CONSIGLIO REGIONALE DEL LAZIO
CONSIGLIO REGIONALE DEL LAZIO
Direzione: SEGRETERIA GENERALE
Area:
DETERMINAZIONE (con firma digitale)
N. A00359
del
10/05/2024
Proposta n. 1026 del 09/05/2024
CIG: B149D11785 Individuazione Società Whistleblowing Solutions Impresa Sociale S.r.l. per la fornitura della piattaforma per la presentazione e la gestione delle segnalazioni effettuate ai sensi del d.lgs. n. 24/2023. Approvazione procedura, approvazione schema di Contratto di Servizio - approvazione Schema di Accordo sul Responsabile esterno del Trattamento dati ex art. 28 del GDPR - Nomina RUP.
Oggetto:
Proponente: | ||
Estensore | XXXXXXX XXXXXXXXXX | firma elettronica |
Responsabile del procedimento Responsabile dell' Area | XXXXXXX XXXXXXXXXX | firma elettronica |
Direttore | SEGR. GEN.LE VICARIO X. XXXXXXX | firma digitale |
Firma di Concerto | ||
OGGETTO: CIG: B149D11785 Individuazione Società Whistleblowing Solutions Impresa Sociale
S.r.l. per la fornitura della piattaforma per la presentazione e la gestione delle segnalazioni effettuate ai sensi del d.lgs. n. 24/2023.
Approvazione procedura, approvazione schema di Contratto di Servizio – approvazione Schema di Accordo sul Responsabile esterno del Trattamento dati ex art. 28 del GDPR - Nomina RUP.
IL SEGRETARIO GENERALE
VISTO lo Statuto, approvato con legge statutaria 11 novembre 2004, n. 1 e successive modifiche e, in particolare, gli articoli 24 e 53;
VISTA la legge regionale 18 febbraio 2002, n. 6 (Disciplina del sistema organizzativo della Giunta e del Consiglio e disposizioni relative alla dirigenza ed al personale regionale) e successive modifiche;
VISTO il regolamento di organizzazione del Consiglio regionale, approvato con deliberazione dell’Ufficio di presidenza 29 gennaio 2003, n. 3 e successive modifiche;
VISTA la deliberazione dell’Ufficio di Presidenza 7 giugno 2023, n. U00026 (Cessazione dell’incarico del Segretario generale del Consiglio regionale del Lazio. Conferimento delle funzioni vicarie all’Xxx. Xxxxxxxx Xxxxxxx);
VISTA la deliberazione dell’Xxxxxxx xx Xxxxxxxxxx 00 gennaio 2024, n. U00010 (Nomina del responsabile prevenzione della corruzione e della trasparenza (RPCT) del Consiglio regionale del Lazio);
VISTA la determinazione 10 maggio 2023, n. A00199 (Dott.ssa Xxxxxxxxxx Xxxxxxx. Conferimento dell’incarico di posizione organizzativa connessa alla sezione denominata “Attuazione dei principi e degli adempimenti in materia di anticorruzione e trasparenza”, istituita nell’ambito dell’Area “Etica pubblica, Banche dati, Pubblicazioni, Privacy” del Servizio “Prevenzione della Corruzione, Trasparenza”);
VISTA la determinazione 21 luglio 2023, n. A00401 (Istituzione delle aree presso il Consiglio regionale del Lazio. Revoca della determinazione 9 febbraio 2022, n. A00138);
VISTA la deliberazione dell’ Xxxxxxx xx Xxxxxxxxxx 00 gennaio 2024, n. U00011 (Adozione del Piano Integrato di Attività e Organizzazione (PIAO) 2024-2026);
VISTA la Legge 6 novembre 2012, n. 190 e ss.mm.ii. (Disposizioni per la prevenzione e la repressione della corruzione e dell'illegalità nella pubblica amministrazione);
VISTO il Decreto Legge 24 giugno 2014, n. 90 coordinato con la legge di conversione 11 agosto 2014, n. 114 (Misure urgenti per la semplificazione e la trasparenza amministrativa e per l’efficienza degli uffici giudiziari” che trasferisce all'Autorità nazionale anticorruzione le funzioni
del Dipartimento della funzione pubblica della Presidenza del Consiglio dei Ministri in materia di prevenzione della corruzione, di cui all'articolo 1 della legge 6 novembre 2012 n. 190);
VISTO il decreto legislativo 31 marzo 2023, n. 36 (Codice dei contratti pubblici in attuazione dell’articolo 1 della legge 21 giugno 2022, n. 78, recante delega al Governo in materia di contratti pubblici);
VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (c.d. GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE e in particolare:
- l’art. 28 relativo alla nomina quali “responsabili del trattamento” di eventuali fornitori esterni che trattano dati personali per conto dell’Ente,
- l’art. 35 del GDPR, relativo alla valutazione d'impatto (DPIA – Data Protection Impact Assessment) quale uno strumento utile per delineare un trattamento di dati e per valutarne la necessità, la proporzionalità e i relativi rischi;
VISTA la Direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio del 23 ottobre 2019 riguardante la protezione delle persone che segnalano violazioni del diritto dell’Unione;
VISTO il Decreto Legislativo 10 marzo 2023, n. 24 (Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali) e in particolare l’art. 13 comma 6;
VISTA la Delibera dell’Autorità Nazionale Anticorruzione n. 311 del 12 luglio 2023 (Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali – procedure per la presentazione e gestione delle segnalazioni esterne);
VISTO il decreto legislativo 23 giugno 2011, n. 118 (Disposizioni in materia di armonizzazione dei sistemi contabili e degli schemi di bilancio delle Regioni, degli enti locali e dei loro organismi, a norma degli articoli 1 e 2 della legge 5 maggio 2009, n. 42) e successive modifiche;
VISTA la legge regionale 12 agosto 2020, n. 11 (Legge di contabilità regionale);
VISTA la deliberazione consiliare 6 ottobre 2021, n. 17 (Regolamento di contabilità del Consiglio regionale del LAZIO);
VISTA la deliberazione consiliare 22 dicembre 2023, n. 18 (Bilancio di previsione finanziario del Consiglio regionale del Lazio 2024-2026);
VISTA la legge regionale 29 dicembre 2023, n. 24 (Bilancio di previsione finanziario della Regione Lazio 2024-2026);
VISTA la deliberazione dell’Ufficio di presidenza 04 gennaio 2024, n. U00001 (Bilancio di previsione finanziario del Consiglio regionale del Lazio 2024-2026. Approvazione del “Documento
tecnico di accompagnamento”, ripartito in titoli, tipologie e categorie per le entrate ed in missioni, programmi e macroaggregati per le spese);
VISTA la deliberazione dell’Ufficio di presidenza 04 gennaio 2024, n. U00002 (Bilancio di previsione finanziario del Consiglio regionale del Lazio 2024-2026. Approvazione del “Bilancio finanziario gestionale”, ripartito in capitoli di entrata e di spesa ed assegnazione delle risorse finanziarie ai dirigenti titolari dei centri di responsabilità amministrativa);
RITENUTO necessario, alla luce delle indicazioni fornite dall’ANAC con le citate Linee guida di cui alla Delibera n. 311/2023, predisporre un nuovo sistema informatico per la ricezione e la gestione delle segnalazioni nonché adeguare la procedura già in essere alle nuove disposizioni del D.lgs. n. 24/2023, che rafforza ed estende la protezione a soggetti diversi da chi segnala, come il facilitatore o le persone menzionate nella segnalazione;
VISTO il PIAO 2024 – 2026, di cui alla Deliberazione dell’UdP n. U00011/2024, e in particolare la sottosezione di programmazione Sezione 2.3 “Rischi corruttivi e Trasparenza” nella parte in cui dispone che “Il canale di segnalazione e la relativa procedura (di cui alle circolari prot. RU 24696 e RU 24698 del 19-10-2022) saranno comunque oggetto di revisione, nel corso del 2024, da parte del RPCT con il supporto dell’Area Anticorruzione, Trasparenza.”
VISTA la nota prot. 25 marzo 2024 n. 8010 del Responsabile della Prevenzione della Corruzione, Trasparenza (c.d. RPCT) con cui la procedura di gestione delle segnalazioni revisionata è stata trasmessa alla Segreteria generale per gli adempimenti conseguenti;
PRESO ATTO della mail della competente struttura Area Affari Generali della Segreteria Generale del 26 marzo 2024 con cui si è proceduto alla preventiva informativa delle organizzazioni sindacali, di cui all'articolo 51 del decreto legislativo n. 81 del 2015, sulla nuova procedura per la presentazione e la gestione delle segnalazioni, come previsto dall’art. 4 del decreto legislativo n. 24 del 2023, con invito a formulare eventuali osservazioni entro 5 giorni dal ricevimento della comunicazione e che entro la scadenza non sono pervenute osservazioni;
RITENUTO, pertanto, di adottare la nuova procedura di cui all’Allegato A (Procedura di gestione delle segnalazioni effettuate ai sensi del d.lgs. 24/2023) – parte integrante e sostanziale della presente determinazione – per la presentazione e la gestione delle segnalazioni in attuazione del PIAO 2024 -2026, che consente al Consiglio regionale del Lazio di adeguarsi alle disposizioni di cui al Decreto legislativo n. 24/2023;
PRESO ATTO della necessità, a tal fine, di acquisire il software libero ed open-source, in cloud, per dialogare con i segnalanti con modalità che garantiscono sicurezza e anonimato, a disposizione di tutte le Amministrazioni Pubbliche gratuitamente da WhistleblowingIT, progetto di Transparency International Italia e Whistleblowing Solutions Impresa Sociale S.r.l. (P.IVA. IT09495830961) realizzato e di proprietà della GlobaLeaks.
