Common use of Riservatezza e trattamento dei dati personali Clause in Contracts

Riservatezza e trattamento dei dati personali. L’Operatore Economico aggiudicatario dell’appalto sarà nominato dal Titolare (A.O.U. di Sassari), ai sensi dell’art 28 del Regolamento UE 679/2016 (GDPR) Responsabile delle operazioni di trattamento dei dati personali previste per l’esecuzione del contratto principale in essere tra le parti, definendo gli obblighi delle medesime parti in materia di tutela dei dati personali. Il Responsabile tratta i dati personali nella misura strettamente necessaria all’esecuzione del contratto principale e per le finalità individuate da quest’ultimo. Il Titolare fornisce, di seguito, al Responsabile le pertinenti istruzioni cui attenersi nello svolgimento dell'incarico. Esse integrano quanto eventualmente già specificato nel contratto principale. Il Responsabile – per quanto di propria competenza – è tenuto, in forza di legge e di contratto, al rispetto della riservatezza, integrità e qualità dei dati ed a utilizzarli esclusivamente per le finalità specificate e nell’ambito delle attività connesse all’esecuzione del Contratto. Il Responsabile esterno del trattamento può autonomamente assumere decisioni in ambito tecnico ed organizzativo con riguardo al servizio che sta offrendo; in nessun caso potrà variare le finalità e modalità del trattamento definite dal Titolare, ne potrà usare i dati per propri scopi. Nel caso in cui il Responsabile esterno decida di usare i dati per scopi propri ovvero per finalità o tramite mezzi non corrispondenti a quanto definito dal Titolare, sarà considerato a sua volta un Titolare per le attività di trattamento per le quali ha definito le finalità e/o i mezzi in autonomia, fatta salva la sua responsabilità per l’utilizzo illecito dei dati. Il Responsabile esterno deve garantire che le persone da lui autorizzate al trattamento dei dati personali abbiano un adeguato obbligo legale alla riservatezza ed un’adeguata formazione in materia di protezione dei dati personali. Il Responsabile esterno del trattamento ha l’obbligo di individuare ed adottare adeguate misure tecniche ed organizzative idonee a garantire la sicurezza dei dati trattati per conto del Titolare. Le misure dovranno essere commisurate al rischio per i diritti e le libertà degli interessati, dovranno soddisfare i requisiti di cui all’articolo 32 del GDPR e potranno comprendere, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento. Nel valutare l’adeguato livello di sicurezza, il Responsabile tiene conto, in particolare, dei rischi connessi al trattamento che possono derivare dalla perdita, dalla distruzione, dalla modifica, dalla diffusione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Il Responsabile esterno del trattamento dovrà porre in essere le seguenti attività legate al suo ruolo, salvo le ulteriori nascenti dal rispetto del GDPR o della normativa nazionale in corso di emanazione da parte del Governo, relativamente ai trattamenti che discendono dall’esecuzione del contratto principale, come da prospetto: - lo svolgimento di attività di trattamento dati per conto del Titolare nella misura strettamente necessaria all’esecuzione del contratto principale (articolo 28, paragrafo 3 lettera a, del GDPR); - la garanzia che i trattamenti eseguiti in esecuzione del contratto principale siano effettuati nel rispetto dei principi di liceità, correttezza, trasparenza e finalità, nonché nel rispetto delle garanzie previste dal Regolamento (articoli 5 – 9 del GDPR); - la possibilità di delegare - come sub Responsabili del trattamento – altri soggetti per l’esecuzione di specifiche attività che discendano direttamente dal contratto principale, previa comunicazione scritta al Titolare del trattamento e dietro sua autorizzazione specifica (articolo 28, paragrafo 2, del GDPR). Il Fornitore/Responsabile rimane responsabile nei confronti dell’AOU Sassari per l’adempimento del sub