Città Informatica

NEWSLETTER

DATA PROTECTION AGREEMENT

Il presente documento è rivolto ai Clienti business di SISTEMI HARDWARE COMITEC SRL che si configurino quali Titolari del Trattamento e rispetto ai quali SISTEMI HARDWARE COMITEC SRL stessa si configuri quale Responsabile del Trattamento. I Clienti Titolari del Trattamento sono pregati di leggere attentamente il presente modulo e di restituirne copia firmata. Qualora si desideri proporre modifiche al presente modello, SISTEMI HARDWARE COMITEC SRL rimane a disposizione all’indirizzo e-mail: info@comitec.it

DATA PROTECTION AGREEMENT PER LA DISCIPLINA DEI TRATTAMENTI DEL RESPONSABILE E REGOLAMENTAZIONE CONTRATTUALE AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679

TRA

Il Cliente business (ad es. Azienda, Associazione, Ente, Studio Professionale, Professionista, etc.) di SISTEMI HARDWARE COMITECT SRL, di seguito denominato “Titolare del Trattamento” o “Titolare

E

SISTEMI HARDWARE COMITEC SRL, con sede legale in Via Como, 78 – 30027 San Donà di Piave (VE), di seguito denominato il “Responsabile del Trattamento” o “Responsabile” o “Fornitore” e congiuntamente come “le Parti

PREMESSO CHE

Le Parti hanno un rapporto contrattuale in essere che può prevedere, anche implicitamente e a titolo non necessariamente continuativo, operazioni di trattamento dei Dati Personali per conto del Titolare del Trattamento, come di seguito evidenziato, a seconda dei servizi richiesti dal Cliente stesso:

Permessi alle operazioni di trattamento

Tipologia di trattamento, in relazione al servizio richiesto dal Cliente

Finalità trattamento
Finalità direttamente connesse all’oggetto del Contratto, a titolo esemplificativo

Durata del trattamento

Dati personali

Categorie di interessati

Permessi alle operazioni di trattamento
ASSISTENZA E MANUTENZIONE HARDWARE E SERVIZI SISTEMISTICI

Adempimento degli obblighi ex art. 32 GDPR 2016/679 (può comportare il trattamento incidentale di categorie particolari di dati al solo fine della messa in atto di misure tecniche adeguate per garantire un livello di sicurezza adeguato al rischio):

Configurazione, manutenzione, aggiornamento, assistenza sistemi hardware (elaboratori elettronici, apparati di networking, sistemi serventi, etc.), soluzioni software sistemistiche e office-line;

Gestione del servizio di assistenza e manutenzione, anche telefonica o mediante c.d. “collegamenti remoti”, su sistemi hardware e software, specificatamente contrattualizzati;

Gestione degli interventi tecnici sia per via telefonica che telematica con accesso a sistemi informatici (server, client, mobile);

Trattamento di dati personali a sola ed esclusiva finalità d’assistenza IT.

Durata del contratto e/o su base normativaDati personali presenti a qualunque titolo nei sistemi hardware per i quali sono richiesti i servizi.Persone Fisiche riconducibili a Clienti, soggetti diversi a cui fanno riferimento i dati personali presenti nei sistemi hardware.IT
ASSISTENZA E MANUTENZIONE SERVIZI DI NETWORKING – SICUREZZA INFORMATICA

Adempimento degli obblighi ex art. 32 GDPR 2016/679;

Configurazione, manutenzione, aggiornamento, assistenza sistemi hardware (elaboratori elettronici, apparati di networking, sistemi serventi, etc.), soluzioni software sistemistiche e office-line;

Gestione del servizio di assistenza e manutenzione, anche telefonica o mediante c.d. “collegamenti remoti”, su sistemi hardware e software, specificatamente contrattualizzati;

Gestione degli interventi tecnici sia per via telefonica che telematica con accesso a sistemi informatici (server, client, mobile);

Trattamento di dati personali a sola ed esclusiva finalità d’assistenza IT.

Configurazione, manutenzione, aggiornamento, assistenza sistemi hardware (elaboratori elettronici, apparati di networking, sistemi serventi, etc.), soluzioni software sistemistiche e office-line;

Gestione del servizio di assistenza e manutenzione, anche telefonica o mediante c.d. “collegamenti remoti”, su sistemi hardware e software, specificatamente contrattualizzati;

Gestione degli interventi tecnici sia per via telefonica che telematica con accesso a sistemi informatici (server, client, mobile);

Trattamento di dati personali a sola ed esclusiva finalità d’assistenza IT.

