ADDENDUM TITOLARE DEL TRATTAMENTO
NOMINA DEL TITOLARE DEL TRATTAMENTO
L’Utente (di seguito “Titolare” o “Cliente” o “Titolare del trattamento”),
con espressa accettazione dei Termini e Condizioni di AVA REVIEW (di seguito “Fornitore” o il “Responsabile del trattamento”), accetta il presente addendum sul trattamento dei dati personali, che costituisce parte integrante del rapporto tra le Parti. Il presente Addendum è sottoscritto ai sensi dell’articolo 28 del Regolamento 679/2016 e disciplina le modalità con cui il Responsabile del trattamento tratterà i dati personali per conto del Titolare del trattamento. Titolare e Responsabile del trattamento, possono anche essere indicati singolarmente come la “Parte” e congiuntamente come le “Parti”.
MENTRE.
-le operazioni di trattamento dei dati personali effettuate dal Titolare sono elencate nel registro dei trattamenti tenuto dal Titolare;
-per alcune operazioni di trattamento il Titolare si avvale della collaborazione del Fornitore;
-il Fornitore, nell’ambito dei servizi offerti al Titolare, come meglio dettagliato nello specifico contratto in essere, potrà effettuare trattamenti di dati personali per conto del Titolare;
-il Titolare e il Provider hanno sottoscritto un accordo per la fornitura di un web e tablet integrato per la creazione, la gestione e l’invio di richieste di revisione (“Servizio”), di cui il presente documento è parte integrante;
-con riferimento al Servizio messo a disposizione dal Fornitore, quest’ultimo potrà trattare dati personali in possesso del Titolare e, più precisamente, dati comuni (nome, cognome, dati di contatto) dei clienti finali del Titolare;
-la finalità del trattamento è quella di fornire una soluzione tecnologica che consenta al Titolare di poter usufruire del Servizio;
-ai sensi dell’articolo 28.1 del Regolamento (UE) 2016/679, Regolamento generale sulla protezione dei dati (di seguito “GDPR”), “qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest’ultimo si avvale esclusivamente di responsabili del trattamento”.
-il Titolare ha verificato che il Fornitore, sempre ai sensi dell’articolo 28.1 del GDPR, presenti “garanzie sufficienti per porre in essere misure tecniche e organizzative adeguate affinché il trattamento soddisfi i requisiti del Regolamento e assicuri la tutela dei diritti dell’interessato”.
Il Titolare nomina il Fornitore quale “RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI” (d’ora in poi anche semplicemente “Responsabile” o “Responsabile del trattamento”), rispetto ai dati personali che il Fornitore potrà trattare nello svolgimento delle proprie attività e a quelli che potranno essere affidati al Fornitore in futuro.
In conformità con il GDPR, l’attività svolta dal Responsabile del trattamento sarà disciplinata come segue:
1. DURATA. Tale nomina avrà efficacia per tutta la durata del rapporto del Responsabile con il Titolare del trattamento e si intenderà automaticamente revocata in caso di cessazione dello stesso.
2. FINALITÀ DEL TRATTAMENTO. I dati che vengono affidati al Responsabile, nell’ambito delle attività a lui affidate per la fruizione del Servizio, potranno essere trattati solo per le finalità indicate nel mandato affidato e/o nel contratto stipulato con il Titolare. In particolare, i dati saranno trattati dal Fornitore al solo fine di poter garantire l’erogazione del Servizio al Titolare che, in ogni caso, rimarrà l’unico soggetto obbligato a dover comunicare al cliente finale le finalità e ottenere il consenso al trattamento, nonché la comunicazione dei dati a terzi.
3. MODALITÀ DEL TRATTAMENTO. I dati potranno essere trattati su supporti cartacei o digitali, a seconda delle attività svolte, a condizione che gli strumenti siano opportunamente individuati e inventariati dal Responsabile e sistematicamente comunicati al Titolare per il suo consenso. In particolare, i dati saranno trattati tramite la piattaforma software AVA REVIEW.
