EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32021D0915
Commission Implementing Decision (EU) 2021/915 of 4 June 2021 on standard contractual clauses between controllers and processors under Article 28(7) of Regulation (EU) 2016/679 of the European Parliament and of the Council and Article 29(7) of Regulation (EU) 2018/1725 of the European Parliament and of the Council (Text with EEA relevance)
Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell'articolo 29, paragrafo 7, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (Testo rilevante ai fini del SEE)
Decisione di esecuzione (UE) 2021/915 della Commissione del 4 giugno 2021 relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell'articolo 29, paragrafo 7, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio (Testo rilevante ai fini del SEE)
C/2021/3701
OJ L 199, 7.6.2021, p. 18–30
(BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
7.6.2021 |
IT |
Gazzetta ufficiale dell’Unione europea |
L 199/18 |
DECISIONE DI ESECUZIONE (UE) 2021/915 DELLA COMMISSIONE
del 4 giugno 2021
relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento a norma dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio e dell'articolo 29, paragrafo 7, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio
(Testo rilevante ai fini del SEE)
LA COMMISSIONE EUROPEA,
visto il trattato sul funzionamento dell'Unione europea,
visto il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (1), in particolare l'articolo 28, paragrafo 7,
visto il regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE (2), in particolare l'articolo 29, paragrafo 7,
considerando quanto segue:
|
(1) |
I concetti di titolare del trattamento e di responsabile del trattamento hanno un ruolo cruciale nell'applicazione del regolamento (UE) 2016/679 e del regolamento (UE) 2018/1725. Il titolare del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Ai fini del regolamento (UE) 2018/1725, per titolare del trattamento si intende l'istituzione o l'organo dell'Unione, la direzione generale o qualunque altra entità organizzativa che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Quando le finalità e i mezzi di tale trattamento sono determinati da un atto specifico dell'Unione, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione. Il responsabile del trattamento è la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento. |
|
(2) |
Al rapporto tra titolari del trattamento e responsabili del trattamento soggetti al regolamento (UE) 2016/679 e tra titolari del trattamento e responsabili del trattamento soggetti al regolamento (UE) 2018/1725 dovrebbe applicarsi lo stesso insieme di clausole contrattuali tipo. Questo perché, per assicurare un approccio coerente alla protezione dei dati personali in tutta l'Unione e la libera circolazione dei dati personali all'interno dell'Unione, le norme sulla protezione dei dati del regolamento (UE) 2016/679, applicabili al settore pubblico negli Stati membri, e le norme sulla protezione dei dati del regolamento (UE) 2018/1725, applicabili alle istituzioni, agli organi e agli organismi dell'Unione, sono state per quanto possibile allineate tra loro. |
|
(3) |
Per garantire il rispetto delle prescrizioni dei regolamenti (UE) 2016/679 e (UE) 2018/1725, quando affida delle attività di trattamento a un responsabile del trattamento, il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti dei regolamenti (UE) 2016/679 e (UE) 2018/1725, anche per la sicurezza del trattamento. |
|
(4) |
I trattamenti da parte di un responsabile del trattamento devono essere disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli gli elementi elencati all'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 o all'articolo 29, paragrafi 3 e 4, del regolamento (UE) 2018/1725. Tale contratto o atto è stipulato in forma scritta, anche in formato elettronico. |
|
(5) |
A norma dell'articolo 28, paragrafo 6, del regolamento (UE) 2016/679 e dell'articolo 29, paragrafo 6, del regolamento (UE) 2018/1725, il titolare del trattamento e il responsabile del trattamento possono scegliere di negoziare un contratto individuale contenente gli elementi obbligatori di cui, rispettivamente, all'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 o all'articolo 29, paragrafi 3 e 4, del regolamento (UE) 2018/1725, oppure di utilizzare, in tutto o in parte, le clausole contrattuali tipo adottate dalla Commissione in conformità dell'articolo 28, paragrafo 7, del regolamento (UE) 2016/679 e dell'articolo 29, paragrafo 7, del regolamento (UE) 2018/1725. |
