Appointment as Data Processor
pursuant to art. 28 of European Regulation no. 2016/679   BETWEEN The Client, as the Data Controller of the processing of personal data relating to the websites owned by the Client under the contract in force with Fortop S.r.l., (hereinafter, the “Data Controller”) AND Fortop S.r.l., having its legal seat in Corso Sempione, 10 – Milan, REA-MI 2010697, Fiscal Code and VAT No. 02001910500, in the person of its legal representative Dr Claudia Guerri (hereinafter, also the “Data Processor”) (hereinafter, jointly, also the “Parties”) WHEREAS
  • between the Data Controller and the Data Processor, together with other parties, there is a legal relationship for the management of the project defined in the agreement between the parties;
  • the Data Controller has engaged the Data Processor to carry out the digital project which is the subject of the agreement, (hereinafter also “Agreement“) and that, pursuant to European Regulation No. 2016/679 (hereinafter also “GDPR“), the performance of the Agreement involves the processing of personal data on behalf of the Data Controller by the Data Processor who shall organise, coordinate and carry out such processing operations;
  • with this deed of assignment (hereinafter, also, the “Assignment”) the Data Controller hereby appointed the Data Processor, pursuant to art. 28 of the GDPR, who accepts, as the data processor, and sets out instructions for personal data processing by the Data Processor for the purposes of executing the Activities.
NOW, THEREFORE, THE PARTIES AGREE AND CONVENE THE FOLLOWING.
  1. Premises and attachments
    • The premises and attachments shall be considered an integral and substantive part of the Assignment.
  1. Definitions
    • Without prejudice to the standard terms agreed above, for the purpose of ensuring the correct application of the personal data protection regulations in carrying out the Assignment granted to the Data Processor, it is noted that the definitions set out in art. 4 of the GDPR are understood as fully referenced herein.
    • Within this Assignment, in addition to the above, for the standard terms shown below, the definitions indicated for each one shall be understood:
  2. “Relevant Regulations”: shall mean the GDPR and any legislative or regulatory measures adopted by the national public authorities on personal data processing (including the measures taken by the Supervisory Authority), applicable during the period of validity of this Assignment.
  3. “Sub-Data Processor(s)”: shall mean any third party assigned by the Data Processor, in compliance with the procedures set out in this Assignment, that fully or partially carries out the personal data processing transactions under the responsibility of the Data Processor;
  4. “Security Measures”: shall mean the technical and organisational security measures, adopted pursuant to art. 32 of the GDPR, to which reference is made;
  5. “Requests”: shall mean requests for information (including informal requests)/complaints/ claims from third parties (merely by way of example, data subjects, Supervisory Authority or other legal or administrative authorities) receive by the Data Processor with regard to the processing operations pursuant to this Assignment;
  6. “European Economic Area”: the sovereign states included in the geographical scope of application pursuant to art. 3 of the GDPR.
  1. Relationship with the Agreement
    • This Assignment is expressly linked to the Agreement in force between the Parties. Therefore, for any aspect that is not expressly governed herein, reference should be made to the Agreement. In the event of conflict between the provisions of the Agreement and those set out in this Assignment, the latter shall prevail.
  1. Personal data processed and purposes
    • The Data Processor, for the purposes of the correct execution of the activities, as better specified in the existing contract, may process the personal data of the users.
    • Specifically, on the basis of the main services provided, different types of data may be processed in different ways, as indicated below:
Service name Category of data Purpose of processing
Market Analysis Aggregated and/or pseudonymised data, only where respondents are identifiable for particular reasons. Additional anonymisation operations for statistical purposes
Organic Visibility (access to Google Analytics or similar) IP of web users, even where subject to pseudonymisation, if by other means the data subjects are in any case identifiable by the platform processing of aggregate statistical information for commercial and marketing purposes
Organic Visibility (access to the website management CMS) Access data to application systems of the Data Controllers such as: active directories, employee company email address, common personal data of the web user, web user connection identifier, data relating to purchase orders, user profiling Management of services required for customers and web users in order to improve the marketing and sales performance of the website.
Analytics Tracking Plan Identification of the connection of web users, where the Analytics service employed grants visibility of it Management of services required in favour of customers and web users
GDPR compliance Identifier of Cookies and classification of choice of cookie profile (technical identifiers) Directing the correct management of cookies to comply with legislation (GDPR and local)
Media Management ADV Identifier of Cookies and Profiling Classification On-line advertising on the site addressed to the web users involved and who have given their consent
 
