ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI

ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI

ai sensi dell’art. 28 Regolamento (UE) 2016/679

tra

Il Cliente (di seguito anche “Titolare del trattamento” o “Titolare”), in persona del legale rappresentante pro tempore munito dei necessari poteri,

e

VEM Sistemi S.p.A. con sede legale a Xxxxx 00000, in xxx Xxx Xxxxxxxxxx Xxxxxxxxx 00, Partita IVA 01803850401 (di seguito anche “VEM”, “Fornitore”, “Responsabile del trattamento” o “Responsabile”), in persona del suo legale rappresentante pro tempore munito dei necessari poteri,

di seguito indicate anche singolarmente come “la Parte” e congiuntamente come "le Parti".

Premesso che

a) le Parti hanno in corso un rapporto regolato dalla proposta, intestata al Titolare, di cui questo Accordo è allegato e parte integrante e che il Titolare ha accettato (di seguito anche "Contratto Principale") per effetto del quale VEM esegue per il Titolare le attività descritte nel Contratto Principale (di seguito anche "Servizio");

b) Il presente Accordo è pertanto da considerarsi applicabile e riferito al rapporto di cui al Contratto Principale costituendone parte integrante o, comunque, riferibile ai singoli ordini formalizzati e affidati nell’ambito del medesimo rapporto di cui al Contratto Principale con il Fornitore;

c) l’art. 28 del Regolamento (UE) 2016/679 (di seguito “Regolamento”) consente a qualsiasi Titolare del trattamento di ricorrere ad uno o più Responsabili che trattino dati per suo conto, a condizione che tali soggetti presentino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'Interessato;

si conviene e si stipula quanto di seguito riportato.

1. Valore delle premesse

1.1. Le premesse formano parte integrante e sostanziale del presente Accordo e ad esse le Parti intendono attribuire valore negoziale.

2. Definizioni

2.1. Ai fini del presente Accordo, i termini di seguito indicati, ove riportati con lettera iniziale maiuscola, avranno il seguente significato:

● “Accordo”: il presente documento.

● “Servizio” (sia in forma singolare sia plurale): l’insieme delle attività, delle prestazioni e/o degli adempimenti che il Responsabile si impegna a svolgere o ad eseguire a favore del Titolare del trattamento, in forza del Contratto Principale e come ivi descritti.

● “Contratto Principale”: il contratto concluso tra le Parti o la proposta sottoscritta dal Titolare di cui in premessa.

● “Amministratore di sistema”: generalmente, in ambito informatico, figure professionali finalizzate alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti, nonché le figure equiparabili dal punto di vista dei rischi relativi alla protezione dei dati, quali gli amministratori di basi di dati, di reti, di apparati di sicurezza, di sistemi software complessi.

2.2. I termini utilizzati nel presente Accordo che siano specificatamente definiti nel Regolamento, anche all’art.

4, devono essere interpretati conformemente alle definizioni ivi previste.

3. Oggetto

3.1. Oggetto del presente Accordo, in conformità a quanto disposto dall’art. 28 paragrafo 3 Regolamento, è la definizione delle modalità attraverso le quali il Responsabile si impegna ad effettuare, per conto del Titolare, le operazioni di Trattamento dei Dati Personali nel contesto della fornitura del Servizio e per effetto dell’esatto adempimento del Contratto Principale. La durata, la natura, la materia disciplinata, nonché lo scopo e le finalità del Trattamento da parte del Responsabile sono descritti nel Contratto Principale; il tipo di Dati Personali e le categorie di interessati coinvolte sono determinati dal contesto della fornitura del Servizio e dalle caratteristiche del Servizio.

3.2. Nel quadro delle proprie relazioni contrattuali, le Parti sottoscrivono il presente Accordo al fine di garantirsi reciprocamente il rispetto del Regolamento e della normativa in materia di protezione dei dati personali.

3.3. Il Titolare del trattamento, preso atto che il Fornitore presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il Trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'Interessato, nomina VEM che accetta, Responsabile del trattamento ai sensi dell’art. 28 Regolamento.

3.4. Resta inteso che il presente Accordo non esonera il Responsabile dagli obblighi cui è soggetto in forza di altre norme allo stesso applicabili, nazionali o comunitarie.

4. Istruzioni del Titolare e obblighi del Responsabile

4.1 Il Responsabile si impegna a procedere al Trattamento dei Dati Personali nel rispetto del Regolamento e della normativa applicabile in materia di protezione dei dati personali che, con l’accettazione del presente Accordo, dichiara di conoscere. Il Responsabile si impegna a trattare i Dati Personali per conto del Titolare solo se necessario al corretto adempimento delle obbligazioni assunte in forza del Contratto principale e, in ogni caso, nel rispetto delle istruzioni impartite dal Titolare. Tali istruzioni, che ricomprendono quelle di cui al presente Accordo e al Contratto principale, potranno inoltre essere successivamente integrate nel rispetto dell’oggetto del Contratto Principale e comunicate al Responsabile ai recapiti in uso tra le Parti.

