ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI

Il presente Accordo sul Trattamento dei Dati Personali (“DPA“), che costituisce parte integrante e sostanziale dei Termini e Condizioni (di seguito il “Contratto”) viene stipulato tra

  • Il titolare del trattamento (“Titolare”); e
  • Il fornitore di servizi che tratta i dati personali (“Responsabile”);

 (di seguito denominati singolarmente come “Parte” e congiuntamente come “Parti“).

PREMESSO CHE

  1. in virtù del Contratto stipulato tra il Titolare e il Responsabile, il Responsabile si assume l’obbligo di fornire al Titolare i servizi di cui al Contratto (i “Servizi”);
  2. la prestazione dei Servizi può di volta in volta comportare l’accesso del Responsabile, o la comunicazione a quest’ultimo, di informazioni del Titolare configurabili quali dati personali, ai sensi del Regolamento (UE) 2016/679 del Consiglio e del Parlamento Europeo del 27 Aprile 2016 sulla protezione e la libertà di circolazione dei dati personali delle persone fisiche (“GDPR“) e dalle ulteriori disposizioni e leggi applicabili in materia di protezione dei dati personali;
  3. le Parti convengono che i trattamenti dei dati personali disciplinati dal presente DPA rientrano nell’ambito di applicazione dell’articolo 28 del GDPR e che il Responsabile si qualifica quale responsabile del trattamento ai sensi del GDPR; e
  4. è intenzione delle Parti di utilizzare il presente DPA quale accordo contrattuale, ai sensi del citato articolo 28 del GDPR, finalizzato a disciplinare il trattamento dei dati personali svolto dal Responsabile per conto del Titolare nell’ambito del Contratto.

CIO’ PREMESSO, al fine di prestare garanzie sufficienti per la tutela della riservatezza, delle libertà e dei diritti fondamentali delle persone fisiche circa il trattamento dei dati personali effettuato dal Responsabile per conto del Titolare, come descritto all’Allegato 1, le Parti convengono quanto segue.

1. Definizioni

Ai fini del DPA, trovano applicazione la terminologia e le definizioni utilizzate nel GDPR, nonché tutti i termini definiti qui di seguito e all’interno del DPA.

Stato Membro si intende uno stato membro dell’Unione Europea (“UE“) e/o dello Spazio Economico Europeo (“SEE“).
Violazione dei dati personali si intende una violazione di sicurezza che comporti, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati che interessano i dati personali del Titolare disciplinati dal presente DPA.
“Sub-responsabile si intende qualunque subappaltatore/subfornitore del Responsabile, stabilito all’interno o al di fuori dell’UE/SEE, a cui il Responsabile deleghi in tutto o in parte il trattamento dei dati personali disciplinato dal presente DPA ai fini esclusivamente dell’erogazione dei Servizi.

2. Obblighi generali delle Parti

2.1 Obblighi del Titolare

2.1.1 Il Titolare è tenuto a confermare che le attività di trattamento dei dati personali, come descritte nel Contratto e nell’Allegato 1 del presente DPA siano lecite, eque e trasparenti in relazione ai soggetti interessati.

2.2 Obblighi del Responsabile

2.2.1 Il Responsabile dichiara e garantisce che tratterà i dati personali esclusivamente per conto del Titolare e secondo le istruzioni operative impartite dal Titolare e contenute nel Contratto e quelle specifiche in tema di trattamento dei dati personali previste nell’Allegato 3 al presente contratto (di cui fa parte il presente DPA), nonché che informerà senza indebito ritardo il Titolare qualora non sia in grado, per qualunque ragione, di ottemperare a tali istruzioni. Nel qual caso il Titolare potrà sospendere e/o interrompere il trasferimento dei dati personali e/o risolvere il Contratto e il presente

2.2.2 Il Responsabile è tenuto ad implementare ed applicare le misure tecniche ed organizzative di sicurezza in Allegato 1 in conformità a quanto previsto dall’art. 32 GDPR.

2.2.3 Il Responsabile dichiara e garantisce che risponderà prontamente e adeguatamente a tutte le richieste del Titolare relative al trattamento dei dati personali effettuato nell’ambito del Contratto e che si conformerà ad eventuali pareri e/o provvedimenti emessi dall’autorità di controllo competente in relazione al suddetto trattamento dei dati personali.

