Istruzioni

Secondo quanto previsto dal Regolamento Europeo 2016/679 (GDPR) il Titolare del trattamento ha l’obbligo di nominare i propri responsabili esterni al trattamento. Secondo quanto previsto dai termini e condizioni e dall’informativa privacy di Wefrood accessibile dal presente link, per alcuni trattamenti C2B4FOOD S.r.l. opera come tuo responsabile esterno. Per agevolare i nostri clienti nel fornirci la documentazione obbligatoria abbiamo redatto questo modulo che deve esserci restituito compilato e firmato. Sarà nostra premura contattarti tramite mail per fornirti eventuali ulteriori istruzioni.

Atto di nomina di Responsabile del trattamento di dati personali

art.28 Regolamento Europeo 2016/679 (GDPR)

_____________________ con sede legale in _______________________, C.F./p.IVA __________,

rappresentata da ____________________ nella sua qualità di legale rappresentante (qui di seguito, “il

Titolare del trattamento” o “Società”) da una parte,

e

C2B4FOOD S.r.l. con sede legale in Via Bigliardi 19 – 42045 Luzzara (RE), P.IVA: 02728000353 e rappresentato da Paolo Beltrami (qui di seguito, “ il Responsabile del trattamento”)

premesso che:

al Titolare del trattamento, in base alle disposizioni di legge, competono tutte le decisioni in merito al trattamento;

l’art. 4 comma 1 n. 8 del Regolamento UE 2016/679 (di seguito indicato come “Regolamento”) definisce il Responsabile del trattamento come “la persona fisica o giuridica (…) che tratta dati personali per conto del Titolare del trattamento”;

in base all’art. 28 del Regolamento, il Titolare del trattamento può affidare l’esecuzione di una singola o di una pluralità di operazioni di trattamento ad altro soggetto all’uopo designandolo come “Responsabile del trattamento”;

ai sensi dell’art. 28 par. 1 del Regolamento il Titolare del trattamento può ricorrere unicamente a responsabili del trattamento che, per esperienza, capacità ed affidabilità, presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti di cui al Regolamento stesso e garantisca la tutela dei diritti dell’Interessato;

le parti hanno in essere uno o più contratti, o altro/i atto/i giuridico/i (di seguito il “Contratto”), da intendersi qui come noto/i e richiamato/i, che comporta/comportano da parte del Responsabile del trattamento il trattamento elettronico (in locale o da remoto) di dati personali riferibili alla ns. organizzazione e/o a organizzazioni terze a vario titolo connesse al Titolare; in particolare di persone fisiche (cd. Interessati) riconducibili direttamente o indirettamente al Titolare; mediante l’accesso, l’utilizzo, la fornitura di strumenti elettronici tramite i quali, anche indirettamente, può avere luogo, il trattamento dei suddetti dati personali;

nell’ambito dell’esecuzione del Contratto, la vs. organizzazione, attua - con un certo grado di autonomia nella scelta degli strumenti - operazioni di trattamento di dati personali (come definiti dalla vigente normativa), per conto del Titolare, il quale assume la/le decisione/i in merito a finalità, modalità e mezzi del trattamento;

il Titolare ha altresì l’obbligo legale e l’esigenza di fornire al Responsabile direttive vincolanti su alcuni aspetti legali e operativi del trattamento stesso e di vigilare affinché l’operato del Responsabile rispetti le direttive stesse;

è intenzione, quindi, del Titolare consentire al Responsabile ed ai soggetti facenti parte del Suo organico aziendale che siano stati espressamente autorizzati, l’accesso ai dati personali di cui il primo è Titolare e la cui conoscenza è necessaria per adempiere al Contratto;

Preso atto di quanto sopra il Titolare del trattamento con il presente atto

NOMINA

C2B4FOOD S.r.l. con sede legale in Via Bigliardi 19 – 42045 Luzzara (RE), P.IVA: 02728000353 e rappresentato da Paolo Beltrami, Responsabile del trattamento dei dati personali necessari allo svolgimento del servizio affidato con il citato Contratto, nel rispetto del Regolamento 2016/679, del D.lgs. 196/2003 e ss.mm.ii., nonché delle linee guida emanate ed emanande dall’Autorità ̀Garante nonchè dall’European Data Protection Board. Il Trattamento dei Dati Personali sarà limitato alla finalità di corretto espletamento di tutte le attività di servizio meglio previste nel Contratto citato in premesse e di adempimento dei relativi obblighi contrattuali e di legge.

