Designazione del responsabile del trattamento dei dati (GDPR)

DESIGNAZIONE DEL RESPONSABILE DEL TRATTAMENTO DEI DATI (GDPR)

In data 25/05/2018 in Milano tra il sig. Maurizio Mora, quale titolare del trattamento nella sua qualità di Direzione di Umistop S.a.s., e XXX Informatica, quale soggetto nominato responsabile del trattamento nella sua qualità di fornitore di servizi in cloud di backup informatici

Individuati come tali ai sensi del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, più avanti sintetizzato come regolamento

PREMESSO CHE

1. Il soggetto sopra indicato come titolare svolge una attività che comporta il trattamento di dati personali.
2. Il soggetto sopra indicato come titolare del trattamento ha ritenuto applicabile il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016.
3. Il medesimo, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, ha ritenuto di valutare i rischi e, di conseguenza, mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento viene e sarà costantemente effettuato uniformandosi al regolamento sopra citato. Al riguardo da atto di quanto segue.
4. Le relative soluzioni tecniche ed organizzative richiedono una costante monitorizzazione anche mediante riesami e periodici aggiornamenti.
5. Tali misure devono tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso.
6. Il titolare del trattamento sa di essere tenuto anche a mettere in atto misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati, quali la pseudonimizzazione e la minimizzazione.
7. Il titolare del trattamento è altresì consapevole di dovere anche integrare, nel trattamento, le necessarie garanzie al fine di soddisfare i requisiti del suddetto regolamento e tutelare i diritti degli interessati alla riservatezza ed adeguato trattamento dei dati personali.
8. Il titolare del trattamento è consapevole di essere tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento.
9. Tale obblighi valgono per la quantità dei dati personali raccolti, per la portata del trattamento ed anche per il periodo di conservazione e l’accessibilità.
10. Dette misure devono garantire che, per impostazione predefinita, non siano resi accessibili dati personali ad un numero indefinito di persone fisiche senza l’intervento della persona fisica.
12. Il titolare del trattamento è al corrente della possibilità che un meccanismo di certificazione approvato ai sensi dell’articolo 42 possa essere utilizzato come elemento per dimostrare la conformità ai requisiti di cui ai paragrafi 1 e 2 dell’articolo 25 del regolamento.

Pertanto

SI CONVIENE E SI STIPULA QUANTO SEGUE

13. Le premesse sopra riportate costituiscono parte integrante ed essenziale del presente accordo.
14. La durata del presente contratto è stabilita fino al 31 dicembre dell’anno corrente e si rinnova tacitamente da anno in anno per il periodo dal 1 gennaio al 31 dicembre fino a disdetta da inviare con raccomandata con un anticipo di almeno due mesi. È sempre ammessa la risoluzione concordata o programmata tra le parti.
15. Per regolamento si intende il “Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016”.
16. Per responsabile del trattamento si intende il soggetto sopra indicato come tale. Detto responsabile viene nominato con la sottoscrizione del presente atto la cui carica il medesimo validamente accettata agli effetti del regolamento.
17. Per titolare del trattamento è da intendersi, agli effetti del regolamento, il soggetto indicato come tale dal presente atto.
18. Il titolare del trattamento dichiara che tutte le comunicazioni inerenti i compiti, le funzioni e gli obblighi derivanti dalla presente scrittura, gli potranno essere trasmesse, a seconda dell’urgenza e delle necessità, ai seguenti riferimenti: – 1° telefono N. 335 433581, 2° telefono N. 0524 97661 email umistop@libero.it .
19. Il responsabile del trattamento dichiara che tutte le comunicazioni inerenti i compiti, le funzioni e gli obblighi derivanti dalla presente scrittura, gli potranno essere trasmesse, a seconda dell’urgenza e delle necessità, ai seguenti riferimenti: – 1° telefono 3477161316

The bubble Company srl . responsabile del trattamento si obbliga, eventualmente integrando il presente accordo con scrittura integrativa a parte, a fornire il servizio di cloud backup (vedi offerta n° ……………….. del ……………………15, accettata dal titolare sig.                     ).

