LA DISCIPLINA DEL TRATTAMENTO DEI DATI PERSONALI IN QUALITÀ DI RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ARTICOLO 28 DEL REGOLAMENTO UE 679/2016 (GDPR)
Data Processing Agreement per
LA DISCIPLINA DEL TRATTAMENTO DEI DATI PERSONALI IN QUALITÀ DI RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ARTICOLO 28 DEL REGOLAMENTO UE 679/2016 (GDPR)
PREMESSA E DEFINIZIONI
Ai fini del presente Data Processing Agreement (di seguito “DPA”), "Anastasis" è Anastasis Soc. Coop. Sociale, con sede legale in xxx Xxxxxxxx x. 00, Xxxxxxx, iscritta al Registro Imprese di Bologna - Partita I.V.A. e Codice fiscale n. 03551890373. "Cliente" il soggetto giuridico (persona fisica o persona giuridica) che opera in qualità di Titolare, Contitolare o Responsabile del trattamento.
I servizi prestati da Xxxxxxxxx sono regolati dagli appositi contratti, dove vengono specificamente indicate le prestazioni fornite, secondo i termini e le condizioni contrattuali stabiliti nelle apposite Condizioni Generali di Servizio e relativo ordine da parte del Cliente (di seguito il “Contratto”).
I termini adottati, inoltre, hanno il medesimo significato indicato nel Regolamento (UE) 2016/679 (d’ora in avanti, “GDPR”) e nelle D.l.vo n. 196/2003.
Art. 1 - OGGETTO E SCOPO DEL DOCUMENTO
1.1 Il presente DPA ha come oggetto le modalità e le condizioni del trattamento dei dati personali (d’ora in avanti, “Dati”) di cui il Cliente è Titolare, o Contitolare e rispetto ai quali nomina Xxxxxxxxx (di seguito definita solo “Fornitore”) come responsabile esterno del trattamento dei Dati effettuato dal Fornitore in relazione al servizio fornito in esecuzione del Contratto in essere fra il Fornitore ed il Cliente medesimo, di cui il presente DPA costituisce parte integrante.
1.2 In particolare, con il presente atto il Cliente nomina il Fornitore quale Responsabile esterno del trattamento in relazione al trattamento dei dati personali effettuato in occasione dell’erogazione dei servizi di cui al Contratto.
1.3 Pertanto, il Fornitore effettuerà il trattamento dei dati personali in qualità di Responsabile esterno del trattamento (ai sensi dell’art. 4, 1° comma n. 8 del GDPR) ed il Cliente opererà in qualità di Titolare, o Contitolare.
1.4 Ciascuna parte osserverà gli obblighi ad essa applicabili ai sensi del GDPR e della legislazione nazionale applicabile in relazione al trattamento dei dati personali del Cliente.
1.5 Con il presente atto il Cliente incarica il Fornitore di elaborare i dati personali del Cliente solo in conformità con la legge applicabile e per le finalità di seguito definite:
(a) per fornire i servizi richiesti dal Cliente attraverso l’accesso al portale xxxxx://xxx.xxxxxxxxx.xx/, finalizzato all’uso e alla gestione del modello di intervento educativo, denominato “Il mondo degli Elli”;
(b) fornire assistenza tecnica;
(c) gestione e conservazione dei dati inseriti nel portale;
(d) garantire sicurezza dei dati gestiti e conservati;
(e) ogni altra azione volta a garantire le finalità su elencate e qualsiasi altra istruzione scritta fornita dal Cliente e riconosciuta dal Fornitore come costituente istruzioni ai fini del presente atto, purché conforme alle previsioni di legge.
1.6 Il Fornitore si atterrà alle istruzioni concordate nel presente documento. Il Cliente assicura al Fornitore il rispetto delle previsioni di legge in merito alla raccolta dei dati che saranno trattati nell’esecuzione dei servizi, ed, in particolare, di aver reso agli interessati le dovute informazioni richieste dalla normativa applicabile.
1.7 Nel caso in cui il Cliente mediante il Servizio effettui il trattamento dei Dati a titolo diverso da quanto sopra indicato, dovrà darne apposita comunicazione scritta al Fornitore, che provvederà a contattare il Cliente per le opportune valutazioni del caso.
