PREMESSO CHE La Società/L’Ente: ____________________________________________ (nel seguito: Cliente) Sede legale: _____________________________________________________________ Indirizzo PEC: ___________________________________________ (campo...
Delega e nomina UNICA
TEM 031 v. 1.5 del 19.04.2022+ TEM025 v. 1.5 del 19.04.2022
Incarico a Unimatica Spa per il servizio di Conservazione Digitale a Norma,
con Delega al ruolo di Responsabile del servizio di Conservazione e nomina a Responsabile del trattamento dei dati
PREMESSO CHE
La Società/L’Ente: ____________________________________________ (nel seguito: Cliente)
Sede legale: _____________________________________________________________
Indirizzo PEC: ___________________________________________ (campo obbligatorio)
Codice Fiscale: _____________________________________________________________
Partita IVA/Codice IPA: _____________________________________________________________
Numero REA: _____________________________________________________________
Legale rappresentante/Responsabile della conservazione: _____________________________________________
INCARICA
la Società: Unimatica-RGI S.p.A.,
nella persona del legale rappresentante
Sede legale: Xxx X. Xxxxxxx 00, 00000 Xxxxxxx
Codice Fiscale/P.IVA: 02098391200
Numero REA: BO-413696
Pec: xxx@xxx.xxxxxxxxxxxx.xx
a espletare il servizio di archiviazione digitale e conservazione a norma dei propri documenti utilizzando il sistema UNISTORAGE. Di conseguenza affida a Unimatica-RGI S.p.A., che accetta, la gestione del servizio di conservazione digitale tramite UNISTORAGE e, pertanto:
DELEGA
il Responsabile del servizio di conservazione di Unimatica-RGI S.p.A.
a svolgere le seguenti attività:
definire le politiche di conservazione e i requisiti funzionali del sistema di conservazione, in conformità alla normativa vigente e tenuto conto degli standard internazionali, in ragione delle specificità degli oggetti digitali da conservare (documenti informatici, aggregazioni informatiche, archivio informatico), della natura delle attività che il Titolare dell’oggetto di conservazione svolge e delle caratteristiche del sistema di gestione informatica dei documenti adottato;
gestire il processo di conservazione e garantirne nel tempo la conformità alla normativa vigente;
generare e sottoscrivere il rapporto di versamento, secondo le modalità indicate specificatamente nel manuale di conservazione o con le modalità riportate dal contratto o dall’accordo di servizio;
generare e sottoscrivere il pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti specificatamente dal manuale di conservazione o con le modalità riportate dal contratto o dall’accordo di servizio;
effettuare il monitoraggio della corretta funzionalità del sistema di conservazione;
effettuare la verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità e della leggibilità dei documenti informatici e delle aggregazioni documentarie degli archivi;
al fine di garantire la conservazione e l’accesso ai documenti informatici, adottare misure per rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, per ripristinare la corretta funzionalità; adottare analoghe misure con riguardo all’obsolescenza dei formati;
provvedere alla duplicazione o copia dei documenti informatici in relazione all’evolversi del contesto tecnologico, secondo quanto previsto dal manuale di conservazione;
predisporre le misure necessarie per la sicurezza fisica e logica del sistema di conservazione come previsto dal par. 4.10 delle Linee guida dell’Agenzia per l'Italia digitale (AgID) sulla formazione, gestione e conservazione dei documenti informatici;
cooperare con un pubblico ufficiale, nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l’assistenza e le risorse necessarie per l’espletamento delle sue attività, entro i limiti dell’incarico ricevuto;
assicurare agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza;
coordinatamente con il Cliente, a seguito di richiesta e previo accordo, provvedere, per le amministrazioni statali centrali e periferiche, a versare i documenti informatici, le aggregazioni informatiche e gli archivi informatici, nonché gli strumenti che ne garantiscono la consultazione, rispettivamente all’Archivio Centrale dello Stato e agli Archivi di Stato territorialmente competenti, secondo le tempistiche fissate dall’art. 41, comma 1, del Codice dei Beni Culturali.
