MIR Logo

Atto di Nomina di Responsabile/Sub-Responsabile dei trattamenti di dati personali

Tra

Il Rivenditore dei dispositivi medici MIR, in persona del Legale rappresentante, (di seguito, il “il “Rivenditore”)

E

MIR - Medical International Research S.p.A, con sede in 00173 - Roma, Via Luigi Schiavonetti n. 270, P. IVA 04564101006, in persona del Legale rappresentante (di seguito, il “Responsabile/Sub-Responsabile” o “MIR”)

(di seguito anche singolarmente la “Parte” e congiuntamente le “Parti”)

Premesso Che

  • Il Titolare e MIR - Medical International Research S.p.A hanno concluso un contratto avente ad oggetto l’erogazione di servizi di assistenza e manutenzione del dispositivo medico (di seguito, il “Dispositivo”) commercializzato da MIR ed utilizzato da clienti del Rivenditore (a seconda dei casi, utilizzatori finali ovvero professionisti sanitari/strutture sanitarie in nome e per conto dei quali il Rivenditore agisce(di seguito, il “Contratto”);
  • L’art.28, del Regolamento dispone che, qualora un trattamento debba essere effettuato per conto del Titolare dei dati oggetto dello stesso, quest’ultimo ricorre a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato (di seguito l’”Interessato”);
  • Il Responsabile del trattamento può ricorrere ad un altro Responsabile (di seguito il “Sub-Responsabile”), previa autorizzazione scritta, specifica o generale, del Titolare dei dati oggetto di trattamento;
  • Ai sensi del 4° comma dell’art. 28, quando un Responsabile del trattamento ricorre a un Sub-Responsabile per l'esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento, su tale altro Responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il Titolare del trattamento e il Responsabile del trattamento, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR;
  • per l’esecuzione dell’incarico sopra menzionato, MIR - Medical International Research S.p.A è preposto dal Rivenditore a svolgere operazioni di trattamento sui dati personali identificativi di terzi (comprese le particolari categorie di dati ex art. 9 del GDPR); segnatamente il Rivenditore agiste come “Titolare” ovvero come “Responsabile” dei dati personali presenti sul dispositivo a seconda che (i) il dispositivo per il quale è richiesta l’assistenza tecnica è stato consegnato al Rivenditore direttamente dal paziente oppure (ii) il dispositivo per il quale è richiesta l’assistenza tecnica è stato consegnato al Rivenditore dal professionista sanitario/struttura sanitaria).
  • è volontà dei sottoscrittori del presente atto disciplinare i reciproci rapporti per quanto attiene ai profili rilevanti ai sensi del GDPR, in conformità al D.Lgs. n. 196 del 2003, come modificato dal D.Lgs. n. 101 del 2018 (di seguito, il “Codice Privacy”) e alle ulteriori norme applicabili al trattamento dei dati personali, inclusi i provvedimenti dell’Autorità Garante per la protezione dei dati personali e delle altre autorità di controllo competenti e gli ulteriori atti di adeguamento della normativa nazionale alle disposizioni del GDPR (di seguito, collettivamente, la “Normativa Privacy Applicabile”).

Tutto Ciò Premesso

le Parti addivengono al seguente “Atto di nomina di responsabile dei trattamenti di dati personali”.

