolo 49, paragrafo 1, secondo comma del GDPR, i documenti che attestano l’esistenza di opportune garanzie;
- per quanto possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative;
- gli strumenti che permettono di garantire la riservatezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di trattamento;
- gli strumenti che permettono di ristabilire la disponibilità dei dati a carattere personale e l’accesso a questi nei tempi appropriati in caso di incidente fisico o tecnico;
- la procedura che mira a testare, ad analizzare ed a valutare regolarmente l’efficacia delle misure tecniche ed organizzative per assicurare la sicurezza del trattamento.
Il Cliente si impegna a fornire per iscritto tutte le istruzioni necessarie per il trattamento dei dati, e tutte le informazione necessarie per la creazione e la corretta tenuta dei registri del Responsabile sulle attività di trattamento dei dati. Il Cliente resta l’unico responsabile per le informazioni trattate e le istruzioni comunicate nel caso siano non corrette o incomplete.
- obbligo di riservatezza
Il Responsabile è vincolato dall’obbligo di riservatezza, anche dopo la cessazione del contratto, con riferimento a tutti i dati trattati per conto del Cliente, come anche il personale autorizzato al trattamento, per il quale l’obbligo permane anche dopo la cessazione dei rapporto di lavoro.
Il personale viene istruito in merito agli obblighi particolari relativi alla protezione dei dati derivanti dal presente mandato, nonché dalle leggi in materia di protezione dei dati personali. Il Responsabile vigila sull’osservanza delle istruzioni e degli obblighi imposti.
Tale obbligo di riservatezza non si applica nel caso in cui il Cliente abbia autorizzato la fornitura di informazioni a terzi, oppure laddove la fornitura delle informazioni a terzi sia ragionevolmente necessaria in considerazione della natura delle istruzioni e dell’attuazione di questo Accordo per l’elaborazione dei dati, o se vi è l’obbligo legale di rendere l’informazione disponibile a terzi.
- misure tecnico-organizzative e di sicurezza
Il Responsabile propone Servizi con misure organizzative e di sicurezza specificatamente studiate per il trattamento anche di dati a trattamento speciale ex art. 9 GDPR (sensibili, giudiziari, biometrici, ecc...). Il Responsabile adotta tutte le preventive misure previste dalle norme e dalle prassi internazionali o comunque ritenute idonee e proporzionate al fine di ridurre al minimo i rischi di distruzione, perdita anche accidentale, accesso non autorizzato o comunque trattamento non
consentito dei dati, tenendo conto dello stato dell’arte della tecnologia, dell’importanza dei dati trattati e dei costi relativi. Non può, però, garantire che tali misure siano efficaci in ogni circostanza.
Le misure tecniche e organizzative sono soggette al progresso tecnico e all’ulteriore sviluppo.
Il Responsabile, in attuazione del principio della protezione dei dati fin dalla progettazione del sistema e del principio di protezione per impostazione predefinita (privacy by design e by default, ai sensi dell’art. 25 GDPR) verifica periodicamente l’adeguatezza delle misure di sicurezza adottate, valutando eventuali modifiche delle stesse in base alle mutate tecnologie, che eventualmente saranno opportunamente documentate sul sito web, a meno che non si tratti di informazioni riservate o commercialmente sensibili.
La sicurezza del trattamento dati è garantita dalle seguenti misure, elencate in via esemplificativa ma non esaustiva:
- accesso alle strutture e/o locali ristretto alle sole persone autorizzate e indispensabili per lo svolgimento dei compiti e nell’ambito delle loro responsabilità, e misure di controllo fisiche dei locali H24;
- accesso al sistema informatico alle sole persone autorizzate, con controllo degli accessi e delle operazioni;
- separazione dei servizi: a seconda dei servizi i Clienti sono isolati tra loro fisicamente o logicamente;
- procedure di log: per tracciare le azioni svolte sul sistema informatico, i log sono protetti da accessi non autorizzati;
- procedure di disaster recovery per garantire la continuità operativa e la sicurezza dei dati;
- cifratura dei dati e dei supporti di backup e custodia degli stessi;
- formazione e aggiornamento del personale autorizzato al trattamento dei dati;
- accordi di riservatezza e non divulgazione dei dati;
- limitazione della creazione di materiale cartaceo e smaltimento sicuro degli stessi;
- divieto di utilizzo di supporti e dispositivi di memorizzazione portatili non crittografati a meno di eccezioni;
- adozione di politiche BYOD per la gestione dell’intero ciclo dei dispositivi mobili.