Il Responsabile del servizio di conservazione si riserva le seguenti attività:
controllo e vigilanza sull’attività di Unimatica-RGI S.p.A. in relazione alla presente delega ed a quanto stabilito dal contratto di servizio;
determinazione delle politiche generali di conservazione dei documenti;
determinazione dei requisiti generali del sistema di conservazione;
determinazione dei livelli minimi di servizio;
determinazione delle politiche di accesso ai documenti, eventualmente anche via web;
determinazione dei requisiti archivistici del sistema di conservazione;
determinazione di un Piano di cessazione a tutela del Cliente, reso disponibile qualora venga richiesto.
Unimatica-RGI S.p.A. opera sulla base del proprio Manuale del Servizio di Conservazione e ne cura l’aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti.
Il Cliente è edotto degli adempimenti normativi previsti dalle Linee Guida dell’Agenzia per l'Italia Digitale (AgID) sulla formazione, gestione e conservazione dei documenti informatici emanate ai sensi dell’art. 71 del Codice dell'amministrazione digitale (D.lgs. n. 82 del 2005). Unimatica-RGI S.p.A., accettando il presente incarico con delega, si impegna ad osservare quanto previsto dalle suddette Linee Guida.
Questo incarico per conservazione a norma avrà la medesima validità ed efficacia della durata della conservazione legale dei documenti, stabilita dalla normativa e contrattualmente.
I documenti oggetto del servizio sono indicati nei contratti/ordini che si richiamano espressamente e dei quali la presente forma parte integrante e sostanziale, nonché nella scheda cliente/scheda tecnica/scheda di attivazione.
Inoltre, ai sensi dell’art. 28 del Regolamento UE n. 679 del 27 aprile 2016 (nel seguito “GDPR”)
NOMINA
la società Unimatica-RGI S.p.A.
RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
per il trattamento dei dati personali di cui è Titolare la Società e di cui il Responsabile può venire a conoscenza nell’esercizio delle attività espletate per conto del Titolare relativamente al servizio digitale/ai servizi digitali che formano oggetto di accordo così come specificatamente indicato nel contratto/ordine/accordo che si richiama espressamente e del quale la presente forma parte integrante e sostanziale.
Durata del trattamento. La durata del trattamento è stabilita dal contratto/ordine/accordo sussistente tra le parti ed in particolare per tutta la durata della conservazione legale dei documenti, stabilita dalla normativa di riferimento, o di quanto diversamente stabilito nel contratto/ordine/accordo per il servizio.
Natura e finalità del trattamento. Il trattamento dei dati personali è effettuato esclusivamente per la corretta esecuzione delle attività concordate tra le Parti.
Categorie di dati personali trattati. Il Responsabile del trattamento, per espletare le attività pattuite tra le Parti, potrebbe trattare per conto del Titolare direttamente o anche solo indirettamente una o più delle seguenti categorie di informazioni:
- dati personali,
- dati rientranti nelle categorie “particolari” di dati personali,
- dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza,
di cui è Titolare la Società.
Per i dettagli, si rinvia a quanto pattuito nel contratto/ordine/accordo e soprattutto nella scheda cliente/scheda tecnica/scheda di attivazione.
Categorie di interessati cui si riferiscono i dati trattati. I dati trattati dal Responsabile si riferiscono potenzialmente, a titolo esemplificativo, ma non esaustivo, alle seguenti categorie di interessati: clienti, dipendenti, utenti, fornitori, richiedenti impiego, soci, etc.
I dati suddetti formano oggetto di trasferimento dal Titolare al Responsabile del trattamento unicamente per consentire a Unimatica-RGI di espletare le attività scaturenti da contratto/ordine/accordo mediante modalità telematica.
