(contratto di nomina a responsabile del trattamento di dati personali ex art. 28 regolamento n. 2016/679)
TRA
Il cliente e la società Bhoost Hosting SL, (NIF B67962795), con sede in Calle Viera y Clavijo, 33 – 35002 Las Palmas de Gran Canaria (Spagna), con DPO (Data Protection Officer) raggiungibile al seguente indirizzo e-mail: [email protected], d’ora in avanti ”Responsabile del trattamento” o “Data Processor”.
Premesso che tra il Cliente e il Data Processor è attualmente in vigore un contratto (di seguito Contratto di Fornitura) avente ad oggetto la realizzazione di siti web e/o di assistenza telematica e hosting web, comprensivo di uno o più dei seguenti servizi:
Le caratteristiche specifiche del servizio sono riportate all’interno della documentazione contrattuale sottoscritta dalle parti che qui s’intende integralmente richiamato nella sua edizione più aggiornata.
L’esecuzione della suddetta fornitura da parte del Data Processor implica che quest’ultimo svolga necessariamente alcune operazioni aventi ad oggetto dati personali del cui trattamento è Titolare il Cliente come meglio precisato di seguito.
A decorrere dalla data di applicabilità del Regolamento (UE) 2016/679 (dl seguito GDPR) si rende necessario procedere alla nomina conformemente all’art. 28 GDPR con il presente Contratto di Nomina.
DEFINIZIONI UTILI AL PRESENTE CONTRATTO
“GDPR” indica il regolamento (UE) n. 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva n. 95/46/CE.
“Codice privacy” si intende il D.lgs. 196/2003 come novellato dal D.lgs. 101/2018.
“Incidente di Sicurezza Informatica o data breach” indica una violazione degli obblighi di sicurezza avente per oggetto la distruzione, in modo accidentale o illegale, la perdita, la modifica o l’accesso, l’acquisizione e la divulgazione non autorizzata o l’abuso di Dati Personali del Titolare.
“Leggi Extraeuropee sulla Protezione dei Dati” indicano qualsiasi norma di legge sulla protezione dei dati o sulla privacy diversa dalle Leggi Europee sulla Protezione dei Dati.
“Dati Personali” indicano quei dati che individualmente o in combinazione con altri dati indicano per nome o identificano una persona fisica, tra cui: (a) dati esplicitamente definiti come categoria particolare di dati a norma delle Leggi sulla Protezione dei Dati applicabili al Titolare o ai rispettivi clienti; (b) dati non pubblici su una persona fisica, come a titolo esemplificativo ma non esaustivo numero di carta d’identità, numero di passaporto, codice fiscale o numero di patente; (c) informazioni sanitarie o mediche, come informazioni sull’assicurazione, prognosi medica, informazioni diagnostiche o informazioni genetiche; (d) informazioni economiche, come numero di polizza, numero di carta di credito/debito, numero di conto corrente; e/o (e) dati personali sensibili, come la razza, religione, stato civile, invalidità o sessualità. Salvo che non sia vietato o specificatamente disciplinato dalle Leggi sulla Protezione dei Dati applicabili, il termine “Dati Personali” non comprende informazioni o dati anonimi, aggregati, deidentificati e/o compilati su base generica e che non indicano per nome né identificano uno Specifico individuo o persona fisica.
“Trattare/Trattamento” indicano, tra le altre cose, visualizzare, accedere, raccogliere, registrare, organizzare, strutturare, utilizzare, archiviare, manipolare, adattare o modificare, reperire, divulgare, trasferire, analizzare o cancellare o distruggere ogni genere di Dati Personali del Titolare.
“Responsabile del trattamento” la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento.
“Sub-responsabili o (sotto responsabili)” indicano terzi autorizzati ai sensi del presente Contratto all’accesso e al Trattamento dei Dati Personali del Titolare con motivo della prestazioni di parte dei Servizi.
Tanto premesso, come parte integrante del presente atto, tra le parti si conviene e si stipula quanto segue:
ART.1 – NOMINA A RESPONSABILE DEL TRATTAMENTO, IDENTIFICAZIONE DEI DATI OGGETTO DEL TRATTAMENTO E DELLE CATEGORIE DI INTERESSATI
1.1. Il Cliente – in qualità di Titolare del trattamento dei dati personali da esso autonomamente raccolti, archiviati e trattati per mezzo degli strumenti messi a disposizione dal Data Processor in forza del Contratto di Fornitura – nomina Magentiamo, che accetta la nomina, “Responsabile del trattamento” ai sensi ART. 28 GDPR.