1.8 In ogni caso, qualora il Cliente effettui il trattamento dei dati personali in qualità di Responsabile, il Cliente medesimo garantisce al Fornitore che le istruzioni e le azioni del Cliente in relazione a tali dati personali, compresa la nomina del Fornitore come altro Responsabile, sono state autorizzate dal Titolare del trattamento.
1.9 Il presente DPA non determina l’onere di prestare servizi ulteriori rispetto a quelli oggetto del Contratto intercorso tra il Cliente ed il Fornitore. Nel caso in cui il Cliente rilevi che il corretto adempimento degli oneri previsti dalla normativa applicabile richieda, anche in termini di sicurezza, l’erogazione di servizi o prestazioni aggiuntive il medesimo Cliente dovrà richiedere al Fornitore apposita quotazione economica per tali servizi o prestazioni che non potranno essere considerati automaticamente ricompresi all’interno di quelli espletati sulla base del Contratto.
Art. 2 - SICUREZZA
2.1 Il Fornitore, laddove applicabili, garantisce il rispetto delle misure di sicurezza indicate dalla normativa applicabile in materia di protezione dei Dati, nonché dai Provvedimenti dell’Autorità Garante con riguardo alle misure logiche, tecniche, fisiche ed organizzative che saranno poste in essere per proteggere i suddetti Dati da sottrazione o distruzione intenzionale o accidentale, perdita accidentale, alterazioni, uso non autorizzato, modifiche, divulgazione, diffusione, accessi non previsti e ogni altra forma di trattamento illecito.
2.2 Il Fornitore nell’erogazione dei Servizi applica le misure indicate nel Contratto, negli allegati tecnici, nell’Allegato “A” del presente atto e nelle procedure adottate, indicate al Cliente e messe in ogni momento a disposizione del medesimo.
2.3 Le misure di sicurezza comprendono misure per garantire la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi del Fornitore; contribuire a ripristinare l'accesso tempestivo ai dati personali in seguito a un incidente e per test regolari di efficacia dei Servizi, il tutto secondo quanto descritto in via generale nell’Allegato “A” al presente atto. Il Fornitore può aggiornare o modificare le misure di sicurezza di volta in volta a condizione che tali aggiornamenti e modifiche non comportino il degrado della sicurezza complessiva dei Servizi.
2.4 Il Fornitore adotterà le misure appropriate per garantire la conformità con le misure di sicurezza da parte dei suoi dipendenti, appaltatori e Sub-responsabili relativamente al loro ambito di prestazioni.
2.5 Il Cliente riconosce che le misure tecniche ed organizzative adottate ed adottande dal Fornitore sono adeguate a garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dei Dati.
2.6 Il Fornitore provvederà a comunicare al Cliente, con i mezzi ritenuti più idonei, l’intervenuta modifica alle misure di sicurezza adottate per garantire un livello di sicurezza adeguato ai rischi presentati dal trattamento dei Dati, anche in riferimento all’eventuale normativa che disciplina il servizio erogato. In tale ipotesi il Cliente avrà facoltà di richiedere un elenco aggiornato delle misure sicurezza specificamente adottate.
2.7 Il Cliente è l'unico responsabile per l'utilizzo dei Servizi, tra cui: fare un uso appropriato dei Servizi per garantire un livello di sicurezza adeguato al rischio in relazione ai Dati del Cliente; proteggere le credenziali, i sistemi e i dispositivi di autenticazione degli account utilizzati dal Cliente per accedere ai Servizi; effettuare il backup dei Dati del Cliente anche in via autonoma su apparati off-line.
2.8 Il Fornitore non ha alcun obbligo di proteggere i Dati del Cliente che il Cliente sceglie di archiviare o trasferire al di fuori dei sistemi del Fornitore e dei suoi Sub-responsabili (ad esempio, lo spazio di archiviazione off-line o locale) o di proteggere i Dati del Cliente implementando o mantenendo Controlli di sicurezza aggiuntivi rispetto a quelli descritti dal Contratto, dagli allegati tecnici e dall’Allegato “A”.
