Allegato B
ACCORDO PER IL TRATTAMENTO DI DATI PERSONALI – DATA PROCESSING AGREEMENT
(ai sensi dell’art. 28 del Regolamento UE 2016/679)
- PREMESSE
1.1 Il presente DPA (“Data Processing Agreement”) disciplina il trattamento di Dati personali, svolto da Argo Business Solutions S.r.l., sede legale Viale degli Angeli 6, 12100 Cuneo (CN) e partita IVA 03746780042 (il “Responsabile del Trattamento” o “Responsabile” o “Fornitore”), necessario all’erogazione dei servizi offerti (i “Servizi”) al Cliente (il “Titolare del Trattamento” o “Titolare” o “Cliente”) ed è allegato alle Condizioni Generali di Contratto del Fornitore (il “Contratto” o “Preventivo”).
1.2 Qualora il Cliente svolga operazioni di trattamento per conto di altro Titolare, il Cliente potrà agire come Responsabile del Trattamento. In tal caso, il Cliente garantisce che le istruzioni impartite e le attività intraprese in relazione al trattamento dei Dati Personali, inclusa la nomina, da parte del Cliente, del Fornitore quale ulteriore Responsabile del Trattamento (o Sub-Responsabile) derivante dalla stipulazione del presente DPA, siano state autorizzate dal relativo Titolare del trattamento e si impegna ad esibire al Fornitore, dietro sua semplice richiesta scritta, la documentazione attestante quanto sopra.
- RIFERIMENTI NORMATIVI
2.1 Il presente DPA garantisce che il trattamento dei Dati svolto dal Fornitore sia conforme al Regolamento UE 2016/679 (“GDPR”) e più in generale alla normativa italiana ed europea in materia di privacy e protezione dei dati personali (la “Legge Applicabile”).
- TRATTAMENTO DI DATI PERSONALI
3.1 Finalità del trattamento: la finalità del trattamento dei Dati è lo svolgimento dei Servizi da parte del Fornitore, come specificato nel Contratto.
3.2 Per fornire i Servizi, il Responsabile del Trattamento tratta, per conto del Titolare, determinate categorie di Dati personali raccolti dal Titolare e trasferiti da quest’ultimo al Responsabile tramite apposite procedure di trasmissione sicura dei file.
3.3 Per “Dati personali” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile («Interessato») come definito dall’art. 4 del GDPR. Le categorie di Dati personali trattati dal Responsabile del Trattamento per conto del Titolare sono elencate nel Sub-Allegato A. Il Responsabile svolge esclusivamente le attività di trattamento necessarie e rilevanti ad assicurare l’esecuzione dei Servizi al Titolare.
3.4 Il Responsabile del Trattamento adotta un registro delle attività di trattamento in conformità con l’art. 30, par. 2 del GDPR.
- ISTRUZIONI
4.1 Il Responsabile del Trattamento può trattare i dati personali esclusivamente in conformità con le istruzioni documentate del Titolare del trattamento (le “Istruzioni”), a meno che la Legge Applicabile non disponga diversamente. Con il presente DPA, il Titolare fornisce l’istruzione che il Responsabile del Trattamento possa trattare i Dati personali solamente allo scopo di fornire i Servizi attenendosi alle disposizioni contenute nelle Condizioni Generali di Contratto. Subordinatamente ai termini del presente DPA e con il reciproco accordo delle parti, il Titolare del Trattamento può fornire al Responsabile ulteriori istruzioni scritte coerenti con i termini del presente accordo.
4.2 Il Titolare del Trattamento garantisce di trattare i Dati personali in conformità alla normativa vigente in materia di privacy e protezione dei dati personali. Le istruzioni fornite dal Titolare devono essere conformi alla Legge Applicabile. Il Titolare deve garantire che i Dati siano raccolti e trattati in maniera lecita, corretta e trasparente.
4.3 Il Responsabile del Trattamento informa il Titolare nel caso in cui ritenga che le Istruzioni violino la Legge Applicabile e non eseguirà tali Istruzioni finché non saranno riconosciute come legittime.
- OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
5.1 Riservatezza
5.1.1 Il Responsabile del Trattamento deve trattare tutti i Dati personali come informazioni strettamente riservate. I Dati Personali non possono essere copiati, trasferiti o trattati in conflitto con le Istruzioni, a meno che non venga autorizzato a seguito di ulteriori accordi con il Titolare del Trattamento.
5.1.2 Gli eventuali dipendenti del Responsabile devono essere soggetti a un obbligo di riservatezza e firmare un’apposita nomina che li autorizza a trattare i Dati in maniera conforme alla Legge Applicabile e alle disposizioni contenute nel presente DPA.
5.1.3 I Dati personali possono essere trattati dal Responsabile solamente ai fini dell’erogazione dei Servizi.
5.2 Sicurezza
5.2.1 Il Responsabile del Trattamento deve attuare le misure tecniche e organizzative appropriate come stabilito nel presente DPA e ai sensi dell’articolo 32 del GDPR. Il Responsabile del Trattamento può aggiornare o modificare le misure di sicurezza di volta in volta a condizione che tali aggiornamenti e modifiche non comportino il peggioramento dei livelli di sicurezza complessiva. Le misure di sicurezza sono elencate nel Sub-Allegato B.
5.3 Valutazioni d’impatto sulla protezione dei dati e consultazione preventiva
5.3.1 Se l’assistenza del Responsabile del Trattamento è necessaria e pertinente, il Responsabile assisterà il Titolare nel predisporre le valutazioni d’impatto sulla protezione dei dati in conformità all’art. 35 del GDPR, insieme a qualsiasi consultazione preventiva ai sensi dell’art. 36 del GDPR.
5.4 Diritti degli interessati
5.4.1 Se il Titolare riceve una richiesta da un interessato per l’esercizio dei propri diritti ai sensi della Legge Applicabile e la risposta corretta e legittima a tale richiesta richiede l’assistenza del Responsabile del Trattamento, il Responsabile assisterà il Titolare fornendo, entro un tempo ragionevole, le informazioni necessarie e la documentazione richiesta dal Titolare. Il Responsabile dovrà assistere il Titolare nel gestire tali richieste in conformità con la Legge Applicabile.
5.4.2 Se il Responsabile del Trattamento riceve una richiesta da un interessato per l’esercizio dei propri diritti ai sensi della Legge Applicabile e tale richiesta è connessa ai Dati Personali raccolti dal Titolare, il Responsabile dei dati deve immediatamente inoltrare la richiesta al Titolare e deve astenersi dal rispondere direttamente all’interessato.
5.5 Violazione di Dati personali
5.5.1 In caso di violazione di Dati personali (“Data Breach”) che possa comportare la distruzione, la perdita, l’alterazione, la divulgazione o l’accesso non autorizzato o accidentale ai Dati personali trattati per conto del Titolare del Trattamento, il Responsabile dovrà dare comunicazione al Titolare entro quarantotto (48) ore dal momento in cui il Data Breach viene rilevato dal Responsabile.
5.5.2 Il Responsabile del Trattamento dovrà compiere ogni ragionevole sforzo per identificare la causa di tale violazione e adottare le misure che riterrà necessarie per determinarne la causa e per impedire che tale violazione si ripresenti.
5.6 Documentazione di conformità e diritti di audit
5.6.1 Su richiesta del Titolare, il Responsabile del Trattamento deve mettere a disposizione del Titolare tutte le informazioni rilevanti necessarie a dimostrare la conformità dei trattamenti svolti secondo i termini del presente DPA.
5.6.2 Il Responsabile riconosce il diritto del Titolare, con le modalità e nei limiti di seguito indicati, a effettuare audit per verificare la conformità del Responsabile agli obblighi previsti dal presente DPA e dalla normativa. Il Titolare può avvalersi, per tali attività, di proprio personale specializzato o di revisori esterni, purché tali soggetti siano previamente vincolati da idonei impegni alla riservatezza.
5.6.3 Il Responsabile può opporsi per iscritto alla nomina da parte del Titolare di eventuali revisori esterni che siano, ad insindacabile giudizio del Responsabile, non adeguatamente qualificati o indipendenti, siano concorrenti del Responsabile o che siano evidentemente inadeguati. In tali circostanze, il Titolare è tenuto a nominare altri revisori o a condurre le verifiche in proprio.
