Appointment of the external data protection officer
AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679
PIKO
1. Nomina del Responsabile del trattamento
Con la sottoscrizione del presente atto l’Utente Piko in qualità di Titolare del trattamento nomina Alias S.r.l. quale Responsabile del Trattamento ai sensi dell’art. 28 del GDPR, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali, di cui entra in possesso o ai quali ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso.
Alias Srl, con la sottoscrizione del presente accordo, accetta tutti i termini sottoindicati, conferma la diretta e approfondita conoscenza degli obblighi che si assume e si impegna a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la presente nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore.
Alias Srl prende atto che l’incarico di effettuare le operazioni di trattamento sui Dati Personali quale Responsabile è affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti, che possa sollevare incertezze sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta.
2. Natura e Finalità del trattamento
Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con Titolare per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità. In particolare, i dati saranno trattati dal Responsabile per attività di:
– Manutenzione, assistenza e sviluppo dell’Applicativo Piko
3. Tipologia di dati personali e Categorie di interessati
Il trattamento dei dati personali, in riferimento ai Servizi affidati, riguarda gli eventuali dati personali di terze parti contenuti nei documenti (Contenuti) caricati dal Titolare in qualità di Utente di Piko sull’Applicativo.
4. Diritti del Titolare
Il Titolare ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati.
Lo stesso Titolare, inoltre, ha il diritto di disporre – a propria cura e spese – verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile, come indicato al punto 10.
5. Obblighi del Responsabile
Nell’adempimento delle proprie obbligazioni Alias Srl, i suoi dipendenti ed ogni Subfornitore di cui Alias Srl si avvalga e che effettui il Trattamento di Dati Personali del Titolare, si obbligano a rispettare il GDPR ed ogni altra istruzione impartita da Cliente, nonché a tener conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo italiana, dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati, inerenti il trattamento svolto.
Alias Srl si impegna ad effettuare il Trattamento soltanto dei Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto.
Alias Srl si impegna, sin dalla data di sottoscrizione del presente atto, a rendere disponibili ed a comunicare ai propri Subfornitori soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al presente Contratto o di obblighi di legge.
Alias Srl si impegna a cooperare con Titolare in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali e si impegna a fornire alla stessa Azienda tutte le informazioni o i documenti, che potranno essere richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione di misure tecniche e organizzative adeguate, entro 15 giorni dalla richiesta formulata da Titolare a mezzo posta elettronica.
Alias Srl si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità di Controllo, nonché a garantire che i propri dipendenti ed ogni soggetto della cui cooperazione esso si avvalga rispettino tali norme.
In particolare, il Responsabile si impegna a rispettare gli obblighi ed istruzioni di seguito elencati.
6. Misure tecniche ed organizzative e violazioni dei dati personali
Alias Srl, si impegna a adottare le misure tecniche ed organizzative adeguate, previste dalla normativa italiana ed europea in materia di protezione dei Dati Personali, così come ogni altra previsione derivante dall’Autorità di Controllo, o dal Gruppo di Lavoro Articolo 29 e dal Comitato Europeo per la protezione dei dati.
Alias Srl, in considerazione della conoscenza maturata quale conseguenza dei progressi tecnici e tecnologici, della natura dei Dati Personali e delle caratteristiche delle operazioni di Trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, mette in atto misure tecniche ed organizzative adeguate e dovrà assicurare che, le misure di sicurezza progettate ed implementate, siano in grado di ridurre il rischio di danni volontari o accidentali, perdita di dati, accessi non autorizzati ai dati, trattamenti non autorizzati o trattamenti non conformi agli scopi di cui al presente Contratto.
