Ciao!
Se hai bisogno di un consiglio o di aiuto utilizza la chat. Il team Cfp Cemon è a tua disposizione.

Contatta Cfp 💬

DPA - Accordo di trattamento dei dati

ACCORDO DI TRATTAMENTO DEI DATI

tra 

CFP Cebano Monregalese - Società consortile a responsabilità limitata, in persona del Direttore, con sede in CEVA (12073) – Via XX Settembre, 9 (CN), CF e p. IVA 02691090043, PEC cfpcemon@pec.it (di seguito denominata  anche semplicemente “Titolare”)

Il/La Docente (di seguito denominata anche semplicemente “Responsabile”)

Premesso che

  • il Titolare e il Responsabile hanno stipulato un contratto di fornitura di servizi, in forza del quale il Responsabile fornisce al Titolare servizi di docenza (di seguito denominato il “Contratto”);
  • l’esecuzione del Contratto comporta il trattamento, da parte del Responsabile, di Dati Personali (come di seguito definiti) di cui il Titolare è il titolare del trattamento ai sensi dell’art. 4, n. 7) del GDPR;
  • più precisamente, il trattamento dei Dati Personali da parte del Responsabile rientra nell'ambito di applicazione dell’articolo 28 del GDPR, e pertanto, il Responsabile si qualifica quale responsabile del trattamento ai sensi dell’art. 4, n. 8) del GDPR;
  • alla luce di quanto precede, è intenzione delle Parti disciplinare con il presente Accordo di trattamento dei dati (di seguito denominato “DPA”) il trattamento dei Dati Personali da parte del Responsabile in accordo con la Normativa Privacy;
  • ai fini del presente DPA, valgono le definizioni del Glossario allegato al presente Accordo (All. 1).

 

Tutto ciò premesso, le Parti convengono quanto segue

1. Dichiarazioni delle Parti

1.1. Il Responsabile dichiara di possedere esperienza, capacità e affidabilità idonee a garantire il rispetto della Normativa Privacy, ivi compreso il profilo relativo alla sicurezza, ed in ogni caso di essere in grado di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il Trattamento soddisfi i requisiti della Normativa Privacy e garantisca la tutela dei diritti dell’Interessato.

1.2. Il Responsabile dichiara di non ricorrere a Sub-responsabili.

1.3. Il Responsabile informerà il Titolare di eventuali aggiunte o sostituzioni di Sub-responsabili: il Titolare dovrà, entro il termine di dieci giorni dal ricevimento di tale informativa, dare la sua autorizzazione o opporsi.

2. Oggetto del DPA

 2.1. Il presente Contratto disciplina le istruzioni che il Titolare impartisce al Responsabile ai fini del Trattamento, nonché termini, condizioni e reciproci diritti, obblighi e responsabilità connessi al Trattamento.

 2.2. Il Responsabile effettua il Trattamento per conto del Titolare in esecuzione del Contratto.

 2.3. In relazione ai trattamenti effettuati autonomamente (cioè di cui ne determina le finalità e i mezzi), il Responsabile assume il ruolo di titolare del trattamento e tali attività non sono regolate dal presente DPA.

 2.4. Qualora, per determinati servizi il Titolare rivesta il ruolo di responsabile nei confronti di terzi titolari, il Responsabile rivestirà a sua volta il ruolo di sub-responsabile (ex art. 28, par.2,GDPR); quest’ultimo dovrà in ogni caso rispettare gli obblighi del presente accordo, nonché, se differenti, quelli di cui all’accordo tra il titolare terzo ed il CFP

3. Natura e finalità del Trattamento, tipo di Dati Personali e categorie degli Interessati

3.1. Il Trattamento ha le seguenti caratteristiche:

a) Modalità: informatizzata/cartacea;
b) Finalità: erogazione dei servizi di cui al Contratto, e di quanto ad essi connesso e/o conseguente;
c) Durata (periodo di conservazione dei Dati): fino alla data di Cessazione del Contratto di cui in premessa e successivi termini di legge.

 3.2. Le categorie di Dati Personali sono le seguenti:

a) Identificativi, fiscali, bancari e relativi al rapporto di lavoro e comunque all’attività interna del Titolare;
b) Particolari, relativi al rapporto di lavoro;
c) Identificativi e fiscali relativi alle forniture e agli acquisti.

 3.3. Le categorie di Interessati sono le seguenti:

a) Dipendenti, collaboratori e amministratori del Titolare ed eventuali loro familiari (ricorrendone la necessità);
b) clienti/utenti (se persone fisiche) del Titolare e loro personale/amministratori;
c) Fornitori del Titolare (se persone fisiche) del Titolare e loro personale/amministratori;

4. Diritti del Titolare

4.1. Il Titolare ha diritto di:

a) vigilare sull’operato del Responsabile e dei Sub-responsabili, tramite attività di audit e di ispezioni (direttamente o tramite soggetto espressamente delegato), ovvero tramite l’invio di questionari di autovalutazione o richieste di documentazione, ai quali il Responsabile dovrà adempiere nei termini indicati dal Titolare.
b) chiedere la cessazione e/o la sospensione del Trattamento qualora essa sia imposta dalla necessità di adempiere a divieti o obblighi derivanti dalla Normativa Privacy o dalla Normativa Applicabile, e/o a provvedimenti dell’Autorità di Controllo o dall’Autorità Giudiziaria.
c) regresso, nei confronti del Responsabile, della parte di somma già pagata dal Titolare a titolo di risarcimento del danno, corrispondente alla parte di responsabilità del Responsabile stesso.

5. Obblighi del Titolare

5.1. Il Titolare ha l’obbligo di:

a) eseguire il Trattamento nel rispetto della Normativa Privacy e dell’ulteriore Normativa Applicabile;
b) impartire legittime istruzioni al Responsabile in merito al Trattamento conformi alla Normativa Privacy e alla Normativa Applicabile.

6. Diritti del Responsabile

6.1. Il Responsabile ha diritto di:

a) inoltrare al Titolare, senza ingiustificato ritardo, ogni richiesta da parte degli Interessati;
b) regresso, nei confronti del Titolare, della parte di somma già pagata dal Responsabile a titolo di risarcimento del danno, corrispondente alla parte di responsabilità del Titolare stesso.

7. Obblighi del Responsabile

7.1. Il Responsabile ha l’obbligo di:

a) eseguire il Trattamento conformemente al presente DPA, eseguendo le eventuali ulteriori legittime istruzioni scritte impartite dal Titolare, restando inteso che il Responsabile è tenuto a segnalare immediatamente al Titolare eventuali istruzioni che ritiene essere in violazione della Normativa Privacy;
b) far eseguire ai Sub-responsabili le operazioni di Trattamento conformemente al presente DPA, impartendo loro le istruzioni scritte impartite dal Titolare e verificando sulla loro effettiva applicazione;
c) informare il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una Violazione di Dati;
d) far sottoscrivere agli Autorizzati e/o agli eventuali amministratori di sistema di cui al Provvedimento del 27.11.2008 così come modificato dal Provvedimento del 25.06.2009, del Garante per la Protezione dei Dati Personali impegni scritti alla riservatezza (esclusa l’ipotesi in cui essi siano già destinatari di un obbligo di riservatezza imposto dalla Normativa Applicabile) e al divieto di Comunicazione e/o diffusione dei Dati Personali, nonché di impartire loro istruzioni conformi alle Normativa Privacy e di vigilare sul loro operato;
e) stipulare con i Sub-responsabili un accordo scritto che (i) descriva i servizi subappaltati; (ii) preveda l’obbligo per i Sub-responsabili di far sottoscrivere agli Autorizzati e/o agli Amministratori di Sistema impegni scritti alla riservatezza (esclusa l’ipotesi in cui essi siano già destinatari di un obbligo di riservatezza imposto dalla Normativa Applicabile) e al divieto di Comunicazione e/o diffusione dei Dati Personali; e (iii) preveda nei confronti del Sub-responsabile obblighi coerenti, nella sostanza, a quelli imposti dal DPA al Responsabile, nella misura applicabile ai servizi subappaltati;
f) mettere in atto preventivamente, tenuto conto dello stato dell’arte e dei costi di attuazione, tutte le misure tecniche e organizzative più idonee e comunque adeguate al Trattamento per garantirne la sicurezza, considerando il Trattamento stesso in ogni suo aspetto, e considerando in particolare il rischio sui diritti e le libertà degli Interessati, e con specifico riferimento a quanto indicato all’art. 32 del GDPR. All’uopo, il Responsabile allega al presente Accordo (All. 2) un elenco delle misure di sicurezza attualmente adottate.
g) tenere un Registro dei Trattamenti eseguiti per conto del Titolare, e un Registro delle Violazioni di Dati;
h) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi incombenti sul Responsabile ai sensi del DPA;
i) collaborare con il Titolare per l’attuazione delle prescrizioni eventualmente impartite da un’Autorità di Controllo.

8. Facoltà delle Parti

8.1. Il Titolare ha facoltà di:

a) richiedere la collaborazione del Responsabile, ove possibile e tenuto conto della natura del Trattamento, nelle attività relative all’obbligo del Titolare stesso di dare seguito alle richieste per l’esercizio dei diritti formulate dagli Interessati secondo la Normativa Privacy;
b) richiedere la ragionevole collaborazione del Responsabile ai fini del rispetto degli obblighi di sicurezza, di quelli relativi alla Notifica di una Violazione di Dati, alla Comunicazione della Violazione agli Interessati e sulla Consultazione Preventiva.

8.2. Il Responsabile ha facoltà di aderire a Codici di Condotta e/o a Meccanismi di Certificazione, con gli effetti previsti dall’art. 28.5 del GDPR.

 9. Obblighi delle Parti

9.1. Le Parti si obbligano reciprocamente a:

a) informare l’altra Parte di ogni richiesta, ordine o controllo, da parte di una o più Autorità, o da soggetti da queste autorizzati e/o delegati (a mero titolo di esempio, la Polizia Giudiziaria o l’Autorità Giudiziaria di qualunque Paese del mondo);
b) mettere tempestivamente al corrente l’altra Parte di ogni eventuale circostanza che impedisca a ciascuna di adempiere agli impegni di cui al presente DPA;
c) non dare Comunicazione a Terzi dei Dati Personali senza autorizzazione dell’altra Parte, salvi gli obblighi derivanti dalla Normativa Privacy o dalla Normativa Applicabile, e/o a provvedimenti dell’Autorità di Controllo o dall’Autorità Giudiziaria

10. Responsabilità delle Parti

10.1. Il Responsabile risponde dei danni patrimoniali e non patrimoniali:

a) nei confronti del Titolare, nel caso di inadempimento alle disposizioni di legge o di cui al presente DPA, salva la dimostrazione che l’evento dannoso non gli è in alcun modo imputabile;
b) nei confronti degli Interessati, per l’intero ammontare del danno, per ogni violazione della Normativa Privacy o del presente Accordo, salva la dimostrazione che l’evento dannoso non gli è in alcun modo imputabile.

11. Durata e Cessazione dell’Accordo

11.1. Il presente DPA ha la medesima durata del Contratto.

11.2.     Al momento della cessazione della prestazione dei servizi oggetto del Contratto, per qualunque motivo, il Responsabile è obbligato a consegnare i Dati Personali al Titolare e ad interrompere ogni attività di Trattamento, cancellando senza ingiustificato ritardo e irreversibilmente tutti i Dati Personali in suo possesso, senza trattenerne alcuna copia (assicurandosi che anche i Sub-responsabili facciano lo stesso), salvo che: (i) norme di legge impongano al Responsabile la conservazione dei Dati Personali; o (ii) la conservazione dei Dati Personali sia indispensabile per tutelare i diritti del Responsabile derivanti da o connessi a contestazioni in atto al momento della cessazione dei Servizi; o (iii) il Titolare ne richieda per iscritto, prima della cessazione della prestazione dei servizi, la conservazione ulteriore per un periodo determinato, restando inteso che tale richiesta dovrà indicare i motivi alla base della stessa, che alla scadenza del periodo ulteriore si applicheranno le altre disposizioni del presente articolo e che gli eventuali costi di tale conservazione ultronea saranno a carico, salvo diversamente concordato, del Titolare.

11.3. Nel caso di cui al precedente articolo 11.2.: (i) la restituzione dovrà avvenire senza ingiustificato ritardo; (ii) i dati elettronici dovranno essere restituiti al Titolare in un formato di uso comune o in uso da parte del Titolare; (iii) non dovranno essere conservate copie, anche parziali, dei Dati Personali, su alcun genere di supporto, fatti salvi i casi di cui ai punti (i), (ii) e (iii) dell’articolo 11.2. Il Responsabile dovrà fornire al Titolare comunicazione scritta che dia atto dell’avvenuto compimento delle attività di cui al presente art. 11.3. ed al precedente art. 11.2. sia da parte propria sia da parte di eventuali Sub-responsabili.

12. Comunicazioni

12.1. Ove non diversamente indicato, tutte le comunicazioni da inviarsi in esecuzione del presente DPA dovranno essere formulate per iscritto (anche via PEC) e dovranno ritenersi ricevute alla data della loro comprovata ricezione, ai recapiti contenuti in epigrafe o sui Pubblici Elenchi.

13. Altre norme

13.1. Gli Allegati sono parte integrante e sostanziale del presente DPA.

13.2. Qualsiasi modifica del DPA e/o degli Allegati deve essere concordata con atto sottoscritto da entrambe le Parti.

13.3. L’eventuale nullità di una o più clausole del presente DPA non incide sulla validità del DPA nel suo complesso.

13.4. Per quanto non espressamente previsto si rinvia al Contratto e alla Normativa Applicabile.

13.5. Il foro competente in via esclusiva, per qualsiasi eventuale controversia relativa al DPA, è quello di Cuneo.

13.6. Le parti dichiarano che il presente Accordo non rappresenta un modulo o un formulario predisposto da una di esse, ma di aver specificamente redatto, discusso e concordato ogni clausola dell’Accordo stesso.

 

Il titolare del trattamento

Marco Lombardi

 

Glossario

"Autorità di Controllo”: l’autorità pubblica indipendente istituita da uno Stato dell’Unione Europea, o dall’Unione Europea stessa, incaricata di sorvegliare l’applicazione della Normativa Privacy (per l’Italia il Garante per la Protezione dei Dati Personali, www.garanteprivacy.it), o altra autorità di controllo indipendente incaricata della sorveglianza dell’applicazione di qualunque altra Normativa Applicabile.

“Autorizzato”: la persona fisica individuata dal Titolare o dal Responsabile e che tratta i dati sotto l'autorità diretta del Titolare o del Responsabile.

“Codice Privacy”: il D. Lgs. 196/2003 e successive modificazioni e/o integrazioni.

“Codici di Condotta”: i documenti di cui all’art. 40 del GDPR.

“Comitato”: il Comitato europeo per la protezione dei dati, istituito dall’art. 68 del GDPR e disciplinato dagli artt. da 68 a 76 del GDPR, che sostituisce il WP29 dal 25/5/2018.

“Comunicazione”: il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'Interessato, dal rappresentante del Titolare nel territorio dello Stato, dal Responsabile e dagli Autorizzati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

“Comunicazione della Violazione agli Interessati”: il procedimento previsto dall’art. 34 del GDPR.

“Consultazione Preventiva”: le attività previste dall’art. 36 del GDPR.

“Contratto”: l’accordo di servizi in essere tra le Parti ed indicato nella premessa.

“Dati Personali” (anche al singolare): qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”, come definito dall’art. 4, sottoparagrafo 1, n. 1, del GDPR, che il Responsabile tratta per conto del Titolare nel corso dell’esecuzione del Contratto.

“GDPR”: il Regolamento UE 2016/679 “relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”;

“Interessato” (anche al plurale): “la persona fisica identificata o identificabile”, come definito dall’art. 4, n. 1, del Regolamento UE 2016/679 (c.d. “GDPR”), al quale si riferiscono i Dati Personali.

“Normativa Applicabile”: una qualunque disposizione, di qualunque rango, appartenente al diritto italiano o a quello dell’Unione Europea, in qualunque modo applicabile all’oggetto del presente Contratto.

“Normativa Privacy”: il GDPR e l’ulteriore normativa applicabile, di qualunque rango, inclusi i pareri del WP29 e, dal 25/5/2018, del Comitato; il Codice Privacy”, nonché i Provvedimenti Generali emessi ai sensi dell’art. 154 comma 1 lett. c) e h).

“Notifica della Violazione di Dati”: il procedimento previsto dall’art. 33 del GDPR.

“Parte” o “Parti”: a seconda dei casi, il Titolare, il Responsabile, o entrambi.

“Pubblici Elenchi”: gli elenchi di indirizzi PEC di cui all'art. 16-ter D.L. 179/2012.

“Registro dei Trattamenti”: il documento previsto dall’art. 30.2 del GDPR.

“Registro delle Violazioni di Dati”: l’elenco delle eventuali Violazioni di Dati, tenuto dal Titolare e/o dal Responsabile.

“Sub-responsabile”: qualunque soggetto, persona fisica o giuridica, terzo rispetto alla organizzazione del Responsabile cui questo affida la prestazione dei servizi oggetto del Contratto o parte di essi e che, per tale ragione, effettui attività di Trattamento o comunque abbia accesso ai Dati Personali.

“Terzo” o “Terzi”: “la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile”, come definito dall’art. 4, sottoparagrafo 1, n. 10, del GDPR.

“Trattamento”: “qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione”, come definito dall’art. 4, n. 2, del GDPR, relativo ai Dati Personali.

“Violazione di Dati”: “la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati”, come definita dall’art.4,n,12,del GDPR.