Termini di servizio ENDU4Team

1. Definizioni

   1. Nel prosieguo, si applicano le seguenti definizioni:

      • Fornitore: Endu S.r.l., con sede in Via Falcone 30/A, 43121 Parma (PR), P. IVA IT 02804190342, email info@endu.net
      • ENDU4team: la piattaforma dedicata alle società sportive gestita dal Fornitore a partire dal sito internet www.endu.net.
      • Servizi: i servizi dedicati alle Società e fruibili, gratuitamente o a pagamento, attraverso ENDU4team
      • Società: le società sportive in tutte le loro forme, comprese le società sportive dilettantistiche a responsabilità limitata, le associazioni sportive dilettantistiche, etc...
      • Membri: i soggetti affiliati o comunque iscritti alla Società o che comunque utilizzano ENDU4team per l’acquisto di beni o servizi dalla Società
      • Contratto: l’accordo contrattuale tra la Società e il Fornitore, disciplinato dai presenti termini d’uso e da quelli generali applicati dal Fornitore ai propri servizi e consultabili attraverso il seguente collegamento ipertestuale: https://www.endu.net/it/terms; in caso di conflitto tra i presenti termini d’uso e quelle generali ENDU, prevalgono i primi.

2. Oggetto

   1. Attraverso ENDU4team, la Società può svolgere le seguenti attività:

      • creazione e gestione di un database con le anagrafiche dei Membri, anche attraverso l’importazione dei relativi dati dalle Federazioni sportive, ove possibile;
      • gestione degli esercizi temporali, al fine ottenere uno storico dei Membri, suddiviso per anni di attività e tesseramento, a scopi statistici e/o di controllo contabile;
      • suddivisione e raggruppamento delle anagrafiche in gruppi e sottogruppi personalizzati;
      • invio di comunicazioni ai Membri, anche per gruppi;
      • iscrizione dei Membri e dei relativi gruppi ad eventi e manifestazioni sportive organizzate dalla Società o da soggetti terzi;
      • ricezione e/o registrazione delle domande di adesione e/o tesseramento dei Membri;
      • vendita di prodotti e servizi offerti dalla Società ai Membri e ad altre persone ad essi collegate;
      • incasso di somme relative al pagamento di quanto ai 2 punti precedenti;
      • altre eventuali funzioni inerenti alla gestione, all’organizzazione e alla promozione della Società che si rendessero disponibili grazie al miglioramento e ad ulteriori sviluppi della piattaforma ENDU4team.

   Fatto salvo quanto segue, il Fornitore si riserva di modificare in qualsiasi momento il contenuto di determinate funzionalità della piattaforma ovvero di interromperne la fornitura; l’utilizzo di specifiche funzionalità della piattaforma può richiedere l’accettazione, da parte della Società, di particolari termini d’uso che integreranno il Contratto tra le Parti.

   2. Alcune funzioni del Servizio sono a pagamento e per accedere ad esse è necessario acquistare un Pacchetto contenente l’offerta economica del Fornitore. Il Pacchetto conterrà di volta in volta la specifica descrizione del contenuto dei Servizi, dell’importo da versare, ove dovuto, nonché delle modalità e dei termini di pagamento, compresi i cicli di fatturazione in caso di abbonamento. I termini e le condizioni specificate in ogni Pacchetto si intendono vincolanti per la Società, una volta accettati, e prevalenti, in caso di conflitto, sui presenti Termini di Servizio ENDU4Team. A fronte della sottoscrizione di uno specifico Pacchetto, la Società riceverà per email dal Fornitore una conferma d’ordine con il riepilogo delle condizioni applicabili; è onere della Società conservare la conferma d’ordine su un supporto durevole. I Pacchetti di volta in volta messi a disposizione dal Fornitore possono essere visionati ed acquistati consultando il sito www.endu.net e seguendo il procedimento di acquisto ivi previsto. Resta inteso che il Fornitore si riserva di modificare in ogni momento il contenuto di ogni singolo Pacchetto, di creare nuove offerte, così come di cancellare Pacchetti in precedenza disponibili. Le modifiche, così come le cancellazioni, non avranno effetti sui Pacchetti nel frattempo già acquistati dalla Società, che continueranno ad essere validi sino alla loro successiva scadenza. La Società riconosce ed accetta che taluni Pacchetti potranno prevedere espressamente l’addebito di una commissione in capo ai Membri ai fini dell’iscrizione alla Società ovvero a un evento sportivo. In tali casi, il Fornitore provvederà ad effettuare l’addebito sulla base di un autonomo rapporto con il Membro; se la Società non intende subordinare l’iscrizione dei Membri all’addebito di commissioni da parte del Fornitore, non può utilizzare i Pacchetti e i Servizi che prevedono espressamente tale sistema di remunerazione per il Fornitore.

