‌Clausole contrattuali tipo UE per la nomina a responsabile

‌Decisione di esecuzione (UE) 2021/915 della commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell’articolo 28, paragrafo 7, del regolamento (ue) 2016/679 del parlamento europeo e del consiglio e dell’articolo 29, paragrafo 7, del regolamento (ue) 2018/1725 del parlamento europeo e del consiglio istruzioni e condizioni per il trattamento dei dati.

‌Sezione I

Clausola 1 – Scopo e ambito di applicazione

1. Scopo delle presenti clausole contrattuali tipo (di seguito «clausole») è garantire il rispetto dell’articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)
2. Le parti di cui all’allegato 1 hanno accettato le presenti clausole al fine di garantire il rispetto dell’articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679
3. Le presenti clausole si applicano al trattamento dei dati personali specificato all’allegato 2.
4. Gli allegati da 1 a 4 costituiscono parte integrante delle clausole.
5. Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto il titolare del trattamento a norma del regolamento (UE) 2016/679
6. Le presenti clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del regolamento (UE) 2016/679.

Clausola 2 – Invariabilità delle clausole

1. Le parti si impegnano a non modificare le clausole se non per aggiungere o aggiornare informazioni negli allegati.
2. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio o di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.

Clausola 3 – Interpretazione

1. Quando le presenti clausole utilizzano i termini definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui al regolamento interessato.
2. Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
3. Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679 o che pregiudichi i diritti o le libertà fondamentali degli interessati.

Clausola 4 – Gerarchia

In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell’accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.

Clausola 5 – Clausola di adesione successiva

1. Qualunque entità che non sia parte delle presenti clausole può, con l’accordo di tutte le parti, aderire alle presenti clausole in qualunque momento, in qualità di titolare del trattamento o di responsabile del trattamento, compilando gli allegati e firmando l’allegato 1.
2. Una volta compilati e firmati gli allegati di cui alla lettera a), l’entità aderente è considerata parte delle presenti clausole e ha i diritti e gli obblighi di un titolare del trattamento o di un responsabile del trattamento, conformemente alla sua designazione nell’allegato 1.
3. L’entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all’adesione

‌Sezione II – OBBLIGHI DELLE PARTI

Clausola 6 – Descrizione del trattamento

I dettagli dei trattamenti, in particolare le categorie di dati personali e le finalità del trattamento per le quali i dati personali sono trattati per conto del titolare del trattamento o di altro responsabile del trattamento, sono specificati nell’allegato 2.

Clausola 7 – Obblighi delle parti

1. 1. Istruzioni

      1. Il responsabile del trattamento tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento. In tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto lo vieti per rilevanti motivi di interesse pubblico. Il titolare del trattamento può anche impartire istruzioni successive per tutta la durata del trattamento dei dati personali. Tali istruzioni sono sempre documentate.
      2. Il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, le istruzioni fornite violino il regolamento (UE) 2016/679 o le disposizioni applicabili, nazionali o dell’Unione, relative alla protezione dei dati.

   2. Limitazione delle finalità

      Il responsabile del trattamento o il titolare del trattamento tratta i dati personali soltanto per le finalità specifiche del trattamento di cui all’allegato 2, salvo ulteriori istruzioni del titolare del trattamento.

   3. Durata del trattamento dei dati personali

      Il responsabile del trattamento tratta i dati personali soltanto per la durata specificata nell’allegato 2.

   4. Sicurezza del trattamento (Clausola integrata)

      1. Il responsabile del trattamento mette in atto almeno le misure tecniche e organizzative specificate nell’allegato 3 per garantire la sicurezza dei dati personali. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata, l’accesso ai dati (violazione della riservatezza dati personali), o l’indisponibilità. Nel valutare l’adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati. Il responsabile del trattamento si impegna all’adozione delle misure di sicurezza indicate nell’allegato 4. Il Cliente (nel ruolo di titolare del trattamento o responsabile primario) indica eventuali misure supplementari di sicurezza se ritiene che quelle implementate dal fornitore non siano sufficienti.
      2. Il responsabile del trattamento concede l’accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l’attuazione, la gestione e il controllo del contratto. Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
      3. Qualora il Titolare del trattamento intenda avvalersi di piattaforme esterne che interagiscono o sono connesse con i servizi forniti dal Responsabile del trattamento. ad esempio per la gestione integrata delle comunicazioni tramite e-mail, GMV Software S.r.l.s. si ritiene unicamente responsabile delle misure di sicurezza predisposte nello sviluppo dei connettori software, mentre non assume alcuna responsabilità in merito al concreto utilizzo di tali strumenti, piattaforme o servizi esterni da parte del Titolare del trattamento né in merito alle misure di sicurezza implementate in tali servizi esterni che devono essere opportunamente valutate dal Titolare del trattamento.