Il Titolare del trattamento dichiara che i dati da lui trasmessi al Responsabile, sono raccolti e trasmessi rispettando la normativa vigente, sono esatti e, se necessario, aggiornati, sono pertinenti, completi e non eccedenti rispetto alle finalità contrattuali e precontrattuali per le quali vengono trasmessi.

Si conviene fra le parti che il Responsabile del trattamento ed i suoi sub- Responsabili sono tenuti a trattare i dati personali nel rispetto dei principi e delle disposizioni del Regolamento ed in generale della normativa sulla protezione dei dati personali dei provvedimenti della competente Autorità di Controllo, e, comunque, attenendosi alle istruzioni scritte del Titolare del trattamento.

Si conviene fra le parti che i termini e le condizioni riportate nella sezione denominata “Appendice 1 - Descrizione delle attività di trattamento”, presente al termine del presente documento, costituiscono parte integrante e sostanziale del presente accordo.

Le presenti clausole contrattuali (le Clausole) stabiliscono i diritti e gli obblighi del Titolare del trattamento e del Responsabile del trattamento, qualora quest’ultimo effettui il trattamento dei dati personali per conto del titolare del trattamento.

Le Clausole hanno priorità rispetto a qualunque disposizione simile contenuta in altri accordi tra le parti.

Le Clausole non esentano il responsabile del trattamento dagli obblighi cui è soggetto ai sensi del Regolamento UE 2016/679 - Regolamento generale sulla protezione dei dati o di altra normativa relativa alla protezione dei dati personali.

1. Oggetto

Oggetto del presente accordo è definire le modalità con le quali il Responsabile del trattamento si impegna ad effettuare, per conto del Titolare, le operazioni di trattamento dei dati personali definite di seguito.

Il Responsabile del trattamento si impegna a mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento dei dati effettuato per conto del Titolare soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti degli Interessati.

In adempimento degli obblighi derivanti dal Contratto e dal presente atto il Responsabile dovrà dunque:

rispettare tutte le norme sulla protezione dei dati personali applicabili al trattamento, in particolare le disposizioni contemplate dal Regolamento UE 2016/679 dal D.Lgs 196/2003 e ss.mm.ii., nonché conformarsi alle linee guida emanate ed emanande dall’Autorità Garante per la tutela dei dati personali nonchè dall’European Data Protection Board;

trattare, in conformità alle istruzioni all’uopo impartitegli dal Titolare e, comunque, con modalità compatibili con le finalità per cui i dati sono stati raccolti e comunicati, esclusivamente i dati personali formanti oggetto del Contratto;

informare preventivamente il Titolare del trattamento nell’ipotesi in cui la legge applicabile al Responsabile consenta a quest’ultimo di operare il trattamento con modalità contrastanti rispetto a

quelle impartitegli, al precipuo fine di consentire al Titolare di esercitare il diritto ad opporsi al trattamento stesso.

2. II. Descrizione delle prestazioni del Responsabile del trattamento

Il Responsabile del trattamento è autorizzato a trattare per conto del Titolare i dati personali necessari per l’adempimento dello Contratto stipulato.

Le operazioni sui Dati personali che il Responsabile deve effettuare per conto del Titolare hanno natura contrattuale.

Le finalità del trattamento dei dati, definite dal Titolare, sono da ricondurre allo svolgimento, da parte del Responsabile, di tutte le prestazioni connesse al Contratto citato in premessa.

Per l’esecuzione del servizio oggetto del Contratto, il Titolare del trattamento mette a disposizione del Responsabile il dettaglio contenuto nell’ “Appendice 1 - Descrizione delle attività di trattamento”. Tale appendice rappresenta la definizione delle attività di trattamento da eseguirsi da parte del Responsabile per conto del Titolare. Il contenuto della citata appendice potrà mutare nel tempo in funzione di nuove esigenze di trattamento del Titolare eventualmente disciplinate mediante la modifica e/o l’integrazione del Contratto.

3. Durata della nomina e del trattamento

La presente nomina decorre dalla data in cui viene sottoscritta dalle parti e rimarrà valida sino alla vigenza del Contratto citato in premessa, ovvero fino alla revoca anticipata che, per qualsivoglia ragione, il Titolare del trattamento ha la facoltà di esercitare. Il venir meno del Contratto citato in premessa o la revoca anticipata della nomina, comporteranno l’immediata cessazione dei trattamenti e il compimento delle attività specificamente previste dal successivo art. 12.