Il Cliente prende atto che (tenendo conto dei costi di implementazione e della natura, portata, contesto e scopo del trattamento dei dati del Cliente nonché dei rischi per le persone) le misure di sicurezza implementate dal Responsabile sono adeguate al livello di sicurezza necessario in relazione ai Dati del cliente, ai sensi dell’art. 32 GDPR.
Il Responsabile pone tutti gli sforzi possibili e utilizza le migliori tecnologie per assicurare che i Dati trattati in esecuzione del Contratto siano predisposti secondo formati e standard in grado di assicurare la leggibilità e la portabilità degli stessi.
- assistenza al Cliente in relazione all’esercizio dei diritti delle persone interessate
Il Responsabile si impegna per quanto possibile ad assistere il Cliente nell’adempimento dell’obbligo di evadere le richieste di esercizio dei diritti degli interessati. I sistemi software (es. posta, posta certificata) sono progettati per facilitare il compito del Cliente. Il Responsabile rimane a disposizione del Cliente per ulteriori eventuali informazioni. Nel caso il Cliente richiedesse servizi
aggiuntivi (es. il trattamento diretto da parte del Responsabile) per l’evasione delle richieste degli interessati, tali forniture dovranno essere oggetto di separato accordo.
Qualora le persone interessate esercitino tale diritto presso il Responsabile del trattamento presentandogli la relativa richiesta, il Responsabile del trattamento inoltrerà tempestivamente tali richieste al Titolare al contatto (es. email) indicato in sede di stipula del Contratto.
- assistenza al Cliente in relazione ai propri diritti
Il Responsabile si impegna, nei limiti delle sue possibilità, ad assistere il Cliente nel garantire il rispetto dei suoi compiti e delle sue funzioni, quali le misure di sicurezza, la notifica delle violazioni dei dati personali, l’eventuale esecuzione di valutazioni di impatto del trattamento (DPIA) se espressamente richiesto. Si impegna a mettere a disposizione del Cliente, tramite pubblicazione sul sito web, tutte le informazioni necessarie a dimostrare la conformità agli obblighi di legge del trattamento dei dati, delle misure di sicurezza e in genere delle procedure. Ulteriori informazioni potranno essere richieste per iscritto al responsabile. La fornitura di servizi specifici dovrà essere oggetto di separato accordo.
Il Responsabile si riserva il diritto, a sua esclusiva discrezione e in ossequio alle leggi vigenti, di rifiutare la divulgazione di qualsiasi informazione che possa essere critica per la sua attività, o che possa costituire una violazione di norme statali o clausole contrattuali o di riservatezza o che comunque possano ledere i diritti di terzi. Al Cliente non verrà concesso l’accesso a dati o informazioni di altri Clienti, o comunque a informazioni non rilevanti per il Cliente.
I registri e le misurazioni fornite dal Responsabile sono considerati autentici a meno che il Cliente non fornisca prove convincenti del contrario.
12. Obblighi del Cliente
Il Cliente (quale Titolare del trattamento) è responsabile della liceità della raccolta, elaborazione e utilizzo dei dati nonché per la tutela dei diritti degli interessati (cioè i suoi clienti o utenti). È sua responsabilità fornire i dati al Responsabile per consentire la fornitura del servizio. Inoltre si impegna ad informare gli interessati correttamente e compiutamente con riferimento ai dati trattati, alle modalità e le finalità del trattamento e ai diritti attribuiti dalla legge, nonché sulle conseguenze del consenso tramite apposita informativa redatta ai sensi delle leggi vigenti, e a raccogliere il relativo consenso qualora previsto dalle norme, o a stabilire una base legale del trattamento. Si impegna altresì a tenere indenne il responsabile da eventuali richieste legali relative alla non conformità della sua informativa agli utenti/interessati del trattamento e/o della raccolta del consenso.
Spetta al Cliente valutare se il suo trattamento comporta un elevato rischio per i diritti o la libertà di persone fisiche, se si tratta di decisioni automatizzate con conseguenze legali sugli interessati, monitoraggio sistematico, trattamento di dati a trattamento speciale (ex art. 9 GDPR), e quindi se si rende necessaria una valutazione di impatto del trattamento (DPIA). L’eventuale DPIA dovrà essere portata a conoscenza del Responsabile.