Responsabile agli obblighi discendenti dal GDPR e dal presente accordo; - la redazione e la tenuta di un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare - Registro dei trattamenti del Responsabile (articolo 30, paragrafo 2, del GDPR) contenente: a) il nome e i dati di contatto del Responsabile, del Titolare e degli eventuali sub Responsabili; b) le categorie dei trattamenti effettuati per conto del Titolare del trattamento; c) eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 del GDPR. - la periodica valutazione dell’impatto delle procedure e dell’organizzazione sulla tutela dei dati personali - DPIA (articolo 35 del GDPR); - l’individuazione delle misure ritenute necessarie per garantire adeguati livelli di protezione dei dati trattati e l’adeguamento tempestivo alle stesse (articolo 32 del GDPR); - la collaborazione con il Titolare del Trattamento e con il Responsabile della Protezione Dati nominato per l’adempimento degli obblighi derivanti dall’applicazione del GDPR e per l’attuazione delle prescrizioni impartite dal Garante; - la collaborazione nella gestione del Data Breach, con l’obbligo per il Responsabile del trattamento di informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione, al fine di permettere al Titolare di rispettare il termine di notifica al Garante previsto dall’articolo 33 del GDPR; - l’individuazione - all’interno della propria organizzazione - dei soggetti autorizzati a compiere attività di trattamento, la loro nomina formale, la comunicazione al Titolare dell’avvenuta nomina ed il compito di fornire ai soggetti autorizzati indicazioni puntuali sulla modalità di espletamento dei compiti assegnati. Nel caso in cui il Responsabile riceva istanza dagli interessati per l’esercizio dei diritti loro attribuiti dagli articoli dal 12 al 23 del GDPR, il Fornitore deve provvedere a: - darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta; - informare l’interessato dell’avvenuta trasmissione degli atti al Titolare, cui competerà rispondere direttamente; - assistere la AOU Sassari per la soddisfazione delle richieste degli interessati senza ritardo e comunque nel rispetto del termine ultimo previsto dal GDPR; - coordinarsi a tal fine con il Titolare, con il Servizio Affari Generali, Comunicazione e Rapporti con l’Università - in qualità di soggetto preposto dal Titolare alle relazioni con i soggetti interessati - e con il Responsabile della Protezione Dati. Il Responsabile si impegna a mettere a disposizione della AOU Sassari tutte le informazioni necessarie a dimostrare il rispetto degli obblighi tipici dei Responsabili del trattamento di cui all’articolo 28 del GDPR. Il Responsabile riconosce al Titolare il diritto di effettuare o far effettuare, prima, durante o dopo le operazioni di trattamento, verifiche finalizzate ad accertare il rispetto delle istruzioni fornite e il conforme svolgimento del trattamento. L’intenzione da parte dell’AOU Sassari di svolgere o far svolgere verifiche, ispezioni o audit dovrà essere comunicata al Fornitore con congruo anticipo e comunque con almeno 10 giorni di preavviso. Il Responsabile si impegna a interrompere qualsiasi forma di trattamento dati effettuati per conto del Titolare alla scadenza del contratto o del diverso termine eventualmente dallo stesso previsto. A discrezione dell’AOU Sassari, tutti i dati personali trattati dal Responsabile per conto del Titolare, devono essere restituiti a quest’ultimo e/o cancellati, salvo che la legge applicabile imponga al Fornitore la conservazione per un periodo ulteriore dei dati personali trattati. Se le Operazioni di Trattamento si svolgono presso il Titolare su apparati nella disponibilità di quest'ultimo, sui quali siano state fornite al Responsabile e ai suoi incaricati le necessarie autorizzazioni e credenziali di autenticazione, all'atto della cessazione delle Operazioni di Trattamento le autorizzazioni vengono revocate e le credenziali disattivate.