Durata del contratto e/o su base normativaDati personali presenti a qualunque titolo nei sistemi hardware per i quali sono richiesti i servizi.Persone Fisiche riconducibili a Clienti, soggetti diversi a cui fanno riferimento i dati personali presenti nei sistemi hardware.IT

Classificazione dei Permessi consentiti alle operazioni di trattamento ex art. 4 c.1, p. 2), del GDPR 2016/679:

ABlocco, Cancellazione, Comunicazione, Conservazione, Consultazione, Diffusione, Distruzione, Elaborazione, Estrazione, Interconnessione, Modificazione, Organizzazione, Raccolta, Raffronto, Registrazione, Selezione, Utilizzo
BCancellazione, Comunicazione, Conservazione, Consultazione, Elaborazione, Estrazione, Interconnessione, Modificazione, Organizzazione, Raccolta, Raffronto, Registrazione, Selezione, Utilizzo
CConservazione, Consultazione, Elaborazione, Estrazione, Interconnessione, Modificazione, Organizzazione, Raccolta, Raffronto, Registrazione, Selezione, Utilizzo
DConservazione, Consultazione, Selezione, Utilizzo
EConservazione, Consultazione
ITConservazione, Consultazione, Modificazione, Organizzazione, Registrazione, Selezione.
Il trattamento avviene in qualità di erogatore dei servizi tecnologici per le sole finalità di manutenzione, aggiornamento ed assistenza e applicazione delle misure di sicurezza di competenza
XACCESSO NEGATO

(di seguito denominato il “Contratto”), in forza del quale il Responsabile del Trattamento si è impegnato a fornire al Titolare del Trattamento i servizi richiesti (di seguito, i “Servizi”).

Nel presente contratto le parti concordano di definire
a. con il termine “GDPR” il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e
b. con il termine “Normativa Privacy” le disposizioni del GDPR nonché tutte le altre disposizioni delle leggi dell’Unione o delle leggi degli Stati membri relative alla protezione dei dati personali e alla loro libera circolazione.

  1. La fornitura dei Servizi comporta necessariamente il trattamento, da parte del Responsabile del Trattamento, e per conto del Titolare del Trattamento, di dati personali come definiti agli art. 4 par. 1 GDPR e, se presenti, 9 e 10 GDPR, anche di soggetti terzi;
  2. A tal fine il Responsabile del Trattamento è autorizzato a trattare i dati personali necessari per l’esecuzione delle attività oggetto del contratto e si impegna ad effettuare, per conto del Titolare del Trattamento, le sole operazioni di trattamento necessarie per fornire il servizio oggetto del contratto, nei limiti delle finalità ivi specificate, nel rispetto del Codice Privacy, così come modificato dal D.Lgs 10 Agosto 2018, n.101, del GDPR (nel seguito anche “Normativa in tema di trattamento dei dati personali”) e delle istruzioni nel seguito fornite;
  3. Il Responsabile del Trattamento presenta garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per l’adozione di misure tecniche ed organizzative adeguate volte ad assicurare che il trattamento sia conforme alle prescrizioni della normativa in tema di trattamento dei dati personali;
  4. Nello svolgimento dei Servizi, incombe sul Titolare del Trattamento dei dati personali, ai sensi e per gli effetti dell’Art. 4 comma 1 numero 7) del GDPR, il compimento di tutti gli atti previsti dalla Normativa Privacy per il trattamento dei dati personali vale a dire l’informativa, l’eventuale raccolta del consenso, l’adozione di tutte le misure autorizzative, di incarico e di conservazione e di altro tipo anche per realizzare il Sistema sicurezza ivi comprese le relative misure;
  5. le Parti sono determinate al rispetto della normativa in materia di protezione dei dati personali applicabile ai trattamenti oggetto del presente Contratto (di seguito denominato “DPA” o anche ”Addendum” o “Addendum Privacy”), incluso il GDPR, la normativa nazionale vigente, nonché i provvedimenti e le linee-guida emesse dal Garante Privacy italiano, in particolare ove e quando applicabile dal Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 recepito nella Gazzetta Ufficiale. n. 300 del 24 dicembre 2008 e dal Gruppo di lavoro Articolo 29 (WP29).
  6. Fuori dal caso di cui al precedente p. 4, qualora, in base alla catena delle specifiche attività di trattamento contrattualmente previste, le Parti firmatarie del presente atto si configurino quali Responsabile e Sub-Responsabile del trattamento, ai termini “Titolare del trattamento” e “Responsabile del trattamento” deve essere attribuito il significato, rispettivamente, di “Responsabile del trattamento” e “Sub-Responsabile del trattamento”, in virtù della sostanziale equivalenza degli obblighi in materia di protezione dei dati personali ai sensi dell’art. 28 par. 4 GDPR.