1.2. In forza del presente Contratto di Nomina ed in esecuzione del Contratto di Fornitura, il Data Processor potrà eseguire le operazioni di trattamento individuale al successivo ART. 2 sui dati personali relativi ai dipendenti, ai collaboratori, ai clienti/utenti o comunque i soggetti interessati relazionati al Cliente, raccolti e memorizzati dal Cliente stesso all’interno della propria istanza del sistema fornitagli dal Data Processor.
1.3 Atteso il fatto che il Cliente ha la facoltà di personalizzare direttamente, autonomamente ed in qualsiasi momento i campi-dati presenti negli archivi, nonché caricare al loro interno i file in vari formati (es. DOC, XLS, PDF, JPG, ecc.), potenzialmente contenenti qualunque genere d’informazione, il Data Processor s’intende espressamente autorizzato a compiere le operazioni di trattamento di cui al successivo ART. 2 su tutti i dati personali raccolti ed immessi dal Cliente – sotto il proprio esclusivo controllo e responsabilità – all’interno della propria partizione di memoria.
2.1 Su tutti i dati personali di cui all’ART. 1, il Data Processor – nella sua qualità di Responsabile del trattamento ex ART. 28 GDPR — è autorizzato a svolgere esclusivamente le seguenti operazioni, per le finalità di seguito precisate:
a) Conservazione intesa come il mantenimento fisico dei dati all’interno dell’infrastruttura tecnologica centralizzata ove è installato il sistema fornito;
b) Protezione intesa come l’attuazione di misure tecniche ed organizzative adeguate a ridurre il più possibile i rischi di danneggiamento e la perdita e/o accesso non autorizzato ai dati memorizzati all’interno del sistema;
iii. eventuale effettivo ripristino delle copie di backup di cui alla precedente lett. c), necessario in seguito al verificarsi di eventi straordinari che richiedono di provvedere al recupero totale o parziale dei dati;
iv. replica in ambiente di sviluppo di eventuali problemi/malfunzionamenti segnalati dal Cliente, finalizzata alla risoluzione degli stessi;
v. prove tecniche di sviluppo e/o d’installazione delle nuove release dei software, finalizzate a collaudare il corretto funzionamento degli aggiornamenti da rilasciare al Cliente;
vi. fornitura, su espressa richiesta del Cliente, d’informazioni ed assistenza per l’utilizzo del sistema;
vii. fornitura, su espressa richiesta del Cliente, di servizi consulenziali ed operativi finalizzati a supportarlo nella configurazione e/o nell’utilizzo del sistema;
2.2 trasferimento dati in paesi terzi al di fuori della UE. Il Data Processor del trattamento s’impegna a non trattate i Dati Personali e a non consentire a qualsivoglia Sub-responsabile del trattamento autorizzato di trattare i Dati Personali in un paese al di fuori dell`EEA (Spazio Economico Europeo) senza un adeguato livello di protezione, a meno di un’autorizzazione scritta preventiva del Titolare del trattamento. Su richiesta del Titolare del trattamento, il Responsabile del trattamento s’impegna a stipulare sollecitamente (o a fare in modo che qualsivoglia eventuale Sub-responsabile del trattamento del Responsabile del trattamento stipuli) un contratto con il Titolare del trattamento che includa o sia soggetto alle clausole adottate dalla Commissione Europea e/o le eventuali variazioni che le Leggi in materia di Protezione dei Daci dovessero richiedere, in relazione a qualsivoglia trattamento di Dati Personali in un paese al di fuori dell’EEA in assenza di un adeguato livello di protezione. Il Responsabile del trattamento tratterà i Dati Personali soltanto su istruzione documentata del Titolare del trattamento, salvo che lo richieda il diritto nazionale cui e soggetto o il diritto dell’Unione. Nelle eventualità da ultimo riportate, il Responsabile del trattamento informerà il Titolare del trattamento circa la sussistenza di tale obbligo giuridico prima di svolgere il trattamento.
3.1 Il presente Contratto di Nomina entrerà in vigore il all’accettazione del presente contratto ed avrà durata fino a quando il Cliente usufruirà dei servizi indicati dal Contratto di Fornitura di cui in premessa, ovvero in forza di successivi accordi che dovessero essere eventualmente stipulali tra le parti per disciplinare il proseguimento della fornitura successivamente al termine naturale del Contratto di Fornitura di cui in premessa. Resta in ogni caso salvo il diritto di recesso da parte del Data Processor di cui al successivo ART. 4.3.
3.2 A decorrere dalla sua entrata in vigore, il presente contratto abroga e sostituisce eventuali precedenti nomine anche implicite.
