Art. 1 - Oggetto del contratto
1.1 Il presente contratto ha per oggetto la fornitura del servizio selezionato, di cui il cliente dichiara di conoscere le caratteristiche e le modalità di erogazione.
1.2 Il Cliente è consapevole ed accetta il fatto che la Società erogatrice dei servizi (Comas S.r.l., con sede in via dei Martiri di Civitella, 11 ad Arezzo, C.F. e p.IVA 01209940517 di seguito “Comas” o “Società) è tenuta all'adempimento di una semplice obbligazione di mezzi, non potendo in nessun modo garantire l'erogazione di atti e/o documenti quando essi non siano presenti e/o rilasciabili da parte degli uffici pubblici incaricati della loro emissione.
1.3 Comas si riserva di prescegliere le modalità tecnico-organizzative (ad esempio l’hosting dei dati, la gestione delle applicazioni, o altro, anche in cloud) ritenute più opportune per la prestazione dei Servizi oggetto di rapporto fra le Parti, avvalendosi eventualmente, anche parzialmente, di società collegate, controllate e/o controllanti, nonché di società terze ausiliare, ove opportuno o necessario, anche in qualità di subappaltatori purché sotto vincolo di confidenzialità, ai fini della corretta erogazione del Servizio.

Art. 2 - Esecuzione del contratto. Conclusione. Recesso
2.1 Il presente contratto s’intenderà concluso alla completa compilazione ed accettazione del modulo di registrazione da parte del Cliente.
2.2 A seguito della conclusione del contratto il cliente, per ottenere la fornitura del servizio richiesto, sarà tenuto a versare anticipatamente l’importo indicato nel modulo di registrazione.
2.3 Per alcune tipologie di documenti, potrebbe essere necessario il conferimento di una specifica delega, come richiesto dagli uffici competenti per il rilascio. In tal caso i tempi di evasione decorreranno dal momento in cui il Cliente fornirà il documento di delega richiesto, compilato e firmato secondo le istruzioni fornite.
2.4 Il Cliente dichiara di accettare ed autorizzare l'erogazione anticipata dei servizi richiesti prima della decorrenza dei termini previsti per l'esercizio del diritto di recesso, espressamente rinunciando in tal modo ad avvalersi della facoltà di recesso ai sensi della normativa contenuta nel Codice del Consumo (D. Lgs.206/2005, s.m.i.).
2.5 Il servizio si intenderà correttamente erogato anche nel caso di esito negativo della ricerca, inoltrata con i parametri forniti, presso le banche dati degli Uffici Pubblici competenti per il rilascio del documento richiesto.
2.6 I tempi di evasione del servizio rappresentano solo una indicazione, e non già un termine essenziale. Il mancato rispetto degli stessi non costituisce inadempienza e non dà diritto al cliente ad annullamenti o risarcimenti di alcun genere.

