Con la stipula del contratto per la fornitura di beni e/o servizi il Cliente (di seguito “Titolare” o “Titolare del trattamento”), in qualità di titolare del trattamento dei dati ai sensi del Regolamento UE 2016/679 (di seguito anche solo “Regolamento”)
NOMINA
la società ASSO S.r.l., con sede legale in Ragusa, Corso Vittorio Veneto 570/F, P.IVA 01670840881, Responsabile del trattamento dei dati. Essa assume il compito e la responsabilità di osservare scrupolosamente le istruzioni impartite dal Titolare e adempiere a quanto previsto dalle disposizioni vigenti in materia.
Oggetto del trattamento
Il Responsabile del trattamento è autorizzato esclusivamente al trattamento dei dati personali di cui il cliente è Titolare, per le finalità nella misura e nei limiti necessari e relativi all’esecuzione delle prestazioni oggetto del Contratto, che si intende qui riportato per esteso. Il Responsabile del trattamento risponde unicamente del trattamento dei dati personali effettuato ai sensi del presente Accordo e non di ulteriori trattamenti di dati personali, inclusi, a titolo esemplificativo ma non esaustivo, trattamenti per scopi non segnalati dal Titolare ed elaborati da terze parti. Risponde inoltre, solo a seguito del mancato rispetto degli obblighi imposti dalla legislazione vigente o per la violazione delle istruzioni scritte del Titolare del trattamento.
Principi generali
Ogni trattamento di dati personali avviene nel rispetto primario dei seguenti principi di ordine generale: a) i dati sono trattati secondo il principio di liceità, vale a dire conformemente alle disposizioni del Regolamento, e della legislazione vigente; secondo il principio fondamentale di correttezza, il quale deve ispirare chiunque tratti qualcosa che appartiene alla sfera altrui; conservati per un periodo non superiore a quello necessario per gli scopi del trattamento e comunque in base alle disposizioni aventi ad oggetto le modalità ed i tempi di conservazione. b) ciascun trattamento avviene nei limiti imposti dal principio fondamentale di riservatezza e nel rispetto della dignità della persona dell’interessato, ovvero è effettuato eliminando ogni occasione di impropria conoscibilità dei dati da parte di terzi.
Natura e scopo del trattamento
Il trattamento dei dati per conto del Titolare avviene per le seguenti finalità: fornitura dei servizi richiesti dal Titolare in base al contratto; verifica del funzionamento corretto del servizio; verifica di sicurezza del servizio e dei dati stessi.
Categorie di dati
Oggetto del trattamento sono le seguenti categorie di dati: dati e parametri del dispositivo di connessione al servizio; dati e parametri del tipo di browser utilizzato per la connessione; dati dell’internet service provider (ISP); data, orario e durata della visita; pagina web di provenienza e di uscita; nazione di provenienza; il numero di click; dati personali dell’utente (nome, cognome, indirizzo email, indirizzo); dati geografici; comportamento sul sito web; e comunque ogni altro dato fornito dal Titolare tramite i servizi attivati.
Durata del trattamento
Il trattamento sarà effettuato per tutta la durata del contratto stipulato tra Asso s.r.l. e il Cliente. Alla scadenza del contratto o in caso di risoluzione dello stesso o di recesso i dati forniti saranno restituiti o cancellati a scelta del Titolare, a meno che non sia previsto un obbligo legale di conservazione dei dati. Le copie di sicurezza dei dati saranno cancellate.
Luogo del trattamento
I dati sono trattati presso la sede del Responsabile del trattamento e sono allocati presso il data center localizzato in Italia nella sede del Responsabile. Sia la sede che il data center si trovano nello Spazio Economico Europeo. Il trasferimento di dati al di fuori del SEE (Spazio Economico Europeo), qualora sia richiesto dal Titolare, è ammesso a condizione che il paese di destinazione garantisca un livello di protezione adeguato oppure esistano specifiche decisione di adeguatezza emanate dalla Commissione europea o clausole contrattuali utilizzate dal Titolare. Qualora un servizio selezionato dal Titolare implichi un trasferimento di dati al di fuori del SEE, e ciò comporti la sottoscrizione di apposite clausole o contratti con il servizio in questione, tale sottoscrizione dovrà essere operata dal Titolare, comunicandone espressamente al Responsabile l’adozione.
Trattamento dei dati da parte del Responsabile
Il Responsabile elabora i dati personali solo sulla base delle istruzioni fornite dal Titolare e alle condizioni stabilite nel presente accordo. Il Responsabile si impegna informare il Titolare se, a suo parere, le istruzioni ricevute violano il GDPR o altre disposizioni applicabili in materia di protezione dei dati.
Incaricati del trattamento
Il Responsabile si impegna a trattare i dati solo tramite incaricati del trattamento appositamente designati e autorizzati, che operano in base alle istruzioni fornite, verificando che applichino le prescrizioni di sicurezza e riservatezza dei dati, assicurandosi che siano a conoscenza delle norme a tutela dei dati personali, provvedendo alla loro formazione e al loro aggiornamento, prescrivendo che abbiano accesso ai soli dati strettamente necessari per adempiere ai compiti loro assegnati.
