Informativa sul Trattamento dei Dati Personali
con nomina del Responsabile Esterno

1 Oggetto, scopo del documento e ambito di applicazione
La presente “Informativa sul trattamento dei dati personali con nomina del responsabile esterno" costituisce l’allegato D della “Proposta di Licenza d’uso del software Risolvo^®” e ne è parte integrante. 
Lo scopo del presente documento è di fornire l’informativa sul trattamento dei dati personali ai sensi del reg. CE 679/2016 e di nominare Risolvo Software quale responsabile ex art. 28.
Risolvo Software e l’Azienda Cliente, così come indicati nel  Proposta di licenza d’uso del software Risolvo^®”, congiuntamente denominate “le parti”, si danno reciprocamente atto che, in qualità di persone giuridiche, non sono sottoposte alla normativa sul trattamento dei dati personali per quanto riguarda i trattamenti delle reciproche ragioni sociali e degli ulteriori dati il cui utilizzo è necessario a fini di adempimento di obblighi normativi e contrattuali.

2 Trattamento dei dati personali di dipendenti e consulenti
Ciascuna parte dichiara, nei confronti dell'altra, di avere informato i propri dipendenti che ciascuna parte potrà trattare i loro dati personali identificativi aziendali nell'ambito dell'adempimento agli obblighi derivanti da questo contratto.

3 Dichiarazione di adeguatezza delle obbligazioni assunte da Risolvo Software 
L’Azienda Cliente dichiara di avere valutato le modalità di adempimento delle obbligazioni da parte di Risolvo Software e di averle ritenute conformi alle proprie valutazioni ex artt. 32 e 35 Reg. CE 679/2016.

4 Dichiarazione di conformità normativa
L’Azienda Cliente dichiara di avere adempiuto pienamente alle prescrizioni del GDPR prima di dare inizio alle attività oggetto di accordo di licenza.
In conseguenza di quanto sopra, l’Azienda Cliente accetta i prodotti/servizi oggetto di contratto nello stato nel quale si trovano al momento della stipulazione essendo gli stessi conformi con la valutazione di impatto ex art. 35 Reg. CE 679/2016 eseguita sui propri trattamenti dall’Azienda Cliente.

5 Verifica di correttezza e liceità dei trattamenti
L’Azienda Cliente che, in qualità di titolare del trattamento, richiede a Risolvo Software di trattare i dati personali, ha verificato preventivamente di avere il titolo per comunicare questi dati in qualità di autonomo titolare e/o contitolare.
Poiché l'affidamento dei trattamenti avviene sulla base della nomina a responsabile esterno, la messa a disposizione dei dati nei confronti del responsabile esterno Risolvo Software è ammessa solo dopo la verifica, a cura dell’Azienda Cliente che riveste il ruolo di titolare del trattamento, di avere acquisito i consensi necessari o di operare su una base giuridica o su un legittimo interesse.

6 Definizione dello status di Risolvo Software
Dato che Risolvo Software è qualificabile come responsabile esterno del trattamento, i suoi compiti e responsabilità anche in termini di conformità al Reg. CE 679/2016 sono strettamente legati al diretto adempimento delle obbligazioni assunte e nei limiti anche tecnologici delle stesse, con espressa esclusione di qualsiasi altra responsabilità. 
In conseguenza di quanto sopra, spetta esclusivamente all’Azienda Cliente  evitare che Risolvo Software, nell'adempimento degli obblighi assunti che non prevedono il trattamento di dati personali, acceda a dati personali  dell’Azienda Cliente o che  l’Azienda Cliente ha titolo giuridico di trattare.

7 Nomina a Responsabile ex art. 28 Reg. CE 679/2016

7.1 Limitazione delle finalità e modalità di trattamento
Nel caso in cui tra le obbligazioni dell’accordo di licenza fosse previsto il trattamento di dati personali, Risolvo Software assume il ruolo di Responsabile ex art. 28 Reg. CE 679/2016 limitatamente alla conduzione tecnico funzionale dei servizi oggetto dell’accordo.
È espressamente esclusa qualsiasi modifica non disposta dal Titolare del Trattamento delle finalità e delle modalità di trattamento dei dati personali.

