ACCORDO PER LA NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

PROCEDURA APERTA PER L’AFFIDAMENTO DEI SERVIZI DI CASSA, BANCARI E ACCESSORI PER L’AUTOMOBILE CLUB D’ITALIA, MEDIANTE PIATTAFORMA DI E-PROCUREMENT DI FEDERAZIONE ACI

CIG: 90202333C0

ACCORDO PER LA NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

TRA

L’ Automobile Club d’Italia, Ente pubblico non economico con sede in Xxxx, xxxx Xxx Xxxxxxx x. 0, Codice Fiscale 00493410583 e Partita IVA 00907501001 in persona del Dirigente del Servizio Patrimonio e Affari Generali d.ssa Giuseppa Scimoni, giusto provvedimento del Segretario Generale n. ………… del (di seguito “ACI”)

E

………………………., con sede legale in , Codice fiscale e Partita

IVA n. ……………………., rappresentata da…………………………….. in qualità di (di seguito “Impresa” o il “Responsabile”)

(di seguito “Parte” e collettivamente “Parti”)

Premesso che:

a) in esecuzione della determinazione del Segretario Generale n. …………. del ……………….

è stato aggiudicato all’Impresa, in via definitiva ed efficace, l’appalto dei servizi di tesoreria e cassa dell’Automobile Club d’Italia - CIG ;

b) al fine di adempiere alle obbligazioni indicate nel Contratto, l’Impresa tratterà dati personali di cui ACI è Titolare;

c) ACI, prima di affidare l’appalto all’Impresa, ha valutato che l’Impresa stessa ha adottato garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento di dati soddisfi i requisiti del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che l’Impresa garantisce una adeguata tutela e protezione dei dati personali trattati per conto di ACI e dei diritti degli interessati;

d) con il presente accordo (di seguito “Accordo”) il Titolare intende nominare l’Impresa Responsabile del trattamento dei dati personali, ai sensi dell’art. 28 del Regolamento, nonché fornirgli le istruzioni necessarie per le operazioni di trattamento.

Tutto ciò premesso, le Parti concordano e stipulano quanto segue.

1. Definizioni

1.1 Ai fini del presente Accordo, valgono le definizioni del Contratto, ove applicabili, e le seguenti definizioni:

▪ per “Dati personali” si intendono tutte le informazioni relative ad una persona fisica, identificata o identificabile (l’“Interessato”) che il Responsabile tratta per conto del Titolare allo scopo di fornire i Servizi;

▪ per “Legge applicabile” si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito, per brevità, anche il “Regolamento” o “GDPR”), nonché qualsiasi altra normativa o atto avente forza normativa in materia di protezione dei dati personali applicabile in Italia, ivi compresi i provvedimenti del Garante;

▪ per “Garante” si intende l’Autorità di cui all’art. 51 del Regolamento, che svolge le funzioni indicate nel successivo art. 57, GDPR;

▪ per “Misure di sicurezza” si intendono le misure di sicurezza indicate dall’art. 32, GDPR, e nei provvedimenti del Garante;

▪ per “Clausole Contrattuali Tipo” si intendono le clausole contrattuali tipo previste dalla Direttiva europea sulla protezione dei Dati personali, e in particolare, dalla decisione della Commissione europea del 5 febbraio 2010 relativa alle clausole standard per il trasferimento dei dati personali a soggetti stabiliti in paesi terzi, nella versione aggiornata di volta in volta dalla Commissione europea.

2. Nomina

2.1 Con la sottoscrizione del presente Accordo, il Titolare nomina l’Impresa, che accetta, Responsabile ai sensi dell’art. 28 del Regolamento.

3. Operazioni di trattamento, tipologia di dati personali e categorie di interessati

3.1 Il presente Accordo si riferisce a tutte le operazioni di trattamento connesse alla fornitura dei Servizi (“Operazioni di trattamento”).

3.2 Le Operazioni di trattamento saranno funzionali allo svolgimento delle attività indicate nel Contratto nonché a tutte le ulteriori attività che il Titolare dovesse richiedere al Responsabile nell’ambito del Contratto stesso.

