Ver. 1.0 - DEC 2023

Informativa ai sensi dell'art. 13 del Regolamento 679/2016 sull’utilizzo della Piattaforma “Magoot”

Nel rispetto di quanto previsto dal Regolamento UE 2016/679 (di seguito GDPR) con la presente informativa intendiamo fornirle tutte le informazioni in ordine al trattamento dei dati personali che lei fornirà per l’utilizzo della Piattaforma Magoot.
Lei potrà utilizzare la Piattaforma solo a seguito della preventiva registrazione e la creazione da parte del proprio rappresentante di un account. Dopo questo primo passaggio, il rappresentante designato dal Cliente procederà alla creazione di un Profilo Aziendale. In seguito, il personale del Cliente riceverà un invito per la registrazione alla Piattaforma per la creazione di una propria utenza collegata al Profilo Aziendale. L’informativa è resa ai sensi dell’art. 13 GDPR.

1 Titolare del Trattamento

Starch Srl è il Titolare del trattamento dei dati relativi alla registrazione alla Piattaforma. Con riferimento ai dati da Voi inseriti all’interno della piattaforma Starch opererà come Responsabile del trattamento per la gestione dei dati dell'account collegato al Profilo Aziendale.

2 Dati di contatto del titolare e del responsabile della protezione dati (DPO)

Starch Srl può essere contattata ai seguenti recapiti:

Via Crocefisso 2, 20876 Ornago (MB)
Email: amministrazione@starch.it
PEC: amministrazione@pec.starch.it
Telefono: 03962860

Lei potrà contattare anche il DPO di Stach all’indirizzo email: dpo@starch.it

3 Finalità del trattamento, base giuridica e periodo di conservazione dei dati

Al momento dell’iscrizione sulla piattaforma, al fine di poter gestire il Suo accesso ed erogare il contratto di servizi da Lei richiesti, Lei conferirà a Starch i Suoi dati personali necessari per gestire il Suo abbonamento alla piattaforma (e il corretto assolvimento del pagamento del canone annuale): una volta iscritto Lei oitrà ricevere la Newsletter di Starch con il quale la aggiorneremo in merito alle novità, alle offerte e ai servizi che proporremo ai nostri clienti

	FINALITA'	BASE GIURIDICA	OBBLIGO DI CONFERIMENTO	DURATA DEL TRATTAMENTO
A	Attivare e gestire la Sua iscrizione alla piattaforma Magoot e le connesse attività di carattere amministrativo, l’adempimento ad eventuali obblighi previsti da leggi, da normative comunitarie o da regolamenti.	Esecuzione di un contratto di cui il Cliente è parte o misure precontrattuali adottate su richiesta dello stesso; adempimenti di obblighi legali. art. 6 co. 1 lett. b) e c) GDPR. Il trattamento è basato sulla esecuzione di un accordo commerciale che Lei ha concluso con Starch ai fini dell’utilizzo della piattaforma Magoot ed è necessario per assolvere gli obblighi di legge cui è soggetto il Titolare.	Per questa finalità Lei è libero di non fornire i Suoi dati ma, in tal caso, non sarà possibile gestire la Sua iscrizione alla piattaforma	I Suoi dati saranno conservati per l’anno di iscrizione e, successivamente, per 10 anni dallo scadere della stessa se non rinnovata, conformemente a quanto previsto dalle norme rilevanti a fini contabili, tributari e di antiriciclaggio.
B	Attivare e gestire l’invio di newsletter dedicate ai clienti Starch	Consenso (richiesto con contratto o con richiesta specifica);(facoltativo e revocabile in qualsiasi momento) Art. 6 co. 1 lett. a) GDPR Le newsletter sono inviate a scopi promozionali. In qualsiasi momento Lei potrà disiscriversi dalla newsletter tramite apposito link presente su ogni comunicazione	Per questa finalità Lei è libero di non fornire i Suoi dati ma, in tal caso, non sarà possibile inviare alcuna comunicazione commerciale da parte di Starch	I Suoi dati saranno conservati per l’anno di iscrizione e, successivamente, per 10 anni dallo scadere della stessa se non rinnovata, conformemente a quanto previsto dalle norme rilevanti a fini contabili, tributari e di antiriciclaggio. Se non intenderà più ricevere la newsletter il suo nominativo verrà immediatamente rimosso dall’elenco iscritti al servizio

