Common use of Riservatezza e trattamento dei dati personali Clause in Contracts

Riservatezza e trattamento dei dati personali. 1. Il Contraente dell’appalto sarà nominato dal Titolare (A.O.U. di Sassari), ai sensi dell’art 28 del Regolamento UE 679/2016 (GDPR) Responsabile delle operazioni di trattamento dei dati personali 22 previste per l’esecuzione del contratto principale in essere tra le parti, definendo gli obblighi delle medesime parti in materia di tutela dei dati personali. • Natura e finalità del trattamento 2. Il Responsabile tratta i dati personali nella misura strettamente necessaria all’esecuzione del contratto principale e per le finalità individuate da quest’ultimo. 3. Il Titolare fornisce, di seguito, al Responsabile le pertinenti istruzioni cui attenersi nello svolgimento dell'incarico. Esse integrano quanto eventualmente già specificato nel contratto principale. • Obblighi del Responsabile del trattamento 4. Il Responsabile – per quanto di propria competenza – è tenuto, in forza di legge e di contratto, al rispetto della riservatezza, integrità e qualità dei dati ed a utilizzarli esclusivamente per le finalità specificate e nell’ambito delle attività connesse all’esecuzione del Contratto. 5. Il Responsabile esterno del trattamento può autonomamente assumere decisioni in ambito tecnico ed organizzativo con riguardo al servizio che sta offrendo; in nessun caso potrà variare le finalità e modalità del trattamento definite dal Titolare, ne potrà usare i dati per propri scopi. 6. Nel caso in cui il Responsabile esterno decida di usare i dati per scopi propri ovvero per finalità o tramite mezzi non corrispondenti a quanto definito dal Titolare, sarà considerato a sua volta un Titolare per le attività di trattamento per le quali ha definito le finalità e/o i mezzi in autonomia, fatta salva la sua responsabilità per l’utilizzo illecito dei dati. 7. Il Responsabile esterno deve garantire che le persone da lui autorizzate al trattamento dei dati personali abbiano un adeguato obbligo legale alla riservatezza ed un’adeguata formazione in materia di protezione dei dati personali. • Misure di sicurezza 8. Il Responsabile esterno del trattamento ha l’obbligo di individuare ed adottare adeguate misure tecniche ed organizzative idonee a garantire la sicurezza dei dati trattati per conto del Titolare. Le misure dovranno essere commisurate al rischio per i diritti e le libertà degli interessati, dovranno soddisfare i requisiti di cui all’articolo 32 del GDPR e potranno comprendere, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento. 9. Nel valutare l’adeguato livello di sicurezza, il Responsabile tiene conto, in particolare, dei rischi 23 connessi al trattamento che possono derivare dalla perdita, dalla distruzione, dalla modifica, dalla diffusione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. • Compiti del Responsabile del Trattamento 10. Il Responsabile esterno del trattamento dovrà porre in essere le seguenti attività legate al suo ruolo, salvo le ulteriori nascenti dal rispetto del GDPR o della normativa nazionale in corso di emanazione da parte del Governo, relativamente ai trattamenti che discendono dall’esecuzione del contratto principale, come da prospetto: - lo svolgimento di attività di trattamento dati per conto del Titolare nella misura strettamente necessaria all’esecuzione del contratto principale (articolo 28, paragrafo 3 lettera a, del GDPR); - la garanzia che i trattamenti eseguiti in esecuzione del contratto principale siano effettuati nel rispetto dei principi di liceità, correttezza, trasparenza e finalità, nonché nel rispetto delle garanzie previste dal Regolamento (articoli 5 – 9 del GDPR); - la possibilità di delegare - come sub Responsabili del trattamento – altri soggetti per l’esecuzione di specifiche attività che discendano direttamente dal contratto principale, previa comunicazione scritta al Titolare del trattamento e dietro sua autorizzazione specifica (articolo 28, paragrafo 2, del GDPR). Il Fornitore/Responsabile rimane responsabile nei confronti dell’AOU Sassari per l’adempimento del sub Responsabile agli obblighi discendenti dal GDPR e dal presente accordo; - la redazione e la tenuta di un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare - Registro dei trattamenti del Responsabile (articolo 30, paragrafo 2, del GDPR) contenente: a) il nome e i dati di contatto del Responsabile, del Titolare e degli eventuali sub Responsabili; b) le categorie dei trattamenti effettuati per conto del Titolare del trattamento; c) eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 del GDPR. - la periodica valutazione dell’impatto delle procedure e dell’organizzazione sulla tutela dei dati personali - DPIA (articolo 35 del GDPR); - l’individuazione delle misure ritenute necessarie per garantire adeguati livelli di protezione dei dati trattati e l’adeguamento tempestivo alle stesse (articolo 32 del GDPR); - la collaborazione con il Titolare del Trattamento e con il Responsabile della Protezione Dati 24 nominato per l’adempimento degli obblighi derivanti dall’applicazione del GDPR e per l’attuazione delle prescrizioni impartite dal Garante; - la collaborazione nella gestione del Data Breach, con l’obbligo per il Responsabile del trattamento di informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione, al fine di permettere al Titolare di rispettare il termine di notifica al Garante previsto dall’articolo 33 del GDPR; - l’individuazione - all’interno della propria organizzazione - dei soggetti autorizzati a compiere attività di trattamento, la loro nomina formale, la comunicazione al Titolare dell’avvenuta nomina ed il compito di fornire ai soggetti autorizzati indicazioni puntuali sulla modalità di espletamento dei compiti assegnati. • Istanze degli interessati 11. Nel caso in cui il Responsabile riceva istanza dagli interessati per l’esercizio dei diritti loro attribuiti dagli articoli dal 12 al 23 del GDPR, il Fornitore deve provvedere a: - darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta; - informare l’interessato dell’avvenuta trasmissione degli atti al Titolare, cui competerà rispondere direttamente; - assistere la AOU Sassari per la soddisfazione delle richieste degli interessati senza ritardo e comunque nel rispetto del termine ultimo previsto dal GDPR; - coordinarsi a tal fine con il Titolare, con il Servizio Affari Generali, Comunicazione e Rapporti con l’Università - in qualità di soggetto preposto dal Titolare alle relazioni con i soggetti interessati - e con il Responsabile della Protezione Dati. • Verifiche del Titolare 12. Il Responsabile si impegna a mettere a disposizione della AOU Sassari tutte le informazioni necessarie a dimostrare il rispetto degli obblighi tipici dei Responsabili del trattamento di cui all’articolo 28 del GDPR. 13. Il Responsabile riconosce al Titolare il diritto di effettuare o far effettuare, prima, durante o dopo le operazioni di trattamento, verifiche finalizzate ad accertare il rispetto delle istruzioni fornite e il conforme svolgimento del trattamento. L’intenzione da parte dell’AOU Sassari di svolgere o far svolgere verifiche, ispezioni o audit dovrà essere comunicata al Fornitore con congruo anticipo e comunque con almeno 10 giorni di preavviso. • Scadenza del contratto 14. Il Responsabile si impegna a interrompere qualsiasi forma di trattamento dati effettuati per conto del Titolare alla scadenza del contratto o del diverso termine eventualmente dallo stesso previsto. 15. A discrezione dell’AOU Sassari, tutti i dati personali trattati dal Responsabile per conto del Titolare, devono essere restituiti a quest’ultimo e/o cancellati, salvo che la legge applicabile imponga al Fornitore la conservazione per un periodo ulteriore dei dati personali trattati. 16. Se le Operazioni di Trattamento si svolgono presso il Titolare su apparati nella disponibilità di quest'ultimo, sui quali siano state fornite al Responsabile e ai suoi incaricati le necessarie autorizzazioni e credenziali di autenticazione, all'atto della cessazione delle Operazioni di Trattamento le autorizzazioni vengono revocate e le credenziali disattivate.

