Nomina ai sensi dell’articolo 28 del regolamento UE 2016/679

DESIGNAZIONE DEL RESPONSABILE DEL TRATTAMENTO DATI

ai sensi dell’art. 28 del Regolamento (UE) 2016/679

Nell’ambito delle attività e dei servizi previsti e disciplinati dal contratto di servizio per l’accesso a e l’utilizzo della piattaforma software in cloud “Cyber Guru” stipulato con Cyber Guru S.p.A. (il “Contratto”), la società Cliente, (“Titolare del trattamento”)

PREMESSO CHE:

• l’art. 28, par. 3, del Regolamento (UE) 2016/679 (General Data Protection Regulation), di seguito anche “GDPR”, prevede che i trattamenti effettuati per conto del Titolare del trattamento da parte di un Responsabile del trattamento siano regolati da un contratto o da altro atto giuridico che determini la materia del trattamento, la durata, la natura e la finalità, il tipo di dati personali trattati e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento;

• l’art. 28 del Regolamento (UE) 2016/679 riconosce, altresì, al Titolare del trattamento la facoltà di avvalersi di uno o più Responsabili del trattamento dei dati, che abbiano esperienza, capacità, conoscenza per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del regolamento, anche relativamente al profilo della sicurezza;

DESIGNA

la società Cyber Guru S.p.A., in persona del suo Legale Rappresentante p.t., con sede in Roma (Italia), Viale della Grande Muraglia 284, 00144 Roma, Tel. (+39) 065159281, Fax (+39) 0651963515, quale RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI, tenuto conto delle attività di trattamento necessarie e/o opportune per dare esecuzione agli obblighi concordati ritenendo, ai fini della designazione, che il Responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del Reg. UE n. 2016/679.

La presente designazione non comporta alcuna modifica della qualifica professionale del Responsabile e/o degli obblighi concordati tra le Parti e sarà disciplinata dalle seguenti pattuizioni.

Il trattamento dei dati personali è effettuato esclusivamente per la corretta esecuzione delle attività concordate nella fruizione e utilizzo della piattaforma software denominata “Cyber Guru” meglio descritta nel Contratto.

Il Responsabile del trattamento, per espletare le attività per conto del Titolare, tratta direttamente e/o indirettamente le seguenti categorie di dati personali e informazioni riferite alle descritte categorie di interessati:

Nell’ambito delle attività svolte dal Responsabile saranno oggetto di trattamento unicamente i dati personali di cui all’art. 4 n. 1 del Reg.UE 2016/679 escluse le categorie particolari. Il Responsabile e i propri dipendenti e collaboratori sono tenuti alla assoluta riservatezza e si impegnano a trattare i dati in materia confidenziale e riservata, evitando l’eventuale comunicazione e/o conoscenza da parte di soggetti non autorizzati.

Qualunque sia la finalità e la durata del trattamento effettuato da parte del Responsabile:

• i dati non potranno essere venduti o ceduti, in tutto o in parte, ad altri soggetti;

• il Responsabile si impegna a non vantare alcun diritto sui dati e sui materiali presi in visione;

• coerentemente con quanto prescritto dal GDPR, è esplicitamente fatto divieto al Responsabile di inviare messaggi pubblicitari, commerciali e promozionali e comunque di contattare gli Interessati per finalità diverse da quelle nel presente atto.

Una volta cessati i trattamenti oggetto del Contratto, salvo rinnovo, il Responsabile si impegna a restituire al Titolare dati personali acquisiti, pervenuti a sua conoscenza o da questi elaborati in relazione all’esecuzione dei servizi prestati e, solo successivamente, si impegna a cancellarli dai propri archivi oppure a distruggerli trascorsi 90 giorni dalla cessazione del Contratto, ad eccezione dei casi in cui i dati debbano essere conservati in virtù di obblighi di legge. Resta inteso che la dimostrazione delle ragioni che giustificano il protrarsi degli obblighi di conservazione è a carico del Responsabile e che le uniche finalità perseguibili con tali dati sono esclusivamente circoscritte a rispondere a tali adempimenti normativi.

La presente designazione avrà validità per tutta la durata del rapporto giuridico intercorrente tra le Parti e potrà essere revocata a discrezione del Titolare.

La presente designazione non costituisce aggravio in capo al Responsabile, rientrando la medesima negli obblighi normativi che regolano i rapporti con il Titolare sotto il profilo della protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Il Responsabile del trattamento è autorizzato a ricorrere, ai sensi di quanto previsto dall’art. 28 par. 4 del GDPR, ad altro soggetto (di seguito “Sub-Responsabile del trattamento”) per l’esecuzione di specifiche attività di trattamento per conto del Titolare disciplinando il rapporto con atto giuridico o contratto teso a circoscrivere i rispettivi ambiti di responsabilità e facendo sottoscrivere al Sub-Responsabile le medesime condizioni applicate nel presente atto di designazione con espressa adozione degli obblighi in materia di protezione di dati personali già in capo al Responsabile del trattamento e derivanti dalla sottoscrizione del presente atto.

Il Responsabile del trattamento si impegna a trasmettere al Titolare, previa formale richiesta di quest’ultimo, l’elenco dei Sub-Responsabile individuati.

Il Responsabile del trattamento dovrà assicurare che il Sub-Responsabile del trattamento offra garanzie sufficienti di affidabilità e riservatezza e metta in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e che restituisca (ovvero cancelli) i dati personali oggetto dei trattamenti e le eventuali copie al termine della prestazione del servizio. Qualora l’eventuale Sub-Responsabile, esecutore del trattamento, ometta di adempiere ai propri obblighi in materia di protezione dei dati personali, il Responsabile dichiara espressamente e garantisce di mantenere l’intera responsabilità dell’adempimento degli obblighi di tale soggetto.

Il Responsabile del trattamento dovrà trasmettere alla Società la denominazione del Sub-Responsabile del trattamento, nonché di ogni altra modifica riguardante l’aggiunta o la sostituzione con altri Sub-Responsabili del trattamento, dando al Titolare la possibilità di opporsi.

Il Responsabile del trattamento garantisce la puntuale individuazione dei soggetti operanti a qualsiasi titolo nella propria organizzazione quali soggetti “autorizzati” al trattamento.

In particolare, il Responsabile del trattamento si impegna a consentire l’accesso e il trattamento dei dati personali solo a personale debitamente formato e specificamente designato anche ai sensi dell’art. 2-quaterdecies del D. Lgs. 196/2003 e s.m.i.

Il Responsabile si impegna ad effettuare per iscritto le nomine e limitare l’accesso e il trattamento ai soli dati personali necessari per lo svolgimento delle attività oggetto del Contratto.

Il personale autorizzato dovrà ricevere idonea e specifica formazione in relazione al rispetto delle misure organizzative e tecniche, in particolare alle misure di sicurezza adottate, adeguate ad assicurare la tutela dei dati personali trattati nel rispetto delle previsioni normative e della prassi in materia.

Nello specifico, il Responsabile:

• individua le persone autorizzate al trattamento dei dati impartendo loro, per iscritto, istruzioni dettagliate in merito alle operazioni consentite e alle misure di sicurezza da adottare in relazione alle criticità dei dati trattati;

• vigila regolarmente sulla puntuale applicazione da parte delle persone autorizzate di quanto prescritto, anche tramite verifiche periodiche;

• garantisce l’adozione dei diversi profili di autorizzazione delle persone incaricate, in modo da limitare l’accesso ai soli dati necessari alle operazioni di trattamento consentite rispetto alle mansioni svolte;

• verifica periodicamente la sussistenza delle condizioni per la conservazione dei profili di autorizzazione di tutte le persone incaricate, modificando tempestivamente detto profilo ove necessario (es. cambio di mansione);

• cura la formazione e l’aggiornamento professionale delle persone autorizzate che operano sotto la sua responsabilità circa le disposizioni di legge e regolamentari in materia di tutela dei dati personali.

Il Responsabile, su richiesta, invia al Titolare del trattamento, a mezzo P.E.C., l’elenco nominativo con specifica evidenza delle relative mansioni dei soggetti autorizzati al trattamento dei dati personali svolti per Suo conto e nell’ambito del Contratto.

Il Responsabile del trattamento, ai sensi degli art. 37 e ss. del GDPR, ha provveduto alla designazione di un Responsabile della protezione dei dati personali i cui dati di contatto sono: privacy@cyberguru.it.

Premesso che l’esercizio dei diritti riconosciuti all’interessato ai sensi degli artt. 15 e seguenti del GDPR sarà gestito direttamente dal Titolare, il Responsabile si rende disponibile a collaborare con il Titolare stesso fornendogli tutte le informazioni necessarie a soddisfare le eventuali richieste ricevute in tal senso.

Il Responsabile si impegna ad assistere il Titolare con misure tecniche e organizzative adeguate al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato.

In particolare, il Responsabile dovrà comunicare al Titolare, senza ritardo e comunque non oltre le 72 ore dalla ricezione, le istanze eventualmente ricevute e avanzate dagli Interessati in virtù dei diritti previsti dalla vigente normativa (es. diritto di accesso, ecc.) e a fornire le informazioni necessarie al fine di consentire al Titolare di evadere le stesse entro i termini stabiliti dalla normativa.

Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni del comma 5 dell’art. 30 del GDPR - mantiene un registro (in forma scritta e/o anche in formato elettronico) di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, contenente:

• il nome e i dati di contatto del Responsabile del trattamento e/o dei suoi Sub – Responsabili;

• le categorie dei trattamenti effettuati per conto del Titolare;

• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate adottate;

• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1 del GDPR.

Il Responsabile garantisce, inoltre, di mettere a disposizione del Titolare/o dell’Autorità di controllo che ne dovessero fare richiesta, il suddetto registro dei trattamenti.

Il Responsabile si impegna a coadiuvare il Titolare nella redazione del proprio Registro delle attività di trattamento, segnalando anche, per quanto di propria competenza, eventuali modifiche da apportare al Registro.

Nell'eseguire il trattamento dei Dati Personali ai fini della prestazione dei Servizi, il Responsabile si impegna ad adottare e mantenere adeguate misure di sicurezza, sia tecniche che organizzative, per assicurare un elevato livello di protezione dei dati personali e per evitare il trattamento illecito o non autorizzato, la distruzione accidentale o illecita, il danneggiamento, la perdita accidentale, l'alterazione e la divulgazione non autorizzata di, o l’accesso ai, Dati Personali ("Misure di Sicurezza").

Il Responsabile potrà aggiornare e modificare nel tempo le Misure di Sicurezza sopra indicate, fermo restando che tali aggiornamenti e modifiche non potranno comportare una riduzione del livello di sicurezza complessivo dei Servizi.

Il Responsabile sarà tenuto all’aggiornamento delle misure allorquando ciò sia richiesto dalla specifica attività di trattamento e/o dalla Legislazione in materia di Protezione dei Dati Personali, nel rispetto di quanto previsto dall’art. 32 par. 1 del GDPR ovvero “tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche”.

L’elenco delle misure di sicurezza implementate alla data di perfezionamento del presente atto di designazione è disponibile su richiesta del Titolare.

Il Responsabile fornirà al Titolare la lista nominativa degli ADS, con questi intendendo le persone fisiche che svolgono per conto del Responsabile ed in esecuzione dei compiti concordati ed affidati dal Titolare, attività di gestione e manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i software complessi che trattano dati del titolare, le reti locali e gli apparati di sicurezza di quest’ultimo, o comunque che possano intervenire sulle misure di sicurezza a presidio dei medesimi dati. Con riferimento ai soggetti individuati, il Responsabile deve comunicare rispetto ad ognuno i compiti e le operazioni svolte.

Il Responsabile ha il potere ed il dovere di trattare i dati personali indicati nel rispetto della normativa vigente, attenendosi sia alle istruzioni di seguito fornite, sia a quelle che verranno rese note dal Titolare mediante procedure e/o comunicazioni specifiche.

Il Responsabile dichiara espressamente di rispettare le istruzioni di seguito rappresentate e si obbliga ad attuare, nell’ambito dei compiti contrattualmente affidati, tutti gli adempimenti prescritti dalla normativa di riferimento in materia di tutela dei dati personali al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e di trattamento non consentito o non conforme alla raccolta.

Il Responsabile si impegna:

• a trattare direttamente, o per il tramite dei propri dipendenti, collaboratori esterni, consulenti, etc. – specificamente designati e autorizzati al trattamento - i dati personali del Titolare, per le sole finalità connesse allo svolgimento delle attività previste dal Contratto, in modo lecito e secondo correttezza, nonché nel pieno rispetto delle disposizioni previste dal GDPR e dalle presenti istruzioni;

• non divulgare o rendere noti a terzi - per alcuna ragione ed in alcun momento, presente o futuro ed anche una volta cessati i trattamenti oggetto del Contratto - i dati personali ricevuti dal Titolare pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, se non previamente autorizzato per iscritto dal Titolare, fatti salvi eventuali obblighi di legge o ordini dell’Autorità Giudiziaria e/o di competenti Autorità amministrative;

• collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;

• dare immediato avviso al Titolare in caso di cessazione dei trattamenti concordati;

• non creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;

• in caso di ricezione di richieste specifiche avanzate dall’Autorità Garante per la protezione dei dati personali o altre autorità, a coadiuvare il Titolare per quanto di sua competenza;

• segnalare eventuali criticità al Titolare che possono mettere a repentaglio la sicurezza dei dati, al fine di consentire idonei interventi da parte dello stesso;

• coadiuvare, su richiesta, il Titolare ed i soggetti da questo indicati nella redazione della documentazione necessaria per adempiere alla normativa di settore, con riferimento ai trattamenti di dati effettuati dal Responsabile in esecuzione delle attività assegnate;

• Informare immediatamente il Titolare qualora, a suo parere, un’istruzione fornita dallo stesso determini la violazione del Regolamento o altra normativa applicabile in materia di protezione dei dati personali ed astenersi da qualsivoglia ulteriore attività di trattamento. L’eventuale trattamento basato su un’istruzione del Titolare del trattamento non determinerà in alcun caso, la responsabilità del Fornitore

Qualora la Commissione Europea stabilisca, o un’autorità di vigilanza adotti, clausole contrattuali tipo per le materie di cui all’Articolo 28(3) e all’Articolo 28(4) del Regolamento ai sensi dell’Articolo 28(7) o dell’Articolo 28(8) del Regolamento (se del caso), e il Titolare informi il Responsabile della propria intenzione di includere qualunque elemento di tali clausole contrattuali tipo nel presente Accordo, il Responsabile accetterà le modifiche richieste dal Titolare al fine di includere tali elementi per iscritto, ove commercialmente ragionevole.

Il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo dall’avvenuta conoscenza, e comunque entro 72 ore, con comunicazione da inviarsi all’indirizzo PEC del titolare, ogni violazione dei dati personali (data breach) e/o incidenti di sicurezza inerenti ai trattamenti a questo affidati, fornendo, altresì:

• la descrizione della natura della violazione e l’indicazione delle categorie dei dati personali e il numero approssimativo di Interessati coinvolti;

• comunicare il nome e i dati di contatto del RPD o di altro punto di contatto presso cui ottenere più informazioni;

• la descrizione delle probabili conseguenze;

• la descrizione delle misure adottate o di cui dispone per porre rimedio alla violazione o, quantomeno, per attenuarne i possibili effetti negativi.

Fermo quanto sopra previsto, il Responsabile si impegna a prestare ogni più ampia assistenza al Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 33 - 34 del GDPR.

Una volta definite le ragioni della violazione, il Responsabile di concerto con il Titolare/o altro soggetto da quest’ultimo indicato, su richiesta, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi, al riguardo anche avvalendosi dell’operato di sub-fornitori.

Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulla base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile del trattamento, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai Sub-Responsabili.

Il Responsabile del trattamento si impegna a circoscrivere gli ambiti di circolazione e trattamento dei dati personali (es. memorizzazione, archiviazione, conservazione dei dati sui propri server) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in Paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 - CAPO V.

Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di sicurezza descritti nel presente documento e, in generale, il rispetto delle obbligazioni assunte in forza del presente atto e del GDPR, consentendo e, su richiesta, contribuendo alle attività di audit, comprese le ispezioni, realizzate dal Titolare da altro soggetto da esso incaricato.

Qualora il Titolare rilevasse comportamenti difformi a quanto prescritto dalla normativa in materia nonché dalle disposizioni contenute nei provvedimenti del Garante per la protezione dei dati personali, provvederà a darne comunicazione al Responsabile, senza che ciò possa far venire meno l’autonomia dell’attività di impresa del Responsabile ovvero possa essere qualificato come ingerenza nella sua attività.

Le verifiche e le eventuali ispezioni di cui ai paragrafi precedenti del presente articolo dovranno essere concordate tra la Società e il Fornitore con un preavviso di almeno 15 giorni lavorativi prima della data di verifica/ispezione mediante comunicazioni alle e-mail di notifica.

Prima della verifica/ispezione, le Parti dovranno trovare un accordo circa l’oggetto, la tempistica e la durata della stessa, fermo restando che la verifica/ispezione dovrà avere una durata massima pari a 2 giorni lavorativi consecutivi e potrà essere eseguito 1 sola volta per ogni anno di durata del Contratto. Laddove, su richiesta della Società, la verifica/ispezione dovesse protrarsi per un periodo superiore a 2 giorni lavorativi consecutivi o la Società dovesse richiedere più di 1 verifica/ispezione per ogni anno contrattuale, la Società si impegna a rimborsare al Fornitore tutti i costi/spese eccedenti.

La Società dovrà tempestivamente fornire al Fornitore una relazione scritta di natura confidenziale contenente un riepilogo dell'oggetto e dei risultati della verifica/ispezione. Il Fornitore ha il diritto di utilizzare tale relazione e le informazioni ivi contenute a propria discrezione.

Nelle ipotesi di verifica/ispezione, sia qualora la Società provveda direttamente o affidi ad auditor o consulenti incaricati tale attività, la Società si impegna a mantenere riservate e confidenziali tutte le informazioni acquisite nel corso dell’ispezione o rilevate dalla documentazione e a non comunicare e/o diffondere a terzi tali informazioni/documenti.

Il Responsabile comunica tempestivamente al Titolare qualsiasi modificazione di assetto organizzativo o di struttura proprietaria che dovesse intervenire successivamente all’affidamento dell’incarico, affinché il Titolare possa accertare l’eventuale sopravvenuta mancanza dei requisiti previsti dalla vigente normativa o il venir meno delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a garantire il corretto trattamento dei dati oggetto della presente designazione.

Il Responsabile informa il Titolare delle eventuali carenze, situazioni anomale o di emergenza rilevate nell’ambito del servizio erogato - in particolare ove ciò possa riguardare il trattamento dei dati personali e le misure di sicurezza adottate dal Responsabile - e di ogni altro episodio o fatto rilevante che intervenga e che riguardi comunque l'applicazione del GDPR (ad es. richieste del Garante, esito delle ispezioni svolte dalle Autorità, ecc.) o della normativa nazionale ancorché applicabile.

Il Responsabile si impegna a comunicare al Titolare l’adesione a codici di condotta approvati ai sensi dell’art. 40 del GDPR e/o l’ottenimento di certificazioni che impattano sui servizi offerti al Titolare, intendendo anche quelle disciplinate dall’art. 42 del GDPR.

Il Titolare, poste le suddette istruzioni e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio ruolo, di impartire per iscritto eventuali ulteriori istruzioni che dovessero risultare necessarie per il corretto e conforme svolgimento delle attività di trattamento dei dati collegate all’accordo vigente tra le Parti, anche a completamento ed integrazione di quanto sopra definito.

Il Responsabile dichiara sin d’ora di mantenere indenne e manlevato il Titolare da qualsiasi danno, onere, spesa e conseguenza che dovesse derivare al Titolare stesso a seguito della violazione, da parte del Responsabile o di suoi Sub–Responsabili, degli impegni relativi al rispetto della disciplina in materia di protezione dei dati personali o delle istruzioni contenute nei relativi atti di nomina anche in seguito a comportamenti addebitabili ai loro dipendenti, rappresentanti, collaboratori a qualsiasi titolo.

Il Titolare del trattamento dichiara sin d’ora di mantenere indenne e manlevato il Responsabile da qualsiasi danno, onere, spesa e conseguenza che dovesse derivare al Responsabile stesso a seguito di istruzioni, indicazioni e/o richieste dal Titolare del trattamento che violino le disposizioni normative e/o le prassi vigenti in materia di protezione dei dati personali.