  • Such data may be processed exclusively for the purposes of performance, profiling and user segmentation as well as for the enrichment of the user profiles created and for the fulfilments related to such activities.
  • In the event that the Data Processor lacks sufficient information to process the personal data of the Data Controller, it shall promptly inform the Data Controller in writing. The Data Controller shall provide any clarifications requested, in writing.
  1. Instructions for processing personal data
    • Where the Data Processor deems that the instructions provided breach or conflict with the Relevant Regulations, it must promptly inform the Data Controller in order to ensure the necessary evaluations.
    • The Data Processor declares and warrants that:
  2. it shall process the personal data only and exclusively for the purposes of executing the Activities described in the Agreement;
  3. it shall verify that each activity of personal data processing carried out, in the interest or on behalf of the Data Controller, is carried out lawfully and correctly, in compliance with the principles of legitimacy, accuracy, updating, pertinence, completeness, adequacy and storage;
  4. it shall not implement any personal data processing (or, more generally, any action, omission or conduct relating to the personal data) for its own, autonomous purposes, and in general, for any purpose other than the mere execution of the activities under the Agreement;
  5. it shall carry out any obligation prescribed by this Assignment, and more generally, will take all steps required to prevent the Data Controller from breaching Relevant Legislation in relation to the personal data processed in performance of the Assignment;
  6. in executing this Assignment, it shall comply with and promptly align with all requirements of the Relevant Regulations, also informing the Data Controller of any new provisions that entail a change in the methods for and restrictions on personal data processing, as governed in this Assignment, or which entail an amendment to this Assignment. In particular, the Data Processor:
  • if required by virtue of the Relevant Regulations or on explicit request by the Data Controller, shall draw up, maintain and regularly update an electronic record of the processing carried out on behalf of the Data Controller, as regulated by art. 30 of the GDPR.
  • shall, if necessary considering the processing carried out on behalf of the Data Controller, appoint a Data Protection Officer pursuant to articles 37, 38 and 39 of the GDPR, and immediately notify the Data Controller of such appointment;
  • shall appoint system administrators, where present, as required by the Measure of the Data Protection Authority of 27 November 2008, as amended, “Measures and arrangements applying to the controllers of processing operations performed with the help of electronic tools in view of committing the task of system administrator”, if applicable;
  • adopt all internal procedures and security measures suitable for the protection of the processing and the personal data processed;
  • designate in writing the persons authorised to process the personal data;
  • provide the Data Controller with assistance and support in connection with the requirements of Articles 35 and 36 GDPR, with reference to the drafting of a data protection impact assessment
  • provide any support in relation to the obligations imposed on the Data Controller by Articles 32-36 GDPR.
    • On express request by the Data Controller, the Data Processor shall promptly upgrade its IT systems, the Security Measures, the tools and internal processes regarding personal data processing, in order to comply with art. 25 of the GDPR and ensure protection of the personal data processed by design (implementing procedures, tools and Security Measures that ensure, both at the time of the determination of the means for processing and at the time of the processing itself, greater protection of the data subjects) and by default (implementing procedures that process only the personal data strictly necessary for each purpose of the processing).
  1. Security Measures
    • The Data Processor shall adopt appropriate Security Measures to protect the personal data processed on behalf of the Data Controller. The Security Measures adopted must achieve a level of security for the personal data processed that is appropriate and proportionate, taking into account (i) the nature, scope, context and purposes of processing, (ii) the risks for the rights and freedoms of the data subjects, (iii) the state of the art and technology and, lastly, (iv) the costs of implementation and any upgrading of those Security Measures.
    • Specifically, the Data Processor shall adopt Security Measures to protect the personal data processed in general from any form of unlawful processing and, in particular, from destruction, amendment, dissemination or unlawful or unauthorised processing. The Security Measures adopted by the Data Processor shall include, if necessary:
  2. the pseudonymisation and encryption of the personal data;
  3. the ability to permanently ensure the confidentiality, integrity, availability and resilience of the processing systems and services;
  4. the ability to promptly restore the availability and access to personal data in the event of a physical or technical incident; and
  5. a process for regularly testing, assessing and evaluating the effectiveness of the Security Measures in order to guarantee the security of the processing.
    • Attachment A indicates the basic requirements for the implementation of the Security Measures that the Data Processor must adopt. Additional, specific Security Measures that are concretely adopted by the Data Processor with regard to all or some of the personal data processing carried out on behalf of the Data Controller must be communicated to the Data Controller.
  1. Data breaches pursuant to articles 33 – 34 of the GDPR
    • The Data Processor undertakes to notify the Data Controller promptly, without unjustified delay in relation to the discovery of the event or, in any event, within 72 hours of the discovery, of any security incident or any event that entails a breach or imminent threat of breach of the personal data processed (such as, merely by way of example, compromised operations of the IT system, unauthorised accesses, malware attacks, unauthorised dissemination, theft or loss of documentation), providing the necessary cooperation to resolve the incident.
    • The notifications pursuant to art. 7.1 must contain at least the information required by art. 33 of the GDPR.
    • The Data Processor shall provide all assistance and cooperation that may be requested by the Data Controller in order to remedy the breach of personal data, or to provide the Supervisory Authority with all information and clarifications requested.
  1. Relationships with third parties
    • Where the data subjects, the Supervisory Authority or any other third party (including, merely by way of example, legal and administrative authorities other than the Supervisory Authority) submit Requests to the Data Processor (also including requests to exercise the rights granted to the data subjects, such as the right to access, rectification, objection, the right to erasure, the right to restriction of processing, the right to data portability, the right not to be subject to a decision based on automated processing, including profiling), the Data Processor shall immediately (and, in any event, no later than 72 hours from receipt of the request for information/complaint/objection) inform the Data Controller in writing.
    • The Data Processor shall specifically transmit to the Data Controller a copy of the Requests received, also attaching any additional information or facts deemed useful.
    • It is understood that the Data Processor may reply to the Requests only after obtaining express written authorisation from the Data Controller (which, therefore, reserves the right to take autonomous action) and, in any event, in accordance with the directives, instructions and indications provided by the latter in writing. Therefore, the Data Processor may in no way act autonomously or as the representative/agent of the Data Controller (save for express indication of this in this regard).
    • The Data Processor is expressly prohibited from communicating or disclosing to third parties, also in response to the Requests, the personal data processed on behalf of the Data Controller or any other additional information relating to the personal data processing without first obtaining authorisations and instructions in writing from the Data Controller.
    • Where, in execution of regulatory obligations, or as a result of requests from legal, administrative or public safety authorities, it is required to disclose or communicate to third parties the data processed on behalf of the Data Controller or information relating to the processing. The Data Processor:
  2. shall immediately notify the Data Controller of that situation in writing;
  3. shall adopt all arrangements to limit or restrict the scope of the disclosure/communication (for example, omitting information not expressly requested);
  4. shall take all reasonable efforts to obtain confidentiality commitments from the recipients of the communications.