Riservatezza e trattamento dei dati personali. 117.1 Per tutta la durata del presente accordo e sino alla sua risoluzione le parti si impegnano a mantenere la massima riservatezza sui dati di cui verranno a conoscenza nell’espletamento del servizio, in accordo alla normativa vigente. Il Contraente dell’appalto sarà nominato dal In qualità di Titolare (A.O.U. di Sassari)del Trattamento, ai sensi dell’art 28 del Regolamento UE 679/2016 (GDPR) CNAO affida al Responsabile delle tutte – ed esclusivamente – le operazioni di trattamento dei dati personali 22 previste necessarie per l’esecuzione del contratto principale in essere tra le parti, definendo gli obblighi delle medesime parti in materia di tutela dei dati personali. • Natura e finalità del trattamento 2dare piena esecuzione al presente contratto. Il Responsabile tratta i e le persone da esso autorizzate non potranno effettuare nessuna operazione di trattamento dei dati personali nella misura strettamente necessaria all’esecuzione del contratto principale al di fuori di quelle necessarie e per le finalità individuate da quest’ultimo. 3dovranno essere vincolate alla riservatezza. Il Titolare fornisceResponsabile, di seguito, al Responsabile le pertinenti istruzioni cui attenersi nello svolgimento dell'incarico. Esse integrano quanto eventualmente già specificato nel contratto principale. • Obblighi del Responsabile del trattamento 4. Il Responsabile – per quanto di propria competenza – competenza, è tenuto, tenuto in forza di legge e di del presente contratto, per sé e per i propri dipendenti e per chiunque collabori con la sua attività, al rispetto delle disposizioni del Regolamento, della riservatezzanormativa nazionale di settore applicabile, integrità dei provvedimenti e/o linee guida del Garante per la Protezione dei Dati Personali se e qualità dei dati in quanto applicabili, ed in particolare a utilizzarli esclusivamente per rispettare le finalità specificate e nell’ambito delle attività connesse all’esecuzione del Contratto.seguenti istruzioni: 5. Il Responsabile esterno del trattamento può autonomamente assumere decisioni in ambito tecnico ed organizzativo con riguardo al servizio che sta offrendo; in nessun caso potrà variare le finalità e modalità del trattamento definite dal Titolare, ne potrà usare (a) trattare i dati solo per propri scopi.gli scopi sopra specificati e per l’esecuzione delle prestazioni contrattuali; 6. Nel caso in cui il Responsabile esterno decida di usare (b) trattare i dati per scopi propri ovvero per finalità o tramite mezzi non corrispondenti a quanto definito dal Titolare, sarà considerato a sua volta un Titolare per le nel territorio della Unione Europeai; (c) garantire la regolare tenuta del Registro delle attività di trattamento espletate per conto del CNAO; (d) adottare adeguate misure di protezione delle informazioni, come richieste dall'articolo 32 del GDPR, con pertinente dimostrazione della valutazione di adeguatezza mantenuta a disposizione del CNAO; (e) adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osservare scrupolosamente quanto in esse previsto, nonché le quali ha definito le finalità e/o i mezzi in autonomia, fatta salva la sua responsabilità per l’utilizzo illecito dei dati.istruzioni impartite da CNAO; 7. Il Responsabile esterno deve garantire che le persone da lui autorizzate (f) autorizzare il personale dedicato al trattamento dei dati personali abbiano un adeguato obbligo legale alla riservatezza ed un’adeguata formazione in materia di protezione dei dati personali. • Misure di sicurezza 8. Il Responsabile esterno del trattamento ha l’obbligo di individuare ed adottare adeguate misure tecniche ed organizzative idonee a garantire la sicurezza dei dati trattati per conto del Titolare. Le misure dovranno essere commisurate al rischio per i diritti di CNAO, istruendolo adeguatamente e le libertà degli interessati, dovranno soddisfare i requisiti di cui all’articolo 32 del GDPR e potranno comprendere, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personalivigilando costantemente sul loro operato; b(g) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura assistere CNAO per testare, verificare e valutare regolarmente l’efficacia l’adempimento delle misure tecniche ed organizzative al fine di atte a garantire la sicurezza del trattamento. 9. Nel valutare l’adeguato livello di sicurezza, il Responsabile tiene conto, in particolare, dei rischi 23 connessi al trattamento che possono derivare dalla perdita, dalla distruzione, dalla modifica, dalla diffusione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. • Compiti del Responsabile del Trattamento 10. Il Responsabile esterno del trattamento dovrà porre in essere le seguenti attività legate al suo ruolo, salvo le ulteriori nascenti dal rispetto del GDPR o della normativa nazionale in corso di emanazione da parte del Governo, relativamente ai trattamenti che discendono dall’esecuzione del contratto principale, come da prospetto: - lo svolgimento di attività di trattamento dati per conto del Titolare nella misura strettamente necessaria all’esecuzione del contratto principale (articolo 28, paragrafo 3 lettera a, del GDPR); - la garanzia che i trattamenti eseguiti in esecuzione del contratto principale siano effettuati nel rispetto dei principi di liceità, correttezza, trasparenza e finalità, nonché nel rispetto delle garanzie previste dal Regolamento (articoli 5 – 9 del GDPR); - la possibilità di delegare - come sub Responsabili del trattamento – altri soggetti per l’esecuzione di specifiche attività che discendano direttamente dal contratto principale, previa comunicazione scritta al Titolare del trattamento e dietro sua autorizzazione specifica (articolo 28, paragrafo 2, del GDPR). Il Fornitore/Responsabile rimane responsabile nei confronti dell’AOU Sassari per l’adempimento del sub