RITENUTO OPPORTUNO individuare la società Whistleblowing Solutions Impresa Sociale S.r.l. quale Società fornitrice del software per la gestione delle segnalazioni che garantisce altresì l’eventuale esportazione dei dati e delle configurazioni per migrazione su sistemi informativi autonomi (no lock-in) e garantisce la conservazione delle chiavi crittografiche, gli eventuali aggiornamenti e l’assistenza del software;
RITENUTO, pertanto, di approvare lo Schema di contratto di Servizio per adesione e di procedere alla sottoscrizione di tale contratto da parte del Segretario generale vicario con la sopraindicata
Società, a titolo gratuito e della durata di mesi 12 (dodici) decorrenti dalla data della sua sottoscrizione che, salvo diversa ed espressa indicazione, si intende, tacitamente e automaticamente rinnovato con durata annuale, a meno che una delle parti non provveda ad effettuare comunicazione di recesso, a mezzo Raccomandata A/R ovvero altro mezzo di comunicazione, anche elettronico, con un anticipo di almeno 30 giorni sulla scadenza prevista, come da Allegato B parte integrante e sostanziale della presente determinazione;
PRESO ATTO della Valutazione di impatto sulla protezione dei dati (DPIA) e del parere del Responsabile Protezione Dati (RPD) allegati alla nota prot. n. 9045 del 15 aprile 2024 del dirigente ad interim dell’Area "Comunicazione, Stampa, URP, Pubblicazioni e banche dati, Tutela della Privacy" del Servizio "Comunicazione e Relazioni esterne";
RITENUTO altresì di approvare il relativo Schema di Accordo sul Responsabile esterno del Trattamento dati ex art. 28 del GDPR come da Allegato C parte integrante e sostanziale della presente determinazione;
RITENUTO altresì, necessario individuare la società Whistleblowing Solutions Impresa Sociale
S.r.l. quale “Responsabile del trattamento dati personali” ai sensi dell’art. 28 del GDPR mediante apposito atto giuridico a norma del diritto dell’Unione Europea, in considerazione che le attività afferenti il contratto di fornitura del servizio in oggetto, comportano, da parte del fornitore, il trattamento di dati personali per conto del Titolare;
RITENUTO di individuare, ai sensi del d.lgs n. 36/2023 la dott.ssa Xxxxxxxxxx Xxxxxxx, quale responsabile Unico del Progetto – RUP, in quanto possiede i requisiti di idoneità ed esperienza professionale richiesti dalla normativa vigente ed ha dichiarato di non trovarsi, rispetto alla procedura di che trattasi, in situazione di incompatibilità o conflitto di interessi neppure potenziale e, in conformità con le previsioni di cui all’art. 411-bis del Regolamento di organizzazione del Consiglio regionale, anche “persona autorizzata al trattamento dei dati personali, relativamente alla procedura in questione”;
DATO ATTO che il Codice Identificativo di Gara (CIG) attribuito alla presente procedura dalla PCP in data 16.04.2024 è il seguente: B149D11785;
VISTO il decreto legislativo 14 marzo 2013, n. 33 (Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni) e successive modifiche;
DATO ATTO che la presente determinazione non comporta oneri a carico del bilancio del Consiglio regionale.
DETERMINA
per le motivazioni di cui nelle premesse che qui si intendono integralmente richiamate
• di approvare la procedura per la presentazione e la gestione delle segnalazioni di cui all’Allegato A (Procedura di gestione delle segnalazioni effettuate ai sensi del d.lgs. n. 24/2023), che costituisce parte integrante e sostanziale della presente determinazione;
• di individuare, la Società Whistleblowing Solutions Impresa Sociale S.r.l. (P.IVA. IT09495830961), come fornitrice del software libero ed open-source, in cloud, per dialogare con i segnalanti con modalità che garantiscono sicurezza e anonimato, messo a disposizione di tutte le Pubbliche Amministrazioni che garantisce altresì l’eventuale esportazione dei dati e delle configurazioni per migrazione su sistemi informativi autonomi (no lock-in) e garantisce la conservazione delle chiavi crittografiche, gli eventuali aggiornamenti e l’assistenza;
• di individuare la società Whistleblowing Solutions Impresa Sociale S.r.l. quale “Responsabile del trattamento dati personali” ai sensi dell’art. 28 del GDPR mediante apposito atto giuridico a norma del diritto dell’Unione Europea, in considerazione che le attività afferenti il contratto di fornitura del servizio in oggetto, comportano, da parte del fornitore, il trattamento di dati personali per conto del Titolare;
• di approvare lo schema di contratto di Servizio per adesione con la sopraindicata Società Whistleblowing Solutions, a titolo gratuito, come da Allegato B parte integrante e sostanziale della presente determinazione e di procedere alla sottoscrizione di tale contratto da parte del Segretario generale xxxxxxx;
• di approvare il relativo Schema di Accordo sul Responsabile esterno del Trattamento dati ex art. 28 del GDPR come da Allegato C parte integrante e sostanziale della presente determinazione e di procedere alla sottoscrizione di tale Accordo da parte del Segretario generale vicario;
• di nominare la dott.ssa Xxxxxxxxxx Xxxxxxx, quale responsabile Unico del Progetto – RUP, in quanto possiede i requisiti di idoneità ed esperienza professionale richiesti dalla normativa vigente ed ha dichiarato di non trovarsi, rispetto alla procedura di che trattasi, in situazione di incompatibilità o conflitto di interessi neppure potenziale e, in conformità con le previsioni di cui all’art. 411-bis del Regolamento di organizzazione del Consiglio regionale, anche “persona autorizzata al trattamento dei dati personali, relativamente alla procedura in questione”;
• di dare atto che il Codice Identificativo di Gara (CIG) attribuito alla presente procedura dalla PCP in data 16.04.2024 è il seguente: B149D11785;
• di pubblicare il presente provvedimento nella sezione “Amministrazione trasparente” del sito istituzionale del Consiglio regionale;
• di dare mandato al Responsabile della Prevenzione della Corruzione, Trasparenza (RPCT) di provvedere agli adempimenti necessari alla operatività della piattaforma.
Xxx. Xxxxxxxx Xxxxxxx
GESTIONE DELLE SEGNALAZIONI EFFETTUATE AI SENSI DEL D.LGS.
24/2023 (Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.)
1) Riferimenti normativi
Il decreto legislativo 10 marzo 2023, n. 24 (Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.) ha innovato la disciplina del cd. whistleblower già prevista dall’articolo 54 bis del decreto legislativo 165/2001, ora abrogato.
La nuova normativa reitera e rafforza, estendendone anche l’ambito soggettivo, le particolari forme di tutela per il segnalante che, nell’interesse dell’integrità dell’azione pubblica, denunci al RPCT, all’ANAC, all'autorità giudiziaria o alla Corte dei conti condotte illecite di cui sia venuto a conoscenza in ragione del rapporto di lavoro. Le tutele sono escluse ove, anche con sentenza di primo grado, sia accertata la responsabilità penale del segnalante per i reati di calunnia o diffamazione e negli altri casi di cui all’art. art. 16 del d.lgs. 24/2023.
2) Chi può effettuare la segnalazione
La presente procedura incoraggia a segnalare chiunque acquisisca, nel contesto dell’attività lavorativa, informazioni sulle violazioni di disposizioni normative nazionali o dell'Unione europea che ledono l'interesse pubblico o l'integrità dell'amministrazione pubblica, di cui siano venute a conoscenza in un contesto lavorativo relativo al Consiglio regionale del Lazio.
Lo scopo della procedura è quello di facilitare la comunicazione di informazioni relative a violazioni riscontrate durante l’attività lavorativa. A tale scopo lo spettro delle potenziali persone segnalanti è molto ampio. La procedura è volta a garantire questi soggetti, nel momento in cui segnalino una condotta illecita relativa al Consiglio regionale del Lazio.
Possono effettuare una segnalazione attraverso la procedura le seguenti categorie di soggetti:
1. Dipendenti
2. Collaboratori
3. Fornitori, subfornitori e dipendenti e collaboratori degli stessi
4. Liberi professionisti, consulenti, lavoratori autonomi
5. Volontari e tirocinanti, retribuiti o non retribuiti
6. Azionisti o persone con funzione di amministrazione, direzione, vigilanza, controllo o rappresentanza
7. Ex dipendenti, ex collaboratori o persone che non ricoprono più una delle posizioni indicate in precedenza
8. Soggetti in fase di selezione, di prova o il cui rapporto giuridico con l’ente non sia ancora iniziato
La procedura protegge anche l’identità dei soggetti facilitatori, le persone fisiche che assistono una persona segnalante nel processo di segnalazione, operanti all'interno del medesimo contesto lavorativo.