Art. 3 - Rimborso costi servizio – Tipologie e tempistiche
3.1 Il Cliente ha diritto al rimborso del costo del servizio, previa positiva valutazione da parte degli uffici preposti di Comas., nei casi in cui il servizio richiesto non sia stato erogato per causa non imputabile al Cliente stesso oppure il servizio non corrisponda alla descrizione informativa di cui al sito www.infocomas.it.
Rimane fermo che il Cliente non ha diritto al rimborso:
Per eventuali difformità del servizio imputabili unicamente alle amministrazioni pubbliche presso le quali i documenti sono stati estrapolati (come ad esempio, in via esemplificativa e non esaustiva, errori materiali contenuti negli atti) e/o nei casi in cui l'esito della ricerca restituisca un esito negativo, sulla base dei dati inseriti dal Cliente al momento della richiesta (come ad esempio, in via esemplificativa e non esaustiva, nominativo non censito presso le banche dati delle amministrazioni consultate e/o documentazione non censita negli archivi pubblici per mancati depositi e/o registrazioni e/o rasterizzazioni e/o aggiornamenti e/o pubblicazioni);
Per impossibilità all’erogazione del servizio da parte delle amministrazioni pubbliche consultate, per la presenza di irregolarità nel versamento di diritti e/o oneri amministrativi;
Per ritardo nell’erogazione del servizio per causa imputabile amministrazioni pubbliche consultate;
Per impossibilità all’erogazione del servizio per fatto imputabile al Cliente (come ad esempio, in via esemplificativa e non esaustiva, mancata esecuzione delle eventuali ulteriori prestazioni necessarie per la corretta lavorazione della richiesta; mancata fornitura della successiva eventuale documentazione integrativa richiesta dalla Società, ecc).
3.2 Nei casi in cui sussistano le condizioni per il rimborso, il Cliente, previo contatto col Customer Care (i cui riferimenti sono rinvenibili al seguente link https://www.infocomas.it/azienda/contatto.asp), dovrà formalizzare la propria richiesta, compilando il form di rimborso ricevuto per posta elettronica all’indirizzo email rilasciato in fase di acquisto, entro e non oltre le 48 ore successive alla ricezione della comunicazione. In tale form dovrà essere esplicitata la modalità di rimborso prescelta. Qualora la richiesta di rimborso non venga formalizzata dal Cliente nei termini sopra indicati, non sarà più possibile richiedere il rimborso del servizio. La richiesta di rimborso sarà tempestivamente processata e, in caso di accoglimento, verrà comunicata al Cliente l’accettazione della richiesta, con successiva erogazione del rimborso con le modalità espressamente richieste dallo stesso.
Si precisa che una volta formalizzata la richiesta con la compilazione e trasmissione del form, il Cliente non potrà in alcun modo variare le tipologie e/o le modalità di rimborso selezionate nella predetta richiesta, né potrà richiedere l’annullamento e/o lo storno della transazione di acquisto con modalità differenti da quelle già definite, ivi comprese la facoltà di recesso e di ripensamento.
3.3 Il rimborso potrà essere erogato mediante le diverse tipologie qui di seguito dettagliate:
bonus/credito attivo pari al costo del servizio acquistato dal Cliente, utilizzabile entro 60 giorni dal riconoscimento dello stesso sul sito www.infocomas.it. Il bonus/credito attivo è prorogabile, a esplicita richiesta del Cliente al Customer Care, per una sola volta per ulteriori 60 giorni;
rimborso del 50% del costo base del servizio, comprensivo degli oneri di gestione pratica, oltre al rimborso integrale delle somme anticipate a titolo di costi accessori (come ad esempio le spese di spedizione, bolli e/o diritti e/o oneri amministrativi qualora non effettivamente corrisposti agli organi competenti) ovvero dei diritti di urgenza, qualora le tempistiche urgenti di evasione non siano state rispettate per fattori esclusivamente dipendenti dalla Società.
3.4 Il rimborso avverrà entro 5 giorni lavorativi decorrenti dal giorno della comunicazione di accettazione della domanda, mediante riaccredito della somma riconosciuta a tale titolo:
direttamente nell’area personale del sito, in caso di richiesta di bonus/credito attivo da parte di cliente abbonato;
mediante e-mail contenente voucher spendibile sul sito, in caso di richiesta di bonus/credito attivo da parte di utente non abbonato;
direttamente sullo strumento di pagamento elettronico utilizzato dal Cliente per l’acquisto del servizio nel caso di rimborso di quota parte dei costi.

Art. 4 - Esclusione di responsabilità
La società erogatrice del servizio non garantisce l'esattezza delle informazioni fornite e, salvo quanto disposto dall'art. 1229 c.c., non assume alcuna responsabilità per qualsiasi danno possa derivare al cliente in dipendenza di qualsiasi relazione, commerciale e non, senza esclusioni, dallo stesso instaurata in base alle informazioni fornite. In ogni caso, l'eventuale responsabilità della società erogatrice del servizio, fatti salvi i casi di dolo e/o colpa grave, sarà limitata all'importo pagato dall' utente per il servizio in questione.

Art. 5 - Obblighi del Cliente — Riservatezza
5.1 Il Cliente è tenuto ad usufruire dei servizi in maniera corretta, lecita e pertinente con le proprie finalità e si impegna a garantire la sicurezza e la riservatezza dei dati forniti dalla società erogatrice del servizio richiesto. Le informazioni non potranno essere portate a conoscenza né della persona né dell’azienda oggetto dell’informazione né di terzi, fatta eccezione per l’adempimento di obblighi espressamente previsti dalla legge.
5.2 Il Cliente è tenuto ad eseguire le eventuali ulteriori prestazioni a suo carico necessarie per la lavorazione dei Servizi richiesti ed a fornire l'eventuale documentazione integrativa richiesta dalla Società erogatrice del servizio. La predetta Società non potrà essere a nessun titolo ritenuta responsabile di ritardi e/o inadempimenti dovuti al mancato invio della documentazione richiesta da parte del Cliente ed avrà piena facoltà di comunicare l'esito negativo del servizio senza diritto a rimborsi di alcun genere nei riguardi del Cliente inadempiente.

Art. 6 - Informativa; consenso al trattamento dei dati personali
Il cliente, con la sottoscrizione del presente contratto, riconosce che gli é stata resa l’informativa di cui agli articoli 13 e 14 del regolamento UE 679/2016, manlevando la società erogatrice del servizio da qualsivoglia responsabilità civile, penale o amministrativa per danni che dovesse risentire in conseguenza, occasione o connessione con detti trattamenti.

Art. 7 - Foro Esclusivo
Le controversie che dovessero insorgere in merito all’interpretazione ed esecuzione del Contratto saranno deferite esclusivamente alla competenza (i) del foro di luogo di residenza e/o domicilio del Cliente, se ubicati nel territorio italiano, ai sensi di quanto previsto nel D. Lgs. 206/2005 disciplinante normativa applicabile ai consumatori, per il Cliente Consumatore; (ii) del foro di Arezzo per il Cliente Impresa o Professionista.