Responsabile agli obblighi discendenti dal GDPR e dal presente accordo; - la redazione e la tenuta di un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare - Registro dei trattamenti del Responsabile (articolo 30, paragrafo 2, del GDPR) contenente: a) il nome e i dati di contatto del Responsabile, del Titolare e degli eventuali sub Responsabili; b) le categorie dei trattamenti effettuati per conto del Titolare del trattamento; c) eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 del GDPR. - la periodica valutazione dell’impatto delle procedure e dell’organizzazione sulla tutela dei dati personali - DPIA (articolo 35 del GDPR); - l’individuazione delle misure ritenute necessarie per garantire adeguati livelli di protezione dei dati trattati e l’adeguamento tempestivo alle stesse (articolo 32 del GDPR); - la collaborazione con il Titolare del Trattamento e con il Responsabile della Protezione Dati 24 nominato per l’adempimento degli obblighi derivanti dall’applicazione del GDPR e per l’attuazione delle prescrizioni impartite dal Garante; - la collaborazione nella gestione del Data Breach, con l’obbligo per il Responsabile del trattamento di informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione, al fine di permettere al Titolare di rispettare il termine di notifica al Garante previsto dall’articolo 33 del GDPR; - l’individuazione - all’interno della propria organizzazione - dei soggetti autorizzati a compiere attività di trattamento, la loro nomina formale, la comunicazione al Titolare dell’avvenuta nomina ed il compito di fornire ai soggetti autorizzati indicazioni puntuali sulla modalità di espletamento dei compiti assegnati. • Istanze degli interessati 11. Nel caso in cui il Responsabile riceva istanza dagli interessati per l’esercizio dei diritti loro attribuiti dagli articoli dal 12 al 23 degli interessati; (h) restituire i dati personali trattati per conto di CNAO sia all’esaurimento della finalità per cui sono stati conferiti, sia alla scadenza del GDPR, il Fornitore deve provvedere a: - darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta; - informare l’interessato dell’avvenuta trasmissione degli atti al Titolare, cui competerà rispondere direttamente; - assistere la AOU Sassari per la soddisfazione delle richieste degli interessati senza ritardo e comunque nel rispetto del termine ultimo previsto dal GDPR; - coordinarsi a tal fine con il Titolare, con il Servizio Affari Generali, Comunicazione e Rapporti con l’Università - in qualità di soggetto preposto dal Titolare alle relazioni con i soggetti interessati - e con il Responsabile della Protezione Dati. • Verifiche del Titolarecontratto; 12. Il Responsabile si impegna a (i) mettere a disposizione della AOU Sassari del CNAO tutte le informazioni necessarie a per dimostrare il rispetto degli obblighi tipici dei Responsabili di cui all’art. 28 del citato Regolamento e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal CNAO o da un altro soggetto da questi incaricato o dalle autorità; (j) provvedere immediatamente, nel caso in cui un interessato di CNAO si rivolgesse a voi per l’esercizio di un diritto o reclamando una violazione, a comunicarlo ad xxxxxxx@xxxx.xx e non rispondendo all’interessato, salvo nostra diversa istruzione (k) notificare tramite PEC al CNAO ogni violazione (avvenuta o presunta) di dati a carattere personale nel tempo massimo di 24 ore dopo esserne venuto a conoscenza accludendo nella comunicazione ogni notizia utile per permettere al CNAO, se necessario, di notificare questa violazione all’Autorità di Controllo competente ed eventualmente comunicarla agli interessati; (l) Non ricorrere ad altro responsabile senza previa autorizzazione scritta, specifica o generale, di CNAO. (m)operare, per i casi contemplati all’articolo 37 del GDPR, avvalendosi del proprio DPO (Data Protection Officer) e comunicarne i riferimenti al DPO del CNAO: xxx@xxxx.xx. In caso di danni derivanti dal trattamento, il Responsabile manterrà manlevato e indenne il Titolare da qualsiasi danno diretto e indiretto (incluse eventuali sanzioni amministrative comminate da legittime autorità nei confronti del Titolare) qualora questi non abbia adempiuto agli obblighi del Regolamento specificatamente diretti ai responsabili del trattamento di cui all’articolo 28 o abbia agito in modo difforme o contrario rispetto alle legittime istruzioni del GDPR. 13. Il Responsabile riconosce al Titolare il diritto di effettuare o far effettuare, prima, durante o dopo le operazioni di trattamento, verifiche finalizzate ad accertare il rispetto delle istruzioni fornite e il conforme svolgimento del trattamento. L’intenzione da parte dell’AOU Sassari di svolgere o far svolgere verificheA questo fine, ispezioni o audit dovrà essere comunicata al Fornitore con congruo anticipo e comunque con almeno 10 giorni di preavviso. • Scadenza del contratto 14. Il Responsabile CNAO si impegna a interrompere comunicare ufficialmente al Responsabile qualsiasi forma variazione si dovesse rendere necessaria nelle operazioni di trattamento dati effettuati per conto del Titolare alla scadenza del contratto o del diverso termine eventualmente dallo stesso previstodei dati. 15. A discrezione dell’AOU Sassari, tutti i dati personali trattati dal Responsabile per conto del Titolare, devono essere restituiti a quest’ultimo e/o cancellati, salvo che la legge applicabile imponga al Fornitore la conservazione per un periodo ulteriore dei dati personali trattati. 16. Se le Operazioni di Trattamento si svolgono presso il Titolare su apparati nella disponibilità di quest'ultimo, sui quali siano state fornite al Responsabile e ai suoi incaricati le necessarie autorizzazioni e credenziali di autenticazione, all'atto della cessazione delle Operazioni di Trattamento le autorizzazioni vengono revocate e le credenziali disattivate.