Resta comunque fermo in capo al Responsabile l’obbligo di mantenere l’assoluta riservatezza in ordine ai dati trattati così come disciplinato dal successivo art. 5.

4. Obblighi del Responsabile del trattamento di fronte al Titolare del trattamento Il Responsabile del trattamento si impegna a:

1. Trattare i dati solo per la finalità o le finalità sopra specificate e per l’esecuzione delle prestazioni contrattuali.

2. Il responsabile del trattamento effettua il trattamento dei dati personali soltanto su istruzione documentata del titolare del trattamento, salvo ove richiesto dal diritto dell’Unione o dal diritto nazionale dello stato membro cui è soggetto il responsabile del trattamento. l titolare del trattamento può impartire istruzioni successive durante il periodo di tratta- mento dei dati personali, ma queste devono essere sempre documentate e conservate per iscritto, anche elettronicamente, unitamente alle presenti Clausole.

3. Se il Responsabile del trattamento considera che una istruzione costituisca una violazione del Regolamento europeo sulla protezione dei dati personali o di altre disposizioni di legge dell’Unione o di stati membri, relative alla protezione dei dati personali, deve informare immediatamente il Titolare del trattamento.

4. Garantire la riservatezza dei dati personali trattati nell’ambito del presente accordo.

5. Il responsabile del trattamento concede l’accesso ai dati personali trattati per conto del titolare del trattamento soltanto alle persone sotto la propria autorità che si sono impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza ed esclusivamente nei casi di effettiva necessità. L’elenco delle persone a cui è stato concesso l’accesso deve essere sottoposto a revisione periodica. Sulla

base di tale revisione, l’accesso ai dati personali può essere revocato se non è più necessario e, di conseguenza, i dati personali non dovranno più essere accessibili a queste persone.

6. Controllare che le persone autorizzate a trattare i dati personali in virtù del presente atto:

a. si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza

b. ricevano la formazione e le istruzioni necessaria in materia di protezione dei dati personali.

7. Il responsabile del trattamento, su richiesta del titolare del trattamento, è tenuto a dimostrare che le persone interessate sotto la sua autorità sono soggette alla succi- tata riservatezza.

8. Rispettare, nella scelta dei prodotti, delle applicazioni e/o dei servizi utilizzati per il trattamento affidatogli, il principio di protezione dei dati fin dalla progettazione (Privacy by Design) e della protezione per impostazione predefinita (Privacy by Default), così come prescritto dall’art 25 del Regolamento.

9. Il Responsabile si riserva altresì la possibilità di trattare i dati in forma anonima per il perseguimento di eventuali ulteriori finalità.

5. Trasferimento di dati a paesi terzi o organizzazioni internazionali

Qualsiasi trasferimento di dati personali verso paesi terzi o organizzazioni internazionali avviene soltanto sulla base di istruzioni documentate del titolare del trattamento e ha luogo sempre in conformità con il capo V del Regolamento UE 2016/679.

Qualora trasferimenti di dati a paesi terzi o organizzazioni internazionali, per i quali il titolare del trattamento non ha fornito istruzioni al responsabile del trattamento, siano richiesti dal diritto dell’UE o dello Stato membro cui è soggetto il responsabile del trattamento, quest’ultimo informa il titolare di tale obbligo giuridico prima del trattamento, a meno che il diritto dell’UE o dello Stato membro vieti tale informazione per rilevanti motivi di interesse pubblico.

Nel quadro delle Clausole, il responsabile del trattamento, se non dispone di istruzioni documentate da parte del titolare del trattamento, non può quindi:

1. trasferire dati personali a un titolare del trattamento o a un responsabile del trattamento in un paese terzo o in un’organizzazione internazionale;

2. trasferire il trattamento dei dati personali a un sub-responsabile del tratta- mento in un paese terzo;

3. far trattare i dati personali del responsabile del trattamento in un paese terzo.

Il trasferimento anche temporaneo fuori del territorio dell’Unione Europea, con qualsiasi forma o mezzo, dei dati personali trattati in esecuzione del Contratto, potrà essere consentito al Responsabile, ove strettamente indispensabile, solo laddove avvenga nel rispetto di quanto previsto dagli articoli 44 e seguenti del Regolamento. Fuori dei casi che precedono, il trasferimento anche temporaneo, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela adeguato dei dati stessi.