3) Oggetto della segnalazione
All’interno di questa procedura possono essere segnalati fatti illeciti di cui si sia venuti a conoscenza nel contesto della propria attività lavorativa. Possono essere riportati anche sospetti, qualificati, di reati o altre violazioni di disposizioni di legge o potenziali rischi di commissione degli stessi. Non viene richiesto alla persona segnalante di dimostrare in modo completo la commissione di un illecito
ma le segnalazioni devono essere quanto più possibile circostanziate, al fine di consentire un accertamento dei fatti comunicati da parte dei soggetti riceventi. Allo stesso tempo, non si invitano i soggetti segnalanti ad attuare attività di investigazione che possano esporli individualmente. Le segnalazioni possono riguardare illeciti penali, civili, amministrativi o contabili, così come le violazioni di normative comunitarie. Non rientrano nell’oggetto del d.lgs. 24/2023 e, quindi, di questa procedura le contestazioni, rivendicazioni o richieste legate ad un interesse di carattere personale della persona segnalante che attengono esclusivamente ai propri rapporti di lavoro o di impiego pubblico, ovvero inerenti ai propri rapporti di lavoro o di impiego pubblico con le persone gerarchicamente sovraordinate di carattere personale.
4) Chi riceve e gestisce le segnalazioni
Il Responsabile per la Prevenzione della Corruzione e la Trasparenza (RPCT) è il soggetto responsabile per la ricezione e gestione delle segnalazioni di illecito. Il RPCT può essere coadiuvato da soggetti del suo gruppo di supporto specificamente nominati con atto interno. Il RPCT, riceve le segnalazioni e dialoga con la persona segnalante per chiarire e approfondire quanto ricevuto. Il dialogo con la persona segnalante continua anche durante le fasi di accertamento. Il responsabile, eventualmente coadiuvato come sopra, dopo una valutazione iniziale, svolge un’attività di accertamento delle informazioni segnalate, anche richiedendo specifiche informazioni ad altri uffici e funzioni interni all’organizzazione. Il ricevente fornisce riscontri periodici alla persona segnalante e, al termine dell’attività di accertamento, comunica l’esito delle attività stessa. Tra i possibili esiti che possono essere comunicati alla persona segnalante ci sono: o correzione di processi interni o avvio di un procedimento disciplinare e/o trasferimento dei risultati delle attività di accertamento alla procura della Repubblica (e/o della Corte dei conti in caso di danno erariale) o archiviazione per mancanza di evidenze.
La segnalazione che venga erroneamente inviata al superiore gerarchico potrebbe non essere trattata come una segnalazione di whistleblowing, in quanto quest’ultimo non ha gli stessi obblighi di riservatezza in carico al RPCT.
Tuttavia, la segnalazione interna presentata ad un soggetto diverso dal RPCT, laddove il segnalante dichiari espressamente di voler beneficiare delle tutele in materia whistleblowing o tale volontà sia desumibile dalla segnalazione, è considerata “segnalazione whistleblowing” e va trasmessa entro 24 ore dal suo ricevimento, al RPCT, dando contestuale notizia della trasmissione alla persona segnalante.
Qualora la segnalazione riguardi il RPCT il segnalante può inviare la segnalazione direttamente all’ANAC ovvero alle altre Autorità competenti, secondo quanto previsto dalla legge.
5) Canali di segnalazione
Il Consiglio regionale mette a disposizione delle persone segnalanti canali diversi per le segnalazioni di violazioni ai sensi della presente procedura. In particolare, è possibile effettuare segnalazioni in forma orale e in forma scritta.
Per quanto riguarda le segnalazioni in forma scritta, l’ente mette a disposizione una piattaforma informatica crittografata, fornita da Transparency International Italia e Whistleblowing Solutions attraverso il progetto WhistleblowingIT. La piattaforma utilizza GlobaLeaks, il principale software open-source per il whistleblowing. Questo strumento garantisce, da un punto di vista tecnologico, la riservatezza della persona segnalante, dei soggetti menzionati nella segnalazione e del contenuto della stessa.
Sulla piattaforma è caricato un questionario che guida la persona segnalante nel percorso di segnalazione attraverso domande aperte e chiuse, di cui alcune obbligatorie. È anche possibile allegare documenti alla segnalazione. Al termine della segnalazione la persona segnalante riceve un codice univoco di 16 cifre, con il quale può accedere alla segnalazione e dialogare in maniera
bidirezionale con il RPCT, scambiare messaggi e inviare nuove informazioni. Tutte le informazioni contenute sulla piattaforma sono crittografate e possono essere lette solo dal RPCT stesso.
Non è possibile gestire altre segnalazioni ricevute in forma scritta. Qualora queste fossero inviate, il soggetto ricevente, ove possibile, inviterà la persona segnalante a presentare nuovamente la segnalazione tramite la piattaforma informatica.
Per le segnalazioni in forma orale, si invita la persona segnalante a contattare direttamente il RPCT, richiedendo disponibilità per un colloquio telefonico o, eventualmente, un incontro personale. Le segnalazioni in forma orale vengono verbalizzate e il verbale deve essere firmato dalla persona segnalante, affinché sia processato. È opportuno ricordare che le segnalazioni in forma orale non offrono la stessa riservatezza tecnologica delle segnalazioni effettuate tramite piattaforma crittografata.
6) Le tempistiche di gestione delle segnalazioni
Al termine del percorso di segnalazione la piattaforma mostra un codice di ricevuta a conferma che la segnalazione è stata consegnata e presa in carico dal soggetto ricevente.
Entro 7 giorni, il RPCT ricevente conferma alla persona segnalante la presa in carico della segnalazione e invita il soggetto segnalante a monitorare la sua segnalazione sulla piattaforma per rispondere a possibili richieste di chiarimenti o approfondimenti.
Entro 3 mesi dal giorno della segnalazione, il soggetto ricevente comunica alla persona segnalante un riscontro rispetto alle attività di accertamento svolte per verificare le informazioni comunicate nella segnalazione.
Il riscontro fornito entro 3 mesi può coincidere con l’esito delle attività di accertamento. Qualora queste non fossero concluse, il ricevente invita la persona segnalante a tenere monitorata la piattaforma fino a conoscere l’esito definitivo delle stesse.
Il termine per l’esame preliminare della segnalazione, cui consegue l’avvio dell’istruttoria, è di quindici giorni lavorativi.
Il termine per l’avvio dell’istruttoria è di quindici giorni lavorativi che decorrono dalla data di ricezione della segnalazione.
Il termine per la definizione dell’istruttoria è di sessanta giorni che decorrono dalla data di avvio della stessa.
7) Riservatezza e anonimato
Il RPCT è tenuto a trattare le segnalazioni preservandone la riservatezza. Le informazioni relative all’identità del soggetto segnalante, del soggetto segnalato e di ogni altra persona menzionata nella segnalazione sono trattate secondo i principi di confidenzialità. Allo stesso modo, sono trattate in modo confidenziale anche tutte le informazioni contenute nella segnalazione.
L’identità della persona segnalante non può essere rivelata senza il suo consenso. La conoscenza delle segnalazioni e dei relativi atti di accertamento sono sottratti anche al diritto all’accesso amministrativo da parte dei soggetti interessati.
L’unico motivo di possibile rivelazione dell’identità della persona segnalante può avvenire nel caso in cui gli atti di accertamento siano inoltrati presso una procura ordinaria o contabile e la conoscenza della stessa sia necessaria ai fini del diritto di difesa durante un procedimento giudiziario ordinario o contabile presso la Corte dei conti, nei modi e nei termini previsti dalla legge.
La riservatezza è garantita attraverso strumenti tecnologici, quali la piattaforma crittografata per le segnalazioni e un protocollo riservato, e all’interno di processi organizzativi volti a minimizzare la circolazione delle informazioni.
È possibile anche l’invio di segnalazioni anonime. Il RPCT può decidere se processarle o meno. In ogni caso, le segnalazioni vengono trattate secondo gli stessi principi di riservatezza.
Tuttavia, nel caso di segnalazioni anonime, il RPCT non avendo conoscenza dell’identità del soggetto segnalante potrebbe involontariamente esporlo durante le attività di accertamento.
8) Il trattamento dei dati personali
Le segnalazioni ricevute, le attività di accertamento e le comunicazioni tra la persona segnalante e il RPCT sono documentate e conservate in conformità alle prescrizioni in materia di riservatezza e protezione dei dati.
I dati personali saranno conservati per tutta la durata delle attività finalizzate alla realizzazione dei compiti istituzionali del RPCT. In nessun caso le segnalazioni saranno conservate oltre i 5 anni successivi alla comunicazione dell’esito delle attività di accertamento alla persona segnalante.
Per quanto riguarda l’accesso ai dati personali, questi sono conosciuti solo dal soggetto ricevente e, se indicato in specifico atto organizzativo, dai membri dello staff di supporto alla gestione della segnalazione.
Nel corso delle attività di accertamento il soggetto ricevente può condividere con altre funzioni dell’ente informazioni preventivamente anonimizzate e minimizzate rispetto alle specifiche attività di competenza di queste ultime.
L'identità della persona segnalante e qualsiasi altra informazione da cui può evincersi, direttamente o indirettamente, tale identità non possono essere rivelate, senza il consenso espresso della stessa persona segnalante, a persone diverse da quelle competenti a ricevere o a dare seguito alle segnalazioni, espressamente autorizzate a trattare tali dati.
Nell'ambito del procedimento penale, l'identità della persona segnalante è coperta dal segreto nei modi e nei limiti previsti dall'articolo 329 del codice di procedura penale. Nell'ambito del procedimento dinanzi alla Corte dei conti, l'identità della persona segnalante non può essere rivelata fino alla chiusura della fase istruttoria.