Compiti e istruzioni per il Responsabile. Il Responsabile ha il potere ed il dovere di trattare i dati personale indicati sotto nel rispetto della normativa vigente, attenendosi sia alle istruzioni di seguito fornite, sia a quelle che verranno rese note dal Titolare mediante procedure e/o comunicazioni specifiche.
Il Responsabile dichiara espressamente di comprendere ed accettare le istruzioni di seguito rappresentate e si obbliga a porre in essere, nell’ambito dei compiti affidati, tutti gli adempimenti prescritti dalla normativa di riferimento in materia di tutela dei dati personali al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e di trattamento non consentito o non conforme alla raccolta.
Modalità di trattamento e requisiti dei dati personali. Il Responsabile si impegna a:
trattare direttamente, o per il tramite dei propri dipendenti, collaboratori esterni, consulenti, etc. - designati incaricati del trattamento - i dati personali del Titolare, per le sole finalità connesse allo svolgimento delle attività previste dal contratto/ordine/accordo, in modo lecito e secondo correttezza, nonché nel pieno rispetto delle disposizioni impartite dal GDPR, nonché, infine, dalle presenti istruzioni;
non divulgare o rendere noti a terzi - per alcuna ragione ed in alcun momento, presente o futuro ed anche una volta cessati i trattamenti oggetto del contratto/ordine/accordo - i dati personali ricevuti dal Titolare o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, se non previamente autorizzato per iscritto dal Titolare, fatti salvi eventuali obblighi di legge o ordini dell’Autorità Giudiziaria e/o di competenti Autorità amministrative;
collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;
coadiuvare il Titolare in caso di nuovi trattamenti e/o della cessazione di quelli concordati;
non creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;
in caso di ricezione di richieste specifiche avanzate dall’Autorità Nazionale per la protezione dei dati personali o altre autorità, coadiuvare il Titolare per quanto di sua competenza;
segnalare eventuali criticità al Titolare che possono mettere a repentaglio la sicurezza dei dati, al fine di consentire idonei interventi da parte dello stesso;
coadiuvare, su richiesta, il Titolare ed i soggetti da questo indicati nella redazione della documentazione necessaria per adempiere alla normativa di settore, con riferimento ai trattamenti di dati effettuati dal Responsabile in esecuzione delle attività assegnate.
Istruzioni specifiche per il trattamento dati particolari e/o relativi a condanne penali e reati. Il Titolare indica al Responsabile la presenza nei propri documenti di tali categorie di dati personali nel contratto/ordine/accordo e soprattutto nella scheda cliente/scheda tecnica/scheda di attivazione. Nel caso di trattamento di tali dati, il Responsabile si impegna a:
verificare la corretta osservanza delle misure previste in materia di archiviazione;
prestare particolare attenzione al trattamento di tali dati conosciuti in esecuzione dell’incarico affidato, procedendo alla loro raccolta e archiviazione solo ove ciò si renda necessario per lo svolgimento delle attività di competenza e istruendo in tal senso le persone autorizzate che operano all’interno della propria struttura;
conservare la documentazione contenente dati particolari e/o relativi a condanne penali e reati adottando misure idonee, concordate con il Titolare, al fine di evitare accessi non autorizzati ai dati, distruzione, perdita e/o qualunque violazione di dati personali;
vigilare affinché i dati personali degli interessati vengano comunicati solo a quei soggetti preventivamente autorizzati dal Titolare (ad esempio a propri fornitori e/o subfornitori) che presentino garanzie sufficienti secondo le procedure di autorizzazione disposte e comunicate dal Titolare. Sono altresì consentite le comunicazioni richieste per legge nei confronti di soggetti pubblici;
non diffondere i dati personali, particolari e/o relativi a condanne penali e reati degli interessati;
segnalare eventuali criticità nella gestione della documentazione contenente dati personali, particolari e/o relativi a condanne penali e reati al fine di consentire idonei interventi da parte del Titolare.
