DPA - Nomina responsabile del trattamento - ITA

Contratto di nomina a responsabile del trattamento

ai sensi dell'art. 28 del Regolamento Generale sulla Protezione dei Dati Personali (RGPD) tra:

• il Titolare, il soggetto che compila il modulo con tutti i dati personali e, dove necessario, aziendali (sotto la sua esclusiva responsabilità);
• il Responsabile, Davide Salvagnolu, in qualità di responsabile dell’Attività di Marketing “Lo Spot Digitale di Salvagnolu Davide”. 

1. Oggetto, durata, dati personali trattati e categorie di interessati

1. Oggetto
   • Il presente accordo ha per oggetto la nomina del Responsabile ed il conferimento allo stesso delle istruzioni relative al trattamento dei dati personali.  Le attività di trattamento che il Responsabile potrà effettuare sono limitate a quelle strettamente necessarie per il raggiungimento dello scopo del contratto principale sottoscritto dalle parti.
   Oppure, dove non presente un contratto,
   
   • Il Responsabile svolgerà, per conto del Titolare, le seguenti attività di trattamento:
     • gestione dominio e hosting, gestione account e pagine social media, più eventuali strumenti di marketing stabiliti col titolare.
2. Durata
   • La durata di questa nomina è pari alla durata del contratto principale. Dove non presente un contratto, fino a quando il titolare non dichiarerà espressamente, con documento firmato dalle parti di non voler più avvalersi delle prestazioni del responsabile.
3. Categorie di dati personali
   • Le categorie di dati personali trattati sono:
     • dati identificativi (e.g. nome, cognome, email)
     • dati statistici o altri dati di navigazione in rete (e.g. dati trattati tramite strumenti analitici etc.)
     • storico acquisti
   dati di fatturazione, contabilità e pagamenti.
4. Categorie di interessati
   • I dati personali raccolti e trattati si riferiscono a:
     • clienti
     • clienti potenziali
     • utenti internet
     • dipendenti, collaboratori
     • consulenti interni
     • agenti e mandatari

2. Trattamento all'interno della UE e dello SEE

1. Il Responsabile s’impegna a non effettuare alcun trasferimento di Dati Personali all’estero (i.e. al di fuori del territorio dello SEE) se non previa autorizzazione scritta del Titolare e su istruzione documentata e specifica di quest'ultimo.
2. Le parti si danno reciprocamente atto che il trattamento dei dati personali oggetto del presente accordo non avverrà al di fuori dello SEE.    (2) Alla data di stipula del presente accordo, il Titolare riconosce di essere stato informato che le seguenti attività di trattamento effettuate dal Responsabile per suo conto, avverranno al di fuori dello SEE. Tali trattamenti, in questa sede specificamente autorizzati dal Titolare, avranno luogo negli stati di seguito elencati e secondo le basi di legittimità del trasferimento stabilite agli artt. 45 e ss. RGPD, come di volta in volta applicabili a ciascun trattamento. Le principali basi di legittimità per il trasferimento dei dati all'estero sono:
   • decisione di adeguatezza della Commissione Europea (art. 45 par. 3);
   • norme vincolanti d'impresa (art. 46 par. 2 punto b) e art. 47);
   • clausole contrattuali standard (art. 46 par. 2 punti c) e d);
   • codici di condotta (art. 46 par. 2 punto e) e art. 40);
   • meccanismo di certificazione (art. 46 par. 2 punto f) e art. 42).
   occorre selezionare la base di legittimità applicabile a ciascun trattamento che avviene all'estero)

3. Misure tecniche ed organizzative

1. Prima di dare esecuzione alla presente nomina, il Responsabile sarà tenuto ad implementare tutte le misure tecniche ed organizzative adeguate per la protezione dei dati personali ed a consegnare al Titolare un documento che descrive dettagliatamente tutte le misure di sicurezza adottate dallo stesso Responsabile, anche con specifico riferimento all'esecuzione del presente contratto. Tali misure sono soggette allo scrutinio del Titolare ed alla sua previa approvazione. Se approvate dal Titolare, tali misure, cristallizzate nel documento di cui al paragrafo precedente, divengono parte integrante e sostanziale di questo contratto di nomina e s'intendono integralmente richiamate nello stesso. Qualora mediante ispezione o revisione il Titolare dovesse constatare la necessità di modificarle, le modifiche saranno apportate di concerto tra le parti.
2. Il Responsabile garantisce la sicurezza del trattamento ai sensi degli artt. 28 par. 3 punto c) e 32 RGPD, in particolare ai sensi dell'art. 5 par. 1 e par. 2 RGPD. Tali misure devono garantire la sicurezza dei dati ed un livello di protezione adeguato al rischio per la confidenzialità, integrità, disponibilità e resilienza dei sistemi. Ai sensi dell'art. 32 par. 1 RGPD, nel valutare il livello di adeguatezza delle misure di sicurezza deve tenersi conto dello stato dell'arte, i costi di realizzazione, la natura, l'oggetto e gli scopi del trattamento, così come la probabilità di una violazione di dati personali e la gravità dei rischi da essa potenzialmente derivanti per i diritti e le libertà delle persone fisiche.
3. Le misure tecniche ed organizzative sono soggette a evoluzione e progresso tecnico e tecnologico. Pertanto, il Responsabile può adottare opportune misure alterative adeguate al mutato contesto tecnologico. In tali casi, il livello di sicurezza del trattamento non può essere ridotto. Ogni modifica sostanziale dev'essere documentata.

4. Diritti degli interessati

1. Il Responsabile d'impegna a cooperare con il Titolare ed a fornire la più ampia assistenza, nei limiti in cui ciò è ragionevole o possibile, al fine di agevolare il Titolare nel riscontro delle richieste degli interessati per l'esercizio dei loro diritti.
2. In particolare, il Responsabile s'impegna a (i) comunicare immediatamente al Titolare ciascuna richiesta pervenutagli dagli interessati in merito all'esercizio dei loro diritti e, se fattibile o del caso, ad (ii) assistere il Titolare nel progettare e implementare tutte le misure tecniche ed organizzative necessarie per rispondere a tali richieste.
3. Fermo restando che la responsabilità di riscontrare e soddisfare le richieste degli interessati grava esclusivamente sul Titolare, il Responsabile può essere incaricato di evadere alcune specifiche richieste, sempre che ciò non richieda sforzi sproporzionati e su istruzioni specifiche fornite per iscritto dal Titolare.   

5. Altri obblighi del Responsabile

In aggiunta alle previsioni di questo contratto, il Responsabile è tenuto a rispettare tutti i requisiti di legge previsti dagli artt. 28-33 RGPD. A tal fine, il Responsabile garantisce quanto segue:

• Non viene nominato alcun DPO come Responsabile per la Protezione dei Dati Personali (Data Protection Officer, DPO), non rientrando nelle casisstiche stabilite dal GDPR per la sua nomina.
• Confidenzialità
  Le attività di trattamento regolate da questo contratto di nomina dovranno essere svolte solo da dipendenti, collaboratori o incaricati previamente istruiti dal Responsabile sul corretto trattamento di dati personali e contrattualmente soggetti ad obbligo di confidenzialità ai sensi degli artt. 28 par. 3 (b) e 32 RGPD.  Il Responsabile, così come chiunque agisca sotto la sua autorità ed ha abbia accesso a dati personali, non deve trattare dati personali se non è stato istruito in tal senso dal Titolare, anche a mezzo della presente nomina, salvo che per espressa previsione di legge.
• Misure tecniche ed organizzative
  Attuazione e rispetto di opportune misure tecniche ed organizzative nel contesto di questo contratto di nomina, ai sensi di quanto specificato dall'art. 32 RGPD. Il Responsabile controlla periodicamente i processi interni e le misure tecniche e organizzative per assicurare che il trattamento nella sua area di competenza sia conforme ai requisiti della normativa sulla protezione dei dati personali e dei diritti degli interessati. Il Responsabile garantisce al Titolare la verificabilità delle misure tecniche e organizzative nell'ambito dei suoi poteri di controllo di cui al punto 7. del presente contratto.
• Collaborazione con le autorità di controllo
  Il Titolare ed il Responsabile cooperano, su richiesta, con l'autorità di controllo. Il Titolare è immediatamente informato di tutte le ispezioni e misure eseguite dall'autorità di controllo, nella misura in cui esse si riferiscono alle attività svolte in base a questo contratto. Ciò vale anche nel caso in cui il Responsabile sia sottoposto a o coinvolto in una indagine da parte di un'autorità competente in relazione a violazioni di qualsiasi disposizione in materia di trattamento di dati personali nello svolgimento di attività ai sensi di questo contratto. Nella misura in cui il Titolare sia soggetto a ispezione da parte dell'autorità di controllo, sanzione amministrativa pecuniaria, misura cautelare o procedimento penale, pretesa da parte di un interessato o di terzi o qualsiasi altra azione legale in collegamento con il trattamento di dati da parte del Responsabile ai sensi della presente nomina, il Responsabile farà tutto il possibile per sostenere il Titolare.

6. Altri responsabili del trattamento

1. Il Titolare autorizza fin d’ora il Responsabile a ricorrere a terzi responsabili del trattamento. I sub-responsabili come richiesto dalla normativa, dovranno essere soggetti ai medesimi obblighi contrattuali contenuti nel presente contratto ai sensi dell'art. 28 par. 4 RGPD.

punto (2) facoltativo, se già esistono sub-responsabili]

1. Alla data di sottoscrizione del presente accordo, le parti si danno reciprocamente atto che il Responsabile si avvale dei seguenti sub-responsabili, con i quali s'impegna a concludere accordi contrattuali conformi al dettato dell'art. 28, par. 4 RGPD:
2. Resta inteso che la comunicazione dei dati ad un terzo responsabile potrà avvenire solo una volta che tutte le condizioni per la nomina di cui al punto (1) del presente paragrafo siano realizzate.
3. Il Responsabile dovrà mantenere aggiornato un elenco dei sub-responsabili. Qualsiasi modifica a tale elenco deve essere segnalata al Titolare senza indebito ritardo, dando al Titolare la facoltà di opporsi. In caso di opposizione, il Responsabile ha diritto di recedere dal contratto con il Titolare senza preavviso.
4. Il Responsabile risponde integralmente dell'operato dei sub-responsabili nei confronti del Titolare.
5. Qualora un sub-responsabile presti la propria opera al di fuori della UE/SEE, il Responsabile deve garantire la liceità del trasferimento dati al di fuori dello SEE, come descritto al punto 2. del presente contratto.

7. Poteri di controllo del Titolare

1. Il Titolare ha il diritto di svolgere ispezioni o farle svolgere ad un revisore di volta in volta incaricato. Il revisore dovrà valutare il rispetto di questo contratto di nomina da parte del Responsabile nel corso delle proprie attività d'impresa per mezzo di verifiche causali, le quali dovranno di regola essere notificate in anticipo.
2. Il Responsabile deve permettere al Titolare di verificare l'adempimento alle proprie obbligazioni, come previsto dall'art. 28 RGPD. Su richiesta, il Responsabile fornisce al Titolare ogni informazione necessaria nonché, segnatamente, la prova di aver adottato le misure tecniche ed organizzative.
3. La prova dell'adozione di tali misure, che potranno riferirsi anche ad attività non rientranti nell'ambito di questo contrato, potrà essere fornita anche per mezzo di
   • conformità a codici di condotta approvati ai sensi dell'art. 40 RGPD;
   • certificazioni emesse in base ad un meccanismo di certificazione approvato ai sensi dell'art. 42 RGPD;
   • attuali certificazioni di revisori, relazioni o estratti di relazioni redatte da organismi indipendenti (p. es. revisori, responsabili della protezione dei dati personali, dipartimento della sicurezza IT, revisori della protezione dei dati)
   • idonee certificazioni emesse da revisori della sicurezza IT o della protezione dei dati personali
4. Il Responsabile può addebitare al Titolare un compenso di entità ragionevole per l'esecuzione delle ispezioni.

8. Assistenza al Titolare 

1. Il Responsabile assiste il Titolare nell'adempimento degli obblighi relativi alla sicurezza dei dati personali, nella segnalazione di violazioni dei dati, nelle valutazioni d'impatto sulla protezione dei dati e nelle consultazioni preventive di cui agli articoli da 32 a 36 RGPD, tra l'altro
   • garantendo adeguati standard di protezione mediante misure tecniche e organizzative, tenendo conto della natura, delle circostanze e delle finalità del trattamento, della probabilità di violazioni dei dati e della gravità del rischio per le persone fisiche che ne può derivare
   • garantendo l'immediata individuazione delle violazioni
   • riferendo senza indebito ritardo al Titolare ogni violazioni di dati
   • assistendo il Titolare nell'evadere le richieste degli interessati di esercizio dei loro diritti
2. Il Responsabile può richiedere al Titolare un compenso ragionevole per servizi di assistenza che non sono compresi nella descrizione dei servizi e che non sono dovuti a errori, violazioni o condotte imputabili al Responsabile.

9. Poteri direttivi del Titolare

1. Il Responsabile non tratta alcun dato personale ai sensi della presente nomina se non su istruzione documentata del Titolare, salvo che sia obbligato a farlo dal diritto dell'Unione o degli Stati membri.
2. Nel caso in cui il Titolare richieda una modifica del trattamento dei dati personali previsto dalle istruzioni documentate di cui al punto 2, il Responsabile informa immediatamente il Titolare qualora ritenga che tale modifica possa comportare violazioni delle disposizioni in materia di protezione dei dati. Il Responsabile può astenersi dallo svolgere qualsiasi attività che possa dar luogo a tale violazione.

10. Responsabilità

1. Ciascuna parte del presente contratto si impegna a risarcire l'altra parte per danni o spese derivanti dal proprio inadempimento colposo del presente contratto, compreso qualsiasi inadempimento colposo commesso dal proprio rappresentante legale, sub-contraenti, dipendenti o altri agenti. Inoltre, ciascuna parte si impegna a tenere indenne l'altra parte da qualsiasi pretesa fatta valere da terzi a causa di o in relazione a qualsiasi violazione colposa commessa dall'altra parte.
2. Resta ferma la previsione dell'art. 82 RGPD.

11. Distruzione e restituzione dei dati personali

1. Il Responsabile non crea copie o duplicati dei dati ad insaputa e senza il consenso del Titolare, fatta eccezione per le copie di sicurezza, nella misura in cui siano necessarie a garantire la corretta elaborazione dei dati, nonché per i dati la cui conservazione è prevista dalla legge.
2. A conclusione della prestazione di servizi, a scelta del Titolare, il Responsabile cancella in maniera conforme alla protezione dei dati o restituisce al Titolare tutti i dati personali raccolti ed elaborati ai sensi della presente nomina, a meno che le disposizioni di legge applicabili non richiedano un'ulteriore conservazione dei dati personali.
3. In ogni caso, il Responsabile può conservare tutte le informazioni utili a dimostrare la corretta e conforme esecuzione delle attività di trattamento anche oltre la cessazione del contratto.
4. La documentazione di cui al punto (3) che precede, deve comunque essere conservata dal Responsabile in ottemperanza ai periodi di conservazione previsti dalla legge o altrimenti stabiliti. Il Responsabile può consegnare tale documentazione al Titolare al termine della durata del contratto per sollevarsi dall'obbligo contrattuale di conservazione.  

12. Validità del presente contratto (DPA)

Il contratto assume valore nel momento in cui il titolare spunta l’apposita casella in piena coscienza e dopo aver letto con attenzione il presente documento.