Nell'ambito del procedimento disciplinare, l'identità della persona segnalante non può essere rivelata, ove la contestazione dell'addebito disciplinare sia fondata su accertamenti distinti e ulteriori rispetto alla segnalazione, anche se conseguenti alla stessa. Qualora la contestazione sia fondata, in tutto o in parte, sulla segnalazione e la conoscenza dell'identità della persona segnalante sia indispensabile per la difesa del segnalato, la segnalazione sarà utilizzabile ai fini del procedimento disciplinare solo in presenza del consenso espresso della persona segnalante alla rivelazione della propria identità.
In tale ultima ipotesi è dato avviso alla persona segnalante mediante comunicazione scritta delle ragioni della rivelazione dei dati riservati, nonché nelle procedure di segnalazione interna ed esterna quando la rivelazione della identità della persona segnalante è indispensabile anche ai fini della difesa della persona coinvolta.
9) Xxxxxx, protezioni e sistema sanzionatorio
La persona cui si fa riferimento nella segnalazione come responsabile del sospetto di illecito beneficia di misure di protezione dell’identità analoghe a quelle della persona segnalante e delle altre persone menzionate nella segnalazione.
In aggiunta alla tutela della riservatezza dell’identità della persona segnalante e dei soggetti menzionati nella segnalazione, nonché del contenuto della stessa, esistono altre forme di tutela garantite dalla normativa a protezione del whistleblower. Viene infatti garantita protezione alla persona segnalante contro ogni forma di ritorsione o discriminazione che dovesse subire in seguito e a causa di una segnalazione. Per ritorsione si intende qualsiasi azione o omissione minacciata o reale, diretta o indiretta, collegata o derivante da segnalazioni di illeciti effettivi o sospetti, che causi o possa causare danni fisici, psicologici, danni alla reputazione della persona, perdite economiche.
Tra le possibili discriminazioni rientrano, a titolo esemplificativo:
- il licenziamento, la sospensione o misure equivalenti;
- la retrocessione di grado o la mancata promozione;
- il mutamento di funzioni, il cambiamento del luogo di lavoro, la riduzione dello stipendio, la modifica dell'orario di lavoro;
- la sospensione della formazione o qualsiasi restrizione dell'accesso alla stessa;
- note di merito o referenze negative;
- misure disciplinari o altra sanzione, anche pecuniaria;
- la coercizione, l'intimidazione, le molestie o l'ostracismo;
- la discriminazione o un trattamento sfavorevole;
- la mancata conversione di un contratto di lavoro a termine in un indeterminato, laddove il lavoratore avesse una legittima aspettativa a detta conversione;
- il mancato rinnovo o la risoluzione anticipata di un contratto a termine;
- danni, anche alla reputazione della persona, pregiudizi economici o finanziari, comprese la perdita di opportunità economiche e di redditi;
- l'inserimento in elenchi impropri sulla base di un accordo settoriale o industriale formale o informale, che può comportare l’impossibilità per la persona di trovare un'occupazione nel settore in futuro;
- la conclusione anticipata o l'annullamento del contratto di fornitura di beni o servizi; l'annullamento di una licenza o di un permesso;
- la richiesta di sottoposizione ad accertamenti psichiatrici o medici.
Il Decreto Legislativo n.24/2023 prevede sanzioni amministrative, irrogabili da parte dell’Autorità Nazionale Anticorruzione in caso di violazione delle norme sul whistleblowing. Le sanzioni riguardano in modo specifico eventuali ritorsioni contro i soggetti segnalanti, violazioni dell’obbligo di riservatezza, il boicottaggio a un tentativo di segnalazione, la mancata presa in carico di una segnalazione o un’insufficiente attività istruttoria avviata in seguito alla stessa.
Sono altresì sanzionabili gli abusi del sistema di segnalazione, con possibili sanzioni per colui che calunnia o diffama un altro soggetto a mezzo della procedura.
L’amministrazione può procedere disciplinarmente contro i soggetti responsabili di queste condotte.
10) Canale esterno di segnalazione
Al di fuori della procedura interna per le segnalazioni, la legge permette di effettuare anche segnalazioni esterne all’Autorità Nazionale Anticorruzione.
La persona segnalante può segnalare esternamente all’ente qualora abbia già effettuato una segnalazione a cui non è stato dato seguito, qualora abbia fondati motivi di ritenere che a una segnalazione interna non sia dato seguito o che questa possa determinare un rischio di ritorsione o qualora abbia fondato motivo di ritenere che la violazione possa costituire un pericolo imminente o palese per il pubblico interesse.
Le modalità di segnalazione all’Autorità Nazionale Anticorruzione sono disponibili alla pagina dedicata sul sito dell’ANAC xxxxx://xxx.xxxxxxxxxxxxxx.xx/-/xxxxxxxxxxxxxx .
Esistono condizioni ulteriori per cui una persona segnalante possa effettuare una divulgazione pubblica: il mancato riscontro a una segnalazione interna o esterna previamente effettuata, un pericolo imminente o palese per l’interesse pubblico, fondati motivi che una segnalazione interna non verrà trattata o che le prove della stessa possano essere distrutte o occultate.
11) Aggiornamento, integrazioni e approfondimenti
La presente procedura sarà sottoposta annualmente a riesame da parte del RPCT, il quale potrà procedere alla sua revisione o confermarla dando conto dell’avvenuto riesame nella sua relazione annuale.
Per ogni ulteriore integrazione e approfondimento si rinvia alle Linee Guida adottate dall’ANAC in materia.
- Delibera n. 311 del 12 luglio 2023 - Linee guida in materia di protezione delle persone che segnalano violazioni del diritto dell’Unione e protezione delle persone che segnalano violazioni delle disposizioni normative nazionali. Procedure per la presentazione e gestione delle segnalazioni esterne.
- DECRETO LEGISLATIVO 10 marzo 2023, n. 24
Attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali.
Documento aggiornato il 20 settembre 2023
Il seguente contratto regola il rapporto di fornitura e fruizione dei servizi offerti sul sito xxx.xxxxxxxxxxxxxx.xx.
1. DEFINIZIONI
1.1. CONTRATTO: indica il presente Contratto di Servizio;
ENTE: indica il soggetto che accetta il seguente CONTRATTO al fine di utilizzare i SERVIZI predisposti dal FORNITORE;
FORNITORE: Whistleblowing Solutions Impresa Sociale S.r.l.;
PIATTAFORMA: indica la piattaforma di whistleblowing digitale personale dell’ENTE;
SERVIZI: predisposizione e fornitura di risorse informatiche e materiale per la formazione da parte del FORNITORE a beneficio dell’ENTE, al fine di usufruire di un servizio di Whistleblowing Digitale basato su software GlobaLeaks ed erogato in modalità Software as a Service (SaaS).
2. OGGETTO DEL CONTRATTO
2.1 Premesso che GlobaLeaks è un software open-source creato per permettere l'avvio di iniziative di whistleblowing sicuro ed anonimo rilasciato sotto licenza AGPL (Affero General Public License), che l’utilizzo di software open-source riveste un’importanza fondamentale per il FORNITORE, e che la licenza open-source potrebbe includere disposizioni che prevalgono espressamente su alcuni dei presenti termini.
2.2 Il FORNITORE propone all’ENTE la stipula delle condizioni che consentono allo stesso di usufruire dei seguenti SERVIZI in modalità completamente gratuita:
a. accesso ad una PIATTAFORMA di whistleblowing digitale basata sul software GlobaLeaks che permette di ricevere segnalazioni di illeciti da parte dei potenziali segnalanti e di dialogare con gli stessi, anche in modo anonimo;
b. possibilità di esportazione dati e configurazioni per migrazione su sistemi informativi autonomi garantita dall’utilizzo di una tecnologia open-source (no lock-in);
c. materiali formativi in modalità e-learning;
d. invio di materiale informativo in relazione ad aggiornamenti tecnici e normativi in materia di whistleblowing;
WHISTLEBLOWINGPA
Un progetto di Whistleblowing Solutions Impresa Sociale e Transparency International Italia xxx.xxxxxxxxxxxxxx.xx | xxxx@xxxxxxxxxxxxxx.xx
1/10
e. testi specifici sul whistleblowing e sull’utilizzo della piattaforma da pubblicare sul sito dell’ENTE;
f. modelli di materiali di comunicazione a scopo informativo e di sensibilizzazione dei potenziali segnalanti.
2.3 Le personalizzazioni sono limitate all’inserimento del logo dell’ENTE e al caricamento di testi personalizzati nella homepage della PIATTAFORMA.
3. ACCESSO AI SERVIZI
3.1 L’accesso ai SERVIZI è consentito a seguito della registrazione sul sito xxx.xxxxxxxxxxxxxx.xx. Completata la registrazione, l’ENTE ha accesso alla PIATTAFORMA offerta in modalità SaaS e accessibile tramite internet. Il FORNITORE avrà il diritto di modificare le modalità di accesso e di utilizzo dei SERVIZI, anche in ragione del mutamento delle tecnologie telematiche nonché in ragione della variazione delle caratteristiche tecniche dei software applicativi e di base (sistemi operativi e infrastrutture tecnologiche).
3.2 Con la registrazione, l’ENTE assicura che tutti i dati personali e aziendali da lui trasmessi nell’ambito della registrazione stessa e dell'account creato siano completi e corretti in termini di contenuto.
4. UTILIZZO DEI SERVIZI
4.1 L’ENTE è responsabile del corretto utilizzo della PIATTAFORMA e il FORNITORE non è responsabile né dell’uso improprio della stessa né della perdita delle credenziali di accesso.
