ACCORDO DI NOMINA A RESPONSABILE DEL TRATTAMENTO

 

 

REGISTERED SRL, P. Iva 14356481003, con sede legale in Via Giovanni Paisiello 12, 00198 Roma (in questo atto di nomina definito anche “responsabile” o “REGISTERED”)

 

e

 

il Promotore (in questo atto di nomina definito anche “titolare” o “Promotore).

 

In questo atto di nomina, il responsabile e il titolare possono essere indicati anche come “parte” o “parti”.



Il presente atto di nomina contiene l’intero accordo delle parti in merito al trattamento dei dati personali da parte di REGISTERED per conto del Promotore in relazione alla fornitura dei servizi. Il presente Contratto annulla e sostituisce l’Accordo di contitolarità del trattamento concluso in precedenza tra le Parti, a partire dalla data di accettazione.

 

 

1.    Introduzione

 

1.    Le presenti clausole contrattuali (nel prosieguo anche “atto di nomina” o semplicemente “atto” o “accordo”) stabiliscono diritti e doveri del titolare del trattamento e del responsabile del trattamento, quando quest’ultimo effettua un trattamento di dati personali per conto del titolare.

 

2.     Le parti hanno stipulato un contratto (di seguito il “Contratto”) avente ad oggetto l’uso della piattaforma www.registered.store (“Servizi”). La prestazione dei Servizi di cui al Contratto implica un trattamento di dati personali da parte del responsabile del trattamento, per le finalità e con gli strumenti determinati dal titolare e indicati nel Contratto stesso.

 

3.     Il presente atto di nomina è stato redatto in maniera tale da garantire il rispetto di quanto previsto dall’articolo 28, paragrafo 3, del Regolamento 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati e che abroga la direttiva 95/46 / CE (“RGPD”).

 

4.     Nell’ambito della fornitura dei Servizi, il responsabile del trattamento tratterà dati personali per conto del titolare del trattamento in conformità con queste disposizioni.

 

5.     Le clausole di cui al presente Atto avranno la priorità su eventuali disposizioni simili contenute in altri accordi stipulati tra le parti.

 

6.     I tre allegati al presente atto costituiscono parte integrante dell’atto di nomina.

 

7.     L’alleato A contiene dettagli sul trattamento dei dati personali, incluse le finalità e la tipologia del trattamento, la natura dei dati personali e le categorie di interessati.

 

8.     L’allegato B contiene le condizioni per l’utilizzo da parte del responsabile del trattamento di sub-responsabili ed un elenco di sub-responsabili autorizzati dal titolare.

 

9.     L’allegato C contiene le istruzioni del titolare del trattamento in merito al trattamento dei dati personali e le misure minime di sicurezza che devono essere attuate dal responsabile del trattamento.

 

10.  Le clausole e gli allegati dovranno essere conservati da entrambe le parti, in forma elettronica o cartacea.

 

11.  Le clausole del presente accordo non esonerano il responsabile del trattamento dagli obblighi ai quali è soggetto ai sensi del Regolamento generale sulla protezione dei dati (RGPD) o di altra normativa.

 

 

2.    Diritti ed obblighi del titolare del trattamento

 

1.     Il responsabile deve garantire che il trattamento dei dati personali avvenga in conformità con il RGPD (si veda in proposito l’articolo 24 RGPD), con le disposizioni applicabili in materia di protezione dei dati dell’UE o degli Stati membri del SEE ed in conformità con le clausole qui indicate.

 

2.     Il titolare del trattamento ha il diritto e l'obbligo di prendere decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali.

 

3.     Il titolare del trattamento deve, tra le altre cose, assicurarsi che il trattamento dei dati personali, assegnato al responsabile, abbia una base giuridica.

 

3.    Il responsabile del trattamento agirà in conformità alle istruzioni del titolare.

 

1.     Il responsabile del trattamento tratterà i dati personali solo a seguito di istruzioni documentate del titolare del trattamento, a meno che non debba procedere al trattamento in virtù di una disposizione di legge dell'Unione Europea o dello Stato membro in cui è situato. Tali istruzioni devono essere specificate negli allegati A e C. Eventuali ulteriori istruzioni potranno essere impartite dal titolare per tutta la durata del trattamento, ma dovranno comunque essere sempre documentate e conservate per iscritto, anche in formato elettronico.

 

2.     Il responsabile del trattamento informerà senza indebito ritardo il titolare se le istruzioni fornite da quest’ultimo, a parere del responsabile, violano il RGPD o le disposizioni applicabili in materia di protezione dei dati dell’UE o degli Stati membri.