Accesso ai dati personali. In linea di principio, i compiti affidati al Responsabile dovranno essere svolti senza che vi sia accesso e conoscenza ai dati personali contenuti nei documenti informatici e cartacei; in ogni caso, se da parte del Responsabile risulterà indispensabile accedere ai dati personali, l'accesso dovrà avvenire esclusivamente per accertate e documentate esigenze di operatività e gestione di sistema, e solo nei casi in cui le medesime finalità non possano venire perseguite senza che via sia accesso o conoscenza dei dati personali, e comunque per finalità coincidenti o compatibili con quelli evidenziate in precedenza.
Sicurezza dei dati personali. Il Responsabile è tenuto, ai sensi dell’art. 32 del GDPR, ad adottare le necessarie misure di sicurezza in modo tale da ridurre al minimo i rischi di distruzione accidentale o illegale, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non consentito ai dati personali trasmessi, conservati o comunque trattati, o il trattamento non conforme alle finalità della raccolta. Il Titolare concorda sulle misure di sicurezza adottate dal Responsabile e le ritiene adeguate. Il Responsabile, su richiesta, fornirà al Titolare l’elenco aggiornato delle misure di sicurezza adottate, in particolare, in merito alle Politiche di crittografia si rimanda al documento di dettaglio presente al seguente link: xxxxx://xxx.xxxxxxxxxxxx.xx/xx/xxxxxxxxxxx-xxx-xxxxxxx.
Sicurezza e Amministrazione del Sistema (ADS). Il Responsabile, su richiesta, fornirà al Titolare la lista nominativa degli ADS, con questi intendendo le persone fisiche che svolgono per conto del Responsabile ed in esecuzione dei compiti concordati ed affidati dal Titolare, attività di gestione e manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i software complessi che trattano dati del Titolare, le reti locali e gli apparati di sicurezza di quest’ultimo, o comunque che possano intervenire sulle misure di sicurezza a presidio dei medesimi dati. Con riferimento ai soggetti individuati, il Responsabile deve comunicare rispetto ad ognuno i compiti e le operazioni svolte.
Data Breach. Il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo e, ove possibile, entro 24 ore dal momento in cui è venuto a conoscenza, con comunicazione da inviarsi all’indirizzo PEC del titolare, (salvo diversa email da indicare all’indirizzo email xxx@xxxxxxxxxxxx.xx) ogni violazione dei dati personali (data breach) fornendo, altresì:
la descrizione della natura della violazione e l’indicazione delle categorie dei dati personali e il numero approssimativo di interessati coinvolti;
comunicare il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
la descrizione delle probabili conseguenze;
la descrizione delle misure adottate o di cui dispone per porre rimedio alla violazione o, quantomeno, per attenuarne i possibili effetti negativi.
Fermo quanto sopra previsto, il Responsabile si impegna a prestare ogni più ampia assistenza al Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 32 - 34 del GDPR.
Una volta definite le ragioni della violazione, il Responsabile di concerto con il Titolare e/o altro soggetto da quest’ultimo indicato, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi, al riguardo anche avvalendosi dell’operato di subfornitori.
È fatto obbligo di mantenere l’assoluto riserbo sulle violazioni intercorse. Al riguardo tali notizie non dovranno essere in alcun modo diffuse in qualunque forma, anche mediante la loro messa a disposizione o consultazione. La comunicazione della violazione è ammessa solo tra il Titolare e/o altro soggetto da questo indicati e il Responsabile, fatte salve quelle comunicazioni richieste dalla legge o da autorità pubbliche.
Valutazione di impatto e consultazione preventiva. Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile de trattamento, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai Sub - Responsabili.
Cessazione del trattamento. Una volta cessati i trattamenti oggetto del contratto/ordine/accordo, salvo rinnovo, il Responsabile, coordinatamente con il Titolare, a seguito di richiesta e previo accordo, si impegna a restituire al Titolare i dati personali acquisiti o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, cancellandoli nel contempo dai propri archivi oppure distruggendoli, ad eccezione dei casi in cui i dati debbano essere conservati in virtù di obblighi di legge. Resta inteso che la dimostrazione delle ragioni che giustificano il protrarsi degli obblighi di conservazione è a carico del Titolare e che le uniche finalità perseguibili con tali dati sono esclusivamente circoscritte a rispondere a tali adempimenti normativi.
