Contract

Istituto Comprensivo di Scuola Materna Elementare e Media di MOROZZO Via L. Eula, 8 - 12040 Morozzo - tel. 0000000000 - fax 0000000000

e-mail: xxxx00000x@xxxxxxxxxx.xx - xxxx00000x@xxx.xxxxxxxxxx.xx indirizzo web: xxxx://xxx.xxxxxxxxx.xxx.xx

Prot. N. 1524/VI.02 Morozzo, 15/03/2019

Contratto n. 245 del 15/03/2019 CIG: Z94273A8DF

CONTRATTO DI PRESTAZIONE DI SERVIZI per l’adeguamento ai requisiti richiesti dal Regolamento UE 679/2016 (G.D.P.R) in materia di protezione dei dati personali

Tra

L’Istituto Comprensivo di Scuola Materna, Elementare e Media di Morozzo, con sede in Xxx X. Xxxx 0 , xxx 00000 Xxxxx Xxxxxxx ( XX) c o d . f i s c a l e 8400559004 1 , rappresentato legalmente dal Dirigente Scolastico pro-tempore Prof.ssa Xxxxxxx Xxxxxxxx, nata il 06/12/1972 a Torino (TO), Cod. fiscale CLNDNL72T46L219E e domiciliata per la carica presso la sede dell’Istituto Comprensivo di Morozzo (nel seguito l’Istituto)

e

l’Informatica System S.r.l., con sede legale in Vicoforte, Piazzetta del Borgo, 1 – Vicoforte, 12080, P.IVA 01053440044, nella persona del suo legale rappresentante il Signor Xxxxxx Xxxxxxxx, nato a Mondovì (CN) il 23/10/1950, e ivi residente in Xxx xx X.Xxxxx, 00, cod. fiscale BLNSRG50R23F351G (nel seguito l’Informatica System)

VISTO il D. Lgs 50/2016 e ss.mm.ii.;

VISTO il regolamento generale sulla protezione dei dati (GDPR) UE 2016/679; VERIFICATO che nella scuola non sussiste personale disponibile per l’incarico di Data

Protection Officer (DPO) e di svolgere le dovute procedure di adeguamento al GDPR;

VISTA la determina prot n. 1059/I.04 del 19/2/2019;

VISTA l'offerta della società Informatica System S.r.l. pervenuta in data 19/01/2019 da parte dell’Istituzione scolastica capofila I.I.S. Arimondi-Eula Savigliano- Racconigi;

SI CONVIENE E SI STIPULA

Il presente contratto di prestazione di servizi per l’adeguamento ai requisiti richiesti dal Regolamento UE 679/2016 (G.D.P.R.) in materia di protezione dei dati personali GDPR con decorrenza di anni 3 (tre) dalla sua sottoscrizione

1. INTRODUZIONE: Le novità del Regolamento UE

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è la nuova normativa europea che armonizza e supera le normative attualmente vigenti negli Stati facenti parte della Comunità Europea, punta a rafforzare e proteggere da minacce presenti e future i diritti alla protezione dei dati personali dei propri cittadini, dentro e fuori dall’Unione Europea.

Per farlo il GDPR introduce nuovi obblighi e nuove sanzioni che impongono agli Enti l’adozione di specifiche misure sulla protezione dei dati personali.

Tra gli elementi introdotti dalla normativa ci sono:

- la necessità di gestire un registro dei trattamenti e garantire nel tempo la sicurezza dei dati;

- l’obbligo di notificare i data breach;

- l’esigenza di introdurre la figura dell’RPD / DPO;

- l’esigenza di adottare un approccio ispirato al principio di “privacy design”; l’inasprimento delle sanzioni.

2. OBIETTIVO

Sviluppare un sistema gestionale che consenta di identificare e attuare quanto necessario per rispondere agli obblighi giuridici relativi al Regolamento UE 679/2016 (G.D.P.R.) in materia di protezione dei dati personali e conferire incarico RPD/DPO.

3. MODALITA’ OPERATIVE

L’Informatica System ipotizzerà un calendario operativo con previsione di attività da svolgersi sia presso l ’ Istitu to, sia in modalità di back office presso la propria sede.

L’Informatica System si impegna a considerare riservati e a non divulgare gli stessi dati in nessun modo e per alcun motivo, se non dietro specifica autorizzazione dell’Istituto.

4. STRUTTURAZIONE DELL’INTERVENTO

Il primo passo consiste nell’analisi dell’organizzazione e del livello di adempimento normativo acquisito secondo le seguenti modalità:

- Analizzare le realtà delle gestioni del trattamento dei dati

- Definire il contesto in cui opera l’Istituto scolastico

- Definire l’organigramma privacy

- Valutare i rischi legati alla sicurezza dei dati personali

- Effettuare la valutazione di impatto sulla protezione dei dati (DPIA)

- Analizzare e trattare il rischio relativo alla sicurezza dei dati personali

- Identificare le attività e i trattamenti mettendo in atto le misure tecniche adeguate alla protezione dei dati

- Assegnare i ruoli, i compiti e le responsabilità

- Analisi e stesura delle “Misure minime di sicurezza ICT” dell’aprile 2017, come risultanti dalla circolare AGID n.2/2017

- Identificazione degli obiettivi per la sicurezza dei dati personali e pianificazione per la consecuzione degli stessi

- Predisporre una adeguata procedura per la segnalazione delle violazioni del trattamento dei dati (Data-Breach)

- Formare il personale

Contestualmente si procederà alla preliminare verifica dell’applicazione dei requisiti del Regolamento UE 679/2016 (G.D.P.R.) all’interno dell’Istituto Scolastico.

