DPA – Nomina responsabile del trattamento – ITA

Ai sensi dell’art. 28 del Regolamento Generale sulla Protezione dei Dati Personali (GDPR) tra il Cliente (Titolare) e l’Azienda (Responsabile)

Art. 1 – Oggetto, durata, dati personali trattati

L’oggetto della presente nomina e le attività di trattamento ad esso collegate sono definite o determinate dal contratto principale a cui il presente addendum è allegato
La durata di questa nomina è pari alla durata del contratto principale.
Le categorie di dati personali trattati sono:
1. dati personali fondamentali
2. dati di contatto
I dati personali raccolti e trattati si riferiscono a:
1. clienti
2. clienti potenziali
3. dipendenti, collaboratori
4. responsabili

Art. 2 – Trattamento all’interno della UE e dello SEE

Le operazioni di trattamento di dati regolate da questo contratto di nomina saranno effettuate all’interno dell’Unione Europea (UE) o dello Spazio Economico Europeo (SEE). Qualsiasi trasferimento di dati ad un paese terzo non facente parte della UE o dello SEE è soggetto a previa autorizzazione scritta da parte del Titolare e può avvenire solo alle condizioni specifiche previste dagli artt. 44 e ss. GDPR.

Art. 3 – Misure tecniche ed organizzative

Prima di dare esecuzione alla presente nomina, il Responsabile deve dimostrare di aver adottato tutte le misure tecniche ed organizzative necessarie, in particolare con espresso riferimento alla specifica esecuzione di questo contratto di nomina e, su richiesta, consegnarne prova documentale al Titolare. Se approvate dal Titolare, tali misure divengono parte vincolante di questo contratto di nomina e sono allegate allo stesso. Qualora mediante ispezione o revisione il Titolare dovesse constatare la necessità di modificarle, le modifiche saranno apportate di concerto tra le parti.
Il Responsabile garantisce la sicurezza del trattamento ai sensi degli artt. 28 par. 3 punto c) e 32 GPR, in particolare ai sensi dell’art. 5 parr. 1 e 2 GDPR. Tali misure devono garantire la sicurezza dei dati ed un livello di protezione adeguato al rischio per la confidenzialità, integrità, disponibilità e resilienza dei sistemi. Ai sensi dell’art. 32 par. 1 GDPR, deve tenersi conto dello stato dell’arte, i costi di realizzazione, la natura, l’oggetto e gli scopi del trattamento, così come la probabilità di una violazione di dati personali e la gravità dei rischi da essa potenzialmente derivanti per i diritti e le libertà delle persone fisiche.
Le misure tecniche ed organizzative sono soggette a evoluzione e progresso tecnico e tecnologico. Pertanto, il Responsabile può adottare opportune misure alternative adeguate al mutato contesto tecnologico. In tali casi, il livello di sicurezza del trattamento non può essere ridotto. Ogni modifica sostanziale dev’essere documentata.

Art. 4 –Rettifica, limitazione e cancellazione di dati

Il Responsabile non può rettificare, cancellare o limitare il trattamento di dati trattati su incarico del Titolare di propria iniziativa, ma solo su istruzione documentata da parte del Titolare.
Qualora un interessato dovesse contattare direttamente il Responsabile in merito ad una domanda di rettifica, cancellazione o limitazione del trattamento, il Responsabile dovrà inoltrare tale richiesta immediatamente al Titolare. Le richieste di cancellazione, rettifica, portabilità ed accesso devono essere evase dal Responsabile senza indebito ritardo sulla base di istruzioni documentate da parte del Titolare.

Art. 5 – Garanzie ed altri obblighi del Responsabile

Nomina del DPO

Il Responsabile non è tenuto a nominare un DPO. L’amministratore pro tempore di Snasto S.r.l. (reperibile all’indirizzo info@snasto.it) funge da persona di riferimento.

Confidenzialità

Le attività di trattamento regolate da questo contratto di nomina dovranno essere svolte solo da dipendenti , collaboratori o incaricati previamente istruiti dal Responsabile sul corretto trattamento di dati personali e contrattualmente soggetti ad obbligo di confidenzialità ai sensi degli artt. 28 par. 3 (b) e 32 GDPR. Il Responsabile, così come chiunque agisca sotto la sua autorità ed abbia accesso a dati personali, non deve trattare dati personali se non è stato istruito in tal senso dal Titolare, anche a mezzo della presente nomina, salvo che per espressa previsione di legge.

Misure tecniche ed organizzative

Attuazione e rispetto di opportune misure tecniche ed organizzative nel quadro di questo contratto di nomina, ai sensi di quanto specificato dall’art. 32 GDPR. Il Responsabile controlla periodicamente i processi interni e le misure tecniche e organizzative per assicurare che il trattamento nella sua area di competenza sia conforme ai requisiti della normativa sulla protezione dei dati personali e dei diritti degli interessati. Il Responsabile garantisce al Titolare la verificabilità delle misure tecniche e organizzative nell’ambito dei suoi poteri di controllo di cui al punto 7. del presente addendum.

Collaborazione con le autorità di controllo

Il Titolare ed il Responsabile cooperano, su richiesta, con l’autorità di controllo. Il Titolare è immediatamente informato di tutte le ispezioni e misure eseguite dall’autorità di controllo, nella misura in cui esse si riferiscono alle attività svolte in base a questo contratto. Ciò vale anche nel caso in cui il Responsabile sia sottoposto a o coinvolto in una indagine da parte di un’autorità competente in relazione a violazioni di qualsiasi disposizione in materia di trattamento di dati personali nello svolgimento di attività ai sensi di questo contratto. Nella misura in cui il Titolare sia soggetto a ispezione da parte dell’autorità di controllo, sanzione amministrativa pecuniaria, misura cautelare o procedimento penale, pretesa da parte di un interessato o di terzi o qualsiasi altra azione legale in collegamento con il trattamento di dati da parte del Responsabile ai sensi della presente nomina, il Responsabile farà tutto il possibile per sostenere il Titolare.

Art. 6 – Sottoincarichi

Il Responsabile può delegare parte delle attività di trattamento regolate da questo contratto ad ulteriori Sottoresponsabili i quali, ove richiesto dalla normativa, dovranno essere soggetti agli obblighi contrattuali sanciti dall’art. 28 par. 4 GDPR.
L’elenco completo dei Sotto Responsabili, e relativi accordi contrattuali conformi a quanto richiesto dall’art. 28 par. 2 e 4 GDPR) è custodito e consultabile presso la sede legale del Responsabile
Il trasferimento di dati ad un Sottoresponsabile potrà avvenire solo una volta che tutte le predette condizioni per la nomina di Sottoincaricati siano realizzate.
Il Responsabile risponde integralmente dell’operato dei Sottoresponsabili nominati. Qualsiasi modifica all’elenco dei Sottoresponsabili deve essere segnalata al Titolare senza indebito ritardo, dando al Titolare la facoltà di opporsi. In caso di opposizione, il Responsabile ha diritto di recedere dal contratto con il Titolare senza preavviso.
In particolare, qualora un Sottoresponsabile presti la propria opera al di fuori della UE/SEE, il Responsabile deve garantire il rispetto della normativa UE sulla protezione dei dati personali con mezzi idonei, come descritto al punto 2. del presente addendum.

Art. 7 – Poteri di controllo del Titolare

Di concerto con il Responsabile, il Titolare ha il diritto di svolgere ispezioni o farle svolgere ad un revisore di volta in volta incaricato. Il revisore deve avere diritto di valutare il rispetto di questo contratto di nomina da parte del Responsabile nel corso delle proprie attività d’impresa per mezzo di verifiche causali, le quali dovranno di regola essere notificate in anticipo.
Il Responsabile deve permettere al Titolare di verificare la propria adempienza alle proprie obbligazioni, come previsto dall’art. 28 GDPR. Su richiesta, il Responsabile fornisce al Titolare ogni informazione necessaria nonché, segnatamente, la prova di aver adottato le misure tecniche ed organizzative.
La prova dell’adozione di tali misure, che potranno riferirsi anche ad attività non rientranti nell’ambito di questo addendum, potrà essere fornita anche per mezzo di
1. conformità a codici di condotta approvati ai sensi dell’art. 40 GDPR;
2. certificazioni emesse in base ad un meccanismo di certificazione approvato ai sensi dell’art. 42 GDPR;
3. attuali certificazioni di revisori, relazioni o estratti di relazioni redatte da organismi indipendenti (p. es. revisori, responsabili della protezione dei dati personali, dipartimento della sicurezza IT, revisori della protezione dei dati)
4. idonee certificazioni emesse da revisori della sicurezza IT o della protezione dei dati personali
Il Responsabile può addebitare al Titolare un compenso di entità ragionevole per l’esecuzione delle ispezioni.

Art. 8 – Assistenza al Titolare

Il Responsabile assiste il Titolare nell’adempimento degli obblighi relativi alla sicurezza dei dati personali, nella segnalazione di violazioni dei dati, nelle valutazioni d’impatto sulla protezione dei dati e nelle consultazioni preventive di cui agli articoli da 32 a 36 RGDP, tra l’altro
1. garantendo adeguati standard di protezione mediante misure tecniche e organizzative, tenendo conto della natura, delle circostanze e delle finalità del trattamento, della probabilità di violazioni dei dati e della gravità del rischio per le persone fisiche che ne può derivare
2. garantendo l’immediata individuazione delle infrazioni
3. riferendo senza indebito ritardo al Titolare ogni violazioni di dati
4. assistendo il Titolare nell’evadere le richieste degli interessati di esercizio dei loro diritti
Il Responsabile può richiedere un compenso ragionevole per servizi di assistenza che non sono compresi nella descrizione dei servizi e che non dovuti a errori imputabili al Responsabile.

Art. 9 – Poteri direttivi del Titolare

Il Responsabile non tratta alcun dato personale ai sensi della presente nomina se non su istruzione del Titolare, salvo che sia obbligato a farlo dal diritto dell’Unione o degli Stati membri.
Nel caso in cui il Titolare richieda una modifica del trattamento dei dati personali previsto dalle istruzioni documentate di cui al punto 2, il Responsabile informa immediatamente il Titolare qualora ritenga che tale modifica possa comportare violazioni delle disposizioni in materia di protezione dei dati. Il Responsabile può astenersi dallo svolgere qualsiasi attività che possa dar luogo a tale violazione.

Art. 10 – Responsabilità

Ciascuna parte del presente addendum si impegna a risarcire l’altra parte per danni o spese derivanti dal proprio inadempimento colposo del presente contratto, compreso qualsiasi inadempimento colposo commesso dal proprio rappresentante legale, sottoincaricati, dipendenti o altri agenti. Inoltre, ciascuna parte si impegna a tenere indenne l’altra parte da qualsiasi pretesa fatta valere da terzi a causa di o in relazione a qualsiasi violazione colposa commessa dall’altra parte.
Resta ferma la previsione dell’art. 82 GDPR.

Art. 11 – Distruzione e restituzione dei dati personali

Il Responsabile non crea copie o duplicati dei dati ad insaputa e senza il consenso del Titolare, fatta eccezione per le copie di sicurezza, nella misura in cui siano necessarie a garantire l’ordinata elaborazione dei dati, nonché per i dati la cui conservazione è prevista dalla legge.
A conclusione della prestazione di servizi, a scelta del Titolare il Responsabile cancella in maniera conforme alla protezione dei dati o restituisce al Titolare tutti i dati personali raccolti ed elaborati ai sensi della presente nomina, a meno che le disposizioni di legge applicabili non richiedano una ulteriore conservazione dei dati personali. In ogni caso, il Responsabile può conservare tutte le informazioni utili a dimostrare l’ordinata e conforme esecuzione delle attività di trattamento anche oltre la cessazione del contratto, nel rispetto dei periodi di conservazione previsti dalla legge.
La documentazione utilizzata per dimostrare un’elaborazione ordinata dei dati ai sensi del contratto di nomina deve essere conservata dal Responsabile oltre la durata del contratto in ottemperanza ai rispettivi periodi di conservazione. Il Responsabile può consegnare tale documentazione al Titolare al termine della durata del contratto per sollevarsi da tale obbligo contrattuale.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_131028719_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
__utmt_UA-131028719-1	10 minutes	No description
m	2 years	No description available.

Cookie	Durata	Descrizione
__utma	2 years	This cookie is set by Google Analytics and is used to distinguish users and sessions. The cookie is created when the JavaScript library executes and there are no existing __utma cookies. The cookie is updated every time data is sent to Google Analytics.
__utmb	30 minutes	Google Analytics sets this cookie, to determine new sessions/visits. __utmb cookie is created when the JavaScript library executes and there are no existing __utma cookies. It is updated every time data is sent to Google Analytics.
__utmc	session	The cookie is set by Google Analytics and is deleted when the user closes the browser. It is used to enable interoperability with urchin.js, which is an older version of Google Analytics and is used in conjunction with the __utmb cookie to determine new sessions/visits.
__utmz	6 months	Google Analytics sets this cookie to store the traffic source or campaign by which the visitor reached the site.
_calendly_session	21 days	Calendly, a Meeting Schedulers, sets this cookie to allow the meeting scheduler to function within the website and to add events into the visitor’s calendar.

DPA