Addendum sul trattamento dei dati personali

ADDENDUM SUL TRATTAMENTO DEI DATI PERSONALI
AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679 (INFRA “REGOLAMENTO”)

TRA

L’utente (di seguito “Titolare”), mediante accettazione espressa dei Termini e Condizioni di PSTM SRL. (di seguito “Responsabile”), accetta il presente addendum sul trattamento dei dati personali, che costituisce parte integrante del rapporto intercorrente tra le Parti.
Il presente addendum è sottoscritto ai sensi dell’articolo 28 del Regolamento 679/2016 e disciplina le modalità con cui il Responsabile tratterà i dati personali per conto del Titolare.
Titolare e Responsabile, potranno essere definiti anche singolarmente la “Parte”e congiuntamente le Parti.

PREMESSO CHE

– in base all’art. 28 del Regolamento, il Titolare dei trattamenti di dati personali può proporre una persona fisica, una persona giuridica, una pubblica amministrazione e qualsiasi altro ente, associazione od organismo quale responsabile del trattamento dei dati, che sia selezionato tra soggetti che, per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso i profili di sicurezza;
– il responsabile del trattamento deve presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato;
– il Responsabile deve procedere al trattamento secondo le istruzioni impartite per iscritto dal Titolare con contratto o altro atto giuridico che vincoli il Responsabile del trattamento e che specifichi durata, natura e finalità del trattamento, tipo di dati personali, categorie di interessati, obblighi e diritti del Titolare;
– il Titolare consente al Responsabile e a chiunque agisca sotto la sua autorità l’accesso ai soli dati personali la cui conoscenza sia necessaria per adempiere ai compiti loro attribuiti;
– Il Titolare e il Responsabile hanno sottoscritto un accordo per la fornitura di una soluzione integrata web e tablet per la creazione, gestione e promozione di eventi, di cui tale contratto è parte integrante;
–  Con riferimento al servizio di creazione, gestione e promozione di eventi (“Servizio”) reso disponibile da PSTM SRL, quest’ultimo potrebbe trattare dati personali di titolarità dell’utente.

Più precisamente:

– la finalità del trattamento consiste nel fornire una soluzione tecnologica integrata web e tablet che permetta al Titolare di creare, organizzare e gestire eventi.
– i dati trattati potranno includere dati comuni (nome, cognome, dati di contatto), dati particolari (ad esempio dati relativi allo stato di salute, all’origine etnica, all’orientamento sessuale, alle convinzioni politiche, filosofiche o religiose) o dati giudiziari sia del Titolare che di soggetti terzi.
– gli interessati sono i soggetti terzi di cui il Titolare fornisce i dati personali sopra richiamati.

TUTTO CIÒ PREMESSO

1) Il Titolare del trattamento dei dati cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali, in persona del suo legale rappresentante designa PSTM SRL quale Responsabile dei trattamenti dei dati personali effettuati nell’ambito degli accordi contrattuali in vigore.

2) In ogni caso, il Titolare affida al Responsabile tutte – ed esclusivamente – le operazioni di trattamento dei dati personali necessarie per dare piena esecuzione al contratto allegato.
Il Responsabile sarà responsabile per l’utilizzo del Servizio unicamente per dolo o colpa grave e non sarà in ogni caso responsabile per eventuali malfunzionamenti o violazione dei dati del Titolare o dei suoi clienti connessi con l’accesso a Internet del Titolare, al verificarsi di eventuali intercettazioni o interruzioni o, in generale, per modifiche o perdite di Dati Personali attraverso Internet derivanti da atti od omissioni del Titolari.
Il Titolare si impegna a porre in essere tutte le azioni adeguate e necessarie e sarà responsabile per le conseguenze di ogni utilizzo inidoneo del Servizio da parte dei dipendenti del Titolare ed, in particolare, per la conservazione riservata dei nominativi e delle password di accesso al Servizio.

3) Il Titolare si impegna a comunicare ufficialmente al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati. Il Responsabile o chiunque agisca sotto la sua autorità non potranno effettuare nessuna operazione di trattamento dei dati al di fuori di quelle necessarie sopra ricordate.

4) Il Responsabile, per quanto di propria competenza, è tenuto in forza di legge e del presente contratto, per sé e per i propri dipendenti e per chiunque collabori con la sua attività, al rispetto delle disposizioni del Regolamento, della normativa nazionale di settore applicabile, dei provvedimenti e/o delle autorizzazioni e/o linee guida del Garante per la Protezione dei Dati Personali se e in quanto applicabili.

