Contratto per la designazione del responsabile del trattamento
(ex art. 28 GDPR 2016/679)
tra
l’Utente o l’Utente Multitennant, ossia la persona fisica o l’azienda le cui generalità sono meglio circostanziate nel modulo di iscrizione alla piattaforma, disponibile al primo accesso all’app, che chiede di usufruire dei servizi della piattaforma Agriverse; quale Titolare del Trattamento dei dati personali;
e
IoAgri srl, P. IVA Codice Fiscale: 08394680725, Partita IVA: 08394680725, con sede legale in via Corso Vittorio Emanuele II, 143, 70122 Bari (BA), presso Studio GEA Associati, IT; in persona del suo legale rappresentante pro tempore Dott. Vito Sanitate, quale Responsabile del Trattamento (di seguito anche “Responsabile”).
PREMESSO
- che l’art. 4, comma 8, del Regolamento Europeo Privacy UE 2016/679 del 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 04 maggio 2016, definisce il “Responsabile del Trattamento” come la persona fisica o giuridica, l’Autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del Trattamento;
- che l’art. 28 del citato Regolamento dispone che:
- Qualora un trattamento debba essere effettuato per conto del Titolare del Trattamento, quest’ultimo ricorre unicamente a Responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’interessato;
- I trattamenti da parte di un Responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati Membri, che vincoli il Responsabile del Trattamento al Titolare del Trattamento;
- che IoAgri srl fornisce al Titolare del Trattamento dei dati personali l’uso della piattaforma Agriverse, in virtù del contratto di servizi SAAS fra loro stipulato;
RITENUTO
che ai sensi dell’art. 28 Regolamento UE n. 679/2016 IoAgri srl presenta garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate di modo che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato, viene designato dal Titolare quale
RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
per il trattamento di dati personali di seguito riportato insieme alle sue caratteristiche peculiari, quali le sue durata, natura, finalità, il tipo di dati personali e le categorie di interessati:
Trattamento | SW01 – Uso di Agriverse | |
Durata | I dati sono raccolti autonomamente dall’utente e trattati con Agriverse per tutta la durata della licenza d’uso del programma. Agriverse conserverà tali dati per i novanta giorni successivi alla conclusione della licenza e poi li distruggerà definitivamente. Data di inizio del trattamento: 01/01/2021 |
|
Natura | Sistema operativo; Indirizzo IP; Patentino per i trattamenti anticrittogamici; Nominativo, indirizzo o altri elementi di identificazione personale; Dati relativi al rapporto di lavoro; Codice fiscale ed altri numeri di identificazione personale; Dati per la fatturazione; Ruolo ricoperto in azienda; Dati di contatto (numero di telefono, e-mail, ecc.); Azienda per la quale si presta la propria opera; Documento di identità | |
Finalità | Gestione del personale; Gestione della clientela; Gestione dei fornitori | |
Tipo di dati personali | Dati comuni | |
Categorie di interessati | Collaboratori dell’utente; Dipendenti dell’utente; Fornitori dell’utente; Clienti dell’utente |
designazione che IoAgri srl accetta espressamente.
Le costituite parti, quindi, convengono quanto segue:
1. Premesse
Le premesse e la formula di designazione del Responsabile del trattamento dei dati costituiscono parte integrante del presente atto.
2. Disposizioni e principi generali da osservare
2.1) Ogni trattamento di dati personali deve avvenire nel rispetto primario dei seguenti principi di ordine generale.
2.2) Ai sensi dell’art. 5 del Regolamento UE 2016/679, i dati personali devono essere:
2.2.1) trattati in modo lecito, corretto e trasparente nei confronti dell’interessato (principi di liceità, correttezza e trasparenza);
2.2.2) raccolti per finalità determinate, esplicite e legittime e oggetto di trattamenti conformi a tali finalità. Un ulteriore trattamento dei dati personali ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1, considerato incompatibile con le finalità iniziali (principio di limitazione delle finalità);
2.2.3) adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (principio di minimizzazione dei dati);
2.2.4) esatti e, se necessario, devono essere aggiornati. Infatti, il Responsabile si impegna ad adottare tutte le procedure per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati (principio di esattezza dei dati);
2.2.5) conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati e in ossequio alla durata del trattamento stabilita dal Titolare. I dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato (principio di limitazione della conservazione dei dati);
2.2.6) trattati in maniera da garantire la loro sicurezza e protezione mediante misure tecniche e organizzative adeguate al rischio e che li preservino da trattamenti non autorizzati o illeciti, dalla loro perdita o distruzione, anche dovute a negligenza, imprudenza o imperizia o a caso fortuito (principi di integrità e riservatezza dei dati).
3. Obblighi del responsabile del trattamento
3.1) Il Responsabile del trattamento dei dati, ex art. 28 par. 3 Regolamento UE 2016/679, si impegna a:
3.1.1) trattare i dati personali soltanto su istruzioni documentate del Titolare del Trattamento, anche in caso di trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale, salvo che il trattamento dei dati sia svolto nel rispetto di una norma imperativa europea o nazionale cui è soggetto il Responsabile del trattamento. In questa circostanza il Responsabile del Trattamento informa tempestivamente il Titolare del Trattamento dell’obbligo giuridico cui è soggetto prima del trattamento, a meno che la legislazione vieti tale informazione per rilevanti motivi di interesse pubblico;
3.1.2) garantire che le persone autorizzate al trattamento dei dati personali abbiano ricevuto le istruzioni sule operazioni sui dati di loro competenza e si siano impegnate a non comunicarli o a diffonderli a terzi;
3.1.3) assistere il Titolare del trattamento con misure tecniche e organizzative adeguate a soddisfare le richieste degli interessati di esercizio dei loro diritti, tenendo conto della natura del trattamento;
3.1.4) in particolare, qualora pervenga una richiesta di portabilità dei dati personali, il Responsabile si obbliga a fornire al Titolare del trattamento i dati entro 15 giorni dalla comunicazione della richiesta, in formato elettronico ed interoperabile anche da altri sistemi;
3.1.5) assistere il Titolare del trattamento nel garantire il rispetto dell’obbligo di notifica di una violazione dei dati personali (data breach) all’Autorità di controllo di cui all’art. 33 e 34 Regolamento UE 679/2016 (in Italia è l’Autorità Garante per la Protezione dei Dati Personali). Nel caso in cui il Responsabile subisca e/o si accorga di un data breach, dovrà informare il Titolare senza ingiustificato ritardo e comunque entro il termine di 18 ore dal momento in cui ha subito o si è accorto della violazione;
3.1.6) qualora i trattamenti di dati da eseguire possano comportare un qualsiasi rischio per i diritti e le libertà degli interessati, Il Responsabile del trattamento deve assistere il Titolare del trattamento nell’esecuzione della valutazione di impatto (DPIA) sulla protezione dei dati e ad anche nella eventuale e successiva consultazione preventiva (artt. 35, 36 Regolamento UE 2016/679), tenendo conto della natura del trattamento e delle informazioni a sua disposizione.
4. Misure e tecniche organizzative
IoAgri srl
4.1) si impegna ad adottare ogni misura tecnica ed organizzativa adeguata a soddisfare quanto previsto dal Regolamento UE n. 679/2016 e garantire la tutela dei diritti dell’interessato;
4.2) si impegna ad adottare le misure di sicurezza espressamente previste all’art. 32 Reg. UE n. 679/2016, aggiornando i propri sistemi per garantirne l’efficienza nel tempo;
4.3) in particolare, se i trattamenti affidatigli lo richiedono, si impegna a osservare le disposizioni che gli sono impartite dal Titolare per rispettare gli obblighi di informativa e di acquisizione del consenso degli interessati;
4.4) esegue solo i trattamenti previsti dal presente contratto, salvo che non sia soggetto ad altri obblighi di legge.
5. Misure di controllo
IoAgri srl si impegna a comunicare al Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente accordo. Partecipa e si rende disponibile per le attività di revisione, ispezione e audit svolte dal Titolare del trattamento o da altro soggetto da questi incaricato.
6. Sub responsabili e soggetti autorizzati
6.1) Il Responsabile del trattamento potrà designare un altro responsabile del trattamento (c.d. sub responsabile del trattamento) solo previa autorizzazione specifica del Titolare del Trattamento (art. 28 par. 2 e par. 4 Regolamento UE 2016/679).
6.2) In merito ai propri Soggetti Autorizzati al trattamento, il Responsabile deve:
6.2.1) individuare tra i propri dipendenti e/o collaboratori le persone autorizzate al trattamento, designandole tali con atto scritto che dovrà contenere anche le istruzioni a cui devono attenersi;
6.2.2) adoperarsi al fine di rendere effettive le suddette istruzioni, curando in particolare il profilo della riservatezza, della sicurezza di accesso, dell’integrità dei dati e l’osservanza dei principi di carattere generale durante l’esecuzione delle operazioni di trattamento (art. 5 del Regolamento Europeo Privacy UE 2016/679);
6.2.3) stabilire le modalità di accesso ai dati di organizzazione del lavoro dei soggetti autorizzati al trattamento, avendo cura di adottare preventivamente le misure organizzative idonee nel rispetto dei principi di privacy by design e privacy by default.
7. Registri delle attività di trattamento
IoAgri srl, in qualità di Responsabile del trattamento, si impegna a tenere e aggiornare il proprio registro dei trattamenti di cui all’art. 30 Regolamento UE n. 679/2016 nella forma e con i contenuti indicati dalla disposizione citata, ove ne ricorrano gli obblighi di legge.
8. Luogo e durata
8.1) Il trattamento dei dati sarà eseguito presso i locali del Responsabile o presso quelli del Titolare fino alla revoca dell’incarico da parte del Titolare del trattamento o fino alla cessazione del rapporto contrattuale in essere fra le Parti, al quale espressamente si rinvia.
8.2) Al momento della cessazione del presente accordo, il Responsabile del trattamento si impegna, su disposizione del Titolare del trattamento, a cancellare o a restituire tutti i dati personali e a cancellare le copie esistenti, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione di tali dati.
9. Legge applicabile e foro competente
Le parti convengono espressamente di demandare in via esclusiva la soluzione giudiziaria di ogni e qualsiasi controversia nascente o comunque collegata al presente contratto, comprese quelle relative alla sua interpretazione, validità, efficacia, esecuzione e risoluzione, al Foro di Bari.
10. Clausole finali
10.1) Questo atto è stato redatto in virtù di un preciso obbligo di legge e, pertanto, le Parti concordano espressamente che la presente designazione non possa costituire ragione per il pagamento di emolumenti maggiori rispetto a quelli previsti.
10.2) L’eventuale tolleranza manifestata da una parte al momentaneo inadempimento di uno o più obblighi contrattuali convenuti a carico dell’altra, non potrà in alcun modo essere considerata come rinuncia, neppure implicita, ai diritti attribuitile per legge o per contratto.
10.3) L’eventuale nullità e/o inefficacia e/o annullamento di una delle clausole previste o dal contratto di fornitura dei servizi esistente o dal presente atto non ne inficerà la validità di quella delle altre condizioni e pattuizioni in esso riportate.
10.4) Le costituite parti concordano espressamente di far riferimento, per tutto quanto non espressamente previsto dal presente Contratto, alla legislazione vigente ed alle norme dettate dal Codice Civile, dal Regolamento Europeo sulla Protezione dei dati personali 679/16, dal d.lgs. 196/03, c.d. Codice Privacy e s.m.i., dal D.Lgs. 51/2018 Attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016.
10.5) Ogni variazione o modifica al presente atto dovrà essere concordata fra le parti per iscritto.
Bari, 16 novembre 2021
Clausole Vessatorie
Ai sensi e per gli effetti degli artt. 1341 e 1342 c.c. le parti dichiarano di approvare espressamente i seguenti paragrafi del contratto di designazione a Responsabile del Trattamento dei dati delle quali ciascuna Parte dichiara di aver ricevuto copia: art. 3.1.4, 3.1.5, 3.1.6, 4.2, 5, 6, 8.2, 9 e 10.1.