https://www.baglionihotels.com/privacy-policy

Trattamento dei Dati Protezione dei dati personali

Ai sensi del Regolamento Europeo 2016/679 (“GDPR”) nonché del D.lgs. 196/2003, così come successivamente modificato (“Codice Privacy” e, congiuntamente con il GDPR, nonché con i relativi provvedimenti/decisioni applicabili in materia ed emessi/e dall’Autorità Garante per la Protezione dei Dati Personali, la “Normativa Privacy”), le Parti dichiarano che i dati personali di cui verranno a conoscenza saranno trattati per l’esecuzione del presente Contratto, il loro conferimento ha natura obbligatoria e l’eventuale rifiuto comporterà l’impossibilità di perfezionare il presente Contratto. Le Parti s’impegnano a trattare i dati personali in modo lecito e secondo correttezza, nel pieno rispetto della Normativa Privacy. In particolare, ciascuna Parte autorizza espressamente l’inserimento dei dati personali propri e del proprio personale nelle banche dati dell’altra Parte, consentendo all’altra Parte di trattare e comunicare tali dati personali a terzi, qualora tale trattamento o comunicazione si renda necessaria per le seguenti finalità riferite al Contratto: (a) adempimenti di specifici obblighi contabili e fiscali; (b) gestione ed esecuzione del rapporto e degli obblighi contrattuali, nonché dei relativi aspetti informativi; (c) finalità connesse ad obblighi previsti da leggi, regolamenti o normative comunitarie, nonché da disposizioni impartite da Autorità a ciò legittimamente preposte; (d) gestione del contenzioso; (e) finalità statistiche e rilevazioni sui rispettivi standard aziendali; (f) servizi di controllo interno. I dati verranno trattati con modalità manuali e/o automatizzate, e nel rispetto di misure tecniche e organizzative adeguate. Il Fornitore dichiara che i dati personali saranno trattati all’interno dello Spazio Economico Europeo. Qualora il Fornitore intenda trasferire i dati verso Paesi al di fuori dello Spazio Economico Europeo, lo stesso ne darà pronta comunicazione alla Società. La Società dà atto che, per finalità di gestione interna, i dati personali potranno essere trasferiti ad altre società del gruppo verso Paesi terzi al di fuori dello Spazio Economico Europeo, sulla base delle clausole contrattuali standard sottoscritte ai sensi dell’articolo 46 GDPR. Il Fornitore ha diritto di richiedere alla Società maggiori informazioni sui trasferimenti e di richiedere copia delle clausole contrattuali standard adottate. Ciascuna Parte ha il diritto di presentare un reclamo all’autorità di controllo, ove ne ricorrano i presupposti, nonché di esercitare gli altri diritti previsti dagli articoli 15-21 GDPR. 

Ciascuna Parte si impegna fin d’ora a manlevare e tenere indenne l’altra da qualsiasi pregiudizio dovesse derivarle quale conseguenza dell’inadempimento delle prescrizioni contenute nella presente clausola e/o di qualsivoglia violazione della Normativa Privacy.

Le Parti riconoscono e convengono che, nel caso in cui il Fornitore possa avere la disponibilità o possa accedere per l’esecuzione del presente Contratto ai dati personali la cui titolarità è riconducibile alla Società, il Fornitore ricoprirà il ruolo di Responsabile del trattamento dei dati personali ex art. 28 GDPR per conto della Società e secondo i termini e le modalità previste dalla relativa nomina acclusa all’Allegato A. In tal caso, con l’accettazione del presente Contratto, il Fornitore accetta tale nomina dichiarando di aver preso visione delle istruzioni e degli obblighi relativi al trattamento dei dati della Società. 

Allegato A

CONTRATTO DA RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI EX ART 28 REGOLAMENTO UE 2016/679 (GDPR) (Data Processing Agreement – “DPA”)

 La Società e il Fornitore così come definiti nell’informativa privacy cui il presente DPA accede,

PREMESSO CHE

1. il Fornitore ha stipulato con la Società un Contratto in forza del quale il Fornitore tratterà dati personali di cui la Società è titolare;
2. per i motivi suesposti alla lettera A, la Società ravvisa la necessità di nominare il Fornitore come responsabile del trattamento dei dati personali di cui quest’ultimo possa venire a conoscenza nella prestazione dei servizi di cui al Contratto, così da garantire che il trattamento dei dati in questione avvenga nel pieno rispetto delle prescrizioni di legge, ivi comprese quelle attinenti al profilo relativo alla sicurezza, nonché dei provvedimenti dell’Autorità Garante per la protezione dei dati personali (di seguito il “Garante”);
3. il responsabile del trattamento deve essere individuato tra soggetti che, per affidabilità, esperienza e capacità, forniscano garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate nel pieno rispetto delle vigenti disposizioni in materia di protezione dei dati personali, ivi compresi i profili relativi alla sicurezza e alla tutela dei diritti degli interessati;
4. il Fornitore ha confermato di possedere i requisiti indicati nel precedente punto C e, pertanto, ha manifestato la propria disponibilità ad assolvere l’incarico di responsabile del trattamento dei dati personali;