I dati trattati per conto del Titolare saranno cancellati dal Responsabile entro 12 mesi dalla data di cessazione degli effetti del contratto/ordine/accordo, in base alle indicazioni fornite dal Titolare.
Attività di trattamento delegate dal Responsabile a terze parti. In esecuzione degli accordi in essere con il Titolare del trattamento, il Responsabile potrà affidare l’esecuzione - parziale o totale - delle relative attività a soggetti terzi, dei quali garantisce il possesso dei requisiti di esperienza, capacità ed affidabilità, ivi compreso il profilo relativo alla sicurezza. Ove ricorra tale ipotesi, il Responsabile provvede personalmente a designare Responsabile del trattamento ai sensi dell’art. 28 del GDPR i suddetti soggetti terzi (nel seguito anche “Sub-Responsabile del trattamento”) con idoneo atto giuridico e ne dà notizia al Titolare tramite il seguente link: xxxxx://xxx.xxxxxxxxxxxx.xx/xx/xxxx-xxxxxx-xxx-xxxxxxxxxxxx.
Trasferimento dei dati personali. Il Responsabile assicura che nessun dato personale potrà essere trasferito all’esterno dell’Area Economica Europea (EEA), anche per il tramite di eventuali Sub – Responsabili, senza la preventiva e documentata autorizzazione scritta del Titolare. Qualora tale autorizzazione fosse concessa, l’attività di trasferimento dei dati personali oggetto del trattamento dovrà essere comunque disciplinata da uno specifico accordo giuridico concluso tra le Parti contenente le “Clausole Contrattuali Standard europee”, ad integrazione di quanto definito dal presente documento; nel caso in cui il Responsabile si avvalga di un Sub – Responsabile anche le intese intercorrenti tra dette parti dovranno essere conseguentemente integrate con la previsione delle “Clausole Contrattuali Standard europee”, in modo che i medesimi obblighi incombenti sul Responsabile siano previsti anche in capo al Sub – Responsabile che effettua il trasferimento di dati presso paesi extra EEA.
Diritti degli interessati. Premesso che l’accesso ai dati personali da parte degli interessati esercitato ai sensi degli artt. 15 e seguenti del GDPR sarà gestito direttamente dal Titolare, il Responsabile si rende disponibile a collaborare con il Titolare stesso fornendogli tutte le informazioni necessarie a soddisfare le eventuali richieste ricevute in tal senso.
Il Responsabile si impegna ad assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato. In particolare, il Responsabile dovrà comunicare al Titolare, senza ritardo, le istanze eventualmente ricevute e avanzate dagli interessati in virtù dei diritti previsti dalla vigente normativa (es. diritto di accesso, diritto all’oblio, alla portabilità, rettifica, cancellazione ecc…), e a fornire le informazioni necessarie al fine di consentire al Titolare di evadere le stesse entro i termini stabiliti dalla normativa.
Persone autorizzate al trattamento. Il Responsabile garantisce di adottare ogni misura ragionevole per assicurare l’affidabilità di ogni soggetto che avrà accesso ai dati personali del Titolare in ragione di qualunque rapporto lavorativo o di collaborazione instaurato con il Responsabile. Inoltre, garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e vigila costantemente sull’operato delle stesse. Nello specifico, il Responsabile deve:
individuare le persone autorizzate al trattamento dei dati impartendo loro, per iscritto, istruzioni dettagliate in merito alle operazioni consentite e alle misure di sicurezza da adottare in relazione alle criticità dei dati trattati;
vigilare regolarmente sulla puntuale applicazione da parte delle persone autorizzate di quanto prescritto, anche tramite verifiche periodiche;
garantire l’adozione dei diversi profili di autorizzazione delle persone autorizzate, in modo da limitare l’accesso ai soli dati necessari alle operazioni di trattamento consentite rispetto alle mansioni svolte;
verificare periodicamente la sussistenza delle condizioni per la conservazione dei profili di autorizzazione di tutte le persone autorizzate, modificando tempestivamente detto profilo ove necessario (es. cambio di mansione);
curare la formazione e l’aggiornamento professionale delle persone autorizzate che operano sotto la sua responsabilità circa le disposizioni di legge e regolamentari in materia di tutela dei dati personali.
