1. Premessa

Il presente documento, allegato e parte integrante del contratto di licenza del programma “Order Sender Business”, si considera trascritto in calce allo stesso e, pertanto, si intendono richiamate tutte le definizioni e le clausole, che si danno per conosciute da tutte le Parti del Contratto.

2. Accordo

In ottemperanza alle disposizioni del Regolamento EU 2016/679 in materia di protezione dei dati personali (in seguito anche solo “GDPR”), si comunica che, per quanto riguarda le attività di trattamento dei dati personali connesse all’utilizzo del Programma, tali attività sono svolte da Cosmobile per conto Cliente, quale titolare del trattamento, e pertanto Cosmobile assume il ruolo di responsabile del trattamento.

Si dà atto, in particolare, che l’utilizzo del Programma potrebbe comportare il trattamento dei dati personali descritti nel presente documento.

Con la sottoscrizione del Contratto, Cosmobile viene nominata responsabile del trattamento alla luce delle garanzie sufficienti prestate al fine di mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dal GDPR e garantisca la tutela dei diritti e libertà fondamentali ed inviolabili degli interessati.

Le Parti si impegnano a tenersi reciprocamente indenni e manlevate per ogni danno, onere, costo, spesa e/o pretesa di terzi eventualmente derivante dalla violazione delle vigenti disposizioni normative in materia di protezione dei dati personali, che risulti imputabile a ciascuna Parte, ossia al Cliente quale titolare del trattamento, da un lato, e Cosmobile quale responsabile del trattamento, dall’altro, quest’ultimo anche in relazione alle attività di trattamento di dati personali svolte dagli eventuali ulteriori responsabili autorizzati (sub-responsabili).

Ai sensi di quanto previsto all’art. 30, paragrafo 2, lett. a) del GDPR, i dati di contatto del titolare del trattamento, da poter indicare nel registro delle attività di trattamento, sono quelli già indicati dal Cliente al momento della registrazione e dell’attivazione del periodo di prova o dell’Abbonamento; qualora il Cliente abbia nominato un responsabile della protezione dei dati (RPD – DPO), si impegna a comunicarne il nominativo e i dati di contatto a Cosmobile entro 5 (cinque) giorni dalla sottoscrizione del Contratto.

Il titolare del trattamento si obbliga a comunicare eventuali variazioni o modifiche dei propri dati di contatto e dei dati del responsabile della protezione dei dati tempestivamente e comunque con modalità tracciabile.

3. Trattamenti

3.1. Natura e finalità del trattamento

I dati personali saranno trattati esclusivamente per il corretto utilizzo del Programma.

Nel dettaglio, la finalità del trattamento è finalizzata a: raccolta e archiviazione per finalità contrattuali, commerciali e/o fiscali; trattamento e comunicazione per finalità contrattuali, commerciali, fiscali e di contatto; raccolta, archiviazione e profilazione per finalità statistiche.

3.2. Modalità del trattamento

Il trattamento avverrà in forma automatizzata, semiautomatizzata e manuale, esclusivamente in formato elettronico.

3.3. Categorie di interessati

I dati personali trattati potrebbero riguardare il Cliente, i suoi legali rappresentanti, i suoi dipendenti, i suoi collaboratori, i suoi fornitori, i suoi clienti e potenziali clienti, nonché i contatti raccolti in precedenza direttamente dal Cliente.

3.4. Tipologia di dati personali

I trattamenti effettuati da Cosmobile per conto del Cliente riguardano esclusivamente dati personali comuni (nome, cognome, codice fiscale, dati bancari, dati retributivi, ecc.). Cosmobile non assume alcuna responsabilità per l’eventuale trattamento – non autorizzato né previsto dal presente Accordo – di dati appartenenti alle particolari categorie di cui agli artt. 9 e 10 del GDPR.

3.5. Durata del trattamento

Il presente Accordo ha la medesima durata ed efficacia del Contratto; pertanto, al momento della cessazione del Contratto cesserà anche la valenza di questo documento, fermo restando che, anche successivamente al temine del Contratto, Cosmobile garantisce la massima riservatezza sui dati personali e sulle informazioni acquisite in vigenza del Contratto.