3.3 Le Operazioni di trattamento avranno ad oggetto dati personali acquisiti da ACI in relazione ai servizi di cassa e alle attività ad esse connesse.

3.4 Il Responsabile tratterà i dati personali acquisiti da ACI in relazione ai servizi di cassa e alle attività ad esse connesse.

4. Rapporti con Sub-responsabili

4.1 Il Responsabile, in nessun caso, può sub-appaltare i servizi che implichino il trattamento di dati personali per conto del Titolare e in nessun caso può affidare alcun trattamento di Dati personali connesso all’esecuzione del contratto ad eventuali suoi subfornitori o a terzi soggetti incaricati dal Responsabile stesso, senza la previa autorizzazione scritta (l’“Autorizzazione”) dello stesso Titolare.

5. Obblighi del Responsabile

5.1 Fermo restando ogni altro obbligo previsto dalla normativa applicabile, il Responsabile si impegna a:

a. trattare i dati personali esclusivamente per le finalità indicate nel presente Accordo, nonché per le finalità ulteriori che il Titolare dovesse eventualmente e successivamente indicare, e comunque esclusivamente per l’esecuzione del contratto;

b. non trattare o utilizzare i dati personali per scopi diversi da quelli previsti e necessari per fornire i servizi;

c. non trattare dati personali per proprie finalità;

d. trattare i dati personali in piena conformità alle istruzioni qui fornite da parte del Titolare ovvero, di quelle presenti nel contratto e di quelle ulteriori che lo stesso dovesse, in futuro, ritenere opportuno fornire per la migliore e più efficiente esecuzione delle attività; le ulteriori istruzioni che dovessero essere fornite dal Titolare, saranno rese al Responsabile per iscritto o trasmesse al Responsabile a mezzo posta elettronica certificata. Al fine di garantire il rispetto delle istruzioni impartite dal Titolare, secondo quanto previsto dal presente articolo 5, il Responsabile si avvarrà di adeguati processi e di ogni altra misura tecnica idonea ad attuare le istruzioni fornite dal Titolare, incluse:

● le procedure idonee a garantire il rispetto dei diritti e delle richieste formulate al Titolare dagli interessati relativamente ai loro dati personali;

● l’adozione di adeguate interfacce o sistemi di supporto che consentano di garantire e fornire informazioni agli Interessati così come previsto dalla legge applicabile;

● procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta del Titolare, dei dati personali di ogni interessato;

● procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta del Titolare;

● misure che consentano di contrassegnare i Dati personali o gli account, per consentire al Titolare di poter applicare particolari regole ai dati personali dei singoli interessati, così come, ad esempio, terminare l’attività di marketing per alcuni Interessati;

● procedure atte a garantire il diritto degli interessati alla portabilità dei dati e di limitazione di trattamento, su richiesta del Titolare, in quanto di propria competenza.

e. garantire che tutte le persone agenti sotto la propria autorità alle quali sia consentito di accedere o anche trattare i dati personali ricevuti abbiano sottoscritto idoneo impegno, o siano altrimenti comunque adeguatamente vincolate, a mantenere totale riservatezza rispetto a tali dati personali e che, a tal fine, le stesse agiscano sotto il costante controllo del Responsabile ed in conformità alle istruzioni da quest’ultimo fornite;

f. non comunicare a terzi e, più in generale, non diffondere e non trasferire a terzi i dati personali, salva diversa richiesta per iscritto dal Titolare;

g. non consentire a terzi l’accesso ai dati personali, se non in presenza di adeguati presupposti di liceità per tali ulteriori trattamenti;

h. tenere e conservare i dati personali separati dai dati detenuti e/o trattati per conto di altri soggetti e terze parti o per conto proprio;

