Clausole contrattuali tipo
Il documento costituisce la traduzione italiana del documento “DK SA Standard Contractual Clauses for the purpo- ses of compliance with article 28 GDPR” preso dal “Registro delle decisioni adottate da Autorità di Controllo e Giurisdizionali su questioni trattate nell’ambito del meccanismo di coerenza”. Pertanto rientra nell’ambito di appli- cazione dell’art. 28 par.8 del GDPR e costituisce, quindi, un solido riferimento per dimostrare la Compliance alla normativa.
Ai fini dell’articolo 28, paragrafo 2, 3 e 4 del regolamento 2016/679 (RGPD)
tra
[NOME] Denominazione (denominazione della persona giuridica o fisica nel caso di professionista) in persona del legale rappresentante/procuratore (in caso di persone giuridiche), di seguito Responsabile
Iscrizione Registro delle Imprese/ P.IVA [INDIRIZZO] (sede legale)
[CODICE POSTALE E CITTÀ]
[PAESE]
(il Responsabile del trattamento)
e
[NOME] Denominazione (denominazione della persona giuridica o fisica nel caso di professionista) in persona del legale rappresentante/procuratore (in caso di persone giuridiche), di seguito Sub Responsabile. (In caso di RTI vanno indicate tutte le aziende mandanti e l’atto deve essere sottoscritto dall’azienda mandataria.)
Iscrizione Registro delle Imprese/P.IVA [INDIRIZZO] (sede legale)
[CODICE POSTALE E CITTÀ]
[PAESE]
(il Sub Responsabile del trattamento)
VISTO il contratto n. XXXXX CIG XXXX stipulato in data XXXX, concernente XXXXXXXX (di seguito Contratto), con cui il Responsabile XXXXXX ha affidato le attività ivi descritte al Sub Responsabile XXXXXXX (in seguito
“Società”) con sede legale in XXXXXX, P.IVA: XXXXXXXXX. (Può essere un accordo a se stante o riferimento ad un contratto).
Di seguito indicati singolarmente come «la parte» e congiuntamente come «le parti»
SONO STATE CONVENUTE le seguenti clausole contrattuali (le Clausole) al fine di soddisfare i requisiti del RGPD e garantire la tutela dei diritti dell’interessato.
1. Indice
2. Preambolo ... 3
3. Diritti e obblighi del Titolare del trattamento ... 3
4. Il Sub Responsabile del trattamento agisce secondo le istruzioni ... 4
5. Riservatezza ... 4
6. Sicurezza del trattamento ... 4
7. Impiego di ulteriori Sub Responsabili del trattamento ... 5
8. Trasferimento di dati a paesi terzi o organizzazioni internazionali ... 6
9. Assistenza al Titolare del trattamento ... 7
10. Notifica di violazione dei dati personali ... 8
11. Cancellazione e restituzione dei dati ... 8
12. Attività di revisione e ispezione ... 8
13. Accordo delle parti su altri termini ... 9
14. Inizio e cessazione ... 9
15. Contatti/punti di contatto del Titolare, del Responsabile e del Sub Responsabile ... 10
Appendice A Informazioni sul trattamento ... 111
Appendice B Ulteriori Sub Responsabili del trattamento autorizzati ... 122
Appendice C Istruzioni relative all’uso dei dati personali ... 143
Appendice D Termini dell’accordo delle parti su altri argomenti ... 20
2. Preambolo
1. Le presenti clausole contrattuali (le Clausole) stabiliscono i diritti e gli obblighi del Sub Responsabile del trattamento, qualora effettui il trattamento dei dati personali per conto del Titolare e del Responsabile del trattamento.
2. Le Clausole sono state concepite per garantire che le parti rispettino l’articolo 28, paragrafo 2, 3 e 4 del regolamento 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
3. Nel contesto della fornitura di [NOME DEL SERVIZIO], il Sub Responsabile del trattamento tratterà i dati personali per conto del Titolare e del Responsabile del trattamento in conformità alle Clausole.
4. Le Clausole hanno priorità rispetto a qualunque disposizione simile contenuta in altri accordi tra le parti.
5. Le Clausole comprendono quattro appendici, che ne costituiscono parte integrante.
6. L’appendice A contiene dettagli sul trattamento dei dati personali, tra cui la finalità e la natura del tratta- mento, il tipo di dati personali, le categorie di interessati e la durata del trattamento.
7. L’appendice B riporta le condizioni stabilite dal Titolare del trattamento in base alle quali il Responsabile del trattamento si avvale di Sub Responsabili del trattamento e un elenco di ulteriori Sub Responsabili del trattamento autorizzati dal titolare del trattamento.
8. L’appendice C comprende le istruzioni del Titolare e del Responsabile del trattamento relativamente al trattamento dei dati personali, alle misure minime di sicurezza che il Sub Responsabile del trattamento deve attuare e alle modalità in cui vanno effettuate le attività di revisione del Responsabile e di qualsiasi Sub Responsabile del trattamento.
9. L’appendice D include le disposizioni per le altre attività che non sono contemplate dalle Clausole.
10. Ambo le parti conservano per iscritto ed elettronicamente le Clausole e relative appendici.
11. Le Clausole non esentano il Sub Responsabile del trattamento dagli obblighi cui è soggetto ai sensi del regolamento generale sulla protezione dei dati (RGPD) o di altra normativa.
3. Diritti e obblighi del titolare del trattamento
1. Il Titolare del trattamento è responsabile di garantire che il trattamento dei dati personali sia effettuato conformemente al RGPD (cfr. articolo 24, RGPD), alle disposizioni applicabili relative alla protezione dei dati dell’UE o degli Stati membri1 e alle Clausole.
2. Il titolare del trattamento ha il diritto e l’obbligo di prendere decisioni sulle finalità e sui mezzi del trattamento dei dati personali.
3. Spetta al Titolare del trattamento, tra l’altro, di assicurare che il trattamento dei dati personali del quale sono incaricati il Responsabile e il Sub Responsabile del trattamento abbia una base giuridica.
1 Nelle clausole, il termine «Stati membri» si riferisce agli «Stati membri del SEE».
4. Il Sub Responsabile del trattamento agisce secondo le istruzioni
1. Il Sub Responsabile del trattamento effettua il trattamento dei dati personali soltanto su istruzione docu- mentata del Titolare e del Responsabile del trattamento, salvo ove richiesto dal diritto dell’Unione o dal diritto nazionale dello stato membro cui è soggetto il Sub Responsabile del trattamento. Tali istruzioni devono essere specificate nelle appendici A e C. Il Titolare e il Responsabile del trattamento possono impartire istruzioni successive durante il periodo di trattamento dei dati personali, ma queste devono es- sere sempre documentate e conservate per iscritto, anche elettronicamente, unitamente alle Clausole.
2. Il Sub Responsabile del trattamento è tenuto a informare tempestivamente il Titolare e il Responsabile del trattamento se ritiene che le istruzioni impartite da questi violino il RGPD o le disposizioni applicabili rela- tive alla protezione dei dati dell’UE o degli Stati membri.
[NOTA: LE PARTI DOVREBBERO PREVEDERE E CONSIDERARE LE CONSEQUENZE CHE POTREB- BERO DERIVARE DA ISTRUZIONI POTENZIALMENTE ILLEGITTIME IMPARTITE DAL TITOLARE E DAL RESPONSABILE DEL TRATTAMENTO E DISCIPLINARE QUESTO ASPETTO IN UN ACCORDO TRA LE PARTI]
5. Riservatezza
1. Il Sub Responsabile del trattamento concede l’accesso ai dati personali trattati per conto del Titolare e del Responsabile del trattamento soltanto alle persone sotto la propria autorità che si sono impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza ed esclusivamente nei casi di effettiva necessità. L’elenco delle persone a cui è stato concesso l’accesso deve essere sottoposto a revisione periodica. Sulla base di tale revisione, l’accesso ai dati personali può essere revocato se non è più neces- sario e, di conseguenza, i dati personali non dovranno più essere accessibili a queste persone.
2. Il Sub Responsabile del trattamento, su richiesta del Titolare e del Responsabile del trattamento, è tenuto a dimostrare che le persone interessate sotto la sua autorità sono soggette alla succitata riservatezza.
6. Sicurezza del trattamento
1. L’articolo 32, RGPD, prevede che tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare, il Responsabile e il Sub Responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Il Titolare del trattamento deve valutare i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attua misure per attenuare tali rischi. A seconda della loro pertinenza, le misure possono comprendere quanto segue:
a. la pseudonimizzazione e la cifratura dei dati personali;
b. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e orga- nizzative al fine di garantire la sicurezza del trattamento.
2. Ai sensi dell’articolo 32, RGPD, il Sub Responsabile del trattamento valuta anche, indipendentemente dal Titolare e dal Responsabile del trattamento, i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attua misure per attenuare tali rischi. A tal fine, il Titolare e il Responsabile del trattamento forniscono al Sub Responsabile del trattamento tutte le informazioni necessarie per identificare e valutare tali rischi.
3. Inoltre, il Sub Responsabile del trattamento assiste il Titolare e il Responsabile del trattamento nel garan- tire il rispetto degli obblighi imposti a questi ai sensi dell’articolo 32, RGPD, fornendo, tra l’altro, le infor- mazioni riguardanti le misure tecniche e organizzative da questi già attuate ai sensi dell’articolo 32 mede- simo, unitamente a tutte le altre informazioni necessarie al Titolare e al Responsabile del trattamento per conformarsi agli obblighi a lui imposti a norma del predetto articolo 32.
Laddove successivamente, secondo la valutazione del Titolare e del Responsabile del trattamento, il Sub Responsabile del trattamento sia tenuto ad attuare ulteriori misure per attenuare i rischi identificati oltre a quelle già attuate ai sensi dell’articolo 32, RGPD, il Titolare e il Responsabile del trattamento devono spe- cificare tali misure aggiuntive da adottare nell’appendice C. Le eventuali azioni da intraprendere devono essere specificate dal Titolare con l’indicazione degli oneri e responsabilità delle Parti.
7. Impiego di ulteriori Sub Responsabili del trattamento
1. Al fine di poter incaricare un altro Sub Responsabile del trattamento, il Sub Responsabile del trattamento deve soddisfare i requisiti di cui all’articolo 28, paragrafi 2 e 4, RGPD.
2. Il Sub Responsabile del trattamento non può, pertanto, incaricare un altro Sub Responsabile del tratta- mento per l’adempimento delle Clausole senza la previa [SCELTA 1] autorizzazione specifica scritta / [SCELTA 2] autorizzazione generale scritta del Titolare del trattamento.
3. [OPZIONE 1 PREVIA AUTORIZZAZIONE SPECIFICA] Il Sub Responsabile del trattamento incarica gli ulteriori Sub Responsabili del trattamento esclusivamente con la previa autorizzazione specifica del Tito- lare del trattamento. Il Sub Responsabile del trattamento inoltra la richiesta di autorizzazione specifica almeno [SPECIFICARE IL TERMINE] prima del conferimento dell’incarico all’ulteriore Sub Responsabile del trattamento interessato. L’elenco dei Sub Responsabili del trattamento già autorizzati dal titolare del trattamento è consultabile nell’appendice B.
[OPZIONE 2 AUTORIZZAZIONE GENERALE SCRITTA] Il Sub Responsabile del trattamento ha l’auto- rizzazione generale del titolare del trattamento ai fini del conferimento di un incarico a ulteriori Sub Re- sponsabili del trattamento. Il Sub Responsabile del trattamento informa per iscritto il Titolare del tratta- mento in merito a eventuali variazioni in termini di aggiunta o sostituzione di ulteriori Sub Responsabili del trattamento almeno [SPECIFICARE UN TERMINE] prima, garantendo in tal modo al Titolare del tratta- mento la possibilità di opporsi a tali variazioni prima del conferimento dell’incarico agli ulteriori Sub Re- sponsabili interessati. Per specifici servizi affidati a Sub Responsabili del trattamento possono essere previsti, nell’appendice B, termini di preavviso più lunghi. L’elenco dei Sub Responsabili del trattamento già autorizzati dal titolare del trattamento è consultabile nell’appendice B.
4. Quando un Sub Responsabile del trattamento ricorre a un ulteriore Sub Responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del Titolare e del Responsabile del trattamento, su tale ulteriore Sub Responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione europea o degli Stati membri, gli stessi obblighi in materia di pro- tezione dei dati contenuti nelle Clausole, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti delle Clausole e del RGPD.
Spetta quindi al Sub Responsabile del trattamento esigere che l’ulteriore Sub Responsabile del tratta- mento adempia almeno agli obblighi cui è soggetto il Sub Responsabile stesso secondo le Clausole e il RGPD.
5. Una copia di tale accordo relativo all’ulteriore Sub Responsabile del trattamento e ogni successiva modi- fica dello stesso è inviata al Titolare e al Responsabile del trattamento su loro richiesta, così da permet- tergli di garantire che all’ulteriore Sub Responsabile del trattamento siano imposti gli stessi obblighi in materia di protezione dei dati contenuti nelle Clausole. Le clausole commerciali che non pregiudicano i contenuti giuridici in materia di protezione dei dati di cui all’accordo relativo all’ulteriore Sub Responsabile del trattamento non necessitano di essere trasmesse al Titolare e al Responsabile del trattamento.
6. Il Sub Responsabile del trattamento concorda una clausola del terzo beneficiario con l’ulteriore Sub Re- sponsabile del trattamento, per cui, in caso di bancarotta del primo, il Titolare e il Responsabile del tratta- mento sono terzi beneficiario dell’accordo relativo all’ulteriore Sub Responsabile del trattamento e hanno il diritto di far valere l’accordo nei confronti di tale Sub Responsabile, ad es. consentendo al Titolare del trattamento di richiedere all’ulteriore Sub Responsabile del trattamento di cancellare o restituire i dati per- sonali.
7. Qualora l’ulteriore Sub Responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Sub Responsabile del trattamento conserva nei confronti del Titolare e del Respon- sabile del trattamento l’intera responsabilità dell’adempimento degli obblighi di tale Sub Responsabile del trattamento. Ciò non pregiudica i diritti degli interessati ai sensi del RGPD (in particolare quelli previsti negli articoli 79 e 82, RGPD) nei confronti del Titolare del trattamento e del Responsabile del trattamento, incluso il Sub Responsabile.
8. Trasferimento di dati a paesi terzi o organizzazioni internazionali
1. Qualsiasi trasferimento di dati personali verso paesi terzi o organizzazioni internazionali avviene soltanto sulla base di istruzioni documentate del Titolare e del Responsabile del trattamento e ha luogo sempre in conformità con il capo V del RGPD.
2. Qualora trasferimenti di dati a paesi terzi o organizzazioni internazionali, per i quali il Titolare e il Respon- sabile del trattamento non hanno fornito istruzioni al Sub Responsabile del trattamento, siano richiesti dal diritto dell’UE o dello Stato membro cui è soggetto il Sub Responsabile del trattamento, quest’ultimo in- forma il Titolare e il Responsabile di tale obbligo giuridico prima del trattamento, a meno che il diritto dell’UE o dello Stato membro vieti tale informazione per rilevanti motivi di interesse pubblico.
3. Nel quadro delle Clausole, il Sub Responsabile del trattamento, se non dispone di istruzioni documentate da parte del Titolare e del Responsabile del trattamento, non può quindi:
a. trasferire dati personali a un Titolare del trattamento o a un Responsabile del trattamento in un paese terzo o in un’organizzazione internazionale;
b. trasferire il trattamento dei dati personali a un Sub Responsabile del trattamento in un paese terzo;
c. far trattare i dati personali dal Responsabile del trattamento in un paese terzo.
4. Le istruzioni del Titolare e del Responsabile del trattamento relative al trasferimento di dati personali verso un paese terzo incluso, ove applicabile, lo strumento di trasferimento di cui al capo V del RGPD su cui tali istruzioni sono basate, sono descritte nell’appendice C.6.
5. Le Clausole non vanno confuse con le clausole tipo di protezione dei dati ai sensi dell’articolo 46, para- grafo 2, lettere c) e d), RGPD, e non possono essere invocate quale strumento di trasferimento di cui al capo V del RGPD.
9. Assistenza al titolare e al Responsabile del trattamento
1. Tenendo conto della natura del trattamento, il Sub Responsabile del trattamento assiste il Titolare e il Responsabile del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare gli obblighi del Titolare e del Responsabile di dare seguito alle richieste di esercizio dei diritti dell’interessato di cui al capo III del RGPD.
Ciò significa che il Sub Responsabile del trattamento, nella misura in cui ciò sia possibile, deve assistere il Titolare e il Responsabile del trattamento a ottemperare a quanto segue:
a. diritto di essere informato all’atto della raccolta dei dati personali presso l’interessato;
b. diritto di essere informato quando i dati non sono stati raccolti presso l’interessato;
c. diritto di accesso dell’interessato;
d. diritto di rettifica;
e. diritto alla cancellazione («diritto all’oblio»);
f. diritto di limitazione di trattamento;
g. obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del tratta- mento;
h. diritto alla portabilità dei dati;
i. diritto di opposizione;
j. diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione.
2. Il Sub Responsabile del trattamento, oltre all’obbligo di assistere il Titolare e il Responsabile del tratta- mento secondo quanto previsto dalla clausola 6.4, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assiste il Titolare del trattamento nel garantire la conformità a quanto segue:
a. l’obbligo del Titolare del trattamento di notificare la violazione dei dati personali all’autorità di con- trollo competente [INDICARE L’AUTORITÀ DI CONTROLLO COMPETENTE] senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
b. l’obbligo del Titolare del trattamento di comunicare la violazione dei dati personali all’interessato senza ingiustificato ritardo, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
c. l’obbligo del Titolare del trattamento di effettuare una valutazione dell’impatto dei trattamenti pre- visti sulla protezione dei dati personali (una valutazione d’impatto sulla protezione dei dati);
d. l’obbligo del Titolare del trattamento di consultare l’autorità di controllo competente, [INDICARE L’AUTORITÀ DI CONTROLLO COMPETENTE], prima del trattamento laddove una valutazione di impatto sulla protezione dei dati indichi che il trattamento comporterebbe un alto rischio in as- senza di misure adottate dal titolare del trattamento per mitigare il rischio.
3. Le parti definiscono nell’appendice C le misure tecniche e organizzative adeguate con le quali il Sub Re- sponsabile del trattamento deve assistere il Titolare e il Responsabile del trattamento nonché l’ambito di applicazione e la misura dell’assistenza richiesta. Ciò si applica agli obblighi previsti nelle clausole 9.1 e 9.2.
10. Notifica di violazione dei dati personali
1. In caso di incidente di sicurezza, di una violazione o sospetta violazione dei dati personali, il Sub Respon- sabile del trattamento ne dà notifica al Titolare e al Responsabile del trattamento senza ingiustificato ri- tardo dal momento in cui ne è venuto a conoscenza.
2. La notifica del Sub Responsabile del trattamento al Titolare e al Responsabile del trattamento avviene, se possibile, entro [NUMERO DI ORE] dal momento in cui è venuto a conoscenza della violazione o presunta violazione dei dati personali per permettere al Titolare del trattamento di rispettare il suo obbligo di notifica della violazione stessa all’autorità di controllo competente, cfr. articolo 33, RGPD.
3. Ai sensi della clausola 9.2.a., il Sub Responsabile del trattamento assiste il Titolare del trattamento nel notificare la violazione dei dati personali all’autorità di controllo competente, il che significa che egli è tenuto ad assisterlo nel reperire le informazioni elencate nel prosieguo, le quali sono riportate nella notifica del Titolare del trattamento all’autorità di controllo competente ai sensi dell’articolo 33, paragrafo 3, RGPD:
a. la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati dalla violazione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b. le probabili conseguenze della violazione dei dati personali;
c. le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
4. Le parti stabiliscono nell’appendice D tutti gli elementi che il Sub Responsabile del trattamento fornisce quando assiste il Titolare del trattamento nella notifica di una violazione dei dati personali all’autorità di controllo competente.
11. Cancellazione e restituzione dei dati
1. Al termine della prestazione dei servizi relativi al trattamento dei dati personali, il Sub Responsabile del trattamento ha l’obbligo di [OPZIONE 1] cancellare tutti i dati personali trattati per conto del Titolare e del Responsabile del trattamento, certificando a questi l’avvenuta distruzione / [OPZIONE 2] restituire tutti i dati personali al Titolare e al Responsabile del trattamento e cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati.
2. [FACOLTATIVO] La seguente legislazione dell’UE o nazionale applicabile al Sub Responsabile del tratta- mento richiede la conservazione dei dati personali dopo il termine della prestazione dei servizi relativi al trattamento dei dati personali,
a. […]
Il Sub Responsabile del trattamento s’impegna a trattare i dati personali esclusivamente per le finalità e il periodo previsti dalla suddetta legislazione e nel rispetto rigoroso delle condizioni applicabili.
12. Attività di revisione e ispezione
1. Il Sub Responsabile del trattamento mette a disposizione del Titolare e del Responsabile del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’articolo 28 e alle Clausole e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare e dal Responsabile del trattamento o da un altro soggetto da questi incaricato.
2. Le procedure applicabili alle attività di revisione, incluse le ispezioni, del Sub Responsabile e ulteriore Sub Responsabile del trattamento ad opera del Titolare e del Responsabile del trattamento sono specificate nelle appendici C.7 e C.8.
3. Il Sub Responsabile del trattamento è tenuto a fornire alle autorità di controllo, le quali ai sensi della nor- mativa vigente hanno accesso alle strutture del Titolare, del Responsabile e del Sub Responsabile del trattamento, o ai rappresentanti che agiscono per conto di tali autorità, l’accesso alle strutture fisiche del Sub Responsabile del trattamento previa presentazione di documentazione atta a identificarli come tali.
13. Accordo delle parti su altri termini
1. Le parti possono concordare altre clausole riguardanti la prestazione del servizio relativo al trattamento dei dati personali specificando ad es. la responsabilità, purché esse non siano incompatibili, direttamente o indirettamente, con le Clausole o ledano i diritti o le libertà fondamentali dell’interessato e la protezione prevista dal RGPD.
14. Inizio e risoluzione
1. Le Clausole sono efficaci dalla data della firma a opera di entrambe le parti.
2. Le parti hanno il diritto di richiedere la rinegoziazione delle Clausole laddove una modifica alla legge o l’inadeguatezza delle Clausole dovessero dare luogo a tale rinegoziazione. In particolare nel caso di mo- difiche e/o integrazioni alle misure di sicurezza da parte del Titolare è necessario che tali modifiche ven- gano concordate e comunicate ufficialmente per iscritto al Responsabile del trattamento.
3. Le Clausole sono valide per la durata della prestazione dei servizi relativi al trattamento dei dati personali.
Per la durata della prestazione dei servizi relativi al trattamento dei dati personali le Clausole non possono essere risolte, a meno che le parti abbiano concordato altre Clausole che disciplinino tale prestazione.
4. Se la prestazione dei servizi relativi al trattamento dei dati personali cessa e i dati personali sono cancellati o restituiti al Titolare e al Responsabile del trattamento ai sensi della clausola 11.1 e dell’appendice C.4., le Clausole possono essere risolte per iniziativa di una delle due parti con preavviso scritto.
5. Firma
Per il Responsabile del trattamento
Nome [NOME]
Qualifica [QUALIFICA]
Data [DATA]
Firma (FIRMA)
Per il Sub Responsabile del trattamento
Nome [NOME]
Qualifica [QUALIFICA]
Data [DATA]
Firma (FIRMA)
15. Contatti/punti di contatto del Responsabile e del Sub Responsabile del trattamento
1. Le parti possono mettersi in contatto tra di loro utilizzando i seguenti contatti/punti di contatto:
2. Le parti sono tenute a informarsi costantemente di ogni modifica riguardante i contatti/punti di contatto.
Nome [NOME]
Qualifica [POSIZIONE]
Telefono [TELEFONO]
E-mail [E-MAIL]
Nome [NOME]
Qualifica [POSIZIONE]
Telefono [TELEFONO]
E-mail [E-MAIL]
Appendice A Informazioni sul trattamento
[NOTA: IN CASO DI PLURIME ATTIVITÀ DI TRATTAMENTO, QUESTI ELEMENTI DEVONO ESSERE COMPLE- TATI PER CIASCUNA DI ESSE.]
A.1. Titolare/Titolari del trattamento:
[INDICARE IL TITOLARE O, SE PRESENTI DUE O PIÙ, I TITOLARI DEL TRATTAMENTO].
A.2. La finalità del trattamento dei dati personali da parte del Sub Responsabile del trattamento per conto del Titolare e del Responsabile del trattamento è:
[DESCRIVERE LA FINALITÀ DEL TRATTAMENTO].
A.3. Il trattamento dei dati personali da parte del Sub Responsabile del trattamento per conto del Titolare e del Responsabile del trattamento si riferisce principalmente a (la natura del trattamento):
[DESCRIVERE LA NATURA DEL TRATTAMENTO].
A.4. Il trattamento comprende le seguenti tipologie di dati personali sugli interessati:
[DESCRIVERE LE TIPOLOLOGIE DI DATI PERSONALI TRATTATI].
[AD ESEMPIO]
«Nome, indirizzo di posta elettronica, numero di telefono, numero di identificazione nazionale, dettagli di paga- mento, numero di tessera, tipo di affiliazione, presenze presso il centro fitness e registrazione a specifici corsi di fitness».
[NOTA: QUESTA DESCRIZIONE DOVREBBE ESSERE IL PIÙ DETTAGLIATA POSSIBILE E, IN OGNI CASO, L’INDICAZIONE DELLE TIPOLOGIE DI DATI PERSONALI DEVE ESSERE ULTERIORE RISPETTO AL SEM- PLICE RINVIO A «DATI PERSONALI DEFINITI NELL’ARTICOLO 4, PARAGRAFO 1, DEL RGPD» OPPURE ALL’INDICAZIONE DELLE CATEGORIE (“ARTICOLI 6, 9 O 10 DEL RGPD”) DI DATI PERSONALI OGGETTO DI TRATTAMENTO.]
A.5. Il trattamento comprende le seguenti categorie di interessati:
[DESCRIVERE LA CATEGORIA DI INTERESSATI].
A.6. Il trattamento dei dati personali da parte del Sub Responsabile del trattamento per conto del Titolare e del Responsabile del trattamento può essere effettuato dalla data di entrata in vigore delle Clausole. Il trattamento ha la seguente durata:
[DESCRIVERE LA DURATA DEL TRATTAMENTO].
Appendice B Ulteriori Sub Responsabili del trattamento autorizzati
Indicare i Sub Responsabili già contrattualizzati, quelli che si intendono contrattualizzare, nonché i loro ulteriori responsabili (fornitori dei sub responsabili), procedendo così per ogni livello di delega.
B.1. Sub-responsabili del trattamento approvati
Dalla data di applicazione delle Clausole, il Titolare del trattamento autorizza il conferimento dell’incarico ai se- guenti Sub Responsabili del trattamento:
NOME PARTITA IVA/
REGISTRO IMPRESE
INDIRIZZO DESCRIZIONE DEL TRATTAMENTO
Il Titolare del trattamento, dalla data di applicazione delle Clausole, autorizza l’utilizzo dei summenzionati Sub Responsabili con riguardo al trattamento rispettivamente descritto. In assenza della previa esplicita autorizzazione scritta del Titolare del trattamento, il Sub Responsabile del trattamento non ha il diritto di incaricare un ulteriore Sub Responsabile di effettuare un trattamento “diverso” rispetto a quello concordato né di richiedere a un altro Sub Responsabile di effettuare il trattamento descritto. Se sono coinvolti sub fornitori di un paese terzo, il Sub Respon- sabile del trattamento garantisce che il sub fornitore in questione garantisca un livello adeguato di protezione dei dati (ad esempio stabilendo un accordo in base alle clausole di protezione dei dati standard dell'UE). Su richiesta, il Sub Responsabile deve dimostrare la conclusione dei suddetti accordi con i suoi sub fornitori.
B.2. Preavviso per l’autorizzazione a ricorrere a ulteriori Sub Responsabili del trattamento
[FACOLTATIVO] [SE APPLICABILE, DESCRIVERE I TERMINI DI PREAVVISO PER L’AUTORIZZAZIONE A RI- CORRERE A ULTERIORI SUB RESPONSABILI DEL TRATTAMENTO]
Nella comunicazione di autorizzazione devono essere specificate le motivazioni che rendano necessaria tale atti- vità, indicando caratteristiche e requisiti dell’ulteriore Sub Responsabile, nonché, modalità e dati oggetto del sub- trattamento al fine di consentire al Titolare l’accertamento della sussistenza dei requisiti strutturali, di capacità economica, di affidabilità, morali, tecnici etc. non inferiori a quelli garantiti dal Sub Responsabile stesso, nonché l’assenza di conflitto di interesse anche potenziale in ordine ad eventuali altre finalità di trattamento svolte dall’ul- teriore Sub Responsabile per conto di terzi, ovvero in contrasto con le finalità oggetto del presente incarico.
Qualora il Titolare del Trattamento sollevi obiezioni è tenuto a dettagliare al Sub Responsabile le relative motiva- zioni. In tal caso, il Sub Responsabile può, a propria discrezione:
a. proporre un altro Sub Responsabile del Trattamento in sostituzione del Sub Responsabile del Trattamento per il quale abbia sollevato obiezioni;
b. adottare misure tese a superare le obiezioni del Titolare.
Resta inteso che laddove la nomina di un ulteriore Sub Responsabile del Trattamento sia eseguita nell’ambito di un – o sia comunque configurabile come – subappalto di opere/servizi da parte del Sub Responsabile/appaltatore il medesimo procederà a incaricare tale ulteriore Sub Responsabile del Trattamento esclusivamente previa auto- rizzazione da parte del Titolare ai sensi della legge applicabile. Nel caso di Sub Responsabili soggetti al Codice degli Appalti, il Sub Responsabile informa preventivamente il Titolare dei requisiti di partecipazione (ed eventual- mente dei criteri di aggiudicazione), in modo da non dover ripetere il processo di selezione in caso di opposizione del Titolare.
Se sono coinvolti sub fornitori di un paese terzo, il Sub Responsabile del trattamento garantisce che il sub forni- tore in questione garantisca un livello adeguato di protezione dei dati (ad esempio stabilendo un accordo in base
alle clausole di protezione dei dati standard dell'UE). Su richiesta, il Sub Responsabile deve dimostrare la conclu- sione dei suddetti accordi con i suoi sub fornitori.
Clausole contrattuali tipo dicembre 2019
Pagina 14 di 24
Appendice C Istruzioni relative all’uso dei dati personali C.1. Oggetto del/istruzioni per il trattamento
Il trattamento dei dati personali da parte del Sub Responsabile del trattamento per conto del Titolare e del Responsabile del trattamento è effettuato dal Sub Responsabile del trattamento che svolge quanto segue:
[DESCRIVERE IL TRATTAMENTO CHE IL SUB RESPONSABILE DEL TRATTAMENTO È STATO INCARICATO DI ESEGUIRE].
L’ELENCO DI SEGUITO RIPORTATO HA CARATTERE ESEMPLIFICATIVO E NON ESAU- STIVO.
Il Sub Responsabile del Trattamento si impegna a mettere in atto e a mantenere le misure di sicurezza previste dal piano di gestione rischi predisposto (indicare se dal Titolare o dal Re- sponsabile) e noto ad entrambe le Parti.
Il Sub Responsabile del trattamento s’impegna a mettere in opera le misure di sicurezza pre- viste da norme e migliori prassi attuali e future, a cui si impegna a conformarsi (senza ulteriori oneri per il Titolare), tra cui a titolo esemplificativo e non esaustivo:
EVADERE/INTEGRARE secondo l’oggetto del contratto
•Le norme specifiche in materia di Privacy eventualmente applicabili al Sub Responsabile (per esempio Regolamento ePrivacy);
•Le disposizioni attuative emanate dalla Commissione Europea in materia di Privacy;
•Le disposizioni emanate dal Comitato Europeo per la Protezione dei Dati;
•Le Linee Guida del gruppo di lavoro (WP) Art.29;
•Le Opinioni e Raccomandazioni del gruppo di lavoro (WP) Art.29;
•Le norme nazionali italiane (per esempio derivanti dalla L.25 ottobre 2017, n. 163, art. 13);
•Le autorizzazioni generali e specifiche del Garante;
•Misure di garanzia per il trattamento dei dati genetici, biometrici e relative alla salute (Art. 2- septies del Codice Privacy)
•I provvedimenti del Garante applicabili, in particolare:
-Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008;
-Rifiuti di apparecchiature elettriche ed elettroniche (Raee) e misure di sicurezza dei dati per- sonali - 13 ottobre 2008;
-Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie - 8 maggio 2014 e relative FAQ;
-Provvedimento in materia di videosorveglianza - 8 aprile 2010;
-Adempimenti semplificati per il customer care (inbound) - 15 novembre 2007 -RFID Etichette intelligenti: prescrizioni - 9 Marzo 2005;
-Provvedimento generale prescrittivo in tema di biometria - 12 novembre 2014;
-Sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro - 4 ottobre 2011;
-Sistemi di videosorveglianza per il controllo della procedura di raccolta del campione urinario a fini certificatori o di cura della salute - 15 maggio 2013;
•Le Linee Guida del Garante in materia di:
-Posta elettronica e internet – 1° marzo 2007;
-Trattamento di dati personali per profilazione on line - 19 marzo 2015;
Clausole contrattuali tipo dicembre 2019
Pagina 15 di 24
-Trattamento di dati personali, contenuti anche in atti e documenti amministrativi, effettuato per finalità di pubblicità e trasparenza sul web da soggetti pubblici e da altri enti obbligati – 15 maggio 2014;
-Dossier sanitario - 4 giugno 2015
-Svolgimento di indagini di customer satisfaction in ambito sanitario - 5 maggio 2011;
•Le norme del Codice Privacy non in contrasto con il Regolamento Europeo e non oggetto di abrogazione/modifica
•Le buone prassi in materia di sicurezza o Privacy:
-Proposte da ENISA (Agenzia europea per la sicurezza delle reti e dell'informazione);
- Emanate dall’Agenzia per l’Italia Digitale -Proposte da associazioni:
Center for Internet Security;
Critical Security Controls for Effective Cyber Defense;
-ISO 27001, ISO 29151, ISO 27002, ISO 27005, ISO 27035.
[Nella misura in cui l’art. 32 del GDPR, il quale prevede che la messa in opera delle misure di sicurezza spetti al Titolare del Trattamento e al Responsabile del Trattamento, si raccomanda di determinare precisamente le responsabilità di ciascuna parte riguardo alle misure da met- tere in opera]
C.2. Sicurezza del trattamento
Il livello di sicurezza tiene conto di quanto segue:
[TENUTO CONTO DELLA NATURA, DELL’AMBITO DI APPLICAZIONE, DEL CONTESTO E DELLE FINALITÀ DELL’ATTIVITÀ DI TRATTAMENTO NONCHÉ DEL RISCHIO PER I DI- RITTI E LE LIBERTÀ DELLE PERSONE FISICHE, DESCRIVERE GLI ELEMENTI CHE SONO ESSENZIALI PER IL LIVELLO DI SICUREZZA]
[AD ESEMPIO]
«del fatto che il trattamento prevede un grande volume di dati personali disciplinati dall’articolo 9, RGPD, sulle categorie particolari di dati personali, cosicché si dovrebbe stabilire un alto livello di sicurezza».
Il Sub Responsabile del trattamento ha conseguentemente il diritto e l’obbligo di prendere decisioni sulle misure di sicurezza tecniche e organizzative che dovranno essere applicate per creare il livello necessario (e concordato) di sicurezza dei dati.
Tuttavia, il Sub Responsabile del trattamento è tenuto ad attuare quantomeno e in ogni caso le seguenti misure concordate con il Titolare e il Responsabile del trattamento:
[DESCRIVERE I REQUISITI PER LA PSEUDONIMIZZAZIONE E CIFRATURA DEI DATI PERSONALI]
[DESCRIVERE I REQUISITI PER ASSICURARE SU BASE PERMANENTE LA RISERVA- TEZZA, L’INTEGRITÀ, LA DISPONIBILITÀ E LA RESILIENZA DEI SISTEMI E DEI SERVIZI DI TRATTAMENTO]
[DESCRIVERE I REQUISITI PER LA CAPACITÀ DI RIPRISTINARE TEMPESTIVAMENTE LA DISPONIBILITÀ E L’ACCESSO DEI DATI PERSONALI IN CASO DI INCIDENTE FISICO O TECNICO]
Clausole contrattuali tipo dicembre 2019
Pagina 16 di 24
[DESCRIVERE I REQUISITI PER LE PROCEDURE PER TESTARE, VERIFICARE E VALU- TARE REGOLARMENTE L’EFFICACIA DELLE MISURE TECNICHE E ORGANIZZATIVE AL FINE DI GARANTIRE LA SICUREZZA DEL TRATTAMENTO]
[DESCRIVERE I REQUISITI PER L’ACCESSO AI DATI ONLINE]
[DESCRIVERE I REQUISITI PER LA PROTEZIONE DEI DATI DURANTE LA TRASMIS- SIONE]
[DESCRIVERE I REQUISITI PER LA PROTEZIONE DEI DATI DURANTE LA CONSERVA- ZIONE]
[DESCRIVERE I REQUISITI PER LA SICUREZZA FISICA DEL LUOGO IN CUI SONO TRAT- TATI I DATI PERSONALI]
[DESCRIVERE I REQUISITI PER L’USO DEL TELELAVORO/LAVORO DA CASA]
[DESCRIVERE I REQUISITI PER IL LOG-IN]
[PIANO DI GESTIONE RISCHI]
MISURE MINIME DI SICUREZZA ICT PER LE PUBBLICHE AMMINISTRAZIONI
C.3. Assistenza al Titolare e al Responsabile del trattamento
Il Sub Responsabile del trattamento, per quanto possibile, in conformità all’ambito e alla mi- sura dell’assistenza specificati nel prosieguo, deve prestare assistenza al Titolare e al Re- sponsabile del trattamento ai sensi delle Clausole 9.1 e 9.2, attuando le seguenti misure tec- niche e organizzative:
[DESCRIVERE L’AMBITO DI APPLICAZIONE E LA MISURA DELL’ASSISTENZA CHE DEVE FORNIRE IL SUB RESPONSABILE DEL TRATTAMENTO]
ELENCARE IN OGNI CASO LE MODALITA’ PER IL SUPPORTO AGLI ARTT.12-22 DEL GDPR “TRASPARENZA ED ESERCIZIO DEI DIRITTI DELL’INTERESSATO”, ART. 24 DEL GDPR “RESPONSABILITÀ DEL TRATTAMENTO”, ART. 25 DEL GDPR “PRIVACY BY DE- SIGN & BY DEFAULT”, ARTT. 32-36 DEL GDPR “SICUREZZA DEL TRATTAMENTO, DATA BREACH E VALUTAZIONE D’IMPATTO”
[DESCRIVERE LE SPECIFICHE MISURE TECNICHE E ORGANIZZATIVE CHE IL SUB RE- SPONSABILE DEL TRATTAMENTO ADOTTA PER FORNIRE ASSISTENZA AL TITOLARE E AL RESPONSABILE DEL TRATTAMENTO]
C.4. Periodo di conservazione/procedure di cancellazione
[INDICARE IL PERIODO DI CONSERVAZIONE/PROCEDURE DI CANCELLAZIONE PER IL SUB RESPONSABILE DEL TRATTAMENTO, SE APPLICABILE]
SPECIFICARE LE OPERAZIONI SUI DATI ALLA FINE DEL TRATTAMENTO (CANCELLA- ZIONE O ANONIMIZZAZIONE DEI DATI)
PRECISARE LA LOGICA DI CANCELLAZIONE/DE IDENTIFICAZIONE, IN PARTICOLARE QUANDO L’INFORMAZIONE E’ FORTEMENTE STRUTTURATA
Clausole contrattuali tipo dicembre 2019
Pagina 17 di 24
Il Titolare e il Responsabile hanno il diritto di verificare che il Sub Responsabile abbia comple- tato in modo appropriato la restituzione o la cancellazione dei dati. Il Titolare può effettuare tale verifica tramite una terza parte, a condizione che la terza parte non abbia una relazione competitiva con il Sub Responsabile stesso.
Il Sub Responsabile deve conservare la riservatezza di tutti i dati che gli sono stati resi noti oltre la fine delle presenti clausole che rimarranno valide oltre la fine dell'Accordo principale e fintanto che il Sub Responsabile ha dati personali forniti o raccolti per il Titolare e il Respon- sabile.
[AD ESEMPIO]
«I dati personali sono conservati per [INDICARE IL TERMINE O L’INCIDENTE], dopo di che sono automaticamente cancellati dal Sub Responsabile del trattamento.
Al termine della prestazione dei servizi relativi al trattamento dei dati personali, il Sub Respon- sabile del trattamento cancella o restituisce i dati personali ai sensi della clausola 11.1, a meno che il Titolare o il Responsabile del trattamento abbiano modificato, dopo la firma del contratto, la scelta iniziale. Tale modifica deve essere documentata e conservata per iscritto, anche elet- tronicamente, unitamente alle Clausole».
C.5. Luogo del trattamento
Il trattamento dei dati personali ai sensi delle Clausole non può essere effettuato in luoghi diversi da quelli che seguono, senza la previa autorizzazione scritta da parte del Titolare o del Responsabile del trattamento:
[INDICARE DOVE HA LUOGO IL TRATTAMENTO] [INDICARE IL SUB RESPONSABILE O L’ULTERIORE SUB-RESPONSABILE DEL TRATTAMENTO CHE USA L’INDIRIZZO]
Clausole contrattuali tipo dicembre 2019
Pagina 18 di 24
C.6. Istruzioni sul trasferimento di dati personali verso paesi terzi
[DESCRIVERE UN’ISTRUZIONE SUL TRASFERIMENTO DEI DATI PERSONALI VERSO UN PAESE TERZO O UN’ORGANIZZAZIONE INTERNAZIONALE]
[INDICARE LA BASE GIURIDICA DEL TRASFERIMENTO DI CUI AL CAPO V DEL RGPD]
Se il Titolare e il Responsabile del trattamento non forniscono nelle Clausole o successiva- mente istruzioni documentate riguardanti il trasferimento dei dati personali verso un paese terzo, il Sub Responsabile del trattamento non ha diritto di eseguire tale trasferimento nell’am- bito delle Clausole.
C.7. Procedure per le attività di revisione da parte del Titolare del trattamento, comprese le ispezioni, relativamente al trattamento di dati personali da parte del Sub Responsa- bile
[DESCRIVERE LE PROCEDURE PER LE ATTIVITÀ DI REVISIONE DA PARTE DEL TITO- LARE E DEL RESPONSABILE DEL TRATTAMENTO, COMPRESE LE ISPEZIONI, RELATI- VAMENTE AL TRATTAMENTO DI DATI PERSONALI DA PARTE DEL SUB RESPONSA- BILE]
Ad esempio:
«Il Sub Responsabile del trattamento deve disporre [INDICARE IL TERMINE] a spese del [SUB RESPONSABILE/RESPONSABILE DEL TRATTAMENTO/TITOLARE DEL TRATTA- MENTO] di una [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] effettuata da un terzo indipendente riguardante la conformità del Sub Responsabile stesso al RGPD, a dispo- sizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Le parti hanno concordato che le seguenti tipologie di [RELAZIONE DI REVISIONE/RELA- ZIONE DI ISPEZIONE] possono essere usate in ottemperanza alle Clausole:
[INDICARE LE RELAZIONI DI REVISIONE/RELAZIONI DI ISPEZIONE APPROVATE]
La [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] è trasmessa senza ingiustifi- cato ritardo al Titolare e al Responsabile del trattamento a titolo informativo. Il Titolare e il Responsabile del trattamento possono contestare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova revisione/ispezione con un ambito modificato e/o una diversa metodologia.
Sulla base dei risultati ottenuti da tale attività di revisione/ispezione, il Titolare e il Responsabile del trattamento possono richiedere l’adozione di ulteriori misure per garantire la conformità al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Al Titolare e al Responsabile del trattamento o a un loro rappresentante è inoltre consentito l’accesso per ispezionare, anche fisicamente, i luoghi in cui è effettuato il trattamento dei dati personali a opera del Sub Responsabile del trattamento, compresi le strutture fisiche e i sistemi utilizzati e collegati al trattamento. Tale ispezione è effettuata quando il Titolare e il Respon- sabile del trattamento lo ritengono necessario».
[OPPURE]
Clausole contrattuali tipo dicembre 2019
Pagina 19 di 24
«Il Titolare e il Responsabile del trattamento o un loro rappresentante effettuano [INDICARE IL TERMINE] un’ispezione fisica dei luoghi in cui è svolto il trattamento dei dati personali a opera del Sub Responsabile del trattamento, compresi le strutture fisiche e i sistemi utilizzati e collegati al trattamento, al fine di accertare la conformità del Sub Responsabile del tratta- mento al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Oltre all’ispezione pianificata, il Titolare e il Responsabile del trattamento possono effettuare un’ispezione nei confronti del Sub Responsabile del trattamento quando lo ritengono neces- sario»
[E, SE APPLICABILE]
«I costi, se del caso, sostenuti dal Titolare e dal Responsabile del trattamento per l’ispezione fisica restano a carico di questi. Tuttavia, il Sub Responsabile del trattamento ha l’obbligo di destinare le risorse (soprattutto in termini di tempo) necessarie affinché il Titolare e il Respon- sabile del trattamento possano effettuare l’ispezione.»
C.8. [SE APPLICABILE] Procedure per le attività di revisione, comprese le ispezioni, del trattamento di dati personali svolto da ulteriori sub-responsabili
[SE APPLICABILE, DESCRIVERE LE PROCEDURE PER LE ATTIVITÀ DI REVISIONE DA PARTE DEL TITOLARE E DEL RESPONSABILE DEL TRATTAMENTO, COMPRESE LE ISPEZIONI, RELATIVAMENTE ALTRATTAMENTO DI DATI PERSONALI SVOLTO DA UL- TERIORI SUB-RESPONSABILI]
[AD ESEMPIO]
«Il Sub Responsabile del trattamento deve disporre [INDICARE IL TERMINE] a spese del [SUB RESPONSABILE/RESPONSABILE DEL TRATTAMENTO/TITOLARE DEL TRATTA- MENTO] di una [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] effettuata da un terzo indipendente riguardante la conformità dell’ulteriore Sub Responsabile del trattamento al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Le parti hanno concordato che le seguenti tipologie di [RELAZIONE DI REVISIONE/RELA- ZIONE DI ISPEZIONE] possono essere usate in ottemperanza alle Clausole:
[INDICARE LE RELAZIONI DI REVISIONE/RELAZIONI DI ISPEZIONE APPROVATE]
La [RELAZIONE DI REVISIONE/RELAZIONE DI ISPEZIONE] è trasmessa senza ingiustifi- cato ritardo al Titolare e al Responsabile del trattamento a titolo informativo. Il Titolare e il Responsabile del trattamento possono contestare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova revisione/ispezione con un ambito modificato e/o una diversa metodologia.
Sulla base dei risultati ottenuti da tale attività di revisione/ispezione, il Titolare e il Responsabile del trattamento possono richiedere l’adozione di ulteriori misure per garantire la conformità al RGPD, a disposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole.
Clausole contrattuali tipo dicembre 2019
Pagina 20 di 24
Al Titolare, al Responsabile e al Sub Responsabile del trattamento o a un loro rappresentante è inoltre consentito l’accesso per ispezionare, anche fisicamente, i luoghi in cui è effettuato il trattamento dei dati personali a opera dell’ulteriore Sub Responsabile del trattamento, com- presi le strutture fisiche e i sistemi utilizzati e collegati al trattamento. Tale ispezione è effet- tuata quando il Sub Responsabile del trattamento (o il Titolare o il Responsabile del tratta- mento) lo ritengono necessario.
La documentazione di tali ispezioni è trasmessa tempestivamente al Titolare, al Responsabile e al Sub Responsabile del trattamento a titolo informativo. Il Titolare, il Responsabile e il Sub Responsabile del trattamento possono contestare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova ispezione con un ambito modificato e/o una diversa metodologia».
[OPPURE]
«Il Titolare, il Responsabile e il Sub Responsabile del trattamento o un loro rappresentante effettuano [INDICARE IL TERMINE] un’ispezione fisica dei luoghi in cui è svolto il trattamento dei dati personali a opera dell’ulteriore Sub Responsabile del trattamento, compresi le strutture fisiche e i sistemi utilizzati e collegati al trattamento, al fine di accertare la conformità dell’ulte- riore Sub Responsabile del trattamento al RGPD, a disposizioni nazionali o dell’Unione appli- cabili relative alla protezione dei dati e alle Clausole.
Oltre all’ispezione pianificata, il Sub Responsabile del trattamento può effettuare un’ispezione nei confronti dell’ulteriore Sub Responsabile del trattamento, quando questi (o il Titolare o il Responsabile del trattamento) lo ritengono necessario»
La documentazione di tali ispezioni è trasmessa senza ingiustificato ritardo al Titolare e al Responsabile del trattamento a titolo informativo. Il Titolare e il Responsabile del trattamento possono contestare l’ambito e/o la metodologia applicati alla relazione e richiedere in questi casi una nuova ispezione con un ambito modificato e/o una diversa metodologia.
Sulla base dei risultati ottenuti da tale ispezione, il Titolare e il Responsabile del trattamento possono richiedere l’adozione di ulteriori misure per garantire la conformità al RGPD, a dispo- sizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole».
[E, SE APPLICABILE]
«Il Titolare e il Responsabile del trattamento possono, se necessario, decidere di avviare e prendere parte a un’ispezione fisica dell’ulteriore Sub Responsabile del trattamento. Questo accade qualora il Titolare e il Responsabile del trattamento ritengano che la supervisione del Sub Responsabile del trattamento nei confronti dell’ulteriore Sub Responsabile non abbia for- nito al Titolare e al Responsabile documenti sufficienti per stabilire che il trattamento svolto dall’ulteriore Sub Responsabile è conforme alle presenti Clausole.
La partecipazione del Titolare e del Responsabile del trattamento a un’ispezione nei confronti dell’ulteriore Sub Responsabile lascia impregiudicata la piena responsabilità in capo al Sub Responsabile del trattamento per la conformità dell’ulteriore sub-responsabile al RGPD, a di- sposizioni nazionali o dell’Unione applicabili relative alla protezione dei dati e alle Clausole».
[E, SE APPLICABILE]
Clausole contrattuali tipo dicembre 2019
Pagina 21 di 24
«I costi sostenuti dal Sub Responsabile e dall’ulteriore Sub Responsabile del trattamento per la supervisione/ispezione fisica presso le strutture dell’ulteriore Sub Responsabile non riguar- dano il Titolare e il Responsabile del trattamento, a prescindere dal fatto che questi abbiano avviato e preso parte a tale ispezione».
Clausole contrattuali tipo dicembre 2019
Pagina 22 di 24
Appendice D Termini dell’accordo delle parti su altri aspetti
AFFIDAMENTO A RETI TEMPORANEE DI IMPRESA (RTI)
In caso di RTI specificare chi ricopre il ruolo di mandataria e chi di mandante/i, come indicato nelle Clausole.
Si richiede alla RTI di comunicare i contenuti delle Clausole alle mandanti e si richiede l’attestazione della rice- zione delle istruzioni contenute nell’atto di nomina. La mandataria è responsabile del coordinamento delle pro- cedure Privacy e deve specificare i ruoli delle mandanti indicando i flussi di dati e le relative modalità. Per ogni flusso devono essere indicate le misure di sicurezza previste.
REGISTRO DEI TRATTAMENTI
Il Sub Responsabile del Trattamento, qualora non rientri nelle casistiche definite dall’ art. 30, comma 2 e 5, GDPR tiene per iscritto un Registro delle attività relative al trattamento svolte per conto del Titolare e del Responsabile e delle applicazioni informatizzate utilizzate, nel pieno rispetto del GDPR.
AUTORIZZATI
Persone autorizzate
Il Sub Responsabile del Trattamento si impegna a produrre ed aggiornare in caso di modifiche l’elenco degli operatori autorizzati singolarmente ed opportunamente formati in materia di privacy (ivi inclusi gli opportuni ag- giornamenti normativi), impartendo per iscritto specifiche istruzioni per trattare i dati degli utenti nell’ambito della propria attività e con i limiti di legge, curando, in particolare, il profilo della sicurezza di accesso e dell’integrità dei dati ai sensi dell’art.29 del GDPR. Inoltre, il Sub Responsabile del Trattamento si impegna a stabilire le modalità di accesso ai dati e l’organizzazione del lavoro degli autorizzati al trattamento, avendo cura di adottare preventivamente misure organizzative adeguate al rischio per diritti e libertà delle persone fisiche. Inoltre deve garantire che le persone autorizzate siano state istruite sulla procedura di gestione degli incidenti di sicurezza e la gestione delle violazione di dati personali. Il Titolare e il Responsabile possono richiedere una prova docu- mentata al fine di verificare tali adempimenti.
Persone autorizzate in qualità di Amministratori di Sistema
Il Sub Responsabile, qualora siano presenti Amministratori di Sistema, si impegna a conformarsi al Provvedi- mento generale del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal Provvedimento del Garante del 25 giugno 2009 “Modifi- che del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempi- mento”, così come eventualmente modificato o sostituito dallo stesso Garante, e ad ogni altro pertinente provve- dimento dell’Autorità. Il Titolare e il Responsabile possono richiedere una prova documentata al fine di verificare tali adempimenti.
CLAUSOLA SERVIZI PUBBLICI
Nel caso in cui l’oggetto del contratto sia finalizzato all’erogazione di servizi pubblici (essenziali) il fornitore dovrà procedere con quanto previsto dal contratto stesso, mettendo in atto le cautele che a suo giudizio salvaguardino i diritti e le libertà fondamentali delle persone fisiche, senza causare maggiore lesione ai diritti stessi anche da parte del Titolare stesso e di altri soggetti, dandone immediata comunicazione all’azienda.
Clausole contrattuali tipo dicembre 2019
Pagina 23 di 24
PRIVACY BY DESIGN & BY DEFAULT
Il Sub Responsabile garantisce l’applicazione dei principi di protezione dei dati fin dalla progettazione e prote- zione dei dati per impostazione predefinita (art. 25 del GDPR). (Vedi allegato C.3.)
[AGGIUNGERE ULTERIORI INDICAZIONI]
Esempio: “Qualora venissero meno una o più delle misure di sicurezza previste il Sub Responsabile del tratta- mento, a sua cura e spese, dopo aver informato il Direttore dell’Esecuzione del Contratto, dovrà provvedere al relativo ripristino anche in modalità alternative.”
INFORMATIVA
[AGGIUNGERE ULTERIORI INDICAZIONI]
Esempio “Nel raccogliere i dati personali il fornitore deve fare riferimento all'informativa fornita dal Titolare.
L'informativa deve essere pubblicata in qualsiasi contesto in cui saranno raccolti i dati personali degli utenti. Se presente, viene messa a disposizione una versione offline fornita prima della raccolta dei dati, debitamente da- tate.”
Esempio “Il Sub Responsabile del trattamento, al momento della raccolta dei dati, deve fornire alle persone interessate dalle operazioni del trattamento le informazioni relative ai trattamenti dei dati che realizza, tra le quali anche l’eventuale uso di strumenti di profilazione. La formulazione ed il formato dell’informazione deve essere concordata con il Titolare del trattamento prima della raccolta dei dati”.
GESTIONE DIRITTI DEGLI INTERESSATI
Qualora al Sub Responsabile del Trattamento pervenissero richieste degli interessati per l’esercizio dei diritti di cui agli artt. 15, 16, 17, 18, 20 (qualora possibile) e 21 del GDPR, lo stesso deve darne tempestiva comunicazione al Titolare o al Responsabile, e comunque entro e non oltre un XXXXXX dal ricevimento della richiesta.
Tenendo conto della natura del trattamento dei dati personali svolti dal Sub Responsabile, quest’ultimo si impe- gna, su richiesta del Titolare e del Responsabile, ad assisterli nella misura in cui ciò sia ragionevolmente possi- bile, approntando le adeguate misure tecniche e organizzative, ai fini dell’adempimento da parte del Titolare all’obbligo di permettere ai terzi Interessati l’esercizio dei diritti di cui agli Artt. da 12 a 23 del GDPR.
CODICI DI CONDOTTA E MECCANISMI DI CERTIFICAZIONE
Ad esempio “E’ facoltà della Società aderire a codici di condotta o a meccanismi di certificazione di cui agli artt.
40 e 42 del Regolamento. Il Sub Responsabile deve comunicare preventivamente al Titolare e al Responsabile l’eventuale adesione ai predetti Codici di condotta o il probabile conseguimento di certificazioni”.
POLIZZA ASSICURATIVA
Ad esempio “Richiesta di attestazione di possesso di idonea polizza assicurativa per il risarcimento di danni inerenti /derivanti dall’attività in parola e per quelli inerenti/derivanti da eventuali violazioni della Privacy”.
ULTERIORI RICHIESTE
Il Sub Responsabile deve comunicare al Titolare e al Responsabile entro XXXX:
•le misure di sicurezza adottate comprese quelle di nuova adozione al fine di consentire a questi la verifica del mantenimento di un livello di sicurezza adeguato ai rischi ed alla natura dei dati trattati;
Clausole contrattuali tipo dicembre 2019
Pagina 24 di 24
•il luogo fisico di archiviazione dei dati nonché le modalità di loro conservazione e il loro ripristino (backup e architetture di Disaster Recovery) ovvero, fermo restando quanto precede, le eventuali allocazioni su cloud, i relativi dati di sicurezza, declinando le generalità del provider/ gestore per la relativa autorizzazione e designa- zione preventiva a Sub Responsabile del trattamento dei dati;
REGISTRO DATA BREACH E INCIDENTI INFORMATICI
Il Sub Responsabile deve mantenere un Registro degli incidenti di sicurezza e Data Breach, anche qualora non vi siano violazioni, per coadiuvare il Titolare nel suo obbligo relativo al paragrafo 5 dell’art. 33 del GDPR.
A seguito del verificarsi di detti incidenti il Titolare potrà:
•fare attività di Audit, anche senza preavviso e avvalendosi di soggetti terzi;
•prescrivere ulteriori misure di sicurezza anche apportando modifiche a quelle in essere con particolare riferi- mento al presente accordo;
•attivare azioni di rivalsa nei confronti del Sub Responsabile;
•applicare le penali contrattuali;
•risolvere il contratto.
RESPONSABILITA’
Fermo restando che il Regolamento Europeo (UE) 2016/679 conferma nel trattamento dei dati personali l’attività pericolosa di cui all’art. 2050 del C.C., la relativa responsabilità per danni, patrimoniali e non, provocati all’inte- ressato in conseguenza del trattamento stesso grava in capo a chi detiene i mezzi per gestire le modalità di trattamento (ossia al Titolare del trattamento o ad entrambi in solido). Il Sub Responsabile del trattamento ri- sponde direttamente per il danno causato dal trattamento qualora non abbia adempiuto agli obblighi previsti dal Regolamento e dalle norme di armonizzazione, ovvero, abbia agito in modo difforme o contrario rispetto alle legittime istruzioni impartite dal Titolare e dal Responsabile del trattamento, manlevando il Titolare e il Respon- sabile per eventuali violazioni di norme, inadempimenti giuridici, inosservanza regolamentari, nonché per i danni inerenti/derivanti dai trattamenti dati di cui trattasi, per i quali il Titolare e il Responsabile possano essere chiamati a rispondere, sia civilmente, sia in punto privacy. Identico riparto si configura in ipotesi di sanzioni amministrative.
Qualora il Sub Responsabile violi una delle disposizioni del presente atto, determinando le finalità e i mezzi del trattamento, è considerato Titolare delle attività di trattamento per le quali ha determinato in autonomia finalità e mezzi del trattamento e come tale risponde a sensi di legge.
L’inadempimento di quanto previsto nel presente atto nella sua interezza comporta la revoca di diritto del pre- sente incarico con contestuale caducazione del rapporto contrattuale sostanziale per violazione privacy, fatte le responsabilità inerenti e /o derivanti da tali violazioni ed il relativo ristoro di eventuali danni. In caso di contrasto con le disposizioni contrattuali prevalgono quelle del presente atto. Eventuali accordi in contrasto ovvero in de- roga con le disposizioni del presente atto debbono essere concordate per iscritto tra le Parti, richiamando espres- samente quelle derogate avvertendo che ciò connota responsabilità diretta dei contraenti.
FORO COMPETENTE