Art. 8 – Trattamento dei dati personali
8.1 Nell’ambito dei servizi Report Imprese e Persone, Informazioni Estero, Visura Catastale, Accertamenti Immobiliari, Protesti e Pregiudizievoli, Servizi camerali, Monitoraggio Atti Negativi e Imprese, Elenchi Imprese, Informazioni Italia, Accertamenti immobiliari, servizi di Catasto e Conservatoria, servizi di Camera di Commercio, le Parti tratteranno i dati quali autonomi titolari del trattamento. Le Parti si impegnano a rispettare quanto previsto in materia di trattamento dei dati dal GDPR e dalla normativa applicabile tempo per tempo vigente e ad utilizzare sistemi e procedure rispettose delle disposizioni di cui all’articolo 32 del GDPR. Qualsiasi variazione della normativa vigente a tutela degli interessati che dovesse comportare adeguamenti e/o mutamenti, dovranno essere approntati tempestivamente dalle Parti, nel rispetto delle attività di propria competenza.
8.2 Qualora il Cliente dovesse trasmettere a Comas dati personali rispetto ai quali riveste il ruolo di Titolare del trattamento, il Cliente si impegna a prestare adeguata informativa all’interessato e garantisce che il trattamento di tali dati personali è posto in essere sulla base di uno o più dei presupposti di liceità previsti dall’art. 6 del GDPR. Qualora tale presupposto di liceità fosse il consenso degli interessati, il Cliente si impegna a raccogliere tale consenso dall’interessato nel rispetto della normativa tempo per tempo vigente. Il Cliente manleverà e terrà indenne Comas da ogni e qualsivoglia richiesta di danni avanzata dagli interessati i cui Dati siano stati raccolti e trattati in violazione di quanto sopra previsto e della normativa vigente.
8.3 Ciascuna Parte si impegna, altresì, ad utilizzare sistemi e procedure, per le operazioni di trattamento dei dati, atte a garantire il rispetto delle disposizioni di cui al GDPR. In ogni caso, Comas e il Cliente adotteranno ogni misura, in linea con le disposizioni del GDPR, atta a:
- adeguarsi alla normativa vigente rilevante;
- istituire moduli e procedure organizzative coerenti con le disposizioni di legge;
- evitare danni all’integrità dei dati ai quali si consente l’accesso o irregolarità prevedibili.
8.4 La violazione da parte del Cliente di quanto disposto nel presente articolo potrà comportare da parte di Comas la risoluzione automatica del presente contratto, fatto salvo il risarcimento dei danni eventualmente patiti da Comas in conseguenza della condotta del Cliente.
8.5 Nell’ambito dei servizi Certificati Agenzia delle Entrate, Certificati Tribunale, Certificato Anagrafico, Registrazione Marchio, il Cliente, ai sensi del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, dichiara di essere il titolare del trattamento dei dati personali che saranno trattati da Comas per l’esecuzione dei suddetti servizi e garantisce di aver posto in essere tutti gli adempimenti prescritti dal predetto GDPR. Il Cliente garantisce, quindi, che Comas potrà trattare legittimamente i dati personali alla stessa forniti per le finalità di cui ai servizi. Il Cliente si obbliga a tenere indenne Comas da qualsiasi possibile pretesa risarcitoria e sanzione derivante dalla violazione delle disposizioni normative in materia di data protection poste in essere dallo stesso Cliente nel trattamento dei dati personali comunicati a Comas per l’esecuzione del Servizio. Al fine di legittimare il trattamento dei dati personali che sarà posto in essere da Comas, il Cliente si impegna a nominare la stessa Comas, che accetta, quale responsabile del trattamento ai sensi dell’art. 28 del GDPR.
8.6 Comas porrà in essere le operazioni di trattamento di dati personali ad essa affidati nel pieno rispetto del GDPR, di ogni altra norma applicabile ai predetti trattamenti nonché delle istruzioni che alla stessa saranno fornite dal Cliente con la nomina a responsabile del trattamento.
8.7 Il Cliente autorizza Comas a nominare, ai sensi dell’art. 28, comma 2 del GDPR, quali altri responsabili del trattamento (nel seguito anche sub-responsabili), tutti i soggetti autorizzati quali subappaltatori dallo stesso Cliente e i subfornitori dei quali Comas dovesse avvalersi per le operazioni di trattamento.
8.8 Comas imporrà a tutti i sub-responsabili, per il tramite di apposito contratto, gli stessi obblighi in materia di protezione dei dati personali assunti verso il Cliente con la sottoscrizione del presente contratto e della allegata nomina a responsabile. Quindi, Comas, con la formalizzazione della nomina fornirà ai sub-responsabili le medesime istruzioni impartite ad essa dal Cliente ai sensi dell’art. 28 del GDPR. Comas, si impegna ad informare il Cliente circa eventuali modifiche previste e riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, onde consentire al Cliente di opporsi a tali modifiche.
8.9 Relativamente alle operazioni di trattamento di natura investigativa di cui ai servizi Decodifica codice fiscale, Visura veicoli intestati, Rintraccio posto di lavoro, Rintraccio eredi, Comas si avvarrà degli ulteriori soggetti, che possiedono la specifica licenza investigativa, come previsto dall’art. 134 del TULPS e dall’art. 5, c. 1, lett. a del l D.M. 269/2010. Tale trattamento avverrà esclusivamente nei limiti delle finalità connesse all’esecuzione del presente contratto e conformemente alle disposizioni applicabili. Con riferimento a tali operazioni il Cliente dichiara e garantisce che i dati personali e le informazioni richieste sono necessari, proporzionati e non eccedenti rispetto al perseguimento delle esigenze di tutela dei diritti, obbligandosi a rispettare le norme a disciplina delle attività di indagine, tempo per tempo vigenti. Il Cliente conferisce altresì a Comas il compito di svolgere le attività di reportistica e consegna in merito all’esito delle indagini svolte dalle agenzie investigative, alle quali compete, in via esclusiva, l’attività di indagine. Anche per tale attività, il Cliente nomina Comas, che accetta, Responsabile del Trattamento ai sensi dell’art. 28 del GDPR.
8.10 Il servizio Bilanci non comporta un trattamento di dati personali.