i. trattare i dati personali sul territorio italiano o comunque all’interno dello Spazio Economico Europeo. Il trasferimento di dati personali verso Paesi non appartenenti allo Spazio Economico Europeo, o in un territorio che non garantisce un adeguato livello di protezione dei dati personali riconosciuto dalla Commissione europea, potrà avvenire

solo previa esplicita autorizzazione scritta da parte di ACI e nel rispetto della disciplina applicabile; in tal caso il trasferimento sarà regolato dalle Clausole Contrattuali Tipo;

j. nel contesto di quanto previsto nel successivo art. 7, adottare idonea procedura di gestione delle violazioni della sicurezza da cui derivino, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali o, in alternativa, conformarsi e dare adeguata attuazione alla corrispondente policy che dovesse essere trasmessa da parte del Titolare, prestando in ogni caso la massima collaborazione nei confronti dello stesso al fine di eliminare o quantomeno ridurre al minimo gli impatti derivanti da eventi di questo tipo;

k. nel contesto di quanto specificato nel successivo art. 5 bis, fermo l’obbligo di notificare senza ingiustificato ritardo al Titolare e, comunque, entro e non oltre 12 ore ogni possibile evento qualificabile come violazione dei dati personali ai sensi della legge applicabile, informare prontamente il Titolare riguardo a qualsiasi ulteriore evento, fatto o circostanza, prevedibile o meno, da cui possa derivare un rischio elevato per i diritti e le libertà fondamentali degli interessati coinvolti nelle operazioni di trattamento;

l. collaborare con il Titolare e fornire ad esso ogni supporto, limitatamente ai trattamenti relativi ai dati personali, nell’assolvimento degli obblighi di:

i) messa in atto di misure tecniche ed organizzative adeguate per garantire un adeguato livello di sicurezza del trattamento dei dati;

ii) notifica delle violazioni di dati al Garante o ad altre autorità di controllo competenti e, laddove richiesto in ragione dell’elevato livello di rischio per i diritti e le libertà degli Interessati, anche a questi ultimi;

iii) se necessario, esecuzione di idonea valutazione di impatto sulla protezione dei dati, oltre che svolgimento delle procedure di consultazione preventiva con il Garante o le altre autorità competenti;

m. al ricorrere dei presupposti, predisporre, mantenere costantemente aggiornato e rendere disponibile a richiesta, in formato elettronico o cartaceo, un registro di tutte le Operazioni di trattamento svolte ai fini dell’esecuzione dell’Accordo, contenente in particolare:

i) il proprio nome e i propri dati di contatto, il nome e i dati di contatto del proprio Preposto Ufficio Privacy, oltre a quelli del Titolare e, ove applicabile, del proprio responsabile della protezione dei dati;

ii) le categorie dei trattamenti effettuati per conto del Titolare;

iii) dettagli relativi ad eventuali trasferimenti dei dati personali ricevuti al di fuori dello Spazio Economico Europeo, con individuazione e indicazione del paese terzo o dell’organizzazione internazionale verso cui i dati personali sono trasmessi e, qualora il trasferimento non sia basato su una decisione di adeguatezza della Commissione UE o su altri meccanismi di garanzia (quali ad esempio Clausole Contrattuali Standard o Binding Corporate Rules) e non sia applicabile nessuna delle deroghe previste dalla normativa vigente, le misure implementate a tutela dei dati personali;

iv) una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in conformità al presente atto di nomina e, più in generale, alla normativa applicabile;

n. mettere il Titolare al corrente riguardo a qualsiasi richiesta di esercizio di diritti che il Responsabile dovesse ricevere da parte degli interessati entro un termine massimo di 24 ore dal ricevimento della stessa, fornendo anche assistenza al Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di

soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti degli interessati;

o. nel contesto di quanto specificato nel successivo art. 6, provvedere alla cancellazione dei dati personali trattati per l’esecuzione dei servizi al termine del periodo di conservazione indicato da ACI e in qualsiasi circostanza in cui la cancellazione sia richiesta dalla stessa ACI, compresa l’ipotesi in cui la stessa debba avvenire su esercizio del relativo diritto dell’interessato;