5) Il Responsabile dovrà eseguire i trattamenti funzionali alle mansioni ad esso attribuite in conformità con il presente contratto e con le finalità per cui i dati sono raccolti. Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, il Responsabile si impegna ad informare preventivamente e in tempo utile il Titolare del trattamento che potrà opporsi.

6) Il Responsabile, per quanto di propria competenza, è tenuto in forza di legge e del presente contratto, per sé e per chiunque agisca sotto la sua autorità, a dare attuazione alle misure di sicurezza previste dalla normativa pro tempore vigente in materia di trattamento di dati personali fornendo assistenza al Titolare nel garantire il rispetto della medesima. Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio, in particolare contro:
– distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
– trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.
A tale proposito, il Titolare può sempre richiedere al Responsabile un documento contenente una sintesi delle misure di sicurezza implementate.

7) Il Responsabile applicherà le misure di sicurezza, di cui al punto precedente, al fine di garantire:
– se del caso, la pseudonimizzazione e la cifratura dei dati personali;
– la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
– la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.
Il Responsabile implementerà una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento, trasmettendo tempestivamente al Titolare la documentazione tecnica relativa sia alle misure di sicurezza in atto sia alle modifiche in seguito adottate.
Il Responsabile deve assicurarsi che il testo dell’informativa di cui all’art. 13 del Regolamento sia inoltrato ai soggetti interessati. A tal riguardo, il Titolare ed il Responsabile ne concordano in buona fede versione e modalità di consegna, in attuazione delle prescrizioni del Regolamento. Il Responsabile deve, altresì, gestire tramite adeguate procedure, secondo criteri di efficienza e garantendone la custodia, la non alterazione e l’agevole reperimento della documentazione relativa agli adempimenti formali previsti dal Regolamento. Il Responsabile, su richiesta del Titolare, coadiuva quest’ultimo nelle procedure davanti al Garante o all’autorità giudiziaria in relazione alle attività rientranti nella sua competenza.

8) Il Responsabile metterà a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del Regolamento; consentirà e contribuirà alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi operante sotto la sua autorità. A tal fine, il Responsabile del trattamento informerà immediatamente il Titolare del trattamento qualora, a suo parere, un’istruzione violi il Regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.

9) Il Responsabile, nell’ambito della propria struttura aziendale, provvederà ad individuare le persone fisiche che agiscono sotto la sua autorità. Contestualmente alla designazione, il Responsabile si fa carico di fornire adeguate istruzioni scritte a chi agisca sotto la sua autorità circa le modalità del trattamento, in ottemperanza a quanto disposto dall’art. 29 del Regolamento e dal presente mandato. A titolo esemplificativo e non esaustivo, il Responsabile, nel designare per iscritto chi agisce sotto la sua autorità, dovrà prescrivere che essi abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati. Dovrà, inoltre, verificare che questi ultimi applichino tutte le disposizioni in materia di sicurezza relativa alla custodia delle parole chiave (trattamenti elettronici). Dovrà infine verificare che conservino in luogo sicuro i supporti non informatici contenenti atti o documenti con dati particolari o la loro riproduzione, adottando contenitori con serratura (trattamenti cartacei di dati sensibili). Sarà cura del Responsabile vincolare chiunque agisca sotto la sua autorità al segreto, anche per il periodo successivo all’estinzione del rapporto di lavoro intrattenuto con il Responsabile, in relazione alle operazioni di trattamento da essi eseguite.
Inoltre, ove occorrer possa e per quanto concerne i trattamenti effettuati per fornire il servizio oggetto del contratto da chi è sotto la sua autorità con mansioni di “Amministratore di Sistema”, il Responsabile è tenuto altresì al rispetto delle previsioni contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 modificato in base al provvedimento del 25 giugno 2009, in quanto applicabili. Il Responsabile, in particolare, si impegna a conservare direttamente e specificamente gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, e a fornirli prontamente al Titolare su richiesta del medesimo.

10) Nel caso in cui il Responsabile riceva istanze dagli interessati per l’esercizio dei diritti di cui agli artt. 15 e 22 del Regolamento dovrà:
– darne tempestiva comunicazione scritta al Titolare, allegando copia della richiesta;
– tenendo conto della natura del trattamento, assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo del Titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato.