|
(6) |
Il titolare del trattamento e il responsabile del trattamento dovrebbero essere liberi di includere le clausole contrattuali tipo stabilite nella presente decisione in un contratto più ampio e di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le clausole contrattuali tipo o pregiudichino i diritti o le libertà fondamentali degli interessati. L'utilizzo delle clausole contrattuali tipo lascia impregiudicato qualunque obbligo contrattuale del titolare del trattamento e/o del responsabile del trattamento di garantire il rispetto dei privilegi e delle immunità applicabili. |
|
(7) |
Le clausole contrattuali tipo dovrebbero contenere norme sia sostanziali che procedurali. In linea con l'articolo 28, paragrafo 3, del regolamento (UE) 2016/679 e l'articolo 29, paragrafo 3, del regolamento (UE) 2018/1725, le clausole contrattuali tipo dovrebbero inoltre imporre al titolare del trattamento e al responsabile del trattamento di indicare la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali in questione e le categorie di interessati, nonché gli obblighi e i diritti del titolare del trattamento. |
|
(8) |
In conformità dell'articolo 28, paragrafo 3, del regolamento (UE) 2016/679 e dell'articolo 29, paragrafo 3, del regolamento (UE) 2018/1725, il responsabile del trattamento deve informare immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione del titolare del trattamento violi il regolamento (UE) 2016/679 o il regolamento (UE) 2018/1725 o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati. |
|
(9) |
Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività, si dovrebbero applicare i requisiti specifici di cui all'articolo 28, paragrafi 2 e 4, del regolamento (UE) 2016/679 o all'articolo 29, paragrafi 2 e 4, del regolamento (UE) 2018/1725. In particolare, è necessaria un'autorizzazione preliminare scritta, specifica o generale. A prescindere dal carattere specifico o generale di tale autorizzazione, il primo responsabile del trattamento dovrebbe tenere un elenco aggiornato degli altri responsabili del trattamento. |
|
(10) |
Per soddisfare i requisiti di cui all'articolo 46, paragrafo 1, del regolamento (UE) 2016/679, la Commissione ha adottato clausole contrattuali tipo in conformità dell'articolo 46, paragrafo 2, lettera c), dello stesso regolamento (UE) 2016/679. Tali clausole soddisfano anche i requisiti di cui all'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 per i trasferimenti di dati da titolari del trattamento soggetti al regolamento (UE) 2016/679 a responsabili del trattamento che non rientrano nell'ambito di applicazione territoriale di tale regolamento, o da responsabili del trattamento soggetti al regolamento (UE) 2016/679 a sub-responsabili del trattamento che non rientrano nell'ambito di applicazione territoriale di tale regolamento. Le presenti clausole contrattuali tipo non possono essere utilizzate come clausole contrattuali tipo ai fini del capo V del regolamento (UE) 2016/679. |
|
(11) |
I terzi dovrebbero poter diventare parti delle clausole contrattuali tipo durante l'intero ciclo di vita del contratto. |
|
(12) |
Il funzionamento delle clausole contrattuali tipo dovrebbe essere valutato nell'ambito della valutazione periodica del regolamento (UE) 2016/679 di cui all'articolo 97 di tale regolamento. |
|
(13) |
Il garante europeo della protezione dei dati e il comitato europeo per la protezione dei dati sono stati consultati a norma dell'articolo 42, paragrafi 1 e 2, del regolamento (UE) 2018/1725 e hanno espresso un parere congiunto il 14 gennaio 2021 (3), di cui si è tenuto conto nella preparazione della presente decisione. |
|
(14) |
Le misure di cui alla presente decisione sono conformi al parere del comitato istituito a norma dell'articolo 93 del regolamento (UE) 2015/679 e dell'articolo 96, paragrafo 2, del regolamento (UE) 2015/1725, |
HA ADOTTATO LA PRESENTE DECISIONE:
Articolo 1
Le clausole contrattuali tipo figuranti in allegato soddisfano i requisiti per i contratti tra titolari del trattamento e responsabili del trattamento di cui all'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 e all'articolo 29, paragrafi 3 e 4, del regolamento (UE) 2018/1725.
