Contratto di nomina a responsabile trattamento dei dati

Il presente Contratto per la nomina a Responsabile del Trattamento dei Dati (di seguito “CNRTD”) è parte integrante e sostanziale del contratto (di seguito indicato come “Contratto”), stipulato tra Deliverart S.r.l. (C.F. e P.IVA 15110261003), in persona del suo l.r.p.t., con sede in Roma, via Po, n°33 (di seguito “Società”) ed il Cliente, che definisce i termini e le condizioni applicabili di concessione ed utilizzo del software in cloud web based, offerto dalla Società (i “Servizi”).

Il presente CNRTD e le altre disposizioni del Contratto sono complementari.

1. Premesse

1.1 È stato stipulato tra la Società ed il Cliente un Contratto che definisce i termini e le condizioni applicabili di concessione ed utilizzo del software in cloud web based, offerto dalla prima al secondo. Il perfezionamento del Contratto predetto comporta la necessità di trattare, in nome e per conto del suddetto Titolare, dati personali che come tali sono soggetti all’applicazione del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito GDPR).

1.2 il Cliente risulta essere Titolare/Contitolare del trattamento dei dati anche personali di tipo comune dei propri clienti al fine di permettere l’espletamento delle attività dagli stessi commissionategli, le quali richiedano e comportino l’acquisizione e registrazione degli stessi.

1.3 Nel rispetto di quanto disposto dall’articolo 28 del GDPR, il presente contratto definisce le modalità, le condizioni e le istruzioni in base alle quali la Società, in qualità di Responsabile, nell’erogare i Servizi definiti nel Contratto, deve trattare i dati personali del Cliente.

Le attività di trattamento dei Dati Personali eseguite da parte della Società, ove operante in qualità di Titolare, non devono ritenersi in nessun modo disciplinate dalle disposizioni contenute nel presente CNRTD.

1.4 La Società vanta garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento dei dati personali effettuato nell’ambito del Contratto, soddisfi i requisiti richiesti dall’articolo 28 del GDPR e garantisca la tutela dei diritti degli interessati.

1.5 Ai fini dell’interpretazione di quanto pattuito nel presente CNRTD, le definizioni di Titolare e Responsabile del trattamento sono quelle indicate nell’articolo 4 del GDPR.

* * *

2. Oggetto

Con il perfezionamento del CNRTD il Cliente, ai sensi dell’articolo 28 del GDPR, nomina la Società quale Responsabile del trattamento relativamente e limitatamente ai trattamenti effettuati da questa per conto del primo, mediante strumenti elettronici o comunque automatizzati o con qualunque altro strumento diverso e riguardanti la memorizzazione temporanea di dati, l’elaborazione e l’archiviazione di dati personali comuni dal Cliente inseriti nel data base in cloud offerto, relativi ai propri clienti, finalizzata alla corretta esecuzione dei servizi richiesti e nel rispetto degli obblighi di cui al Contratto, nonché per fornire assistenza tecnica su richiesta del titolare/contitolare.

2.1 In quanto Responsabile del trattamento la Società dovrà:

  1. a) trattare i dati personali soltanto per l’erogazione dei Servizi oggetto del Contratto, che ai fini del presente articolo deve intendersi quale documentazione contenente le istruzioni di trattamento dei dati.
  2. b) garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  3. c) adottare tutte le seguenti misure organizzative e tecniche adeguate:

▪ misure di sicurezza fisiche: tese a prevenire l’accesso di soggetti non autorizzati nelle Infrastrutture all’interno delle quali sono immagazzinati i dati;

▪ controlli di identità e accesso: utilizzando un sistema di autenticazione, nonché una politica

di gestione delle password;

▪ sistema di gestione degli accessi: che limiti l’ingresso alle strutture a coloro per i quali sia

indispensabile nello svolgimento dei loro compiti e all’interno delle loro responsabilità;

▪ procedure di autenticazione: per utente e amministratore, nonché per tutelare l’accesso alle

funzioni di amministratore;

▪ procedure e misure: per tracciare le azioni svolte sul suo sistema informatico.