   5. Dati sensibili – (Clausola integrata)

      Se il trattamento riguarda dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (dati sensibili), il responsabile del trattamento, su istruzione del Cliente nel ruolo di titolare o responsabile primario, applica limitazioni specifiche e/o garanzie supplementari.

   6. Documentazione e rispetto

      1. Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole.
      2. Il responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati conformemente alle presenti clausole.
      3. Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e che derivano direttamente dal Regolamento (UE) 2016/679. Su richiesta del titolare del trattamento, il responsabile del trattamento consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un’attività di revisione, il titolare del trattamento può tenere conto delle pertinenti certificazioni in possesso del responsabile del trattamento.
      4. Il titolare del trattamento può scegliere di condurre l’attività di revisione autonomamente o incaricare un revisore indipendente. Le attività di revisione possono comprendere anche ispezioni nei locali o nelle strutture fisiche del responsabile del trattamento e, se del caso, sono effettuate con un preavviso ragionevole.
      5. Su richiesta, le parti mettono a disposizione della o delle autorità di controllo competenti le informazioni di cui alla presente clausola, compresi i risultati di eventuali attività di revisione.

   7. Ricorso a sub-responsabili del trattamento

      AUTORIZZAZIONE SCRITTA GENERALE: Il responsabile del trattamento ha l’autorizzazione generale del titolare del trattamento per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato. Il responsabile del trattamento informa specificamente per iscritto il titolare del trattamento di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di sub-responsabili del trattamento con un anticipo di almeno 7 giorni lavorativi, dando così al titolare del trattamento tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento in questione. Il responsabile del trattamento fornisce al titolare del trattamento le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
      1. Qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento (per conto del Titolare del trattamento), stipula un contratto che impone al sub-responsabile del trattamento, nella sostanza, gli stessi obblighi in materia di protezione dei dati imposti al responsabile del trattamento conformemente alle presenti clausole. Il responsabile del trattamento si assicura che il sub-responsabile del trattamento rispetti gli obblighi cui il responsabile del trattamento è soggetto a norma delle presenti clausole e del regolamento (UE) 2016/679.
      2. Su richiesta del titolare del trattamento, il responsabile del trattamento gli fornisce copia del contratto stipulato con il sub- responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, il responsabile del trattamento può espungere informazioni dal contratto prima di trasmetterne una copia.
      3. Il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento dell’adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con il responsabile del trattamento. Il responsabile del trattamento notifica al titolare del trattamento qualunque inadempimento, da parte del sub- responsabile del trattamento, degli obblighi contrattuali.
      4. Il responsabile del trattamento concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora il responsabile del trattamento sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, il titolare del trattamento ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest’ultimo di cancellare o restituire i dati personali.

   8. Trasferimenti internazionali (clausola integrata)

      1. Qualunque trasferimento di dati verso un paese terzo o un’organizzazione internazionale da parte del responsabile del trattamento è effettuato soltanto su istruzione documentata del titolare del trattamento o per adempiere a un requisito specifico a norma del diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento, e nel rispetto del capo V del regolamento (UE) 2016/679.
      2. Il titolare del trattamento conviene che, qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento conformemente alla clausola 7.7 per l’esecuzione di specifiche attività di trattamento (per conto del titolare del trattamento) e tali attività di trattamento comportino il trasferimento di dati personali ai sensi del capo V del regolamento (UE) 2016/679, il responsabile del trattamento e il sub-responsabile del trattamento possono garantire il rispetto del capo V del Regolamento (UE) 2016/679 utilizzando le clausole contrattuali tipo adottate dalla Commissione conformemente all’articolo 46, paragrafo 2, del Regolamento (UE) 2016/679, purché le condizioni per l’uso di tali clausole contrattuali tipo siano soddisfatte.
      3. Qualora il Titolare del trattamento intenda avvalersi di piattaforme esterne che interagiscono o sono connesse con i servizi forniti dal Responsabile del trattamento. ad esempio per la gestione integrata delle comunicazioni tramite e-mail, e che prevedono il trasferimento dati in Paesi Extra UE (inteso come trasferimento anche il solo accesso da parte di organizzazioni ubicate in Paesi Extra Ue), tali servizi devono intendersi come direttamente contrattualizzati fra il Titolare e il fornitore terzo. GMV Software S.r.l.s. fin da ora informa il Cliente dei rischi connessi ad avvalersi di fornitori ubicati in Paesi Extra UE che non presentino garanzie sufficienti o equivalenti a quelle di cui possono godere i cittadini europei. Nell’avvalersi di fornitori di servizi extra UE l’esportatore (Titolare del trattamento) deve valutare in ultima analisi che lo strumento di trasferimento di cui all’articolo 46 del Reg. UE 2016/679 su cui fare affidamento, e le opportune salvaguardie in esso contenute, garantiscano in modo efficace un livello di protezione sostanzialmente equivalente alla UE.
      Con la presente comunicazione GMV Software S.r.l.s. ha informato il Cliente in riferimento al par. 3 lettera h) – ultimo capoverso – art. 28 Reg. UE 2016/679 su eventuali istruzioni che possano violare il citato Regolamento altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati. Pertanto, GMV Software S.r.l.s. non assume alcuna responsabilità in merito all’utilizzo di strumenti, piattaforme o servizi che trasferiscono dati in Paesi Extra UE.

   9. Amministratori di sistema (ADS) – (clausola aggiunta)

      Il Responsabile del Trattamento, ove siano applicabili gli adempimenti degli “Amministratori di sistema” (provvedimento Autorità Garante Privacy 27 novembre 2008, c.d. “ADS”), predispone: la designazione dei soggetti autorizzati in qualità di Amministratori di Sistema, l’elencazione degli ambiti di operatività e profili di autorizzazione. Rimane in capo al Titolare, o a soggetto da lui incaricato in caso di infrastrutture gestite in outsourcing, la registrazione dei log degli accessi e delle attività. Il Responsabile del Trattamento e gli eventuali sub-responsabili per loro competenza, ove siano applicabili gli adempimenti degli “Amministratori di sistema” (provvedimento Autorità Garante Privacy 27 novembre 2008, c.d. “ADS”) predispongono agli adempimenti degli “Amministratori di sistema”, ed in particolare: designazione dei soggetti autorizzati ADS, elencazione degli ambiti di operatività e profili di autorizzazione. Nel caso di servizi di amministrazione di sistema affidati in outsourcing il titolare o il responsabile del trattamento devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, autenticazione dell’utente mediante valide credenziali di accesso per ciascuna persona fisica, che prevedano la registrazione degli accessi mediante conservazione inalterabile dei LOG degli stessi e delle attività di trattamento per almeno 6 mesi, verifica dell’operato degli ADS con cadenza almeno annuale, attività di verifica da parte dei titolari o dei responsabili del trattamento; implementazione di misure per l’autenticazione degli utenti che non prevedano l’utilizzo ordinario di credenziali di ADS. Tali disposizioni sono disciplinate dal provvedimento del Garante della Privacy Italiano del 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema – 27 novembre 2008” considerato applicabile ai sensi dell’art. 22 punto 4 del D.Lgs. 101/2018, il testo del provvedimento è reperibile qui: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1577499

   10. Tele assistenza /Assistenza on line (clausola aggiunta)

Ove sia previsto lo svolgimento di servizi di teleassistenza, al fine di consentire la connessione remota, il Titolare del Trattamento implementa misure di sicurezza tecniche adeguate per l’accesso, ad esempio configurando un canale dedicato (VPN), utilizzando tecniche di cifratura della comunicazione (protocolli SSL), configurando conseguentemente il firewall/router o comunque sistemi di interconnessione della rete aziendale che consentano i soli “servizi” e le sole “porte” necessarie per la comunicazione. Il Titolare del trattamento fornisce idonee credenziali di accesso, al fine di consentire al Responsabile del trattamento il collegamento in autonomia. Il Responsabile del trattamento si impegna ad adottare misure tecniche ed organizzative adeguate per la gestione e conservazione delle credenziali siano esse rese disponibili dal Titolare, o configurate direttamente dal responsabile, ed atte a consentire il servizio di teleassistenza. Qualora la teleassistenza preveda l’accesso remoto su una o più postazioni di lavoro del singolo utente (es: pc, notebook o Server) sarà concordata preventivamente la modalità di accesso e la possibilità da parte del Responsabile del trattamento di accedere ai sistemi del Titolare del trattamento previo consenso dell’utente (ad esempio mediante comunicazione password temporanea). La registrazione e la conservazione dei LOG di accesso, rimane in carico al Titolare del Trattamento o al responsabile se titolare dell’infrastruttura di destinazione del collegamento. Il Responsabile del trattamento garantisce che i dispositivi utilizzati dai propri autorizzati per gli interventi di teleassistenza siano protetti da idonee misure di sicurezza.

7.11 Fornitura di software (clausola aggiunta)

Il Responsabile del trattamento, qualora agisca in veste di sviluppatore del software fornito al Titolare del trattamento, garantisce l’adeguatezza del prodotto ai principi Privacy by design e by default ai sensi dell’art. 25 del GDPR.

Clausola 8 – Assistenza al titolare del trattamento

1. Il responsabile del trattamento notifica prontamente al titolare del trattamento qualunque richiesta ricevuta dall’interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal titolare del trattamento.
2. Il responsabile del trattamento assiste il titolare del trattamento nell’adempimento degli obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti, tenuto conto della natura del trattamento. Nell’adempiere agli obblighi di cui alle lettere a) e b), il responsabile del trattamento si attiene alle istruzioni del titolare del trattamento.
3. Oltre all’obbligo di assistere il titolare del trattamento in conformità della clausola 8, lettera b), il responsabile del trattamento assiste il titolare del trattamento anche nel garantire il rispetto dei seguenti obblighi, tenuto conto della natura del trattamento dei dati e delle informazioni a disposizione del responsabile del trattamento:
   1. l’obbligo di effettuare una valutazione dell’impatto dei trattamenti previsti sulla protezione dei dati personali («valutazione d’impatto sulla protezione dei dati») qualora un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
   2. l’obbligo, prima di procedere al trattamento, di consultare la o le autorità di controllo competenti qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio;
   3. l’obbligo di garantire che i dati personali siano esatti e aggiornati, informando senza indugio il titolare del trattamento qualora il responsabile del trattamento venga a conoscenza del fatto che i dati personali che sta trattando sono inesatti o obsoleti;
   4. gli obblighi di cui all’articolo 32 regolamento (UE) 2016/679.
4. Le parti stabiliscono nell’allegato 3 le misure tecniche e organizzative adeguate con cui il responsabile del trattamento è tenuto ad assistere il titolare del trattamento nell’applicazione della presente clausola, nonché l’ambito di applicazione e la portata dell’assistenza richiesta.

Clausola 9 – Notifica di una violazione dei dati personali

In caso di violazione dei dati personali, il responsabile del trattamento coopera con il titolare del trattamento e lo assiste nell’adempimento degli obblighi che incombono a quest’ultimo a norma degli articoli 33 e 34 del regolamento (UE) 2016/679, ove applicabile, tenuto conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.

9.1 Violazione riguardante dati trattati dal titolare del trattamento

In caso di una violazione dei dati personali trattati dal titolare del trattamento, il responsabile del trattamento assiste il titolare del trattamento:

1. nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il titolare del trattamento ne è venuto a conoscenza, se del caso, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
2. nell’ottenere le seguenti informazioni che, in conformità dell’articolo 33, paragrafo 3, del regolamento (UE) 2016/679, devono essere indicate nella notifica del titolare del trattamento e includere almeno:
   1. la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
   2. le probabili conseguenze della violazione dei dati personali;
   3. le misure adottate o di cui si propone l’adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali, se del caso anche per attenuarne i possibili effetti negativi.Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
3. nell’adempiere, in conformità dell’articolo 34 del regolamento (UE) 2016/679, all’obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali all’interessato, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

9.2. Violazione riguardante dati trattati dal responsabile del trattamento

In caso di una violazione dei dati personali trattati dal responsabile del trattamento, quest’ultimo ne dà notifica al titolare del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza. La notifica contiene almeno:

1. una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione);
2. i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;
3. le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.

Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo. Le parti stabiliscono nell’allegato 3 tutti gli altri elementi che il responsabile del trattamento è tenuto a fornire quando assiste il titolare del trattamento nell’adempimento degli obblighi che incombono al titolare del trattamento a norma degli articoli 33 e 34 del regolamento (UE) 2016/679.

‌Sezione III – DISPOSIZIONI FINALI

Clausola 10 – Inosservanza delle clausole e risoluzione

1. Fatte salve le disposizioni del Regolamento (UE) 2016/679, qualora il responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti clausole, il titolare del trattamento può dare istruzione al responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest’ultimo non rispetti le presenti clausole o non sia risolto il contratto. Il responsabile del trattamento informa prontamente il titolare del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
2. Il titolare del trattamento ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali conformemente alle presenti clausole qualora:
   1. il trattamento dei dati personali da parte del responsabile del trattamento sia stato sospeso dal titolare del trattamento in conformità della lettera a) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
   2. il responsabile del trattamento violi in modo sostanziale o persistente le presenti clausole o gli obblighi che gli incombono a norma del regolamento (UE) 2016/679;
   3. il responsabile del trattamento non rispetti una decisione vincolante di un organo giurisdizionale competente o della o delle autorità di controllo competenti per quanto riguarda i suoi obblighi in conformità delle presenti clausole o del regolamento (UE) 2016/679.
3. Il responsabile del trattamento ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora, dopo aver informato il titolare del trattamento che le sue istruzioni violano i requisiti giuridici applicabili in conformità della clausola 7.1, lettera b), il titolare del trattamento insista sul rispetto delle istruzioni.
4. Dopo la risoluzione del contratto il responsabile del trattamento, a scelta del titolare del trattamento, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica a quest’ultimo di averlo fatto, oppure restituisce al titolare del trattamento tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell’Unione o dello Stato membro non richieda la conservazione dei dati personali. Finché i dati non sono cancellati o restituiti, il responsabile del trattamento continua ad assicurare il rispetto delle presenti clausole.

Allegato 1

‌Atto di nomina del responsabile del trattamento dei dati Elenco delle parti‌

IL CLIENTE

La ragione sociale e i dati di contatto del Cliente sono identificati all’interno del contratto di servizio (contratto principale) stipulato tra le parti all’atto di accettazione dell’offerta/registrazione del Cliente sui sistemi di GMV Software S.r.l.s./attivazione del servizio.

Nella persona del suo legale rappresentante pro tempore in qualità di:

Titolare e/o responsabile del trattamento

dei dati personali, ai sensi e per gli effetti del art. 28 Reg. UE 2016/679, ha verificato le garanzie sufficienti, in termini di competenze ed esperienza nelle attività affidate, pertanto, tenuto conto dei rapporti contrattuali in essere, con il presente accordo

INDIVIDUA

nel ruolo di responsabile del trattamento dei dati:

RAG. SOCIALE (indirizzo, cap, città, provincia, c.f., p.iva)	DATI DI CONTATTO: (email e/o telefono, PEC)
GMV Software S.r.l.s. Via Elisabetta Sirani, 48 – 47923 Rimini (RN) P.Iva: 04343400406	E-mail: privacy@winddoc.com PEC: gmvsoftware@pec.it Tel. 3513174846

RESPONSABILE PER LA PROTEZIONE DEI DATI RPD-DPO (rag. sociale / referente)	DATI DI CONTATTO: (email e/o telefono, PEC)
Studio Paci & C. Srl (Referente: Luca Di Leo) Via Edelweiss Rodriguez Senior, 13 47924 Rimini (RN)	E-mail: dpo@studiopaciecsrl.it Telefono: 0541 1795431 Pec: studiopaciecsrl@pec.it

NOME E QUALIFICA DEL REFERENTE PRIVACY	DATI DI CONTATTO: (email e/o telefono, PEC)
Luca Morri	E-mail: privacy@winddoc.com PEC: gmvsoftware@pec.it Tel. 3513174846

‌Il Responsabile nominato dichiara di aver preso visione delle clausole contrattuali per il trattamento dei dati e degli Allegati 1, 2, 3, 4 che costituiscono parte integrante del presente atto di nomina, e di essere a conoscenza delle disposizioni di legge contenute nel Reg UE 2016/679, con particolare riferimento agli obblighi inerenti al contratto in essere, si impegna pertanto ad adottare tutte le misure necessarie all’attuazione di tali clausole. ‌Il presente accordo forma parte integrante del contratto di servizio (contratto principale) stipulato tra le parti all’atto di accettazione dell’offerta/registrazione del Cliente sui sistemi di GMV Software S.r.l.s./attivazione del servizio, per mezzo del quale il Cliente dichiara di conoscerne e accettarne il contenuto.

Il Cliente (Titolare del trattamento)	Il Fornitore (Responsabile del trattamento)
(Luogo, data, timbro e firma del L.R.) Il presente documento forma parte integrante del contratto di servizio (contratto principale) stipulato tra le parti all’atto di accettazione dell’offerta/registrazione del Cliente sui sistemi di GMV Software S.r.l.s./attivazione del servizio.	(Luogo, data, timbro e firma del L.R.) Il presente documento forma parte integrante del contratto di servizio (contratto principale) stipulato tra le parti all’atto di accettazione dell’offerta/registrazione del Cliente sui sistemi di GMV Software S.r.l.s./attivazione del servizio.

Allegato 2

‌Descrizione del trattamento dati per conto del titolare, contesto, natura e finalità.

NOME DEL TRATTAMENTO DEI DATI E FINALITA’	GESTIONE PORTALE NO PROFIT TRAMITE SERVIZIO WEB ANP.WINDDOC.COM
DURATA DEL TRATTAMENTO:	 La durata del trattamento è subordinata alla durata del contratto fra le parti  Altro:
MODALITA’ O STRUMENTI UTILIZZATI PER IL TRATTAMENTO:	Cartaceo  Email Software gestionale stand-alone (installato presso il titolare)  Cloud.  App  Servizio Web su Internet:
	 WindDOC No-Profit
TIPO DI DATI:	 Comuni / identificativi in riferimento ai servizi oggetto di contratto
	 Ragione sociale  Dati di contatto  Dati relativi al pagamento  IBAN  Dati relativi al bene o alla prestazione oggetto di fatturazione  Libro soci e verbali  Elenco volontari
	Altro*:
	*Se necessario specificare:
	 Particolari di cui all’art. 9 del GDPR
	A titolo esemplificativo rientrano nei dati particolari: dati che rivelino l’origine razziale o etnica (es. copie documenti identità riportanti la foto, etc.), le opinioni politiche (fruizione di permessi speciali dei dipendenti, etc.), le convinzioni religiose (fruizione di permessi per festività religiose, fruizione della mensa, etc…), convinzioni filosofiche (destinazione donazioni sulla dichiarazione dei redditi ad associazioni che possono fare intendere convinzioni filosofiche, etc…), appartenenza sindacale (trattenute su busta paga, permessi di lavoro, etc.), dati genetici (esami di laboratorio prenatali, altri esami, etc.), dati biometrici intesi a identificare in modo univoco una persona fisica (impronta digitale, del palmo, riconoscimento facciale, scansione della retina, etc…), dati relativi alla salute (attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute, etc.), alla vita sessuale o all’orientamento sessuale della persona
	 Eventuali dati particolari resi identificabili dal bene o dalla prestazione oggetto di fatturazione
	Altro*:
	Se necessario specificare:
	Relativi a condanne di cui all’art. 10 del GDPR e art. 2 octies D.Lgs. 196/2003
	Dati relativi a condanne penali, ai reati e alle connesse misure di sicurezza (es. dati in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti), etc…

	Se necessario specificare:
SOGGETTI INTERESSATI AL TRATTAMENTO	 Soggetti di cui il titolare del trattamento è il cliente Altro (indicare):

Allegato 3

Misure tecniche e organizzative per garantire la sicurezza dei dati

Ai fini di soddisfare le clausole contrattuali presenti nella designazione a responsabile del trattamento, in riferimento all’art. 28 par.1 – Reg. UE 2016/679 ‘GDPR’ che si riporta qui di seguito:

“1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.”

nonché in riferimento all’art. 28 par.3 lettera h) – Reg. UE 2016/679 ‘GDPR’ che si riporta qui di seguito:

Il responsabile “…. h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attivita ̀ di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato...”

MISURE DI SICUREZZA ART. 32 GDPR:

Al fine di fornire valide indicazioni sulle misure tecniche ed organizzative di sicurezza, di cui all’art. 32 del GDPR, le parti concordano di adottare le linee guida dell’Agenzia dell’Unione Europea per la Sicurezza delle reti e dell’informazione siglata ENISA per le quali il responsabile del trattamento dichiara di recepire per quanto applicabile in relazione ai servizi contrattualizzati. Di seguito l’elenco delle misure tecniche ed organizzative adottate.

MISURE TECNICHE ED ORGANIZZATIVE ADOTTATE

ENISA: L’Agenzia dell’Unione europea per la sicurezza informatica è l’agenzia dell’Unione dedicata al raggiungimento di un elevato livello comune di sicurezza informatica in tutta Europa. Istituita nel 2004 e rafforzata dalla legge sulla cibersicurezza dell’UE, l’Unione europea l’Agenzia per la cibersicurezza contribuisce alla politica informatica dell’UE, rafforza l’affidabilità dei prodotti, servizi e processi con schemi di certificazione della sicurezza informatica, coopera con gli Stati membri e gli organismi dell’UE e aiuta l’Europa a prepararsi per le sfide informatiche di domani.

Manuale sulla sicurezza del trattamento dei dati personali

Lo scopo generale del manuale è fornire strumenti utilizzabili dalle PMI per la redazione delle fasi metodologiche delle Line e guida ENISA 2016 per le PMI sulla sicurezza del trattamento dei dati personali, attraverso casi d’uso specifici e pragmatiche operazioni di trattamento comuni a tutte le PMI.

Identificativo della misura	Tipologia della misura Organizzativa / Tecnica	Categorie delle misure di sicurezza tecniche ed organizzative implementate
A	ORG	Politiche di sicurezza e procedure per la protezione dei dati personali
B	ORG	Gestione dei ruoli e responsabilità
C	ORG	Politiche di controllo degli accessi
D	ORG	Gestione risorse/asset
E	ORG	Gestione delle modifiche apportate alle risorse, agli apparati ed ai sistemi IT
F	ORG	Gestione dei Responsabili del trattamento e sub responsabili
G	ORG	Gestione degli incidenti / Violazione dei dati personali (Personal data breaches)
H	ORG	Business continuity
I	ORG	Obblighi di confidenzialità / riservatezza imposti al personale
J	ORG	Formazione
K	TECNICA	Controllo degli accessi e autenticazione
L	TECNICA	Generazione di file di log e monitoraggio
M	TECNICA	Sicurezza di Server e Database (ove applicabili in relazione ai trattamenti dati)
N	TECNICA	Sicurezza delle Postazioni di lavoro
O	TECNICA	Sicurezza della Rete e delle Infrastrutture di comunicazione Elettronica
P	TECNICA	Back-ups
Q	TECNICA	Gestione dei dispositivi mobili / portatili
S	TECNICA	Cancellazione / eliminazione dei dati
T	TECNICA	Sicurezza fisica

Allegato 4

‌Elenco dei sub-responsabili del trattamento

‌(elenco valevole alla data di sottoscrizione del contratto)

Clausola 7.7: Il responsabile del trattamento ha l’autorizzazione generale del titolare del trattamento per ricorrere a sub- responsabili del trattamento sulla base di un elenco concordato. Il responsabile del trattamento informa specificamente per iscritto il titolare del trattamento di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di sub- responsabili del trattamento con un anticipo di almeno 7 giorni lavorativi dando così al titolare del trattamento tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento in questione. Il responsabile del trattamento fornisce al titolare del trattamento le informazioni necessarie per consentirgli di esercitare il diritto di opposizione. Il presente allegato

Ragione Sociale, anagrafica azienda	Indirizzo mail	Dati di contatto del DPO (se presente)	Ambito del trattamento dei dati / finalità	Trasferimento dati in Paesi Extra UE (si/no)
Netsons S.r.l.	privacy@netsons.com	dpo@netsons.com	Gestione dei servizi in cloud	NO