Informativa responsabile del trattamento dati

Designazione del Responsabile del trattamento

ai sensi dell’articolo 28 del Regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati)

 

Il fornitore, Ydea S.r.l. partita IVA 04481710400, con sede legale in Via Consolare Rimini San Marino, 146
47924 Rimini (RN) (di seguito “RESPONSABILE”) e il Cliente (di seguito “TITOLARE”) prendono atto e convengono che per quanto riguarda il trattamento dei dati del Cliente, Ydea S.r.l. è individuato come Responsabile del trattamento alle condizioni che seguono.    

PREMESSO CHE:

  • Il RESPONSABILE effettua per conto del TITOLARE (di seguito congiuntamente “Parti”) trattamenti di dati personali nell’ambito dei servizi di cui al contratto fra loro sottoscritto per la fornitura del gestionale “YDEA CRM” e lo svolgimento delle attività ad connesse e conseguenti al suo utilizzo (di seguito Contratto);
  • L’art. 28 del Regolamento (UE) 2016/679 (di seguito, GDPR) prescrive che il titolare del trattamento, qualora intenda far eseguire trattamenti di dati personali per proprio conto, debba ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato;
  • L’art. 28 del GDPR prescrive che i trattamenti da parte dei responsabili del trattamento siano disciplinati da un atto giuridico stipulato in forma scritta che vincoli il RESPONSABILE al TITOLARE e che stipuli la materia disciplinata e la durata del trattamento, natura e finalità del trattamento, tipo di dati personali e categorie di interessati, nonché obblighi e diritti del TITOLARE;
  • Pertanto, individuando il Fornitore come RESPONSABILE, con il presente accordo il TITOLARE e il RESPONSABILE intendono disciplinare il loro rapporto, ai sensi dell’articolo 28 del GDPR.

LE PARTI STABILISCONO QUANTO SEGUE:

SEZIONE I

  1. Scopo e ambito di applicazione
    1. Scopo delle clausole contenute nel presente accordo (di seguito «clausole») è garantire il rispetto dell’articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati, di seguito GDPR)].
    2. Le parti hanno accettato le presenti clausole al fine di garantire il rispetto dell’articolo 28, paragrafi 3 e 4, del GDPR.
    3. Le presenti clausole si applicano al trattamento dei dati personali specificato all’Allegato 1.
    4. Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto il TITOLARE a norma del GDPR.
    5. Le presenti clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del GDPR.
  1. Invariabilità delle clausole
    1. Le parti si impegnano a non modificare le clausole se non per aggiungere o aggiornare informazioni negli allegati.
  1. Interpretazione
    1. Quando le presenti clausole utilizzano i termini definiti, rispettivamente, nel GDPR, tali termini hanno lo stesso significato di cui allo stesso.
    2. Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del GDPR.
    3. Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal GDPR.

SEZIONE II

OBBLIGHI DELLE PARTI

  1. Descrizione del trattamento

I dettagli dei trattamenti, in particolare le categorie di dati personali e le finalità del trattamento per le quali i dati personali sono trattati dal RESPONSABILE per conto del TITOLARE, sono riportati di seguito:

  1. Categorie di interessati: gli interessati sono tutti i soggetti i cui dati sono stati inseriti dal Cliente all’interno del gestionale Ydea CRM in uso allo stesso;
  2. Categorie di dati personali trattati: il RESPONSABILE potrà trattare tutti i dati inseriti dal Cliente nel gestionale Ydea CRM allo stesso in uso;
  3. Categorie di Dati particolari trattati: il RESPONSABILE non tratta alcun dato particolare, eccetto per il caso in cui gli stessi siano inseriti nel gestionale YDEA CRM dal CLIENTE che ha in uso lo stesso.
  4. Modalità di trattamento: i dati saranno trattati mediante strumenti automatizzati e con modalità informatiche.
  5. Luogo del trattamento: Italia.
  1. Obblighi delle parti
  • Istruzioni
  1. Il RESPONSABILE tratta i dati personali soltanto su istruzione documentata del TITOLARE, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il RESPONSABILE. In tal caso, il RESPONSABILE informa il TITOLARE circa tale obbligo giuridico prima del trattamento, a meno che il diritto lo vieti per rilevanti motivi di interesse pubblico. Il TITOLARE può anche impartire istruzioni successive per tutta la durata del trattamento dei dati personali. Tali istruzioni sono sempre documentate.
  2. Il RESPONSABILE informa immediatamente il TITOLARE qualora, a suo parere, le istruzioni del TITOLARE violino il GDPR o le disposizioni applicabili, nazionali o dell’Unione, relative alla protezione dei dati.
  1. Limitazione delle finalità