Al riguardo il Cliente ritiene tali misure organizzative e tecniche adeguate e sufficienti in relazione a quanto previsto ai sensi dell’articolo 32 del GDPR, tanto da non richiederne ulteriori e/o di diverse;

  1. d) rispettare le condizioni di cui ai paragrafi 2 e 4 dell’art. 28 del Regolamento EU 2016/679 affinché ad ogni altro Responsabile nominato siano imposti i medesimi obblighi di cui al presente CNRTD;
  2. e) assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per dar seguito alle richieste ricevute per l’esercizio dei diritti degli Interessati;
  3. f) assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto altresì delle informazioni a disposizione del responsabile del trattamento;
  4. g) su scelta del titolare del trattamento, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, nei termini meglio prospettati negli articoli che seguono;
  5. h) mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalla CNRTD consentendo e contribuendo alle attività di revisione e/o ispezioni.
  6. i) in caso di ricevimento di richieste da parte di un’autorità giudiziaria relative ai dati personali trattati, informare il Cliente, nei limiti di quanto disposto da detta autorità.
  7. l) Qualora la Società fosse a conoscenza di un incidente con ripercussioni sui dati personali (quale un accesso non autorizzato, perdita, comunicazione o alterazione di dati), comunicherà al Cliente senza indebiti la natura dell’incidente.

2.2 con riferimento a quanto disposto all’articolo 2.1, lettera h) si precisa che le ispezioni e/o verifiche del Titolare saranno effettuate previo accordo sui tempi e sulle modalità e non dovranno essere in contrasto con obblighi di riservatezza assunti dalla Società e con le policy aziendali o causare danni/rallentamenti alla normale operatività della Società. I costi di tali attività saranno comunque sempre a carico del Titolare.

* * *

3. Sub-contratti

Nell’esecuzione del Contratto la Società potrà avvalersi della collaborazione di propri fornitori esterni di servizi.

In caso i predetti abbiano accesso ai dati oggetto del presente CNRTD, la stessa nominerà detti fornitori responsabili del trattamento tramite stipula di specifico contratto che preveda gli stessi obblighi qui previsti.

Il Cliente in qualità di Titolare, con il perfezionamento del presente CNRTD, autorizza espressamente e con ogni più ampia facoltà la Società a coinvolgere fornitori terzi necessari per l’erogazione dei servizi oggetto del Contratto.

L’elenco dei sub-responsabili verrà sempre reso fruibile al titolare tramite idonei mezzi, anche per quanto riguarda eventuali modifiche riguardanti l’aggiunta o la sostituzione di tali figure.

* * *

4. Obblighi del Cliente

4.1 Il Cliente è l’unico titolare del trattamento dei dati immagazzinati nel cloud della Società attraverso l’utilizzo del Servizio (backup, ecc.).

4.2 Qualora il Cliente operi invece quale Responsabile del trattamento in nome di titolari terzi, garantisce alla Società quanto segue:

▪ di aver ricevuto le necessarie autorizzazioni dal terzo (titolare);

▪ di avere informato il terzo che la Società è stata nominata sub-responsabile del trattamento;

▪ sia stato sottoscritto con il terzo un accordo pienamente coerente con i termini e le condizioni

del presente CNRTD e del Contratto;

▪ tutte le informazioni comunicate o rese disponibili dalla Società, nel rispetto del presente CNRTD, siano debitamente comunicate al terzo;

4.3 Il Titolare del trattamento si obbliga in ogni caso con riferimento ai dati per i quali è stipulato il presente contratto affinché:

a) abbia erogato o sia in procinto di erogare idonea e completa informativa ai clienti (i.e. interessati), indicando espressamente la Società quale responsabile del trattamento

b) il trattamento dei dati personali, nell’ambito dell’esecuzione del Contratto, abbia una base legale appropriata (p.es. consenso dell’interessato, interessi legittimi ecc.);

c) gli interessati siano informati del trattamento dei loro dati personali in modo conciso, trasparente, comprensibile e di facile accesso, utilizzando un linguaggio chiaro e semplice come previsto dal GDPR;

d) gli interessati siano informati e abbiano in qualunque momento la possibilità di esercitare facilmente i loro diritti sui dati, come previsto dal GDPR.

e) sia in possesso del consenso alla gestione/trattamento dei dati da parte dei propri clienti, all’uopo manlevando la Società da qualsivoglia responsabilità in merito alla gestione e all’eventuale aggiornamento degli stessi, che dovesse provenire dagli interessati;

f) abbia una propria procedura di gestione delle violazioni sui dati personali la quale comporti peraltro che ogni eventuale violazione riscontrata sia tempestivamente comunicata al Responsabile per concordare l’adozione delle misure più opportune.