TUTTO CIÒ PREMESSO

La Società nomina il Fornitore ai sensi dell’art. 28 GDPR come responsabile del trattamento dei dati personali di cui questi verrà a conoscenza in applicazione del Contratto e con specifico riferimento alle sole operazioni di trattamento connesse all’esecuzione del Contratto stesso e come specificate nell’Allegato 1 al presente DPA, nonché alle ulteriori attività richieste dalla Società.

Le premesse formano parte integrante del presente DPA.

1. Quale responsabile del trattamento dei dati, il Fornitore, nell’accettare la presente nomina, si impegna ad effettuare il trattamento dei suddetti dati personali attenendosi alle istruzioni di seguito impartite dalla Società, nel pieno rispetto della normativa applicabile in materia di privacy e protezione dei dati personali, dichiarandosi edotto degli obblighi previsti a suo carico. Pertanto, il Fornitore si obbliga a:
2. dare accesso ai dati personali ai soli lavoratori dipendenti e temporanei che ne hanno un’effettiva necessità per poter adempiere ai compiti per i quali il Fornitore è stato incaricato dalla Società; 
3. fornire al proprio personale in servizio le istruzioni e autorizzazioni necessarie a un corretto, lecito e sicuro trattamento dei dati personali, verificandone la puntuale applicazione e impegnandosi ad adottare le misure di sicurezza necessarie e garantendo altresì che sulle stesse gravi un obbligo di riservatezza con riferimento alle operazioni di trattamento delegate dal Fornitore; 
4. designare l’amministratore di sistema chiamato ad espletare le proprie funzioni, eventualmente anche sui sistemi della Società, ai sensi del provvedimento recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, del 27 novembre 2008 (di seguito il “Provvedimento Amministratori di Sistema”). L’amministratore di sistema designato dal Fornitore avrà un obbligo di riservatezza con riferimento alle operazioni di trattamento delegate; inoltre, il Fornitore verificherà, con cadenza almeno annuale, l’operato dell’amministratore di sistema in modo da controllare le misure organizzative, tecniche e di sicurezza rispetto ai trattamenti dei dati personali;
5. effettuare le operazioni di trattamento dei dati personali limitatamente a quanto necessario al perseguimento dell’oggetto del Contratto e a quanto ulteriormente delegato dalla Società per iscritto;
6. assistere la Società con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo della Società di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
7. assicurare il rispetto delle misure richieste per la sicurezza dei dati personali secondo quanto specificato nell’Allegato 2 al presente DPA, ossia adottando misure tecniche e organizzative adeguate alle dimensioni e complessità delle operazioni, nonché alla natura, all’oggetto, al contesto e alle finalità del trattamento, come anche al rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche; tali misure, tenendo conto dello stato dell’arte e dei costi di attuazione, garantiranno un livello di protezione adeguato ai rischi connessi al trattamento e alla natura dei dati personali da proteggere. Senza limitare quanto sopra, le misure di sicurezza saranno progettate per (i) garantire la sicurezza, la riservatezza, l’integrità e la disponibilità dei dati personali; (ii) proteggere il trattamento da minacce o pericoli prevedibili per la sicurezza e l’integrità dei dati personali; e (iii) proteggere dall’accesso non autorizzato a, o dall’acquisizione o dall’uso di, dati personali; 
8. effettuare un riesame periodico delle misure richieste al fine di garantirne l’adeguatezza rispetto ai rischi;
9. qualora – considerata la propria competenza – ritenga le misure adottate non più adeguate, fornirne tempestiva comunicazione scritta alla Società e realizzare quegli interventi provvisori, ritenuti essenziali e improcrastinabili per assicurare il rispetto degli obiettivi di sicurezza individuati dalla Società, in attesa delle soluzioni definitive da concordare per iscritto con la Società stessa;
10. tenendo conto della natura del trattamento e delle informazioni a disposizione, informare entro 24 ore dalla scoperta la Società di ogni evento o incidente che possa mettere a rischio la sicurezza dei dati personali trattati, fornendo altresì alla Società una dettagliata descrizione di tali eventi o incidenti e impegnandosi a adottare qualunque misura che sia ragionevolmente necessaria per minimizzare gli effetti di tali eventi sul trattamento dei dati personali e sui diritti dei soggetti interessati; 
11. tenendo conto della natura del trattamento e delle informazioni a disposizione, assistere la Società nello svolgimento di valutazioni d’impatto sulla protezione dei dati, se necessario, e nella consultazione dell’autorità, qualora il risultato di tali valutazioni indichi la sussistenza di un rischio elevato che non può essere attenuato; 