Le presenti Clausole non vanno confuse con le clausole tipo di protezione dei dati ai sensi dell’articolo 46, paragrafo 2, lettere c) e d), Regolamento UE 2016/679, e non possono essere invocate quale strumento di trasferimento di cui al capo V del Regolamento UE 2016/679.

6. Obbligo di riservatezza del Responsabile e dei soggetti che agiscono per suo conto

In relazione a quanto è oggetto del Contratto e del presente atto, le parti si sono scambiate e continueranno a scambiarsi le informazioni aventi ad oggetto i dati personali dei soggetti Interessati. Dette informazioni devono considerarsi tutte riservate.

Il Responsabile si impegna ad adottare tutte le misure necessarie ed utili al fine di non pregiudicare la riservatezza delle informazioni ed a far osservare ai propri dipendenti e a chiunque altro sia deputato a trattare i dati personali forniti dal Titolare, le disposizioni di cui alla normativa sulla protezione dei dati personali vigente, nonché le istruzioni previste nel presente atto ed ogni altra indicazione scritta che gli potrà essere comunicata dal Titolare stesso.

Gli impegni di riservatezza quivi previsti resteranno validi ed efficaci anche dopo la scadenza del Contratto o la revoca anticipata della nomina, il Responsabile assicura che i soggetti cui è consentito l’accesso alle informazioni riservate siano sottoposti ad obblighi legali o contrattuali di riservatezza.

6. Ulteriore Responsabile del trattamento

Al fine di poter incaricare un altro responsabile del trattamento (un sub-responsabile), il responsabile del trattamento deve soddisfare i requisiti di cui all’art. 28, par. 2 e 4 Regolamento UE 2016/679.

Il responsabile del trattamento non può, pertanto, incaricare un altro responsabile del trattamento (sub- responsabile) per l’adempimento delle Clausole senza la previa autorizzazione generale scritta del titolare del trattamento.

Il responsabile del tratta-mento ha l’autorizzazione generale del titolare del trattamento ai fini del conferimento di un incarico a sub-responsabili del trattamento. Il responsabile del trattamento informa per iscritto il titolare del trattamento in merito a eventuali variazioni in termini di aggiunta o sostituzione di sub-responsabili del trattamento almeno 10 giorni prima, garantendo in tal modo al titolare del trattamento la possibilità di opporsi a tali variazioni prima del conferimento dell’incarico ai sub- responsabili. Il Titolare del trattamento dispone di un tempo massimo 10 giorni a partire dalla data di ricevimento di questa informazione per presentare le proprie obiezioni. Questa collaborazione può essere instaurata se il Titolare del trattamento non pone obiezioni entro il termine sopra indicato.

Quando un responsabile del trattamento ricorre a un sub-responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del tratta- mento, su tale sub-responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione europea o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nelle Clausole, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organiz- zative adeguate in modo tale che il trattamento soddisfi i requisiti delle Clausole e del Regolamento UE 2016/679.

Spetta quindi al responsabile del trattamento esigere che il sub-responsabile del trattamento adempia almeno agli obblighi cui è soggetto il responsabile stesso secondo le Clausole e il Regolamento UE 2016/679.

Una copia di tale accordo relativo al sub-responsabile del trattamento e ogni successiva modifica dello stesso è inviata al titolare del trattamento su sua richiesta, così da permettergli di garantire che al sub- responsabile del trattamento siano imposti gli stessi obblighi in materia di protezione dei dati contenuti nelle Clausole. Le clausole commerciali che non pregiudicano i contenuti giuridici in materia di protezione dei dati di cui all’accordo relativo al sub-responsabile del trattamento non necessitano di es- sere trasmesse al titolare del trattamento.

Il responsabile del trattamento concorda una clausola del terzo beneficiario con il sub- responsabile del trattamento, per cui, in caso di bancarotta del primo, il titolare del trattamento è un terzo beneficiario dell’accordo relativo al sub-responsabile del trattamento e ha il diritto di far valere l’accordo nei confronti di tale sub-responsabile, ad es. consentendo al titolare del trattamento di richiedere al sub-responsabile del trattamento di cancellare o restituire i dati personali.

Qualora il sub-responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile del trattamento conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi di tale sub-responsabile del trattamento. Ciò non pregiudica i diritti degli interessati ai sensi del Regolamento UE 2016/679 (in particolare quelli previsti negli articoli 79 e 82 Regolamento UE 2016/679) nei confronti del titolare del trattamento e del responsabile del trattamento, incluso il sub-responsabile.