4. DOVERI E COMPITI DELLA PERSONA RESPONSABILE. Il Responsabile del trattamento, come previsto dall’articolo 28 del GDPR, si impegna a:
(a) trattare i dati personali affidati solo su istruzione documentata del Titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo, salvo diversa disposizione di legge. In tal caso, il Responsabile è comunque tenuto ad informare il Titolare;
(b) garantire che le persone autorizzate al trattamento si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza. A tal fine, il Responsabile verifica periodicamente che gli incaricati: (i) effettuino il trattamento in modo lecito e secondo correttezza, esclusivamente al fine di fornire i servizi oggetto del rapporto contrattuale tra le Parti; (ii) trattare i dati personali unicamente per finalità inerenti ai compiti loro affidati; (iii) non comunicare o diffondere dati personali senza la preventiva autorizzazione del Titolare; (iv) verificare, in caso di interruzione anche temporanea del lavoro, che i dati personali trattati non siano accessibili a terzi non autorizzati; (v) custodire e mantenere strettamente riservate le credenziali di autenticazione; (vi) rispettare le misure di sicurezza richieste dal Titolare e/o dal Titolare;
(c) assicurare una formazione adeguata e comprovata alle persone autorizzate al trattamento, ai sensi dell’articolo 29 del GDPR;
(d) adottare, ai sensi dell’articolo 32 del GDPR, tutte le misure tecniche e organizzative appropriate per garantire un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità dei diritti e delle libertà delle persone fisiche, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta
e) informare il Titolare, ai sensi dell’articolo 28 GDPR, qualora sia necessario avvalersi di un altro Responsabile del trattamento;
f) assistere il Titolare nell’adempimento degli obblighi di legge previsti dagli articoli 32 (Sicurezza del trattamento), 33 (Notifica di violazione dei dati personali all’Autorità di controllo), 34 (Notifica di una violazione dei dati personali all’interessato), 35 (Valutazione d’impatto sulla protezione dei dati), 36 (Consultazione preventiva), tenendo conto della natura del trattamento e delle informazioni a disposizione del Titolare.
g) provvedere all’aggiornamento, alla modifica, alla rettifica dei dati personali qualora ciò sia necessario in relazione alle finalità del trattamento, e cancellare o restituire tempestivamente, su richiesta del Titolare, tutti i dati personali e le copie esistenti di cui il Responsabile è in possesso senza poter conservare alcuna copia, salvo espresso accordo diverso o previsto dalla legge. In ogni caso, cancellare e/o distruggere, come previsto dalla legge (come la “cancellazione” per i dati digitali), i dati personali quando le finalità per le quali i dati sono stati raccolti e trattati sono state raggiunte in assenza di un obbligo legale o della necessità di ulteriore conservazione;
h) consentire al Titolare di esercitare il potere di controllo di cui all’articolo 28 GDPR: in tale ambito, mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del presente Addendum e per dimostrare il rispetto degli obblighi di legge e consentire attività di verifica (Audit), svolte dal Titolare o da terzi incaricati dal Titolare, al fine di accertare l’osservanza di tali modalità di trattamento dei dati e il rispetto dei requisiti di legge. Il Titolare avrà facoltà di verificare, con un preavviso di almeno 20 (venti) giorni lavorativi, anche presso la sede del Titolare, la conformità delle procedure da quest’ultimo adottate a quanto indicato nel presente Addendum o richiesto dalla legge;
i) impegnarsi a rispettare il Provvedimento Generale del Garante per la Protezione dei Dati Personali del 27 novembre 2008 “Misure ed espedienti prescritti per i titolari di trattamenti effettuati con strumenti elettronici in relazione alle attribuzioni delle funzioni di amministratore di sistema” come modificato dall’Ordinanza del Garante del 25 giugno, 2009 “Modifiche al provvedimento del 27 novembre 2008 recante prescrizioni ai titolari di trattamenti effettuati con strumenti elettronici con riguardo alle attribuzioni di amministratore di sistema e alla proroga dei termini per il loro adempimento”, come eventualmente modificato o sostituito dal medesimo Garante, e ad ogni altro provvedimento pertinente dell’Autorità;
j) di collaborare ai fini dell’esatta applicazione della legge, anche attraverso riunioni periodiche e di agire nell’ambito e nei limiti delle proprie funzioni, in modo autonomo, ma sempre in conformità alle direttive stabilite dal Titolare.
5. SUPERVISIONE. Il Titolare potrà vigilare sul puntuale rispetto delle istruzioni qui impartite al Responsabile del trattamento e verificherà il perseguimento dei requisiti di esperienza, capacità e affidabilità che hanno influenzato la designazione del Responsabile del trattamento.