  1. Sub-Data Processors
    • If during the performance of the Assignment, the Data Processor expresses the need to involve Sub-Data Processors, the latter may carry out personal data processing operations upon written notice sent by the Data Processor to the Data Controller, containing the names and/or identification elements of the Sub-Processors. The appointment of the Sub-Data Processors shall be subject to the condition that any Sub-Data Processors sign an appointment agreement in which they are obliged to provide guarantees equivalent to those provided by the Processor.
    • In the event of any opposition to the appointment of one or more Sub-Data Processors, the Data Processor undertakes to submit to the Data Controller a further supplier of its choice for the performance of the processing operations identified.
    • In any case, the Sub-Data Processors indicated from time to time within the consultancy assignment formalised between the parties, as well as the suppliers of technological services underlying the envisaged activities, shall be deemed authorised as of now.
    • It is, in any case, understood that the Data Processor shall be responsible to the Data Controller for the correct, punctual and regular fulfilment of the obligations assumed by the Sub-Data Processors.
  1. Transfer of personal data
    • The Data Processor shall ensure that the personal data processed on behalf of the Data Controller are not transferred, even to third parties, to non-EU countries without the prior authorisation of the Data Controller.
    • The Data Controller acknowledges that in any case it allows the transfer of personal data to non-EU countries for technological reasons or in any case necessary due to the suppliers or the means used to carry out the activities, in any case in compliance with the requirements of the law and in particular by signing the Standard Contractual Clauses in the version in force, as approved by the European Commission.
    • If the transfer of personal data to third countries or international organisations is required by current legislation, the Data Processor shall inform the Data Controller of this legal obligation prior to processing, unless the law prohibits such information for important reasons of public interest.
  1. Audits, inspections and checks
    • The Data Processor undertakes to allow the verification and control by the Data Controller of the punctual compliance with the provisions issued, also with regard to security and data protection, by providing all the information necessary to prove compliance with the obligations arising from the legislation in force.
  1. Duration and allocation of the personal data
    • This appointment shall be effective for the entire duration of the Agreement and shall be revoked if the Agreement is terminated for any reason whatsoever.
    • In the event of termination of this appointment, the Data Controller shall require the Data Processor to return any personal data processed on its behalf, or to destroy them permanently, without retaining any copies, unless otherwise agreed or required by law.
    • Should the Data Controller fail, thirty days after the termination of the appointment, to inform the Data Processor how he intends to proceed, the latter shall be entitled to proceed with the cancellation and definitive destruction of any personal data.
  1. Liability and indemnities
    • The Data Processor shall indemnify the Data Controller against any liability arising directly from the performance by the Data Processor (and/or its appointed Sub-Data Processors) of the provisions of this Assignment in accordance with the requirements of the Relevant Legislation.
    • The Data Processor shall in any event not be obliged to indemnify and hold harmless the Data Controller if the liabilities arise from the execution of the instructions given by the Data Controller and the Data Processor has informed the Data Controller pursuant to clause 5.1 above.
  1. Communications
    • For the purposes of the Assignment and the communications between the Parties, the Parties declare that they elect their addresses for service at the registered offices indicated in the introduction.
    • All communications between the Parties shall be validly made in writing by way of registered letter with return receipt, or by certified email to the address shown in the chamber of commerce records search of each Party.
    • Any change to the addresses shown above shall take effect in relation to the Parties only when it has been notified to the other Party using the methods specified above.
  1. Miscellaneous
    • Any amendment to this Assignment must be made in writing, on pain of nullity.
    • The Assignment cancels and replaces all previous agreements or understandings between the Parties in relation to personal data processing carried out by the Data Processor on behalf of the Data Controller.
    • The Parties declare that all the clauses contained in this Assignment have been carefully and individually assessed and reflect their joint intentions.
    • Should any clause of this Assignment be declared invalid, said declaration shall not invalidate all of the other clauses contained herein. In that case, and to the extent possible, the invalid clause must be replaced by another whose effect is as equivalent as possible to that which the Parties intended at the time of entering into the Assignment.
    • Should the Data Controller not exercise one or more rights it is entitled to under this Assignment, this shall not constitute, nor may it be understood in any way as a waiver thereof.
    • The titles of the articles in this Assignment have the exclusive purpose of facilitating reference and cannot be used for the purpose of interpreting the content of this Assignment.
    • It is understood that the appointment as Data Processor does not grant the right to any consideration in addition to that set out in the Agreement, and is aimed at guaranteeing the correct data processing carried out by the appointed Data Processor.
Attachment A  Security Measures   A – Provisions on logic and IT security The Data Processor guarantees that:
  • the company organisation includes a structure in charge of controlling and implementing the security of the information and personal data processed;
  • said structure conducts the appropriate regular security checks and audits;
  • it works with third parties external to its company structure, provided that these parties meet the requirements of reliability and credibility with regard to the security measures adopted or to adopt.
The Data Processor must:
  1. adopt high standards of security (and keep them updated in consideration of the state of the art and technology);
  2. adopt a security procedure for the information and personal data processed that complies with sector best practices and is periodically updated. Said procedure shall be made available to the Data Controller on simple request;
  3. implement a procedure for reporting accesses to information and personal data (both at IT and logical/physical level), on a need-to-know basis (that is, only parties that need to know said information in order to execute the Activities may access it), and a procedure for addition/supplementation/elimination of said accesses;
  4. use complex passwords (minimum of 8 characters, upper and lower case, password reset on first access, password expiration) to access the IT systems;
  5. assign each user personal credentials (username and password) that are unique and cannot be assigned to other users;
  6. remove accounts that are inactive for more than 60 days or no longer necessary for the personal data processing on behalf of the Data Controller;
  7. be constantly and continuously up-to-date on regulatory provisions, technological innovations and any vulnerabilities relating to security;
  8. guarantee that all equipment used for archiving data and information from the Data Controller (including the equipment used for regular backups) is stored in secure, controlled areas in terms of environment, held, managed or contracted by the Data Processor. The archiving areas used to save that media must be programmed to reasonably reduce the impact deriving from environmental threats;
  9. ensure that all external connections to its systems (including, without any limitations, networks or remote access) are individually identified, verified, recorded and approved;
  10. ensure that wireless accesses to its systems are subject to authentication authorisation and encryption protocols in line with best practices and are permitted only from workstations approved by the Data Processor.
B – Provisions on physical security The Data Processor must:
  1. define and keep up-to-date procedures to guarantee physical security in the premises under its control;
  2. protect the data centre equipment and security systems used from environmental risks and infrastructural failures;
  3. physically protect and store portable media that contain personal data processed on behalf of the Data Controller while ensuring that access to it is only permitted to authorised personnel;
  4. adopt procedures and arrangements that ensure that the IT systems provide the possibility to immediately block access to data processing equipment, storage services and media.