7. Diritto di informazione delle persone interessate

Spetta al Titolare del trattamento fornire l’informativa di cui agli artt. 13-14 alle persone interessate per le operazioni di trattamento.

8. Esercizio dei diritti delle persone

Per quanto possibile, il Responsabile del trattamento deve assistere il Titolare del trattamento, nell’espletamento dei propri obblighi, di far seguito alle domande di esercizio dei diritti delle persone interessate previste dagli artt. 15-22 del Regolamento: diritto di accesso, di rettifica, di cancellazione e di opposizione, diritto alla limitazione del trattamento, diritto di portabilità dei dati, diritto di non essere oggetto di una decisione individuale automatizzata (compresa la profilazione).

Qualora le persone interessate esercitino un proprio diritto inviando l’istanza al Responsabile del trattamento questo deve inoltrarla mediante posta elettronica all’indirizzo fornito in fase di registrazione entro e non oltre il quarto giorno immediatamente successivo al ricevimento della richiesta.

Il Responsabile del trattamento, inoltre, entro 5 giorni dal ricevimento della richiesta pervenutagli, deve inoltrare mediante posta elettronica all’indirizzo fornito in fase di registrazione tutte le informazioni di cui è in possesso e che siano utili a rispondere all’Interessato.

Il Responsabile del trattamento non è tenuto a rispondere direttamente all’Interessato senza previa autorizzazione scritta del Titolare al quale compete in via esclusiva tale diritto.

Restano salve le diverse indicazioni documentate fornite dal Titolare del trattamento o le eventuali disposizioni di legge applicabili al Responsabile (che è obbligato, nella misura prevista dalle leggi, ad informare il Titolare di tale requisito legale prima che il Responsabile risponda alla richiesta dell’Interessato).

9. Notifica della violazione di dati a carattere personale

Il Responsabile del trattamento notifica al Titolare del trattamento ogni violazione di dati a carattere personale nel termine massimo di 48 ore dopo esserne venuto a conoscenza. Tale notifica è accompagnata da ogni documentazione utile per permettere al Titolare del trattamento, se necessario, di notificare la violazione all’autorità di controllo competente.

Spetta solo al Titolare decidere di non effettuare la notifica all’Autorità di controllo competente, in presenza di semplice incidente che non ha comportato perdita, distruzione, diffusione o modifica dei dati e/o, nonostante la violazione dei dati personali, sia improbabile che essa comporti un rischio per i diritti e le libertà degli Interessati. Il Responsabile del trattamento provvederà a fornire al Titolare del trattamento tutte le informazioni di propria competenza al fine di consentire a quest’ultimo di effettuare tale valutazione.

La notifica deve almeno:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di Interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni potranno essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

Previo accordo con il Titolare del trattamento, il Responsabile del trattamento comunica, in nome e per conto del Titolare del trattamento, la violazione di dati a carattere personale alla persona interessata al più presto, qualora, in base alla valutazione del Titolare, tale violazione sia suscettibile di generare un rischio elevato per i diritti e le libertà di una persona fisica.

La comunicazione alla persona interessata descrive, in termini chiari e semplici, la natura della violazione di dati a carattere personale e contiene almeno:

a. la descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di Interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b. la comunicazione del nome e dei dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c. la descrizione delle probabili conseguenze della violazione dei dati personali;

d. la descrizione delle misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

10. Assistenza del Responsabile del trattamento nell’attuazione degli obblighi del Titolare del trattamento

Il Responsabile del trattamento assiste il Titolare del trattamento nella realizzazione delle valutazioni di impatto relativi alla protezione dei dati, conformemente all’articolo 35 del Regolamento UE 2016/679.

Il Responsabile del trattamento assiste il Titolare del trattamento nella consultazione preventiva dell’autorità di controllo, prevista dall’articolo 36 del Regolamento UE 2016/679.

11. Misure di sicurezza

L’art. 32 del Regolamento UE 2016/679 prevede che tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del tratta- mento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

Il titolare del trattamento deve valutare i rischi per i diritti e le libertà delle persone fisiche inerenti al trattamento e attua misure per attenuare tali rischi. A seconda della loro pertinenza, le misure possono comprendere quanto segue:

a. la pseudonimizzazione e la cifratura dei dati personali;

b. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati per- sonali in caso di incidente fisico o tecnico;

d. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Ai sensi dell’articolo 32 Regolamento UE 2016/679 il responsabile del trattamento valuta anche, indipendentemente dal titolare del trattamento, i rischi per i diritti e le libertà delle persone fisiche inerenti

al trattamento e attua misure per attenuare tali rischi. A tal fine, il titolare del trattamento fornisce al responsabile del trattamento tutte le informazioni necessarie per identificare e valutare tali rischi.

