Contract

Come da Convenzione per l’affidamento del servizio di Posta Elettronica Certificata ad uso delle Pubbliche Amministrazioni del territorio toscano.

Accordo Data Protection fra Titolari Autonomi

(Data Protection Agreement)

TRA

Namirial S.p.A., con sede legale in Senigallia 60019 (AN), Via Caduti sul Lavoro n.4, in persona del suo legale rappresentante xxxx. Xxxxxxxxxxxx Xxxxxxxxxx (di seguito “Namirial”)

E

, con sede legale in

in persona del suo legale rappresentante

Titolare 1 e Titolare 2, verranno in seguito entrambi indicati come “la Parte” o congiuntamente “le Parti”.

Art. 1

Ambito di competenza

Le Parti si danno reciprocamente atto di conoscere ed applicare, nell’ambito delle proprie organizzazioni, tutte le norme vigenti ed in fase di emanazione in materia di trattamento dei dati personali, sia primarie che secondarie, rilevanti per la corretta gestione del Trattamento, ivi compreso il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “GDPR”).

Le Parti si danno reciprocamente atto che lo scambio di dati oggetto del presente DPA risponde ai principi di liceità determinati da specifiche norme:

• conclusione del contratto, acquisizione del consenso da parte degli interessati per il servizio PEC

Art. 2

Rapporti fra autonomi Titolari di trattamento dati

Le Parti tratteranno in via autonoma i dati personali oggetto dello scambio per trasmissione o condivisione, per le finalità connesse all’esecuzione della convenzione (di seguito “Convenzione”). Le parti, in relazione agli impieghi dei predetti dati nell’ambito della propria organizzazione, assumeranno, pertanto, la qualifica di Titolare autonomo del trattamento ai sensi dell’articolo 4, nr.

7) del GDPR, sia fra di loro che nei confronti dei soggetti cui i dati personali trattati sono riferiti.

Art. 3

Tipologia di dati oggetto di scambio

I contraenti in relazione allo scambio di informazioni, inteso sia come trasmissione di dati sia di condivisione di archivi e al loro ruolo di essere sorgente o destinatario delle informazioni scambiate si qualificano nel seguito come soggetto Produttore o soggetto Utilizzatore.

I dati personali oggetto dello scambio:

1. Soggetto produttore del dato: ENTE ,

Soggetto utilizzatore: NAMIRIAL S.p.A. Periodicità dello scambio di dati

a. Tipologie di dati: dati comuni, dati personali, dati particolari

b. tipologie degli interessati. i soggetti interessati sono funzionari, collaboratori, dipendenti dell’ente di appartenenza del soggetto richiedente

c. I seguenti formati: testo, immagini, file, ecc.

Art.4

Rispetto della normativa

In quanto Titolari autonomi del trattamento, le Parti sono tenute a rispettare tutte le normative rilevanti sulla protezione ed il trattamento dei dati personali che risultino applicabili ai rapporti che intercorrono fra produttore di informazioni e utilizzatore sulla base del presente DPA.

Art. 5 Misure di sicurezza

Le Parti concordano sull’adeguatezza delle misure di sicurezza messe in atto al fine di garantire lo scambio sicuro dei dati.

In particolare attestano la messa in atto delle seguenti misure:

la trasmissione dei dati avviene tramite invio di documentazione via pec per cui le misure di sicurezza sottostanti al canale di trasmissione sono quelle inerenti il servizio di posta elettronica certificata per le quali si rimanda alle specifiche presenti sul manuale operativo.

Al contempo, le Parti, si impegnano a mettere in atto ulteriori misure qualora fossero da almeno una delle due Parti ritenute insufficienti quelle in atto. L’eventuale diniego dell’altra Parte comporta l’annullamento del presente DPA.

In particolare, l’utilizzatore si impegna ad applicare misure di sicurezza idonee e adeguate a proteggere i dati personali da esso trattati in esecuzione del presente Contratto, contro i rischi di distruzione, perdita, anche accidentale, di accesso o modifica non autorizzata dei dati o di trattamento non consentito o non conforme alle finalità della raccolta.

Art. 6

Obblighi del personale autorizzato

Le Parti si impegnano a far sì che l’accesso ai dati personali oggetto dello scambio sia consentito solo a coloro e nella misura in cui ciò sia necessario per l’esecuzione della Convenzione, e che l’uso dei dati personali da parte del soggetto utilizzatore rispetti gli stessi impegni assunti dal produttore riguardo alla conformità legale del trattamento e la sicurezza dei dati trattati con misure adeguate alla tipologia dei dati degli interessati e dei rischi connessi.