   3. L’utilizzo di ENDU4team per attività di vendita o tesseramento o iscrizione comporta l’instaurazione di un autonomo rapporto tra la Società e i Membri soggetto alle norme contrattuali e regolamentari, compresa la privacy policy, che la stessa Società, sotto la propria esclusiva responsabilità, porterà a conoscenza dei Membri e sottoporrà alla loro approvazione mediante la piattaforma.

   4. Il costo di qualsiasi strumento di pagamento (per esempio bonifico bancario, paypal, carta di credito o debito, etc...) fornito da un terzo alla Società ed utilizzato da quest’ultima nell’ambito del Contratto, si intende ad esclusivo carico della Società medesima.

   5. Le somme incassate dal Fornitore per conto della Società saranno riaccreditate a quest’ultimo, con le modalità e nei termini indicati nel Pacchetto, al netto del corrispettivo dovuto al Fornitore in forza del Contratto e di qualsiasi eventuale trattenuta di imposte ed altri oneri dovuti per legge.

   6. I Servizi sono riservati a un’utenza di tipo professionale e non trova pertanto applicazione la speciale disciplina prevista dal Codice del Consumo (i.e. D. Lgs. 6 settembre 2005, n. 206) in favore dei consumatori, avuto particolare riguardo al diritto di recesso entro 14 giorni dalla conclusione del contratto a distanza.

3. Account ENDU4team

   1. I Servizi sono riservati alle Società.

   2. Per usufruire dei Servizi, è necessario attivare un account ENDU4team, registrando la Società e fornendo i dati contraddistinti come obbligatori

   3. La registrazione della Società può avvenire a cura di un utente registrato ENDU che, per legge, statuto o procura, sia legittimato ad impegnare contrattualmente la Società. L’attivazione di un account ENDU4team comporta la conclusione di un autonomo contratto tra la Società e il Fornitore disciplinato dai presenti termini d’uso e da quelli generali applicati da ENDU. Approvando i presenti termini d’uso e attivando un account ENDU4team, l’utente ENDU dichiara e garantisce di rappresentare validamente la Società, disponendo dei poteri necessari per impegnare quest’ultima verso il Fornitore con la stipula del Contratto. L’utente ENDU sarà responsabile di tutti i danni subiti dal Fornitore in caso di dichiarazioni mendaci circa i propri poteri di rappresentanza.

   4. Se l’utente ENDU registra una Società priva di soggettività giuridica, assume in proprio tutte le obbligazioni previste nel Contratto.

   5. Fatto salvo quanto precede, la Società garantisce il rispetto dei termini d’uso dei Servizi da parte di tutti i soggetti da essa autorizzati ad operare attraverso il proprio account e sarò pertanto responsabile della condotta di tali soggetti. La Società si impegna a custodire con diligenza le proprie credenziali di accesso, adottando idonee misure di sicurezza per prevenire utilizzi non autorizzati dell’account ENDU4team. Eventuali smarrimenti o furti delle credenziali dovranno essere comunicati senza ritardo al Fornitore; in difetto, la Società sarà ritenuta responsabile per l’utilizzo non autorizzato dell’account ENDU4team.

