ai sensi e per gli effetti dell’art. 28 Reg. UE 2016/679
Contratto con il Responsabile del trattamento dei dati personali Data Processing Agreement
ai sensi e per gli effetti dell’art. 28 Reg. UE 2016/679
Dati del Titolare del trattamento | ||||
Ragione sociale | Comune di Pescara | |||
PIVA / CF | 00124600685 | |||
Indirizzo | Piazza Italia, Pescara (PE) CAP 65122 | |||
Contatti | Tel 000 00000 e-mail: xxxx@xxxxxx.xxxxxxx.xx, PEC: xxxxxxxxxx@xxx.xxxxxx.xxxxxxx.xx | |||
Sindaco - Legale | Nome e cognome | Avv. Xxxxx Xxxxx, rappresentato dalla Dott.ssa Xxxxxx Xxxx, giusto Regolamento per le Gestione e protezione dei dati personali Tel 000 00000 e-mail: xxxx@xxxxxx.xxxxxxx.xx, PEC: xxxxxxxxxx@xxx.xxxxxx.xxxxxxx.xx xxxxxxx.xx | ||
rappresentante | ||||
Dirigente Designato | Contatti | |||
DPO | ||||
Dati del Responsabile del trattamento | ||||
Ragione sociale | ||||
CF | ||||
Indirizzo | ||||
Contatti | ||||
Contatti DPO | ||||
Premesso che Attività | 1. Il Comune di Pescara, Settore Politiche per il Cittadino, Servizio Gestione Politiche Sociali, ha indetto una procedura di co-progettazione per la gestione dei “Centri diurni di aggregazione per la longevità attiva”. Rispetto al Centro ubicato a Pescara in Via è stato individuato/a il/la……………………………con sede legale ………P.I./C.F che , pertanto, è qualificabile, ai fini del trattamento dei dati personali, come Responsabile Esterno del Titolare del Trattamento, Comune di Pescara. 2. Al fine di poter compiutamente svolgere le proprie attività il/la deve poter accedere ai dati personali dei soggetti che frequentano il Centro diurno di aggregazione per la longevità attiva, necessari per lo svolgimento delle proprie attività secondo il principio della minimizzazione del dato. 3. Il presente accordo sul trattamento dei dati personali (nel proseguo, Data Processing Agreement o DPA) descrive i doveri, i compiti ed i requisiti specifici affinché il trattamento dei dati personali effettuato per conto del Titolare da parte del Responsabile del trattamento sia conforme ai requisiti imposti dalla normativa applicabile sulla protezione dei dati personali; 4. I trattamenti effettuati, la natura e la finalità del trattamento, la tipologia di dati personali e le categorie di soggetti interessati oggetto del presente DPA sono di seguito riportati. | |||
La ,che si occupa per conto del Comune di Pescara della gestione del “Centro diurno di aggregazione per la longevità attiva” ubicato in Via……………….. , è autorizzata a trattare in qualità di Responsabile del Trattamento i dati degli utenti, nei limiti di quanto strettamente necessario allo svolgimento della predetta attività, così come in premessa. IL/La potrà trattare i dati strettamente necessari nel rispetto di quanto previsto dal GDPR e dal Codice della Privacy, acquisendo anche quotidianamente i dati strettamente necessari. Tale acquisizione verrà effettuata con strumenti informatici idonei a tutelare i dati personali degli utenti. | ||||
Istruzioni | ||||
Trattamento | Finalità | Categorie di interessati | Categorie di dati | |
Trattamenti | Acquisizione, raccolta, Esecuzione di un accordo di cui il elaborazione, consultazione, Responsabile e il Titolare sono cancellazione, distruzione, parti. strutturazione dei dati personali necessari per l’organizzazione e la Adempiere un obbligo legale al gestione dei servizi del “Centro quale è soggetto il titolare del diurno di aggregazione per la trattamento e esecuzione di un longevità attiva” compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito lo stesso (art. 6, parr. 1, lett. c) ed e), e 3, del Regolamento, nonché 2-ter del Codice) estione “Centro diurno di aggregazione per la longevità attiva” | Anziani over 65 autosufficienti o parzialmente autosufficienti | Dati necessari per lo svolgimento del servizio secondo il principio della minimizzazione del dato (dati anagrafici, codici fiscali) Pag. 1 di 3 | |
Nomina a Responsabile Esterno – G | ||||
Designa | ……………………………….., ai sensi e per gli effetti dell’art. 28 del Reg. UE 2016/679, quale Responsabile del trattamento per tutta la durata, secondo quanto ragionevolmente necessario, per l’organizzazione e la gestione del “Centro Diurno di aggregazione per la longevità attiva”, come previsto dagli atti che disciplinano il rapporto tra l’Amministrazione e rispetto ai quali ultimi la presente nomina è da considerarsi atto integrante e costitutivo. Attraverso la sottoscrizione del presente DPA, il Responsabile del trattamento si impegna a compiere le attività di trattamento dei dati personali in modo lecito, trasparente e secondo correttezza nonché nel pieno rispetto di tutte le disposizioni normative applicabili in materia di protezione dei dati personali, nonché delle seguenti e specifiche istruzioni: Il Responsabile del trattamento si