Art.7 Responsabilità

Fatto salvo quanto previsto come inderogabile dalla legge, nessuna responsabilità sarà imputabile al produttore del dato per i trattamenti operati dall’utilizzatore (vedi art. 3), eccettuati i casi di cattiva gestione o maltrattamento nella fase di raccolta originaria dei dati personali. Ferma restando la responsabilità assunta dal produttore verso i terzi e verso l’utilizzatore, quale titolare autonomo del trattamento sui dati ricevuti dal produttore, nei rapporti reciproci, l’utilizzatore si obbliga a manlevare e tenere indenne il produttore – per qualsiasi danno, incluse spese legali – che possa derivare da pretese avanzate nei confronti del produttore da terzi - inclusi i soggetti cui i dati personali trattati sono riferiti

- a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento imputabili al utilizzatore, intendendosi con la presente pattuizione, trasferire dal produttore al utilizzatore l’incidenza economica dei danni reclamati da terzi, in conseguenza dei trattamenti operati dal utilizzatore.

Art. 8 Impostazione organizzativa

Le Parti si garantiscono reciprocamente che i dati trattati da ciascuna di esse in esecuzione del presente DPA formano oggetto di puntuale verifica di conformità alla disciplina rilevante in materia di trattamento di dati personali - ivi compreso il GDPR - e si impegnano altresì alla ottimale cooperazione reciproca nel caso in cui una di esse risulti destinataria di istanze per l’esercizio dei diritti degli interessati previsti dall’articolo 12 e ss. del GDPR ovvero di richieste delle Autorità di controllo che riguardino ambiti di trattamento di competenza dell’altra parte.

Art. 9 Durata

Il presente Data Protection Agreement ha durata pari a quella della Convenzione e decorrente dalla sua sottoscrizione

Art. 10 Rescissione

La rescissione del presente DPA avviene per istanza di parte qualora, la stessa ritenga che lo scambio di informazioni leda per qualsivoglia motivo i legittimi diritti degli interessati

Data / /

Firma dell’Ente

Firma di Namirial

Accordo Data Protection fra Titolare e Responsabile

(Data Protection Agreement)

TRA

, con sede legale in

, in persona del suo legale rappresentante

E

Namiral S.p.A., con sede legale in Senigallia 60019 (AN), Via Caduti sul Lavoro n.4, in persona del suo legale rappresentante xxxx. Xxxxxxxxxxxx Xxxxxxxxxx (di seguito “Namirial” o “Responsabile”)

Titolare e Responsabile verranno in seguito entrambi indicati congiuntamente “le Parti”.

ART. 1 TRATTAMENTO DEI DATI PERSONALI

Ai sensi e per gli effetti della normativa in materia di protezione dei dati personali (Reg. UE n. 2016/679, di seguito "GDPR", nonché D. Lgs. 196/2003 da ultimo novellato dal D. Lgs. 101/2018, di seguito "Codice Privacy") ed in relazione alle operazioni che vengono eseguite per lo svolgimento delle attività

previste dalla Convenzione PEC CIG derivato , l’Ente

, in qualità di Titolare, nomina Namirial, Responsabile del trattamento, ai sensi dell’articolo 28 GDPR.

I trattamenti affidati dal Titolare al Responsabile riguardano:

. le operazioni di trattamento: raccolta , registrazione , organizzazione , strutturazione , conservazione , modifica , estrazione , consultazione , elaborazione , comunicazione , limitazione , cancellazione .

. la tipologia di dati trattati: dati comuni (anagrafici e di contatto ); dati sensibili (dati che rilevano

l’origine razziale o etnica , dati che rilevano le convinzioni religiose , dati relativi alla salute ).

. le categorie e numerosità degli interessati: utilizzatori del servizio

I trattamenti effettuati per conto del Titolare dal Responsabile cesseranno al completamento della Convenzione ovvero in caso di sua risoluzione, per qualsiasi altro motivo.

Se una disposizione del presente articolo è o diventa invalida o inapplicabile, la validità e l'applicabilità delle altre disposizioni del medesimo rimangono inalterate. In questo caso, Titolare e Responsabile concordano di adottare una disposizione che corrisponda al meglio allo scopo previsto nella disposizione non valida o agli interessi comuni.