Riservatezza e trattamento dei dati personali. 1L'Unione Terra di Mezzo è titolare del trattamento dei dati personali. Il Contraente dell’appalto sarà nominato dal Titolare (A.O.U. di Sassari)concessionario è tenuto al rispetto delle norme che regolano la riservatezza dei dati personali, ai sensi dell’art 28 del in osservanza al Regolamento UE 679/2016 (GDPR679/16. Ogni trattamento di dati personali e dati sensibili deve avvenire, nel rispetto di quanto previsto dal Regolamento UE 679/16 e nel primario rispetto dei principi di ordine generale. In particolare, per ciascun trattamento di propria competenza, il Responsabile esterno del trattamento deve fare in modo che siano sempre rispettati i seguenti presupposti: a) Responsabile delle operazioni i dati devono essere trattati: •secondo il principio di liceità; •secondo il principio fondamentale di correttezza, il quale deve ispirare chiunque tratti qualcosa che appartiene alla sfera altrui; b) i dati devono, inoltre, essere: •trattati soltanto in relazione all’attività che viene svolta con divieto di qualsiasi altra diversa utilizzazione; •conservati per un periodo non superiore a quello necessario per gli scopi del trattamento. Il Concessionario deve sottoporre il personale impiegato ai corsi previsti dalla sopracitata normativa e deve formalmente incaricare lo stesso, del trattamento dei dati personali 22 previste per l’esecuzione relativi agli utenti con cui vengono a contatto; non potrà comunicare a terzi i dati in suo possesso; dovrà adottare misure adeguate e idonee atte a garantire la sicurezza dei dati in suo possesso secondo quanto previsto dalla normativa ed, in particolare: 1. deve gestire il sistema informatico, nel quale risiedono i dati forniti dal Titolare attenendosi anche alle disposizioni del contratto principale Titolare del trattamento in essere tra tema di sicurezza; 2. deve predisporre ed aggiornare un sistema di sicurezza informatico idoneo a rispettare le partiprescrizioni del Regolamento UE 679/16, definendo gli obblighi delle medesime parti adeguandolo anche alle eventuali future norme in materia di tutela dei dati personali. • Natura e finalità del trattamento 2sicurezza. Il Responsabile tratta concessionario si impegna a non utilizzare in alcun caso le notizie e le informazioni di cui i dati personali nella misura strettamente necessaria all’esecuzione del contratto principale e per le finalità individuate da quest’ultimo. 3suoi operatori siano venuti in possesso nell’ambito dell’attività prestata. Il Titolare fornisce, di seguitoconcessionario dovrà comunicare, al Responsabile le pertinenti istruzioni cui attenersi nello svolgimento dell'incarico. Esse integrano quanto eventualmente già specificato nel contratto principale. • Obblighi momento della stipula del Responsabile del trattamento 4. Il Responsabile – per quanto di propria competenza – è tenuto, in forza di legge e di contratto, al rispetto della riservatezza, integrità e qualità dei dati ed a utilizzarli esclusivamente per le finalità specificate e nell’ambito delle attività connesse all’esecuzione il nominativo del Contratto. 5responsabile esterno del trattamento dati. Il Responsabile esterno del trattamento può autonomamente assumere decisioni è a conoscenza del fatto che per la violazione delle disposizioni in ambito tecnico ed organizzativo con riguardo al servizio che sta offrendo; in nessun caso potrà variare le finalità e modalità del trattamento definite dal Titolare, ne potrà usare i dati per propri scopi. 6. Nel caso in cui il Responsabile esterno decida materia di usare i dati per scopi propri ovvero per finalità o tramite mezzi non corrispondenti a quanto definito dal Titolare, sarà considerato a sua volta un Titolare per le attività di trattamento per le quali ha definito le finalità e/o i mezzi in autonomia, fatta salva la sua responsabilità per l’utilizzo illecito dei dati. 7. Il Responsabile esterno deve garantire che le persone da lui autorizzate al trattamento dei dati personali abbiano un adeguato obbligo legale alla riservatezza ed un’adeguata formazione in materia di protezione dei dati personalisono previste sanzioni amministrative e penali (artt. • Misure di sicurezza 883 e 84 del Regolamento UE 679/16). Il Responsabile esterno del trattamento ha l’obbligo Trattamento dati per l'Unione Terra di individuare ed adottare adeguate misure tecniche ed organizzative idonee a garantire la sicurezza dei dati trattati per conto del Titolare. Le misure dovranno essere commisurate al rischio per i diritti e le libertà degli interessati, dovranno soddisfare i requisiti di cui all’articolo 32 del GDPR e potranno comprendere, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento. 9. Nel valutare l’adeguato livello di sicurezza, Mezzo è il Responsabile tiene conto, in particolare, dei rischi 23 connessi al trattamento che possono derivare dalla perdita, dalla distruzione, dalla modifica, dalla diffusione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattatiIl DPO (Responsabile Protezione Dati) ai sensi art. • Compiti 37 del Responsabile del Trattamento 10. Il Responsabile esterno del trattamento dovrà porre in essere le seguenti attività legate al suo ruolo, salvo le ulteriori nascenti dal rispetto del GDPR o della normativa nazionale in corso di emanazione da parte del Governo, relativamente ai trattamenti che discendono dall’esecuzione del contratto principale, come da prospetto: - lo svolgimento di attività di trattamento dati per conto del Titolare nella misura strettamente necessaria all’esecuzione del contratto principale Regolamento UE 679/16 è la società Lepida SpA (articolo 28, paragrafo 3 lettera a, del GDPR); - la garanzia che i trattamenti eseguiti in esecuzione del contratto principale siano effettuati nel rispetto dei principi di liceità, correttezza, trasparenza e finalità, nonché nel rispetto delle garanzie previste dal Regolamento (articoli 5 – 9 del GDPR); - la possibilità di delegare - come sub Responsabili del trattamento – altri soggetti per l’esecuzione di specifiche attività che discendano direttamente dal contratto principale, previa comunicazione scritta al Titolare del trattamento e dietro sua autorizzazione specifica (articolo 28, paragrafo 2, del GDPRxxx-xxxx@xxxxxx.xx). Il Fornitore/Responsabile rimane responsabile nei confronti dell’AOU Sassari per l’adempimento del sub Responsabile agli obblighi discendenti dal GDPR presente contratto è sottoscritto dalle parti, che lo approvano e dal presente accordo; - la redazione lo confermano a norma di legge. Questo atto, nel suo formato di visualizzazione, consta di fogli completi. Fatto in un unico originale, letto, confermato e la tenuta di un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare - Registro dei trattamenti del Responsabile (articolo 30, paragrafo 2, del