2.2.4 Il Responsabile ha l’obbligo di garantire che le persone autorizzate al trattamento dei dati personali per conto del Titolare, si siano impegnati alla riservatezza o abbiano un adeguato obbligo legale di riservatezza e che essi tratteranno i predetti dati personali nel rispetto di quanto previsto nel presente DPA e secondo le istruzioni impartite dal Titolare.

2.2.5 Il Responsabile è tenuto a fornire al Titolare le informazioni sulle attività di trattamento disciplinate dall’Allegato 1 del presente DPA, nella misura necessaria al Titolare per l’adempimento dell’obbligo di mantenere il registro delle attività di trattamento.

2.2.6 Su richiesta del Titolare, il Responsabile è tenuto a coadiuvare il Titolare stesso nell’adempimento da parte di quest’ultimo degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla consultazione preventiva con le autorità di controllo, tenuto conto della natura del trattamento e delle informazioni a disposizione del

2.2.7 Se il Responsabile nomina un DPO (ove richiesto dalla legge applicabile in materia di protezione dei dati personali), egli sarà tenuto a comunicare i dettagli di contatto del DPO (e/o del rappresentante) al

2.2.8 Al termine della prestazione dei Servizi, il Responsabile è tenuto a restituire al Titolare tutti i dati personali (e qualsiasi copia esistente) trattati dal Responsabile per conto del Titolare di cui al presente DPA e cancellarli irreversibilmente, una volta avuta conferma da parte del Titolare dell’avvenuta completa ricezione dei suddetti dati personali da parte del Titolare stesso. La cancellazione dei dati personali da parte del Responsabile dovrà essere certificata al Titolare, a meno che la legge applicabile imponga al Responsabile la conservazione dei dati personali. In questo caso, il Responsabile si impegna a garantire la riservatezza dei suddetti dati personali e a non trattare ulteriormente gli stessi di propria iniziativa.

2.2.9 Il Responsabile si impegna a individuare e nominare per iscritto i propri Amministratori di Sistema, sia interni che esterni, (di seguito, ADS) impartendo loro sempre per iscritto le idonee istruzioni, e procedere alla loro revoca in caso di perdita di tale qualifica, dandone eventuale conferma al Titolare ove richiesto.

2.2.10 Il Responsabile si impegna, inoltre, a:

– vigilare sul rispetto delle istruzioni impartite agli ADS, sovrintendendo alle operazioni loro affidate nell’ambito di operatività consentito dal loro profilo di autorizzazione, ammonendoli, soprattutto, a mantenere l’assoluto riserbo sui dati di cui vengono a conoscenza, anche incidentalmente o per caso fortuito, in ragione dell’esercizio delle funzioni assegnate;

– aggiornare periodicamente il documento deputato a chiarire le competenze sui sistemi rispetto ai singoli ADS interni, ed altresì comunicare per iscritto ai medesimi l’avvenuta modifica di tale documento;

– conservare una mappatura aggiornata degli ADS, predisponendo la documentazione necessaria per il rispetto della normativa, e creando profili di accesso conformi rispetto alla normativa di cui trattasi;

3. Istruzioni

3.1 Ai sensi della sezione 2.2.1 del presente DPA, il Responsabile si obbliga a trattare i dati personali esclusivamente per conto del Titolare e in conformità alle istruzioni impartite dal Titolare e previste dal Contratto, anche per quanto concerne i trasferimenti dei dati personali a un paese terzo o ad una organizzazione internazionale, salvo che sia diversamente previsto dalla legge applicabile a cui il Responsabile è In tale caso, prima di procedere a trattare i dati personali in maniera non conforme alle istruzioni impartite dal Titolare, il Responsabile sarà tenuto a dare comunicazione al Titolare di tale obbligo giuridico derivante dalla legge applicabile, a meno che la legge stessa stabilisca il divieto di tale comunicazione per rilevanti motivi di interesse pubblico. In tale circostanza, il Responsabile sarà comunque tenuto a comunicare al Titolare quale sia tale divieto previsto della legge applicabile.

