MANUALE GDPR VESPA CLUB VESPE PADANE – MONTEGROTTO TERME
ACCORDO PER LA NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO
AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE N° 679/2019
tra
Vespa Club Vespe Padane, sede legale via Plinia, 2 – 35036 Montegrotto Terme (PD), Cod. Fisc. 03654870280
(di seguito “titolare”)
e
Vespa Club d’Italia, con sede legale in via Saliceto 4, 00161 Roma (RM), C.F. 96313020586
(di seguito “responsabile”)

PREMESSO CHE

• a decorrere dal 14 aprile 2016 è in vigore il regolamento (UE) n. 2016/679 del Parlamento Europeo e del
Consiglio relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali,
nonché alla libera circolazione di tali dati (di seguito GDPR);
• l’art. 28 del regolamento (UE) n. 2016/679 riconosce al titolare del trattamento la facoltà di avvalersi di
uno o più responsabili del trattamento dei dati, che abbiano esperienza, capacità, conoscenza per
mettere in atto misure tecniche e organizzative che soddisfino i requisiti del regolamento, anche
relativamente al profilo della sicurezza;
• per trattamento, ai sensi dell’art. 4 comma 2 del regolamento, si intende “qualunque operazione o
complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la
registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la
selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione,
la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”;
• per dati personali, ai sensi dell’art. 4 comma 1 del regolamento, si intende “qualsiasi informazione
riguardante una persona fisica identificata o identificabile”; altresì si considera identificabile “la persona
fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un
identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo
online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica,
economica, culturale o sociale”;
• ai fini del rispetto della normativa, ciascuna persona che tratta dati personali deve essere autorizzata e
istruita in merito agli obblighi normativi per la gestione dei suddetti dati durante lo svolgimento delle
proprie attività;
• il titolare ha affidato al responsabile l’attività di fornitore di servizi e convenzioni ai propri soci, che
comporta il trattamento di dati personali di titolarità dell’associazione Vespa Club Vespe Padane;

TUTTO CIÒ PREMESSO

• tenuto conto delle attività di trattamento necessarie e/o opportune per dare esecuzione agli obblighi concordati tra le parti, previa valutazione di quanto imposto dal regolamento UE n° 679/2016, il titolare ha ritenuto che il responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del GDPR ed a garantire la tutela dei diritti e le libertà degli interessati coinvolti nelle suddette attività di trattamento;
• che con il presente atto, relativamente alle attività di trattamento dei dati necessarie e/o opportune per
dare esecuzione agli obblighi concordati tra le parti, il titolare vincola il responsabile a trattare i dati
personali nel rispetto delle istruzioni di seguito fornite;
• che tale nomina non comporta alcuna modifica della qualifica del responsabile e/o degli obblighi
concordati tra le parti;

LE PARTI CONVENGONO E STIPULANO QUANTO SEGUE:

Il responsabile del trattamento ha il dovere di trattare i dati personali indicati nella tabella sottostante nel
rispetto della normativa vigente, attenendosi sia alle istruzioni di seguito fornite, sia a quelle che verranno
rese note dal titolare mediante procedure e/o comunicazioni specifiche.

Natura e finalità del trattamento: Il trattamento dei dati personali è effettuato esclusivamente per la corretta
esecuzione delle attività concordate tra le parti.

Categorie di interessati e categorie di dati personali: Dati personali dei soci del titolare.

Validità e revoca della nomina: La presente nomina decorre dal 01/01/2020 ed ha validità per tutta la durata del
rapporto intercorrente tra le parti. La nomina può essere revocata a discrezione del titolare. La presente nomina non costituisce aggravio in capo al responsabile, rientrando la medesima negli obblighi normativi che regolano i rapporti con il titolare in materia di trattamento dei dati personali. L’esercizio della facoltà di revoca da parte del titolare – senza obbligo di
corresponsione di alcun risarcimento e/o indennità al responsabile – avverrà mediante invio di una comunicazione contenente la manifestazione di volontà di revoca.