6. VIOLAZIONE. Il Responsabile del trattamento è informato che in caso di violazione delle disposizioni di legge determinando autonomamente le finalità e i mezzi del Trattamento, o ignorando le istruzioni ricevute dal Titolare, sarà considerato il Titolare del Trattamento in questione;
7. ASSISTENZA AL TITOLARE DEL TRATTAMENTO IN CASO DI VIOLAZIONE. In caso di violazione dei dati personali, il Fornitore si impegna a informare il Titolare del trattamento senza indebito ritardo dal momento in cui viene a conoscenza della violazione. Il Fornitore assisterà il Titolare avviando un’analisi preliminare finalizzata alla raccolta dei dati relativi all’anomalia e alla compilazione di una scheda evento, contenente tutte le informazioni raccolte e in quel momento disponibili, quali, a titolo esemplificativo e non esaustivo:
– Data dell’evento, anche la data presunta di verificarsi della violazione (nel qual caso va specificato)
– Data e ora in cui è stata acquisita conoscenza della violazione;
– Fonte di segnalazione;
– Tipo di violazione e informazioni coinvolte;
– Descrizione dell’evento anomalo;
– Numero di interessati coinvolti;
– Numerosità di informazioni personali che si presume siano state violate;
– Indicazione della data, inclusa la presunta data, della violazione e quando è diventata
Conoscenza;
– Indicazione del luogo in cui si è verificata la violazione dei dati, specificando anche se si è verificata
a seguito di perdita di dispositivi o supporti portatili;
– Descrizione sintetica dei sistemi di elaborazione o archiviazione dei dati coinvolti, con
indicazione della loro ubicazione.
8. RISERVATEZZA. Il Responsabile del trattamento si impegna a mantenere strettamente confidenziale e confidenziale e ad utilizzare solo per l’adempimento degli obblighi derivanti dal contratto, qualsiasi informazione relativa all’altra Parte e/o a coloro che sono coinvolti nel trattamento di dati personali e
/o prodotti, servizi, organizzazione, strategia aziendale o tecnica ricevuti dall’altra Parte o di cui vengano a conoscenza durante l’esecuzione del contratto relativo al Servizio (di seguito denominato “Informazioni riservate”). Il Responsabile si impegna a non utilizzare le Informazioni Riservate al di fuori delle finalità previste dal presente accordo, né a divulgarle a soggetti non previsti dal presente accordo, senza l’approvazione scritta del Titolare. Il Gestore adotterà tutte le misure necessarie per non divulgare o rendere in alcun modo disponibili a terzi le Informazioni Riservate del Titolare e/o degli interessati, e sarà in ogni caso ritenuto direttamente responsabile nei confronti del Titolare per qualsiasi violazione da parte dei propri dipendenti e/o subappaltatori degli obblighi di riservatezza di cui al presente articolo. Le disposizioni del presente articolo non si applicano o cessano di applicarsi alle singole informazioni che il Titolare può dimostrare: (i) sono già diventate di dominio pubblico per motivi diversi dalla violazione da parte del Titolare stesso; (ii) erano già noti prima di essere ricevuti dal Titolare; (iii) sono stati divulgati o divulgati in conformità con un ordine legittimo di qualsiasi autorità o in virtù di un obbligo legale. Le Informazioni Riservate divulgate rimarranno di proprietà del Titolare del trattamento. Su richiesta scritta del Titolare stesso, tali informazioni saranno restituite o distrutte dal Responsabile.
9. MODIFICHE E INTEGRAZIONI. Le Parti hanno il diritto di apportare le modifiche e gli adeguamenti al presente Accordo che potrebbero essere necessari in qualsiasi momento, anche per conformarsi a eventuali aggiornamenti normativi. L’eventuale richiesta di modifica dovrà essere comunicata al Gestore mediante lettera raccomandata con ricevuta di ritorno o posta elettronica certificata. A seguito della suddetta richiesta di modifica, il Gestore avrà 60 giorni di tempo per recedere dal contratto. Dopo questo periodo, le modifiche saranno considerate accettate dal Responsabile del trattamento. Per tutto quanto non espressamente previsto nel presente accordo, si rimanda alle disposizioni generali vigenti in materia di protezione dei dati personali.
10. LEGGI APPLICABILI. In caso di controversie relative alla validità, all’interpretazione, all’esecuzione e alla risoluzione del presente Addendum, le Parti convengono di cercare una soluzione equa e amichevole tra loro. Qualora la controversia non venga risolta amichevolmente, essa si riterrà ricaduta nella competenza esclusiva dell’Autorità Giudiziaria del Tribunale di Roma. Per la risoluzione di qualsiasi controversia relativa alla validità, interpretazione, esecuzione e risoluzione del presente contratto si applicherà la legge italiana.
Resta inteso che tale nomina non comporta alcun diritto del Fornitore ad alcun specifico compenso e/o indennizzo e/o rimborso derivante da tale nomina, oltre quanto già previsto nei termini e condizioni.