ita
Sei un Hotel?

Contratto con il responsabile del trattamento ex art. 28 GDPR

(DATA PROCESSING AGREEMENT)

Il Cliente, come dettagliatamente identificato in calce al presente accordo, in qualità di titolare del trattamento (in seguito, “Titolare”),

E

Blastness S.r.l., con sede legale in Milano, Piazza Castello n. 26 – 20121, C.F. e P.IVA 01195440118, in persona del legale rappresentante pro tempore, in qualità di Responsabile esterno del trattamento dei dati personali (in seguito, “Blastness”)

PREMESSO CHE

A. Fra il Titolare e Blastness esiste un contratto avente ad oggetto la fornitura da parte di Blastness in favore del Titolare dei servizi meglio delineati all’interno del contratto medesimo (di seguito, i “Servizi”) e del quale il presente accordo costituisce parte integrante e sostanziale.
B. Nell’ambito dei Servizi citati, Blastness potrà svolgere le attività di trattamento di dati personali dettagliatamente descritte all’Allegato A (“Attività di Trattamento”).
C. La fornitura dei Servizi da parte di Blastness, comporta lo svolgimento di attività che potrebbero avere rilevanza ai fini della tutela dei dati personali.
D. Blastness dichiara di possedere esperienza, competenze tecniche e risorse che gli consentono di mettere in atto le Misure di Sicurezza disponibili alla pagina https://media.blastness.info/796/documents/security-measures.pdf (“Misure di Sicurezza”), in quanto atte a garantire la conformità alla normativa in materia di tutela dei dati personali e la tutela degli interessati;
E. Le fattispecie di cui sopra integrano fattispecie rilevanti ai sensi del Regolamento UE 2016/679 (di seguito, “GDPR”) e della normativa, anche nazionale, in tema di protezione dei dati personali per tempo applicabile (in seguito, “Normativa Privacy”) e, pertanto, si rende necessario disciplinare il rapporto intercorrente fra le parti prevedendo gli specifichi compiti e le istruzioni nei confronti del soggetto incaricato;
F. Con il presente accordo, il Titolare, come sopra individuato e legalmente rappresentato dal sottoscrittore in calce, ai sensi dell’art. 28 GDPR e della Normativa Privacy e in considerazione della sua esperienza, capacità ed affidabilità intende nominare Blastness S.r.l. quale responsabile esterno del trattamento dei Dati a cui ha accesso nello svolgimento dei Servizi e disciplinare gli specifici obblighi a suo carico (in seguito, “Accordo”).

Tutto ciò premesso, le Parti convengono e stipulano quanto segue.

1. Premesse e Allegati

1.1. Le premesse e gli allegati costituiscono parte integrante e sostanziale del presente Accordo.

2. Obblighi di Blastness

2.1. Fatti salvi gli altri obblighi previsti dalle disposizioni di legge e regolamentari applicabili, Blastness è obbligato a:
2.1.1. effettuare le sole attività di trattamento dei Dati Personali strettamente necessarie alla fornitura dei Servizi, per mezzo di personale incaricato, formato ed autorizzato al trattamento;
2.1.2. effettuare dette attività di trattamento dei Dati Personali nel rispetto delle prescrizioni dettate dalla Normativa Privacy, delle istruzioni generali contenute nel presente Accordo e a quelle eventualmente comunicate dal Titolare. Laddove le istruzioni comunicate dal Titolare e/o la loro integrazione, modificazione o riduzione dovessero comportare costi aggiuntivi a carico di Blastness, il Titolare riconosce e accetta che tutti i costi derivanti, direttamente o indirettamente, dall’adeguamento di Blastness a dette istruzioni sono ad esclusivo carico del Titolare.

3. Nomina del personale incaricato al trattamento

3.1. Blastness si impegna ad individuare e istruire i soggetti autorizzati e incaricati del trattamento impartendo agli stessi le istruzioni riguardo il rispetto delle misure di sicurezza adottate e consentendo l’accesso dei medesimi ai soli Dati Personali la cui conoscenza sia strettamente necessaria per adempiere alle mansioni loro assegnate inerenti ai Servizi.
3.2. Blastness si impegna, altresì, ad individuare gli amministratori di sistema, ove necessario, e a nominarli per iscritto adempiendo a tutti i requisiti previsti dal Provvedimento del Garante Privacy del 27 novembre 2008.

