L’azienda UN ALTRO STUDIO S.A.S di Carboni Matteo e C., con sede legale in Via Capo di Lucca 12/A 40126 Bologna (BO) P. IVA 02526551201, nella persona del suo legale rappresentante, in qualità di “Titolare” del trattamento dei dati personali, ai sensi e per gli effetti del GDPR 679/2016. PREMESSO
– che ai sensi dell’art. 4 del GDPR 679/2016 per trattamento dai dati personali si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
– che, tenuto conto dei requisiti di esperienza, competenza e di affidabilità formativa, l’Azienda BITTE S.A.S. di Christian Deligia & c. è stata incaricata del trattamento dei dati relativi alla creazione e gestione operativa del sito web, dei cookie e delle eventuali richieste rivolte alla scrivente per quanto concerne alle informazioni richieste tramite la sezione contatti.
– che, pertanto, risulta opportuno nominare, l’Azienda BITTE S.A.S. di Christian Deligia & c. quale Responsabile del Trattamento dei dati personali concernenti i dipendenti della scrivente il cui trattamento si renda necessario per la gestione delle sessioni formative.
Tutto ciò premesso, con la presente
DESIGNA
BITTE S.A.S. di Christian Deligia & c.
Via Battindarno 159/2
40133 Bologna (BO) P.I. 03174291207
RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI
ossia, secondo la definizione di cui all’art. 4 del GDPR 679/2016, “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”.
Ai fini dell’esecuzione dell’accordo, il Responsabile effettua il trattamento dei seguenti dati, pertinenti e limitati a quanto necessario rispetto alle finalità di creazione e gestione operativa del sito web, dei cookie e delle eventuali richieste rivolte alla scrivente per quanto concerne alle informazioni richieste tramite la sezione contatti, per le quali sono trattati:
Tipologia di Dati | Finalità del Trattamento | Categoria di Interessati | Descrizione dei Trattamenti |
Personali quali l’anagrafica e di contatto (nome, cognome, azienda, indirizzo IP, telefono, mail) | Creazione e gestione del sito web e gestione delle richieste tramite form | Utenti del sito
Potenziali Clienti |
Gestione dei cookie tecnici di navigazione, analisi di accesso al sito tramite di Google Analytics. |
Il Responsabile esterno del trattamento dei dati ha il potere e il dovere di provvedere affinché tutte le operazioni di trattamento informatico e manuale dei dati personali, nei limiti delle proprie competenze e attribuzioni, siano effettuate nel rispetto della normativa vigente e dei regolamenti aziendali in materia di tutela dei dati personali.
Onde consentire al Responsabile di espletare i compiti e le attribuzioni, meglio specificati in seguito, con la presente lettera di nomina vengono fornite una serie di informazioni in materia di privacy, nonché le specifiche istruzioni, ivi incluse quelle previste in ottemperanza al GDPR, per l’assolvimento del compito assegnato.
In particolare, il Responsabile, sebbene non in via esaustiva, avrà i compiti e le attribuzioni di seguito elencate e dunque dovrà: 1. garantire che il trattamento dei dati personali di cui è Titolare del Trattamento la Società e di cui venga a conoscenza con l’attività svolta avvenga in conformità a quanto previsto dalla vigente normativa e dalle presenti istruzioni;
- aggiornare periodicamente l’elenco dei trattamenti dei dati personali e le relative banche dati gestite dall’azienda; tenere, ove applicabile, un registro, come previsto da art. 30 del GDPR, in formato elettronico, di tutte le categorie di attività relative al trattamento svolte per conto della Società;
- nominare per iscritto gli “Incaricati del trattamento” attribuendo i livelli di autorizzazione all’accesso ai dati comunicati dai Responsabili d’area dell’azienda. Il Responsabile del trattamento:
- provvederà a impartire agli Incaricati idonee istruzioni per iscritto circa le modalità di esecuzione delle attività demandate e a vigilare sul rispetto delle istruzioni impartite;
- aggiornerà con cadenza almeno annuale l’individuazione dell’ambito di trattamento consentito ai singoli incaricati e provvederà a mantenere un elenco aggiornato degli incaricati;
- garantirà che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
- programmare e attuare idonee azioni di informazione e formazione degli incaricati nominati;
- mettere in atto, ai sensi dell’art. 32 del GDPR, tutte le misure tecniche ed organizzative necessarie a garantire un livello di sicurezza adeguato al rischio, tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento effettuato in esecuzione del Contratto;
- provvedere affinché vengano rigorosamente adottate tutte le misure idonee a ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati trattati con l’Attività, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità per le quali i dati sono stati raccolti;
- verificare periodicamente lo stato di applicazione del D.lgs. 101/18 e del Regolamento Europeo 16/679, nonché la corretta applicazione, il buon funzionamento dei sistemi e, ai sensi dell’art.32 del GDPR, delle misure adottate per la tutela dei dati personali e la conformità alle indicazioni dell’Autorità Garante e del Titolare del Trattamento;
- tenere i dati personali, trattati in esecuzione del Contratto, separati rispetto a quelli eventualmente trattati per conto di altre terze parti applicando una segregazione fisica e logica, ove possibile;
- garantire la stretta osservanza dell’incarico ricevuto, escludendo qualsiasi trattamento o utilizzo dei dati personali di titolarità della Società non coerente con gli specifici trattamenti svolti in adempimento del Contratto;