2.9 Il Cliente è l'unico responsabile della valutazione del fatto che i Servizi, le misure di sicurezza e gli impegni del Fornitore ai sensi del presente articolo e di quanto previsto negli altri documenti contrattuali soddisfino le esigenze del Cliente, inclusi i suoi obblighi di sicurezza, anche ai sensi GDPR. Il Cliente riconosce ed accetta che (tenendo conto dello stato dell'arte, dei costi di implementazione e della natura, dell'ambito, del contesto e degli scopi del trattamento dei Dati personali del Cliente nonché dei rischi per gli individui) le misure di Sicurezza implementate e mantenute dal Fornitore forniscono un livello di sicurezza adeguato al rischio in relazione ai Dati del Cliente, impegnandosi a richiedere al Fornitore, sostenendone i relativi costi, eventuali misure di sicurezza aggiuntive qualora le ritenga necessarie in relazione alla tipologia di dati che saranno oggetto del trattamento e sollevando e manlevando il Fornitore da ogni e qualsiasi responsabilità in mancanza di tale richiesta.
Art. 3 – TRASFERIMENTO DI DATI
3.1 I Dati trattati dal Fornitore per l’erogazione dei Servizi, di cui al presente DPA, sono segregati a livello infrastrutturale. L’infrastruttura è ubicata nel territorio dell’Unione Europea presso i data center in cui vengono materialmente eseguite le procedure automatizzate per l’eventuale conservazione, duplicazione, backup e ripristino dei Dati.
3.2 In generale i Dati del Cliente non sono trasferiti in Paesi al di fuori dell’Unione Europea. Qualora sia necessario effettuare trasferimenti dei Dati verso tali Paesi il Fornitore provvederà a selezionare Paesi che siano stati già selezionati dalla Commissione Europea adeguati al livello di rischio, o a stipulare con il Sub-fornitore appositi contratti che contengano clausola standard, approvate dalla Commissione Europea, per la protezione dei Dati.
Art. 4 – ATTIVAZIONE ED EROGAZIONE DEI SERVIZI
4.1 Con la sottoscrizione del presente atto, il Cliente autorizza il Fornitore ad avvalersi di propri sub-responsabili riconoscendo ed accettando che ciò possa comportare il trattamento di Dati in favore dei medesimi.
4.2 Ai fini della nomina di un Sub-responsabile il Fornitore assicura tramite un contratto scritto che: il Sub-responsabile accede e utilizza i Dati del Cliente solo nella misura richiesta per adempiere alle obbligazioni al medesimo delegate in conformità con il Contratto; il Sub-responsabile assuma gli obblighi di cui all’art. 28 del GDPR; il Fornitore rimanga responsabile nei confronti del Cliente per tutti gli obblighi assunti, anche in relazione alle attività affidate al Sub-responsabile.
4.3 Al fine di consentire al Cliente, Titolare del trattamento dei Dati, un preciso controllo sui suddetti terzi, nonché di provvedere agli adempimenti sussistenti rispetto a tutta la categoria di detti terzi, Il Fornitore si impegna a conservare aggiornata la lista di tali soggetti terzi provvedendo su specifica richiesta scritta del Cliente ad esibire tale lista nonché apposita documentazione da cui risultino gli obblighi assunti da detti soggetti terzi in relazione agli oneri precisati nel presente DPA, qualora gli stessi trattino Dati in virtù dei servizi erogati.
4.4 Il Fornitore si impegna ad informare il Cliente, qualora richiesto, in caso di modifiche di tali soggetti terzi.
Art. 5 – VERIFICHE
5.1 Il Fornitore rende disponibile al Cliente tutte le informazioni necessarie per dimostrare la propria ottemperanza agli obblighi sulla protezione dei Dati imposti dalla normativa vigente in materia e dal presente DPA, purché le stesse non comportino l’analisi dei Dati di terze parti e non collidano con obblighi di riservatezza, anche in riferimento a segreti commerciali, assunti dal Fornitore.
5.2 Il Fornitore garantisce al Cliente, o ad altro soggetto da questi autorizzato, di poter effettuare verifiche circa la conformità del proprio operato agli impegni assunti nel presente DPA ed alla normativa vigente in materia di trattamento dei Dati, previo accordo sui tempi e sulle modalità di dette verifiche e purché le stesse non comportino l’analisi dei Dati di terze parti e non collidano con obblighi di riservatezza assunti dal Fornitore e con le policy del medesimo. I costi di tali verifiche saranno a carico del Cliente.
5.3 Il Fornitore si impegna a fornire tutte le informazioni necessarie a consentire al Cliente, Titolare del trattamento, di poter ragionevolmente verificare la conformità del medesimo Fornitore agli obblighi sulla sicurezza previsti dal Contratto e dal presente DPA.
