Il Cliente, titolare dei dati (di seguito, la “Società” o il “Titolare”)
e
WEB INDUSTRY S.r.l., società con sede legale in Tavagnacco (UD), via Enrico Fermi 51 e sede operativa in Tavagnacco (UD), via Nazionale n. 74, codice fiscale/P.IVA n. IT 01919360303, qui rappresentata da Alessandro Rubini, in qualità di legale rappresentante
(di seguito anche il “Fornitore” o il “Responsabile”)
(di seguito, collettivamente, le “Parti”)
Premesso che
a) La Società e il Fornitore hanno stipulato un contratto avente come oggetto quanto indicato nell’ Allegato 1 (di seguito anche solo il “Contratto”), nell’ambito del quale il Fornitore dovrà svolgere per conto della Società operazioni relative al trattamento di dati personali di cui quest’ultima è Titolare ai sensi del Regolamento UE 2016/679 (“GDPR” o “Regolamento”);
b) La natura, la durata e la finalità dei trattamenti, nonché il tipo di dati personali trattati e le categorie di interessati sono specificamente individuati nell’ Allegato 1 del presente Accordo;
c) La Società, considerati la natura, l’oggetto, il contesto e le finalità del Trattamento e valutato il rischio, in termini di probabilità e gravità, che il Trattamento può comportare per i diritti e le libertà degli interessati, ha ritenuto che il Fornitore presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate al Trattamento, al fine di soddisfare i requisiti del Regolamento e garantire la tutela dei diritti degli interessati;
d) Il Fornitore tratterà i dati personali soltanto su istruzione documentata del Titolare;
Tutto ciò premesso si conviene e stipula quanto segue
1. Premesse e Allegati
1.1 - Le Premesse e gli Allegati costituiscono parte integrante del presente Accordo (di seguito anche solo l’“Accordo”).
2. Nomina a Responsabile del Trattamento e Oggetto del Trattamento
2.1- La Società, in qualità di Titolare del Trattamento, nomina il Fornitore Responsabile del Trattamento ai sensi e per gli effetti delle disposizioni contenute nell'art. 28 GDPR per i Trattamenti dei dati personali effettuati nell’ambito del Contratto Principale, specificamente individuati nell’Allegato 1 del presente Accordo (Oggetto del Trattamento).
2.2 - Con la sottoscrizione del presente Accordo il Responsabile accetta la nomina di cui al precedente art. 2.1, conferma la conoscenza degli obblighi che si assume in relazione a quanto previsto dal Regolamento e, in generale, dalla vigente normativa in materia di tutela dei dati personali e si impegna a procedere al trattamento degli stessi attenendosi alla normativa nonché alle istruzioni ricevute dal Titolare, nel rispetto di quanto imposto dall’articolo 28 GDPR.
2.3 - Il presente Accordo forma parte integrante e sostanziale del Contratto.
3. Definizioni normative
Si ricorda che:
Ai sensi dell’art. 4, num. 2) GDPR, costituisce “trattamento” “qualunque operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”;
Ai sensi dell’art. 4, numero 1) GDPR, costituisce “dato personale” “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”;
Ai sensi dell’art. 9, paragrafo 1, costituiscono "particolari categorie di dati” i “dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”;
L'art. 28 del Regolamento UE prevede che “I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
4. Istruzioni del Titolare e Obblighi del Responsabile
4.1 - Il Responsabile si impegna a svolgere le operazioni di trattamento nel rispetto della Legislazione vigente e delle istruzioni fornite dal Titolare con il presente atto di nomina, nonché delle ulteriori istruzioni contenute nel Contratto (ed eventuali relativi allegati) e/o di quelle comunque comunicate per iscritto dal Titolare al Responsabile, anche successivamente alla stipula della presente nomina. In particolare, il Responsabile si impegna ad adottare nell’ambito della propria organizzazione ogni misura in linea con le disposizioni del GDPR, atta a:
(a) adeguarsi alla normativa rilevante, svolgendo i compiti assegnati;
(b) istituire un modello organizzativo coerente con le disposizioni del Regolamento;
(c) evitare danni o irregolarità prevedibili. Il Titolare informerà per iscritto il Responsabile di ogni modifica che possa rendersi necessaria con riguardo al trattamento dei dati personali. Eventuali modifiche alla presente nomina dovranno essere redatte per iscritto e faranno parte integrante del presente atto di nomina. Il Titolare si riserva il diritto di comunicare in qualsiasi momento, per iscritto, nuove istruzioni al Responsabile in merito al trattamento dei dati personali nell’ambito del Contratto, ai sensi dell’art. 28 GDPR.