Inoltre, il responsabile del trattamento assiste il titolare del trattamento nel garantire il rispetto degli obblighi imposti a quest’ultimo ai sensi dell’articolo 32 Regolamento UE 2016/679 fornendogli, tra l’altro, le informazioni riguardanti le misure tecniche e organizzative da questi già attuate ai sensi dell’articolo 32 medesimo, unitamente a tutte le altre informazioni necessarie al titolare del trattamento per conformarsi agli obblighi a lui imposti a norma del predetto articolo 32.

Laddove successivamente, secondo la valutazione del titolare del trattamento, il responsabile del trattamento sia tenuto ad attuare ulteriori misure per attenuare i rischi identificati oltre a quelle già attuate ai sensi dell’articolo 32 Regolamento UE 2016/679 il titolare del trattamento deve specificare tali misure aggiuntive da adottare

12. Disposizione dei dati al termine delle prestazioni contrattuali

Al termine della prestazione dei servizi relativi al trattamento di questi dati, il Responsabile del trattamento s’impegna a:

restituire tutti i dati a carattere personale al Titolare del trattamento e/o

trasmettere i dati a carattere personale al Responsabile del trattamento designato dal Titolare del

trattamento.

Tale operazione deve essere accompagnata dalla distruzione di tutte le copie esistenti nei sistemi informativi del Responsabile del trattamento. L’esito della distruzione dei dati deve essere documentata e comunicata in forma scritta dal Responsabile del trattamento.

13. Responsabile della protezione dei dati

Il Responsabile del trattamento comunica al Titolare del trattamento il nome ed i dati di contatto del proprio Responsabile della protezione dei dati, qualora ne abbia designato uno conformemente all’articolo 37 del Regolamento.

14. Registro delle categorie di attività di trattamento

Il Responsabile del trattamento dichiara di tenere il registro di tutte le categorie di attività di trattamento effettuate per conto del Titolare del trattamento, così come previsto dall’art. 30 par. 2 del Regolamento.

Il registro deve riportare:

il nome ed i dati del Titolare del trattamento per conto del quale lui tratta, degli eventuali Responsabili e, se applicabili, del Responsabile della protezione dei dati;

le categorie di trattamenti effettuati per conto del Titolare del trattamento;

se applicabili, i trasferimenti di dati a carattere personale verso un paese terzo o ad un’organizzazione internazionale e, nel caso di trasferimenti previsti dall’articolo 49, paragrafo 1, secondo comma del Regolamento, i documenti che attestano l’esistenza di opportune garanzie;

per quanto possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative, ivi compresi, fra gli altri, secondo le necessità:

la pseudonimizzazione e la numerazione dei dati a carattere personale;

i mezzi che permettono di garantire la riservatezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di trattamento;

i mezzi che permettono di ristabilire la disponibilità dei dati a carattere personale e l’accesso a questi nei tempi appropriati in caso di incidente fisico o tecnico;

una procedura che mira a testare, ad analizzare ed a valutare regolarmente l’efficacia delle misure tecniche ed organizzative per assicurare la sicurezza del trattamento.

15. Documentazione

Il Responsabile del trattamento mette a disposizione del Titolare del trattamento la documentazione necessaria per dimostrare il rispetto di tutti gli obblighi e per permettere la realizzazione di controlli e

verifiche, comprese le ispezioni, da parte del Titolare del Trattamento o di un altro revisore che lui ha incaricato, e contribuire a queste verifiche.

Il Titolare garantisce che:

(i) i controlli, le ispezioni e le verifiche di cui al paragrafo che precede avranno luogo durante il normale orario di lavoro e senza ostacolare l'attività del Responsabile e di altri clienti del Responsabile;

(ii) tutte le informazioni ottenute o generate dal Titolare o dal/i proprio/i auditors in relazione a tali controlli, ispezioni e verifiche saranno mantenute strettamente confidenziali (salvo richieste da parte delle Autorità di controllo o, se altrimenti richiesto, dalla legge applicabile).