12. su scelta della Società, cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancellare le copie esistenti, salvo che sia prevista una diversa conservazione dei dati secondo il diritto dell’Unione europea o degli Stati membri. La Società ha la possibilità di modificare la scelta operata in qualsiasi momento prima della fine della prestazione dei servizi relativi al trattamento;
13. rispettare istruzioni specifiche e ulteriori eventualmente ricevute dal titolare per il trattamento dei dati personali o comunque provvedere ad integrare le medesime istruzioni nelle procedure già in essere;
14. informare tempestivamente la Società qualora, a parere del Fornitore, un’istruzione violi la normativa applicabile in materia di protezione dei dati personali o altre disposizioni, nazionali o dell’Unione europea, sempre relative alla protezione dei dati;
15. realizzare quant’altro sia utile e/o necessario al fine di garantire l’adempimento degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati personali, nei limiti dei compiti affidati con il presente DPA;
16. mettere a disposizione della Società tutte le informazioni necessarie per dimostrare il rispetto degli obblighi a proprio carico, quali a titolo esemplificativo: funzionamento dei sistemi utilizzati, misure di sicurezza adottate, modalità di conservazione dei dati, luogo di conservazione dei dati e modalità di trasferimento (ove applicabile), accessi e ambito di condivisione, sub-responsabili; nonché consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dalla Società o da un altro soggetto da questa incaricato;
17. comunicare immediatamente alla Società ogni richiesta, ordine o attività di controllo da parte del Garante o dell’Autorità Giudiziaria.
18. Tutto quanto sopra costituisce un’indicazione esemplificativa dei compiti del Fornitore. Ulteriori istruzioni potranno essere fornite, di volta in volta, dalla Società in qualsiasi forma scritta (ad esempio per posta elettronica) e in qualsivoglia altra forma documentabile.
19. Il Fornitore non potrà adottare autonome decisioni in ordine alle finalità e alle modalità del trattamento. In caso di necessità ed urgenza, il Fornitore dovrà informare al più presto la Società, affinché quest’ultima possa prendere le opportune decisioni.
20. Nell’esecuzione di quanto disposto nel presente DPA, il Fornitore potrà avvalersi di terzi estranei alla propria organizzazione solo previa autorizzazione scritta della Società. Qualora il Fornitore ricorra effettivamente a un altro responsabile del trattamento (di seguito “Sub-responsabile”) per l’esecuzione di specifiche attività per conto della Società, nei confronti di tale Sub-responsabile dovranno essere imposti, mediante un contratto, gli stessi obblighi in materia di protezione dei dati contenuti nel presente DPA, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della normativa applicabile in materia di protezione dei dati personali. In tali evenienze, ferma restando la responsabilità giuridica del Fornitore per le operazioni di trattamento delegate ai Sub-responsabili, la nomina di questi ultimi – qualora ne sussistano i presupposti – avverrà direttamente ad opera del Fornitore. La Società autorizza il Fornitore a ricorrere ai Sub-responsabili elencati nell’Allegato 3. Resta inteso che il Fornitore si impegna ad informare la Società tutte le volte che intenda modificare l’elenco di cui all’Allegato 3, incluso quando intenda avvalersi di un Sub-responsabile per l’esecuzione di alcune delle attività effettuate per conto della Società, secondo la procedura descritta all’Allegato 3. La Società si riserva, a propria discrezione, l’accettazione di tali modifiche, che dovrà pervenire entro 30 giorni o la richiesta si intenderà rifiutata. La Società avrà il diritto di richiedere copia dei contratti sottoscritti fra il Fornitore e i sub-responsabili, nonché di chiederne la modifica ove lo ritenga necessario ai fini del rispetto degli obblighi di legge.
21. Il Fornitore tratterà i dati personali di cui al presente DPA in Italia. Ove il Fornitore intenda trasferire i dati personali regolati dal presente DPA al di fuori dello Spazio Economico Europeo dovrà previamente avvisare la Società. In tal caso, il Fornitore garantisce di aver adottato tutte le necessarie misure e salvaguardie per porre in essere il trasferimento nel rispetto di quanto previsto dal GDPR, come interpretato dalle autorità competenti.
22. Salvo ove previsto diversamente nel presente DPA, qualsiasi comunicazione ai sensi del presente DPA sarà inviata ai seguenti recapiti:

• Per la Società: 
• PEC baglionihotels@legalmail.it. 
• Per il Fornitore: all’indirizzo PEC fornito nell’Ordine di Acquisto