Nel caso in cui il Cliente dovesse ottenere nuova licenza per l’utilizzo del Programma senza soluzione di continuità, il presente Accordo si considererà prorogato e il trattamento di dati personali proseguirà immutato.

Alla naturale scadenza dell’Accordo, salvo eventuali proroghe, Cosmobile conserverà i dati personali per un periodo pari a 60 (sessanta) giorni, oltre il quale procederà con la distruzione sicura; i dati personali potranno essere conservati oltre questo termine su esplicita richiesta del Cliente ovvero nei casi in cui vi sia una previsione di legge, una richiesta dell’autorità giudiziaria o altro motivo idoneo a giustificare una conservazione ulteriore.

4. Obblighi di Cosmobile

4.1. Obblighi generali

Cosmobile, in qualità di responsabile del trattamento, si impegna a:

  1. trattare i dati personali comunicati o resi disponibili dal Cliente, o comunque acquisiti nel corso dell’esecuzione del Contratto esclusivamente ai fini della fornitura e dell’utilizzo del Programma;
  2. trattare i dati personali soltanto sulla base delle documentate istruzioni fornite dal Cliente, anche in caso di eventuale trasferimento di dati personali verso soggetti stabiliti in Paesi al di fuori della Unione Europea, che potrà essere effettuato solo previa autorizzazione del Cliente medesimo e sulla base delle relative istruzioni, adottando le adeguate garanzie secondo la vigente normativa europea e nazionale di riferimento e le indicazioni del Cliente e di cui andrà mantenuta adeguata documentazione da fornire, ove richiesto;
  3. non divulgare o rendere noti a terzi i dati personali acquisiti in conseguenza dell’utilizzo del Programma ed adottare le misure necessarie per assicurare la massima riservatezza dei dati acquisiti;
  4. adottare le misure adeguate e necessarie per assicurare la massima sicurezza, ai sensi dell’art. 32 del GDPR, dei dati trattati in conseguenza dell’utilizzo del Programma, come meglio riportato al successivo punto 4.2;
  5. individuare le persone autorizzate al trattamento dei dati personali, ivi compresi gli amministratori di sistema, che operano sotto l’autorità di Cosmobile, nonché adottare le misure volte a (i) garantire l’assunzione da parte di tali persone di idonei obblighi di riservatezza in ordine ai dati personali trattati, (ii) fornire loro adeguate e documentate istruzioni circa il rispetto, in particolare, delle misure per la sicurezza dei dati e (iii) vigilare sull’osservanza, da parte delle persone autorizzate, delle istruzioni impartite per il trattamento dei dati personali e delle vigenti disposizioni normative in materia di protezione dei dati personali;
  6. adottare tutte le misure richieste nei provvedimenti del Garante per la protezione dei dati personali in tema amministratori di sistema fino alla loro eventuale modifica, sostituzione ed abrogazione come meglio indicato al successivo punto 4.3;
  7. assicurare, per quanto di competenza in relazione all’utilizzo del Programma, il corretto adempimento degli obblighi previsti dalle disposizioni del GDPR, secondo le modalità, procedure e modulistiche via via indicate dal Cliente;
  8. assistere il Cliente con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Cliente di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al Capo III del GDPR;
  9. assistere il Cliente nel garantire il rispetto, per quanto di relativa competenza, degli obblighi in tema di sicurezza, degli obblighi di valutazione d’impatto sulla protezione dati ed eventuale consultazione preventiva, ai sensi degli articoli 32, 35 e 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione di Cosmobile, nonché delle documentate istruzioni via via impartite dal Cliente in relazione all’adempimento dei suddetti obblighi;
  10. assistere il Cliente nel garantire il rispetto, per quanto di relativa competenza, degli obblighi di notifica all’autorità di eventuali violazioni di dati personali e, se del caso, loro comunicazione agli interessati, ai sensi degli articoli 33 e 34 del GDPR, come meglio indicato al successivo punto 4.4;
  11. informare tempestivamente il Cliente in caso di ricevimento di richieste di informazioni o documenti, accertamenti ed ispezioni, da parte del Garante per la protezione dei dati personali, quale autorità competente di controllo, o di altre autorità giudiziarie o di polizia giudiziaria, ove attinenti al trattamento dei dati personali connesso all’utilizzo del Programma, e collaborare con il Cliente alla predisposizione dei correlati riscontri, atti, documenti o comunicazioni;
  12. cancellare o restituire al Cliente, su richiesta di quest’ultimo, tutti i dati personali dopo che è terminato il periodo di licenza del Programma e cancellare le copie esistenti, salvo che la vigente normativa europea o nazionale ovvero il Contratto prevedano la conservazione dei dati da parte di Cosmobile;
  13. mettere a disposizione del Cliente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente documento e alla vigente disciplina normativa in materia di protezione dei dati personali;
  14. consentire e contribuire alle attività di verifica e ispezione, da parte del Cliente, o dei soggetti da quest’ultimo incaricati, anche in loco (presso i locali all’interno dei quali sono effettuati i trattamenti), a seguito di un congruo preavviso e durante il normale orario di lavoro, senza interrompere la continuità delle attività lavorative.

