PREMESSO CHE
MODALITA’ OPERATIVE PER IL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ART. 26 DEL REGOLAMENTO (UE) 2016/679 ALL’INTERNO DELLA CONVENZIONE DI BRIANZABIBLIOTECHE
PREMESSO CHE
A. Le Parti hanno sottoscritto la “Convenzione di BRIANZABIBLIOTECHE per la realizzazione e la gestione di servizi bibliotecari nel territorio della Provincia di Monza e Brianza” per il periodo 2011-2020, attraverso la quale hanno definito i rapporti per la collaborazione tra le stesse, mirata a soddisfare la realizzazione e gestione dei servizi bibliotecari nel territorio della provincia di Monza e Brianza;
B. L’espletamento dell’attività sopra descritta comporta il trattamento di dati personali, come definiti all’art. 4, 1) del Regolamento (UE) 2016/679 (di seguito anche solo GDPR);
C. I Contitolari del Trattamento determinano congiuntamente le finalità e le modalità del Trattamento;
D. La normativa applicabile in materia di protezione dei dati personali impone una serie di obblighi e vincoli al trattamento di dati personali da parte del Titolare del trattamento, che influenzano il Trattamento in questione;
E. In particolare, ai sensi dell’art. 26 del GDPR, allorché due o più titolari del trattamento determinano congiuntamente le finalità e le modalità del trattamento, essi sono contitolari del trattamento;
F. I contitolari del trattamento devono, pertanto, determinare in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dalla normativa vigente;
G. L’accordo suddetto deve, pertanto, disciplinare gli obblighi dei contitolari con particolare riguardo all'esercizio dei diritti dell'interessato, nonché i rispettivi ruoli nella comunicazione delle informazioni agli interessati;
H. Con il presente accordo (di seguito l’Accordo) la Parti intendono dunque instaurare un rapporto di contitolarità nel Trattamento e disciplinare, di conseguenza, i rispettivi ruoli e responsabilità nei confronti degli interessati;
I. Nell’ambito delle rispettive responsabilità come determinate dal presente Accordo, i Contitolari dovranno in ogni momento adempiere ai propri obblighi conformemente ad esso e in modo tale da trattare i dati senza violare le disposizioni di legge vigenti e nel pieno rispetto delle linee
guida e dei codici di condotta applicabili di volta in volta approvati dal Garante per la protezione dei dati personali;
Tutto ciò Xxxxxxxx, che è da considerarsi parte integrante e sostanziale del presente atto, tra le Parti, come sopra rappresentante, si conviene e si stipula quanto segue.
1. OGGETTO
1.1. Con il presente Accordo le Parti determinano le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR, nonché dalle disposizioni di legge vigenti con riguardo al trattamento dei dati personali. Con il presente Accordo le Parti stabiliscono, altresì, i rispettivi obblighi in merito all’esercizio dei diritti degli interessati e i rispettivi ruoli in merito alla comunicazione dell’informativa.
1.2. La contitolarità è riferita al trattamento dei dati personali, come definito all’art. 4.2) del GDPR ed ha ad oggetto il trattamento di tutti i dati già presenti, in tutti gli archivi sia cartacei che informatizzati, e di tutti quelli che si acquisiranno in futuro.
1.3. Resta inteso tra le Parti che, ai sensi dell’art. 26, comma 2, del GDPR, indipendentemente dalle disposizioni del presente Accordo, l’interessato potrà esercitare i propri diritti nei confronti di e contro il contitolare del trattamento che ha raccolto l’iscrizione dell’interessato medesimo al servizio BRIANZABIBLIOTECHE (d’ora in avanti Sistema).
2. DATI OGGETTO DEL RAPPORTO DI CONTITOLARITÀ E DURATA DEL RAPPORTO.
2.1 Ai fini del conseguimento delle finalità previste all’art. 1 i seguenti trattamenti di dati personali saranno gestiti in regime di contitolarità tra le Parti durante il periodo di vigenza della convenzione. Le tipologie di trattamento di dati personali oggetto della contitolarità sono le seguenti:
1. Gestione dei servizi all’utenza afferenti al Sistema Bibliotecario
2. Gestione dei dati del personale operante all’interno del Sistema Bibliotecario
3. Gestione dei dati inerenti i progetti posti in essere dal Sistema Bibliotecario
Le tre tipologie di trattamento dati di cui sopra verranno gestite secondo lo schema seguente:
Gestione dei servizi all’utenza afferenti al Sistema Bibliotecario | Gestione dei dati del personale operante all’interno del Sistema Bibliotecario | Gestione dei dati inerenti i progetti posti in essere dal Sistema Bibliotecario | |
Realizzazione e gestione di un sistema informativo integrato; Organizzazione e gestione del prestito interbibliotecario, che consenta a tutti gli utenti l’accesso e la fruizione del patrimonio librario e documentario delle biblioteche convenzionate; | Attività di autorizzazione di accesso ai dati del personale Attività di gestione degli utenti sul Sistema software | Utilizzo dei dati per il perseguimento della finalità del progetto | |
Finalità del trattamento | Coordinamento dei programmi delle biblioteche associate in termini di definizione di norme comuni per le scelte catalografiche, per l’organizzazione dei servizi al pubblico, per le procedure di lavoro, per la misurazione dei servizi e indicatori di sviluppo; | Formazione del personale | |
Coordinamento delle politiche di sviluppo delle collezioni anche attraverso forme di acquisto centralizzato; | |||
Promozione dei servizi bibliotecari sul territorio; | |||
Elaborazione di statistiche inerenti i servizi erogati dal sistema; | |||
Collaborazione con strutture e servizi sul territorio. | |||
Tipologia di dati | Nome, Cognome, Data di nascita, indirizzo di residenza o di domicilio, codice fiscale, numero di telefono, email, titolo di studio, attuale occupazione. | Nome, Cognome, Data di nascita, email | Nome, Cognome, Data di nascita, indirizzo di residenza o di domicilio |
Rapporto giuridico tra tutti i Comuni aderenti alla convenzione | Contitolarità | Contitolarità | Contitolarità solo tra gli Enti del sistema Bibliotecario che partecipano al progetto |
Informativa per l’iscrizione al Sistema | Informativa personale | Informativa specifica | |
Informative da | Bibliotecario | per il progetto | |
realizzare | Informativa newsletter del Sistema | ||
Bibliotecario | |||
Soggetto addetto alla consegna dell’informativa | Informativa per l’iscrizione al Sistema Bibliotecario: ogni singolo Comune che riceve l’iscrizione Informativa newsletter: ogni singolo Comune che riceve l’iscrizione | Ogni singolo Comune che autorizza il personale ad operare nel Sistema Bibliotecario | Ogni singolo Comune che aderisce al progetto |
Soggetto principale per la gestione delle richieste dell’interessato | Ogni singolo Comune ricevente l’iscrizione al Sistema Bibliotecario | Ogni singolo Comune che aderisce al Sistema Bibliotecario | Ogni singolo Comune che aderisce al progetto |
Gestione congiunta con replica della | Gestione congiunta con | Gestione congiunta con | |
comunicazione all’autorità. | replica della | replica della | |
Data Breach | Se necessaria comunicazione agli interessati, a carico del singolo Comune ricevente l’iscrizione al Sistema Bibliotecario | comunicazione all’autorità. Se necessaria comunicazione agli | comunicazione all’autorità. Se necessaria comunicazione agli |
interessati, a carico del | interessati, a carico del | ||
singolo Comune | singolo Comune | ||
ricevente l’iscrizione al | ricevente l’iscrizione | ||
Sistema Bibliotecario | |||
DPO di riferimento | DPO di ogni singolo Comune ricevente l’iscrizione al Sistema Bibliotecario | DPO di ogni singolo Comune ricevente l’iscrizione al Sistema Bibliotecario | DPO di ogni singolo Comune ricevente l’iscrizione |
Le parti concordano che non potranno essere trattenuti o elaborati i dati personali condivisi più a lungo del necessario per l'esecuzione degli scopi concordati. In deroga a quanto sopra stabilito le Parti continueranno a conservare i dati personali condivisi in conformità con i periodi di conservazione previsti dalla legge e dal massimario di scarto applicato dalle parti medesime.
2.2 Il presente Accordo ha durata funzionale dipendente dalla durata prevista della Convenzione che ne costituisce la base giuridica e il presupposto.
3. OBBLIGHI E RESPONSABILITA’ DEI CONTITOLARI
3.1. I Contitolari condividono le decisioni relative alle finalità e modalità del trattamento di dati e sono obbligati in solido a predisporre e mantenere aggiornati tutti gli adempimenti previsti dal GDPR e dalle disposizioni di legge vigenti in materia di tutela dei dati personali.
3.2. In particolare, con il presente Accordo i Contitolari convengono che i dati personali presenti negli archivi tanto cartacei quanto informatizzati, nonché quelli futuri, verranno trattati per le finalità di esecuzione degli obblighi contrattuali e precontrattuali assunti e gestione dei rapporti con i contraenti e con gli utenti; per l’adempimento di obblighi previsti da leggi, da regolamenti e dalla normativa comunitaria, nonché da disposizioni impartite da Autorità a ciò legittimate dalla legge e da Organi di Vigilanza e Controllo. Le parti concorderanno espressamente le tipologie di dati personali che prevedono come presupposto di liceità il consenso al trattamento ai sensi dell’articolo 6, comma 1 lettera a) e 9, comma 2, lettera a) del Regolamento 679/2016/UE.
3.3. Le informative di cui agli artt. 13 e 14 del Regolamento suddetto saranno redatte dal Comune di Monza (Ente capofila) e verranno poi fornite da tutti i contitolari del trattamento, ognuno per quanto concerne il proprio ambito di competenza secondo lo schema di cui al precedente articolo 2.
3.4. Le Parti convengono inoltre che i reclami e le richieste di esercizio dei diritti presentati dagli interessati saranno gestiti in via esclusiva dal Contitolare che ha raccolto l’iscrizione, del soggetto interessato medesimo, al servizio BRIANZABIBLIOTECHE.
I Data Protection Officer/Responsabili della protezione dei dati delle Parti, risponderanno alle richieste degli interessati presentate ai rispettivi Comuni sulla base del ruolo svolto dall’ente nella raccolta dell’iscrizione del soggetto interessato al servizio BRIANZABIBLIOTECHE.
3.5. I Contitolari del Trattamento saranno responsabili in solido per l’intero ammontare del danno al fine di garantire il risarcimento effettivo dell’interessato.
3.6 Ogni Contitolare può dover risarcire in toto l’interessato che dimostra di essere stato danneggiato dal Trattamento. Soltanto in un momento successivo, il Contitolare che ha risarcito in toto l’interessato potrà rivalersi sull’altro Contitolare responsabile effettivo del danno, esercitando l’azione di regresso.
3.7. Anche i danni provocati all’interessato in casi di forza maggiore, saranno a carico di tutti i Contitolari in solido, che dovranno fronteggiare il rischio della forza maggiore; il Contitolare che ha pagato avrà azione di regresso nei confronti dell’altro.
3.8. Le Parti si impegnano altresì, ai sensi dell’art. 26, comma 2, del GDPR, a mettere a disposizione dell’interessato il contenuto essenziale del presente Accordo.
3.9. Le Parti concordano che tutto il personale impiegato in attività afferenti alla gestione del Sistema Bibliotecario BRIANZABIBLIOTECHE riceverà specifica autorizzazione al trattamento dei dati da parte del Comune (Contitolare del trattamento), presso il quale esercita la propria attività. Sulla base delle autorizzazioni rilasciate dai singoli enti il Comune Capofila provvederà alla registrazione degli account dei singoli operatori.