11) Col presente contratto, il Titolare conferisce autorizzazione scritta generale al Responsabile a poter ricorrere a eventuali ulteriori responsabili del trattamento (“sub-responsabile/i” – si veda eventuale Allegato II “Sub-responsabili”), nella prestazione del Servizio.
Nel caso in cui il Responsabile faccia effettivo ricorso a sub-responsabili, il Responsabile medesimo si impegna a selezionare sub-responsabili tra soggetti che per esperienza, capacità e affidabilità forniscano garanzie sufficienti per mettere in atto le misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti di cui alla normativa pro tempore applicabile e garantisca la tutela dei diritti degli interessati. Il Responsabile si impegna altresì a  stipulare specifici contratti, o altri atti giuridici, con i sub-responsabili a mezzo dei quali il Responsabile descriva analiticamente i loro compiti e imponga a tali soggetti di rispettare i medesimi obblighi, con riferimento alla disciplina sulla protezione dei dati personali, imposti dal Titolare sul Responsabile ai sensi della normativa pro tempore vigente e degli applicabili provvedimenti speciali della competente Autorità di Controllo, prevedendo in particolare garanzie sufficienti per mettere in atto le misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della normativa applicabile e i provvedimenti emessi dall’Autorità di controllo.
Qualora il sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile riconosce di conservare nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi dei sub-responsabili coinvolti, nonché si impegna a manlevare e tenere indenne il Titolare da qualsiasi danno, pretesa, risarcimento, e/o sanzione possa derivare al Titolare dalla mancata osservanza di tali obblighi e più in generale dalla violazione della applicabile normativa sulla tutela dei dati personali da parte del Responsabile e dei suoi sub-fornitori.
Il Responsabile si impegna altresì ad informare il Titolare di eventuali modifiche o sostituzioni previste riguardanti i sub-responsabili, dando così al Titolare la possibilità di opporsi a tali modifiche.
Il Titolare autorizza espressamente, altresì, il Responsabile, che a ciò si impegna, a stipulare per suo conto con eventuali sub-fornitori, quando stabiliti in un paese al di fuori dell’Unione Europea per il quale la Commissione Europea non abbia emesso un giudizio di adeguatezza del livello di protezione dei dati personali, un accordo per il trasferimento dei dati all’estero contenente le apposite clausole contrattuali (e successive modifiche) adottate dalla stessa Commissione Europea con Decisione 2010/87/EU del 5 febbraio 2010 (di seguito: “Clausole Contrattuali Tipo”).

12) Il Responsabile tratterà i dati personali soltanto su istruzione documentata del Titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo al di fuori dell’Unione Europea o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile del trattamento; in tal caso, il Responsabile del trattamento informerà il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico; e deve rispettare le disposizioni di cui agli artt. 44, 45, 46, e 49 del Regolamento.

13) Il Titolare dichiara, inoltre, che i dati, di cui al precedente punto 1), da lui trasmessi al Responsabile:
– sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;

14) Il Titolare garantisce che i dati personali e/o le categorie particolari di dati personali da lui trasmessi al Responsabile sono raccolti rispettando ogni prescrizione della normativa vigente sul trattamento dei dati personali. Il Titolare riconosce che è responsabilità del Titolare del trattamento rispettare ogni eventuale compito e obbligo aggiuntivo applicabile al fine di rendere lecito il trasferimento dei Dati Personali ai Responsabili del trattamento e ai Sub-Responsabili ai sensi delle Disposizioni di Legge Applicabili in materia di Protezione dei Dati Personali.

15) Il Titolare rimane responsabile del trattamento delle informazioni attuate tramite procedure applicative sviluppate secondo sue specifiche e/o attraverso propri strumenti informatici o di telecomunicazioni.

16) Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, comprese le ispezioni, purché realizzate dal Titolare o da un altro soggetto che agisca sotto la sua autorità con un preavviso scritto di almeno 15 giorni lavorativi. In ogni caso il Titolare si impegna per sé e per chiunque agisca sotto la sua autorità, a che le informazioni raccolte durante le operazioni di verifica siano utilizzate solo per tali finalità. Il Responsabile sarà, inoltre, tenuto a comunicare al Titolare istanze degli interessati, contestazioni, ispezioni o richieste dell’Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali.
Il Titolare riconosce e accetta che, nel caso in cui tale cooperazione e assistenza richiedano un impiego significativo di risorse da parte del Responsabile, tale sforzo sarà addebitabile, previo preavviso e accordo, al Titolare.

17) In caso di violazione dei dati personali, il Responsabile si impegna a informare il Titolare senza ingiustificato ritardo dal momento in cui ha conoscenza della violazione, utilizzando i dati di contatto forniti in fase di registrazione o altro recapito lasciato dal Titolare. Il Responsabile deve assistere il Titolare avviando un’analisi preliminare finalizzata alla raccolta dei dati concernenti l’anomalia e alla compilazione di una scheda evento, contenente tutte le informazioni raccolte ed in quel momento disponibile, quali, a titolo esemplificativo:

  • Data evento, anche la data presunta di avvenuta violazione (in tal caso va specificato)
  • Data e ora in cui si è avuto conoscenza della violazione;
  • Fonte segnalazione;
  • Tipologia violazione e di informazioni coinvolte;
  • Descrizione evento anomalo;
  • Numero interessati coinvolti;
  • Numerosità di dati personali di cui si presume una violazione;
  • Indicazione della data, anche presunta, della violazione e del momento in cui se ne è avuta conoscenza;
  • Indicazione del luogo in cui è avvenuta la violazione dei dati, specificando altresì se essa sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili;
  • Sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione.

Una volta condotta l’analisi preliminare, il Responsabile deve condurre un’analisi di primo livello per verificare che la segnalazione non si tratti di un falso positivo; all’esito dell’accertamento il Responsabile recupera le informazioni di dettaglio sull’evento necessarie alle analisi di II livello, e le riporta nella Scheda Evento che deve essere inviata tempestivamente al Titolare, utilizzando i dati di contatto forniti in fase di registrazione o successivamente.
L’evento deve essere inserito in un apposito registro delle violazioni.
Il Responsabile si impegna a fornire la più ampia collaborazione al Titolare medesimo nonché alle Autorità di Controllo competenti e coinvolte al fine di soddisfare ogni applicabile obbligo imposto dalla normativa pro tempore applicabile (es. notifica della violazione dei dati personali all’Autorità Controllo competente; eventuale comunicazione di una violazione dei dati personali agli interessati).

18) Il Responsabile potrà essere contattato per qualunque comunicazione relative al presente incarico al presente recapito: privacy@pstm.it.
Il Titolare potrà essere contattato mediante i recapiti forniti in fase di registrazione, oppure mediante altro contatto specificatamente indicato per il rispetto degli obblighi contenuti al presente accordo.

19) Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte del Responsabile o del rapporto sottostante, ivi compresa la scadenza del periodo di free trial per l’utilizzo del Servizio, il Responsabile conserverà i dati per un periodo massimo di sei mesi, durante il quale il Titolare potrà, a sua discrezione, istruire il Responsabile a: i) restituire al Titolare i dati personali oggetti del trattamento o ii) provvedere alla loro integrale distruzione, salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini.
Al Titolare sarà dato avviso con scadenza bimestrale della possibilità di esercitare tale diritto. Al termine del periodo di sei mesi, il Titolare istruisce il Responsabile alla cancellazione automatica dei dati oggetto del presente trattamento.
La presente nomina avrà la medesima durata del contratto. Qualora questo venisse meno o perdesse efficacia e per qualsiasi motivo, anche la presente nomina verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Responsabile non sarà più legittimato a trattare i dati del Titolare.

20) Il Responsabile, ove ricorrano le ipotesi di cui all’art. 30 del Regolamento, dovrà tenere un registro ex art. 30.2 di tutte le categorie di attività relative al trattamento svolte per conto di un titolare del trattamento, contenente:
– il nome e i dati di contatto del Responsabile o dei Responsabili del trattamento, di ogni Titolare del trattamento per conto del quale agisce il Responsabile del trattamento, del Rappresentante del Titolare del trattamento o del Responsabile del trattamento e, ove applicabile, del Responsabile della Protezione dei Dati;
– le categorie dei trattamenti effettuati per conto di ogni Titolare del trattamento;
– ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del Regolamento, la documentazione delle garanzie adeguate;
– ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 del Regolamento.

21) Resta inteso che la presente nomina non comporta alcun diritto del Responsabile ad uno specifico compenso e/o indennità e/o rimborso derivante dalla nomina medesima, oltre quanto già previsto dal contratto di cui il presente Addendum costituisce integrazione.
Con la presente nomina si intende espressamente revocare e sostituire ogni altra eventuale nomina per qualsivoglia tipologia di dati.