4. Garanzie e responsabilità della Società

   1. La Società dichiara e garantisce che:

      • le persone iscritte agli eventi mediante ENDU4team: (i) conoscono ed approvano il regolamento e la privacy policy applicati dall’organizzatore dell’evento; (ii) hanno autorizzato la Società ad iscriverli agli eventi sportivi;
      • non utilizzerà i Servizi per violare i diritti dei Membri e di altre terze parti;
      • l’utilizzo dei Servizi avverrà nel rispetto dei diritti dei Membri in materia di protezione dei dati personali;
      • le attività di vendita di beni e servizi attraverso ENDU4team saranno svolte nel rispetto delle disposizioni di legge applicabili, comprese quelle in materia di corretta comunicazione commerciale e tutela dei consumatori;
      • i servizi e i beni forniti attraverso ENDU4team sono sicuri, rispettano le leggi applicabili e non violano i diritti di terze parti, compresi, a titolo esemplificativo, quelli di proprietà intellettuale ed industriale;
      • adempirà correttamente a tutti gli obblighi di natura fiscale e tributaria gravanti sulle attività poste in essere attraverso ENDU4team.

   2. La Società si impegna a manlevare e tenere indenne il Fornitore contro qualsiasi pretesa di terzi, compresi i Membri, i cui dati siano stati trattati o gestiti attraverso ENDU4team, nonché contro qualsiasi procedimento o sanzione di pubbliche autorità, amministrative o indipendenti, per fatti illeciti imputabili alla Società e collegati all’utilizzo dei Servizi da parte di quest’ultima.

5. Durata del rapporto

   1. Il rapporto disciplinato dal Contratto si intende a tempo indeterminato, con facoltà di recesso in qualsiasi momento per entrambe le Parti.

   2. La Società può chiudere in qualsiasi momento il proprio account ENDU4team, mediante l’apposita funzionalità della piattaforma o scrivendo a: teams@endu.net. La Società, a sua volta, potrà recedere dal rapporto per qualsiasi motivo, dando un preavviso minimo di 30 giorni mediante comunicazione inviata alla Società per email, salvo le ipotesi di forza maggiore che rendano impossibile il rispetto del termine minimo di preavviso.

   3. In caso di chiusura dell’account o comunque di cessazione del rapporto, la Società avrà l’onere di esportare, prima della chiusura, i dati e i documenti caricati (per esempio, le anagrafiche, i dati relativi a incassi e pagamenti, i dati relativi a scadenze di tessere e certificati medici, i dati relativi a iscrizioni ad eventi), avvalendosi dell’apposita funzionalità della piattaforma messa a disposizione dal Fornitore. I dati potranno essere esportati, a seconda dei casi, in formato csv o excel ovvero in un diverso formato interoperabile. Resta inteso che entro 30 giorni dalla chiusura del rapporto, il Fornitore provvederà a cancellare in modo definitivo tutti i dati e i documenti della Società, salvo che la loro ulteriore conservazione sia necessaria per la tutela di un proprio diritto o di un diritto di un terzo ovvero per adempiere ad un obbligo di legge.

   4. In tutti i casi di cessazione del rapporto, la Società è tenuta a riconoscere immediatamente al Fornitore tutti i corrispettivi maturati nel frattempo da quest’ultimo per i Servizi resi sino a quel momento; resta inteso che in caso di risoluzione per inadempimento della Società, il Fornitore avrà diritto a trattenere definitivamente, a titolo di penale e fatto salvo il maggior danno, eventuali somme incassate per conto della Società e non ancora restituite.

6. Limitazione di responsabilità

   1. Il Fornitore è estraneo ai rapporti interni tra la Società e i Membri e non potrà pertanto essere considerato responsabile nei confronti di questi ultimi per violazioni o inadempimenti connessi a detti rapporti ovvero per la cancellazione degli eventi sportivi organizzati da terzi o dalla stessa Società.

   2. L’invio di messaggi e comunicazioni ai Membri attraverso ENDU4team avverrà sotto l’esclusiva responsabilità della Società.

   3. La responsabilità del Fornitore verso la Società non potrà comunque mai eccedere i limiti stabiliti nelle condizioni generali ENDU espressamente individuate nelle precedenti Definizioni (cfr. “Contratto”).

7. Privacy

   1. Il Fornitore tratterà eventuali dati personali della Società al fine di fornire i Servizi richiesti nel rispetto della Privacy Policy disponibile su https://www.endu.net/it/privacy.

   2. La Società riconosce che l’utilizzo dei Servizi comporta il trattamento dei dati personali dei Membri e che rispetto a tale trattamento la Società assume il ruolo di Titolare ai sensi della vigente normativa in tema di protezione dei dati personali, determinando autonomamente le finalità del trattamento.

   3. La Società garantisce di informare correttamente tutti gli interessati delle finalità e modalità di trattamento dei loro dati attraverso i Servizi, acquisendone il consenso esplicito ove necessario per legge, e di renderli edotti del fatto che i loro dati (anagrafica, storico risultati, codici utente ENDU, iscrizioni effettuate personalmente dagli utenti dei servizi ENDU) potranno essere acquisiti, anche in modo automatizzato, dalla loro federazione di appartenenza nonché da altri servizi ENDU utilizzati dall’interessato, al fine di essere inseriti nel database gestito dalla stessa Società attraverso ENDU4team. In caso di utilizzo di ENDU4team per iscrivere i Membri a un evento sportivo gestito da un terzo, la Società si impegna a confermare all’organizzatore se il Membro ha recedentemente manifestato il proprio consenso per il trattamento dei propri dati da parte dell’Organizzatore medesimo, avuto riguardo a ciascuna singola finalità per cui quest’ultimo tratta i dati dei partecipanti all’evento. Ove sorgessero contestazioni, su richiesta del Fornitore, la Società sarà tenuta a comprovare il corretto utilizzo di ENDU4team e dei suoi servizi, dando evidenza delle informative fornite e dei consensi raccolti, ove necessari. L’inadempimento della Società a una o più delle disposizioni previste nel presente articolo sarà considerato giusta causa di risoluzione del Contratto ex art. 1456 c.c.

   4. La Società designa il Fornitore, che accetta, come proprio Responsabile del trattamento ai sensi della vigente disciplina in materia di protezione dei dati personali; la nomina si intende riferita ai soli dati personali dei Membri rispetto ai quali la Società assume il ruolo di Titolare e che vengono trattati dal Fornitore al fine di fornire i Servizi. La designazione è disciplinata in dettaglio nell’atto di nomina, allegato sub A) ai presenti termini d’uso, che si intende accettato dal Fornitore con la conclusione del Contratto.

   5. Fatto salvo quanto precede, il Fornitore non potrà mai essere considerato responsabile per il trattamento non autorizzato o comunque illecito dei dati personali dei Membri da parte della stessa Società, con il conseguente obbligo in capo a quest’ultima di manlevare integralmente il Fornitore da qualsiasi conseguenza pregiudizievole in caso di azioni da parte degli interessati o dell’Autorità di protezione dei dati.

8. Rapporti tra la Società e i Membri

   1. La Società riconosce di essere l’unica e autonoma responsabile della formulazione e dell’applicazione delle condizioni di tesseramento e delle condizioni generali di vendita, comprese le politiche di recesso, rimborso, garanzia e reso verso i propri Membri e l’indicazione di prezzi, compensi e imposte, in relazione alle attività di tesseramento nonché di vendita e prestazione di beni o servizi per mezzo di ENDU4team.

   2. La Società delega il Fornitore all’incasso, mediante la piattaforma ENDU4team, di qualsiasi somma dovuta dai Membri alla Società a fronte dell’iscrizione o dell’acquisto di beni o servizi effettuato tramite i Servizi, ferma l’esclusiva responsabilità della Società per la raccolta di tali somme; le somme effettivamente incassate a tale titolo dal Fornitore saranno rimesse alla Società entro i termini e con le modalità descritte nel Pacchetto di volta in volta sottoscritto dalla Società, al netto di eventuali trattenute dovute per legge ovvero di commissioni o compensi spettanti al Fornitore. La Società garantisce il completo rispetto della normativa fiscale e tributaria di volta in volta applicabile, comprese le disposizioni in tema di imposta sul valore aggiunto, in relazione alle vendite di beni e servizi ed alle altre attività condotte attraverso i Servizi, con il conseguente obbligo di manlevare e tenere indenne il Fornitore da qualsivoglia procedimento, pretesa o sanzione derivante dalla violazione, da parte della Società, di una o più disposizioni di natura tributaria o fiscale.

   3. Il Fornitore si riserva di facilitare il contatto con la Società in caso di reclami, trasmettendo alla Società qualsiasi richiesta in tal senso che dovesse pervenirgli da parte dei Membri.

