CONTRATTO PER IL TRATTAMENTO DEI DATI PERSONALI O GENERAL DATA PROCESSING AGREEMENT 

(ai sensi dell’art. 28 Regolamento UE 2016/679) 

Tra  

Il soggetto individuato quale cliente (di seguito il “Cliente”) nel contratto di servizi sottoscritto tra le parti (di seguito il “Contratto di Servizi”)

e 

Fast-Security S.r.l.s. con sede in Viale della Navigazione Interna, 51/B – 35129 Padova (PD), P.IVA IT04997120284, di seguito anche “Fornitore” o “Responsabile”
(entrambe, di seguito, congiuntamente anche le “Parti”) 

Premesso che 

  1. il Cliente ha incaricato il Fornitore di svolgere uno o più servizi, come definiti nel Contratto di Servizi, che comportano il trattamento di dati personali; 
  2. Il Cliente, considerata la sussistenza dei requisiti di esperienza, capacità e affidabilità in capo al Fornitore intende nominare quest’ultimo, ai sensi dell’art. 28 del GDPR, quale responsabile del trattamento dei dati personali elaborati per l’esecuzione del Contratto di Servizi.

Tutto ciò premesso, le Parti stipulano e convengono quanto segue: 

1. OGGETTO
1.1 Il Cliente nomina il Fornitore, che accetta espressamente, quale Responsabile del trattamento, ai sensi dell’art. 28 GDPR, per i trattamenti di dati personali di seguito descritti, applicabili in base ai servizi contrattualizzati tra le Parti. La natura del trattamento svolto da Fornitore consiste nelle attività necessarie ad erogare la consulenza, tra cui accesso e consultazione, analisi ed elaborazione, estrazione di copie, conservazione, restituzione o cancellazione.

Trattamento Finalità Categorie soggetti interessati Categorie di dati personali
Consulenza sicurezza sul lavoro Erogare le attività di consulenza e formazione in materia di salute e sicurezza sul lavoro Interessati del cliente, tra cui dipendenti e fornitori Dati comuni (in particolare: dati anagrafici, dati di contatto, dati relativi all’attività lavorativa, dati relativi a codici identificativi, altre informazioni condivise dal cliente)
Consulenza privacy Erogare le attività di consulenza in materia di protezione dei dati personali Interessati del cliente, tra cui dipendenti, fornitori e utenti Dati comuni (in particolare: dati anagrafici, dati di contatto, dati relativi all’attività lavorativa, dati di log, altre informazioni condivise dal cliente)
Medicina del lavoro Organizzare le attività di sorveglianza sanitaria e gestire gli adempimenti conseguenti Interessati del cliente, tra cui i soggetti sottoposti a sorveglianza sanitaria Dati comuni (in particolare: dati anagrafici, dati di contatto, dati relativi all’attività lavorativa, dati relativi a codici identificativi, altre informazioni condivise dal cliente)

 1.2 Il presente Accordo, nonché eventuali accordi successivi posti in essere tra le Parti per iscritto, integra il Contratto di Servizi con esclusivo riferimento alle condizioni in base alle quali il Responsabile s’impegna a effettuare per conto del Cliente le operazioni di trattamento sui dati personali, a cui ha accesso o di cui entra in possesso, necessarie all’adempimento degli obblighi derivanti dal Contratto di Servizi, nonché per la prestazione di eventuali servizi accessori allo stesso.
1.3 Per quanto non disciplinato nel presente Accordo restano ferme le previsioni tutte del Contratto di Servizi cui il primo è funzionalmente collegato, con ciò intendendosi che, venendo meno il Contratto di Servizi, per qualsivoglia causa, anche l’Accordo si considererà automaticamente sciolto ipso iure.

2. DURATA DEL CONTRATTO  

2.1 La durata del presente Accordo è funzionalmente collegata alla durata del Contratto di Servizi sottoscritto tra le parti, la cessazione dei cui effetti produce automaticamente la cessazione degli effetti anche del presente Accordo, salvo il caso in cui ulteriori obblighi – anche di legge – impongano il prolungamento dell’attività di trattamento dei dati personali da parte del Responsabile.
2.2 Una volta cessati, per qualsiasi causa, gli effetti del presente Accordo, il Responsabile sarà tenuto a discrezione del Cliente a:

      1. restituire al Cliente i dati personali trattati, oppure a
      2. provvedere alla loro integrale distruzione, fatti salvi i soli casi in cui la conservazione dei dati sia richiesta da norme di legge e/o altre finalità (contabili, fiscali, ecc.)