Articolo 2
Le clausole contrattuali tipo figuranti in allegato possono essere utilizzate nei contratti tra un titolare del trattamento e un responsabile del trattamento che tratta dati personali per conto del titolare del trattamento.
Articolo 3
La Commissione valuta l'applicazione pratica delle clausole contrattuali tipo figuranti in allegato, sulla base di tutte le informazioni disponibili, nell'ambito della valutazione periodica prevista all'articolo 97 del regolamento (UE) 2016/679.
Articolo 4
La presente decisione entra in vigore il ventesimo giorno successivo alla pubblicazione nella Gazzetta ufficiale dell'Unione europea.
Fatto a Bruxelles, il 4 giugno 2021
Per la Commissione
La presidente
Ursula VON DER LEYEN
(1) GU L 119 del 4.5.2016, pag. 1.
(2) GU L 295 del 21.11.2018, pag. 39.
(3) Parere congiunto 2/2021 dell'EDPB e del GEPD sulla decisione di esecuzione della Commissione europea relativa alle clausole contrattuali tipo tra titolari del trattamento e responsabili del trattamento riguardo alle questioni di cui all'articolo 28, paragrafo 7, del regolamento (UE) 2016/679 e all'articolo 29, paragrafo 7, del regolamento (UE) 2018/1725.
ALLEGATO
Clausole contrattuali tipo
SEZIONE I
Clausola 1
Scopo e ambito di applicazione
|
a) |
Scopo delle presenti clausole contrattuali tipo (di seguito «clausole») è garantire il rispetto [scegliere l'opzione pertinente: OPZIONE 1: dell'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)]/[OPZIONE 2: dell'articolo 29, paragrafi 3 e 4, del regolamento (UE) 2018/1725 del Parlamento europeo e del Consiglio, del 23 ottobre 2018, sulla tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni, degli organi e degli organismi dell'Unione e sulla libera circolazione di tali dati, e che abroga il regolamento (CE) n. 45/2001 e la decisione n. 1247/2002/CE]. |
|
b) |
I titolari del trattamento e i responsabili del trattamento di cui all'allegato I hanno accettato le presenti clausole al fine di garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 e/o dell'articolo 29, paragrafi 3 e 4, del regolamento (UE) 2018/1725. |
|
c) |
Le presenti clausole si applicano al trattamento dei dati personali specificato all'allegato II. |
|
d) |
Gli allegati da I a IV costituiscono parte integrante delle clausole. |
|
e) |
Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto il titolare del trattamento a norma del regolamento (UE) 2016/679 e/o del regolamento (UE) 2018/1725. |
|
f) |
Le presenti clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725. |
Clausola 2
Invariabilità delle clausole
|
a) |
Le parti si impegnano a non modificare le clausole se non per aggiungere o aggiornare informazioni negli allegati. |
|
b) |
Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio o di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati. |
Clausola 3
Interpretazione
|
a) |
Quando le presenti clausole utilizzano i termini definiti, rispettivamente, nel regolamento (UE) 2016/679 o nel regolamento (UE) 2018/1725, tali termini hanno lo stesso significato di cui al regolamento interessato. |
|
b) |
Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725, rispettivamente. |
|
c) |
Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679 / dal regolamento (UE) 2018/1725, o che pregiudichi i diritti o le libertà fondamentali degli interessati. |
Clausola 4
Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Clausola 5 — Facoltativa
Clausola di adesione successiva
|
a) |
Qualunque entità che non sia parte delle presenti clausole può, con l'accordo di tutte le parti, aderire alle presenti clausole in qualunque momento, in qualità di titolare del trattamento o di responsabile del trattamento, compilando gli allegati e firmando l'allegato I. |
|
b) |
Una volta compilati e firmati gli allegati di cui alla lettera a), l'entità aderente è considerata parte delle presenti clausole e ha i diritti e gli obblighi di un titolare del trattamento o di un responsabile del trattamento, conformemente alla sua designazione nell'allegato I. |
|
c) |
L'entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all'adesione. |
SEZIONE II
OBBLIGHI DELLE PARTI
Clausola 6
Descrizione del trattamento
I dettagli dei trattamenti, in particolare le categorie di dati personali e le finalità del trattamento per le quali i dati personali sono trattati per conto del titolare del trattamento, sono specificati nell'allegato II.