Riservatezza e trattamento dei dati personali. L’Operatore Economico aggiudicatario dell’appalto sarà nominato Il Fornitore dichiara di attuare le prescrizioni previste dal Titolare Provvedimento del Garante (A.O.U. G.U. n.300 del 24/12/2008 – e successive modificazioni) sugli amministratori di Sassari)sistema: valutazione delle caratteristiche soggettive, ai sensi dell’art 28 designazioni individuali, conservazione di un elenco contenente gli estremi indentificativi delle persone fisiche preposte, attività di verifica del Regolamento UE 679/2016 loro operato, registrazione e conservazione degli accessi. Il Fornitore dovrà assicurare (GDPRin ciò assumendo anche l’impegno per il fatto del proprio dipendente) Responsabile la segretezza e la confidenzialità dei dati, delle operazioni informazioni, del know-how, del software di cui verrà a disporre per dare esecuzione al presente Contratto, nonché la segretezza e confidenzialità della documentazione, di qualsiasi natura, del Cliente o predisposta da terzi (inclusi dipendenti e promotori) nell’interesse del Cliente. Il Fornitore e il Cliente sono tenuti ad assumere le misure di sicurezza e di protezione necessarie, sia all’interno della propria organizzazione, sia nello svolgimento di attività che comportino contatti con i terzi, a garantire la riservatezza dei dati e a garantire l’osservanza di tutte le disposizioni vigenti in materia di trattamento dei dati personali previste riservati. I dati e i programmi che il Cliente affida al Fornitore sono riservati. Resta inteso che le Informazioni possono essere comunicate: 24. alle Autorità, ivi comprese quelle di controllo e vigilanza, nei casi e nei limiti in cui la comunicazione sia richiesta da disposizioni legislative e/o regolamentari; 25. a terzi in genere, esclusivamente previo consenso scritto dell’altra Parte. Non sono considerate riservate le informazioni che sono o divengono di dominio pubblico per l’esecuzione causa diversa dalla rivelazione ad opera di una Parte o del contratto principale in essere tra le partipersonale ad essa riferibile, definendo gli obblighi delle medesime parti in materia di tutela dei dati personali. Il Responsabile tratta i dati personali nella misura strettamente necessaria all’esecuzione del contratto principale e suoi consulenti ovvero, comunque per le finalità individuate da quest’ultimo. Il Titolare fornisce, di seguito, al Responsabile le pertinenti istruzioni cui attenersi nello svolgimento dell'incarico. Esse integrano quanto eventualmente già specificato nel contratto principale. Il Responsabile – per quanto di propria competenza – è tenuto, in forza di legge e di contratto, al rispetto della riservatezza, integrità e qualità dei dati ed a utilizzarli esclusivamente per le finalità specificate e nell’ambito delle attività connesse all’esecuzione ragioni che non costituiscono inadempimento del Contratto. L’obbligo di riservatezza regolato dal presente articolo persiste anche successivamente alla cessazione del Contratto a qualsiasi titolo. Il Responsabile esterno Fornitore avrà la facoltà di indicare il Cliente quale referente commerciale e tecnico, a sostegno della propria attività di marketing e sviluppo presso clienti o potenziali clienti, sia privati che pubblici, in ogni forma di comunicazione e diffusione ai sensi del trattamento può autonomamente assumere decisioni D.L. nr. 196 del 2003. Il Fornitore, in ambito tecnico ed organizzativo con riguardo relazione al servizio che sta offrendo; in nessun caso potrà variare le finalità e modalità oggetto del trattamento definite presente Contratto verrà nominato dal Titolare, ne potrà usare i dati per propri scopi. Nel caso in cui il Responsabile esterno decida di usare i dati per scopi propri ovvero per finalità o tramite mezzi non corrispondenti a quanto definito dal Titolare, sarà considerato a sua volta un Titolare per le attività di trattamento per le quali ha definito le finalità e/o i mezzi in autonomia, fatta salva la sua responsabilità per l’utilizzo illecito dei dati. Il Responsabile esterno deve garantire che le persone da lui autorizzate al Cliente “Responsabile” del trattamento dei dati personali abbiano un adeguato obbligo legale alla riservatezza ed un’adeguata formazione in materia di protezione dei dati personaliai sensi del D.L. nr. Il Responsabile esterno 196 del trattamento ha