3.2 Il Titolare può fornire specificazioni alle istruzioni riportate nel presente DPA e nel Contratto i; le stesse dovranno essere concordate tra le Parti e, nel caso risultino essere nuovi istruzioni, andranno inserite in uno specifico aggiornamento del Contratto e/o del presente DPA.

3.3 Le istruzioni sono fornite per iscritto, a meno che l’urgenza o altre circostanze del caso richiedano una forma diversa (e.g. orale). Le istruzioni comunicate in forma diversa da quella scritta o elettronica devono essere documentate in una forma adeguata.

3.4 Oltre agli obblighi di comunicazione previsti dal presente DPA, il Responsabile è tenuto a comunicare immediatamente al Titolare eventuali istruzioni che ritiene siano in violazione delle leggi applicabili in materia di protezione dei dati personali (“Istruzione Contestata“) e a fornire evidenza di tali leggi applicabili. A seguito di tale comunicazione il Responsabile non sarà tenuto ad osservare l’Istruzione Contestata, salvo che il Titolare confermi l’Istruzione Contestata.

4. Monitoraggio, audit e ispezioni da parte del Titolare

4.1 Il Responsabile è tenuto a monitorare, tramite strumenti adeguati, la propria conformità nonché quella dei propri dipendenti e Sub-responsabili in relazione ai rispettivi obblighi in materia di protezione dei dati personali previsti dall’articolo 28 del GDPR e dal presente DPA in relazione ai Servizi. Il Responsabile deve mettere a disposizione del Titolare qualsiasi informazione atta a dimostrare l’osservanza di tali obblighi. Per documentare l’attività di auto-monitoraggio, il Responsabile è tenuto a fornire al Titolare, su richiesta di quest’ultimo, l’evidenza dei controlli effettuati (“Relazioni di Audit“).

4.2 Il Titolare può richiedere di svolgere direttamente le ispezioni o di affidarle ad un revisore terzo (“Audit in presenza”). L’Audit in presenza è soggetto alle seguenti condizioni: (i) deve riguardare solamente il personale e le strutture di trattamento del Responsabile coinvolte nelle attività di trattamento disciplinate dal presente DPA; (ii) deve essere svolto non più di una volta l’anno o secondo quanto previsto dalla legge applicabile in materia di protezione dei dati personali o dall’autorità di controllo competente; (iii) può essere svolto durante il normale orario di lavoro, senza interrompere in maniera sostanziale la continuità delle attività commerciali del Responsabile, nel rispetto delle politiche sulla sicurezza del Responsabile e previo congruo preavviso; e (iv) il Titolare si fa carico di tutte le spese derivanti o in relazione agli Audit in presenza presso il Titolare o il Responsabile. Le Relazioni di audit in presenza e le Relazioni di Audit sono informazioni riservate del Responsabile e il Titolare si impegna a non divulgarle a terzi, ad eccezione che ai propri consulenti, incluso i propri consulenti in materia legale, al proprio responsabile della protezione dei dati (DPO), ai propri dipendenti e società affiliate, e fatti salvo i casi in cui il Titolare è tenuto a divulgarne il contenuto ai sensi della legge applicabile in materia di protezione dei dati personali, o su richiesta dell’autorità di controllo competente o se il Responsabile presta il consenso alla divulgazione.

5. Riservatezza dei Dati

5.1 Il Responsabile è tenuto agli obblighi di riservatezza dei dati in conformità alle previsioni sulla confidenzialità previste nel Contratto. Il Responsabile si impegna a prevedere nel DPA tra il Responsabile e il Sub-Responsabile degli obblighi di confidenzialità non meno stringenti di quelli previsti nel Contratto.

