Termini e condizioni del servizio


Contratto con il Responsabile del trattamento

ex Art. 28 GDPR

(Data Processing Agreement)

MIRARIA S.R.L.S., in persona del legale rappresentante pro tempore, con sede legale in via S. Pelaio n. 98, Treviso (TV) C.f. e P.iva: 04647880261 tel. mail pec in qualità di titolare del trattamento (in seguito e limitatamente al presente Allegato, “Titolare”),

E

____________________________, (C.F./P.I. _____________________)  in qualità di Responsabile esterno del trattamento dei dati personali (in seguito, “Responsabile”)

PREMESSO CHE

  • Il Titolare ed il Responsabile stanno negoziando un accordo avente ad oggetto la fornitura da parte del Responsabile in favore del Titolare dei servizi che potrebbero avere rilevanza ai fini della tutela dei dati personali (di seguito, i “Servizi”).
  • Nell’ambito dei Servizi, il Responsabile potrà svolgere le attività di trattamento di dati personali dettagliatamente descritte nel prosieguo (“Attività di Trattamento”).
  • Il Responsabile dichiara di possedere esperienza, competenze tecniche e risorse che gli consentono di mettere in atto le Misure di Sicurezza di cui all’Allegato A (“Misure di Sicurezza”), in quanto atte a garantire la conformità alla normativa in materia di tutela dei dati personali e la tutela degli interessati;
  • Le fattispecie di cui sopra integrano fattispecie rilevanti ai sensi del Regolamento UE 2016/679 (di seguito, “GDPR”) e della normativa, anche nazionale, in tema di protezione dei dati personali per tempo applicabile (in seguito, “Normativa Privacy”) e, pertanto, si rende necessario disciplinare il rapporto intercorrente fra le parti prevedendo gli specifici compiti e le istruzioni nei confronti del soggetto incaricato;
  • Con il presente accordo, il Titolare, come sopra individuato e legalmente rappresentato dal sottoscrittore in calce, ai sensi dell’art. 28 GDPR e della Normativa Privacy e in considerazione della sua esperienza, capacità ed affidabilità intende nominare il Responsabile quale figura esterna del trattamento dei Dati a cui ha accesso nello svolgimento dei Servizi e disciplinare gli specifici obblighi a suo carico (in seguito, “Nomina”). 

Tutto ciò premesso, le Parti convengono e stipulano quanto segue.