GDPR) contenente: a) il nome e i dati di contatto del Responsabile, del Titolare e degli eventuali sub Responsabili; b) le categorie dei trattamenti effettuati per conto del Titolare del trattamento; c) eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 del GDPR. - la periodica valutazione dell’impatto delle procedure e dell’organizzazione sulla tutela dei dati personali - DPIA (articolo 35 del GDPR); - l’individuazione delle misure ritenute necessarie per garantire adeguati livelli di protezione dei dati trattati e l’adeguamento tempestivo alle stesse (articolo 32 del GDPR); - la collaborazione con il Titolare del Trattamento e con il Responsabile della Protezione Dati 24 nominato per l’adempimento degli obblighi derivanti dall’applicazione del GDPR e per l’attuazione delle prescrizioni impartite dal Garante; - la collaborazione nella gestione del Data Breach, con l’obbligo per il Responsabile del trattamento di informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione, al fine di permettere al Titolare di rispettare il termine di notifica al Garante previsto dall’articolo 33 del GDPR; - l’individuazione - all’interno della propria organizzazione - dei soggetti autorizzati a compiere attività di trattamento, la loro nomina formale, la comunicazione al Titolare dell’avvenuta nomina ed il compito di fornire ai soggetti autorizzati indicazioni puntuali sulla modalità di espletamento dei compiti assegnati. • Istanze degli interessati 11. Nel caso in cui il Responsabile riceva istanza dagli interessati per l’esercizio dei diritti loro attribuiti dagli articoli dal 12 al 23 del GDPR, il Fornitore deve provvedere a: - darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta; - informare l’interessato dell’avvenuta trasmissione degli atti al Titolare, cui competerà rispondere direttamente; - assistere la AOU Sassari per la soddisfazione delle richieste degli interessati senza ritardo e comunque nel rispetto del termine ultimo previsto dal GDPR; - coordinarsi a tal fine con il Titolare, con il Servizio Affari Generali, Comunicazione e Rapporti con l’Università - in qualità di soggetto preposto dal Titolare alle relazioni con i soggetti interessati - e con il Responsabile della Protezione Dati. • Verifiche del Titolare 12. Il Responsabile si impegna a mettere a disposizione della AOU Sassari tutte le informazioni necessarie a dimostrare il rispetto degli obblighi tipici dei Responsabili del trattamento di cui all’articolo 28 del GDPR. 13. Il Responsabile riconosce al Titolare il diritto di effettuare o far effettuare, prima, durante o dopo le operazioni di trattamento, verifiche finalizzate ad accertare il rispetto delle istruzioni fornite e il conforme svolgimento del trattamento. L’intenzione da parte dell’AOU Sassari di svolgere o far svolgere verifiche, ispezioni o audit dovrà essere comunicata al Fornitore con congruo anticipo e comunque con almeno 10 giorni di preavviso. • Scadenza del contratto 14. Il Responsabile si impegna a interrompere qualsiasi forma di trattamento dati effettuati per conto del Titolare alla scadenza del contratto o del diverso termine eventualmente dallo stesso previsto. 15. A discrezione dell’AOU Sassari, tutti i dati personali trattati dal Responsabile per conto del Titolare, devono essere restituiti a quest’ultimo e/o cancellati, salvo che la legge applicabile imponga al Fornitore la conservazione per un periodo ulteriore dei dati personali trattati. 16. Se le Operazioni di Trattamento si svolgono presso il Titolare su apparati nella disponibilità di quest'ultimo, sui quali siano state fornite al Responsabile e ai suoi incaricati le necessarie autorizzazioni e credenziali di autenticazione, all'atto della cessazione delle Operazioni di Trattamento le autorizzazioni vengono revocate e le credenziali disattivate.sottoscritto

Riservatezza e trattamento dei dati personali. 1. Il Contraente dell’appalto sarà nominato Considerato che nell’ambito delle attività previste dal Titolare (A.O.U. presente CONTRATTO potrebbe rendersi necessario il trattamento di Sassari)dati personali, AGESP e l’Appaltatore, in qualità di Titolari Autonomi del Trattamento, stabiliscono che, ai sensi dell’art 28 del Regolamento UE 679/2016 2016/679, utilizzeranno i dati forniti o altrimenti acquisiti nell’ambito delle attività previste dal presente contratto: · ai fini istituzionali, e nel rispetto delle disposizioni vigenti per gestire gli adempimenti di carattere amministrativo, fiscale (GDPRcontabilità, fatturazione, pagamenti) Responsabile delle operazioni e soddisfare gli obblighi connessi al presente contratto; · per dare esecuzione, in generale, agli obblighi di legge connessi al presente contratto e in particolar modo alla normativa sugli appalti D.Lgs 50/16; · per le finalità e secondo i termini espressi nell’informativa per il trattamento dei dati personali 22 personali, sottoscritta dall’Impresa aggiudicataria per la partecipazione alla gara d’appalto. Le PARTI pattuiscono che esse manterranno il massimo riserbo sul contratto, sul materiale utilizzato e su tutte le informazioni di cui, in virtù del rapporto instaurato, esse siano venute a conoscenza. Le parti si impegnano ad estendere tali obblighi agli eventuali terzi coinvolti a qualsiasi titolo nell’attività oggetto del contratto (collaboratori, fornitori, partner, ecc.). In particolar modo le PARTI si adopereranno affinché, senza alcun limite di tempo, vengano adottate tutte le misure di sicurezza necessarie a prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati, nonché la riservatezza e la tutela dei diritti di tutti i soggetti interessati. Per questo, il trattamento dei dati dovrà avvenire mediante strumenti idonei a garantirne la sicurezza e la riservatezza e sarà effettuato anche mediante strumenti elettronici atti a memorizzare, gestire e trasmettere i dati stessi. A tal fine, le PARTI si impegnano a: • Impartire, ciascuno al proprio personale autorizzato al trattamento, adeguate misure di sicurezza; • vigilare sul rispetto di dette misure di sicurezza da parte dei soggetti incaricati; • garantire che le persone autorizzate si siano impegnate alla riservatezza; • assicurare l’evasione tempestiva delle richieste di informazione da parte dell’Autorità Garante e dare immediata esecuzione alle indicazioni che perverranno dalla medesima Autorità; • collaborare con i soggetti incaricati di eventuali verifiche, controlli o ispezioni; • identificare e segnalare eventuali nuovi trattamenti da intraprendere in azienda, provvedendo alle necessarie formalità previste per l’esecuzione legge; • segnalare qualsiasi elemento oggettivo o soggettivo che possa compromettere il corretto trattamento dei dati personali; • segnalare se un’istruzione viola le disposizioni del contratto principale in essere tra le parti, definendo gli obblighi delle medesime parti Regolamento o altre disposizioni previste dalla normativa cogente in materia di sicurezza e tutela dei dati personali. ; • Natura e finalità del trattamento 2. Il Responsabile tratta i dati personali nella misura strettamente necessaria all’esecuzione del contratto principale e per le finalità individuate da quest’ultimo. 