Informativa Privacy

Versione n.02 del 27/10/2021

CONTRATTO PER IL TRATTAMENTO DEI DATI AI SENSI DELL’ART. 28 DEL REGOLAMENTO (EU) 2016/679

PREMESSO CHE:

  • Il titolare del trattamento di dati personali può proporre una persona fisica, una persona giuridica, una pubblica amministrazione e qualsiasi altro ente, associazione od organismo, quale responsabile al trattamento dei dati che sia nominato tra soggetti che, per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento di dati personali, ivi compreso il profilo di sicurezza; il responsabile del trattamento deve inoltre presentare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della normativa, richiesti dalle disposizioni pro tempore vigenti in materia, e garantisca la tutela dei diritti dell’interessato;
  • il responsabile deve procedere al trattamento secondo le istruzioni impartite dal titolare per iscritto con il presente contratto e con eventuali accordi successivi;
  • è intenzione del titolare consentire l’accesso sia al responsabile che alle persone autorizzate al trattamento, per i soli dati personali la cui conoscenza è necessaria per adempiere ai compiti loro attribuiti;

TUTTO CIÒ PREMESSO,

  1. L’Ente Extraterritoriale COLELLA SIMONA MARIA, quale Titolare dei dati cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali (di seguito “Titolare”), in persona del suo legale rappresentante, Simona Maria Trustee Colella è Responsabile dei trattamenti dei dati personali (di seguito “Responsabile”) effettuati in relazione alla collaborazione dell’accordo; tali trattamenti sono effettuati per le seguenti finalità:
    1. Espletare il servizio di formazione/insegnamento definito dall’accordo
    2. Espletare le funzioni amministrative di pagamento/coordinamento didattico
  2. In ogni caso, il Titolare affida al Responsabile tutte – ed esclusivamente – le operazioni di trattamento dei dati personali necessarie per dare piena esecuzione al Servizio. In caso di danni derivanti dal trattamento, il Responsabile ne risponderà qualora non abbia adempiuto agli obblighi della normativa pro tempore vigente in materia di trattamento di dati personali specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare. Il Titolare si impegna a comunicare ufficialmente al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati. Il Responsabile o le persone autorizzate al trattamento non potranno effettuare nessuna operazione di trattamento dei dati al di fuori di quelle necessarie sopra ricordate;
  3. Il Responsabile, per quanto di propria competenza, è tenuto in forza di legge e del presente contratto, per sé e per le persone autorizzate al trattamento che collaborano con la sua organizzazione, a dare attuazione alle misure di sicurezza previste dalla normativa pro tempore vigente in materia di trattamento di dati personali, fornendo assistenza al Titolare nel garantire il rispetto della medesima. Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano idonee a garantire un livello di sicurezza adeguato al rischio, in particolare contro:
    1. distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati
    2. trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento;
  4. Il Responsabile applicherà le misure di sicurezza, di cui al punto precedente, al fine di garantire:
  • se del caso, la pseudonimizzazione e la cifratura dei dati personali
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico.

Il Responsabile, su richiesta del Titolare, coadiuva quest’ultimo nelle procedure davanti all’Autorità di Controllo competente e all’Autorità Giudiziaria in relazione alle attività rientranti nella sua competenza. Il Responsabile, nei termini e secondo le modalità previste dalla normativa pro-tempore vigente, si impegna ad informare il Titolare dopo essere venuto a conoscenza di violazioni di dati personali e a fornire la più ampia collaborazione al Titolare medesimo nonché alle Autorità di Controllo competenti e coinvolte al fine di soddisfare ogni applicabile obbligo imposto dalla normativa pro tempore applicabile (es. notifica della violazione dei dati personali all’Autorità Controllo compente; eventuale comunicazione di una violazione dei dati personali agli interessati). Il Responsabile assiste altresì il Titolare nel garantire il rispetto degli obblighi relativi alla eventuale valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva all’Autorità di Controllo.

  1. Il Responsabile, nell’ambito della propria struttura aziendale, provvederà ad individuare le persone fisiche autorizzate al trattamento. Contestualmente alla designazione, il Responsabile si fa carico di fornire adeguate istruzioni scritte alle persone autorizzate circa le modalità del trattamento, in ottemperanza a quanto disposto dalla legge e dal presente contratto. A titolo esemplificativo e non esaustivo, il Responsabile, nel designare per iscritto le persone autorizzate al trattamento, dovrà prescrivere che esse abbiano accesso ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati. Dovrà, inoltre, verificare che queste ultime applichino tutte le disposizioni in materia di sicurezza relativa alla custodia delle parole chiave (trattamenti elettronici) e, infine, verificare che conservino in luogo sicuro i supporti non informatici contenenti atti o documenti con categorie particolari di dati (dati sensibili o giudiziari) o la loro riproduzione, adottando contenitori con serratura (trattamenti cartacei di dati sensibili). Sarà cura del Responsabile vincolare le persone autorizzate al trattamento alla riservatezza o ad un adeguato obbligo legale di riservatezza, anche per il periodo successivo all’estinzione del rapporto di collaborazione intrattenuto con il Titolare, in relazione alle operazioni di trattamento da esse eseguite. Inoltre, per quanto concerne i trattamenti effettuati per fornire il Servizio dalle persone autorizzate al trattamento con mansioni di “Amministratore di Sistema”, il Responsabile è tenuto altresì al rispetto delle previsioni pro tempore applicabili relative alla disciplina sugli amministratori di sistema contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 modificato in base al provvedimento del 25 giugno 2009. Il Responsabile, in particolare, si impegna a conservare direttamente e specificamente gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, e a fornirli prontamente al Titolare su richiesta del medesimo. Nel caso in cui il Responsabile riceva istanze dagli interessati per l’esercizio dei diritti riconosciuti dalla normativa applicabile in materia di protezione dei dati personali dovrà:
    1. darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta;
    2. tenendo conto della natura del trattamento, assistere il Titolare con misure tecniche e organizzative adeguate al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti degli interessati.