4. Adozione di misure di sicurezza

4.1. Blastness si impegna, ai sensi dell’art. 28, par. 3, lett. f), GDPR, ad assistere il Titolare, tenuto conto della natura del trattamento e delle informazioni a disposizione di Blastness, nel garantire il rispetto dell’obbligo di cui all’art. 32 del GDPR consistente nell’adozione di misure di sicurezza tecniche ed organizzative adeguate a garantire un livello di sicurezza adeguato al rischio.
4.2. In particolare, Blastness, limitatamente al perimetro di propria competenza e pertinenza, si impegna ad implementare e mantenere a proprie spese le Misure di Sicurezza riportate nell’Allegato B.
4.3. Le modifiche delle Misure di Sicurezza di cui all’Allegato B necessarie a causa di variazioni e aggiornamenti della Normativa Privacy e/o a causa di mutamenti della tipologia e natura dei dati personali oggetto di trattamento, devono essere adottate ed implementate da Blastness e/o dei suoi eventuali Sub-Responsabili del trattamento senza alcun onere o spesa a carico del Titolare. In tutti gli altri casi, ogniqualvolta il Titolare richieda a Blastness l’adozione di misure di sicurezza ulteriori ed eccedenti rispetto a quanto previsto nell’Allegato B, il Titolare si impegna a supportare anche economicamente Blastness nelle operazioni necessarie per lo sviluppo, l’implementazione ed il mantenimento, assumendosi anche la percentuale dei costi che sarà di volta in volta negoziata con Blastness.

5. Obbligo di notifica di una violazione dei dati personali (c.d. Personal Data Breach)

5.1. Blastness ha l’obbligo di notificare al Titolare qualsiasi violazione delle misure di sicurezza adottate per la protezione dei dati e delle informazioni che comporti anche accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali e alle informazioni trasmesse, memorizzate o comunque trattate, senza ingiustificato ritardo e comunque non oltre 48 ore dall’accadimento o nel caso dalla scoperta dell’evento.

6. Supporto nello svolgimento delle valutazioni di impatto (c.d. DPIA) e nelle consultazioni preventive

6.1. In caso di trattamenti di cui all’art. 35 del GDPR, Blastness deve supportare, per quanto di propria competenza, il Titolare nell’effettuare apposita valutazione dell’impatto di detti trattamenti sulle libertà e i diritti degli interessati, tenendo conto dei rischi noti o evidenziabili e delle misure tecniche e organizzative (anche di sicurezza) da adottare per mitigare tali rischi.
6.2. Se necessario, all’esito di tale valutazione di impatto, Blastness deve supportare il Titolare anche nelle attività di consultazione dell’autorità di controllo ai sensi dell’art. 36 del GDPR.

7. Designazione di Sub-Responsabili del trattamento

7.1. Il Titolare conferisce a Blastness autorizzazione generale ad avvalersi di soggetti esterni per l’espletamento dei Servizi quali Sub-Responsabili del trattamento.
7.2. In tal caso, Blastness si impegna ad informare il Titolare di eventuali aggiunte o sostituzioni dei Sub-Responsabili del trattamento e a consentire al Titolare di opporsi a tali aggiunte o sostituzioni. In particolare, Blastness è tenuto a:
a) selezionare detti soggetti tra coloro che abbiano la necessaria competenza ed esperienza tecnica;
b) informare il Titolare della volontà di avvalersi di un Sub-Responsabile del trattamento per l’esecuzione di parte dei Servizi;
c) in caso di mancata opposizione del Titolare nei 2 (due) giorni lavorativi successivi alla comunicazione al Titolare di cui alla lettera
b) che precede, nominare il soggetto indicato quale Sub-Responsabile del trattamento impartendo per iscritto istruzioni per il trattamento dei Dati Personali analoghe a quelle impartite dal Titolare a Blastness.
La lista aggiornata dei Sub-Responsabili del trattamento è disponibile alla pagina https://media.blastness.info/796/documents/sub-processors-2023--.pdf
7.3. Qualora gli eventuali Sub-Responsabili del trattamento siano situati in un paesi al di fuori dello Spazio Economico Europeo, Blastness si impegna ad effettuare il trasferimento solo previa sottoscrizione con i sub-responsabili delle Standard Contractual Clauses adottate dalla Commissione Europea e previa verifica che il soggetto che importa i Dati Personali si trovi nella posizione giuridica di poter garantire il rispetto di dette Standard Contractual Clauses non essendo soggetto a disposizioni e/o prassi di legge in contrasto con le stesse. Resta inteso che, laddove a Blastness sia richiesta da Titolare l’implementazione di cookie o di altri sistemi di tracciamento che comportano un trasferimento di Dati Personali al di fuori dello Spazio Economico Europeo, viene esclusa qualunque responsabilità in capo a Blastness con riguardo al conseguente trasferimento dei Dati Personali.

8. Esercizio dei diritti dell’interessato
8.1. Blastness si impegna a collaborare con il Titolare nel rispondere alle richieste di esercizio dei diritti da parte degli interessati entro i termini e con le modalità previste dalla normativa Privacy. A tal proposito, Blastness assicura sin d’ora che ottempererà alle richieste di esercizio dei diritti da parte degli interessati, provvedendo – a seconda dei casi – a modificare, rettificare, cancellare o limitare i Dati Personali.
8.2. Laddove però le richieste di esercizio dei diritti siano esercitate dagli interessati direttamente nei confronti di Blastness, Blastness comunicherà agli interessati la necessità di indirizzare la propria richiesta direttamente al Titolare. In ogni caso il Titolare sarà l’unico responsabile di rispondere alla richiesta degli interessati.

9. Richieste dell’Autorità di controllo

9.1. Blastness si impegna a collaborare con il Titolare nel rispondere alle richieste dell’Autorità di controllo e di ogni altra autorità competente in materia in caso di effettuazione di controlli ed accertamenti da parte dell'Autorità.
9.2. Le Parti si impegnano a prestarsi reciprocamente piena e sollecita cooperazione al fine di rispondere tempestivamente ed in modo esauriente a eventuali richieste di informazioni e documenti dell’Autorità di controllo.

10. Potere di controllo e diritto di audit del Titolare

10.1. Il Titolare vigilerà periodicamente sulla puntuale osservanza delle istruzioni qui impartite a Blastness e verificherà il perdurare dei requisiti di esperienza, capacità ed affidabilità che hanno influito sulla designazione di Blastness.
10.2. Blastness deve consentire al Titolare l’esercizio del potere di controllo: in tal contesto, Blastness, previa richiesta scritta del Titolare e con un preavviso di almeno 15 (quindici) giorni, metterà a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente Accordo. Si precisa che le verifiche da parte del Titolare verranno effettuate preliminarmente sui documenti e da remoto grazie all’invio cifrato da parte di Blastness di tutta la documentazione richiesta.
10.3. Ove, all’esito delle verifiche documentali svolte, dovessero rendersi necessarie attività ispettive e di audit in presenza, Blastness contribuirà altresì alle attività ispettive e di audit che il Titolare vorrà effettuare, direttamente o per il tramite di un altro soggetto da questo incaricato – i cui relativi costi saranno sostenuti interamente dal Titolare – restando inteso che (i) tali attività non potranno essere effettuate dal Titolare con una frequenza superiore a 1 (una) volta all’anno e, in ogni caso, prima che siano decorsi 12 (dodici) mesi dall’ultima attività di audit svolta o commissionata dal Titolare (ii) tali attività dovranno essere concordate con Blastness con un preavviso di almeno 15 (quindici) giorni lavorativi; (iii) tali attività dovranno essere svolte salvaguardando la normale operatività di Blastness e non potranno avere durata superiore alle 3 ore lavorative, fatta salva la possibilità di concordare visite al di fuori dell’orario lavorativo; (iv) l’uso delle informazioni di cui il Titolare e l’eventuale soggetto incaricato dal Titolare dovessero venire a conoscenza nel corso dell’audit dovrà essere preventivamente regolamentato da un apposito accordo di confidenzialità.

11. Cessazione del trattamento e cancellazione o anonimizzazione dei dati personali

11.1. Blastness si impegna, sin d’ora, ad interrompere, in caso di revoca o cessazione per qualsiasi ragione del presente Accordo, ogni Operazione di trattamento dei Dati Personali.
11.2. In caso di cessazione del trattamento, Blastness, su istruzione del Titolare, deve provvedere alla restituzione dei Dati Personali al Titolare e/o alla definitiva cancellazione degli stessi entro 90 giorni dalla richiesta del Titolare o, in ogni caso, dalla revoca o cessazione del presente atto di nomina. Resta fermo il diritto di Blastness di conservare il Dati Personali che siano necessari ai fini della dimostrazione dei Servizi forniti e dell’eventuale tutela dei diritti di Blastness.
11.3. Il Titolare autorizza Blastness a procedere, per tutta la durata del presente Accordo nel rispetto dei periodi di conservazione dei Dati Personali indicati dal Titolare ovvero alla cessazione dello stesso e delle attività di trattamento nel rispetto dei paragrafi che precedono, laddove tecnicamente possibile, alla cancellazione dei Dati Personali mediante anonimizzazione degli stessi in modo tale che le informazioni che residuino non siano, allo stato dell’arte, in alcun modo riconducibili ai soggetti interessati.

12. Durata

12.1. Il presente Accordo decorre dalla sua sottoscrizione e resterà valida sino a revoca o comunque fino alla cessazione per qualsiasi ragione dei Servizi e/o dell’accordo fra le parti in relazione alla fornitura del Servizi e/o delle Attività di trattamento dei Dati Personali di cui sopra.

13. Manleva

13.1. Blastness si obbliga a manlevare e a tenere indenne il Titolare da qualsiasi danno, pregiudizio, costo, spesa (incluse le spese legali) e/o sanzione derivanti da:
i) pretese o azioni giudiziarie, arbitrali o amministrative da parte di qualsiasi terzo;
ii) condotta illecita o non diligente propria, del proprio personale incaricato.
Tali fattispecie si applicheranno laddove siano effetto di violazioni dolose e colpose del presente Accordo, di ogni altra istruzione fornita dal Titolare in materia di trattamento di dati personali e della Normativa Privacy.
13.2. La responsabilità di cui al paragrafo che precede sarà espressamente esclusa laddove sia imputabile, anche parzialmente, a mancata comunicazione da parte del Titolare di informazioni o documenti o processi rilevanti e, in generale, allorquando l’inadempimento sia dipeso da circostanze non ascrivibili a Blastness, al proprio personale incaricato del trattamento e/o Sub-Responsabili. La responsabilità di Blastness derivante da uno o più inadempimenti nell’esecuzione del presente Accordo è limitata ad una somma pari al 100% dell’importo fatturato in relazione all’attività svolta. Le limitazioni di responsabilità qui contemplate saranno inefficaci in caso di dolo o colpa grave.
13.3. Il Titolare si obbliga a manlevare e a tenere indenne Blastness da qualsiasi danno materiale o immateriale, pregiudizio, costo, spesa (incluse le spese legali), sanzione o qualsivoglia altro onere derivanti da pretese o azioni giudiziarie, arbitrali o amministrative da parte di terzi ivi incluse le pubbliche amministrazioni, nazionali o internazionali e gli interessati, per effetto dell’inadempimento, condotta illecita e/o non diligente da parte del medesimo Titolare e del proprio personale incaricati del trattamento e/o responsabili del trattamento diversi da Blastness per violazione degli obblighi di cui alla Normativa Privacy specificatamente diretti ai titolare del trattamento o del presente Accordo ovvero che derivi dall’attuazione da parte di Blastness delle istruzioni date dal Titolare per il trattamento dei Dati Personali in relazione alla fornitura dei Servizi.

14. Contatti

14.1. Tutte le comunicazioni che Blastness è tenuto a rendere al Titolare in forza del presente accordo saranno effettuate ai contatti individuati in calce al presente Accordo.

15. Disposizioni finali

15.1. Il presente Accordo sostituisce e supera qualunque precedente accordo tra il Titolare ed Blastness in materia di protezione dei Dati Personali.
15.2. La Accordo non prevede alcun compenso aggiuntivo a favore di Blastness rispetto a quello già pattuito fra le Parti con riferimento alla fornitura dei Servizi.
15.3. In caso di conflitto tra le disposizioni del presente Accordo ed eventuali disposizioni dell’accordo relativo alla fornita dei Servizi, prevalgono le clausole del presente Accordo.
15.4. Per quanto non espressamente ivi previsto, si rinvia alle disposizioni generali vigenti in materia di protezione di dati personali.

Ultimo aggiornamento: Milano, 1 dicembre 2022

ALLEGATO A: ATTIVITÀ DI TRATTAMENTO