impegna a rispettare ogni normativa o regolamento applicabili in materia di protezione dei dati personali ed in merito ai dati personali oggetto di trattamento non deve compiere operazioni ulteriori e/o diverse da quelle necessarie per l’esecuzione del Contratto, a meno che tale ulteriore attività di trattamento sia richiesta da una legge tempo per tempo vigente cui sia soggetto il Responsabile del trattamento. Il Titolare autorizza il Responsabile a trattare i dati personali secondo quanto ragionevolmente necessario per l’esecuzione del Contratto ripassato tra le predette parti e disciplinanti la gestione del Centro diurno di aggregazione, nonché in conformità con i termini e le condizioni del presente DPA. L’oggetto delle attività di trattamento dei dati personali è la prestazione dei servizi previsti dagli atti richiamati in premessa. La descrizione dei trattamenti, comprese le informazioni riguardanti la durata, la natura e la finalità del trattamento, i tipi di dati personali e le categorie delle persone interessate dal trattamento sono disciplinate nelle premesse al presente DPA, quali parti integranti e sostanziali dello stesso. Il Responsabile si impegna a mantenere un registro delle attività di trattamento, così come previsto dall’art. 30, par. 2, del Reg. UE 2016/679, nel quale siano indicate le caratteristiche dei trattamenti che esegue per conto del Titolare. |
Oggetto Personale del Responsabile del trattamento Sicurezze e verifiche Ulteriori responsabili del trattamento Diritti degli interessati Violazione dei dati personali Restituzione o cancellazione dei dati personali | |
Il Responsabile del trattamento garantisce che il personale coinvolto nel trattamento dei dati personali sia stato preventivamente informato della natura confidenziale delle informazioni trattate, abbia ricevuto un'adeguata istruzione in merito alle proprie responsabilità e abbia sottoscritto uno specifico obbligo legale vincolante finalizzato a tutelare la riservatezza dei dati personali trattati. Il Responsabile del trattamento garantisce che l’accesso ai dati personali sia limitato al personale preventivamente autorizzato per il perseguimento delle finalità previste dal Contratto e dal presente DPA. | |
Il Responsabile del trattamento adotta misure tecniche e organizzative adeguate alla sicurezza (inclusa la prevenzione dal trattamento non autorizzato, dalla distruzione accidentale o illecita, dalla perdita di disponibilità o alterazione o danneggiamento dei dati, dalla divulgazione non autorizzata ovvero dall'accesso illegittimo ai dati personali), confidenzialità e integrità dei dati personali trattati. Queste misure devono includere, ai sensi dell’art. 32 Reg. UE 2016/679, ove opportuno e applicabile: • la pseudonimizzazione e cifratura dei dati personali; • la capacità di garantire su base permanente la confidenzialità, integrità, disponibilità e resilienza dei sistemi e dei servizi di trattamento; • la capacità di ripristinare la disponibilità e l'accesso ai dati personali, in modo tempestivo, in caso di incidente fisico o tecnico; • una procedura per testare, determinare e valutare periodicamente l'efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento dei dati personali; Nella valutazione dell'adeguato livello di sicurezza, il Responsabile del trattamento deve tenere conto dei rischi riguardanti il trattamento di dati personali, in particolare per prevenire qualsiasi violazione della sicurezza, secondo quanto stabilito dalla normativa applicabile sulla protezione dei dati personali. Il Responsabile del trattamento accetta che il Titolare o i suoi rappresentanti designati, con ragionevole preavviso, possa ispezionare e verificare le installazioni ed i sistemi informativi per il trattamento dei dati effettuati dal Responsabile al fine di accertarne la conformità con i termini previsti dal presente DPA e dalla normativa applicabile in materia di protezione dei dati personali. Il Titolare e/o i componenti della propria organizzazione, ovvero i rappresentanti da quest’ultimo designati, si impegnano a mantenere comportamenti leali, collaborativi e trasparenti per tutta la durata delle attività eseguite nei confronti del Responsabile. | |
Il Responsabile del trattamento può ricorrere a un altro sub responsabile solo previa autorizzazione scritta, specifica o generale, del Titolare. Prima di consentire l'accesso, da parte dell’ulteriore Sub responsabile ai dati personali, il Responsabile del trattamento dovrà garantire che tale altro sub responsabile sia obbligato, attraverso un contratto scritto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, al rispetto degli stessi obblighi in materia di protezione dei dati indicati nel presente DPA. | |