Registro dei trattamenti. Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni del comma 5 dell’art. 30 del GDPR - mantiene un registro (in forma scritta e/o anche in formato elettronico) di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, contenente:
il nome e i dati di contatto del Responsabile e/o dei suoi Sub – Responsabili;
le categorie dei trattamenti effettuati per conto del Titolare;
ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate adottate;
ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1 del GDPR.
Il Responsabile garantisce, inoltre, di mettere a disposizione del Titolare e/o dell’Autorità di controllo che ne dovessero fare richiesta, il suddetto registro dei trattamenti.
Il Responsabile si impegna a coadiuvare il Titolare nella redazione del proprio Registro delle attività di trattamenti.
Attività di audit. Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di sicurezza descritti nel presente documento e, in generale, il rispetto delle obbligazioni assunte in forza del presente atto e del GDPR, consentendo e, su richiesta, contribuendo alle attività di audit, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da esso incaricato.
Qualora il Titolare rilevasse comportamenti difformi a quanto prescritto dalla normativa in materia nonché dalle disposizioni contenute nei provvedimenti del Garante per la protezione dei dati personali, provvederà a darne comunicazione al Responsabile e, per il tramite di questo, ai suoi Sub – Responsabili, senza che ciò possa far venire meno l’autonomia dell’attività di impresa dei soggetti controllati ovvero possa essere qualificato come ingerenza nella loro attività.
Ulteriori istruzioni. Il Responsabile comunica sollecitamente al Titolare qualsiasi modificazione di assetto organizzativo o di struttura proprietaria che dovesse intervenire successivamente all’affidamento dell’incarico, affinché il Titolare possa accertare l’eventuale sopravvenuta mancanza dei requisiti previsti dalla vigente normativa o il venir meno delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per il corretto trattamento dei dati oggetto della presente nomina.
Il Responsabile informa prontamente il Titolare delle eventuali carenze, situazioni anomale o di emergenza rilevate nell’ambito del servizio erogato - in particolare ove ciò possa riguardare il trattamento dei dati personali e le misure di sicurezza adottate dal Responsabile - e di ogni altro episodio o fatto rilevante che intervenga e che riguardi comunque l'applicazione del GDPR (ad es. richieste del Garante, esito delle ispezioni svolte dalle Autorità, ecc.) o della normativa nazionale ancorché applicabile.
I
livelli di servizio (Service Level Agreement – SLA) standard
relativi ai servizi che Unimatica-RGI eroga dai propri data center in
modalità Outsourcing/Cloud/SaaS, sono validi per tutti i servizi che
fornisce l’azienda, fatte salve eventuali diverse specificazioni a
livello di singolo contratto di servizio e sono pubblicati al
seguente link:
xxxxx://xxx.xxxxxxxxxxxx.xx/xx/xxxxxxxxxxx-xxx-xxxxxxx.
Validità e
Revoca della nomina. La
presente nomina inizierà a decorrere dalla data di sottoscrizione e
ha validità per tutta la durata del rapporto giuridico intercorrente
tra le Parti e potrà essere revocata a discrezione del Titolare.
La presente nomina annulla e sostituisce quella eventualmente già in essere e non costituisce aggravio in capo al Responsabile, rientrando negli obblighi normativi che regolano i rapporti con il Titolare sotto il profilo privacy.
