Accordo per la nomina del responsabile del trattamento dati

ACCORDO PER LA NOMINA DEL RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART. 28 DEL REGOLAMENTO (UE) 2016/679 TRA

Ambimed S.r.l. (P.IVA 11500980963), Corso Italia, 1 - 20122 Milano (MI), PEC: ambimed@legalmail.it , in persona del legale rappresentante pro tempore, DPO designato raggiungibile alla e-mail dpo@ambimed-group.com , (di seguito “Ambimed” o “Titolare”)   

E

L’Agenzia viaggi che accetta il presente accordo (di seguito “Agenzia” o “Responsabile”)

PREMESSO CHE

1. Ambimed è una società di servizi specializzata nell’intermediazione di servizi sanitari, con particolare riferimento ai servizi di medicina dei viaggi;
2. L’Agenzia opera nel settore viaggi ed è affiliata al gruppo viaggi / tour operator partner di Ambimed o comunque ha in corso accordi commerciali con una di queste entità;
3. L’Agenzia vuole integrare i propri servizi permettendo la prenotazione di servizi sanitari finalizzati ai viaggi attraverso la piattaforma di Ambimed (ad esempio tamponi, vaccini, profilassi o semplici consulenze);
4. Detto servizio verrà offerto da Ambimed e i suoi partner come titolare/contitolari del trattamento, l’Agenzia assumerà il solo ruolo di responsabile ai sensi dell’art. 28 del Regolamento Generale della protezione dei dati personali n. 2016/679;
5. Nel dettaglio l’attività/trattamento dell’Agenzia si limiterà alla semplice data entry relativa ai dati anagrafici del viaggiatore e l’indicazione del trattamento finalizzato al viaggio richiesto dal viaggiatore indicati sopra (ad esempio richiesta: tamponi, vaccini, profilassi o semplici consulenze);
6. in forza dell’accettazione delle condizioni generali di utilizzo della piattaforma, il Titolare del trattamento si avvale del supporto del suddetto Responsabile del trattamento per i trattamenti di cui ai punti lett. C) ed E);
7. l’espletamento di tali Servizi comporta il trattamento di dati personali, come definiti all’art. 4, 1) del Regolamento (UE) 2016/679, ivi compresi quelli particolari di cui all’art. 9 indicati sopra;
8. la normativa applicabile in materia di protezione dei dati personali impone una serie di obblighi e vincoli al trattamento di dati personali da parte del Titolare del trattamento che influenzano il Trattamento in questione, tramite cui il Responsabile del trattamento potrà in principio accedere, sia pure solo ai fini contrattuali ed a beneficio del Titolare del trattamento nonché nello stretto rispetto delle normative vigenti (inclusa la normativa applicabile in materia di protezione dei dati personali), ai Dati Personali;
1. sulla base delle referenze e competenze vantate dal Responsabile nel suo campo d’attività, ivi compreso il Trattamento dei dati in generale e della gestione di situazioni simili a quelle del Trattamento, il Titolare del trattamento ha condotto una positiva valutazione dell’idoneità e qualificazione del Responsabile del trattamento a soddisfare, anche sotto il profilo della sicurezza del Trattamento, i necessari requisiti di esperienza, capacità ed affidabilità previsti dalla normativa applicabile in materia di protezione dei Dati Personali onde assicurare le richieste garanzie di legge ai fini del Trattamento dei dati in qualità di Responsabile del trattamento per conto del Titolare del trattamento ai sensi della normativa applicabile in materia di protezione dei dati personali in relazione al Trattamento di Dati Personali necessitato dal Contratto;
10. Con il presente accordo (di seguito l’”Accordo”) il Titolare del trattamento intende dunque procedere alla nomina della suddetta società/professionista a Responsabile del trattamento, impartendogli dettagliate istruzioni in merito.
11. Il presente accordo, quanto a durata e recesso e per tutto quanto qui non espressamente stabilito e per quanto compatibile segue come allegato il contratto di consulenza principale in essere tra le parti.

Tutto ciò premesso e formante parte integrante e sostanziale del presente Accordo, tra le Parti, come sopra rappresentate, si conviene e si stipula quanto segue.

Con il presente il Titolare del trattamento nomina con effetto immediato la suddetta società/Agenzia, quale Responsabile - secondo la definizione dell’art. 4, n. 8) del Regolamento - dei trattamenti di dati personali effettuati nell’ambito dei suoi compiti richiamati nelle premesse e meglio descritti nel contratto principale in essere tra le parti e necessari per l’espletamento di tutti gli adempimenti connessi all’attività di competenza sottoindicata.

Il nominato Responsabile fornisce idonea garanzia, per preparazione ed esperienza, del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi compreso il profilo relativo alla sicurezza del trattamento.

Egli è autorizzato a procedere all’organizzazione di ogni operazione di trattamento di dati personali, da lui svolta, con o senza l’ausilio di strumenti elettronici o comunque automatizzati, nel pieno rispetto delle norme previste dal Regolamento, nonché di quanto disposto dalle istruzioni operative impartite dal Titolare del trattamento, anche attraverso propri collaboratori adeguatamente formati e vincolati alla segretezza dei dati trattati nel senso indicato dal GDPR (Reg. EU 679/2016).