5.4 Il Cliente dovrà autonomamente valutare la necessità o meno di effettuare una valutazione di impatto relativamente al trattamento dei dati, ai sensi dell’art. 35 del GDPR, comunicando tale necessità al Fornitore che, in tal caso, fornirà la propria assistenza per l’adempimento di tale obbligo.
Art. 6 – RICHIESTE DEGLI INTERESSATI
6.1 Qualora il Fornitore riceva durante il periodo di vigenza del Contratto una richiesta da un soggetto interessato relativa ai Dati personali, il Fornitore, se trattasi di Dati Personali gestiti per conto del Cliente informerà l'interessato di inviare la sua richiesta al Cliente ed il Cliente sarà responsabile di rispondere a tali richieste.
6.2 Nel caso in cui il Cliente non possa autonomamente fornire un riscontro secondo il precedente comma, il Fornitore si impegna a supportare il medesimo a riscontrare un’eventuale richiesta di accesso da parte degli interessati nella misura in cui ciò sia possibile e per quanto di propria competenza, secondo le modalità e le limitazioni previste nel presente DPA e della normativa applicabile.
6.3 Il Fornitore, compatibilmente con le specifiche tecniche fornite, dà al Cliente la possibilità di rettificare, cancellare, circoscrivere o recuperare i propri dati, nel rispetto delle condizioni concordate con il Cliente e della normativa applicabile.
Art. 7 – VIOLAZIONE DI DATI PERSONALI
7.1 Qualora si verifichino eventi che comportano la violazione dei Dati Personali trattati dal Fornitore nell’erogazione dei Servizi, quest’ultimo avvertirà il Cliente nel rispetto della normativa applicabile.
7.2 In particolare, il Fornitore informerà entro 24 ore dall’evento il Cliente. Tale comunicazione (i) descriverà la natura della violazione, compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione (ii) illustrerà le possibili conseguenze della violazione,
(iii) esporrà le misure messe in atto o proposte dal Fornitore in risposta all’incidente e (iv) fornirà un punto di contatto presso il Fornitore.
7.3 È fatto obbligo di mantenere l’assoluto riserbo sulle violazioni, nonché su tutte le comunicazioni intercorse tra il Cliente ed il Fornitore a riguardo. Tali informazioni non dovranno essere in alcun modo diffuse in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
La comunicazione della violazione è ammessa solo tra il Cliente ed il Fornitore, fatte salve quelle comunicazioni richieste dalla legge o da autorità pubbliche.
Art. 8 - DURATA
8.1 Il presente DPA ha durata pari a quella del Contratto intercorso tra il Cliente ed il Fornitore. Il DPA cesserà automaticamente di avere efficacia in ipotesi di risoluzione, recesso o perdita di efficacia del Contratto, salvo il tempo eventualmente necessario a consentire al Cliente di recuperare i Dati Personali, come contrattualmente convenuto tra le parti.
8.2 Parimenti, in caso di tacito rinnovo del Contratto il presente DPA si considererà automaticamente rinnovato per durata pari a quella contrattuale
Per il Titolare del trattamento Per il Responsabile esterno del trattamento Anastasis Soc. Coop. Sociale
in persona del proprio l.r.p.t.
Data: Data:
ALLEGATO “A” MISURE DI SICUREZZA ADOTTATE DAL FORNITORE NELL’EROGAZIONE DEI SERVIZI
Il presente Allegato riporta, in forma sintetica, le misure che il Responsabile del trattamento si impegna ad adottare per contrastare i rischi di sicurezza relativi ai trattamenti affidati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere (per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia), come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia.
A) Anastasis Soc. Coop. Sociale è soggetto destinatario che riceve dal cliente (Scuole pubbliche o private, Centri Educativi pubblici o privati, specialisti che operano in forma autonoma nel campo degli interventi di tipo psico-educativo) i dati personali nome, cognome, indirizzo mail, in uso da parte del medesimo per lo svolgimento dei percorsi di potenziamento delle Funzioni Esecutive, attraverso l’accesso al portale xxxxx://xxx.xxxxxxxxx.xx/, descritto nell’apposito contratto denominato CONTRATTO DI SERVIZI INFORMATICI PER L'ACCESSO ALLA PIATTAFORMA “Il Mondo degli Elli”. Il cliente, in quanto originario TITOLARE dei dati, si assume espressamente ogni più’ ampia responsabilità in ordine alla correttezza dei dati conferiti, alla loro liceità, assicurando che le informazioni trasmesse non violino in alcun modo il diritto degli interessati e che il loro conferimento non sia contrario a norme imperative e che i dati siano in ogni caso trattati ai sensi dell’art.5 del Regolamento UE n.679/2016.