4.1 Il Cliente prende atto che, ai fini della compiuta realizzazione ed erogazione dei servizi oggetto della fornitura, della loro evoluzione tecnologica e funzionale, nonché dell’adeguata protezione dei dati memorizzati dal Cliente stesso al loro interno e del puntuale rispetto dei livelli di disponibilità operative contrattualmente stabiliti, il Data Processor deve necessariamente potersi avvalere d’infrastrutture, tecnologie e servizi tecnici messi a sua disposizione da Sub-Fornitori altamente specializzati, i cui nominativi verranno richiesti dietro valida motivazione, fermo restando l’obbligo del Data Processor di adempiere puntualmente alle obbligazioni poste a suo carico dal GDPR e dal presente Contratto di Nomina.
4.2 In ragione di quanto sopra, il Cliente fornisce espressamente al Data Processor la propria autorizzazione generale ai sensi dell’ART 28 comma 2 GDPR a ricorrere ai propri Sub-Fornitori e nominarli sub-responsabili in relazione alle operazioni di trattamento previste nel precedente ART. 2.
5.1 Il Cliente dichiara e garantisce al Data Processor di aver assolto a tutti gli obblighi posti a suo carico dalla vigente normativa in materia di trattamento e protezione dei dati personali e si impegna ad assolvere ogni ulteriore obbligo che fosse ad esso imposto da ogni futura modificazione della normativa stessa, durante tutto il corso di validità del presente Contratto di Nomina.
5.2 Il Cliente s’impegna a manlevare e tenere indenne il Data Processor da qualsiasi pregiudizio potesse a quest’ultimo derivare in conseguenza di qualunque azione o pretesa mossa o avanzata nei suoi confronti da terzi ivi compreso il Garante Privacy o altra autorità a causa dell’inosservanza da parte dei Cliente stesso degli obblighi posti a suo carico dal GDPR e da ogni altra normativa vigente in materia di trattamento e protezione dei dati personali.
5.3 Il Cliente s’impegna a comunicare per iscritto al Data Processor ogni modifica relativa ai dati indicati in epigrafe e/o ai soggetti che ricoprono le funzioni ivi individuate, fino all’avvenuta comunicazione delle modifiche, nessuna responsabilità potrà essere imputala al Data Processor per qualsiasi atto o fatto conseguente al mancato aggiornamento dei dati e riferimenti in suo possesso.
In esecuzione del presente contratto il Data Processor s’impegna a:
6.1 Trattare i dati di cui al precedente ART. 1.2 esclusivamente per le finalità specificate all’ART. 2 e sulla base delle istruzioni risultanti dal presente contratto o diversamente impartite dal Cliente.
6.2 Qualora necessario nominare per iscritto le persone che, all’interno della propria organizzazione, svolgono le funzioni di amministratore di sistema ai sensi del provvedimento del Garante Privacy del 27.11.2008 e quelle autorizzate al trattamento (cd. “incaricati”) nonché i sub-responsabili esterni, indicando le operazioni di trattamento consentite.
6.3 Formare adeguatamente i propri dipendenti e collaboratori rispetto all’applicazione del GDPR e vigilare sull’operato dei propri incaricali, amministratori di sistema e sub-responsabili, facendo ad essi sottoscrivere un apposite impegno di riservatezza.
6.4 Introdurre nel contralto con i sub-responsabili i medesimi obblighi e garanzie previsti nella presente scrittura e specificare chiaramente in quale contratto quali operazioni di trattamento sono affidate ai sub-responsabili.
6.5 Comunicare per iscritto (o anche solo oralmente, nei casi in cui sia impossibile una comunicazione scritta) al Cliente – nel minore tempo possibile e comunque non oltre 24 (quarantotto) ore da quando ne è venuto a conoscenza – eventuali violazioni di dati personali (c.d. “data breach“) ai sensi dell’ART. 33 del GDPR.
6.6 Collaborare ed assistere il Cliente nella notifica e nella comunicazione del “data breach” al Garante Privacy (o ad altra autorità) e agli interessati.
6.7 Attivarsi per il ripristino nei tempi tecnici necessari della disponibilità e dell’accesso ai citati in case di “data breach” e adottare le misure idonee a rimediare nei limiti del possibile alla violazione.
6.8 Adottare le misure tecniche e organizzative necessarie per garantire un adeguato livello di sicurezza dei dati trattati, nonché provvedere all’aggiornamento e modifica di tali misure che – in considerazione dell’evoluzione della tecnica, e/o dell’evoluzione funzionale delle applicazioni (sistemi) e/o della normativa applicabile – risulti idonea a mantenere costante il medesimo livello di sicurezza, e comunicare, su richiesta del Cliente le misure tecniche ed organizzative in atto al momento della richiesta.
6.9 Nella misura in cui ciò sia possibile, assistere il Cliente nel dar seguito alle richieste degli interessati con riferimento ai diritti loro riconosciuti dal capo III del GDPR.
6.10 Ove ritenuto necessario dal Cliente, assisterlo negli adempimenti di cui agli ARTT. 35 e 36 del GDPR, fatto salvo il diritto del Data Processor di ottenere il rimborso dei costi sostenuti, sia in termini di spese vive che di ore lavorative del proprio personale dipendente e non impegnato nell’attività di assistenza.