TUTTO CIÒ PREMESSO

Ciascuna delle parti dà e prende atto che, nel corso dell’esecuzione dei Servizi, potrebbero essere scambiate fra di esse informazioni, dati e/o notizie che sono oggetto di tutela ai sensi del GDPR recante disposizioni a tutela delle persone e di altri soggetti in riferimento al trattamento e alla protezione dei dati personali.

Per l’effetto, le parti si impegnano a rispettare ogni e tutti gli obblighi previsti dal suddetto GDPR nell’esecuzione del presente atto, assumendosene in proprio ogni connessa responsabilità.

Art. 1. Ruolo di Responsabile del Trattamento

  1. Per i compiti che, in base ai Servizi contrattualmente previsti sono affidati al Fornitore, quest’ultimo, ai sensi dell’Art. 4 c. 1 n. 8) del GDPR, assume il ruolo di Responsabile del Trattamento.
  2. Il Titolare del Trattamento, non elargirà alcun compenso, economico al Responsabile del Trattamento per gli obblighi assunti con la presente nomina, essendo la relativa remunerazione inclusa nel corrispettivo dovuto dal Titolare del Trattamento in forza del Contratto principale.

Art. 2. Oggetto

  1. Oggetto delle presenti condizioni è definire le modalità e le condizioni contrattuali nelle quali il Responsabile del Trattamento si impegna ad effettuare, per conto del Titolare del Trattamento, le operazioni di trattamento dei dati personali quali definiti dal contratto e specificate nel prescritto “Registro del trattamento del Responsabile”.
  2. Nel quadro delle loro relazioni contrattuali, le Parti si impegnano a rispettare la regolamentazione in vigore applicabile al trattamento dei dati a carattere personale (dati personali) e, in particolare, il GDPR e la Normativa Privacy. Qualora applicabile, l’assunzione del ruolo di Responsabile del Trattamento avviene per la particolarità dell’attività tecnologica svolta ed oggetto della Fornitura e/o Servizio, la quale potrebbe portare alla conoscibilità in tutto o in parte dei dati personali sotto la diretta tutela e responsabilità del Titolare del Trattamento, con riferimento al sistema informativo di quest’ultimo, e alla sua struttura, in relazione al rapporto di lavoro e/o di collaborazione e/o contrattuale in essere. In tal caso il Responsabile del Trattamento ha il compito di sovrintendere alle risorse del sistema informativo del Titolare del Trattamento, di propria stretta competenza, e di consentirne l’utilizzazione da parte di quest’ultimo (Per “risorse del sistema informativo, di stretta competenza” oggetto del presente atto è da intendersi quanto riportato nella tabella in premessa).

