Openapi PAG. 1/4

CONTRATTO PER LA NOMINA DEL RESPONSABILE DEL TRATTAMENTO

(ex art. 28 Regolamento UE 2016/679)

Tra

di seguito anche “Fornitore” o “Responsabile” di seguito anche “Titolare” o “Committente”

e

Openapi S.p.A. con sede in Viale Filippo Tommaso Marinetti 221, 00143 Roma (RM), p.iva 12485671007, di seguito anche “Fornitore” o “Responsabile” (entrambe, di seguito, congiuntamente anche le “Parti”)

Premesso che

  1. Il Committente ha incaricato il Fornitore di svolgere attività di erogazione di servizi tramite API, concludendo a tal fine un contratto di servizi (di seguito anche il “Contratto”);
  2. l’esecuzione del Contratto comporta che il Fornitore svolga, per conto del Committente, operazioni di trattamento di dati personali, così come definite ai sensi dell’art. 4 del Regolamento UE 2016/679 (di seguito anche “GDPR”), relativi a persone fisiche identificate o identificabili (di seguito anche “interessato” o “interessati”);
  3. ai sensi dell’art. 28 paragrafo 1 GDPR, qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo può affidare delle attività di trattamento ad un soggetto, che prende il nome di Responsabile del trattamento, purché presenti garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del GDPR, e garantisca la tutela dei diritti dell'interessato;
  4. Ai sensi dell’art. 28 paragrafo 3 GDPR, il trattamento dei dati personali effettuato dal responsabile del trattamento deve essere disciplinato “da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”;
  5. il Committente, considerata la sussistenza dei requisiti di esperienza, capacità e affidabilità in capo al Fornitore intende nominare quest’ultimo, ai sensi dell’art. 28 del GDPR, quale responsabile del trattamento dei dati personali elaborati per l’esecuzione del Contratto;

Tutto ciò premesso, le Parti stipulano e convengono quanto segue:

  1. OGGETTO
    1. Il Committente nomina il Fornitore, che accetta espressamente, quale Responsabile del trattamento, ai sensi dell’art. 28 GDPR, per i trattamenti di dati personali di seguito descritti:
      Natura e finalità del trattamento Trattamento dei dati finalizzati all’esecuzione dei servizi richiesti
      Categorie di soggetti interessati Persone fisiche e persone giuridiche
      Tipo di dati personali Nominativo, documenti e/o immagini, documenti identità, numeri di telefono, dati finanziari
    2. Il presente Accordo, nonché eventuali accordi successivi posti in essere tra le Parti per iscritto, definiscono le condizioni in base alle quali il Responsabile s’impegna a effettuare per conto del Committente le operazioni di trattamento sui dati personali, a cui ha accesso o di cui entra in possesso, necessarie all’adempimento degli obblighi derivanti dal Contratto, nonché per la prestazione di eventuali servizi accessori allo stesso.
  2. DURATA DEL CONTRATTO
    1. La durata del presente Accordo è funzionalmente collegata alla durata del contratto di servizi sottoscritto tra le parti e menzionato nelle premesse, la cessazione dei cui effetti produce automaticamente la cessazione degli effetti anche del presente Accordo, salvo il caso in cui ulteriori obblighi – anche di legge – impongano il prolungamento dell'attività di trattamento dei dati personali da parte del Responsabile.
    2. Una volta cessati, per qualsiasi causa, gli effetti del presente Accordo, il Responsabile sarà tenuto a discrezione del Committente a:
      1. restituire al Committente i dati personali trattati, oppure a
      2. provvedere alla loro integrale distruzione, fatti salvi i soli casi in cui la conservazione dei dati sia richiesta da norme di legge e/o altre finalità (contabili, fiscali, ecc.).
    Openapi PAG. 2/4
  3. OBBLIGHI DEL RESPONSABILE NEI CONFRONTI DEL COMMITTENTE
    1. OBBLIGHI GENERICI
      1. Il Responsabile s’impegna a:
        1. trattare i dati personali per le sole finalità legate all’esecuzione del Contratto e descritte all’art. 1 del presente Accordo;
        2. rispettare le previsioni del Codice di condotta per il trattamento dei dati personali effettuato a fini di informazione commerciale sottoscritto da Associazione Nazionale tra le Imprese di Informazioni Commerciali e di Gestione del Credito e approvato dal Garante per la protezione dei dati personali, per tutto quanto applicabile alle attività di trattamento svolte per conto del Committente;
        3. trattare i dati personali conformemente alle istruzioni impartite dal Committente. Qualora il Responsabile ritenesse che un’istruzione impartita dal Committente possa costituire una violazione del GDPR o di un’altra disposizione del diritto dell’Unione o del diritto degli Stati membri relativi alla protezione dei dati personali, informerà tempestivamente quest’ultimo;
        4. garantire la riservatezza dei dati personali trattati ai sensi del presente Accordo;
        5. identificare e designare le persone autorizzate ad effettuare operazioni di trattamento sui dati forniti dal Committente identificando l’ambito autorizzativo consentito ai sensi dell’art. 29 GDPR e provvedendo alla relativa formazione. Il Responsabile garantisce che i propri dipendenti e collaboratori sono affidabili ed hanno piena conoscenza della normativa in materia di protezione dei dati personali;
        6. verificare che le suddette persone autorizzate a trattare i dati personali, in virtù del presente atto, s’impegnino a rispettare la riservatezza o siano sottoposte a un obbligo legale di riservatezza e ricevano – anche in questo caso – l’adeguata formazione necessaria in materia di protezione dei dati personali;
        7. nei casi prescritti dall’art. 37 del GDPR, oltre che nelle fattispecie in cui tale adempimento sia raccomandato dall’autorità di controllo competente, provvedere alla nomina del Responsabile della protezione dei dati personali (di seguito anche “DPO” - Data Protection Officer), nel rispetto dei criteri di selezione stabiliti dal GDPR, nonché dalle indicazioni fornite dall’autorità di controllo competente, assicurando il rispetto delle prescrizioni di cui all’art. 38 GDPR, anche allo scopo di consentire al medesimo DPO l’effettivo adempimento dei compiti di cui all’art. 39 GDPR. Nei casi in cui il Fornitore abbia nominato il DPO, lo stesso è tenuto a comunicare al Committente il nominativo;
        8. se del caso, provvedere alla designazione per iscritto di ogni soggetto che svolga funzioni quale amministratore/i di sistema, secondo la definizione e le indicazioni fornite dal Garante per la Protezione dei Dati Personali (nello specifico, i Provvedimenti del 27/11/2008 e 26/07/2009), con particolare riferimento ai criteri di individuazione e selezione dei soggetti da nominare, la tenuta di un elenco e la verifica annuale dell’operato, le modalità di registrazione e la tempistica di conservazione dei relativi accessi logici. Qualora l'attività degli stessi Amministratori di Sistema riguardasse, anche indirettamente, servizi o sistemi che trattano, o che permettono il trattamento, di informazioni di carattere personale dei dipendenti del Committente, comunicare a quest’ultimo l'identità degli Amministratori di Sistema nominati;
        9. garantire che i propri strumenti, prodotti, applicazioni o servizi utilizzati nelle attività di trattamento siano conformi ai principi di privacy by design e privacy by default.
        10. mettere a disposizione del Committente la documentazione necessaria a dimostrare il rispetto di tutti gli obblighi discendenti dal presente Accordo o dalla normativa vigente;
        11. permettere la realizzazione di ispezioni, da parte del Committente o di un altro soggetto incaricato dal medesimo, durante l’orario di lavoro;
        12. collaborare con il Committente, nel caso in cui fossero eseguite ispezioni o indagini da parte delle competenti Autorità di controllo, sia presso il Committente che presso il Responsabile, onde dimostrare la conformità di tutte le attività inerenti al trattamento dei dati personali.
    2. NOMINA DI SUB-RESPONSABILI
      1. Durante l’esecuzione del Contratto, il Responsabile ha il divieto di nominare, ai sensi dell’art. 28 GDPR, ulteriori responsabili del trattamento (di seguito anche “Sub-responsabili”) che eseguano qualsiasi attività di trattamento, salvo il Committente abbia specificatamente autorizzato il Responsabile alla nomina di tali soggetti, dopo preventiva comunicazione del Responsabile al Committente che indichi chiaramente le attività di trattamento che intenda affidare, l’identità del Sub-responsabile e i relativi recapiti;
      2. Il rapporto giuridico instaurato tra Responsabile e Sub-responsabili, seppur totalmente distinto da quello intercorrente tra il Committente e il Responsabile, dovrà obbligatoriamente rispettare il contenuto del presente Accordo. Pertanto, il Responsabile s’impegna affinché nell’accordo concluso con i Sub-responsabili non vi siano disposizioni che si pongano o possano astrattamente porsi in contrasto con quanto previsto in questa sede. In ogni caso, il Responsabile s’impegna a concludere con i Sub-responsabili un accordo che garantisca adeguati livelli di protezione dei dati personali e di sicurezza delle informazioni ad essi correlate.
      3. Il Responsabile è comunque tenuto a garantire che i propri obblighi in materia di protezione dei dati derivanti dal presente Accordo, siano validi e vincolanti anche per i Sub-responsabili. Qualora il Sub-responsabile non rispettasse gli obblighi in materia di protezione dei dati personali, il Responsabile sarà ritenuto pienamente responsabile nei confronti del Committente.
      Openapi PAG. 2/4
    3. Esercizio dei diritti dell’interessato
      1. Ove l'interessato intenda esercitare i propri diritti e ne faccia richiesta al Responsabile, quest’ultimo dovrà immediatamente inoltrare tale richiesta al Committente. In ogni caso, Il Responsabile è tenuto ad assistere il Committente, nei limiti di quanto ragionevolmente possibile, al fine di soddisfare l'obbligo del titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato, in base alle istruzioni fornite e concordate con il Committente stesso. In particolare, qualora il Responsabile tratti dati oggetto di richiesta di portabilità, si obbliga ad assistere il titolare del trattamento con misure tecniche e organizzative adeguate al fine di rispondere a detta richiesta.
    4. Notifica e comunicazione delle violazioni dei dati personali
      1. Il Responsabile si obbliga a notificare al Committente ogni violazione dei dati personali senza ingiustificato ritardo ed in ogni caso non oltre le 24 ore dal momento in cui abbia ragionevolmente sospettato o sia venuto a conoscenza di una violazione dei dati personali. Questa notifica è accompagnata da tutta la documentazione utile al fine di permettere al titolare, se necessario, di notificare questa violazione all’Autorità di controllo competente ed eventualmente agli interessati nel rispetto di quanto previsto dagli artt. 33-34 GDPR.
    5. Supporto nei confronti del titolare del trattamento
      1. Il Responsabile, su richiesta del Committente, s’impegna in particolare a:
        1. coadiuvare il Committente nella realizzazione dell’analisi di impatto relativa alla protezione dei dati personali prevista dall’art. 35 GDPR;
        2. coadiuvare il Committente nell’eventuale consultazione preventiva dell’Autorità di controllo, prevista dall’art. 36 GDPR.
    6. Registro delle attività di trattamento
      1. l Responsabile si obbliga alla redazione del Registro delle attività di trattamento svolte per conto del Committente, ai sensi dell’art. 30 GDPR.
    7. Misure di sicurezza
      1. Il Responsabile si impegna ad adottare, per tutta la durata dell’incarico, adeguate misure di sicurezza ex art. 32 GDPR. In particolare, dette misure di sicurezza saranno finalizzate a tutelare i dati e/o a ridurre al minimo i rischi rispetto a:
        1. distruzione o perdita intenzionale e/o accidentale di dati;
        2. trattamento non autorizzato o comunque non conforme alle finalità di trattamento concordate;
        3. accesso non autorizzato.
      2. È fatto obbligo per il Responsabile di aggiornare, revisionare, modificare le misure di sicurezza già adottate, ove specifiche esigenze tecniche o di tutela lo richiedano, previa comunicazione di tale esigenza al Committente.
      3. Il Responsabile, inoltre, si impegna espressamente a tenere manlevato il Committente da ogni e qualsivoglia pregiudizio, anche indiretto (ivi compresi eventuali danni d’immagine), che dovesse derivare da un non corretto adeguamento delle misure di sicurezza richieste ai sensi di legge o di contratto, o da una valutazione non corretta da parte del Responsabile circa il grado di adeguatezza delle misure di sicurezza già in uso.
    8. Trasferimento di dati personali extra UE
      1. Il Responsabile s’impegna a circoscrivere gli ambiti di circolazione e di trattamento dei dati personali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server o in cloud) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 (Paese terzo giudicato adeguato dalla Commissione Europea, BCR di gruppo, clausole contrattuali modello, consenso degli interessati, ecc.).
      2. Qualora il Responsabile fosse tenuto a trasferire dei dati personali trattati per conto del Committente in un paese extra UE e/o ad un’organizzazione internazionale, a norma del diritto dell’Unione Europea o della legislazione dello stato membro cui è soggetto, dovrà informare il Committente di tale obbligo giuridico prima del relativo trattamento, a meno che le leggi interessate proibiscano una tale informazione per rilevanti motivi di interesse pubblico.
    9. Riservatezza
      1. Il Responsabile s’impegna a mantenere riservati e a non divulgare i dati, i documenti, le informazioni e notizie di qualsiasi genere, forniti dal Committente, dei quali verrà a conoscenza per le attività descritte nel presente Accordo, anche successivamente alla cessazione di esso e senza alcuna limitazione di tempo o spazio. In particolare, non potrà comunicare o diffondere alcuna delle informazioni, notizie, dati e documenti (salvo che ciò non sia espressamente richiesto dal Committente, dall’Autorità di controllo o da altra Autorità), cederli a terzi a titolo gratuito o oneroso, utilizzarli per qualsiasi finalità, anche di terzi.
  4. DIRITTO D’INFORMAZIONE DEGLI INTERESSATI
    1. Resta in capo al titolare, al momento della raccolta dei dati, l’obbligo di fornire agli interessati le informazioni relative ai trattamenti dei dati personali che realizza, ai sensi degli artt. 13-14 GDPR.
  5. INADEMPIMENTO DEL RESPONSABILE
    1. Nel caso di violazioni di non scarsa importanza della normativa applicabile al trattamento dei dati personali ad opera del Responsabile, il Committente ha facoltà di risolvere il presente Accordo, ex art. 1456 c.c., con effetto immediato, per fatto e colpa del Responsabile, previa comunicazione scritta, e senza che nulla sia ulteriormente dovuto, riservato il diritto al risarcimento dei danni.
    Openapi PAG. 2/4
  6. RESPONSABILITÀ E RISARCIMENTO DEL DANNO
    1. In caso di azione di risarcimento civile, o responsabilità amministrativa, promossa nei confronti del Committente per i danni provocati o le violazioni commesse dal Responsabile a seguito d’inadempienze normative o contrattuali, il Responsabile stesso manleva integralmente il Committente, ogni eccezione rimossa. Analogamente, il Responsabile manleva integralmente il Committente, ogni eccezione rimossa, in caso di applicazione di sanzioni da parte dell’Autorità di controllo per inadempienze normative o contrattuali imputabili allo stesso Responsabile.
    2. In ogni caso, il Responsabile risponderà del danno causato qualora abbia agito in modo difforme o contrario rispetto alle legittime istruzioni impartite per iscritto dal Committente ed egli non dimostri che l’inadempimento non è a lui imputabile.
  7. LEGGE APPLICABILE E CONTROVERSIE
    1. Il presente Accordo è soggetto alla legge Italiana e per ogni controversia tra le parti il foro competente in via esclusiva sarà quello di Roma.
  8. MISCELLANEA
    1. Qualsiasi modifica del presente Accordo sarà valida e vincolante solo se risultante da atto scritto o da comunicazione effettuata in forma scritta, anche in formato elettronico.
    2. Il presente Accordo annulla e sostituisce ogni altra eventuale nomina a Responsabile del Trattamento del Fornitore già sottoscritta tra le Parti relativamente alle medesime attività di trattamento.
    3. Le Parti si danno reciprocamente atto che l’intero Accordo nonché ogni singola clausola sono stati oggetto di specifica negoziazione, escludendo pertanto l’applicabilità degli artt. 1341 e 1342 cc.
    4. Qualora singole disposizioni del presente atto risultino invalide o inapplicabili, la validità e l'applicabilità delle altre disposizioni ivi contenute rimarranno impregiudicate.
    5. Per tutto quanto non previsto dal presente Accordo si rinvia alle disposizioni generali vigenti ed applicabili in materia di protezione dei dati personali.

Firma del Titolare

______________________________________

Con la firma in calce a tale documento il Fornitore accetta la nomina a Responsabile del Trattamento per i trattamenti prima riportati insieme alle loro caratteristiche peculiari

Firma del Responsabile del Trattamento
Openapi S.p.A.

______________________________________