6.11 Alla cessazione del presente Contratto di Nomina, per qualsiasi ragione dovuta, mettere a disposizione del Cliente una procedura per il ritiro (download) dei dati di cui all’ART. 1.2 entro i termini tecnici necessari. Diversamente in mancanza di richiesta scritta del Cliente provvedere alla cancellazione definitiva dei dati dai propri sistemi, astenendosi da ogni ulteriore trattamento salvo che la legge preveda la conservazione dei dati per specifici motivi o sussistano motivi legittimi di conservazione.
6.12 Mettere a disposizione del Cliente tutte le informazioni e i documenti necessari per dimostrare il rispetto degli obblighi previsti nel presente ART. 6 e la conformità al GDPR. Consentire al Cliente attività di revisione, controllo e rispettive, e con esso collaborare in tali attività, previo accordo sulle modalità e tempistiche e sulla corresponsione al Data Processor di un equo indennizzo parametrato sulle ore lavorative del proprio personale impiegate per lo svolgimento cii dette attività.
6.13 Informare il Cliente se un’istruzione di quest’ultimo violi il GDPR o altre disposizioni relative alla protezione dei dati personali;
6.14 Tenere un registro dei trattamenti in qualità di Data Processor ex ART. 30 comma 2 del GDPR.
Il Data Processor verifica che i dati personali oggetto del trattamento siano custoditi e controllati in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità di raccolta, o in mancanza di specifica indicazione, con riferimento al citato GDPR, i sotto elencati rischi:
– distruzione o perdita, anche accidentale dei dati;
– accesso non autorizzato ai dati;
– trattamento dei dati non consentito o non conforme alle finalità di raccolta.
In particolare il Data Processor dichiara di aver predisposto adeguate misure di sicurezza IT e idonee procedure utili a scongiurare – nei limiti del possibile – l’accesso abusivo da parte di terzi ai database e/o raccolte di dati personali raccolti attraverso lo svolgimento dell’attività.
Il Data Processor s’impegna a mantenere riservati e confidenziali i dati, i documenti, le informazioni e notizie di qualsiasi genere, relative al Cliente o comunque dallo stesso fornite, dei quali verrà a conoscenza in occasione dell’incarico, anche successivamente alla cessazione di esso e senza alcuna limitazione di tempo o spazio, in particolare, non potrà comunicare o diffondere alcuna delle informazioni, notizie, dati e documenti (salvo che ciò non sia espressamente richiesto dal Cliente, dal Garante privacy o da altra autorità), cederli a terzi a titolo gratuito o oneroso, utilizzati per qualsiasi finalità, anche di terzi.
Salvo quanto disposto dagli ARTT. 6.10 e 6.12 che precedono, la nomina a responsabile conferita con il presente accordo e le attività e prestazioni conseguenti da parte del Data Processor non comportano oneri economici a carico del Cliente aggiuntivi rispetto al contratto principale (detto anche “termini e condizioni”).
Per tutto quanto quello qui non espressamente previsto si fa rinvio alla residua disciplina del Codice Privacy, come novellato, alla nuova LOPD quando applicabile, e al GDPR, in particolare all’art. 28.
11.1Qualora qualsivoglia disposizione del presente Contratto dovesse risultare non valida o non applicabile, la parte restante del presente Contratto resterà valida e pienamente in vigore. La disposizione non valida o non applicabile potrà essere, in alternativa, (i) modificata secondo quanto necessario per garantirne la validità e applicabilità, preservando al tempo stesso, nella massima misura possibile, le intenzioni delle parti, oppure, ove ciò non fosse possibile, (ii) interpretata come se la parte non valida o non applicabile non fosse mai stata in essa contenuta.
11.2 Riguardo alla materia oggetto del presente Contratto, in caso di discrepanze tra le disposizioni del presente Contratto e qualsivoglia altro contratto tra le parti, compreso, a mero titolo esemplificativo, il Contratto Principale, le disposizioni del presente Contratto prevarranno in relazione agli obblighi delle parti riferiti alla protezione dei Dati Personali.
Il presente contratto è regolato dalla Legge Italiana.
Per qualsiasi controversia relativa alla validità, interpretazione ed esecuzione del presente contratto sarà competente in via esclusiva il foro di Milano (MI), previo svolgimento di un tentativo di conciliazione in modalità ODR (On line Dispute Resolution) raggiungibile al seguente link (https://webgate.ec.europa.eu/odr).
Ai sensi degli articoli 1341-42 c.c., il Titolare del trattamento dichiara di aver compreso e di accettare espressamente gli articoli 4,5,e 6 del presente contratto.