  1. Con la sottoscrizione del presente atto, il Rivenditore, in qualità di Titolare oppure di Responsabile del trattamento a seconda di quanto previsto alla premessa sub d., nomina MIR - Medical International Research S.p.A, in conformità all’art. 28 del GDPR, quale Responsabile o Sub-Responsabile del trattamento di dati personali (di seguito, il “Responsabile/Sub-Responsabile”).
  2. Il trattamento dei dati effettuati dal Responsabile/Sub-Responsabile per conto del Titolare/Responsabile sarà eseguito esclusivamente per le finalità di cui al Contratto o successivamente concordate per iscritto tra le Parti.
  3. l Responsabile/Sub-Responsabile metterà in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dal GDPR e dalla Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, e garantisca la tutela dei diritti dell’interessato. Il Responsabile/Sub-Responsabile assicura l’equivalenza delle proprie misure di sicurezza rispetto a quelle messe in atto dal Titolare/Responsabile.
  4. Con la presente nomina, il Rivenditore autorizza il Responsabile/Sub-Responsabile a effettuare trattamenti dei dati personali in forma elettronica e/o manuale, in conformità con la Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata.
    Banche dati elettroniche, contenenti dati appartenenti alle tipologie:
    • “personali comuni” / “identificativi”;
    • particolari categorie di dati ex art. 9 del GDPR (dati sanitari);
    contenuti nel Dispositivo.
  5. In particolare, il Responsabile/Sub-Responsabile si impegna a:
    • verificare e monitorare costantemente che i trattamenti siano eseguiti in modo lecito, secondo correttezza e nel rispetto del principio di necessità, per scopi determinati, espliciti e legittimi e con modalità non incompatibili con tali scopi;
    • ai sensi dell’art. 30 del GDPR, laddove applicabile o, in ogni caso, laddove richiesto dal Titolare/Responsabile, tenere un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare/Responsabile;
    • trattare i dati personali soltanto su istruzione documentata del Titolare/Responsabile del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il Responsabile/Sub-Responsabile del trattamento; in tal caso, il Responsabile/Sub-Responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
    • delegare alcune delle obbligazioni a suo carico a una o più persone incaricate di specifici aspetti del trattamento, in ogni caso effettuando una stretta supervisione delle attività di tali persone e verificando periodicamente che queste compiano i propri doveri in conformità alle istruzioni scritte impartite dal Titolare/Responsabile. In ogni caso il Responsabile/Sub-Responsabile garantirà che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
    • adottare tutte le misure idonee di protezione dei dati ai sensi dell'art. 32 del GDPR e della Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata;
    • tenendo conto della natura del trattamento, assistere il Titolare/Responsabile con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare/Responsabile del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato previsti dalla Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, e segnatamente di cui agli artt. 15 e segg. del GDPR;
    • assistere il Titolare/Responsabile nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile;
    • su indicazione del Titolare/Responsabile, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati per un determinato periodo;
    • mettere a disposizione del Titolare/Responsabile tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del GDPR e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare/Responsabile del trattamento o da un altro soggetto da questi incaricato. Il Responsabile del trattamento si impegna a informare immediatamente il Titolare/Responsabile del trattamento qualora, a suo parere, un'istruzione violi la Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, o altre disposizioni nazionali o dell'Unione, relative alla protezione dei dati;
    • designare, nei casi previsti all’art. 37 del GDPR, un Responsabile della protezione dei dati personali.
  6. Il Responsabile non ricorrerà a un altro Responsabile - per l'esecuzione di specifiche attività di trattamento per conto del Titolare del trattamento - senza previa autorizzazione scritta, specifica, del Titolare del trattamento. In tal caso, all’altro Responsabile del trattamento saranno imposti, mediante un contratto o un altro atto giuridico, gli stessi obblighi in materia di protezione dei dati contenuti nel presente atto. Resta inteso che nel caso in cui l'altro Responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserverà nei confronti del Titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro Responsabile. Resta inteso che il Responsabile sarà pienamente responsabile nei confronti del Titolare, del pieno rispetto della Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, e delle presenti istruzioni da parte dei terzi di cui si avvalga nell’esecuzione del Contratto.
  7. Il Responsabile/Sub-Responsabile garantisce che tratterà i dati personali di titolarità del Titolare/Responsabile esclusivamente per adempiere agli obblighi contrattuali. In particolare, il Responsabile/Sub-Responsabile garantisce che non diffonderà o comunicherà tali dati, né li metterà a disposizione, direttamente o indirettamente, di terzi, salvo le ipotesi in cui ciò sia necessario per adempiere ad obblighi di legge o previsti dal Contratto.
  8. Il Responsabile/Sub-Responsabile si impegna altresì a:
    • elaborare e gestire i dati personali in conformità:
      • con la Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata;
      • con le condizioni e previsioni di cui al presente atto;
      • con le istruzioni di volta in volta ricevute dal Titolare/Responsabile;
    • garantire l'implementazione e l’esecuzione di tutte le necessarie misure tecniche e organizzative allo scopo di evitare elaborazioni non autorizzate o illecite o perdite, danni o distruzioni accidentali dei dati personali;
    • non trattenere alcuna copia, estratto, sintesi o riassunto dei dati personali, eccetto ove richiesto per l'esecuzione degli obblighi previsti dalla legge applicabile e dal Contratto;
    • designare e identificare per il Titolare/Responsabile un individuo all'interno della propria organizzazione autorizzato a rispondere a richieste di informazioni da parte del Garante ovvero altre autorità di controllo nazionali o straniere;
    • designare per iscritto i Designati del trattamento dei dati personali, ai sensi dell’art. 2-quaterdecies del Codice Privacy e dell’art. 29 del GDPR, i quali materialmente compiranno le operazioni di trattamento dei dati personali;
    • dare comunicazione scritta, tempestiva e non oltre le 48 ore, al Titolare in caso di c.d. “Data Breach“ affinché quest’ultimo possa disporre gli opportuni provvedimenti da adottare ai sensi degli artt. 33 e 34 del GDPR.
  9. Gli obblighi derivanti dal presente atto saranno interpretati e adempiuti dal Responsabile/Sub-Responsabile in conformità con la Normativa Privacy Applicabile e con ogni eventuale modifica e integrazione eventualmente intervenuta in seguito alla sottoscrizione dello stesso.
  10. Il Titolare/Responsabile mantiene il diritto di verificare periodicamente le misure organizzative e di sicurezza dei Dati personali adottate dal Responsabile/Sub-Responsabile, al fine di garantire l'osservanza, da parte di quest’ultimo e dei suoi dipendenti e collaboratori incaricati del trattamento, delle istruzioni impartite nonché della Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata.
  11. La presente nomina si intenderà revocata all’atto della cessazione del Contratto, per qualsiasi causa ciò avvenga.
  12. Le Parti si impegnano a modificare e/o integrare le previsioni di cui alla presente nomina nel rispetto della Normativa Privacy Applicabile, come di volta in volta modificata e/o integrata, e nella misura in cui ciò sia necessario per garantire la piena conformità del presente atto con la predetta normativa.

Acte de Désignation du Responsable/Sous-Responsable des traitements de données personnelles

Entre

Le Revendeur des dispositifs médicaux MIR, représenté par son Représentant légal (ci-après, le « Revendeur »)

Et

MIR - Medical International Research S.p.A, ayant son siège social au 00173 - Rome, Via Luigi Schiavonetti n. 270, P. IVA 04564101006, représentée par son Représentant légal (ci-après, le « Responsable/Sous-Responsable » ou « MIR »)

(ci-après individuellement la « Partie » et collectivement les « Parties »)

Considérant Que

  • Le Titulaire et MIR - Medical International Research S.p.A ont conclu un contrat portant sur la fourniture de services d’assistance et de maintenance du dispositif médical (ci-après, le « Dispositif ») commercialisé par MIR et utilisé par les clients du Revendeur (selon les cas, utilisateurs finaux ou professionnels de santé/établissements de santé au nom et pour le compte desquels le Revendeur agit) (ci-après, le « Contrat »).
  • L’article 28 du Règlement prévoit que, lorsqu’un traitement doit être effectué pour le compte du Titulaire des données concernées, ce dernier fait appel à des Responsables du traitement présentant des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées, afin que le traitement réponde aux exigences du RGPD et assure la protection des droits de la personne concernée (ci-après l’« Intéressé »).
  • Le Responsable du traitement peut faire appel à un autre Responsable (ci-après le « Sous-Responsable »), sous réserve d'une autorisation écrite, spécifique ou générale, du Titulaire des données concernées.
  • Conformément au paragraphe 4 de l’article 28, lorsqu’un Responsable du traitement fait appel à un Sous-Responsable pour l'exécution d'activités spécifiques de traitement pour le compte du Titulaire, les mêmes obligations en matière de protection des données prévues dans le contrat ou un autre acte juridique entre le Titulaire et le Responsable sont imposées au Sous-Responsable, incluant notamment des garanties suffisantes pour mettre en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences du RGPD.
  • Pour l’exécution de la mission mentionnée ci-dessus, MIR - Medical International Research S.p.A est désignée par le Revendeur pour effectuer des opérations de traitement des données personnelles identifiables de tiers (y compris les catégories particulières de données visées à l’article 9 du RGPD) ; notamment, le Revendeur agit comme « Titulaire » ou « Responsable » des données personnelles présentes sur le dispositif selon que (i) le dispositif pour lequel une assistance technique est demandée a été remis au Revendeur directement par le patient ou (ii) le dispositif pour lequel une assistance technique est demandée a été remis au Revendeur par le professionnel de santé/l’établissement de santé.
  • Les parties signataires du présent acte souhaitent régir leurs relations respectives en ce qui concerne les aspects pertinents au sens du RGPD, conformément au Décret législatif n° 196 de 2003, tel que modifié par le Décret législatif n° 101 de 2018 (ci-après, le « Code de la vie privée »), ainsi qu’aux autres réglementations applicables au traitement des données personnelles, y compris les dispositions de l’Autorité garante pour la protection des données personnelles et des autres autorités de contrôle compétentes, ainsi que les autres actes d’adaptation de la législation nationale aux dispositions du RGPD (ci-après, collectivement, les « Réglementations de Protection des Données Applicables »).

