Informativa sulla privacy

Dichiarazione sulla protezione dei dati personali

DICHIARAZIONE SULLA PROTEZIONE DEI DATI PERSONALI AI SENSI DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERSONALI (UE 679/2016)

Creactives Group S.p.A. (di seguito “Creactives”) come primo partner contrattuale garantisce:

1.Disposizioni introduttive

1.1
Con la conferma delle Condizioni generali e il pagamento della fattura proforma per i servizi forniti dalla società Creactives (di seguito: servizi contrattuali), il secondo partner contrattuale ha stipulato un rapporto contrattuale.

1.2
La presente Informativa è considerata parte integrante del rapporto contrattuale e garantisce la regolamentazione dei reciproci rapporti ai sensi del Regolamento Generale sulla Protezione dei Dati Personali UE 679/2016 (di seguito: Regolamento).

1.3
Il partner contrattuale Creactives, nel rapporto reciproco e in conformità al Regolamento, avrà lo status di incaricato del trattamento (di seguito: Responsabile del trattamento).

1.4
Il secondo partner contrattuale avrà, nel rapporto reciproco e in conformità al Regolamento, lo status di responsabile del trattamento dei dati (di seguito: Titolare del trattamento).

1.5
I termini utilizzati nella presente Dichiarazione hanno lo stesso significato di quelli indicati nel Regolamento.

1.6
L’incaricato del trattamento terrà una registrazione adeguata di tutti i dati personali ricevuti necessari per l’esecuzione dei Servizi contrattuali.

1.7
Si considerano dati anche i dati personali che il Responsabile del trattamento incontra involontariamente nell’esecuzione dei Servizi contrattuali. Il Responsabile del trattamento terrà un’adeguata registrazione di tali dati personali.

1.8
L’incaricato del trattamento manterrà inoltre un’adeguata tracciabilità, compresi gli scopi del trattamento.

1.9
Il Responsabile del trattamento utilizzerà la raccolta ricevuta o i dati personali in essa contenuti esclusivamente per l’esecuzione dei servizi contrattuali.

2. Sicurezza delle informazioni e conformità al Regolamento

2.1
Il Responsabile del trattamento ha accettato e nella sua attività attua costantemente misure tecniche e organizzative adeguate che garantiscono la protezione dei dati personali e l’esercizio dei diritti ad essi connessi in conformità al Regolamento (articoli 28 e 32).

2.2
Le misure tecniche e organizzative minime per prevenire l’alterazione, la distruzione, la perdita o il trattamento non autorizzato, involontario o intenzionale, dei dati personali comprendono:

  • sicurezza fisica, tecnica e logistica dei locali, dell’hardware e del software di sistema, comprese le unità ICT input/output;
  • protezione tecnica e logistica del software dell’utente;
  • prevenzione tecnica e logistica dell’accesso non autorizzato ai dati personali durante la trasmissione, compresa la trasmissione tramite mezzi e reti di telecomunicazione;
  • modalità efficaci per bloccare, distruggere, cancellare o rendere anonimi i dati personali al termine dello scopo per cui sono stati raccolti;
  • fornitura di tracce di controllo per l’identificazione successiva, il momento dell’inserimento dei dati individuali nei registri dei dati personali, l’utilizzo, gli interventi, gli approfondimenti o altri trattamenti;
  • identificazione dei fornitori di tali attività (conservazione dei registri del trattamento e della trasmissione dei dati personali);
  • impegni scritti di riservatezza da parte delle persone autorizzate al trattamento dei dati personali;
  • altre misure appropriate previste dal regolamento (articolo 32).

2.3
Il Responsabile del trattamento garantisce che, nell’esecuzione dei Servizi contrattuali, terrà conto e rispetterà tutti i termini, i requisiti e gli standard che, in relazione alla sicurezza dei dati personali, sono definiti dai rispettivi accordi reciproci, dal Regolamento e dalle buone prassi in materia di sicurezza delle informazioni.

2.4
Il Responsabile del trattamento rispetta inoltre tutte le disposizioni del Regolamento e le buone pratiche di sicurezza informatica in relazione alla progettazione e alla conservazione delle tracce di controllo.

3. Ottenimento, elaborazione, inoltro e conservazione dei dati personali

3.1
Il Titolare del trattamento prende atto che tutti i dati personali e correlati che sono oggetto di trattamento o di esecuzione del Servizio Contrattuale, sono ottenuti legalmente e in modo coerente con le disposizioni degli articoli 6 (1), 7 (1), 8 e 9 (2) del Regolamento.