In particolare, ove applicabile e in considerazione delle attività di trattamento affidategli, il Responsabile dovrà:

  1. permettere al Titolare di fornire agli interessati i propri dati personali in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonché di trasmettere i dati ad altro titolare;
  2. permettere al Titolare di garantire in tutto o in parte i diritti di opposizione e limitazione del trattamento.
  3. Il Responsabile dovrà eseguire i trattamenti funzionali alle mansioni ad esso attribuite in relazione al Servizio o derivanti da istruzioni scritte del Titolare, anche con riferimento all’eventuale trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale. Qualora sorgesse la necessità di trattamenti sui dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, il Responsabile dovrà informare preventivamente il Titolare.
  4. Col presente contratto, il Titolare conferisce autorizzazione scritta generale al Responsabile a poter ricorrere a eventuali ulteriori responsabili del trattamento (“sub-responsabile/i”), nella prestazione del Servizio. Nel caso in cui il Responsabile faccia effettivo ricorso a sub-responsabili, il Responsabile medesimo si impegna a selezionare subresponsabili tra soggetti che per esperienza, capacità e affidabilità forniscano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti di cui alla normativa pro tempore applicabile e garantisca la tutela dei diritti degli interessati. Il Responsabile si impegna altresì a stipulare specifici contratti, o altri atti giuridici, con i sub-responsabili a mezzo dei quali il Responsabile descriva analiticamente i loro compiti e imponga a tali soggetti di rispettare i medesimi obblighi, con riferimento alla disciplina sulla protezione dei dati personali, imposti dal Titolare sul Responsabile ai sensi della normativa pro tempore vigente e degli applicabili provvedimenti speciali della competente Autorità di Controllo, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora il sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile riconosce di conservare nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi dei sub-responsabili coinvolti, nonché si impegna a manlevare e tenere indenne il Titolare da qualsiasi danno, pretesa, risarcimento, e/o sanzione possa derivare al Titolare dalla mancata osservanza di tali obblighi e più in generale dalla violazione della applicabile normativa sulla tutela dei dati personali da parte del Responsabile e dei suoi sub-fornitori. Il Responsabile si impegna altresì ad informare il Titolare di eventuali modifiche previste riguardanti la sostituzione di altri subresponsabili, dando così al Titolare la possibilità di opporsi a tali modifiche. Il Titolare autorizza espressamente, altresì, il Responsabile, che a ciò si impegna, a stipulare per suo conto con eventuali subfornitori, quando stabiliti in un paese al di fuori dell’Unione Europea per il quale la Commissione Europea non abbia emesso un giudizio di adeguatezza del livello di protezione dei dati personali, un accordo per il trasferimento dei dati all’estero contenente le apposite clausole contrattuali (e successive modifiche) adottate dalla stessa Commissione Europea con Decisione 2010/87/EU del 5 febbraio 2010.
  5. Il Titolare dichiara, inoltre, che i dati da lui trasmessi al Responsabile:
    1. sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;
    2. in ogni caso, i dati personali e/o le categorie particolari di dati personali, oggetto delle operazioni di trattamento affidate al Responsabile, sono raccolti e trasmessi rispettando ogni prescrizione della normativa applicabile. Resta inteso che rimane a carico del Titolare l’onere di individuare la base legale del trattamento dei dati personali degli interessati.
  6. Il Titolare rimane responsabile del trattamento delle informazioni attuate tramite procedure applicative sviluppate secondo sue specifiche e/o attraverso propri strumenti informatici o di telecomunicazioni.
  7. Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato. A tale scopo il Responsabile riconosce al Titolare e agli incaricati dal medesimo, il diritto di ottenere informazioni circa lo svolgimento delle operazioni di trattamento o del luogo in cui sono custoditi dati o documentazione relativi al presente contratto. In ogni caso, il Responsabile si impegna per sé e per i terzi da lui stesso incaricati, a che le informazioni fornite al Titolare a fini di verifica, siano utilizzate solo per tali finalità. Il Responsabile sarà, inoltre, tenuto a comunicare tempestivamente al Titolare istanze degli interessati, contestazioni, ispezioni o richieste dell’Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali.
  8. Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione, per qualsiasi causa, del trattamento da parte del Responsabile o cessazione del Servizio, il Responsabile, a discrezione del Titolare e su richiesta di quest’ultimo, sarà tenuto a:
  • restituire al Titolare i dati personali oggetti del trattamento

oppure

  • provvedere alla loro integrale distruzione salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini (contabili, fiscali, ecc.).

In entrambi i casi, il Responsabile provvederà a rilasciare al Titolare, dietro sua richiesta, apposita dichiarazione scritta, contenente l’attestazione che presso il Responsabile non esista alcuna copia dei dati personali e delle informazioni di titolarità del Titolare. Il Titolare si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della dichiarazione. La presente nomina avrà efficacia fintanto che sia erogato il Servizio, salvi gli specifici obblighi che per loro natura sono destinati a permanere. Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o il Servizio non fosse più erogato, anche il presente contratto verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Responsabile non sarà più legittimato a trattare i dati del Titolare.

  1. Resta inteso che il presente contratto non comporta alcun diritto del Responsabile ad uno specifico compenso e/o indennità e/o rimborso derivante dal medesimo.

Con il presente contratto si intende espressamente revocare e sostituire ogni altro contratto o accordo tra le parti inerente il trattamento di dati personali.