Art. 3. Obblighi del Responsabile di fronte al Titolare del Trattamento

  1. Deve rispettare la normativa vigente in materia di trattamento dei dati personali, ivi comprese le norme che saranno emanate nel corso della durata del contratto;
  2. Deve trattare i dati personali, secondo le istruzioni del Titolare del Trattamento e nei limiti dell’esecuzione delle prestazioni contrattuali e per le sole finalità contrattuali, impegnandosi a farle osservare anche alle persone da esso autorizzate ad effettuare i trattamenti oggetto del presente contratto. Nel caso in cui ritenga che un’istruzione costituisca una violazione del GDPR o della Normativa privacy, dovrà informare immediatamente per iscritto il Titolare del Trattamento.
  3. Deve garantire la riservatezza dei dati personali trattati nell’ambito del presente contratto e verificare che le persone autorizzate a trattare i dati personali in virtù del presente contratto: (i) o si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza; (ii) o ricevano la formazione necessaria in materia di protezione dei dati personali; (iii) o trattino i dati personali osservando le istruzioni impartite dal Titolare per il trattamento dei dati personali al Responsabile del Trattamento.
  4. Adottare politiche interne e attuare misure che soddisfino i principi della protezione dei dati personali fin dalla progettazione di tali misure (privacy by design), nonché adottare misure tecniche ed organizzative adeguate per garantire che i dati personali siano trattati, in ossequio al principio di necessità ovvero che siano trattati solamente per le finalità previste e per il periodo strettamente necessario al raggiungimento delle stesse (privacy by default).
  5. Valutare i rischi inerenti il trattamento dei dati personali e adottare tutte le misure tecniche ed organizzative che soddisfino i requisiti del GDPR anche al fine di assicurare un adeguato livello di sicurezza dei trattamenti, in modo tale da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, modifica, divulgazione non autorizzata, nonché di accesso non autorizzato, anche accidentale o illegale, o di trattamento non consentito o non conforme alle finalità della raccolta.
  6. Su eventuale richiesta del Titolare, assistere quest’ultimo nello svolgimento della valutazione d’impatto sulla protezione dei dati, conformemente all’articolo 35 del GDPR e nella eventuale consultazione del Garante per la protezione dei dati personale, prevista dall’articolo 36 del medesimo GDPR.
  7. Ai sensi dell’art. 30 del GDPR, tenere un Registro delle attività di trattamento effettuate sotto la propria responsabilità e cooperare con il Titolare e con l’Autorità Garante per la protezione dei dati personali, mettendo il predetto Registro a disposizione del Titolare e dell’Autorità, laddove ne venga fatta richiesta ai sensi dell’art. 30 comma 4 del GDPR.
  8. Assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt. da 31 a 36 del GDPR.
  9. Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento deve mettere in atto misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio e il rispetto degli obblighi di cui all’art. 32 del GDPR. Il Responsabile mette a disposizione del Titolare stesso la documentazione, debitamente aggiornata, attestante l’adozione di tali misure.
  10. Il Responsabile del Trattamento informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, il Titolare di ogni violazione di dati personali (cd. data breach); tale notifica è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del GDPR, per permettere al Titolare del trattamento, ove ritenuto necessario, di notificare questa violazione all’Autorità Garante per la protezione dei dati personali, entro il termine di 72 ore da quanto il Titolare ne viene a conoscenza; nel caso in cui il Titolare debba fornire informazioni aggiuntive all’Autorità di controllo, il Responsabile del Trattamento supporterà il Titolare nella misura in cui le informazioni richieste e/o necessarie per l’Autorità di controllo siano esclusivamente in possesso del Responsabile del Trattamento o di suoi Sub-Responsabili.
  11. Deve avvisare tempestivamente e senza ingiustificato ritardo il Titolare in caso di ispezioni, di richiesta di informazioni e di documentazione da parte dell’Autorità Garante per la protezione dei dati personali; inoltre, deve assistere il Titolare nel caso di richieste formulate dall’Autorità Garante in merito al trattamento dei dati personali effettuate in ragione del presente contratto.
  12. Deve mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al GDPR, oltre a contribuire e consentire al Titolare – anche tramite soggetti terzi dal medesimo autorizzati, dandogli piena collaborazione – verifiche periodiche o circa l’adeguatezza e l’efficacia delle misure di sicurezza adottate ed il pieno e scrupoloso rispetto delle norme in materia di trattamento dei dati personali. A tal fine, il Titolare informa preventivamente il Responsabile del Trattamento con un preavviso minimo di dieci giorni lavorativi, fatta comunque salva la possibilità di effettuare controlli a campione senza preavviso in caso di motivata urgenza.
  13. Non può trasferire i dati personali verso un paese terzo o un’organizzazione internazionale salvo che il trasferimento non rispetti i requisiti di cui al Capo V del GDPR 2016/679.
  14. Si impegna ad attuare quanto previsto dal Diritto dell’Informatica, da quanto disposto dall’art.32 del GDPR e, ove e qualora applicabile, dal Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 e s.m.i. recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratori di sistema”.
  15. In via generale, il Responsabile del Trattamento si impegna ad operare adottando tutte le misure tecniche e organizzative, le attività di formazione, informazione e aggiornamento ragionevolmente necessarie per garantire che i Dati Personali trattati in esecuzione del presente contratto, siano precisi, corretti e aggiornati nel corso della durata del trattamento eseguito dal Responsabile, o da un sub-Responsabile.
  16. Deve assistere il Titolare del trattamento al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati ai sensi degli artt. da 15 a 22 del GDPR; qualora gli interessati esercitino tale diritto presso il Responsabile del Trattamento, quest’ultimo è tenuto ad inoltrare tempestivamente, e comunque nel più breve tempo possibile, le istanze al Titolare del Trattamento, supportando quest’ultimo al fine di fornire adeguato riscontro agli interessati nei termini prescritti.
  17. Deve trattare i dati personali per tutta la durata del contratto e successivamente per adempiere ad eventuali obblighi legali di conservazione.

