Data Protection Agreement

Accordo tra le parti per la protezione dei Dati

In relazione al presente DPA i significati da attribuire ai termini ed espressioni ricorrenti sono:
 
“Database”: è da intendersi i contenuti dei messaggi inviati dal Cliente e le anagrafiche dei
destinatari delle comunicazioni;
 
“Dati Personali”: devono intendersi i dati personali intesi come qualsiasi informazione riguardante una persona fisica identificata o identificabile del cui trattamento il Cliente è Titolare e che risultano oggetto di trattamento da parte di Edim Consulting s.r.l. ai fini di dare esecuzione al Contratto. Più precisamente i dati oggetto di trattamento sono indirizzi email, numeri di telefono, indirizzi IP, Database e dati generati dall’utilizzo della Piattaforma Edim Consulting s.r.l. e dalle comunicazioni trasmesse;
 
“Regolamento Privacy o GDPR”: è da intendersi il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati; Inoltre, ai fini del presente Contratto, si rinvia alle definizioni contenute all’articolo 4 del Regolamento Privacy.
 
Art. 13 - Proprietà dei Dati Personali e nomina a Responsabile del trattamento.
I Dati Personali sono di esclusiva proprietà del Cliente e Edim Consulting s.r.l. si impegna a non farne alcun uso diverso da quello previsto per l’adempimento del Contratto. In particolare, con la sottoscrizione del presente Contratto, ai sensi dell’art. 28 del Regolamento Privacy, il Cliente, avendo ritenuto Edim Consulting s.r.l. soggetto idoneo ed affidabile, nomina Edim Consulting s.r.l. Responsabile per il trattamento dei Dati Personali.  Edim Consulting s.r.l. accetta tale nomina contestualmente alla propria sottoscrizione, confermando la diretta ed approfondita conoscenza degli obblighi con essa assunti e garantendo di possedere capacità, esperienza e competenze, anche tecniche, per ricoprire tale ruolo. In particolare, Edim Consulting s.r.l. si impegna a trattare i Dati Personali nel rispetto delle seguenti istruzioni e previsioni:
 
1. non cederli o metterli a disposizione di terzi, in modo parziale o totale, temporaneo o definitivo;
 
2. non farne uso ad alcun titolo, se non in forma aggregata e per fini statistici e di miglioramento della Piattaforma IRVIN®;
 
3. trattarli in modo adeguato, pertinente e nel rispetto del principio della minimizzazione dei dati, nonché in modo lecito, corretto e trasparente, secondo quanto previsto dalla vigente normativa in materia di trattamento dei dati personali;
 
4. garantirne la riservatezza, l’integrità e la disponibilità, compreso il profilo relativo alla sicurezza così come disciplinato dall’art. 32 del Regolamento Privacy, escludendo la responsabilità in capo a Edim Consulting s.r.l. del contenuto dei Database e dei Dati Personali e dell’utilizzo degli stessi da parte del Cliente;
 
5. garantire un’adeguata tutela dei diritti dell’interessato, supportando il Cliente al fine di adempiere al proprio obbligo di dare seguito alle richieste degli interessati per l’esercizio dei propri diritti, anche qualora tali richieste siano ricevute da Edim Consulting s.r.l. che ne dovrà dare tempestiva comunicazione scritta al Cliente;
 
6. avvalersi della propria struttura organizzativa, identificando e designando le persone autorizzate ad effettuare operazioni di trattamento dei Dati Personali e dei Database del Cliente, individuandone contestualmente l’ambito autorizzativo, fornendo le dovute istruzioni sulle modalità di trattamento e provvedendo alla relativa formazione;
 
7. gestire tutti gli obblighi connessi alla nomina ad amministratore di sistema del proprio personale preposto alla gestione e alla manutenzione della Piattaforma IRVIN®, conformemente a quanto disposto dal provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008;
 
8. in forza dell’autorizzazione generale conferita dal Cliente con il presente Contratto, avvalersi di propri sub-responsabili nominati per iscritto, imponendo loro, mediante un contratto o altro atto giuridico, i medesimi obblighi in materia di protezione dei dati contenuti nel presente Contratto, prevedendo in particolare garanzie sufficienti della messa in atto di misure tecniche e organizzative adeguate per soddisfare i requisiti richiesti dal Regolamento Privacy, restando tuttavia Edim Consulting s.r.l. interamente responsabile verso il Cliente dell’adempimento degli obblighi dei propri sub-responsabili;
 
9. previa richiesta scritta, mettere a disposizione del Cliente l’elenco dei sub-responsabili eventualmente nominati e provvedere ad informare il Cliente stesso di eventuali modifiche riguardanti l’aggiunta o la sostituzione dei soggetti a tal scopo individuati, dando così al Cliente l’opportunità di opporsi a tali modifiche.
 