4.2 - Nell’esecuzione del Contratto Principale, il Responsabile potrà effettuare operazioni di trattamento aventi ad oggetto i dati personali di titolarità della Società, meglio individuati nell’Allegato 1 del presente Accordo (di seguito “Dati”). Le predette operazioni potranno essere svolte prevalentemente mediante strumenti elettronici, solo se strettamente necessarie all’espletamento dei compiti e delle attività delegate al Fornitore nell’ambito Contratto.
4.3 - Il Responsabile si impegna a non divulgare, comunicare, diffondere o trasferire a terzi i Dati se non laddove ciò sia strettamente necessario e/o previsto ai fini dello svolgimento delle attività di cui al Contratto. Al di fuori di quanto già consentito e autorizzato dal Titolare nel presente Accordo ovvero di quanto risulti previsto e/o necessario per dare esecuzione al Contratto, il Responsabile dovrà informare per iscritto il Titolare e ottenere la relativa autorizzazione prima di procedere alla divulgazione, comunicazione, diffusione o al trasferimento dei Dati, adottando in ogni caso misure idonee per garantire che tali attività avvengano nel rispetto della normativa vigente in materia di protezione dei dati.
4.4 - Il Responsabile informerà tempestivamente il Titolare in forma scritta laddove necessiti di eseguire operazioni di trattamento dei Dati diverse da quelle previste dal presente Accordo; il Titolare potrà autorizzare per iscritto la specifica attività.
4.5 - Il Responsabile potrà trattare i Dati per il periodo di tempo stabilito dal Titolare nell’Allegato 1 del presente Accordo, fermo – in ogni caso – il rispetto delle norme vigenti in materia di conservazione dei dati personali.
4.6 - Il Responsabile si impegna a far rispettare quanto previsto dal presente Accordo al proprio personale, a qualunque titolo impiegato, per lo svolgimento delle attività previste nel Contratto nonché ad individuare coloro che, sotto la propria autorità, materialmente eseguono operazioni di trattamento sui Dati (nel prosieguo “Autorizzati”), fornendogli, per iscritto, istruzioni adeguate e compatibili con il presente Accordo.
4.7 - Il Responsabile dovrà sovraintendere e vigilare sui propri Autorizzati affinché questi rispettino le istruzioni impartite e la riservatezza delle informazioni acquisite nell’ambito del presente Accordo. In particolare il Responsabile assicura che i propri dipendenti e collaboratori, i quali operano sotto la propria ed esclusiva responsabilità, osserveranno e faranno osservare le rilevanti disposizioni sia di contratto sia di legge, nonché le istruzioni relative all’incarico, al fine di adempiere i compiti assunti dal Responsabile nell’ambito del Contratto.
4.8 - Il Responsabile si impegna inoltre a:
valutare adeguatamente il rischio per i diritti e le libertà delle persone fisiche, della natura, dell'oggetto, del contesto e delle finalità del trattamento;
mettere in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio ed in base al servizio offerto come da Allegato 1, tenendo conto dello stato dell'arte e dei costi di attuazione, per proteggere i Dati da distruzione, perdita, modifica, divulgazione non autorizzata o accesso non consentito ai dati personali trattati;
mettere in atto le misure di sicurezza di cui all’art. 32 GDPR, che comprendono se del caso:
la pseudoanonimizzazione e la cifratura dei dati personali;
la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il Responsabile si impegna inoltre a garantire il rispetto delle misure di sicurezza di natura tecnica e organizzativa di cui all’Allegato 2 del presente Accordo, in quanto compatibili con l’attività resa in favore del Titolare;
verificare periodicamente l’efficacia e la cogenza delle misure di sicurezza adottate, aggiornando e migliorando le stesse sulla base di quanto ritenuto necessario sulla base delle evoluzioni della tecnica e delle attività;
segnalare al Titolare ogni fatto e questione di particolare rilievo di cui verrà a conoscenza anche nell'applicazione del Regolamento;
adottare procedure per la custodia delle copie di sicurezza dei dati e per il ripristino della disponibilità dei dati e dei sistemi, e organizzare il salvataggio dei dati con frequenza almeno settimanale.
4.9 - In caso di istanze formulate dai soggetti interessati di esercizio dei loro diritti, il Responsabile dovrà:
a) darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta;
b) valutare con il Titolare la legittimità della richiesta;
c) coordinarsi con il Titolare al fine di soddisfare le richieste ritenute legittime. Il Responsabile si impegna ad assistere il Titolare del trattamento, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile e tenendo conto della natura del trattamento, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III del Regolamento (in particolare: diritto di accesso, diritto all’oblio, diritto di limitazione del trattamento).
4.10 - Il Responsabile si obbliga a dare immediata comunicazione al titolare del trattamento nel caso in cui constati o sospetti un incidente di sicurezza e ad assistere il titolare del trattamento, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento, nel garantire il rispetto dell’obbligo di notificare all’Autorità di Controllo e/o all’interessato eventuali violazioni di Dati ai sensi degli articoli 33 e 34 del Regolamento, nel caso in cui il Titolare e/o il Responsabile ritengano probabile che da tale violazione derivino rischi per i diritti e le libertà degli interessati.