  • Premesse e Allegati
    • Le premesse e gli allegati costituiscono parte integrante e sostanziale della presente Nomina.
  • Obblighi del Responsabile 
    • Fatti salvi gli altri obblighi previsti dalle disposizioni di legge e regolamentari applicabili, il Responsabile è obbligato a:
      • effettuare le attività di trattamento dei Dati Personali afferenti alla qualifica di INDIVIDUARE: commercialista / revisore / avvocato / assicuratore / banchiere / azienda che fornisce prodotti e servizi alla Società / consulente del lavoro / gestore delle risorse umane e performance / ente di formazione / fornitore di sistemi IT e relativo supporto / società di carte di credito … necessarie alla fornitura dei Servizi, anche per mezzo di propri incaricati del trattamento (es. personale IT, Customer Service Engineers) e/o responsabili interni del trattamento e/o amministratori di sistema e/o Sub-Responsabili ove autorizzati dal Titolare, tutti nominati per iscritto. Le attività di trattamento dei Dati Personali eventualmente necessarie alla fornitura dei Servizi vanno effettuate nel rispetto delle prescrizioni dettate dalla Normativa Privacy ed attenendosi alle istruzioni generali contenute nella presente Nomina e a quelle eventualmente comunicate dal Titolare, con esplicito divieto di utilizzare i Dati Personali per scopi e finalità differenti da quelli sopra indicati; 
      • provvedere all’accesso, aggiornamento, modifica, rettifica e cancellazione dei Dati Personali qualora ciò sia necessario in relazione alle finalità del trattamento e richiesto dal Titolare; 
      • curare la conservazione dei Dati Personali in conformità a quanto previsto dall’art. 5 GDPR e, in generale, nel rispetto dei tempi e delle modalità imposte dalla Normativa Privacy vigente;
      • rispettare le modalità e i tempi di conservazione dei Dati Personali adottati dal Titolare in relazione alle finalità di trattamento per cui sono stati raccolti e provvedere alla loro cancellazione allo scadere del periodo massimo di conservazione stabilito dal Titolare. 
  • Nomina di personale incaricato al trattamento 
    • Il Responsabile si impegna ad individuare e nominare per iscritto gli incaricati del trattamento – e/o i referenti interni e/o gli amministratori di sistema – impartendo agli stessi le istruzioni riguardo il rispetto delle misure di sicurezza adottate e consentendo l’accesso dei medesimi ai soli Dati Personali la cui conoscenza sia strettamente necessaria per adempiere alle mansioni loro assegnate inerenti ai Servizi.
    • Il Responsabile si impegna, altresì, ad individuare – o incaricare i propri responsabili del trattamento di individuare – gli amministratori di sistema, ove necessario, e a nominarli per iscritto adempiendo a tutti i requisiti previsti dal Provvedimento del Garante Privacy del 27 novembre 2008, che dichiara di conoscere. 
    • Il Responsabile deve periodicamente e, comunque, almeno annualmente verificare la sussistenza delle condizioni per la conservazione dei profili di autorizzazione degli incaricati e/o responsabili del trattamento e/o amministratori di sistema nominati. 
    • Il Responsabile ha l’obbligo di vigilare che gli incaricati trattino i Dati Personali nel rispetto del GDPR e, in generale, della Normativa Privacy, e in particolare: (i) che effettuino il trattamento in modo lecito e corretto, esclusivamente ai fini della prestazione dei Servizi; (ii) che trattino i Dati Personali unicamente per finalità inerenti i compiti loro assegnati; (iii) che non comunichino o diffondano i Dati Personali senza la preventiva autorizzazione del Titolare; (iv) che verifichino, in caso di interruzione anche temporanea del lavoro, che i Dati Personali trattati non siano accessibili a terzi non autorizzati; (v) che custodiscano e mantengano strettamente riservate le credenziali di autenticazione; (vi) che rispettino le misure di sicurezza adottate dal Responsabile.
  • Adozione di misure di sicurezza 
    • Il Responsabile del trattamento si impegna, ai sensi dell’art. 28, par. 3, lett. f), GDPR, ad assistere il Titolare, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile, nel garantire il rispetto dell’obbligo di cui all’art. 32 del GDPR consistente nell’adozione di misure di sicurezza tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
    • In particolare, il Responsabile, limitatamente al perimetro di propria competenza e pertinenza, si impegna ad implementare e mantenere a proprie spese le Misure di Sicurezza riportate nell’Allegato A.
    • Le modifiche delle Misure di Sicurezza di cui all’Allegato A necessarie a causa di variazioni e aggiornamenti della Normativa Privacy e/o a causa di mutamenti della tipologia e natura dei dati personali oggetto di trattamento, devono essere adottate ed implementate dal Responsabile e/o dei suoi eventuali Sub-Responsabili del trattamento senza alcun onere o spesa a carico del Titolare. In tutti gli altri casi, ogniqualvolta il Titolare richieda al Responsabile l’adozione di misure di sicurezza ulteriori ed eccedenti rispetto a quanto previsto nell’Allegato A, il Titolare si impegna a supportare anche economicamente il Responsabile nelle operazioni necessarie per lo sviluppo, l’implementazione ed il mantenimento, assumendosi anche la percentuale dei costi che sarà di volta in volta negoziata con il Responsabile.