   4. Ferma l’esclusiva responsabilità della Società, il Fornitore potrà procedere, su richiesta della Società, al rimborso nei confronti dei Membri a condizione che il Fornitore disponga già della provvista necessaria a tale scopo ovvero che gli venga appositamente fornita dalla Società. Resta inteso che nonostante il rimborso e/o la cancellazione dell’evento, il Fornitore ha comunque diritto a trattenere il corrispettivo riscosso a fronte dei Servizi erogati.

   5. Le disposizioni del presente articolo si applicano anche in caso di eventi organizzati direttamente dalla Società e gestiti da quest’ultima avvalendosi dei Servizi del Fornitore. In caso di eventi organizzati da un terzo, il Fornitore resta estraneo agli autonomi rapporti instaurati tra la Società, i Membri e l’organizzatore dell’evento, con la conseguenza che la partecipazione all’evento, così come la cancellazione e il differimento dello stesso e le relative conseguenze saranno soggetti al regolamento della manifestazione e nessuna pretesa potrà essere avanzata nei confronti del Fornitore.

   6. Il Fornitore non potrà mai essere ritenuto in alcun modo responsabile per i rimborsi effettuati o negati dalla Società, né tanto meno destinatario di qualsivoglia reclamo, lamentela, segnalazione, controversia, pretesa o chiamata in causa dinanzi a qualsiasi autorità giudiziaria o regolamentare, in ragione dei rapporti interni tra Società, Membri e organizzatore degli eventi; la Società si impegna pertanto a manlevare e tenere integralmente indenne il Fornitore da qualsivoglia conseguenza regiudizievole (comprese le spese legali eventualmente sostenute dal Fornitore per la difesa giudiziale o stragiudiziale) comunque derivante dai suoi rapporti interni con i Membri o gli organizzatori degli eventi.

9. Varie

   1. Le premesse e gli allegati formano parte integrante dell’accordo tra le Parti.

   2. Per quanto qui non espressamente previsto, il rapporto tra le Parti sarà disciplinato dalle condizioni generali ENDU individuate nelle precedenti Definizioni (cfr. Contratto).

ALLEGATO A

NOMINA RESPONSABILE DEL TRATTAMENTO

1. Definizioni

   1. Ai fini del presente Atto, valgono le definizioni del Contratto, ove applicabili, e le seguenti ulteriori definizioni:

      • per “Dati personali” si intendono tutte le informazioni relative ad una persona fisica, identificata o identificabile (l’“Interessato”) che il Responsabile del trattamento tratta per conto del Titolare del trattamento allo scopo di fornire i Servizi;
      • per “Garante” si intende l’Autorità di cui all’art. 153 del D.Lgs. n. 196/2003, che svolge le funzioni indicate nel successivo art. 154;
      • per “Legge applicabile” si intende il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito per brevità anche “Regolamento”), il D.Lgs. n. 196/2003 (di seguito anche “Codice”) nonché qualsiasi altra normativa o atto avente forza normativa in materia di protezione dei dati personali applicabile in Italia, ivi compresi i provvedimenti del Garante;
      • per “Misure di sicurezza” si intendono le misure minime di sicurezza riportate negli articoli 31, 33 e ss. del Codice e nell’Allegato B) del Codice e s.m.i. e nei successivi provvedimenti del Garante, nonché nell’art. 32 del Regolamento.

2. Nomina

   1. Il Titolare nomina il Fornitore, che accetta, Responsabile del trattamento dei Dati personali ai sensi dell’art. 28 del Regolamento.

3. Durata

   1. L’Atto produrrà i suoi effetti a partire dalla data della conclusione del Contratto e rimarrà in vigore fino alla cessazione dello stesso, indipendentemente dalla causa di detta cessazione, o comunque fino alla data di cessazione del trattamento dei Dati personali se, per qualsiasi ragione, successiva alla cessazione del Contratto. A partire dalla data di entrata in vigore del Contratto, le clausole del presente Atto si applicheranno ai Dati personali degli Interessati oggetto del trattamento nell’ambito dei Servizi e rispetto ai quali la Società assume il ruolo di Titolare.

4. Operazioni di trattamento, tipologia di Dati personali e categorie di Interessati

   1. Il presente Atto si riferisce a tutte le operazioni di trattamento connesse alla fornitura dei Servizi (di seguito “Operazioni di trattamento”).