ALLEGATO B
NOMINA RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ARTICOLO 28
DEL REGOLAMENTO UE 679/2016 (“GDPR”)
Spett.le
Comas S.r.l.
via Martiri di Civitella n.11
52100, Arezzo (AR)
Oggetto: NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ARTICOLO 28 DEL REGOLAMENTO UE 679/2016 (“GDPR”)
Spettabile Società,
premesso che:
(a) la Vostra società, Comas S.r.l., con sede in Arezzo (AR) via Martiri di Civitella n.11 (di seguito anche “COMAS” o “Responsabile” ) fornisce al Cliente (di seguito anche “Titolare” ) il servizio avente ad oggetto ABBONAMENTO, in forza di apposito contratto, come tempo per tempo vigente, ed alle condizioni e con le modalità così regolate (di seguito “Servizio”);
(b) nell’ambito delle attività per la fornitura del Servizio, è previsto che il Cliente trasferisca a COMAS, per consentire lo svolgimento del Servizio medesimo e limitatamente allo stesso, dei dati personali, (di seguito “Dati”), di cui il Cliente è Titolare del trattamento ai sensi del GDPR. Le categorie di Dati personali trattati e le categorie di interessati sono elencate nell’Allegato 1;
(c) l’attività svolta da COMAS nell’ambito del Servizio a favore del Cliente è un’attività che prevede anche operazioni di trattamento dei Dati e prevede compiti specifici per COMAS, soggetto individuato per esperienza, capacità ed affidabilità, come soggetto idoneo a garantire il pieno rispetto delle vigenti disposizioni in materia di trattamento di dati personali e che ha anche fornito sufficienti garanzie nell’attuazione di adeguate misure tecniche ed organizzative che soddisfano i requisiti posti dal GDPR, garantendo la tutela dei diritti degli interessati.
Tutto quanto sopra premesso e considerato, con il presente atto il Cliente
NOMINA ai sensi e per gli effetti dell’articolo 28 del GDPR, COMAS
RESPONSABILE DEL TRATTAMENTO DI DATI PERSONALI per le operazioni di trattamento dei Dati dalla stessa poste in essere nell’ambito del Servizio ed in esecuzione diligente del contratto relativo al Servizio.
***
In considerazione della suddetta nomina il Cliente affida a COMAS i seguenti compiti ed impartisce le seguenti istruzioni per il trattamento dei Dati, cui il Responsabile deve attenersi:
(i) il trattamento dei Dati deve essere svolto da parte del Responsabile nel pieno rispetto delle previsioni normative ad esso applicabili di cui al GDPR e ad ogni altra applicabile disciplina normativa, nonché tenendo conto dei provvedimenti tempo per tempo emanati dall’autorità Garante per la protezione dei dati personali e inerenti il trattamento svolto dal Responsabile;
(ii) il Responsabile, nello svolgimento delle attività di trattamento dei Dati, potrà fare legittimo affidamento sul fatto che il Titolare del trattamento garantisce che i Dati trasmessi in diligente esecuzione del contratto relativo al Servizio sono stati raccolti dal Titolare presso l’interessato o presso terzi in osservanza di tutti gli adempimenti e sulla base di uno o più presupposti di legittimazione previsti dal GDPR;
(iii) il trattamento dei Dati deve essere svolto da parte del Responsabile in esecuzione del vigente contratto relativo al Servizio e per le finalità relative all’erogazione del Servizio, nonché per il tempo strettamente necessario al perseguimento delle finalità suindicate e delle finalità strettamente connesse e strumentali alla gestione delle problematiche tecniche collegate e, comunque, in modo da garantire la sicurezza e la riservatezza dei Dati; il trattamento potrà essere effettuato sia manualmente, sia con l’ausilio di mezzi elettronici o comunque automatizzati e per via telematica;
(iv) i Dati trattati dal Responsabile nell’ambito del Servizio non saranno comunicati a terzi, né diffusi o trasferiti all’estero, salvo quanto eventualmente previsto dal richiamato contratto e dal presente atto di nomina; il Responsabile non utilizzerà, direttamente o indirettamente, i Dati per finalità diverse da quelle oggetto del Servizio, né comunicherà a terzi i Dati, salvo obblighi di legge od ordini dell’Autorità Giudiziaria o delle competenti Autorità Amministrative;
(v) il Responsabile, ai sensi dell’art. 28 comma 2 del GDPR, procederà a nominare quale altro responsabile del trattamento (sub-responsabile) ogni subappaltatore previamente autorizzato dal Titolare ai sensi del contratto, così come elencati all’Allegato 2 della presente nomina, nonché ogni subfornitore che svolgerà operazioni di trattamento in relazione alla nomina. Il Responsabile imporrà a tutti i sub-responsabili, per il tramite di apposito contratto, gli stessi obblighi in materia di protezione dei dati personali assunti verso il Titolare con la presente nomina e con la sottoscrizione del contratto. Il Responsabile, con la formalizzazione della nomina a altri responsabili fornirà ai sub-responsabili le medesime istruzioni allo stesso impartire con la presente nomina. Inoltre, il Responsabile si impegna ad informare il Titolare circa eventuali modifiche previste e riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, onde consentire al Titolare di opporsi a tali modifiche. Il diritto di opposizione del Titolare dovrà essere esercitato entro e non oltre 10 (dieci) giorni dal ricevimento della comunicazione. Qualora i sub-responsabili omettano di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile manterrà nei confronti del Titolare l'intera responsabilità dell'adempimento degli obblighi dei sub-responsabili;
(vi) il Responsabile è tenuto, in caso di cessazione del Servizio, sulla base delle istruzioni che riceverà dal Titolare, a restituire i Dati al medesimo ovvero a cancellare in modo permanente ed irreversibile i Dati trasmessi dal Titolare per l’esecuzione del Servizio;
(vii) il Responsabile ha il compito di individuare per iscritto gli autorizzati al trattamento che saranno vincolati da un accordo di riservatezza ed adeguatamente formati, nonché la facoltà di fornire agli autorizzati, ove necessario, ulteriori specifiche istruzioni, rispetto a quanto stabilito in materia dalla normativa, per lo svolgimento delle mansioni inerenti il trattamento dei Dati;
