ATTO DI NOMINA DEL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
Ai sensi dell’art. 28 del Regolamento UE 2016/679 (GDPR)
L’ utente licenziatario, in qualità di Titolare del trattamento dei dati (di seguito anche “Titolare”)
NOMINA
la Società Kama Talented Srls con sede legale in Roma, Piazzale Ardeatino n. 2, C.F. e P.Iva 15541771000, email info@kama-talented.com e pec kamatalentedsrls@pec.it (di seguito anche “Società” o “Kama”), Responsabile del trattamento dei dati (di seguito anche “Responsabile”) effettuato per conto del Titolare, con modalità sia automatizzate, su supporto elettronico o magnetico, sia non automatizzate, su supporto cartaceo, per l’ambito di attribuzioni, competenze e funzioni assegnate in virtù del contratto di licenza con l’utente finale (di seguito anche “contratto” o “EULA”) stipulato tra le parti per la concessione da parte del Responsabile in favore del Titolare di una “licenza di utilizzo della piattaforma software e dei layouts grafici ad essa associati per la durata del piano acquistato, personale, esente da royalty e non esclusiva, al fine di permettere al licenziatario la creazione di una sua presenza online, con la facoltà di accedere e modificare i propri dati in modalità autonoma”.
Premesso che:
– Il Responsabile del trattamento dei dati ha il compito e la responsabilità di adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in esse previsto, nonché le seguenti istruzioni impartite dal Titolare.
– Con il presente documento, Titolare e Responsabile intendono regolare i reciproci rapporti in relazione al trattamento dei dati personali effettuato dal Responsabile per conto del Titolare.
Si conviene e si stipula quanto segue:
- Oggetto.
Oggetto del presente atto è la nomina del Responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento UE 2016/679 (di seguito anche “GDPR”). Vengono inoltre definite le modalità con le quali il Responsabile si impegna ad effettuare per conto del Titolare le operazioni di trattamento dei dati personali.
Nel quadro delle loro relazioni, le parti si impegnano a rispettare la regolamentazione in vigore applicabile al trattamento dei dati personali e, in particolare, il GDPR e il D.Lgs. 196/2003 e s.m.i. (di seguito anche “D.Lgs. 196”).
- Prestazioni del Responsabile del trattamento.
Il trattamento dei dati personali viene svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con il Titolare e per le finalità ad esso relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità.
A tal fine il Responsabile del trattamento tratta i dati personali identificativi comuni e, nel caso, anche particolari ai sensi dell’art. 9 GDPR, relativi ai soggetti clienti o potenziali clienti del Titolare, in quanto dallo stesso raccolti attraverso l’utilizzo del servizio oggetto di EULA.
I dati sono trattati solo per scopi determinati, espliciti e legittimi, secondo i principi di liceità e correttezza ed in modo che siano esatti, aggiornati, completi, pertinenti e non eccedenti rispetto allo scopo perseguito, nonché conservati per un periodo non superiore a quello necessario, in base agli scopi del trattamento e comunque nel rispetto delle istruzioni del Titolare e, in ogni caso, delle disposizioni di legge applicabili.
Il Responsabile del trattamento dei dati personali, operando nell’ambito dei principi sopra ricordati, adempie agli obblighi di sicurezza adottando tutte le preventive misure ritenute idonee al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Il Responsabile del trattamento si impegna ad impartire ai propri eventuali dipendenti e/o collaboratori specifiche istruzioni in merito alle operazioni di trattamento dei dati personali, a vigilare sulla loro puntuale applicazione e, in particolare, sul rispetto dell’obbligo di riservatezza e della dignità della persona dell’interessato, eliminando ogni occasione di impropria conoscibilità dei dati da parte di terzi attaverso misure volte a garantire la sicurezza e l’integrità dei dati trattati.
- Durata della nomina.
La presente nomina ha la medesima durata ed efficacia del contratto stipulato tra il Titolare del trattamento e il Responsabile del trattamento (EULA) e, pertanto, cesserà al momento del completo adempimento o della cessazione del medesimo, qualsiasi ne sia il motivo.
- Sub-Responsabili del trattamento.
Il Responsabile del trattamento può ricorrere ad un altro Responsabile per gestire attività di trattamento specifiche tra quelle oggetto della nomina ricevuta. In tal caso, il Responsabile informa il Titolare del trattamento di ogni eventuale cambiamento riguardante l’aggiunta o la sostituzione di altri Responsabili. Il Titolare del trattamento dispone di un tempo massimo di 30 (trenta) giorni a partire dalla data di ricevimento delle informazioni per opporsi a tali modifiche.
Il Sub-responsabile del trattamento deve rispettare gli stessi obblighi in materia di protezione dei dati contenuti nel contratto e nell’atto di nomina del Responsabile ed, in particolare, quello di fornire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento dei dati soddisfi i requisiti del GDPR e del D.Lgs. 196. Pertanto, il Sub-Responsabile ha il compito e la responsabilità di adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in esse previsto, nonché le istruzioni impartite dal Responsabile, in conformità a quelle dallo stesso ricevute dal Titolare nel proprio atto di nomina. Se il Sub-Responsabile del trattamento non adempie ai propri obblighi in materia di protezione dei dati, il Responsabile del trattamento iniziale conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro Responsabile.
- Assistenza del Responsabile del trattamento nell’attuazione degli obblighi del Titolare del trattamento.
Il Responsabile del trattamento, tenuto conto della natura del trattamento, nella misura in cui ciò sia possibile, assiste il Titolare del trattamento con misure tecniche ed organizzative adeguate nell’espletamento dei propri obblighi di far seguito alle domande di esercizio dei diritti delle persone interessate ai sensi degli artt. 15 e ss. GDPR.
Il Responsabile del trattamento, tenuto conto della natura del trattamento e delle informazioni a sua disposizione, assiste altresì il Titolare del trattamento:
– in caso di violazione di dati personali, fornendo tempestivamente e senza ingiustificato ritardo ogni informazione e/o documentazione utile per permettere al Titolare di ottemperare ai propri obblighi e, in particolare, ove necessario, di notificare la violazione all’Autorità di controllo competente e di farne comunicazione, ove previsto, agli interessati ai sensi degli artt. 33 e 34 GDPR;
– nella realizzazione di valutazioni d’impatto relative alla protezione dei dati, conformemente all’art. 35 GDPR, e nella consultazione preventiva dell’Autorità di controllo competente prevista dall’art 36 GDPR.
- Misure di sicurezza.
Il Responsabile del trattamento adotta misure tecniche ed organizzative adeguate, in conformità a quanto previsto dalla normativa italiana ed europea in materia di protezione dei dati personali e, in particolare, in conformità alle prescrizioni di cui all’art. 32 GDPR.
In ogni caso, il Responsabile, in considerazione della conoscenza maturata quale conseguenza dei progressi tecnici e tecnologici, della natura dei dati personali e delle caratteristiche delle operazioni di trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, anche per le attività di trattamento effettuate da ciascun dipendente e/o collaboratore e da ogni eventuale Sub-Responsabile, si obbliga a mettere in opera misure di sicurezza tecniche ed organizzative che garantiscano livelli di sicurezza adatti al rischio[1] comprendenti, se del caso:
– la pseudonimizzazione e la cifratura dei dati personali;
– la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
– la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
– una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il Responsabile comunicherà prontamente al Titolare eventuali situazioni sopravvenute che, per il mutare delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento delle attività di trattamento affidate.
- Disposizione dei dati al termine delle prestazioni contrattuali.
Al termine della prestazione dei servizi relativi al trattamento dei dati, il Responsabile del trattamento si impegna a restituire tutti i dati a carattere personale al Titolare del trattamento e a cancellare tutte le copie dei dati eventualmente esistenti nella sua disponibilità.
- Controlli e documentazione.
Il Responsabile del trattamento si impegna a consentire al Titolare la verifica del rispetto della presente nomina. Il Responsabile del trattamento si impegna a supervisionare e controllare direttamente i soggetti da esso designati per le operazioni di trattamento.
Il Responsabile nominato, per i motivi su esposti, si impegna a mettere a disposizione del Titolare del trattamento la documentazione e tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente nomina e a contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato.
[1] I server utilizzati da Kama sono forniti da Amazon Web Services (AWS), sono localizzati a Francoforte e utilizzano il sistema firewall di Amazon AWS. La piattaforma software è su base Linux / NGINX / Apache / Node.js.