4.2 I dati contenuti negli archivi della propria PIATTAFORMA sono di esclusiva proprietà dell’ENTE e possono essere trattati direttamente solo dallo stesso. I dati potranno essere inseriti, variati, elaborati, o comunque trattati, solo ed esclusivamente nei modi e nelle forme previste dai SERVIZI messi a disposizione dal FORNITORE.
4.3 Considerate le misure crittografiche sicure implementate le parti convengono che la conservazione delle chiavi crittografiche avvenga secondo l’Opzione A descritta nel documento Modalità di Conservazione delle Chiavi Crittografiche allegato al presente CONTRATTO.
4.4 L’ENTE è tenuto a comunicare tempestivamente al FORNITORE qualsiasi abuso di cui venga a conoscenza.
4.5 L’ENTE non è autorizzato a utilizzare la PIATTAFORMA in qualsiasi modo incompatibile con il presente CONTRATTO o qualsiasi normativa applicabile. In particolare, l’ENTE o il personale autorizzato ad utilizzare la PIATTAFORMA non potranno:
a. utilizzare la PIATTAFORMA e i SERVIZI per finalità illecite o non autorizzate;
b. duplicare, trasferire, autorizzare, assegnare, dare accesso a o copiare la PIATTAFORMA, senza la previa autorizzazione scritta del FORNITORE;
c. tentare di modificare, adattare o alterare alcuna parte della PIATTAFORMA o dei SERVIZI;
d. interferire con o interrompere il funzionamento della PIATTAFORMA o dei SERVIZI, dei server o delle reti a questo collegati, ivi compreso attraverso l’utilizzo e/o la trasmissione di worm, virus, spyware, malware o qualsiasi altro codice che presenti una natura distruttiva o perturbatrice;
e. introdurre contenuti o codici o interferire in qualsiasi altra maniera con le modalità attraverso le quali la PIATTAFORMA è resa disponibile o mostrata sul browser;
f. richiedere i SERVIZI attraverso mezzi o modalità non autorizzati, incluso, a titolo esemplificativo e non esaustivo, attraverso l’utilizzo di dispositivi automatizzati, script, bot, spider, crawler o scraper;
g. eludere, rimuovere, spegnere o disattivare in altro modo le misure di sicurezza implementate.
4.6 L’ENTE è tenuto ad utilizzare l’ultima versione disponibile dei SERVIZI e della PIATTAFORMA come aggiornata per miglioria evolutiva o di sicurezza dal FORNITORE.
4.7 L’ENTE deve creare autonomamente e sotto la propria responsabilità e a proprie spese tutte le condizioni necessarie per l’utilizzo dei SERVIZI. Ciò vale in particolare per i terminali remoti che dovranno essere adeguati e compatibili con l’applicazione e la connessione di telecomunicazione. Sarà cura dell’ENTE assicurare che i terminali utilizzati per fruire dei servizi siano dotati di misure di sicurezza e sistemi antivirus aggiornati adeguati a poter proteggere i file scaricati sul terminale o caricati dal terminale sulla piattaforma.
4.8 L’ENTE si impegna ad utilizzare i SERVIZI esclusivamente per gli scopi e attraverso i canali concordati contrattualmente.
4.9 L’ENTE deve attenersi ad adeguati standard di sicurezza tecnica ed organizzativa e garantire che nessun virus, trojan o altro programma dannoso proveniente dai suoi sistemi entri in quelli del FORNITORE. L’ENTE è inoltre responsabile del controllo del corretto utilizzo dei SERVIZI da parte dei suoi collaboratori e, in particolare, di quelli che sono autorizzati ad accedere alla PIATTAFORMA.
4.10 L’ENTE deve garantire che l’uso da parte del FORNITORE delle informazioni, dei dati e dei materiali da lui forniti non violi i diritti di terzi. Prima di fornire al FORNITORE le informazioni, i dati e i materiali corrispondenti, l’ENTE è tenuto a verificare se il FORNITORE abbia il permesso di utilizzare tali informazioni, dati e materiali nell'ambito delle prestazioni concordate in conformità al presente CONTRATTO e, se necessario, a fornire gli eventuali diritti d'uso necessari e ad ottenere il consenso di terzi. L’ENTE terrà indenne il FORNITORE da tutte le pretese di terzi che risultino da una violazione dei suddetti obblighi. L’indennizzo comprende anche i costi di ogni necessaria difesa legale.
4.11 L’ENTE si impegna, inoltre, ad osservare le seguenti disposizioni nell’utilizzo dei SERVIZI, in particolare:
a. il sistema di whistleblowing non può essere utilizzato per altri scopi, ad esempio non può essere utilizzato come piattaforma di scambio di file o informazioni che sono illegali o violano le norme legali applicabili;
b. le informazioni sulla PIATTAFORMA dell’ENTE, che possono essere accessibili pubblicamente, e la descrizione degli avvisi nel sistema di whistleblowing devono essere fattuali, oggettive e
accurate. Non devono violare alcun brevetto, diritto d’autore, marchio, diritto personale o altre posizioni giuridiche protette di terzi;
c. l'ENTE si impegna a non distribuire i seguenti contenuti attraverso il sistema di segnalazione o a renderli accessibili a terzi in qualsiasi altro modo:
i. contenuti che siano pornografici, osceni, offensivi, volgari o altrimenti discutibili;
ii. contenuti che rappresentano un rischio per la sicurezza come portatori di virus, trojan o altri programmi dannosi;
iii. contenuti che siano discriminatori, razzisti, sprezzanti dei diritti umani, radicali, religiosi, xenofobi, nazionalsocialisti, pornografici o altrimenti sessualmente degradanti;
iv. dichiarazioni o azioni di qualsiasi tipo che violino le disposizioni di legge;
d. l'ENTE si impegna a rispettare il Regolamento di Uso Accettabile allegato al presente CONTRATTO; in caso di modifica del regolamento da parte del fornitore lo stesso provvederà a darne comunicazione all’ENTE e a pubblicarne copia all’indirizzo: xxxxx://xxx.xxxxxxxxxxxxxx.xx/xxxxxxxxxxxxxx-xxxxxxx/.
4.12 Se l'ENTE viola gli obblighi che deve rispettare in virtù del presente CONTRATTO il FORNITORE ha il diritto di sospendere l’accesso ai SERVIZI e/o di cancellare l’account dell'ENTE e/o i contenuti che violano il CONTRATTO o la legge, o di modificarli a un livello ammissibile, di porre fine alla presente relazione contrattuale e/o di rifiutare all’ENTE una nuova registrazione. Qualsiasi pretesa dell'ENTE nei confronti del FORNITORE per tali misure è esclusa.
5. PROPRIETÀ INTELLETTUALE
5.1 Qualsiasi diritto di proprietà intellettuale riguardante la PIATTAFORMA e i SERVIZI sono posseduti o autorizzati dal FORNITORE e sono soggetti a copyright e ai diritti di proprietà intellettuale secondo le leggi italiane in materia e le convenzioni internazionali. L’ENTE acconsente a non rimuovere, alterare o nascondere qualsiasi evidenza di proprietà intellettuale che sia incorporata nella PIATTAFORMA e nei SERVIZI o che li accompagni, nonché a non riprodurre, modificare, adattare, produrre materiale derivato che si basi sull’eseguire, mostrare, pubblicare, distribuire, trasmettere, diffondere, vendere, autorizzare, o in qualsiasi altro modo sfruttare la PIATTAFORMA e i SERVIZI. Se l’ENTE dovesse violare il diritto di proprietà intellettuale, il FORNITORE potrebbe inibirgli l’uso dei SERVIZI e della PIATTAFORMA qualora lo ritenesse opportuno e appropriato. Il FORNITORE possiede tutti i diritti non espressamente garantiti con riguardo ai SERVIZI e alla PIATTAFORMA. L'ENTE acconsente a non usare, copiare e distribuire i SERVIZI in maniera diversa da quella espressamente definita in questa sede.
5.2 Conformemente al CONTRATTO e alle seguenti disposizioni, l’ENTE riceve il diritto semplice, non esclusivo e non trasferibile, limitato alla durata del CONTRATTO, di utilizzare i SERVIZI sottoscritti per sé stesso e per gli utenti autorizzati per i propri scopi.
6. GARANZIE E LIMITAZIONI DI RESPONSABILITÀ
6.1 Il FORNITORE s'impegna ad erogare i SERVIZI con le caratteristiche conformi a quelle indicate nelle schede descrittive del prodotto alla data di attivazione del prodotto medesimo, fatta salva la necessità di procedere ad aggiornamenti hardware e software in base a circostanze contingenti.
6.2 In ogni caso, il FORNITORE e i suoi sub-fornitori non saranno ritenuti responsabili di eventuali perdite o danni non ragionevolmente prevedibili.
6.3 L’ENTE si obbliga a tenere indenne e tutelare il FORNITORE e i suoi sub-fornitori da qualsiasi reclamo, causa o azione derivanti da o relativi all’utilizzo dei SERVIZI o alla violazione del presente CONTRATTO, comprese eventuali responsabilità o spese derivanti da reclami, perdite, danni, azioni legali, sentenze, spese processuali e legali.