(viii) il Responsabile ha il dovere di osservare e far osservare agli autorizzati al trattamento le disposizioni relative alla sicurezza dei Dati e, in particolare, il Responsabile è tenuto ad adottare, nel rispetto delle prescrizioni di cui all’ art. 32 del GDPR, le misure di sicurezza necessarie ad assicurare un livello di sicurezza adeguato al rischio e che sia in grado di garantire la confidenzialità, l’integrità e la disponibilità dei dati personali oggetto del trattamento. Tali misure dovranno ridurre al minimo i rischi, ove rilevati, di distruzione o perdita, anche accidentale, dei Dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità della raccolta;
(ix) il Responsabile dovrà notificare al Titolare senza ingiustificato ritardo e, comunque, non oltre 48 ore dall’avvenuta conoscenza ogni violazione dei Dati personali (data breach) che tratta per conto del Titolare. Con la notifica andranno indicate tutte le informazioni relative all’evento occorso e in ogni caso almeno: (i) la descrizione della natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; (ii) la descrizione delle probabili conseguenze della violazione dei dati personali; (iii) la descrizione delle misure adottate o di cui si propone l'adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente alla rilevazione dell’evento, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo;
(x) il Responsabile si impegna a fornire supporto al Titolare nelle attività necessarie ad adempiere alle prescrizioni che incombono su quest’ultimo ai sensi degli artt. da 32 a 36 del GDPR, nei limiti delle informazioni in proprio possesso e dei trattamenti posti in essere per conto del Titolare;
(xi) il Responsabile si impegna a comunicare al Titolare, senza ingiustificato ritardo, richieste di esercizio dei diritti da parte degli interessati ai sensi del capo III del GDPR ed a prestare assistenza al titolare nella gestione delle stesse;
(xii) il Responsabile tiene, ai sensi dell’art. 30 comma 2 del GDPR, un registro redatto in forma scritta anche in formato elettronico, dei trattamenti posti in essere per contro del Titolare, che dovrà contenere le seguenti informazioni: (i) il nome e i dati di contatto del Responsabile; (ii) i trattamenti effettuati per conto del Titolare; (iii) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; (iv) una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32 del GDPR;
(xiii) il Titolare potrà disporre, a propria cura e spese, verifiche a campione, una sola volta nell’arco di 12 mesi, avvalendosi di personale espressamente incaricato allo scopo, presso le sedi aziendali del Responsabile, previa richiesta da inviarsi al Responsabile in forma scritta con un preavviso di almeno venti giorni lavorativi sulla data proposta e, comunque, ad ora e giorno da concordare con il Responsabile, al fine di valutare la conformità del trattamento dei Dati rispetto al contratto per il Servizio in essere tra le parti, al presente atto di nomina ed alla normativa vigente. Le verifiche potranno essere svolte direttamente o indirettamente, ovvero attraverso l’acquisizione di certificazioni e/o relazioni. Resta, in ogni caso, escluso il coinvolgimento di soggetti terzi che svolgano attività concorrente con quella del Responsabile. Resta inteso, altresì, che i soggetti che effettueranno le verifiche per conto del Titolare dovranno essere resi edotti del contenuto della presente clausola e saranno tenuti a stipulare per iscritto con il Titolare idonei accordi di riservatezza. Il Titolare sarà pienamente responsabile nei confronti del Responsabile dell'esecuzione delle verifiche svolte e manleverà il Responsabile da qualsiasi danno o pregiudizio ad esso derivante. Nel corso delle verifiche, il Titolare, avrà la facoltà di accedere in visualizzazione esclusivamente alla documentazione e ai contenuti relativi al servizio oggetto del presente accordo, per la parte strettamente necessaria all’espletamento delle verifiche, nel pieno rispetto delle policy del Responsabile intese a garantire la riservatezza, integrità e disponibilità dei dati personali del Responsabile o dei clienti dello stesso. L’oggetto delle verifiche sarà definito tra le Parti, per iscritto, in maniera chiara prima dell’inizio di tali audit. Qualora gli audit vengano svolti on-site, il Titolare dovrà rispettare le norme di sicurezza in vigore nei locali del Responsabile e in modo da non turbare il normale funzionamento delle attività del Responsabile, nonché nel rispetto dei diritti di proprietà intellettuale ed industriale del Responsabile stesso. Il Titolare s’impegna affinché lo svolgimento dell’attività di verifica predetta si svolga nel più breve tempo possibile – negli orari d’ufficio e in giorni lavorativi – in modo tale da non arrecare disturbo al regolare svolgimento dell’attività aziendale del Responsabile. Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie a dimostrare il rispetto degli obblighi assunti con la sottoscrizione del contratto, della presente nomina ed in genere delle disposizioni normative applicabili ai trattamenti posti in essere per conto del Titolare;
(xiv) ai fini della disciplina delle responsabilità e dei connessi diritti risarcitori a favore degli interessati, resta ferma l’applicazione di quanto previsto dal GDPR all’art. 82;
(xv) il Responsabile dovrà, ad integrazione di quanto sopra, comunque procedere al trattamento dei Dati per il Titolare nell’ambito del Servizio, sulla base del contratto ed alle condizioni e con le modalità di trattamento ivi regolate o dallo stesso desumibili e qui espressamente richiamate – ove necessario – ad integrazione, quanto a compiti ed istruzioni, del presente atto di nomina;
(xvi) il Responsabile potrà esercitare ogni inerente potere decisionale idoneo a consentire il perseguimento delle finalità di legge e per l’attuazione degli obblighi e dei compiti sopra precisati.