p. prima di iniziare ogni trattamento di dati personali e, ove occorra, in qualsiasi altro momento, (i) segnalare al Titolare se, a proprio parere, le istruzioni ricevute comportano una violazione della legge applicabile e (ii) se, a proprio parere, il Responsabile è soggetto al rispetto di previsioni di legge, che potrebbero rendere per lo stesso, in tutto o in parte, impossibile o illegittimo agire conformemente alle istruzioni impartite dal Titolare o nel rispetto di quanto previsto dalla legge applicabile;

q. prestare al Titolare ogni necessaria collaborazione nell’assolvimento di richieste che dovessero pervenire dal Garante o da altre autorità competenti o in relazione a procedure o ispezioni che dovessero essere avviate nei confronti del Titolare, dando altresì immediata esecuzione alle istruzioni ricevute e fornendo copia di ogni documento richiesto. Il Responsabile si impegna inoltre a rispettare le indicazioni o le decisioni provenienti dal Garante e/o da altre Autorità di controllo entro un tempo utile che consenta al Titolare di rispettare il termine imposto dallo stesso Xxxxxxx e/o dalla diversa Autorità di controllo;

r. per quanto di propria competenza, rispettare la legge applicabile e adempiere agli obblighi previsti dal presente Accordo in modo da evitare che il Titolare incorra nella violazione di un qualunque obbligo previsto dalla legge applicabile. Il Responsabile deve inoltre garantire e fornire al Titolare cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dal Titolare, per consentirgli di adempiere ai propri obblighi ai sensi della legge applicabile.

5 bis. Violazione dei dati personali e obblighi di notifica

5.1 bis Il Responsabile dovrà notificare al Titolare nel minor tempo possibile, e comunque non oltre 12 (dodici) ore da quando ne abbia avuto conoscenza, qualsiasi distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai dati personali (di seguito la “Violazione della sicurezza”). Tale notifica deve contenere: (i) una descrizione dettagliata della Violazione della sicurezza, (ii) il tipo di dati personali che è stato oggetto di Violazione della sicurezza e (iii) l'identità di ogni interessato (o, se non è possibile, il numero approssimativo delle persone interessate e i dati personali coinvolti). Il Responsabile deve poi comunicare al Titolare: (i) il nome e i contatti del proprio Responsabile della protezione dei dati, o i recapiti di un altro punto di contatto attraverso cui è possibile ottenere ulteriori informazioni; (ii) una descrizione delle probabili conseguenze della Violazione della sicurezza; (iii) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi; e (iv) non appena possibile, ogni altra informazione raccolta o resa disponibile, nonché ogni altra informazione che possa essere ragionevolmente richiesta dal Titolare relativamente alla Violazione della sicurezza. Qualora il Responsabile non possa fornire con la notifica le informazioni di cui sopra, per ragioni che sfuggono alla sua sfera di controllo, le informazioni devono essere trasmesse non appena possibile.

5.2 bis Il Responsabile deve attivarsi immediatamente per indagare sulla Violazione della sicurezza e per individuare, prevenire e limitare gli effetti negativi di tale violazione, conformemente

ai suoi obblighi ai sensi del presente articolo 5 bis e, previo accordo con il Titolare, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile non deve rilasciare, né pubblicare alcun comunicato stampa, avviso o relazione riguardante la Violazione della sicurezza (di seguito gli “Avvisi”) senza aver ottenuto la previa autorizzazione scritta del Titolare. Qualora la Violazione della sicurezza tragga origine dalla violazione di quanto previsto al seguente articolo 7 da parte del Responsabile, le azioni e le procedure descritte nel presente articolo 5 bis devono essere intraprese dal Responsabile, senza che ciò pregiudichi il diritto del Titolare di esercitare un qualsiasi rimedio giuridico a seguito della violazione; inoltre il Responsabile dovrà pagare o rimborsare al Titolare tutti i costi, le perdite e le spese dagli stessi sostenuti per la preparazione e la pubblicazione degli Avvisi.

