DPA – Nomina Responsabile del Trattamento Dati

Il presente accordo per la nomina a Responsabile del Trattamento dei Dati è parte integrante e sostanziale del contratto (di seguito indicato come Contratto), stipulato tra movingWords Srl (di seguito Società) ed il Cliente, che definisce i termini e le condizioni applicabili ai servizi offerti da movingWords Srl tramite la piattaforma AnyLetters (i "Servizi").

In riferimento al trattamento dati, in caso di discordanza tra il presente documento e il Contratto, dovrà prevalere il presente accordo.

Nell'ambito dei servizi forniti al Cliente, la Società è tenuta a svolgere le operazioni di trattamento dei dati personali per conto del Cliente. Questi trattamenti vengono effettuati per tutta la durata del rapporto contrattuale tra le parti.

La Società si impegna a gestire il Trattamento dei Dati Personali nel pieno ed esclusivo rispetto delle istruzioni regolarmente impartite dal Cliente, anche nel caso di trasferimento dei Dati Personali verso un paese terzo o un'organizzazione internazionale, ed a garantire la sicurezza e riservatezza del trattamento in conformità ai principi, requisiti e prescrizioni di cui all'art. 28 del Regolamento U.E. 2016/679.

Il Cliente ha previamente valutato che la Società possiede i requisiti di esperienza, capacità ed affidabilità previsti dal Regolamento U.E. 2016/679, anche sulla base delle garanzie fornite da quest'ultimo.

La Società sarà tenuta a comunicare tempestivamente al Cliente eventuali situazioni sopravvenute che, per il mutare delle conoscenze acquisite, in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento dell'incarico.

La presente nomina a responsabile di trattamento avrà la medesima durata stabilita dal contratto/i stipulato/i dal Cliente.

La tipologia di Dati Personali e le categorie di interessati sono determinate e controllate a sola discrezione del Cliente, in base ai servizi oggetto del Contratto e ai dati personali condivisi o trattati dalla Società per l'esecuzione del Servizio e di cui il Cliente è Titolare.

La Società, nell'esecuzione dell'incarico affidatogli, svolgerà le operazioni di trattamento dei Dati Personali per conto del Cliente soltanto per l'erogazione dei Servizi oggetto del Contratto, che ai fini del presente articolo deve intendersi quale documentazione contenente le istruzioni di trattamento dei dati.

Al fine di garantire un corretto ed efficace trattamento dei Dati Personali, la Società si impegna a:

• predisporre il registro di trattamento contenente le categorie dei Dati Personali trattati, dei soggetti interessati, delle finalità e delle modalità di trattamento dei Dati Personali, ove tenuto;
• individuare e nominare gli eventuali incaricati del trattamento e fornire loro dettagliate istruzioni operative nonché vigilare sul rispetto delle istruzioni impartite;
• evadere tempestivamente le richieste di informazioni da parte dell'Autorità di Controllo Garante e, collaborare per l'attuazione di sue eventuali prescrizioni;
• rispettare le indicazioni e le prescrizioni del Regolamento UE n. 679/2016;
• per quanto possibile, ad assistere e collaborare con il Cliente nonché garantire la conformità con i suoi obblighi conformemente alle normative vigenti in questo settore, e in particolare contribuire a garantire la sicurezza dei Dati Personali, rispettare i suoi obblighi in caso di vulnerabilità della sicurezza, per favorire l'attuazione di tutte le misure necessarie prima del trattamento, come ad esempio la realizzazione di un'analisi d'impatto;
• informare, senza ingiustificato ritardo, il Cliente di eventuali violazioni di cui giunga a conoscenza, anche qualora si tratti di un'istruzione ricevuta dal Cliente che costituisca una violazione della legge applicabile;
• non effettuare di propria iniziativa alcuna operazione di trattamento diversa dalle istruzioni ricevute, salvo espresse previsioni di legge che ne legittimino la deroga o il ricorso di circostanze sopravvenute, imprevedibili, o cause di forza maggiore, che in ogni caso non elidono l'obbligo di tempestiva comunicazione nei confronti del Cliente;
• monitorare ogni relativa fase applicativa nel rispetto della normativa vigente in materia di protezione dei Dati Personali.