***
Il Titolare, poste le istruzioni di cui sopra e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio ruolo, di impartire eventuali ulteriori istruzioni che risultassero necessarie nel corso dello svolgimento delle attività di trattamento dei Dati, anche a completamento ed integrazione di quanto sopra definito.
Il presente atto di nomina è produttivo di effetti per tutta la durata del Servizio nei termini contrattualmente convenuti e, pertanto, alla cessazione definitiva del Servizio il presente atto di nomina a Responsabile decadrà contestualmente con effetto immediato, fermo il caso in cui si verifichino circostanze autonome ed ulteriori che giustifichino la continuazione del trattamento dei Dati da parte del Responsabile, con modalità limitate e per il limitato periodo di tempo a ciò strettamente necessari (a titolo meramente esemplificativo e senza pretesa di esaustività, in caso di vicende patologiche che interessino il rapporto contrattuale tra le parti).
Il presente atto di nomina è da considerarsi riservato e confidenziale e non può essere né comunicato né diffuso a terzi senza il consenso del Titolare, salvo obblighi di legge o per ordine o richiesta di competenti autorità o per ragioni di difesa giudiziaria o per far valere un diritto di una delle parti.
Il Responsabile, con la firma apposta su copia del presente atto di nomina, accetta la nomina nei termini di cui sopra, conferma la diretta e approfondita conoscenza degli obblighi che si assume in relazione al dettato della normativa vigente e si impegna a procedere al trattamento dei Dati attenendosi alle istruzioni ricevute dal Cliente
***