   2. Le Operazioni di trattamento saranno funzionali allo svolgimento delle attività indicate nel Contratto nonché a tutte le ulteriori attività che il Titolare dovesse richiedere al Responsabile nell’ambito del Contratto e potranno comportare l’archiviazione e il trattamento dei Dati attraverso sistemi informatici.

   3. Le Operazioni di trattamento avranno ad oggetto Dati personali dei Membri di natura comune (per esempio, anagrafiche, storico dei risultati sportivi, dati di contatto quali indirizzi email e numeri telefonici, dati di idoneità alla pratica sportiva, dati di fatturazione e pagamento, etc...) ovvero relativi alla disabilità dei Membri in quanto necessari per l’iscrizione in speciali sezioni o categorie e per la partecipazione a manifestazioni ed eventi sportivi (cfr. dati contenuti nei certificati medici dei Membri caricati dalla Società nel database ENDU4Team o comunque dati relativi alla disabilità dei Membri iscritti in speciali categorie).

   4. Il Responsabile tratterà i Dati personali riferiti ai Membri della Società, come individuati nel Contratto, caricati dal Titolare attraverso i Servizi o comunque forniti dagli Interessati attraverso la piattaforma del Responsabile. I Dati trattati saranno solo quelli il cui trattamento rientra nella fornitura dei Servizi richiesti dal Titolare al Responsabile.

5. Obblighi del Responsabile

   1. Fermo restando ogni altro obbligo previsto dalla normativa applicabile, il Responsabile si impegna a:

      1. utilizzare i Dati personali esclusivamente per le finalità indicate nel presente Atto, nonché per le finalità ulteriori che il Titolare dovesse eventualmente e successivamente indicare, e comunque esclusivamente per l’esecuzione del Contratto;
      2. trattare i Dati personali in piena conformità alle istruzioni qui fornite da parte del Titolare; il Titolare riconosce che il presente documento contiene le istruzioni complete impartite al Responsabile; ulteriori e nuove istruzioni, incluse quelle in materia di ispezioni e controlli, dovranno essere preventivamente concordate per iscritto tra le Parti e potranno comportare l’applicazione di un costo aggiuntivo a carico del Titolare; resta inteso che se il Responsabile non accetta di seguire le nuove istruzioni, sarà facoltà del Titolare recedere dal Contratto; in ogni caso, il Titolare assicura e garantisce che le istruzioni da esso impartite rispettano tutte le leggi e i regolamenti applicabili al trattamento dei Dati e che il trattamento dei Dati in conformità alle istruzioni impartite non comporta alcuna violazione del Regolamento da parte del Responsabile;
      3. garantire che tutte le persone agenti sotto la propria autorità alle quali sia consentito di accedere o anche trattare i dati ricevuti abbiano sottoscritto idoneo impegno, o siano altrimenti comunque adeguatamente vincolate, a mantenere totale riservatezza rispetto a tali dati e che, a tal fine, gli stessi agiscano sotto il costante controllo del Responsabile ed in conformità alle istruzioni da quest’ultimo fornite;
      4. non comunicare a terzi e, più in generale, non diffondere i dati ricevuti, se non in presenza di adeguati presupposti di liceità per tali ulteriori trattamenti;