5.3 bis Al fine di dare certezza e tempestività della conoscenza di avvenute violazioni dei dati personali sarà attivata una casella di posta elettronica dedicata che entrambe le Parti si impegnano a presidiare costantemente.

5.4 bis Nel caso in cui la Violazione della sicurezza avesse un impatto maggiore sui dati del Responsabile, quest’ultimo dovrà comunque dare priorità al Titolare nel fornire il proprio supporto ed attuare i rimedi e le azioni che si riterranno necessarie. Il Responsabile sarà tenuto ad uniformarsi alla policy del Titolare in materia di violazione della sicurezza (policy per la gestione del data breach).

5 ter. Analisi dei rischi, privacy by design e privacy by default

5.1 ter Qualora sia richiesto dal Titolare, il Responsabile deve rendere disponibili tutte le informazioni necessarie per dimostrare la conformità del Titolare alla legge applicabile e deve assisterlo nelle attività di valutazione di impatto dei servizi e dei connessi trattamenti di dati nonché collaborare al fine di dare effettività alle azioni di mitigazione previste e concordate per affrontare eventuali rischi identificati.

5.2 ter Il Responsabile dovrà fare tutto il possibile per consentire al Titolare di rispettare le previsioni del GDPR relative alla protezione dei dati personali fin dalla progettazione (c.d. privacy by design) nonché alla protezione per impostazione predefinita (c.d. privacy by default).

5.3 ter In particolare, in linea con i principi di privacy by design, ogni nuovo trattamento di dati personali dovrà essere progettato in modo da garantire una sicurezza adeguata alla luce dei rischi relativi allo specifico trattamento. Inoltre, il Responsabile dovrà consentire al Titolare, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dei dati personali e a tutelare i diritti degli interessati.

5.4 ter In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.

6. Restituzione e distruzione dei dati personali

6.1 È espressamente convenuto tra le Parti che alla data di cessazione del presente Accordo, per qualsiasi causa essa avvenga, il Responsabile restituirà al Titolare o, a seconda delle istruzioni da quest’ultimo impartite, distruggerà i dati personali trattati in considerazione dello svolgimento dei Servizi, nonché ogni copia degli stessi, e qualsiasi supporto fisico o documento contenente dati personali del Titolare.

6.2 Il Responsabile, inoltre, si impegna ad imporre ai propri eventuali sub-responsabili (se nominati ai sensi del precedente art. 4) l’obbligo di cancellare o distruggere qualsiasi dato personale trattato in considerazione dell’attività prestata a favore del Responsabile stesso.

7. Sicurezza dei dati

7.1 Il Responsabile si impegna ad adottare e mantenere appropriate misure tecniche e organizzative adeguate a garantire un idoneo livello di sicurezza in riferimento ai dati personali e ad adottare ogni misura necessaria a prevenire, o quantomeno minimizzare, ogni rischio ragionevolmente prevedibile connesso alla distruzione, alla perdita, al danno, alla modifica, all’alterazione, alla divulgazione o agli accessi non autorizzati, in modo accidentale o illegale, ai dati ricevuti e, in particolare, laddove il trattamento dei dati comporta trasmissioni di dati su una rete, a qualsiasi altra forma illecita di trattamento. A tal fine il Responsabile si impegna a rispettare le specifiche misure di sicurezza previste dalla legge applicabile e individuate dal Titolare e i provvedimenti in materia adottati dal Garante, ivi incluso il provvedimento del 27 novembre 2008 in materia di amministratori di sistema. In particolare, il Responsabile si impegna ad adottare le misure di sicurezza oltre alle ulteriori misure che, eventualmente, il Titolare gli chiedesse di adottare in relazione a specifiche operazioni di trattamento.

7.2 Inoltre il Responsabile deve adottare, tenuto conto delle istruzioni del Titolare, misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Titolare o utilizzati per trasferire o trasmettere i dati personali (incluse, ad esempio, le misure intese a garantire la segretezza delle comunicazioni così da prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema), garantendo, in tal modo, la sicurezza delle comunicazioni.