6. Obblighi di comunicazione e Violazione dei dati personali

6.1 Oltre agli obblighi di comunicazione previsti dal presente DPA, il Responsabile è tenuto a notificare al Titolare senza indebito ritardo: (i) qualsiasi richiesta legalmente vincolante di comunicazione di dati personali trattati per conto del Titolare, presentata da autorità giudiziarie o di polizia, salvo che la comunicazione non sia vietata da norme specifiche (ad esempio da norme di diritto penale miranti a tutelare il segreto delle indagini), o da eventuali ordinanze/provvedimenti di autorità giudiziarie e/o di autorità/enti regolatori competenti relativi al trattamento di dati personali disciplinati dal presente DPA; (ii) eventuali reclami o richieste da parte di soggetti interessati (e.g. in materia di accesso, rettifica, cancellazione, limitazione di trattamento, portabilità dei dati, opposizione al trattamento dei dati, decisioni automatizzate) senza dover rispondere a tale richiesta. Il diritto di limitazione del trattamento consiste nella possibilità, da parte dell’interessato, di limitare il funzionamento dei processi in riferimento ai propri dati personali. Il Responsabile garantisce tale diritto ma, qualora venga esercitato, non potrà fornire i propri Servizi.

6.2 In caso di Violazione dei dati personali, il Responsabile deve darne comunicazione al Titolare senza ingiustificato ritardo e, ove possibile, entro 72 ore da quando ne è venuto a conoscenza con ragionevole certezza. Il Responsabile deve altresì raccogliere e fornire al Titolare le seguenti informazioni:

  1. a) una descrizione della natura della Violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
  2. b) una descrizione delle misure adottate o di cui si propone l’adozione da parte del Titolare per porre rimedio alla Violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

6.3 Il Responsabile dovrà assistere il Titolare nell’adempimento degli obblighi, gravanti su quest’ultimo, di notificazione alle Autorità di controllo e agli interessati, ove applicabili, ai sensi della legge applicabile sulla protezione dei dati personali, fornendo le informazioni rilevanti, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

7. Responsabilità

7.1 Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento nei termini e secondo la ripartizione delle responsabilità previsti dall’art. 82 del GDPR.

8. Risposte alle richieste dei soggetti interessati

8.1 Il Titolare può richiedere al Responsabile di ricevere assistenza aggiuntiva al fine di rispondere alle richieste dei soggetti interessati circa l’esercizio dei propri diritti ai sensi della normativa applicabile in materia di protezione dei dati personali. Il Titolare è tenuto a stabilire se un soggetto interessato ha titolo o meno per esercitare tali diritti e a fornire ulteriori istruzioni al Responsabile circa il livello di assistenza

9. Sub-trattamento

9.1 Qualora si rendesse necessario o si intendesse delegare da parte del Responsabile a uno o più Sub- responsabili, in tutto o in parte, il trattamento dei dati personali oggetto del presente DPA e qualora il Contratto consenta la sub-fornitura dei Servizi, il Responsabile è tenuto ad informare il Titolare dell’avvenuto aggiornamento della lista dei Sub-responsabili pubblicata sul sito openview.it in maniera da consentire al Titolare di opporsi alla nomina del Sub-responsabile dandone specifica motivazione. Le suddette nomine a Sub-responsabile si intenderanno accettate ed autorizzate dal Titolare alle seguenti condizioni:

  1. a) Il Responsabile è tenuto a scegliere diligentemente il Sub-responsabile prestando particolare attenzione ai requisiti di onorabilità ed esperienza del Sub-responsabile stesso nell’esecuzione delle operazioni di trattamento subappaltate, nonché l’adeguatezza delle misure tecniche e organizzative da questo adottate. Il Responsabile è tenuto a stipulare con ciascun Sub-responsabile un DPA, il quale deve (i) prevedere nei confronti del Sub-responsabile gli stessi obblighi previsti dal presente DPA in capo al Responsabile, (ii) descrivere i Servizi subappaltati che comportano il trattamento dei dati personali da parte del Sub-responsabile, e (iii) descrivere le misure tecniche e organizzative di sicurezza di cui al Contratto, che il Sub-responsabile è tenuto ad implementare, così come applicabili ai Servizi subappaltati. Il Responsabile è tenuto a trasmettere tempestivamente al Titolare, a semplice richiesta di quest’ultimo, copia del DPA stipulato tra il Responsabile e il Sub-responsabile ovvero una dichiarazione di conformità rispetto ai punti (i), (ii) e (iii) di cui sopra, indirizzando comunicazione scritta al referente del Titolare, di cui all’Allegato 1.
  2. b) Il Responsabile, per tutta la durata del presente DPA e senza alcun onere a carico del Titolare, è tenuto a monitorare attivamente, verificare regolarmente e, laddove applicabile, adottare le misure atte a garantire la conformità da parte di ciascun Sub-responsabile dei propri obblighi, e riferire tempestivamente al Titolare qualsiasi inadempimento individuato o segnalato dal Sub-responsabile nonché tutte le misure adottate per porre rimedio ai casi di inadempimento. Qualora in qualsiasi momento un Sub-responsabile non sia in grado di porre rimedio ad una situazione di inadempimento entro un termine ragionevole dalla comunicazione che chiede di porvi rimedio, il Titolare potrà revocare l’autorizzazione concessa per la nomina del Sub-responsabile. Laddove il Sub-responsabile non adempia ai propri obblighi in materia di protezione dei dati personali, il Responsabile rimane pienamente responsabile nei confronti del Titolare per l’inadempimento da parte del Sub-responsabile dei propri obblighi.
  3. c) Il Responsabile rimane pienamente responsabile nei confronti del Titolare per l’inadempimento da parte del Sub-responsabile dei suoi obblighi in materia di protezione dei dati personali ai sensi della normativa applicabile e del presente DPA.
  4. d) In presenza di motivi legittimi, il Titolare potrà revocare in ogni momento l’autorizzazione alla nomina di qualsiasi Sub- responsabile. In tale caso si applicherà mutatis mutandis la sezione 9 (c) del presente DPA.
  5. e)Se il Sub-responsabile è stabilito in un paese al di fuori dell’UE/SEE che non fornisce un adeguato livello di protezione dei dati personali, il Responsabile sarà tenuto ad applicare le garanzie previste agli artt. 46 e seguenti del GDPR, con particolare riferimento alle Clausole Contrattuali Standard per il trasferimento dei dati personali a Responsabili stabiliti in paesi terzi ai sensi della decisione della Commissione 2021/914/EU del 4 giugno 2021.

10. Conformità alla legge applicabile

10.1 Le Parti possono richiedere che sia modificato e/o integrato qualsiasi contenuto del presente DPA in maniera tale da soddisfare qualsiasi interpretazione, linea guida od ordinanza emessa da autorità competenti di uno Stato Membro o dell’Unione Europea, disposizioni nazionali di attuazione, o ulteriori sviluppi normativi relativi ai requisiti generali previsti dal GDPR per la nomina a responsabile del trattamento o ad ulteriori requisiti previsti per tale nomina. Le Parti sono tenute a concordare in buona fede le modifiche necessarie, tenuto conto dell’obbligo di dare esecuzione al presente rapporto contrattuale conformemente alla legge applicabile in materia di protezione dei dati

11. Efficacia, durata e termine

11.1 L’efficacia del presente DPA decorre dalla data di efficacia del Contratto e la sua durata è la stessa di quella prevista dal Contratto. Fatto salvo quanto stabilito nel presente DPA, le condizioni e i diritti di recesso sono gli stessi previsti nel Contratto.

11.2 Il recesso, la risoluzione, la scadenza o lo scioglimento per qualsiasi altra causa del Contratto, comportano l’automatica cessazione dell’efficacia del presente DPA.

12. Prevalenza tra contratti

12.1 Qualora vi siano contraddizioni o incompatibilità tra le clausole del presente DPA e il Contratto relativamente agli obblighi delle Parti in materia di protezione dei dati personali prevarranno le clausole del presente DPA.

13. Miscellanea

13.1 Il foro competente per qualsiasi eventuale controversia relativa al presente DPA viene stabilito dal Contratto, fatto salvo quanto previsto dalla legge applicabile in materia di protezione dei dati.

13.2 L’inapplicabilità o l’invalidità di una o più disposizioni del presente DPA non pregiudica le restanti parti del presente accordo. La disposizione invalida o inapplicabile potrà all’occorrenza essere modificata al fine di garantirne validità ed opponibilità, rispettando il più fedelmente possibile l’intenzione delle Parti.

Data ultima modifica 28 giugno 2024