Art. 4 Sub-responsabili

  1. Il Responsabile del Trattamento può ricorrere a sub-Responsabili del trattamento per gestire attività di trattamento specifiche; qualora il Titolare richieda espressamente tale comunicazione, il Responsabile s’impegna ad informare informando il Titolare del trattamento di ogni nuova nomina e/o sostituzione dei Responsabili.
  2. I sub-Responsabili del Trattamento devono rispettare obblighi analoghi a quelli forniti dal Titolare del Trattamento al Responsabile Iniziale del trattamento, riportati in uno specifico contratto o atto di nomina. Spetta al Responsabile Iniziale del Trattamento assicurare che il Sub-Responsabile del Trattamento presenti garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per l’adozione di misure tecniche ed organizzative appropriate di modo che il trattamento risponda ai principi e alle esigenze del GDPR. In caso di mancato adempimento da parte del Sub-Responsabile del trattamento degli obblighi in materia di protezione dei dati, il Responsabile Iniziale del Trattamento è interamente responsabile nei confronti del Titolare del Trattamento di tali inadempimenti; il Titolare potrà in qualsiasi momento verificare le garanzie e le misure tecniche ed organizzative del Sub-Responsabile, anche tramite audit e ispezioni, anche avvalendosi di soggetti terzi.

Art. 5 Obbligo di comunicazione dei dati relativi ai Sub-responsabili e agli Amministratori di Sistema

Il Responsabile del Trattamento si impegna a comunicare al Titolare del Trattamento, ogni qual volta il Titolare stesso ne faccia richiesta, l’elenco aggiornato dei soggetti terzi nominati Sub-Responsabili, che presentino garanzie idonee a rispettare i requisiti del GDPR e della Normativa Privacy, del presente Addendum, e a garantire la tutela dei diritti degli Interessati. Ove e qualora applicabile fornirà, in tale occasione, anche gli estremi identificativi degli amministratori di sistema designati, al fine di permettere al Titolare stesso di adempiere, a sua volta, alle prescrizioni dettate dal Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 e s.m.i. recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratori di sistema”.

Art. 6. Luoghi ove sono e saranno custoditi i dati

Salvo quanto previsto dalla tipologia di servizi erogati dal Responsabile del Trattamento, i dati personali saranno custoditi presso la sede del Titolare o altro luogo da esso specificatamente indicato. Per i Servizi che comportino il trattamento in banche dati create dal Responsabile del Trattamento, i dati personali potranno anche essere custoditi presso la sede del Responsabile del Trattamento, oppure in Data Center specifici dislocati su territorio europeo individuati dallo stesso, nel pieno rispetto del Capo V del GDPR 2016/679, il cui l’elenco sia disponibile a richiesta, oppure nel luogo o nei luoghi indicati nel Contratto regolante i Servizi, e saranno ivi trattati e conservati.

Art. 7. Obblighi del Titolare del Trattamento di fronte al Responsabile del Trattamento

Il Titolare del Trattamento s’impegna al rispetto delle disposizioni dell’art. 28 del GDPR ed in particolare a comunicare tempestivamente al Responsabile del Trattamento qualunque istruzione riguardante al trattamento dei dati, anche diversa od ulteriore rispetto a quanto indicato nel presente atto.