Spetta al Cliente valutare se il suo trattamento comporta la nomina di un Data Protection Officer
(DPO). L’eventuale nomina dovrà essere portata a conoscenza del Responsabile.
13. Xxxxxxxx xx xxxxxxxxx
I dati verranno trattati dal Responsabile con mezzi automatizzati e comunque secondo modalità che non comportano la conoscenza effettiva di attività o di informazioni o fatti o circostanze descritti nelle informazioni trattate. Si applicano, quindi, le esenzioni di cui alla direttiva 2000/31/CE e al D.Lgs 70/2003 e successive modifiche. Il Cliente/Titolare si impegna comunque a tenere indenne il Responsabile da eventuali azioni legali conseguenti alla commissione di illeciti da parte di clienti/utenti del Cliente/Titolare.
14. Soggetti del trattamento e sub-responsabili
Il Responsabile si impegna a trattare i dati solo tramite autorizzati al trattamento che operano in base alle istruzioni fornite, verificando che applichino le prescrizioni di sicurezza e riservatezza dei dati, assicurandosi che siano a conoscenza delle norme a tutela dei dati personali, provvedendo alla loro formazione e al loro aggiornamento, prescrivendo che abbiano accesso ai soli dati strettamente necessari per adempiere ai compiti loro assegnati.
Con la sottoscrizione del Contratto di fornitura dei Servizi il Cliente accetta che il Responsabile utilizzi anche soggetti esterni per la fornitura di servizi specializzati connessi alla prestazione richiesta. Il Cliente autorizza il Responsabile a subappaltare i suoi obblighi relativi al trattamento dei dati personali a sub-Responsabili (ulteriori Responsabili del trattamento) senza necessità di approvazione preventiva qualora il rapporto tra Responsabile e sub-Responsabile sia contrattualizzato con obblighi analoghi a quelli previsti dal presente contratto e quindi conforme a quanto previsto dall’art. 28, par. 2-4 del GDPR. In tale contesto, i sub-Responsabili possono avere sede anche al di fuori del SEE qualora essi siano vincolati da un contratto ai sensi dell’art. 28 e siano stipulate adeguate garanzie per il trasferimento dei dati ai sensi dall’art. 46 GDPR.
I sub-Responsabili saranno comunque vincolati alle istruzioni di cui al presente accordo, e in particolare il sub-Responsabile accederà ai dati solo nella misura richiesta per adempiere alle obbligazioni assunte in base al Contratto, assumendo gli obblighi di cui all’art. 28 GDPR. Se il sub- Responsabile non adempie alle proprie obbligazioni in materia di protezione dei dati, il Responsabile del trattamento risponde nei confronti del Cliente per il trattamento operato dal sub-Responsabile, salvo differente ripartizione tra Responsabile e sub-Responsabile.
Qualora l’utente avesse ragionevole motivo di opporsi a sub-Responsabili aggiuntivi, deve comunicare a ITH per iscritto i motivi della sua opposizione. Se l’utente si oppone ai sub- Responsabili aggiuntivi deve interrompere l'uso dei Servizi applicabili. L’opposizione deve essere comunicata entro 15 giorni dalla eventuale comunicazione dell’avvio del rapporto col sub- Responsabile e specificare nel dettaglio il motivo dell’opposizione. ITH non sarà comunque obbligato a rinunciare al sub-Responsabile opposto, ma il Cliente avrà il diritto di recedere dal Contratto di fornitura.
Non si devono intendere quali rapporti di subappalto i servizi cui il Responsabile ricorre presso terzi quale prestazione accessoria per supportare la fornitura del servizio, come ad esempio servizi di telecomunicazione, manutenzione e assistenza utente, addetti alle pulizie, spedizione, ecc... Tuttavia, ai fini della garanzia della protezione e della sicurezza dei dati del Committente, il Responsabile è tenuto, anche in caso di prestazioni accessorie demandate a terzi, a stipulare accordi contrattuali adeguati e conformi alla legge e ad adottare le opportune misure di controllo e sicurezza.
A richiesta il Titolare fornirà un elenco dettagliato dei sub-Responsabili.