- garantire la portabilità dei dati personali trattati in esecuzione del Contratto, ai sensi dell’art. 20 del GDPR, assicurando che gli stessi possano essere trasmessi in un formato strutturato, di uso comune e leggibile da qualsiasi dispositivo automatico; 10. assistere il Titolare del Trattamento per quanto concerne gli obblighi di notifica e ogni altra comunicazione verso il Garante, ove dovute; 11. tenendo conto della natura del trattamento, assistere il Titolare del Trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare del Trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del Regolamento Europeo 2016/679;
- mettere a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalla normativa vigente;
- comunicare al Titolare del Trattamento qualsiasi variazione della situazione oggettiva o delle sue proprie caratteristiche soggettive, tali da compromettere il corretto espletamento dei compiti descritti nella presente;
- provvedere alla nomina del/i proprio/i amministratore/i di sistema, in adempimento a quanto previsto dal provvedimento del Garante della Privacy del 27.11.08, pubblicato in G.U. n. 300 del 24.12.2008, ove ne ricorrano i presupposti, curando, altresì, l’applicazione di tutte le ulteriori prescrizioni contenute nel suddetto provvedimento;
- il Responsabile potrà ricorrere ad altro Responsabile (ulteriore Responsabile del trattamento) per gestire specifiche attività del trattamento. In Particolare i dati potranno essere comunicati a Società collegate, Consulenti del Lavoro, Commercialisti, Avvocati, Associazioni datoriali, Enti e a società di elaborazione dati, per le medesime finalità precedentemente riportate. Su richiesta, il Responsabile si impegna ad informare il Titolare di ogni cambiamento – aggiunta o sostituzione – di altri Responsabili;
- il Responsabile Del Trattamento, si impegna a far sottoscrivere al soggetto terzo un contratto che rechi i medesimi obblighi cui è soggetto il Responsabile. A decorrere dalla definitiva applicabilità del GDPR tale obbligo di nomina incomberà direttamente sul responsabile ai sensi dell’art. 28,4 del GDPR. Il Responsabile manterrà comunque piena responsabilità nei confronti della Società per lo svolgimento dell’Attività;
- informare il Titolare del Trattamento senza ingiustificato ritardo e comunque non oltre le 72 ore dal momento in cui ne è venuto a conoscenza (art. 33 del GDPR), eventuali violazioni dei dati personali (data breach) adottando, di concerto con lo stesso, nuove misure di sicurezza atte a circoscrivere gli effetti negativi dell’evento e a ripristinare la situazione precedente;
- Predisporre e aggiornare un registro che dettagli, in caso di eventuali data breach, la natura delle violazioni, gli interessati coinvolti, le possibili conseguenze e le nuove misure di sicurezza implementate;
- supportare il Titolare del Trattamento durante la stesura della valutazione dell’impatto (ove prevista) dei trattamenti previsti sulla protezione dei dati personali, nei casi in cui un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
- supportare il Titolare del Trattamento durante le fasi di consultazione con l’autorità di controllo, qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento possa presentare un rischio elevato in assenza di misure adottate dal Titolare del Trattamento per attenuare il rischio;
- ottemperare tempestivamente alle eventuali richieste inoltrate dal Titolare del Trattamento al fine di rendere conforme il trattamento dei dati posto in essere in esecuzione del Contratto, agli eventuali provvedimenti emessi dal Garante Privacy in materia di trattamento di dati personali;
- avvertire prontamente la Società, entro tre (3) giorni lavorativi, in merito alle eventuali richieste degli interessati che dovessero pervenire al Responsabile, inviando copia delle istanze ricevute all’indirizzo e-mail: mail@unaltrostudio.it e collaborare al fine di garantire il pieno esercizio da parte degli interessati di tutti i diritti previsti dal Reg.UE 16/679;
- avvisare immediatamente, e comunque entro tre (3) giorni lavorativi, il Titolare del Trattamento di qualsiasi richiesta o comunicazione da parte dell’Autorità Garante o di quella Giudiziaria o di Pubblica Sicurezza eventualmente ricevuta, inviando copia delle istanze all’indirizzo e-mail: mail@unaltrostudio.it per concordare congiuntamente il riscontro.
Resta inteso che, in caso di cessazione del rapporto intercorrente con la nostra Società per qualsivoglia motivo e/ o ragione, cesserà automaticamente anche la presente nomina, con obbligo di restituzione della documentazione inerente la nostra Società e/ o eventuale sua distruzione a nostra richiesta (fatti salvi gli obblighi di conservazione imposti per Legge).
Il Titolare del Trattamento si riserva la facoltà di effettuare, nei modi ritenuti più opportuni, anche tramite l’invio presso i locali del Responsabile di propri funzionari a ciò delegati, ovvero tramite l’invio di apposite check list, verifiche tese a vigilare sulla puntuale osservanza delle disposizioni di legge (con particolare riferimento a quelle relative alle misure minime di sicurezza) e delle presenti istruzioni.
Resta inteso che il Responsabile del trattamento non sarà ritenuto responsabile di eventi negativi causati da un utilizzo errato degli strumenti elettronici ed informatici forniti al Titolare del Trattamento, in particolar modo per tutto ciò che concerne il sistema informativo aziendale del Titolare del Trattamento.
Il Titolare del Trattamento si riserva, altresì, ove ne ravvisasse la necessità, di integrare ed adeguare di volta in volta le presenti istruzioni.
La presente nomina è consegnata al Responsabile esterno del trattamento dei dati in duplice copia con preghiera di restituirne un esemplare datato e sottoscritto per accettazione.