4. DESCRIZIONE DEI FLUSSI E DELLE PROCEDURE
Per quanto previsto dalla Convenzione richiamata, i soggetti coinvolti nella realizzazione del Sistema Bibliotecario BRIANZABIBLIOTECHE sono rappresentati dal personale/collaboratori dei Comuni Contitolari.
I dati degli utenti forniti per l’iscrizione al Sistema sono trattati e conservati per le finalità di cui all’art 2.1.
I Contitolari del trattamento condividono:
• le finalità del trattamento di dati personali;
• le modalità del trattamento di dati personali;
• gli strumenti utilizzati;
• i profili di sicurezza.
Inoltre il presente accordo, solidale nei confronti degli interessati, dispone che:
• il Comune di Monza, in qualità di ente capofila, gestirà i profili inerenti la sicurezza dei dati personali per quanto attiene il sistema software utilizzato per la gestione del Sistema Bibliotecario BRIANZABIBLIOTECHE, ivi inclusa la nomina degli eventuali soggetti responsabili del trattamento (ai sensi dell’art. 28 del Regolamento 679/2016/UE) sempre afferenti alla gestione degli applicativi;
• il Comune di Monza, in qualità di ente capofila, è amministratore di sistema ai sensi del provvedimento del Garante ‘Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema del - 27 novembre 2008’ pubblicato in Gazzetta Ufficiale n.300 del 24 dicembre 2008 come modificato dal provvedimento del 25 giugno 2009 - 27 novembre 2008;
• gli altri Comuni contitolari del trattamento gestiranno le seguenti operazioni: raccolta e validazione dei dati, consultazione ed analisi dei dati, profilazione e segmentazione dei dati, comunicazioni (via email, sms, portale internet, servizio postale, telefono) inerenti le attività delle biblioteche e i servizi richiesti (comprensivi i servizi online).
5. SEGRETEZZA E CONFIDENZIALITÀ
5.1. Il Contitolare del Trattamento si impegna a mantenere la segretezza dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità instaurato con i Contitolari.
5.2. In ogni caso, le Parti si impegnano a considerare strettamente riservato tutto il materiale generalmente non di dominio pubblico, ed in particolare tutto ciò che è classificato come strettamente confidenziale e/o segreto, e si impegnano ad utilizzare tali informazioni solamente per gli scopi previsti dal presente Accordo.
6. SICUREZZA DELLE INFORMAZIONI
6.1. Tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, nonché del rischio di varia probabilità e gravità per i diritti e libertà delle persone fisiche, i Contitolari del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se opportuno una o più delle seguenti misure:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Come previsto nel precedente articolo 4, le politiche di sicurezza inerenti il sistema software utilizzato per la gestione del sistema bibliotecario BRIANZABIBLIOTECHE saranno a carico del Comune di Monza in qualità di ente capofila.
I contitolari, nel stabilire l’adeguato livello di sicurezza, hanno tenuto conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
6.2. Il Comune di Monza in qualità di ente capofila adotterà tutte le misure di sicurezza tecniche e organizzative per il tempestivo recupero della disponibilità dei dati personali in caso di incidente legato al sistema software utilizzato per la gestione del sistema bibliotecario BRIANZABIBLIOTECHE. Gli altri Contitolari, ciascuno secondo le proprie competenze, adotteranno tutte le misure di sicurezza tecniche e organizzative per il tempestivo recupero della disponibilità dei dati personali in caso di incidente fisico ai dati gestiti in modalità cartacea ed archiviati presso i Contitolari medesimi.
6.3. I Contitolari eseguiranno un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio.
6.4 I Contitolari del trattamento dichiarano espressamente che chiunque agisca nell’ambito della sua autorità e abbia accesso a dati personali non tratterà i predetti dati personali se non è istruito dai rispettivi contitolari
6.5 I Contitolari del Trattamento devono verificare regolarmente il rispetto delle misure indicate nel presente accordo e fornire sufficiente documentazione al Comune di Monza, in qualità di ente capofila, nel caso di apposita richiesta.
6.6 I Contitolari eseguiranno un monitoraggio periodico sul livello di sicurezza raggiunto, al fine di renderlo sempre adeguato al rischio.
7. NOTIFICA DI VIOLAZIONE DEI DATI PERSONALI
7.1 Le parti hanno l’obbligo di comunicarsi reciprocamente tramite PEC qualsiasi violazione dei dati personali (data breach) entro e non oltre 1 giorno lavorativo dal momento di avvenuta conoscenza. Tale notifica deve essere corredata di tutta la documentazione utile per consentire, ove necessario, di notificare tale violazione all'autorità di vigilanza competente. Ciascun ente dovrà aver cura di notificare al Garante la segnalazione.
7.2 Per violazione dei dati si intende ogni violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, ed a prestare ogni necessaria collaborazione al Titolare in relazione all’adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni all’Autorità ai sensi dell’art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell’art. 34 del GDPR.
7.3 La comunicazione conterrà almeno le seguenti informazioni:
a. la natura della violazione dei dati personali
b. la categoria degli interessati
c. contatto presso cui ottenere più informazioni
d. interventi attuati o che si prevede di attuare.
7.4 Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
8. RISOLUZIONE
8.1 In caso di inadempimento di una o di più Parti degli obblighi derivanti dal presente accordo, lo stesso potrà risolversi, a seguito di diffida ad adempiere dell’altra/delle altre Parte/i, decorsi 15 giorni, ove la Parte, o le parti, non abbia/abbiano sanato la causa dell’inadempimento, sempre che la stessa per la sua gravità renda in ogni caso non proseguibile il rapporto.
8.2 Il presente atto potrà in ogni caso risolversi per volontà delle Parti o anche di una sola Parte di interrompere l’accordo di contitolarità, con preavviso di mesi 3 al fine di consentire gli adeguamenti derivanti dal decadimento del presente accordo.
8.3 La risoluzione del presente accordo non precluderà la stipula di un nuovo accordo né pregiudicherà in alcun modo la validità ed efficacia della Convenzione in essere tra le Parti.
9. DISPOSIZIONI CONCLUSIVE
9.1 Eventuali modifiche al presente Accordo dovranno essere apportate per iscritto e potranno essere modificate solo attraverso una dichiarazione scritta concordata tra le Parti.
9.2 L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.
9.3 Con il presente Accordo le Parti intendono espressamente revocare e sostituire ogni altro contratto o accordo tra esse esistente, relativo al trattamento dei dati personali.
9.4 Le Parti hanno letto e compreso il contenuto del presente Accordo e sottoscrivendolo esprimono pienamente il loro consenso.
Monza, lì I Contitolari del trattamento
IL COMUNE DI MONZA
IL COMUNE DI ALBIATE
IL COMUNE DI BARLASSINA
IL COMUNE DI BESANA IN BRIANZA
COMUNE DI BIASSONO
IL COMUNE DI BOVISIO MASCIAGO
IL COMUNE DI BRIOSCO
IL COMUNE DI CARATE BRIANZA
IL COMUNE DI CESANO MADERNO
IL COMUNE DI DESIO
IL COMUNE DI GIUSSANO
IL COMUNE DI LENTATE SUL SEVESO
IL COMUNE DI LIMBIATE
IL COMUNE DI LISSONE
IL COMUNE DI MACHERIO
IL COMUNE DI MEDA
IL COMUNE DI MUGGIO’
IL COMUNE DI NOVA MILANESE
IL COMUNE DI XXXXXX
IL COMUNE DI SEREGNO
IL COMUNE DI SEVESO
IL COMUNE DI SOVICO
IL COMUNE DI TRIUGGIO
IL COMUNE DI VAREDO
IL COMUNE DI VEDANO AL LAMBRO
IL COMUNE DI VERANO BRIANZA
IL COMUNE DI VEDUGGIO CON COLZANO
IL COMUNE DI VILLASANTA