ACCORDO DI NOMINA A RESPONSABILE DEL TRATTAMENTO E CONFERIMENTO DELLE RELATIVE ISTRUZIONI

ACCORDO DI NOMINA A RESPONSABILE DEL TRATTAMENTO E CONFERIMENTO DELLE RELATIVE ISTRUZIONI

(ai sensi degli artt. 28 e 29 del Regolamento UE 2016/679)

L’Istituto ___________________________, CF e P.IVA________________________________

con sede legale in Via ____________________________________________, nella persona del Dirigente/Direttore _____________________________, in qualità di Preposto in forza del Regolamento in materia di protezione dei dati personali, emanato _.

E

l’Università degli Studi di Trento (di seguito “UniTrento”), CF e P.IVA 00340520220, con sede legale in xxx Xxxxxxxx 00, 00000 Xxxxxx (XX) nella persona del Dirigente della Direzione Didattica e Servizi agli Studenti, xxxx. Xxxxx Xxxxx, in qualità di Preposto in forza del Regolamento in materia di protezione dei dati personali, emanato con DR n. 281 del 6 aprile 2021,

di seguito denominate congiuntamente, le “Parti”

PREMESSO CHE

● UniTrento mette a disposizione la piattaforma Moodle (di seguito Servizio) all’Istituto IPRASE per lo svolgimento degli esami relativi alla Certificazione linguistica in latino;

● la messa a disposizione del Servizio comporta il trattamento di dati personali da parte dell’Università degli Studi di Trento;

● il Regolamento UE 2016/679 (di seguito, il “Regolamento”) “si applica al trattamento dei dati personali effettuato nell'ambito delle attività (…) di un Responsabile del trattamento nell'Unione, indipendentemente dal fatto che il trattamento sia effettuato o meno nell'Unione”;

● ai sensi dell’art. 28, paragrafo 1, del Regolamento, “Qualora un trattamento debba essere effettuato per conto del Titolare, quest'ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato”;

● ai sensi dell’art. 29 del Regolamento, “Il Responsabile del trattamento, o chiunque agisca sotto la sua autorità, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal Titolare…”;

● ai sensi dell’art. 28, paragrafo 3, del Regolamento, inoltre, “I trattamenti da parte di un Responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico… che

vincoli il Responsabile del trattamento al Titolare e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento”;

● l’art. 4, par. 1, n. 7 del Regolamento definisce “titolare del trattamento”, la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (..);

● l’art. 4, par. 1, n. 8 del Regolamento definisce “responsabile del trattamento”, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

● con il presente atto di nomina, il Titolare intende pertanto designare l’Università degli Studi di Trento, Responsabile del trattamento ai sensi dell’art. 28 del Regolamento e vincolarlo al rispetto di quanto segue;

Tutto ciò premesso, da considerarsi parte integrante e sostanziale del presente atto, le Parti come sopraindicate e domiciliate,

STIPULANO E CONVENGONO QUANTO SEGUE:

Art. 1 - Oggetto

Con il presente atto, l’Istituto scolastico _______________________________, in qualità di “Titolare del trattamento” (di seguito, il “Titolare”), nomina Università degli Studi di Trento, “Responsabile del trattamento” ai sensi e per gli effetti dell’art. 28 del Regolamento (di seguito, il “Responsabile”).

Il Responsabile con la sottoscrizione del presente accordo, accetta la nomina e tutte le specifiche istruzioni sottoindicate che dovranno essere osservate nello svolgimento dei trattamenti dei dati personali effettuati per conto del Titolare, garantendo il rispetto della normativa e delle prassi nazionali ed europee in materia di protezione dei dati.

Il Responsabile dichiara e garantisce inoltre di essere in possesso dei requisiti di esperienza, conoscenza specialistica, affidabilità e risorse tali da fornire idonea garanzia del pieno rispetto della vigente normativa in materia di protezione dei dati personali, ivi compresa la capacità di mettere in atto misure tecniche e organizzative adeguate, anche sotto il profilo della sicurezza.