4.2 Il Responsabile si impegna ad adottare, per quanto di propria competenza, misure opportune e adeguate, affinché il Trattamento soddisfi i requisiti del Regolamento, i principi fondamentali di cui all’art. 5 e le istruzioni fornite dal Titolare.

4.3 Il Responsabile si impegna a informare per iscritto il Titolare, senza ritardo, ogni qual volta ritenga che specifiche istruzioni da esso ricevute siano in violazione del Regolamento. In tali casi, prima che l’istruzione potenzialmente in contrasto con le disposizioni del Regolamento venga effettivamente eseguita dal

Responsabile, le Parti si impegnano a collaborare in buona fede al fine di garantire il pieno rispetto della vigente normativa in materia di protezione dei Dati personali e assicurare le garanzie previste per gli Interessati.

4.4 Il Responsabile si impegna a comunicare per iscritto al Titolare, senza ritardo, qualsiasi contatto, comunicazione o corrispondenza ricevuta da un'Autorità di vigilanza in relazione al Trattamento dei Dati Personali svolto per conto del Titolare. Le Parti riconoscono e accettano che la responsabilità e l’onere di rispondere a tali contatti, comunicazioni o corrispondenza è esclusivamente del Titolare e non del Responsabile.

4.5 Il Responsabile, tenendo conto della natura del Trattamento e delle informazioni in suo possesso, assiste il Titolare nell’esecuzione delle valutazioni d’impatto sulla protezione dei Dati Personali e nella consultazione preventiva dell’Autorità di Controllo, conformemente agli artt. 35 e 36 del Regolamento.

4.6 Ove applicabile, il Responsabile procede alla nomina degli Amministratori di sistema, fornendo loro specifiche istruzioni e indicando espressamente gli ambiti e i compiti attribuiti in conformità con la normativa applicabile.

Il Titolare si riserva il diritto di chiedere copia dell’elenco dei nominativi degli Amministratori di sistema

coinvolti nel Trattamento e i rispettivi ambiti e compiti.

5. Obblighi del Titolare

5.1 Il Titolare del trattamento ha il diritto e il dovere di determinare e di assumere ogni decisione in merito alle finalità e ai mezzi del Trattamento, come previsto all’art. 4 Regolamento. In particolare, il Titolare del trattamento ha l’obbligo di assicurare che il trattamento di Dati personali svolto dal Responsabile del trattamento, su suo incarico, sia lecito in quanto fondato su idonea e corretta base giuridica.

5.2 Il Titolare si impegna a:

i) documentare per iscritto tutte le istruzioni riguardanti il Trattamento impartite al Responsabile, per tutta la durata del presente Accordo;

ii) vigilare, durante la durata del Trattamento, sul rispetto degli obblighi previsti dal Regolamento da parte del Responsabile;

iii) fornire al Responsabile, su sua richiesta, le necessarie informazioni aggiornate per consentirgli la tenuta del registro delle attività di Trattamento ai sensi dell’art. 30 Regolamento.

6. Autorizzazione alla designazione di Sub-Responsabili

6.1 Il Titolare riconosce e accetta che, per il solo scopo di fornire il Servizio e nel rispetto dei termini del presente Accordo e del Regolamento, il Responsabile del trattamento possa ricorrere ad altri Responsabili del trattamento (di seguito, “Sub-Responsabili”), nel caso in cui lo stesso, per il Trattamento dei Dati Personali, si avvalga di persone fisiche o giuridiche alle quali abbia eventualmente conferito il compito di svolgere attività e/o prestazioni riconducibili al Servizio.

6.2 Spetta al Responsabile Principale assicurare che ogni Sub-Responsabile presenti le stesse garanzie sufficienti e adotti misure tecniche ed organizzative appropriate, in modo che il Trattamento risponda alle esigenze del presente Accordo e del Regolamento.

6.3 Il Titolare del trattamento fornisce al Responsabile Principale, con il presente Accordo, un'autorizzazione generale a ricorrere a Sub-Responsabili, a condizione che il Responsabile:

i) informi il Titolare in merito ad eventuali modifiche relative all’aggiunta, al cambiamento o alla sostituzione dei Sub-Responsabili, riconoscendo al Titolare la facoltà di valutare tale modifica e, se del caso, di opporvisi.

ii) stipuli accordi con ciascun Sub-Responsabile, vincolandoli ove possibile agli stessi obblighi relativi al trattamento dei Dati Personali ai quali il Responsabile Principale è soggetto ai sensi del presente Accordo, in modo tale che il trattamento soddisfi i requisiti del Regolamento.

