ADDENDUM SUL TRATTAMENTO DEI DATI PERSONALI Versione del 02/05/2022
Premesse
- Il presente Addendum sul trattamento dei dati personali (di seguito anche “Addendum”) costituisce parte integrante e sostanziale dell’Accordo sul trattamento dei dati personali ai sensi dell‘art. 28 del Regolamento (UE) 2016/679, sottoscritto tra la società, che in base alle circostanze e ai rapporti contrattuali di volta in volta applicabili risulti titolare del trattamento come stabilito dalla normativa applicabile in materia (di seguito il “Società” o “Titolare”) e Co.Mark S.p.A., con sede legale in Bergamo, Via Stezzano n. 87, Parco Scientifico Tecnologico Kilometro Rosso, C.F. e P.IVA 02608530164, in persona del rappresentante legale pro tempore, tenuta a porre in essere per conto della Società attività di trattamento dei dati personali (di seguito “Co.Mark” o il “Responsabile”).
- Il presente Addendum, in conformità al Regolamento (UE) n. 2016/679 (di seguito “Regolamento”) e alla normativa in materia di data protection pro tempore applicabile, definisce gli obblighi delle parti, le modalità e le condizioni del trattamento dei dati personali da parte del Responsabile nell’esecuzione delle attività che comportano il trattamento di dati personali ed in relazione ai quali, Co.Mark ha assunto – tramite la sottoscrizione di apposito accordo ai sensi dell’art. 28 del Regolamento (di seguito l’”Accordo”) – il ruolo di Responsabile del trattamento. Ai fini del presente Addendum, il Titolare e il Responsabile, potranno essere riferiti collettivamente come “Parti”.
- Le caratteristiche e le finalità del trattamento effettuato dal Responsabile per conto del Titolare, nonché le categorie di interessati e di dati personali coinvolti sono descritte nell’Accordo stipulato dalle Parti, di cui il presente Addendum costituisce parte integrante e sostanziale.
- I rapporti e gli obblighi delle Parti saranno, pertanto, regolati complessivamente dalla disciplina dell’Accordo e dal presente Addendum (l’Accordo e l’Addendum complessivamente, le “Pattuizioni”).
1. PREMESSE
1.1. Le premesse costituiscono parte integrante e sostanziale del presente Addendum
2. AMBITO DI APPLICAZIONE
2.1. Il presente Addendum si applica nella misura in cui Co.Mark in qualità di responsabile del trattamento, come definito dalla normativa sulla protezione dei dati, tempo per tempo vigente, tratta i Dati personali di titolarità della Società.
2.2. Il presente Addendum si applica alle Parti nella versione vigente al momento della sottoscrizione dell’Accordo tra la Società e il Responsabile.
3. OBBLIGHI DELLE PARTI
3.1. Fermo restando quanto sancito dalle disposizioni di legge e regolamentari applicabili, il Titolare è obbligato a:
3.1.1. determinare la tipologia di dati personali che il Responsabile può trattare nell’ambito del rapporto stabilito tra le Parti, e fornire chiare e precise istruzioni per iscritto al Responsabile in merito al trattamento configurato;
3.1.2. garantire che agli Interessati siano state fornite sufficienti informazioni, in conformità con le disposizioni applicabili in materia di protezione dei dati personali, in merito al trattamento dei loro dati personali;
3.1.3. garantire che sussiste una base legale per il trattamento dei dati personali degli Interessati, inclusi i necessari consensi qualora siano richiesti dalle norme applicabili in materia di protezione dei dati personali;
3.1.4. garantire che il trattamento che il Responsabile è tenuto ad effettuare per conto della Società, ai sensi delle Pattuizioni, avvenga nel rispetto di tutti i doveri e gli obblighi che gravano sul Titolare ai sensi delle disposizioni applicabili in materia di protezione dei dati personali.
3.2. Fatti salvi gli altri obblighi previsti dalle disposizioni di legge e regolamentari applicabili, il Responsabile si impegna a:
3.2.1. trattare i dati personali soltanto sulla base delle Pattuizioni e dei relativi allegati e su istruzione documentata impartita dal Titolare, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile. In tal caso, il Responsabile informa il Titolare circa tale obbligo giuridico prima di effettuare l’ulteriore trattamento, a meno che il diritto applicabile lo vieti per rilevanti motivi di interesse pubblico. Il Titolare può anche impartire istruzioni successive per tutta la durata del trattamento dei dati personali. Tali istruzioni sono sempre documentate;
3.2.2. informare immediatamente il Titolare qualora, ad avviso del Responsabile, un’istruzione impartita dal Titolare sia in violazione del Regolamento o di altre disposizioni di legge applicabili in materia di protezione dei dati personali. In tal caso, il Titolare si impegna a modificare le istruzioni oggetto della segnalazione, fermo restando che, in nessun caso, Co.Mark potrà ritenersi responsabile di eventuali violazioni della normativa applicabile derivanti dalla istruzione contestata;
3.2.3. trattare i dati personali soltanto per le finalità specifiche del trattamento di cui all’Accordo, salvo ulteriori istruzioni del Titolare;
3.2.4. trattare i dati personali soltanto per la durata specificata nell’Accordo;
3.2.5. mettere in atto le misure di sicurezza tecniche e organizzative specificate nell’Accordo. Nel valutare l’adeguato livello di sicurezza, le Parti tengono debitamente conto dello stato dell’arte, dei costi di attuazione per il Responsabile nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli Interessati e di eventuali violazioni dei dati personali;
3.2.6. concedere l’accesso ai dati personali oggetto di trattamento ai membri del suo personale o a suoi collaboratori soltanto nella misura strettamente necessaria per l’attuazione e la gestione del Contratto e/o dei Servizi. Il Responsabile garantisce che le persone autorizzate al trattamento dei dati personali si sono impegnate alla riservatezza o hanno un adeguato obbligo legale di riservatezza;§
3.2.7. applicare limitazioni specifiche e/o garanzie supplementari qualora il trattamento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (“Dati sensibili” o “Dati Particolari”);
3.2.8. adottare misure che gli consentano di dimostrare il rispetto delle Pattuizioni;
3.2.9. rispondere adeguatamente alle richieste di informazioni del Titolare relative al trattamento dei dati conformemente alle Pattuizioni, e mettere a disposizione del Titolare le informazioni necessarie per dimostrare il rispetto da parte del Responsabile degli obblighi di cui alle Pattuizioni e di quelli che derivano direttamente dal Regolamento e/o dalla normativa data protection applicabile. Su richiesta del Titolare, il Responsabile consente e contribuisce alle attività di revisione delle attività di trattamento di cui all’Accordo, se vi sono evidenze o indizi di inosservanza. Il Titolare può scegliere di condurre l’attività di revisione autonomamente o incaricare un consulente indipendente. Le attività di revisione potranno essere effettuate con un preavviso ragionevole non inferiore a 5 (cinque) giorni lavorativi dalla data in cui il Responsabile riceve comunicazione dal Titolare in merito alla propria intenzione di effettuare una attività di revisione. I costi delle attività di revisione saranno sostenuti dal Titolare che si impegna altresì a dare preventiva comunicazione al Responsabile delle generalità dei soggetti incaricati delle verifiche.
3.2.10. notificare al Titolare del trattamento eventuali richieste provenienti dagli Interessati, non rispondere egli stesso alle richieste, a meno che sia stato autorizzato in tal senso dal Titolare, e assistere il Titolare nell’adempimento degli obblighi di rispondere alle richieste degli Interessati per l’esercizio dei loro diritti;
3.2.11. tenuto conto della natura del trattamento dei dati e delle informazioni a disposizione del Responsabile e ferma restando la esclusiva responsabilità del Titolare nello svolgimento di tali attività, assistere il Titolare nelle eventuali attività connesse alla valutazione d‘impatto sulla protezione dei dati personali di cui all‘art. 35 del Regolamento e, se richiesto, cooperare con il Titolare nell‘ambito delle consultazioni preventive di cui all‘art. 36 del Regolamento;
3.2.12. assistere il Titolare nell’obbligo di garantire che i dati personali siano esatti e aggiornati;
3.2.13. assistere il Titolare nell‘adempimento degli obblighi in materia di misure di sicurezza tecniche ed organizzative di cui all‘art. 32 del Regolamento, come previsto dall’Accordo;
3.2.14. tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile, assistere il Titolare nell‘adempimento degli obblighi in materia di notificazione dei dati personali che incombono su quest’ultimo ai sensi degli artt. 33 e 34 del Regolamento. Nello specifico:
a. in caso di violazione riguardante i dati trattati dal Titolare, il Responsabile assiste il Titolare, per quanto di propria competenza in ragione dei rapporti contrattuali in essere tra le Parti: (i) nel notificare, ove opportuno/necessari ai sensi del GDPR, la violazione dei dati personali alla o alle Autorità di controllo competenti; (ii) nell’ottenere le informazioni che, in conformità dell’articolo 33, paragrafo 3, del Regolamento, devono essere indicate nella notifica del Titolare; (iii) nell’adempiere, in conformità dell’articolo 34 del Regolamento, all’obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali agli Interessati, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
b. In caso di violazione dei dati personali trattati dal Responsabile, quest’ultimo ne dà notifica al Titolare senza ingiustificato ritardo dopo esserne venuto a conoscenza. La notifica del Responsabile al Titolare contiene almeno: (x) una descrizione della natura della violazione; (y) i recapiti di un punto di contatto del Responsabile presso il quale possono essere ottenute maggiori informazioni; (z) indicazioni in merito a probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione o per attenuarne i possibili effetti negativi. Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale del Responsabile al Titolare contiene le informazioni disponibili in quel momento; le altre informazioni sono fornite successivamente, non appena disponibili.
3.2.15. cancellare o restituire – a scelta del Titolare – tutti i dati personali oggetto di trattamento in caso di cessazione dell’efficacia delle Pattuizioni, salvi gli obblighi di conservazione dei dati personali eventualmente derivanti dal diritto dell’Unione o degli Stati membri;
3.2.16. non comunicare a terzi, salvo quanto previsto dal seguente articolo 4 ovvero in caso di consenso espresso in forma scritta del Titolare, i dati personali oggetto di trattamento.
4. DESIGNAZIONE DI SUB-RESPONSABILI
4.1. Il Responsabile ha l’autorizzazione generale del Titolare per ricorrere a sub-responsabili del trattamento (“Sub-responsabili”) sulla base di un elenco concordato e allegato all’Accordo. Il Responsabile informa specificamente per iscritto il Titolare di eventuali modifiche previste di tale elenco riguardanti l’aggiunta o la sostituzione di Sub-responsabili con un anticipo di almeno 10 (dieci) giorni, dando così al Titolare tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai Sub-responsabili in questione. Il Responsabile fornisce al Titolare le informazioni necessarie per consentirgli di esercitare il diritto di opposizione.
4.2. Qualora il Responsabile ricorra a un Sub-responsabile per l’esecuzione di specifiche attività di trattamento, il contratto che disciplina i rapporti tra Responsabile e Sub-responsabile dovrà prevedere l’imposizione, nei confronti del Sub-responsabile, di obblighi nella sostanza equivalenti a quelli gravanti sul Responsabile ai sensi delle Pattuizioni.
4.3. Il Responsabile si assicura che il Sub-responsabile rispetti gli obblighi a cui il Responsabile è soggetto a norma delle Pattuizioni e del Regolamento.
4.4. Il Responsabile rimane responsabile nei confronti del Titolare dell’adempimento degli obblighi del Sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con il Responsabile, notificando al Titolare eventuali gravi inadempimenti, da parte del Sub-responsabile, degli obblighi contrattuali ove questi possano comportare una violazione del Regolamento.
5.TRASFERIMENTI INTERNAZIONALI
5.1. Qualunque trasferimento di dati verso un paese terzo o un’organizzazione internazionale da parte del Responsabile è effettuato soltanto su istruzione documentata del Titolare o per adempiere a un requisito specifico a norma del diritto dell’Unione o degli Stati membri cui è soggetto il Responsabile, e nel rispetto del capo V del Regolamento.
5.2. Il Titolare conviene che, qualora il Responsabile ricorra a un Sub-responsabile conformemente al precedente articolo 4 per l’esecuzione di specifiche attività di trattamento per conto del Titolare e tali attività di trattamento comportino il trasferimento di dati personali ai sensi del capo V del Regolamento, il Responsabile e il Sub-responsabile possono garantire il rispetto del capo V del Regolamento utilizzando le clausole contrattuali tipo adottate dalla Commissione conformemente all’articolo 46, paragrafo 2, del Regolamento, purché le condizioni per l’uso di tali clausole contrattuali tipo siano soddisfatte.
6. INOSSERVANZA DELL’ACCORDO, RECESSO E RISOLUZIONE
6.1. Qualora il Responsabile violi gli obblighi che gli incombono a norma delle Pattuizioni, il Titolare può dare istruzione al Responsabile di sospendere il trattamento dei dati personali fino a quando quest’ultimo non rispetti le Pattuizioni. Il Responsabile informa prontamente il Titolare qualora, per qualunque motivo, non sia in grado di rispettare le Pattuizioni.
6.2. Il Titolare ha diritto di risolvere ai sensi dell’art. 1454 c.c. le Pattuizioni per quanto riguarda il trattamento dei dati personali conformemente alle presenti clausole, qualora:
6.2.1. il trattamento dei dati personali da parte del Responsabile sia stato sospeso dal Titolare in conformità al precedente paragrafo 6.1 e il rispetto delle clausole delle Pattuizioni non sia ripristinato entro un termine ragionevole in ogni caso entro un mese dalla sospensione;
6.2.2. il Responsabile violi in modo sostanziale o persistente le clausole delle Pattuizioni o gli obblighi che gli incombono a norma del Regolamento e/o della normativa data protection applicabile;
6.2.3. il Responsabile non rispetti una decisione vincolante di un organo giurisdizionale competente o della o delle Autorità di controllo competenti per quanto riguarda i suoi obblighi in conformità alle Pattuizioni o al Regolamento e/o della normativa data protection applicabile.
6.3. Il Responsabile ha il diritto di risolvere le Pattuizioni , per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora, dopo aver informato il Titolare che le sue istruzioni violano i requisiti giuridici applicabili, il Titolare del trattamento insista sul rispetto delle istruzioni.
7. CLAUSOLA DI ADESIONE SUCCESSIVA
7.1. Qualunque entità che non sia una Parte può, con l’accordo di tutte le Parti, aderire alle Pattuizioni in qualunque momento, in qualità di titolare del trattamento o di responsabile del trattamento. L’entità aderente è considerata Parte delle Pattuizioni e ha i diritti e gli obblighi di un titolare del trattamento o di un responsabile del trattamento, conformemente alla sua designazione.
7.2. L’entità aderente non ha diritti od obblighi derivanti a norma delle Pattuizioni per il periodo precedente all’adesione.
8. DISPOSIZIONI FINALI
8.1. Per tutto quanto non espressamente in questa sede previsto, si rinvia integralmente all’Accordo sottoscritto dalle Parti, le cui disposizioni avranno efficacia gerarchicamente sovraordinata rispetto all’Addendum. Ogni deroga al presente Addendum rinvenibile nell’Accordo dovrà essere espressamente disposta dalle Parti, rimanendo in ogni altro caso efficaci le disposizioni del presente Addendum, in quanto aventi efficacia complementare e integrativa dell’Accordo.
8.2. L’invalidità, inefficacia o inapplicabilità di talune disposizioni del presente Addendum non inficia la validità, efficacia o applicabilità delle altre disposizioni del presente Addendum né di quelle contenute nell’Accordo.