La perdita da parte del Responsabile dei requisiti di cui all’art. 28 e al considerando 81 del GDPR consentirà al Titolare di esercitare il diritto di revoca. L’esercizio della facoltà di revoca da parte del Titolare –senza obbligo di corresponsione di alcun risarcimento e/o indennità al Responsabile e fatto salvo quanto meglio specificato nel rapporto presupposto– avverrà mediante invio di una comunicazione contenente la manifestazione di volontà di revoca.
Data Protection Officer (DPO). Il Responsabile è tenuto a collaborare e a coadiuvare il DPO nominato dal Titolare nello svolgimento delle attività da questo effettuate. Il Titolare comunica al Responsabile i contatti del DPO, eventualmente nominato, all’indirizzo email: xxx@xxxxxxxxxxxx.xx
Codici di Condotta e Certificazioni. Il Responsabile si impegna a comunicare al Titolare l’adesione a codici di condotta approvati ai sensi dell’art. 40 del GDPR, e/o l’ottenimento di certificazioni che impattano sui servizi offerti al Titolare, intendendo anche quelle disciplinate dall’art. 42 del GDPR. Il Responsabile possiede le certificazioni ISO/IEC 27001, integrata con le linee guida ISO/IEC 27017, 27018 e 27701, ISO 9001 e ISO 14001.
Formazione periodica agli incaricati del trattamento dei dati. Il Responsabile esterno del trattamento dei dati è tenuto ad assicurare un’adeguata formazione in materia di privacy e sicurezza agli autorizzati al trattamento dei dati, in particolare in occasione di assunzioni, variazioni significative di incarico o di responsabilità, evoluzioni tecnologiche o normative.
Proprietà dei dati. I dati sono di proprietà esclusiva del Titolare e pertanto non potranno essere venduti o ceduti, in tutto o in parte, ad altri soggetti.
Obbligo alla riservatezza. Trattandosi di dati personali e/o particolari e/o relativi a condanne penali e/o reati, il Responsabile e i propri dipendenti e collaboratori sono tenuti ad una condotta equipollente al segreto professionale e al segreto d'ufficio, e comunque a trattare i dati in materia confidenziale e riservata, evitando qualsiasi occasione di conoscibilità superflua da parte di soggetti non autorizzati o non titolati.
++++
Il Titolare, poste le suddette istruzioni e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio ruolo, di impartire per iscritto eventuali ulteriori istruzioni che dovessero risultare necessarie per il corretto e conforme svolgimento delle attività di trattamento dei dati collegate all’accordo vigente tra le Parti, anche a completamento ed integrazione di quanto sopra definito.
Il Responsabile risponderà dei danni derivanti dal suo trattamento qualora gli stessi derivino dall’inottemperanza del Responsabile, o di suoi Sub – Responsabili, agli obblighi della disciplina in materia di protezione dei dati personali specificatamente diretti ai Responsabili del trattamento o da sue azioni difformi o contrarie alle legittime istruzioni del Titolare in conformità a quanto previsto dall’art. 82 del GDPR.
Luogo e data _______________________
TIMBRO E FIRMA (preferibilmente digitale) del Cliente
___________________________
Per presa visione ed accettazione
Firma di Unimatica-RGI S.p.A. e del Responsabile del servizio di conservazione di Unimatica-RGI S.p.A.
_________________________________________
(si precisa che l’accettazione può essere espressa
attraverso l’uso di un documento apposito)
UNIMATICA-RGI S.p.A. a Socio Unico Xxx X.Xxxxxxx, 00 - 00000 Xxxxxxx - Cap.Sociale 500.000,00 Euro i.v. - CF. RI. P Iva 02098391200 - REA BO 413696 Tel: x00.000.0000000 – Fax: x00.000.0000000 - xxx.xxxxxxxxxxxx.xx - e-mail:xxxx@xxxxxxxxxxxx.xx |
pag. 7 di 7 |