4.11 - Il Responsabile si obbliga ad assistere il Titolare nell’effettuazione della valutazione dell'impatto dei trattamenti previsti sulla protezione dei Dati, quando un tipo di trattamento – in particolare per l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento – possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche. In particolare, si ricorda che la valutazione d'impatto sulla protezione dei dati è richiesta nei casi seguenti:
a) una valutazione sistematica e globale di aspetti personali relativi a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e sulla quale si fondano decisioni che hanno effetti giuridici o incidono in modo analogo significativamente su dette persone fisiche;
b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all'articolo 10;
c) la sorveglianza sistematica su larga scala di una zona accessibile al pubblico.
4.12 - Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del GDPR e di cui al presente atto, informando altresì il Titolare qualora, a suo parere, un'istruzione violi il Regolamento o altre disposizioni, nazionali o europee, relative alla protezione dei Dati.
4.13 - Il Responsabile si obbliga altresì a tenere un Registro in forma scritta, anche in formato elettronico, di tutte le categorie di attività relative al trattamento svolte per conto del Titolare contenente:
il nome e i dati di contatto del Titolare e, ove applicabile, del responsabile della protezione dei dati;
le categorie di trattamenti effettuati per conto del Titolare;
ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, paragrafo 1 del Regolamento su richiesta, il Responsabile metterà il Registro a disposizione dell’autorità di controllo.
5. Sub-Responsabili del trattamento e Trasferimento Dati Extra UE
5.1 Con riferimento al trattamento dei Dati effettuato nell’ambito della fornitura del servizio/i di cui al Contratto Principale, il Responsabile è autorizzato ad avvalersi degli ulteriori Responsabili del trattamento (Sub–Responsabili) specificamente indicati nell’Allegato 3 del presente Accordo. Il Responsabile non potrà nominare altro responsabile senza previa autorizzazione scritta, specifica, del Titolare del trattamento. Qualora il Responsabile intenda procedere alla nomina di Subresponsabili ulteriori rispetto a quelli indicati nell’Allegato 3 ovvero alla loro sostituzione, il medesimo sarà tenuto ad informare preventivamente il Titolare, il quale avrà diritto di opporsi alla nuova nomina e/o alla sostituzione del Sub-responsabile, mediante missiva da inviarsi a mezzo PEC o lettera raccomandata a/r entro 15 (quindici) giorni dalla comunicazione ricevuta dal Responsabile. Resta inteso che, decorso il predetto termine senza opposizione da parte del Titolare, i nominativi comunicati dal Responsabile si intenderanno approvati dal Titolare.
5.2 - Il Responsabile dichiara e garantisce sin d’ora che i Sub-responsabili presentano garanzie sufficienti per mettere in atto misure tecniche ed organizzative idonee a garantire il rispetto delle disposizioni del GDPR.
5.3 - In caso di nomina, il Sub-responsabile, dovrà essere vincolato, mediante contratto o altro atto giuridico, agli stessi obblighi in materia di protezione dei dati contenuti nel presente Accordo.
5.4 - Il Responsabile del trattamento non è autorizzato a trasferire dati a un paese extra UE senza la previa autorizzazione scritta del Titolare. Ove la comunicazione e/o il trasferimento dei Dati in paesi terzi fossero autorizzati dal Titolare, dette attività dovranno avvenire solamente in presenza di tutte le condizioni di liceità previste negli articoli 44 e ss. GDPR. In particolare: qualora per il Paese di destinazione vi sia una decisione di adeguatezza (art. 45) o qualora l'importatore si sia impegnato a rispettare le clausole contrattuali tipo approvate dalla Commissione Europea (art. 46), o comunque nel rispetto dell’art. 49 GDPR. Con il presente Accordo il Titolare conferisce al Responsabile mandato ai sensi dell'art. 1704 c.c. alla sottoscrizione, in suo nome e per suo conto, delle clausole contrattuali tipo sopramenzionate. Resta inteso che le suddette clausole dovranno essere integrate dal Responsabile, laddove necessario, in conformità e nel rispetto dell’intero contenuto del presente Accordo.