l’obbligo di individuare ed 2003 e quindi s’impegna ad adottare adeguate misure tecniche ed organizzative idonee a garantire la sicurezza dei dati trattati per conto del Titolare. Le contro i rischi di distruzione o perdita anche accidentale degli stessi di accesso non autorizzato o di trattamento non consentito e garantisce che tali misure dovranno essere commisurate al rischio per i diritti e le libertà degli interessati, dovranno soddisfare i requisiti di cui all’articolo 32 del GDPR e potranno comprendere, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali non saranno in ogni caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento. Nel valutare l’adeguato livello di sicurezza, il Responsabile tiene conto, in particolare, dei rischi connessi al trattamento che possono derivare dalla perdita, dalla distruzione, dalla modifica, dalla diffusione non autorizzata o dall’accesso, in modo accidentale o illegale, inferiori a dati personali trasmessi, conservati o comunque trattatiquelle individuate come minime dal D.L. soprarichiamato. Il Responsabile esterno del trattamento dovrà porre in essere le seguenti attività legate al suo ruolo, salvo le ulteriori nascenti dal rispetto del GDPR o della normativa nazionale in corso di emanazione da parte del Governo, relativamente ai trattamenti che discendono dall’esecuzione del contratto principale, come da prospetto: - lo svolgimento di attività di trattamento dati per conto del Titolare nella misura strettamente necessaria all’esecuzione del contratto principale (articolo 28, paragrafo 3 lettera a, del GDPR); - la garanzia che i trattamenti eseguiti in esecuzione del contratto principale siano effettuati nel rispetto dei principi di liceità, correttezza, trasparenza e finalità, nonché nel rispetto delle garanzie previste dal Regolamento (articoli 5 – 9 del GDPR); - la possibilità di delegare - come sub Responsabili del trattamento – altri soggetti per l’esecuzione di specifiche attività che discendano direttamente dal contratto principale, previa comunicazione scritta al Titolare del trattamento e dietro sua autorizzazione specifica (articolo 28, paragrafo 2, del GDPR). Il Fornitore/Responsabile rimane responsabile nei confronti dell’AOU Sassari per l’adempimento del sub Responsabile agli obblighi discendenti dal GDPR e dal presente accordo; - la redazione e la tenuta di un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare - Registro dei trattamenti del Responsabile (articolo 30, paragrafo 2, del GDPR) contenente: a) il nome e i dati di contatto del Responsabile, del Titolare e degli eventuali sub Responsabili; b) le categorie dei trattamenti effettuati per conto del Titolare del trattamento; c) eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 del GDPR. - la periodica valutazione dell’impatto delle procedure e dell’organizzazione sulla tutela dei dati personali - DPIA (articolo 35 del GDPR); - l’individuazione delle misure ritenute necessarie per garantire adeguati livelli di protezione dei dati trattati e l’adeguamento tempestivo alle stesse (articolo 32 del GDPR); - la collaborazione con il Titolare del Trattamento e con il Responsabile della Protezione Dati nominato per l’adempimento degli obblighi derivanti dall’applicazione del GDPR e per l’attuazione delle prescrizioni impartite dal Garante; - la collaborazione nella gestione del Data Breach, con l’obbligo per il Responsabile del trattamento di informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione, al fine di permettere al Titolare di rispettare il termine di notifica al Garante previsto dall’articolo 33 del GDPR; - l’individuazione - all’interno della propria organizzazione - dei soggetti autorizzati a compiere attività di trattamento, la loro nomina formale, la comunicazione al Titolare dell’avvenuta nomina ed il compito di fornire ai soggetti autorizzati indicazioni puntuali sulla modalità di espletamento dei compiti assegnati. Nel caso in cui il Responsabile riceva istanza dagli interessati per l’esercizio dei diritti loro attribuiti dagli articoli dal 12 al 23 del GDPR, il Fornitore deve provvedere a: - darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta; - informare l’interessato dell’avvenuta trasmissione degli atti al Titolare, cui competerà rispondere direttamente; - assistere la AOU Sassari per la soddisfazione delle richieste degli