La Società in relazione alla valutazione del rischio, natura, oggetto, contesto e finalità del trattamento, si obbliga a impostare, organizzare e mantenere un sistema di trattamento dei dati che sia conforme alle disposizioni del Regolamento U.E. 2016/679, in particolare a mettere in atto tutte le misure tecniche ed organizzative necessarie a garantire un adeguato livello di sicurezza dei dati trattati tra cui:

• misure di sicurezza fisiche: tese a prevenire l'accesso di soggetti non autorizzati nelle Infrastrutture all'interno delle quali sono immagazzinati i dati del Cliente;
• controlli di identità e accesso: utilizzando un sistema di autenticazione, nonché una politica di gestione delle password;
• sistema di gestione degli accessi: che limiti l'ingresso alle strutture a coloro per i quali sia indispensabile nello svolgimento dei loro compiti e all'interno delle loro responsabilità;
• sistema di contenimento: che a seconda dei servizi isoli fisicamente o logicamente i clienti gli uni dagli altri;
• procedure di autenticazione: per utente e amministratore, nonché per tutelare l'accesso alle funzioni di amministratore;
• un sistema di gestione degli accessi: per attività di supporto e manutenzione che operi sui principi del privilegio minimo e della necessità di comunicazione;
• procedure e misure: per tracciare le azioni svolte sul suo sistema informatico.

La Società si impegna a mettere a disposizione del Cliente tutte le informazioni e la documentazione necessarie per dimostrare la conformità con gli obblighi previsti nel presente atto e istruzioni impartite.

La Società autorizza il Cliente o qualsiasi altro incaricato ad ispezionare e controllare le attività di trattamento dei Dati Personali e si impegna ad accettare tutte le richieste ragionevoli da parte del Cliente al fine di verificare che la Società abbia rispettato gli obblighi contrattuali imposti dal presente atto.

In tutti i casi, il Cliente dovrà avvisare la Società con un preavviso minimo di 15 giorni e l'ispezione non dovrà in alcun modo disturbare la sua attività e sarà limitata esclusivamente alle attività di trattamento dei Dati Personali da parte della Società.

Il Cliente provvederà a monitorare le attività di trattamento dei dati da parte della Società. A tal fine, a richiesta del Cliente, la Società dovrà inviare un report avente ad oggetto il trattamento dei dati da parte della Società e che contenga anche i seguenti elementi:

• modifica alle misure di sicurezza implementate;
• gestione delle richieste degli interessati ed eventuali anomalie riscontrate;
• ispezioni o richieste di chiarimento da parte delle Autorità nei confronti della Società.

La Società è autorizzata ad avvalersi o a delegare uno o più Sub-Responsabili del Trattamento che avranno accesso e tratteranno Dati Personali affidati dal Cliente in ragione dello svolgimento dell'attività.

La Società garantisce che tutti gli eventuali Sub-Responsabili nominati dovranno offrire sufficienti garanzie in relazione ai requisiti imposti dal Regolamento U.E. 2016/679.

I Sub-Responsabili agiranno nel rispetto delle norme del Regolamento U.E. 2016/679 e delle istruzioni impartite dal Cliente. Resta inteso che la Società risponderà sempre al Cliente per le inadempienze o le violazioni causate dall'attività dei Sub-Responsabili.

La Società garantisce altresì il possesso del Sub-Responsabile dei requisiti previsti dal Regolamento U.E. 2016/679 ed eventuali sostituzioni o aggiunte alla sua figura dovranno essere comunicate per iscritto tempestivamente al Cliente, il quale avrà il più ampio diritto di contestazione ed opposizione alle modifiche presentate.

La Società si impegna ad inviare su richiesta del Cliente l'elenco aggiornato dei Sub-Responsabili.

La Società tratterà i Dati Personali solo per il tempo necessario ad adempiere alle finalità del Trattamento collegato al rapporto tra le parti, impegnandosi alla cancellazione degli stessi e delle eventuali copie al termine della prestazione.

Alla scadenza del Contratto o di un singolo Servizio (in particolare in caso di conclusione o mancato rinnovo), la Società si impegna a cancellare secondo le condizioni previste nel Contratto tutte le informazioni (dati, file, sistemi, applicazioni, siti Web e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente ai fini dei Servizi, fatto salvo in presenza di una richiesta emessa da un'autorità giudiziaria competente, oppure quando la normativa applicabile dell'Unione Europea e di uno Stato membro dell'UE preveda diversamente.

Il Cliente è l'unico responsabile del trattamento dei dati attraverso l'utilizzo del Servizio (backup, ecc.). Con riferimento alla conclusione dei Servizi, per qualunque ragione (ivi compreso, ma senza tuttavia a ciò limitarsi, il mancato rinnovo), il Cliente è consapevole, che la Società provvederà a cancellare automaticamente ed in modo irreversibile, dai propri sistemi informatici, tutte le informazioni (inclusi informazioni, dati, file, sistemi, applicazioni, siti Web e altro materiale) che siano riprodotti, immagazzinati, ospitati o diversamente utilizzati dal Cliente.

È fatta salva la possibilità di conservazione dei dati a fronte di previsioni di legge o ordini di un'autorità che dispongano obblighi di conservazione per periodi prolungati.

Le parti si impegnano a cooperare con l'Autorità di Controllo nell'esecuzione dei loro compiti qualora ne venga fatta richiesta, oltre ad avere l'obbligo di notificare, senza ingiustificato ritardo, eventuali violazioni dei dati e garantire che chiunque agisca sotto la loro autorità con accesso ai Dati Personali non potrà effettuare il trattamento se non istruito in tal senso ad eccezione del caso in cui le previsioni di legge dispongano diversamente.

Qualora il Cliente operi quale Responsabile del trattamento in nome di titolari terzi, garantisce alla Società quanto segue:

• di aver ricevuto le necessarie autorizzazioni dal terzo (titolare);
• di avere informato il terzo che la Società è stata nominata sub-responsabile del trattamento;
• sia stato sottoscritto con il terzo un accordo pienamente coerente con i termini e le condizioni del presente DPA e del Contratto;
• tutte le informazioni comunicate o rese disponibili dalla Società, nel rispetto del presente DPA, siano debitamente comunicate al terzo.

Il Cliente è responsabile di assicurare quanto segue:

a) il trattamento dei dati personali, nell'ambito dell'esecuzione del Contratto, abbia una base legale appropriata (p.es. consenso dell'interessato, interessi legittimi ecc.);

b) gli interessati siano informati del trattamento dei loro dati personali in modo conciso, trasparente, comprensibile e di facile accesso, utilizzando un linguaggio chiaro e semplice come previsto dal GDPR;

c) gli interessati siano informati e abbiano in qualunque momento la possibilità di esercitare facilmente i loro diritti sui dati, come previsto dal GDPR.

Il Cliente è responsabile dell'adozione delle misure tecniche e organizzative appropriate per garantire la sicurezza di risorse, sistemi, applicazioni e operazioni non di responsabilità della Società.

In particolare il Cliente, dichiara di essere consapevole, che l'accesso al servizio è garantito previa autenticazione con le proprie credenziali.

Le credenziali sono strettamente personali e non possono essere cedute a terzi. Il mantenimento della segretezza delle credenziali è ad esclusivo carico del cliente, il quale sarà il solo responsabile per qualsiasi attività posta in essere tramite l'utilizzo delle stesse.

Tutte le operazioni effettuate tramite l'utilizzo delle credenziali comportano l'automatica attribuzione al Cliente delle operazioni condotte. Pertanto, il Cliente riconosce ed accetta che la Società potrà utilizzare qualsiasi informazione ricavabile dai propri sistemi informatici per monitorare l'accesso ai Servizi per provare le operazioni effettuate dal Cliente.

La Società potrà essere ritenuta responsabile unicamente per i danni causati dal trattamento quando:

(I) non abbia rispettato gli obblighi del GDPR specificatamente legati ai Responsabili del trattamento.

(II) abbia agito contro istruzioni validamente scritte dal Cliente.

In tali casi, si applicherà quanto previsto dal Contratto sulla responsabilità della Società.

Qualora la Società ed il Cliente siano coinvolti in una procedura in base al presente Contratto che causi danni a un interessato, il Cliente si farà carico in prima istanza della totalità dell'indennizzo (o di altra compensazione) dovuto a detto interessato e, secondariamente, si rivarrà sulla Società per la parte della compensazione corrispondente alla responsabilità della Società, sempre che non sia di applicazione una limitazione di responsabilità prevista dal Contratto.