Art. 8. Informazioni e Controlli

  1. Il Responsabile del Trattamento mette a disposizione del Titolare del Trattamento, su richiesta di questi, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al GDPR, oltre a contribuire e consentire al Titolare – anche tramite soggetti terzi dal medesimo autorizzati, dandogli piena collaborazione – verifiche periodiche o circa l’adeguatezza e l’efficacia delle misure di sicurezza adottate ed il pieno e scrupoloso rispetto delle norme in materia di trattamento dei dati personali. A tal fine, il Titolare del Trattamento informa preventivamente il Responsabile del Trattamento con un preavviso minimo di dieci giorni lavorativi, fatta comunque salva la possibilità, in caso di motivata urgenza, di effettuare controlli a campione senza preavviso. Qualora tali attività comportino oneri e spese non previste dal presente contratto tutte le richieste del Titolare del Trattamento dovranno essere gestite a livello progettuale con una stima dei costi necessari per la loro attuazione (siano esse, ad esempio, attività di penetration test (PT Test), vulnerability assessment (VA Test), compresenza con Consulenti diversi, altro).
  2. Resta inteso che Il Titolare del Trattamento avrà la facoltà di incaricare dei professionisti indipendenti per lo svolgimento di audit secondo standard internazionali e/o best practice, i cui esiti saranno riportati in specifici report (“Report”). Tali Report, che costituiscono informazioni confidenziali, potranno essere resi disponibili al Responsabile/Sub-responsabile del Trattamento per consentirgli di verificare le eventuali azioni correttive da implementare in funzione al presente Atto. Il Titolare dovrà previamente inviare notifica scritta di Audit all’indirizzo del Responsabile. Successivamente alla richiesta di audit o ispezione il Responsabile e il Titolare del Trattamento concorderanno, prima dell’avvio delle attività, i dettagli di tali verifiche (data di inizio e durata), le tipologie di controllo e l’oggetto delle verifiche, i vincoli di riservatezza a cui devono essere vincolati il Titolare del Trattamento e coloro che effettuano le verifiche. Restano a carico esclusivo del Titolare del Trattamento i costi delle attività di verifica dallo stesso commissionate a terzi.

Art. 9. Durata del contratto

  1. Il presente atto avrà la durata del rapporto contrattuale a cui si riferisce.
  2. Il Responsabile si impegna restituire tutti i dati personali del Titolare del Trattamento dopo che è terminata la prestazione dei servizi relativi al trattamento, salva la mera conservazione delle copie in qualità di autonomo Titolare del Trattamento nei limiti di quanto necessario ad assolvere agli obblighi legali di rendicontazione.

Art. 10. Limitazioni di responsabilità

Il Titolare ed il Responsabile che hanno causato un danno materiale e/o immateriale nei confronti degli Interessati in seguito ad una o più violazioni del GDPR ne rispondono secondo quanto previsto dall’art. 82 GDPR.

Art. 11. Disposizioni finali

  1. Non è consentito al Responsabile del Trattamento comunicare a terzi i dati personali trattati, salvo che la comunicazione sia indispensabile per lo svolgimento delle sue attività e avvenga nei confronti di terzi autorizzati dal Titolare del Trattamento, oppure avvenga nei confronti di organi giurisdizionali, o avvenga nell’adempimento di norme di legge, di regolamenti, di provvedimenti delle autorità, fatta salva in ogni caso diversa istruzione del Titolare del Trattamento.
  2. Il presente Addendum Privacy, incluse le premesse e gli eventuali allegati, supera e sostituisce qualsiasi accordo precedente, espresso o tacito tra le Parti, in materia. Eventuali modifiche al presente atto non avranno efficacia se non fatte per iscritto, con espresso riferimento al presente Addendum Privacy e firmate dai Legali Rappresentanti delle Parti.
  3. Nel caso in cui una delle disposizioni del presente Addendum Privacy sia invalida, questo non pregiudicherà la validità e l’efficacia del resto del presente Addendum Privacy. Le Parti sostituiranno le clausole invalide con disposizioni valide che rispecchino quanto più possibile la loro intenzione originaria.
  4. Eventuali costi sostenuti dal Responsabile palesemente eccedenti quanto ragionevolmente previsto dall’art. 28 GDPR e dal presente Addendum andranno rendicontati a consuntivo, anche in base alle disposizioni del contratto principale, ove presenti.
  5. Eventuali rinunce da parte del Titolare del Trattamento relativamente a diritti derivanti dal presente Addendum Privacy saranno efficaci solo se fatte per iscritto.
  6. Il presente Addendum Privacy non può essere ceduto, direttamente o indirettamente, né costituire oggetto di sub-contratto né essere conferito in una società o joint venture senza la previa autorizzazione scritta del Titolare del Trattamento.

Art. 12. Legge applicabile e foro competente

Il presente Addendum Privacy è regolato dalla legge italiana. Per qualunque controversia che dovesse insorgere in relazione al presente Accordo sarà esclusivamente competente il Foro ove risiede la sede legale del Titolare del Trattamento.