interessati senza ritardo e comunque nel rispetto del termine ultimo previsto dal GDPR; - coordinarsi a tal fine con il Titolare, con il Servizio Affari Generali, Comunicazione e Rapporti con l’Università - in qualità di soggetto preposto dal Titolare alle relazioni con i soggetti interessati - e con il Responsabile della Protezione Dati. Il Responsabile si impegna altresì a mettere utilizzare e a disposizione della AOU Sassari tutte le informazioni necessarie a dimostrare il rispetto degli obblighi tipici dei Responsabili del trattamento di cui all’articolo 28 del GDPR. Il Responsabile riconosce al Titolare il diritto di effettuare o far effettuare, prima, durante o dopo le operazioni di trattamento, verifiche finalizzate ad accertare il rispetto delle istruzioni fornite e il conforme svolgimento del trattamento. L’intenzione da parte dell’AOU Sassari di svolgere o far svolgere verifiche, ispezioni o audit dovrà essere comunicata al Fornitore con congruo anticipo e comunque con almeno 10 giorni di preavviso. Il Responsabile si impegna a interrompere qualsiasi forma di trattamento dati effettuati per conto del Titolare alla scadenza del contratto o del diverso termine eventualmente dallo stesso previsto. A discrezione dell’AOU Sassari, tutti utilizzare dai propri incaricati i dati personali trattati dal Responsabile in base al presente Contratto esclusivamente con le modalità e per conto del Titolarele finalità previste nel Contratto stesso, devono essere restituiti a quest’ultimo e/o cancellatisecondo le modalità specificate nell’atto di nomina sopra richiamato, salvo che la legge applicabile imponga al mantenendo pertanto indenne il Cliente da qualsivoglia controversia dovesse insorgere in dipendenza di tali violazioni. Il Fornitore la conservazione per un periodo ulteriore non risponde della correttezza dei dati personali trattatiforniti dal Cliente che resteranno uniche responsabili di quanto comunicato. Se È responsabilità del Fornitore adottare le Operazioni di Trattamento si svolgono presso il Titolare su apparati nella disponibilità di quest'ultimo, sui quali siano state fornite al Responsabile e ai suoi incaricati le necessarie autorizzazioni e credenziali di autenticazione, all'atto della cessazione delle Operazioni di Trattamento le autorizzazioni vengono revocate misure e le credenziali disattivateattività idonee a garantire la duplicazione, la conservazione e il recupero dei dati, necessari per l’attività di ripristino a fronte di guasti o errori, le modalità di ripartenza delle elaborazioni, per il caso di loro interruzione inaspettata, e la prevenzione dell'accesso non autorizzato a eventuali dati riservati, durante lo svolgimento delle attività di manutenzione. Il Fornitore dovrà altresì assicurare che a tutte le linee di trasmissioni dati vengano applicate le misure di sicurezza atte a garantire sia la riservatezza, sia l’autenticità dei dati trasmessi. I siti Web utilizzati dovranno essere conformi a quanto stabilito dall’Autorità Garante per la protezione dei dati.

Riservatezza e trattamento dei dati personali. L’Operatore Economico aggiudicatario dell’appalto sarà nominato dal Titolare (A.O.U. 1. Con riguardo ai trattamenti di Sassari), ai sensi dell’art 28 del Regolamento UE 679/2016 (GDPR) Responsabile delle operazioni di trattamento dei dati personali previste per l’esecuzione del contratto principale effettuati in essere tra attuazione della presente Convenzione, le partiParti osservano i principi di correttezza, definendo gli obblighi delle medesime parti in materia di tutela dei dati personali. Il Responsabile tratta i dati personali nella misura strettamente necessaria all’esecuzione del contratto principale liceità, trasparenza, adeguatezza, pertinenza alla necessità della finalità della raccolta e per le finalità individuate da quest’ultimo. Il Titolare fornisce, di seguito, al Responsabile le pertinenti istruzioni cui attenersi nello svolgimento dell'incarico. Esse integrano quanto eventualmente già specificato nel contratto principale. Il Responsabile – per quanto di propria competenza – è tenuto, in forza di legge e di contratto, al rispetto della riservatezza, integrità e qualità dei dati ed a utilizzarli esclusivamente per le finalità specificate e nell’ambito delle attività connesse all’esecuzione del Contratto. Il Responsabile esterno del trattamento può autonomamente assumere decisioni in ambito tecnico ed organizzativo con riguardo al servizio che sta offrendo; in nessun caso potrà variare le nonché di ogni altro principio e prescrizione come da regolamento (UE) n. 2016/679 e da decreto legislativo n. 196 del 2003 come modificato e integrato dal decreto legislativo n. 101 del 2018. 2. Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e modalità del trattamento definite dal Titolare, ne potrà usare i dati per propri scopi. Nel caso in cui il Responsabile esterno decida di usare i dati per scopi propri ovvero per finalità o tramite mezzi non corrispondenti a quanto definito dal Titolare, sarà considerato a sua volta un Titolare per le attività di trattamento per le quali ha definito le finalità e/o i mezzi in autonomia, fatta salva la sua responsabilità per l’utilizzo illecito dei dati. Il Responsabile esterno deve garantire che le persone da lui autorizzate al trattamento dei dati personali abbiano un adeguato obbligo legale alla riservatezza ed un’adeguata formazione in materia di protezione dei dati personali. Il Responsabile esterno del trattamento ha l’obbligo di individuare ed adottare adeguate misure tecniche ed organizzative idonee a garantire la sicurezza dei dati trattati per conto del Titolare. Le misure dovranno essere commisurate al rischio gravità per i diritti e le libertà degli interessatidelle persone fisiche, dovranno soddisfare i requisiti di cui all’articolo le parti si impegnano a mettere in atto misure tecniche e organizzative adeguate. A tal fine, in attuazione dell’articolo 32 del GDPR regolamento (UE) n. 2016/679, le parti, che opereranno in qualità di titolari autonomi nell’ambito delle rispettive competenze e potranno comprenderedelle proprie finalità, tra adottano le altremisure tecniche e organizzative adeguate, se del caso: a) di rispettiva competenza in ordine ai trattamenti, volte a garantire e a dimostrare la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia conformità delle misure tecniche ed organizzative al fine adottate alle previsioni del citato articolo 32 del regolamento (UE) n. 2016/679, nonché il rispetto dei principi ivi indicati, anche con riguardo ai reciproci flussi informativi. 3. I dati oggetto di scambio tra le parti saranno adeguati, pertinenti e limitati rispetto alle finalità per le quali sono trattati. La trasmissione avviene con modalità idonee a garantire la sicurezza del trattamento. Nel valutare l’adeguato livello di sicurezzae la protezione dei dati, il Responsabile tiene conto, in particolare, osservando i criteri individuati dal Garante per la protezione dei rischi connessi al trattamento che possono derivare dalla perdita, dalla distruzione, dalla modifica, dalla diffusione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. Il Responsabile esterno del trattamento dovrà porre in essere le seguenti attività legate al suo ruolo, salvo le ulteriori nascenti dal materia di comunicazione e di scambio di informazioni tra i soggetti pubblici e nell’ambito delle previsioni e nel rispetto del GDPR 2016/679 e se tra amministrazioni con sede in uno dei paesi UE, ovvero sulla base di clausole standard se con paesi extraeuropei. 4. Le parti sono vicendevolmente obbligate al vincolo di confidenzialità, riservatezza e minimizzazione per quanto concerne le informazioni, i dati, il know-how e le notizie oggetto di scambio reciproco in attuazione del presente protocollo, a eccezione delle informazioni, dei dati, delle notizie e delle decisioni dei quali la legge o della normativa nazionale in corso di emanazione da parte del Governo, relativamente ai trattamenti che discendono dall’esecuzione del contratto principale, come da prospetto: - lo svolgimento di attività di trattamento dati per conto del Titolare nella misura strettamente necessaria all’esecuzione del contratto principale (articolo 28, paragrafo 3 lettera a, del GDPR); - un provvedimento amministrativo o giudiziario impone la garanzia che i trattamenti eseguiti in esecuzione del contratto principale siano effettuati nel rispetto comunicazione a terzi. 5. Le parti si impegnano altresì alla reciproca comunicazione degli elementi identificativi dei principi di liceità, correttezza, trasparenza e finalità, nonché nel rispetto delle garanzie previste dal Regolamento (articoli 5 – 9 del GDPR); - la possibilità di delegare - come sub Responsabili rispettivi responsabili del trattamento – altri soggetti per l’esecuzione di specifiche attività che discendano direttamente dal contratto principale, previa comunicazione scritta al Titolare del trattamento e dietro sua autorizzazione specifica (articolo 28, paragrafo 2, del GDPR). Il Fornitore/Responsabile rimane responsabile nei confronti dell’AOU Sassari per l’adempimento del sub Responsabile agli obblighi discendenti dal GDPR e dal presente accordo; - la redazione e la tenuta di un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare - Registro dei trattamenti del Responsabile (articolo 30, paragrafo 2, del GDPR) contenente: a) il nome e i dati di contatto del Responsabile, del Titolare e degli eventuali sub Responsabili; b) le categorie dei trattamenti effettuati per conto del Titolare del trattamento; c) eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 del GDPR. - la periodica valutazione dell’impatto delle procedure e dell’organizzazione sulla tutela dei dati personali - DPIA (articolo 35 del GDPR); - l’individuazione delle misure ritenute necessarie per garantire adeguati livelli di protezione dei dati trattati e l’adeguamento tempestivo alle stesse (articolo 32 del GDPR); - la collaborazione con il Titolare del Trattamento e con il Responsabile della Protezione Dati nominato per l’adempimento degli obblighi derivanti dall’applicazione del GDPR e per l’attuazione delle prescrizioni impartite dal Garante; - la collaborazione nella gestione del Data Breach, con l’obbligo per il Responsabile del trattamento di informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione, al fine di permettere al Titolare di rispettare il termine di notifica al Garante previsto dall’articolo 33 del GDPR; - l’individuazione - all’interno della propria organizzazione - dei soggetti autorizzati a compiere attività di trattamento, la loro nomina formale, la comunicazione al Titolare dell’avvenuta nomina ed il compito di fornire ai soggetti autorizzati indicazioni puntuali sulla modalità di espletamento dei compiti assegnati. Nel caso in cui il Responsabile riceva istanza dagli interessati per l’esercizio dei diritti loro attribuiti dagli articoli dal 12 al 23 del GDPR, il Fornitore deve provvedere a: - darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta; - informare l’interessato dell’avvenuta trasmissione degli atti al Titolare, cui competerà rispondere direttamente; - assistere la AOU Sassari per la soddisfazione delle richieste degli interessati senza ritardo e comunque nel rispetto del termine ultimo previsto dal GDPR; - coordinarsi a tal fine con il Titolare, con il Servizio Affari Generali, Comunicazione e Rapporti con l’Università - in qualità di soggetto preposto dal Titolare alle relazioni con i soggetti interessati - e con il Responsabile della Protezione Dati. Il Responsabile si impegna a mettere a disposizione della AOU Sassari tutte le informazioni necessarie a dimostrare il rispetto degli obblighi tipici dei Responsabili del trattamento di cui all’articolo 28 del GDPR. Il Responsabile riconosce al Titolare il diritto di effettuare o far effettuare, prima, durante o dopo le operazioni di trattamento, verifiche finalizzate ad accertare il rispetto delle istruzioni fornite e il conforme svolgimento del trattamento. L’intenzione da parte dell’AOU Sassari di svolgere o far svolgere verifiche, ispezioni o audit dovrà essere comunicata al Fornitore con congruo anticipo e comunque con almeno 10 giorni di preavviso. Il Responsabile si impegna a interrompere qualsiasi forma di trattamento dati effettuati per conto del Titolare alla scadenza del contratto o del diverso termine eventualmente dallo stesso previsto. A discrezione dell’AOU Sassari, tutti i dati personali trattati dal Responsabile per conto del Titolare, devono essere restituiti a quest’ultimo e/o cancellati, salvo che la legge applicabile imponga al Fornitore la conservazione per un periodo ulteriore dei dati personali trattati. Se le Operazioni di Trattamento si svolgono presso il Titolare su apparati nella disponibilità di quest'ultimo, sui quali siano state fornite al Responsabile e ai suoi incaricati le necessarie autorizzazioni e credenziali di autenticazione, all'atto della cessazione delle Operazioni di Trattamento le autorizzazioni vengono revocate e le credenziali disattivatedati.