3. OBBLIGHI DEL RESPONSABILE NEI CONFRONTI DEL CLIENTE
3.1 Obblighi generici
3.1.1 Il Responsabile s’impegna a: 

      1. trattare i dati personali per le sole finalità legate all’esecuzione del Contratto di Servizi; 
      2. designare le persone autorizzate ad effettuare operazioni di trattamento sui dati forniti dal Cliente ai sensi dell’art. 29 GDPR, identificando l’ambito autorizzativo consentito e garantire che le stesse si siano impegnate alla riservatezza;  
      3. permettere la realizzazione di ispezioni, da parte del Cliente o di un altro soggetto incaricato dal medesimo, durante l’orario di lavoro e previo accordo tecnico, economico ed organizzativo; 
      4. collaborare con il Cliente, su richiesta dello stesso, nel caso in cui fossero eseguite ispezioni o indagini da parte delle competenti Autorità di controllo, sia presso il Cliente che presso il Responsabile, onde dimostrare la conformità di tutte le attività inerenti al trattamento dei dati personali.

3.2 Nomina di sub-responsabili
3.2.1 Il Cliente autorizza in via generale il responsabile alla nomina di sub-responsabili.
3.2.2 Il rapporto giuridico instaurato tra Responsabile e Sub-responsabili, seppur totalmente distinto da quello intercorrente tra il Cliente e il Responsabile, dovrà obbligatoriamente rispettare il contenuto del presente Accordo. Pertanto, il Responsabile s’impegna affinché nell’accordo concluso con i Sub-responsabili non vi siano disposizioni che si pongano o possano astrattamente porsi in contrasto con quanto previsto in questa sede. In ogni caso, il Responsabile s’impegna a convenire con i Sub-responsabili un accordo che garantisca adeguati livelli di protezione dei dati personali e di sicurezza delle informazioni ad essi correlate.
3.2.3 Il Responsabile è comunque tenuto a garantire che i propri obblighi in materia di protezione dei dati derivanti dal presente Accordo, siano validi e vincolanti anche per i Sub-responsabili.
3.3 Esercizio dei diritti dell’interessato
3.3.1 Ove l’interessato intenda esercitare i propri diritti e ne faccia richiesta al Responsabile, quest’ultimo dovrà inoltrare tale richiesta senza ingiustificato ritardo al Cliente. In ogni caso, Il Responsabile è tenuto ad assistere il Cliente, nei limiti di quanto ragionevolmente possibile, al fine di soddisfare l’obbligo del titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato. In particolare, qualora il Responsabile tratti dati oggetto di richiesta di portabilità, si obbliga ad assistere il titolare del trattamento con misure tecniche e organizzative adeguate al fine di rispondere a detta richiesta, salvo successivamente addebitare al titolare i costi sostenuti per l’attività.
3.4 Notifica e comunicazione delle violazioni dei dati personali
3.4.1 Il Responsabile, nel caso in cui venga a conoscenza del verificarsi di una violazione dei dati personali, si obbliga a notificare al Cliente l’avvenuta violazione senza ingiustificato ritardo ed in ogni caso non oltre le 36 ore dal momento in cui ne sia venuto a conoscenza. Questa notifica è accompagnata da tutta la documentazione utile al fine di permettere al titolare, se necessario, di notificare questa violazione all’Autorità di controllo competente ed eventualmente agli interessati nel rispetto di quanto previsto dagli artt. 33-34 GDPR.
3.5 Supporto nei confronti del titolare del trattamento
3.5.1 Il Responsabile, su richiesta del Cliente, s’impegna in particolare e previo accordo tecnico, economico ed organizzativo a: 

  1. coadiuvare il Cliente nella realizzazione dell’analisi di impatto relativa alla protezione dei dati personali prevista dall’art. 35 GDPR;
  2. coadiuvare il Cliente nell’eventuale consultazione preventiva dell’Autorità di controllo, prevista dall’art. 36 GDPR

3.6 Misure di sicurezza
3.6.1 Il Responsabile si impegna ad adottare, per tutta la durata dell’incarico, adeguate misure di sicurezza ex art. 32 GDPR. In particolare, dette misure di sicurezza saranno finalizzate a tutelare i dati e/o a ridurre al minimo i rischi rispetto a: 

  1. distruzione o perdita intenzionale e/o accidentale di dati; 
  2. trattamento non autorizzato o comunque non conforme alle finalità di trattamento concordate; 
  3. accesso non autorizzato.

