Nomina a responsabile trattamento

NOMINA A RESPONSABILE DEL TRATTAMENTO

La presente nomina a responsabile del trattamento (nel prosieguo “Nomina”) viene aggiunta ed allegata ai termini e condizioni di SEO Tester Online (nel prosieguo “Contratto”).

Premesso che:

  1. il cliente riconosce di essere qualificato quale titolare (nel prosieguo “Titolare”) del trattamento (nel prosieguo “Trattamento”) dei dati personali (nel prosieguo “Dati”);
  2. Quarzio S.r.l. assume la qualifica di responsabile del trattamento (nel prosieguo “Responsabile”), secondo il disposto dell’art. 28 GDPR, al fine di trattare dati per conto del Titolare;
  3. l’esecuzione del Contratto richiede il trattamento di Dati di persone fisiche (nel prosieguo “Interessati”) che di informazioni non riconducibili a singole persone fisiche;
  4. sia i Dati che le informazioni devono essere considerati quali informazioni riservate del Titolare e sono coperti da vincolo di riservatezza tra questo e il Responsabile;
  5. il Contratto vincola il Responsabile al Titolare il quale ultimo decide la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati e le categorie di interessati;
  6. il Responsabile presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del GDPR e di riservatezza;
  7. il Responsabile si impegna a trattare i Dati e le informazioni relativi e connessi all’oggetto del Contratto in modo lecito e corretto, nel rispetto del GDPR, delle procedure del Titolare nonché dei sottostanti obblighi e istruzioni ulteriori;
  8. il Titolare e il Responsabile verranno congiuntamente indicati quali Parti.

Ciò premesso, il Titolare e il Responsabile stipulano quanto segue:

  1. Scopo e Dati trattati
    1. Le premesse fanno integrante della Nomina.
    2. Il trattamento dei Dati dovrà essere effettuato dal Responsabile ai soli fini di dare esecuzione al Contratto e alla Nomina.
    3. Il trattamento dei Dati dovrà quindi essere strettamente necessario per eseguire il Contratto stesso e dovrà essere eseguito nel rispetto della riservatezza e del GDPR, come nel rispetto degli obblighi dettati dalla presente Nomina. 
    4. Qualora necessario per l’esecuzione del Contratto, il trattamento si estende anche ai dati di natura particolare o relativi a condanne penali e reati, come indicati negli artt. 9 e 10 GDPR. 
    5. I Dati trattati sono i seguenti:
  • Nome e cognome
  • Indirizzo email
  • Numero telefono
  1. Misure di sicurezza
    1. Il Responsabile dovrà adottare tutte le misure di sicurezza richieste ai sensi dell’art 32 del Regolamento UE, mettendo in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato ai rischi che derivino in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati trasmessi, conservati o comunque trattati. 
    2. Le Persone Autorizzate al trattamento ed eventuali Amministratori di sistema nominati dovranno essere istruiti al riguardo.
    3. In particolare, il Titolare riconosce che il Responsabile ricorre alle seguenti misure di sicurezza:
TIPOLOGIA DESCRIZIONE
Controlli per l’accesso fisico Il Responsabile adotta misure volte ad evitare l’accesso non autorizzato alle postazioni di lavoro e ai dispositivi dove vengono conservati i dati personali, sia durante l’orario lavorativo garantendo la presenza di almeno una persona a controllo del luogo di lavoro, che in orari notturni considerando che l’ufficio rimane chiuso a chiave a che l’edificio viene chiuso e viene attivato l’antifurto negli orari non lavorativi.
Controlli per l’accesso virtuale Il Responsabile adotta misure volte ad evitare l’accesso non autorizzato agli ambienti virtuali dove vengono conservati i dati personali tramite antivirus, firewall e proxy server.

Inoltre, il Responsabile si assicura che l’accesso agli ambienti virtuali di lavoro sia garantito soltanto a soggetti con cui ha instaurato un rapporto quali Persone Autorizzate, Sub-Responsabili e Amministratori di Sistema.

Controlli per l’integrità dei Dati Il Responsabile adotta misure volte ad evitare che i Dati vengano consultati da soggetti non autorizzati, copiati, alterati o persi.

In particolare, i dispositivi elettronici del Titolare sono protetti da crittografia e i dipendenti sono obbligati alla riservatezza. Inoltre, vengono conservati i log file per gli accessi.

Controlli per la disponibilità dei Dati Il Responsabile adotta misure volte ad evitare che vi sia perdita accidentale o distruzione dei Dati. 

In particolare il Responsabile adotta politiche di backup e disaster recovery basata su cloud assicurandosi che il provider abbia le misure idonee di sicurezza di cui all’art. 32 del GDPR.