Designazione a Responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento Europeo n. 2016/679

TRA

Il Cliente, quale Titolare del trattamento dei dati personali relativi ai siti web di sua proprietà in forza del contratto in essere con Fortop S.r.l.,

(di seguito anche “Titolare”)

E

Fortop S.r.l., avente sede legale in Corso Sempione, 10 – Milano, N. REA-MI 2010697, C. F. e P. IVA 02001910500, in persona del suo legale rappresentante dott.sa Claudia Guerri

(di seguito anche “Responsabile”)

(di seguito congiuntamente anche “Parti”)

PREMESSO CHE

  • tra il Titolare e il Responsabile, unitamente ad altri soggetti, è in essere un rapporto giuridico per la gestione del progetto definito del contratto tra le parti;
  • il Titolare ha affidato al Responsabile lo svolgimento del progetto digital oggetto del contratto, (di seguito anche “Accordo”) e che, ai sensi del Regolamento Europeo n. 2016/679 (di seguito anche “GDPR”), lo svolgimento dell’Accordo prevede il trattamento di dati personali per conto del Titolare da parte del Responsabile che organizzerà, coordinerà ed effettuerà tali operazioni di trattamento;
  • con il presente atto di incarico (di seguito anche “Incarico”) il Titolare procede, ai sensi dell’art. 28 del GDPR, alla nomina del Responsabile, che accetta, quale responsabile del trattamento, e alla indicazione delle istruzioni relative al trattamento di dati personali da parte del Responsabile ai fini dell’espletamento delle Attività.

TUTTO CIÒ PREMESSO, TRA LE PARTI SI CONVIENE E SI STIPULA QUANTO SEGUE.