3. Il Titolare forniscesegnalare, senza ritardo, eventuali violazioni; • procedere in accordo con gli organi direzionali alla notifica di seguito, al Responsabile le pertinenti istruzioni cui attenersi nello svolgimento dell'incarico. Esse integrano quanto eventualmente già specificato nel contratto principale. • Obblighi del Responsabile del trattamento 4. Il Responsabile – per quanto di propria competenza – è tenuto, in forza di legge e di contratto, al rispetto della riservatezza, integrità e qualità dei dati ed a utilizzarli esclusivamente per le finalità specificate e nell’ambito delle attività connesse all’esecuzione del Contratto. 5. Il Responsabile esterno violazioni del trattamento può autonomamente assumere decisioni in ambito tecnico ed organizzativo con riguardo al servizio che sta offrendoGarante e interessati; in nessun caso potrà variare le finalità e modalità del trattamento definite dal Titolare, ne potrà usare • distruggere i dati per propri scopi. 6. Nel caso in cui il Responsabile esterno decida di usare i dati per scopi propri ovvero per finalità o tramite mezzi non corrispondenti a quanto definito dal Titolare, sarà considerato a sua volta un Titolare per le attività di trattamento per le quali ha definito le finalità e/o i mezzi in autonomia, fatta salva la sua responsabilità per l’utilizzo illecito dei dati. 7. Il Responsabile esterno deve garantire che le persone da lui autorizzate al trattamento dei dati personali abbiano un adeguato obbligo legale alla riservatezza ed un’adeguata formazione in materia di protezione dei dati personali. • Misure di sicurezza 8. Il Responsabile esterno del trattamento ha l’obbligo di individuare ed adottare adeguate misure tecniche ed organizzative idonee a garantire la sicurezza dei dati trattati per conto del Titolare. Le misure dovranno essere commisurate al rischio per i diritti e le libertà degli interessati, dovranno soddisfare i requisiti di cui all’articolo 32 del GDPR e potranno comprendere, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento. 9. Nel valutare l’adeguato livello di sicurezza, il Responsabile tiene conto, in particolare, dei rischi 23 connessi al trattamento che possono derivare dalla perdita, dalla distruzione, dalla modifica, dalla diffusione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati. • Compiti del Responsabile del Trattamento 10. Il Responsabile esterno cessazione del trattamento dovrà porre in essere degli stessi, provvedendo alle necessarie formalità previste per legge e rispettando le seguenti attività legate al suo ruolo, salvo le ulteriori nascenti dal rispetto del GDPR o della normativa nazionale in corso di emanazione da parte del Governo, relativamente ai trattamenti che discendono dall’esecuzione del contratto principale, come da prospetto: - lo svolgimento di attività di trattamento dati per conto del Titolare nella misura strettamente necessaria all’esecuzione del contratto principale (articolo 28, paragrafo 3 lettera a, del GDPR); - la garanzia che i trattamenti eseguiti in esecuzione del contratto principale siano effettuati nel rispetto dei principi di liceità, correttezza, trasparenza e finalità, nonché nel rispetto delle garanzie previste dal Regolamento (articoli 5 – 9 del GDPR); - la possibilità di delegare - come sub Responsabili del trattamento – altri soggetti per l’esecuzione di specifiche attività che discendano direttamente dal contratto principale, previa comunicazione scritta al Titolare del trattamento e dietro sua autorizzazione specifica (articolo 28, paragrafo 2, del GDPR). Il Fornitore/Responsabile rimane responsabile nei confronti dell’AOU Sassari per l’adempimento del sub Responsabile agli obblighi discendenti dal GDPR e dal presente accordo; - la redazione e la tenuta di un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare - Registro dei trattamenti del Responsabile (articolo 30, paragrafo 2, del GDPR) contenente: a) il nome e i dati di contatto del Responsabile, del Titolare e degli eventuali sub Responsabili; b) le categorie dei trattamenti effettuati per conto del Titolare del trattamento; c) eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49, la documentazione delle garanzie adeguate; d) una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32, paragrafo 1 del GDPR. - la periodica valutazione dell’impatto delle procedure e dell’organizzazione sulla tutela tempo per tempo stabilite in collaborazione con gli organi direzionali; • non affidare a terzi il trattamento dei dati personali - DPIA (articolo 35 del GDPR); - l’individuazione delle misure ritenute necessarie per garantire adeguati livelli di protezione dei dati trattati e l’adeguamento tempestivo alle stesse (articolo 32 del GDPR); - la collaborazione con il Titolare del Trattamento e con il Responsabile senza previa autorizzazione scritta, della Protezione Dati 24 nominato per l’adempimento degli obblighi derivanti dall’applicazione del GDPR e per l’attuazione delle prescrizioni impartite dal Garante; - la collaborazione nella gestione del Data Breachscrivente società, con l’obbligo per il Responsabile del trattamento di informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione, al fine di permettere al Titolare di rispettare il termine di notifica al Garante previsto dall’articolo 33 del GDPR; - l’individuazione - all’interno della propria organizzazione - dei soggetti autorizzati a compiere attività di trattamento, la loro nomina formale, la comunicazione al Titolare dell’avvenuta nomina ed il compito di fornire ai soggetti autorizzati indicazioni puntuali sulla modalità di espletamento dei compiti assegnati. • Istanze degli interessati 11. Nel caso in cui il Responsabile riceva istanza dagli interessati per l’esercizio dei diritti loro attribuiti dagli articoli dal 12 al 23 del GDPR, il Fornitore deve provvedere a: - darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta; - informare l’interessato dell’avvenuta trasmissione degli atti al Titolare, cui competerà rispondere direttamente; - assistere la AOU Sassari per la soddisfazione delle richieste degli interessati senza ritardo e comunque nel rispetto del termine ultimo previsto dal GDPR; - coordinarsi a tal fine con il Titolare, con il Servizio Affari Generali, Comunicazione e Rapporti con l’Università - in qualità di soggetto preposto dal Titolare alle relazioni con i soggetti interessati - e con del Trattamento; • quando l’appaltatore ricorre a un altro fornitore, assicurare, anche