Ferma ogni ulteriore responsabilità nei confronti del Titolare, il Responsabile è consapevole che qualora determini le finalità e/o i mezzi di trattamento, in violazione delle istruzioni documentate fornite dal Titolare, sarà considerato Titolare del trattamento con ogni ulteriore conseguenza.

Art. 2 - Descrizione del trattamento

Il Responsabile è autorizzato a trattare per conto del Titolare del trattamento i soli dati personali necessari all’esecuzione del Servizio.

A tal riguardo, si precisano di seguito gli elementi identificativi dei trattamenti dei dati affidati al Responsabile del trattamento:

● Finalità del trattamento: esclusivamente quelle necessarie all’esecuzione del Servizio. In particolare sono consentite le seguenti operazioni di trattamento: raccolta, registrazione l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso.

Ulteriori e diversi trattamenti rispetto a quelli sopraelencati dovranno essere specificatamente richiesti o autorizzati dal Titolare; diversamente il Responsabile sarà considerato Titolare autonomo del trattamento.

● Durata del trattamento: i dati saranno trattati per tutta la durata dello svolgimento degli esami ovvero dal 5 maggio al 12 novembre 2022.

● Natura del trattamento: il trattamento dovrà avvenire, con o senza strumenti automatizzati, con logiche strettamente volte a garantire la sicurezza e la riservatezza dei dati.

● Categorie di dati personali

Dati personali comuni: nome e cognome, indirizzo email di ciascun studente iscritto.

Categorie di interessati: studenti iscritti all’esame di Certificazione linguistica in latino.

Art. 3 - Obbligazioni nei confronti del Titolare

Il Responsabile si impegna a:

● trattare i dati personali in modo lecito, corretto e trasparente e, in generale, nel pieno rispetto della vigente normativa in materia di protezione dei dati personali nonché delle istruzioni documentate fornite dal Titolare;

● trattare i dati personali esclusivamente per la realizzazione del Servizio nel rispetto dei principi di adeguatezza, pertinenza e limitatamente a quanto necessario rispetto alle finalità indicate, con divieto esplicito di utilizzare i dati per scopi o finalità diversi da quelli indicati o per un periodo eccedente rispetto a quello necessario;

● garantire che le persone che trattano dati personali siano state autorizzate al trattamento, adeguatamente istruite e formate in materia di protezione dei dati nonché si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;

● garantire con riferimento ai propri strumenti, prodotti, applicazioni o servizi, il rispetto dei principi della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (privacy by design e by default);

● individuare e designare per iscritto il personale autorizzato al trattamento a cui siano attribuite le funzioni di Amministratori di sistema, dando inoltre applicazione alle prescrizioni contenute nel Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 e ss.mm.ii, tra cui redigerne l’elenco, adottare sistemi idonei alla registrazione degli accessi logici ai sistemi di elaborazione e archivi elettronici e verificarne l’operato con cadenza almeno annuale;

● curare la redazione e l’aggiornamento del Registro delle attività di trattamento svolte per conto del Titolare ai sensi dell’art. 30, par. 2 del Regolamento e metterlo a disposizione del Titolare o dell’Autorità di controllo in caso di relativa richiesta.

Art. 4 - Ricorso ad altri Responsabili

Il Responsabile non è autorizzato a ricorrere ad un altro Responsabile del trattamento (di seguito “Sub-responsabile”) per l’esecuzione di specifiche attività di trattamento oggetto del Servizio, salvo previa espressa autorizzazione da parte del Titolare. A tal fine, il Responsabile si impegna a comunicare previamente i soggetti terzi di cui intende avvalersi (anche per l’utilizzo di servizi e strumenti informatici, quali a titolo esemplificativo e non esaustivo, Cloud provider fornitori di servizi in modalità IaaS, PaaS e SaaS, piattaforme on-line, ecc..) nonché l’eventuale aggiunta o la sostituzione degli stessi, dando così al Titolare l’opportunità di valutarli e se del caso di opporsi.