7.2 Divieto di subappalto, dovere di informazione preventiva 

Salvi i casi in cui ciò sia necessario per l'adempimento degli obblighi assunti con l’accordo di licenza e/o dai modelli industriali, tecnologici e commerciali dei settori dell'informatica e delle telecomunicazioni, Risolvo Software si astiene dal ricorrere ad un altro responsabile senza previa autorizzazione.

7.3 Istruzioni ex art. 28 comma 3 lett. a) e seguenti
Nella qualità di Responsabile, Risolvo Software dovrà:

• astenersi dal trasferire i dati personali di pertinenza del Titolare del trattamento verso Paesi terzi o organizzazioni internazionali senza la sua espressa autorizzazione, salve necessità tecnologiche e/o organizzative connaturate all'erogazione del servizio;
• informare il Titolare del trattamento, prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico se, per obbligo giuridico derivante dal diritto dell'Unione o da quello nazionale cui è soggetto il fornitore, sia necessario trasferire i dati personali trattati per conto del Titolare del trattamento verso Paesi terzi o organizzazioni internazionali;
• configurare e gestire i propri sistemi informativi e organizzativi in modo da evitare accessi non autorizzati ai dati e alle informazioni di pertinenza dell’Azienda Cliente e/o la loro comunicazione e/o diffusione abusive ai sensi degli artt. da 32 a 36 Reg. CE 679/2016;
• distruggere o restituire i dati personali eventualmente detenuti al termine del rapporto contrattuale;
• utilizzare solo personale vincolato da impegni di confidenzialità, che agisca sotto precise istruzioni e controllo da parte del Responsabile.

Quanto non espressamente oggetto di queste istruzioni rimane a carico esclusivo dell’Azienda Cliente.

Risolvo Software ha provveduto alla nomina del proprio Responsabile della protezione dei dati personali, il quale è stato individuato nella persona del dott. Massimo Licari della società AXSYM S.r.l., contattabile all’indirizzo e-mail DPO@risolvosoftware.com.

7.4 Cessazione dello status di Responsabile ex art. 28 Reg. CE 679/2016
Lo status di Responsabile del trattamento ex art.28 Reg. CE 679/2016 cessa di diritto con la cessazione, a qualsiasi titolo, dei rapporti contrattuali fra le parti.
Con la cessazione dello status di Responsabile esterno del trattamento, Risolvo Software non avrà più alcun obbligo, di qualsiasi tipo, nei confronti dell’Azienda Cliente e provvederà alla distruzione dei dati personali di cui avesse la disponibilità, senza specifico avviso, entro 30 giorni dalla data di cessazione. 
Se l’Azienda Cliente lo richiede espressamente attraverso una e-mail all’indirizzo gdpr@risolvosoftware.com Risolvo Software è disponibile a conservare i dati fino alla data richiesta dall’Azienda Cliente stessa. Il periodo di conservazione dei dati non può oltrepassare i 12 mesi dalla data di cessazione dell’accordo di licenza.

8 Dati inseribili dal Titolare del trattamento nel software Risolvo^®
I dati che sono inseribili dal Titolare del trattamento ai fini della gestione della sicurezza aziendali sono:

• Dati relativi alla sicurezza generale: dati anagrafici identificativi (es. nome, cognome, codice fiscale, età, categorie particolari per la gestione della sicurezza, titolo di studio), di contatto relativi alle attività svolte in azienda (sede di lavoro, mansioni, ruoli nell’organizzazione, figure per la sicurezza ricoperti, titolo di studio, codice INAIL, nome medico curante).
• Sorveglianza sanitaria: qualora venga utilizzato il modulo sorveglianza sanitaria, vengono inseriti i dati relativi al protocollo sanitario in base alle mansioni ricoperte e all’esito degli accertamenti effettuati.
• Formazione: qualora venga utilizzato il modulo formazione, vengono inseriti i dati relativi ai corsi obbligatori sicurezza e ad eventuali corsi facoltativi gestiti dall’azienda.
• Check-list di comportamento: qualora venga utilizzato il modulo Gestione Comportamenti vengono inserite osservazioni sui comportamenti ed eventuali feedback volontari.
• Infortuni e malattie professionali: qualora venga utilizzato il modulo infortuni e segnalazioni vengono inseriti i dati relativi a incidenti, infortuni o malattie professionali che abbiano interessato il lavoratore e il loro esito a seguito della gestione INAIL.
• Informazioni sanitare: sono inseriti nella sezione “Cartella sanitaria e di rischio” e visibili/modificabili solo dal Medico competente dell’azienda che tramite una doppia password strettamente personale, è l’unica tipologia di utente in grado di decriptare le informazioni.