Misure tecnico organizzative e di sicurezza
Il Responsabile ha adottato misure organizzative e di sicurezza studiate per il trattamento dei dati. Il Responsabile adotta tutte le misure ritenute idonee al fine di ridurre al minimo i rischi di distruzione, perdita anche accidentale, accesso non autorizzato o comunque trattamento non consentito dei dati, tenendo conto dello stato dell’arte, dell’importanza dei dati trattati e dei costi relativi. Il Responsabile, verifica periodicamente l’adeguatezza delle misure di sicurezza adottate, valutando eventuali modifiche delle stesse. Le misure tecniche e organizzative infatti, sono soggette al progresso tecnologico e quindi soggette a periodico aggiornamento. Il Responsabile comunica al Titolare casi di accesso ai dati non autorizzato o non consentito o non conforme alle istruzioni ricevute (data breach) senza ritardo, indicando la causa, la sequenza della violazione, la soluzione adottata o proposta, le misure adottate. La sicurezza del trattamento dati è garantita dalle seguenti misure: accesso alle strutture e/ locali ristretto alle sole persone autorizzate e misure di controllo fisiche dei locali; accesso al sistema informatico alle sole persone autorizzate, con controllo degli accessi e delle operazioni; credenziali di accesso e autorizzazione modificate periodicamente; backup e duplicazione dati; procedure di disaster recovery per garantire la continuità operativa e la sicurezza dei dati; tempestivo ripristino dei dati in caso di incidente fisico o tecnico; cifratura dei dati e dei supporti di backup; protezione dei dati e dei software; separazione fisica e/o logica dei dati per servizi e per clienti; monitoraggio costante di temperatura, umidità e rilevazione fumo o incendi dei locali dove sono custoditi i dati; formazione e aggiornamento del personale autorizzato al trattamento dei dati.
Titolare del trattamento
Il Cliente, titolare del trattamento, si impegna ad informare gli interessati (cioè i suoi clienti o utenti) correttamente e compiutamente con riferimento ai dati trattati, alle modalità e le finalità del trattamento e ai diritti attribuiti dalla legge, tramite apposita informativa redatta ai sensi della legislazione vigente, e a raccogliere il relativo consenso qualora previsto dalle norme, o a stabilire una base legale del trattamento. Si impegna altresì a tenere indenne il responsabile del trattamento da eventuali richieste legali relative alla non conformità dell’informativa agli utenti/interessati del trattamento e/o della raccolta del consenso. Il Titolare ha facoltà di integrare, fornendole per iscritto, le istruzioni necessarie per il trattamento dei dati, e qualunque informazione necessaria per la creazione dei registri del Responsabile sulle attività di trattamento dei dati. Il Titolare resta l’unico responsabile per le informazioni trattate e le istruzioni comunicate. Spetta al Titolare del trattamento valutare la sussistenza di un obbligo di comunicazione agli interessati o alle Autorità di controllo in caso di violazione dei dati (data breach). Spetta al Titolare valutare se il suo trattamento comporta un elevato rischio per i diritti o la libertà di persone fisiche, e quindi se si rende necessaria la valutazione di impatto del trattamento (DPIA). L’eventuale DPIA dovrà essere portata a conoscenza del Responsabile. Spetta al Titolare valutare se il suo trattamento comporta la nomina di un Data Protection Officer (DPO). L’eventuale nomina dovrà essere portata a conoscenza del Responsabile.
Diritti delle persone interessate
Il Responsabile de trattamento fornisce al Titolare l’accesso al sistema dove sono archiviati i dati personali, in modo da permettergli di gestire autonomamente le richieste dei soggetti interessati nell’esercizio dei loro diritti. Il Responsabile rimane a disposizione del Titolare per ulteriori eventuali informazioni. Nel caso in cui il Titolare richiedesse servizi aggiuntivi per la gestione delle richieste degli interessati, tali forniture dovranno essere oggetto di separato accordo. Qualora i soggetti interessati esercitino i propri diritti presso il Responsabile del trattamento, il Responsabile del trattamento inoltrerà tempestivamente tali richieste al Titolare al contatto indicato in sede di stipula del Contratto, comunicando ai soggetti interessati i dati di contatto del titolare.
Responsabilità
Il Titolare del Trattamento dichiara e garantisce di avere un’idonea base legale per elaborare i dati personali, e che il trattamento non sia illegale e non violi alcun diritto di terzi. Di conseguenza si impegna ad indennizzare il Responsabile del trattamento con riferimento a tutti i reclami o le azioni legali di terzi relativi al trattamento di dati personali illecito o illegittimo. Qualora il Responsabile e il Titolare siano coinvolti in una procedura relativa all’esecuzione del presente Accordo, il Titolare si farà carico di indennizzare per la totalità l’interessato agendo, eventualmente, in rivalsa nei confronti del Responsabile del trattamento per la sua eventuale parte di responsabilità.