DOCUMENTO DI AGGIORNAMENTO

DOCUMENTO DI AGGIORNAMENTO

dei modelli contrattuali allegati al Regolamento relativo ai contratti e convenzioni per attività di autofinanziamento in collaborazione o per conto terzi dell’Università di Pavia.

Adeguamento di alcuni articoli alle nuove disposizioni in materia di:

1. trattamento dei dati personali,

2. sottoscrizione digitale e oneri fiscali,

3. codice etico, trasparenza e anticorruzione (nuovo articolo).

1. ARTICOLO SUL TRATTAMENTO DEI DATI PERSONALI

La formulazione che segue è generica e sostituisce quella dell’articolo sul trattamento dei dati personali contenuta negli schemi contrattuali allegati al Regolamento relativo ai contratti e convenzioni per attività di autofinanziamento in collaborazione o per conto terzi dell’Università di Pavia:

Art. … - Trattamento dei dati personali

Le Parti dichiarano di essere informate in merito all'utilizzo dei propri dati personali e ne autorizzano il trattamento su supporti informatici e/o cartacei, al fine di adempiere a tutti gli obblighi di legge e comunque funzionali alla stipulazione e all’esecuzione del rapporto instaurato con il presente contratto, nei modi e nei limiti necessari per perseguire tali finalità, anche in caso di comunicazione a terzi, laddove previsto per l'esecuzione del contratto o in virtù di disposizioni normative, nel rispetto del Regolamento (UE) 679/2016 (di seguito GDPR) e del D. Lgs. 30 giugno 2003, n.196 così come da ultimo modificato con il D.Lgs. 101/2018. Le informative estese sul trattamento dati sono disponibili on-line sui siti internet delle Parti rispettivamente ai seguenti indirizzi: xxxxx://xxxxxxx.xxxxx.xx/ e …

Eventuale integrazione nel caso di contratti che prevedano successivi accordi attuativi

Nel merito delle attività attuative del presente contratto, in considerazione della varietà di attività previste, verranno eventualmente di volta in volta definiti, mediante integrazioni o nuovi appositi accordi, gli aspetti in materia di protezione dei dati personali che si renderanno necessari.

Article … - The handling of personal data

The Parties declare that they are informed about the use of their personal data and authorise its handling using electronic means and / or in paper format, in order to fulfil all the legal obligations and for the stipulation and execution of the relationship established by this contract, in the ways and within the limits necessary to pursue these purposes, including communication to third parties, where envisaged for the execution of the contract or pursuant to regulatory provisions, in compliance with Regulation (EU) 679/2016 (hereafter GDPR) and Legislative Decree No. 196 dated 30 June 2003 and last amended by Legislative Decree 101/2018. Detailed information on data handling is available online on the Parties’ websites at the following addresses, respectively: xxxxx://xxxxxxx.xxxxx.xx/ and ...

Eventuale integrazione nel caso di contratti che prevedano successivi accordi attuativi

With regard to the executive activities of this Contract, in consideration of the variety of activities envisaged, the aspects relating to the protection of personal data that will be necessary will be defined from time to time, through additions or new specific agreements.

___ . ___

SI UTILIZZA QUANDO l’esecuzione del contratto non comporta trattamento di dati personali, ovvero quando i dati scambiati durante la sua vigenza sono quelli dei firmatari necessari per consentire la gestione dell’atto e l’adempimento degli obblighi derivanti.

***

QUANDO SI UTILIZZANO DIFFERENTI FORMULAZIONI

Nel caso in cui nell’esecuzione del contratto vi sia un trattamento di dati personali di terzi (ad esempio: dati dei pazienti nell’ambito della ricerca oppure di studenti per i tirocini) occorre precisare il ruolo delle Parti in merito al trattamento dei dati.

In tale eventualità possono ricorrere casi differenti, solitamente riferibili, nei contratti, a tre tipologie:

1. trattamento dei dati in caso di titolari autonomi

Art. … - Trattamento dei dati personali

Le Parti dichiarano di essere informate in merito all'utilizzo dei propri dati personali e ne autorizzano il trattamento su supporti informatici e/o cartacei, al fine di adempiere a tutti gli obblighi di legge e comunque funzionali alla stipulazione e all’esecuzione del rapporto instaurato con il presente contratto, nei modi e nei limiti necessari per perseguire tali finalità, anche in caso di comunicazione a terzi, laddove previsto per l'esecuzione del contratto o in virtù di disposizioni normative, nel rispetto del Regolamento (UE) 679/2016(di seguito GDPR) e del D. Lgs. 30 giugno 2003, n.196 così come da ultimo modificato con il D.Lgs. 101/2018. Le informative estese sul trattamento dati sono disponibili on-line sui siti internet delle Parti rispettivamente ai seguenti indirizzi: xxxxx://xxxxxxx.xxxxx.xx/ e …

Le Parti si impegnano reciprocamente ad operare nel pieno rispetto delle disposizioni dettate della normativa vigente in materia di protezione dei dati personali, mettendo in atto misure tecniche ed organizzative adeguate e a verificare ed aggiornare periodicamente le politiche di protezione dei dati ai sensi degli artt. 24 e 25 del GDPR, custodendo i dati personali trattati in modo tale da evitare rischi di distruzione degli stessi o di accessi a tali dati da parte di soggetti non autorizzati. Le Parti sono inoltre soggette a tutti gli obblighi propri dei Titolari del trattamento, in particolare quelli di informazione e accesso ai dati (artt. 13 e ss. del Regolamento (UE) 679/2016).

Le Parti si impegnano a mettere reciprocamente a disposizione, qualora necessario, le informazioni utili a dimostrare e verificare il rispetto dei propri obblighi ai sensi della vigente legge sulla protezione dei dati e a cooperare in caso di richieste provenienti all'una o all’altra Parte dall’Autorità Garante o dall'Autorità Giudiziaria circa il trattamento dei dati oggetto del presente Contratto.

Eventuale integrazione nel caso di contratti che prevedano successivi accordi attuativi

Nel merito delle attività attuative del presente contratto, in considerazione della varietà di attività previste, verranno eventualmente di volta in volta definiti, mediante integrazioni o nuovi appositi accordi, gli aspetti in materia di protezione dei dati personali che si renderanno necessari.

Article … - The handling of personal data

The Parties declare that they are informed about the use of their personal data and authorise its handling using electronic means and / or in paper format, in order to fulfil all the legal obligations and for the stipulation and execution of the relationship established by this contract, in the ways and within the limits necessary to pursue these purposes, including communication to third parties, where envisaged for the execution of the contract or pursuant to regulatory provisions, in compliance with Regulation (EU) 679/2016 (hereafter GDPR) and Legislative Decree No. 196 dated 30 June 2003 and last amended by Legislative Decree 101/2018. Detailed information on data handling is available online on the Parties’ websites at the following addresses, respectively: xxxxx://xxxxxxx.xxxxx.xx/ and ...

The Parties mutually commit to operate in full compliance with the provisions of the current legislation on the protection of personal data, putting in place adequate technical and organisational measures and periodically verifying and updating the data protection policies pursuant to articles 24 and 25 of the GDPR, storing personal data handled in such a way as to avoid a risk of its destruction or access by unauthorised subjects. The Parties are also subject to all the obligations of the Data Controllers, in particular those concerning information and data access (articles 13 and following of Regulation (EU) 679/2016).

The Parties undertake to make available to each other, if necessary, any information useful to demonstrate and verify compliance with their obligations under existing data protection laws and to cooperate in the event of requests from one or other Party from the Data Protection Authority or by the Judicial Authority regarding the handling of data covered by this contract.

Eventuale integrazione nel caso di contratti che prevedano successivi accordi attuativi

With regard to the executive activities of this Contract, in consideration of the variety of activities envisaged, the aspects relating to the protection of personal data that will be necessary will be defined from time to time, through additions or new specific agreements.

2. trattamento dei dati in caso di contitolarità

Art. … - Trattamento dei dati personali

Le Parti dichiarano di essere informate in merito all'utilizzo dei propri dati personali e ne autorizzano trattamento su supporti informatici e/o cartacei, al fine di adempiere a tutti gli obblighi di legge e comunque funzionali alla stipulazione e all’esecuzione del rapporto instaurato con il presente contratto, nei modi e nei limiti necessari per perseguire tali finalità, anche in caso di comunicazione a terzi, laddove previsto per l'esecuzione del contratto o in virtù di disposizioni normative, nel rispetto del Regolamento (UE) 679/2016(di seguito GDPR) e del D. Lgs. 30 giugno 2003, n.196 così come da ultimo modificato con il D.Lgs. 101/2018. Le informative estese sul trattamento dati sono disponibili on-line sui siti internet delle Parti rispettivamente ai seguenti indirizzi: xxxxx://xxxxxxx.xxxxx.xx/ e …

Rilevato che nell’ambito delle attività del …, l’esecuzione della collaborazione scientifica implica inoltre un trattamento congiunto di dati personali, anche particolari, di terzi (si veda allegato A), con la sottoscrizione del presente atto le Parti dichiarano di essere contitolari del trattamento e si impegnano a determinare, mediante accordo redatto ai sensi dell'art. 26, primo comma, del Regolamento (UE) 2016/679, le rispettive responsabilità.

A tal fine, con la sottoscrizione dell’accordo contenuto nell’allegato B, che costituisce parte integrante e sostanziale della presente convenzione, le parti accettano espressamente di eseguire esclusivamente le operazioni di trattamento che risultino strettamente necessarie ai fini dell’esecuzione della presente convenzione, nonché ad attenersi scrupolosamente alle prescrizioni sancite all’interno del predetto accordo di contitolarità. Il contenuto essenziale dell’accordo verrà messo a disposizione dell’interessato.

Le Parti si impegnano inoltre reciprocamente ad operare mettendo in atto misure tecniche ed organizzative adeguate e a verificare e aggiornare periodicamente le politiche di protezione dei dati ai sensi degli artt. 24 e 25 del GDPR, custodendo i dati personali trattati in modo tale da evitare rischi di distruzione degli stessi o di accessi a tali dati da parte di soggetti non autorizzati.

In particolare le Parti si impegnano a:

• utilizzare i dati oggetto di trattamento per i soli usi concordati;

• coordinare i propri incaricati, impartendo eventuali specifiche disposizioni, verificando il rispetto della normativa e delle istruzioni impartite;

• segnalare immediatamente eventuali situazioni anomale o di emergenza;

• comunicare le informazioni di cui agli articoli 13 e (14) del Regolamento (UE) 2016/679 di competenza di ciascuna parte;

• comunicare eventuali istanze per l’esercizio dei diritti degli interessati previsti dall’articolo 15 e ss. del GDPR ovvero di richieste delle Autorità di controllo che riguardino eventuali ambiti di trattamento di competenza autonoma di una delle parti.

Per quanto non espressamente previsto nelle presenti condizioni generali, si rinvia alle disposizioni vigenti in materia di protezione dei dati personali.

___ . ___

In caso di contitolarità al contratto dovranno essere allegati i documenti e gli atti indicati nell’articolo, di seguito indicati:

• Allegato A, Ambito del trattamento;

• Allegato B, Accordo di contitolarità;

• Allegato C, Informativa.

I modelli e gli esempi degli allegati sopra richiamati sono acclusi al presente documento di aggiornamento.

3. Articolo sul trattamento dei dati in caso di nomina di responsabile esterno al trattamento

Art. … - Trattamento dei dati personali

Le Parti dichiarano di essere informate in merito all'utilizzo dei propri dati personali e ne autorizzano il trattamento su supporti informatici e/o cartacei, al fine di adempiere a tutti gli obblighi di legge e comunque funzionali alla stipulazione e all’esecuzione del rapporto instaurato con il presente contratto, nei modi e nei limiti necessari per perseguire tali finalità, anche in caso di comunicazione a terzi, laddove previsto per l'esecuzione del contratto o in virtù di disposizioni normative, nel rispetto del Regolamento (UE) 679/2016(di seguito GDPR) e del D. Lgs. 30 giugno 2003, n.196 così come da ultimo modificato con il D.Lgs. 101/2018. Le informative estese sul trattamento dati sono disponibili on-line sui siti internet delle Parti rispettivamente ai seguenti indirizzi: xxxxx://xxxxxxx.xxxxx.xx/ e …

Con la sottoscrizione del contratto, il Fornitore accetta espressamente di essere nominato per la durata del contratto stesso -Responsabile del Trattamento dei dati ai sensi art. 28 Regolamento (UE) 2016/679.

___ . ___

In caso di nomina di responsabile esterno del trattamento insieme al contratto occorrerà stipulare anche l’atto di nomina a responsabile esterno del trattamento, come da allegato:

• Modello di atto di nomina a responsabile esterno del trattamento.

Si ricorda che anche sul sito internet dell’Università, alla pagina …, sono riportati gli articoli e la modulistica sopra richiamati, nonché le indicazioni di seguito indicate.

***

criteri di valutazione del trattamento dei dati personali nell’ambito dei contratti

1. I RUOLI DELLE PARTI NEL TRATTAMENTO DATI – definizioni e responsabilitÀ

Nel caso in cui nell’esecuzione del contratto vi sia un trattamento di dati PERSONALI di terzi (ad esempio: dati dei pazienti nell’ambito della ricerca oppure di studenti per i tirocini) occorre precisare il ruolo delle le Parti in merito al trattamento dei dati.

È necessario esaminare la sostanza del trattamento posto in essere con l’accordo: la natura e le caratteristiche dell’attività svolta dai soggetti in questione, in relazione sia agli accordi contrattuali in essere, sia alle eventuali previsioni normative applicabili a ciascun settore di riferimento.

Il Considerando n. 79 del GDPR prevede che “La protezione dei diritti e delle libertà degli interessati così come la responsabilità generale dei titolari del trattamento e dei responsabili del trattamento, anche in relazione al controllo e alle misure delle autorità di controllo, esigono una chiara ripartizione delle responsabilità ai sensi del presente regolamento, compresi i casi in cui un titolare del trattamento stabilisca le finalità e i mezzi del trattamento congiuntamente con altri titolari del trattamento o quando l’operazione di trattamento viene eseguita per conto del titolare del trattamento”.

I RUOLI I COMPITI E LE RESPONSABILITÀ DELLE PARTI DEVONO ESSERE CHIARI anche in relazione all’art.8 2 che stabilisce che chiunque subisca un danno materiale o immateriale causato da una violazione del GDPR ha il diritto di ottenere il risarcimento del danno in primis dal Titolare del trattamento.

2. TITOLARI AUTONOMI

Art. 4 punto 7) GDPR - Titolare è colui il quale stabilisce le modalità e il motivo della raccolta dati (finalità e mezzi), nonché in concreto quali dati saranno raccolti, elaborati e chi ne avrà accesso. Nel caso di persone giuridiche, Titolare del trattamento è l’ente o la persona giuridica nel suo complesso.

Il Titolare è tenuto a mettere in atto adeguate misure tecniche ed organizzative, sulla base di una valutazione dei rischi legati al trattamento, ai costi, alla natura ed alle finalità dello stesso, in modo da garantire la sicurezza nel trattamento dei dati personali, nel rispetto dei principi di accountability e minimizzazione dell’utilizzo dei dati (privacy by design e by default). Inoltre, ai sensi degli articoli 33 e 34 del GDPR, in caso di violazione dei dati personali, il Titolare ha l’obbligo di mettere in atto le contromisure adeguate per contrastare eventuali danni e a darne comunicazione al Garante ed all’interessato, quando necessario.

Fra gli obblighi rientrano ANCHE la consegna all’interessato di un’informativa conforme alle previsioni contenute all’articolo 13 del GDPR e la messa a punto di un’organizzazione che permetta agli interessati il libero esercizio dei loro diritti, così come previsti dagli articoli 15 – 22 del GDPR.