Il Titolare riconosce e accetta che il costo di siffatti controlli, verifiche o ispezioni, sarà a proprio carico, a meno che dai predetti accertamenti, controlli o ispezioni non risultino inadempimenti e/o violazioni del Responsabile agli obblighi su di lui incombenti.

In alternativa alle ispezioni e controlli di cui sopra, il Titolare potrebbe richiedere al responsabile i documenti che rappresentano gli esiti delle verifiche e degli audit periodici che il Responsabile deve attuare ai sensi dell'art. 32, par. 1, lett. d) del Regolamento UE 2016/679.

16. Obblighi del Titolare del trattamento di fronte al Responsabile del trattamento

Il Titolare del trattamento sarà l’unico soggetto responsabile di tutte le valutazioni in ordine alla liceità del trattamento e alla salvaguardia dei diritti degli Interessati. Il titolare del trattamento è infatti responsabile di garantire che il trattamento dei dati perso- nali sia effettuato conformemente al Regolamento UE 2016/679 (art. 24 Regolamento UE 2016/679), alle disposizioni applicabili relative alla protezione dei dati dell’UE o degli Stati membri1 e alle Clausole.

Il titolare del trattamento ha il diritto e l’obbligo di prendere decisioni sulle finalità e sui mezzi del trattamento dei dati personali.

Spetta al titolare del trattamento, tra l’altro, di assicurare che il trattamento dei dati personali del quale è incaricato il responsabile del trattamento abbia una base giuri- dica.

Il Titolare del trattamento, pertanto, assicura che sono stati soddisfatti tutti i requisiti legali necessari per il trattamento:

avendo previamente fornito agli Interessati le informazioni previste dagli art. 13 e 14 del Regolamento;

garantendo la sussistenza di una base giuridica che legittima la liceità del trattamento, ivi compreso il consenso espresso dell’Interessato, ove previsto dalla legge applicabile;

avendo effettuato ogni altro adempimento previsto per il trattamento dei dati personali dalla normativa applicabile.

Il Titolare del trattamento s’impegna a:

fornire al Responsabile del trattamento i dati previsti dall’Appendice del presente atto;

documentare per iscritto tutte le istruzioni riguardanti il trattamento dei dati da parte del Responsabile del trattamento;

vigilare, in anticipo e durante la durata di tutto il trattamento, sul rispetto degli obblighi previsti dal Regolamento da parte del Responsabile del trattamento;

supervisionare il trattamento, comprese le revisioni e le ispezioni del Responsabile del trattamento.

17. Obblighi reciproci

Il Titolare e il Responsabile si mantengono vicendevolmente indenni per qualsiasi danno, incluse le spese legali, che possa derivare da pretese avanzate nei rispettivi confronti a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento che siano imputabili a fatto, comportamento od omissione dell’altro.

18. Contatti/punti di contatto del titolare e del responsabile del trattamento

Le parti possono mettersi in contatto tra di loro utilizzando i seguenti contatti/punti di contatto:

DATI CONTATTO TITOLARE

Verranno utilizzati i dati di contatto forniti in fase di registrazione.

DATI DI CONTATTO RESPONSABILE

C2B4FOOD S.R.L.

Via Bigliardi 19 – 42045 Luzzara (RE)

Tel. 0376 261780

Mail. wefrood@c2b4food.com

Le parti sono tenute a informarsi costantemente di ogni modifica riguardante i con- tatti/punti di contatto.

19. Accordo delle parti su altri termini

Le parti possono concordare altre clausole riguardanti la prestazione del servizio relativo al trattamento dei dati personali specificando ad es. la responsabilità, purché esse non siano incompatibili, direttamente o indirettamente, con le Clausole o ledano i diritti o le libertà fondamentali dell’interessato e la protezione prevista dal Regolamento UE 2016/679.

20. Inizio e risoluzione

Le Clausole sono efficaci dalla data della firma a opera di entrambe le parti.

Le parti hanno il diritto di richiedere la rinegoziazione delle Clausole laddove una modifica alla legge o l’inadeguatezza delle Clausole dovessero dare luogo a tale rinegoziazione.

Le Clausole sono valide per la durata della prestazione dei servizi relativi al trattamento dei dati personali. Per la durata della prestazione dei servizi relativi al trattamento dei dati personali le Clausole non possono essere risolte, a meno che le parti abbiano concordato altre Clausole che disciplinino tale prestazione.

Con la sottoscrizione del presente atto le parti si danno reciprocamente atto di averne previamente discusso il contenuto, di averne ricevuto una copia e, conseguentemente, di considerarlo parte vincolante del Contratto.