  • Obbligo di notifica di una violazione dei dati personali (cd. Data Breach)
    • Il Responsabile ha l’obbligo di notificare al Titolare qualsiasi violazione delle misure di sicurezza adottate per la protezione dei dati e delle informazioni che comporti anche accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali e alle informazioni trasmesse, memorizzate o comunque trattate, senza ingiustificato ritardo e comunque non oltre 48 ore dall’accadimento o nel caso dalla scoperta dell’evento. 
  • Adozione Privacy Impact Assessment (PIA)
    • In caso di trattamenti di cui all’art. 35 del GDPR, il Responsabile deve supportare, per quanto di propria competenza, il Titolare nell’effettuare apposita valutazione dell’impatto di detti trattamenti sulle libertà e i diritti degli interessati, tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) da adottare per mitigare tali rischi. 
    • Se necessario, all’esito di tale valutazione di impatto, il Responsabile deve supportare il Titolare anche nelle attività di consultazione dell’autorità di controllo ai sensi dell’art. 36 del GDPR. 
  • Nomina Data Protection Officer (DPO)
    • Ove necessario ai sensi dell’art. 37 del GDPR, il Responsabile deve provvedere all’individuazione e alla contestuale nomina del Responsabile della Protezione dei Dati. 
  • Designazione di Sub-Responsabili del trattamento 
    • Il Titolare conferisce al Responsabile autorizzazione generale ad avvalersi di soggetti esterni per l’espletamento dei Servizi quali Sub-Responsabili del trattamento. 
    • In tal caso, il Responsabile si impegna ad informare il Titolare di eventuali aggiunte o sostituzioni dei Sub-Responsabili del trattamento e a consentire al Titolare di opporsi a tali aggiunte o sostituzioni. In particolare, il Responsabile è tenuto a:
  • selezionare detti soggetti tra coloro che abbiano la necessaria competenza ed esperienza tecnica;
  • informare il Titolare della volontà di avvalersi di un Sub-Responsabile del trattamento per l’esecuzione di parte dei Servizi;
  • in caso di mancata opposizione del Titolare nei 2 (due) giorni lavorativi successivi alla comunicazione al Titolare di cui alla lettera b) che precede, nominare il soggetto indicato quale Sub-Responsabile del trattamento impartendo per iscritto istruzioni per il trattamento dei Dati Personali analoghe a quelle impartite dal Titolare al Responsabile. 
    • Qualora gli eventuali sub-responsabili esterni del trattamento siano situati in un paese extra-UE, il Responsabile si impegna ad assicurare un livello di protezione dei Dati Personali adeguato, stipulando con i sub-responsabili esterni le Standard Contractual Clauses (SCC) adottate dalla Commissione Europea. 
  • Esercizio dei diritti dell’interessato 
    • Il Responsabile assicura, sin d’ora, il rispetto delle prescrizioni della competente Autorità di controllo per la protezione dei dati personali (“Autorità di controllo”), informando tempestivamente il Titolare di eventuali richieste ricevute dagli interessati inerente l’esercizio dei diritti previsti dagli art. 15-21 GDPR, dalla Normativa Privacy e/o formulate dall’Autorità di controllo o da qualsiasi altra Autorità Giudiziaria e/o pubblica, nonché di ogni questione rilevante in materia di trattamento dei Dati Personali che dovesse sorgere durante l’espletamento dei Servizi. 
    • Il Responsabile si impegna a collaborare con il Titolare nel rispondere alle richieste di esercizio dei diritti da parte degli interessati entro i termini e con le modalità previste dalla normativa Privacy. A tal proposito, il Responsabile assicura sin d’ora che ottempererà alle richieste di esercizio dei diritti da parte degli interessati, provvedendo –a seconda dei casi– a modificare, rettificare, cancellare o limitare i Dati Personali. 
  • Richieste dell’Autorità di controllo 
    • Il Responsabile si impegna a collaborare con il Titolare nel rispondere alle richieste dell’Autorità di controllo e di ogni altra autorità competente in materia in caso di effettuazione di controlli ed accertamenti da parte dell’Autorità. 
    • Le Parti si impegnano a prestarsi reciprocamente piena e sollecita cooperazione al fine di rispondere tempestivamente ed in modo esauriente a eventuali richieste di informazioni e documenti dell’Autorità di controllo. 
  • Potere di controllo e diritto di audit del Titolare 
    • Il Titolare vigilerà periodicamente sulla puntuale osservanza delle istruzioni qui impartite al Responsabile e verificherà il perdurare dei requisiti di esperienza, capacità ed affidabilità che hanno influito sulla designazione del Responsabile. 