6. Altri Obblighi del Responsabile
6.1 - In aggiunta a quanto sopra descritto, il Responsabile si impegna a garantire e porre in essere ogni adempimento e/o attività, anche formale, verso il Garante per la protezione dei dati personali o verso l'Autorità Giudiziaria quando richiesto e nei limiti dovuti, disponendosi a collaborare tempestivamente per quanto di competenza sia con il Titolare sia con le Autorità. In particolare, il Responsabile si impegna a:
a) fornire informazioni sulle operazioni di trattamento svolte;
b) consentire l’accesso alle banche dati oggetto delle operazioni di trattamento;
c) consentire l’effettuazione di controlli e/o ispezioni, anche da parte del Titolare o da parte di soggetti da questo delegati;
d) eseguire gli ordini del Garante per la protezione dei dati personali o dell'Autorità Giudiziaria, salvo che il Titolare non abbia provveduto a comunicare per iscritto la propria volontà di promuovere opposizione nelle forme e nei termini di rito.
7. Responsabilità e Manleva
7.1 - In caso di accertata violazione da parte del Fornitore delle obbligazioni nascenti dal suo ruolo di Responsabile come descritte nel presente Accordo e, più in generale, delle disposizioni del Regolamento e delle istruzioni del Titolare, il Responsabile si obbliga a manlevare e tenere indenne il Titolare da eventuali contestazioni o pretese che possano essere avanzate dagli interessati, sulla base dei diritti loro attribuiti dal GDPR, per il trattamento illecito dei Dati, nonché da ogni altra contestazione che possa essere mossa dall’Autorità Garante per la protezione dei Dati o da qualsivoglia altra Autorità a seguito della violazione del contenuto del presente Accordo, assumendosi ogni responsabilità che possa derivare dalla propria condotta attiva o omissiva. Il Responsabile conserva nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi del/dei Sub-Responsabile/i eventualmente nominati.
8. Gratuità dell’incarico
8.1 - Il presente Accordo non attribuisce al Responsabile alcun diritto a compensi aggiuntivi rispetto a quanto già eventualmente previsto nel Contratto Principale.
9. Durata della nomina ed Effetti della cessazione
9.1 - Il presente Accordo sarà valido ed efficace per tutta la durata del Contratto, inclusi eventuali rinnovi e proroghe. Resta inteso pertanto che al termine della collaborazione con il Titolare per la realizzazione del Contratto la nomina a Responsabile del Trattamento del Fornitore cesserà automaticamente di essere valida ed efficace, senza necessità di comunicazione scritta da parte del Titolare.
9.2 - Fermo restando quanto eventualmente già previsto nel Contratto, il Titolare si riserva il diritto di revocare la nomina di cui al presente Accordo nei seguenti casi:
cessazione anticipata del Contratto con il Responsabile per qualsiasi motivo intervenuta;
Inadempimento da parte del Responsabile degli obblighi di cui al presente Accordo.
Nei predetti casi, il Titolare darà al Responsabile comunicazione scritta della revoca della nomina.
9.3 - All’atto di revoca o cessazione della nomina, per qualsiasi causa intervenute, il Responsabile - inclusi gli Autorizzati ed eventuali soggetti terzi delegati allo svolgimento di una o più operazioni di trattamento nell’ambito del Contratto (Sub-Responsabili) - non saranno più autorizzati a trattare i Dati per conto del Titolare.
9.4 - In particolare, i summenzionati soggetti non potranno effettuare nuove operazioni di trattamento e dovranno immediatamente restituire al Titolare, o ad eventuali soggetti terzi da quest’ultimo indicati, i Dati trattati nel corso delle attività di cui al Contratto, incluse eventuali copie, e/o, su richiesta del Titolare, procedere alla distruzione degli stessi, salvo ne sia consentita dalla normativa vigente la conservazione per un periodo di tempo ulteriore presso il Responsabile. In entrambi i casi quest’ultimo rilascerà un’attestazione scritta di non aver trattenuto alcuna copia dei dati, salvo quelli che per legge o regolamento debbono essere conservati presso il Responsabile del trattamento stesso.
9.5 - Laddove, a causa di problemi tecnici o in caso di eccessiva onerosità, non fosse possibile, la definitiva cancellazione dei Dati da parte del Responsabile, quest’ultimo si impegna ad implementare quanto necessario per rendere inaccessibili i Dati, inclusa la loro anonimizzazione, fermo restando il divieto di trattare tali Dati in futuro, salvo in caso di specifica autorizzazione scritta da parte del Titolare
10. Sopravvivenza delle clausole
Alla cessazione, per qualsiasi causa, del presente Accordo continueranno ad avere efficacia quelle clausole che per la loro natura sopravvivono all’estinzione del rapporto giuridico tra le Parti.
11. Legge applicabile e Foro esclusivo
11.1 - Il presente Accordo è disciplinato dalla legge italiana.
11.2 - Eventuali controversie fra Titolare e Responsabile con riferimento al presente Accordo, incluse, a titolo esemplificativo ma non esaustivo, quelle riguardanti l’interpretazione, la validità, l’efficacia, l’esecuzione o la risoluzione dello stesso, saranno devolute alla competenza esclusiva del Foro di Milano
Allegato 1 - Oggetto del trattamento