3.7 Trasferimento di dati personali extra UE
3.7.1 Il Responsabile s’impegna a circoscrivere gli ambiti di circolazione e di trattamento dei dati personali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server o in cloud) ai Paesi facenti parte dell’Unione Europea ovvero a procedere al trasferimento fuori dal territorio dell’Unione Europea o dello Spazio Economico Europeo in presenza degli strumenti previsti dagli artt. 45-49 del GDPR (a titolo esemplificativo, e non esaustivo, il trasferimento verso paesi giudicati adeguati dalla Commissione Europea, qualora siano state approvate norme vincolanti di impresa o siano state adottate clausole contrattuali standard), salvo che tale trasferimento: 

  1. sia concordato con il Cliente o dallo stesso richiesto nell’ambito dell’esecuzione del Contratto di Servizi (a titolo esemplificativo, non esaustivo, l’utilizzo di uno specifico software o servizio cloud);  
  2. sia richiesto, a norma del diritto dell’Unione Europea o della legislazione dello stato membro cui il Responsabile è soggetto, in tal caso il Responsabile si impegna ad informare il Cliente di tale obbligo giuridico prima del relativo trattamento, a meno che le leggi interessate proibiscano una tale informazione per rilevanti motivi di interesse pubblico. 

3.8 Riservatezza
3.8.1 Le Parti s’impegnano a mantenere riservati e a non divulgare i dati, i documenti, le informazioni e notizie di qualsiasi genere, delle quali verranno a conoscenza per le attività descritte nel presente Accordo, anche successivamente alla cessazione di esso e senza alcuna limitazione di tempo o spazio. In particolare, non potrà comunicare o diffondere alcuna delle informazioni, notizie, dati e documenti (salvo che ciò non sia espressamente richiesto dal Cliente, dall’Autorità di controllo o da altra Autorità), cederli a terzi a titolo gratuito o oneroso, utilizzarli per qualsiasi finalità, anche di terzi.
4. OBBLIGHI DEL CLIENTE
4.1 Il Cliente è tenuto a non condividere con il Responsabile dati personali non necessari rispetto alle attività richieste.
4.2 Il Cliente è tenuto ad informare immediatamente e in modo completo il Responsabile non appena riscontri errori e/o irregolarità nel trattamento dei dati effettuati da quest’ultimo.
4.3 Il Cliente è tenuto a fornire al Responsabile un punto di contatto cui rivolgersi per qualsiasi questione relativa alla protezione dei dati che consegua o sia in qualsiasi modo connesso al presente Accordo.
5. DIRITTO D’INFORMAZIONE DEGLI INTERESSATI
5.1 Resta in capo al Titolare, al momento della raccolta dei dati, l’obbligo di fornire agli interessati le informazioni relative ai trattamenti dei dati personali che realizza, ai sensi degli artt. 13-14 GDPR.
6. RESPONSABILITÀ E RISARCIMENTO DEL DANNO
6.1 A norma dell’art. 82 GDPR, il Responsabile risponderà del danno causato dal trattamento esclusivamente qualora venga dimostrato che abbia agito in modo difforme o contrario rispetto alle legittime istruzioni impartite dal Cliente ovvero che non dimostri che abbia adempiuto agli obblighi specificatamente diretti a Responsabile derivanti dalla normativa vigente.
7. MISCELLANEA
7.1 Qualsiasi modifica del presente Accordo sarà valida e vincolante solo se risultante da atto scritto o da comunicazione effettuata in forma scritta, anche in formato elettronico.
7.2 Il presente Accordo annulla e sostituisce ogni altra eventuale nomina a Responsabile del Trattamento del Fornitore già sottoscritta tra le Parti relativamente alle medesime attività di trattamento.
7.3 Qualora singole disposizioni del presente atto risultino invalide o inapplicabili, la validità e l’applicabilità delle altre disposizioni ivi contenute rimarranno impregiudicate.
7.4 Per tutto quanto non previsto dal presente Accordo si rinvia alle disposizioni generali vigenti ed applicabili in materia di protezione dei dati personali.

 

Ultimo aggiornamento 8 maggio 2025