 

4.    Riservatezza

 

1.     Il responsabile concede l’accesso ai dati personali trattati per conto del titolare solo a persone che agiscano sotto la sua autorità e purché si siano impegnate a mantenerne la riservatezza o siano tenuti alla riservatezza per obbligo di legge e nella misura in cui abbiano necessità di accedervi. L’elenco delle persone a cui è stato concesso l’accesso ai dati personali dovrà essere oggetto di revisione periodica. Sulla base di tale revisione, l’accesso ai dati personali potrà essere revocato, nel caso in cui non fosse più necessario.

 

2.     Il responsabile, a richiesta del titolare, dovrà dimostrare che le persone che accedono ai dati sono soggette ad un obbligo di riservatezza.

 

5.    Misure di sicurezza

 

1.       Secondo quanto previsto dall’art. 32 del RGPD, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio in termini di probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

 

2.       Il titolare è tenuto a valutare i rischi per i diritti e le libertà degli interessati impliciti nel trattamento ed adottare misure utili a mitigarli e che comprendono, tra le altre, se del caso:

 

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

 

3.       Affinché il responsabile possa valutare i rischi impliciti nel trattamento secondo quanto previsto dall’art. 32 del RGPD e di conseguenza implementare misure idonee a mitigarli, il titolare dovrà fornire al responsabile tutte le informazioni utili a identificare e valutare eventuali rischi.

 

4.       Inoltre, il responsabile del trattamento assiste il titolare del trattamento nell’assicurare il rispetto degli obblighi del titolare ai sensi dell'articolo 32 del RGPD, fornendo tra l’altro al titolare informazioni relative alle misure tecniche e organizzative già attuate insieme a tutte le altre informazioni necessarie al titolare per adempiere agli obblighi previsti dall’articolo 32 RGPD.

 

5.       Qualora risulti che -nella valutazione del titolare del trattamento- la mitigazione dei rischi individuati richieda l’adozione da parte del responsabile del trattamento di misure ulteriori rispetto a quelle già attuate ai sensi dell'articolo 32 RGPD, il titolare del trattamento dovrà specificare queste ulteriori misure da attuare nell’Allegato C.

 

6.    Utilizzo di sub responsabili

 

1.     Il responsabile per avvalersi di un altro sub-responsabile del trattamento deve soddisfare i requisiti di cui all’articolo 28, paragrafi 2 e 4, del RGPD.

 

2.     Il responsabile non deve pertanto incaricare un altro responsabile del trattamento (sub-responsabile) per l’adempimento di quanto previsto nel presente atto di nomina senza la preventiva autorizzazione scritta generale del titolare del trattamento.

 

3.     Il responsabile del trattamento dei dati dispone dell’autorizzazione generale del titolare del trattamento per utilizzare sub-responsabili.

 

4.     Il responsabile del trattamento informerà per iscritto il titolare del trattamento con almeno 15 giorni di anticipo qualora intenda apportare modifiche all’elenco di sub-responsabili aggiungendone di nuovi o sostituendoli, dando così al titolare la possibilità di opporsi a tali modifiche prima di incaricare altri sub-processori. Periodi di preavviso più lunghi per specifiche operazioni di trattamento potranno essere indicati nell’Allegato B. L’elenco dei sub-responsabili già autorizzati dal titolare del trattamento è disponibile nell’Allegato B.

 

5.     Se il responsabile del trattamento dei dati si avvale di un sub-responsabile per lo svolgimento di specifiche attività di trattamento per conto del titolare, obblighi di protezione dei dati equivalenti a quelli stabiliti in queste clausole sono imposti a tale sub-responsabile mediante un contratto o altro atto giuridico ai sensi del diritto dell’UE o degli Stati membri, affinché il sub responsabile fornisca garanzie sufficienti per attuare misure tecniche e organizzative adeguate in modo da soddisfare i requisiti di quest’atto di nomina e del RGPD.

 

 

6.     Sarà quindi cura del responsabile del trattamento richiedere che il sub-responsabile ottemperi almeno agli obblighi cui è soggetto il responsabile del trattamento ai sensi di questo Atto e del RGPD.

 

7.     Una copia di tale accordo di nomina a sub-responsabile del trattamento e le successive modifiche devono, su richiesta del titolare, essere mostrate a quest’ultimo, per verificare che obblighi equivalenti in materia di protezione dei dati a quelli previsti in questo accordo siano stati imposti al sub-responsabile.