4.3 Il Cliente è responsabile dell’adozione delle misure tecniche e organizzative appropriate per garantire la sicurezza di risorse, sistemi, applicazioni e operazioni non di responsabilità della Società.

In particolare, il Cliente, dichiara di essere consapevole, che l’accesso al servizio è garantito previa autenticazione con le proprie credenziali.

Le credenziali sono strettamente personali e non possono essere cedute a terzi. Il mantenimento della segretezza delle credenziali è ad esclusivo carico del cliente, il quale sarà il solo responsabile per qualsiasi attività posta in essere tramite l’utilizzo delle stesse.

Tutte le operazioni effettuate tramite l’utilizzo delle credenziali comportano l’automatica attribuzione al Cliente delle operazioni condotte. Pertanto, il Cliente riconosce ed accetta che la Società potrà utilizzare qualsiasi informazione ricavabile dai propri sistemi informatici per monitorare l’accesso ai Servizi per provare le operazioni effettuate dal Cliente.

* * *

5. Perfezionamento e durata del CNRTD

Le parti concordano che il CNRTD avrà efficacia dall’attivazione dei Servizi e sarà valido per tutta la durata del Contratto.

* * *

6. Responsabilità

6.1 La Società potrà essere ritenuta responsabile unicamente per i danni causati dal trattamento quando:

(I) non abbia rispettato gli obblighi del GDPR specificatamente legati ai Responsabili del trattamento;

(II) abbia agito contro istruzioni validamente scritte dal Cliente.

6.2 Qualora la Società ed il Cliente siano coinvolti in una procedura in base al presente Contratto che causi danni a un interessato, il Cliente si farà carico in prima istanza della totalità dell’indennizzo (o di altra compensazione) dovuto a detto interessato e, secondariamente nonché qualora ed entro i limiti entro i quali ne ricorrano i presupposti sulla base delle leggi vigenti e degli accordi intercorrenti tra le parti, si rivarrà sulla Società per la parte della compensazione corrispondente alla responsabilità della Società.

6.3 Ogni condotta perpetrata o posta in essere dal Cliente che possa comportare una minaccia all’integrità e/o alla sicurezza dei dati inseriti ovvero una violazione degli obblighi sullo stesso ricadente in qualità di titolare del trattamento ai sensi del GDPR costituirà grave inadempimento tanto del presente CNRTD quanto del Contratto, idonea a permettere alla Società di azionare lo strumento della risoluzione in danno di entrambi i rapporti sopra menzionati, secondo i meccanismi di legge.

* * *

7. Cancellazione, cessazione e restituzione dei Dati Personali

Quale conseguenza della scadenza o cessazione a qualunque titolo e per qualunque ragione del Contratto (in particolare in caso di conclusione o mancato rinnovo), il presente CNRTD cesserà automaticamente di produrre i suoi effetti a partire dall’undicesimo giorno dal verificarsi del predetto evento.

Al momento in cui il presente CNRTD abbia cessato di produrre i suoi effetti, la Società si impegna a cancellare tutte le informazioni (dati, file, sistemi, applicazioni, siti Web e altro materiale) che siano riprodotte, immagazzinate, ospitate o diversamente utilizzate dal Cliente ai fini dei Servizi, fatto salvo in presenza di una richiesta emessa da un’autorità giudiziaria competente, oppure quando la normativa applicabile dell’Unione Europea e di uno Stato membro dell’UE preveda diversamente.

Qualora dunque il Cliente volesse esercitare il diritto alla restituzione dei dati immessi nel cloud messo a disposizione dalla Società, lo stesso dovrà esercitare tale facoltà prima che avvenga la cancellazione nei termini anzidetti. Il Cliente si dichiara dunque consapevole che la Società provvederà a cancellare automaticamente ed in modo irreversibile dai propri sistemi informatici tutte le informazioni (inclusi informazioni, dati, file, sistemi, applicazioni, siti Web e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente, nei termini sopra presentati.