CONDIZIONI SUL TRATTAMENTO DEI DATI
Definizioni
- “Autorità di Controllo”: ogni autorità competente a vigilare ed assicurare l’applicazione delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali con riferimento al Trattamento dei Dati Personali del Cliente svolti per mezzo del Servizio;
- “Categorie Particolari di Dati Personali”: i Dati Personali che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché il Trattamento di dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o i dati relativi a condanne penali e a reati o alle relative misure di sicurezza;
- “Clausole Contrattuali Tipo”: Clausole Contrattuali Tipo adottate dalla Commissione Europea nella Decisione 2010/87/UE del 5 febbraio 2010 per il trasferimento dei Dati Personali da un Titolare stabilito nell’UE verso un’Entità extra SEE che agisca come Responsabile;
- “Dati Personali del Cliente”: i Dati Personali, relativi agli Interessati, trattati in relazione al Servizio fornito dal Responsabile nei confronti del Titolare;
- “Dati Personali”: qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale; al fine di evitare contrasti interpretativi, “Dati Personali” ha il significato previsto dal Regolamento e dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali;
- “Decisione di Adeguatezza”: decisione vincolante emessa dalla Commissione Europea che permette il trasferimento dei Dati Personali dallo Spazio Economico Europeo verso un paese terzo il cui ordinamento interno fornisca un adeguato livello di tutela in materia di protezione dei Dati Personali;
- “Diritti dell’Interessato”: diritti riconosciuti all’Interessato dalle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali. Nei limiti di applicabilità del Regolamento, “Diritti dell’Interessato” significa, ad esempio, il diritto di chiedere al Titolare l’accesso, la rettifica o la cancellazione dei Dati Personali, il diritto alla limitazione del Trattamento dei dati dell’Interessato o il diritto di opposizione al Trattamento, nonché il diritto alla portabilità dei dati;
- “Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali“: il Regolamento Generale sulla Protezione dei Dati UE e le complementari legislazioni nazionali in materia di protezione dei Dati Personali, comprensivi di ogni orientamento e/o code of practice emessi dalla competente Autorità di controllo all’interno dell’Unione Europea; e/o, negli Stati extra UE, ogni vigente legislazione in materia di protezione dei Dati Personali relativa alla tutela ed al legittimo Trattamento di Dati Personali;
- “Interessato/i”: la persona fisica a cui i dati personali si riferiscono;
- “Regolamento”: il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE;
- “Responsabile”: la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che Tratti Dati Personali per conto del Titolare; ai fini dellepresenti Condizioni, il Responsabile è innovazionedigitale s.r.l..
- “Sub-Responsabile”: un organismo individuato dal Responsabile per assisterlo nel (o che intraprenda direttamente qualsivoglia) trattamento dei Dati Personali del Cliente nel rispetto delle obbligazioni previste dal Responsabile e di cui alle presenti Condizioni, individuabile nell’elenco dei Sub-Responsabili, che sia stato autorizzato dal Titolare ai sensi dell’art. 5 delle presenti Condizioni;
- “Titolare”: la persona fisica o giuridica, la pubblica autorità, l’organismo o altro ente che, da solo o congiuntamente con altri soggetti, determini le finalità e le modalità del Trattamento dei Dati Personali. Ai fini delle presenti Condizioni, il Titolare è il Cliente;
- “Trattare” o “Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a Dati Personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
- “Violazione dei Dati Personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati.
Doveri del titolare
- Il Titolare assicura e garantisce che sussiste un’idonea base giuridica, ai sensi dell’art. 6 del Regolamento UE 2016/679, per consentire al Responsabile di procedere al trattamento dei dati personali e coinvolti nell’erogazione del servizio oggetto del Contratto tra le Parti.
- Il Titolare assicura e garantisce di aver messo in atto tutti gli adempimenti al Regolamento che derivano dal proprio ruolo e ne garantisce il rispetto continuativo.
- Il Titolare è l’unico soggetto responsabile a predisporre e a distribuire agli Interessati del trattamento idonea informativa, ai sensi degli artt. 12, 13 e 14 del Regolamento UE.
Doveri del responsabile
- Il Responsabile, in relazione ai trattamenti di dati personali, dettagliati e specificati nell’ordine di acquisto:
- tratterà tali Dati Personali solo ai fini dell’erogazione dei Servizi oggetto del Contratto tra le Parti e solo nel rispetto di quanto eventualmente concordato dalle stesse per iscritto, agendo pertanto sulla base di istruzioni fornite dal Titolare;
- non tratterrà Dati Personali per scopi diversi da quelli previsti e necessari per fornire i suddetti Servizi;
- ha implementato misure tecniche, fisiche ed organizzative adeguate, conformemente a quanto disposto all’Art. 32 del Regolamento EU 2016/679, per proteggere i Dati Personali del Titolare da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati; a tale scopo il Fornitore ha adottato un Sistema di Gestione della Sicurezza delle Informazioni (SGSI) certificato ISO/IEC 27001:2013 e successive versioni ed includendo le estensioni ISO 27017 e ISO 27018 ; il Responsabile, su esplicita richiesta del Cliente, metterà a disposizione del Titolare la documentazione atta a dimostrare il mantenimento della certificazione ISO/IEC 27001:2013; le Parti sono consapevoli e concordano che il Responsabile è espressamente autorizzato ad implementare misure alternative o stabilire luoghi alternativi di conservazione dei dati, purché il livello di sicurezza delle misure o dei luoghi scelti sia ritenuto, sotto tutti gli aspetti, adeguato;
- si avvale di adeguati processi e di ogni altra misura idonei a garantire il necessario supporto al Titolare affinché possa ottemperare agli obblighi di cui agli artt. 33- 34- 35- 36 del Regolamento UE 2016/679;
- si impegna a fornire al Titolare cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dallo stesso, per consentire di adempiere ai propri obblighi ai sensi della Legge Applicabile. Il Responsabile si impegna inoltre a rispettare le indicazioni o le decisioni provenienti dall’Autorità preposta entro un tempo utile che consenta al Titolare di rispettare il termine imposto dalla stessa Autorità;
- nel rispetto di quanto previsto all’art. 30 del Regolamento UE, realizza, mantiene e rende disponibile a richiesta del Titolare, un Registro delle attività di trattamento svolte per conto del Cliente;
- si impegna a conformarsi, ove applicabile, al Provvedimento del 27 novembre 2008 in materia di amministratori di sistema, fatti salvi gli adeguamenti che potranno essere necessari a seguito dell’applicazione del Regolamento e di suoi eventuali provvedimenti attuativi.
- Il Responsabile si impegna, in particolare, a:
- Designare quali amministratori di sistema le figure professionali dedicate alla gestione e alla manutenzione dei sistemi o di loro componenti con cui vengono effettuate operazioni di trattamento di Dati personali;
- Predisporre, aggiornare e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali amministratori di sistema e le funzioni ad essi attribuite;
- Comunicare al Titolare, su richiesta dello stesso, l’elenco di cui al punto precedente.
Autorizzati al trattamento dei dati
Il Responsabile garantisce l’affidabilità di qualsiasi dipendente e/o collaboratore che tratta Dati Personali del Titolare ed assicura che gli stessi:
- abbiano ricevuto adeguata formazione con riferimento alla protezione dei dati;
- siano stati istruiti in merito alle Politiche e Procedure adottate dal Responsabile ed alla corretta gestione degli strumenti e dei Dati Personali;
- siano vincolati da obblighi di riservatezza adeguati.
Trattamento effettuato da parte di sub-responsabili
- Il Responsabile è autorizzato a servirsi di eventuali ed ulteriori Sub-responsabili a condizione che:
- Fornisca, su richiesta del Titolare elenco dei Sub-Responsabili coinvolti nelle operazioni di trattamento;
- notifichi al Titolare ogni eventuale aggiornamento del predetto elenco, consapevole che il Titolare ha la facoltà di opporsi a modifiche delle condizioni accordate preventivamente;
- imponga al Sub-responsabile condizioni vincolanti in materia di trattamento dei Dati Personali non meno onerose di quelle contenute nelle presenti Condizioni.
- Se il Titolare non si opporrà entro i 5 giorni lavorativi successivi alla ricezione della notifica relativa all’aggiornamento dei Sub-Responsabili, tale silenzio sarà da considerarsi quale autorizzazione tacita.
- Qualora il Sub- responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi in capo al Sub- responsabile.
Trattamento dei dati personali fuori dall’area economica europea
Il Responsabile potrà trasferire i Dati personali trattati al di fuori dell’AEE, anche per mezzo di Sub-responsabili del trattamento di dati, a condizione che tale trasferimento avvenga nel rispetto delle Leggi applicabili e previa comunicazione al Titolare. Il trasferimento potrà avvenire mediante l’adozione di meccanismi di trasferimento internazionale approvati ai sensi delle Leggi applicabili.
Violazione dei dati personali e obblighi di notifica
- Il Titolare è consapevole e acconsente che il Responsabile non sarà ritenuto responsabile in caso di violazione di dati personali che non sia imputabile a una violazione dei principi espressi dal Regolamento EU, ovvero delle istruzioni impartite dal Titolare, conformemente a quanto disposto dall’art. 82 e successivi commi del suddetto Regolamento EU.
- Nel caso in cui il Responsabile venga a conoscenza di una Violazione di dati personali oggetto delle presenti Condizioni, dovrà:
- Adottare le misure appropriate per contenere e mitigare tale violazione;
- Darne comunicazione al Titolare senza indebito ritardo, e comunque entro 48 ore dal momento in cui ne è venuto a conoscenza, fornendo una descrizione dettagliata della Violazione della sicurezza.
- Il Responsabile si impegna poi comunicare al Titolare:
- Se in suo possesso, le categorie di dati e di interessati coinvolti nella violazione; infatti per la tipologia di Servizi erogati, il Responsabile non ha direttamente contezza dei dati trattati;
- il nome e i contatti del proprio Responsabile della protezione dei dati, o i recapiti di un altro punto di contatto attraverso cui è possibile ottenere ulteriori informazioni;
- una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi; e
- non appena possibile, ogni altra informazione raccolta o resa disponibile, nonché ogni altra informazione che possa essere ragionevolmente richiesta dal Titolare relativamente alla Violazione della sicurezza. Qualora il Responsabile non possa fornire con la notifica le informazioni di cui sopra, per ragioni che sfuggono alla sua sfera di controllo, le informazioni saranno trasmesse non appena possibile.
Audit
- Il Responsabile offre piena collaborazione e mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto dei propri obblighi di cui alle presenti Condizioni e al Regolamento UE.
- Limitatamente alle attività di trattamento operate dal Responsabile per conto del Titolare quest’ultimo potrà effettuare verifiche, su base annuale, anche in forma documentale, o accedendo alla sede ed ai locali del Responsabile presso cui vengono eseguite le operazioni di trattamento, al fine di effettuare controlli sull’operato del Responsabile, sul rispetto delle istruzioni impartite, eventualmente anche attraverso opportune interviste agli Autorizzati al trattamento dei dati personali.
- Le attività di audit verranno fissate tramite appuntamento concordato tra le Parti, e in orario di lavoro, sempre a condizione che tali verifiche non collidano con obblighi di riservatezza a cui il Responsabile è tenuto nei confronti di Terzi.
- I controlli potranno essere condotti direttamente dal Titolare anche in collaborazione con professionisti di propria fiducia, oppure svolti da professionisti designati dal Titolare ad eseguirli per suo conto. Il Titolare riconosce al Responsabile il diritto di opporsi alla scelta di un determinato soggetto esterno qualora possa essere considerato “competitor” di innovazionedigitale.
Cancellazione dei dati personali
Il Responsabile provvede a mantenere i dati personali per altri 15 giorni, a partire dalla cessazione del contratto in essere tra le Parti, dopodiché sarà richiesta autorizzazione al Titolare del trattamento per procedere alla cancellazione dei Dati Personali trattati per l’esecuzione dei Servizi; nel caso in cui la cancellazione sia richiesta dal Titolare, per far fronte all’esercizio del relativo diritto dell’Interessato, sarà fornito supporto per fare in modo che lo stesso soddisfi la richiesta dell’interessato senza ingiustificato ritardo e, comunque, al più tardi entro un mese dal ricevimento della richiesta.
Cooperazione e responsabilità
- Le Parti si impegnano a collaborare in buona fede per assicurare il rispetto delle previsioni di cui alle presenti Condizioni, tra cui, ma non solo, il dovere di assicurare il corretto e tempestivo esercizio dei diritti dell’interessato, gestire incidenti di sicurezza/violazioni di dati personali al fine di mitigare i possibili effetti avversi da essi derivanti.
- Le Parti collaborano in buona fede per rendere disponibile reciprocamente e verso le Autorità di Controllo le informazioni necessarie a dimostrare il rispetto delle disposizioni di Legge applicabili in materia di protezione dei dati personali.
- Il Responsabile risponde per il danno causato a terzi dal trattamento e derivanti dalla condotta (attiva e/o omissiva) sua e/o dei suoi agenti e/o subappaltatori e/o sub-contraenti e/o sub-fornitori, e in quanto frutto del mancato rispetto: a) degli obblighi specificatamente diretti ai responsabili del trattamento dal Regolamento 2016/679; b) delle legittime istruzioni del titolare del trattamento, così come disposto dall’art. 82 e successivi commi del Regolamento 2016/679.