Il Responsabile pertanto manleva e tiene indenne integralmente il Titolare da ogni perdita, contestazione, responsabilità, costi, danni materiali o immateriali, ivi comprese sanzioni di qualsivoglia natura, che possano derivare al Titolare medesimo dalla mancata osservanza di tali obblighi e, in generale, dalla violazione dell’applicabile normativa sulla tutela dei dati personali da parte del Sub-responsabile.

Art. 5 - Trasferimento dei dati verso un Paese terzo

Nel caso di trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale, il Responsabile si impegna a richiedere una preventiva autorizzazione scritta al Titolare. Nel caso in cui il Titolare, in relazione all’esecuzione del servizio, autorizzi il suddetto trasferimento dei dati personali, il Responsabile si impegna ad attenersi alle istruzioni fornite dal Titolare e ad operare nel rispetto delle condizioni di cui agli artt. 44 e ss. del Regolamento.

Qualora il Responsabile sia tenuto a trasferire dati personali verso un Paese terzo o un’organizzazione internazionale in forza di una normativa europea o nazionale a cui è soggetto il Responsabile, quest’ultimo si impegna ad informare il Titolare circa tale obbligo giuridico prima del relativo trasferimento, salvo che la normativa in questione vieti tale informazione per rilevanti motivi di interesse pubblico.

Art. 6 - Informazioni e esercizio dei diritti degli interessati

Il Responsabile, tenendo conto della natura del trattamento, si impegna a coadiuvare il Titolare, anche con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, nell’assolvimento dell’obbligo di fornire agli interessati le informazioni di cui agli artt. 13 e 14 del Regolamento.

Il Responsabile assiste e collabora con il Titolare, nella misura in ciò sia possibile, nel dare seguito alle richieste di esercizio dei diritti degli interessati di cui agli artt. 15 e ss. del Regolamento. Qualora le richieste di esercizio dei diritti degli interessati dovessero pervenire direttamente al Responsabile, quest’ultimo si impegna a trasmetterle tempestivamente al Titolare, all’indirizzo PEC

___________________________.

Art. 7 - Misure di sicurezza

Il Responsabile assiste e collabora pienamente con il Titolare nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36 del Regolamento, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile.

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile deve mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Tali misure potranno comprendere, tra le altre, se del caso: la pseudonimizzazione e la cifratura dei dati personali; la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico; una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Nel valutare l’adeguato livello di sicurezza, il Responsabile dovrà tener conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, o del trattamento non consentito o non conforme alle finalità della raccolta, ai dati personali trasmessi, conservati o comunque trattati.

Art. 8 - Violazione dati personali

Il Responsabile si impegna ad assistere e coadiuvare il Titolare nell’osservanza degli adempimenti previsti dagli artt. 33-34 del Regolamento in materia di violazione dei dati personali (data breach). In particolare, il Responsabile si impegna a segnalare al Titolare senza ingiustificato ritardo ogni violazione dei dati personali avvenuta presso la propria organizzazione che possa ragionevolmente riguardare i dati personali trattati per conto del Titolare

Tale comunicazione deve avvenire in forma scritta, contenere gli elementi di cui all’art. 33, par. 3 del Regolamento e deve essere trasmessa, unitamente ad ogni documentazione utile, all’indirizzo PEC del Titolare (________________________) per consentire, ove necessario, la notifica della violazione all’Autorità di controllo nonché l’eventuale comunicazione agli interessati.

Il Responsabile deve attivarsi immediatamente per indagare sulla violazione dei dati personali adottare tutte le misure tecniche ed organizzative che sono necessarie per porre rimedio alla violazione stessa e per mitigare i possibili effetti negativi, ivi compresi qualsivoglia danno o conseguenza lesiva, nonché fornire al Titolare le eventuali ulteriori informazioni richieste dall’Autorità di controllo.

Art. 9 - Valutazione d’impatto

In tutte le ipotesi in cui si renda necessario o opportuno effettuare una valutazione d’impatto ai sensi dell’art. 35 del Regolamento, il Responsabile si impegna a fornire al Titolare ogni elemento utile per consentirne lo svolgimento e provvedere all’eventuale consultazione preventiva ai sensi dell’art. 36 del Regolamento.

Qualora il Responsabile fornisse al Titolare strumenti/applicativi informatici e/o gestisse gli stessi strumenti/applicativi informatici del Titolare, il Responsabile sarà tenuto a predisporre e aggiornare l’analisi dei rischi (probabilità di violazione della sicurezza) degli strumenti/applicativi informatici, trasmettendola al Titolare.

Art. 10 - Verifiche del Titolare

Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del Regolamento, nonché consentire e contribuire alle attività di controllo, comprese le ispezioni, poste in essere dal Titolare del trattamento o da altro soggetto da questi incaricato; con specifico riferimento a tale impegno il Responsabile informa immediatamente il Titolare del trattamento qualora, a suo parere, un’istruzione violi la normativa europea e nazionale relativa alla protezione dei dati.

Il Responsabile si impegna inoltre a comunicare e trasmettere tempestivamente al Titolare, ogni richiesta, ordine o attività di controllo da parte dell’Autorità garante per la protezione dei dati personali, dell’Autorità Giudiziaria o di altra Autorità pubblica inviando copia delle istanze all’indirizzo PEC del Titolare ( ).

Il Responsabile è tenuto a mantenere un costante aggiornamento sulle prescrizioni normative in materia di trattamento dei dati personali, nonché sull’evoluzione tecnologica di strumenti e dispositivi di sicurezza, modalità di utilizzo e relativi criteri organizzativi adottabili.

Il Responsabile si impegna a comunicare prontamente al Titolare eventuali situazioni sopravvenute che per il mutare delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento dell’incarico.

Art. 11 - Manleva

Il Responsabile manleva e tiene indenne integralmente il Titolare da ogni perdita, contestazione, responsabilità, costi, danni materiali o immateriali, ivi comprese sanzioni di qualsivoglia natura, che possano derivare dalle violazioni, imputabili a fatti, comportamenti e/o omissioni del Responsabile, delle istruzioni documentate fornite dal Titolare nonché degli obblighi previsti specificatamente in capo ai responsabili dalla normativa europea e nazionale in materia di protezione dei dati.

Art. 12 - Cancellazione dei dati

Al termine del Servizio, il Responsabile provvederà alla cancellazione dei dati personali raccolti tramite la piattaforma Moodle.

Art. 13 - Responsabile della protezione dei dati

Nei casi previsti dall’art. 37 del Regolamento, il Responsabile provvede alla designazione del Responsabile della protezione dei dati (RPD), nel rispetto delle prescrizioni previste dagli artt. 38 e 39 del Regolamento.

Art. 14 - Durata

La presente nomina ha efficacia per tutta la durata del Servizio ed avrà termine con la cessazione dello stesso per qualsiasi ragione intervenuta.

Art. 15 – Disposizioni finali

Per ogni controversia che dovesse insorgere in merito all’interpretazione, conclusione ed esecuzione del presente atto, sarà competente in via esclusiva il Foro di Trento.

Resta salva la facoltà del Titolare di integrare e/o modificare successivamente il presente atto a fronte di significative evoluzioni tecnologiche e/o normative.

Le Parti dichiarano che il presente atto, in ogni sua parte, è stato oggetto di specifica negoziazione tre le stesse e che non trovano quindi applicazione gli artt. 1341 e 1342 c.c.

Per ogni altro aspetto non disciplinato nel presente atto, le Parti rinviano espressamente alla normativa vigente in materia di protezione dei dati personali.

Il Responsabile del Trattamento Il Titolare del Trattamento Università degli Studi di Trento __________________________

Il Preposto al trattamento Xxxx. Xxxxx Xxxxx

Il Legale Rappresentante Dott.___________________________