Anastasis Soc. Coop. Sociale in qualità di Responsabile esterno per il trattamento dei dati ricevuti, assicura che gli stessi verranno trattati esclusivamente in rapporto all’incarico ricevuto, per la corretta esecuzione delle prestazioni in esso previste; il trattamento sarà strettamente connesso a quello principale svolto dal cliente – TITOLARE originario dei dati – e sarà effettuato mettendo in atto misure tecniche organizzative adeguate ai sensi dell’art.32 del Regolamento UE n.679/2016.
I dati personali in questione saranno trattati da soggetti autorizzati all’assolvimento di tali compiti, costantemente identificati, opportunamente istruiti e resi edotti dei vincoli imposti dal Regolamento UE n.679/2016, con l’impiego delle misure atte a garantire la riservatezza del soggetto interessato cui i dati si riferiscono.
I dati non saranno diffusi fatte salve le richieste provenienti dall’Autorità di controllo, dall’autorità Giudiziaria o da enti da questi delegati, o da altro ente ex lege autorizzato, gli stessi potranno essere comunicati a pubbliche Autorità, Amministrazioni, enti privati e pubblici, esclusivamente per il corretto svolgimento delle prestazioni contrattuali.
Più in generale Xxxxxxxxx Soc. Coop. Sociale s’impegna a :
● gestire il sistema informatico, nel quale risiede il portale xxxxx://xxx.xxxxxxxxx.xx/, in osservanza al disciplinare tecnico allegato al Codice della privacy (D.lgs. 30 giugno 2003 n. 196 e al Regolamento UE 679/2016) e sue successive modifiche ed aggiornamenti, attenendosi anche alle disposizioni del Titolare (e/o del Responsabile, qualora nominato) in tema di sicurezza;
● garantire il costante aggiornamento del sistema di sicurezza informatico idoneo a rispettare le prescrizioni dell’art. 31 e seguenti del D.lgs. n. 196/2003 e al Regolamento UE 679/2016, adeguandolo anche alle eventuali future norme in materia di sicurezza. Più specificatamente, in base al sopra citato vigente disciplinare tecnico, fatte salve le successive integrazioni dello stesso:
● adottare e gestire sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte di tutte le
persone qualificate amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti allo “username” utilizzato, i riferimenti temporali e la descrizione dell'evento (log in e log out) che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.
I dati personali verranno conservati per tutta la durata dei servizi erogati da Anastasis e per un periodo successivo fino ad almeno 2 anni, per garantire gli adempimenti normativi e amministrativi di legge. Si precisa che i citati dati non sono soggetti ad un trasferimento ad un paese terzo o ad una organizzazione internazionale.
B) Al cliente, in quanto originario titolare dei dati conferiti, resta l’obbligo di inviare alle persone fisiche interessate (quali a titolo esemplificativo genitori e insegnanti dei pazienti presi in carico) l’informativa di cui all’artt. 13 e 14 del Regolamento UE n.679/2016.
Con riferimento al contratto in essere con Xxxxxxxxx Soc. Coop. Sociale, nella predisposizione della suddetta informativa il cliente si obbliga a indicare:
1. il nominativo di Anastasis Soc. Coop. Sociale, quale struttura a cui vengono comunicati i dati, in quanto soggetto responsabile per la gestione del portale xxxxx://xxx.xxxxxxxxx.xx/, precisando che Xxxxxxxxx Soc. Coop. Sociale eseguirà il trattamento quale responsabile esterno, nella misura esclusivamente necessaria alla esecuzione del servizio oggetto del contratto.
2. che i dati potranno essere comunicati per il tramite di Anastasis Soc. Coop. Sociale ad enti pubblici e privati, ai fini della corretta esecuzione di tutti gli obblighi normativi e contrattuali e nella misura esclusivamente necessaria alla esecuzione del servizio.
C) In caso di inadempimento dell'obbligo di cui al punto B), il cliente sarà ritenuto responsabile di tutte le conseguenze giuridiche accertate e sanzionate nei confronti di Xxxxxxxxx Soc. Coop. Sociale a causa della omessa indicazione di quanto indicato al suddetto punto B).