Misure tecniche e organizzative Il Responsabile aggiorna costantemente la documentazione relativa alla sua organizzazione e regola qualsiasi rapporto, interno o esterno, con apposito documento. 

Inoltre, il Responsabile effettua controlli costanti in merito alla propria infrastruttura tecnica di modo da controllare che non vi sia violazione del GDPR.

  1. Ricorso ad altro Responsabile
    1. Per l’esecuzione delle attività di trattamento dei Dati del Contratto, il Titolare concede autorizzazione generale al Responsabile per ricorrere ad altro responsabile esterno del trattamento (“Sub-Responsabile”). Il Titolare riconosce che tale attività potrà comportare il trasferimento dei Dati verso Stati non ricompresi all’interno dell’Unione Europea.
    2. Il Responsabile si impegna a fornire la lista dei Sub-Responsabili a richiesta del Titolare.
    3. Il Responsabile dovrà comunque garantire, nei confronti di tali Sub-Responsabili, gli adempimenti di cui ai paragrafi 3, 4 e 5 dell’art 28 del Regolamento UE. 
    4. Qualora un Sub-Responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile iniziale conserverà nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi di detto Sub-Responsabile.
    5. Il Titolare riconosce che il Responsabile ha in essere i rapporti con i seguenti Sub-Responsabili:
Sub-Responsabile Stato Servizio
Amazon Web Services  Irlanda Servizio cloud
  1. Persone autorizzate al trattamento
    1. Prima di iniziare qualsiasi operazione di trattamento il Responsabile dovrà identificare ciascuna persona fisica che opera sotto la sua diretta autorità, impegnata nell’esecuzione del contratto (nel prosieguo la “Persona Autorizzata”). 
    2. Per ciascuna Persona Autorizzata dovrà individuare puntualmente l’ambito di accesso ai dati, il trattamento consentito, specialmente con riguardo al trattamento di dati di natura particolare o relativi a condanne penali e reati, e impartire istruzioni (scritte e non) che dovranno ovviamente anche essere coerenti con quelle indicate nel presente documento. 
    3. Le Persone Autorizzate dovranno ricevere dettagliate istruzioni con specifico riferimento a quanto segue:
  • Riservatezza delle informazioni, le Persone Autorizzate dovranno essere obbligate al rispetto della riservatezza dei Dati e delle informazioni;
  • Rispetto di principi di cui all’art 5 del Regolamento UE in merito all’esigenza di correttezza, liceità, e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, nonché le istruzioni da rispettare per la custodia dei dati e la sicurezza del trattamento. 
  1. Valutazione d’impatto, consultazione preventiva, richieste degli Interessati e violazione dati
    1. Tenendo conto della natura del trattamento e delle informazioni a sua disposizione, il Responsabile dovrà assistere il Titolare nel garantire il rispetto degli obblighi di valutazione di impatto e consultazione preventiva prescritti dagli art. 35 e 36 del Regolamento UE. 
    2. Il Responsabile non dovrà utilizzare, di propria iniziativa autonoma, nuove tecnologie, strumenti, modalità e, in ogni caso, effettuare trattamenti che richiedano una valutazione di impatto o una consultazione preventiva, senza averne dato notizia al Titolare e senza aver ottenuto una sua preventiva autorizzazione scritta.
    3. Il Responsabile dovrà assistere il Titolare con misure tecniche e organizzative adeguate, trasmettendogli tempestivamente le informazioni in suo possesso, necessarie al fine di consentirgli di soddisfare l’obbligo di dare seguito, entro il termine prescritto dal Regolamento UE, alle richieste formulate dagli interessati in base ai diritti loro riconosciuti dal Capo III del Regolamento UE, quali ad esempio: accesso ai dati, rettifica, cancellazione, oblio, limitazione del trattamento, portabilità dei dati.
    4. Il Responsabile dovrà assistere il Titolare nel garantire il rispetto degli obblighi di sicurezza e, in caso di violazione dei dati personali, informare il Titolare, senza ingiustificato ritardo fornendogli le informazioni prescritte dall’art 33 e 34 del Regolamento UE, necessarie al fine di consentirgli di soddisfare, entro il termine previsto dal Regolamento UE, l’obbligo di notificare al Garante della privacy la violazione e, se del caso, comunicarla agli Interessati.
  1. Diritto di monitoraggio del Titolare
    1. Il Responsabile dovrà mantenere un costante controllo in merito al fatto che i dati siano trattati in modo lecito, secondo correttezza e comunque nel rispetto del GDPR, compreso il profilo relativo alla sicurezza.