Istruzioni generali per il trattamento dei dati. Il responsabile deve: 

• Effettuare solo i trattamenti necessari e funzionali per lo svolgimento dell’incarico affidato dal titolare, escludendovi i trattamenti non autorizzati dal titolare e comunque ulteriori a quelli esclusivamente necessari per il rispetto
dell’incarico affidato;
• collaborare con il titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;
• mantenere l’assoluto riserbo sui dati personali di cui verrà a conoscenza in ragione delle attività affidate dal titolare;
• individuare per iscritto le persone autorizzate al trattamento che operino sotto la propria direzione e/o autorità; dare loro le istruzioni idonee per il trattamento dei dati personali da essi svolti per conto del titolare;
• vigilare affinché le persone autorizzate rispettino le istruzioni impartite e le misure tecniche e organizzative predisposte;
• richiamare le persone autorizzate al rispetto delle istruzioni impartite; nei casi più gravi, segnalando al titolare il mancato rispetto di tali istruzioni tali da creare delle vulnerabilità ai dati trattati per conto di quest’ultimo;
• assistere il titolare con misure tecniche ed organizzative adeguate a preservare i dati trattati per conto del titolare, implementando quanto di propria competenza rispetto al trattamento effettuato in esecuzione delle attività commissionate, al riguardo impegnando per scritto anche i fornitori coinvolti. Tali misure comprendono anche le misure richieste ai sensi dell’art. 32 del GDPR. Resta inteso che tali misure sono necessarie anche a preservare i diritti degli interessati, ivi ricomprendendo l’esercizio dei diritti da parte degli stessi;
• in caso di esercizio da parte dell’interessato dei diritti di cui agli art. 15,16,17,18,20 e 21 del GDPR, ricevuto direttamente o indirettamente da soggetti interessati, provvedere all’immediato invio al titolare al fine di consentire al medesimo un riscontro nei termini di legge; resta inteso che il responsabile dovrà inviare detta comunicazione provvedendo ad allegare
tutte le informazioni richieste, al fine di consentire una risposta esaustiva;
• dare immediato avviso al titolare in caso di nuovi trattamenti e/o della cessazione di quelli concordati;
• non creare banche dati nuove senza espressa autorizzazione del titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;
• in caso di ricezione di richieste specifiche avanzate dall’autorità nazionale per
la protezione dei dati personali o altre autorità, il responsabile si impegna a coadiuvare il titolare per quanto di sua competenza;
• non diffondere in nessun caso i dati personali trattati in esecuzione degli obblighi concordati col titolare;
• segnalare eventuali criticità al titolare che possono mettere a repentaglio la sicurezza dei dati, al fine di consentire idonei interventi da parte dello stesso;
• coadiuvare il titolare ed i soggetti da questo indicati nella redazione della documentazione necessaria per adempiere alla normativa di settore, con

Sub-responsabili: Il responsabile dichiara che alla data di sottoscrizione della presente autorizzazione, i subcontratti stipulati dal medesimo per l’esecuzione delle attività concordate tra le parti che determinino, o possano determinare, il
trattamento ad opera di terze parti dei dati personali del titolare, sono indicati nell’allegato A alla presente. Il titolare autorizza il responsabile a ricorrere ai sub-responsabili di cui all’allegato sopra citato, nel rispetto delle condizioni di cui alla presente autorizzazione. Il responsabile si impegna ad imporre ai suddetti sub-responsabili, mediante apposito contratto, gli stessi obblighi in materia di protezione dei dati assunti con la presente autorizzazione. È fatto obbligo al responsabile di conservare la copia aggiornata dell’elenco dei sub responsabili autorizzati e dei contratti con essi sottoscritti, provvedendo su richiesta espressa del titolare, ad esibire per alcuno o tutti i suddetti sub responsabili i corrispettivi contratti. Il responsabile si obbliga a sottoporre a preventiva autorizzazione del titolare
ogni variazione intervenuta riguardante l’aggiunta o la sostituzione di altri subresponsabili o le attività da essi eseguite, dandone comunicazione al titolare almeno 30 gg. lavorativi antecedenti le modifiche. In nessun caso pertanto, il
responsabile è autorizzato a delegare o subappaltare l’erogazione integrale o parziale delle attività concordate senza la preventiva autorizzazione scritta del titolare. La mancata comunicazione di cui sopra può costituire oggetto di revoca
della presente autorizzazione. Il responsabile garantisce che i sub-responsabili autorizzati non ricorrano ad altri sub-responsabili, se non previa autorizzazione scritta da parte del titolare. In ogni caso, il responsabile rimane unico e solo responsabile nei confronti del titolare delle attività da egli eventualmente affidate a terzi. Il responsabile che affidi attività a terzi, pertanto, sarà in ogni caso ritenuto responsabile principale per l’adempimento delle proprie obbligazioni derivanti dalla presente autorizzazione e per gli atti, disservizi, ritardi, omissioni o negligenze dei subfornitori, manlevando il titolare da qualsiasi responsabilità a riguardo e da qualsiasi richiesta dovesse provenire da terzi in conseguenza dell’intervento dei subfornitori.

Trasferimento dati in paesi Extra-UE: Il titolare vieta il trasferimento anche parziale dei dati affidati al responsabili in paesi non appartenenti all’UE.