mediante controllo periodico il Responsabile rispetto della Protezione Dati. disciplina sulla privacy; • Verifiche del Titolare 12. Il Responsabile si impegna a mettere a disposizione della AOU Sassari di AGESP tutte le informazioni necessarie a per dimostrare il rispetto degli dei propri obblighi tipici dei Responsabili e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da altro soggetto incaricato. Oltre a ciò le parti si impegnano a soddisfare direttamente, ciascuno con i propri mezzi e modalità, gli obblighi previsti dagli artt.13-14 del Regolamento Europeo verso il proprio personale, gestendo in modo autonomo eventuali loro richieste di cui all’articolo 28 esercizio dei diritti. Le PARTI sono autorizzate a fornire, all’occorrenza ai soggetti interessati: • informazioni più specifiche sulle finalità del GDPRtrattamento previste dal presente contratto, incluso il contenuto essenziale del presente accordo; • i riferimenti interni della controparte per l’esercizio dei propri diritti. In tale contesto le PARTI si impegnano reciprocamente a: • collaborare per garantire agli interessati che ne facciano richiesta l’effettivo esercizio dei diritti nei limiti e alle condizioni stabilite dalla normativa di tempo in tempo vigente e dal presente contratto; • collaborare per assicurare l’evasione tempestiva di tutte le richieste e gli eventuali reclami degli interessati. 13. Il Responsabile riconosce al Titolare il diritto di effettuare o far effettuare, prima, durante o dopo le operazioni di trattamento, verifiche finalizzate ad accertare il rispetto delle istruzioni fornite e il conforme svolgimento del trattamento. L’intenzione da parte dell’AOU Sassari di svolgere o far svolgere verifiche, ispezioni o audit dovrà essere comunicata al Fornitore con congruo anticipo e comunque con almeno 10 giorni di preavviso. • Scadenza del contratto 14. Il Responsabile si impegna a interrompere qualsiasi forma di trattamento dati effettuati per conto del Titolare alla scadenza del contratto o del diverso termine eventualmente dallo stesso previsto. 15. A discrezione dell’AOU Sassari, tutti i dati personali trattati dal Responsabile per conto del Titolare, devono essere restituiti a quest’ultimo e/o cancellati, salvo che la legge applicabile imponga al Fornitore la conservazione per un periodo ulteriore dei dati personali trattati. 16. Se le Operazioni di Trattamento si svolgono presso il Titolare su apparati nella disponibilità di quest'ultimo, sui quali siano state fornite al Responsabile e ai suoi incaricati le necessarie autorizzazioni e credenziali di autenticazione, all'atto della cessazione delle Operazioni di Trattamento le autorizzazioni vengono revocate e le credenziali disattivate.

Riservatezza e trattamento dei dati personali. 17.1 Le Parti sono tenute a mantenere strettamente riservate tutte le informazioni, i dati e i documenti riferiti all’altra Parte acquisiti in relazione all’espletamento del presente Contratto, con divieto di comunicare o diffondere tali informazioni, dati e documenti a terzi se non per quanto necessario a dare esecuzione all’incarico oggetto del Contratto stesso. 7.2 Le relazioni, la corrispondenza, i pareri e ogni altro documento che ciascuna parte fornirà all’altra in esecuzione o in relazione al presente Contratto sono forniti unicamente per dare esecuzione allo stesso. Il Contraente dell’appalto sarà nominato dal Titolare (A.O.U. Essi sono resi disponibili sul presupposto che la parte che li riceve non li utilizzi per scopi diversi dall’oggetto del presente Contratto e non li comunichi o divulghi a terzi senza la preventiva autorizzazione scritta dell’altra parte. 7.3 Le Parti si impegnano a trattare i dati personali, con supporto analogico o digitale, nel rispetto dei principi generali in tema di Sassari), ai sensi dell’art 28 del Regolamento UE 679/2016 (GDPR) Responsabile delle operazioni di trattamento dei dati personali 22 previste per l’esecuzione del contratto principale in essere tra le parti, definendo gli obblighi delle medesime parti in materia di tutela protezione dei dati personali. • Natura e finalità del trattamento 2. Il Responsabile tratta i dati personali nella misura strettamente necessaria all’esecuzione del contratto principale e per le finalità individuate da quest’ultimo. 3. Il Titolare fornisce, di seguito, al Responsabile le pertinenti istruzioni cui attenersi nello svolgimento dell'incarico. Esse integrano quanto eventualmente già specificato nel contratto principale. • Obblighi del Responsabile del trattamento 4. Il Responsabile – per quanto di propria competenza – è tenuto, in forza di legge e di contratto, al rispetto della riservatezza, integrità e qualità dei dati ed a utilizzarli esclusivamente per le finalità specificate e nell’ambito ogni obbligo previsto dal Regolamento (UE) 2016/679 concernente la tutela delle attività connesse all’esecuzione del Contratto. 5. Il Responsabile esterno del trattamento può autonomamente assumere decisioni in ambito tecnico ed organizzativo persone fisiche con riguardo al servizio che sta offrendo; in nessun caso potrà variare le finalità e modalità del trattamento definite dal Titolare, ne potrà usare i dati per propri scopi. 6. Nel caso in cui il Responsabile esterno decida di usare i dati per scopi propri ovvero per finalità o tramite mezzi non corrispondenti a quanto definito dal Titolare, sarà considerato a sua volta un Titolare per le attività di trattamento per le quali ha definito le finalità e/o i mezzi in autonomia, fatta salva la sua responsabilità per l’utilizzo illecito dei dati. 7. Il Responsabile esterno deve garantire che le persone da lui autorizzate al trattamento dei dati personali abbiano un adeguato obbligo legale alla riservatezza e la libera circolazione di tali dati (di seguito “GDPR”) e dalla disciplina in materia, nonché ai provvedimenti delle Autorità di Controllo degli Stati membri dell’Unione Europea ed un’adeguata formazione in materia di particolare del Garante per la protezione dei dati personali. • Misure di sicurezza, mediante la consegna dell’informativa allegata (Allegato 1). 8. Il Responsabile esterno del trattamento ha l’obbligo di individuare 7.4 Ciascuna Parte riconosce ed adottare adeguate misure tecniche ed organizzative idonee a garantire la sicurezza dei dati trattati per conto del Titolare. Le misure dovranno essere commisurate al rischio per accetta che i diritti e le libertà degli interessati, dovranno soddisfare i requisiti di cui all’articolo 32 del GDPR e potranno comprendere, tra le altre, se del caso: a) la pseudonimizzazione e la cifratura dei dati personali; b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali relativi alle persone fisiche che compaiono nel presente Protocollo di Intesa in caso rappresentanza delle parti (qualifica, fonte della rappresentanza, indirizzo, telefono, posta elettronica, eventuali altri riferimenti), siano trattati esclusivamente ai fini della conclusione del presente Protocollo e della esecuzione del rapporto giuridico che ne discende in conformità all’informativa resa che ciascuna parte si impegna a portare a conoscenza di incidente fisico o tecnico; d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine tale categoria di garantire la sicurezza del trattamentointeressati. 