    2. Inoltre, sarà tenuto ad informare immediatamente il Titolare segnalando ogni situazione di cui venga a conoscenza che possa esporre il Titolare a violazioni di legge o possa generare un trattamento illecito o porre in pericolo la riservatezza e l’integrità dei dati o comunque possa costituire un rischio per la protezione dei dati.
    3. Il Titolare realizzerà, direttamente o tramite altro soggetto incaricato, attività di revisione per verificare che i Dati vengano trattati dal Responsabile in al GDPR, agli obblighi e alle istruzioni fornitegli, anche mediante ispezioni presso il Responsabile. 
    4. Il Responsabile contribuirà alle attività di revisione, e metterà a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto del GDPR applicabile, degli obblighi e istruzioni di cui al contratto e al presente documento integrativo.
  • Esclusione di responsabilità
    1. Il Responsabile non sarà ritenuto responsabile per eventi ad esso non imputabili quali, a titolo esemplificativo e non esaustivo, impedimento, disfunzione o difficoltà riguardante strumenti tecnici, cavi, elettronica, hardware, trasmissione e connessione, linea telefonica, altri malfunzionamenti del server, omissioni o errori che possano essere contenuti nelle informazioni e delle immagine inserite durante lo sviluppo su richiesta del Titolare, non conformità e/o obsolescenza degli apparecchi di cui è dotato il Titolare.
    2. Allo stesso modo il Responsabile non sarà ritenuto responsabile per ritardi causati da eventi ad esso non imputabili.
  1. Conclusione del Trattamento e cancellazione Dati
    1. La presente Nomina verrà considerata conclusa nel caso il Contratto non sia più in essere tra le Parti. La conclusione avrà efficacia immediata sulla presente Nomina.
    2. In caso di conclusione Quarzio S.r.l. non sarà ulteriormente considerata responsabile. Il medesimo principio si applicherà ai Sub-Responsabili nominati al fine di adempiere alle obbligazioni del Contratto e della Nomina.
    3. A seguito della conclusione del Trattamento il Responsabile restituirà i Dati al Titolare e ne cancellerà le copie. La medesima azione verrà intrapresa in caso di esplicita richiesta da parte del Titolare.
    4. I Dati non dovranno essere cancellati in caso di obbligo legale di conservazione disposto dal diritto nazionale o internazionale che obbliga il Responsabile a conservare i Dati.
  • Disposizioni finali
    1. Il presente Contratto costituisce la manifestazione integrale delle intese intercorse tra le Parti in merito al suo oggetto e supera ed annulla ogni altro eventuale precedente accordo tra le Parti stesse.
    2. Ciascuna Parte deve intendersi indipendente ed autonoma dall’altra ed, in quanto tale, non avrà il potere di vincolare o impegnare l’altra Parte, se non in base alle disposizioni del presente Contratto.
    3. Il Contratto non può essere interpretato come costitutivo di qualsivoglia altro diverso rapporto tra le Parti che non sia previsto del presente Contratto.
    4. Le Parti si danno vicendevolmente atto che gli articoli del presente Contratto che violino disposizioni di legge non saranno efficaci che nei limiti di tali violazioni, senza che ciò comporti la invalidazione dei restanti articoli o del Contratto nella sua interezza.
    5. L’eventuale rinuncia, espressa o tacita, di una Parte ad avvalersi di una qualsiasi delle pattuizioni contenute nel presente Contratto, ovvero l’acquiescenza ad un inadempimento o alla inosservanza di una pattuizione, non potranno considerarsi in alcun modo quale rinuncia a quanto esposto da tale pattuizione e non impediranno a detta Parte di chiedere l’adempimento della stessa o di ogni altra pattuizione e di agire in forza di essa o in conseguenza di qualsiasi altra inadempienza o violazione in qualsiasi momento.
    6. Qualsiasi modifica al presente Contratto dovrà essere finalizzata per iscritto e sottoscritta da entrambe le Parti.
    7. Le Parti non potranno cedere a terzi il Contratto, nonché i diritti ed obblighi da esso derivanti, in tutto o in parte, senza il previo consenso scritto di ciascuna di esse.
    8. Il Titolare potrà comunicare con il Responsabile attraverso il seguente contatto:
      • info@quarzio.com

 

  • Legge applicabile e foro competente

 

    1. Il presente Contratto è regolato dalla legge italiana.
    2. Tutte le controversie nascenti da o in connessione con il presente Contratto, ivi comprese quelle relative alla sua interpretazione, esecuzione e/o risoluzione, saranno deferite alla competenza esclusiva del Foro di Milano.

 

Data ultimo aggiornamento: 20 Gennaio 2020.

Copy link
Powered by Social Snap