Con riferimento al trattamento dei dati personali connesso all’utilizzo del Programma, Cosmobile è inoltre autorizzata, sin da ora, ad avvalersi di ulteriori responsabili del trattamento (sub-responsabili), il cui elenco completo sarà reso disponibile al Cliente dietro semplice richiesta.

Il suddetto elenco sarà periodicamente aggiornato dal responsabile del trattamento, il quale comunicherà eventuali modifiche, con particolare riguardo all’aggiunta e/o sostituzione, entro 30 (trenta) giorni dalla stessa.

Il Cliente avrà il diritto di opporsi alle modifiche apportate (aggiunta e/o sostituzione di uno o più sub- responsabili) mediante apposita missiva da inviarsi a mezzo raccomandata con ricevuta di ritorno al domicilio legale di Cosmobile ovvero posta elettronica certificata al domicilio digitale di Cosmobile, entro e non oltre 15 (quindici) giorni decorrenti dalla data di comunicazione della modifica. Resta inteso che decorso il predetto termine infruttuosamente e senza riscontro, l’elenco aggiornato si intenderà definitivamente accettato ed approvato dal Cliente anche qualora i predetti sub-responsabili dovessero essere cancellati e reintrodotti in futuro.

Cosmobile dichiara e garantisce che i sub-responsabili presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative idonee a garantire il rispetto delle disposizioni del GDPR e si impegna, nell’ambito dei contratti e degli accordi stipulati con i sub-responsabili a:

  1. vincolarli al rispetto degli stessi obblighi in materia di protezione dei dati personali assunti da Cosmobile nei confronti del Cliente, ove applicabili e pertinenti rispetto alle attività affidate agli stessi;
  2. custodire una copia dei contratti, accordi o documenti disciplinanti gli obblighi in materia di protezione dei dati personali, sottoscritti per presa visione ed accettazione da parte dei sub-responsabili e fornirne copia al Cliente, in caso di richiesta da parte dello stesso;
  3. assumere nei confronti del Cliente ogni responsabilità in ordine al rispetto dei predetti obblighi da parte dei sub-responsabili.

4.2. Sicurezza del trattamento

Tenendo conto dello stato dell’arte e costi di attuazione, della natura, oggetto, contesto e finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e libertà delle persone fisiche, e delle proprietà di riservatezza, integrità e disponibilità dei dati, Cosmobile definisce e mette in atto misure tecniche ed organizzative per garantire un adeguato livello di sicurezza dei dati personali trattati, che possono comprendere, se applicabili e a discrezionalità del responsabile:

  1. la pseudonimizzazione e/o cifratura dei dati personali;
  2. la capacità di assicurare su base permanente la riservatezza, integrità, disponibilità e resilienza dei sistemi e servizi di trattamento;
  3. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico-logico;
  4. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative definite ed implementate, al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, tiene conto, in special modo, dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Ai sensi degli artt. 40 e 42 del Regolamento, può aderire, rispettivamente, ad un codice di condotta o meccanismo di certificazione. Suddette adesioni possono essere utilizzate come elemento per dimostrare la conformità alle disposizioni del GDPR.

Il responsabile del trattamento, garantisce inoltre, che chiunque agisca sotto la propria autorità e abbia accesso ai dati personali, non tratti tali dati se non è istruito in tal senso, salvo che lo richieda il diritto dell’Unione Europea o degli Stati membri.

Con particolare riferimento alle misure tecniche e organizzative, Cosmobile si impegna a fornire l’elenco e la documentazione comprovante l’adozione delle suddette misure su richiesta esplicita del Cliente.

4.3. Amministratori di sistema

Il responsabile del trattamento individua e nomina per iscritto gli amministratori di sistema tenuto conto delle attività svolte, delle competenze e dei profili professionali, nonché a seguito di attente valutazioni delle loro caratteristiche soggettive.

Cosmobile terrà un elenco degli amministratori di sistema e provvederà al suo mantenimento e aggiornamento almeno su base annuale e/o ogni qualvolta si renda necessario (ad esempio, a seguito di cambiamenti organizzativi).

Tutti gli accessi da parte degli amministratori di sistema devono essere tracciati mediante appositi log (access log), registrati e conservati secondo quanto richiesto dai provvedimenti in materia, ovvero tenendo conto delle caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità.

4.4. Violazione dei dati personali (data breach)

Il responsabile del trattamento si impegna ad informare, tempestivamente e comunque non oltre 48 (quarantotto) ore dal momento in cui ne è venuto a conoscenza, il Cliente di ogni violazione della sicurezza dei dati personali oggetto di trattamento, prestando ogni necessaria collaborazione allo stesso in relazione all’adempimento di notificazione all’autorità di controllo, non oltre le 72 (settantadue) ore e, se necessario, agli interessati.

5. Obblighi del Cliente

5.1. Obblighi generali

Il Cliente, nell’ambito del presente accordo, si impegna a collaborare attivamente con il responsabile del trattamento affinché possa correttamente adempiere ai propri obblighi in materia di protezione dei dati personali.

In particolare, il Cliente si impegna a:

  1. comunicare per iscritto, entro e non oltre 7 (sette) giorni dalla sottoscrizione del Contratto, le dettagliate istruzioni necessarie per trattare i dati personali conformemente alle disposizioni vigenti in materia di protezione dei dati, ai sensi dell’art. 29 del GDPR, anche in caso di eventuale trasferimento di dati personali verso soggetti stabiliti in Paesi al di fuori della Unione Europea;
  2. non ostacolare le attività poste in essere dal responsabile del trattamento, nel rispetto dell’autonomia contrattuale conferita allo stesso e per quanto rispondenti agli obblighi previsti dalla vigente normativa;
  3. manlevare e mantenere indenne Cosmobile da qualsiasi onere, azione, controversia, danno o conseguenza derivante dall’osservanza delle predette istruzioni;
  4. rifondere Cosmobile degli ulteriori costi che questa dovrà sopportare in ragione delle istruzioni fornite e quali conseguenza dell’osservanza delle disposizioni di cui agli artt. 32 ss. del GDPR nonché delle richieste effettuate dal Cliente;
  5. manlevare Cosmobile dall’adozione di ogni e qualsiasi misura – e dalle conseguenti responsabilità per la mancata adozione – prevista dalla vigente normativa e/o richiesta dal Cliente, nel caso in cui il Cliente non corrisponda al responsabile del trattamento, entro 7 (sette) giorni dall’avvenuta comunicazione della stima preventiva, la somma stabilita quale presumibile costo di adeguamento;
  6. garantire di aver raccolto e trattato i dati in conformità e nel rispetto di una o più basi giuridiche, eventualmente raccogliendo l’esplicito consenso degli interessati.

Nel rispetto delle disposizioni che precedono, il Cliente si dichiara consapevole che, in assenza di specifiche e documentate istruzioni, Cosmobile tratterà i dati personali nel rispetto della vigente normativa e secondo i principi stabiliti dal Regolamento Europeo 2016/679, ratificando sin d’ora l’operato del responsabile del trattamento, anche con riferimento ad eventuali trasferimenti di dati personali effettuati al di fuori dell’Unione Europea.

In particolare, salvo diversa indicazione delle Parti, le scelte tecniche e organizzative nonché le misure di sicurezza adottate da responsabile del trattamento e comunicate alla sottoscrizione del Contratto saranno considerate esatto adempimento delle istruzioni fornite dal Cliente, fino a prova contraria di cui sarà onerato il Cliente stesso.