5.6.4 Il Responsabile deve rispondere alle richieste di documentazione aggiuntiva o di programmazione di audit inoltrate dal Titolare entro trenta (30) giorni dalla data di ricezione della richiesta.
5.7 Trasferimento dei Dati
5.7.1 In via ordinaria, il Responsabile del Trattamento non deve trasferire i Dati in Paesi non appartenenti Spazio Economico Europeo (SEE). Qualora fosse necessario, per svolgere alcune tipologie di trattamenti (a titolo esemplificativo: backup, salvataggio su cloud, ecc.), il trasferimento dei Dati al di fuori dello Spazio economico europeo (SEE), i Dati dovranno essere trasferiti solamente a Sub-Responsabili che abbiano adottato le adeguate garanzie previste dagli artt. 44-50 del GDPR (a titolo esemplificativo: Decisioni di adeguatezza della Commissione Europea, Clausole Contrattuali Standard).
- AUTORIZZAZIONE GENERALE ALLA NOMINA DI SUB-RESPONSABILI
6.1 Al Responsabile del Trattamento viene conferita l’autorizzazione generale a nominare terze parti (“Sub-responsabili”) per il trattamento dei Dati personali.
6.2 Il Responsabile avvisa il Titolare prima che vengano stipulati accordi con un nuovo potenziale Sub-responsabile e prima che il Sub-responsabile tratti i Dati personali raccolti dal Titolare. Se il Titolare del Trattamento desidera opporsi alla nomina di un nuovo Sub-responsabile, il Titolare deve notificare tale opposizione al Responsabile per iscritto entro dieci (10) giorni lavorativi dal ricevimento della notifica da parte del Responsabile del Trattamento. L’assenza di eventuali obiezioni da parte del Titolare del Trattamento è da intendersi come consenso per la nomina di un nuovo Sub-responsabile.
6.3 Nel caso in cui il Titolare del Trattamento si opponga a un nuovo Sub-responsabile e il Responsabile non possa accogliere l’obiezione del Titolare, il Titolare del Trattamento può richiedere l’interruzione dei Servizi fornendo comunicazione scritta al Responsabile.
6.4 Il Responsabile del Trattamento deve firmare un apposito DPA con ogni nuovo Sub-responsabile. Tale accordo deve prevedere come minimo gli stessi obblighi di protezione dei dati applicabili al Responsabile del Trattamento, compresi gli obblighi previsti dal presente DPA. Il Responsabile del Trattamento deve monitorare e verificare periodicamente la conformità dei suoi Sub-responsabili alla Legge Applicabile. La documentazione di tale monitoraggio deve essere fornita al Titolare del Trattamento se richiesto per iscritto.
6.5 Il Responsabile del Trattamento, al momento dell’introduzione del presente DPA, impiega i Sub-responsabili elencati nel Sub-Allegato C. Se il Responsabile sigla un contratto con un nuovo Sub-responsabile, tale nuovo Sub-responsabile deve essere aggiunto alla lista dei Sub-Responsabili del Sub-Allegato C.
- DURATA
7.1 Il presente DPA rimane in vigore fino alla risoluzione del Contratto.
- CANCELLAZIONE DEI DATI
8.1 Dopo la scadenza o la risoluzione del Contratto, il Responsabile del Trattamento cancellerà o restituirà al Titolare tutti i Dati Personali in suo possesso come previsto nel Contratto, eccetto nel caso in cui sia richiesto dalla Legge Applicabile al Responsabile del Trattamento di conservare alcuni o tutti i Dati personali (in quel caso il Responsabile archivierà i dati e attuerà misure ragionevoli per impedire che i Dati personali vengano ulteriormente trattati). I termini di questo DPA continueranno ad applicarsi a tali Dati personali.
- DATI DI CONTATTO
9.1 I dati di contatto del Responsabile del Trattamento sono i seguenti:
Argo Business Solutions S.r.l.
P.IVA: 03746780042
Indirizzo: Viale degli Angeli 6, 12100 – Cuneo (CN)
Mail: info@argobs.com
Tel: 01119115359