4 Modalità del trattamento

I dati personali saranno registrati, trattati e conservati presso gli archivi del Titolare del trattamento, cartacei ed elettronici, in ottemperanza alle misure tecniche e organizzative adeguate di cui all’art. 32 del GDPR. Il trattamento dei dati personali dell’interessato può consistere in qualunque operazione o insieme di operazioni tra quelle indicate all' art. 4, comma 1, punto 2 del GDPR. Il trattamento dei dati personali avverrà mediante l’utilizzo di strumenti e procedure idonei a garantirne la sicurezza e la riservatezza e potrà essere effettuato, direttamente e/o tramite terzi delegati, sia manualmente mediante supporti cartacei, sia mediante l’ausilio di mezzi informatici o strumenti elettronici. I dati, ai fini della corretta gestione del rapporto e dell’assolvimento degli obblighi di legge, potranno essere inseriti nella documentazione interna del Titolare del trattamento e se necessario anche nelle scritture e nei registri obbligatori per legge. I dati personali dell’interessato potranno essere trattati dai dipendenti delle funzioni aziendali del Titolare del trattamento deputate al perseguimento delle finalità sopra indicate. Tali dipendenti sono stati espressamente autorizzati al trattamento e hanno ricevuto adeguate istruzioni operative ai sensi e per gli effetti dell’art. 29 GDPR

5 Categorie di destinatari dei dati personali

I dati personali dell’interessato possono essere comunicati e trattati da soggetti esterni operanti in qualità di titolari autonomi ai sensi degli artt. 4 e 24 GDPR quali, a titolo esemplificativo, autorità ed organi di vigilanza e controllo ed in generale soggetti, pubblici o privati, legittimati a richiedere i dati e/o a soggetti operanti in qualità di Responsabili del trattamento ai sensi dell’art. 28 GDPR), quali a titolo esemplificativo società di consulenza e/o studi professionali e/o professionisti, ad esempio legali, fiscali e compagnie di assicurazioni. In particolare, i dati dell’interessato potranno essere comunicati a società stabilite all’interno dell’Unione Europea che svolgono per conto del Titolare del trattamento, in qualità di Responsabili del trattamento, compiti di natura tecnica ed organizzativa quali la gestione dei servizi correlati alla Piattaforma, servizi di hosting (anche in cloud), gestione e manutenzione tecnica del sito e della Piattaforma, servizi di invio newsletter, servizi professionali. L’elenco di tali società è costantemente aggiornato ed è disponibile su richiesta inviando una comunicazione al titolare del trattamento all’indirizzo email amministrazione@starch.it

6 Trasferimento dei dati in Paesi Extra-UE

I dati forniti dall’interessato saranno trattati solo in Paesi siti all’interno dell’Unione Europea.

7 Diritti dell'interessato

In qualità di interessato, il Regolamento le riconosce i seguenti diritti, che può esercitare contattando il Titolare, che Le risponderà il prima possibile e, in ogni caso, non oltre 30 giorni dalla Sua richiesta:

Diritto di accesso ai dati;
Diritto di rettifica dei dati;
Diritto alla cancellazione dei dati, ossia il diritto di ottenere dal Titolare, senza ingiustificato ritardo, la cancellazione dei dati personali che La riguardano, se sussiste uno dei seguenti motivi:
- i dati non sono più necessari rispetto alle finalità per le quali sono stati raccolti o altrimenti trattati;
- Lei si oppone al trattamento e non sussiste alcun motivo legittimo prevalente per procedere comunque al trattamento;
- i dati sono o sono stati trattati illecitamente;
- i dati devono essere cancellati per adempiere ad un obbligo legale a cui è soggetto il Titolare;
- I dati sono stati raccolti relativamente all’offerta di servizi della società dell’informazione.
Diritto di limitazione del trattamento, ossia il diritto di ottenere dal Titolare la limitazione del trattamento quando ricorre una delle seguenti ipotesi:
- Lei contesti l’esattezza dei dati personali, il Titolare limiterà il trattamento per il periodo necessario ad effettuare le necessarie verifiche;
- il trattamento è illecito e Lei si oppone alla cancellazione dei dati personali e chiede invece che ne sia limitato l’utilizzo;
- benché il Titolare non ne abbia più bisogno ai fini del trattamento, i dati sono necessari a Lei per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria;
- Lei si è opposto al trattamento in attesa della verifica in merito all’eventuale prevalenza dei motivi legittimi del Titolare del trattamento rispetto ai Suoi.
Diritto alla portabilità dei dati;
Diritto di opposizione al trattamento;
Diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato dei Suoi dati personali, compresa la profilazione, che produca effetti giuridici che la riguardano o che incida significativamente e in modo analogo sulla Sua persona.

8 Reclamo

Qualora Lei desideri proporre un reclamo in merito alle modalità attraverso cui i Suoi dati personali sono trattati dal Titolare ovvero in merito alla gestione di un reclamo da Lei proposto, Lei ha il diritto di presentare un’istanza direttamente all’Autorità di controllo secondo le modalità indicate nel sitowww.garanteprivacy.it

DATA PROTECTION AGREEMENT

ai sensi dell’art 28 Regolamento UE 2016/679

ADDENDUM CONTRATTO PRINCIPALE

PREMESSO CHE

a. Con la sottoscrizione del presente contratto tra il CLIENTE e il FORNITORE (Starch Srl), le parti stabiliscono un rapporto per l’erogazione di servizi informatici e/o servizi ad essi collegati (di seguito SERVIZIO e/o SERVIZI), di cui la presente è parte integrante;

b. Nel presente contratto le parti concordano di definire:

con il termine “GDPR” il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e
con il termine “Normativa Privacy” le disposizioni del GDPR nonché tutte le altre disposizioni delle leggi dell’Unione o delle leggi degli Stati membri relative alla protezione dei dati personali e alla loro libera circolazione

c. Nello svolgimento del SERVIZIO, il Titolare del trattamento dei dati personali, ai sensi e per gli effetti dell’art. 4 co 1 n. 7 del GDPR, è il CLIENTE e incombe sullo stesso il compimento di tutti gli atti previsti dalla Normativa Privacy per il trattamento dei dati personali vale a dire l’informativa, la raccolta del consenso, l’adozione di tutte le misure autorizzative, di incarico e di conservazione e di altro tipo anche per realizzare il sistema sicurezza, ivi comprese le relative misure;

Ciò premesso, tra le Parti,

SI CONVIENE E SI STIPULA

quanto di seguito riportato.

1 Designazione di Responsabile del trattamento

1.1 Per i compiti che, in base al Contratto per il SERVIZIO, vengono affidati a Starch Srl, quest’ultimo ai sensi dell’art.4 co 1 n. 8) e dell’art. 28 GDPR è designato Responsabile del trattamento.
1.2. Il Responsabile del trattamento precisa di essere in grado di offrire garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti degli interessati.

2 Oggetto del DPA

2.1 Oggetto della presente designazione è definire le modalità e le condizioni contrattuali con le quali il Responsabile del trattamento si impegna ad effettuare, per conto del Titolare del trattamento, le operazioni di trattamento dei dati personali quali definiti dal Contratto e specificate nell’allegato tecnico “Registro del trattamento del servizio” messo a disposizione a richiesta del Titolare del trattamento o consultabile nell’area riservata.
2.2 Nel quadro delle loro relazioni contrattuali, le parti si impegnano a rispettare la regolamentazione in vigore applicabile al trattamento dei dati personali e, in particolare, il GDPR e la Normativa Privacy.

3 Durata del DPA

La presente designazione seguirà la durata del Contratto sottoscritto tra le parti.