7.3 Ogni comunicazione inerente al presente Accordo deve essere effettuata ad un indirizzo e-mail che sarà comunicato dalle Parti nel più breve tempo possibile. Le comunicazioni eseguite a tali indirizzi si presumono conosciute dalle Parti.

Le misure tecniche e organizzative di cui ai precedenti commi del presente articolo 7 includono:

A. la criptatura o la pseudonimizzazione dei dati personali, in conformità con quanto ritenuto adeguato ai sensi della legge applicabile, ovvero secondo quanto richiesto dal Titolare purché dette misure non impattino sulla fattibilità e sullo svolgimento dei servizi;

B. la capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi utilizzati per il trattamento dei dati personali;

C. la capacità di ripristinare la disponibilità e l’accesso ai dati personali qualora si verifichi un incidente tecnico oppure fisico, come a titolo esemplificativo ma non esaustivo, in caso di Data Breach;

D. un processo per procedere a un test regolare di valutazione circa l’effettività delle misure tecniche e dell’organizzazione per assicurare la sicurezza del trattamento dei dati personali;

E. la garanzia in riferimento alle qualità e all’affidabilità di qualsiasi persona autorizzata che accede ai dati personali del Titolare e agli obblighi delle persone autorizzate, da parte del Responsabile, in relazione al trattamento dei Dati personali. Il Responsabile garantisce in particolare che le persone autorizzate:

i. sono adeguatamente vincolate al rispetto di obblighi di riservatezza non meno onerosi di quelli previsti nel presente Accordo relativamente al trattamento dei dati personali, e non permettono ad alcun soggetto che non sia vincolato ai medesimi obblighi di trattare i dati personali;

ii. hanno ricevuto una formazione specifica in merito alla protezione, alla gestione, alla tutela e alla custodia dei dati personali.

In ogni caso l’Impresa sarà direttamente ritenuta responsabile per qualsiasi divulgazione dei dati personali dovesse realizzarsi ad opera delle persone autorizzate di cui alla presente lettera E.

8. Audit

8.1 Il Responsabile si impegna a fornire al Titolare, su richiesta, relazioni e report che attestino l’adempimento degli obblighi gravanti sul Responsabile stesso ai sensi del presente Accordo, con particolare riguardo alle misure di sicurezza adottate.

8.2 Il Responsabile si impegna a consentire al Titolare o a soggetti terzi da questo delegati, e/o al Garante e/o ad altre Autorità di controllo (laddove tali autorità abbiano il diritto di effettuare un audit sulle attività del Titolare) con modalità e tempi da concordarsi, l’accesso ai locali, uffici, dispositivi, computer, sistemi e documenti informatici propri e dei propri eventuali subappaltatori (se nominati ai sensi del precedente art. 4), e a mettere a disposizione propri atti, documenti, tutte le informazioni necessarie e quanto ragionevolmente richiesto qualora risulti necessario per verificare l’osservanza, da parte del Responsabile, degli obblighi pattuiti, sempre e a condizione che tali verifiche non comportino l’analisi di dati di terze parti e che queste verifiche non collidano con obblighi di riservatezza del Responsabile. I costi dell’audit saranno a carico del Titolare, a meno che l'audit riveli qualsiasi inosservanza da parte del Responsabile degli obblighi di cui al presente Accordo. In questo ultimo caso i costi dell’Audit saranno a carico del Responsabile.

9. Riservatezza

9.1 Senza recare alcun pregiudizio a qualsivoglia rapporto contrattuale esistente tra le Parti, ulteriore rispetto al presente Accordo, il Responsabile tratta i dati personali in modo strettamente confidenziale e si impegna a informare i propri dipendenti, agenti coinvolti nelle attività di trattamento dei dati personali circa la natura riservata di detti dati. Il Responsabile assicura altresì che i soggetti suindicati abbiano appositamente firmato un accordo di riservatezza, siano tenuti all’osservanza di obblighi di riservatezza, ovvero siano assoggettati a un’apposita clausola statutaria di riservatezza.

