Logo

AGGIUNTA DEL RESPONSABILE DEL TRATTAMENTO DEI DATI


NOMINA DEL RESPONSABILE DEL TRATTAMENTO DEI DATI

L'Utente (di seguito "Titolare" o "Cliente" o "Responsabile del Trattamento dei Dati"),

mediante l'accettazione esplicita dei Termini e Condizioni di Es Consulting di Emanuele Signoroni (di seguito "Fornitore" o "Responsabile del Trattamento dei Dati"), accetta questa addizione al trattamento dei dati personali, che costituisce parte integrante del rapporto tra le Parti. Questa Addizione è stipulata ai sensi dell'articolo 28 del Regolamento 679/2016 e disciplina il modo in cui il Responsabile del Trattamento dei Dati tratterà i dati personali per conto del Titolare dei Dati. Il Responsabile del Trattamento dei Dati e il Fornitore possono essere anche indicati individualmente come la "Parte" e congiuntamente come le "Parti".


PREMESSO.

-le operazioni di trattamento dei dati personali svolte dal Titolare dei Dati sono elencate nel registro delle operazioni di trattamento conservato dal Titolare dei Dati;

-per alcune operazioni di trattamento, il Titolare dei Dati fa uso della collaborazione del Fornitore;

-il Fornitore, nell'ambito dei servizi offerti al Titolare dei Dati, come meglio specificato nel contratto specifico in essere, può effettuare il trattamento dei dati personali per conto del Titolare dei Dati;

-il Titolare dei Dati e il Fornitore hanno firmato un accordo per la fornitura di una soluzione web e tablet integrata per la creazione, gestione e invio di richieste di recensione ("Servizio"), di cui il presente documento è parte integrante;

-con riferimento al Servizio reso disponibile dal Fornitore, quest'ultimo potrà trattare dati personali di proprietà del Titolare dei Dati e, in particolare, dati comuni (nome, cognome, dati di contatto) dei clienti finali del Titolare;

-lo scopo del trattamento è fornire una soluzione tecnologica che consenta al Titolare di usufruire del Servizio;

in conformità all'articolo 28.1 del Regolamento (UE) 2016/679, Regolamento Generale sulla Protezione dei Dati (di seguito "GDPR"), "qualora il trattamento debba essere effettuato per conto del Titolare del Trattamento, quest'ultimo utilizzerà solo responsabili del trattamento dei dati".

-il Titolare dei Dati ha verificato che il Fornitore, ancora una volta ai sensi dell'articolo 28.1 del GDPR, presenta "garanzie sufficienti per adottare adeguate misure tecniche e organizzative in modo che il trattamento soddisfi i requisiti del Regolamento e assicuri la protezione dei diritti degli interessati".


Il Titolare dei Dati nomina il Fornitore come "RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI" (di seguito anche semplicemente "Responsabile" o "Processore"), per quanto riguarda i dati personali che il Fornitore potrà trattare nell'adempimento delle sue attività e quelli che potranno essere affidati al Fornitore in futuro.


In conformità al GDPR, l'attività svolta dal Processore sarà regolamentata come segue:


  1. DURATA. Questa nomina avrà effetto per la durata del rapporto del Processore con il Titolare e sarà considerata automaticamente revocata in caso di sua cessazione.
  2. SCOPO DEL TRATTAMENTO. I dati affidati al Responsabile, nell'ambito delle attività a lui demandate per l'uso del Servizio, potranno essere trattati solo per gli scopi indicati nel mandato affidato e/o nel contratto stipulato con il Titolare. In particolare, il Fornitore tratterà i dati solo allo scopo di garantire la fornitura del Servizio al Titolare, il quale rimarrà comunque l'unico soggetto obbligato a dover comunicare al cliente finale le finalità e ottenere il consenso al trattamento, nonché la comunicazione dei dati a terzi.
  3. MODALITÀ DI TRATTAMENTO. I dati potranno essere trattati su supporto cartaceo o digitale, a seconda delle attività svolte, a condizione che gli strumenti siano adeguatamente identificati e inventariati dal Responsabile e sistematicamente comunicati al Titolare per la sua approvazione. In particolare, i dati saranno trattati mediante la piattaforma software "IL TUO BRAND".
  4. DOVERI E COMPITI DEL RESPONSABILE DEL TRATTAMENTO. Il Responsabile del Trattamento, come previsto dall'articolo 28 del GDPR, si impegna a:
  5. (a) trattare i dati personali affidati solo su istruzioni documentate del Titolare, anche in caso di trasferimento dei dati personali in un paese terzo, salvo diversamente previsto dalla legge. In tal caso, il Responsabile è comunque tenuto a informare il Titolare;
  6. (b) garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o siano soggette a un'appropriata obbligazione legale di riservatezza. A tal fine, il Responsabile verifica periodicamente che le persone incaricate: (i) effettuino il trattamento in modo lecito e corretto, esclusivamente per lo scopo di fornire i servizi coperti dal rapporto contrattuale tra le Parti; (ii) trattino i dati personali esclusivamente per scopi connessi alle attività loro assegnate; (iii) non comunicano o diffondono dati personali senza l'autorizzazione preventiva del Titolare dei Dati; (iv) verifichino, in caso di interruzione anche temporanea del lavoro, che i dati personali trattati non siano accessibili a terzi non autorizzati; (v) custodiscano e mantengano strettamente riservate le credenziali di autenticazione; (vi) aderiscano alle misure di sicurezza richieste dal Titolare dei Dati e/o dal Responsabile dei Dati;
  7. (c) assicurare una formazione adeguata e comprovata per le persone autorizzate al trattamento, ai sensi dell'articolo 29 del GDPR;
  8. (d) adottare, ai sensi dell'articolo 32 del GDPR, tutte le adeguate misure tecniche e organizzative per garantire un livello di sicurezza appropriato al rischio, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio di probabilità e gravità variabili per i diritti e le libertà delle persone fisiche, al fine di ridurre al minimo i rischi di distruzione o perdita, compresa la perdita accidentale dei dati stessi, l'accesso non autorizzato o il trattamento non consentito o non conforme alle finalità della raccolta;
  9. (e) informare il Titolare dei Dati, in conformità all'articolo 28 del GDPR, se è necessario utilizzare un altro Responsabile del Trattamento dei Dati;
  10. (f) assistere il Titolare nel rispetto degli obblighi legali di cui agli articoli 32 (Sicurezza del Trattamento), 33 (Notifica di una Violazione dei Dati Personali all'Autorità di Controllo), 34 (Notifica di una Violazione dei Dati Personali all'Interessato), 35 (Valutazione dell'Impatto sulla Protezione dei Dati), 36 (Consultazione Preventiva), tenendo conto della natura del trattamento e delle informazioni disponibili al Titolare;
  11. (g) provvedere all'aggiornamento, alla modifica, alla rettifica dei dati personali se ciò è necessario in relazione alle finalità del trattamento, e cancellare o restituire prontamente, su richiesta del Titolare, tutti i dati personali e le copie esistenti di cui il Responsabile è in possesso, senza poter conservare copie, salvo diversamente concordato espressamente o previsto dalla legge. In ogni caso, eliminare e/o distruggere, come previsto dalla legge (come "cancellazione" per i dati digitali), i dati personali quando le finalità per cui i dati sono stati raccolti e trattati sono state raggiunte in assenza di un obbligo legale o della necessità di ulteriore conservazione;
  12. (h) consentire al Titolare di esercitare il potere di controllo ai sensi dell'articolo 28 del GDPR: in questo contesto, mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di questa Addizione e per dimostrare il rispetto degli obblighi legali e consentire attività di verifica (Audit), svolte dal Titolare o da terzi incaricati dal Titolare, al fine di accertare l'osservanza di questi metodi di trattamento dei dati e il rispetto dei requisiti legali. Il Titolare dei Dati avrà il diritto di verificare, con almeno 20 (venti) giorni lavorativi di preavviso, anche presso le sedi del Titolare dei Dati, il rispetto delle procedure adottate da quest'ultimo in conformità a quanto indicato in questa Addizione o richiesto dalla legge;
  13. (i) impegnarsi a rispettare la Provvedimento Generale del Garante per la Protezione dei Dati Personali del 27 novembre 2008 "Misure e disposizioni prescritte per i titolari di trattamento dei dati effettuato con strumenti elettronici in relazione alle attribuzioni delle funzioni di amministratore di sistema", come modificato dall'Ordine del Garante del 25 giugno 2009 "Modifiche all'ordinanza del 27 novembre 2008 sulle prescrizioni ai titolari di trattamento dei dati effettuato con strumenti elettronici riguardo alle attribuzioni dell'amministratore di sistema e proroga dei termini per il loro adempimento", come potrà essere modificato o sostituito dallo stesso Garante, e a qualsiasi altra misura rilevante dell'Autorità;
  14. (j) collaborare per l'applicazione esatta della legge, anche attraverso incontri periodici e agire nel quadro e nei limiti delle loro responsabilità, in modo autonomo, ma sempre in conformità con le direttive stabilite dal Titolare.


5. SUPERVISIONE. Il Titolare dei Dati può vigilare sul preciso rispetto delle istruzioni date al Responsabile del Trattamento dei Dati e verificherà il mantenimento dei requisiti di esperienza, capacità e affidabilità che hanno influenzato la designazione del Responsabile del Trattamento dei Dati.