6.4 L’utilizzo mediante web dei SERVIZI viene consentito nello stato in cui si trova, senza alcuna garanzia che le funzioni contenute e descritte nelle specifiche soddisfino le esigenze dell’ENTE o funzionino in tutte le combinazioni hardware, software e gestionali/aziendali che possono essere scelte per l’uso da parte dell’ENTE, il quale, prima della sottoscrizione del presente CONTRATTO, ha compiutamente controllato e valutato, sotto la sua personale responsabilità, la soddisfazione delle proprie esigenze. L’ENTE ha l’onere di controllare costantemente il software e verificare il risultato delle elaborazioni compiute tramite di esso e del cui utilizzo è esclusivamente responsabile. Il FORNITORE non assume alcuna obbligazione e non presta alcuna garanzia oltre quelle qui espressamente descritte. Resta espressamente esclusa qualsivoglia responsabilità del FORNITORE per danni diretti ed indiretti di qualsiasi natura che l’ENTE o terzi possano subire per effetto ed in conseguenza del presente CONTRATTO e verificatisi per causa non imputabile, anche indirettamente, al FORNITORE, ivi compresi quelli derivanti dall’uso o dal mancato uso delle procedure o da errori delle stesse, o quelli, senza limitazioni, per perdita o mancato guadagno, fermo dell’attività, perdite economiche o di informazioni, nonché per i malfunzionamenti o difetti relativi o causati dagli ambienti informatici o dai sistemi operativi sui quali operano i programmi.
6.5 Nei limiti massimi consentiti dalla legge, il FORNITORE è responsabile solo in caso di xxxx e colpa grave. Ciò vale anche per il comportamento intenzionale o di grave negligenza dei rappresentanti e/o ausiliari dello stesso. Questa limitazione di responsabilità non si applica in caso di lesioni alla vita, all’integrità fisica o alla salute o in caso di responsabilità obbligatoria ai sensi della legge sulla responsabilità del prodotto.
6.6 La responsabilità per i danni è limitata ai danni prevedibili e tipici. Non rientrano quindi nella sfera di responsabilità del FORNITORE, eventi come forza maggiore, scioperi, misure ufficiali, guasti dei mezzi di trasmissione o altre interruzioni.
6.7 Salvo quanto espressamente previsto dal presente CONTRATTO, la responsabilità del FORNITORE è esclusa.
7. MIGLIORIE, AGGIORNAMENTO E SOSPENSIONE DEI SERVIZI
7.1 Il FORNITORE si impegna costantemente nella ricerca e miglioria continua dei propri SERVIZI: è possibile che vengano aggiunte o rimosse funzionalità o caratteristiche.
7.2 Il FORNITORE si riserva il diritto di ampliare, modificare o limitare le funzioni nella misura in cui ciò serva al progresso tecnico, sia necessario per evitare abusi o sia obbligato a farlo per legge e non garantisce che le nuove versioni abbiano identiche funzionalità delle versioni precedenti. Tali modifiche potranno essere introdotte in qualsiasi momento poiché il FORNITORE aggiorna continuamente i propri SERVIZI. Potranno essere altresì introdotte sulla base di un piano di evoluzione e sviluppo predefinito e di eventuali nuove specifiche tecniche e funzionali che nel tempo, a suo insindacabile giudizio, abbia giudicato utili o necessarie, o in base alla necessità di manutenzione o correzione di eventuali malfunzionamenti o anomalie che gli siano stati segnalati o comunque rilevati nell’uso dei SERVIZI. Per ogni rilascio di release primaria effettuato sui SERVIZI, il FORNITORE invierà comunicazione tramite la PIATTAFORMA, indicante la descrizione delle principali novità funzionali.
7.3 L’ENTE dovrà pertanto scrupolosamente verificare, con onere a proprio esclusivo carico, l’applicabilità dei nuovi aggiornamenti, e quindi a titolo esemplificativo, ma non esaustivo, si obbliga sin da ora a verificare le nuove funzionalità e se siano adatte ai propri scopi senza che eventuali inesattezze, mancanze e/o difetti possano far sorgere in capo al FORNITORE responsabilità anche a titolo di colpa lieve. L’ENTE esonera e manleva sin da ora il FORNITORE da ogni responsabilità per danni, di qualsivoglia natura, da ciò derivati e/o derivanti allo stesso e/o a terzi. Il FORNITORE si riserva inoltre il diritto insindacabile di modificare, sostituire, eliminare ed interrompere la distribuzione di uno o più SERVIZI e/o di cessarne gli aggiornamenti.
7.4 Il FORNITORE potrebbe altresì sospendere l’erogazione dei SERVIZI per effettuare aggiornamenti o attività di manutenzione. In tal caso, ne darà un congruo preavviso all’ENTE.
7.5 Previa eventuale comunicazione da inviarsi all’ENTE mediante posta elettronica, il FORNITORE potrà interrompere il collegamento in presenza di comprovati problemi di sicurezza e/o di garanzia di riservatezza. Il FORNITORE non potrà in ogni caso essere ritenuto responsabile per interruzioni di servizio non dipendenti dalla propria volontà quali, a mero titolo esemplificativo, l'interruzione o il cattivo funzionamento delle reti telefoniche, telematiche, elettriche, dei servizi di connettività offerti dai provider o dai gestori della rete Internet.
7.6 Il FORNITORE potrebbe altresì decidere di sospendere o interrompere i SERVIZI in risposta a circostanze impreviste fuori dal proprio controllo o in ottemperanza a un obbligo giuridico. Al verificarsi di tale condizione, ove possibile, l’ENTE verrà avvisato con preavviso ragionevole per consentire l’esportazione dei dati dai sistemi. In nessun caso il FORNITORE sarà ritenuto responsabile di ritardi e/o violazioni dovute a cause a lui non imputabili e/o discendenti da obblighi derivanti dalla legge, regolamenti, ordini, disposizioni amministrative promanate da qualsiasi autorità civile e/o militare, ente statale e/o locale, atti od omissioni dell’altra parte (e così a titolo esemplificativo ma non esaustivo: incendi, inondazioni, terremoti, scioperi, embarghi, guerre, sabotaggi). Il FORNITORE provvederà al salvataggio degli archivi, banche dati e ogni altra informazione presente nello spazio dedicato all’ENTE. Laddove, per cause non imputabili al FORNITORE si verifichi la distruzione dei dati presenti sui server, il FORNITORE stesso provvederà a ripristinarli dal più recente salvataggio
disponibile entro 72 (settantadue) ore lavorative dalla segnalazione dell’incidente, senza che l’ENTE possa avanzare alcuna pretesa o richiesta di risarcimento.
7.7 Il FORNITORE potrà, altresì, interrompere la fornitura dei SERVIZI in caso di inosservanza del presente CONTRATTO.
8. RESPONSABILITÀ DEI DATI
8.1 L’ENTE è totalmente responsabile dei dati inseriti nella piattaforma a lui riservata dal FORNITORE e delle eventuali segnalazioni ricevute e pertanto accetta, con la sottoscrizione del presente CONTRATTO, di esentare il FORNITORE da responsabilità di carattere civile e/o penale derivanti dall’archiviazione e dalla diffusione dei dati da esso inseriti che violino qualunque prescrizione di legge o di regolamento o qualsiasi provvedimento proveniente da un’Autorità amministrativa o dall’Autorità giudiziaria.
8.2 L’ENTE è responsabile della custodia delle credenziali di autenticazione per l’accesso ai dati erogati dai SERVIZI del FORNITORE al fine di evitare l’accesso ad altri soggetti non autorizzati.
8.3 L’utilizzo dei SERVIZI è consentito solo in base a quanto consentito dalla legislazione in vigore, comprese leggi, regolamenti e provvedimenti dell’Autorità Garante per la protezione dei dati personali.
9. DURATA DEL CONTRATTO
9.1 Il presente CONTRATTO ha durata di mesi 12 (dodici) decorrenti dalla data della sua sottoscrizione. Al termine del periodo di validità, il presente CONTRATTO si intende, salvo diversa ed espressa indicazione, ogni volta tacitamente e automaticamente rinnovato con durata annuale, a meno che una delle parti non provveda ad effettuare comunicazione di recesso, a mezzo Raccomandata A/R ovvero altro mezzo di comunicazione, anche elettronico, purché assistito da conferma del FORNITORE, con un anticipo di almeno 30 giorni sulla scadenza prevista.
10. RECESSO E RISOLUZIONE
10.1 Il FORNITORE ha il diritto di modificare il presente CONTRATTO in qualsiasi momento. L’ENTE sarà informato di queste modifiche con un congruo preavviso e in forma scritta (cartacea o elettronica). In questo caso l'ENTE avrà la facoltà di recedere prima della scadenza del termine di preavviso. In caso di mancato esercizio di tale diritto, le modifiche saranno considerate accettate. Qualora il FORNITORE sia impossibilitato a fornire il preavviso per cause imprevedibili e non influenzabili (come, ad esempio, interventi normativi), il FORNITORE ha il diritto di modificare il CONTRATTO anche senza il consenso dell'ENTE. L’ENTE ne sarà ugualmente informato per iscritto.
10.2 Le parti convengono che, qualora il FORNITORE intenda eliminare e/o interrompere la distribuzione di uno o più SERVIZI, l'ENTE avrà diritto di recedere dagli stessi; il recesso avrà effetto decorsi 20 (venti) giorni dalla ricezione della PEC.