La seconda fase consente di impostare in modo chiaro le azioni necessarie per conseguire la conformità legislativa attraverso:

- Preparazione delle lettere di Nomina di Titolari, amministratori di sistema, responsabili e sub-responsabili (incaricati)

- Preparazione delle informative aggiornate alla nuova normativa

- Predisposizione del registro dei trattamenti e del registro delle attività

Tutto quanto sopra descritto prevederà lo sviluppo e la consegna di una parte documentale (Sistema Gestionale) costituita da:

- Manuale;

- Procedure;

- Istruzioni;

- Politiche

- Modulistica.

Il servizio prevederà una parte gestita in forma cartacea (istruzioni, politiche e procedure) e una parte digitale (registri, modelli di nomina e lettere di incarico, Valutazione del rischio etc.) appositamente dedicata in un’area riservata.

Il servizio comprenderà almeno n. 2 Audit annuali (Verifiche semestrali) presso la sede dell’Istituto in cui il Dato personale viene trattato quotidianamente.

5. MODALITA’ DI REALIZZAZIONE DEL PROGETTO

a. PROGETTAZIONE del Sistema di gestione per la sicurezza dei dati personali

Il sistema viene progettato avendo come riferimento i principi di:

- UNI EN ISO 9001: Sistema della qualità;

- UNI EN ISO 27001: Sistema della sicurezza;

b. ELABORAZIONE della documentazione del Sistema

La parte documentale verrà sviluppata elaborando procedure che consentano la:

- Definizione del contesto in cui opera l’organizzazione;

- Politiche adottate per la sicurezza dei dati personali;

- Valutazione dei rischi legati alla sicurezza dei dati personali;

- Trattamento del rischio relativo alla sicurezza dei dati personali;

- Assegnazione di ruoli compiti e responsabilità

- Adeguamento alle “Misure minime di sicurezza ICT” dell’aprile 2017, circolare Agid n.2/2017;

- Gestione delle risorse;

- Obiettivi per la sicurezza dei dati personali e pianificazione per conseguirli;

- Misura delle prestazioni;

c. IMPLEMENTAZIONE e VERIFICHE del Sistema di gestione della Sicurezza dei dati personali

In questa fase la Direzione dell’ Istituto dovrà definire ed assegnare in modo formale e documentato responsabilità ed autorità a tutte le figure coinvolte nella gestione e nella attuazione del Sistema di gestione per la sicurezza dei dati personali.

Le verifiche rappresentano tutte le attività di controllo periodico, da effettuare in sede e/o remoto, finalizzate all’accertamento dell’efficacia del sistema stesso ed alla individuazione di eventuali azioni correttive e/o preventive.

6. Conferimento incarico DPO/RPD

Tra gli elementi introdotti dalla normativa viene individuata l’esigenza di introdurre la figura del Responsabile della Protezione dei Dati / Data Protection Officer. L’Informatica System, ha individuato una figura che possiede i necessari requisiti per poter ricoprire tale ruolo. L’Istituto provvederà alla sua designazione con specifico atto formale (vedasi Allegato 1).

Compito dell’RPD / DPO, così come previsto dal Regolamento è:

- informare e fornire consulenza (telefonica o digitale) al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento;

- sorvegliare l'osservanza del presente regolamento, di altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale (otto ore complessive suddivise in quattro ore via webinar, e quattro ore in aula) che partecipa ai trattamenti e alle connesse attività di controllo;

- fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 35 del Regolamento;

- cooperare con l'autorità di controllo;

- fungere da punto di contatto per l'autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 36 del Regolamento, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

7. Costi dei servizi resi

L’ importo del servizio, al netto dell’IVA, è il seguente:

- € 948,00 per adeguamento al GDPR 679/2016 e svolgimento di tutte le attività ad esso collegate e correlate (non sono previste spese di trasferta alla sede in indirizzo indicata né altri costi accessori), compresa la formazione del personale, ma esclusa la spesa per la figura del DPO.

L’importo del servizio, che è da intendersi di durata annuale a partire dalla data di sottoscrizione del presente contratto, è da integrarsi con l’IVA (22%).

N.B. Non sono compresi costi per servizi diversi da quelli descritti nel presente documento. (Esempio: interventi sui dispositivi elettronici, sistemi di protezione informatici, certificazioni, ecc..).

8. Modalità di pagamento

- Il pagamento verrà fatturato per l’intera annualità che decorre dalla stipula del presente contratto.

- Gli importi suddetti verranno regolati attraverso emissione di regolare fattura elettronica e la liquidazione verrà effettuata entro 30 giorni dall’emissione della fattura, mediante bonifico bancario intestato a Informatica System s.r.l. sul conto corrente riportato nel documento contabile, a seguito di certificazione regolare fornitura del servizio reso ed esito positivo del controllo dei requisiti ex art. 80 D.lgs. n. 50/2016 e ss.mm.ii..

9. Obblighi di riservatezza

Le parti si obbligano a mantenere riservati i dati e le informazioni, ivi comprese quelle che transitano per le apparecchiature di elaborazione e di trasmissione dati, di cui vengano in possesso e, comunque, a conoscenza, a non divulgarli in alcun modo e in qualsiasi forma e a non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione del presente contratto.

10.Forza maggiore

Le Parti non potranno essere considerate responsabili per ritardi o mancata esecuzione di quanto stabilito nel contratto, qualora ciò sia dipeso esclusivamente da eventi al di fuori della sfera di controllo della Parte e la Parte non adempiente abbia agito con il massimo impegno per prevenire i suddetti eventi e/o risolverne le conseguenze. L’onere di provare che il verificarsi di tali eventi impedisce la tempestiva esecuzione, o l’esecuzione stessa, grava sulla parte inadempiente.

La Parte che abbia avuto notizia di un evento che possa considerarsi di forza maggiore ne darà immediata comunicazione all’altra e le Parti si incontreranno immediatamente al fine di concordare insieme gli eventuali rimedi per ripristinare quanto prima la normale funzionalità dei servizi.

11.Risoluzione e recesso del contratto

x. Xxxxxxx ad adempiere

Di fronte all’inadempimento di una parte, l’altra parte potrà intimare per iscritto, mediante una comunicazione non generica corredata di adeguata documentazione tecnica, di porre rimedio a tale inadempimento entro il termine di 30 giorni, avvertendo esplicitamente la controparte che, decorso inutilmente tale termine, la parte intimante potrà dichiarare per iscritto la risoluzione del contratto o della sola parte cui è relativo l’inadempimento.

b. Clausola risolutiva espressa

Il contratto si risolverà di diritto ai sensi dell’art. 1456 c.c. quando l’inadempienza riguardi una delle seguenti obbligazioni:

- mancata esecuzione delle obbligazioni di risultato di cui ai punti 2-3-4-5-6 del presento contratto;

- caso di subappalto non autorizzato;

- mancato pagamento dei corrispettivi al Fornitore oltre 30 giorni;

- violazione del segreto aziendale e della riservatezza di cui all’art. 10 del presente contratto;

- violazione tutela della proprietà intellettuale.

c. Recesso dal contratto

Il cliente può recedere dal presente contratto dando un preavviso di 30 gg a mezzo PEC o Raccomandata A.R.. In tal caso il cliente pagherà comunque l’importo della rata relativa alla fase in corso.

12. Disposizioni generali

La Informatica System srl si impegna a presentare dichiarazione di possesso di conto corrente dedicato alla gestione dei flussi finanziari ai sensi dell’art. 3 della Legge n. 136/2010 e assume tutti gli obblighi di tracciabilità dei flussi finanziari di cui allo stesso articolo.

Per tutto quanto non espressamente previsto nel presente atto, si rinvia alle disposizioni generali vigenti in materia di protezione dei dati personali e di contratti pubblici.

L'Istituzione scolastica fa presente, altresì, ai sensi dell'art.13 del Reg. UE 2016/679 “Regolamento Europeo per la protezione dei dati personali” e del D.Lgs 196/2003, che i dati personali forniti da Informatica System S.r.l. acquisiti dalla scuola saranno oggetto di trattamento (nel rispetto della normativa sopra richiamata e degli obblighi di sicurezza e riservatezza) finalizzato ad adempimenti richiesti dall'esecuzione di obblighi di legge o di contratto inerenti al rapporto di lavoro autonomo o di collaborazione occasionale, o comunque connesso alla gestione dello stesso. Tali dati potranno dover essere comunicati, per le medesime esclusive finalità, a soggetti cui sia riconosciuta da disposizione di legge la facoltà di accedervi. A tal proposito, il titolare del trattamento è l’Istituto Comprensivo di Morozzo.

13. Foro competente

Il Foro competente, in caso di qualsivoglia vertenza o questione inerente, derivante, connessa o comunque collegata all’interpretazione del presente contratto, è quello di Cuneo.

Il nominativo e i dati di contatto dell’RPD / DPO (recapito postale, telefono, email) saranno resi disponibili e pubblicati sul sito internet istituzionale dell’Istituto e comunicati al Garante per la protezione dei dati personali.

Letto, firmato e sottoscritto.

I CONTRAENTI

IL DIRIGENTE SCOLASTICO IL FORNITORE D’OPERA

(Prof. ssa Xxxxxxx Xxxxxxxx)* Informatica System S.r.l.*

* Firmato digitalmente ai sensi del c.d. Codice dell’Amministrazione Digitale e normativa connessa.

Copia conforme con l’originale informatico sostituita a mezzo stampa ai sensi e per gli effetti dell'art. 3, comma 2, del D.lgs. n. 39/1993.