20. Il soggetto indicato come responsabile del trattamento dichiara di essere edotto di tutti gli obblighi che incombono sul titolare del trattamento e si impegna a rispettarne e consentirne ogni prerogativa, obbligo, onere e diritto che discende da tale posizione giuridica.
21. Le parti dichiarano che l’incarico conferito comporta un trattamento di dati personali da svolgere da parte del responsabile del trattamento per conto del titolare del trattamento.
22. Il responsabile del trattamento si dichiara in possesso e comunque disponibile a dimostrare, in qualunque momento, di poter offrire garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del regolamento sopra richiamato ed a garantire la tutela dei diritti degli interessati.
23. Il responsabile del trattamento si impegna a non ricorrere ad un altro responsabile senza preventiva autorizzazione scritta, specifica o generale, del titolare del trattamento.
24. La materia disciplinata dal presente contratto consiste in archiviazione di dati di proprietà della sopraccitata Umistop S.a.s, la cui natura è di tipo commerciale, amministrativo e la stessa dovrà avere una durata del trattamento limitata al minimo necessario all’ottenimento dello scopo prefisso.

25. Le parti dichiarano che la finalità del trattamento è la protezione dei dati personali gestiti da Umistop S.a.s.
26. Il responsabile del trattamento si impegna ad informare il titolare del trattamento di eventuali modifiche previste al processo di trattamento riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare l’opportunità di opporsi a tali modifiche.
27. Il responsabile del trattamento è tenuto a trattare i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento.
28. Il responsabile del trattamento in tal caso è tenuto ad informare il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.
29. Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
30. Il responsabile del trattamento garantisce di avere la capacità strutturale, tecnica ed organizzativa di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento.
31. Il responsabile del trattamento dichiara di avere e di mantenere costantemente la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
32. Il responsabile del trattamento garantisce la costanza di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento dei dati.
33. Il responsabile del trattamento si impegna ad adottare tutte le misure richieste dall’art.lo 32 ed a rispettare le condizioni di cui ai paragrafi 2 e 4 dell’art.lo 28 del regolamento.
34. Il responsabile del trattamento è tenuto ad assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del regolamento. Tale obbligo di assistenza riguarda anche la garanzia del rispetto, da parte del titolare del trattamento, degli obblighi di cui agli articoli da 32 a 36 del regolamento. Il tutto tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento. Per tale obblighi di assistenza si terrà conto della natura del trattamento.
35. E’ facoltà del titolare del trattamento ottenere in qualunque momento la cancellazione o la restituzione di tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento con cancellazione totale di tutte le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri prevedano la conservazione dei dati (in tal caso dovranno essere definiti tutti i rapporti contrattuali ed economici che non ne rendano più necessarie possibili produzioni in giudizio).
36. Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi specificati ed inoltre consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato.

37. Nel caso in cui il responsabile del trattamento ritenga che, a suo avviso, una delle istruzioni violi il regolamento o altre disposizioni nazionali o dell’unione (riguardo al trattamento dei dati personali), ne informa immediatamente il responsabile del trattamento laddove previsto e nominato (DPO – data Protection Officer – art. lo 37 del regolamento).
38. Nel caso in cui sorga la necessità che il responsabile del trattamento debba fare ricorso ad un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione Europea o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento principale. Quest’ultimo è tenuto a prevedere da parte del responsabile del trattamento che lo supporterà, garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente accordo e del regolamento.
39. Qualora l’altro o gli altri responsabili del trattamento omettano di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva sempre, nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dei responsabili dell’intera filiera dei responsabili del o dei trattamenti.
40. Ne caso in cui il responsabile del trattamento aderisca ad un codice di condotta approvato ai sensi dell’articolo 40 o a un meccanismo di certificazione approvato ai sensi dell’articolo 42 del regolamento, tale adesione può essere utilizzata come elemento per dimostrare le garanzie sufficienti per essere esonerato da alcuni degli obblighi di cui al presente accordo riconducibili ai paragrafi 1 e 4 dell’art.lo 28 del regolamento.
41. Qualunque rapporto fondante la base giuridica di cui al presente accordo potrà basarsi anche su clausole contrattuali tipo secondo quanto previsto ai paragrafi 7 ed 8 dell’art.lo 28 del regolamento anche nel caso in cui siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli art.li 42 e 43 del regolamento.
42. Le parti si dichiarano consapevoli del fatto che la Commissione Europea può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 dell’art.lo 28 secondo la procedura d’esame di cui all’articolo 93, paragrafo 2 del regolamento ed anche che un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del predetto art.lo 28 in conformità del meccanismo di coerenza di cui all’articolo 63 del regolamento.
43. Le parti si dichiarano altresì consapevoli della circostanza che ogni contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del predetto articolo 28 del regolamento deve essere stipulato in forma scritta, anche in formato elettronico.
44. Le parti si dichiarano consapevoli della circostanza che, fatti salvi gli articoli 82, 83 e 84 del regolamento, se un responsabile del trattamento viola il regolamento medesimo, determinando le finalità ed i mezzi del trattamento, è considerato titolare del trattamento in questione.
45. Il titolare ed il responsabile del trattamento e, ove specificamente incaricato, il loro rappresentante, sono tenuti a cooperare, su richiesta, con l’autorità di controllo nell’esecuzione dei suoi compiti.
46. Le parti si impegnano ad operare tenendo costantemente conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche.
47. Al fine di ridurre e mantenere per quanto più possibile al minimo, i rischi ed i pericoli derivanti dal trattamento dei dati personali, il titolare del trattamento ed il responsabile del trattamento si impegnano ad adoperarsi e cooperare per mettere in atto le misure tecniche e organizzative più adeguate per garantire un livello di sicurezza idoneo a ridurre il rischio quanto più concretamente possibile in ragione delle rispettive possibilità. Tale riduzione del rischio, deve prendere in costante considerazione e comprendere, tra le altre possibilità, se del caso:

48. Le parti contraenti, nel valutare l’adeguato livello di sicurezza, si impegnano a tenere conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso ai dati riguardo ad eventuali modalità accidentali o illegali relativamente ai dati personali trasmessi, conservati o comunque trattati.
49. Le parti si dichiarano consapevoli del fatto che l’adesione a un codice di condotta approvato di cui all’articolo 40 o ad un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 dell’art.lo 32 del regolamento.
50. Il titolare del trattamento e il responsabile del trattamento si impegnano a far sì che, chiunque agisca sotto la loro autorità e abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
51. In caso di violazione dei dati, tale da presentare un rischio per i diritti e le libertà fondamentali delle persone, il responsabile del trattamento si dichiara consapevole degli obblighi che incombono sul titolare del trattamento a norma dell’art.lo 33 del regolamento. Di conseguenza si impegna a comunicare ogni circostanza e dato rilevane, senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione, il titolare del trattamento. Detta comunicazione deve essere notificata al titolare del trattamento e deve contenere:

52. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, il responsabile del trattamento si impegna a fornire le informazioni medesime, in fasi successive, senza ulteriore ingiustificato ritardo.
53. Al fine di consentire all’autorità di controllo di verificare il rispetto del regolamento, il responsabile del trattamento si impegna a favorire al massimo la possibilità da parte del titolare del trattamento di documentare qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio.
54. Le parti concordano che, per la tipologia di dati trattati e le possibili conseguenze di un “data breach”, non sia necessaria la designazione di uno specifico responsabile della protezione dei dati come indicato dall’art. 37 del Regolamento citato.
55. Se richiesto, il responsabile del trattamento dei dati è tenuto a fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del regolamento, a cooperare con l’autorità di controllo ed a fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
56. Entrambi i contraenti si obbligano a cooperare all’attuazione  delle  misure  di  prevenzione  e protezione dai rischi sul lavoro incidenti sull’attività lavorativa oggetto del presente accordo ed a informarsi reciprocamente, ove occorra, anche  al  fine  di  eliminare  rischi dovuti alle interferenze tra i lavori  delle  diverse  imprese  coinvolte nell’esecuzione delle attività oggetto del presente contratto.
57. Nel caso in cui sorga l’esigenza di una cooperazione e coordinamento si impegnano ad elaborare anche un unico documento di valutazione  dei  rischi che indichi le misure adottate per eliminare o,  ove  ciò  non  sia materialmente  possibile,  ridurre  al  minimo  i  rischi da interferenze. In tal caso il relativo documento sarà allegato, anche successivamente, al presente contratto e sarà via via adeguato in funzione dell’evoluzione dei servizi.
58. Le parti si dichiarano consapevoli delle disposizioni di legge vigenti in materia di responsabilità solidale per il mancato pagamento delle retribuzioni e   dei   contributi  previdenziali  e  assicurativi e della circostanza che  l’imprenditore committente   risponde  in  solido  con  l’appaltatore,  nonché  con ciascuno  degli  eventuali  subappaltatori,  per  tutti i danni per i quali    il    lavoratore,    dipendente   dall’appaltatore   o   dal subappaltatore,  non  risulti  indennizzato  ad  opera  dell’Istituto nazionale per l’assicurazione contro gli infortuni sul lavoro (INAIL) laddove previsto.
59. Le parti dichiarano che i costi delle misure adottate per eliminare o, ove ciò non sia possibile, ridurre al minimo, i rischi in materia di  salute  e sicurezza sul lavoro derivanti dalle interferenze delle lavorazioni sono quelli di seguito specificati.