    • Il Responsabile deve consentire al Titolare l’esercizio del potere di controllo: in tal contesto, il Responsabile, previa richiesta scritta del Titolare e con un preavviso di almeno 15 (quindi) giorni, metterà a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente Nomina. Si precisa che le verifiche da parte del Titolare verranno effettuate preliminarmente sui documenti e da remoto grazie all’invio cifrato da parte del Responsabile di tutta la documentazione richiesta.
    • Ove, all’esito delle verifiche documentali svolte, dovessero rendersi necessarie attività ispettive e di audit in presenza, il Responsabile contribuirà altresì alle attività ispettive e di audit che il Titolare vorrà effettuare, direttamente o per il tramite di un altro soggetto da questo incaricato – i cui relativi costi saranno sostenuti interamente dal Titolare – restando inteso che (i) tali attività non potranno essere effettuate dal Titolare con una frequenza superiore a 1 (una) volta all’anno e, in ogni caso, prima che siano decorsi 12 (dodici) mesi dall’ultima attività di audit svolta o commissionata dal Titolare (ii) tali attività  dovranno essere concordate con il Responsabile con un preavviso di almeno 15 (quindici) giorni lavorativi; (iii) tali attività dovranno essere svolte salvaguardando la normale operatività del Responsabile e non potranno avere durata superiore alle 3 ore lavorative, fatta salva la possibilità di concordare visite al di fuori dell’orario lavorativo; (iv) l’uso delle informazioni di cui il Titolare e l’eventuale soggetto incaricato dal Titolare dovessero venire a conoscenza nel corso dell’audit dovrà essere preventivamente regolamentato da un apposito accordo di confidenzialità.
  • Cessazione del trattamento 
    • Il Responsabile si impegna, sin d’ora, ad interrompere, in caso di revoca o cessazione per qualsiasi ragione del presente atto di nomina, ogni Operazione di trattamento dei Dati Personali. 
    • In caso di cessazione del trattamento, il Responsabile, su istruzione del Titolare, deve provvedere alla restituzione dei Dati Personali al Titolare e/o alla definitiva cancellazione degli stessi entro 90 giorni dalla richiesta del Titolare o, in ogni caso, dalla revoca o cessazione del presente atto di nomina. Resta fermo il diritto del Responsabile di conservare il Dati Personali che siano necessari ai fini della dimostrazione dei Servizi forniti e dell’eventuale tutela dei diritti del Responsabile.
  • Durata
    • La Nomina decorre dalla sottoscrizione della presente e resterà valida sino a revoca o comunque fino alla cessazione per qualsiasi ragione dei Servizi e/o dell’accordo fra le parti in relazione alla fornitura del Servizi e/o delle Attività di trattamento dei Dati Personali di cui sopra.
  • Manleva
    • Il Responsabile si obbliga a manlevare e a tenere indenne il Titolare da qualsiasi danno, pregiudizio, costo, spesa (incluse le spese legali) e/o sanzione derivanti da:
  • pretese o azioni giudiziarie, arbitrali o amministrative da parte di qualsiasi terzo;
  • condotta illecita o non diligente propria, dei propri incaricati/autorizzati del trattamento e/o responsabili/referenti o soggetti interni del trattamento e/o amministratori di sistema e/o Sub-Responsabili, ivi incluse le pubbliche amministrazioni, nazionali o internazionali.
    • Le fattispecie di cui ai punti i) e ii) si applicheranno laddove siano effetto di violazioni dolose e colpose della presente Nomina, di ogni altra istruzione fornita dal Titolare in materia di trattamento di dati personali e, in generale, del GDPR e/o della Normativa Privacy per tempo applicabile.
    • Il Titolare si obbliga a manlevare e a tenere indenne il Responsabile da qualsiasi danno materiale o immateriale, pregiudizio, costo, spesa (incluse le spese legali), sanzione o qualsivoglia altro onere derivanti da pretese o azioni giudiziarie, arbitrali o amministrative da parte di terzi ivi incluse le pubbliche amministrazioni, nazionali o internazionali e gli interessati, per effetto dell’inadempimento, condotta illecita e/o non diligente da parte del medesimo Titolare e dei suoi incaricati del trattamento e/o responsabili/referenti interni del trattamento e/o amministratori di sistema e/o responsabili del trattamento diversi dal Responsabile per violazione degli obblighi di cui al GDPR e/o alla Normativa Privacy per tempo applicabile in materia di protezione dei dati specificatamente diretti al titolare del trattamento o della presente Nomina ovvero che derivi dall’attuazione da parte del Responsabile delle istruzioni date dal Titolare per il trattamento dei Dati Personali in relazione alla fornitura dei Servizi.
  • Disposizioni finali
    • La Nomina non prevede alcun compenso aggiuntivo a favore del Responsabile rispetto a quello già pattuito fra le Parti con riferimento alla fornitura dei Servizi. 
    • In caso di conflitto tra le disposizioni della presente Nomina ed eventuali disposizioni dell’accordo relativo alla fornita dei Servizi, prevalgono le clausole della presente Nomina.
    • Per quanto non espressamente ivi previsto, si rinvia alle disposizioni generali vigenti in materia di protezione di dati personali.