      5. tenere i Dati personali separati dai dati trattati per conto di altri soggetti, sulla base di un criterio di sicurezza di tipo logico, e garantire che ogni copia dei Dati personali detenuti – anche dai propri dipendenti, sub-contraenti, agenti ed associati – sia definitivamente distrutta quando non sia più necessaria per l'espletamento dei Servizi oppure restituita al Titolare, su richiesta di quest’ultimo, assieme a qualsiasi mezzo o documento contenente Dati personali, conformemente alle disposizioni contenute nella Legge applicabile e nel Contratto. Il Responsabile, in deroga a quanto precede, potrà conservare eventuali dati e documenti che risultino indispensabili a consentirgli di far valere o difendere un diritto nei confronti del Titolare. Resta inteso che il Titolare sarà obbligato a fornire al Responsabile ogni dato o informazione da essa distrutto o restituito che risultasse necessario al Responsabile per difendere un proprio diritto in ogni ipotesi di contestazione da parte di terzi connessa all’esecuzione del Contratto;
      6. trattare i Dati personali all’interno della Unione europea. Il trasferimento di dati verso Paesi non appartenenti all’Unione europea potrà avvenire solo previa esplicita autorizzazione scritta da parte del Titolare e nel rispetto della disciplina applicabile;
      7. adottare idonea procedura di gestione delle violazioni della sicurezza da cui derivino, accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati personali, prestando in ogni caso la massima collaborazione nei confronti del Titolare al fine di eliminare o quantomeno ridurre al minimo gli impatti derivanti da eventi di questo tipo;
      8. fermo l’obbligo di notificare senza ingiustificato ritardo al Titolare ogni possibile evento qualificabile come data breach ai sensi della Legge applicabile, informare prontamente il Titolare riguardo a qualsiasi ulteriore evento, fatto o circostanza, prevedibile o meno, di cui sia a conoscenza e da cui possa derivare un rischio elevato per i diritti e le libertà fondamentali degli Interessati coinvolti nelle Operazioni di trattamento;
      9. in caso di affidamento di una parte del trattamento a subfornitori, fare in modo che tali subfornitori siano vincolati al rispetto degli stessi obblighi applicabili ad esso in virtù del presente Atto e, ovviamente, della normativa di volta in volta vigente. Fatto salvo quanto precede, il Titolare autorizza sin da ora il Responsabile ad avvalersi, ai fini dell’archiviazione e della conservazione dei dati, dei servizi di hosting forniti dalla società AWS - Amazon Web Services Inc., riconoscendo ed accettando che quest’ultima potrà avvalersi di ulteriori subfornitori e restando inteso che tanto AWS quanto i suoi subfornitori dovranno accettare per iscritto obblighi in linea con quelli specificati nel presente documento; in via generale, il Titolare autorizza sin da ora il esponsabile ad avvalersi di ulteriori subfornitori in qualità di responsabili del trattamento, a condizione che il Responsabile informi il Titolare di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, anche dando accesso a un’apposita area riservata in cui sono elencati i subfornitori, e fatta salva la possibilità per il Titolare di opporsi a tali modifiche; almeno 30 giorni prima di avvalersi di un nuovo subfornitore per l’esecuzione di specifiche Operazioni di trattamento, il Responsabile aggiornerà la lista accessibile al Titolare;

