Profile

I corsi

Guarda i nostri corsi.

I documenti

I nostri template e documenti.

About Us

Conosci l’autore e il suo progetto.

Contattaci

Scrivici o chiama.

La piattaforma

Esplora la piattaforma.

Il Blog

Leggi i nostri articoli.

Prezzi e servizi

Scopri i nostri servizi.

FAQs

Find Answers to FAQs.

Premesse

Privacy Doodles è un marchio registrato di titolarità dell’Avv. Massimo Bacci e viene utilizzato per individuare un servizio di consulenza legale in materia di protezione dei dati personali.

Per diventare clienti di Privacy Doodles, è necessario contattare l’Avv. Massimo Bacci, chiedere un preventivo dedicato alla propria organizzazione e stipulare un apposito contratto di consulenza. Attualmente, non è possibile acquistare separatamente l’accesso alla piattaforma di gestione privacy e di formazione del personale. Questi sono strumenti messi a disposizione nell’ambito del rapporto di consulenza legale, che mantiene natura di prestazione personale fornita dall’Avvocato in favore dell’organizzazione cliente.

In questa pagina sono pubblicate a mero titolo informativo le condizioni standard applicate al rapporto di consulenza. Tuttavia, esse non hanno valore contrattuale. Ciascun rapporto contrattuale fra il consulente e l’organizzazione cliente deve essere negoziato e stipulato individualmente e può derogare alle seguenti condizioni. Per verificare quali sono le condizioni applicate al singolo rapporto, il cliente deve pertanto fare riferimento al documento contrattuale appositamente sottoscritto.

Modello di contratto di consulenza privacy

Sono parte integrante del contratto le Condizioni Speciali, le Condizioni Generali e il Data Processing Agreement.

Condizioni speciali di contratto

L’offerta di consulenza continuativa è volta alla creazione, all’aggiornamento e al miglioramento continuo di un sistema di gestione privacy e comprende le seguenti attività.

Data Mapping e redazione dei registri

Mappatura dei processi aziendali che comportano trattamenti di dati personali e redazione del registro del trattamento e, se necessario, del responsabile del trattamento.

Nomina dei responsabili del trattamento

Individuazione dei soggetti che operano come responsabili del trattamento e redazione dei Data Processing Agreement.

Organigramma privacy e nomina degli autorizzati

ppatura dei reparti e delle mansioni aziendali, attribuzione delle autorizzazioni ai trattamenti dei dati personali, redazione delle lettere di autorizzazione al personale e agli amministratori di sistema.

Redazione delle informative privacy

Redazione delle informative ai sensi dell’art. 13 GDPR per clienti, fornitori, dipendenti e altri eventuali soggetti interessati. Non è compresa la redazione della Cookie Policy, che richiede l’intervento dello sviluppatore del sito web.

Risk Assessment e DPIA

Ciascun trattamento registrato viene sottoposto a Risk Assessment mediante metodo ENISA. Il Consulente fornisce il proprio parere e la propria assistenza al Cliente nell’eventuale redazione di Data Protection Impact Assessment.

Inventario degli asset e delle misure di sicurezza

Vengono inventariati gli asset aziendali utilizzati per il trattamento di dati personali,  nonché le misure di sicurezza agli stessi applicate. Gli asset vengono associati ai trattamenti per i quali sono utilizzati.

Redazione policy e procedure

Vengono redatte le policy e le procedure del sistema di gestione privacy, ritenute necessarie o utili in considerazione dei trattamenti di dati effettuati dal Cliente e delle dimensioni aziendali, ad esempio: Procedura di Data Breach; Procedura per l’esercizio dei diritti privacy; Regolamento per l’uso della strumentazione informatica, della rete e della posta elettronica; Modello Organizzativo Privacy (MOP); Clean Desk Policy etc.

Consulenza All You Can Eat

Il Consulente mette a disposizione del Cliente, durante gli orari e i giorni di apertura dello Studio Legale, un servizio di consulenza da remoto (telefonica e in VideoCall), per le questioni riguardanti la protezione dei dati personali, senza richieste di costi aggiuntivi.

Fornitura del software gestionale privacy

Per organizzare il sistema di gestione privacy e archiviare i documenti, il Consulente utilizza un software in Cloud Computing e fornisce al Cliente le credenziali di accesso in lettura. Questo consente al Cliente di monitorare in qualsiasi momento lo stato del sistema di gestione privacy e di effettuare il download della documentazione da un unico punto.