6.4 Il Responsabile Principale che ricorre a Sub-Responsabili conserva nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi dei Sub-Responsabili qualora questi omettano di adempiere ai propri obblighi in materia di protezione dei Dati Personali. Ciò, non pregiudica i diritti degli Interessati ai sensi del Regolamento, in particolare quelli previsti dagli articoli 79 e 82.

7. Amministratori di sistema

7.1 Le disposizioni del presente articolo si applicano solo qualora il Contratto Principale abbia ad oggetto l’erogazione di Servizi o lo svolgimento, da parte del Responsabile e di coloro che operano sotto la sua diretta autorità, di attività riconducibili alle funzioni di Amministratore di Sistema come definite nel Provvedimento 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari del trattamento effettuati con strumenti elettronici relativamente alla attribuzione delle funzioni di amministratore di sistema” (G.U.

N. 300 del 24 dicembre 2008) e successive modifiche.

7.2 Il Responsabile si impegna per sé e per i soggetti che agiscono sotto la propria autorità e per i Sub- Responsabili eventualmente nominati che svolgano funzioni di Amministratore di sistema al rispetto delle disposizioni previste dal Provvedimento sopra citato e delle disposizioni applicabili a tale figura.

7.3 In particolare, il Responsabile si impegna a:

i) valutare, preventivamente alla designazione, le caratteristiche di esperienza, affidabilità e capacità e di garantire il rispetto delle disposizioni vigenti, ivi compreso il profilo relativo alla sicurezza;

ii) designare individualmente le persone fisiche che svolgono attività di Amministratore di sistema, elencando gli ambiti di operatività affidati e consentiti in base al profilo autorizzativo assegnato;

iii) conservare un elenco degli estremi identificativi delle persone designate quali Amministratori di sistema e impegnare a ciò anche Sub-Responsabili, garantendo l’aggiornamento di tale elenco e la messa a disposizione al Titolare che potrà prenderne visione in qualunque momento;

iv) con riferimento allo svolgimento di attività su Dati Personali collocati su sistemi informativi del Responsabile, egli deve adottare e gestire misure e/o strumenti idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici effettuati dagli Amministratori di Sistema.

Le registrazioni (c.d. access log) devono avere caratteristiche conformi a quanto prescritto dal suindicato Provvedimento;

v) procedere alla verifica almeno annuale dell’operato degli Amministratori di Sistema incaricati che

svolgono i Servizi in favore del Titolare, in conformità al suindicato Provvedimento.

7.4 Con riferimento allo svolgimento di attività su Dati Personali collocati su sistemi informativi del Titolare il Responsabile dichiara di accettare sin da ora che il Titolare provveda, in adempimento al sopracitato Provvedimento e con cadenza almeno annuale, alla verifica degli access log di tutti gli Amministratori di Sistema che hanno accesso ai sistemi informatici di propria pertinenza. In questi casi il Responsabile, con la sottoscrizione del presente Accordo, si impegna ad informare di tale eventualità i propri Amministratori di Sistema.

8. Trasferimento dei Dati Personali

8.1 Qualsiasi trasferimento di Dati Personali verso Paesi Terzi o Organizzazioni Internazionali da parte del Responsabile deve avvenire in conformità al Capo V del Regolamento. Nel caso in cui il trasferimento di Dati Personali verso Paesi Terzi o Organizzazioni Internazionali effettuato dal Responsabile avvenga in quanto richiesto dalla legislazione dell'UE o degli Stati membri a cui è soggetto il Responsabile stesso, quest'ultimo informa il Titolare circa tale obbligo giuridico prima del trattamento, salvo che tale obbligo normativo non vieti la comunicazione di tali informazioni per importanti motivi di interesse pubblico

8.2 Qualora i Dati Personali siano trattati, anche solo in parte, in paesi posti al di fuori dell'UE o dello SEE e diversi da quelli interessati da Decisioni di Adeguatezza ex art. 45 del Regolamento, il Titolare e il Responsabile convengono che il trasferimento sia disciplinato dalle Clausole Contrattuali Standard e relativi appendici o, comunque, in ossequio a quanto previsto dal Capo V del Regolamento.

9. Diritti degli Interessati

9.1 Tenendo conto della natura del Trattamento il Responsabile si impegna ad assistere il Titolare al fine di dar seguito tempestivamente alle richieste degli Interessati nell’esercizio dei diritti loro riconosciuti dal Regolamento, supportandolo, nella misura in cui ciò sia possibile, mediante misure tecniche e organizzative adeguate.

9.2 Qualora gli Interessati esercitino i diritti loro riconosciuti presso il Responsabile del trattamento, ad esempio inviando a quest’ultimo la relativa istanza e/o qualsivoglia richiesta di informazioni afferente ai diritti riconosciuti ed esercitabili, il Responsabile deve avvisare senza ritardo il Titolare inoltrandogli le istanze e le richieste ricevute a mezzo PEC.