6. VIOLAZIONE. Il Processore è qui informato che se viola le disposizioni della legge determinando autonomamente le finalità e i mezzi del Trattamento o trascurando le istruzioni ricevute dal Titolare, sarà considerato il Titolare del Trattamento dei Dati in questione;

7. ASSISTENZA AL TITOLARE IN CASO DI VIOLAZIONE. In caso di violazione dei dati personali, il Fornitore si impegna a informare il Titolare senza ingiustificato ritardo dal momento in cui ha conoscenza della violazione. Il Fornitore assisterà il Titolare avviando una preliminare analisi mirata alla raccolta di dati relativi all'anomalia e compilando una scheda degli eventi, contenente tutte le informazioni raccolte e disponibili al momento, come, ma non solo:

  • Data dell'evento, anche la data presunta dell'occorrenza della violazione (in tal caso va specificata)
  • Data e ora in cui è stata ottenuta la conoscenza della violazione;
  • Fonte della segnalazione;
  • Tipo di violazione e informazioni coinvolte;
  • Descrizione dell'evento anomalo;
  • Numero di interessati coinvolti;
  • Numerosità delle informazioni personali presumibilmente violate;
  • Indicazione della data, compresa la data presunta, della violazione e quando è diventata
  • Conoscenza;
  • Indicazione del luogo in cui si è verificata la violazione dei dati, specificando anche se è avvenuta
  • Verificatasi a seguito della perdita di dispositivi o supporti portatili;
  • Breve descrizione dei sistemi di trattamento o di archiviazione dei dati coinvolti, con
  • indicazione della loro ubicazione.


8. CONFIDENZIALITÀ. Il Responsabile si impegna a mantenere strettamente riservate e confidenziali tutte le informazioni relative all'altra Parte e/o a coloro coinvolti nel trattamento dei dati personali e/o dei prodotti, servizi, organizzazione, affari o strategie tecniche ricevute dall'altra Parte o di cui vengano a conoscenza durante l'esecuzione del contratto relativo al Servizio (di seguito denominato "Informazioni Confidenziali"). La Parte Responsabile si impegna a non utilizzare le Informazioni Confidenziali al di fuori delle finalità previste dal presente accordo, né a divulgarle a soggetti non contemplati da questo accordo, senza l'approvazione scritta del Titolare. Il Responsabile adotterà tutte le misure necessarie per non divulgare o mettere a disposizione in alcun modo le Informazioni Confidenziali del Titolare e/o delle parti interessate a terzi, e sarà comunque direttamente responsabile nei confronti del Titolare per qualsiasi violazione da parte dei suoi dipendenti e/o subappaltatori degli obblighi di riservatezza stabiliti in questo articolo. Le disposizioni di questo articolo non si applicheranno o cesseranno di applicarsi a quelle singole informazioni che il Titolare può dimostrare: (i) sono già diventate di pubblico dominio per ragioni diverse dalla violazione del Titolare stesso; (ii) erano già note prima di essere state ricevute dal Titolare; (iii) sono state divulgate o comunicate in conformità a un ordine legale di qualsiasi autorità o in virtù di un obbligo di legge. Le Informazioni Confidenziali divulgate rimarranno di proprietà del Titolare dei dati. Su richiesta scritta del Titolare stesso, tali informazioni saranno restituite o distrutte dalla Parte Responsabile.


9. MODIFICHE E AGGIUNTE. Le Parti hanno il diritto di apportare modifiche e aggiustamenti a questo Accordo, come potrebbe essere necessario in qualsiasi momento, anche per conformarsi a eventuali aggiornamenti normativi. L'avviso di qualsiasi richiesta di modifica sarà notificato al Responsabile tramite lettera raccomandata con avviso di ricevimento o posta elettronica certificata. In seguito alla suddetta richiesta di modifica, il Responsabile avrà 60 giorni per recedere dall'accordo. Trascorso tale periodo, le modifiche saranno considerate accettate dal Responsabile. Per quanto non espressamente previsto in questo accordo, si prega di fare riferimento alle disposizioni generali in vigore in materia di protezione dei dati personali.


10. LEGGI APPLICABILI. In caso di controversia concernente la validità, interpretazione, esecuzione e risoluzione del presente Addendum, le Parti si impegnano a cercare una soluzione equa ed amichevole tra di loro. Qualora la controversia non venga risolta in via amichevole, sarà considerata di competenza esclusiva dell'Autorità Giudiziaria del Tribunale di Roma. Per la risoluzione di qualsiasi controversia concernente la validità, interpretazione, esecuzione e risoluzione del presente accordo, si applicherà la legge italiana.

Si intende che questa nomina non implichi alcun diritto del Fornitore a compensazioni specifiche e/o indennizzi e/o rimborsi derivanti da questa nomina, al di là di quanto già previsto nei termini e condizioni.


Share by: