Pagina | 17
- garantire che le persone autorizzate ad utilizzare un sistema di trattamento automatico abbiano accesso esclusivamente ai dati personali per i quali hanno ricevuto l'autorizzazione (controllo accesso),
- assicurare che sia possibile controllare e verificare in quale luogo i dati personali sono stati trasferiti o resi disponibili mediante strumenti di trasmissione dati (controllo trasmissione), - assicurare che in un secondo tempo sia possibile verificare e accertare quali dati personali sono
stati inseriti o modificati in qualsiasi momento e da chi nei sistemi di trattamento automatici (controllo inserimento),
- assicurare che la riservatezza e l'integrità dei dati siano protette durante il trasferimento dei dati personali e il trasporto di supporti dati (controllo trasporto),
- garantire che i sistemi utilizzati possano essere ripristinati in caso di guasto (recuperabilità), - assicurare che tutte le funzioni dei sistemi siano disponibili e che i guasti eventualmente
verificatisi siano segnalati (affidabilità),
- assicurarsi che i dati personali conservati non possano essere danneggiati dai guasti di sistema (integrità dei dati),
- garantire che i dati personali trattati per conto di un titolare possano essere trattati solo in conformità alle istruzioni del titolare (controllo ordini),
- assicurare che i dati personali siano protetti da distruzione o perdita (controllo disponibilità), - assicurare che i dati personali raccolti per finalità diverse possano essere trattati separatamente
(separabilità).
Più precisamente, il Responsabile dovrà applicare almeno le misure tecniche e organizzative descritte in dettaglio nell’Allegato 1 al presente Atto, obbligandosi a dimostrare documentalmente, su richiesta del Titolare, l’avvenuta adozione delle stesse entro tre giorni dalla richiesta stessa, nonché il possesso delle risorse per mantenerle ed implementarle. Il Titolare potrà chiedere al Responsabile di attuare sulle dette misure gli aggiornamenti che si rendessero necessari in base ai progressi degli standard tecnologici o ad ulteriori obblighi normativi che dovessero essere imposti in costanza di rapporto contrattuale. Il Responsabile dovrà adottarli entro il termine indicato dall’INMI, ovvero dalla legge, e dovrà fornire al Titolare dimostrazione documentale della relativa adozione entro tre giorni dalla sua richiesta.
Art. 6. Responsabile della protezione dei dati
Le informazioni di contatto dei responsabili della protezione dei dati di entrambe le Parti sono riportate in calce al presente atto. Ciascuna Parte dovrà informare l’altra Parte per iscritto o in forma elettronica (ad esempio a mezzo email) di qualsiasi variazione del proprio responsabile della protezione dei dati.
Art. 7. Obblighi relativi al personale
Il Responsabile dovrà garantire che il proprio personale autorizzato a trattare i dati personali rispetti i termini e le condizioni del presente Atto.
Il Responsabile potrà concedere al proprio personale diritti di accesso ai dati personali solo sulla base del principio della necessità di conoscerli, nella misura necessaria affinché la singola persona autorizzata possa assolvere i propri obblighi, e in conformità alle misure tecniche e organizzative del Responsabile.
Il Responsabile dovrà garantire e documentare in maniera adeguata che tutti i membri del suo personale coinvolti nel trattamento:
- si siano impegnati al rispetto della riservatezza in relazione al loro contratto di lavoro o siano vincolati da un adeguato obbligo giuridico di riservatezza;
Nomina responsabile esterno al trattamento dei dati Vincix Group Srl
Pagina | 18
- siano stati debitamente istruiti e formati con riferimento all’osservanza degli obblighi previsti per gli stessi dalla normativa in materia di protezione dei dati e degli obblighi contrattuali del Responsabile in relazione alla gestione dei dati personali del Titolare.
Il Responsabile dovrà controllare in maniera adeguata che il proprio personale adempia agli obblighi di protezione dei dati e di riservatezza.
Il Titolare potrà in qualsiasi momento esaminare la documentazione del Responsabile relativa agli obblighi di protezione dei dati e di riservatezza del proprio personale e/o potrà richiedere una conferma scritta che il Responsabile abbia adempiuto ai propri obblighi relativi al personale previsti nel presente articolo.
Art. 8. Sub-Responsabili
Il Responsabile potrà nominare sub-Responsabili esclusivamente con il preventivo consenso scritto del Titolare e in conformità al Contratto Principale.
I sub-Responsabili dovranno soddisfare tutti i requisiti previsti dal presente Atto sotto ogni aspetto, in aggiunta, e non in alternativa, ai loro obblighi ai sensi delle Clausole Contrattuali Tipo UE che sono state stipulate. In particolare, il Titolare dovrà avere nei confronti di ciascun sub-Responsabile gli stessi diritti di istruzione, controllo e verifica che detiene nei confronti del Responsabile ai sensi del presente Atto. Il Responsabile garantisce che il Titolare potrà esercitare in qualsiasi momento tali diritti nei confronti dei sub-Responsabili.
Il Responsabile dovrà sorvegliare e controllare regolarmente che i sub-Responsabili rispettino il presente Atto. In ogni caso, il Responsabile si obbliga a manlevare il Titolare dalle conseguenze del mancato rispetto dei termini e delle condizioni del presente Atto e della normativa generale in materia di protezione dei dati personali.
Il Titolare avrà il diritto di ricevere dal Responsabile informazioni sul contenuto materiale dell’accordo per il trattamento dei dati tra il Responsabile e il suo sub-Responsabile. Ciò include una copia delle relative disposizioni in materia di protezione dei dati concordate tra il Responsabile e il suo sub-Responsabile (con esclusione delle condizioni commerciali o delle informazioni sui compensi).
I termini e le condizioni del Contratto che riguardano l’impiego di sub-appaltatori rimarranno impregiudicati e saranno applicati in aggiunta alle disposizioni che precedono.
Il Responsabile dovrà mantenere aggiornati i registri dei nomi e delle informazioni di contatto dei sub-Responsabili autorizzati, dei loro rappresentanti e responsabili della protezione dei dati. A richiesta del Titolare, il Responsabile dovrà fornire tali informazioni al Titolare.
Art. 9. Trattamento dei dati all’interno di UE/SEE
Non è previsto trasferimento dati extra UE.
Art. 10. Diritti di controllo e di verifica
Il Titolare potrà eseguire, o fare eseguire da un esperto revisore terzo, soggetto a obblighi contrattuali di riservatezza o segretezza professionale, verifiche periodiche in merito al rispetto da parte del Responsabile della normativa in materia di protezione dei dati e del presente Atto, ivi incluse le misure tecniche e organizzative concordate per il trattamento. Il revisore terzo non dovrà essere un concorrente del Responsabile o dei sub-Responsabili utilizzati. La verifica potrà includere ispezioni presso le relative sedi di trattamento del Responsabile e dei sub-Responsabili con un ragionevole preavviso (di cinque giorni lavorativi) nel corso del normale orario di lavoro e senza significative interruzioni dei servizi e delle attività, rispettivamente, del Responsabile o dei sub-Responsabili. Il Responsabile e/o i sub-Responsabili dovrà/dovranno agevolare tali verifiche e collaborare con il Titolare nell’esercizio di tale diritto. Ciò includerà in particolare la comunicazione di tutte le informazioni necessarie relative al Responsabile e ai suoi sub-Responsabili, alle loro imprese e strutture, alle misure tecniche e organizzative e alle altre circostanze che caratterizzano il trattamento dei dati personali del Titolare.
Il Titolare e il Responsabile potranno concordare per iscritto che eventuali revisioni e ispezioni potranno essere interamente o parzialmente sostituite da certificazioni, relazioni o estratti delle stesse rilasciati da enti indipendenti (es.: revisori esterni indipendenti) o idonea certificazione sulla base di controlli sulla sicurezza informatica o protezione dei dati.
Nomina responsabile esterno al trattamento dei dati Vincix Group Srl
Pagina | 19
Se dalla verifica emerge che il Responsabile non rispetta la normativa in materia di protezione dei dati o non adempie agli obblighi assunti ai sensi del presente Atto, il Responsabile dovrà adottare, a proprie spese, tutti gli interventi correttivi, ivi incluse eventuali soluzioni temporanee, necessari per ottenere il rispetto della conformità.
Art. 11. Durata e Risoluzione
Il presente Atto rimarrà in vigore fino al completamento di tutti i servizi previsti dal Contratto, ovvero fino alla sua risoluzione, ivi incluse le eventuali attività legate alla cessazione della sua efficacia che dovranno essere prestate dal Responsabile.
Al termine della prestazione dei servizi resi in ragione del Contratto, relativi al trattamento, il Responsabile dovrà, salvo quanto diversamente previsto nel Contratto, restituire i dati personali ed i supporti rimovibili eventualmente utilizzati per la loro memorizzazione, nonché cancellarne in modo sicuro e definitivo le copie registrate su supporto fisso. A richiesta del Titolare, il Responsabile dovrà documentare per iscritto l’adempimento di tale obbligo entro e non oltre le successive 24 ore dalla richiesta.
Gli obblighi normativi di conservazione in capo al Responsabile rimarranno impregiudicati. Qualora il Responsabile eccepisca la sussistenza di un obbligo normativo di conservazione dei dati personali nonostante le disposizioni che precedono, dovrà comunicarlo al Titolare e, su richiesta di quest’ultimo, documentarlo opportunamente. Il presente Atto manterrà la sua validità per la durata di tale conservazione.
Art. 12. Disposizioni generali
Fatto salvo quanto diversamente stabilito nel Contratto Principale, ciascuna Parte dovrà sostenere i costi per l’esecuzione del presente Atto.
Il Responsabile non potrà sospendere o rifiutare l’assolvimento degli obblighi previsti in capo allo stesso dal presente Atto.
Nessuna delle Parti potrà cedere, trasferire o gestire in altro modo alcuno dei rispettivi diritti o obblighi previsti nel presente Atto senza il preventivo consenso scritto dell’altra Parte.
Il presente Atto e i suoi Allegati superano ogni accordo precedente tra le Parti in materia di trattamento dei dati personali.
Tutte le modifiche, variazioni o rinunce al presente Atto nonché ai suoi Allegati avranno validità ed efficacia solo se formalizzate per iscritto e se debitamente sottoscritte da o per conto di tutte le parti allo stesso.
Qualora singole disposizioni del presente Atto siano o diventino invalide, ciò non pregiudicherà la validità delle restanti disposizioni dello stesso. In luogo delle disposizioni invalide si applicheranno le disposizioni di legge.
Il presente Atto sarà regolato e interpretato in conformità al diritto italiano.
Il foro competente per tutte le controversie risultanti da o relative al presente Atto sarà quello della sede del Titolare.
Roma, 12/04/2021
Il Fornitore INMI Lazzaro Spallanzani
__________________________ ______________________________
Allegato 1 – Misure tecniche ed organizzative in carico al responsabile esterno al trattamento dei dati KG Partners Srl
Pagina | 20