NOMINA A RESPONSABILE DEL TRATTAMENTO
(Data Processing Agreement – DPA)
Ultimo aggiornamento: 1 Ottobre 2024
Ai sensi dell’art. 28 del Regolamento UE 2016/679 del 27 aprile 2016 (di seguito, “Regolamento”) in virtù del contratto sottoscritto tra GestionaleAuto.com S.r.l., con sede legale in Viale Asiago, 113, 36061 – Bassano del Grappa (VI) – P.IVA 03773570241 in persona del legale rappresentante pro tempore dotato degli opportuni poteri di rappresentanza (di seguito il “Fornitore” o il “Responsabile”)
e
il Cliente il cui nominativo è indicato nel Contratto e nei relativi allegati (di seguito, la “Società” e, insieme con il Fornitore, le “Parti”)considerato che:
- le Parti hanno sottoscritto delle Condizioni Generali di Servizio, unitamente ai relativi allegati, di cui il presente atto di nomina costituisce parte integrante e sostanziale (di seguito, il “Contratto”);
- la Società agisce in qualità di Titolare del trattamento con riferimento ai dati personali trattati al fine di dare esecuzione al Contratto e indicati più precisamente all’Allegato 1 (di seguito, i “Dati Personali”);
- ex art. 28 del Regolamento, il Responsabile del trattamento è designato dal Titolare facoltativamente e, se designato, è individuato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza;
- i compiti affidati al responsabile del trattamento devono essere analiticamente specificati per iscritto dal titolare ed il responsabile del trattamento deve attenersi alle istruzioni impartite dal Titolare, il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza delle stesse;
- la Società ha verificato che il Fornitore, in virtù della propria esperienza, capacità ed affidabilità, è in grado di fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di protezione dei dati personali, ivi compreso il profilo relativo alla sicurezza, così come richiesto dalla Normativa Applicabile (come di seguito definita);
- è intenzione della Società, in qualità di Titolare del trattamento, procedere alla nomina del Fornitore a Responsabile del Trattamento, il quale intende accettare.
Tutto ciò premesso, con il presente atto la Società
Nomina
il Fornitore quale Responsabile del trattamento per i trattamenti di Dati Personali da effettuarsi ai sensi del Contratto, secondo le modalità e nei limiti di seguito specificati.
1. Definizioni
Nel presente atto di nomina (di seguito, l’“Atto”) i termini la cui prima lettera è scritta in carattere maiuscolo hanno lo stesso significato loro attribuito dalla Normativa Applicabile. I seguenti termini hanno il significato di seguito indicato:
“Misure di Sicurezza”, sono le misure intese a proteggere i dati personali dalla distruzione accidentale o illegale o dalla perdita, alterazione, divulgazione o accesso non autorizzato, come previste all’art. 32 del Regolamento;
“Normativa Applicabile”, il Regolamento, il D. Lgs. 30 giugno 2003, n. 196, integrato con le modifiche introdotte dal D. Lgs. 10 agosto 2018, n. 101 (di seguito, il “Codice”), nonché qualsiasi altra normativa sulla protezione dei dati personali applicabile in Italia, già in vigore o che entrerà in vigore successivamente alla data di sottoscrizione del presente Atto, ivi compresi i provvedimenti del Garante per la protezione dei dati personali emanati in attuazione della Normativa Applicabile;
“Sub-fornitori”, le persone fisiche o giuridiche che prestano la propria attività in favore del Fornitore trattando Dati Personali appartenenti alla Società.
2. Obblighi delle Parti
2.1 Obblighi del Fornitore
2.1.1 Finalità del trattamento
Il Fornitore, in qualità di Responsabile del Trattamento, si impegna a:
- trattare i Dati Personali al fine esclusivo di dare esecuzione al Contratto e nei limiti di quanto disposto dallo stesso, attenendosi strettamente alle istruzioni impartite dalla Società;
- rtrattare esclusivamente quei Dati Personali che sono strettamente necessari per dare corretta e piena esecuzione al Contratto o per adempiere ad obblighi di legge;
- fare in modo che i propri dipendenti e Sub-fornitori abbiano accesso a e trattino esclusivamente quei Dati Personali che sono strettamente necessari per dare corretta e piena esecuzione al Contratto o per adempiere ad obblighi di legge;
- trattare i dati personali in modo lecito, secondo correttezza ed in piena osservanza della normativa applicabile.
2.1.2 Misure di sicurezza
Il Fornitore, anche sulla base delle nuove soluzioni rese disponibili dal progresso tecnico e tecnologico, tenendo in considerazione la natura dei dati e le caratteristiche dei trattamenti da effettuare, nonché dello stato dell’arte e dei costi di attuazione, si impegna ad implementare correttamente delle Misure di Sicurezza in modo da minimizzare possibili rischi di distruzione o perdita volontaria o accidentale dei Dati Personali, accesso non autorizzato o trattamento in violazione di legge. La lista aggiornata delle Misure di Sicurezza implementate dal Fornitore può essere richiesta, in qualsiasi momento, contattando il Fornitore attraverso i riferimenti di cui alla Scheda dell’Ordine.
2.1.3 Incaricati
Il Fornitore si impegna a:
- istruire, ai sensi dell’art. 29 del Regolamento, gli Incaricati preposti alle operazioni di trattamento, scegliendoli tra i propri dipendenti che per esperienza, capacità e formazione sono idonei ad assicurare il rispetto della Normativa Applicabile;
- impartire agli Incaricati dettagliate istruzioni operative concernenti le modalità di esecuzione dei trattamenti loro affidati nonché vigilare scrupolosamente sull’esatto adempimento, da parte degli stessi, delle istruzioni ricevute;
- implementare misure fisiche, tecniche ed organizzative atte a far sì che ciascun Incaricato possa avere accesso esclusivamente ai Dati Personali che possono essere trattati in base al proprio profilo di autorizzazione;
- redigere ed aggiornare una lista nominativa degli incaricati, verificando annualmente l’ambito del trattamento consentito ai medesimi.
2.1.4 Diritti degli interessati
Il Fornitore dovrà garantire l’effettivo esercizio dei diritti riconosciuti agli Interessati dalla Normativa Applicabile, impegnandosi a notificare per iscritto e senza ritardo alla Società qualsivoglia richiesta di esercizio di tali diritti formulata da uno degli Interessati, allegando altresì una copia della richiesta.
Il Fornitore si impegna a collaborare con la Società per garantire che le richieste di esercizio dei diritti suddetti, incluse le richieste di opposizione al trattamento, siano soddisfatte entro i tempi e secondo le modalità di legge e, più in generale, per assicurare il pieno rispetto della Normativa Applicabile.
2.1.5 Comunicazione e trasferimento all’estero dei dati
Il Fornitore non potrà esercitare un controllo autonomo sui Dati Personali e si impegna ad astenersi dal diffondere o comunicare detti dati a terze parti, salvo se espressamente previsto dal Contratto o autorizzato dalla Società per iscritto, ed in ogni caso nel rispetto di quanto previsto dall’informativa resa agli interessati e dei consensi da questi eventualmente espressi in relazione alle diverse finalità di trattamento.
2.1.6 Sub-fornitura
A mezzo del presente Atto, la Società conferisce al Fornitore una autorizzazione scritta generale alla designazione di uno o più Sub-Fornitori i cui servizi risultino funzionali all’esecuzione del Contratto. Ai sensi dell’art. 28 comma 2 del Regolamento, il Fornitore informa la Società di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri Sub-fornitori, dando così alla Società l’opportunità di opporsi, per giustificati motivi oggettivi, a tali modifiche.
Al fine di comprovare l’esistenza di tali giustificati motivi, la Società si impegna a sottoporre al Sub-Fornitore avverso il quale intende presentare la propria opposizione un questionario di self-assessment, a mezzo del quale rilevare, per mezzo di criteri oggettivamente valutabili da entrambe le Parti (quali, a titolo meramente esemplificativo e non esaustivo, sistemi di “scoring” o richiami a standard di qualità riconosciuti a livello internazionale o europeo) l’effettiva inidoneità del Sub-Fornitore, in termini di accountability, alla prestazione del servizio oggetto di Sub-fornitura. In caso di opposizione, il Fornitore farà quanto ragionevolmente possibile per proseguire la prestazione dei servizi di cui al Contratto senza avvalersi del Sub-Fornitore la cui variazione non sia stata approvata. Ove sia dimostrata dal Fornitore l’impossibilità oggettiva di proseguire la prestazione dei servizi, la Società potrà recedere dal Contratto, fatti salvi i rimedi di legge e fermo l’obbligo di corrispondere al Fornitore gli importi dovuti sino alla data di cessazione del Contratto.
La Società ha in ogni caso il diritto, previa richiesta da presentarsi per iscritto, di ottenere dal Fornitore la lista degli eventuali Sub-Fornitori da questi designati nel contesto dei trattamenti regolati dall’Atto.
Tutte le previsioni del presente articolo opereranno anche nei confronti dei Sub-Fornitori incaricati da un diverso Sub-Fornitore. Le attività di verifica che interessino eventuali Sub-Fornitori dovranno essere svolte nel rispetto delle regole di accesso e delle politiche di sicurezza dei Sub-Fornitori.
2.2 Dichiarazioni e garanzie del Titolare
2.2.1 La Società dichiara e garantisce che qualsivoglia modalità di raccolta dei dati personali trattati ai sensi del presente Atto:
- avrà luogo a seguito della presentazione agli interessati di un’informativa privacy chiara, semplice da comprendere ma al contempo completa e conforme al Regolamento, (i) facilmente fruibile dagli interessati e che (ii) individui le modalità di raccolta e di utilizzo delle informazioni ottenute;
- offre agli interessati la possibilità di restare esclusi da tale raccolta e trattamento di tali informazioni;
- prevede, quando necessario, l’ottenimento di tutti i consensi degli interessati, cui i dati personali si riferiscono, come richiesto dal Regolamento.
2.2.2 Considerato quanto al precedente articolo 2.2.1 in particolare la Società garantisce e dichiara espressamente che farà in modo che:
- gli interessati dal trattamento rilascino alla Società, ove applicabile, il consenso al trattamento dei propri dati attraverso una manifestazione di volontà libera, specifica, informata e inequivocabile, per ogni finalità di cui ai trattamenti oggetto del presente Atto.
- i dati saranno raccolti in ogni caso ai sensi di una idonea base giuridica, oltre che secondo correttezza e liceità e per fini corrispondenti a quelli per cui vengono trattati ai sensi del presente Atto.
2.2.3 Resta inteso tra le Parti che è onere esclusivo della Società provvedere all’aggiornamento dei testi di informativa messi a disposizione degli interessati cui i Dati Personali si riferiscono. Il Fornitore sarà unicamente responsabile del relativo upload e nel fornire le informazioni eventualmente richieste dalla Società ai fini della redazione di tali testi.
3. Audit
Il Fornitore prende atto del fatto che, in osservanza dell’art. 28 del Regolamento, la Società potrà valutare periodicamente le attività svolte, al fine di verificare il rispetto delle misure organizzative, tecniche e di sicurezza prescritte dalla Normativa Applicabile o impartite dalla Società in qualità di Titolare.
La Società avrà inoltre il diritto di accedere, non più di una volta all’anno, ad uffici, computer e altri sistemi informatici/documenti del Fornitore e dei propri Sub-Fornitori, laddove ciò sia ritenuto necessario per verificare che il Fornitore o il proprio Sub-Fornitore agisca in osservanza degli obblighi pattuiti in virtù del presente Atto. In caso di accesso ai locali del Fornitore o del Sub-Fornitore da parte della Società, questa sarà tenuta a dare al fornitore un preavviso scritto di almeno 15 (quindici) giorni lavorativi.
La Società riconosce ed accetta espressamente che gli eventuali costi di qualsivoglia verifica di cui al presente articolo saranno a proprio esclusivo carico.
Nulla di quanto disposto dal presente Atto presuppone il consenso del Fornitore alla divulgazione alla Società, nonché l’accesso della Società a:
- dati interni contabili o finanziari del Fornitore;
- segreti industriali del Fornitore;
- informazioni che, sulla base di ragionevoli opposizioni presentate dal Fornitore, potrebbero: (A) compromettere la sicurezza di sistemi o uffici del Fornitore; o (B) comportare la violazione degli obblighi del Fornitore di cui alla Normativa Applicabile o degli obblighi di questo in materia di sicurezza e/o riservatezza nei confronti della Società o di terzi; oppure
- informazioni a cui la Società (o eventuali revisori esterni da questa nominati) cerchino di accedere per ragioni estranee al dovere di buona fede nell’adempimento degli obblighi della Società di cui alla Normativa Applicabile.
4. Dichiarazioni e garanzie del Fornitore
Il Fornitore dichiara e garantisce di essere a conoscenza degli obblighi assunti ai sensi della Normativa Applicabile per effetto dell’Atto, nonché di avere la necessaria esperienza, capacità e professionalità per svolgere tale funzione.
Il Fornitore dichiara che il proprio Responsabile della protezione dei dati (RPD o DPO) è contattabile all’indirizzo dpo@motork.io.
5. Corrispettivo
Fermo restando quanto previsto dal Contratto, il Fornitore svolgerà la propria funzione di Responsabile del trattamento dietro il pagamento di un corrispettivo, già incluso nel corrispettivo definito nel Contratto con la Società.
6. Durata
Il presente atto produce i suoi effetti a partire dalla data di validità del Contratto e rimarrà in vigore fino alla data di cessazione del Contratto, indipendentemente dalla causa di detta cessazione.
In qualunque caso di cessazione dell’efficacia del Contratto, il Fornitore provvederà restituire alla Società i Dati Personali in proprio possesso, procedendo alla cancellazione di eventuali copie degli stessi. Su richiesta ed a discrezione totale della Società, il Fornitore dovrà in alternativa cancellare i Dati Personali in proprio possesso, dandone conferma scritta alla Società senza ritardo, salvo che la conservazione dei dati sia richiesta dalla legge.
ALLEGATO 1
SCHEDA DESCRITTIVA DEL TRATTAMENTO
Versione 1.0 del 03/05/2024
Versioni precedenti
1) Natura del Trattamento
La natura del trattamento consiste nella gestione, da parte del Fornitore, dei dati personali raccolti dalla Società tramite il proprio sito, nonché tramite ulteriori properties online e/o offline (a titolo esemplificativo, landing page, social, modulistica, cookie,ecc.)
2) Durata del Trattamento- Il Trattamento durerà per il periodo necessario all’esecuzione degli obblighi contrattuali che il Fornitore è tenuto a rispettare.
I dati personali saranno trattati dal Fornitore per le seguenti finalità:
- Fornitura dei prodotti e/o dei servizi acquistati dalla Società a valle della sottoscrizione di un Contratto con il Fornitore
Il Fornitore potrà trattare le seguenti categorie di dati personali:
- Dati anagrafici (a titolo meramente esemplificativo e non esaustivo, nome, cognome, sesso, data e luogo di nascita ecc.)
- Dati di contatto (a titolo meramente esemplificativo e non esaustivo, e-mail, numero di telefono, indirizzo, ecc.)
- (Solo per il prodotto GestionaleAuto.com, GestionaleLead e GestionaleWeb) Dati relativi alla richiesta formulata nei confronti della Società (a titolo meramente esemplificativo e non esaustivo, modello di auto di interesse, concessionario di riferimento, richiesta di contatto o preventivo, ecc.)
- (Solo per il prodotto GestionaleLead e GestionaleWeb) Dati relativi all’ordine/acquisto effettuato sul sito della Società
- (Solo per il prodotto GestionaleWeb) Dati di navigazione (a titolo meramente esemplificativo e non esaustivo, IP, Cookie ID, device, ecc.)
- (Solo per il prodotto GestionaleLead) Dati relativi alla mobilità (a titolo meramente esemplificativo e non esaustivo informazioni sul veicolo posseduto, marca preferita, ecc.)
- Clienti della Società
- Clienti Prospect della Società
- Utenti siti della Società
- (Solo per il prodotto GestionaleLead) Dealer/Partner della Società