  1. Premesse e allegati
    • Le premesse e gli allegati sono da considerarsi quali parti integranti e sostanziali dell’Incarico.
  1. Definizioni
    • Fatti salvi i termini convenzionali di cui sopra, al fine di consentire la corretta applicazione della normativa in materia di tutela dei dati personali nello svolgimento dell’Incarico affidato al Responsabile, si specifica che si intendono qui integralmente richiamate le definizioni di cui all’art. 4 del GDPR.
    • Nell’ambito del presente Incarico, in aggiunta a quanto sopra, ai termini convenzionali di seguito riportati si intenderanno le definizioni rispettivamente indicate:
      1. Normativa rilevante”: si intende il GDPR e qualsiasi provvedimento normativo o regolamentare adottato da autorità pubbliche nazionali in materia di trattamento di dati personali (ivi compresi i provvedimenti assunti dalle Autorità di controllo), applicabile durante il periodo di validità del presente Incarico.
      2. Sub-responsabile/i”: si intende qualsiasi soggetto terzo incaricato dal Responsabile, in conformità alle procedure di cui al presente Incarico, che provvede – in tutto o in parte – alle operazioni di trattamento di dati personali di competenza del Responsabile;
      3. Misure di sicurezza”: si intendono le misure tecniche e organizzative di sicurezza, adottate ai sensi dell’art. 32 del GDPR, cui si rinvia;
      4. Richieste”: si intendono le richieste di informazioni (anche a titolo informale) / reclami / contestazioni da parte di terzi (a titolo esemplificativo e non esaustivo, interessati, Autorità di controllo o altre autorità giurisdizionali o amministrative) pervenute al Responsabile con riferimento alle operazioni di trattamento di cui al presente Incarico;
      5. Spazio Economico Europeo”: gli Stati sovrani ricompresi nell’ambito di applicazione territoriale di cui all’art. 3 del GDPR.
  1. Rapporti con l’Accordo
    • Il presente Incarico è espressamente collegato all’Accordo in essere tra le Parti; per ogni aspetto non espressamente disciplinato dal presente Incarico, si rinvia pertanto all’Accordo. In caso di contrasto tra le disposizioni dell’Accordo e quelle contenute nel presente Incarico, prevarranno queste ultime.
  1. Dati personali trattati e finalità
    • Il Responsabile, per finalità di corretta esecuzione delle attività, come meglio specificate nel contratto in essere, potrà trattare i dati personali degli utenti.
    • Nello specifico, sulla base dei principali servizi erogati potranno essere trattati tipologie di dati diverse con modalità distinte, come di seguito indicato:
Nome servizio Tipologia del dato Finalità di gestione
Analisi di Mercato Dati aggregati e/o pseudonimizzati, solo nel caso in cui per particolari ragioni gli intervistati siano identificabili. Ulteriori operazioni di anonimizzazione a fini statistici
Visibilità Organica (accesso a Google Analytics o similari) IP degli utenti del web, anche ove oggetto di pseudonimizzazione, qualora mediante altri elementi gli interessati siano comunque identificabili dalla piattaforma elaborazione di informazioni statistiche aggregate, a fini commerciali e marketing
Visibilità Organica (accesso al CMS di gestione del sito) Dati di accesso a sistemi applicazioni dei titolari del Trattamento quali: directory attive, indirizzo mail aziendale dipendente, dati personali comuni dell’utente web, identificativo della connessione degli utenti web, dati relativi agli ordini di acquisto, profilazione dell’utente. gestione dei servizi richiesti a favore di clienti e utenti web al fine di migliorare le performance di marketing e vendita del sito web.
Piano di Tracciamento Analytics Identificativo della connessione degli utenti web, qualora il servizio di Analytics impiegato ne conceda visibilità gestione dei servizi richiesti a favore di clienti e utenti web
Data compliance GDPR Identificativo dei Cookies e classificazione di scelta del profilo dei cookies (identificativi tecnici) Indirizzare la corretta gestione dei cookies affinchè sia conforme alla normativa (GDPR e locale)
Gestione media ADV Identificativo dei Cookies e classificazione di profilazione Pubblicità on line sul sito rivolta agli utenti web interessati e che hanno prestato il relativo consenso
  • Tali dati potranno essere trattati esclusivamente per finalità di performance, profilazione e segmentazione dell’utenza nonché per l’arricchimento dei profili utenti creati e per gli adempimenti connessi a tali attività.
  • Nel caso in cui il Responsabile non disponga di informazioni sufficienti per procedere con i trattamenti dei dati personali del Titolare, informerà il Titolare. Il Titolare provvederà a fornire, per iscritto, le delucidazioni eventualmente richieste.
  1. Istruzioni per il trattamento dei dati personali
    • Qualora il Responsabile ritenga che le istruzioni fornite vìolino o siano in contrasto con la Normativa Rilevante, procederà ad avvisare tempestivamente il Titolare per le valutazioni necessarie.
    • Il Responsabile dichiara e garantisce che:
      1. tratterà i dati personali solo ed esclusivamente ai fini della prestazione delle attività descritte nel contratto con il cliente.
      2. verificherà che ogni trattamento dei dati personali svolto, nell’interesse e per conto del Titolare, avvenga in modo lecito e secondo correttezza, nel rispetto dei principi di legittimità, esattezza, aggiornamento, pertinenza, completezza, adeguatezza, conservazione;
      3. non porrà in essere operazioni di trattamento dei dati personali (o più, in generale, qualsiasi azione, omissione o condotta in relazione ai dati personali) per finalità proprie e autonome, e in generale per qualsivoglia finalità diversa dalla mera prestazione delle attività descritte nel contratto con il cliente.
      4. adempirà ogni obbligazione prescritta dal presente Incarico, e più in generale porrà in essere ogni condotta richiesta per evitare che il Titolare incorra in violazioni della Normativa Rilevante, con riferimento ai dati personali trattati in esecuzione dell’Incarico;
      5. nell’espletamento del presente Incarico, osserverà e si adeguerà prontamente ad ogni prescrizione prevista dalla Normativa Rilevante, provvedendo anche ad informare il Titolare di eventuali nuove disposizioni che possano comportare una variazione delle modalità e dei vincoli di trattamento dei dati personali. In particolare, il Responsabile procederà a:
    • tenere un idoneo registro ai sensi dell’art. 30 GDPR, ove richiesto;
    • nominare – ove opportuno o necessario – un Responsabile della Protezione dei Dati ai sensi degli artt. 37, 38 e 39 GDPR;
    • identificare e nominare gli Amministratori di Sistema, come da Provvedimento dell’Aurorità Garante del 27 novembre 2008 e ss.mm.ii., in quanto applicabile al tempo;
    • adottare ogni procedura interna e misura di sicurezza idonea alla protezione dei trattamenti e dei relativi dati personali trattati;
    • designare per iscritto le persone autorizzate al trattamento;
    • fornire al Titolare l’assistenza ed il supporto in ragione di quanto richiesto dagli artt. 35 e 36 GDPR, con riferimento alla redazione di una valutazione d’impatto sulla protezione dei dati;
    • presterà ogni supporto in relazione agli impegni posti a carico del Titolare dagli artt. 32-36 GDPR.
      • Il Responsabile, dietro espresse richieste del Titolare, si impegna ad adeguare i propri sistemi informativi, compatibilmente con la tipologia di dati trattati e le finalità perseguite dal Titolare, aggiornando le misure di sicurezza, gli strumenti e le procedure interne in materia di trattamento di dati personali, in modo da conformarsi all’art. 25 del GDPR e consentire una protezione dei dati personali trattati sin dalla progettazione (con implementazione di procedure, strumenti e Misure di sicurezza che consentano, sia al momento di determinare i mezzi del trattamento sia al momento del trattamento stesso, una maggiore tutela dei diritti degli interessati) e per impostazione predefinita (con implementazione di procedure tali da trattare solo i dati personali strettamente necessari per ogni finalità di trattamento).
  1. Misure di sicurezza
    • Il Responsabile è obbligato ad adottare misure di sicurezza idonee a proteggere i dati personali trattati per conto del Titolare. Alle misure di sicurezza adottate dovrà conseguire un livello di sicurezza per i dati personali trattati, che sia idoneo e proporzionato in considerazione (i) della natura, dell’oggetto, del contesto e delle finalità del trattamento, (ii) dei rischi per i diritti e le libertà degli interessati, (iii) dello stato dell’arte della tecnica e della tecnologia e infine (iv) dei costi per l’implementazione ed eventuale aggiornamento di tali Misure di sicurezza.