10.3 Resta inteso che non costituiscono giusta causa di recesso la modifica e/o la sostituzione di uno o più SERVIZI.
10.4 Entrambe le parti avranno facoltà di recedere nei termini e secondo le modalità previste dall’art. 9.1.
10.5 Il FORNITORE si riserva di recedere dal CONTRATTO, sospendere o interrompere la fornitura dei SERVIZI all'ENTE in qualsiasi momento, nel caso in cui l'ENTE violi gli obblighi che deve rispettare in virtù del presente CONTRATTO (per esempio nel caso in cui non venga rispettato il Regolamento di Uso Accettabile). Qualsiasi pretesa dell'ENTE nei confronti del FORNITORE per tali misure è esclusa.
10.6 Il FORNITORE potrebbe inoltre interrompere la fornitura di SERVIZI all’ENTE in qualsiasi momento nel caso in cui la PIATTAFORMA sia attivata da un soggetto non titolato dall’ENTE stesso, nel caso in cui la destinazione d’uso della PIATTAFORMA non sia per la compliance anticorruzione di un ente pubblico e/o società controllata dallo stesso, nel caso in cui l’impiego della PIATTAFORMA comporti dei costi per l’utilizzatore finale corrisposti a terzi (es: società privata che rivendesse la piattaforma gratuita a un ente pubblico).
11. ASSISTENZA TECNICA E MANUTENZIONE
11.1 È esclusa, salvo diverso e specifico accordo, ogni forma di assistenza tecnica e manutenzione da parte del FORNITORE. Il FORNITORE, con un impegno di tipo best-effort, provvederà a rispondere alle richieste di chiarimenti eventualmente pervenute.
12. TRATTAMENTO DEI DATI PERSONALI
12.1 La fornitura dei SERVIZI è soggetta alla presa visione e accettazione dell'Informativa Privacy allegata al presente CONTRATTO.
12.2 L’ENTE, in qualità di titolare del trattamento, è tenuto a predisporre e a fornire agli interessati un’apposita informativa privacy che dettagli le informazioni richieste ai sensi degli articoli 13, ed eventualmente 14, del Regolamento (UE) 2016/679 (“GDPR”).
12.3 Il FORNITORE sarà designato quale Responsabile del trattamento ai sensi dell’art 28 del GDPR e, a tal fine, sarà nominato mediante un apposito contratto o altro atto giuridico a norma del diritto dell’Unione Europea o degli Stati membri. Il FORNITORE si impegna, a sua volta, a nominare eventuali sub-fornitori come sub-responsabili del trattamento secondo le modalità previste dall’art. 28, comma 4, GDPR e a darne notizia all’ENTE.
12.4 I dati personali trattati ai soli fini della conclusione del presente CONTRATTO e della fornitura dei relativi SERVIZI sono quelli comunicati dall’ENTE al FORNITORE.
13. ACCORDO COMPLESSIVO
13.1 Il presente CONTRATTO costituisce l’unico integrale e complessivo CONTRATTO tra le parti con riferimento alla materia da esso disciplinata, e sostituisce qualsiasi precedente accordo, intesa, contratto o negozio, scritto o orale, che le parti possano aver stipulato in relazione al suo contenuto.
13.2 Il presente CONTRATTO si applica a tutti i SERVIZI eventualmente attivati anche successivamente al primo periodo di validità.
14. VALIDITÀ DEL CONTRATTO
14.1 Nel caso in cui qualcuna delle disposizioni del CONTRATTO – o parte di esso – sia ritenuta nulla, annullabile, invalida o inefficace dall’Autorità Giudiziaria, o comunque risulti o diventa integralmente o parzialmente priva d’effetto giuridico o inefficace, tale nullità, annullabilità, invalidità, o comunque inefficacia, non avrà effetto sulle altre disposizioni del CONTRATTO né, tanto meno, potrà determinare la nullità, annullabilità, invalidità o inefficacia dell'intero CONTRATTO.
14.2 La disposizione – o la parte di essa – ritenuta nulla, annullabile, invalida o inefficace dall’Autorità Giudiziaria, dovrà intendersi modificata, reinterpretata o integrata, nella misura e secondo il senso necessari a che la stessa possa essere ritenuta ammissibile per legge, e giudicata pienamente valida ed efficace dall’Autorità Giudiziaria, preservando nella maggior misura possibile la volontà delle parti come risultante dal CONTRATTO.
14.3 Entro i limiti consentiti dalla legge applicabile, le disposizioni del presente CONTRATTO che, per loro natura, portata o significato, sono da intendersi come a rimanere in vigore anche alla scadenza, a seguito dell’adempimento, della risoluzione o di qualsiasi altra forma di cessazione dell’efficacia del CONTRATTO, continueranno ad avere vigore e ad applicarsi anche a seguito della scadenza delle stesse.
15. LEGGE APPLICABILE E FORO COMPETENTE
15.1 Il presente CONTRATTO è regolato dalle leggi dello Stato Italiano. Con la sottoscrizione del presente CONTRATTO le parti escludono integralmente l’applicazione della Convenzione delle Nazioni Unite sui Contratti di Vendita Internazionale di Beni Mobili (“UN Convention on Contracts for the International Sale of Goods – CISG”, Xxxxxx, 00 aprile 1980).
15.2 Il FORNITORE può, a sua discrezione, rendere disponibile e/o sottoscrivere il presente CONTRATTO anche in una lingua diversa dall’italiano. La versione in lingua italiana del presente CONTRATTO sarà comunque sempre prevalente in tutte le ipotesi di controversie e/o nei casi di conflitto interpretativo rispetto alla versione tradotta in altra lingua.
15.3 Entro i limiti consentiti dalla legge applicabile, l’ENTE, con la sottoscrizione del presente CONTRATTO, conferma che esso venga stipulato tra professionisti e per scopi commerciali, e concorda che le disposizioni delle leggi a protezione dei consumatori o dei contraenti deboli non sono applicabili.
15.4 Per tutte le controversie relative al CONTRATTO, le parti riconoscono la competenza esclusiva del Foro di Milano.
ACCORDO IN MERITO AL TRATTAMENTO DI DATI PERSONALI
Ai sensi dell'art. 28 del Regolamento UE 2016/679
Documento aggiornato il 27 novembre 2023
TRA
con sede in
Codice Fiscale e P. IVA n. in persona di
(di seguito "Committente " o il “Titolare del Trattamento”),
E
Whistleblowing Solutions I.S. S.r.l., con sede in Xxxxx Xxxxxxx 00/X, 00000, Xxxxxx, Codice Fiscale e P. IVA 09495830961 del legale rappresentante pro tempore Xxx. Xxxxxxxx Xxxxxxxxx (di seguito "Fornitore " o il “Responsabile del Trattamento”), (di seguito, congiuntamente, le “Parti”)
PREMESSO CHE
a) Le Parti hanno sottoscritto un contratto avente ad oggetto la prestazione da parte del Fornitore di un servizio di whistleblowing digitale consistente in fornitura in outsourcing di una piattaforma di whistleblowing digitale (di seguito, “Contratto di servizi”);
b) In virtù del Contratto di servizi il Fornitore esegue operazioni di trattamento di dati personali di seguito, "Dati Personali" di titolarità del Committente, e riferiti unicamente ai dati necessari per l’erogazione dei servizi pattuiti tra le parti. In particolare l’acquisizione e l’archiviazione delle segnalazioni dà luogo a trattamenti di dati personali appartenenti anche
a particolari categorie di dati e relativi a condanne penali e reati o che rivelino, tra l'altro, l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche e l'appartenenza sindacale, eventualmente contenuti nella segnalazione e in atti e documenti ad essa allegati, riferiti agli interessati, ovvero alle persone fisiche identificate o identificabili che inoltrano una segnalazione o a quelle indicate come possibili responsabili delle condotte illecite o a quelle a vario titolo coinvolte nelle vicende segnalate art. 4, par. 1, nn. 1) e 2), del Regolamento UE 2016/679 (Regolamento).
c) il Fornitore dichiara e garantisce di possedere competenza e conoscenze tecniche in relazione alle finalità e modalità di trattamento, alle misure di sicurezza da adottare a garanzia della riservatezza, completezza ed integrità dei Dati Personali trattati, nonché in relazione alla normativa italiana ed europea in materia di protezione dei dati personali, e di possedere i requisiti di affidabilità idonei a garantire il rispetto delle disposizioni normative in materia;
d) il Titolare ha condotto una positiva valutazione della idoneità e qualificazione del Responsabile atta a soddisfare, anche sotto il profilo della sicurezza del trattamento, i requisiti di cui alla normativa applicabile (artt. 28 e ss. del Regolamento) e intende designare il Fornitore quale Responsabile del trattamento dei Dati Personali derivante dal Contratto di servizi.
Tutto quanto sopra premesso, tenuto conto delle reciproche promesse e degli accordi intercorsi, le Parti convengono quanto segue:
1. PREMESSE
Le premesse costituiscono parte integrante ed essenziale del presente accordo.
2. OGGETTO
2.1 Con la sottoscrizione del presente accordo il Committente nomina il Fornitore, che accetta, Responsabile del trattamento in relazione alle operazioni di trattamento Dati Personali poste in essere ai soli fini dell'esecuzione del Contratto di servizi. Tale nomina non comporta il diritto ad alcuna remunerazione.
2.2 I compiti assegnati al Fornitore sono esclusivamente quelli resi necessari dalle attività connesse all'esecuzione del Contratto di servizi.
3. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO
3.1 Qualora nell'ambito delle operazioni di trattamento dei Dati Personali occorrano eventuali istruzioni aggiuntive al fine di adeguarsi alla normativa in materia di protezione dei dati, il Committente trasmetterà ulteriori istruzioni al Fornitore in merito alle finalità, modalità e procedure per l’utilizzo e il trattamento dei Dati Personali, e concorderà con il Fornitore le misure tecniche ed organizzative più idonee.
4. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
4.1 Ai fini di un corretto trattamento dei Dati Personali, il Fornitore si impegna a:
a) svolgere qualsiasi operazione di trattamento di Dati Personali in conformità ai principi e alla regolamentazione previsti dalla normativa vigente in materia di protezione dei dati personali;
b) eseguire fedelmente ed esclusivamente le istruzioni impartite dal Titolare, evitando attività di trattamento non conformi alle predette istruzioni o volte a perseguire finalità diverse da quelle correlate all'esecuzione del Contratto di servizi;
c) non effettuare copie dei Dati Personali diverse da quelle strettamente necessarie alla corretta esecuzione del Contratto di servizi;
d) garantire il pieno rispetto degli obblighi di cui il Fornitore, quale responsabile del trattamento, è tenuto in virtù della normativa vigente;
e) fuori dai casi strettamente necessari per l'erogazione dei Servizi, non divulgare o rendere noti a terzi i Dati Personali e adottare le misure organizzative e tecniche necessarie per assicurare la massima riservatezza dei Dati Personali acquisiti e utilizzati nello svolgimento delle attività oggetto della presente designazione;
f) garantire che l’accesso ai Dati Personali da parte del personale avvenga solo sulla base del principio di stretta necessità, provvedendo a individuare e designare quali incaricati del trattamento, anche ai fini di cui all’art. 32 del Regolamento, le persone fisiche (dipendenti e/o collaboratori) autorizzate al trattamento dei dati personali per le suddette finalità, impegnando gli stessi con idonei vincoli di riservatezza;
g) formare adeguatamente il personale addetto all'esecuzione del Contratto di servizi fornendo loro istruzioni precise e vigilando sulla loro osservanza;
h) collaborare con il Committente per l’attuazione di qualsiasi misura che si renda strettamente necessaria al fine di garantire la conformità del trattamento dei Dati Personali con la normativa applicabile;
i) effettuare, ai sensi dell’art. 32 del Regolamento, regolari analisi dei rischi per adottare misure tecniche organizzative adeguate rispetto alle prescrizioni di legge in materia di protezione dei dati personali, di informatica giuridica e amministrazione digitale di cui al CAD e disciplina applicabile, nonché dei provvedimenti del Garante per la protezione dei dati personali e dell'Agenzia per l'Italia Digitale (AGID) o altra Autorità di controllo competente;
j) stabilire, nell'ambito della propria organizzazione, i c.d. mezzi non essenziali, quali misure di sicurezza di dettaglio, e sulla base delle proprie competenze tecniche specifiche, collaborare, anche manifestando un’autonomia propositiva, nell’adozione di misure adeguate e nella verifica sistematica dell’efficacia delle stesse tramite una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento;
k) effettuare analisi che esplicitino i rischi e le eventuali possibili misure di attenuazione degli stessi da proporre al Titolare, propedeutiche a valutazioni di impatto, informando quest’ultimo e fornendo copia degli elaborati finali.
l) mantenere informato il Committente riguardo alle operazioni di trattamento trasmettendo un rapporto scritto sull’attività svolta in esecuzione dei compiti attribuiti con il presente accordo, con particolare riguardo, ma non
esclusivamente, alle misure di sicurezza adottate, nonché riguardo a qualsiasi circostanza o criticità eventualmente riscontrata;
m) informare il Committente, tempestivamente e non oltre le 48 ore dal momento in cui ne è venuto a conoscenza, di qualsiasi violazione o rischio di violazione concernente i Dati Personali di cui il Fornitore è venuto a conoscenza nello svolgimento dei Servizi e collaborare, a proprie spese, con il Committente per attuare qualsiasi misura che si renda strettamente necessaria al fine di garantire la conformità del trattamento dei Dati Personali con la normativa applicabile;
n) adottare le misure di sicurezza previste dall'articolo 7 del presente accordo.
o) reindirizzare verso il titolare per gli obblighi di dar seguito ad eventuali domande di esercizio dei diritti delle persone interessate di cui articoli da 12 a 23 del Regolamento.
5. AFFIDAMENTO A TERZI
5.1 Il Fornitore si impegna a prevedere nel contratto con il subappaltatore garanzie e obblighi analoghi a quelli di cui al presente accordo. il Responsabile del trattamento dichiara di avvalersi dei Subresponsabili indicati nell'Allegato A. Con la sottoscrizione del presente atto di nomina, i Subresponsabili indicati nell'Allegato A si intendono approvati dal Titolare del trattamento. Il Fornitore dichiara che i Subresponsabili hanno capacità e competenze per mettere in atto misure tecniche e organizzative idonee a garantire il rispetto delle disposizioni della vigente normativa sulla protezione dei dati personali e che sono stati contrattualmente vincolati al rispetto degli stessi obblighi in materia di protezione dei dati personali assunti dal Responsabile del trattamento nei confronti del Titolare. Qualora il Responsabile del trattamento intenda sostituire i Subresponsabili indicati nell'Allegato A, dovrà informare il Titolare preventivamente e per iscritto, con un preavviso di 60 giorni. Resta ferma la possibilità di derogare al termine di preavviso, nel caso siano necessarie operazioni di mitigazione di un disastro imputabile al subfornitore. Il Fornitore dichiara e garantisce che eventuali, nuovi, Subresponsabili presenteranno almeno le stesse caratteristiche e garanzie dei Subresponsabili indicati nell’Allegato A e saranno vincolati contrattualmente al rispetto dei medesimi obblighi in materia di protezione dei dati personali assunti dai Subresponsabili.
6. DURATA - CESSAZIONE
6.1 L’efficacia del presente accordo decorre dalla data di sottoscrizione dello stesso ad opera di entrambe le Parti sino alla cessazione, per qualsiasi causa intervenuta, del Contratto di servizi.
6.2 All'atto della cessazione del Contratto di servizi il Fornitore dovrà cessare qualsiasi operazione di trattamento dei Dati Personali e restituire al Committente tutti gli eventuali Dati Personali trattati ai fini dell'esecuzione del Contratto di servizi di cui il Fornitore dovesse disporre (es. anagrafiche degli interessati, dati di contatto degli interessati) o, su richiesta del Committente, provvedere alla loro distruzione, fornendone apposita attestazione, eccettuate eventuali esigenze di loro conservazione in adempimento di obblighi normativi di cui andrà data contestuale attestazione al Committente.
7. MISURE DI SICUREZZA
7.1 Con riferimento alle operazioni di trattamento dei Dati Personali necessarie ai fini della esecuzione del Contratto di servizi, il Fornitore dichiara e garantisce (i) di mantenere, ogni e qualsiasi misura di sicurezza idonea a prevenire i rischi di distruzione, perdita, anche accidentale, dei Dati Personali nonché di accesso non autorizzato o trattamento illecito dei medesimi come previsto nel Contratto di servizi e (ii) che tali misure sono conformi anche alle misure di sicurezza necessarie e conformi ai principi di cui all’art. 32 del Regolamento, nonché ogni altra misura obbligatoria di legge.
7.2 Con riferimento al trattamento di Dati Personali svolti con l’ausilio di strumenti elettronici per la prestazione dei Servizi e la gestione del database per conto del Committente, il Responsabile si impegna ad attuare le seguenti misure:
i. scegliere gli amministratori di sistema tra quei soggetti dotati di esperienza, capacità ed affidabilità, in grado di garantire il pieno rispetto della normativa italiana in materia di protezione dei dati personali, ivi compreso il profilo relativo alla sicurezza;
ii. nominare gli amministratori di sistema individualmente, elencando analiticamente gli ambiti di operatività consentiti a ciascun amministratore di sistema in relazione al proprio profilo di autenticazione;
iii. tenere un elenco aggiornato dei soggetti nominati amministratori di sistema e, su richiesta, mettere tale elenco a disposizione del Committente e/o delle autorità competenti;
7.3 Il Fornitore si impegna a verificare regolarmente l'idoneità delle misure adottate.
8. CONTROLLI
8.1 Il Fornitore riconosce e accetta che il Committente, nell’ambito dei poteri e obbligazioni ad esso spettanti in quanto Titolare del trattamento, possa controllare le operazioni di trattamento di Dati Personali svolte dal Fornitore, come anche le misure di sicurezza attuate da quest’ultimo per le finalità di cui al presente accordo, anche mediante appositi audit da concordarsi preventivamente nel rispetto delle reciproche esigenze lavorative.
Whistleblowing Solutions I.S. S.r.l. preso atto di quanto previsto nel presente atto di nomina e dalla normativa vigente, dichiara di accettare l’incarico di Responsabile del trattamento.
Luogo, Data
Il Titolare del trattamento
Il Responsabile del trattamento Whistleblowing Solutions Impresa Sociale S.r.l. Legale Rappresentante, Xxxxxxxx Xxxxxxxxx
ALLEGATO A
Elenco dei subresponsabili di cui si avvale il Responsabile del Trattamento al momento della sottoscrizione dell’atto di nomina
Denominazione, sede e dati di contatto del subresponsabile | ATTIVITÀ DI TRATTAMENTO DEMANDATE AL SUBRESPONSABILE | Luogo del trattamento |
Seeweb S.r.l | Archiviazione Hosting Cloud IASS | Milano Frosinone (backup) |
Transparency International Italia | Supporto Utenti Amministratore di Sistema | Milano |