4 Descrizione delle prestazioni del Responsabile del trattamento

4.1 Il Responsabile del trattamento è autorizzato a trattare, per conto del Titolare del trattamento, dati personali necessari per fornire il SERVIZIO quale previsti dal Contratto. Per i dati che il Titolare del trattamento ha già fornito e che fornirà, lo stesso garantisce di aver già acquisito il consenso degli interessati al loro trattamento ai sensi dell'art. 6 co 1 lett. a) l GDPR, salvi i casi indicati nel predetto art. 6 di trattamento consentito anche in assenza di consenso. Il Titolare del trattamento garantisce il Responsabile del trattamento di disporre legittimamente di tutte le informazioni che affiderà al Responsabile del trattamento per il loro trattamento, assicurando altresì che dette informazioni non violano in alcun modo diritti di terzi. Il Titolare del trattamento mantiene la titolarità delle informazioni che saranno comunicate al Responsabile del trattamento per il SERVIZIO ed assume espressamente ogni più ampia responsabilità in ordine al contenuto dei relativi dati personali e manleva il Responsabile del trattamento da ogni obbligo e/o onere di accertamento e/o di controllo diretto e indiretto al riguardo.
4.2 La natura delle operazioni realizzate sui dati è l’erogazione del SERVIZIO e/o dei SERVIZI indicati nel Contratto, per cui il Titolare del trattamento dichiara di affidare il relativo trattamento dei dati al Responsabile del trattamento.
4.3 La finalità del trattamento, la natura e la tipologia dei dati trattati, le categorie di persone interessate sono quelle specificate nel “Registro del trattamento del servizio”
4.4 Per quanto di sua competenza il Responsabile del trattamento, nel trattare i dati per l’erogazione del SERVIZIO, effettuerà il trattamento in osservanza dell’art. 5 GDPR relativo ai “Principi applicabili al trattamento dei dati personali”.
4.5 Per l’esecuzione dell’incarico oggetto del presente Contratto, il Titolare del trattamento mette a disposizione del Responsabile del trattamento le informazioni necessarie all’esecuzione delle attività per il SERVIZIO, anche indirizzate all’utilizzo appropriato del sistema informativo.
4.6 Il Responsabile del trattamento, ai sensi dell’art. 28 co 3 lett. b) GDPR, individua e incarica per iscritto le proprie persone autorizzate, definendo puntualmente l’ambito di trattamento consentito. Il Responsabile del trattamento si dichiara edotto che le proprie persone autorizzate agiscono sotto la sua autorità.

5 Obblighi del Responsabile del trattamento

Il Responsabile del trattamento, nello svolgimento delle sue funzioni, si impegna ad assolvere ed osservare i seguenti obblighi.

5.1 Osservanza delle istruzioni date dal Titolare

a. Il Responsabile del trattamento dovrà trattare i dati solo per le finalità sopra specificate e per l’esecuzione delle prestazioni contrattuali.
b. Il Responsabile del trattamento dovrà trattare i dati in conformità a quanto previsto nel “Registro del trattamento del servizio” ed il Titolare del trattamento ritiene adeguate le misure di sicurezza ivi previste.

5.2 Garantire la riservatezza

a. Il Responsabile del trattamento garantisce l’osservanza della riservatezza dei dati personali trattati nell’ambito della presente designazione.
b. Il Responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza e che esse ricevano e che venga loro data la formazione necessaria in materia di trattamenti dei dati personali.

5.3 Adozione delle misure di sicurezza del trattamento

a. Il Responsabile del trattamento deve procedere al trattamento dei dati personali in presenza delle misure richieste ai sensi dell'art. 32 GDPR. Le misure di sicurezza adottate sono quelle dichiarate nel “Registro del trattamento del servizio “. Il Titolare del trattamento prende atto che in alcuni casi il Responsabile del trattamento, procederà al trattamento attraverso gli strumenti predisposti e configurati dallo stesso e pertanto dovrà adottare ogni cautela necessaria solo qualora il trattamento sia effettuato fuori dal controllo dello strumento impostato e configurato dal Titolare del trattamento.
b. Se il Responsabile del trattamento ha aderito ad un codice di comportamento, o ha esibito una certificazione, deve operare in presenza delle misure di sicurezza previste dal codice di comportamento o dai protocolli di cui alla certificazione. In questo caso il Titolare del trattamento accetterà la certificazione come prova del fatto che il Responsabile del trattamento ha adottato misure adeguate rispetto al trattamento effettuato, rinunciando ad effettuare attività di audit sui sistemi e sulle procedure del FORNITORE
c. Il Responsabile del trattamento, per i casi contemplati all’art. 37 del GDPR, opera avvalendosi del proprio Responsabile della protezione dei dati (RPT o DPO).
d. In conformità dell’art. 30 GDPR il Responsabile del trattamento (e, ove applicabile, il suo rappresentante, se non rientrante nei casi di esonero di cui al paragrafo 5 di tale articolo) deve tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare del trattamento, contenente quanto indicato nel co 2 di detto articolo
e. I registri indicati sono tenuti in forma scritta, anche in formato elettronico, e saranno messi a disposizione del Titolare del trattamento a richiesta dello stesso e/o pubblicati nell’area riservata ai clienti.

5.4 Nomina di Sub responsabili

a. Ai sensi dell’art.28 co 2 GDPR, con la presente designazione, il Titolare del trattamento fornisce al Responsabile del trattamento espressa autorizzazione scritta generale alla individuazione di altri soggetti che svolgano, per conto del Responsabile medesimo, il ruolo di Sub-responsabili. A fronte di tale autorizzazione il Responsabile del trattamento si impegna a comunicare al Titolare del trattamento l’elenco di tutti gli eventuali soggetti individuati in qualità di sub-responsabili. Nel caso in cui nel tempo intervengano modifiche, aggiunte o sostituzioni dei sub-responsabili inizialmente comunicati, tali nuove nomine dovranno essere comunicate al Titolare del trattamento che avrà a disposizione 15 giorni per eventuali opposizioni. Il Responsabile del trattamento dichiara e garantisce che i Sub responsabili presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative idonee a garantire il rispetto delle disposizioni della vigente Normativa sulla Privacy e si impegna a vincolare contrattualmente gli ulteriori responsabili al rispetto degli stessi obblighi in materia di protezione dei dati personali assunti dal Responsabile del trattamento nei confronti del CLIENTE.
b. Qualora il Sub responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile del trattamento conserva, nei confronti del Titolare del trattamento, l'intera responsabilità dell'adempimento degli obblighi del Sub responsabile del trattamento.

5.5 Assistenza al Titolare per l'esercizio dei diritti degli interessati

a. Per quanto possibile, il Responsabile del trattamento – tenendo conto della natura del trattamento - deve assistere il Titolare del trattamento al fine di consentire allo stesso di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al Capo III GDPR Il Responsabile del trattamento, nella misura in cui ciò sia possibile, assisterà il Titolare del Trattamento con misure tecniche e organizzative adeguate.
b. In relazione al diritto di informazione degli interessati, spetta al Titolare del trattamento fornire l’informativa di cui agli artt. 13 e 14 GDPR alle persone interessate per le operazioni del trattamento, al momento della raccolta dei dati.

5.6 Assistenza al Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR

a. Il Responsabile del trattamento, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, deve assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36 del GDPR vale a dire:
- l’articolo 32. Sicurezza del trattamento;
- l’articolo 33. Notifica di una violazione dei dati personali all'autorità di controllo;
- l’articolo 34. Comunicazione di una violazione dei dati personali all'interessato;
- l’articolo 35. Valutazione d'impatto sulla protezione dei dati;
- l’articolo 36. Consultazione preventiva.
b. Assistenza per la Sicurezza del trattamento - Il Responsabile del trattamento ha l’obbligo di assistere il Titolare del trattamento nella realizzazione della sicurezza del trattamento, conformemente all’art. 32 GDPR. Il Responsabile del trattamento, a richiesta del Titolare del trattamento, relazionerà sulle misure di sicurezza adottate – anche mediante eventuali questionari e liste di controllo, previa, se necessaria, valutazione a livello progettuale.
c. Particolari misure di sicurezza del Responsabile del trattamento già in atto - Il Titolare del trattamento prende atto che, per il SERVIZIO, il Responsabile del trattamento ha in essere misure di sicurezza adeguate in osservanza del GDPR.
In relazione alle attività svolte dal Responsabile del trattamento riferite alla conservazione dei dati personali e alle attività sistemistiche dirette alla manutenzione della rete e all’aggiornamento dei relativi data base e sistemi operativi, gli operatori del Responsabile del trattamento avranno la funzione di Amministratori di sistema. Gli adempimenti previsti dal Garante per la privacy nel provvedimento del 27 novembre 2008 saranno gestiti dal Responsabile del trattamento; in particolare sarà il Responsabile del trattamento a valutare le caratteristiche soggettive degli amministratori di sistema, ad effettuare le designazioni individuali, a verificare le attività dagli stessi svolte ed a provvedere alla registrazione dei relativi accessi. In relazione a quanto previsto dal provvedimento stesso il Responsabile del trattamento si obbliga a comunicare al Titolare del trattamento l’elenco aggiornato degli Amministratori di sistema; la comunicazione di tali dati potrà avvenire in formato elettronico o cartaceo ed il Titolare del trattamento considera evaso tale adempimento anche con la semplice messa a disposizione dell’elenco aggiornato dei nominativi degli stessi Amministratori di sistema in un’area internet a ciò dedicata.

5.7 Assistenza per l’obbligo di Notifica di una violazione dei dati personali all'autorità di controllo

Il Responsabile del trattamento ha l’obbligo di assistere il Titolare del trattamento nell’adempimento dei propri obblighi di notifica di una violazione dei dati personali all'autorità di controllo, conformemente all’art. 33 GDPR. Il Responsabile del trattamento notifica al Titolare del trattamento ogni violazione di dati personali nel tempo massimo di 24 ore dopo esserne venuto a conoscenza. Tale notifica è accompagnata da quanto espressamente indicato nel 3 co dell’art. 33, utile per permettere al Titolare del trattamento, se necessario, di notificare questa violazione all’autorità di controllo competente

5.8 Assistenza per l’obbligo di comunicazione di una violazione dei dati personali all'interessato

Il Responsabile del trattamento ha l’obbligo di assistere il Titolare del trattamento nell’adempimento degli obblighi di comunicazione di una violazione dei dati personali all'interessato, conformemente all’art. 34 GDPR; tale comunicazione andrà comunque sempre effettuata da parte del Titolare del trattamento.

5.9 Assistenza del Responsabile del trattamento, nell’adempimento dell’obbligo del Titolare del trattamento della valutazione d'impatto sulla protezione dei dati

Il Responsabile del trattamento assisterà il Titolare del trattamento nell’adempimento degli obblighi della valutazione d'impatto sulla protezione dei dati, conformemente all’art. 35 GDPR, fornendo ogni informazione utile in suo possesso attraverso il "Registro del trattamento del servizio".

5.10 Assistenza del Responsabile del trattamento nell’adempimento dell’obbligo del Titolare del trattamento della consultazione preventiva

Il Responsabile del trattamento assiste il Titolare del trattamento nella consultazione preventiva dell’autorità di controllo, prevista dall’art. 36 del GDPR, fornendo al titolare ogni informazione utile in suo possesso attraverso il “Registro del trattamento del servizio”.

5.11 Restituzione di tutti i dati personali al termine dell’incarico

Dopo che è terminata la prestazione dei servizi relativi al trattamento il Responsabile del trattamento, su scelta del Titolare del trattamento, dovrà restituire o cancellare tutti i dati personali e cancellare le copie esistenti. Il Responsabile del trattamento assiste il Titolare del trattamento nella consultazione preventiva dell’autorità di controllo, prevista dall’art. 36 del GDPR, fornendo al titolare ogni informazione utile in suo possesso attraverso il "Registro del trattamento del servizio".

a. Dopo che è terminata la prestazione dei servizi relativi al trattamento il Responsabile del trattamento, su scelta del Titolare del trattamento, dovrà restituire o cancellare tutti i dati personali e cancellare le copie esistenti. I dati in possesso del Responsabile del trattamento dovranno essere restituiti al Titolare del trattamento, su richiesta dello stesso, attraverso la consegna del backup del data base o dei files su cui risiedono i dati personali; e/o cancellati entro i termini definiti nel “Registro del trattamento del servizio”. Eventuali ulteriori copie dei dati stessi di backup potranno essere conservate, per l’ulteriore periodo indicato nel “Registro del trattamento del servizio” per fini esclusivamente di sicurezza e non destinati alla comunicazione e alla diffusione
b. In deroga a quanto indicato ai punti precedenti, il Responsabile del trattamento dovrà conservare i dati nei casi in cui il diritto dell'Unione o degli Stati membri ne preveda la conservazione, nei termini imposti da detta normativa o da detti provvedimenti.

5.12 Messa a disposizione del Titolare del trattamento di tutte le informazioni necessarie per dimostrare il rispetto degli obblighi

Il Responsabile del trattamento metterà a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 GDPR e deve consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del trattamento o da un altro soggetto da questi incaricato – nei termini e nelle modalità meglio definite al successivo art. 8 – o dalle autorità.

5.13 Caso in cui un'istruzione al Responsabile del trattamento sia ritenuta in violazione del GDPR

Qualora, il Responsabile del trattamento, a suo parere, ritenga che un'istruzione del Titolare del trattamento violi il GDPR o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati dovrà informare immediatamente il Titolare del trattamento.

5.14 Osservanza dei principi di “privacy by design” e di “privacy by default”

Il Responsabile del trattamento nello svolgimento dell’incarico, dovrà operare in osservanza dei principi di protezione dei dati a partire da quando questi vengono progettati (privacy by design) e della protezione dei dati di default. L’identificazione dei requisiti di base dei sistemi e del rispetto di questi principi sarà definita su base progettuale in fase di start-up del servizio.

6 Obblighi del Titolare del trattamento

Il Titolare del trattamento deve:

fornire al Responsabile del trattamento i dati previsti all’art. 4 delle presenti clausole;
documentare per iscritto tutte le istruzioni riguardanti il trattamento dei dati da parte del Responsabile del trattamento;
vigilare, in anticipo e durante la durata di tutto il trattamento, sul rispetto degli obblighi previsti dal regolamento europeo sulla protezione dei dati da parte del Responsabile del trattamento;
supervisionare il trattamento, effettuando audit e ispezioni.

7 Luoghi ove sono e saranno custoditi i dati

7.1 I dati saranno trattati dal Responsabile del trattamento nei luoghi indicati nel “Registro del trattamento del servizio“. Qualora il trattamento dovesse essere eseguito in Paesi Extra UE, il Responsabile del trattamento metterà a disposizione del Titolare del trattamento le garanzie adottate in funzione del luogo in cui il trattamento sarà svolto.

7.2. Se il Responsabile del trattamento sarà tenuto ad effettuare un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento circa tale obbligo giuridico prima del trasferimento al fine di ottenere autorizzazione, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.

8 Controlli

8.1 Il Titolare del trattamento, si riserva, anche tramite verifiche periodiche, di vigilare sulla puntuale osservanza delle disposizioni di legge sul trattamento dei dati stessi e sul rispetto delle proprie istruzioni indicate nel presente documento. Il Responsabile del trattamento dovrà consentire al Titolare del trattamento, dandogli piena collaborazione, periodiche verifiche circa l'adeguatezza delle misure di sicurezza adottate e il rispetto della Normativa Privacy e delle disposizioni del Titolare del trattamento stesso.

8.2 Ogni attività di audit da parte del Titolare del trattamento dovrà essere convenuta con il Responsabile del trattamento, con un preavviso di almeno 10 giorni lavorativi. Qualora tali attività comportino oneri e spese non previste dal presente, tutte le richieste del Titolare del trattamento dovranno essere concordate nelle modalità di esecuzione e gestite a livello progettuale, con la definizione di una valutazione anche economica per la loro attuazione (siano esse attività di penetration test, vulnerability assessment, altro).