 

8.     Se il sub-responsabile non adempie ai propri obblighi in materia di protezione dei dati, il responsabile del trattamento resta pienamente responsabile nei confronti del titolare per quanto riguarda l’adempimento degli obblighi del sub-responsabile. Ciò non pregiudica i diritti degli interessati ai sensi del RGPD - in particolare quelli previsti dagli articoli 79 e 82 RGPD - nei confronti del titolare del trattamento e del responsabile del trattamento, o del sub-responsabile.

 

7.    Trasferimento dei dati verso paesi terzi ed organizzazioni internazionali

 

1.     Qualsiasi trasferimento di dati personali verso paesi terzi o organizzazioni internazionali da parte del responsabile del trattamento dei dati avverrà solo sulla base di istruzioni documentate del titolare e sempre nel rispetto del capo V del RGPD e dell’Allegato C 3.

 

2.     Nel caso di trasferimenti non autorizzati dal titolare ma richiesti ai sensi di disposizioni di legge ai sensi del diritto dell'UE o dello Stato membro in cui ha sede il responsabile, questi prima di procedere al trasferimento dovrà informare il titolare del requisito legale che impone il trasferimento, a meno che la legge non vieti la comunicazione per importanti motivi di interesse pubblico.

 

3.     Senza istruzioni documentate da parte del titolare, il responsabile del trattamento non può pertanto:


a. trasferire i dati personali a un diverso titolare o a un responsabile del trattamento situato in un paese terzo o in un’organizzazione internazionale.

b. assegnare il trattamento dei dati personali a un sub-responsabile situato in un paese terzo;

c. far trattare i dati personali da un altro responsabile del trattamento situato in un paese terzo.

 

4.     Le clausole di cui al presente accordo non devono essere confuse con le clausole standard sulla protezione dei dati ai sensi dell’articolo 46 (2) (c) e (d) RGPD e non possono essere invocate dalle parti come strumento di trasferimento ai sensi del Capitolo V RGPD.

 

8.    Assistenza al titolare del trattamento

 

1.     Tenuto conto della natura del trattamento, il responsabile assiste il titolare del trattamento mediante misure tecniche ed organizzative adeguate, per quanto possibile, nell’adempimento dell’obbligo a cui è tenuto il titolare di rispondere alle richieste di esercizio dei diritti dell’interessato. Ciò implica che il responsabile del trattamento, per quanto possibile, assista il responsabile del trattamento ad adempiere a quanto di seguito previsto:

 

a.    diritto dell’interessato ad essere informato quando si raccolgono i suoi dati personali

b.    diritto dell’interessato ad essere informato quando i dati personali non sono stati ottenuti presso di lui;

c.    diritto di accesso dell'interessato;

d.    diritto alla rettifica;

e.    diritto alla cancellazione (“diritto all'oblio”);

f.     diritto alla limitazione del trattamento;

g.    obbligo di notifica in caso di rettifica, cancellazione dei dati personali o di limitazione del trattamento;

h.    diritto alla portabilità dei dati;

i.      diritto di opporsi;

j.      diritto di non essere sottoposto a una decisione basata unicamente su di un trattamento automatizzato, compresa la profilazione.

 

2.     Oltre all’obbligo di assistere il titolare ai sensi della clausola 5.4. il responsabile del trattamento deve inoltre, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assistere il titolare del trattamento nel garantire la conformità con:

 

a.    L’obbligo del titolare del trattamento di notificare la violazione dei dati personali all’autorità di controllo competente, senza ingiustificato ritardo e, ove possibile, entro e non oltre 72 ore dal momento in cui ne è venuto a conoscenza, a meno che non sia probabile che la violazione dei dati personali comporti un rischio per diritti e libertà delle persone fisiche.

 

b.    L’obbligo del titolare del trattamento di comunicare senza indebito ritardo la violazione dei dati personali all’interessato, quando è probabile che la violazione dei dati personali comporti un rischio elevato per i diritti e le libertà delle persone fisiche.

 

c.    L’obbligo del titolare del trattamento di effettuare una valutazione di impatto delle operazioni di trattamento previste sulla protezione dei dati personali (una valutazione d'impatto sulla protezione dei dati).

 

d.    L’obbligo del titolare del trattamento di consultare l’autorità di controllo competente, prima di procedere al trattamento, qualora una valutazione d’impatto sulla protezione dei dati indichi che il trattamento comporterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per mitigare il rischio.

 

3.     Le parti dovranno definire nell’Allegato C le misure tecniche e organizzative appropriate con cui il responsabile fornirà al titolare assistenza e la natura ed estensione dell’assistenza che potrà essere richiesta. Ciò troverà applicazione rispetto alle obbligazioni di cui alle clausole 8.1 ed 8.2.