3.2
Il Titolare del trattamento conferma che tutte le persone sono informate per iscritto, in modo chiaro e comprensibile, dei principi di raccolta, trattamento, trasmissione e conservazione dei dati personali, come definito all’articolo 5 del Regolamento.

4. Diritti individuali

4.1
Il Titolare del trattamento consente a tutte le persone fisiche, in relazione ai propri dati personali, di esercitare tutti i diritti di cui agli articoli da 12 a 22 del Regolamento.

4.2
In conformità a quanto previsto dagli articoli 37, 38 e 39 del Regolamento, il Responsabile del trattamento ha nominato il Commissario per la sicurezza dei dati personali e ne ha definito poteri, obblighi e responsabilità.

5. Diritti del Titolare del trattamento

5.1
In qualsiasi momento, il Titolare del trattamento potrà verificare, a proprie spese e con l’assistenza di un revisore indipendente, l’esecuzione dei Servizi contrattuali presso il Responsabile del trattamento e, in particolare, l’attuazione di misure tecniche e organizzative adeguate, che garantiscano la sicurezza delle informazioni e dei dati personali e il rispetto del Regolamento e delle buone prassi in materia di sicurezza delle informazioni.

5.2
Il Titolare del trattamento può limitare o vietare la cooperazione del Responsabile del trattamento (compreso il trasferimento di informazioni) nell’esecuzione dei Servizi contrattuali con singoli sub-processori situati nell’UE o al di fuori di essa.

6. Obblighi del Titolare del trattamento

6.1
Il Titolare del trattamento è tenuto a fornire per iscritto al Responsabile del trattamento tutte le richieste e le istruzioni relative all’esecuzione dei Servizi contrattuali.

6.2
In qualità di responsabile diligente, il Titolare del trattamento è tenuto a garantire la legittimità dell’utilizzo del patrimonio informativo oggetto del Servizio contrattuale e sul quale il Responsabile del trattamento non ha un controllo diretto o un’altra potenziale influenza, in conformità alle disposizioni contrattuali.

7. Diritti del Responsabile del trattamento

7.1
Il Responsabile del trattamento può sospendere l’esecuzione dei Servizi contrattuali qualora sospetti che l’esecuzione delle istruzioni del Titolare del trattamento violi la normativa vigente, fino alla conferma o alla modifica delle istruzioni. Il Responsabile del trattamento è tenuto a comunicare immediatamente al Titolare del trattamento il sospetto di violazione della normativa vigente e la sua intenzione di interrompere l’esecuzione dei Servizi contrattuali.

7.2
Il Processore può interrompere immediatamente tale attività in caso di sospetto di uso improprio o illegale del patrimonio informativo oggetto dei Servizi contrattuali.

7.3
Per l’esecuzione dei Servizi contrattuali, il Responsabile del trattamento può stipulare un accordo appropriato con sub-processori situati o operanti all’interno o all’esterno dell’UE, nella misura e per un tipo di collaborazione, preventivamente e per iscritto approvata dal Titolare del trattamento. Se il Titolare del trattamento non stabilisce limiti, il Responsabile del trattamento può stipulare un accordo con sub-processori di sua scelta.

8. Obblighi del Responsabile del trattamento

8.1
Il Responsabile del trattamento è tenuto ad eseguire i Servizi contrattuali solo nella misura e per le finalità specificate nell’ordine dei Servizi contrattuali, nelle Condizioni generali e secondo le richieste e le istruzioni scritte del Titolare del trattamento.

8.2
Il Responsabile del trattamento soddisferà tutti i requisiti del Regolamento in relazione alla progettazione e all’archiviazione degli audit trail nell’esecuzione dei Servizi contrattuali.

8.3
In conformità al Regolamento e alle buone prassi in materia di sicurezza delle informazioni, il Responsabile del trattamento implementerà e aggiornerà costantemente tutte le misure tecniche e organizzative appropriate che garantiscono un’adeguata protezione dei dati personali e di altri dati correlati delle persone fisiche e del Titolare del trattamento, in modo da assicurare in modo permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi.

8.4
Il Responsabile del trattamento stipula per iscritto contratti adeguati con i sub-processori autorizzati. Il Responsabile del trattamento è responsabile del fatto che i sub-processori forniscano almeno lo stesso livello di sicurezza delle informazioni e di protezione dei dati personali che viene fornito da lui stesso.