9. Nel valutare l’adeguato livello di sicurezza, il Responsabile tiene conto, in particolare, dei rischi 23 connessi al trattamento 7.5 Ciascuna Parte riconosce ed accetta che possono derivare dalla perdita, dalla distruzione, dalla modifica, dalla diffusione non autorizzata o dall’accesso, in modo accidentale o illegale, a i dati personali trasmessidi propri dipendenti o collaboratori (nominativi, conservati o comunque trattati. • Compiti del Responsabile del Trattamento 10. Il Responsabile esterno del trattamento dovrà porre in essere le seguenti indirizzo, telefono, posta elettronica, eventuali altri riferimenti) coinvolti nelle attività legate al suo ruolo, salvo le ulteriori nascenti dal rispetto del GDPR o della normativa nazionale in corso di emanazione da parte del Governo, relativamente ai trattamenti che discendono dall’esecuzione del contratto principale, come da prospetto: - lo svolgimento di attività di trattamento dati per conto del Titolare nella misura strettamente necessaria all’esecuzione del contratto principale (articolo 28, paragrafo 3 lettera a, del GDPR); - la garanzia che i trattamenti eseguiti in esecuzione del contratto principale siano effettuati nel rispetto dei principi di liceità, correttezza, trasparenza e finalità, nonché nel rispetto delle garanzie previste dal Regolamento (articoli 5 – 9 del GDPR); - la possibilità di delegare - come sub Responsabili del trattamento – altri soggetti per l’esecuzione di specifiche attività che discendano direttamente dal contratto principale, previa comunicazione scritta al Titolare del trattamento e dietro sua autorizzazione specifica (articolo 28, paragrafo 2, del GDPR). Il Fornitore/Responsabile rimane responsabile nei confronti dell’AOU Sassari per l’adempimento del sub Responsabile agli obblighi discendenti dal GDPR e dal presente accordo; - la redazione e la tenuta di un registro di tutte le categorie di attività di trattamento svolte per conto del Titolare - Registro dei trattamenti del Responsabile (articolo 30, paragrafo 2, del GDPR) contenente: a) il nome e i dati di contatto del Responsabile, del Titolare e degli eventuali sub Responsabili; b) le categorie dei trattamenti effettuati per conto del Titolare del trattamento; c) eventuali trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti esecutive di cui al secondo comma dell'articolo 49presente Protocollo, la documentazione delle garanzie adeguate; d) una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all'articolo 32siano trattati esclusivamente ai fini dell’esecuzione del rapporto giuridico che ne discende, paragrafo 1 del GDPRin conformità all'informativa resa ai sensi dell’art. - la periodica valutazione dell’impatto delle procedure e dell’organizzazione sulla tutela dei dati personali - DPIA (articolo 35 del GDPR); - l’individuazione delle misure ritenute necessarie per garantire adeguati livelli di protezione dei dati trattati e l’adeguamento tempestivo alle stesse (articolo 32 del GDPR); - la collaborazione con il Titolare del Trattamento e con il Responsabile della Protezione Dati 24 nominato per l’adempimento degli obblighi derivanti dall’applicazione del GDPR e per l’attuazione delle prescrizioni impartite dal Garante; - la collaborazione nella gestione del Data Breach, con l’obbligo per il Responsabile del trattamento di informare il Titolare del trattamento senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione, al fine di permettere al Titolare di rispettare il termine di notifica al Garante previsto dall’articolo 33 del GDPR; - l’individuazione - all’interno della propria organizzazione - dei soggetti autorizzati a compiere attività di trattamento, la loro nomina formale, la comunicazione al Titolare dell’avvenuta nomina ed il compito di fornire ai soggetti autorizzati indicazioni puntuali sulla modalità di espletamento dei compiti assegnati. • Istanze degli interessati 11. Nel caso in cui il Responsabile riceva istanza dagli interessati per l’esercizio dei diritti loro attribuiti dagli articoli dal 12 al 23 13 del GDPR, il Fornitore deve provvedere a: - darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta; - informare l’interessato dell’avvenuta trasmissione degli atti al Titolare, cui competerà rispondere direttamente; - assistere la AOU Sassari per la soddisfazione delle richieste degli interessati senza ritardo e comunque nel rispetto del termine ultimo previsto dal GDPR; - coordinarsi a tal fine con il Titolare, con il Servizio Affari Generali, Comunicazione e Rapporti con l’Università - in qualità di soggetto preposto dal Titolare alle relazioni con i soggetti interessati - e con il Responsabile della Protezione Dati. • Verifiche del Titolare 12. Il Responsabile che ciascuna Parte si impegna sin da ora a mettere portare a disposizione della AOU Sassari tutte le informazioni necessarie a dimostrare il rispetto conoscenza degli obblighi tipici dei Responsabili del trattamento di cui all’articolo 28 del GDPRstessi, nell'ambito delle proprie procedure interne. 13. Il Responsabile riconosce al Titolare il diritto di effettuare o far effettuare, prima, durante o dopo le operazioni di trattamento, verifiche finalizzate ad accertare il rispetto delle istruzioni fornite e il conforme svolgimento del trattamento. L’intenzione da parte dell’AOU Sassari di svolgere o far svolgere verifiche, ispezioni o audit dovrà essere comunicata al Fornitore con congruo anticipo e comunque con almeno 10 giorni di preavviso. • Scadenza del contratto 14. Il Responsabile si impegna a interrompere qualsiasi forma di trattamento dati effettuati per conto del Titolare alla scadenza del contratto o del diverso termine eventualmente dallo stesso previsto. 15. A discrezione dell’AOU Sassari, tutti i dati personali trattati dal Responsabile per conto del Titolare, devono essere restituiti a quest’ultimo e/o cancellati, salvo che la legge applicabile imponga al Fornitore la conservazione per un periodo ulteriore dei dati personali trattati. 16. Se le Operazioni di Trattamento si svolgono presso il Titolare su apparati nella disponibilità di quest'ultimo, sui quali siano state fornite al Responsabile e ai suoi incaricati le necessarie autorizzazioni e credenziali di autenticazione, all'atto della cessazione delle Operazioni di Trattamento le autorizzazioni vengono revocate e le credenziali disattivate.