    • Nello specifico, il Responsabile adotterà misure di sicurezza finalizzate a proteggere i dati personali trattati in generale da qualsiasi forma di trattamento illecito, e in particolare dalla distruzione, dalla modifica, dalla divulgazione o dall’accesso illeciti o non autorizzati. Le misure di sicurezza adottate dal Responsabile comprenderanno, se del caso:
      1. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
      2. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; e
      3. una procedura per testare, verificare e valutare regolarmente l’efficacia delle Misure di sicurezza al fine di garantire la sicurezza del trattamento.
    • All’interno dell’Allegato A sono indicati i requisiti di base richiesti ai fini dell’implementazione delle Misure di sicurezza che il Responsabile dovrà adottare. Ulteriori Misure di sicurezza specifiche concretamente adottate dal Responsabile con riferimento a tutti o alcuni dei trattamenti di dati personali svolti per conto del Titolare saranno comunicate al Titolare nel corso dell’Incarico.
  1. Violazioni di dati personali ai sensi degli artt. 33 – 34 del GDPR (c.d. data breach)
    • Il Responsabile si impegna a comunicare al Titolare tempestivamente, senza ingiustificato ritardo dalla scoperta dell’evento e comunque entro 72 ore dalla scoperta stessa, qualsivoglia incidente di sicurezza ovvero qualsiasi evento che comporti una violazione o l’imminente minaccia di violazione dei dati personali trattati (quali, a titolo meramente esemplificativo, compromissioni al funzionamento del sistema informatico, accessi non autorizzati, azione di malware, divulgazione non autorizzata, furto o perdita di documentazione), fornendo la necessaria collaborazione per la risoluzione dell’incidente.
    • La comunicazione di cui all’art. 7.1 dovrà contenere almeno le informazioni richieste dall’art. 33 del GDPR.
    • Il Responsabile presterà tutta l’assistenza e la collaborazione eventualmente richiesta dal Titolare al fine di porre rimedio alla violazione di dati personali, o di fornire all’Autorità di controllo ogni informazione o chiarimento richiesto.
  1. Rapporti con terzi
    • Qualora gli interessati, le Autorità di controllo o qualsiasi altro terzo (ivi compresi, a titolo esemplificativo e non esaustivo, Autorità giurisdizionali e amministrative diverse dalle Autorità di controllo) avanzassero Richieste nei confronti del Responsabile (ivi comprese anche richieste per l’esercizio dei diritti riconosciuti agli interessati, quali il diritto di accesso, di rettifica, di opposizione, il diritto alla cancellazione, il diritto di limitazione di trattamento, il diritto di portabilità, il diritto di non essere sottoposto a una decisione basata sul trattamento automatizzato, compresa la profilazione), questo informerà immediatamente (e comunque non più tardi di 72 ore dalla ricezione della richiesta di informazioni / reclamo / contestazione) per iscritto il Titolare.
    • Il Responsabile avrà cura, in particolare, di trasmettere al Titolare copia delle Richieste pervenute, allegando altresì ogni ulteriore eventuale informazione o circostanza ritenuta utile.
    • Resta inteso che il Responsabile potrà fornire riscontro alle Richieste solo dietro espressa autorizzazione scritta del Titolare (che si riserva pertanto la facoltà di agire autonomamente), e comunque secondo le direttive, istruzioni e indicazioni fornite per iscritto da quest’ultimo. Il Responsabile, pertanto, non potrà in alcun modo agire in via autonoma, o in qualità di rappresentante / mandatario del Titolare (salvo espressa indicazione di questo a tal riguardo).
    • E’ fatto espresso divieto al Responsabile di comunicare o divulgare a terzi, anche in riscontro alle Richieste, i dati personali trattati per conto del Titolare o qualsiasi eventuale ulteriore informazione relativa al trattamento dei dati personali senza aver ottenuto previe autorizzazioni e istruzioni per iscritto dal Titolare.
    • Qualora fosse obbligato – in esecuzione di obblighi normativi, o dietro richieste di autorità giurisdizionali, amministrative o di pubblica sicurezza – a divulgare o comunicare a terzi i dati trattati per conto del Titolare o le informazioni relative al trattamento. Il Responsabile:
      1. notificherà immediatamente per iscritto al Titolare tale circostanza;
      2. adotterà ogni accorgimento volto a limitare o restringere l’ambito della divulgazione / comunicazione (ad esempio, omettendo informazioni non espressamente richieste);
      3. porrà in essere ogni ragionevole sforzo volto a ottenere dai destinatari delle comunicazioni impegni di riservatezza.
  1. Sub-responsabili
    • Qualora, nel corso dell’esecuzione dell’Incarico, il Responsabile manifestasse la necessità di coinvolgere Sub-responsabili, questi potranno svolgere operazioni di trattamento di dati personali previa comunicazione scritta inviata dal Responsabile al Titolare, contenente i nominativi e/o elementi identificativi dei Sub-responsabili. L’incarico dei Sub-responsabili avverrà a condizione che gli eventuali Sub-responsabili sottoscrivano un accordo di incarico nel quale siano obbligati a prestare garanzie equivalenti a quelle poste a carico del Responsabile.
    • In caso di eventuale opposizione alla nomina di uno o più Sub-responsabili, il Responsabile si impegna a sottoporre al Titolare un ulteriore fornitore di propria fiducia per lo svolgimento dei trattamenti individuati.
    • Si ritengono in ogni caso autorizzati sin d’ora i Sub-responsabili indicati di volta in volta all’interno dell’incarico di consulenza formalizzato tra le parti, nonché i fornitori di servizi tecnologici sottesi alle attività previste.
    • Resta in ogni caso inteso che il Responsabile sarà responsabile nei confronti del Titolare per il corretto, puntuale e regolare adempimento delle obbligazioni assunte dai Sub-responsabili.
  1. Trasferimento di dati personali
    • Il Responsabile vigilerà affinché i dati personali trattati per conto del Titolare non siano oggetto di trasferimento, anche a soggetti terzi, verso Paesi extra UE, senza la preventiva autorizzazione del Titolare.
    • Il Titolare dà atto di consentire in ogni caso al trasferimento di dati personali verso Paesi extra UE per ragioni tecnologiche o comunque necessarie in ragione dei fornitori o dei mezzi impiegati per lo svolgimento delle attività, in ogni caso nel rispetto dei requisiti di legge e in particolare mediante stipula delle Condizioni Contrattuali Tipo nella versione vigente, come approvata dalla Commissione Europea.
    • Nel caso in cui il trasferimento dei dati personali verso paesi terzi o organizzazioni internazionali sia richiesto dalla normativa vigente, il Responsabile informerà il Titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.
  1. Audit, ispezioni, verifiche
    • Il Responsabile si impegna a consentire la verifica e il controllo, da parte della Titolare della puntuale osservanza delle disposizioni impartite, anche in materia di sicurezza e di protezione dei dati, mettendo a disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi derivanti dalla normativa vigente.
  1. Durata e destinazione dei dati personali
    • La presente nomina sarà efficace per tutta la durata dell’Accordo e dovrà intendersi revocata in caso di cessazione, per qualunque causa, dello stesso.
    • In caso di cessazione della presente nomina, sarà cura del Titolare richiedere al Responsabile di riconsegnare gli eventuali dati personali trattati per suo conto, ovvero distruggerli definitivamente, senza conservarne copia alcuna, salvo espresso diverso accordo o previsione di legge.
    • Qualora il Titolare ometta, decorsi trenta giorni dalla cessazione della nomina, di comunicare al Responsabile come intenda procedere, quest’ultimo avrà la facoltà di procedere con la cancellazione e distruzione definitiva di ogni dato personale.
  1. Responsabilità e manleve
    • Il Responsabile terrà indenne il Titolare da ogni responsabilità direttamente derivante dalla esecuzione da parte del Responsabile (e/o dei Sub-responsabili da questo incaricati) delle disposizioni del presente Incarico, secondo le prescrizioni della Normativa Rilevante.
    • Il Responsabile non sarà in ogni caso tenuto a manlevare e tenere indenne il Titolare, qualora le responsabilità derivino dall’esecuzione delle istruzioni impartite dal Titolare e il Responsabile abbia informato il Titolare ai sensi del precedente art. 5.1.
 
  1. Comunicazioni
    • Ai fini dell’Incarico e delle comunicazioni tra le Parti, le stesse dichiarano di eleggere domicilio presso la sede legale indicata in epigrafe.
    • Tutte le comunicazioni tra le Parti saranno validamente effettuate per iscritto a mezzo di lettera raccomandata con ricevuta di ritorno, ovvero a mezzo PEC all’indirizzo riportato nella visura camerale di ciascuna Parte.
    • Qualsivoglia modifica degli indirizzi sopra riportati avrà efficacia nei confronti delle Parti solo se sia stata portata a conoscenza dell’altra Parte con le modalità sopra specificate.
  1. Varie
    • Qualsiasi modifica del presente Incarico dovrà, a pena di nullità, essere prevista in forma scritta.
    • L’Incarico annulla e sostituisce ogni precedente accordo o intesa tra le Parti in relazione al trattamento di dati personali svolti dal Responsabile per conto del Titolare.
    • Le Parti dichiarano che tutte le clausole contenute nel presente Incarico sono state oggetto di attenta e singola valutazione e riflettono la comune volontà.
    • Qualora una qualsiasi clausola del presente Incarico venisse dichiarata invalida, tale dichiarazione non inficerà la validità di tutte le altre clausole ivi contenute. In tale eventualità e per quanto possibile, tale clausola invalida dovrà venire sostituita da altra il cui effetto sia il più possibile equivalente a ciò che le Parti intendevano al momento della stipula dell’Incarico.
    • Il mancato esercizio da parte del Titolare di uno o più dei diritti che gli derivano dal presente Incarico, non costituirà né potrà essere inteso in alcun modo come rinuncia agli stessi.
    • I titoli degli articoli costituenti il presente Incarico hanno l’esclusivo fine di facilitare i riferimenti e non possono essere usati al fine di interpretare il contenuto dell’Incarico medesimo.
    • Resta inteso che la nomina a Responsabile del trattamento non attribuisce diritto ad alcun corrispettivo ulteriore rispetto a quanto previsto dall’Accordo, ed è finalizzata a garantire il corretto trattamento dei dati effettuato dal nominato Responsabile.

