Politica sulla Privacy

Premesse 

Il presente Contratto per il Trattamento dei Dati – Data Protection Agreement (DPA) è parte integrante del contratto, di seguito indicato come “Contratto”, il quale è stipulato tra Dario Iraci (d’ora in avanti anche “Mandante”) ed il Cliente, e che definisce i termini e le condizioni applicabili ai servizi offerti dal Mandante (Servizi). 

Il presente DPA e le altre disposizioni del Contratto sono complementari ma in caso di conflitto tra i due documenti, il presente DPA ha prevalenza sul Contratto. Nel rispetto di quanto disposto dall’articolo 28 del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito GDPR), il presente contratto definisce le modalità, le condizioni e le istruzioni in base alle quali il Responsabile, nell’erogare i Servizi definiti nel Contratto, deve trattare i dati personali del Cliente. Il trattamento dei Dati Personali da parte del Mandante in qualità di Titolare del trattamento non è compreso nel presente DPA. In considerazione dell’esperienza maturata, della correttezza, sicurezza professionalità che connota l’erogazione dei propri servizi, della sua organizzazione, della riscontrata mancanza di provvedimenti sanzionatori in materia di protezione dei dati personali. Il Mandante dimostra di presentare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento dei dati personali effettuato nell’ambito del Contratto, soddisfi i requisiti richiesti dall’articolo 28 del GDPR e garantisca la tutela dei diritti degli interessati. Ai fini dell’interpretazione di quanto pattuito nel presente DPA il Cliente agisce come Titolare del trattamento mentre il Mandante come Responsabile del trattamento. Le definizioni di Titolare e Responsabile del trattamento sono quelle indicate nell’articolo 4 del GDPR. 

2. Oggetto 

Con il perfezionamento del DPA il Cliente, ai sensi dell’articolo 28 del GDPR, nomina il Mandante quale Responsabile del trattamento. 

2.1 In quanto Responsabile del trattamento dovrà: 

a) trattare i dati personali soltanto per l’erogazione dei Servizi oggetto del Contratto, che ai fini del presente articolo deve intendersi quale documentazione contenente le istruzioni di trattamento dei dati. 

b) garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza; 

c) adottare tutte le seguenti misure organizzative e tecniche adeguate: 

▪ controlli di identità e accesso: utilizzando un sistema di autenticazione, nonché una politica di gestione delle password; 

▪ sistema di gestione degli accessi: che limiti l’ingresso alle strutture a coloro per i quali sia indispensabile nello svolgimento dei loro compiti e all’interno delle loro responsabilità; 

▪ procedure di autenticazione: per utente e amministratore, nonché per tutelare l’accesso alle funzioni di amministratore; 

Al riguardo il Cliente ritiene tali misure adeguate in relazione a quanto previsto ai sensi dell’articolo 32 del GDPR. Nel caso in cui il Cliente, rispetto a quanto descritto nella documentazione sopra richiamata, ritenga le misure organizzative e tecniche non adeguate o ne richieda ulteriori e/o di diverse dovrà formalmente manifestare tale richiesta. Il Mandante provvederà a valutare la richiesta e, qualora implementabili, quotare la modifica richiesta con una specifica offerta; 

d) rispettare le condizioni di cui ai paragrafi 2 e 4 dell’art. 28 del Regolamento EU 2016/679 affinché non ricorra ad altro Responsabile senza previa autorizzazione scritta del Titolare e, nel caso sia autorizzato a ricorrervi per specifiche attivista di trattamento, imporre i medesimi obblighi; 

e) assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, per dar seguito alle richieste ricevute per l’esercizio dei diritti degli Interessati; 

f) assistere il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto altresì delle informazioni a disposizione del responsabile del trattamento; 

g) su scelta del titolare del trattamento, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti; 

h) mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalla DPA consentendo e contribuendo alle attività di revisione e/o ispezioni.

i) in caso di ricevimento di richieste da parte di un’autorità giudiziaria relative ai dati personali trattati, informare il Cliente, nei limiti di quanto disposto da detta autorità. 

l) Qualora la Società fosse a conoscenza di un incidente con ripercussioni sui dati personali (quale un accesso non autorizzato, perdita, comunicazione o alterazione di dati), comunicherà al Cliente senza indebiti la natura dell’incidente. 

m) non trasferire i dati personali del Titolare fuori dall’Unione Europea. 

2.2 con riferimento a quanto disposto all’articolo 2.1, lettera h) si precisa che le ispezioni e/o verifiche del Titolare saranno effettuate previo accordo sui tempi e sulle modalità e non dovranno essere in contrasto con obblighi di riservatezza assunti dal Mandante e con le policy aziendali o causare danni/rallentamenti alla normale operatività del Mandante. I costi di tali attività saranno a carico del Titolare. 

3. Sub contratto 

Nell’esecuzione del Contratto la Società potrà avvalersi della collaborazione di propri fornitori di servizi. In questo caso, nominerà detti fornitori responsabili del trattamento tramite stipula di specifico contratto che preveda gli stessi obblighi previsti dal presente DPA. Il cliente in qualità di Titolare, con il perfezionamento del presente DPA, autorizza espressamente il Mandante a coinvolgere fornitori terzi necessari all’erogazione dei servizi oggetto del Contratto. 

4 Obblighi del Cliente 

4.1 Qualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, garantisce al Mandante quanto segue: 

▪ di aver ricevuto le necessarie autorizzazioni dal terzo (titolare); 

▪ di avere informato il terzo che il Mandante è stata nominata sub-responsabile del trattamento dei dati relativamente al servizio proposto; 

▪ sia stato sottoscritto con il terzo un accordo pienamente coerente con i termini e le condizioni del presente DPA e del Contratto; 

▪ tutte le informazioni comunicate o rese disponibili, nel rispetto del presente DPA, siano debitamente comunicate al terzo; 

4.2 Il Titolare del trattamento si obbliga affinché: 

a) il trattamento dei dati personali, nell’ambito dell’esecuzione del Contratto, abbia una base legale appropriata (p.es. consenso dell’interessato, interessi legittimi ecc.); 

b) gli interessati siano informati del trattamento dei loro dati personali in modo conciso, trasparente, comprensibile e di facile accesso, utilizzando un linguaggio chiaro e semplice come previsto dal GDPR; 

c) gli interessati siano informati e abbiano in qualunque momento la possibilità di esercitare facilmente i loro diritti sui dati, come previsto dal GDPR. 

4.3 Il Cliente è responsabile dell’adozione delle misure tecniche e organizzative appropriate per garantire la sicurezza di risorse, sistemi, applicazioni e operazioni non di responsabilità del Mandante. In particolare il Cliente, dichiara di essere consapevole, che l’accesso al servizio è garantito previa autenticazione con le proprie credenziali. Le credenziali sono strettamente personali e non possono essere cedute a terzi. Il mantenimento della segretezza delle credenziali è ad esclusivo carico del cliente, il quale sarà il solo responsabile per qualsiasi attività posta in essere tramite l’utilizzo delle stesse. Tutte le operazioni effettuate tramite l’utilizzo delle credenziali comportano l’automatica attribuzione al Cliente delle operazioni condotte. Pertanto, il Cliente riconosce ed accetta che il Mandante potrà utilizzare qualsiasi informazione ricavabile dai propri sistemi informatici per monitorare l’accesso ai Servizi per provare le operazioni effettuate dal Cliente e per automatizzare alcune forme di marketing per conto e per interesse del Cliente stesso ma sempre con il massimo rispetto del terzo. 

5. Perfezionamento e durata del DPA 

Le parti concordano che il DPA avrà efficacia dall’attivazione dei Servizi e sarà valido per tutta la durata del Contratto. 

6. Responsabilità 

6.1 Il Mandante potrà essere ritenuto responsabile unicamente per i danni causati dal trattamento quando: 

(I) non abbia rispettato gli obblighi del GDPR specificatamente legati ai Responsabili del trattamento 

(II) abbia agito contro istruzioni validamente scritte dal Cliente. In tali casi, si applicherà quanto previsto dal Contratto sulla responsabilità del Mandante. 

6.2 Qualora il Mandante ed il Cliente siano coinvolti in una procedura in base al presente Contratto che causi danni a un interessato, il Cliente si farà carico in prima istanza della totalità dell’indennizzo (o di altra compensazione) dovuto a detto interessato e, secondariamente, si rivarrà sul Mandante per la parte della compensazione corrispondente alla responsabilità del Mandante, sempre che non sia di applicazione una limitazione di responsabilità prevista dal Contratto. 

7. Cancellazione e restituzione dei Dati Personali 

7.1 Alla scadenza del Contratto o di un singolo Servizio (in particolare in caso di conclusione o mancato rinnovo), il Mandante manterrà i dati per un periodo non più lungo di 90 giorni terminati i quali si impegna a cancellare secondo le condizioni previste nel Contratto tutte le informazioni (dati, file, sistemi, applicazioni, siti Web e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente ai fini dei Servizi, fatto salvo in presenza di una richiesta emessa da un’autorità giudiziaria competente, oppure quando la normativa applicabile dell’Unione Europea e di uno Stato membro dell’UE preveda diversamente. 7.2 Il Cliente è l’unico responsabile del trattamento dei dati attraverso l’utilizzo del Servizio. Con riferimento alla conclusione dei Servizi, per qualunque ragione (ivi compreso, ma senza tuttavia a ciò limitarsi, il mancato rinnovo), il Cliente è consapevole, che il Mandante provvederà a cancellare automaticamente ed in modo irreversibile, dai propri sistemi informatici, tutte le informazioni (inclusi informazioni, dati, file, sistemi, applicazioni, siti Web e altro materiale) utilizzate dal Cliente.