9.3 Le Parti concordano e accettano che spetta esclusivamente al Titolare l’attività di gestione e di riscontro delle istanze e delle richieste pervenute dagli Interessati. Il Responsabile si asterrà dall’eseguire ogni attività ulteriore e diversa dalla tempestiva trasmissione al Titolare delle eventuali istanze e richieste ricevute, salvo diversamente stabilito per iscritto tra le Parti.

10. Violazioni di Dati Personali

10.1 Al verificarsi di una Violazione dei Dai Personali, il Responsabile si impegna a darne comunicazione al Titolare senza ingiustificato ritardo dal momento in cui ne è venuto a conoscenza.

10.2 È fatto obbligo di mantenere l’assoluto riserbo sulle Violazioni dei Dati Personali intercorse. Al riguardo tali notizie non dovranno essere in alcun modo diffuse in qualunque forma, anche mediante la loro messa a disposizione o consultazione, salvo per quanto previsto dalle norme vigenti e applicabili. La comunicazione della Violazione è ammessa solo tra il Titolare e/o altro soggetto da questo indicati e il Responsabile, fatte salve quelle comunicazioni richieste dalla legge o da autorità pubbliche.

10.3 Nei casi in cui il Responsabile venga a conoscenza di una Violazione dei Dati Personali, è tenuto ad adottare ogni appropriata misura di salvaguardia di propria competenza, al fine di contenere la violazione e mitigarne gli effetti pregiudizievoli.

11. Misure di sicurezza

11.1 Il Responsabile s’impegna ad adottare adeguate misure tecniche e organizzative ai sensi dell’articolo 32 del Regolamento, nonché a valutare l’adozione di ogni altra misura eventualmente indicata dal Titolare al fine di proteggere i Dati Personali e gli Interessati.

11.2 Il Responsabile, su richiesta del Titolare, comunica per iscritto le misure e le soluzioni individuate ed adottate in adempimento al presente Accordo.

12. Audit e verifiche

12.1 Il Responsabile si impegna a mettere a disposizione del Titolare la documentazione e le informazioni necessarie a dimostrare il rispetto degli obblighi nascenti dal presente Accordo, consentendo e contribuendo alle attività di revisione - comprese verifiche e ispezioni - realizzate dal Titolare o da un altro soggetto da questi incaricato.

12.2 Il Responsabile riconosce e accetta che il Titolare, con un preavviso di almeno 15 giorni lavorativi, potrà chiedere al Responsabile la collaborazione per lo svolgimento di operazioni di verifica dell’esatto adempimento del presente Accordo. In particolare, l’attività di verifica svolta dal Titolare potrà concretizzarsi secondo le seguenti modalità:

i) audit ed ispezione effettuate dal Titolare, direttamente o attraverso personale da questo incaricato, presso la sede del Responsabile del trattamento;

ii) richiesta al Responsabile di espletare un’autovalutazione rispetto alle misure di sicurezza adottate

e all’osservanza delle misure impartite, fornendone, a richiesta, documentazione per iscritto.

12.3 In ogni caso, il Titolare s’impegna affinché l’attività di verifica eventualmente svolta presso la sede del Responsabile del trattamento si svolga nel più breve tempo possibile negli orari di ufficio e in giorni lavorativi in moda tale da non arrecare disturbo al regolare svolgimento dell’attività del Responsabile.

13. Validità, cessazione e modifiche

13.1 Il presente Accordo è valido ed efficace tra le Parti per tutta la durata del Contratto principale o, se diversa, per tutta la durata dell’erogazione del Servizio e delle operazioni di Trattamento ad esso connesse da parte del Responsabile.

13.2 Alla cessazione del Contratto principale per qualsiasi causa e/o al termine del Servizio e del correlato Trattamento di Dati personali, il Responsabile si impegna a interrompere qualsiasi Trattamento salvo quello necessario a dar corso agli obblighi di restituzione e cancellazione dei Dati come previsto all’art. 14 del presente Accordo.

13.3 Le parti possono proporre eventuali modifiche all’Accordo, ove le ritengano ragionevolmente necessarie anche al fine di soddisfare i requisiti previsti dalla normativa pro tempore applicabile in materia di protezione dei Dati Personali.

14. Restituzione e cancellazione dei dati

14.1 Alla cessazione, per qualsiasi causa, del Contratto principale o comunque dell’erogazione del Servizio che determina il Trattamento di Dati Personali, il Responsabile del trattamento è tenuto a cancellare o, a scelta del Titolare, a restituire tutti i Dati Personali.

14.2 Il Responsabile è inoltre tenuto a cancellare tutte le copie esistenti dei Dati, salvo che il diritto dell’Unione

o di altri Stati membri preveda la conservazione degli stessi.