Risolvo^® permette di differenziare l’accesso ai dati registrati (visibilità e/o modifica) secondo classi omogenee di appartenenza, a seconda del ruolo attribuito all’Utente dal Datore di Lavoro o da chi per esso delegato con il ruolo di “Utente Amministratore di Risolvo^®”.
Risolvo Software non risponde di contenuti, materiali o informazioni inseriti da terzi nel software Risolvo^® ed in particolar modo qualora il Titolare del Trattamento dovesse inserire dati personali rientranti nel novero dei dati "sensibili", vale a dire “i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”

9 Misure di Sicurezza e protezione dei Dati
L'autenticazione nel portale avviene tramite 3 parametri di riconoscimento: codice, nome utente, password personale.
La procedura di creazione Utente separa la creazione del Codice e del nome utente da quella della password. L’utente abilitato riceve solo una parte dei dati (codice e nome utente) e deve procedere autonomamente all’inserimento di una propria password confermandola personalmente. In questa maniera, nessun utente di Risolvo^®, nemmeno l’Utente Amministratore può venire a conoscenza dei dati di accesso altrui. 
L’inserimento del codice fiscale al momento della generazione di una password serve per un ulteriore livello di controllo incrociato 1 a 1 sugli utenti abilitati in Risolvo^®. In questo modo, se per errore l’e-mail di accesso è inviata a un indirizzo e-mail esistente ma non corrispondente alla persona indicata, lo sconosciuto non potrà accedere alla piattaforma senza conoscere il codice fiscale già inserito. 
Risolvo^® non permette l'ingresso simultaneo di due o più operatori con gli stessi dati di accesso da diverse postazioni di lavoro ed è garantita la registrazione degli accessi: in questo modo è monitorato il traffico e l’inserimento o modifica di materiale in esso contenuto.
La password è criptata ed è modificabile dall’Utente in qualsiasi momento tramite un pannello apposito. 
Se  l’Azienda Cliente lo desidera è inoltre possibile limitare il numero di postazioni internet abilitate alla navigazione in Risolvo^®, definendo un ulteriore livello di sicurezza.
Il modulo “Sorveglianza Sanitaria” è ulteriormente protetto poiché l’Utente Medico Competente è protetto attraverso un’ulteriore password integrativa e da un sistema di criptazione dei dati sensibili che utilizza un
algoritmo che risponde alle specifiche PKCS#5 (e quindi RFC 2898 e PBKDF2) pubblicate da RSA Security. Le informazioni sanitarie (sia dati che documenti) sono inserite nella sezione “Anamnesi” e sono visibili/modificabili solo dall’Utente Medico Competente che, solo tramite le due password strettamente personale, è l’unico in grado di decriptare le informazioni.
Risolvo^® è realizzato con tecnologia Java e si avvale dell’utilizzo di Spring Security Framework, uno degli standard sicurezza più utilizzato, per proteggere le informazioni da accessi non consentiti e per gestire le autorizzazioni degli utenti. 
Il portale è utilizzabile solo attraverso il protocollo HTTPS per garantire la privacy dei dati trasmessi sulla rete Internet. 
Risolvo^® utilizza l’RDBMS (Relational database management system) di Oracle. La gestione del database è a carico di Risolvo Software.

Ulteriori elementi relativi alle misure di sicurezza e alla protezione dei dati sono disponibili nel documento Allegato E - Service Level Agreement per il servizio Cloud di Risolvo^®

10 Diritto di proporre reclamo al Garante.
Ciascun interessato può proporre reclamo al Garante per la Protezione dei Dati Personali nel caso in cui ritenga che siano stati violati i diritti di cui è titolare ai sensi del GDPR, secondo le modalità indicate sul sito internet del Garante accessibile all’indirizzo: www.garanteprivacy.it.
I diritti di ciascun interessato e la facoltà di revoca del consenso possono essere esercitati inviando una e-mail a gdpr@risolvosoftware.com o inviando una comunicazione via PEC all’indirizzo risolvosoftwaresrl@legalmail.it oppure inviando una lettera a mezzo posta raccomandata al seguente indirizzo Risolvo Software S.r.l., Via Asiago 77, 36022, Cassola (VI).