Se il contratto prevede la titolarità autonoma (definita sulla base della natura e delle caratteristiche tipiche dell’attività svolta dai contraenti) ogni Parte decide e pone in atto, sempre in via autonoma, le più adeguate misure tecniche, organizzative e di sicurezza, per garantire un livello di tutela dei dati adeguato al rischio (art. 24, paragrafo 1 del GDPR) in funzione del concetto di accountability e dei criteri di privacy by design e privacy by default.

La “compliance” al Regolamento spetta ai Titolari indipendenti (non contitolari) unitamente al potere decisionale e alle valutazioni connesse alla misure da adottare a seguito della valutazione di rischio.

Il trattamento dei dati personali è giustificato sulla base di una delle seguenti circostanze:

- perché previsto nel contratto;

- perché è necessario per consentire l’adempimento ad obblighi legali e all’esecuzione del medesimo.

Ogni Titolare si assume tutte le responsabilità conseguenti del trattamento dati.

Gli interessati si possono rivolgere indistintamente all’uno o all’altro Titolare autonomo per soddisfare le proprie richieste di tutela dei propri diritti.

Non si instaura un rapporto di contitolarità sui dati personali usati da entrambi i soggetti.

3. CONTITOLARI DEL TRATTAMENTO

Art. 26 GDPR - Se negli accordi esiste una determinazione congiunta delle finalità e dei mezzi del trattamento dei dati personali (art. 26 GDPR).

Ad esempio:

- una gestione condivisa della programmazione dell'offerta formativa ed una pianificazione condivisa di regole e procedure e mezzi sottesi alla gestione tra più Atenei di un master;

- i dati raccolti per la finalità di una ricerca.

L’art. 82 paragrafo 2 del GDPR precisa che “Qualora più titolari del trattamento […] siano coinvolti nello stesso trattamento […] ogni Titolare del trattamento […] è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato”.

Ai fini del trattamento dei dati personali, le Parti sono parimenti responsabili di fronte agli interessati, che possono esercitare i propri diritti nei confronti di e contro ciascuno dei contitolari.

La responsabilità è quindi diversa e aggravata rispetto alle altre tipologie di rapporto.

L’art. 26 del GDPR prevede che le Parti determinino in modo trasparente mediante un Accordo Interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR con particolare riguardo all’esercizio dei diritti dell’interessato e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del GDPR.

Il contenuto essenziale dell’accordo è messo a disposizione dell’interessato.

4. TITOLARE – RESPONSABILE

Art. 28 GDPR – Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.

Esempio: CINECA svolge un servizio per conto dell’Ateneo che comporta un trattamento dati di dipendenti, studenti, collaboratori dell’Ateneo. In questo caso l’Ateneo è Titolare e CINECA è stato nominato Responsabile esterno del trattamento dei dati.

Il Responsabile risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificamente a lui diretti, o se ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare.

Il Responsabile agisce su istruzione del Titolare in base all’accordo di nomina che disciplina l’esecuzione dei compiti.

Il Responsabile è tenuto a rispondere dei danni, qualora non si sia attenuto alle indicazioni del Titolare e non abbia adempiuto gli obblighi presenti nella nomina.

Nel caso in cui sia il Titolare che il Responsabile siano coinvolti e siano responsabili del danno causato dallo stesso trattamento, essi rispondono in solido per l’intero ammontare del danno.

Attenzione: la nomina del Responsabile esterno deve essere inserita nel Registro delle attività di trattamento dell’Ateneo (art. 30 GDPR)!

Nell’area riservata xxxxx://xxxxxxx.xxxxx.xx/xxxx pubblicate le clausole standard che devono essere adattate di volta in volta alle specifiche situazioni.

***

2. ARTICOLO SUGLI ONERI FISCALI E LA SOTTOSCRIZIONE

La formulazione che segue, nelle due alternative proposte, sostituisce quella dell’articolo sugli oneri fiscali contenuta negli schemi contrattuali allegati al Regolamento relativo ai contratti e convenzioni per attività di autofinanziamento in collaborazione o per conto terzi dell’Università di Pavia:

1. Sottoscrizione digitale (originale elettronico)

Art. … – Oneri fiscali

Il presente contratto:

- sarà sottoscritto digitalmente ai sensi dell’art. 15, comma 2-bis, della L. 241/1990^a) e dell’art. 24 del D. Lgs. 82/2005 (Codice dell’amministrazione digitale);

- sarà registrato solo in caso d'uso ai sensi degli art. 5 e 39 del D.P.R. 131/86, a cura e spese della Parte che ne farà richiesta;

- sarà bollato fin dall’origine, ai sensi dell'art. 2, Tabella A, tariffa parte I, del D.P.R. 642/72, in modalità virtuale, sull’unico originale elettronico, dal Committente, in forza di autorizzazione … n. … del ….

Pavia, ⁽¹⁾

Firma del Direttore del Dipartimento

…., ⁽¹⁾

Firma del Committente

[Atto sottoscritto digitalmente – ⁽¹⁾ Rispettive date di sottoscrizione digitale]

Art. … - Tax burden

This contract:

- will be digitally signed pursuant to art. 15, paragraph 2-bis, of Law 241 /1990^a) and art. 24 of Legislative Decree 82/2005 (Digital Administration Code);

- will be registered only in case of use pursuant to art. 5 and 39 of the Presidential Decree 131/86, at the expense of the Party that requests it;

- stamp duty costs, pursuant to art. 2, Table A, tariff part I, of the D.P.R. 642/72, will be paid in virtual mode, on the only electronic original, by the Customer, under authorization ... n. … of the ….

Pavia, ⁽¹⁾

Firma del Direttore del Dipartimento

…., ⁽¹⁾

Firma del Committente

[Digitally signed on the respective dates ⁽¹⁾]

___.___

^a) togliere “dell’art. 15, comma 2-bis, della L. 241/1990” se la controparte non è un ente pubblico

2. Sottoscrizione non digitale (originali cartacei)

Art. … – Oneri fiscali

Il presente contratto:

- sarà predisposto in due originali cartacei, da sottoscriversi a cura di ciascuna Parte;

- sarà registrato solo in caso d'uso ai sensi degli art. 5 e 39 del D.P.R. 131/86, a cura e spese della Parte che ne farà richiesta;

- sarà bollato fin dall’origine, ai sensi dell'art. 2, Tabella A, tariffa parte I, del D.P.R. 642/72. L’onere relativo sarà a carico del Committente per tutti gli originali dell’atto perfezionato.

Pavia, …

Firma del Direttore del Dipartimento

…., …

Firma del Committente

Art. … - Tax burden

This contract:

- will be prepared in two original paper copies, to be signed by each Party;

- will be registered only in case of use pursuant to art. 5 and 39 of the Presidential Decree 131/86, at the expense of the Party that requests it;

- stamp duty costs, pursuant to art. 2, Table A, tariff part I, of the D.P.R. 642/72, will be paid by the Customer for each original.

Pavia,

Firma del Direttore del Dipartimento

….,

Firma del Committente

***

3. ARTICOLO SU CODICE ETICO, TRASPARENZA E ANTICORRUZIONE

Qualora il singolo Committente proponga di disciplinare nel contratto anche gli obblighi delle parti in materia di trasparenza e anticorruzione, nonché l’assoggettamento al codice etico, è possibile inserire nel testo contrattuale il seguente articolo:

Art. … - Codice etico, trasparenza e anticorruzione

L’Università conferma di aver preso visione del Codice Etico, del Modello di Organizzazione, Gestione e Controllo e delle linee guida Anticorruzione del Committente^a), adottate in attuazione del D. Lgs. 231/2001, disponibili alla pagina web …, e di applicarne i contenuti, promuovendone l’osservanza tra i propri dipendenti e collaboratori, ove essi siano compatibili con le specifiche norme che, in tali materie, regolano l’operato della pubblica amministrazione, in generale, e delle università, in particolare.

Nello specifico, l’Università di Pavia:

- ha adottato il proprio Codice Etico, in applicazione dell'art. 4 della L. 240/2010, disponibile al link xxxxx://xxx.xxxxx.xx/xx-xxxxxxx/xxxxxxx/0000/00/Xxxxxx-Xxxxx.xxx, quale patrimonio condiviso di valori e di regole deontologiche di condotta applicabili ai componenti della comunità accademica;

- è assoggettata alle disposizioni normative vigenti in materia di anticorruzione e trasparenza applicabili alla pubblica amministrazione (L. 190/2012, D. Lgs. 33/2013 e smi) e al piano triennale anticorruzione 2020/2022^b) adottato dall'Università stessa e disponibile al link  xxxxx://xxx-0.xxxxx.xx/xxxx/xxxx/xxxxxx/xxxxxxxxxxxxxxx/xxxxxxxxxxxxxxx-xxxxxxxxxxx/xxxxxxxxxxxxxx.xxxx);

- è assoggettata al DPR n. 62/2013 – Regolamento recante codice di comportamento dei dipendenti pubblici a norma dell’art. 54 del D. Lgs. 165/2001.

^a) Il riferimento ai documenti indicati è a titolo esemplificativo.

^b) Il riferimento è da modificare ad ogni aggiornamento del piano triennale.

Art. … - Ethic Codes, …

The University confirms that it has read the Ethic Code, the Organization, Management and Control Model and the Anti-corruption guidelines of the Client^a), adopted pursuant to Legislative Decree 231/2001, available on the web page ..., and to apply their contents, promoting compliance of them among their employees and collaborators, if they are compatible with the specific rules that, in these matters, regulate the work of the public administration, in general, and of universities, in particular.

Specifically, the University of Pavia:

- has adopted its own Ethic Code, pursuant to art. 4 of Law 240/2010, available at the link xxxxx://xxx.xxxxx.xx/xx-xxxxxxx/xxxxxxx/0000/00/Xxxxxx-Xxxxx.xxx, as a shared heritage of values ​​and ethical rules of conduct applicable to members of the academic community;

- is subject to the current anti-corruption and transparency regulatory provisions applicable to the public administration (Law 190/2012, Legislative Decree 33/2013 and subsequent amendments) and to the three-year anti-corruption plan 2020/2022^b) adopted by the University itself and available at link xxxxx://xxx-0.xxxxx.xx/xxxx/xxxx/xxxxxx/xxxxxxxxxxxxxxx/xxxxxxxxxxxxxxx-xxxxxxxxxxx/xxxxxxxxxxxxxx.xxxx;

- is subject to Presidential Decree n. 62/2013 – Regulation containing the code of conduct for public employees pursuant to art. 54 of Legislative Decree 165/2001.

^a) Il riferimento ai documenti indicati è a titolo esemplificativo.

^b) Il riferimento è da modificare ad ogni aggiornamento del piano triennale.

***

4. ALTRI CONTRATTI E CONVENZIONI

Le indicazioni contenute nel presente documento sono estendibili anche alle altre tipologie contrattuali (convenzioni di collaborazione, accordi, protocolli, intese, etc.), trattandosi di previsioni tipicamente presenti nei contratti stessi.

ALLEGATI

Contitolarità

Allegato A

AMBITO del TRATTAMENTO

Tipologia di Dati Personali oggetto di trattamento

• Dati comuni (ad es. nome, cognome, luogo e data di nascita, C.F., residenza, sesso, contatti telefonici, contatti di posta elettronica e altri dati di tipo anagrafico)

• Dati particolari (Dati idonei a rilevare lo stato di salute, la vita sessuale, l’origine razziale o etnica, le convinzioni religiose dell’interessato, nonché dati biometrici e genetici)

• Dati relativi a condanne penali, reati o a connesse misure di sicurezza

• Altro (specificare) ………………………………

Categorie di interessati

• Personale dipendente, collaboratori, stagisti

• Pazienti

• Altro (specificare) ………………………………..

Natura e finalità del trattamento

Attività di ricerca (ad es. statistica, scientifica, medica, biomedica ed epidemiologica)

Durata del trattamento

XXX anni dalla data di ultima sottoscrizione della convenzione.

***

Allegato B

Accordo ai sensi dell'art. 26, primo comma, del Regolamento Generale sulla Protezione dei Dati (GDPR)

tra

XXXXXX Xxxxx (di seguito denominata per brevità…………) con sede in Pavia - ……….- codice fiscale n………, partita IVA n. ……….., nella persona del rappresentante legale prof. ………….nella sua qualità di Rettore, domiciliato per la carica presso il citato ente

e

XXXXXXXXXXXXXX (di seguito denominata per brevità ICS XXXXXX), con sede legale in XXXalla via XXXX codice fiscale e P.IVA n.XXXXXX, in persona del Rappresentante Legale XXX

Art. 1

Il presente accordo stabilisce i diritti e gli obblighi dei contitolari di trattamento dei dati (in appresso denominati anche "Parti") in relazione alle operazioni di trattamento operate congiuntamente. Il presente accordo si applica a tutte le attività in cui i dipendenti delle parti o i responsabili del trattamento da esse designati trattano dati personali per conto dei titolari. Le parti hanno stabilito congiuntamente i mezzi e le finalità delle attività di trattamento di seguito descritte.

I dati personali sono trattati nell’ambito di una collaborazione scientifica avente ad oggetto le attività del XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX. In particolare: lo studio XXXXXXXXXXXXXXXXXXXXXXX seconda della fase del processo, il trattamento di questi dati avviene presso il XXXXXXXXXXXX. Le parti dichiarano che le operazioni di trattamento dei dati personali eseguite durante tutte le fasi del processo vengono effettuate in contitolarità (art. 26 RGPD).

Le parti si impegnano a promuovere inoltre, anche congiuntamente:

• corsi di aggiornamento professionale;

• ………..

Per le ricerche e le attività diverse da quelle oggetto della convenzione, per le quali non esiste una determinazione comune delle finalità e dei mezzi delle singole fasi del trattamento dei dati, ogni parte contraente è un titolare indipendente ai sensi dell'art. 4(7) del RGPD. Nella misura in cui le parti contraenti sono contitolari dei trattamenti ai sensi dell'art. 26 RGPD, valgono gli accordi espressi all’articolo successivo.

Art. 2

Nell'ambito della contitolarità XXXXXX e la XXXXXX sono contitolari del trattamento dei dati personali per quanto attiene la conduzione di protocolli di ricerca clinica ed in particolare XXXXXXXX

L'oggetto del trattamento è costituito da categorie di dati comuni e particolari, e la base giuridica è il consenso, libero ed espresso (revocabile in qualunque momento da parte dell’interessato), ai sensi e per gli effetti dell’art. 6, paragrafo 1, lettera a) e art 9, paragrafo 2 lett. a) del GDPR.

Art. 3

Ciascuna delle parti garantisce il rispetto delle disposizioni di legge, in particolare la liceità dei trattamenti di dati da essa effettuati, compresi quelli effettuati in contitolarità. Le parti adottano tutte le misure tecniche e organizzative necessarie affinché i diritti degli interessati, in particolare ai sensi degli articoli 12 a 22 del RGPD, possano essere garantiti in qualsiasi momento entro i termini di legge.

Art. 4

Entrambe le parti garantiscono che verranno raccolti solo i dati personali strettamente necessari per lo svolgimento legittimo del trattamento e si impegnano reciprocamente a rispettare il principio della minimizzazione dei dati ai sensi dell'art. 5(1) lettera c del RGPD.

Art. 5

Le parti si impegnano a fornire gratuitamente all'interessato le informazioni richieste ai sensi degli articoli 13 e 14 del RGPD in forma concisa, trasparente, intelligibile e facilmente accessibile con un linguaggio chiaro e semplice.

Art. 6

Gli interessati possono far valere i loro diritti ai sensi degli articoli 15 a 22 del RGPD nei confronti di entrambe le parti contraenti

Art. 7

Qualora l'interessato si metta in contatto con una delle parti per l'esercizio dei suoi diritti, in particolare per quanto riguarda l’accesso o la rettifica e la cancellazione dei suoi dati personali, le parti si impegnano a trasmettere senza indugio tale richiesta all'altra parte, indipendentemente dall'obbligo di garantire il diritto dell'interessato. Quest'ultima parte è tenuta a fornire immediatamente alla parte contraente richiedente le informazioni necessarie richieste ove non in possesso dell’altra parte.

Se i dati personali devono essere cancellati, le parti si informano reciprocamente in anticipo. L'altra parte può opporsi alla cancellazione per motivi giustificati, ad esempio se è soggetta a un obbligo legale di conservazione dei dati.

Art. 8

Le parti si informano reciprocamente, immediatamente e in modo completo, se nel corso dell'esame delle attività di trattamento e/o dei risultati di un responsabile del trattamento scoprono errori o irregolarità in materia di normativa sulla protezione dei dati.

Art. 9

Le parti si impegnano a mettere a disposizione degli interessati il contenuto essenziale dell'accordo sulla contitolarità in materia di protezione dei dati (art. 26 cpv. 2 RGPD).

Per quanto riguarda XXXXXX tramite mail scrivendo all’indirizzo:

XXXXX scrivendo nel oggetto: “Accordo di contitolarità XXXXXX – XXXXXX”;

Per quanto riguarda la XXXXXX

Art. 10

Entrambe le parti sono tenute a notificare all'autorità di controllo e agli interessati una violazione della protezione dei dati personali ai sensi degli art. 33, 34 RGPD per le rispettive aree funzionali, quando previsto. Precedentemente, le parti si informano reciprocamente e immediatamente di qualsiasi violazione della protezione dei dati personali che si intende comunicare all'autorità di controllo e si trasmettono immediatamente le informazioni necessarie per l'attuazione della notifica.

Art. 11

La documentazione ai sensi dell'art. 5(2) del RGPD, che serve come prova del corretto trattamento dei dati, deve essere conservata da ciascuna delle parti oltre la fine del contratto, conformemente ai poteri e agli obblighi di legge.

Art.12

Nell'ambito della loro organizzazione, le parti garantiscono che tutti i collaboratori coinvolti nel trattamento dei dati mantengano la riservatezza dei dati ai sensi degli articoli 28(3), 29 e 32 del RGPD per tutta la durata del loro rapporto di lavoro e anche dopo la cessazione del rapporto di lavoro, che siano tenuti a rispettare la riservatezza dei dati prima di iniziare il loro rapporto di lavoro e che siano a conoscenza delle disposizioni in materia di protezione dei dati che li riguardano.

Le parti garantiscono in modo indipendente il rispetto di tutti gli obblighi legali esistenti in materia di conservazione dei dati. Essi devono adottare adeguate misure di sicurezza dei dati (art. 32 e segg. GDPR), anche in caso di risoluzione del presente accordo.

L'attuazione, la preimpostazione e il funzionamento dei sistemi sono conformi ai requisiti del GDPR e alle altre norme, in particolare ai principi della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita, nonché utilizzando misure tecniche e organizzative adeguate e allo stato dell'arte, compreso il rispetto, ove possibile, dell’applicazione delle Misure minime di sicurezza ICT per le pubbliche amministrazioni emanata da AgID;

Art. 13

Le parti sono tenute a stipulare opportuni accordi contrattuali in conformità alla legge e ad adottare misure di controllo al fine di garantire la protezione e la sicurezza dei dati personali, anche nel caso di servizi aggiuntivi forniti da terzi.

Art. 14

Indipendentemente dalle disposizioni del presente contratto, le parti sono responsabili in solido nei confronti degli interessati per i danni causati da un trattamento non conforme al GDPR.

[Luogo, data]

[Sottoscrizioni]

***

Allegato C

Esempio INFORMATIVA MASTER UNIVERSITARIO – UNIVERSITÀ CONTITOLARI

INFORMATIVA PRIVACY

ex art. 13 Regolamento (UE) 2016/679 (GDPR)

(informativa da fornire agli interessati nel caso in cui le Parti raccolgano i dati in qualità di Contitolari del trattamento)

Gentile Interessato, desideriamo informarLa che il “Regolamento Europeo 2016/679 relativo alla protezione delle persone fisiche con riguardo al Trattamento dei Dati Personali, nonché alla libera circolazione di tali dati” (da ora in poi “GDPR”) prevede la protezione delle persone fisiche con riguardo al trattamento dei dati di carattere personale come diritto fondamentale.

Ai sensi dell’articolo 13 del GDPR, pertanto, La informiamo di quanto segue.

Contitolari del trattamento sono:

• l’Università degli Studi di Xxxxx, Via Xxxxxx, CAP XXXX Yyyyyy (YY), X.X. xxxxxxxxxxx x X. XXX xxxxxxxxxxxx,

• l’Università degli Studi di Xxxxx, Via Xxxxxx, CAP XXXX Yyyyyy (YY), X.X. xxxxxxxxxxx x X. XXX xxxxxxxxxxxx,

• l’Università degli Studi di Xxxxx, Via Xxxxxx, CAP XXXX Yyyyyy (YY), X.X. xxxxxxxxxxx x X. XXX xxxxxxxxxxxx.

I Responsabili della Protezione dei Dati (Data Protection Officer - DPO) sono raggiungibili ai seguenti recapiti:

- DPO Università Xxxxx e-mail xxx@xxxx.xx

- DPO Università Xxxxx e-mail xxx@xxxx.xx

- DPO Università Xxxxx e-mail xxx@xxxx.xx

Finalità del trattamento e base giuridica

Il trattamento dei Suoi dati ha come base giuridica la normativa universitaria ed è effettuato per la seguente finalità: lo svolgimento delle proprie attività istituzionali, nei limiti stabiliti dalla legge e dai regolamenti, nel rispetto dei principi generali di trasparenza, correttezza e riservatezza; in particolare, la gestione didattica e amministrativa di un Master universitario.

Le Università contitolari possono trattare i Suoi dati anche per scopi statistici e scientifici, per favorire l’analisi e il miglioramento delle attività e dei servizi di didattica, di ricerca e del diritto allo studio.

Le Università contitolari possono avvalersi di enti terzi (enti gestori) - nominati Responsabili del Trattamento ai sensi del GDPR, art. 28 - per attività quali la gestione dei fondi e la collaborazione nell’organizzazione dei master e delle attività didattiche. Tali enti gestori possono collaborare direttamente con gli Atenei nello svolgimento di alcune attività che implicano l’accesso ai Suoi dati personali, tra le quali:

a) accesso all’elenco degli iscritti;

b) svolgimento delle prove di preselezione;

c) redazione del verbale delle prove;

d) redazione della graduatoria;

e) gestione presenze durante il corso;

f) redazione verbali di esame.

Dati oggetto di trattamento

L’Università di Xxxxx, l’Università di Yyyyy e l’Università di Zzzzz tratteranno i dati personali da Lei forniti all’atto dell’iscrizione a questo Master (anagrafici…..), nel xxxxx xxx xxxxxxxx formativo o successivamente alla Sua carriera.

Eventuali dati inerenti lo stato di salute possono essere comunicati dall’Interessato nel caso in cui richieda di avere particolari ausili o servizi durante lo svolgimento della prova o per le finalità istituzionali previste dalla legge inerenti al Suo percorso formativo.

Natura del conferimento dei dati e conseguenza del rifiuto

Il conferimento dei dati è obbligatorio…

Modalità di trattamento

Il trattamento è eseguito di norma tramite l’ausilio di strumenti informatici e telematici atti a memorizzare e gestire i dati stessi, in alcune fasi potrà avvenire su supporto cartaceo e, comunque, in modo tale da garantirne la sicurezza e tutelare la riservatezza dell’interessato con misure organizzative e tecnologiche volte a proteggere i dati. Il trattamento è effettuato nel rispetto dei principi generali del GDPR, di liceità, correttezza, trasparenza e non eccedenza (art, 5 paragrafo 1 del GDPR), con misure tecniche e organizzative adeguate in modo da tutelare la riservatezza e dei diritti degli utenti; in conformità a quanto previsto dall’art. 32 del GDPR per prevenire la perdita dei dati, usi illeciti o non corretti ed accessi non autorizzati e secondo quanto previsto dalla Circolare AgID n. 2/2017 “Misure minime di sicurezza ICT per le pubbliche amministrazioni”. Il rifiuto di fornire i dati richiesti non consentirà di accedere al servizio.

Comunicazione e diffusione dei dati

Il trattamento dei Suoi dati avverrà esclusivamente per fini istituzionali ed in linea con le previsioni legislative e regolamentari di riferimento. Solo a tali fini, gli stessi potranno inoltre essere comunicati a:

esempio

a) alle autorità preposte alle attività ispettive e di verifica fiscale ed amministrativa;

b) all’autorità giudiziaria nei casi previsti dalla legge;

c) ad ogni altro soggetto pubblico nei casi previsti dal diritto dell’Unione o dello Stato italiano.

Nel caso del master potrebbero essere comunicati a

a) M.I.U.R. (Ministero dell’Università e della Ricerca) per le funzioni istituzionali ad esso attribuite dalla legge;

b) C.U.N. (Consiglio Universitario Nazionale) per le funzioni istituzionali ad esso attribuite dalla legge;

c) Amministrazioni certificanti, in sede di controllo delle dichiarazioni sostitutive rese ai fini del DPR n. 445/2000;

d) Organismi Regionali di Gestione e Istituti universitari ed accademici, per gli adempimenti e le attività dirette a favorire la mobilità internazionale degli studenti e per la gestione dei trasferimenti;

e) Università ed Enti Accademici stranieri, nell’ambito delle convenzioni che prevedono l’istituzione di corsi con titoli congiunti, doppi o multipli;

f) soggetti privati, anche stranieri, su richiesta proveniente dallo stesso interessato, per confermare la presenza di eventuali titoli o requisiti, con lo scopo di agevolare l'orientamento, la formazione e l'inserimento professionale;

g) enti locali, ai fini di eventuali sussidi a favore di particolari categorie di studenti;

h) Avvocatura dello Stato, Ministero degli Affari esteri, Questure, Ambasciate, Procura della Repubblica relativamente a permessi di soggiorno o al riconoscimento di particolari status;

i) Regione, altri operatori pubblici e privati accreditati o autorizzati e potenziali datori di lavoro, ai fini dell’orientamento e inserimento nel mondo del lavoro (ai sensi della legge 30/2003, sulla riforma del mercato del lavoro, e successive attuazioni);

j) Enti di assicurazione e INAIL, per gli adempimenti relativi alle assicurazioni ed alla gestione infortuni;

k) ad enti pubblici e privati (Fondazioni, Associazioni, imprese, ecc..) per la valutazione, il riconoscimento e l’attribuzione di benefici economici;

l) altri soggetti pubblici o privati ai quali l’Ateneo affida dei servizi di propria competenza in out-sourcing o con i quali sono poste in essere delle convenzioni o degli accordi;

m) autorità giudiziaria (C.P. e C.P.P.);

I dati in forma anonima potranno esser trattati per svolgere attività di ricerca finalizzate ad analizzare possibili miglioramenti dei servizi.

I dati non saranno oggetto di diffusione.

I dati raccolti non sono di norma oggetto di trasferimento all’estero, salvo quanto espressamente indicato.

PERIODO DI CONSERVAZIONE

I dati raccolti vengono conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (“principio di limitazione della conservazione”: GDPR, art.5,) o in base alle scadenze previste dalle norme di legge.

Diritti dell’interessato

Gli interessati hanno il diritto di ottenere dal Titolare del trattamento, nei casi previsti, l'accesso ai propri dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che li riguarda o di opporsi al trattamento (artt. 15 e ss. del GDPR).

Tali diritti sono esercitabili rivolgendosi ai rispettivi Contitolari, scrivendo a:

XXXXXXXXXXXXX

XXXXXXXXXXXXX

Può altresì, contattare i rispettivi Responsabili della protezione dati per tutte le questioni relative al trattamento e all’esercizio dei diritti:

Diritto di reclamo

Gli interessati hanno il diritto di proporre reclamo all’Autorità di Controllo, come previsto dall'art. 77 del GDPR, o di adire le opportune sedi giudiziarie (art. 79 del GDPR).

Inesistenza di un processo decisionale automatizzato

Non verrà adottato alcun processo automatizzato, compresa la profilazione di cui all'art. 22, paragrafi 1 e 4, del GDPR

Nomina responsabile esterno del trattamento

Clausola standard da adattare alle specifiche situazioni

per la gestione dei rapporti tra Xxxxxxxx e Responsabile del trattamento

(art. 28 Regolamento (UE) 679/2016)

L’esecuzione delle attività contrattuali da parte del Fornitore implica un trattamento di dati personali meglio indicati nel successivo punto a) “Ambito del trattamento”, per conto dell’Università, Titolare del trattamento dati. Le Parti intendono regolare il trattamento dei dati personali nel rispetto delle previsioni legislative vigenti in materia e nello specifico in accordo con il Regolamento (UE) 679/2016 (nel prosieguo anche solo GDPR);

- il Fornitore dichiara di possedere esperienza, competenze tecniche e risorse idonee a mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento svolto per conto dell’Università sia conforme alla normativa in materia di protezione dei dati personali e garantisca la tutela degli interessati, oltre a fornire garanzia circa la conformità delle attività all’art. 25 del GDPR;

- l’Università, in virtù di quanto sopra ed ai sensi dell’art. 28 del Regolamento (UE) 2016/679, intende designare ... quale RESPONSABILE del trattamento dei dati personali;

Con la sottoscrizione del Contratto, il Fornitore accetta espressamente di essere nominato – per la durata del contratto stesso - Responsabile del Trattamento dei dati (ai sensi dell’art. 28 del Regolamento (UE) 2016/679) (di seguito RESPONSABILE).

L’Università e … sono qualificati anche, nel prosieguo, rispettivamente, quali TITOLARE e RESPONSABILE.

In particolare, il RESPONSABILE si obbliga ad uniformarsi alle disposizioni del Regolamento (UE) 2016/679 e del D. Lgs. 30 giugno 2003, n.196 così come modificato con il D.Lgs. 101/2018 ed alle eventuali ulteriori disposizioni impartitegli dal TITOLARE del trattamento dei dati personali. In particolare, il RESPONSABILE si impegna ad operare nel pieno rispetto delle disposizioni dettate della normativa vigente in materia di protezione dei dati personali, mettendo in atto misure tecniche ed organizzative adeguate a garantire che il trattamento sia conforme al GDPR e a verificare ed aggiornare periodicamente le politiche di protezione dei dati ai sensi degli artt. 24 e 25 del GDPR, custodendo i dati personali trattati in modo tale da evitare rischi di distruzione degli stessi o di accessi a tali dati da parte di soggetti non autorizzati.

Il Responsabile del trattamento si impegna a:

• elaborare i dati solo per gli scopi che sono oggetto del contratto;

• elaborare i dati in conformità con le istruzioni documentate dal titolare del trattamento come descritte nel presente contratto.

1. Ambito del trattamento

Il RESPONSABILE del trattamento è autorizzato ad elaborare per conto del TITOLARE del trattamento i dati personali necessari per fornire i servizi descritti nel contratto [ed eventualmente nei suoi allegati]. A riguardo si precisa quanto segue:

• Durata del trattamento: è pari alla durata del contratto dalla data di sottoscrizione; fermo restando che, anche successivamente alla cessazione degli effetti del Contratto, compresi gli eventuali rinnovi, o alla revoca per iscritto della presente Nomina, il RESPONSABILE dovrà mantenere la massima riservatezza sui dati e le informazioni relative al TITOLARE delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni;

• Finalità del trattamento: sono esclusivamente quelle necessarie all’espletamento dei servizi descritti nel contratto;

• Natura del trattamento: il trattamento dei dati personali dovrà avvenire, mediante strumenti manuali, informatici e telematici, con logiche strettamente collegate alle finalità sopra descritte e, comunque, in modo da garantire la sicurezza e la riservatezza dei dati stessi.

• Tipo di dati personali: ______________________________________

• Categorie di interessati: _______________________________________________

2. Obblighi generali del RESPONSABILE

Il RESPONSABILE è tenuto a trattare i dati personali solo ed esclusivamente ai fini della prestazione dei suddetti Servizi, nel rispetto di quanto disposto dalla normativa applicabile in materia di protezione dei dati personali, nonché delle istruzioni del TITOLARE riportate nei successivi articoli e di ogni altra indicazione scritta che potrà essergli dallo stesso fornita, nei limiti delle prestazioni contrattualmente dovute in suo favore.

Il RESPONSABILE nei limiti delle prestazioni contrattualmente dovute si impegna:

- trattare i dati in modo lecito, corretto e trasparente nei confronti dell’interessato, nell’ambito esclusivo delle finalità per le quali eroga i propri Servizi in favore del TITOLARE;

- trattare i dati personali solamente su istruzione documentata del TITOLARE del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale;

- formare adeguatamente i propri dipendenti e collaboratori rispetto all’applicazione del Regolamento e vigilare sull’operato dei propri incaricati, amministratori di sistema ed eventuali sub-responsabili, facendo sottoscrivere a costoro un apposito impegno di riservatezza;

- garantire che le persone siano espressamente autorizzate al trattamento dei dati personali e opportunamente istruite ai sensi dell’art. 29 del GDPR;

- adottare le misure richieste ai sensi dell'art. 32 del GDPR come meglio descritto al punto c) “Misure di Sicurezza”;

- tenere un registro dei trattamenti in qualità di RESPONSABILE, ex art. 30 del GDPR;

- rispettare le condizioni previste dal GDPR per ricorrere a un altro RESPONSABILE del trattamento, come meglio descritto al punto k) “Altri Responsabili del Trattamento”;

- assistere il TITOLARE del trattamento, tenendo conto della natura del trattamento stesso, con misure tecniche e organizzative adeguate, al fine di soddisfare l'obbligo del TITOLARE del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III del GDPR;

- assistere il TITOLARE del trattamento nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del RESPONSABILE del trattamento;

-garantire la cancellazione o la restituzione di tutti i dati personali, su richiesta del TITOLARE del trattamento, al termine della prestazione dei Servizi relativi al trattamento, nonché la cancellazione delle copie esistenti, salvo che la legge non preveda la conservazione di tali dati;

- mettere a disposizione del TITOLARE del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 del GDPR;

- consentire e contribuire alle attività di revisione e ispezione realizzate dal TITOLARE del trattamento o da soggetto da questi delegato.

Il RESPONSABILE, altresì, si impegna affinché i dati personali relativi alle attività di trattamento poste in essere in virtù del presente atto di Nomina:

- vengano trattati in modo lecito, corretto e trasparente nei confronti dell’Interessato;

- vengano trattati per scopi determinati, espliciti e legittimi, e, se utilizzati in altre operazioni del trattamento, questi debbono essere processati in termini compatibili con tali scopi, ed in ogni caso nei limiti in cui il trattamento sia necessario per l’erogazione dei Servizi, nel rispetto dei principi di pertinenza e necessità;

- siano esatti e, se necessario, aggiornati;

- siano pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono trattati;

- siano archiviati in una forma che ne consenta la cancellazione, la rettifica (nonché la conseguente notificazione agli eventuali destinatari a cui sono stati trasmessi i dati personali oggetti di richiesta di rettifica o cancellazione), nonché la limitazione o l’opposizione al relativo trattamento;

- siano conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti e successivamente trattati;

- siano trattati esclusivamente all’interno dell’Unione Europea ed eventualmente trasferiti verso paesi terzi solo nel rispetto del Capo V del GDPR.

3. Misure di sicurezza

Il RESPONSABILE si impegna a individuare e adottare misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, tenendo conto, fra l’altro, della tipologia di trattamento, delle finalità perseguite, del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione. Tali misure comprendono:

• la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

• la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico;

• una procedura adeguata (messa a disposizione del TITOLARE su richiesta) per provare, verificare e valutare regolarmente l'efficacia delle misure adottate al fine di garantire la sicurezza del trattamento;

• ove espressamente richieste dal TITOLARE, l’anonimizzazione, la pseudonimizzazione o la cifratura dei dati personali, previa valutazione dei rischi con il RESPONSABILE.

4. Violazioni di dati personali (cd. “Data Breach”)

Il RESPONSABILE si impegna, a far data dalla sottoscrizione del presente addendum, ad informare, tempestivamente, il TITOLARE di ogni violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati, ed a prestare ogni necessaria collaborazione al TITOLARE in relazione all’adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni all’Autorità ai sensi dell’art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell’art. 34 del GDPR.

La comunicazione al TITOLARE dovrà essere inviata a mezzo PEC all’indirizzo xxxxxxxxxxxxxxx-xxxxxxxx@xxxxxxxxx.xx entro e non oltre le 24 (ventiquattro) ore dal momento in cui il RESPONSABILE è venuto a conoscenza della violazione e conterrà almeno le seguenti informazioni:

• la natura della violazione dei dati personali,

• la categoria degli interessati,

• il contatto presso cui ottenere più informazioni,

• i tempi trascorsi dall’incidente alla sua individuazione, ove determinabili,

• i tempi di presa in carico,

• gli interventi attuati o che si prevede di realizzare e in che tempi.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

5. Valutazione d’impatto (cd. “Data Protection Impact Assessment”)

Il RESPONSABILE s’impegna fin da ora a fornire al TITOLARE, a far data dalla sottoscrizione del presente addendum, ogni elemento utile all’effettuazione, da parte di quest’ultimo, della valutazione di impatto sulla protezione dei dati, qualora lo stesso sia tenuto ad effettuarla ai sensi dell’art. 35 del Regolamento, nonché ogni collaborazione nell’effettuazione della eventuale consultazione preventiva al Garante ai sensi dell’art. 36 del Regolamento stesso.

6. Soggetti autorizzati al trattamento

Il RESPONSABILE è tenuto a fornire ai propri dipendenti e collaboratori deputati a trattare i dati personali per conto del TITOLARE, le istruzioni idonee allo scopo, vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività, anche per il periodo successivo alla cessazione del rapporto di lavoro o collaborazione.

7. Amministratori di sistema

Nel caso in cui il RESPONSABILE eroghi i Servizi nel proprio Data Center, questo si impegna a conformarsi al Provvedimento generale del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal Provvedimento del Garante del 25 giugno 2009 “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento”, così come eventualmente modificato o sostituito dallo stesso Xxxxxxx, e ad ogni altro pertinente provvedimento dell’Autorità.

Il RESPONSABILE si impegna, in particolare, a:

• designare quali amministratori di sistema le figure professionali dedicate alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti con cui vengono effettuati trattamenti di dati personali;

• predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali amministratori di sistema e le funzioni ad essi attribuite;

• comunicare ove richiesto dal TITOLARE l’elenco aggiornato degli amministratori dei sistemi;

• verificare annualmente l'operato degli amministratori di sistema;

• mantenere i file di log previsti in conformità a quanto previsto nel suddetto provvedimento.

Nei casi dove venga richiesta una attività di Supporto Tecnico presso i sistemi del TITOLARE, il TITOLARE conferisce al RESPONSABILE previ apposita nomina per il tempo necessario all’intervento il ruolo di Amministratore di Sistema.

8. Istanze degli interessati

Tenendo conto della natura del trattamento, il RESPONSABILE si obbliga ad assistere il TITOLARE nell’adempimento dei propri obblighi di dar seguito alle richieste di esercizio dei diritti degli interessati di cui al capo III del GDPR. Nell’eventualità in cui gli interessati rivolgessero le proprie istanze direttamente al RESPONSABILE, questi ha l’onere di trasmettere le suddette al TITOLARE, tempestivamente e comunque non oltre il termine di 10 (dieci) giorni dalla richiesta. La comunicazione deve essere inoltrata via PEC all’indirizzo xxxxxxxxxxxxxxx-xxxxxxxx@xxxxxxxxx.xx, avendo cura di corredare tale trasmissione di tutte le eventuali informazioni e documenti risultanti nell’ambito dei servizi di propri competenza e relativi all’istante, al fine di adempiere al proprio obbligo di assistere il TITOLARE nel riscontrare la richiesta dell’interessato.

9. Ulteriori obblighi

Il RESPONSABILE mette a disposizione del TITOLARE tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla normativa vigente ed applicabile in materia di protezione dei dati personali e/o delle istruzioni del TITOLARE di cui al presente contratto di designazione e consente al TITOLARE del trattamento l’esercizio del potere di controllo e ispezione, prestando ogni necessaria collaborazione alle attività di audit effettuate dal TITOLARE stesso o da un altro soggetto da questi incaricato o autorizzato, con lo scopo di controllare l’adempimento degli obblighi e delle istruzioni di cui al presente contratto. Resta inteso che qualsiasi verifica condotta ai sensi del presente comma dovrà essere eseguita in maniera tale da non interferire con il normale corso delle attività del RESPONSABILE e fornendo a quest’ultimo un ragionevole preavviso.

Il RESPONSABILE si impegna altresì a:

• collaborare, se richiesto dal TITOLARE, con altri Responsabili del trattamento, al fine di armonizzare e coordinare l’intero processo di trattamento dei dati personali;

• realizzare quant’altro sia ragionevolmente utile e/o necessario al fine di garantire l’adempimento degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati, nei limiti dei compiti affidati con il presente atto di nomina;

• effettuare un rendiconto in ordine all’esecuzione delle istruzioni ricevute dal TITOLARE, agli adempimenti eseguiti e alle conseguenti risultanze, su richiesta del TITOLARE;

• informare prontamente il TITOLARE di ogni questione rilevante ai fini di legge, in particolar modo, a titolo esemplificativo e non esaustivo, nei casi in cui abbia notizia, in qualsiasi modo, che risulti violata la normativa in materia di protezione dei dati personali, ovvero che il trattamento presenti rischi specifici per i diritti, le libertà fondamentali e/o la dignità dell’interessato, nonché qualora, a suo parere, un'istruzione violi la normativa, nazionale o dell’Unione Europea, relativa alla protezione dei dati.

10. Rapporti con le autorità

Il RESPONSABILE, su richiesta del TITOLARE, s’impegna a coadiuvare quest’ultimo nella difesa in caso di procedimenti dinanzi alle autorità di controllo o giudiziarie che riguardino il trattamento dei dati personali.

11. Altri Responsabili al Trattamento

Il TITOLARE autorizza il RESPONSABILE a ricorrere ad altri Responsabili (di seguito “sub-responsabili”) per l'esecuzione delle attività di trattamento (o parte delle stesse) oggetto del presente atto, solo qualora il RESPONSABILE imponga a tali soggetti i medesimi obblighi in materia di protezione dei dati a cui è soggetto lo stesso RESPONSABILE, nel rispetto di quanto stabilito dall’art. 28, paragrafo 4, del Regolamento (UE) 679/2016, compreso il rispetto, ove possibile, dell’applicazione delle Misure minime di sicurezza ICT per le pubbliche amministrazioni emanata da AgID; nello specifico dovrà garantire il rispetto delle Misure minime anche qualora il sub-responsabile nominato sia un soggetto non tenuto ex lege al rispetto delle richiamate misure, fatta salva in ogni caso la possibilità del TITOLARE di opporsi a tale nomina, ai sensi del paragrafo 2 del citato art. 28.

Trattandosi di autorizzazione generale, il RESPONSABILE informa preventivamente e per iscritto il TITOLARE di ogni cambiamento ravvisato riguardante l’aggiunta o la sostituzione di altri Responsabili.

Il TITOLARE ha il diritto di opporsi alla nomina e/o alla sostituzione del sub-responsabile effettuata dal RESPONSABILE entro il termine di 5 (cinque) giorni dal ricevimento della comunicazione scritta.

Il RESPONSABILE ha la facoltà di indicare un nome ulteriore o di trattenere le relative competenze con comunicazione scritta entro il termine dei successivi 5 (cinque) giorni. In ogni caso la nomina diviene effettiva qualora il TITOLARE non abbia sollevato obiezioni nel termine a lui concesso.

In particolare:

il RESPONSABILE informa il TITOLARE circa i soggetti che provvede a nominare quali sub-responsabili del trattamento, specificandone altresì i relativi compiti assegnati;

il RESPONSABILE si impegna a far rispettare ai sub-responsabili del trattamento gli stessi obblighi imposti dal TITOLARE in materia di protezione dei dati;

il RESPONSABILE prende atto di conservare nei confronti del TITOLARE l’intera responsabilità dell’adempimento degli obblighi posti in capo ai sub-responsabili nominati

12. Responsabilità

Ai sensi dell’art. 82 paragrafo 2 del GDPR il RESPONSABILE del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del Regolamento (UE) 679/2016 specificatamente diretti ai responsabili del trattamento ovvero ha agito in modo difforme o contrario rispetto alle legittime istruzioni del TITOLARE del trattamento.

Qualora il TITOLARE del trattamento e il RESPONSABILE del trattamento siano coinvolti nello stesso trattamento e siano, secondo le previsioni dei paragrafi 2 e 3 dell’art. 82 del Regolamento (UE) 679/2016, responsabili dell'eventuale danno causato dal trattamento, ogni TITOLARE del trattamento o RESPONSABILE del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato.

Nel caso in cui il TITOLARE del trattamento o il RESPONSABILE del trattamento abbia pagato, conformemente al paragrafo 4 dell’art. 82, l'intero risarcimento del danno, tale soggetto ha il diritto di reclamare dall’altra Parte coinvolta nello stesso trattamento la quota del risarcimento corrispondente alla parte di responsabilità di quest'ultima per il danno, conformemente alle condizioni di cui al paragrafo 2 dell’art. 82 del GDPR.

13. Cancellazione dei dati

Alla cessazione del trattamento dei dati o alla revoca per iscritto dell’atto di nomina, il RESPONSABILE dovrà mantenere la massima riservatezza sui dati e le informazioni relative al TITOLARE delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni. Il RESPONSABILE, all’atto di cessazione – per qualunque causa – dell’efficacia dell’atto di nomina, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o dell’Unione Europea che preveda la conservazione dei dati personali, dovrà interrompere ogni operazione di trattamento degli stessi e dovrà provvedere, a scelta del TITOLARE, all’immediata restituzione allo stesso dei dati personali oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un’attestazione scritta che presso lo stesso RESPONSABILE non ne esiste alcuna copia. In caso di richiesta scritta del TITOLARE, il RESPONSABILE è tenuto ad indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione. Con riferimento all’obbligo di restituzione dei dati, il RESPONSABILE si obbliga ad utilizzare formati standard ed interfacce che facilitino l’interoperabilità e la portabilità dei dati.

14. Diritto di informazione delle persone interessate

Spetta al TITOLARE del trattamento, nella propria qualità, l’obbligo di fornire agli interessati le informazioni di cui agli artt. 13-14 del GDPR. Ai fini del completamento di tale informativa.

15. Disposizioni finali

Resta inteso che la presente Nomina non comporta alcun diritto per il RESPONSABILE a uno specifico compenso o indennità o rimborso per l’attività svolta, né a un incremento del compenso spettante allo stesso in virtù delle relazioni contrattuali con il TITOLARE.

Per tutto quanto non previsto dal presente atto si rinvia alle disposizioni generali vigenti ed applicabili in materia di protezione dei dati personali. Il TITOLARE si riserva in ogni caso la facoltà di rivedere le condizioni del presente atto di nomina laddove la normativa subisse una significativa riforma.

[Luogo, data]

[Sottoscrizioni]

21