Clausola 7
Obblighi delle parti
7.1. Istruzioni
|
a) |
Il responsabile del trattamento tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento. In tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto lo vieti per rilevanti motivi di interesse pubblico. Il titolare del trattamento può anche impartire istruzioni successive per tutta la durata del trattamento dei dati personali. Tali istruzioni sono sempre documentate. |
|
b) |
Il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, le istruzioni del titolare del trattamento violino il regolamento (UE) 2016/679/ il regolamento (UE) 2018/1725 o le disposizioni applicabili, nazionali o dell'Unione, relative alla protezione dei dati. |
7.2. Limitazione delle finalità
Il responsabile del trattamento tratta i dati personali soltanto per le finalità specifiche del trattamento di cui all'allegato II, salvo ulteriori istruzioni del titolare del trattamento.
7.3. Durata del trattamento dei dati personali
Il responsabile del trattamento tratta i dati personali soltanto per la durata specificata nell'allegato II.
7.4. Sicurezza del trattamento
|
a) |
Il responsabile del trattamento mette in atto almeno le misure tecniche e organizzative specificate nell'allegato III per garantire la sicurezza dei dati personali. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati (violazione dei dati personali). Nel valutare l'adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati. |
|
b) |
Il responsabile del trattamento concede l'accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l'attuazione, la gestione e il controllo del contratto. Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza. |
7.5. Dati sensibili
Se il trattamento riguarda dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o dati relativi a condanne penali e a reati («dati sensibili»), il responsabile del trattamento applica limitazioni specifiche e/o garanzie supplementari.
7.6. Documentazione e rispetto
|
a) |
Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole. |
|
b) |
Il responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati conformemente alle presenti clausole. |
|
c) |
Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e che derivano direttamente dal regolamento (UE) 2016/679 e/o dal regolamento (UE) 2018/1725. Su richiesta del titolare del trattamento, il responsabile del trattamento consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un'attività di revisione, il titolare del trattamento può tenere conto delle pertinenti certificazioni in possesso del responsabile del trattamento. |
|
d) |
Il titolare del trattamento può scegliere di condurre l'attività di revisione autonomamente o incaricare un revisore indipendente. Le attività di revisione possono comprendere anche ispezioni nei locali o nelle strutture fisiche del responsabile del trattamento e, se del caso, sono effettuate con un preavviso ragionevole. |
|
e) |
Su richiesta, le parti mettono a disposizione della o delle autorità di controllo competenti le informazioni di cui alla presente clausola, compresi i risultati di eventuali attività di revisione. |
7.7. Ricorso a sub-responsabili del trattamento
|
a) |
OPZIONE 1: AUTORIZZAZIONE PRELIMINARE SPECIFICA: Il responsabile del trattamento non può subcontrattare a un sub-responsabile del trattamento i trattamenti da effettuare per conto del titolare del trattamento conformemente alle presenti clausole senza la previa autorizzazione specifica scritta del titolare del trattamento. Il responsabile del trattamento presenta la richiesta di autorizzazione specifica almeno [SPECIFICARE IL PERIODO] prima di ricorrere al sub-responsabile del trattamento in questione, unitamente alle informazioni necessarie per consentire al titolare del trattamento di decidere in merito all'autorizzazione. L'elenco dei sub-responsabili del trattamento autorizzati dal titolare del trattamento figura nell'allegato IV. Le parti tengono aggiornato tale allegato. OPZIONE 2: AUTORIZZAZIONE SCRITTA GENERALE: Il responsabile del trattamento ha l'autorizzazione generale del titolare del trattamento per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato. Il responsabile del trattamento informa specificamente per iscritto il titolare del trattamento di eventuali modifiche previste di tale elenco riguardanti l'aggiunta o la sostituzione di sub-responsabili del trattamento con un anticipo di almeno [SPECIFICARE IL PERIODO], dando così al titolare del trattamento tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento in questione. Il responsabile del trattamento fornisce al titolare del trattamento le informazioni necessarie per consentirgli di esercitare il diritto di opposizione. |
|
b) |
Qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento per l'esecuzione di specifiche attività di trattamento (per conto del responsabile del trattamento), stipula un contratto che impone al sub-responsabile del trattamento, nella sostanza, gli stessi obblighi in materia di protezione dei dati imposti al responsabile del trattamento conformemente alle presenti clausole. Il responsabile del trattamento si assicura che il sub-responsabile del trattamento rispetti gli obblighi cui il responsabile del trattamento è soggetto a norma delle presenti clausole e del regolamento (UE) 2016/679 e/o del regolamento (UE) 2018/1725. |
|
c) |
Su richiesta del titolare del trattamento, il responsabile del trattamento gli fornisce copia del contratto stipulato con il sub-responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, il responsabile del trattamento può espungere informazioni dal contratto prima di trasmetterne una copia. |
|
d) |
Il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento dell'adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con il responsabile del trattamento. Il responsabile del trattamento notifica al titolare del trattamento qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi contrattuali. |
|
e) |
Il responsabile del trattamento concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora il responsabile del trattamento sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, il titolare del trattamento ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest'ultimo di cancellare o restituire i dati personali. |
7.8. Trasferimenti internazionali
|
a) |
Qualunque trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del responsabile del trattamento è effettuato soltanto su istruzione documentata del titolare del trattamento o per adempiere a un requisito specifico a norma del diritto dell'Unione o degli Stati membri cui è soggetto il responsabile del trattamento, e nel rispetto del capo V del regolamento (UE) 2016/679 o del regolamento (UE) 2018/1725. |
|
b) |
Il titolare del trattamento conviene che, qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento conformemente alla clausola 7.7 per l'esecuzione di specifiche attività di trattamento (per conto del titolare del trattamento) e tali attività di trattamento comportino il trasferimento di dati personali ai sensi del capo V del regolamento (UE) 2016/679, il responsabile del trattamento e il sub-responsabile del trattamento possono garantire il rispetto del capo V del regolamento (UE) 2016/679 utilizzando le clausole contrattuali tipo adottate dalla Commissione conformemente all'articolo 46, paragrafo 2, del regolamento (UE) 2016/679, purché le condizioni per l'uso di tali clausole contrattuali tipo siano soddisfatte. |
Clausola 8
Assistenza al titolare del trattamento
|
a) |
Il responsabile del trattamento notifica prontamente al titolare del trattamento qualunque richiesta ricevuta dall'interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal titolare del trattamento. |
|
b) |
Il responsabile del trattamento assiste il titolare del trattamento nell'adempimento degli obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti, tenuto conto della natura del trattamento. Nell'adempiere agli obblighi di cui alle lettere a) e b), il responsabile del trattamento si attiene alle istruzioni del titolare del trattamento. |
|
c) |
Oltre all'obbligo di assistere il titolare del trattamento in conformità della clausola 8, lettera b), il responsabile del trattamento assiste il titolare del trattamento anche nel garantire il rispetto dei seguenti obblighi, tenuto conto della natura del trattamento dei dati e delle informazioni a disposizione del responsabile del trattamento:
|
|
d) |
Le parti stabiliscono nell'allegato III le misure tecniche e organizzative adeguate con cui il responsabile del trattamento è tenuto ad assistere il titolare del trattamento nell'applicazione della presente clausola, nonché l'ambito di applicazione e la portata dell'assistenza richiesta. |
Clausola 9
Notifica di una violazione dei dati personali
In caso di violazione dei dati personali, il responsabile del trattamento coopera con il titolare del trattamento e lo assiste nell'adempimento degli obblighi che incombono a quest'ultimo a norma degli articoli 33 e 34 del regolamento (UE) 2016/679 o degli articoli 34 e 35 del regolamento (UE) 2018/1725, ove applicabile, tenuto conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.