Tout Ce Qui Précède

Les Parties conviennent de l’acte suivant : « Acte de désignation du responsable des traitements de données personnelles ».

  1. Par la signature du présent acte, le Revendeur, en qualité de Titulaire ou de Responsable du traitement selon ce qui est prévu à la prémisse sub d., désigne MIR - Medical International Research S.p.A, conformément à l’article 28 du RGPD, comme Responsable ou Sous-Responsable du traitement de données personnelles (ci-après, le « Responsable/Sous-Responsable »).
  2. Le traitement des données effectué par le Responsable/Sous-Responsable pour le compte du Titulaire/Responsable sera exclusivement réalisé aux fins prévues dans le Contrat ou ultérieurement convenues par écrit entre les Parties.
  3. Le Responsable/Sous-Responsable mettra en œuvre des mesures techniques et organisationnelles appropriées afin que le traitement réponde aux exigences prévues par le RGPD et la Réglementation Privacy Applicable, telle que modifiée et/ou intégrée, garantissant ainsi la protection des droits des personnes concernées. Le Responsable/Sous-Responsable assure l’équivalence de ses mesures de sécurité avec celles mises en place par le Titulaire/Responsable.
  4. Par la présente désignation, le Revendeur autorise le Responsable/Sous-Responsable à effectuer des traitements de données personnelles sous forme électronique et/ou manuelle, en conformité avec la Réglementation Privacy Applicable, telle que modifiée et/ou intégrée.
    Bases de données électroniques contenant des données des types suivants :
    • « données personnelles courantes » / « données identifiantes » ;
    • catégories particulières de données visées à l’article 9 du RGPD (données de santé).
    contenues dans le Dispositif.
  5. En particulier, le Responsable/Sous-Responsable s’engage à :
    • vérifier et surveiller en permanence que les traitements sont effectués de manière licite, selon le principe de bonne foi et de nécessité, à des fins déterminées, explicites et légitimes, et sans être incompatibles avec ces finalités ;
    • conformément à l’article 30 du RGPD, si applicable ou, dans tous les cas, à la demande du Titulaire/Responsable, tenir un registre de toutes les catégories d’activités liées au traitement effectuées pour le compte du Titulaire/Responsable ;
    • traiter les données personnelles uniquement sur instruction documentée du Titulaire/Responsable, y compris en cas de transfert de données personnelles vers un pays tiers ou une organisation internationale, sauf si la législation de l’Union ou nationale impose ce traitement ; dans ce cas, le Responsable/Sous-Responsable informe le Titulaire du traitement de cette obligation légale avant le traitement, sauf interdiction légale pour des raisons d’intérêt public majeur ;
    • déléguer certaines de ses obligations à une ou plusieurs personnes chargées d’aspects spécifiques du traitement, tout en supervisant strictement leurs activités et en vérifiant périodiquement qu’elles respectent les instructions écrites données par le Titulaire/Responsable. Le Responsable/Sous-Responsable garantit que les personnes autorisées au traitement des données personnelles sont soumises à une obligation de confidentialité ;
    • adopter toutes les mesures nécessaires de protection des données conformément à l’article 32 du RGPD et à la Réglementation Privacy Applicable, telle que modifiée et/ou intégrée ;
    • en tenant compte de la nature du traitement, assister le Titulaire/Responsable avec des mesures techniques et organisationnelles appropriées afin de satisfaire à l’obligation du Titulaire/Responsable de répondre aux demandes d’exercice des droits des personnes concernées prévues par la Réglementation Privacy Applicable, telle que modifiée et/ou intégrée, notamment aux termes des articles 15 et suivants du RGPD ;
    • assister le Titulaire/Responsable dans le respect des obligations prévues aux articles 32 à 36 du RGPD, en tenant compte de la nature du traitement et des informations disponibles pour le Responsable/Sous-Responsable ;
    • à la demande du Titulaire/Responsable, supprimer ou restituer toutes les données personnelles après la fin de la prestation des services liés au traitement et supprimer les copies existantes, sauf si le droit de l’Union ou des États membres prévoit la conservation des données pendant une certaine période ;
    • fournir au Titulaire/Responsable toutes les informations nécessaires pour démontrer le respect des obligations prévues à l’article 28 du RGPD et permettre et contribuer aux audits, y compris les inspections, réalisés par le Titulaire/Responsable ou un tiers désigné par ce dernier. Le Responsable/Sous-Responsable s’engage à informer immédiatement le Titulaire/Responsable si, à son avis, une instruction enfreint la Réglementation Privacy Applicable ou d’autres dispositions nationales ou européennes relatives à la protection des données ;
    • désigner, dans les cas prévus à l’article 37 du RGPD, un Délégué à la protection des données personnelles.
  6. Le Responsable ne fera pas appel à un autre Responsable - pour l’exécution d’activités spécifiques de traitement pour le compte du Titulaire - sans autorisation écrite préalable et spécifique du Titulaire. Dans ce cas, les mêmes obligations prévues dans le présent acte seront imposées au tiers Responsable par un contrat ou un autre acte juridique. Le Responsable demeure responsable envers le Titulaire pour les actions du tiers Responsable.
  7. Le Responsable/Sous-Responsable garantit que les données personnelles seront traitées exclusivement pour exécuter les obligations contractuelles, sans les divulguer ni les rendre disponibles à des tiers, sauf si requis par la loi ou le Contrat.

Acta de Nombramiento de Responsable/Sub-Responsable del Tratamiento de Datos Personales

Entre

El Distribuidor de dispositivos médicos MIR, representado por su Representante Legal, (en adelante, el “Distribuidor”)

Y

MIR - Medical International Research S.p.A., con sede en 00173 - Roma, Via Luigi Schiavonetti n. 270, P. IVA 04564101006, representada por su Representante Legal (en adelante, el “Responsable/Sub-Responsable” o “MIR”)

(en adelante también individualmente como la “Parte” y conjuntamente como las “Partes”)

Considerando Que

  • El Titular y MIR - Medical International Research S.p.A. han firmado un contrato relativo a la prestación de servicios de asistencia y mantenimiento del dispositivo médico (en adelante, el “Dispositivo”) comercializado por MIR y utilizado por clientes del Distribuidor (según el caso, usuarios finales o profesionales sanitarios/entidades sanitarias en nombre y representación de los cuales actúa el Distribuidor, en adelante, el “Contrato”).
  • El artículo 28 del Reglamento establece que, cuando un tratamiento deba realizarse en nombre del Titular de los datos objeto del tratamiento, este deberá recurrir a Responsables del Tratamiento que ofrezcan garantías suficientes para implementar medidas técnicas y organizativas adecuadas, asegurando que el tratamiento cumpla con los requisitos del RGPD y garantice la protección de los derechos del interesado (en adelante, el “Interesado”).
  • El Responsable del Tratamiento puede recurrir a otro Responsable (en adelante, el “Sub-Responsable”), previa autorización escrita, específica o general, del Titular de los datos objeto de tratamiento.
  • De conformidad con el apartado 4 del artículo 28, cuando un Responsable del Tratamiento recurre a un Sub-Responsable para la ejecución de actividades específicas de tratamiento en nombre del Titular, se impondrán a dicho Sub-Responsable, mediante un contrato u otro acto jurídico, las mismas obligaciones en materia de protección de datos que las previstas en el contrato u otro acto jurídico entre el Titular y el Responsable del Tratamiento, garantizando en particular medidas técnicas y organizativas adecuadas para cumplir con los requisitos del RGPD.
  • Para la ejecución de la tarea mencionada anteriormente, MIR - Medical International Research S.p.A. es designado por el Distribuidor para realizar operaciones de tratamiento de datos personales identificativos de terceros (incluyendo categorías especiales de datos según el art. 9 del RGPD); específicamente, el Distribuidor actúa como “Titular” o como “Responsable” de los datos personales presentes en el dispositivo, dependiendo de si (i) el dispositivo para el cual se solicita asistencia técnica fue entregado al Distribuidor directamente por el paciente, o (ii) el dispositivo fue entregado por el profesional sanitario/entidad sanitaria.
  • Es voluntad de las partes firmantes del presente acto regular sus relaciones mutuas en lo que respecta a los aspectos relevantes según el RGPD, en conformidad con el Decreto Legislativo n.º 196 de 2003, modificado por el Decreto Legislativo n.º 101 de 2018 (en adelante, el “Código de Privacidad”) y demás normas aplicables al tratamiento de datos personales, incluyendo disposiciones de la Autoridad de Protección de Datos Personales y otras autoridades de control competentes, así como los actos de adecuación de la normativa nacional a las disposiciones del RGPD (en adelante, colectivamente, la “Normativa de Privacidad Aplicable”).

Todo Lo Considerado

Las Partes acuerdan el siguiente “Acta de nombramiento de Responsable del Tratamiento de Datos Personales”.

  1. Con la firma del presente documento, el Distribuidor, en calidad de Titular o Responsable del tratamiento según lo dispuesto en el considerando d., nombra a MIR - Medical International Research S.p.A, conforme al art. 28 del RGPD, como Responsable o Sub-Responsable del tratamiento de datos personales (en adelante, el “Responsable/Sub-Responsable”).
  2. El tratamiento de datos realizado por el Responsable/Sub-Responsable en nombre del Titular/Responsable se llevará a cabo exclusivamente para los fines establecidos en el Contrato o posteriormente acordados por escrito entre las Partes.
  3. El Responsable/Sub-Responsable implementará medidas técnicas y organizativas adecuadas para garantizar que el tratamiento cumpla con los requisitos establecidos por el RGPD y la Normativa de Privacidad Aplicable, según se modifique o complemente periódicamente, y garantizará la protección de los derechos del interesado. El Responsable/Sub-Responsable asegura la equivalencia de sus medidas de seguridad con las implementadas por el Titular/Responsable.
  4. Con este nombramiento, el Distribuidor autoriza al Responsable/Sub-Responsable a realizar tratamientos de datos personales de forma electrónica y/o manual, de acuerdo con la Normativa de Privacidad Aplicable, según se modifique o complemente periódicamente.
    Bases de datos electrónicas, que contienen datos de las siguientes categorías:
    • “datos personales comunes” / “identificativos”;
    • categorías especiales de datos según el art. 9 del RGPD (datos sanitarios);
    incluidos en el Dispositivo.
  5. En particular, el Responsable/Sub-Responsable se compromete a:
    • verificar y monitorear constantemente que los tratamientos se lleven a cabo de manera lícita, justa y respetando el principio de necesidad, para fines determinados, explícitos y legítimos, y de manera compatible con dichos fines;
    • conforme al art. 30 del RGPD, cuando sea aplicable o, en cualquier caso, cuando lo solicite el Titular/Responsable, mantener un registro de todas las categorías de actividades relacionadas con el tratamiento realizadas en nombre del Titular/Responsable;
    • tratar los datos personales solo bajo instrucciones documentadas del Titular/Responsable del tratamiento, incluso en caso de transferencia de datos personales a un tercer país o una organización internacional, salvo que lo exija el derecho de la Unión o nacional al que esté sujeto el Responsable/Sub-Responsable del tratamiento; en tal caso, el Responsable/Sub-Responsable del tratamiento informará al Titular/Responsable sobre dicha obligación legal antes del tratamiento, salvo que el derecho prohíba dicha información por razones de interés público relevantes;
    • delegar algunas de las obligaciones a su cargo a una o más personas encargadas de aspectos específicos del tratamiento, en todo caso supervisando estrictamente las actividades de dichas personas y verificando periódicamente que cumplan con sus deberes conforme a las instrucciones escritas impartidas por el Titular/Responsable. En cualquier caso, el Responsable/Sub-Responsable garantizará que las personas autorizadas para el tratamiento de datos personales se comprometan a la confidencialidad o estén sujetas a una obligación legal adecuada de confidencialidad;
    • adoptar todas las medidas de protección adecuadas conforme al art. 32 del RGPD y la Normativa de Privacidad Aplicable, según se modifique o complemente periódicamente;
    • teniendo en cuenta la naturaleza del tratamiento, asistir al Titular/Responsable con medidas técnicas y organizativas adecuadas, en la medida de lo posible, para cumplir con la obligación del Titular/Responsable de responder a las solicitudes relacionadas con el ejercicio de los derechos del interesado previstos en la Normativa de Privacidad Aplicable, según se modifique o complemente periódicamente, en particular los artículos 15 y siguientes del RGPD;
    • asistir al Titular/Responsable en garantizar el cumplimiento de las obligaciones previstas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información disponible para el Responsable;
    • bajo indicación del Titular/Responsable, eliminar o devolver todos los datos personales una vez finalizada la prestación de los servicios relacionados con el tratamiento y eliminar las copias existentes, salvo que el derecho de la Unión o de los Estados miembros disponga la conservación de los datos por un periodo determinado;
    • poner a disposición del Titular/Responsable toda la información necesaria para demostrar el cumplimiento de las obligaciones establecidas en el art. 28 del RGPD y permitir y contribuir a las actividades de auditoría, incluidas las inspecciones, realizadas por el Titular/Responsable del tratamiento o por otro sujeto designado por este. El Responsable del tratamiento se compromete a informar inmediatamente al Titular/Responsable del tratamiento si, a su juicio, una instrucción viola la Normativa de Privacidad Aplicable, según se modifique o complemente periódicamente, u otras disposiciones nacionales o de la Unión relacionadas con la protección de datos;
    • designar, en los casos previstos en el art. 37 del RGPD, un Responsable de la Protección de Datos Personales.
  6. El Responsable no recurrirá a otro Responsable para la ejecución de actividades específicas de tratamiento en nombre del Titular del tratamiento sin previa autorización escrita y específica del Titular del tratamiento. En ese caso, al otro Responsable del tratamiento se le impondrán, mediante un contrato u otro acto jurídico, las mismas obligaciones de protección de datos contenidas en el presente documento. En caso de que el otro Responsable del tratamiento no cumpla con sus obligaciones, el Responsable asumirá toda la responsabilidad frente al Titular del tratamiento.
  7. El Responsable/Sub-Responsable garantiza que tratará los datos personales del Titular/Responsable exclusivamente para cumplir con las obligaciones contractuales. En particular, el Responsable/Sub-Responsable garantiza que no difundirá ni comunicará dichos datos, ni los pondrá a disposición, directa o indirectamente, de terceros, salvo que sea necesario para cumplir con obligaciones legales o contractuales.
  8. El Responsable/Sub-Responsable también se compromete a:
    • elaborar y gestionar los datos personales de conformidad:
      • con la Normativa de Privacidad Aplicable, según sea modificada y/o complementada periódicamente;
      • con las condiciones y disposiciones establecidas en el presente documento;
      • con las instrucciones recibidas periódicamente del Titular/Responsable;
    • garantizar la implementación y ejecución de todas las medidas técnicas y organizativas necesarias para evitar tratamientos no autorizados o ilícitos o pérdidas, daños o destrucción accidental de los datos personales;
    • no retener ninguna copia, extracto, resumen o sinopsis de los datos personales, salvo cuando sea necesario para cumplir con las obligaciones previstas por la ley aplicable y el Contrato;
    • designar e identificar para el Titular/Responsable una persona dentro de su organización autorizada para responder a solicitudes de información por parte del Garante u otras autoridades de control nacionales o extranjeras;
    • designar por escrito a los Encargados del tratamiento de datos personales, conforme al art. 2-quaterdecies del Código de Privacidad y al art. 29 del RGPD, quienes realizarán materialmente las operaciones de tratamiento de datos personales;
    • notificar por escrito, de manera oportuna y no más allá de las 48 horas, al Titular en caso de un llamado “Data Breach”, para que este pueda adoptar las medidas oportunas conforme a los arts. 33 y 34 del RGPD.
  9. Las obligaciones derivadas del presente documento serán interpretadas y cumplidas por el Responsable/Sub-Responsable de conformidad con la Normativa de Privacidad Aplicable y cualquier modificación o complemento que se produzca tras la firma del mismo.
  10. El Titular/Responsable se reserva el derecho de verificar periódicamente las medidas organizativas y de seguridad de los datos personales adoptadas por el Responsable/Sub-Responsable, con el fin de garantizar el cumplimiento, por parte de este último y de sus empleados y colaboradores encargados del tratamiento, de las instrucciones impartidas, así como de la Normativa de Privacidad Aplicable, según sea modificada y/o complementada periódicamente.
  11. El presente nombramiento se considerará revocado al término del Contrato, por cualquier motivo que ocurra.
  12. Las Partes se comprometen a modificar y/o complementar las disposiciones contenidas en el presente nombramiento en cumplimiento de la Normativa de Privacidad Aplicable, según sea modificada y/o complementada periódicamente, y en la medida en que sea necesario para garantizar la plena conformidad del presente documento con la normativa mencionada.

Ato de Nomeação do Responsável/Sub-Responsável pelo Tratamento de Dados Pessoais

Entre

O Revendedor de dispositivos médicos MIR, representado pelo seu Representante Legal, (doravante, o “Revendedor”)

E

MIR - Medical International Research S.p.A, com sede em 00173 - Roma, Via Luigi Schiavonetti n. 270, P. IVA 04564101006, representada pelo seu Representante Legal (doravante, o “Responsável/Sub-Responsável” ou “MIR”)

(doravante também individualmente a “Parte” e conjuntamente as “Partes”)

Considerando Que

  • O Titular e MIR - Medical International Research S.p.A celebraram um contrato referente à prestação de serviços de assistência e manutenção do dispositivo médico (doravante, o “Dispositivo”) comercializado pela MIR e utilizado por clientes do Revendedor (seja por utilizadores finais ou profissionais de saúde/estruturas de saúde em nome e por conta de quem o Revendedor atua, doravante, o “Contrato”);
  • O artigo 28 do Regulamento dispõe que, quando um tratamento de dados deve ser realizado em nome do Titular dos dados objeto do mesmo, este recorre a Responsáveis pelo Tratamento que apresentem garantias suficientes para implementar medidas técnicas e organizacionais adequadas, garantindo que o tratamento cumpra os requisitos do GDPR e assegure a proteção dos direitos do titular dos dados (doravante, o “Interessado”);
  • O Responsável pelo Tratamento pode recorrer a outro Responsável (doravante, o “Sub-Responsável”), mediante autorização escrita, específica ou geral, do Titular dos dados objeto de tratamento;
  • Nos termos do 4º parágrafo do artigo 28, quando um Responsável pelo Tratamento recorre a um Sub-Responsável para executar atividades específicas de tratamento em nome do Titular, são impostas ao Sub-Responsável, mediante contrato ou outro ato jurídico, as mesmas obrigações de proteção de dados previstas no contrato entre o Titular e o Responsável pelo Tratamento, garantindo, em particular, medidas técnicas e organizacionais adequadas para que o tratamento cumpra os requisitos do GDPR;
  • Para a execução da tarefa mencionada acima, MIR - Medical International Research S.p.A é designada pelo Revendedor para realizar operações de tratamento sobre dados pessoais identificáveis de terceiros (incluindo categorias especiais de dados conforme o art. 9 do GDPR); especificamente, o Revendedor atua como “Titular” ou “Responsável” pelos dados pessoais presentes no dispositivo, dependendo se (i) o dispositivo para o qual a assistência técnica é solicitada foi entregue diretamente pelo paciente ao Revendedor ou (ii) o dispositivo foi entregue por um profissional de saúde/estrutura de saúde.
  • É vontade das Partes regulamentar as relações mútuas no que diz respeito aos perfis relevantes nos termos do GDPR, em conformidade com o Decreto Legislativo nº 196 de 2003, conforme alterado pelo Decreto Legislativo nº 101 de 2018 (doravante, o “Código de Privacidade”) e outras normas aplicáveis ao tratamento de dados pessoais, incluindo as deliberações da Autoridade de Garantia para a Proteção de Dados Pessoais e outras autoridades de supervisão competentes, bem como atos adicionais de adequação da legislação nacional às disposições do GDPR (doravante, coletivamente, a “Normativa de Privacidade Aplicável”).

Tudo o Que Foi Considerado

As Partes concordam com o seguinte “Atto di nomina di responsabile dei trattamenti di dati personali”.

  1. Com a assinatura do presente ato, o Revendedor, na qualidade de Titular ou Responsável pelo tratamento, conforme disposto no item d. das considerações iniciais, nomeia MIR - Medical International Research S.p.A, em conformidade com o art. 28 do GDPR, como Responsável ou Sub-Responsável pelo tratamento de dados pessoais (doravante, o “Responsável/Sub-Responsável”).
  2. O tratamento de dados realizado pelo Responsável/Sub-Responsável em nome do Titular/Responsável será executado exclusivamente para as finalidades previstas no Contrato ou posteriormente acordadas por escrito entre as Partes.
  3. O Responsável/Sub-Responsável implementará medidas técnicas e organizacionais adequadas de forma que o tratamento atenda aos requisitos previstos pelo GDPR e pela Normativa de Privacidade Aplicável, conforme alterada e/ou integrada periodicamente, garantindo a proteção dos direitos do titular dos dados. O Responsável/Sub-Responsável assegura a equivalência de suas medidas de segurança em relação àquelas implementadas pelo Titular/Responsável.
  4. Com a presente nomeação, o Revendedor autoriza o Responsável/Sub-Responsável a realizar o tratamento de dados pessoais em formato eletrônico e/ou manual, em conformidade com a Normativa de Privacidade Aplicável, conforme alterada e/ou integrada periodicamente.
    Bases de dados eletrônicas, contendo dados das seguintes tipologias:
    • “dados pessoais comuns” / “identificativos”;
    • categorias especiais de dados conforme o art. 9 do GDPR (dados de saúde);
    contidos no Dispositivo.
  5. Em particular, o Responsável/Sub-Responsável compromete-se a:
    • verificar e monitorar constantemente que os tratamentos sejam realizados de forma lícita, de maneira justa e no respeito do princípio de necessidade, para fins determinados, explícitos e legítimos, e de forma compatível com esses fins;
    • nos termos do art. 30 do GDPR, quando aplicável ou, em qualquer caso, quando solicitado pelo Titular/Responsável, manter um registro de todas as categorias de atividades relacionadas ao tratamento realizadas em nome do Titular/Responsável;
    • tratar os dados pessoais apenas sob instrução documentada do Titular/Responsável pelo tratamento, mesmo em caso de transferência de dados pessoais para um país terceiro ou uma organização internacional, salvo quando exigido pela legislação da União ou nacional aplicável ao Responsável/Sub-Responsável pelo tratamento. Nesse caso, o Responsável/Sub-Responsável informará o Titular do tratamento sobre essa obrigação legal antes do tratamento, a menos que a lei proíba essa informação por motivos relevantes de interesse público;
    • delegar algumas das obrigações sob sua responsabilidade a uma ou mais pessoas encarregadas de aspectos específicos do tratamento, sempre supervisionando rigorosamente as atividades dessas pessoas e verificando periodicamente se elas cumprem seus deveres em conformidade com as instruções escritas fornecidas pelo Titular/Responsável. Em qualquer caso, o Responsável/Sub-Responsável garantirá que as pessoas autorizadas a tratar os dados pessoais assumam um compromisso de confidencialidade ou possuam uma obrigação legal adequada de confidencialidade;
    • adotar todas as medidas apropriadas para a proteção dos dados nos termos do art. 32 do GDPR e da Normativa de Privacidade Aplicável, conforme alterada e/ou integrada periodicamente;
    • considerando a natureza do tratamento, auxiliar o Titular/Responsável com medidas técnicas e organizacionais adequadas, na medida do possível, para atender às solicitações relacionadas ao exercício dos direitos do titular dos dados, conforme previsto pela Normativa de Privacidade Aplicável, conforme alterada e/ou integrada periodicamente, e especificamente nos artigos 15 e seguintes do GDPR;
    • auxiliar o Titular/Responsável a garantir o cumprimento das obrigações dos artigos 32 a 36 do GDPR, considerando a natureza do tratamento e as informações disponíveis ao Responsável;
    • mediante indicação do Titular/Responsável, apagar ou devolver todos os dados pessoais após o término da prestação dos serviços relacionados ao tratamento e apagar as cópias existentes, salvo quando a legislação da União ou dos Estados-Membros previr a conservação dos dados por um período específico;
    • disponibilizar ao Titular/Responsável todas as informações necessárias para demonstrar a conformidade com as obrigações do art. 28 do GDPR e permitir e contribuir para as atividades de auditoria, incluindo inspeções, realizadas pelo Titular/Responsável pelo tratamento ou por outro sujeito designado por este. O Responsável pelo tratamento compromete-se a informar imediatamente o Titular/Responsável pelo tratamento caso, em sua opinião, uma instrução viole a Normativa de Privacidade Aplicável, conforme alterada e/ou integrada periodicamente, ou outras disposições nacionais ou da União relativas à proteção de dados;
    • designar, nos casos previstos no art. 37 do GDPR, um Encarregado de Proteção de Dados (DPO).
  6. O Responsável não recorrerá a outro Responsável - para a execução de atividades específicas de tratamento em nome do Titular do tratamento - sem a prévia autorização escrita, específica, do Titular do tratamento. Nesse caso, ao outro Responsável pelo tratamento serão impostos, por meio de um contrato ou outro ato jurídico, os mesmos deveres em matéria de proteção de dados contidos no presente ato. Entende-se que, caso o outro Responsável pelo tratamento não cumpra suas obrigações em matéria de proteção de dados, o Responsável permanecerá integralmente responsável perante o Titular do tratamento pelo cumprimento das obrigações do outro Responsável. Entende-se também que o Responsável será plenamente responsável perante o Titular, pelo total respeito à Normativa de Privacidade Aplicável, conforme modificada e/ou integrada periodicamente, e pelas presentes instruções de terceiros de que se valer na execução do Contrato.
  7. O Responsável/Sub-Responsável garante que tratará os dados pessoais de titularidade do Titular/Responsável exclusivamente para cumprir as obrigações contratuais. Em particular, o Responsável/Sub-Responsável garante que não divulgará ou comunicará tais dados, nem os colocará à disposição, direta ou indiretamente, de terceiros, salvo nos casos em que isso seja necessário para cumprir obrigações legais ou previstas no Contrato.
  8. O Responsável/Sub-Responsável também se compromete a:
    • elaborar e gerir os dados pessoais em conformidade com:
      • a Normativa de Privacidade Aplicável, conforme modificada e/ou integrada periodicamente;
      • as condições e previsões deste ato;
      • as instruções recebidas periodicamente do Titular/Responsável;
    • garantir a implementação e execução de todas as medidas técnicas e organizacionais necessárias para evitar tratamentos não autorizados ou ilícitos ou perdas, danos ou destruições acidentais dos dados pessoais;
    • não reter cópias, extratos, sínteses ou resumos dos dados pessoais, exceto quando necessário para o cumprimento das obrigações previstas pela legislação aplicável e pelo Contrato;
    • designar e identificar para o Titular/Responsável uma pessoa dentro da própria organização autorizada a responder a solicitações de informações da Autoridade Nacional de Proteção de Dados ou outras autoridades de controle nacionais ou estrangeiras;
    • designar por escrito os Encarregados do tratamento de dados pessoais, nos termos do art. 2-quaterdecies do Código de Privacidade e do art. 29 do GDPR, os quais realizarão materialmente as operações de tratamento de dados pessoais;
    • comunicar por escrito, de forma tempestiva e no prazo máximo de 48 horas, ao Titular, em caso de um "Data Breach", para que este possa adotar as providências adequadas conforme os artigos 33 e 34 do GDPR.
  9. As obrigações decorrentes do presente ato serão interpretadas e cumpridas pelo Responsável/Sub-Responsável em conformidade com a Normativa de Privacidade Aplicável e com quaisquer modificações e integrações que venham a ocorrer após a assinatura do mesmo.
  10. O Titular/Responsável mantém o direito de verificar periodicamente as medidas organizacionais e de segurança dos dados pessoais adotadas pelo Responsável/Sub-Responsável, a fim de garantir a conformidade, por parte deste e de seus empregados e colaboradores encarregados do tratamento, com as instruções fornecidas, bem como com a Normativa de Privacidade Aplicável, conforme modificada e/ou integrada periodicamente.
  11. A presente nomeação será revogada no momento da cessação do Contrato, qualquer que seja o motivo.
  12. As Partes comprometem-se a modificar e/ou integrar as disposições deste ato em conformidade com a Normativa de Privacidade Aplicável, conforme modificada e/ou integrada periodicamente, na medida necessária para garantir a plena conformidade deste ato com a referida normativa.

Appointment Act of the Data Processing Controller/Sub-Controller

Between

The Distributor of MIR medical devices, represented by its Legal Representative, (hereinafter referred to as the “Distributor”)

And

MIR - Medical International Research S.p.A, headquartered at 00173 - Rome, Via Luigi Schiavonetti n. 270, VAT No. 04564101006, represented by its Legal Representative (hereinafter referred to as the “Controller/Sub-Controller” or “MIR”)

(hereinafter also individually referred to as the “Party” and collectively as the “Parties”)

Whereas

  • The Controller and MIR - Medical International Research S.p.A have entered into a contract concerning the provision of support and maintenance services for the medical device (hereinafter referred to as the “Device”) marketed by MIR and used by clients of the Distributor (as the case may be, end users or healthcare professionals/healthcare facilities on behalf of whom the Distributor acts) (hereinafter referred to as the “Contract”).
  • Article 28 of the Regulation stipulates that, where processing is to be carried out on behalf of the Controller of the data subject to processing, the Controller must appoint processors that provide sufficient guarantees to implement appropriate technical and organizational measures to ensure that processing complies with the GDPR and protects the rights of the data subject (hereinafter referred to as the “Data Subject”).
  • The Processor may appoint another Processor (hereinafter referred to as the “Sub-Processor”), with prior written, specific, or general authorization from the Controller of the data subject to processing.
  • Pursuant to paragraph 4 of Article 28, when a Processor engages a Sub-Processor to carry out specific processing activities on behalf of the Controller, the same data protection obligations as set out in the contract or other legal act between the Controller and the Processor must be imposed on the Sub-Processor through a contract or other legal act, in particular providing sufficient guarantees to implement appropriate technical and organizational measures to ensure compliance with the GDPR.
  • For the performance of the aforementioned task, MIR - Medical International Research S.p.A is appointed by the Distributor to carry out data processing operations on personal data identifying third parties (including special categories of data under Article 9 of the GDPR). Specifically, the Distributor acts as the “Controller” or the “Processor” of the personal data contained within the Device depending on whether (i) the device for which technical assistance is requested was provided to the Distributor directly by the patient, or (ii) the device for which technical assistance is requested was provided to the Distributor by the healthcare professional/healthcare facility.
  • It is the intent of the signatories of this document to regulate their mutual relationships regarding relevant aspects under the GDPR, in compliance with Legislative Decree No. 196 of 2003, as amended by Legislative Decree No. 101 of 2018 (hereinafter referred to as the “Privacy Code”), and other applicable regulations governing the processing of personal data, including rulings by the Data Protection Authority and other competent supervisory authorities, and further measures adapting national legislation to the GDPR (hereinafter collectively referred to as the “Applicable Privacy Law”).

Now, Therefore

The Parties agree to the following “Act of Appointment of the Data Processing Controller.”

  1. By signing this act, the Distributor, acting as Data Controller or Data Processor, depending on the provisions of premise sub d., appoints MIR - Medical International Research S.p.A, in accordance with Article 28 of the GDPR, as the Data Processor or Sub-Processor of personal data (hereinafter referred to as the “Processor/Sub-Processor”).
  2. The data processing carried out by the Processor/Sub-Processor on behalf of the Controller/Processor will be executed solely for the purposes outlined in the Contract or subsequently agreed upon in writing by the Parties.
  3. The Processor/Sub-Processor will implement appropriate technical and organizational measures to ensure that the processing meets the requirements set forth in the GDPR and the Applicable Privacy Law, as amended and/or integrated over time, and guarantees the protection of the data subject's rights. The Processor/Sub-Processor ensures the equivalence of its security measures with those implemented by the Controller/Processor.
  4. With this appointment, the Distributor authorizes the Processor/Sub-Processor to process personal data electronically and/or manually, in compliance with the Applicable Privacy Law, as amended and/or integrated over time.
    Electronic databases containing data belonging to the following categories:
    • “common” / “identifiable” personal data;
    • special categories of data under Article 9 of the GDPR (health data);
    contained within the Device.
  5. In particular, the Processor/Sub-Processor commits to:
    • continuously verifying and monitoring that the processing is carried out lawfully, fairly, and in compliance with the principle of necessity, for specific, explicit, and legitimate purposes, and in a manner that is not incompatible with those purposes;
    • pursuant to Article 30 of the GDPR, where applicable or, in any case, as requested by the Controller/Processor, maintaining a record of all categories of processing activities carried out on behalf of the Controller/Processor;
    • processing personal data solely on documented instructions from the Controller/Processor, including with respect to transfers of personal data to a third country or an international organization, unless required to do so by Union or Member State law to which the Processor/Sub-Processor is subject; in such cases, the Processor/Sub-Processor shall inform the Controller/Processor of that legal requirement before processing, unless prohibited by law for reasons of public interest;
    • delegating some of its obligations to one or more persons assigned to specific aspects of processing, always supervising the activities of such persons closely and periodically verifying that they perform their duties in compliance with written instructions issued by the Controller/Processor. In any case, the Processor/Sub-Processor will ensure that the individuals authorized to process personal data have committed to confidentiality or are under an appropriate statutory obligation of confidentiality;
    • adopting all necessary data protection measures pursuant to Article 32 of the GDPR and the Applicable Privacy Law, as amended and/or integrated over time;
    • taking into account the nature of the processing, assisting the Controller/Processor with appropriate technical and organizational measures, insofar as possible, to meet the Controller/Processor’s obligation to respond to data subject requests for exercising their rights under the Applicable Privacy Law, as amended and/or integrated over time, specifically as outlined in Articles 15 et seq. of the GDPR;
    • assisting the Controller/Processor in ensuring compliance with the obligations under Articles 32 to 36 of the GDPR, taking into account the nature of the processing and the information available to the Processor/Sub-Processor;
    • upon the Controller/Processor’s instruction, deleting or returning all personal data after the provision of services related to processing has ended and deleting existing copies unless Union or Member State law requires storage for a specific period;
    • providing the Controller/Processor with all the necessary information to demonstrate compliance with the obligations laid down in Article 28 of the GDPR and allowing and contributing to audits, including inspections, conducted by the Controller/Processor or another authorized representative. The Processor commits to immediately inform the Controller/Processor if, in its opinion, an instruction violates the Applicable Privacy Law, as amended and/or integrated over time, or other Union or Member State data protection provisions;
    • appointing, where required by Article 37 of the GDPR, a Data Protection Officer.
  6. The Processor shall not engage another Processor—for the execution of specific processing activities on behalf of the Data Controller—without prior, specific, written authorization from the Data Controller. In such cases, the same data protection obligations as set out in this act shall be imposed on the other Processor by means of a contract or other legal act. It is understood that if the other Processor fails to meet its data protection obligations, the initial Processor shall remain fully liable to the Data Controller for the fulfillment of the other Processor’s obligations. It is further understood that the Processor will be fully accountable to the Data Controller for compliance with the Applicable Privacy Law, as amended and/or integrated from time to time, and with these instructions by any third parties engaged for the execution of the Contract.
  7. The Processor/Sub-Processor guarantees that it will process the personal data owned by the Controller/Processor exclusively to fulfill contractual obligations. Specifically, the Processor/Sub-Processor guarantees that it will not disclose or communicate such data, nor make it available, directly or indirectly, to third parties, except where necessary to comply with legal obligations or as stipulated in the Contract.
  8. The Processor/Sub-Processor further undertakes to:
    • process and manage personal data in compliance with:
      • the Applicable Privacy Law, as amended and/or supplemented from time to time;
      • the conditions and provisions set forth in this act;
      • the instructions provided from time to time by the Controller/Processor;
    • ensure the implementation and execution of all necessary technical and organizational measures to prevent unauthorized or unlawful processing or accidental loss, damage, or destruction of personal data;
    • not retain any copies, extracts, summaries, or compilations of personal data, except where required to fulfill obligations under applicable law and the Contract;
    • designate and identify for the Controller/Processor an individual within their organization authorized to respond to information requests from the Data Protection Authority or other national or foreign supervisory authorities;
    • formally appoint individuals in writing responsible for the processing of personal data, pursuant to Article 2-quaterdecies of the Privacy Code and Article 29 of the GDPR, who will carry out the data processing operations;
    • provide written, prompt communication, no later than 48 hours, to the Controller in case of a so-called "Data Breach" so that the latter can take the necessary measures in accordance with Articles 33 and 34 of the GDPR.
  9. The obligations arising from this act will be interpreted and fulfilled by the Processor/Sub-Processor in compliance with the Applicable Privacy Law and any amendments or integrations made after its signing.
  10. The Controller/Processor retains the right to periodically verify the organizational and security measures for personal data adopted by the Processor/Sub-Processor to ensure compliance by the latter, and their employees and collaborators involved in processing, with the instructions given and the Applicable Privacy Law, as amended and/or supplemented from time to time.
  11. This appointment shall be considered revoked upon termination of the Contract, regardless of the cause.
  12. The Parties undertake to modify and/or supplement the provisions of this appointment in compliance with the Applicable Privacy Law, as amended and/or supplemented from time to time, and as necessary to ensure full compliance of this act with the said regulations.