Contratto di nomina a responsabile del trattamento (NRT)

Contratto di nomina a responsabile del trattamento (NRT) ai sensi dell'art. 28 Regolamento Generale sulla protezione dei Dati Personali (RGDP)

tra te, in qualità di cliente del servizio iubenda

• il Titolare -

e

iubenda s.r.l.
Via San Raffaele, 1
20121 Milano
Italia

nella persona del rappresentante pro tempore, Andrea Giannangelo

• il Responsabile -

---

1. Oggetto, Contratto principale e Durata

L'oggetto del presente NRT discende dal contratto principale concluso dalle parti per la fornitura dei servizi di iubenda ("Contratto"). Il Responsabile svolge le attività di trattamento ivi descritte

• con riferimento alle seguenti categorie di dati personali:

  • dati personali anagrafici, dati di contatto e per la corrispondenza
  • dati di pagamento e fatturazione
  • dati forniti dall'utente nell'utilizzo del generatore, inclusi i dati aziendali, i dati personali di personale di riferimento e di dipendenti
  • dati forniti ai fini dei servizi di gestione della privacy aziendale
  • dati relativi all'utilizzo del sito iubenda quali dati relativi al servizio clienti, alla statistica, etc.
  • i dati relativi agli utenti del cliente, comprese le informazioni sulla loro interazione con gli strumenti di iubenda sul sito web del cliente e informazioni di tracciamento del consenso raccolte tramite la Consent Database di iubenda

• relativi alle seguenti categorie di interessati:

  • clienti
  • figure di riferimento dei clienti, dipendenti
  • terze parti che agiscono per conto del cliente (p. es. agenzie web)
  • clienti o utenti dei clienti

La durata della presente NRT corrisponde a quella del Contratto principale.

2. Poteri direttivi

Le attività di trattamento sono effettuate solo su istruzioni documentate del Titolare. Tali istruzioni sono incluse nel Contratto e nel presente Accordo. Le attività di trattamento dei dati ai sensi della presente NRT sono effettuate all'interno dell'Unione Europea (UE) o dello Spazio Economico Europeo (SEE). In caso di trasferimento di dati al di fuori dell'UE o del SEE, esso sarà eseguito nel rispetto delle condizioni di cui agli artt. 44 e ss. RGDP.

3. Misure tecniche e organizzative

Il Responsabile ha adottato misure tecniche e organizzative idonee a garantire che le attività di trattamento ai sensi della presente NRT si svolgano nel rispetto della normativa applicabile in materia di protezione dei dati.

In particolare, il Responsabile ha adottato misure di sicurezza idonee a garantire standard di protezione adeguati ai rischi per la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi, tenuto conto della probabilità di violazione dei dati e della gravità del rischio che ne può derivare per i diritti e le libertà delle persone fisiche.

Le misure tecniche e organizzative sono costantemente monitorate ed aggiornate alla luce del progresso e dell'evoluzione tecnologica, al fine di mantenere o incrementare gli standard di protezione dei dati.

4. Rettifica, limitazione e cancellazione dei dati

Il Responsabile non può rettificare, cancellare o limitare il trattamento dei dati oggetto della presente NRT, se non su istruzione del Titolare. Qualora l'interessato si rivolga al Responsabile del trattamento in relazione ad un'attività di trattamento ai sensi del presente accordo, il Responsabile trasmette tale richiesta direttamente al Titolare.

5. Garanzie e doveri del Responsabile

Il Responsabile si attiene alle disposizioni della presente NRT e a tutte le disposizioni di legge applicabili, in particolare a quelle di cui agli artt. 28-33 RGDP. In particolare, il Responsabile garantisce che

• i soggetti autorizzati al trattamento dei dati personali si siano impegnati a rispettare la riservatezza o siano soggetti ad adeguato dovere di riservatezza legale;
• siano state adottate le misure di sicurezza ai sensi dell'art. 32 RGDP;
• tenuto conto della natura del trattamento e per quanto possibile, assisterà il Titolare con misure tecniche e organizzative adeguate, nell'adempimento del dovere del Titolare di rispondere alle richieste di esercizio dei diritti degli interessati;
• assisterà il Titolare nell'adempimento dei doveri di cui agli articoli da 32 a 36 del RGDP, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile;
• metterà a disposizione del Titolare tutte le informazioni necessarie per dimostrare l'adempimento degli obblighi di cui all'art. 28 RGDP e consentirà e collaborerà alle verifiche ed ispezioni di cui all'art. 7 della presente NRT.

6. Sottoincarico

Il Responsabile ha delegato l'esecuzione di parte delle proprie attività a terzi che - nella misura in cui sia previsto dalla legge - sono stati sottoposti agli stessi obblighi e garanzie previsti dalla presente NRT e dalla normativa vigente in materia di protezione dei dati. Il Titolare può richiedere l'elenco dei sottoincaricati attualmente impiegati dal Responsabile. Qualsiasi modifica apportata a tale elenco deve essere notificata al Titolare senza indebito ritardo, dandogli la possibilità di opporsi. In caso di opposizione, il Responsabile si riserva il diritto di risolvere il Contratto con il Titolare senza preavviso.

7. Verifiche

In presenza di giustificati motivi, il Titolare può richiedere sia effettuata un'ispezione su o un controllo delle attività di trattamento dei dati svolte dal Responsabile ai sensi del presente accordo da parte di un soggetto terzo indipendente e riconosciuto. Le ispezioni ed i controlli devono essere concordati in anticipo con il Responsabile e devono essere effettuati senza pregiudizio per le sue attività commerciali correnti. Il Responsabile può addebitare al Titolare i costi di tali verifiche o ispezioni.

L' Adempimenti degli obblighi di cui agli artt. 32-36 RGDP può anche essere dimostrato attraverso

• il rispetto dei Codici di Comportamento approvati ai sensi dell'Art. 40 RGDP;
• una certificazione emessa al termine di una procedura di certificazione approvata ai sensi dell'art. 42 RGDP;
• certificati, relazioni o estratti dei rapporti del revisore del Responsabile, forniti da organismi indipendenti;
• un'idonea certificazione da parte di un ente di controllo della sicurezza informatica o della protezione dei dati.

8. Violazioni dei dati

Il Responsabile assiste il Titolare nell'adempimento degli obblighi relativi alla sicurezza dei dati personali, nella segnalazione di violazioni dei dati, nelle valutazioni d'impatto sulla protezione dei dati e nelle consultazioni preventive di cui agli articoli da 32 a 36 del RGDP. In particolare, il Responsabile deve

• garantire idonei livelli di protezione mediante misure tecniche e organizzative, tenendo conto del tipo, delle circostanze e delle finalità del trattamento, della probabilità di violazioni dei dati e della gravità del rischio che ne può derivare per le persone fisiche;
• garantire l'individuazione immediata delle violazioni;
• comunicare le violazioni dei dati al Titolare senza indebito ritardo;
• assistere il Titolare nel rispondere alle richieste degli interessati o nell'esercizio dei loro diritti

9. Stretta osservanza

Nel caso in cui il Titolare richieda modifiche al trattamento dei dati personali previsto dalle istruzioni documentate di cui all'art. 2, il Responsabile informa immediatamente il Titolare qualora ritenga che tali modifiche comportino una violazione delle disposizioni in materia di protezione dei dati. Il Responsabile può astenersi dal dare esecuzione a qualsiasi attività che possa dar luogo ad una violazione.

10. Cessazione, cancellazione e restituzione dei dati personali

A conclusione della prestazione dei servizi il Responsabile, a scelta del Titolare, cancella o restituisce a quest'ultimo tutti i dati personali raccolti ed elaborati ai sensi del presente accordo, fatti salvi eventuali obblighi di legge a cui il Responsabile sia soggetto, che gli impongano la conservazione dei dati personali.

In ogni caso, il Responsabile del trattamento può conservare tutte le informazioni necessarie per dimostrare l'esecuzione conforme e regolare delle attività di trattamento anche oltre la cessazione del Contratto, nel rispetto dei periodi di conservazione previsti dalla legge.