Appendice 1 Categorie di dati personali trattati e categorie di interessati Nell’ambito delle attività per la fornitura del Servizio, il Responsabile tratterà le seguenti categorie di dati personali:
Dati comuni
Dati particolari ai sensi dell’art. 9 del GDPR
Dati personali relativi a condanne penali e reati ai sensi dell’art. 10 del GDPR

Nell’ambito delle attività per la fornitura del Servizio, il Responsabile tratterà dati personali riferibili alle seguenti categorie di interessati:
Dipendenti
Clienti
Fornitori
Prospect
Altri (indicare quali):

Appendice 2 Elenco sub-responsabili del trattamento

ALLEGATO A
INFORMATIVA E CONSENSO
Ai sensi dell’art. 13 del Regolamento (UE) 2016/679 in materia di protezione dei dati personali (di seguito “Regolamento” o solo “GDPR”), informiamo il CLIENTE che i dati personali forniti potranno formare oggetto di trattamento da parte della scrivente COMAS S.r.l. con sede legale in Via Martiri di Civitella, 11 - 52100 Arezzo Tel. +39 0575 26125 - Fax +39 0575 26436 (“COMAS”).

1. Definizione di trattamento
Il trattamento di dati personali che intendiamo effettuare potrà consistere nella loro raccolta, registrazione, organizzazione, conservazione, elaborazione, modificazione, selezione, estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione, cancellazione e distruzione ovvero nella combinazione di due o più di tali operazioni.

2. Titolare del trattamento
Il trattamento dei dati personali del CLIENTE verrà posto in essere da COMAS S.r.l., con sede legale in Martiri di Civitella, 11 - 52100 Arezzo Tel. +39 0575 26125 - Fax +39 0575 26436, in qualità di Titolare del trattamento ai sensi dell’articolo 13 del GDPR (di seguito “Titolare”).
Le due società hanno determinato congiuntamente le finalità e i mezzi del trattamento tramite apposito contratto, nel quale sono state regolate le rispettive responsabilità circa l’osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all’esercizio dei diritti dell’interessato e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR. Il contenuto essenziale dell’accordo è disponibile previa Sua richiesta scritta inviata a COMAS.
Per l’esercizio dei diritti di cui al Capo III del GDPR, precisati al successivo art. 8, ci si potrà avvalere delle seguenti modalità:
a. Per COMAS: lettera indirizzata a COMAS S.r.l. con sede legale in Via Martiri di Civitella, 11 - 52100 Arezzo; si può chiamare ed inviare fax al numero: +39 0575 26125 ; si può inviare e-mail all’indirizzo mail@infocomas.it

3. Finalità e base giuridica del trattamento
I dati personali forniti dal CLIENTE nell’ambito della sottoscrizione ed esecuzione del Contratto verranno trattati nell’ambito dell’attività di COMAS D&B, per le seguenti finalità:
a) per adempimenti di legge derivanti tra l’altro da norme civilistiche, fiscali e contabili;
b) per la gestione amministrativa del rapporto;
c) per l’adempimento degli obblighi derivanti dagli obblighi contrattuali;
d) per far valere o difendere un diritto in sede giudiziale o stragiudiziale;
e) nonché per finalità di promozione commerciale del Titolare.
Il trattamento dei dati personali per le finalità di cui ai punti a) e b) si basa rispettivamente sui presupposti di cui all’art. 6, par. 1, lett. c) del GDPR.
Il trattamento dei dati personali per le finalità di cui ai punti c) si basa rispettivamente sui presupposti di cui all’art. 6, par. 1, lett. b) del GDPR.
Il trattamento per le finalità di cui al punto d) si basa sul presupposto di cui all’art. 6, par. 1, lett. f) del GDPR, ossia l’esercizio dei diritti di difesa del Titolare del trattamento. I trattamenti dei dati personali posti in essere per tali finalità non richiedono, quindi, il consenso dell’interessato.
Il presupposto di legittimazione al trattamento per le finalità di cui al punto e) è, invece, l’art. 6, par. 1, lett. a) del GDPR.

4. Natura obbligatoria o facoltativa del conferimento di dati personali e conseguenze del rifiuto al conferimento
Il conferimento dei dati inerenti il CLIENTE per le finalità indicate al punto 3, lettere a), b), c) e d) è necessario e strumentale ai fini della esecuzione di ordini e contratti, della gestione anche amministrativa, commerciale, fiscale e contabile del rapporto instaurato o instaurando, dell’adempimento di obblighi di legge, nonché dell’esercizio del diritto di difesa e pertanto l’eventuale mancato conferimento di tali dati potrebbe comportare l’oggettiva impossibilità di instaurare, proseguire o dare esecuzione al rapporto
Il conferimento dei dati per le finalità di cui al punto 3, lettera e) è facoltativo e pertanto l’eventuale rifiuto di conferimento dei dati per tali finalità non comporta conseguenza alcuna.