***
















Allegato A: Misure di sicurezza

Informazioni relative al Titolare del Trattamento 

Nome della società

QUALITA S.R.L.S.

Dati della società

in persona del legale rappresentante pro tempore, con sede legale in via S. Pelaio n. 98, Treviso (TV) C.f. e P.iva: 04647880261


  • Gestione della protezione dei dati

Rif.

Attestazione della misura

1.1

La responsabilità per la protezione dei dati in tutte le funzioni è assegnata in modo chiaro a (i) DPO, laddove nominato; (ii) gli individui a capo della funzione di Data Governance o Data management (o responsabili interni del trattamento); (iii) gli individui che accedono o trattano dati personali in quanto persone incaricate del trattamento o responsabili interni; (iv) gli amministratori di sistema di sistemi IT che accedono o trattato dati personali.

1.2

Sono in essere procedure volte a garantire e dimostrare la conformità con il GDPR ed il principio di accountability. 

1.3

Viene tenuto un registro delle attività formative dal quale risulta che tutto il personale che ha accesso ai dati personali di cui la Società è titolare ha completato con successo la formazione sulla protezione dei dati.

1.4

Sono stati predisposti dei processi per segnalare alla Società qualunque violazione della protezione o della sicurezza dei dati

  • in modo tempestivo, secondo le indicazioni contenute nel presente Contratto;
  • in conformità ai requisiti legislativi locali, laddove sussista un obbligo di notifica a un organismo di regolamentazione.

1.5

Non si sono verificate violazioni (data breaches) non segnalate negli ultimi 12 mesi.

1.6

Il Responsabile ha adottato processi e procedure per la gestione della conservazione e cancellazione dei dati personali, mediante definizione per iscritto del periodo di conservazione dei dati personali. Tali processi e procedure sono stati comunicati a tutto il personale interessato. 

1.7

Il Responsabile ha adottato misure tecniche idonee a conservare e cancellare i dati personali.

1.8

Il Responsabile dispone delle funzionalità tecniche necessarie alla gestione della conservazione e cancellazione dei dati personali.


  • Informative e Consensi

Rif.

Attestazione della misura 

2.1

Laddove il Responsabile, nell’ambito dei servizi svolti per conto del Titolare, sia tenuto ad erogare informative e a raccogliere consensi da parte dei soggetti interessati, il Responsabile ha adottato funzionalità tecniche, processi e procedure per la idonea storicizzazione di informative erogate e consensi raccolti. 

2.2

Il Responsabile informerà il Titolare per iscritto nel caso in cui la tipologia dei dati da elaborare subisca variazioni rispetto a quanto inizialmente previsto in virtù di un accordo, prima del verificarsi di qualunque cambiamento.

2.3

Il Responsabile si accorderà con il Titolare preventivamente e per iscritto qualora debba eseguire elaborazioni aggiuntive dei dati personali di cui la Società è titolare.


  • Raccolta dei dati

Rif.

Attestazione della misura

3.1

I dati raccolti e/o elaborati dal Responsabile si limitano a quelli strettamente necessari ai fini dell’erogazione dei Servizi al Titolare e tale condizione viene garantita e dimostrata da controlli adeguati.

3.2

Il Responsabile informa il Titolare qualora intenda elaborare i dati personali di cui il Titolare è titolare in modo tale da raggrupparli e/o anonimizzarli per finalità proprie del Responsabile.

3.3

Il Responsabile deve ottenere l’autorizzazione scritta del Titolare qualora intenda elaborare o utilizzare in altro modo i dati personali di cui la Società è titolare per qualunque finalità diversa da quella direttamente necessaria per la fornitura dei Servizi.


  • Accesso ai dati personali ed esercizio dei diritti degli interessati

Rif.

Attestazione della misura

4.1

I soggetti intestatari dei dati hanno il diritto di conoscere quali loro dati sono trattati, da chi, per quali finalità e con quali modalità. Il Personale del Responsabile sa come identificare una richiesta di accesso e quale procedura seguire in caso di ricezione di tale richiesta.

4.2

Il Responsabile ha adottato una procedura da seguire e dispone, su tutti i Sistemi in cui verranno gestiti i dati personali di cui la Società è titolare, delle funzionalità tecniche e organizzative necessarie a garantire l’ottemperanza alle richieste di accesso e/o portabilità nelle tempistiche opportune.  