Il Responsabile del trattamento comunicherà senza indebito ritardo al Titolare le istanze pervenute da parte di un interessato afferenti all’esercizio di un proprio diritto previsto dagli artt. 15-22 del Regolamento UE 2016/679. Su richiesta del Titolare, il Responsabile del trattamento fornirà una ragionevole assistenza al Titolare per fornire riscontro alle richieste di cui al precedente. | |
Il Responsabile del trattamento deve comunicare al Titolare, senza ingiustificati ritardi e, in ogni caso, entro quarantotto (48) ore dal momento in cui il Responsabile del trattamento ne sia venuto a conoscenza con certezza, l’incidente riguardante la sicurezza o la violazione delle misure di sicurezza che abbiano condotto a un utilizzo non autorizzato, distruzione, perdita, divulgazione, accidentale o illecita, alterazione, accesso illegittimo dei dati personali oggetto di trattamento ovvero qualsiasi altra violazione di sicurezza che comporti una perdita di riservatezza, integrità o disponibilità dei dati personali trattati. Nella propria comunicazione, il Responsabile del trattamento deve indicare ogni informazione utile per consentire al Titolare di adempiere ai propri obblighi di notifica alla competente Autorità Garante o di informazione degli interessati coinvolti nell’evento. Nei casi di cui al precedente, il Responsabile assiste il Titolare avviando un’analisi finalizzata alla raccolta delle seguenti informazioni: 1. Data evento, anche la data presunta di avvenuta violazione (in tal caso deve essere specificato) 2. Data e ora in cui si è avuto conoscenza della violazione; 3. Fonte segnalazione; 4. Tipologia violazione e di informazioni coinvolte; 5. Descrizione evento anomalo; 6. Numero interessati coinvolti e di dati personali di cui si presume la violazione; 7. Indicazione del luogo in cui è avvenuta la violazione dei dati, specificando altresì se essa sia avvenuta a seguito di smarrimento di dispositivi o di supporti portatili; 8. Descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione; Descrizione delle misure di sicurezza tecniche e organizzative adottate per garantire la sicurezza dei dati, dei sistemi e delle infrastrutture IT coinvolte nell’evento. | |
Su richiesta e a scelta del Titolare, dalla data di cessazione degli effetti dei contratti e/o degli atti amministrativi disciplinanti il rapporto tra l’Amministrazione e o dalla loro revoca, per qualsiasi causa intervenuta, il Responsabile si impegna a cancellare e/o a |
Tutto ciò premesso, quale parte integrante e sostanziale del presente DPA, il Titolare del trattamento
restituire tutti i dati personali trattati per conto del Titolare. Quest’ultimo potrà ottenere la cancellazione dei dati oggetto di trattamento nel caso
in cui su questi non vi sia un obbligo giuridico alla conservazione da parte del Responsabile, derivante dalla normativa comunitaria e/o nazionale in vigore.
Efficacia e risoluzione
Il presente DPA avrà efficacia a partire dalla data di sottoscrizione e avrà validità, compresi eventuali rinnovi, fino alla cessazione di ogni effetto dei
contratti e/o degli atti amministrativi di cui sopra, per qualsiasi causa intervenuta.
Responsabilità
Il Responsabile del trattamento si obbliga a tenere indenne e manlevare il Titolare da qualsivoglia perdita, costo, sanzione, danno e da qualsivoglia
responsabilità ascritta a quest’ultimo derivante dalla violazione, da parte del Responsabile medesimo, di propri autorizzati o di propri ulteriori Responsabili, delle disposizioni contenute nel presente DPA e/o delle disposizioni vigenti in materia di protezione dei dati personali.
Qualora il Responsabile violi una delle disposizioni del presente accordo, determinando le finalità ed i mezzi del trattamento dei dati personali, lo stesso sarà considerato a tutti gli effetti quale Titolare delle attività di trattamento per le quali ha determinato, in autonomia ed in violazione del presente DPA, finalità e mezzi del trattamento.
Trasferimento dei dati
Fatto salvo quanto eventualmente previsto dall’Accordo, i dati trattati dal Responsabile nell’ambito del servizio erogato non devono essere
oggetto di trasferimento al di fuori dell’Unione Europea ovvero ad Organizzazioni internazionali.
Disposizioni finali
La sottoscrizione del presente DPA non prevede alcun compenso aggiuntivo in favore del Responsabile rispetto a quanto previsto negli atti
disciplinanti i rapporti economici tra il Comune di Pescara e ……………………………..
Per quanto non espressamente previsto, si rinvia alle disposizioni vigenti in materia di protezione di dati personali.
Le Parti si danno reciprocamente atto che il presente contratto è stato concordato in ogni sua parte; pertanto, non trovano applicazione gli articoli 1341 e 1342 c.c.
Data di nomina Data e firma del Del Dirigente Xxxx. Xxxxx Xxxxxxxx Data e firma del Rappresentante legale di……………………… | {data_nomina} |