Perdita di dati: Qualora si verifichino eventi che comportino la violazione, conosciuta o anche solo sospettata, dei dati personali o delle informazioni gestiti dal responsabile, quest’ultimo avvertirà immediatamente il titolare senza giustificato ritardo con comunicazione da inviarsi al seguente indirizzo email: [email protected], contenente tutte le informazioni necessarie a circoscrivere e definire la violazione medesima. In particolare, la comunicazione
contemplerà:
• la data e l’ora della presunta o effettiva violazione, nonché, se differente, il momento della sua scoperta;
• l’indicazione del luogo in cui è avvenuta la violazione dei dati;
• una breve descrizione della violazione;
• una sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei
dati e delle informazioni coinvolte nonché la loro natura, con indicazione della loro ubicazione. Qualora già conosciute, nello stesso termine il responsabile comunicherà altresì:
• le ragioni che non hanno consentito un’immediata rilevazione dell’evento in
questione, laddove la scoperta della violazione non sia contestuale al verificarsi
dell’evento;
• il numero approssimativo degli interessati coinvolti dalla violazione. Laddove tali informazioni non siano inizialmente conosciute, il responsabile si attiverà per fornire un riscontro al titolare senza giustificato ritardo, precisandole una volta apprese. In ogni caso il responsabile assicura la massima collaborazione per approfondire tutti gli aspetti necessari ed utili per precisare la violazione. Una volta definite le ragioni della violazione, il responsabile di
concerto con il titolare e/o altro soggetto da quest’ultimo indicato, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi. È fatto obbligo di mantenere l’assoluto riserbo sulle violazioni intercorse. Al
riguardo tali notizie non dovranno essere in alcun modo diffuse in qualunque forma, fatte salve quelle comunicazioni richieste dalla legge o da autorità pubbliche.

Processi e procedure: Il responsabile accetta fin da ora di impegnarsi a rispettare i processi e le procedure predisposte dal titolare per la protezione dei dati personali che abbiano uno specifico impatto sulla funzione ricoperta dal responsabile, ed in caso comunicati anche in seguito, al riguardo vincolando anche i soggetti autorizzati al trattamento.

Durata del trattamento: La durata del trattamento è limitata all’esecuzione delle attività pattuite o comunque concordate con il titolare. Esaurite, il titolare provvederà a revocare ogni accesso ai propri dati eventualmente concesso al responsabile il quale altresì si impegna a cancellare da qualsivoglia supporto i dati personali trattati per conto del titolare, fatti salvi ulteriori obblighi di conservazione stabiliti dalle normative cui è obbligato il responsabile. Resta inteso che la dimostrazione delle ragioni che giustificano il protrarsi degli obblighi di conservazione è a carico di quest’ultimo, e che le uniche finalità perseguibili con tali dati sono esclusivamente circoscritte a rispondere a tali adempimenti normativi.

Audit: Il responsabile accetta e riconosce che il titolare potrà porre in essere attività di vigilanza sulla puntuale osservanza delle disposizioni del GDPR e delle istruzioni impartite. A titolo esemplificativo e non esaustivo tali attività ispettive potranno esplicarsi in accessi, anche per mezzo di propri addetti, nei locali e sistemi del responsabile ed anche dei suoi subfornitori, per effettuare una valutazione circa il rispetto delle misure di predisposte e che interessano i dati del titolare.

Codici di condotta e certificazioni: Il responsabile si impegna a comunicare al titolare l’adesione sua e/o dei subfornitori a codici di condotta approvati ai sensi dell’art. 40 del GDPR, e/o l’ottenimento di certificazioni che impattano sui servizi offerti al titolare, intendendo anche quelle disciplinate dall’art. 42 del GDPR.

Responsabilità: Il responsabile conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi negozialmente e normativamente assunti nella sua qualità di responsabile del trattamento dati ai sensi dell’art. 28 GDPR. Di conseguenza, anche successivamente allo scioglimento o cessazione dell’efficacia dei rapporti tra le parti a qualsiasi causa dovuta e/o successivamente alla revoca della presente autorizzazione, il responsabile sarà, senza limitazione alcuna, responsabile per qualsivoglia perdita e/o danneggiamento subiti dal titolare del trattamento ed imputabili all’inadempimento dei suddetti obblighi da parte del responsabile, dei suoi consulenti, collaborati e/o subfornitori, impegnandosi a manlevare e tenere indenne il titolare del trattamento da ogni responsabilità al riguardo, a qualsiasi causa dovuta. Ai sensi dell’art. 28 lettera H) del GDPR è compito del responsabile mettere a
disposizione del titolare tutte le informazioni necessarie a dimostrare la conformità a quanto richiesto.

Montegrotto Terme 01/01/2020