4.3

Il Responsabile ha adottato una procedura da seguire e dispone, su tutti i Sistemi in cui verranno gestiti i dati personali di cui la Società è titolare, delle funzionalità tecniche e organizzative necessarie a garantire l’ottemperanza alle richieste di rettifica dei dati inesatti o di integrazione dei dati incompleti pervenute dai soggetti intestatari dei dati.

4.4

Il Responsabile ha adottato una procedura da seguire e dispone, su tutti i Sistemi in cui verranno gestiti i dati personali di cui la Società è titolare, delle funzionalità tecniche e organizzative necessarie a garantire l’ottemperanza alle richieste di cancellazione o trasformazione in forma anonima pervenute dai soggetti intestatari dei dati ogniqualvolta il trattamento non sia necessario per:

  • l’esercizio del diritto alla libertà di espressione e di informazione;
  • l’adempimento di un obbligo legale o per l’esecuzione di compito svolto nel pubblico interesse o nell’esercizio di pubblici poteri di cui è investito il Titolare;
  • motivi di interesse pubblico nel settore della sanità pubblica;
  • fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici;
  • l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria.

4.5

Il Responsabile ha adottato una procedura da seguire e dispone, su tutti i Sistemi in cui verranno gestiti i dati personali di cui la Società è titolare, delle funzionalità tecniche e organizzative necessarie a garantire l’ottemperanza alle richieste di limitazione del trattamento pervenute dai soggetti intestatari dei dati.

Per limitazione si intende il congelamento dei dati e consensi qualora il trattamento sia illecito o non esatto per il tempo della durata dell’azione giudiziaria o per il tempo di verifica della illiceità o della esattezza. In altre parole, si impedisce che dati e consensi siano sottoposti a ulteriori trattamenti o possano essere modificati per il tempo della limitazione. 

4.6

Il Responsabile ha adottato una procedura da seguire e dispone, su tutti i Sistemi in cui verranno gestiti i dati personali di cui la Società è titolare, delle funzionalità tecniche e organizzative necessarie a garantire l’ottemperanza alle richieste di portabilità dei dati pervenute dai soggetti intestatari dei dati.

Per portabilità dei dati si intende il diritto dei soggetti intestatari dei dati di ottenere copia dei loro dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, nonché di richiedere che tale copia venga inviata ad un soggetto terzo. 

4.7

Il Responsabile ha adottato una procedura da seguire e dispone, su tutti i Sistemi in cui verranno gestiti i dati personali di cui la Società è titolare, delle funzionalità tecniche e organizzative necessarie a garantire l’ottemperanza alle richieste di opposizione al trattamento pervenute dai soggetti intestatari dei dati. 

4.8

Tali procedure comprendono la notifica al Titolare, laddove rilevante, entro un periodo di tempo adeguato e in conformità ai requisiti normativi in vigore, e la definizione congiunta di una procedura di risposta alle richieste.


  • Divulgazione dei dati a Terzi (inclusi tutti i responsabili)

Rif.

Attestazione della misura

5.1

Laddove i dati personali di cui la Società è titolare vengano elaborati da soggetti terzi rispetto al Responsabile, il Responsabile provvederà a fornire a valutare l’accountability del fornitore e a far sottoscrivere loro apposita nomina a Sub-responsabile esterno ai sensi dell’art. 28 GDPR.

Tali soggetti terzi comprendono, per esempio, data center gestiti da Terzi o Cloud provider.

5.2

I contratti stipulati tra i soggetti terzi e il Responsabile prescrivono che i soggetti terzi dispongano di un livello di sicurezza dei dati equivalente a quello imposto al Fornitore in virtù dell’atto di nomina a responsabile del trattamento.

È in essere un processo che garantisce l’ottemperanza dei soggetti terzi a questo requisito.

5.3

Qualora il Responsabile rilevi che un soggetto terzo presenta lacune relative a uno qualunque degli aspetti della sicurezza dei dati, il Responsabile informa il Titolare e fornisce ulteriori informazioni quali, per esempio, i dettagli sul tipo di lacuna, le cause, e gli interventi correttivi previsti.

5.4

Se i dati personali di cui la Società è titolare vengono elaborati al di fuori dell’Unione Europea, vi sarà un accordo scritto relativo a tale attività di elaborazione.

L’accordo conterrà, per esempio, i dettagli sul luogo in cui i dati o i backup vengono elaborati (data centers esterni) e sono coperti da clausole contrattuali standard o da regole societarie vincolanti (come approvate dalla Commissione Europea).

