Il presente documento, comprese le premesse, costituisce parte integrante e sostanziale dell’incarico tra Marianna Miola s.r.l., con sede legale in Padova, Via Altinate 126, in persona del legale rappresentante pro tempore sig.ra Marianna Miola (di seguito “Cliente”), e xxxxxxxx, c.f. xxxxxxxx, con sede/Studio in xxxxxxxxxxx (di seguito “Consulente”),
di seguito, insieme, indicate congiuntamente come “le Parti” o “i Titolari”.
PREMESSO CHE
Le Parti stipulano e convengono quanto segue.
Ai fini della presente integrazione, i termini successivamente indicati avranno il seguente significato, con la precisazione che i termini definiti al singolare si intendono riferiti anche al plurale, e viceversa:
“Trattamento”: qualunque operazione o complesso di operazioni, svolte con o senza l’ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati personali.
“Dato personale”: qualsiasi informazione riguardante una persona fisica identificata o identificabile (di seguito “Interessato”) direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
“Dato sensibile o particolare”: qualunque dato personale idoneo a rivelare l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché dati genetici o biometrici intesi a identificare univocamente l’interessato, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
“Dato giudiziario”: qualunque dato che possa rivelare l'esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.
“Titolare del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.
“Responsabile del trattamento”: la persona fisica esterna o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.
“Delegato Privacy”: la persona fisica, individuata all’interno dell’organizzazione del Titolare, che possiede l’esperienza, la capacità, l’affidabilità e fornisce idonee garanzie del pieno rispetto delle disposizioni vigenti in materia di Trattamento dati, ivi compreso il profilo della sicurezza in relazione alle finalità e modalità delle operazioni di Trattamento.
“Amministratore di Sistema”: figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti.
“Incaricato/Persona autorizzata al trattamento”: la persona fisica autorizzata a compiere operazioni di trattamento dal Titolare o dal Delegato Privacy.
“Consenso dell'interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.
“Autorità di controllo”: l'autorità pubblica indipendente istituita da uno Stato membro, interessata dal Trattamento di Dati personali in quanto il Titolare del trattamento è stabilito sul territorio dello Stato membro di tale Autorità di controllo.
"Violazione di dati personali": qualsiasi violazione della sicurezza che comporta anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai Dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico.
Ciascuna delle Parti si impegna, in qualità di Titolare del trattamento, ad effettuare il trattamento dei Dati, in forma manuale e/o con modalità informatiche, nell’osservanza delle misure sicurezza descritte all’Art. 9, con l’unica finalità di dare esecuzione alle prestazioni contrattuali poste a proprio carico.
La presente integrazione del Mandato sarà efficace dal giorno della sua sottoscrizione e resterà valida sino a revoca o cessazione per qualsiasi ragione del Mandato, o sino alla cessazione dei servizi del Mandato e/o di ogni attività di trattamento dei Dati descritte nel prosieguo.
La presente integrazione non prevede alcun compenso aggiuntivo a favore del Consulente rispetto a quello già pattuito in Mandato.
Il Consulente, per il corretto svolgimento del Mandato, tratterà i dati anagrafici identificativi, c.d. “personali” (nome, cognome, codice fiscale, ecc.) del Cliente e, qualora si ravvisasse la necessità, dei suoi dipendenti e/o collaboratori.
Per altro verso, l’eventuale trasferimento e conseguente trattamento dei dati sensibili (o particolari) e giudiziari dei dipendenti è consentito per assolvere gli obblighi ed accertare, esercitare o difendere un diritto della Società.
I Dati trattati sono necessari per l’instaurazione, gestione ed estinzione del rapporto professionale (es. adempimento degli obblighi di consulenza legale in materia contrattualistica, redazione pareri tecnici) e per l’adempimento ad obblighi di legge e regolamenti.
La base legale del trattamento di tali Dati personali per le finalità sopra indicate è l’art. 6, comma 1, lett. b) ed f) del GDPR, ai sensi del quale il trattamento è necessario all'esecuzione di o per adempiere a specifici obblighi di legge.
Ove richiesto, l’eventuale trasferimento dei dati sensibili o giudiziari è consentito ai sensi dell’Autorizzazione Generale del Garante n. 7/2016.
I suddetti trattamenti hanno natura obbligatoria, essendo effettuati in esecuzione di un obbligo contrattuale o di legge e l’eventuale rifiuto di conferimento non consentirebbe il perfezionamento del presente documento.
I Dati verranno trattati in forma manuale su supporti cartacei e/o su supporto magnetico, elettronico o telematico, mediante modalità atte a memorizzare, gestire, registrare, comunicare i dati e qualsiasi altra operazione, così come previsto dall’art. 4 del Codice Privacy e dall’art. 4 del GDPR, mediante strumenti idonei, per quanto di ragione e allo stato della tecnica, a garantire la sicurezza e la riservatezza e mediante l’utilizzo di idonee procedure dirette a prevenire perdite di dati, usi illeciti o non corretti e accessi non autorizzati.
I Titolari hanno accesso, utilizzano, trattano, archiviano e memorizzano le informazioni personali raccolte esclusivamente per le finalità indicate nel presente documento. I Dati del Cliente che vengono raccolti non sono soggetti a diffusione.
I Dati sono conservati conformemente per la durata necessaria a conseguire le finalità per le quali i dati sono stati raccolti e poi trattati, compresi i periodi di conservazione dei dati richiesti per l’espletamento degli obblighi di legge.
In particolare, il Consulente conserva i documenti, i dati e le informazioni utili a prevenire individuare o accertare eventuali attività di riciclaggio o finanziamento del terrorismo, all’interno del singolo fascicolo della pratica, ai sensi D. Lgs. n. 90/17. Decorso tale termine di conservazione, i dati saranno distrutti o resi anonimi.
Il Consulente dovrà, in particolare, effettuare i servizi previsti dal Mandato nel rispetto delle prescrizioni dettate dal Codice Privacy e dal GDPR e attenendosi alle indicazioni previste nella presente integrazione e a quelle eventualmente comunicate dal Cliente.
Il Consulente dovrà provvedere all’aggiornamento, modifica, rettifica e cancellazione dei Dati qualora ciò sia necessario in relazione alle finalità del trattamento.
Il Consulente dovrà altresì curare la conservazione dei Dati in conformità a quanto previsto dall’art. 11 Codice Privacy e art. 5 del GDPR, e in generale, nel rispetto dei tempi e della modalità imposte dalla normativa vigente.
Le Parti si impegnano ad individuare ed adottare le misure di sicurezza e organizzative adeguate previste dalla normativa Privacy applicabile, e in particolare dall’articolo 32 GDPR:
Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l'adeguato livello di sicurezza, si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Il Consulente è responsabile nei confronti del Cliente in caso di disservizi e perdite dei Dati trasmessi con il Mandato in caso di mancata attuazione delle misure di sicurezza o per colpa grave o comportamento doloso nel trattamento dei dati.
Le Parti si impegnano a mantenere riservate le condizioni previste in tale integrazione del Mandato, nonché qualsiasi altra informazione esplicitamente definita come “riservata” e fornita in base al suddetto accordo. Queste informazioni devono intendersi confidenziali e non potranno essere rivelate, oralmente o per iscritto, dal Consulente a terzi senza il previo consenso scritto del Cliente. Il vincolo di riservatezza continuerà ad avere valore finché le informazioni riservate non diventino di pubblico dominio.
Il Consulente si impegna a proteggere i Dati trattati di pertinenza del Cliente, con cui verrà a contatto in virtù dell’erogazione dei servizi indicati nel Mandato, impiegando l’ordinaria diligenza.
Le Parti garantiscono, ai sensi dell'art. 7 del Codice Privacy e degli artt. 15 e seguenti del GDPR, il rispetto dei diritti degli Interessati. In particolare questi ultimi potranno:
Si precisa che l’esercizio di questi diritti non deve pregiudicare e/o ledere i diritti e le libertà altrui.
Salvo quanto espressamente previsto all’ Art. 7, al termine dell'esecuzione delle operazioni di trattamento dei Dati personali necessarie per adempiere alle obbligazioni assunte con il Mandato, ovvero in caso di revoca, il Consulente si impegna ad interrompere ogni operazione di trattamento dei Dati.
Su richiesta del Cliente, Il Consulente provvederà alla restituzione dei Dati da lui forniti e, conseguentemente, alla cancellazione degli stessi in tempi adeguati e comunque non oltre i 60 giorni dalla richiesta, fatte salve quelle informazioni per cui la legge imponga un periodo di conservazione maggiore o vi sia in ogni caso una base legittima di conservazione.
Il Cliente si riserva, ove ne ravvisasse la necessità, la facoltà di integrare ed adeguare, tempo per tempo, le disposizioni qui esposte, anche in ottemperanza alle evoluzioni normative in materia di trattamento dei Dati: a tal fine, potrà modificare l’elenco dei Dati trattati e delle operazioni di Trattamento, integrandoli con gli eventuali Dati e le operazioni di trattamento ulteriori affidate al Consulente.
PADOVA, ________________
FIRMA
_____________________
