NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO DEL 27.4.2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/ce (REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI - “GDPR”)

 

A.S.P. Asti, Asti Servizi Pubblici, con sede legale in Corso Don Minzoni 86, 14100 Asti,Partita IVA 01142420056, indirizzo PEC asp.asti@pec.it, che gestisce l’E-marketplace ASTIONLINE. L’attività è soggetta a Iscrizione Reg. Impr. Asti – R.E.A.80508;

in qualità di Responsabile del Trattamento dei dati personali (Responsabile del Trattamento), in persona del suo legale rappresentante

(il Titolare del Trattamento e il Responsabile del Trattamento congiuntamente, le “Parti”).

  1. Oggetto

Le presenti clausole hanno come oggetto la definizione delle condizioni alle quali il Responsabile del Trattamento si impegna a effettuare per conto del Titolare del Trattamento le operazioni di Trattamento dei Dati Personali qui di seguito definite.

Nell’ambito delle loro relazioni contrattuali le Parti si impegnano a rispettare la Normativa sulla Protezione dei Dati Personali di tempo in tempo applicabile e, in particolare, il GDPR.

  1. Definizioni

Accordo”: il contratto di adesione alla piattaforma www.astionline.it tra il Titolare del Trattamento e il Responsabile del Trattamento e di cui il presente documento costituisce un addendum.

Addendum”: il presente documento, incluso ogni suo eventuale allegato.

Dati Personali”: i dati personali, come definiti dall’art. 4.1 del GDPR, oggetto del presente Addendum.

GDPR”: il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).

Interessato”: ha il significato di cui all’art. 4.1 del GDPR.

Normativa sulla Protezione dei Dati Personali”: significa qualsiasi legge o regolamento, inclusi le leggi e i regolamenti dell’Unione europea, degli Stati membri e di UK, applicabile al trattamento dei Dati Personali, incluso il GDPR.

Responsabile del Trattamento”: ha il significato di cui all’art. 4.8 del GDPR.

Titolare del Trattamento”: ha il significato di cui all’art. 4.7 del GDPR.

Trattamento”: ha il significato di cui all’art. 4.2 del GDPR.

Violazione dei Dati Personali”: ha il significato di cui all’art. 4.12 del GDPR.

III. Descrizione del Trattamento demandato al Responsabile del Trattamento

Il Responsabile del Trattamento è autorizzato a trattare per conto del Titolare del Trattamento i Dati Personali necessari per adempiere all’Accordo (“Servizi”).

Le operazioni di Trattamento demandate al Responsabile del Trattamento sono le seguenti:

    • Conservazione
    • Consultazione
    • raccolta
    • registrazione
    • organizzazione
    • conservazione.
    • strutturazione
    • comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione

La finalità del Trattamento demandato al Responsabile del Trattamento è unicamente quella di dare esecuzione all’Accordo, prestando i Servizi.

Le categorie di Dati Personali il cui Trattamento è demandato al Responsabile del Trattamento sono le seguenti:

    • Nome
    • Cognome
    • Indirizzo di residenza
    • Indirizzo di domicilio
    • CAP
    • E-mail
    • Numero di telefono
    • Nazione
    • Codice fiscale.

Le categorie di Interessati a cui si riferiscono i Dati Personali il cui trattamento è demandato al Responsabile del Trattamento sono i clienti o potenziali clienti del Titolare del Trattamento.

  1. Durata dell’Addendum

Il presente Addendum produce effetti a partire dalla sua sottoscrizione e per tutta la durata dell’Accordo, sicché, cessato l’Accordo, per qualsiasi causa, cesseranno anche, immediatamente, gli effetti del presente Addendum. Gli obblighi relativi alla riservatezza e i divieti di diffusione e/o comunicazione dovranno essere osservati dal Responsabile del Trattamento anche dopo la cessazione dell’Accordo e del presente Addendum.

  1. Obbligazioni del Responsabile del Trattamento nei confronti del Titolare del Trattamento

Il Responsabile del Trattamento si obbliga:

    • a trattare i Dati Personali unicamente per la finalità di cui al presente Addendum e, in particolare, come indicato al punto III che precede, solo ed esclusivamente ai fini della corretta esecuzione dell’Accordo e della corretta prestazione dei Servizi, conseguentemente;
    • a non comunicare, diffondere, rivelare, in qualsiasi modo, i Dati Personali a terzi, ad eccezione dei responsabili ulteriori del trattamento, qualora designati dal Responsabile del Trattamento conformemente all’art. 28 GDPR e all’art. VI che segue, e delle persone autorizzate al trattamento dei dati personali sotto l’autorità del Responsabile del Trattamento (“Incaricati”), qualora essi siano istruiti in tal senso dal Responsabile del Trattamento, conformemente a quanto indicato dall’art. 29 GDPR, e siano formalmente designati dallo stesso, a norma del presente articolo;
    • trattare i Dati Personali conformemente alle istruzioni eventualmente fornite dal Titolare del Trattamento (“Istruzioni”), anche in caso di trasferimento di Dati Personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o il diritto nazionale cui è soggetto il Responsabile del Trattamento; in tal caso, il Responsabile del Trattamento informa il Titolare del Trattamento di tale obbligo giuridico prima del Trattamento, a meno che il diritto dell’Unione o dello Stato membro in questione vietino tale informazione per rilevanti motivi di interesse pubblico. Se il Responsabile del Trattamento ritiene che un’istruzione costituisca una violazione del GDPR e/o di un’altra disposizione del diritto dell’Unione o del diritto di uno degli Stati membri relativa alla protezione dei dati personali, il Responsabile del Trattamento ne dovrà dare immediata comunicazione al Titolare del Trattamento.
  1. Ulteriori responsabili del Trattamento

Autorizzazione generale

Il Titolare del Trattamento autorizza il Responsabile del Trattamento, in via generale, a ricorrere a un altro responsabile del trattamento (“Responsabile Ulteriore del Trattamento” o “Sub-Responsabile”) per l’esecuzione di specifiche attività di trattamento, ai sensi dell’art. 28.2 del GDPR.

VII. Informativa da fornire all’interessato

Spetta al Titolare del Trattamento fornire agli Interessati le informazioni di cui agli artt. 13 e 14 del GDPR, nei casi, con le modalità e con le tempistiche di cui a tali articoli e all’art. 12 del GDPR.

VIII. Conservazione dei Dati Personali durante la vigenza dell’Addendum e loro cancellazione o restituzione dopo la sua cessazione

Durante la vigenza dell’Addendum, il Responsabile del Trattamento si obbliga a conservare i Dati Personali solo ed esclusivamente per il tempo strettamente necessario al conseguimento delle finalità del Trattamento e per il corretto adempimento degli obblighi di cui all’Addendum, come indicato dal Titolare del Trattamento nelle Istruzioni, fatta salva la necessità di conservare i Dati Personali in ragione di obblighi imposti al Responsabile del Trattamento dal diritto dell’Unione o dello Stato membro cui è soggetto.

In caso di cessazione, per qualsiasi causa, dell’Addendum, il Responsabile del Trattamento si obbliga a:

  1. a) cessare il Trattamento; e
  2. b) fatti salvi gli obblighi di conservazione dei Dati Personali imposti al Responsabile del Trattamento dal diritto dell’Unione o dello Stato membro cui è soggetto, a scelta del Titolare del Trattamento, nel termine di 90 giorni lavorativi:
    • distruggere e/o cancellare tutti i Dati Personali, in modo irreversibile e permanente e, comunque, sulla base delle Istruzioni; o
    • restituire tutti i Dati Personali; o
    • inviare i Dati Personali a un responsabile del trattamento indicato dal Titolare del Trattamento.

La restituzione o l’invio devono essere accompagnati dalla cancellazione e/o distruzione di tutte le copie esistenti nei sistemi informativi del Responsabile del Trattamento, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione di tali dati. Una volta distrutti, il Responsabile del Trattamento dovrà giustificare per iscritto la distruzione.

  1. Responsabile per la protezione dei dati personali (o Data ProtectionOfficer– “DPO”)

Il Responsabile del Trattamento comunica al Titolare del Trattamento il nome e i dati di contatto del DPO, se designato, in base a quanto previsto dall’art. 37 GDPR, o su base volontaria.

  1. Registro dei trattamenti

Il Responsabile del Trattamento comunica se tiene un registro dei trattamenti effettuati per conto del Titolare del Trattamento, ai sensi e con il contenuto di cui all’art. 30.2 del GDPR, e le modalità di tenuta di tale registro, impegnandosi a metterlo a disposizione del Titolare del Trattamento, su richiesta. Nel caso in cui il Responsabile del Trattamento non tenga il registro di cui all’art. 30.2, il Responsabile del Trattamento si impegna a fornire al Titolare del Trattamento la documentazione della valutazione effettuata per escludere l’applicabilità dell’obbligo in questione. Le Parti prendono atto che il Responsabile del Trattamento potrà redigere il registro dei trattamenti in base alle indicazioni fornite in tal senso dal Garante per la protezione dei dati personali italiano.

  1. Documentazione

Il Responsabile del Trattamento mette a disposizione del Titolare del Trattamento tutte le informazioni e la documentazione necessarie per dimostrare il rispetto degli obblighi di cui al GDPR, compreso l’art. 28 dello stesso, e di cui al presente Addendum, consentendo e contribuendo alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del Trattamento o da un altro soggetto dallo stesso incaricato.

XII. Obbligazioni del Titolare del Trattamento nei confronti del Responsabile del Trattamento

Il Titolare del Trattamento si impegna a fornire al Responsabile del Trattamento i Dati Personali nel caso in cui, in ragione dell’Accordo e/o dei Servizi, essi non siano raccolti e/o acquisiti direttamente dal Responsabile del Trattamento, per conto del Titolare del Trattamento.

Il Titolare del Trattamento vigilerà, per tutta la durata dell’Addendum, sull’osservanza degli obblighi imposti al Responsabile del Trattamento dalle Istruzioni, dall’Addendum e dalla Normativa sulla Protezione dei Dati Personali, compreso il GDPR, e supervisionerà il Trattamento effettuato dal Responsabile del Trattamento, anche mediante l’effettuazione di audit e/o ispezioni presso il Responsabile del Trattamento. Tali ispezioni e/o audit saranno precedute da un preavviso di 5 giorni lavorativi. Il Titolare del Trattamento si riserva la facoltà di chiedere al Responsabile del Trattamento, con le medesime modalità e con la medesima tempistica, di effettuare audit e/o ispezioni presso i Sub-Responsabili, congiuntamente al Responsabile del Trattamento, impegnandosi quest’ultimo a dare evidenza di tale facoltà nel contratto o altro atto giuridico relativo con il Sub-Responsabile.

XIII. Trasferimento dei Dati Personali in un Paese terzo

Nel caso in cui il Responsabile del Trattamento intenda trasferire i Dati Personali in un Paese non appartenente alla UE, il Responsabile del Trattamento si impegna a: (i) comunicare tale intenzione preventivamente al Titolare del Trattamento, per e-mail, indicando il Paese terzo di destinazione, il destinatario e le garanzie adeguate che, a norma del capo V del GDPR, consentono il trasferimento; (ii) effettuare il trasferimento solo ed esclusivamente in assenza di opposizione da parte del Titolare del Trattamento, comunicata per iscritto ed entro il termine di 15 giorni lavorativi dal ricevimento di tale comunicazione ovvero una volta scaduto tale termine.

XIV. Comunicazioni

Tutte le comunicazioni previste dal presente Addendum dovranno avvenire ai contatti indicati in epigrafe.

  1. Legge Applicabile e foro competente

Il presente Addendum è soggetto alla legge italiana.

Per qualsiasi controversia riguardante l’applicazione e/o interpretazione della Nomina a Responsabile è competente il Foro di Asti.

XVI. Varie

Le Parti riconoscono che il presente Addendum non limita né riduce gli impegni che il Responsabile del Trattamento ha assunto nei confronti del Titolare del Trattamento nell’Accordo, fermo restando che in caso di conflitto tra le previsioni dell’Accordo e quelle dell’Addendum in materia di trattamento di dati personali e/o di protezione dei dati personali, le previsioni dell’Addendum prevaranno.