5.5

Il Responsabile è soggetto all’obbligo contrattuale di richiedere garanzie sulla sicurezza dei dati da tutti i responsabili e Collaboratori che conserveranno i dati personali di cui la Società è titolare.

5.6

Il Responsabile ha l’obbligo di garantire che i propri contraenti stanno adottando misure tecniche e organizzative adeguate. Il Responsabile ha condotto in passato una valutazione dei Sub-responsabili.

5.7

Il Responsabile tiene un registro delle violazioni della protezione dei dati (data breaches).


  • Misure di sicurezza

Rif.

Attestazione della misura

6.1

Il Responsabile ha adottato un sistema di autenticazione informatica con password e credenziali di almeno 8 caratteri, numeri e caratteri speciali per l’accesso ai dati personali.

6.2

Il Responsabile ha adottato un sistema di autorizzazione che consente l’accesso ai dati personali solo agli incaricati e/o agli amministratori di sistema e/o ai responsabili interni e/o ai sub-responsabili esterni del trattamento all’uopo muniti di credenziali di autenticazione.

6.3

Il Responsabile ha adottato procedure di gestione delle credenziali di autorizzazione e di disattivazione delle stesse se non utilizzate da almeno 6 mesi o in caso di perdita della qualità che consente l’accesso ai dati personali.

6.4

Il Responsabile ha impartito istruzioni per regolare le modalità per assicurare la disponibilità dei dati personali in caso di prolungata assenza o impedimento dell’incaricato che renda indispensabile e indifferibile intervenire per necessità di operatività e sicurezza.

6.5

Il Responsabile ha adottato una policy di aggiornamento periodico delle nomine ad incaricato, amministratore di sistema, responsabile interno ed esterno del trattamento.

6.6

Il Responsabile ha redatto ed aggiornato la lista degli incaricati, amministratori di sistema, responsabili interni ed esterni del trattamento.

6.7

Il Responsabile ha adottato antivirus e software volti a prevenire la vulnerabilità di strumenti elettronici, da aggiornare con cadenza almeno semestrale, al fine di proteggere gli strumenti elettronici ed i dati personali rispetto a trattamenti illeciti e ad accessi non consentiti.

6.8

Il Responsabile ha adottato delle procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati personali e dei sistemi, che prevedano il salvataggio dei dati personali con frequenza almeno settimanale.

6.9

Il Responsabile custodisce accuratamente le password che consentono l’accesso ai dati personali, non permettendo l’accesso a soggetti estranei e non autorizzati.

6.10

Il Responsabile ha dato istruzione ai propri incaricati, responsabili interni, responsabili esterni e amministratori di sistema di mantenere come confidenziale ogni dato personale di cui la Società è titolare portato a loro conoscenza nel corso del Servizio, allo stesso modo dei relativi trattamenti, evitando che le credenziali restino incustodite o il terminale accessibile durante una sessione di trattamenti.

6.11

Il Responsabile ha adottato le misure volte ad assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi, nonché la disponibilità e l’accesso dei Dati Personali in caso di incidente fisico o tecnico.

6.12

Il Responsabile ha adottato le misure di cifratura e pseudonimizzazione e procedure per testare, verificare e valutare l’efficacia delle misure adottate.

6.13

Il Responsabile tiene e conserva i registri delle attività di trattamento svolte e li mette a disposizione del Titolare su richiesta.

6.14

Il Responsabile ha nominato un DPO, laddove necessario.

6.15

Il Responsabile ha redatto ed implementato appropriate policy, processi e strumenti per assicurare e incrementare la compliance con il GDPR. 

6.16

Il Responsabile vigila che gli incaricati trattino i dati personali nel rispetto del GDPR e del Codice Privacy, in particolare:

  • che effettuino il trattamento in modo lecito e corretto, esclusivamente ai fini della prestazione del Servizio;
  • che trattino i dati personali unicamente per finalità inerenti i compiti loro assegnati;
  • che non comunichino o diffondano i dati personali senza la preventiva autorizzazione del Titolare;
  • che verifichino, in caso di interruzione anche temporanea del lavoro, che i dati personali trattati non siano accessibili a terzi non autorizzati;
  • che custodiscano e mantengano strettamente riservate le credenziali di autenticazione;
  • che rispettino le misure di sicurezza adottate.