8.5
Al ricevimento della richiesta di un individuo per l’esercizio di qualsiasi diritto garantito dal Regolamento, e qualora possa collegare l’individuo al Titolare del trattamento sulla base delle informazioni a sua disposizione, il Responsabile del trattamento trasmetterà tale richiesta prontamente e per iscritto al Titolare del trattamento.

8.6
Tutti i dipendenti e le altre persone coinvolte nell’erogazione dei Servizi contrattuali da parte del Responsabile del trattamento sono tenuti a rispettare le istruzioni e gli standard forniti dal Titolare del trattamento e il Regolamento (articoli 28, 29, 32).

8.7
Tutti i dipendenti e le altre persone coinvolte nell’esecuzione dei Servizi contrattuali da parte del Responsabile del trattamento sono tenuti a rispettare il segreto professionale.

8.8
L’obbligo del segreto professionale è valido anche dopo la cessazione del rapporto di lavoro o di altro rapporto contrattuale o la cessazione della collaborazione tra il Titolare e il Responsabile del trattamento.

8.9
Il Responsabile del trattamento collaborerà con l’Ufficio del Commissario per l’Informazione nei casi previsti dal Regolamento o sulla base di una richiesta scritta del Titolare del trattamento.

8.10
Al termine dei Servizi contrattuali, il Responsabile del trattamento consegnerà al Titolare del trattamento tutte le raccolte di dati personali ricevute entro e non oltre 30 giorni.

8.11
Salvo diversa richiesta del Titolare del trattamento, il Responsabile del trattamento dovrà distruggere in modo permanente tutte le copie, i residui o le tracce dei dati personali che sono stati oggetto dei Servizi contrattuali e/o dei dati con cui è entrato in contatto durante l’esecuzione dei Servizi contrattuali entro e non oltre 60 giorni. Fanno eccezione i dati, le copie o le altre registrazioni la cui conservazione è richiesta da leggi o da vincoli tecnici relativi alle copie di sicurezza.

9. Gestione degli incidenti

9.1
Il Responsabile del trattamento garantisce che, in conformità al Regolamento e alle buone prassi in materia di sicurezza delle informazioni, sono in atto tutte le misure tecniche e organizzative per assicurare la gestione e l’attuazione di attività adeguate in caso di incidenti di sicurezza sospetti o rilevati e/o di perdita di riservatezza.

9.2
In caso di incidenti di sicurezza sospetti o percepiti e/o di perdita di riservatezza, il Titolare e il Responsabile del trattamento prenderanno provvedimenti immediati in conformità agli articoli 33 e 34 del Regolamento.

9.3
Oltre a svolgere tutte le attività previste dai rispettivi regolamenti interni, il Titolare e il Responsabile del trattamento si informeranno reciprocamente, entro un periodo di 72 ore, qualora sospettino o rilevino un incidente di sicurezza e/o una perdita di riservatezza.

9.4
Il Titolare e il Responsabile del trattamento si informeranno reciprocamente sulle analisi di tutte le circostanze relative agli incidenti di sicurezza rilevati e/o alla perdita di riservatezza e, sulla base di tali risultati, miglioreranno e aggiorneranno le loro pratiche e i loro sistemi.

10. Validità della dichiarazione

10.1
Le nuove versioni della presente Dichiarazione sostituiscono completamente la versione esistente.

10.2
Il Titolare del trattamento e il Responsabile del trattamento confermano che nessuna disposizione della presente Informativa, del rapporto contrattuale di base, delle prescrizioni scritte o delle istruzioni, li solleva dall’obbligo individuale di rispettare le disposizioni del Regolamento e le responsabilità che ne derivano.

10.3
In caso di controversie relative alla sicurezza dei dati personali, le disposizioni della presente Dichiarazione prevalgono sui termini del rapporto contrattuale di base.

10.4
In caso di controversie, derivanti dalla presente Dichiarazione, sarà competente il foro di Verona, secondo le leggi italiane.

10.5
L’invalidità o l’inapplicabilità di singole disposizioni della presente Dichiarazione non pregiudica la validità e l’applicabilità di altre disposizioni della stessa.

10.6
La presente Dichiarazione è accettata e vincolante anche per qualsiasi altro partner contrattuale dal momento della presentazione o della conferma dell’ordine, o al più tardi dal momento del pagamento. Per i partner contrattuali esistenti, la presente Dichiarazione è valida dal momento della sua pubblicazione.

10.7
La presente Dichiarazione è valida per tutto il periodo di validità del rapporto contrattuale di base.