1. In caso di scioglimento o cessazione del Contratto per qualsiasi causa, il presente DPA e qualsiasi contratto di nomina dei Sub-responsabili cesseranno immediatamente. Il Fornitore e gli eventuali Sub-responsabili dovranno interrompere ogni operazione di trattamento dei dati personali e provvedere agli adempimenti espressamente previsti alla clausola 1k) che precede.
2. Il Fornitore risponde in solido con la Società per il danno cagionato a terzi dal trattamento di dati nel caso in cui non abbia adempiuto agli obblighi di legge e/o non abbia agito nel rispetto delle istruzioni fornite dalla Società.
3. Con il presente DPA, il Fornitore dichiara di impegnarsi a rispettare le istruzioni impartite dalla Società sopra riportate, e ad agire in conformità agli obblighi previsti dalla normativa applicabile in materia di protezione dei dati personali.

ALLEGATO 1: DESCRIZIONE DEL TRATTAMENTO

In conformità alla clausola 1 del presente DPA, l’Allegato 1 include alcuni dettagli sul trattamento dei dati personali come richiesto dall’articolo 28(3) del GDPR (e, eventualmente, requisiti equivalenti di altre leggi applicabili in materia di protezione dei dati):

1. Oggetto e durata del trattamento dei dati personali

L’oggetto e la durata del trattamento dei dati personali sono indicati nel Contratto e nel presente Allegato.

1. Natura e finalità del trattamento dei dati personali

Descrizione: perseguimento delle finalità di cui al Contratto.

1. Tipi di dati personali da trattare

Barrare la casella dei tipi di dati trattati:

• Dati personali identificativi (ad es. nome, cognome, titolo, posizione, ecc.)
• Dati di contatto (ad es. e-mail, telefono, indirizzo, ecc.)
• Dati sul traffico e altri dati correlati (come numeri di identificazione, dati sull’ubicazione, identificativi online) necessari per identificare un abbonato o un utente (ad esempio indirizzo IP, cookie)
• Dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale. 
• Immagini e/o video da cui possono essere identificate le persone.
• Dati finanziari (ad es. dati di carte di credito e/o conti bancari)
• Dati relativi alla salute (come le informazioni relative alla salute fisica o mentale di un individuo)
• Dati biometrici o genetici
• Altro. Specificare qui:____________________________________________________

1. Le categorie di Interessati a cui si riferiscono i dati personali

Barrare la casella dei tipi di dele categorie di soggetti interessati:

• Consumatori 
• Clienti
• Fornitori, partner commerciali e/o venditori
• Dipendenti e/o candidati al lavoro 
• Altre persone fisiche. Specificare qui:]

ALLEGATO 2: MISURE DI SICUREZZA

In forza di quanto previsto dalla clausola 1, e) del presente DPA, il Fornitore si impegna ad assicurare il rispetto delle seguenti misure tecniche e organizzative richieste per la sicurezza dei dati personali:

1. pseudonimizzazione e cifratura dei dati personali;
2. capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, mediante l’implementazione delle seguenti misure: 

• monitoraggio dei log di accesso;
• __________________________________________________; 

1. capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, mediante l’implementazione delle seguenti misure: 

• ___________________________________________________; 

1. procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
2. ________________________________________________________________________

ALLEGATO 3: PROCEDURA PER OTTENERE L’AUTORIZZAZIONE ALLA NOMINA DI UN SOGGETTO COME SUB-RESPONSABILE DEL TRATTAMENTO ED ELENCO DEI SUB-RESPONSABILI DEL TRATTAMENTO APPROVATI DALLA SOCIETÀ

1. Per ottenere l’autorizzazione specifica alla nomina di un soggetto come Sub-responsabile del trattamento, il Fornitore dovrà inviare apposita comunicazione alla Società utilizzando i contatti di cui alla presente nomina. Tale comunicazione dovrà includere le informazioni di cui alla tabella sub (ii) del presente Allegato relativamente al nuovo Sub-responsabile. In caso di rifiuto da parte della Società, secondo quanto previsto dalla presente nomina, il Fornitore non potrà avvalersi del Sub-responsabile.

1. Elenco dei Sub-responsabili del trattamento nominati dal Fornitore: [NOTA: da far compilare al Fornitore]

Dettagli del Sub-responsabile del trattamento

Ruolo ricoperto dal Sub-responsabile nel trattamento/attività per la quale il sub-responsabile è stato coinvolto nel trattamento

Luogo di conservazione dei dati

Garanzie fornite dai Sub-responsabili (es. conoscenze specialistiche/affidabilità/risorse)

Nome: 

Indirizzo:

Contatto: