APP for Security - Nomina responsabile del trattamento

Accordo sul trattamento dei dati

ai sensi dell’art. 28 del Regolamento UE 2016/679

Tra

La Società ETHOS MEDIA GROUP SRL con sede in Via Venini 37, 20127 Milano, P.IVA 06763740963, email: ethos@ethosmedia.it, pec: ethosmedia@registerpec.it, in persona del legale rappresentante pro tempore, (di seguito indicata come “Fornitore” o “Responsabile”);

- da una parte –

Il Cliente, identificato tramite la procedura di registrazione a App for security, (di seguito indicata come “Cliente” o “Titolare”);

- dall’altra parte -

PREMESSO CHE

● Il titolare del trattamento di dati personali può proporre una persona fisica, una persona giuridica, una pubblica amministrazione e qualsiasi altro ente, associazione od organismo quale responsabile al trattamento dei dati, individuandolo tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento di dati personali, ivi compreso il profilo di sicurezza; il responsabile del trattamento deve altresì presentare garanzie sufficienti in modo tale che il trattamento soddisfi i requisiti del Regolamento generale sulla protezione dei dati (Regolamento UE 2016/679) e garantisca la tutela dei diritti dell'interessato.

● I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o altro atto giuridico che vincoli il responsabile del trattamento al titolare e che stabilisca la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.

● Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamenti per conto del titolare, su tale altro responsabile sono imposti, mediante un contratto o altro atto giuridico, gli stessi obblighi in materia di protezione dei dati personali contenuti nel contratto o in altro atto giuridico tra il titolare e il responsabile, prevedendo, in particolare, garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento.

● Il Cliente intende utilizzare App for security, applicazione fornita e gestita dal Fornitore, cui compete lo svolgimento di attività (di seguito indicate anche come “Servizi”) che comportano un trattamento di dati personali, come meglio specificato e descritto nell’allegato 1 del presente accordo;

● Il fornitore, in possesso delle garanzie richieste dalla normativa, effettua il trattamento dei dati personali per conto del Cliente e opera quale responsabile del trattamento, ai sensi dell’art. 28 del Reg. UE 2016/679;

● il Fornitore è in possesso delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento generale sulla protezione dei dati e garantisca la tutela dei diritti dell'interessato;

● il Cliente affida al Fornitore tutte – ed esclusivamente – le operazioni di trattamento dei dati personali necessarie per dare piena esecuzione ai Servizi descritti. In caso di danni derivanti dal trattamento, il fornitore ne risponderà qualora non abbia adempiuto agli obblighi della normativa pro tempore vigente in materia di trattamento di dati personali specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni ricevute.

Tanto premesso le parti convengono quanto segue:

a. le premesse e gli allegati formano parte integrante e sostanziale del presente accordo;

b. il presente accordo e l’adempimento degli obblighi ivi previsti non comporta alcun diritto del fornitore ad uno specifico compenso e/o indennità e/o rimborso.

1. OGGETTO

Le presenti pattuizioni hanno ad oggetto la disciplina delle condizioni alle quali il Fornitore si impegna ad effettuare le operazioni di trattamento dei dati e delle informazioni personali come definiti di seguito.

Nell’ambito dei loro rapporti contrattuali, le parti si obbligano a rispettare la normativa vigente e applicabile al trattamento dei dati personali, e in particolare, il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, applicabile dal 25 maggio 2018 (di seguito anche semplicemente Regolamento) e il Codice privacy (D. Lgs. 196/2003, così come modificato dal D. lgs 101/2018 recante le disposizioni per l’adeguamento della normativa nazionale al suddetto Regolamento).

2. DESCRIZIONE DEI TRATTAMENTI DELEGATI

Il Fornitore è autorizzato a trattare i dati personali necessari a prestare i servizi forniti, come da accordi tra le parti.

Più precisamente il Fornitore è autorizzato a compiere le operazioni di trattamento indicate nell’allegato 1 e a trattare i dati descritti nel suddetto allegato.

3. DURATA DELL’ACCORDO

Il presente accordo avrà efficacia fintanto che siano erogati i Servizi, salvi gli specifici obblighi che per loro natura sono destinati a permanere. Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o i Servizi non fossero più erogati, anche il presente accordo verrà automaticamente meno senza bisogno di comunicazioni o revoche e il Fornitore non sarà più legittimato a trattare i dati. Lo stesso, tuttavia, in ogni caso resterà obbligato a operare secondo il disposto dell’articolo 5 numero 12.

4. OBBLIGHI DEL CLIENTE

Il Cliente si obbliga a:

1. fornire al Fornitore la descrizione dei trattamenti delegati come indicati al n. 2 del presente accordo;

2. documentare per iscritto tutte le istruzioni riguardanti il trattamento dei dati da parte del fornitore;

3. comunicare per iscritto al fornitore qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati;

4. assicurare, sin d’ora e per tutta la durata del trattamento, il rispetto degli obblighi previsti dal regolamento europeo sulla protezione dei dati.

5. supervisionare il trattamento, compresa la realizzazione degli audit e le ispezioni col contributo del fornitore.

5. OBBLIGHI DEL FORNITORE

Il fornitore si impegna a:

1. trattare i dati personali per le sole finalità oggetto del trattamento;

2. trattare i dati personali in conformità alle istruzioni scritte allegate al presente contratto; se il fornitore ritiene che un’istruzione ricevuta rappresenti una violazione del Regolamento generale sulla protezione dei dati, o del diritto dell’Unione europea o del diritto di uno Stato membro, ne informa tempestivamente il cliente. Inoltre, se il fornitore è tenuto a procedere a un trasferimento di dati verso un paese terzo o un’organizzazione internazionale in virtù del diritto dell’Unione o del diritto di uno Stato membro al quale è sottoposto, deve informare il cliente di tale obbligo giuridico prima del trattamento a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

3. garantire la riservatezza dei dati personali trattati nell’ambito del presente contratto;

4. assicurare che le persone autorizzate a trattare i dati a carattere personale in virtù del presente contratto:

> si impegnino a rispettare la riservatezza o siano sottoposte a un idoneo obbligo legale di riservatezza;

> ricevano le istruzioni necessarie a mantenere la protezione dei dati a carattere personale;

5. tener conto, per quanto riguarda strumenti, prodotti, applicazioni o servizi, dei principi della privacy sin dalla progettazione (privacy by design) e della privacy per impostazione predefinita (privacy by default).

Inoltre il fornitore si assume gli ulteriori obblighi di seguito specificati tenendo conto di specifici aspetti legati alla gestione dei dati:

6. Sub-responsabili

Il fornitore non può ricorrere a un altro responsabile del trattamento senza previa specifica autorizzazione.

Nel caso venga autorizzato il ricorso ad altri responsabili, questi ultimi devono presentare le medesime garanzie sufficienti in ordine alla messa in atto delle misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del Regolamento generale sulla protezione dei dati e devono rispettare gli obblighi del presente accordo.

Al momento di entrata in vigore dell’accordo sul trattamento, è consentito avvalersi dei subresponsabili indicati nell’allegato sub C per i trattamenti ivi descritti.

7. Diritto degli interessati all’informativa

Le informative agli interessati vengono fornite dal Cliente. Ove si rendesse necessario, il fornitore si impegna a rispettare le indicazioni circa le modalità con cui il Cliente intenda fornire agli interessati l’informativa.

8. Esercizio dei diritti da parte degli interessati

Nei limiti del possibile il fornitore deve collaborare per consentire di fornire riscontro alle richieste degli interessati.

Quando gli interessati si rivolgono al fornitore per l’esercizio dei loro diritti, il fornitore deve inviare queste richieste, non appena vengono ricevute, all’indirizzo email indicato dal Cliente.

9. Notifica delle violazioni dei dati personali

Il Fornitore comunica al Cliente tutte le violazioni di dati personali nel termine massimo di 48 ore dal momento in cui è venuto a conoscenza della violazione, con le seguenti modalità:

- invio di comunicazione all’indirizzo mail indicato nel presente accordo

Tale comunicazione, classificata come URGENTE, è accompagnata da tutta la documentazione utile al fine di permettere di provvedere, se necessario, alla notifica di tale violazione all’Autorità di Controllo competente nei termini di legge. Dell’invio della predetta documentazione il Fornitore dovrà tempestivamente dare avviso telefonico al Cliente.

10. Ausilio del fornitore per il rispetto di ulteriori obblighi

Oltre a quanto indicato ai punti 8 e 9 dell’art. 5, il fornitore si rende disponibile a collaborare nell’effettuazione della valutazione di impatto sulla protezione dei dati personali e della consultazione preventiva rivolta all’Autorità di controllo ove i trattamenti che determinino tali obblighi coinvolgano il fornitore.

11. Misure di sicurezza

Il fornitore si impegna a mettere in atto le misure di sicurezza tecniche e organizzative che garantiscono un livello di sicurezza adeguate al rischio.

Più precisamente, il fornitore è tenuto ad adottare, sui sistemi con cui tratta i dati oggetto del presente accordo, misure adeguate che comprendono, tra le altre:

● pseudonimizzazione e cifratura dei dati personali;

● misure che abbiano la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento

● misure che abbiano la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

● una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

12. Sorte dei dati

Al termine della prestazione del servizio relativo al trattamento dei dati il fornitore, salvo la sussistenza di un obbligo di legge che preveda la loro conservazione, si obbliga a restituire gli stessi al Cliente, consentendo al Cliente di scaricare gli stessi in autonomia in ogni momento e per un periodo di 3 mesi dalla cessazione del servizio.

La restituzione si accompagna alla distruzione di tutte le copie esistenti in cartaceo e/o nel sistema informatico del fornitore entro 180 giorni dalla cessazione del contratto.

Una volta distrutti i dati, il fornitore deve comprovarne per iscritto la distruzione, dandone comunicazione al Cliente.

Il Fornitore si obbliga, ove si avvalga di subresponsabile, a vincolare lo stesso contrattualmente in caso di fallimento del Cliente (o altra causa che comporti la perdita della loro capacità di agire), a riconoscere alla Società titolare del trattamento il diritto di ordinare la restituzione o la cancellazione dei dati personali che il Cliente e di conseguenza il Fornitore trattava per suo conto.

13. Responsabile per la protezione dei dati (data protection officer, DPO o RPD)

Il fornitore comunica al Cliente il nome e i recapiti del responsabile per la protezione dei dati (DPO o RPD) se designato secondo quanto disposto dall’articolo 37 del regolamento sulla protezione dei dati.

14. Registro delle attività di trattamento

Il fornitore dichiara di tenere per iscritto un registro di tutte le attività di trattamento effettuate sulla base del presente accordo contenente tutte le informazioni richiesti dall’art. 30 del Regolamento.

15. Documentazione

Il fornitore mette a disposizione del Cliente la documentazione necessaria a dimostrare il rispetto di tutti i suoi obblighi e si attivano per consentire gli audit – comprese le ispezioni – e per contribuire agli audit.

6. GRATUITA’

Gli impegni assunti dal Fornitore con il presente accordo si intendono a titolo gratuito in quanto connessi ai servizi svolti sulla base del contratto in essere tra le parti.

ALLEGATI

A. AMBITO DEL TRATTAMENTO

Si riporta di seguito l’ambito del trattamento dei dati personali relativo ai servizi resi:

AREA

SERVIZI

TRATTAMENTO

DATI PERSONALI

web

gestione piattaforma dedicata a App for security

attività necessarie a garantire la sicurezza e le funzionalità offerte da App for security

dati personali inseriti dal Cliente all’interno della piattaforma

dati relativi all’amministrazione del sistema

B. ISTRUZIONI

Il fornitore è tenuto a rispettare le seguenti istruzioni:

● agire nell'ambito di operatività consentito in base ai rapporti contrattuali in essere potendo effettuare le operazioni funzionali alla realizzazione e gestione delle attività individuate nel contratto, senza eseguire trattamenti ulteriori a quelli meramente necessari per lo svolgimento delle attività concordate;

● mantenere l'assoluto riserbo sui dati personali di cui verrà a conoscenza, anche incidentalmente o per caso fortuito, in ragione dell'esercizio delle funzioni assegnate;

● accedere ai dati solo ed esclusivamente per l’esecuzione delle attività concordate;

● garantire la sicurezza della piattaforma di competenza,, adottando le misure adeguate ai rischi e assicurando il loro costante aggiornamento;

● effettuare gli aggiornamenti necessari per non compromettere la sicurezza e la funzionalità dei sistemi di propria competenza;

● astenersi dall’effettuare qualsiasi copia dei dati senza diversa specifica autorizzazione;

● effettuare le operazioni di estrapolazione solo nel caso di specifica autorizzazione e tenendo traccia dell’avvenuta operazione;

● segnalare al cliente eventuali criticità che dovesse riscontrare sul piano della sicurezza nello svolgimento dell’attività di competenza.

Il fornitore è poi tenuto a seguire le seguenti istruzioni nella gestione dei dati con propria strumentazione informatica:

● garantire la sicurezza dei sistemi di competenza, assicurando l’adozione di misure adeguate ai rischi;

● in ordine alla dismissione della strumentazione informatica, osservare le procedure prescritte dal Garante Privacy nel provvedimento del 13 ottobre 2008 in materia di dismissione di pc e dispositivi elettronici contenenti banche dati, attivando gli opportuni accorgimenti tecnici idonei a cancellare in maniera definitiva i dati personali ivi memorizzati così da garantire la loro non intelligibilità.

In ordine al trasferimento in Paesi terzi extra UE, il fornitore è tenuto a:

● avvalersi di strumenti informatici e/o telematici e/o di personale che non determinino il trasferimento di dati in Paesi terzi extra UE, dovendo altrimenti comunicarlo previamente, assicurando in ogni caso che il trasferimento dei dati avvenga in conformità alla normativa vigente in materia di protezione dei dati personali.

Nel caso in cui il Fornitore riceva istanze dagli interessati per l’esercizio dei diritti riconosciuti dalla normativa applicabile in materia di protezione dei dati personali dovrà:

● darne tempestiva comunicazione scritta al Cliente allegando copia della richiesta;

● tenendo conto della natura del trattamento, assistere il Cliente con misure tecniche e organizzative adeguate al fine di soddisfare l'obbligo del Cliente di dare seguito alle richieste per l'esercizio dei diritti degli interessati.

Se il Fornitore esercita la sua attività attraverso dipendenti o collaboratori che operano sotto la sua autorità, è tenuto a seguire le seguenti ulteriori istruzioni:

● autorizzare al trattamento le persone di cui si avvalgono e fornire adeguate istruzioni circa le modalità del trattamento, in ottemperanza a quanto disposto dalla legge e dal presente accordo. A titolo esemplificativo e non esaustivo, il Fornitore, nel designare le persone autorizzate al trattamento, dovrà prescrivere che esse abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati e osservare le istruzioni indicate ai punti precedenti;

● vincolare le persone autorizzate al trattamento alla riservatezza o ad un adeguato obbligo legale di riservatezza, mediante apposito e valido accordo di riservatezza o non divulgazione, anche per il periodo successivo all’estinzione del rapporto di collaborazione intrattenuto, in relazione alle operazioni di trattamento da esse eseguite;

● consentire il trattamento di dati personali con strumenti elettronici alle sole persone autorizzate, cui deve essere attribuita specifica password di accesso;

● prescrivere alle persone autorizzate di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'autorizzato;

● prevedere la disattivazione delle credenziali di autenticazione non utilizzate da almeno sei mesi, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. Le credenziali devono essere disattivate anche in caso di perdita della qualità che consente alla persona autorizzata l'accesso ai dati personali;

● impartire alle persone autorizzate le istruzioni per la corretta gestione degli strumenti elettronici e degli eventuali supporti cartacei utilizzati per svolgere le operazioni di trattamento di dati al fine di evitare accessi non autorizzati e trattamenti non consentiti.

Ove occorra e per quanto concerne i trattamenti effettuati per fornire il Servizio, il Responsabile è tenuto altresì al rispetto delle previsioni pro tempore applicabili relative alla disciplina sugli amministratori di sistema contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 modificato in base al provvedimento del 25 giugno 2009. Il Responsabile, in particolare, si impegna a:

● designare individualmente i soggetti che nell’ambito dei Trattamenti svolti per il Titolare assolvono alla funzione di amministratore di sistema, indicando, nella designazione, l’elencazione analitica degli ambiti di operatività consentiti secondo il profilo di autorizzazione assegnato al singolo amministratore di sistema;

● conservare e fornire al Titolare i riferimenti delle persone fisiche preposte quali amministratori di sistema;

● fornire a coloro che operano quali amministratori di sistema l’informativa predisposta dal titolare.

Spetta al Responsabile fornire al proprio personale autorizzato le istruzioni ricevute dal Titolare per il trattamento dei dati svolto a fronte del rapporto in essere e monitorare affinchè le stesse siano rispettate.

C. SUB-RESPONSABILI

DENOMINAZIONE	P.IVA	INDIRIZZO	ATTIVITA’- SERVIZIO
TUSCANY CLOUD SRL	02405950516	Via Giulio Pastore, 28 52100 Arezzo	- Assistenza e manutenzione per piattaforma dedicata a App for Security - Archiviazione dati - Amministrazione di sistema

Al momento di entrata in vigore dell’accordo sul trattamento, è consentito avvalersi dei suddetti subresponsabili per i trattamenti sopra descritti.