Il RESPONSABILE tratta i dati personali soltanto per le finalità specifiche del trattamento di cui all’Allegato 1, salvo ulteriori istruzioni del TITOLARE.

  • Durata del trattamento dei dati personali

Il RESPONSABILE tratta i dati personali soltanto per la durata del Contratto e fino alla sua risoluzione salvo diversa comunicazione ricevuta dal TITOLARE.

  • Sicurezza del trattamento
  1. Il RESPONSABILE, mette in atto le misure tecniche e organizzative idonee a garantire adeguata protezione ai dati personali trattati per conto del TITOLARE e nello specifico quelle riportate nel documento “_____________________”. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati (violazione dei dati personali). Nel valutare l’adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati.
  2. Il RESPONSABILE concede l’accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Il RESPONSABILE garantisce che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
  • Dati sensibili

Se il trattamento riguarda dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati («dati sensibili»), il RESPONSABILE applica limitazioni specifiche e/o garanzie supplementari.

  • Documentazione e rispetto
  1. Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole.
  2. Il RESPONSABILE risponde prontamente e adeguatamente alle richieste di informazioni del TITOLARE relative al trattamento dei dati conformemente alle presenti clausole.
  3. Il RESPONSABILE mette a disposizione del TITOLARE tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e che derivano direttamente dal GDPR. Su richiesta del TITOLARE, il RESPONSABILE consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un’attività di revisione, il TITOLARE può tenere conto delle pertinenti certificazioni in possesso del RESPONSABILE.
  4. Il TITOLARE può scegliere di condurre l’attività di revisione autonomamente o incaricare un revisore indipendente. Le attività di revisione possono comprendere anche ispezioni nei locali o nelle strutture fisiche del RESPONSABILE e, se del caso, sono effettuate con un preavviso ragionevole.
  5. Su richiesta, le parti mettono a disposizione della o delle autorità di controllo competenti le informazioni di cui alla presente clausola, compresi i risultati di eventuali attività di revisione.
  • Ricorso a sub-responsabili del trattamento
  1. Il RESPONSABILE ha l’autorizzazione generale del TITOLARE per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato e riportato nel documento “______________________”. Il RESPONSABILE informa specificamente per iscritto il TITOLARE di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di sub-responsabili del trattamento con un anticipo di almeno 14 (quattordici) giorni, dando così al TITOLARE tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento in questione. Il RESPONSABILE fornisce al TITOLARE le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
  2. Qualora il RESPONSABILE ricorra a un sub-responsabile per l’esecuzione di specifiche attività di trattamento, stipula un contratto che impone al sub-responsabile, nella sostanza, gli stessi obblighi in materia di protezione dei dati imposti al RESPONSABILE conformemente alle presenti clausole. Il RESPONSABILE si assicura che il sub-responsabile rispetti gli obblighi cui il RESPONSABILE è soggetto a norma delle presenti clausole e del GDPR.
  3. Su richiesta del TITOLARE, il RESPONSABILE gli fornisce copia del contratto stipulato con il sub-responsabile e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, il RESPONSABILE può espungere informazioni dal contratto prima di trasmetterne una copia.
  4. Il RESPONSABILE rimane pienamente responsabile nei confronti del TITOLARE dell’adempimento degli obblighi del sub-responsabile derivanti dal contratto che questi ha stipulato con il RESPONSABILE. Il RESPONSABILE notifica al TITOLARE qualunque inadempimento, da parte del sub-responsabile, degli obblighi contrattuali.
  • Trasferimenti internazionali
  1. Qualunque trasferimento di dati verso un Paese Terzo (Paesi fuori dall’UE o fuori dallo SEE) o un’organizzazione internazionale da parte del RESPONSABILE è effettuato soltanto su istruzione documentata del TITOLARE o per adempiere a un requisito specifico a norma del diritto dell’Unione o degli Stati membri cui è soggetto il RESPONSABILE, e nel rispetto del capo V del GDPR.
  2. Il TITOLARE conviene che, qualora il RESPONSABILE ricorra a un sub-responsabile conformemente alla clausola 6.5 per l’esecuzione di specifiche attività di trattamento (per conto del titolare) e tali attività di trattamento comportino il trasferimento di dati personali ai sensi del capo V del GDPR, il RESPONSABILE e il sub-responsabile possono garantire il rispetto del capo V del GDPR utilizzando le clausole contrattuali tipo adottate dalla Commissione Europea conformemente all’articolo 46, paragrafo 2, del GDPR, purché le condizioni per l’uso di tali clausole contrattuali tipo siano soddisfatte.
  1. Conformità al Provvedimento riguardante gli Amministratori di Sistema
    1. Quando il RESPONSABILE agisce in qualità di Amministratore di Sistema, il RESPONSABILE garantisce di operare conformemente alle prescrizioni di cui al Provvedimento del Garante per la protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” pubblicato sulla Gazzetta Ufficiale della Repubblica Italiana n. 300 del 24 dicembre 2008, i cui contenuti si intendono parte integrante del presente documento. In particolare l’attuazione di tali prescrizioni comporta quanto di seguito riportato:
      1. Il RESPONSABILE garantisce di aver individuato e designato le persone fisiche preposte quali amministratori dei sistemi propri del TITOLARE
      2. Il RESPONSABILE garantisce di aver predisposto un elenco degli estremi identificativi degli Amministratori di Sistema designati che intervengono sui sistemi informatici del TITOLARE, e di comunicarlo a quest’ultimo a seguito di una sua espressa richiesta;
      3. Il RESPONSABILE garantisce che l’operato degli Amministratori dei sistemi propri del TITOLARE è oggetto di un’attività di verifica da parte del RESPONSABILE stesso, con cadenza almeno annuale, in modo da controllarne la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti;
      4. Il RESPONSABILE garantisce di aver adottato sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli Amministratori di Sistema che accedono ai sistemi propri del TITOLARE e di rendere tali registrazioni disponibili a quest’ultimo in caso di espressa richiesta.
      5. Il RESPONSABILE garantisce che le registrazioni di log-in, log-out e i tentativi di accesso ai sistemi informatici del TITOLARE da parte dei propri Amministratori di Sistema hanno caratteristiche di completezza, inalterabilità e integrità e saranno conservate per almeno sei mesi.
  1. Assistenza al TITOLARE
    1. Il RESPONSABILE notifica prontamente al TITOLARE qualunque richiesta ricevuta dall’interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal TITOLARE.
    2. Il RESPONSABILE assiste il TITOLARE nell’adempimento degli obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti, tenuto conto della natura del trattamento.
    3. Il RESPONSABILE assiste il TITOLARE anche nel garantire il rispetto dei seguenti obblighi, tenuto conto della natura del trattamento dei dati e delle informazioni a disposizione del RESPONSABILE:
      1. l’obbligo di effettuare una valutazione dell’impatto (ai sensi dell’articolo 35 del GDPR) dei trattamenti previsti sulla protezione dei dati personali qualora un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
      2. l’obbligo, prima di procedere al trattamento, di consultare la o le autorità di controllo competenti qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal TITOLARE per attenuare il rischio;
      3. l’obbligo di garantire che i dati personali siano esatti e aggiornati, informando senza indugio il TITOLARE qualora il RESPONSABILE venga a conoscenza del fatto che i dati personali che sta trattando sono inesatti o obsoleti;
      4. gli obblighi di cui all’articolo 32 del GDPR in materia di misure di sicurezza.
  1. Notifica di una violazione dei dati personali

In caso di violazione dei dati personali, il RESPONSABILE coopera con il TITOLARE e lo assiste nell’adempimento degli obblighi che incombono a quest’ultimo a norma degli articoli 33 e 34 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del RESPONSABILE.