Fornitura del Learning Management System per la privacy

Il Cliente avrà a disposizione una piattaforma di e-learning dedicata alla privacy, per garantire al personale una formazione continuativa in materia di protezione dei dati personali.

Assessment periodici e aggiornamento continuo

Vengono effettuati assessment periodici, con cadenza almeno annuale, al fine di monitorare lo stato del sistema di gestione privacy e mantenerlo aggiornato nel tempo, anche in ottica di un suo miglioramento continuo e progressivo.

Condizioni generali di contratto

1. Oggetto del contratto

Il contratto ha ad oggetto una prestazione d’opera intellettuale ai sensi degli artt. 2230 ss. c.c. da parte del Consulente, il quale si impegna a svolgere la propria attività di consulenza in materia di protezione dei dati personali con la massima diligenza ma senza obbligo di risultato.

2. Obblighi e oneri delle parti

Il Consulente ha l’obbligo di eseguire le prestazioni specificate all’interno delle Condizioni Speciali ed assistere il Cliente con la diligenza richiesta ad un esperto del settore.

Il Cliente ha l’obbligo di pagare il corrispettivo pattuito nella misura e nei termini previsti nelle Condizioni Speciali.

Il Cliente ha l’onere di fornire al Consulente le informazioni e i documenti richiesti, nonché adempiere alle raccomandazioni formulate dal Consulente per adeguarsi alla normativa. Il Cliente è tenuto a comunicare al Consulente attività, eventi, modifiche della struttura aziendale, del personale e dei fornitori che possano avere rilevanza per il trattamento dei dati personali, senza attendere che sia il Consulente ad attivarsi per richiedere queste informazioni. In mancanza di collaborazione da parte del Cliente, non sarà possibile garantire il corretto svolgimento di tutte le prestazioni oggetto delle Condizioni Speciali.

3. Durata del contratto e rinnovo automatico

Il presente contratto ha durata di un anno a partire dalla data indicata nelle Condizioni Speciali e si rinnova automaticamente per la stessa durata ed alle medesime condizioni salvo disdetta da comunicarsi entro 30 giorni prima della scadenza.

4. Limitazione di responsabilità

Il Consulente risponde dei danni nei confronti del Cliente nei soli casi di inadempimento contrattuale posto in essere con dolo o colpa grave ai sensi dell’art. 1229 c.c. e in nessun altro caso.

La responsabilità per l’adeguamento alle normative in materia di trattamento di dati è e resta esclusivamente in capo al Cliente. Fatto salvo quanto previsto al paragrafo precedente, il Consulente non è responsabile in caso di sanzioni o danni subiti dal Cliente o da terzi e derivanti dal mancato rispetto delle normative.

5. Clausola di rinvio

Per quanto non espressamente previsto nelle presenti condizioni di contratto, devono ritenersi applicabili le norme di cui agli artt. 2230 ss. c.c. in materia di prestazione d’opera intellettuale.

6. Rivalutazione monetaria

I canoni previsti da questo contratto sono soggetti a rivalutazione annuale nella misura del 100% in base all’Indice dei prezzi al consumo per le famiglie di operai e impiegati (FOI) calcolato dall’Istituto Nazionale di Statistica (ISTAT). La rivalutazione viene effettuata ed ha efficacia al momento del rinnovo automatico.

7. Trattamento dei dati personali

Con riferimento ai dati personali trattati dal Consulente in qualità di titolare del trattamento, il Cliente dichiara di aver preso visione dell’informativa ai sensi dell’art. 13 Reg. UE 2016/679. Al momento della sottoscrizione del presente contratto, l’informativa è disponibile al seguente link: https://legalicappellinicarlesi.it/GDPR/.

Per quanto attiene ai dati personali trattati dal Consulente in qualità di responsabile del trattamento, si rinvia al successivo Data Processing Agreement

Data Processing Agreement

Art. 28 Reg. UE 2016/679

PREMESSE

  • Per svolgere l’incarico di consulenza, il Consulente dovrà trattare, per conto del Cliente, alcuni dati personali di cui quest’ultimo è titolare del trattamento (ad esempio dati riferiti ai suoi dipendenti, fornitori, clienti o altri soggetti esterni coinvolti nel trattamento dei dati personali);
  • con riferimento al trattamento di questi dati, il Consulente assume il ruolo di responsabile del trattamento;
  • ai sensi dell’art. 28, par. 3, Reg. UE 2016/679 è richiesta alle parti la conclusione di un contratto che vincoli il responsabile del trattamento al titolare del trattamento e che disciplini la materia, la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare.