__________, _______________________

 

Il Titolare del trattamento

Il Responsabile del trattamento

F.to

F.to

_______________________________________

_________________________________________

Appendice 1 – Descrizione delle attività di trattamento”

La seguente Appendice descrive genericamente le attività che devono essere realizzate dal Responsabile al fine adempiere al Contratto, impegnandosi ad assicurare un livello di sicurezza appropriato. Ove il Responsabile sia stato autorizzato a nominare ulteriori Responsabili del trattamento, egli deve garantire il livello di sicurezza analogo a quello previsto per le attività di trattamento descritte nella presente appendice.

Con la sottoscrizione del presente allegato denominato “Appendice 1 – Descrizione delle attività di trattamento”, che sostituisce e revoca le indicazioni eventualmente in precedenza impartite in relazione al medesimo Contratto, le parti si danno reciprocamente atto di averne previamente discusso il contenuto, di averne ricevuto copia e, conseguentemente, di considerarlo parte integrante e sostanziale dell’atto di nomina e del Contratto.

Oggetto del

Trattamento

Categorie

Tipi di

Categorie di

Categorie

Dati

contratto

 

di

dati

dati personali

di dati

relativi a

 

 

 

interessati

personali

 

particolari

condanne

 

 

 

 

 

 

(ex. art. 9

penali e

 

 

 

 

 

 

del

reati (art.

 

 

 

 

 

 

GDPR)

10 del

I trattamenti

la raccolta,

Utenti di

Dati

DATI

 

GDPR)

 

 

svolti dal

la registrazione,

WeFrood

comuni

IDENTIFICATIVI

 

 

Responsabile

l'organizzazione,

(così come

 

(Nome,

 

 

del

 

la strutturazione,

definiti

 

Cognome,

 

 

trattamento

la conservazione,

nelle

 

Nickname,

 

 

per conto del

l'adattamento,

condizioni

 

slug, user

 

 

Titolare sono

la modifica,

di

 

digitali)

 

 

quelli che

l'estrazione,

contratto)

 

 

 

 

derivano dai

la consultazione,

 

 

DATI DELLE

 

 

servizi definiti

l'uso,

 

 

RECENSIONI

 

 

nelle

la comunicazione

 

 

(Recensioni

 

 

condizioni di

mediante

 

 

verso

 

 

contratto (a

trasmissione,

 

 

prodotto,

 

 

prescindere

diffusione o

 

 

recensioni

 

 

che i servizi

qualsiasi altra

 

 

verso negozio)

 

 

siano o meno

forma di messa a

 

 

 

 

 

a pagamento)

disposizione,

 

 

DATI DEGLI

 

 

ovvero:

il raffronto,

 

 

ANNUNCI

 

 

-

Pubblica

l'interconnessione,

 

 

(Destinatari

 

 

 

profilo e la

la limitazione,

 

 

degli annunci,

 

 

 

mia offerta

la cancellazione,

 

 

contenuto

 

 

-

Invio di

la distruzione

 

 

degli annunci,

 

 

 

annunci

 

 

 

ecc.)

 

 

- I prodotti con il mio nome (interazioni

)

- La mia vetrina

Il Responsabile del trattamento che in adempimento del Contratto tratta i dati personali per conto del Titolare deve implementare misure tecniche e organizzative appropriate per assicurare un livello di

sicurezza conforme a quanto previsto dalla normativa applicabile alla protezione dei dati e/o dalle misure imposte dall'Autorità Sovrannazionale, in conformità alla normativa comunitaria o ad altre norme di legge. Il Responsabile deve valutare il livello di sicurezza appropriato previa analisi di tutti i rischi legati e connessi al trattamento dei dati personali con precipuo riferimento al trattamento che deve svolgere, incluso il rischio connesso alla distruzione, sia essa accidentale o volontaria, alla perdita, all'alterazione, all'accesso non autorizzato, alla divulgazione, alla momentanea indisponibilità dei dati personali trasmessi, trattati o conservati.

Tutte le comunicazioni e/o trasmissioni di dati personali tra il Responsabile e il Titolare o tra il Responsabile e ciascuna terza parte preventivamente autorizzata per iscritto dal Titolare medesimo, devono essere effettuate rispettando la sicurezza e l’integrità dei dati.

__________, _______________________

 

Il Titolare del trattamento

Il Responsabile del trattamento

F.to

F.to

_______________________________________

_________________________________________