  • Violazione riguardante dati trattati dal TITOLARE

In caso di una violazione dei dati personali trattati dal TITOLARE, il RESPONSABILE assiste il TITOLARE:

      1. nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il TITOLARE ne è venuto a conoscenza, se del caso/(a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche);
      2. nell’ottenere le seguenti informazioni che, in conformità dell’articolo 33, paragrafo 3, del GDPR, devono essere indicate nella notifica del TITOLARE e includere almeno:
        1. la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
        2. le probabili conseguenze della violazione dei dati personali;
        3. le misure adottate o di cui si propone l’adozione da parte del TITOLARE per porre rimedio alla violazione dei dati personali, se del caso anche per attenuarne i possibili effetti negativi.
      3. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
      4. La notifica di cui alla presente clausola deve essere inviata all’indirizzo indicato dal TITOLARE all’Allegato 1.
  • Violazione riguardante dati trattati dal RESPONSABILE
  1. In caso di una violazione dei dati personali trattati dal RESPONSABILE, quest’ultimo ne dà notifica al TITOLARE senza ingiustificato ritardo dopo esserne venuto a conoscenza. La notifica contiene almeno:
    1. una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione);
    2. i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;
    3. le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
  2. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.

SEZIONE III

DISPOSIZIONI FINALI

 

  1. Inosservanza delle clausole e risoluzione
    1. Fatte salve le disposizioni del GDPR, qualora il RESPONSABILE violi gli obblighi che gli incombono a norma delle presenti clausole, il TITOLARE può dare istruzione al RESPONSABILE di sospendere il trattamento dei dati personali fino a quando quest’ultimo non rispetti le presenti clausole o non sia risolto il contratto. Il RESPONSABILE informa prontamente il TITOLARE qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole
    2. Il TITOLARE ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali conformemente alle presenti clausole qualora:
      1. il trattamento dei dati personali da parte del RESPONSABILE sia stato sospeso dal TITOLARE in conformità della lettera a) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
      2. il RESPONSABILE violi in modo sostanziale o persistente le presenti clausole o gli obblighi che gli incombono a norma del GDPR;
      3. il RESPONSABILE non rispetti una decisione vincolante di un organo giurisdizionale competente o della o delle autorità di controllo competenti per quanto riguarda i suoi obblighi in conformità delle presenti clausole o del GDPR.
    3. Il RESPONSABILE ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora, dopo aver informato il TITOLARE che le sue istruzioni violano i requisiti giuridici applicabili in conformità della clausola 5.1, lettera b), il TITOLARE insista sul rispetto delle istruzioni.
    4. Dopo la risoluzione del contratto il RESPONSABILE, a scelta del TITOLARE, cancella tutti i dati personali trattati per conto del TITOLARE e certifica a quest’ultimo di averlo fatto, oppure restituisce al TITOLARE tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell’Unione o dello Stato membro non richieda la conservazione dei dati personali. Finché i dati non sono cancellati o restituiti, il RESPONSABILE continua ad assicurare il rispetto delle presenti clausole.

 

  1. Dati di contatto e comunicazioni

Le comunicazioni e le notifiche indirizzate al RESPONSABILE riguardanti uno degli aspetti disciplinati dalle presenti clausole o comunque riguardanti il trattamento dei dati personali effettuato per conto del TITOLARE devono avvenire attraverso i dati di contatto seguenti:

Ydea S.r.l., Via Consolare Rimini San Marino, 146 – 47924 – Rimini (RN), email privacy@ydea.cloud

Per conto del TITOLARE

Nome e Cognome:

Qualifica/potere di firma:

Luogo e data:______________________________

 

 

Firma:______________________________

Per conto del RESPONSABILE

Nome e Cognome:

Qualifica/potere di firma:

Luogo e data:_________________________

 

 

Firma:______________________________