CONDIZIONI CONTRATTUALI

1. Oggetto

Con il presente contratto, il Cliente designa il Consulente, che accetta, come responsabile del trattamento, secondo le definizioni di cui agli artt. 4 e 28 Reg. UE 2016/679, con riferimento alle operazioni di trattamento dei dati personali di seguito determinate.

Il conferimento dell’incarico come responsabile non comporta il pagamento di compensi aggiuntivi rispetto a quelli concordati dalle parti per la prestazione del servizio di consulenza.

2. Operazioni consentite e soggetti interessati

Il Consulente potrà trattare per conto del Cliente alcuni dati personali relativi ai suoi dipendenti, fornitori, collaboratori, professionisti o altre persone fisiche coinvolte nelle attività di trattamento dei dati personali per conto Cliente.

Il Consulente potrà trattare dati personali al fine di adempiere al proprio incarico come consulente esterno in materia di trattamento dei dati personali e, a titolo esemplificativo ma non esaustivo, nello svolgimento delle seguenti operazioni:

  • definire ruoli e responsabilità all’interno dell’organizzazione del titolare;
  • individuare responsabili esterni del trattamento e destinatari di dati personali;
  • redigere ed aggiornare la documentazione in materia di trattamento dei dati personali;
  • curare la tenuta dei registri in materia di trattamento dei dati personali e conservarli, anche con modalità telematiche;
  • fornire al Cliente consulenza su aspetti specifici legati al trattamento dei dati personali.

Il Consulente non effettua trattamenti su base continuativa dei dati personali dei clienti del Cliente. Tuttavia, nel fornire consulenza su aspetti specifici o assistere il Cliente nella gestione delle richieste degli interessati o dei Data Breach, il Consulente potrebbe dover trattare anche dati riferiti a clienti o altri interessati.

3. Dati oggetto di trattamento

A titolo esemplificativo e non esaustivo, il Consulente potrà trattare dati anagrafici e di contatto, indirizzi professionali, codici fiscali, partite IVA o altri numeri identificativi di fornitori, collaboratori esterni e altri destinatari dei dati.

Il Consulente potrà trattare dati relativi alle mansioni lavorative dei dipendenti ed al ruolo ricoperto all’interno dell’azienda, oltre ai loro indirizzi e-mail.

Il Consulente non tratterà dati appartenenti alle categorie particolari di cui agli artt. 9 e 10 Reg. UE 2016/679.

4. Finalità del trattamento

I dati personali sopra menzionati vengono trattati dal Consulente al solo fine di adempiere all’incarico di consulenza in materia di trattamento dei dati personali. Non sono consentiti al Consulente trattamenti per diverse finalità.

In particolare, i dati personali dei suddetti interessati sono necessari ad inquadrare ruoli e responsabilità (titolari, responsabili esterni, autorizzati, destinatari, amministratori di sistema); redigere contrattualistica e documentazione; redigere, curare e conservare registri e organigrammi; inviare comunicazioni relative al proprio incarico; curare la formazione del personale del Cliente; consentire l’accesso al software di gestione privacy.

5. Modalità del trattamento

Il Consulente è autorizzato ad effettuare il trattamento dei dati personali ricorrendo a strumenti elettronici.

In particolare, il Consulente potrà ricorrere all’ausilio di software di gestione privacy e sistemi di archiviazione dei dati, anche in modalità Cloud Computing.

6. Categorie di soggetti aventi accesso ai dati personali

Oltre al Consulente, l’accesso ai dati personali oggetto del presente contratto potrà avvenire anche da parte di suoi dipendenti e collaboratori, purché debitamente autorizzati, istruiti e vincolati ad un obbligo di riservatezza.

7. Obblighi del Cliente

Il Cliente si impegna a fornire ai soggetti interessati una corretta informativa sul trattamento dei loro dati personali, conformemente a quanto previsto dall’art. 13 Reg. UE 2016/679 e documentare per iscritto al Consulente ogni istruzione riguardante il trattamento dei dati personali che non sia già contenuta nel presente contratto.

Il Cliente è consapevole del fatto che il conferimento dell’incarico di consulenza non comporta trasferimenti di responsabilità in capo al Consulente né obbligazioni di risultato e che resta a suo esclusivo carico l’obbligo di conformarsi alle normative vigenti.

8. Obblighi del Consulente

Nel trattare i dati personali oggetto del presente contratto, il Consulente si impegna a:

  • rispettare le istruzioni fornite e documentate per iscritto dal Cliente, purché coerenti con quanto disposto dal Reg. UE 2016/679;
  • limitare i trattamenti a quelli necessari per le finalità perseguite;
  • garantire riservatezza, integrità e disponibilità dei dati personali trattati;
  • designare i dipendenti autorizzati a trattare i dati personali, garantire che questi mantengano su di essi la massima riservatezza e che vengano debitamente istruiti e formati in materia di sicurezza dei dati personali;
  • adottare misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali, conformemente all’art. 32 Reg. UE 2016/679, in particolare tutelandoli dalla distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale;
  • assistere il Cliente nel dar seguito alle richieste dei soggetti interessati relative al trattamento dei loro dati personali conformemente al Capo III del Reg. UE 2016/679;
  • assistere il Cliente al rispetto degli obblighi di cui agli articoli 33 e 34 Reg. UE 2016/679 in caso di Data Breach;
  • assistere il Cliente al rispetto degli obblighi di cui agli articoli 35 e 36 Reg. UE 2016/679 nel predisporre un Data Protection Impact Assessment;
  • mettere a disposizione del Cliente tutte le informazioni necessarie a dimostrare il rispetto degli obblighi derivanti dal presente contratto e dal Reg. UE 2016/679, anche consentendo di svolgere ispezioni e controlli, purché con congruo preavviso;
  • informare il Cliente nel caso in cui ritenga che un’istruzione impartitagli ai fini dell’esecuzione del presente contratto non sia conforme alle norme del Reg. UE 2016/679 o alle norme nazionali in materia di trattamento dei dati personali;
  • non trasferire i dati in Paesi terzi rispetto allo Spazio Economico Europeo al di fuori dei casi consentiti dal Capo V Reg. UE 2016/679;
  • comunicare tempestivamente al Cliente ogni Data Breach e fornire tutte le informazioni e la documentazione necessaria affinché il Cliente possa, ove necessario, effettuare la notifica all’Autorità Garante.

9. Autorizzazione alla nomina di sub-responsabili

Il Cliente autorizza espressamente il Consulente a ricorrere ad ulteriori responsabili del trattamento al fine di archiviare i dati su un server cloud, purché i server si trovino all’interno dell’Unione Europea oppure il trasferimento sia reso lecito ai sensi degli artt. 44 – 50 Reg. UE 2016/679.

Il Cliente autorizza espressamente il Consulente a ricorrere ad ulteriori responsabili del trattamento per l’utilizzo di software gestionali, anche in modalità Cloud Computing. In particolare, il Cliente autorizza il Consulente a ricorrere alla società Formagrid Inc., con sede negli Stati Uniti, in qualità di sub-responsabile del trattamento per la fornitura del software Airtable e la conservazione dei dati in esso contenuti.

É responsabilità del Consulente quella di assicurare che il sub-responsabile fornisca misure tecniche ed organizzative adeguate a garantire la protezione dei dati personali, conformemente all’art. 32 Reg. UE 2016/679.

Il Consulente si impegna a comunicare al Cliente, su richiesta di quest’ultimo, l’identità dei sub-responsabili, nonché le misure di sicurezza che vengono da essi adottate. In caso di successiva modifica dei sub-responsabili, il Consulente si impegna a comunicarla al Cliente, consentendo a quest’ultimo il diritto di opporsi.

10. Durata e cessazione del trattamento

La durata del presente contratto corrisponde a quella dell’incarico come consulente privacy.

Al momento della cessazione dell’incarico di consulente, anche il presente contratto dovrà considerarsi risolto.

Il Consulente si impegna ad interrompere tutti i trattamenti effettuati sulla base del presente contratto ed a cancellare i relativi dati personali entro congruo termine, ad esclusione di quelli che il Consulente potrà conservare, in qualità di titolare del trattamento, per tutelare propri diritti in sede giudiziaria.