 

 

9.    Notifica in caso di violazione dei dati personali

 

1.    In caso di violazione dei dati personali, il responsabile del trattamento, senza ingiustificato ritardo dopo averne preso conoscenza, notifica al titolare del trattamento la violazione dei dati personali.

 

2.    La notifica del responsabile del trattamento al titolare avviene, se possibile, entro 48 ore dal momento in cui il responsabile del trattamento ne è venuto a conoscenza per consentire al titolare di rispettare l’obbligo di notificare la violazione dei dati personali all’autorità di controllo competente (Articolo 33 RGPD).

 

3.    Come previsto dalla clausola 8, paragrafo 2, lettera a), il responsabile del trattamento presta assistenza al titolare del trattamento nella notifica all’autorità di controllo competente, il che significa che il responsabile del trattamento è tenuto a fornire assistenza per ottenere le informazioni elencate di seguito che, ai sensi dell'articolo 33, paragrafo 3, del RGPD, devono essere indicate nella notifica del titolare all’autorità di controllo competente:

 

a.     la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di dati personali in questione;

b.     le possibili conseguenze della violazione dei dati personali;

c.     le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

 

4.    Le parti definiscono nell’Allegato C tutti gli elementi che il responsabile del trattamento deve fornire quando assiste il titolare del trattamento nella notifica di una violazione dei dati personali all'autorità di controllo competente.

 

10. Cancellazione e restituzione dei dati personali

 

1.     Al termine delle operazioni di trattamento dei dati personali, il responsabile ha l’obbligo di cancellare tutti i dati personali trattati per conto del titolare del trattamento e certificare al titolare del trattamento che lo ha fatto, a meno che il diritto dell’Unione Europea o dello Stato membro non richieda conservazione dei dati personali per periodi ulteriori.

 

11. Audit e controlli

 

1.    Il responsabile mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare la conformità agli obblighi di cui all'articolo 28 del RGPD e alle clausole di questo atto di nomina e acconsente ad eventuali audit, ispezioni comprese, condotti dal titolare del trattamento. I costi degli audit sono a carico del titolare del trattamento.

 

2.    Il responsabile del trattamento è tenuto a fornire alle autorità di controllo, che ai sensi della normativa applicabile hanno accesso alle strutture del titolare e del responsabile, o ai rappresentanti che agiscono per conto di tali autorità di controllo, l’accesso alle strutture fisiche del responsabile del trattamento su presentazione di adeguata identificazione.

 

 

12. Clausole aggiuntive

 

2.     Le parti potranno concordare clausole aggiuntive applicabili alle attività di trattamento dei dati personali specificando ulteriormente alcuni aspetti del trattamento, purché le stesse non contraddicano direttamente o indirettamente le disposizioni del presente Accordo né pregiudichino i diritti e le libertà fondamentali dell’interessato e la protezione offerta dal RGPD.

 

13. Efficacia e termine dell’atto di nomina

 

1.     Quest’atto di nomina entrerà in vigore alla data dell’accettazione elettronica da parte del titolare del trattamento.

 

2.     Entrambe le parti avranno il diritto di richiedere la rinegoziazione delle clausole in caso di modifiche alla normativa applicabile o se le clausole fossero ritenute dalle parti inadeguate.

 

3.     Le presenti disposizioni si applicano per la durata dei trattamenti previsti nell’ambito del Contratto.

 

4.     Se l’elaborazione dei dati personali viene interrotta ed i dati personali vengono cancellati o restituiti al titolare del trattamento ai sensi della clausola 10.1., il presente atto di nomina potrà considerarsi risolto a seguito di notifica scritta inviata da una delle parti.

 

 

 

 

 

 

 

Allegato A Informazioni sul trattamento

 

A.1. La finalità del trattamento effettuato dal responsabile per conto del titolare.

 

Le parti hanno stipulato un contratto (di seguito il “Contratto”) avente ad oggetto l’uso della piattaforma www.registered.store (“Servizi”).

La finalità del trattamento dei dati personali effettuato dal responsabile per conto del titolare consiste nel poter fornire l’uso della piattaforma dove i Promotori possono creare attività e registrare partecipazioni gratuite o a pagamento, controllare lo stato delle partecipazioni e raccogliere gli importi.

 

 

A.2. Il trattamento dei dati personali da parte del responsabile del trattamento per conto del titolare del trattamento riguarda principalmente (natura del trattamento):

La natura del trattamento comporterà la raccolta, la registrazione, l'organizzazione, la strutturazione, l'archiviazione, l'adattamento o l'alterazione, il recupero, la consultazione, l'uso, la trasmissione e la messa a disposizione, l'allineamento o la combinazione, la limitazione, la cancellazione o la distruzione dei dati di utenti e potenziali clienti del titolare mediante strumenti automatizzati e manuali di trattamento.

