ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI E MISURE DI SICUREZZA
Allegato 2 - Privacy: trattamento dei dati personali e misure di sicurezza
ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI E MISURE DI SICUREZZA
Tra
PagoPA S.p.A., istituita ai sensi del decreto legge 14 dicembre 2018, n. 135 (in Gazzetta Ufficiale - Serie generale -n. 290 del 14 dicembre 2018), coordinato con la legge di conversione 11 febbraio 2019, n.12 recante: «Disposizioni urgenti in materia di sostegno e semplificazione per le imprese e per la pubblica amministrazione.» (GU n. 36 del 12-2-2019) , nel seguito indicata come “PagoPA”, “Società” o “Committente”, con sede legale e domicilio fiscale in Roma, piazza Colonna 370, c.a.p. 00187, società con socio unico e capitale sociale i.v. di euro 1.000.000, CF e P.IVA 15376371009 nella persona dell’Amministratore unico Xxxxxxxx Xxxxxxx
E
la SIA s.p.a., nel seguito indicata come la “SIA”, il “Prestatore” o il “Fornitore”, con sede e domicilio fiscale in Xxxxxx, Xxx Xxxxx 00, c.a.p. 20147, codice fiscale e partita IVA n. 10596540152, nella persona del legale rappresentante in qualità dell’Amministratore Delegato p.t., Xxx. Xxxxxx Xxxxxxx
(congiuntamente la Società e SIA nel seguito indicate come le “Parti”)
VISTO
- il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito, per brevità, anche “Regolamento”, e in particolare l’art. 4, nonché l’articolo 28 dello stesso;
PREMESSO E CONSIDERATO CHE
- in virtù del contratto sottoscritto tra PagoPA e SIA in data 20 dicembre 2019 e di cui il presente accordo costituisce l’allegato 2 (di seguito, “Contratto”), quest’ultima si assume l'obbligo di fornire a PagoPA i servizi oggetto del Contratto (di seguito, i “Servizi”);
- la prestazione dei Servizi comporta il trattamento di informazioni configurabili quali dati personali ai sensi del Regolamento come meglio illustrate nell’Appendice 1 del presente accordo;
- nell’ambito delle suddette attività di trattamento a seconda che (i) PagoPA si qualifichi come:
a) Titolare del trattamento o b) Responsabile del trattamento per conto di altri titolari (di seguito, “Altri Titolari”); (ii) SIA si qualifica rispettivamente come Responsabile o Sub Responsabile.
CIÒ PREMESSO E CONSIDERATO, l'intenzione delle Parti è di utilizzare il presente atto (di seguito anche solo “Accordo”) quale accordo contrattuale per disciplinare il trattamento dei dati personali effettuato da SIA ai fini dell’esecuzione del Contratto con l’obiettivo di prestare garanzie sufficienti sulla tutela della vita privata, delle libertà e dei diritti fondamentali delle persone fisiche, ai sensi e per gli effetti dell’articolo 28 del Regolamento.
Nello specifico, è stato ritenuto che SIA presenti - ai sensi dell’art. 28, paragrafo 1 e del considerando 81 del Regolamento - garanzie sufficienti, in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento, anche per la sicurezza, e garantisca la tutela dei diritti dell’interessato.
ARTICOLO 1
Premesse, considerato e appendici
1. Le premesse, i considerando e le appendici costituiscono parte integrante e sostanziale del presente Accordo.
2. Le Parti si danno atto che, in caso di discordanza tra gli Appendici e l’Accordo, prevarrà quanto disposto nell’Accordo.
3. 3. Qualunque termine definito nel presente Accordo avrà efficacia anche nelle Appendici allo stesso.
ARTICOLO 2
Definizioni
Ai fini del presente Accordo trovano applicazione la terminologia e le definizioni utilizzate nel Regolamento, e in particolare i termini definiti qui di seguito:
a) Dato Personale Qualsiasi informazione riguardante una persona fisica identificata o identificabile che SIA tratta al fine dell’erogazione dei Servizi, per il tramite
delle attività di trattamento individuate nell’Appendice 1 al presente Accordo.
b) Interessato La persona fisica identificata o identificabile i cui Dati Personali sono trattati
da SIA per rendere i Servizi. Le categorie di Interessati sono indicate con maggiore dettaglio nell’Appendice 1 al presente Accordo.
c) Istruzioni Le istruzioni che PagoPA fornisce a SIA, per il tramite del presente Accordo e relativi Appendici, nonché per il tramite di ogni atto o documento previsto dal presente Accordo e/o comunicato da PagoPA a SIA nel corso della durata del Contratto.
d) Legge Applicabile Il Regolamento, nonché il d. lgs. 196/3003 recante il Codice in materia di protezione dei dati personali (“Codice Privacy”) e i provvedimenti dal Garante per la protezione
dei dati personali di volta in volta applicabili ai trattamenti oggetto del presente Accordo.
e) Violazione di Sicurezza La violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque trattati che interessano i Dati Personali trattati ai sensi del Contratto e del presente Accordo.
f) Altro Responsabile Qualunque ulteriore responsabile, stabilito all'interno o al di
fuori dell'UE/SEE, di cui SIA si avvale ai sensi dell’articolo 28, comma 2 e 4 del Regolamento, al fine di prestare a PagoPA i Servizi o parte di essi.
g) Trattamento Qualunque trattamento di Dati Personali effettuato da SIA in esecuzione del Contratto.
ARTICOLO 3
Obblighi delle Parti
1. Le Parti sono tenute a effettuare le attività di trattamento, ognuna per quanto di propria competenza, nel rispetto della Legge Applicabile in materia di protezione dei Dati Personali.
ARTICOLO 4
Obblighi di PagoPA
1. Nelle ipotesi in cui PagoPA si qualifica come: (i) Titolare, quest’ultima garantisce che i Dati Personali trattati dal Responsabile in relazione al presente Accordo e al Contratto siano resi accessibili al Responsabile nel pieno rispetto della Legge Applicabile e si impegna altresì ad adempiere ai propri obblighi nei confronti degli Interessati ai sensi della Legge Applicabile, fatto salvo l’obbligo di assistenza di SIA ai sensi dell’Articolo 14 di cui al presente Accordo;
(ii) Responsabile, quest’ultima garantisce che i Dati Personali trattati da SIA in relazione al Contratto e al presente Accordo sono resi accessibili a SIA previa autorizzazione, specifica o generale, da parte dell’Altro Titolare e nel pieno rispetto della Legge Applicabile.
ARTICOLO 5
Obblighi di SIA
1. SIA si obbliga a comunicare a PagoPA qualsiasi mutamento sostanziale delle garanzie di cui alle premesse ed alle Appendici, che possa sollevare incertezze sul mantenimento delle stesse.
2. SIA conferma la sua diretta ed approfondita conoscenza degli obblighi che assume in relazione a quanto disposto dal Regolamento e si impegna a procedere al trattamento dei Dati Personali, attenendosi, ivi incluso in materia di sicurezza, oltre che al rispetto della Legge Applicabile, anche alle Istruzioni e si impegna a non effettuare alcun Trattamento dei Dati Personali al di fuori delle finalità e modalità indicate nel presente Accordo e/o nelle Istruzioni.
3. SIA – per quanto di propria competenza - si impegna a trattare i Dati Personali nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, in conformità a quanto disposto dall’art. 5 del Regolamento e di adottare le misure di sicurezza ritenute idonee a garantire la riservatezza, l’integrità, la disponibilità dei Dati Personali in ogni fase dei Trattamenti.
4. Xxx SIA rilevi la sua impossibilità a rispettare le Istruzioni, anche per caso fortuito o forza
maggiore (danneggiamenti, anomalia di funzionamento delle protezioni e controllo accessi, ecc.) si impegna ad attuare, comunque, le possibili e ragionevoli misure di salvaguardia e ad avvertire senza ingiustificato ritardo XxxxXX e concordare eventuali ulteriori misure di protezione.
5. SIA si impegna fin da ora a fornire su richiesta di XxxxXX evidenza del rispetto di tutti gli obblighi in capo alla stessa ai sensi del presente Accordo e delle Legge Applicabile.
ARTICOLO 6
Persone autorizzate al trattamento
1. SIA si impegna ad individuare le modalità più opportune per autorizzare al Trattamento dei Dati Personali le persone che operano sotto la propria autorità diretta, scegliendole tra i soggetti reputati idonei ad eseguire le operazioni di Trattamento nel pieno rispetto della Legge Applicabile.
2. SIA garantisce, a norma dell’art. 28, paragrafo 3, lett. b) del Regolamento e articolo Art. 2- quaterdecies del Codice Privacy, che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, nonché siano state istruite e adeguatamente formate al pieno rispetto della Legge Applicabile.
3. SIA si impegna ad avere in vigore per tutta la durata del Contratto un processo che garantisca la possibilità di conoscere le persone autorizzate al trattamento dei dati personali nell’ambito della propria organizzazione nonché i trattamenti ad essi affidati ed i relativi profili di autorizzazione.
4. SIA si impegna a provvedere, nell’ambito dei percorsi formativi predisposti per gli incaricati, alla formazione sulle modalità di gestione sicura e sui comportamenti prudenziali nella gestione dei dati personali, specie con riguardo all’obbligo legale di riservatezza cui sono soggette le persone autorizzate al trattamento dei dati.
5. SIA, considerato l’art. 32, paragrafo 4, del Regolamento, fa sì che chiunque agisca sotto la propria autorità ed abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso da SIA medesima, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
6. SIA si impegna fin da ora a fornire - in sede di audit in linea con l’articolo 13 del presente atto e a richiesta di PagoPA nel limite di una richiesta l’anno ed in sola modalità visualizzazione-- a PagoPA evidenza delle attività con le quale SIA ha istruito e tenuto costantemente aggiornate agli obblighi di cui al presente Accordo e/o alla Legge Applicabile le persone autorizzate al trattamento.
ARTICOLO 7
Amministratori di sistema
1. SIA si impegna a designare i propri “amministratori di sistema” ai sensi del Provvedimento Generale del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato sulla G.U. del 24 dicembre 2008), modificato dal provvedimento dello stesso Garante del 25 giugno 2009 (pubblicato sulla G.U. del 30 giugno 2009), e successive modifiche, integrazioni e/o atti o provvedimenti sostitutivi (“Provvedimento AS”) e dare attuazione e conformarsi a tutto quanto ivi indicato.
2. In particolare:
a. al fine di individuare i soggetti da nominare amministratori di sistema, SIA deve far riferimento alla valutazione delle caratteristiche soggettive e alla definizione che di tali figure viene data nell’ambito del Provvedimento AS;
b. SIA si impegna a nominare per iscritto e in modo individuale come Amministratori di sistema le persone fisiche incaricate della gestione e manutenzione del sistema informatico, indicando analiticamente i rispettivi ambiti di competenza e le funzioni attribuite a ciascuno;
c. SIA deve conservare e mantenere aggiornato l’elenco degli Amministratori di sistema con l'indicazione delle mansioni ad essi attribuite e, qualora richiesto, tenere tale elenco disponibile in visione a PagoPA nel limite di una volta l’anno con modalità di visualizzazione condivisa oltre che presso gli uffici di SIA in sede di audit svolto ai sensi dell’articolo 13 del presente atto ovvero in caso di accertamenti da parte dell’Autorità Garante per la protezione dei dati personali;
d. SIA deve verificare, almeno annualmente, l’operato degli Amministratori di sistema al fine sia di accertare che le persone mantengano le caratteristiche soggettive richieste dal Provvedimento AS, e la rispondenza del loro operato alle misure organizzative, tecniche e di sicurezza poste in essere per i trattamenti dei dati personali;
ARTICOLO 8
Modalità di trattamento e di accesso ai Dati Personali, controllo e registrazione degli accessi
1. Il trattamento dei dati dovrà essere effettuato da SIA in modo tale da garantirne la sicurezza e la riservatezza e potrà essere attuato per il tempo e con logiche strettamente correlate alle finalità di cui in premessa, cui è obbligato, nel rispetto delle previsioni di cui all'art. 5 del Regolamento.
2. SIA adotta un idoneo sistema di identificazione, autenticazione, autorizzazione di qualsiasi tipo di accesso del personale autorizzato ai dati (diretto o tramite applicazione), nel rispetto di quanto previsto dall’art. 32 del Regolamento, adottando tutte le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, quali anche se del caso:
a. tecniche di pseudonimizzazione e di cifratura dei dati personali;
b. la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico;
a. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
3. Nel valutare l’adeguato livello di sicurezza, SIA dovrà tenere conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.
