NOTA IMPORTANTE
Per rendere effettivo questo atto di nomina è necessario che l’organizzazione cliente di REVAS PLATFORM ne dia comunicazione formale con prova di ricevimento a Revas SRL (PEC, lettera raccomandata A/R o spunta nell’area riservata di REVAS PLATFORM).
La comunicazione formale dovrà contenere le seguenti diciture non modificabili:
Trasmetto in allegato ed accetto integralmente il documento denominato “ADDENDUM AL CONTRATTO - Nomina di REVAS SRL a responsabile del trattamento ai fini della normativa privacy (Regolamento UE 2016/679) e regolamentazione del relativo rapporto” con il quale nomino Revas SRL Responsabile del trattamento
Ragione sociale del Titolare del trattamento, nome cognome e firma del rappresentante legale
Ai sensi degli articoli 1341 e 1342 del Codice Civile Italiano, dichiaro di aver letto ed accettare espressamente i seguenti articoli dell’ADDENDUM; PREMESSE 1.Durata; 2.Garanzie; 3.Tipologie di dati e finalità; 4.Misure tecniche ed organizzative; 5.Obblighi del Responsabile; 6.Audit e verifiche; 7.Sub-responsabili; 8.Trasferimento dei dati verso paesi terzi; 9.Gratuità; 10.Legge applicabile e foro competente.
Ragione sociale del Titolare del trattamento, nome cognome e firma del rappresentante legale
Una volta ricevuta detta comunicazione, l’atto è giuridicamente vincolante per le parti. L’invio di un ADDENDUM modificato non produce effetti vincolanti per Revas SRL.
# ADDENDUM AL CONTRATTO
Nomina di REVAS SRL a responsabile del trattamento ai fini della normativa privacy (Regolamento UE 2016/679) e regolamentazione del relativo rapporto
# PREMESSE
REVAS PLATFORM è un software gestionale su piattaforma cloud, costituito da una serie di applicazioni. la cui funzione è quella di aiutare le organizzazioni clienti a gestire la propria attività. REVAS PLATFORM è predisposta per far circolare e più in generale trattare i dati personali necessari alla gestione dell’organizzazione (quali, ad esempio, dati del personale, dati di clienti e fornitori, dati di soci ed associati, e simili).
Revas SRL è la società che realizza, implementa e gestisce REVAS PLATFORM. Poiché REVAS PLATFORM è collocata in server esterni, individuati e gestiti da Revas SRL, quest’ultima tratta per conto dell’organizzazione cliente i dati personali inseriti nel software gestionale.
Il Regolamento UE 2016/679 (“GDPR”) art. 28 prevede che qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest'ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell'interessato.
Spetta comunque all’organizzazione cliente stabilire se Revas SRL si configuri, o meno, responsabile del trattamento. Nel caso in cui intenda nominare Revas SRL responsabile del trattamento, può aderire al presente atto accettandolo senza alcuna modifica. L’atto produce effetti dal momento in cui l’adesione è comunicata a Revas SRL con una delle modalità sopra indicate.
Nel caso in cui l’organizzazione cliente non operi come titolare del trattamento, ma come responsabile del trattamento, può ugualmente avvalersi di Revas SRL come sub-responsabile del trattamento senza modificare l’atto. In tal caso l’espressione “titolare” va intesa come “responsabile” e l’espressione “responsabile” va intesa come “sub-responsabile”.
Premesso quanto sopra
Revas SRL, CF 02497260220 avente sede a Trento, via Sanseverino 95 (di seguito “il Responsabile”) è nominata Responsabile del Trattamento dei dati ai sensi dell’art. 28 del Regolamento UE 2016/679 (“GDPR”) e/o Sub-Responsabile del Trattamento dei dati (nel caso in cui l’organizzazione cliente si configuri come responsabile del trattamento).
Il rapporto tra il Titolare ed il Responsabile è regolato come segue.
# 1. Durata
La nomina ha effetto per tutta la durata del contratto di licenza ed utilizzo di REVAS PLATFORM e fino a definitiva restituzione dei dati da parte del Responsabile. Qualora il Responsabile, per ragioni di tutela propria o di terzi, trattenga in parte o in tutto i dati o una copia di questi, la nomina continua a produrre effetto. La nomina è sempre revocabile da parte del Titolare con con comunicazione unilaterale ad effetto immediato.
# 2. Garanzie
Il Responsabile dichiara di avere piena conoscenza del contenuto e degli obblighi nascenti dal GDPR e dalla normativa comunitaria e nazionale per la protezione dei dati personali. Il Responsabile dichiara di avere al suo interno una struttura preposta all’organizzazione della protezione dei dati avente competenza ed esperienza in tal senso. Il Responsabile inoltre ha nominato al suo interno un Responsabile della Protezione dei Dati (DPO) contattabile da parte del titolare all’indirizzo e-mail dpo@revas.io
# 3. Tipologie di dati e finalità
Il Titolare affida al Responsabile le seguenti tipologie di dati: username, immagine, appartenenza dell'interessato all'organizzazione, opinioni, dati anagrafici, di stabilimento e di contatto, dati relativi alle attività organizzative (versamento quote associative, partecipazione ad iniziative, ecc.), altri dati individuali (anche sensibili) necessari alla gestione del relativo profilo nell'organizzazione, dati relativi ai servizi ricevuti, dati relativi alle operazioni eseguite nella piattaforma, dati relativi alle attività poste in essere al di fuori della piattaforma ed in essa registrate nell'interesse dell'organizzazione, ruolo e privilegi degli utenti nell'ambito dell'organizzazione, username degli utenti, altri dati (anche sensibili) necessari in relazione al tipo di organizzazione ed ai requisiti che l'organizzazione stabilisce per l'ammissione, altri dati (anche sensibili) necessari ad assumere la decisione di espulsione.
# I dati sono affidati allo scopo di perseguire le seguenti finalità:
- gestire l'operatività delle organizzazioni tramite gli interventi dei collaboratori,
- verificare e controllare l'operato dei collaboratori (da parte delle organizzazioni),
- permettere alle organizzazioni di verificare l'identità di chi opera, costituire l'ambiente virtuale all'interno del quale opera l'organizzazione,
- permettere all'organizzazione di individuare ed autorizzare gli utenti ad operare nel suo interno,
- condividere all'interno di una organizzazione i nominativi (username) dei soggetti che vi aderiscono ed eventualmente i rispettivi ruoli allo scopo di facilitare la comunicazione interna e la trasparenza,
- condivisione di informazioni e documenti all'interno dell'organizzazione,
- coinvolgimento dei soggetti nell'attività organizzativa,
- registrazione degli eventi a scopo storico organizzativo o documentale,
- gestione delle scadenze formali soggette a rinnovo (es. tesseramento associati),
- gestione delle pratiche di candidatura nuovi soci o associati, gestione delle espulsioni e dei recessi di soci o associati,
- convocazioni di assemblee o altre iniziative sociali,
- comunicazione alle autorità pubbliche quando obbligatoria,
- estrazione di dati statistici
# 4. Misure tecniche ed organizzative
La sintesi delle misure tecniche ed organizzative adottate dal Responsabile è contenuta nei documenti “Scheda Tecnica di Sistema” e “Misure organizzative di protezione”.
# 5. Obblighi del Responsabile
In adempimento dell’incarico di Responsabile, lo stesso è vincolato ai seguenti obblighi.
a. Istruzioni impartite dal Titolare. l Titolare può impartire in qualsiasi momento istruzioni scritte in merito al trattamento dei dati personali da parte del Responsabile, ferme restando le misure tecniche ed organizzative concordate. Il rispetto delle istruzioni scritte è parte integrante degli obblighi di cui al presente contratto. Non sono vincolanti per il Responsabile le eventuali istruzioni contrarie alla legge, o che comportino maggiori oneri o l’implementazione dei livelli di sicurezza, se non concordati.
b. Mantenimento delle misure tecniche ed organizzative. Le misure tecniche ed organizzative adottate dal Responsabile sono mantenute, verificate ed implementate a sua cura e spese. L’implementazione deve tenere conto dell’evoluzione del contesto normativo, del progresso tecnico/ tecnologico, dell’esperienza maturata, delle criticità emerse in sede di audit / verifica, delle eventuali violazioni di dati accertate, delle nuove minacce alla sicurezza dei dati provenienti da esperienza diretta o fonti di cronaca. Il Responsabile può, sulla base della sua competente valutazione, eliminare delle misure tecniche ed organizzative in precedenza adottate ed eventualmente sostituirle con altre, a condizione che il livello generale di protezione sia mantenuto o migliorato. Il Responsabile mette a disposizione del Titolare una versione sempre aggiornata delle misure adottate.
c. Tenuta del registro dei trattamenti. Il Responsabile predispone e tiene aggiornato il registro dei trattamenti in adempimento dell’art. 30 del GDPR.
d. Nomina e formazione delle persone autorizzate. Il Responsabile tratta i dati per conto del Titolare avvalendosi di personale interno alla propria organizzazione tenuto alla riservatezza (per effetto del contratto di lavoro o di altro vincolo contrattuale), autorizzato al trattamento di dati personali ai sensi di legge ed a tal fine adeguatamente formato. Nel caso affidi il trattamento dei dati a soggetti esterni all’organizzazione, vincola gli stessi contrattualmente al rispetto di requisiti analoghi.
e. Segnalazione tempestiva data breach. Il Responsabile è tenuto ad informare immediatamente il Titolare, e comunque non oltre il termine di 48 ore (inclusi i giorni festivi e non lavorativi) di qualsiasi caso accertato o fortemente sospetto di violazione di dati personali come definita dall’art. 4 GDPR. L’informazione deve essere fatta tramite invio di comunicazione di posta elettronica con evidenza di urgenza al Titolare. L’informazione deve indicare tutti i dati disponibili in relazione alla violazione ed essere aggiornata in presenza di nuove informazioni.
f. Cancellazione dei dati. Al termine della collaborazione commerciale tra il Titolare ed il Responsabile del trattamento, da qualunque causa sia esso determinato, il Responsabile è tenuto a consegnare al titolare una copia completa dei dati trattati (personali e non) e cancellare irreversibilmente tutti i dati in suo possesso. E’ comunque consentita la conservazione dei dati e documenti necessari a tutelare il Responsabile da eventuali pretese (in sede civile, penale ed amministrativa) del Titolare o di terzi fino.
g. Valutazione di impatto privacy. Il Responsabile è tenuto a fornire al Titolare la collaborazione richiesta, sotto forma di informazioni, documenti ed attività operative, per quanto di sua competenza, al fine di consentire allo stesso di effettuare le valutazioni di impatto previste dalla legge (art. 35 GDPR). Detta documentazione è resa disponibile a richiesta del Titolare.
h. Esercizio dei diritti dell’interessato. Il Responsabile supporta e agevola, per quanto in suo potere, il Titolare nel garantire all’interessato l’esercizio dei suoi diritti relativamente ai dati personali trattati.
i. Portabilità. Su richiesta del Titolare, i dati personali trattati dal Responsabile sono trasmessi in formato compatibile con il requisito di portabilità previsto dall’art. 20 GDPR.
# 6. Audit e verifiche
Il Titolare è autorizzato ad effettuare audit e verifiche presso il Responsabile allo scopo di accertare il rispetto della legge e degli obblighi previsti dal presente contratto. Gli audit possono essere disposti in qualsiasi momento, salvo adeguato preavviso.
In occasione di audit e verifiche, il Responsabile è tenuto a mettere a disposizione del personale competente che possa assistere l’auditor o il verificatore nella sua attività.
La documentazione e le informazioni comprovanti la correttezza degli adempimenti sono messi a disposizione a semplice richiesta dell’auditor o verificatore.
È in ogni caso garantito tempestivo supporto da parte del Responsabile a favore del Titolare in presenza di attività ispettive presso quest’ultimo da parte dell’autorità di controllo o altra autorità pubblica. Il Responsabile può addebitare al Titolare i costi sostenuti per permettere l’esecuzione delle attività di audit e per l’assistenza data in sede di verifica.
# 7. Sub-responsabili
Il Responsabile può nominare sub-responsabili a condizione che ne dia comunicazione al Titolare. La comunicazione è resa attraverso la messa a disposizione dell’elenco aggiornato dei sub-responsabili. In ogni caso, il responsabile è tenuto a garantire che i sub-responsabili rispettino la legge, il presente contratto e successivi aggiornamenti. Poiché i sub-responsabili individuati sono necessari a garantire il corretto funzionamento di REVAS PLATFORM, non è consentito al titolare rifiutare la nomina di un sub-responsabile e/o richiederne la rimozione.
# 8. Trasferimento dei dati verso paesi terzi
Il Responsabile può trasferire verso paesi terzi (non rientranti nell’UE) dati personali trattati per conto del titolare del trattamento. Il trasferimento può avvenire solo in presenza di uno dei requisiti previsti agli art. da 44 a 49 GDPR.
# 9. Gratuità
In generale, il presente contratto non comporta alcun onere aggiuntivo in capo al Titolare. Tuttavia, il Responsabile può addebitare i costi (anche interni) ed oneri sostenuti per l’assistenza agli auditors, il supporto in caso di verifica e ogni altra attività che richieda un intervento straordinario del Responsabile stesso e/o di sub-responsabili e che non sia causata da inadempimenti del Responsabile.
# 10. Legge applicabile e foro competente
Il presente atto è assoggettato alla normativa UE in materia di protezione dei dati e, in particolare, al Regolamento UE 2016/679 (General Data Protection Regulation), ed in subordine regolato dalla legge della Repubblica Italiana.
Ogni questione inerente la validità e l’applicazione del presente atto o comunque alla nomina di Revas SRL a responsabile del trattamento è demandata al giudice del foro di Trento (Italia). Tuttavia, se il rapporto giuridico sottostante prevede la giurisdizione di un diverso giudice dell’ordinamento Italiano ed il contenzioso riguardante il rapporto giuridico sottostante dovesse coinvolgere, in via secondaria, anche il presente contratto, nel caso specifico anche il presente contratto sarà assoggettato alla giurisdizione del rapporto giuridico sottostante
# Elenco aggiornamenti:
- 09 luglio 2020