 

A.3. Il trattamento comprende le seguenti tipologie di dati personali degli interessati:

Nome, indirizzo e-mail, numero di telefono, indirizzo di residenza, data e luogo di nascita, età e codice fiscale, numero di identificazione nazionale per affiliazione sportiva, dettagli di pagamento.

 

 

A.4. Il trattamento comprende le seguenti categorie di interessati:

Utenti della Piattaforma.

 

A.5. Durata del trattamento da parte del responsabile.


La durata del trattamento è pari a quella del Contratto e dipende dall’uso dei Servizi da parte dei promotori

 

 

 

Allegato B lista di sub-responsabili autorizzati

 

B.1. Lista sub-responsabili pre-approvati.

 

-          Amazon Web Services EMEA SARL

 

Servizio fornito e descrizione del trattamento: Servizio di hosting dei dati. Il trattamento include l’elaborazione ed il salvataggio dei dati personali.

 

Paesi in cui avviene il trattamento: Europa e Stati Uniti

 

Privacy policy: https://aws.amazon.com/it/compliance/gdpr-center/

 

 

-          Stripe Payments Europe Limited

 

Servizio fornito e descrizione del trattamento: Servizio di elaborazione dei pagamenti.

Gestisce i pagamenti della piattaforma in forma elettronica

 

Paesi in cui avviene il trattamento: Europa e Stati Uniti

 

Privacy policy: https://stripe.com/it/ssa#section_d

 

 

 

-          Message Systems Inc.

 

Servizio fornito e descrizione del trattamento: SparkPost fornisce un servizio di consegna della posta elettronica, analisi e intelligence e altri servizi correlati.

 

Paesi in cui avviene il trattamento: USA

 

Privacy policy https://www.sparkpost.com/policies/privacy/

 

 

 

 

 

 

 

Allegato C Istruzioni relative al trattamento, misure di sicurezza.

 

 

C.1.

Il titolare del trattamento incarica il responsabile di trattare i dati personali in conformità con il Contratto e di rispettare le altre ragionevoli istruzioni del titolare (ad esempio, inviate tramite e-mail) laddove tali istruzioni siano coerenti ed in linea con il Contratto stesso. Il responsabile deve:

 

(i) trattare i dati personali solo per conto del titolare del trattamento e in conformità con le istruzioni legittime documentate del titolare del trattamento.

 

(ii) notificare immediatamente per iscritto se, a suo giudizio, ritenga che qualsiasi istruzione fornita dal titolare del trattamento violi il RGPD.

 

(iii) eseguire i servizi e trattare i dati personali nel rispetto del RGPD e del Contratto.

 

(iv) comunicare tempestivamente al titolare del trattamento qualsiasi inosservanza del presente atto. Le parti convengono che il presente accordo e il Contratto stabiliscono le istruzioni complete e finali del titolare del trattamento al responsabile in relazione al trattamento dei dati personali e l’elaborazione al di fuori dell’ambito di queste istruzioni (se presente) richiederà un accordo scritto.

 

C.2. Sicurezza del trattamento

 

Firewall.

 

SSL certificate.

 

Backup continuativi

 

Cold storage

 

Capacità di ripristinare la disponibilità dei dati personali in brevissimo tempo.

 

Accordo di riservatezza: tutte le persone autorizzate al trattamento dei dati personali si sono impegnate a mantenere la riservatezza dei dati tramite la stipula di un apposito accordo.

 

Misure di sicurezza implementate dai sub responsabili:

 

Amazon Web Services

https://aws.amazon.com/it/blogs/security/all-aws-services-gdpr-ready/

 

Stripe

https://stripe.com/docs/security/stripe

 

Message Systems Inc.

https://www.sparkpost.com/policies/security/

 

 

 

C 3. Istruzioni sul trasferimento dei dati personali verso paesi terzi


Il trasferimento dei dati verso un paese terzo al di fuori dello Spazio economico europeo può avvenire solo se l'importatore di dati ha stipulato un accordo sul trattamento dei dati che incorpori le clausole contrattuali standard per il trasferimento di dati personali adottate dalla Commissione europea. decisione (C (2010) 593) del 5 febbraio 2010 e fintanto che l'importatore di dati può garantire un livello di protezione adeguato e simile a quello applicabile nello Spazio economico europeo, applicando misure di sicurezza aggiuntive.