5. Tempi di conservazione dei dati personali
Con riferimento al trattamento dei dati personali per le finalità ai punti a), b), c) e d) si informa il CLIENTE che i predetti dati saranno conservati per un periodo di 10 anni dalla cessazione del rapporto contrattuale in essere. Per le finalità di cui al punto e), il termine massimo di conservazione dei dati è di 3 anni, fatta salva la possibilità di revocare anticipatamente il consenso. In ogni caso, è garantita all’interessato la facoltà di esercitare tutti i diritti riconosciuti dal GDPR ed espressamente indicati al punto 7 della presente informativa.

6. Modalità del trattamento
I dati saranno trattati in modo lecito, secondo correttezza, in modo tale da garantirne la sicurezza e la riservatezza; il trattamento dei dati potrà essere effettuato con mezzi cartacei, informatici e telematici, anche attraverso la rete internet.

7. Categorie dei soggetti a cui verranno comunicati i dati
I dati di cui trattasi potranno essere comunicati:
a) nei casi ed ai soggetti previsti da norme di legge;
b) a soggetti esterni che svolgono specifici incarichi per conto di COMAS, in relazione alle finalità sopra enunciate;
c) a studi legali o consulenti esterni al fine di far valere o difendere un diritto in sede giudiziale o stragiudiziale;
d) a società controllate, collegate, partecipate, partecipanti e controllanti del Titolare del Trattamento o alla propria rete di vendita (agenti, mediatori, concessionari, distributori, ecc.), che tratteranno i dati da autonomi titolari del trattamento previo rilascio di apposita informativa, in relazione alle finalità sopra enunciate;
e) a soggetti terzi operatori economici, in relazione alle finalità enunciate al punto 3., lett. e).
I dati personali potranno essere comunicati ad altre Società del gruppo cui il Titolare del Trattamento appartiene con sedi all’esterno dell’Area Economica Europea in esecuzione degli obblighi contrattuali assunti, nel rispetto delle condizioni di cui al Capo V del GDPR. In particolare, il predetto trasferimento potrà essere posto in essere, senza specifiche autorizzazioni, se il paese terzo verso il quale viene posto in essere il trasferimento rientri tra quelli che secondo la Commissione Europea garantiscono un livello di protezione adeguato. In mancanza della predetta decisione di adeguatezza adottata dalla Commissione Europea, tale trasferimento verso committenti o, comunque, altri destinatari ubicati in paesi terzi, potrà essere effettuato adottando e documentando le garanzie adeguate di cui all’art. 46 del Regolamento sulla base delle quali avviene il suddetto trasferimento dei dati personali. In mancanza di una decisione di adeguatezza o di garanzie adeguate, il trasferimento di dati personali verso committenti o, comunque, altri destinatari ubicati in paesi terzi potrà esser effettuato qualora ricorrano le condizioni e sussistano gli ulteriori presupposti previsti dal GDPR, ivi compresa la possibilità di avvalersi, in specifiche situazioni, delle deroghe disciplinale dall’art. 49 del GDPR.

8. Diritti dell’interessato
Il CLIENTE prende atto che il Capo III del citato GDPR conferisce all'interessato il potere di esercitare specifici diritti a propria tutela, quali i diritti di: (i) ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano, ottenendo le informazioni elencate dall’articolo 15 del Regolamento; (ii) ottenere la rettifica dei dati personali inesatti che lo riguardano ovvero l’integrazione di quelli incompleti; (iii) ottenere la cancellazione dei dati personali che lo riguardano, ai sensi, per gli effetti e con le limitazioni di cui all’articolo 17 del Regolamento; (iv) ottenere la limitazione del trattamento dei propri dati personali, nei casi indicati dall’articolo 18 del Regolamento; (v) ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano, nei casi previsti dall’articolo 20 del Regolamento; (vi) opporsi al trattamento dei dati personali ai sensi, per gli effetti e con le limitazioni di cui all’articolo 21 del Regolamento; (vii) di revocare il consenso in qualsiasi momento qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a) del Regolamento; (viii) non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona ai sensi dell’articolo 22 del Regolamento; (ix) proporre reclamo al Garante per la protezione dei dati personali ai sensi dell’articolo 77 del Regolamento.

9. Responsabile per la protezione dei dati
COMAS ha nominato CRIF S.p.A., con sede legale in via della Beverara 21, 40131, Bologna, quale Responsabile per la protezione dei dati. Per qualsiasi informazione inerente al trattamento dei dati personali potrà rivolgersi al Responsabile della protezione dei dati personali utilizzando i seguenti recapiti: email: dirprivacy@crif.com; pec: crif@pec.crif.com