Namirial, in quanto Responsabile, fornisce garanzie sufficienti, in particolare in termini di conoscenze specialistiche, affidabilità e risorse, per attuare misure tecniche e organizzative che soddisfino i requisiti normativi sanciti dal GDPR, dal Codice Privacy e da qualsiasi altra norma connessa inerente al trattamento dei dati personali, comprese le misure di sicurezza del trattamento, per garantire la riservatezza e la protezione dei diritti degli interessati.

Namirial, in quanto Responsabile, è tenuto ad assicurare e far assicurare ai propri dipendenti, collaboratori e responsabili ulteriori, la riservatezza ed il corretto trattamento delle informazioni, dei documenti e degli atti amministrativi, dei quali venga a conoscenza durante l’esecuzione della prestazione.

In tal senso il responsabile, si impegna a disciplinare il comportamento degli autorizzati e degli altri dipendenti coinvolti in modo e diretto o indiretto nella esecuzione dei trattamenti svolti per conto del Titolare attraverso istruzioni impartite agli autorizzati nei loro relativi ruoli.

In particolare, ai sensi dell’art. 28 GDPR, Namirial si impegna a:

1. adottare e mantenere aggiornato un proprio registro dei trattamenti, qualora concordandone la struttura e le modalità di aggiornamento, con il DPO del Titolare entro 30 giorni dalla firma della Convenzione;

2. non mettere in atto, per nessun motivo, trattamenti di dati diversi da quelli autorizzati dal Titolare oggetto della presente convenzione e presenti, se sia adottato, nel registro dei trattamenti. In tal senso renderà accessibile al Titolare il registro dei trattamenti, attivati per effetto della Convenzione, consentendo operazioni di consultazione, approvazione e diniego in relazione a singoli o gruppi di trattamenti;

3. fornire per iscritto agli autorizzati al trattamento le necessarie istruzioni in tema;

4. nominare gli autorizzati che svolgono le funzioni di “amministratore di sistema”, ai sensi dei provvedimenti del Garante italiano per la protezione dei dati personali del 27/11/2008 e del 25/6/2009, conservando i relativi estremi identificativi, definendo gli ambiti di operatività ai medesimi consentiti e comunicandone al titolare l’elenco nominativo con i relativi ambiti di operatività;

5. di collaborare alla eventuale redazione di DPIA su trattamenti affidati alla sua responsabilità dal Titolare;

6. predisporre e trasmettere solo su espressa richiesta, ogni qualvolta ciò appaia necessario, al Titolare - una relazione in merito agli adempimenti eseguiti e alle misure di sicurezza adottate al fine di renderle e mantenerle sempre adeguate ed aggiornate rispetto alla evoluzione delle minacce e sulla base dei riscontri derivanti dalla registrazione continua e puntuale degli incidenti eventualmente occorsi;

7. assistere e garantire il Titolare del trattamento nell’evasione delle richieste e del rispetto dei tempi previsti, nei rapporti con l’Autorità Garante per la protezione dei dati personali;

8. assistere il Titolare al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati ai sensi degli artt. 15 a 22 del Regolamento UE; qualora gli interessati esercitino tale diritto verso il Responsabile, quest’ultimo è tenuto ad inoltrare tempestivamente e comunque nel più breve tempo possibile, le istanze al Titolare, supportando quest’ultimo al fine di fornire adeguato riscontro agli interessati nei tempi prescritti;

9. assistere ed assicurare la piena, fattiva e puntuale collaborazione al titolare del trattamento, ed in particolare al Security IT Manager del Titolare se nominato, nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento, della tipologia di dati trattati, delle categorie e numerosità degli interessati;

10. garantire al Titolare, su richiesta, l’accesso e la disponibilità permanente ai dati o comunque compatibile con le dinamiche e i flussi del servizio erogato, su formati e strumenti di uso comune che ne garantiscano la fruizione da parte del titolare, consentendo in tal modo la piena continuità dei servizi oggetto del presente appalto e in modo che mai si configuri una situazione di lock in. Il Titolare deve essere sempre messo in condizione di poter garantire la continuità del servizio;

11. tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, il Responsabile

del trattamento deve mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e per garantire il rispetto degli obblighi di cui all’art. 32 del Regolamento UE. Tali misure comprendono tra le altre, se del caso:

a. la pseudonimizzazione e la cifratura dei dati personali;

b. la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi che trattano i dati personali;

c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;

d. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

A tal fine si impegna ad assistere ed assicurare la piena, fattiva e puntuale collaborazione al titolare del trattamento, ed in particolare al Security IT Manager del Titolare.

1. Restituire tutti i dati personali di pertinenza del Titolare, dopo che è terminata la prestazione dei servizi relativi al trattamento, cancellando le copie esistenti in proprio possesso, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati. In tal senso entro 120 giorni dalla firma della Convenzione Namirial e il responsabile della convenzione per la Ente concordano modalità, tempi e forme idonee a garantire il non precostituirsi di situazioni di lock in, inteso come la diminuzione o perdita della possibilità da parte del Titolare di garantire i servizi, senza ricorrere forzatamente al soggetto Responsabile, e di gestire agevolmente, in modo sicuro e con tempi ragionevoli, la chiusura della Convenzione e l'eventuale subentro di un nuovo contraente o la gestione in autonomia in toto o in parte dei servizi. Tale accordo documentato viene messo a disposizione del Titolare e del DPO.

2. Il Responsabile informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, il Titolare di ogni violazione di dati personali (cd. data breach); tale notifica è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del Regolamento UE, per permettere al Titolare del trattamento, ove ritenuto necessario, di notificare questa violazione all’Autorità Garante per la protezione dei dati personali, entro il termine di 72 ore da quanto il Titolare ne viene a conoscenza; nel caso in cui il Titolare debba fornire informazioni aggiuntive all’Autorità di controllo, il Responsabile supporterà il Titolare nella misura in cui le informazioni richieste e/o necessarie per l’Autorità di controllo siano esclusivamente in possesso del Responsabile e/o di suoi sub-Responsabili.

3. Sarà obbligo del Titolare del trattamento vigilare durante tutta la durata del trattamento, sul rispetto degli obblighi previsti dalle presenti istruzioni e dal Regolamento UE sulla protezione dei dati da parte del Responsabile del trattamento, nonché a supervisionare l’attività di trattamento dei dati personali effettuando audit, ispezioni e verifiche periodiche sull’attività posta in essere dal Responsabile. A tal fine il Responsabile del trattamento metterà a disposizione, su richiesta del titolare del trattamento, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi derivanti dal regolamento UE, agevolando il contributo alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato, ivi compresa, se necessario, l'attività di monitoraggio e controllo da parte del DPO e del Security IT Manager (se nominato), sulle misure di sicurezza attuate e sulla loro efficacia fornendo tutta la documentazione che sarà richiesta e collaborando attivamente alle attività di rilevazione e misura.

4. Comunicare al Titolare il nome ed i dati del proprio “Responsabile della protezione dei dati”

(DPO), qualora, in ragione dell’attività svolta, ne abbia designato uno conformemente all’articolo

37 del Regolamento UE; il Responsabile della protezione dei dati personali (DPO) del Fornitore/Responsabile collabora e si tiene in costante contatto con il Responsabile della protezione dei dati (DPO) del Titolare.

5. Comunicare al Titolare, al DPO e al Security Manager (se nominato) il nome e i riferimenti di contatto del proprio Responsabile della sicurezza IT.

6. Mettere in atto gli interventi necessari qualora l'attività di monitoraggio e controllo mettesse in evidenza punti di debolezza nelle misure e nelle tecniche adottate o qualora durante l’esecuzione del Contratto, la normativa in materia di Trattamento dei Dati Personali generi nuovi requisiti (ivi incluse nuove misure di natura fisica, logica, tecnica, organizzativa, in materia di sicurezza o trattamento dei dati personali), il Responsabile del trattamento si impegna a collaborare - nei limiti delle proprie competenze tecniche, organizzative e delle proprie risorse - con il Titolare affinché siano sviluppate, adottate e implementate misure correttive di adeguamento ai nuovi requisiti.

ART 2 - Penali

Nel caso in cui il Responsabile agisca in modo difforme o contrario alle legittime istruzione del Titolare oppure adotti misure di sicurezza inadeguate rispetto al rischio del trattamento risponde del danno causato agli “interessati”. In tal caso, il Titolare potrà risolvere la Convenzione, salvo il risarcimento del maggior danno.

Data / /

Firma Titolare

Firma Responsabile