9.1. Violazione riguardante dati trattati dal titolare del trattamento
In caso di una violazione dei dati personali trattati dal titolare del trattamento, il responsabile del trattamento assiste il titolare del trattamento:
|
a) |
nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il titolare del trattamento ne è venuto a conoscenza, se del caso/(a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche); |
|
b) |
nell'ottenere le seguenti informazioni che, in conformità [OPZIONE 1] dell'articolo 33, paragrafo 3, del regolamento (UE) 2016/679/ [OPZIONE 2] dell'articolo 34, paragrafo 3, del regolamento (UE) 2018/1725, devono essere indicate nella notifica del titolare del trattamento e includere almeno:
|
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
|
c) |
nell'adempiere, in conformità [OPZIONE 1] dell'articolo 34 del regolamento (UE) 2016/679/ [OPZIONE 2] dell'articolo 35 del regolamento (UE) 2018/1725, all'obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. |
9.2. Violazione riguardante dati trattati dal responsabile del trattamento
In caso di una violazione dei dati personali trattati dal responsabile del trattamento, quest'ultimo ne dà notifica al titolare del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza. La notifica contiene almeno:
|
a) |
una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione); |
|
b) |
i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali; |
|
c) |
le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi. |
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
Le parti stabiliscono nell'allegato III tutti gli altri elementi che il responsabile del trattamento è tenuto a fornire quando assiste il titolare del trattamento nell'adempimento degli obblighi che incombono al titolare del trattamento a norma [OPZIONE 1] degli articoli 33 e 34 del regolamento (UE) 2016/679/[OPZIONE 2] degli articoli 34 e 35 del regolamento (UE) 2018/1725.
SEZIONE III
DISPOSIZIONI FINALI
Clausola 10
Inosservanza delle clausole e risoluzione
|
a) |
Fatte salve le disposizioni del regolamento (UE) 2016/679 e/o del regolamento (UE) 2018/1725, qualora il responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti clausole, il titolare del trattamento può dare istruzione al responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti clausole o non sia risolto il contratto. Il responsabile del trattamento informa prontamente il titolare del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole. |
|
b) |
Il titolare del trattamento ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali conformemente alle presenti clausole qualora:
|
|
c) |
Il responsabile del trattamento ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora, dopo aver informato il titolare del trattamento che le sue istruzioni violano i requisiti giuridici applicabili in conformità della clausola 7.1, lettera b), il titolare del trattamento insista sul rispetto delle istruzioni. |
|
d) |
Dopo la risoluzione del contratto il responsabile del trattamento, a scelta del titolare del trattamento, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica a quest'ultimo di averlo fatto, oppure restituisce al titolare del trattamento tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell'Unione o dello Stato membro non richieda la conservazione dei dati personali. Finché i dati non sono cancellati o restituiti, il responsabile del trattamento continua ad assicurare il rispetto delle presenti clausole. |
ALLEGATO I
Elenco delle parti
Titolare/i del trattamento: [Identità e dati di contatto del/dei titolari del trattamento e, ove applicabile, del suo/loro responsabile della protezione dei dati]
|
1. |
Nome: … |
|
|
Indirizzo: … |
|
|
Nome, qualifica e dati di contatto del referente: … |
|
|
Firma e data di adesione: … |
|
2. |
|
…
Responsabile/i del trattamento [Identità e dati di contatto del/dei responsabili del trattamento e, ove applicabile, del suo/loro responsabile della protezione dei dati]
|
1. |
Nome: … |
|
|
Indirizzo: … |
|
|
Nome, qualifica e dati di contatto del referente: … |
|
|
Firma e data di adesione: … |
|
2. |
|
…
ALLEGATO II
Descrizione del trattamento
Categorie di interessati i cui dati personali sono trattati
…
Categorie di dati personali trattati
…
Dati sensibili trattati (se del caso) e limitazioni o garanzie applicate che tengono pienamente conto della natura dei dati e dei rischi connessi, ad esempio una rigorosa limitazione delle finalità, limitazioni all'accesso (tra cui accesso solo per il personale che ha seguito una formazione specializzata), tenuta di un registro degli accessi ai dati, limitazioni ai trasferimenti successivi o misure di sicurezza supplementari.