In particolare, Alias Srl ed ogni eventuale Subfornitore, si obbligano a:
6.1.1 adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità di Controllo inerenti ai Trattamenti svolti dal Responsabile, ovvero dal Gruppo di Lavoro Articolo 29 e dall’istituendo Comitato Europeo per la protezione dei dati;
6.1.2 impiegare sistemi di cifratura per tutti i Dati Personali memorizzati su dispositivi di archiviazione digitali o elettronici, come computer portatili, CD, dischetti, driver portatili, nastri magnetici o dispositivi similari: i Dati Personali dovranno essere cifrati nel rispetto della normativa italiana ed europea in materia di protezione dei dati personali e dovrà compiere ogni ragionevole sforzo per assicurare l’aggiornamento degli standard di cifratura in modo da tenere il passo dello sviluppo tecnologico e dei rischi ad esso connaturati, includendo ogni richiesta o indicazione emanata da qualsiasi pubblica autorità competente, anche regolamentare e di vigilanza;
6.1.3 istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del GDPR e metterlo a disposizione del Titolare ogni qualvolta richiesto;
6.1.4 comunicare al Titolare il nominativo ed i recapiti di contatto del proprio responsabile della protezione dei dati, se designato ai sensi degli artt. 37 e ss. del GDPR;
6.1.5 assistere la stessa Azienda, relativamente ai Dati Personali oggetto di trattamento, nel garantire – ove applicabili – il rispetto degli obblighi relativi:
(i) alla sicurezza del trattamento;
(ii) alla notifica di una violazione dei Dati Personali all’Autorità di controllo ai sensi dell’art. 33 del GDPR;
(iii) alla comunicazione di una violazione dei Dati Personali all’interessato ai sensi dell’art. 34 del GDPR;
(iv) alla valutazione d’impatto sulla protezione dei Dati Personali ai sensi dell’art. 35 del GDPR; (v) alla consultazione preventiva ai sensi dell’art. 36 del GDPR.
7. Violazioni dei dati personali
In caso di violazione dei dati personali consistente nella violazione di sicurezza, che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto del Titolare(c.d. data breach), il Responsabile deve:
– informare il Titolare tempestivamente e in ogni caso al massimo entro e non oltre 24 ore dalla scoperta dell’evento, di ogni violazione dei dati personali trattati per conto del Titolare che presenti un rischio per i diritti e le libertà delle persone fisiche e fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali sul Titolare e sugli interessati coinvolti e le misure adottate per mitigare i rischi;
– fornire assistenza al Titolare per far fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti.
Il Responsabile si attiverà per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive al Titolare ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dalla stessa.
8. Documentazione Privacy
Alias Srl si impegna ad adottare la documentazione in materia di protezione dei Dati Personali prevista dalla normativa italiana ed europea e le relative procedure concernenti le adeguate misure tecniche e organizzative.
9. Istanze degli Interessati
Tenendo conto della natura del trattamento, Alias Srl si obbliga ad assistere e supportare il Titolare del Trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare di dare riscontro alle richieste per l’esercizio dei diritti dell’interessato (negli ambiti e nel contesto del ruolo ricoperto e in cui opera Alias Srl) nel rispetto dei termini previsti dall’art. 12 del GDPR.
In particolare, qualora Alias Srl riceva richieste provenienti dagli Interessati, finalizzate all’esercizio dei propri diritti, esso dovrà:
– darne tempestiva comunicazione scritta al Titolare a mezzo posta elettronica certificata, allegando copia delle richieste ricevute;
– coordinarsi, ove necessario e per quanto di propria competenza, con le funzioni aziendali designate dal Titolare per gestire le relazioni con gli Interessati;
– assistere e supportare il Titolare del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti degli Interessati (negli ambiti e nel contesto del ruolo ricoperto e in cui opera Alias Srl).
10. Persone autorizzate
Alias Srl si impegna a identificare e designare le persone autorizzate ad effettuare operazioni di Trattamento sui dati di titolarità di Cliente, individuando l’ambito autorizzativo consentito ai sensi dell’art. 29 del GDPR e provvedendo alla relativa formazione. Allo stesso tempo, Alias Srl si impegna a fornire agli Autorizzati le dovute istruzioni relativamente alle operazioni ed alle modalità di Trattamento dei Dati Personali.
11. Sub-Responsabili e Terze Parti
Alias Srl può chiedere di comunicare o rendere disponibili i Dati Personali trattati per conto del Titolare ad uno o più Subfornitori (di seguito anche “sub-responsabili”) , ai quali affidare una o più specifiche attività di Trattamento oggetto del Contratto.
Al fine di dare attuazione alle previsioni del Regolamento UE 2016/679, Alias Srl si obbliga a designare i Subfornitori quali Sub-Responsabili e a far assumere agli stessi gli stessi obblighi in materia protezione dei dati personali cui si è impegnato quale Responsabile del trattamento dati con il presente atto, mediante sottoscrizione di appositi atti giuridici o contratti.
