CONTRATTO PER IL TRATTAMENTO DEI DATI PERSONALI

1.     Responsabilità e istruzioni

1.1 Nell’Art.5 sono illustrati il tipo di dati e le categorie di interessati trattati ai sensi del presente Contratto da parte del Responsabile in relazione alla fornitura di Whistlelink, assieme a scopo, natura, durata e oggetto del trattamento. È responsabilità del Cliente assicurarsi che il Responsabile non tratti categorie aggiuntive diverse da quelle specificate nell’Art.5.

1.2 Il Cliente è consapevole che Whistlelink è una piattaforma distribuita a numerosi clienti e che pertanto non siamo necessariamente in grado di seguire quelle istruzioni la cui conseguenza diretta non sia la necessità del Cliente di seguire le Norme per la tutela dei dati. Qualora questi fornisca determinate istruzioni che non possiamo seguire, il Cliente si impegna a interrompere l’immissione e l’esportazione di tutti i Dati del Cliente vincolati dalle istruzioni vigenti. Quanto sopra non costituisce una violazione del contratto o della fruibilità di Whistlelink.

1.3 Il Cliente è titolare di tutti i dati personali che il Responsabile tratta a suo nome, ai sensi del Contratto stipulato con il Responsabile del trattamento. Il Cliente è pertanto responsabile della conformità alle Norme vigenti per la tutela dei dati e si impegna a seguire le linee guida, applicabili di volta in volta, relative all’uso di Whistlelink, nonché le normative che si applicano alla gestione dei whistleblower.

1.4 Con la sottoscrizione del presente Contratto, il Cliente accetta come adeguate alla destinazione d’uso di Whistlelink le misure relative alla sicurezza esposte nelle vigenti Misure organizzative e tecniche per la tutela dei dati.

2.     Impegno del Responsabile del trattamento

2.1 Il Responsabile del trattamento si impegna a:

1. Disporre di un’adeguata sicurezza tecnica e organizzativa e di adottare le misure di sicurezza esposte nelle vigenti Misure organizzative e tecniche per la tutela dei dati di Whistlelink e nell’Art. 32 del GDPR per la tutela dei dati trattati ai sensi del presente Contratto, compreso un adeguato obbligo di riservatezza imposto alle persone fisiche presso il Responsabile che sono autorizzate al trattamento di questi dati.
2. Assistere il Cliente nell’adempimento dei requisiti di sicurezza di cui agli art. 32-36 del GDPR (quali misure tecniche e organizzative, notifiche e informazioni al Cliente senza indebito ritardo in caso di violazione dei dati personali, valutazione di impatto e consultazione preventiva). Il Responsabile del trattamento si impegna, inoltre, a rispettare gli obblighi del Cliente in materia di diritti dell’interessato contenuti nel Capo III del GDPR (diritto di informazione, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità dei dati e opposizione al processo decisionale automatizzato).
3. Conferire al Cliente il diritto a ricevere informazioni dal Responsabile al fine di verificare le misure da questi adottate in conformità al presente Contratto. Il Responsabile si impegna a facilitare e a contribuire alle indagini (comprese le ispezioni) svolte dal Cliente o da un ispettore che conduce tali indagini per conto del Cliente stesso. Il Responsabile farà inoltre riferimento al Cliente soggetto al trattamento, all’autorità di vigilanza o ad altre terze parti che richiedono informazioni al Responsabile in merito al trattamento dei dati personali. Il Responsabile informerà tempestivamente il Cliente di eventuali contatti da parte dell’autorità di vigilanza che riguardano o che possono essere rilevanti per il trattamento dei dati personali.
4. In base a ciò che il cliente sceglie, il Responsabile si impegna a cancellare, rendere anonimo o restituire tutti i dati personali al Cliente al termine del Contratto (indipendentemente dal motivo), nonché a provvedere alla cancellazione di tutte le copie che, secondo la legge per la tutela dei dati, non devono essere salvate.
5. A fornire altrimenti al Cliente l’accesso a determinate informazioni necessarie affinché questi sia in grado di adempiere ai propri obblighi in qualità di Titolare del trattamento di fronte all’autorità di vigilanza e/o alle persone fisiche.
6. A non trasferire i dati a Paesi terzi o a organizzazioni internazionali a meno che ciò non venga richiesto dalla legge per la tutela dei dati personali; in questo caso il Responsabile informerà immediatamente il Cliente, salvo che non sia vietato riferire tale informazione.

2.2 Il Responsabile si impegna inoltre a trattare sempre i dati in conformità alle Norme per la tutela dei dati. Ciò comprende, a titolo esemplificativo ma non esaustivo, tenere un registro relativo a tutte le categorie di trattamenti eseguiti; fornire, su richiesta del Cliente, un estratto del registro relativo al trattamento completato e informare immediatamente il Cliente qualora il Responsabile sospetti un rischio di violazione delle libertà e dei diritti dell’individuo.

3.     Sub-responsabile e trasferimento a Paesi terzi

3.1 Il Responsabile ha l’autorizzazione generale di assumere sub-responsabili per il trattamento dei dati per conto del Cliente, per il quale ne risponderà a pieno.

3.2 Previo consenso del Titolare e a condizione che il Responsabile applichi meccanismi di sicurezza adeguati e in conformità con le Regole sulla protezione dei dati approvati, il Responsabile può trasferire i dati al di fuori dell’UE/SEE.

3.3 Con la sottoscrizione del presente Accordo, il Cliente approva i sub-responsabili indicati nella sezione 5. Attualmente, il Responsabile non trasferisce e non è autorizzato a trasferire dati personali in alcun paese terzo.

4.     Disposizioni varie

4.1 Le disposizioni del Contratto si devono applicare anche al presente Contratto stipulato con il Responsabile. In caso di conflitto tra questi, prevarrà il Contratto con il Responsabile.

5.     Istruzioni

5.1 Il presente Art. 5 mette assieme le istruzioni iniziali del Cliente al Responsabile e, fatto salvo l’Art. 1.2, possono essere integrate in data successiva.

5.2 Categorie di interessati. Chiunque possa essere menzionato in una segnalazione su Whistlelink, incluso il Whistleblower, se il Whistleblower non desidera rimanere anonimo, e la persona segnalata.

5.3 Scopo, natura, oggetto del trattamento e categorie di dati personali. Tenendo conto della funzione e dello scopo principali del Responsabile del trattamento nel fornire Whistlelink e quindi di istituire un Responsabile specificatamente per l’archiviazione dei Dati del Cliente che può contenere dati personali; le categorie di questi ultimi includono tutti i tipi di dati che possono essere presenti in un contesto di whistleblowing, compresi dati sensibili e ipotetiche violazioni di legge.

5.4 Conservazione dei dati. Il Responsabile del Trattamento conserverà i dati delle segnalazioni per il periodo di tempo impostato dal cliente nel sistema.

5.5 Sub-responsabili. In conclusione, il Responsabile dispone dei seguenti sub-responsabili che, tuttavia, possono essere modificati in conformità all’Art. 3:

• Sub-responsabili: Swerolab AB (Svezia), Interactive Security (Svezia), SMSAPI (Polonia), Brevo (Francia), OPSWAT (Germania), Glesys (Svezia), T-Systems International (Germania), Friendly Captcha (Germania), DeepL (Germania), Mistral AI (Francia).

5.6 Trasferimenti in paesi terzi. Alla conclusione del presente Accordo, il Responsabile non ha trasferimenti al di fuori dell’UE/SEE, che possono, tuttavia, essere modificati in conformità con la Sezione 3:

• Trasferimenti fuori dall’UE/SEE: nessuno.