…
Natura del trattamento
…
Finalità per le quali i dati personali sono trattati per conto del titolare del trattamento
…
Durata del trattamento
…
…
Per il trattamento da parte di (sub-)responsabili del trattamento, specificare anche la materia disciplinata, la natura e la durata del trattamento
ALLEGATO III
Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati
NOTA ESPLICATIVA:
Le misure tecniche e organizzative devono essere descritte in modo concreto e non genericamente.
Descrizione delle misure di sicurezza tecniche e organizzative messe in atto dal o dai responsabili del trattamento (comprese le eventuali certificazioni pertinenti) per garantire un adeguato livello di sicurezza, tenuto conto della natura, dell'ambito di applicazione, del contesto e della finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche. Esempi di possibili misure:
|
|
misure di pseudonimizzazione e cifratura dei dati personali |
|
|
misure per assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento |
|
|
misure per assicurare la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico; |
|
|
procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento |
|
|
misure di identificazione e autorizzazione dell'utente |
|
|
misure di protezione dei dati durante la trasmissione |
|
|
misure di protezione dei dati durante la conservazione |
|
|
misure per garantire la sicurezza fisica dei luoghi in cui i dati personali sono trattati |
|
|
misure per garantire la registrazione degli eventi |
|
|
misure per garantire la configurazione del sistema, compresa la configurazione per impostazione predefinita |
|
|
misure di informatica interna e di gestione e governance della sicurezza informatica |
|
|
misure di certificazione/garanzia di processi e prodotti |
|
|
misure per garantire la minimizzazione dei dati |
|
|
misure per garantire la qualità dei dati |
|
|
misure per garantire la conservazione limitata dei dati |
|
|
misure per garantire la responsabilità |
|
|
misure per consentire la portabilità dei dati e garantire la cancellazione] |
Per i trasferimenti a (sub-)responsabili del trattamento, descrivere anche le misure tecniche e organizzative specifiche che il (sub-)responsabile del trattamento deve prendere per essere in grado di fornire assistenza al titolare del trattamento.
Descrizione delle misure tecniche e organizzative specifiche che il responsabile del trattamento deve prendere per essere in grado di fornire assistenza al titolare del trattamento.
ALLEGATO IV
Elenco dei sub-responsabili del trattamento
NOTA ESPLICATIVA:
Il presente allegato deve essere compilato in caso di autorizzazione specifica di sub-responsabili del trattamento [clausola 7.7, lettera a), opzione 1].
Il titolare del trattamento ha autorizzato il ricorso ai seguenti sub-responsabili del trattamento:
|
1. |
Nome: … |
|
|
Indirizzo: … |
|
|
Nome, qualifica e dati di contatto del referente: … |
|
|
Descrizione del trattamento (compresa una chiara delimitazione delle responsabilità qualora siano autorizzati più sub-responsabili del trattamento): … |
|
2. |
… |