17. Audit
Il Cliente avrà facoltà di svolgere un audit anche tramite una terza parte indipendente, al fine di verificare la conformità del trattamento del Responsabile al presente Accordo e al GDPR. L’audit può essere intrapreso solo quando vi sono motivi specifici e documentati per sospettare l’uso improprio dei dati personali, e non prima di due settimane dopo che il Cliente ha fornito una comunicazione scritta al Responsabile. Il Responsabile può rifiutare al Cliente o a un revisore incaricato dal Cliente di condurre un audit se il Cliente o il revisore è, secondo il ragionevole parere del Responsabile, non adeguatamente qualificato o indipendente, un concorrente del Responsabile, oppure manifestamente inadatto.
L’audit deve essere eseguito senza interferire in modo irragionevole con le attività aziendali del Responsabile. Le conclusioni dell’audit saranno discusse e valutate dalle parti e, se del caso, attuate di conseguenza da una delle parti o congiuntamente. I costi dell’audit sono a carico del Cliente. Sia il Cliente che la terza parte indipendente sono tenuti a osservare la riservatezza in merito allo svolgimento e alle conclusioni dell’audit. Il Cliente rimane responsabile di eventuali violazioni della terza parte nell’esecuzione dell’audit o successivamente.
Non è possibile svolgere più di un audit all’anno.
In alternativa all’audit il Responsabile può scegliere di provare la conformità alle norme e la validità delle misure organizzative e tecniche, a mezzo adesione a Codici di condotta ai sensi dell’art. 40 GDPR, o tramite strumenti equivalenti (es. certificazioni).
18. Ripartizione delle responsabilità
Il Responsabile del trattamento risponde unicamente del trattamento dei dati personali effettuato ai sensi del presente Accordo e non di ulteriori trattamenti di dati personali, inclusi, a titolo esemplificativo ma non esaustivo, trattamenti per scopi non segnalati dal Titolare ed elaborati da terze parti. Risponde solo dei danni causati a seguito di mancato rispetto degli obblighi di cui al GDPR o normativa nazionale con riferimento ai Responsabili del trattamento, o della violazione delle legittime istruzioni scritte fornite dal Cliente.
Richiedendo la fornitura del servizio di cui al Contratto, il Cliente dichiara e garantisce di avere un’idonea base legale per elaborare i dati personali, e che i contenuti non sono illegali e non violano alcun diritto di terzi (anche con riferimento a normative settoriali ulteriori, come quelle in materia di proprietà intellettuale). Dichiara altresì che i dati da lui trasmessi sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti. Il Cliente si impegna ad indennizzare il Responsabile con riferimento a tutti i reclami o azioni legali di terzi relativi alla elaborazione di dati personali illecita o illegittima dipendente dal Cliente stesso a da utenti/clienti del Cliente.
Qualora il Responsabile e il Cliente siano coinvolti in una procedura relativa all’esecuzione del presente Accordo, il Cliente si farà carico di indennizzare per la totalità l’interessato e solo in seconda battuta si rivarrà sul Responsabile per la eventuale parte di responsabilità dell’Azienda.
19. Modifiche del Contratto
Il presente Contratto può essere modificato e adattato, in particolare in caso di modifiche della legislazione in materia di protezione dei dati personali, o di provvedimenti delle Autorità di controllo. Il Cliente dovrà fornire piena collaborazione alla modifica del presente Contratto.
20. Cliente che opera quale Responsabile del trattamento
Qualora il Cliente operi quale Responsabile del trattamento per conto di Titolari del trattamento terzi (es. Agenzia Web che gestisce siti per conto di terzi), il Cliente garantisce di aver stipulato un regolare Contratto di trattamento dei dati ai sensi delle norme vigenti (in particolare il GDPR) col proprio Titolare del trattamento e che in tale contratto ITH sia stata indicata e accettata quale sub- responsabile del trattamento.
Il Cliente garantisce che le istruzioni fornite a ITH sono allineate e compatibili con le istruzioni ricevute dal proprio Titolare del trattamento, e che tutte le informazioni e comunicazioni di ITH sono debitamente comunicate al Titolare del trattamento se necessario per lo svolgimento dei trattamenti di dati.
Il Cliente garantisce che le istruzioni saranno fornite solo dal Cliente e non dal Titolare, a meno che il Cliente non abbia cessato l’attività.
Il Cliente manterrà indenne ITH per qualsiasi inadempienza del Titolare del trattamento e rimane totalmente responsabile nei confronti di ITH indennizzandolo per qualsiasi inadempienza del Titolare del trattamento nell’applicazione della normativa vigente.