In particolare, a titolo esemplificativo e non esaustivo, i trattamenti effettuati dal nominato Responsabile sono necessari al perseguimento delle seguenti finalità:

prenotazione per conto dei clienti delle prestazioni usufruibili attraverso Ambimed

Il Responsabile del trattamento verifica che i trattamenti di dati personali del Titolare effettuati nell’ambito del proprio compito, non si discostino dalle finalità per cui i dati stessi sono raccolti, conformemente alle informative rilasciate agli interessati ai sensi dell’art. 13 del Regolamento. A tale fine il nominato Responsabile del trattamento dovrà quindi mantenere attivo il monitoraggio dei trattamenti di propria competenza, avvalendosi se del caso della collaborazione delle strutture e delle risorse di altri servizi interni del Titolare, verificando altresì le finalità e le modalità con cui avviene il trattamento dei dati personali e la loro coerenza con quanto indicato nell’informativa resa agli interessati.

Il nominato Responsabile del trattamento ha il potere di compiere tutto quanto necessario per il rispetto delle vigenti disposizioni di legge in materia di trattamento dei dati personali nelle attività operate nel proprio ambito di competenza. In particolare, dovrà:

1. Fornire se richiesta l’informativa privacy di Ambimed al proprio cliente nonché acquisirne il relativo consenso al trattamento dei dati personali;
2. salvo quanto già disposto dal Titolare, eventualmente nominare ed individuare all’interno della propria organizzazione le persone autorizzate al trattamento, con riferimento alla preposizione di uno o più soggetti ad attività comportanti il trattamento di dati personali;
3. rispettare e far rispettare agli autorizzati al trattamento e agli altri soggetti che per qualsivoglia motivo entreranno in contatto con i trattamenti di dati personali le misure di sicurezza già attuate o che verranno in futuro predisposte ai sensi della normativa applicabile in materia di protezione dei dati personali;
4. verificare con cadenza almeno annuale che i profili di accesso assegnati agli autorizzati al trattamento siano adeguati e non eccedenti le esigenze della mansione o dell’Unità Organizzativa/operativa cui gli stessi sono stati assegnati;
5. assistere se richiesto il Titolare del trattamento nel processo di valutazione d’impatto sulla protezione dei dati (DPIA – Data Protection Impact Assessment) di cui all’art. 35 del Regolamento, nonché nella eventuale fase di consultazione preventiva con l’Autorità di controllo ai sensi dell’art. 36 del Regolamento, qualora la valutazione d’impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal Titolare per attenuare il rischio;
6. cancellare o restituire tutti i dati personali una volta cessato il trattamento e cancellare le copie esistenti secondo le istruzioni ricevute dal Titolare, salvo che la conservazione dei dati sia prevista dal diritto dell’Unione o da quello interno;
7. collaborare con il Titolare del trattamento al fine di soddisfare l’obbligo di quest’ultimo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al Capo III del Regolamento e fornire tutto il supporto necessario al fine di consentire una risposta nel termine di un mese, dalla richiesta, prorogabile di due mesi nei casi di particolare complessità, ai sensi dell’art. 12, comma 3, del Regolamento;
8. informare prontamente il Titolare del trattamento di ogni nuovo trattamento e di ogni questione rilevante ai fini della normativa in materia di protezione dei dati personali, ivi inclusi i reclami eventualmente avanzati dagli interessati e le eventuali istanze presentate al Garante;
9. nel caso in cui il Responsabile del trattamento ricorra ad altri responsabili (sub-responsabili) per l’esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento, i sub-responsabili saranno obbligati a rispettare gli obblighi previsti dal presente accordo;
10. nell’ambito delle responsabilità così affidategli, e nel rispetto delle relative istruzioni, al Responsabile del trattamento incomberà se necessario tenere costantemente aggiornato presso di sé, ed a disposizione in ogni momento del Titolare del trattamento, un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, ai sensi dell’art. 30 Reg. (UE) 2016/679, in forma scritta o in formato elettronico. Allo stesso Responsabile del Trattamento competerà, in via esclusiva, l’obbligo di predisporre ed eseguire una periodica attività di verifica interna sull’operato dei propri sub-responsabili ed autorizzati al trattamento;
11. nell’ambito delle responsabilità così affidategli, e nei limiti delle relative istruzioni, andrà conferito al Responsabile, nella sua qualità di Responsabile del trattamento, anche il correlato potere di impartire per iscritto le necessarie istruzioni e disposizioni vincolanti ai soggetti da esso autorizzati al trattamento;
12. il Responsabile del trattamento dovrà attenersi – nel procedere alle operazioni di trattamento necessarie e nella cessazione dello stesso Trattamento – alle normative di volta in volta applicabili e alle istruzioni impartite dal Titolare del trattamento. Il Responsabile del trattamento, inoltre, s’impegna a mantenere in essere ed applicare le misure di sicurezza adeguate ai sensi della normativa applicabile in materia di protezione di dati personali;
13. sarà cura e responsabilità del Responsabile del trattamento fornire per iscritto agli autorizzati al trattamento che operano sotto la sua diretta autorità le necessarie istruzioni e disposizioni vincolanti per il trattamento relativamente all’osservanza delle vigenti disposizioni in merito al trattamento ed a vincolarli anche alla riservatezza, fornendo relativa copia al Titolare del trattamento.

Eventuali modifiche al presente Accordo dovranno essere apportate per iscritto e potranno essere modificate solo attraverso una dichiarazione scritta concordata tra le Parti o attraverso comunicazione del titolare 30 giorni precedenti il cambio delle condizioni, il mancato recesso da parte del responsabile varrà come accordo implicito, in ogni caso il presente accordo segue le condizioni generali di utilizzo della piattaforma.

L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.

Con il presente Accordo le Parti intendono espressamente revocare e sostituire ogni altro contratto o accordo tra esse esistente, relativo al trattamento dei dati personali.

L’Agenzia ha letto e compreso il contenuto del presente Accordo e sottoscrivendolo esprimono pienamente il suo consenso.