      10. collaborare con il Titolare, limitatamente ai trattamenti relativi ai Dati personali, nell’assolvimento degli obblighi di:

          1. i propri dati di contatto, oltre a quelli del Titolare e, ove applicabile, del proprio responsabile della protezione dei dati;
          2. le categorie dei trattamenti effettuati per conto del Titolare;
          3. i dettagli relativi ad eventuali trasferimenti dei dati ricevuti al di fuori dello Spazio Economico Europeo, con indicazione del paese terzo o dell’organizzazione verso cui i dati sono trasmessi e, qualora il trasferimento non sia basato su una decisione di adeguatezza della Commissione UE o su altri meccanismi di garanzia (quali ad esempio Clausole Contrattuali Standard o Binding Corporate Rules) e non sia applicabile nessuna delle deroghe previste dalla normativa vigente, le misure implementate a tutela dei dati;
          4. una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in conformità al presente Atto e, più in generale, alla normativa applicabile.

      11. al ricorrere dei presupposti, predisporre e mantenere costantemente aggiornato, in formato elettronico o cartaceo, un registro di tutte le Operazioni di trattamento svolte ai fini dell’esecuzione del Contratto, contenente in particolare:

          1. notifica delle violazioni di dati al Garante o ad altre autorità di controllo competenti e, laddove richiesto in ragione dell’elevato livello di rischio per i diritti e le libertà degli interessati, anche a questi ultimi;
          2. esecuzione di idonea valutazione di impatto sulla protezione dei dati, ove necessaria;
          3. svolgimento delle procedure di consultazione preventiva con il Garante o le altre autorità competenti, ove necessario;
      12. mettere il Titolare al corrente riguardo a qualsiasi richiesta di esercizio di diritti che il Responsabile dovesse ricevere da parte degli Interessati entro un termine massimo di 24 ore dal ricevimento della stessa;
      13. segnalare al Titolare se le istruzioni ricevute comportano una violazione della disciplina applicabile;
      14. prestare al Titolare ogni necessaria collaborazione nell’assolvimento di richieste che dovessero pervenire dal Garante o da altre autorità competenti o in relazione a procedure o ispezioni che dovessero essere avviate nei confronti del Titolare, dando altresì immediata esecuzione alle istruzioni ricevute e fornendo copia di ogni documento richiesto;
      15. ove applicabile, attribuire le funzioni di amministratore di sistema previa valutazione dell’esperienza, della capacità e dell’affidabilità del soggetto designato; il Responsabile dovrà designare per iscritto gli amministratori di sistema indicando gli ambiti di operatività consentiti in base ai profili di autorizzazione assegnati e riportando l’elenco degli amministratori di sistema in un documento da mantenere aggiornato e disponibile in caso di accertamenti anche da parte del Garante. Il Responsabile del trattamento, ai sensi del provvedimento del Garante del 27.11.2008 recante “Misure ed accorgimenti prescritti al Titolare dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” e s.m.i., deve conservare direttamente e specificamente gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema; il Responsabile dovrà inoltre predisporre sistemi idonei alla registrazione e alla relativa conservazione degli accessi logici (autenticazione informatica) effettuati dagli amministratori di sistema ai sistemi di elaborazione e agli archivi elettronici.

6. Sicurezza dei dati

   1. Il Responsabile si impegna ad adottare misure tecniche e organizzative adeguate a garantire un idoneo livello di sicurezza in riferimento ai Dati personali e ad adottare ogni misura necessaria a prevenire, o quantomeno minimizzare, ogni rischio ragionevolmente prevedibile connesso alla distruzione, alla perdita, alla modifica, alla divulgazione non autorizzata o all’accesso, in modo accidentale o illegale, ai dati ricevuti, comprese la pseudonimizzazione e la cifratura dei Dati. In particolare, il Responsabile si impegna ad adottare misure di sicurezza conformi a quanto disposto dall’art. 32 del Regolamento, oltre a quelle ulteriori che il Titolare gli chiedesse di adottare in relazione a specifiche Operazioni di trattamento, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell’oggetto, delle finalità e del contesto del trattamento. Il Titolare riconosce che l’adozione di specifiche misure di sicurezza può comportare l’applicazione a suo carico dei relativi costi di attuazione.

      Le misure di sicurezza dovranno comunque rispettare gli standard minimi previsti dagli articoli 31, 33 e ss. e dal Disciplinare Tecnico di cui all’allegato B) del D. Lgs. 196/2003, che vengono in questa sede richiamati per il loro contenuto materiale e a prescindere dalla loro vigenza.

      Con specifico riferimento ai sistemi informatici utilizzati per l’archiviazione e il trattamento dei Dati, il Titolare è consapevole che il subfornitore AWS è un soggetto certificato secondo lo standard ISO 27001, riconoscendone pertanto l’adeguatezza e la capacità di assicurare nel tempo la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei relativi servizi, anche sotto il profilo dell’accesso e della disponibilità dei Dati in caso di incidente fisico o tecnico.

      Il Responsabile adotterà una procedura per la verifica regolare dell’efficacia delle misure tecniche ed organizzative adottate al fine di garantire la sicurezza del trattamento per la sua intera durata.

7. Audit

   1. Il Responsabile si impegna a fornire al Titolare, su richiesta, relazioni e report che attestino l’adempimento degli obblighi gravanti sul Responsabile stesso ai sensi del presente Atto, con particolare riguardo alle misure di sicurezza adottate.

   2. ll Responsabile si impegna a consentire al Titolare o a soggetti terzi da questo delegati, con modalità e tempi da concordarsi, l’accesso ad uffici, dispositivi, sistemi e documenti informatici propri e dei propri subfornitori, qualora risulti necessario per verificare l’osservanza, da parte del Responsabile, degli obblighi pattuiti. Nonostante quanto precede, avuto riguardo ai sistemi informatici di AWS e dei suoi subfornitori, il Titolare condurrà i controlli, istruendo il Responsabile affinché quest’ultimo chieda ad AWS di far svolgere l’audit a un professionista terzo indipendente, secondo lo standard ISO 27001, emettendo all’esito un rapporto confidenziale.