Allegato A

Misure di sicurezza

A – Prescrizioni in materia di misure di sicurezza logica e informatica Il Responsabile garantisce che:
  • all’interno della propria organizzazione aziendale è presente una struttura preposta al controllo e alla implementazione della sicurezza delle informazioni e dei dati personali trattati;
  • sono eseguite, da detta struttura, le opportune periodiche verifiche e controlli di sicurezza;
  • collabora con soggetti terzi alla propria struttura aziendale, a condizione che questi rispettino caratteristiche di affidabilità e attendibilità con riferimento alle misure di sicurezza adottate o da adottare.
Il Responsabile dovrà:
  1. adottare elevati standard di sicurezza (e mantenerli aggiornati in considerazione dello stato dell’arte della tecnologia);
  2. adottare una procedura in materia di sicurezza delle informazioni e dei dati personali processati, che sia conforme alle best practices di settore e che venga periodicamente aggiornata. Detta procedura sarà resa a disposizione del Titolare, dietro semplice richiesta;
  3. implementare una procedura di segmentazione degli accessi alle informazioni e ai dati personali (a livello sia informatico, sia logico / fisico), su base need-to-know (potranno cioè accedere solo i soggetti che necessitino di conoscere date informazioni per l’esecuzione delle Attività), e una procedura di aggiunta / integrazione / dismissione di detti accessi;
  4. utilizzare password complesse (minimo 8 caratteri di tipologia differente, reimpostazione password obbligatoria al primo accesso, scadenza password) per l’accesso ai sistemi informativi;
  5. assegnare ad ogni utente credenziali (user e password) personali, uniche e non assegnabili ad altri utenti;
  6. rimuovere gli account inattivi per più di 60 giorni o non più necessari per il trattamento di dati personali per conto del Titolare;
  7. aggiornarsi costantemente e in modo continuativo su disposizioni normative, novità tecnologiche ed eventuali vulnerabilità in materia di sicurezza;
  8. garantire che tutti gli apparati preposti all’archiviazione di dati e informazioni provenienti dal Titolare (ivi compresi gli apparati preposti al backup periodico) siano conservati in aree sicure e controllate a livello ambientale, detenute, gestite o contrattate dal Responsabile. Le aree di archiviazione utilizzate per memorizzare tali supporti dovranno essere programmate per ridurre ragionevolmente impatti derivanti da minacce ambientali;
  9. assicurare che tutte le connessioni esterne ai propri sistemi (inclusi, senza limitazione, reti o accesso remoto) siano individuate, verificate, registrate e approvate individualmente;
  10. assicurare che l’accesso wireless ai propri sistemi sia soggetto all’autorizzazione di autenticazione e ai protocolli di crittografia in linea con le best practice e siano consentiti solo dalle posizioni approvate dal Responsabile stesso.
B – Prescrizioni in materia di sicurezza fisica Il Responsabile dovrà:
  1. definire e mantenere aggiornate le procedure per garantire la sicurezza fisica nei locali sotto il proprio controllo;
  2. proteggere da rischi ambientali e avarie infrastrutturali le apparecchiature del data center e i sistemi di sicurezza utilizzati;
  3. proteggere fisicamente e conservare i supporti portatili che contengono dati personali trattati per conto del Titolare, assicurandosi che l’accesso agli stessi sia permesso solo al personale autorizzato;
  4. adottare procedure e accorgimenti tali da consentire che i sistemi informatici consentano la possibilità di revocare immediatamente l’accesso alle apparecchiature di elaborazione dati, ai servizi e ai supporti di memorizzazione.