9 bis. Richieste di divulgazione dei dati personali per finalità di indagini e difensive provenienti da terze parti

9.1 bis Se non vietato dalla legge applicabile, il Responsabile informa tempestivamente il Titolare, e in ogni caso entro 2 giorni lavorativi, di qualsiasi richiesta, comunicazione, o reclamo ricevuto da

(i) qualsiasi autorità di regolamentazione o di vigilanza, comprese, ma non solo, il Garante e/o altre autorità di controllo; o da (ii) qualsiasi interessato, relativamente ai servizi, ad ogni dato personale o ad ogni obbligo ai sensi della legge applicabile, e fornisce gratuitamente tutta la dovuta assistenza al Titolare per garantire che lo stesso possa rispondere a tali comunicazioni o reclami e rispettare i termini temporali previsti dalla legge e dai regolamentari applicabili.

9 ter. Responsabilità e manleve

9 ter. 1 Il Responsabile tiene indenne e manlevato il Titolare da ogni perdita, costo, spesa, multa e/o sanzione, danno e da ogni responsabilità di qualsiasi natura (sia essa prevedibile, contingente o meno) derivante o in connessione con una qualsiasi violazione da parte del Responsabile stesso delle disposizioni contenute nel presente Accordo e/o della legge applicabile.

10. Durata

10.1 Il presente Accordo produrrà i suoi effetti a partire dalla data di sottoscrizione del contratto. Le disposizioni del presente Accordo si applicano anche a qualsiasi trattamento di dati personali iniziato prima della Data e inerente al contratto stesso.

10.2 Il presente Accordo sostituisce ogni precedente atto di nomina ai sensi del GDPR e del D. Lgs. n. 196/2003 inerente al Contratto e sarà vincolante per le Parti a partire dalla data di sua sottoscrizione e rimarrà in vigore fino alla cessazione del contratto stesso, indipendentemente

dalla causa di detta cessazione o, comunque, fino alla data di cessazione del trattamento dei dati personali inerente al contratto se, per qualsiasi ragione, successiva alla cessazione dell’efficacia del contratto medesimo.

11. Legge applicabile e Foro competente

11.1. Il presente Accordo è regolato e soggetto alla legge italiana.

11.2 Tutte le controversie derivanti dal presente Accordo, comprese quelle relative alla sua validità, interpretazione, esecuzione e risoluzione, che dovessero insorgere tra le Parti saranno deferite alla competenza esclusiva del Tribunale di Roma.

12. Miscellanea

12.1 Le Parti si impegnano a fornirsi reciprocamente le seguenti informazioni:

● Identità del Responsabile della protezione dati;

● Identità di ogni Rappresentante del trattamento nominato e il luogo in cui lo stesso è registrato.

12.2 I titoli degli articoli e le altre intestazioni hanno scopo puramente indicativo. A meno che il contesto non richieda diversamente, nel presente Accordo:

● l’uso del singolare include il plurale e viceversa;

● il riferimento ad una legge applicabile dovrà intendersi come riferimento a tale legge così come modificata ed in vigore.

12.3 Il contenuto del presente Accordo è concordato tra le Parti e rappresenta per intero la volontà delle stesse. Il presente Accordo sostituisce tutti i precedenti accordi, intese, negoziati e trattative tra le Parti riferiti o comunque correlati ai contenuti dell’Accordo stesso.

12.4 Le disposizioni del presente Accordo sono scindibili. Se qualsiasi frase, clausola o disposizione dovesse risultare invalida o inapplicabile, in tutto o in parte, tale invalidità o inapplicabilità pregiudicherà solo tale frase, clausola o disposizione, ed il resto del presente Accordo rimarrà in pieno vigore ed efficace.

Il Responsabile Il Committente

AUTOMOBILE CLUB D’ITALIA

Il Rappresentante Legale D.ssa Giuseppa Scimoni

(firmato digitalmente) (firmato digitalmente)