Alias Srl è tenuto ad impartire ai Sub-Responsabili precise istruzioni relativamente al Trattamento oggetto del Contratto e ad assicurarsi che offrano le medesime garanzie in materia di misure tecniche e organizzative previste dal GDPR.
I Sub-Responsabili potranno trattare i Dati Personali nella misura in cui tale trattamento sia strettamente necessario per l’esecuzione del contratto che Alias Srl ha stipulato con il Titolare ed in ogni caso nel rispetto del presente Contratto.
Alias Srl risponderà nei confronti del Titolare qualora gli eventuali Collaboratori Esterni e sub-Responsabili del trattamento omettano di adempiere ai propri obblighi in materia di protezione dei dati, e dichiara espressamente e garantisce di assumersene la completa responsabilità.
Alias Srl si impegna a non comunicare, trasferire o condividere, i Dati Personali del Titolare a Terze Parti, salvo qualora legislativamente richiesto ed informandone preventivamente la stessa.
12. Deroghe all’obbligo di riservatezza
Alias Srl e i suoi dipendenti sono tenuti a non divulgare i dati personali trattati.
Alias Srl è tenuto inoltre a non comunicare i Dati Personali senza il consenso del Cliente, fatta eccezione per l’ipotesi in cui detta comunicazione sia effettuata nei confronti di:
(a) società parte del Gruppo del Fornitore, se prevista contrattualmente, previa valutazione del ruolo privacy della società stessa (se Titolare, Contitolare o Responsabile), nel rispetto delle disposizioni del GDPR;
(b) dipendenti del Fornitore designati Persone Autorizzate, quando ciò sia necessario per l’esecuzione dei servizi oggetto del Contratto,
(c) una pubblica autorità competente, anche regolatoria e di vigilanza,
fermo restando che la comunicazione di tali Dati Personali dovrà essere effettuata nel rispetto del presente atto e della legge applicabile.
13. Comunicazione delle richieste di accesso, perdite o danno
Alias Srl è tenuto a comunicare immediatamente al Titolare ed a fornire alla stessa tutta la necessaria assistenza:
(a) in caso di richiesta di accesso ai Dati Personali effettuata da un Interessato in conformità al precedente articolo 9, da una autorità di controllo, da una autorità indipendente o dall’autorità giudiziaria;
(b) qualora venga a conoscenza di una delle seguenti circostanze, in conformità a quanto previsto nel precedente articolo 6:
(i) perdita, danneggiamento o distruzione dei Dati Personali;
(ii) accesso ai Dati Personali da parte di Terze Parti, fuori dai casi espressamente previsti dal Contratto;
(iii) qualunque circostanza o evento che possa determinare potenzialmente una violazione della normativa italiana ed europea in materia di protezione dei Dati Personali.
Ogni violazione dei dati personali di cui al punto b) deve essere comunicata al Titolare nel termine massimo di 48 ore dalla conoscenza della stessa, riportando la natura della violazione, le circostanze ad essa relative, le sue probabili conseguenze ed i provvedimenti adottati (o che si intendono adottare) per porvi rimedio e attenuare i possibili effetti negativi ed indicando il Responsabile della Protezione dei dati (Data Protection Officer), con i relativi dati di contatto.
14. Controlli e attività di audit
Alias Srl si impegna a consentire al Titolare la verifica del rispetto del presente atto di designazione, a supervisionare e controllare direttamente i soggetti da esso designati per le operazioni di Trattamento ed a tal fine potrà organizzare corsi di formazione.
Qualora venga rilevato che un’istruzione impartita dal Titolare violi le disposizioni normative in materia di protezione dei dati personali, Alias Srl si obbliga ad informarne immediatamente il Titolare.
Alias Srl inoltre riconosce al Titolare il diritto di effettuare controlli (audit) relativamente alle operazioni aventi ad oggetto il Trattamento dei Dati Personali di Cliente.
A tal fine, Titolare potrà periodicamente sottoporre al Fornitore un questionario sul livello di sicurezza e conformità alla normativa in materia di protezione dei dati personali (che dovrà essere debitamente compilato e restituito) e ha il diritto di disporre – a propria cura e spese – verifiche a campione o specifiche attività di audit o di rendicontazione in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Fornitore.
Anche per le finalità sopra esposte, Alias Srl è obbligata a mettere a disposizione in qualunque momento e su richiesta del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente nomina ed è altresì tenuta a contribuire alle attività di revisione realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato, comprese le ispezioni.
I controlli saranno effettuati dal Titolare periodicamente ed in base a metodologie concordate tra le Parti.
15. Durata e Cessazione del Trattamento
La presente nomina ha la medesima durata ed efficacia del Contratto e, pertanto, cesserà al momento del completo adempimento o dello scioglimento del vincolo contrattuale, qualsiasi ne sia il motivo. Il trattamento, pertanto, deve avere una durata non superiore a quella necessaria agli scopi per i quali i dati personali sono stati raccolti e tali dati devono essere conservati nei sistemi e nelle banche dati del Fornitore in una forma che consenta l’identificazione degli interessati per un periodo di tempo non superiore a quello in precedenza indicato.
A seguito della cessazione del trattamento affidato al Responsabile o nei casi di cui al comma precedente, qualsiasi ne sia la causa, Alias Srl sarà tenuto, a scelta del Titolare e sulla base delle istruzioni dallo stesso impartite, a:
(i) restituire al Titolare i Dati Personali trattati, oppure
(ii) provvedere alla loro integrale distruzione (eventuali copie comprese),
salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge e/o altre finalità (contabili, fiscali, ecc.) o il caso in cui si verifichino circostanze autonome e ulteriori che giustifichino la continuazione del trattamento dei dati da parte del Fornitore, con modalità limitate e per il periodo di tempo a ciò strettamente necessario. In tal caso Alias Srl dovrà indicare al Titolare i motivi ed i criteri di conservazione dei dati.
16. Accordo relativo al trasferimento dei dati all’estero
Alias Srl si impegna a limitare gli ambiti di circolazione e trattamento dei Dati Personali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server o in cloud) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal GDPR (Paese terzo giudicato adeguato dalla Commissione europea, BCR di gruppo, clausole contrattuali modello, etc.).
Resta inteso tra le Parti che Alias Srl dovrà garantire che i metodi di trasferimento impiegati, ivi inclusa la conformità alle clausole contrattuali standard approvate dalla Commissione Europea e sulla base dei presupposti indicati nella medesima decisione, consentano il mantenimento di costanti e documentabili standard di validità per tutta la durata del presente Contratto.
Alias Srl è obbligato a comunicare immediatamente al Titolare il verificarsi di una delle seguenti fattispecie:
(a) Mancato rispetto delle clausole contrattuali standard di cui sopra, oppure
(b) Qualsiasi modifica della metodologia e delle finalità trasferimento dei Dati Personali del Titolare all’estero.
17. Manleva e Responsabilità per violazione delle disposizioni
Alias Srl, con l’accettazione della presente nomina, si impegna a mantenere indenne il Titolare da qualsiasi responsabilità, danno, incluse le spese legali, o altro onere che possa derivare da pretese, azioni o procedimenti avanzati da terzi a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento dei Dati Personali che sia imputabile a fatto, comportamento o omissione del Fornitore (o di suoi dipendenti e/o collaboratori), ivi incluse le eventuali sanzioni che dovessero essere applicate ai sensi del GDPR.
Alias Srl si impegna a comunicare prontamente al Titolare eventuali situazioni sopravvenute che, per il mutare delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento dell’incarico.
Ai sensi di quanto disposto dall’art. 82, paragrafo 5, del GDPR Cliente, quale Titolare del trattamento, ha il diritto di reclamare dal responsabile del trattamento, il risarcimento del danno, pagato all’interessato o a terzi, per la parte del risarcimento corrispondente alla sua parte di responsabilità per il danno
Fatti salvi gli articoli 82, 83, 84, del GDPR, in caso di violazione delle disposizioni contenute nel presente atto relativamente alle finalità e modalità di trattamento dei dati, di azione contraria alle istruzioni ivi contenute o in caso di mancato adempimento agli obblighi specificatamente diretti al Responsabile del trattamento dei dati dal GDPR, il Responsabile sarà considerato quale Titolare del trattamento e ne risponderà personalmente e direttamente.
Montevarchi, 06 giugno 2024