10. avvalersi di strumenti informatici e/o telematici con CPU allocata nel territorio dell’Unione Europea onde evitare il trasferimento transfrontaliero dei dati personali, adottando logiche strettamente correlate alle finalità delle prestazioni che Edim Consulting s.r.l. è obbligata a rendere al Cliente e nella stretta osservanza delle vigenti disposizioni in materia, anche in ordine alla sicurezza dei dati;
 
11. non eseguire alcun trasferimento di Dati Personali e Database fuori dall’UE e verso Paesi che non garantiscono un livello adeguato di tutela in assenza di autorizzazione scritta del Cliente, restando inteso che qualora il Cliente autorizzasse tale trasferimento, Edim Consulting s.r.l. dovrà garantire la conformità del trattamento alle clausole contrattuali standard approvate dalla Commissione Europea;
 
12. garantire un livello di sicurezza adeguato al rischio, adottando misure di sicurezza tecniche e organizzative adeguate in linea con le disposizioni previste dal Regolamento Privacy;
 
13. ove necessario, cooperare con l’autorità di controllo e mettere a disposizione di questa la documentazione eventualmente richiesta in occasione di controlli e/o accessi dell’autorità medesima, provvedendo altresì ad informarne il Cliente;
 
14. istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del Regolamento Privacy;
 
15. mettere a disposizione del Cliente il nominativo e le informazioni di contatto del proprio responsabile della protezione dei dati eventualmente designato ai sensi degli artt. 37 e ss. del Regolamento Privacy;
 
16. per gli aspetti di propria competenza, fornire supporto tecnico al Cliente rispetto agli obblighi inerenti alla: (i) sicurezza del trattamento, (ii) notifica di una violazione dei dati personali all’autorità di controllo ai sensi dell’art. 33 del Regolamento Privacy, (iii) comunicazione di una violazione dei dati personali all’interessato ai sensi dell’art. 34 del Regolamento Privacy, (iv) valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento Privacy, (v) consultazione preventiva ai sensi dell’art. 36 del Regolamento Privacy;
 
17. in caso di violazione accidentale o illecita dei Database del Cliente, che comporti la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati, procedere a:

- informare il Cliente, senza ingiustificato ritardo, e comunque entro 48 ore dall’avvenuta conoscenza;
 
- fornire al Cliente le opportune informazioni circa la natura della violazione, le categorie ed il numero approssimativo di dati e di interessati coinvolti, nonché le probabili conseguenze della violazione e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione o attenuarne gli effetti pregiudizievoli;
 
- qualora non sia possibile fornire le suddette informazioni specifiche nel termine previsto, indicare al Cliente i motivi del ritardo, fornendo comunque delle informazioni iniziali riferite alla violazione riscontrata ed utili al Cliente ai fini della relativa notifica.
 
18. fornire al Cliente tutte le informazioni relative alle misure tecniche, organizzative e di sicurezza adottate, effettivamente necessarie per la compliance normativa e che dovessero essere formalmente richieste per iscritto dal Cliente per l’adempimento degli obblighi di legge e per dimostrare l’adozione di misure tecniche e organizzative adeguate. Edim Consulting s.r.l. contribuirà altresì alle attività ispettive e di audit che il Cliente vorrà effettuare, direttamente o per il tramite di un altro soggetto da questo incaricato - i cui relativi costi saranno sostenuti interamente dal Cliente - restando inteso che tali attività non potranno essere effettuate dal Cliente con una frequenza superiore a 2 (due) volte per ciascun anno di durata del Contratto e dovranno essere concordate con Edim Consulting s.r.l. con un preavviso di almeno 15 giorni, salvaguardando comunque la normale operatività di Edim Consulting s.r.l.;
 
19. qualora dovesse rilevare che un’istruzione impartita dal Cliente violi le disposizioni di legge applicabili, informarne prontamente il Cliente;
 
20. garantire che il trattamento cui è preposta avvenga nel rispetto degli obblighi di cui all’articolo 32 del Regolamento Privacy e dei Provvedimenti del Garante;
 
21. garantire che i Dati Personali saranno custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, mediante l'adozione di idonee e preventive misure di sicurezza;
 
22. adottare misure atte a prevenire accessi fisici non autorizzati, danni e interferenze ai Dati Personali trattati nello svolgimento del proprio incarico, nonché un’adeguata e sicura operatività delle strutture di elaborazione dei dati, attraverso l’adozione di misure di sicurezza fisica e ambientale oltre ad idonei strumenti di protezione contro i malware e contro la perdita dei dati;
 
23. adottare procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Edim Consulting s.r.l. conserverà i Dati Personali in una forma che consenta l’identificazione degli interessati per un’arco di tempo non superiore a quello necessario per il conseguimento delle finalità di cui al presente Contratto e comunque nel rispetto del principio di limitazione della conservazione, ferma restando l’osservanza della normativa vigente per i documenti fiscali, contabili e legali. La designazione a responsabile di Edim Consulting s.r.l. ha durata pari alla durata del presente Contratto e si intenderà revocata all’atto dello scioglimento del Contratto stesso, per qualsiasi causa ciò avvenga e i Dati Personali del Cliente, nonché le copie degli stessi eventualmente detenute da Edim Consulting s.r.l., saranno eliminati definitivamente dal sistema informativo di Edim Consulting s.r.l. (inclusi gli eventuali archivi cartacei), salvi gli obblighi di legge ulteriori.

Edim Consulting s.r.l 
(l'amministrazione)