4. L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di
certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti richiesti; SIA si obbliga a rendere disponibile e a mantenere aggiornata la lista di tutte le certificazioni eventualmente ottenute e/o codici di condotta cui abbia eventualmente aderito, inviandoli in visione a PagoPA, su richiesta o segnalando alla stessa la pagina del proprio sito web relativa alla lista di tutte le certificazioni al fine di farne prendere visione a PagoPA.
5. L’accesso ai dati e le operazioni effettuate dalle persone autorizzate e dagli Amministratori di sistema, debbono essere tracciate e risultare consultabili da SIA e, su eventuale motivata richiesta e in sede di audit svolto ai sensi dell’articolo 13 del presente atto presso gli uffici di SIA e/o attraverso specifiche modalità di volta in volta condivise qualora l’ingresso ai locali di SIA non possa esser effettuato col perdurare dell’emergenza sanitaria in atto, da PagoPA nell’ambito dei propri compiti di vigilanza.
6. Le registrazioni degli accessi ai Dati Personali devono:
a. avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità;
b. comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate;
c. essere adeguate al raggiungimento dello scopo di verifica per cui sono state richieste;
d. essere conservate per un congruo periodo, non inferiore a sei mesi.
7. Le misure tecniche e organizzative di sicurezza devono essere in linea con lo stato dell'arte della tecnologia e gli standard di sicurezza riconosciuti dall'industria di settore, con particolare riferimento allo standard ISO / IEC 27001 e, ove applicabile, allo standard PCI-DSS.
8. Le misure tecniche e organizzative implementate da SIA sono descritte nell’Appendice 2 al presente Accordo che costituisce parte integrante delle Istruzioni di PagoPA.
9. SIA può di volta in volta modificare le misure tecniche ed organizzative a condizione che le nuove misure garantiscano il medesimo ovvero più elevato livello di sicurezza nel trattamento dei Dati Personali.
10. SIA si impegna a mantenere aggiornate le misure di sicurezza applicate al Trattamento, fornendo a PagoPA, su richiesta, una versione aggiornata, se disponibile, dell’appendice 2 al presente Accordo.
ARTICOLO 9
Fornitura di dati al Titolare
1. PagoPA informa SIA circa i soggetto/i autorizzati a richiedere fornitura di Dati Personali con eventuali limitazioni di ambito.
2. Qualora PagoPA, o soggetto/funzione da esso incaricato, abbia necessità per lo svolgimento dei propri compiti istituzionali di accedere a Dati Personali non disponibili attraverso i servizi applicativi, li richiede per iscritto, esplicitando tipologia dei dati, tempistica e modalità di fornitura, a SIA il quale è tenuto a renderli disponibili, secondo modalità da concordare tra le Parti.
3. XXX tiene traccia in un apposito registro generale di tali richieste e dei dati movimentati.
ARTICOLO 10
Ricorso ad un Altro Responsabile
1. SIA non può ricorrere a un Altro Responsabile senza previa specifica autorizzazione scritta di XxxxXX.
2. Nell’ipotesi in cui SIA, a seguito di specifica autorizzazione scritta da parte di PagoPA, ricorra ad un Altro Responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto di PagoPA, (i) SIA dovrà scegliere quale tale Altro Responsabile società che diano adeguate garanzie in termini di esperienza, capacità e affidabilità in materia di trattamento dei dati, ivi compreso il profilo relativo alla sicurezza; e (ii) su tale Altro Responsabile del trattamento devono essere imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi o equivalenti obblighi – tenuto conto della natura delle attività di trattamento affidati all’Altro Responsabile – in materia di protezione dei dati contenuti nel presente atto giuridico , prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento.
3. Qualora l’Altro Responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, SIA conserva – nei limiti di cui al presente Accordo – nei confronti di PagoPA l’intera responsabilità dell’adempimento degli obblighi dell’Altro Responsabile.
4. SIA si impegna ad impartire all’Altro Responsabile e di impartire o far impartire al personale di quest’ultimo autorizzato al trattamento le Istruzioni e indicazioni circa le modalità di Trattamento e si impegna a esercitare un costante controllo sul loro rispetto.
5. SIA si impegna a mantenere un apposito registro, anche eventualmente nel Registro dei trattamenti, correttamente aggiornato, degli Altri Responsabili, da rendere disponibile a PagoPA su richiesta.
ARTICOLO 11
Sostituzione e dismissione delle apparecchiature
1. L’eventuale sostituzione e dismissione delle apparecchiature utilizzate nell’erogazione del Servizio con conseguente distruzione dei relativi dati dovrà avvenire secondo quanto previsto dalle norme e dai provvedimenti vigenti (a titolo esemplificativo si veda provvedimento Garante Privacy su Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali del 13 ottobre 2008) e ne dovrà essere data relativa attestazione scritta su richiesta di PagoPA.
ARTICOLO 12
Tenuta del Registro dei trattamenti e nomina del responsabile per la protezione dei dati
1. SIA deve tenere, in forma scritta, anche in formato elettronico, un registro di tutte le categorie di attività relative al trattamento svolte per conto di PagoPA, contenente le informazioni di cui al paragrafo 2 dell’art. 30 del Regolamento, da mettere, su richiesta, a disposizione dell’autorità di controllo e di PagoPA.
2. SIA designa, a norma degli articoli 37 e ss. del Regolamento, un responsabile della protezione dei dati (RPD), comunicandone gli estremi e i dati di contatto a PagoPA.
ARTICOLO 13
Attività di verifica e controllo
1. SIA è sottoposta al controllo da parte di PagoPA sullo svolgimento dell’attività e dei compiti ad esso affidati secondo quanto previsto nel Contratto. Tale controllo potrà essere effettuato da SIA, anche attraverso periodiche attività di audit, svolte, direttamente o tramite persona/funzione da essa delegata.
2. SIA si impegna ad informare per iscritto PagoPA, su sua esplicita richiesta, sullo stato di applicazione delle procedure ed Istruzioni impartite, fornendone evidenza a PagoPA secondo le modalità e periodicità concordate dalle Parti. Ciascuna Parte si impegna a cooperare con l’altra segnalando eventuali necessità di intervento e proponendo le migliori azioni da porre in essere.
3. Fermo inoltre quanto previsto nel paragrafo 1, SIA mette a disposizione di XxxxXX tutte le informazioni ragionevolmente necessarie per dimostrare il rispetto degli obblighi di cui al presente Accordo e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate da XxxxXX o da altro soggetto da questi incaricato.
4. SIA informa immediatamente XxxxXX qualora, a suo parere, un’Istruzione violi il Regolamento, la Legge Applicabile o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
ARTICOLO 14
Obblighi di assistenza e collaborazione con XxxxXX
1. SIA si impegna ad assistere XxxxXX:
- tenendo conto della natura del Trattamento, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo di PagoPA medesimo di fornire assistenza agli Altri Titolari e/o di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del Regolamento in conformità alle procedura concordate dalle Parti “Procedura per la Gestione dei Diritti degli Interessati” e in conformità con il Servizio di Assistenza fornito da SIA nell’esecuzione del Contratto. Le Parti si impegnano alla definizione della “Procedura per la Gestione dei Diritti degli Interessati” Appendice 3 del presente Allegato, entro un congruo termine stabilito tra le Parti;
- trattare i Dati Personali nel territorio dell’Unione Europea nonché dello Spazio Economico Europeo (SEE). Qualsiasi trasferimento verso Paesi al di fuori dall’Unione Europea nonché dallo SEE richiede il consenso esplicito, preventivo e in forma scritta di PagoPA e può avvenire solo se le condizioni di cui agli Artt. 44 del Regolamento e seguenti siano soddisfatte. Se SIA è tenuta al trasferimento verso Paesi al di fuori dall’Unione Europea nonché dallo SEE in base a norme inderogabili di legge dell’Unione Europea o dello Stato Membro a cui è soggetta SIA, quest’ultimo informerà PagoPA di tale obbligo legale prima che abbia inizio tale trasferimento, a meno che la legge non vieti a SIA di fornire tale informazione a PagoPA per rilevanti motivi di interesse pubblico.
- tenendo conto della natura del trattamento e delle informazioni a disposizione di SIA, nel garantire il rispetto di tutti gli obblighi di cui agli articoli da 32 a 36 del Regolamento. In particolare, conformemente all’art. 28, paragrafo 3, lett. f) del Regolamento, deve assistere PagoPA nell’esecuzione della valutazione d’impatto sulla protezione dei dati e fornire tutte le informazioni necessarie. SIA si impegna altresì a compilare e fornire a PagoPA, per quanto di propria competenza, annualmente o al verificarsi di sostanziali modifiche nelle attività di trattamento una valutazione di impatto del servizio relativa al rischio di sicurezza IT e di protezione dati personali.
- SIA si impegna, altresì, a norma dell’art. 33, paragrafo 2, del Regolamento ad informare PagoPA senza ingiustificato ritardo, al più tardi entro 48 (quarantotto) ore dall’accertamento, di una Violazione di Sicurezza e si impegna a fornire ragionevole assistenza a PagoPA nell'obbligo di informare l’Autorità di controllo e gli Interessati, laddove necessario, Successivamente, fornisce a PagoPA le seguenti informazioni di dettaglio, salvo impossibilità di conoscerle:
a) il tipo di violazione
b) la natura, la categoria e il volume dei dati personali interessati;
c) facilità di identificazione delle persone;
d) la descrizione delle probabili conseguenze per gli interessati (ad esempio: danni fisici, disagio psicologico, umiliazione o danni alla reputazione);
e) le categorie e il numero approssimativo di interessati nonché le categorie e il numero approssimativo di record di dati personali interessati;
f) probabili conseguenze della violazione dei dati personali subita dal Responsabile e/o dai Sub-responsabili;
g) misure adottate o da adottare per affrontare la violazione dei dati personali, per attenuare gli effetti e ridurre al minimo i danni derivanti dalla Violazione della sicurezza.
2. SIA deve, inoltre, collaborare con XxxxXX nei rapporti di quest’ultimo con il Garante per la protezione dei dati personali (“Garante”) ed in particolare deve:
- tenersi sempre aggiornato sulle iniziative normative e, in genere, sulle attività del Garante;
- collaborare per l’attuazione di eventuali specifiche istruzioni;
- avvisare immediatamente in caso di ispezioni, di richiesta di informazioni e di documentazione da parte del Garante fornendo, per quanto di competenza, il supporto eventualmente richiesto, ove non altrimenti vietato dalla legge;
- rendere disponibile per tempo a PagoPA ogni informazione appropriata, in caso di contenzioso.
3. Il Responsabile coopera, su richiesta, con l’autorità di controllo nell’esecuzione dei suoi compiti.
ARTICOLO 15
Istruzioni
Il presente atto e il Contratto costituiscono le istruzioni complete e finali di PagoPA.
PagoPA può fornire ulteriori istruzioni a SIA che dovranno rientrare nell'ambito delle istruzioni impartite nel Contratto e nel presente Accordo. In caso contrario, le ulteriori istruzioni che comportano Servizi Evolutivi da parte di SIA saranno quotati a parte e retribuiti sulla base dell’Allegato 3 b del Contratto.
ARTICOLO 16
Responsabilità
1. Le Parti si danno reciprocamente atto che (i) ai sensi dell'art. 82 del Regolamento, le responsabilità dei soggetti operanti in qualità di Titolare, Responsabile e Sub Responsabile è solidale per qualsiasi danno cagionato nei confronti degli Interessati nell’esecuzione del trattamento. La Parte che abbia risarcito il danno per intero avrà diritto di rivalsa nei confronti dell'altra Parte, nei limiti di seguito contrattualmente convenuti nel seguente paragrafo.
2. Fatti salvi i casi di dolo o colpa grave, la responsabilità complessiva di SIA nei confronti di XxxxXX per qualsiasi danno, che possa derivare a seguito di una violazione imputabile a SIA degli obblighi imposti dalla Legge Applicabile e/o delle Istruzioni e/o degli obblighi di cui al presente atto è limitata complessivamente e regolata dalle disposizioni in materia di responsabilità di cui al Contratto. Le Parti stabiliscono che il limite complessivo previsto per la responsabilità di SIA dovuta per le presenti violazioni è il medesimo di quello previsto nel Contratto.
3. In caso di violazioni accertate dall'autorità di controllo, ciascuna Parte sarà tenuta al pagamento dell'ammontare della sanzione contestata nei limiti della responsabilità rilevata a proprio carico dall'autorità di controllo.
ARTICOLO 17
Durata del trattamento
1. SIA è autorizzato al Trattamento per tutta la durata del Contratto e il presente Accordo cesserà di avere efficacia in caso di cessazione per qualsiasi ragione del Contratto, fatti salvi gli obblighi di assistenza, ivi inclusa quindi la gestione delle richieste degli interessati, di SIA nelle attività di migrazione e continuità del servizio pubblico ivi indicati.
2. SIA si impegna a restituire o cancellare e fornendo in caso di cancellazione relativa attestazione per iscritto, a scelta insindacabile di PagoPA, tutti i Dati Personali, una volta che sia terminata la prestazione dei Servizi relativi al Trattamento e siano state esaurite le lavorazioni per le quali gli stessi dati sono stati conosciuti e, in ogni caso, alla cessazione, per qualsiasi motivo del Contratto e a provvedere alla effettiva cancellazione dai supporti delle copie esistenti, fatti salvi eventuali specifici obblighi di legge che prevedano la conservazione dei dati nonché la conservazione dei Dati Personali imposta a SIA da leggi e regolamenti, ovvero qualora la conservazione sia necessaria a SIA per l’accertamento, l’esercizio e la difesa di un diritto in sede giudiziaria, previa informazione a PagoPA con riguardo ai Dati Personali conservati per tali ragioni e relativa durata della conservazione.
ARTICOLO 18
Disposizioni varie
1. L'inapplicabilità o l'invalidità di una o più disposizioni del presente Accordo non pregiudica le restanti parti dello stesso. La disposizione invalida o inapplicabile potrà all'occorrenza essere
(i) modificata al fine di garantirne validità ed opponibilità, rispettando il più fedelmente possibile l'intenzione delle Parti o -qualora questo non sia possibile- (ii) interpretata come se la stessa non fosse mai stata parte del presente Accordo.
2. Per tutto quanto non espressamente disciplinato dal presente Accordo trovano applicazione le disposizioni del Contratto e del Regolamento. In caso di contrasto tra il Contratto e il Regolamento, quest’ultimo prevarrà.
Appendici:
Appendice 1 – Dettagli delle attività di trattamento dei dati personali da parte di SIA
Appendice 2 – Misure Tecniche e Organizzative di Sicurezza -–
Appendice 3 - Procedura per la Gestione dei Diritti degli Interessati
Appendice 1 – Dettaglio dei Servizi che comportano un trattamento dei dati personali da parte di SIA in qualità di Responsabile o Sub Responsabile del trattamento
Responsabile per la protezione dei dati personali di SIA
Indicare i dati di contatto del Responsabile per la protezione dei dati personali
●
●
tel: 02.6084.1
SIA effettua, per conto di PagoPA, il trattamento dei dati personali necessario per lo svolgimento dei Servizi oggetto del Contratto.
In particolare, il trattamento dei dati personali è così individuato:
1. Nodo dei Pagamenti-SPC.
In esecuzione del Contratto, SIA è chiamata alla trasmissione tecnica delle richieste di pagamento telematiche e delle ricevute di pagamento telematiche funzionali all’esecuzione di operazioni di pagamento attraverso il sistema pagoPA. Pertanto, SIA. tratterà i dati personali contenuti nei tracciati standard delle richieste e delle ricevute di pagamento telematico. Tra i dati personali si segnalano, a titolo non esaustivo, tra gli altri, i dati del soggetto pagatore e del soggetto versante, il motivo del pagamento;
Durata: sino alla scadenza del Contratto;
Periodo di conservazione dei dati personali: I Dati Personali sono trattati per il periodo strettamente necessario al perseguimento delle finalità di cui al Contratto, e quindi
immediatamente cancellati dopo tale periodo mediante attestazione formale da presentarsi a PagoPA al più tardi entro 30 (trenta) giorni dalla suddetta operazione di cancellazione fisica e digitale degli stessi sempre tenuto conto degli obblighi di conservazione i legge e/o della tenuta degli stessi per fini di accertamento o difesa di un diritto di SIA in sede giudiziaria.
Finalità: esecuzione del Contratto;
Categorie di interessati: cittadini che eseguono le operazioni di pagamento attraverso il sistema pagoPA.
Categorie di dati personali trattati: dati personali comuni e potenzialmente Categorie Particolari di Dati (es. nel caso in cui la causale di pagamento includa tali tipi di dati), e in particolare:
o - Nome
o - Cognome
o - Codice Fiscale
o - Indirizzo
o - Civico
o - Provincia
o - Nazione
o - Causale Pagamento
o - Importo
o - IBAN utente se necessario
o - Esito Pagamento
o - ID Riscossione
o - Dati specifici Riscossione
o - RRN
o - Codice Autorizzativo
2. Portale delle Adesioni pagoPA.
In esecuzione del Contratto, SIA è chiamata alla gestione del Portale delle Adesioni al sistema pagoPA. Pertanto, SIA. tratterà i dati personali acquisiti tramite tale Portale. Tra i dati personali si segnalano, a titolo non esaustivo tra gli altri, i dati dei Referenti tecnici e dei Referenti dei Pagamenti dei soggetti aderenti;
Durata: sino alla scadenza del Contratto;
Periodo di conservazione dei dati personali: I Dati Personali, sono trattati per il periodo strettamente necessario al perseguimento delle finalità di cui al Contratto, e quindi immediatamente cancellati dopo tale periodo mediante attestazione formale da presentarsi a PagoPA al più tardi entro 30 (trenta) giorni dalla suddetta operazione di cancellazione fisica e digitale degli stessi sempre tenuto conto degli obblighi di legge e/o della tenuta degli stessi per fini di accertamento o difesa di un diritto di SIA in sede giudiziaria.
Finalità: esecuzione del Contratto;
Categorie di interessati: utenti del Portale delle Adesioni al sistema pagoPA, dipendenti del Titolare, Dati dei referenti degli Enti Creditori e degli PSP;
Categorie di dati personali trattati: dati personali comuni:
o email
o firstname
o fiscalcode
o mobilephone
o phone
o position
o secondname
o username
o company
o address
o cap
o city
o province
3. Payment Manager / WISP (Wizard Interattivo per la Scelta del PSP). In esecuzione del Contratto, SIA è chiamata all’erogazione del servizio di registrazione degli utenti pagatori e al relativo servizio di memorizzazione delle modalità di pagamento e dei relativi strumenti di pagamento indicati dallo stesso utente pagatore che debba eseguire delle operazioni di pagamento attraverso il sistema pagoPA oppure utilizzare i servizi CentroStella. Pertanto, SIA tratterà i dati personali acquisiti dagli utenti pagatori in sede di registrazione e successivamente alla stessa. Tra i dati personali si segnalano, a titolo non esaustivo tra gli altri, i dati del pagatore, i dati che consentono il riconoscimento e/o l’identificazione del pagatore registrato e il successivo accesso, nonché i dati degli strumenti di pagamento memorizzati dal pagatore e i dati dell’eventuale soggetto versante ove non coincidente con il pagatore;
Durata: sino alla scadenza del Contratto;
Periodo di conservazione dei dati personali: I Dati Personali sono trattati per il periodo strettamente necessario al perseguimento delle finalità di cui al Contratto, e quindi immediatamente cancellati dopo tale periodo mediante attestazione formale da presentarsi a PagoPA al più tardi entro 30 (trenta) giorni dalla suddetta operazione di cancellazione fisica e digitale degli stessi sempre tenuto conto degli obblighi di legge e/o della tenuta degli stessi per fini di accertamento o difesa di un diritto di SIA in sede giudiziaria.
Finalità: esecuzione del Contratto.
Categorie di interessati: cittadini che eseguono le operazioni di pagamento attraverso il sistema pagoPA o che utilizzano i Servizi CentroStella
Categorie di dati personali trattati: dati personali comuni e potenzialmente Categorie Particolari di Dati (es. nel caso in cui la causale di pagamento includa tali tipi di dati), e in particolare:
o Nome
o Cognome
o Codice Fiscale
o Indirizzo
o Indirizzo mail
o Numero telefono
o Civico
o Provincia
o Nazione
o Causale Pagamento
o Importo
o IBAN utente se necessario
o Esito Pagamento
o ID Riscossione
o Dati specifici Riscossione
o PAN
o Data scadenza
o CVC
o Identificativo univoco strumento di pagamento (Satispay, BancomatPay, etc.)
o Tipologia strumento di pagamento
o IdOrdine
o RRN
o Codice Autorizzativo
4. Registro delle Transazioni Digitali (RTD) In esecuzione del Contratto, SIA è chiamata all’erogazione del servizio che contempla l’aggregazione delle transazioni commerciali eseguite tramite strumenti di pagamento digitali, sia da privati che da imprese, su POS fisici sul territorio nazionale. Il Registro delle Transazioni Digitali si occupa anche dell’invio dei flussi verso i sistemi di CONSAP, contenenti le informazioni necessarie per l’erogazione del rimborso (cashback ed eventuale jackpot), all’intestatario dell’IBAN indicato dall’utente aderente al servizio.
Durata: sino alla scadenza del Contratto;
Periodo di conservazione dei dati personali: I Dati Personali sono trattati per il periodo strettamente necessario al perseguimento delle finalità di cui al Contratto, e quindi immediatamente cancellati dopo tale periodo mediante attestazione formale da presentarsi a PagoPA al più tardi entro 30 (trenta) giorni dalla suddetta operazione di cancellazione fisica e digitale degli stessi sempre tenuto conto degli obblighi di legge e/o della tenuta degli stessi per fini di accertamento o difesa di un diritto di SIA in sede giudiziaria.
Finalità: esecuzione del Contratto.
Categorie di interessati: cittadini aderenti ai servizi CentroStella.
Categorie di dati personali trattati: dati personali comuni e potenzialmente Categorie Particolari di Dati (es. importi rimborso cashback), e in particolare:
o Codice Fiscale dell’intestatario IBAN
o IBAN
o Nome dell’intestatario IBAN
o Cognome dell’intestatario IBAN
o Importo premio complessivo (rimborso cashback più eventuale jackpot)
o Importo rimborso Cashback
o Importo rimborso Jackpot
5. Servizio di Assistenza: In esecuzione del Contratto, SIA è chiamata all’erogazione del Servizio di Assistenza come meglio descritto nel Contratto e, in particolare, nell’allegato 1 bis dello stesso e nella Procedura per la Gestione dei Diritti degli Interessati. Pertanto, SIA tratterà i dati personali di chiunque richieda assistenza tramite i canali di assistenza gestiti dalla SIA ai sensi del Contratto. Tra i dati personali si segnalano, a titolo non esaustivo tra gli altri, i dati degli utenti pagatori, degli utilizzatori del Sistema PagoPA, di cittadini non utilizzatori del Sistema PagoPA ma che desiderano ottenere informazioni, personale dei Prestatori di servizi di pagamento abilitati alla Piattaforma PagoPA o che desiderano abilitarsi alla stessa, nonché personale degli enti e pubbliche amministrazioni aderenti alla Piattaforma o che desiderano aderire alla stessa.
Durata: sino alla scadenza del Contratto;
Periodo di conservazione dei dati personali: I Dati Personali sono trattati per il periodo strettamente necessario al perseguimento delle finalità di cui al Contratto, e quindi immediatamente cancellati dopo tale periodo mediante attestazione formale da presentarsi a PagoPA al più tardi entro 30 (trenta) giorni dalla suddetta operazione di cancellazione fisica e digitale degli stessi sempre tenuto conto degli obblighi di legge e/o della tenuta degli stessi per fini di accertamento o difesa di un diritto di SIA in sede giudiziaria.
Finalità: esecuzione del Contratto.
Categorie di interessati: qualunque persona fisica che si rivolge al servizio di assistenza.
Categorie di dati personali trattati: dati personali comuni e potenzialmente Categorie particolari di Dati (es. informazioni relative allo stato di salute dell'Interessato spontaneamente fornite dallo stesso al momento della richiesta di assistenza).
6. Gestione delle posizione debitorie: In esecuzione del Contratto, SIA è chiamata in relazione ad ogni attività di pagamento del soggetto pagatore a gestire la posizione debitoria dello stesso per conto degli Enti Beneficiari (ovvero Ente Creditore, EC). Ad ogni richiesta di pagamento corrisponde la creazione di una posizione debitoria intestata al pagatore, quale soggetto obbligato ad estinguere il relativo debito e a soddisfare il credito in capo al beneficiario. Per erogare il servizio di pagamento in autonomia dall’EC e consentire all’EC di affidare la gestione delle proprie posizioni debitorie una volta create al fine del pagamento delle stesse, trasmette quindi ogni dato inerente tali proprie posizioni debitorie. Pertanto, durante il ciclo di vita di un pagamento, SIA per conto di XxxxXX, sostituendosi all’EC gestisce la posizione debitoria dell'Utilizzatore finale memorizzandola in un apposito archivio con le informazioni minime richieste per il relativo pagamento - che costituiscono evidenza informatica dei pagamenti attesi - al fine di facilitare la fase di riconciliazione per lo stesso EC.
Durata: sino alla scadenza del Contratto;
Periodo di conservazione dei dati personali: I Dati Personali, sono trattati per il periodo strettamente necessario al perseguimento delle finalità di cui al Contratto,e quindi immediatamente cancellati dopo tale periodo mediante attestazione formale da presentarsi a PagoPA al più tardi entro 30 (trenta) giorni dalla suddetta operazione di cancellazione fisica e digitale degli stessi sempre tenuto conto degli obblighi di legge e/o della tenuta degli stessi per fini di accertamento o difesa di un diritto di SIA in sede giudiziaria. I Dati Personali sono trattati per il periodo strettamente necessario al perseguimento delle finalità di cui al Contratto, tenuto conto degli obblighi di legge e comunque per il periodo necessario all’esercizio, l’accertamento o la difesa di un diritto di SIA in sede giudiziaria.
Finalità: esecuzione del Contratto.
Categorie di interessati: qualunque persona fisica soggetto pagatore.
Categorie di dati personali trattati: dati personali comuni e potenzialmente Categorie particolari di Dati (es. informazioni relative allo stato di salute dell'Interessato spontaneamente fornite dallo stesso al momento della richiesta di assistenza).
7. Comunicazione dati al Ministero dell’economia e delle finanze - Dipartimento Ragioneria generale dello Stato: L’art. 5, comma 2-quinquies, del CAD stabilisce che “Tramite la piattaforma [pagoPA], le informazioni sui pagamenti sono messe a disposizione anche del Ministero dell’economia e delle finanze - Dipartimento Ragioneria generale dello Stato”. Per l’esecuzione di tale comma, SIA in esecuzione del Contratto con la Società, trasferisce quotidianamente a Ragioneria generale dello Stato dati e informazioni sui pagamenti effettuati sulla piattaforma pagoPA nella medesima giornata operativa.
Durata: sino alla scadenza del Contratto;
Periodo di conservazione dei dati personali: I Dati Personali, sono trattati per il periodo strettamente necessario al perseguimento delle finalità di cui al Contratto, e quindi immediatamente cancellati dopo tale periodo mediante attestazione formale da presentarsi a PagoPA al più tardi entro 30 (trenta) giorni dalla suddetta operazione di cancellazione fisica e digitale degli stessi sempre tenuto conto degli obblighi di legge e/o della tenuta degli stessi per fini di accertamento o difesa di un diritto di SIA in sede giudiziaria. I Dati Personali sono trattati per il periodo strettamente necessario al perseguimento delle finalità di cui al Contratto, tenuto
conto degli obblighi di legge e comunque per il periodo necessario all’esercizio, l’accertamento o la difesa di un diritto di SIA in sede giudiziaria.
Finalità: esecuzione del Contratto.
Categorie di interessati: qualunque persona fisica soggetto pagatore.
Categorie di dati personali trattati: dati personali comuni e potenzialmente Categorie particolari di Dati (es. informazioni relative allo stato di salute dell'Interessato spontaneamente fornite dallo stesso al momento della richiesta di assistenza).
17
Appendice 2 – Misure Tecniche e organizzative di Sicurezza
Prefazione
Il presente allegato specifica le misure di sicurezza tecniche e organizzative implementate da SIA volte a proteggere i dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale, dall'alterazione, dalla divulgazione o dall'accesso non autorizzati ai dati trasmessi, archiviati o altrimenti trattati, e contro tutte le ulteriori forme illecite di trattamento.
Le misure di sicurezza sono state selezionate utilizzando un approccio basato sul rischio dal punto di vista della sicurezza e della protezione dei dati, tenuto conto degli standard e delle leggi applicabili. SIA, per le attività di propria competenza, mantiene, monitora e aggiorna regolarmente la conformità alle predette misure in base alle disposizioni delle norme ISO / IEC 27001, ISO/IEC 22301 e, ove applicabile, lo standard PCI-DSS; inoltre, saranno conseguite certificazioni e condotti periodici audit di terze parti.
Le misure tecniche e organizzative saranno mantenute durante il periodo dell'accordo e potranno essere riviste e aggiornate per adattarle ai cambiamenti avvenuti nel panorama normativo e delle minacce di sicurezza. In caso di variazioni, SIA si impegna a darne opportuna comunicazione a PagoPA, specificando entità ed impatti del cambiamento, nel caso in cui tali modifiche dovessero comportare una diminuzione del livello di protezione rispetto a quanto riportato all’interno del seguente allegato.
Struttura del documento di misure tecniche e organizzative
L'applicabilità delle misure di sicurezza deve essere determinata come pertinente nell'ambito dell'Accordo in relazione alle attività e ai servizi offerti dal Fornitore.
Le misure tecniche e organizzative sono organizzate come segue:
1. Controllo degli accessi logici
Il controllo dell'accesso logico comprende l'accesso ai sistemi, alle applicazioni e ai dati. Lo scopo di tale attività è:
impedire a persone non autorizzate di utilizzare sistemi di trattamento dei dati in cui sono archiviati, elaborati o utilizzati dati personali;
garantire che le persone autorizzate ad utilizzare un sistema di elaborazione dei dati abbiano accesso solo ai dati per cui sono autorizzati ad accedere e che i dati personali non possano essere letti, copiati, alterati o rimossi, senza previa autorizzazione, durante l’elaborazione, l’uso e dopo la memorizzazione del dato.
2. Controllo degli accessi fisici
Lo scopo di tale attività è impedire a persone non autorizzate di accedere ai locali dove avviene l’elaborazione dei dati.
3. Protezione del ciclo di vita dei dati
Lo scopo di tale attività è garantire una protezione adeguata durante il ciclo di vita dei dati.
4. Gestione delle operazioni in sicurezza
Lo scopo di tale attività è assicurare la gestione di operazioni sicure delle strutture di elaborazione delle informazioni.
5. Disponibilità
Lo scopo di tale attività è garantire che i dati personali siano protetti contro la distruzione o la perdita accidentale, anche temporanea.
6. Separazione dei dati
Lo scopo di tale attività è garantire che i dati raccolti per scopi diversi possano essere elaborati separatamente.
7. Controllo organizzativo
Lo scopo di tale attività è:
garantire che vengano assegnate le responsabilità di sicurezza al personale di cui SIA si avvale;
garantire che il sistema di gestione della sicurezza sia mantenuto in linea con lo standard ISO/IEC 27001;
garantire che le persone di cui SIA si avvale siano consapevoli delle proprie responsabilità nelle attività di trattamento e che vengano adeguatamente formate.
1.1.Controllo degli accessi logici
SIA stabilisce, documenta, implementa e mantiene una procedura che regolamenta il ciclo di vita delle utenze di SIA (e.g. dal provisioning delle utenze in caso di assunzione al de-provisioning in caso di termine del lavoro); include anche revisione e revoca dell'accesso utente.
Tramite una piattaforma di Identity Manager, le notifiche pervenute dal personale (nuovo dipendente, rotazione del lavoro, cessazione del rapporto di lavoro) sono immediatamente:
gestite su sistemi di destinazione direttamente connessi alla piattaforma di Identity Management;
notificate agli amministratori di sistema dei sistemi o delle applicazioni di destinazione che non sono direttamente collegati alla piattaforma di Identity Management, per loro azione manuale.
In particolare, per quanto riguarda:
identificazione utente, sono implementati i seguenti requisiti:
assegnazione identificativo unico; non sono consentiti account di gruppo o condivisi, gli account di fornitori e del fornitore di servizi vengono rilasciati solo a singoli utenti, con la sola eccezione degli account autorizzati ed utilizzati per fini tecnici;
assegnazione di un nome utente univoco prima di consentire all’utente l'accesso al sistema;
verifica dell'identità dell'utente prima della creazione dell'account o dell'esecuzione delle richieste di reimpostazione della password;
messa in sicurezza dei profili utente predefiniti (amministratore, SA, public, ecc.);
disabilitazione automatica dei profili utente assegnati a persone esterne dopo un periodo massimo di validità, se necessario rinnovabile;
disabilitazione immediata al termine dello stato di autorizzazione (cessazione dei dipendenti, fine della collaborazione, scadenza del contratto, ecc.);
autenticazione utente, sono implementati i seguenti requisiti:
l'autenticazione dell'utente per un sistema si verifica mediante l'utilizzo di una password e, laddove applicabile per i sistemi più critici, mediante l'utilizzo di strumenti di autenticazione strong (come token, smart card, ecc.);
la politica della password è definita in linea con gli standard e richiede di soddisfare i seguenti requisiti:
lunghezza minima di 8 caratteri;
supportare almeno tre dei quattro requisiti come caratteri maiuscoli, minuscoli, numerici e speciali;
contenere almeno una lettera e almeno un numero; non essere facilmente correlata all’assegnatario;
essere generata in modo univoco per ciascun utente ed essere pre-scaduta (il profilo utente non può essere utilizzato se l'assegnatario non ha precedentemente modificato la password iniziale);
avere una validità massima di 90 giorni;
alla scadenza, non può essere sostituita con una delle quattro password precedenti utilizzate (password history);
l'accesso remoto è concesso solo dopo un'autorizzazione formale e viene eseguito tramite autenticazione a 2 fattori; in caso di autenticazione a più fattori, oltre all'ID utente vengono scelti altri due fattori tra i seguenti:
qualcosa che l’utente conosce (e.g. Password, PIN, etc.); qualcosa che l’utente possiede (e.g. smartcard, token, etc.); qualcosa che l’utente è (e.g. parametri biometrici);
le credenziali di autenticazione (come ID utente e password) non vengono mai trasmesse in modo non protetto sulla rete;
autorizzazione utente, sono implementati i seguenti requisiti:
la definizione dei diritti di accesso dell’utente garantisce che l'accesso ai dati nel sistema sia consentito solo nella misura richiesta all'utente per effettuare le attività di sua pertinenza (sulla base del principio NeedToKnow/NeedToDo) e nel rispetto della separazione dei compiti (Segregation of Duties); lo scopo delle autorizzazioni è limitato al minimo necessario per svolgere i compiti e le funzioni della persona autorizzata;
viene implementato un approccio di controllo degli accessi basato sui ruoli assicurando allineamento tra i ruoli e i relativi profili di accesso;
ruoli e privilegi sono assegnati seguendo il principio di separazione dei compiti;
la revisione dei diritti di accesso (account review) dei dipendenti e degli appaltatori di SIA viene eseguita almeno una volta all'anno. Sono in atto procedure per garantire che i diritti di accesso siano revocati se le persone non soddisfano più le condizioni per ricevere l'accesso (ad es. perché cambiano posizione o cessazione del rapporto di lavoro).
Per l'accesso ai sistemi e alle applicazioni, sono implementati i seguenti requisiti:
l'accesso dell'utente è configurato attraverso procedure di accesso che implementano soluzioni di autenticazione appropriate;
in caso di errore di accesso, non viene visualizzata alcuna indicazione sulla causa dell'errore; i tentativi di accesso sono limitati e parimenti registrati;
le sessioni che sono rimaste inattive per più di 15 minuti richiedono all'utente di ri-autenticarsi per riattivare il terminale o la sessione;
le sessioni remote vengono disconnesse dopo 15 minuti di inattività.
Gli account degli utenti privilegiati possono essere richiesti solo da responsabili o supervisori e sono appropriatamente approvati.
Per taluni servizi SIA ha implementato misure di registrazione (e.g. come la registrazione delle sessioni); sono documentate le istruzioni al personale che ha account privilegiati sulla criticità del proprio ruolo.
I sistemi in ambito PagoPa, il cui accesso è regolamentato come indicato sopra, sono: il nodo dei pagamenti;
il payment manager;
il portale delle adesioni;
il tool di assistenza per il nodo;
il tool di assistenza per il payment manager.
1.2.Controllo degli accessi fisici
È stabilita, documentata, implementata e mantenuta una politica di controllo degli accessi fisici, nonché sono in essere presidi di sicurezza fisica a protezione dei locali in cui si svolgono attività di trattamento dei dati.
1.2.1.Accesso ad edifici e locali
L'accesso ai locali di SIA, sia la sede centrale che i data center, è consentito solo al personale autorizzato. L'accesso alle sale è gestito tramite lettore badge, tornelli all'ingresso principale e lettori badge in ogni stanza.
In particolare, il sistema di controllo degli accessi fisici permette l’accesso ai soli utenti forniti di predefiniti profili autorizzativi ed è applicato sui varchi delle aree fisiche, in altre parole sui tratti del perimetro di un’area che consentono di accedere all’interno della stessa.
Il sistema di controllo degli accessi fisici:
è progettato per non essere superabile senza specifica autorizzazione; gestisce diversi profili autorizzativi;
è applicato a tutte le aree aziendali che, sulla base di specifica valutazione dei rischi, devono garantire un adeguato livello di protezione delle informazioni;
registra tutte le operazioni di transito tentate o riuscite imputandole al soggetto a cui è stato concesso un certo profilo autorizzativo con il quale viene compiuta l’azione;
segnala immediatamente eventuali violazioni delle regole o tentativi di forzare il controllo;
custodisce per un tempo prefissato le informazioni registrate;
adotta un sistema di autenticazione basato sul possesso di un elemento di autenticazione personale (badge o chiave) e per l’accesso in alcune aree di custodia da un PIN (personal identification number).
Nel data center tutte le porte interne sono collegate a una sala di controllo centrale che riceve allarmi da ciascuna porta nel caso rimanga aperta. La sala di controllo centrale ha una connessione diretta con il dipartimento di Polizia. Il data center è dotato di misure di sicurezza perimetrale e non e di seguito si citano tra le altre a titolo esemplificativo e non esaustivo: telecamere (ad esempio sistemi di rilevamento del movimento e telecamere CCTV), sistemi di allarme antifurto, meccanismi di controllo degli accessi utilizzati per monitorare i punti di ingresso / uscita in aree sensibili. L'accesso fisico ai locali di SIA per il personale non dipendente SIA (es. consulenti esterni) è consentito solo ed esclusivamente alle persone autorizzate, previa identificazione, assegnazione di un badge di accesso temporaneo e se accompagnate da personale interno di SIA durante la loro permanenza all'interno dell'edificio.
La reception della sede degli uffici è presidiata h24 da uno staff dedicato. Lo staff gestisce i sistemi di allarme centralizzati e una sala di controllo ridondata rispetto a quella del datacenter.
1.2.2.Aree di sicurezza
Le aree fisiche hanno un responsabile di riferimento che ha il compito di classificarle in relazione alla criticità delle informazioni che vengono trattate al loro interno e tenendo conto degli obblighi introdotti dalle normative.
La disposizione delle sale e delle strutture al loro interno tiene conto dei rischi connessi ad eventuali accessi non autorizzati. Per questo motivo, le strutture di elaborazione delle informazioni sono ospitate all’interno di locali più protetti e lontani dall'accesso al pubblico. L'accesso è strettamente controllato da un sistema di registrazione; le registrazioni degli accessi fisici vengono archiviate e controllate regolarmente.
Tutti gli utenti sono adeguatamente informati e resi consapevoli delle regole in vigore all'interno delle aree fisiche di SIA. Tutto il personale è formato per segnalare, attraverso il servizio di sicurezza e il diretto superiore, la presenza di persone non identificate all'interno dei locali di SIA.
1.3.Protezione del ciclo di vita dei dati
Proteggere il ciclo di vita dei dati significa raccogliere, conservare, processare, smaltire e distruggere i dati (quando non più necessari o detenibili) in modo sicuro. Al fine di garantire una protezione adeguata, è necessaria la classificazione dei dati.
SIA ha definito, documentato e comunicato le regole di classificazione dei dati ai dipendenti al fine di garantire che, in conformità con la criticità dei dati, vengano applicate procedure di gestione adeguate.
I controlli crittografici sono adottati in base alla triade di classificazione riservatezza, integrità e disponibilità; i sistemi crittografici vengono implementati in base alle best practice riconosciute e standard del settore (come ad esempio gli algoritmi crittografici raccomandati da FIPS o NIST). I criteri per la lunghezza minima delle chiavi di crittografia sono definiti in linea con gli standard approvati e riconosciuti come lo standard PCI-DSS.
Le procedure di gestione delle chiavi simmetriche sono documentate, implementate e mantenute. Esse sono progettate per assicurare i criteri del “dual control” e dello “split knowledge” durante il loro intero ciclo di vita.
Durante il loro intero ciclo di vita, i dati sono protetti in ogni fase.
1.3.1.Dati memorizzati
I dati memorizzati sono protetti da un meccanismo di crittografia integrato a livello di archiviazione (ad esempio, le strutture di backup sono crittografate).
Se si utilizza la cifratura del disco anziché la cifratura di tabelle, colonne o file, le tabelle nei database contenenti informazioni sensibili vengono protette utilizzando altri meccanismi di sicurezza quali il controllo di accesso logico gestito indipendentemente dal controllo di accesso del sistema operativo nativo.
1.3.2.Dati in transito
I dati scambiati su reti c.d. untrusted sono protetti mediante meccanismi di cifratura che, come elenco non esaustivo, includono:
Transport Layer Security (TLS) in combinazione con certificati digitali validi che utilizzano la crittografia a chiave pubblica per impedire intercettazioni, manomissioni e falsificazioni;
Secure Shell; TLS-VPN;
Secure FTP (SFTP); IPSec.
1.3.3.Dati in uso
I dati in uso sono protetti mediante misure di controllo di accesso logico come previsto nel precedente Capitolo 1 “Controllo degli accessi logici”; inoltre, per taluni servizi le workstation in uso per elaborare o accedere ai dati critici, ove trattati, sono dotate di una soluzione che intercetta e previene la perdita di dati dalle workstation (end-point DLP). La soluzione è gestita centralmente dal personale di SIA ed è implementata come segue:
è basato su agenti installati sulle singole macchine; le workstation e gateway per le reti esterne rientrano nell'ambito di questo controllo;
è configurato per bloccare le azioni critiche sui dati sensibili; è stato inoltre definito un processo di eccezione temporaneo.
1.3.4.Smaltimento sicuro
Viene stabilita e documentata una procedura per lo smaltimento e/o la distruzione di supporti fisici (ad es. documenti cartacei, CD, DVD, nastri, unità disco, ecc.); i meccanismi di smaltimento variano in base alla classificazione dei dati contenuti e al tipo di supporto.
Lo smaltimento sicuro dei dati cartacei contenenti dati critici viene eseguito utilizzando una trituratrice con un impianto di taglio trasversale; in alternativa, i documenti possono essere inceneriti. La triturazione è anche il meccanismo utilizzato per la distruzione dei supporti ottici.
In caso di disco rigido, supporti magnetici o altri supporti equivalenti che contengono dati critici, la procedura di smaltimento prevede meccanismi di cancellazione sicura per rendere i dati irrecuperabili utilizzando ad esempio:
l’esecuzione di un programma di cancellazione sicura in conformità con gli standard accettati dal settore (e.g. wiping);
la distruzione fisica dei supporti.
Vengono mantenuti i registri dello smaltimento dei supporti. Tali registri, quando relativi allo smaltimento di supporti dove erano contenuti dati critici di PagoPA, saranno messi a disposizione di XxxxXX su richiesta.
1.4.Gestione delle operazioni in sicurezza
SIA ha stabilito, documentato, implementato e mantenuto una serie di istruzioni operative relative alle procedure di sicurezza per garantire la corretta operatività delle comunicazioni e delle infrastrutture di elaborazione delle informazioni.
1.4.1.Registrazione e monitoraggio
I sistemi, applicazioni e componenti di rete sono configurati per generare eventi relativi alla sicurezza che sono conservati in appositi registri (log). Tali registri vengono inviati e correlati da una piattaforma centrale di sicurezza denominata SIEM (Security Information Event Management). La piattaforma SIEM è gestita da personale dedicato di SIA che gestisce le attività di monitoraggio. Vengono definiti gli eventi da registrare e la verbosità del registro in linea con gli standard di settore; i log prodotti includono un livello di dettaglio adatto per una corretta rilevazione. Le misure a protezione dei file di log permettono di garantire la loro integrità e di evitare modifiche da parte di personale non autorizzato.
I registri vengono conservati per 2 anni in conformità con le leggi e gli standard applicabili. Le attività degli amministratori di sistema e degli operatori di sistema vengono registrate e i log sono protetti e sottoposti a backup.
1.4.2.Protezione Anti-malware
SIA al fine di prevenire attacchi relativi a malware utilizza un approccio costituito da diverse tecnologie di rilevamento utilizzate perimetralmente sia su server sia su PC.
I prodotti antivirus e i sistemi di rilevazione intrusioni (Intrusion Detection Systems - IDS) vengono utilizzati per proteggere i sistemi informatici da codice malevolo.
Le workstation sono protette secondo lo standard PCI-DSS e, per taluni servizi, secondo misure aggiuntive quali anti-APT (anti - Advanced Persistent Threat) e DLP (prevenzione della fuga dei dati).
Per fronteggiare le minacce avanzate, sono state implementate soluzioni aggiuntive come l'esecuzione di sandboxing degli allegati e-mail, l'agente EDR (Endpoint Detection and Response) e la protezione DNS.
1.4.3.Gestione delle configurazioni
Sono definite, documentate e implementate le configurazioni dei sistemi di informazione (ad es. sistemi operativi, prodotti software, dispositivi di rete).
Esse sono progettate in linea con le migliori pratiche pertinenti e includono opzioni di configurazione rilevanti per la sicurezza.
1.4.4.Gestione dei cambiamenti
Vengono definite le responsabilità per la gestione e il controllo dei cambiamenti applicativi e tecnologici, garantendo la segregazione dei compiti tra le strutture di sviluppo, di test e operative al fine di ridurre i rischi di accessi o cambiamenti non autorizzati ai sistemi in funzione. Per quanto riguarda i cambiamenti, le procedure interne prevedono:
documentazione sull'impatto;
approvazione documentata da parte di soggetti autorizzati;
test di funzionalità per verificare che il cambiamento non abbia effetti negativi sulla sicurezza dell'intero sistema.
Vengono fornite procedure adeguate per il ripristino dei sistemi in caso di fallimento della modifica operativa, al fine di tornare ad uno stato stabile precedente (rollback).
Le modifiche applicative / tecnologiche nell'ambiente operativo di SIA sono adeguatamente comunicate a tutto il personale coinvolto e, ove necessario, anche ai clienti.
1.4.5.Test di sicurezza e gestione delle vulnerabilità
Sono state stabilite, documentate, implementate e mantenute le procedure per i test di sicurezza e per la gestione delle vulnerabilità.
I test di sicurezza (a livello applicativo o infrastrutturale) sono eseguiti sulla base delle best practice e gli standard pertinenti (PCI-DSS) nonché secondo gli accordi tra SIA e la propria clientela. SIA adotta un processo di gestione delle vulnerabilità per identificare vulnerabilità di sicurezza che integra fonti esterne attendibili per trarre informazioni ed assegnare una classificazione del rischio basata sugli standard riconosciuti (ad esempio, classificazione CVE).
Questo processo consente il monitoraggio e la gestione delle vulnerabilità dei sistemi e delle applicazioni; i tempi per la riparazione in caso di vulnerabilità sono definiti in conformità con la classificazione della vulnerabilità e gli standard pertinenti.
Le vulnerabilità riscontrate sui sistemi contenenti dati critici di XxxxXX, il piano per il loro risanamento ed i relativi esiti sono comunicati a PagoPA al completamento delle relative attività.
1.4.6.Sicurezza delle workstation
Le workstation sono protette adottando una serie di misure di sicurezza che includono tra le altre a titolo esemplificativo e non esaustivo: antivirus, cifratura del disco, sistemi di filtraggio della navigazione, sistemi di detection di minacce avanzate (e.g. EDR), data loss prevention. Tali misure sono gestite centralmente e sono logicamente amministrate dal team di sicurezza che opera l’analisi degli eventi e degli allarmi prodotti dalla piattaforma centrale SIEM.
Agli utenti non sono concessi diritti amministrativi sulle proprie workstation.
I dispositivi mobili sono protetti, controllati e gestiti tramite una soluzione MDM specifica. Secondo le politiche SIA, attualmente il BYOD non è consentito.
1.5.Disponibilità
1.5.1.Gestione dei back up & restore
I dati relativi agli ambienti di produzione sono salvati mediante procedure di backup eseguite giornalmente. Inoltre, ai fini della Business Continuity e della Disaster Recovery, i dati di produzione vengono copiati realtime in modalità asincrona sulle copie di dischi remote posizionate nel sito di Disaster Recovery. Le politiche di backup sono definite dal Responsabile del Servizio di Conservazione e referenziate all’interno del Sistema TSM (Tivoli Storage Management).
In particolare si impegna a garantire, nei tempi minimi consentiti dai vincoli tecnici/operativi e con l’obiettivo di limitare il disservizio, il ripristino dell’ultima situazione consolidata prima del verificarsi dell’anomalia/interruzione; in ogni caso tale situazione non deve essere anteriore al giorno lavorativo precedente (ovvero, limitando la perdita di dati al massimo a 48h RPO), salvo diverse modalità temporali precisate in altri allegati al presente contratto.
0.0.0.Xxxxxxxx Continuity & Disaster Recovery
Le esigenze di Disaster Recovery sono definiti nella BIA i cui dati sono gestiti tramite strumenti aziendali.
Per ulteriori dettagli si rimanda inoltre al Business Continuity Plan della divisione PBS (Public Sector) e relativi allegati; il documento descrive l’organizzazione e le azioni di controllo e di contrasto da mettere in atto per fronteggiare le emergenze che impattano sui servizi e, per ogni singolo scenario (indisponibilità della sede di PRIMARIA e/o della sala macchine dislocate presso la sede SECONDARIA), le misure di contingency e di disaster recovery e le loro modalità di attuazione.
L’ufficio preposto a governare il Servizio di Conservazione effettua verifiche sul corretto funzionamento delle postazioni in Cesano organizzando visite periodiche. A tal proposito, in collaborazione con OPE, viene stabilito un calendario annuale contenente le date in cui eseguire le prove; in concomitanza alle prove alcuni rappresentanti di OPE prevedono delle sessioni di formazione anche ai rappresentati della Divisione PBS sui principi della Business Continuity SIA.
1.6.Separazione dei dati
SIA ha implementato una serie di misure atte a garantire l’elaborazione separata ovvero la segregazione logica dei dati raccolti per scopi diversi; come da elenco a titolo esemplificativo e non esaustivo, esso comprende:
l’accesso ai dati personali è gestito adottando il criterio “need-to-know”;
le risorse IT (in termini di ambienti di elaborazione, architetture, sistemi, applicazioni, archivi, reti e dati) sono classificate in base al livello di rischio delle attività svolte e al livello di criticità dei dati trattati, garantendo un approccio di difesa in profondità; ciò assicura che gli ambienti di produzione siano separati dagli ambienti non di produzione e il software o il trasferimento dei dati tra ambienti con criticità diverse sia regolato;
applicazioni, interfacce, processi batch e report sono progettati solo per scopi e funzioni specifici e documentati, pertanto i dati raccolti per scopi diversi vengono elaborati separatamente.
1.7.Controllo organizzativo
SIA ha adottato un sistema di gestione della sicurezza delle informazioni certificato ISO / IEC 27001 che include la definizione di ruoli, responsabilità, procedure e controlli.
È stato nominato un responsabile della sicurezza ed è presente una funzione di Cybersecurity che gestisce i presidi più critici di sicurezza, indirizza e controlla le attività di sicurezza in ambito ICT. Le politiche di sicurezza sono approvate dalla direzione, pubblicate e comunicate ai dipendenti e alle parti esterne interessate e sono disegnate per includere controlli di sicurezza rilevanti per le attività aziendali di business e interne.
Le politiche e gli standard di sicurezza vengono rivisti periodicamente in ottica di un miglioramento continuo, tenendo conto delle risultanze dell’analisi dei rischi, dei cambiamenti di scenario nel contesto aziendale, di business e normativo, così come di nuove minacce o vulnerabilità. Il sistema di gestione della continuità operativa SIA è certificato ISO/IEC 22301 e garantisce che l'organizzazione:
sviluppa e mantiene piani, istruzioni e processi aggiornati che consentono di gestire tempestivamente emergenze e crisi;
crea una struttura di documenti contenente la serie di piani predefiniti che descrivono in
dettaglio come l'organizzazione gestisce un evento dannoso e in che modo garantisce la continuità delle sue attività in caso di un evento di emergenza;
organizza regolari corsi di formazione sulla Business Continuity;
pianifica regolari test di Business Continuity e Disaster Recovery, i cui esiti possono essere condivisi su richiesta e in visione, solo durante le attività di audit on site, con la Clientela (qualora siano impattati dalle relative attività sistemi adibiti al trattamento dei dati degli stessi);
effettua periodicamente una revisione dell'intero sistema di gestione della continuità operativa per garantirne la conformità e l'adeguatezza in relazione a modifiche normative, organizzative, strategiche e legislative.
Vengono eseguiti controlli di base appropriati, compresi gli screening in fase di assunzione, per tutti i dipendenti. In tema di sicurezza del personale, SIA si impegna a promuovere la cultura della sicurezza attraverso un processo continuativo di formazione e aggiornamento. Tutto il personale riceve una formazione periodica sulla sicurezza delle informazioni adeguata alle proprie attività quotidiane e alla loro funzione.
Appendice 3 – Procedura per la Gestione dei Diritti degli Interessati
Procedura per la Gestione delle richieste di assistenza in materia di trattamento dei dati personali
Scopo del documento
Il documento descrive i livelli di servizio che dovranno essere garantiti nell’ambito del Contratto (di seguito, anche il CQ) stipulato tra SIA S.p.A. (di seguito, anche il Prestatore) e PagoPA S.p.A. (di seguito, anche la Società o il Committente) con riferimento alle richieste di assistenza privacy, in ragione degli obblighi di assistenza e collaborazione previsti dall’Allegato 2, in particolare dagli art. 13 e 14 dello stesso, nonché la procedura che il Prestatore è tenuto a seguire nell’ambito dell’assistenza relativa all’esercizio dei diritti dell’interessato, secondo quanto previsto dall’art. 14 dell’Allegato 2.
Tale documento, rappresenta un allegato al CQ, ancorchè materialmente approvato dalle parti e allegato materialmente all’Atto Aggiuntivo al CQ.
Ai sensi dell’art. 28 del Regolamento, nel suo ruolo di responsabile del trattamento il Prestatore è tenuto a:
- mettere a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi che scaturiscono dalla sua nomina a responsabile del trattamento;
- assistere il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato.
Art .1 Livelli di Servizi relativi all’assistenza in materia di trattamento dei dati personali
1. Stante l'obbligo di informare la Società tempestivamente e senza ritardo rispetto a qualsiasi violazione dei dati personali, come indicato nell’Allegato 2, in caso di richieste di assistenza su tematiche privacy per conto delle Autorità competenti (quali, a titolo esemplificativo e non esaustivo, il Garante per la protezione dei dati personali, il Ministero dell’Economia e delle Finanze) e/o dei Titolari del trattamento per i quali la Società agisce in qualità di Responsabile del trattamento, il Prestatore deve fornire un primo riscontro alla Società, con conferma di presa in carico via email entro 24 ore, 7 giorni su 7, e con contestuale fornitura di tempistiche certe di riscontro/attuazione/output nonché di ogni informazione tecnica che si renda necessaria al fine di individuare l’oggetto del riscontro/output/attuazione, il tutto agendo sempre nel pieno rispetto degli obblighi imposti da legge o da tempistiche dettate dalle diverse Autorità competenti e/o dai Titolari del trattamento per i quali la Società agisce in qualità di Responsabile del trattamento. In caso di richieste di assistenza su tematiche privacy riguardanti l’esercizio dei diritti degli Interessati ai sensi degli artt. da 15 a 22 del Regolamento, il Prestatore deve fornire un primo riscontro alla Società, con contestuale conferma di presa in carico via email entro 2 (due) giorni lavorativi, fornendo immediatamente nel primo riscontro una ragionevole stima delle tempistiche di riscontro/attuazione/output nonché ogni informazione tecnica che si renda necessaria al fine di individuare l’oggetto del riscontro/output/attuazione, il tutto agendo sempre nel pieno rispetto degli obblighi imposti da legge.
2. Il Prestatore deve poter assicurare in via finale la produzione della documentazione richiesta o dello svolgimento delle attività richieste senza ingiustificato ritardo e comunque entro e non oltre 5 (cinque) giorni lavorativi dal riscontro della predetta richiesta di assistenza, salvo diverso termine concordato con la Società in particolare nel caso in cui la richiesta sia particolarmente onerosa da svolgere per complessità tecniche non imputabili direttamente al Prestatore.
3. Nel caso la richiesta comporti lo svolgimento di un’attività, fermo restando il termine indicato sopra al punto 2, il Prestatore dà immediata conferma scritta dello svolgimento dell’attività richiesta, fornendo altresì ogni informazione o documento utile a comprovare lo stesso.
4. Fermo restando e in aggiunta a quanto disposto dall’Allegato 4 e dell’Art. 13 del Contratto, in caso di ritardato adempimento e di qualsiasi altro inadempimento degli obblighi previsti dalla presente procedura, non imputabile a forza maggiore o caso fortuito, la Società, fermo il diritto al risarcimento di ogni ulteriore danno conseguente al pregiudizio subìto nei limiti previsti dal Contratto e senza pregiudizio di ogni diritto alla risoluzione, potrà applicare al Prestatore le seguenti penali:
Livello di Servizio | Penale |
Assistenza su tematiche privacy per conto delle Autorità competenti e/o dei Titolari del | 150,00 (centocinquanta) euro per ogni giorno di ritardo |
trattamento per i quali la Società agisce in qualità di Responsabile del trattamento | |
Produzione della documentazione a seguito della richiesta di assistenza privacy per conto delle Autorità competenti e/o dei Titolari del trattamento per i quali la Società agisce in qualità di Responsabile del trattamento | 300,00 (trecento) euro per ogni giorno di ritardo |
Svolgimento di un’attività necessaria a seguito della richiesta di assistenza privacy e relativa conferma per conto delle Autorità competenti e/o dei Titolari del trattamento per i quali la Società agisce in qualità di Responsabile del trattamento | 300,00 (trecento) euro per ogni giorno di ritardo |
Assistenza per l’esercizio dei diritti degli Interessati ai sensi degli artt. 15 – 22 del Regolamento, in via esclusiva relativamente alle prime 5 (cinque) richieste di ogni settimana lavorativa e comunque non eccedenti le prime 80 (ottanta) richieste di ogni intero anno solare. Il numero di richieste di assistenza sopra menzionate sarà riparametrato in buona fede di volta in volta dalle Parti sulla base del numero di mesi di validità dell’accordo sottoscritto. | 150,00 (centocinquanta) euro per ogni giorno lavorativo di ritardo |
Produzione della documentazione a seguito della richiesta di assistenza privacy per l’esercizio dei diritti degli Interessati ai sensi degli artt. 15 – 22 del Regolamento, in via esclusiva relativamente alle prime 5 (cinque) richieste di ogni settimana lavorativa e comunque non eccedenti le prime 80 (ottanta) richieste di ogni intero anno solare. Il numero di richieste di assistenza sopra menzionate sarà riparametrato in buona fede di volta in volta dalle Parti sulla base del numero di mesi di validità dell’accordo sottoscritto. | 300,00 (trecento) euro per ogni giorno lavorativo di ritardo |
Svolgimento di un’attività necessaria a seguito della richiesta di assistenza privacy per l’esercizio dei diritti degli Interessati ai sensi degli artt. 15 – 22 del Regolamento, | 300,00 (trecento) euro per ogni giorno lavorativo di ritardo |
in via esclusiva relativamente alle prime 5 (cinque) richieste di ogni settimana lavorativa e comunque non eccedenti le prime 80 (ottanta) richieste di ogni intero anno solare. Il numero di richieste di assistenza sopra menzionate sarà riparametrato in buona fede di volta in volta dalle Parti sulla base del numero di mesi di validità dell’accordo sottoscritto. |
5. L’applicazione e l’entità delle penali di cui al precedente punto 4 della presente procedura saranno contestate ai sensi dell’art. 13 del Contratto ancorché tali penali non sono sottoposte ai limiti d'importo di cui al CAP del CQ e/o al SOTTO-CAP dell’Atto Aggiuntivo allo stesso CQ.
6. La Società e il Prestatore monitorano in buona fede le richieste degli Interessati che dovessero pervenire oltre la quota di 80 (ottanta) all’anno, registrando il relativo quantitativo e l’effort - in termini di "costo di giorni/uomo" - necessario per il loro svolgimento al fine eventuale di rinegoziare i corrispettivi, qualora il supporto richiesto risulti particolarmente oneroso per il Prestatore.
Art. 2 Procedura di esercizio dei diritti degli Interessati
Nel fornire assistenza per dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del Regolamento, il Prestatore è tenuto a rispettare la seguente procedura di esercizio di diritti degli Interessati concordata tra le Parti.
Su richiesta di PagoPA, la procedura di esercizio di diritto degli interessati potrà essere oggetto di revisioni che si rendano necessarie in ragione di evoluzioni tecniche o per esigenze organizzative, previo accordo delle Parti. Di seguito la procedura:
PROCEDURA PER LA GESTIONE DEI DIRITTI DELL'INTERESSATO NELL’AMBITO DEI TRATTAMENTI RELATIVI AI SERVIZI OGGETTO DEL CONTRATTO TRA SIA S.P.A. E PAGOPA S.P.A.
Art 1. Ambito di applicazione e finalità.
SIA S.p.A. in qualità di responsabile, o se del caso sub-responsabile, del trattamento ( di seguito, “Responsabile”) per conto di PagoPA S.p.A., in qualità di titolare o responsabile del trattamento ( di seguito, “PagoPA”, congiuntamente PagoPA e il Responsabile le “Parti”) ha implementato la presente procedura per la gestione dei diritti dell'interessato (di seguito "Procedura sui diritti dell'interessato") nell’ambito dei Servizi oggetto del Contratto (di seguito “Servizi”) ai sensi del RGPD. La presente Procedura sui diritti dell'interessato è implementata al fine di garantire la gestione e la pronta evasione delle richieste di assistenza che dovessero pervenire al Responsabile da PagoPA, in merito all’esercizio dei diritti di cui godono gli individui (“Interessati”) ai sensi del Regolamento Generale sulla Protezione dei Dati ("RGPD") artt. da 15 a 22, e quindi con riferimento a (1) l'accesso ai loro dati personali, (2) rettifica dei loro dati personali, (3) cancellazione dei loro dati personali, (4)
limitazione del trattamento dei loro dati personali, (5) portabilità dei loro dati personali, (6) opposizione al trattamento dei loro dati personali, (7) diritti relativi al processo decisionale automatizzato.
La presente Procedura sui diritti dell'interessato è stata definita congiuntamente dal Titolare e dal Responsabile ed implementata dal Responsabile e identifica un processo che tutti i dipendenti e soggetti che a vario titolo compongono l’organico, autorizzati al trattamento dei dati personali relativi ai Servizi, nell’ambito dell’organizzazione del Responsabile ("Dipendenti") sono tenuti a seguire nel caso in cui PagoPA richieda assistenza per rispondere alla richiesta degli Interessati.
La presente Procedura sui diritti dell'interessato mira a stabilire e standardizzare un processo nell’ambito dei Servizi al fine di garantire che il Responsabile presti una tempestiva e corretta assistenza a PagoPA, fermo restando il diritto di PagoPA di effettuare richieste di assistenza privacy diverse e ulteriori rispetto a quelle di seguito illustrate.
Niente di quanto previsto nella presente Procedura sui diritti dell’Interessato limita i livelli di servizio e le penali previste nel Contratto e nella Procedura per la Gestione delle richieste di assistenza in materia di trattamento dei dati personali. Resta inteso che, in caso di contrasti, il Contratto e la Procedura per la Gestione delle richieste di assistenza in materia di trattamento dei dati personali prevarranno sulla presente Procedura sui diritti dell’Interessato.
Art.2. Diritti dell'interessato. Nella misura in cui si applica il RGPD, gli Interessati, hanno la possibilità di esercitare determinati diritti nei confronti del titolare in relazione al trattamento dei loro dati personali.
Qualora il Responsabile riceva direttamente una richiesta da parte di un Interessato relativamente ai trattamenti svolti nell’ambito dei Servizi, si impegna a trasmetterla a PagoPA tempestivamente e, in ogni caso, non oltre 2 giorni lavorativi dal ricevimento. In tal caso, XxxxXX fornirà al Responsabile le opportune istruzioni e si applicherà, per le parti rilevanti, la presente Procedura sui diritti dell'interessato
Le Parti potranno, in ogni caso, concordare delle modalità automatiche da mettere a disposizione degli Interessati per l’esercizio dei loro diritti.
Art. 3. Cooperazione da parte del Responsabile
Ove la richiesta dell’Interessato riguardi informazioni che siano oggetto di trattamento da parte del Responsabile per conto di PagoPA, nell’ambito dei Servizi, PagoPA, secondo i canali di comunicazione concordati tra le Parti, inoltrerà una richiesta di assistenza al Responsabile che provvederà, a sua volta, a inviare una risposta di presa in carico entro 2 giorni lavorativi con immediata fornitura di tempistiche ragionevoli di riscontro/attuazione/output nonché di ogni informazione tecnica che si renda necessaria al fine di individuare l’oggetto del riscontro/output/attuazione.
Il Responsabile fornirà tutte le informazioni che sono ragionevolmente a sua disposizione, in ragione dei Servizi oggetto del Contratto, e/o a intraprenderà l’azione necessaria entro un lasso temporale di 5 (cinque) giorni lavorativi dal riscontro della predetta richiesta, informando contestualmente PagoPA.
Qualora ai fini dell’evasione della richiesta sia necessario un tempo maggiore di quello indicato al paragrafo precedente, il Responsabile fornirà a PagoPA, nella risposta di presa in carico, immediata indicazione in merito alle tempistiche per l’evasione della richiesta e alle attività necessarie al tal fine. La tempistica indicata dovrà, in ogni caso, consentire a PagoPA di assolvere ai propri obblighi nei confronti degli Interessati ai sensi degli articoli del RGPD. All’esito di tale comunicazione, le Parti potranno concordare un termine diverso, nei limiti di quanto stabilito dal RGPD, che dovrà ritenersi vincolante per il Responsabile.
Qualora il Responsabile non rispetti i termini di cui sopra per l’evasione della richiesta, fermo restando le penali previste per i livelli di servizio, fornirà adeguata informazione rispetto alle tempistiche del suo riscontro e a eventuali attività tecniche svolte e da svolgersi.
Il riscontro alle richieste è fornito dal Responsabile in forma scritta e saranno applicate, laddove necessarie, misure idonee a garantire la sicurezza e la confidenzialità di eventuali dati personali degli Interessati.
Il Responsabile fornisce ogni informazione o documento ragionevolmente utile a comprovare le misure poste in essere per l’evasione della richiesta.
Qualora ai fini dell’evasione della richiesta, si renda necessaria l’adozione di misure tecniche specifiche, PagoPA potrà fornire al Responsabile indicazioni tecniche sulla modalità, con le quali tali attività dovranno essere poste in essere, che saranno concordate tra le Parti.
Art 4. Richiesta di Accesso. In caso di richiesta di cooperazione per l’esercizio del diritto di accesso che riguardi dati personali trattati dal Responsabile per conto di PagoPA nell’ambito dei Servizi, il Responsabile, su richiesta di XxxxXX, fornirà le informazioni in suo possesso nel rispetto della seguente procedura.
4.1 Raccogliere le informazioni necessarie. All’Interessato devono essere fornite le informazioni previste dall’art. 15 del RGPD, se possibile limitate ai dati personali o alle attività di trattamento specificate dall’Interessato stesso. Pertanto, il Responsabile si impegna a fornire a XxxxXX tutte le informazioni riguardo i dati personali dell’Interessato da lui trattati, nei limiti delle sue competenze, tra cui quelle di seguito elencate, a titolo esemplificativo e non esaustivo.
● categorie di dati personali trattate:
dati personali, inclusi, ove ragionevolmente conosciuti in ragione alla natura dei Servizi:
o storico transazioni
o strumenti di pagamento memorizzati
o dati di navigazione (indirizzi IP) e log di accesso (indirizzo IP, orario di connessione)
o Codici autenticazione PUK
o Nome utente
o Password
o Indirizzo email
o Numero di cellulare;
o Nome, cognome, indirizzo email e codice fiscale (provenienza SPID)
o PAN della carta
● Destinatari dei dati personali, se presenti
● Indicazione che non sono presenti destinatari al di fuori dell'UE/SEE.
4.2. Copia dei Dati Personali. Il Responsabile, su richiesta di XxxxXX, fornirà a quest’ultima copia dei dati personali dell’Interessato memorizzati ed elaborati. La trasmissione di tali dati avverrà previa adozione di misure di sicurezza idonee, concordate con PagoPA. PagoPA potrà fornire indicazioni tecniche, da concordare tra le Parti, relativamente al formato della copia dei dati personali prima che il Responsabile intraprenda le azioni necessarie.
4.3. Risposta. La risposta a una richiesta di accesso, salvo diversamente indicato da XxxxXX, includerà le informazioni di cui al Par. 4.1 e una copia dei Dati Personali di cui al Par. 4.2. Prima di trasmettere le informazioni a PagoPA, il Responsabile si assicurerà che nessun dato personale di terzi sia contenuto nella risposta o possa essere ricavato dalla risposta.
Art 5. Richiesta di rettifica. In caso di richiesta di cooperazione per l’esercizio del diritto di rettifica, che riguardi dati personali trattati dal Responsabile, per conto di PagoPA, nell’ambito dei Servizi, il Responsabile fornirà riscontro, nel rispetto della presente procedura.
5.1. Determinare l'ambito della richiesta. Il Responsabile assisterà XxxxXX nel determinare se i dati personali dell'Interessato sono di fatto inesatti o incompleti, verificando i dati in suo possesso. Nel caso in cui sia verificata l'inesattezza o l'incompletezza dei dati personali, il Responsabile adotterà le misure necessarie per rettificare o completare i dati personali come richiesto dall'Interessato e fornirà riscontro in conformità al Par. 6.2. Nel caso in cui risulti che i dati personali sono precisi e/o completi, il Responsabile ne darà pronta comunicazione a PagoPA.
I dati personali che possono essere oggetto di richieste di rettifica, nell’ambito dei Servizi sono di seguito elencati, a titolo esemplificativo e non esaustivo:
● Strumenti di pagamento;
● Storico transazioni (esclusivamente ove sussista un errore da parte del sistema);
● Nome Utente;
● Password (secondo il processo di modifica previsto dal sistema).
● Codice Fiscale
● IBAN
● Email e dati di contatto
5.2. Risposta all'Interessato dopo la rettifica. Il Responsabile informa PagoPA del fatto che i dati personali dell'Interessato sono stati rettificati o completati come richiesto dall'Interessato stesso, al fine di consentire l’invio della risposta all’Interessato, fornendo altresì, su richiesta, ogni informazione o documento ragionevolmente utile a comprovare la corretta evasione della richiesta.
Art 6. Richiesta di Cancellazione. In caso di richiesta di cooperazione per l’esercizio del diritto di cancellazione, che riguardi dati personali trattati dal Responsabile, per conto di PagoPA, nell’ambito dei Servizi, il Responsabile fornirà riscontro, nel rispetto della presente procedura.
6.1. Determinare l'ambito della Richiesta di Cancellazione. Il Responsabile verifica la sussistenza dei dati personali dell'Interessato cui si riferisce la richiesta di cancellazione. In caso di incertezza sulla determinazione dei dati personali oggetto di tale richiesta, il Responsabile informerà XxxxXX, se del caso indicando le informazioni necessarie ai fini della determinazione.
6.2. Determinare se l'Interessato ha il diritto di chiedere la cancellazione. L'Interessato ha il diritto di richiedere la cancellazione dei dati personali, nell’ambito dei Servizi, nei seguenti casi:
● I dati personali non sono più necessari in relazione alle finalità per le quali sono stati raccolti o altrimenti trattati;
● L'Interessato ha formulato ogni altra richiesta di opposizione (vedi sotto Par. 9) e non sussistono basi giuridiche prevalenti per il trattamento;
● I dati personali sono stati trattati in modo illegale (ovvero, i dati personali sono stati conservati più a lungo del necessario o non esiste una base giuridica per il trattamento dei dati personali);
● I dati personali devono essere cancellati per adempiere ad un obbligo legale previsto dalla normativa dell'Unione o degli Stati Membri dell'UE a cui il titolare è soggetto;
● I dati personali si riferiscono a un minore e sono stati raccolti in relazione all'offerta di servizi della società dell'informazione (ad es. app o siti web).
Su richiesta di XxxxXX, il Responsabile assisterà XxxxXX nella valutazione circa la legittimità della richiesta, fornendo ogni informazione ragionevolmente necessaria in suo possesso, in ragione dei trattamenti da lei svolti per conto di PagoPA, richiesta da PagoPA. In ogni caso, la valutazione circa la legittimità dell’esercizio del diritto spetterà a PagoPA o,
se del caso, al titolare del relativo trattamento. È fatta salva la conservazione dei dati personali imposta al Responsabile da leggi e regolamenti, ovvero qualora la conservazione sia necessaria al Responsabile per l’accertamento, l’esercizio e la difesa di un diritto in sede giudiziaria.
6.3. Eccezioni al diritto di chiedere la cancellazione. Nel caso in cui sia avanzata una richiesta legittima di cancellazione da parte dell’Interessato, PagoPA (o, se del caso, il titolare del relativo trattamento) determinerà se si applica una delle seguenti eccezioni che permetterebbero di conservare i dati personali nonostante la richiesta di cancellazione:
● I dati personali sono necessari per l'adempimento di un obbligo legale che richiede il trattamento previsto dal diritto dell'Unione o dello Stato Membro a cui titolare è soggetto o per l'esecuzione di un compito svolto nell'interesse pubblico o nell'esercizio dei pubblici poteri di cui il titolare è investito;
● I dati personali sono necessari per l'accertamento, l'esercizio o la difesa di diritti in giudizio.
Su richiesta di XxxxXX, il Responsabile assisterà XxxxXX nella valutazione circa la fondatezza di un’eccezione, fornendo ogni informazione necessaria in suo possesso, in ragione dei trattamenti da lei svolti per conto di PagoPA, richiesta da PagoPA. In ogni caso, la valutazione circa la legittimità dell’esercizio del diritto spetterà a PagoPA o, se del caso, al titolare del relativo trattamento. È fatta salva la conservazione dei dati personali imposta al Responsabile da leggi e regolamenti, ovvero qualora la conservazione sia necessaria al Responsabile per l’accertamento, l’esercizio e la difesa di un diritto in sede giudiziaria.
6.4. Diritto di richiedere la cancellazione dei Dati Personali. Nel caso in cui PagoPA (o, se del caso, il titolare del relativo trattamento) stabilisca che l'Interessato ha il diritto di richiedere la cancellazione e non si applica alcuna eccezione, su richiesta di PagoPA, il Responsabile adotterà le misure necessarie per cancellare i dati personali come richiesto dall'Interessato. Il Responsabile comunicherà a PagoPA le misure adottate per la cancellazione dei dati e l’ambito dell’operazione stessa, fornendo altresì, su richiesta, ogni informazione o documento utile a comprovare la corretta evasione della richiesta. PagoPA potrà fornire al Responsabile indicazioni tecniche che saranno concordate tra le Parti prima che il Responsabile intraprenda le azioni necessarie.
Art 7. Richiesta di Limitazione. In caso di richiesta di cooperazione per l’esercizio del diritto di limitazione, che riguardi dati personali trattati dal Responsabile, per conto di PagoPA, nell’ambito dei Servizi, il Responsabile fornirà riscontro, nel rispetto della presente procedura.
7.1. Determinare l'ambito di applicazione della Richiesta di Limitazione. Il Responsabile verifica la sussistenza dei dati personali dell'Interessato cui si riferisce la richiesta di limitazione. In caso di incertezza sulla determinazione dei dati personali oggetto di tale richiesta, il Responsabile informerà XxxxXX, se del caso indicando le informazioni necessarie ai fini della determinazione.
7.2. Determinare se l'Interessato ha il diritto di chiedere una limitazione. L'Interessato ha diritto di richiedere la limitazione del trattamento dei dati personali che lo riguardano, nell’ambito dei Servizi, nei seguenti scenari:
● L'interessato ha presentato una richiesta di rettifica (si veda sopra il Par.5) sostenendo che i dati personali sono inesatti e che il titolare sta verificando se i dati personali sono effettivamente inesatti e devono essere corretti;
● Il trattamento dei dati personali è illecito e l'Interessato si oppone alla cancellazione dei dati personali e ne chiede invece la limitazione dell'uso;
● Il titolare non ha più bisogno dei dati personali per le finalità del trattamento, ma sono richiesti dall'Interessato per l'instaurazione, l'esercizio o la difesa di azioni legali;
● L'Interessato ha presentato una richiesta di opposizione (cfr. infra, Par.9, Art. 21(1) RGPD) ed il titolare sta verificando se i motivi legittimi del titolare prevalgono su quelli dell'Interessato, in modo che il titolare possa continuare il trattamento dei dati personali.
Su richiesta di XxxxXX, il Responsabile assisterà XxxxXX nella valutazione circa la legittimità della richiesta, fornendo ogni informazione necessaria in suo possesso, in ragione dei trattamenti da lei svolti per conto di XxxxXX, richiesta da PagoPA. In ogni caso, la valutazione circa la legittimità dell’esercizio del diritto spetterà a PagoPA o, se del caso, al titolare del relativo trattamento.
7.3. Diritto di richiedere la limitazione del Trattamento dei Dati Personali. Nel caso in cui PagoPA (o, se del caso, il titolare del relativo trattamento) stabilisca che l'Interessato ha il diritto di richiedere una limitazione (Par. 7.2.), il Responsabile adotterà le misure necessarie per limitare il trattamento dei dati personali come richiesto dall'Interessato1. I dati personali non saranno trattati e utilizzati per alcuno scopo, eccetto per la conservazione o come consentito nel Par. 7.4. Qualsiasi accesso ai dati personali deve essere impedito. Il Responsabile informerà PagoPA delle azioni intraprese, fornendo altresì, su richiesta, ogni informazione o documento ragionevolmente utile a comprovare la corretta evasione della richiesta. PagoPA potrà fornire al Responsabile indicazioni tecniche che saranno concordate tra le Parti prima di intraprendere le azioni necessarie.
7.4. Diritto di rimuovere la limitazione. La limitazione dei dati personali potrà essere revocata, esclusivamente su indicazione di PagoPA (o, se del caso, il titolare del relativo trattamento). In tal caso, il Responsabile adotterà tutte le misure ragionevolmente necessarie richieste da PagoPA per il trattamento.
Art 8. Richiesta di Portabilità. In caso di richiesta di cooperazione per l’esercizio del diritto di portabilità, che riguardi dati trattati dal Responsabile, per conto di PagoPA, nell’ambito dei Servizi, il Responsabile adotterà le misure necessarie a garantire la portabilità dei dati in un formato strutturato, di uso comune e leggibile da dispositivo automatico, concordato con PagoPA. PagoPA potrà fornire al Responsabile indicazioni tecniche sulla modalità della portabilità che saranno concordate tra le Parti prima che il Responsabile intraprenda le azioni necessarie.
Art 9. Richiesta di Opposizione. In caso di richiesta di cooperazione per l’esercizio del diritto di opposizione, che riguardi dati personali trattati dal Responsabile, per conto di PagoPA, nell’ambito dei Servizi, il Responsabile fornirà riscontro, nel rispetto della presente procedura.
9.1. Determinare l'ambito di applicazione della Richiesta di Opposizione. Il Responsabile assisterà, su richiesta, XxxxXX nella determinazione di quali dati personali dell'Interessato si
1 Tali misure possono includere, tra l'altro, a mero titolo esemplificativo e subordinatamente alle modalità concordate tra le Parti lo spostamento temporaneo dei dati personali coinvolti su un altro sistema di elaborazione, l'indisponibilità degli utenti dei dati personali coinvolti o la rimozione temporanea dei dati personali pubblicati da un sito web. Negli archivi automatizzati, la limitazione del trattamento dovrebbe in linea di principio essere assicurata con mezzi tecnici in modo tale che i dati personali non siano soggetti ad ulteriori operazioni di trattamento e non possano essere modificati. Il fatto che il trattamento dei dati personali sia limitato dovrebbe essere chiaramente indicato nel sistema.
riferisce la richiesta di opposizione. In caso di incertezza, il Responsabile informerà XxxxXX, se del caso indicando le informazioni necessarie ai fini della determinazione.
9.2. Diritto di opporsi al trattamento. Nell’ambito dei Servizi, l'Interessato ha il diritto di opporsi al trattamento dei propri dati personali se:
● Il trattamento dei dati personali coinvolti sia necessario per l'esecuzione di un compito di interesse pubblico o per l'esercizio di pubblici poteri di cui è investito il titolare (articolo 6(1), lett. e) del RGPD) o "test di bilanciamento degli interessi" (articolo 6(1), lett. f) del RGPD) e
● L'Interessato motivi l'opposizione che lo riguarda in funzione della situazione specifica.
Su richiesta di XxxxXX, il Responsabile assisterà XxxxXX nella valutazione circa la legittimità della richiesta, fornendo ogni informazione necessaria in suo possesso, in ragione dei trattamenti da lei svolti per conto di XxxxXX, richiesta da PagoPA. In ogni caso, la valutazione circa la legittimità dell’esercizio del diritto spetterà a PagoPA o, se del caso, al titolare del relativo trattamento.
9.3. Eccezione. L'Interessato non ha il diritto di opporsi nel caso di cui al Par. 9.2. se il titolare ha motivi cogenti e legittimi per il trattamento di tali dati personali che prevalgono sugli interessi, diritti e libertà dell'Interessato o se il trattamento da parte del titolare è necessario per l'accertamento, l'esercizio o la difesa di un diritto in giudizio. In ogni caso, la valutazione circa la legittimità dell’esercizio del diritto spetterà a PagoPA o, se del caso, al titolare del relativo trattamento.
Su richiesta di XxxxXX, il Responsabile assisterà XxxxXX nella valutazione circa la legittimità della richiesta, fornendo ogni informazione necessaria in suo possesso, in ragione dei trattamenti da lei svolti per conto di XxxxXX, richiesta da PagoPA.
9.4. Diritto di opposizione al Trattamento. Nel caso in cui PagoPA (o, se del caso, il titolare del relativo trattamento) stabilisca che l'Interessato ha il diritto di opporsi ai sensi del Par. 9.2 o 9.3, il Responsabile adotterà le misure appropriate per garantire che i dati personali dell'Interessato non siano più trattati per la finalità indicata. Il Responsabile informerà PagoPA delle azioni intraprese, fornendo altresì, su richiesta, ogni informazione o documento ragionevolmente utile a comprovare la corretta evasione della richiesta. PagoPA potrà fornire al Responsabile indicazioni tecniche che saranno concordate tra le Parti prima che il Responsabile intraprenda le azioni necessarie.
Art 10. Diritti relativamente al Processo Decisionale Automatizzato. In caso di richiesta di cooperazione per l’esercizio dei diritti relativi a processi decisionale automatizzato, che riguardi dati trattati dal Responsabile nell’ambito dei Servizi, per conto di PagoPA, il Responsabile assisterà XxxxXX fornendo su richiesta le informazioni ragionevolmente necessarie ad evadere la richiesta. In ogni caso, la valutazione circa la legittimità dell’esercizio del diritto spetterà a PagoPA o, se del caso, al titolare del relativo trattamento. PagoPA fornirà al Responsabile le istruzioni necessarie a garantire l’evasione della richiesta. PagoPA e il Responsabile concorderanno le misure necessarie tecniche e organizzative ragionevolmente necessarie al fine di assicurare il rispetto di tali diritti.
per la Società per il Prestatore L’AMMINISTRATORE UNICO IL LEGALE RAPPRESENTANTE
Firmato digitalmente da: XXXXXXXX XXXXXXX Xxxxx: AMMINISTRATORE UNICO
Organizzazione: PAGOPA S.P.A./15376371009 Data: 04/08/2021 00:26:15
Firmato digitalmente da XXXXXXXX XXXXXXXX Data: 2021.08.04
14:49:01 +02'00'