ALLEGATO C) - ACCORDO DI COOPERAZIONE TRA LA REGIONE LAZIO E L’AUTOMOBILE CLUB ITALIA IN MATERIA DI TASSE AUTOMOBILISTICHE REGIONALI

Automobile Club d'Italia Protocollo Entrata SGTA aoodir019/0005580/19Data 20/12/2019 Cod.Registro: SGTASSE

ALLEGATO C) - ACCORDO DI COOPERAZIONE TRA LA REGIONE LAZIO E L’AUTOMOBILE CLUB ITALIA IN MATERIA DI TASSE AUTOMOBILISTICHE REGIONALI

(ai sensi dell’articolo 15, della legge 7 agosto 1990, n. 241)

Schema di “Contratto tra Titolare e responsabile del trattamento ai sensi dell’art. 28 del Regolamento generale sulla protezione dei dati (UE) 2016/679”

Oggetto: disciplina dei rapporti tra Regione Lazio e l’Automobile Club d’Italia in materia di trattamenti di dati personali nell’ambito delle attività previste dall’Accordo di cooperazione in materia di tasse automobilistiche in ordine a: istruzioni, natura e finalità del trattamento, tipo di dati personali e categorie di interessati, obblighi e diritti del titolare del trattamento, compiti e responsabilità del responsabile del trattamento in osservanza dell’articolo 28 paragrafo 3) del Regolamento Europeo n. 679/2016.

PREMESSE

- Con Delibera della giunta Regionale n. 872 del 26 Novembre 2019, è stato approvato lo schema di Accordo di cooperazione in materia di tasse automobilistiche per il triennio 2019-2022, (di seguito Accordo di cooperazione) tra la Regione Lazio (di seguito anche “Regione”) e l’Automobile Club d’Italia (di seguito anche “ACI”), di cui il presente atto ne costituisce parte integrante.

Ai fini del trattamento dei dati, di cui al regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (regolamento generale sulla protezione dei dati) ed in particolare gli artt. 37, 38 e 39 che disciplinano la nomina del Responsabile della protezione dei dati e le relative funzioni, l’Accordo di cooperazione prevede che:

1. Il Titolare del trattamento dei dati è la Giunta Regionale del Lazio.

2. ACI è “Responsabile del trattamento dei dati personali” ai sensi dell’art. 28 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio (Regolamento generale sulla protezione dei dati).

Ciò premesso,

TRA

La Regione Lazio, codice fiscale 80143490581, legalmente rappresentata dal xxxx. Xxxxx Xxxxxxxx domiciliato presso la sede dell’Ente, nella sua qualità di Direttore della Direzione Regionale Bilancio, Governo Societario, Demanio e Patrimonio il cui incarico è stato conferito con D.G.R. n. 273 del 05/06/2018, autorizzato alla stipula del presente accordo di cooperazione ai sensi della L. R. n. 6/2002 e xx.xx. ii

E

l’Automobile Club d’Italia - ACI, codice fiscale 00493410583, con sede legale in xxx Xxxxxxx, 0, 00000 Xxxx, legalmente rappresentato dal Presidente Xxxxxx Xxxxxxx Xxxxxxx,

si conviene quanto segue:

Articolo 1 Definizioni

Ai fini della presente disciplina valgono le seguenti definizioni:

• Per "Legge Applicabile" o "Normativa Privacy", si intende il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito, per brevità, "GDPR") a far data dal 25.05.2018, il D. Lgs. 196/2003 e s.m.i. e i suoi allegati ancora vigenti (di seguito, per brevità, anche "Codice della Privacy"), nonché qualsiasi altra normativa sulla protezione dei dati personali applicabile in Italia, ivi compresi i provvedimenti dell'Autorità Garante per la Protezione dei dati personali (di seguito, per brevità, "Garante");

• per "Dati Personali": si intendono tutte le informazioni direttamente o indirettamente riconducibili ad una persona fisica così come definite ai sensi dell'art. 4 par. 1 del GDPR, che il Responsabile tratta per conto del Titolare ai fini dell’espletamento delle attività previste dall’Accordo di cooperazione;

• per "Interessato": si intende la persona fisica cui si riferiscono i dati personali;

• per "Attività": si intendono le attività rese dal Responsabile nell’ambito dell’Accordo di cooperazione oggetto del presente contratto, nonché il relativo trattamento dei dati personali;

• per "Titolare": si intende, ai sensi dell'art. 4, par. 7 del GDPR, la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Il Titolare del Trattamento è la Giunta della Regione Lazio.

• per "Responsabile del Trattamento": si intende, ai sensi dell'art. 4, par. 8 del GDPR, la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento. Il Responsabile del trattamento dei dati personali” ai sensi dell’art. 28 dell’RGPD è ACI.

• per "Ulteriore Responsabile": si intende la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo, soggetto terzo (fornitore) rispetto alle Parti, a cui il Responsabile del trattamento, previa autorizzazione del Titolare, abbia, nei modi di cui al par. 4 dell'art. 28 del GDPR, eventualmente affidato lo svolgimento di parte delle attività di cui all’Accordo o concesso l’accesso all’Archivio delle tasse automobilistiche in sola visualizzazione.

• per "Misure di Sicurezza": si intendono le misure di sicurezza di cui all’art. 32 del GDPR;

• per "Trattamento": si intende, ai sensi dell'art. 4, par. 2 del GDPR, qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

• per “Violazione di Dati personali” (c.d. Data Breach), si intende ai sensi dell'art. 4, par. 12 del GDPR, la violazione di sicurezza che comporta anche accidentalmente o in modo illecito, la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

• per “Amministratore di Sistema” si intende la figura professionale finalizzata alla gestione e alla manutenzione di un impianto di elaborazione o di sue componenti; è altresì considerato tale anche altra figura equiparabile dal punto di vista dei rischi relativi alla protezione dei dati, quale l’amministratore di basi di dati, l’amministratore di reti e di apparati di sicurezza e l’amministratore di sistemi software complessi utilizzati in grandi organizzazioni, le reti locali e gli apparati di sicurezza, nella misura in cui consentano di intervenire sui dati personali;

• per “Responsabile della protezione dei dati (Data Protection Officer – DPO)” si intende la figura di cui all’articolo 37 e seguenti del GDPR, nominato, per quanto concerne la Regione Lazio, con DGR n. 393 del 20 giugno 2019.

Articolo 2 Oggetto

1. La presente disciplina regolamenta le operazioni di trattamento dei dati personali rientranti nella sfera di titolarità della Regione Lazio effettuate da ACI nell’ambito delle attività previste dall’Accordo di cooperazione, il cui schema è stato approvato con DGR n. ……. del …………. Il trattamento dei dati dovrà limitarsi alle operazioni strettamente necessarie allo svolgimento delle attività indicate nell’Accordo di cooperazione e relativi allegati, ai quali si rimanda.

2. I dati saranno trattati soltanto dai soggetti che dovranno utilizzarli per l’esecuzione delle attività previste dall’Accordo di cooperazione. ACI non potrà comunicare ad altri soggetti i dati personali di cui venga a conoscenza, né utilizzarli autonomamente, per scopi diversi da quelli sopra menzionati.

Articolo 3 Durata e finalità

1. La presente disciplina rimarrà in vigore fino alla cessazione delle attività svolte da ACI, in riferimento al trattamento dei dati personali rientrati nella sfera della titolarità della Regione Lazio.

2. Resta fermo il diritto del Titolare, in qualsiasi momento, di revocare e/o modificare la nomina di ACI quale responsabile del trattamento dei dati personali, ivi compresi i relativi compiti e responsabilità, salvo ogni eventuale obbligo di legge.

3. I trattamenti dei dati personali saranno effettuati da ACI per il tempo strettamente necessario al conseguimento della finalità per le quali i dati sono raccolti e successivamente trattati in relazione alle attività previste dal medesimo Accordo.

Articolo 4

Tipologie di dati e Categorie di interessati

1. ACI per conto della Regione Lazio effettua operazioni di trattamento aventi ad oggetto tutte le categorie di dati personali rientranti nella titolarità dell’amministrazione stessa (cittadini, utenti, etc.) relativamente alle attività previste dall’Accordo di cooperazione.

Articolo 5 Modalità e istruzioni

1. Le modalità e le istruzioni per il Trattamento dei dati personali impartite dal Titolare al Responsabile sono contenute nella presente disciplina, come riportate nei successivi articoli.

Articolo 6

Obblighi e doveri del Responsabile del trattamento

1. Il Responsabile è obbligato a mettere in atto misure tecniche ed organizzative atte a garantire un livello di sicurezza adeguato al rischio, a salvaguardare la riservatezza, l'integrità e la disponibilità dei dati trattati (comprese la cifratura e la pseudonimizzazione, effettuazione di back up o di restore, di un piano di Disaster Recovery e di Business Continuity, nonché di controlli atti a testare l’efficacia delle misure adottate), in modo tale che i trattamenti effettuati nell’ambito dello svogimento delle attività di competenza previste dall’Accordo di cooperazione, soddisfi i requisiti di cui al GDPR, nonché tuteli i diritti degli interessati al trattamento. In particolare, il Responsabile si impegna a mantenere una struttura ed una organizzazione adeguata per la corretta esecuzione delle attività di cui all’Accordo di cooperazione (per sé e per i propri dipendenti e collaboratori interni ed esterni), nel rispetto delle disposizioni normative, nonché nel rispetto delle istruzioni specificatamente impartite dal Titolare nel presente atto e/o di volta in volta impartite in riferimento allo svogimento delle attività di cui trattasi.

2. In particolare, ACI, in qualità di Responsabile è obbligato a:

• effettuare le operazioni di trattamento dei dati relative alle attività di competenza previste dall’Accordo di cooperazione, nel rispetto delle disposizioni normative vigenti;

• adottare le misure tecniche e organizzative volte a garantire un livello di sicurezza adeguato al rischio in osservanza delle disposizioni di cui agli articoli 32 e 35 del GDPR, al fine di garantire il rispetto del principio della “Protezione dei dati fin dalla progettazione e protezione predefinita di cui all‘art. 25 del GDPR, già in fase contrattuale“;

• nominare un responsabile della protezione dei dati (Data Protection Officer) nei casi previsti dalla normativa vigente;

• eseguire i trattamenti connessi alle attività espletate nell’ambito dell’Accordo di cooperazione, compatibilmente e nei limiti delle finalità perseguite. Qualora sorgesse la necessità di effettuare trattamenti su dati personali diversi ed eccezionali rispetto a quelli normalmente eseguiti, ACI dovrà

informare il Titolare del trattamento ed il Data Protection Officer (DPO) della Regione Lazio.

• adottare le misure organizzative e procedurali necessarie al fine di autorizzare il personale preposto alle operazioni di trattamento, nonché impartire allo stesso le necessarie istruzioni in materia di privacy nel rispetto delle disposizioni normative, nonché delle condizioni e dei termini contemplati nel presente atto, ivi compresi le istruzioni impartite di volta in volta, quando necessarie. Il Responsabile ha l’obbligo di garantire che il personale autorizzato al trattamento sia vincolato legalmente al rispetto degli obblighi di riservatezza.

• garantire l’adozione delle misure di sicurezza di cui all’articolo 32 del GDPR. In particolare - tenuto conto dello stato dell‘arte delle misure di sicurezza adottate a protezione dei trattamenti dei dati per conto della Regione Lazio come previste dal contratto vigente, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento e, sulla base delle risultanze dell'analisi dei rischi di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati - porre in essere le opportune azioni organizzative per l'ottimizzazione di tali misure, per garantire un livello di sicurezza adeguato al rischio. Tali misure comprendono, tra le altre:

a) la cifratura dei dati personali;

b) misure idonee a garantire la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) misure idonee a garantire la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico;

d) procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento e predisporre, a cadenza annuale, un rapporto scritto in merito agli adempimenti eseguiti ai fini della legge ed alle conseguenti risultanze, da consegnare al Titolare e permettere eventuali controlli concordati da parte della Regione o suo delegato;

e) distruggere, ovvero riconsegnare i dati personali al Titolare, secondo le indicazioni impartite dalla Regione stessa, alla cessazione del trattamento, a meno che non sia previsto per legge un termine di conservazione di dati.

• adottare le politiche interne e impegnarsi ad attuare le misure che soddisfino i principi della protezione dei dati personali fin dalla progettazione di tali misure (privacy by design); adottare ogni misura adeguata a garantire che i dati personali siano trattati in ossequio al principio di necessità, ovvero che siano trattati solamente per le finalità previste e per il tempo strettamente necessario al raggiungimento delle stesse (privacy by default);

• tenere, ai sensi dell’art. 30 del GDPR e nei limiti di quanto esso prescrive, un Registro delle attività di Trattamento effettuate sotto la propria responsabilità per conto della Regione Lazio e cooperare con il Titolare e con l’Autorità Garante per la protezione dei dati personali, laddove ne venga fatta richiesta ai sensi dell’art. 30, comma 4 del GDPR;

• assistere il Titolare, ove richiesto, nello svolgimento della valutazione d’impatto sulla protezione dei dati, conformemente a quanto prescritto dall’art. 35 del GDPR e nella eventuale consultazione del Garante per la protezione dei dati personali, prevista dall’art. 36 del GDPR;

• soddisfare le richieste ritenute legittime, qualora riceva istanze degli interessati in esercizio dei loro diritti di cui dall’art. 15 all’art. 22 del GDPR;

• garantire gli adempimenti e le incombenze anche formali verso l’Autorità Garante, quando richieste e nei limiti dovuti, disponendosi a collaborare tempestivamente, per quanto di competenza, sia con il Titolare sia con l’Autorità. In particolare ACI dovrà:

a) fornire informazioni sulle operazioni di trattamento svolte;

b) consentire l’accesso alle banche dati oggetto delle operazioni di trattamento;

c) consentire l’effettuazione di controlli;

d) mettere in atto quanto necessario per una tempestiva esecuzione dei provvedimenti inibitori, di natura temporanea.

• garantire l’applicazione in merito alle misure di sicurezza da adottare al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati personali, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, secondo quanto prescritto dagli artt. 25 e 32 del GDPR EU 2016/679 in materia di protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (Privacy by Design) e in materia di misure di sicurezza;

• informare il Titolare tempestivamente ove riscontri carenze sulle misure di sicurezza o su qualunque aspetto relativo ai trattamenti che dovesse comportare responsabilità penale, civile e ammnistrativa del medesimo Titolare. In particolare è tenuta altresì ad informare periodicamente il Titolare sullo stato dell’arte relativo agli obblighi e alle prescrizioni contemplate dal GDPR, segnalando contestualmente le eventuali azioni da intraprendere;

• permettere lo svolgimento dei controlli previsti dall’art. 28, par. 3 lett. h) del RGPD 2016/679 da parte della Regione da altro soggetto da quest’ultima incaricato;

• non trasferire i dati personali verso un paese terzo o un’organizzaziviolazioneone internazionale, salvo che non abbia preventivamente ottenuto l’autorizzazione scritta da parte del Titolare e nel rispetto della normativa applicabile.

Articolo 7

Ulteriori Obblighi del Responsabile in materia di Amministratore di Sistema

1. Laddove le prestazioni contrattuali implichino l’erogazione di servizi di amministrazione di sistema, ACI, in qualità di Responsabile del trattamento, si impegna a:

• individuare i soggetti ai quali affidare il ruolo di Amministratori di Sistema (System Administrator), Amministratori di Base Dati (Database Administrator), Amministratori di Rete (Network Administrator) e/o Amministratori di Software Complessi e, sulla base del successivo atto di designazione individuale, impartire le istruzioni a detti soggetti, vigilando sul relativo operato;

• assegnare ai suddetti soggetti una user id che contenga riferimenti agevolmente riconducibili all’identità degli Amministratori e che consenta di garantire il rispetto delle seguenti regole:

a) divieto di assegnazione di user id generiche e già attribuite anche in tempi diversi;

b) rimozione dei privilegi di Amministratore delle user id attribuite alle figure di Amministratori che non necessitano più di accedere ai dati;

c) associare alle user id assegnate agli Amministratori una password di adeguata complessità nel rispetto delle “best practices” vigenti;

d) assicurare la completa distinzione tra utenze privilegiate e non privilegiate di amministratore, alle quali devono corrispondere credenziali diverse;

e) assicurare che i profili di accesso, in particolare per le utenze con privilegi amministrativi, rispettino il principio del need-to-know, ovvero che non siano attribuiti diritti superiori a quelli realmente necessari per eseguire le normali attività di lavoro. Le utenze con privilegi amministrativi devono essere utilizzate per il solo svolgimento delle funzioni assegnate;

f) mantenere aggiornato un inventario delle utenze privilegiate (Anagrafica AdS), anche attraverso uno strumento automatico in grado di generare un alert quando è aggiunta una utenza amministrativa e quando sono aumentati i diritti di una utenza amministrativa.

Articolo 8 Violazione dei Dati personali

1. ACI è tenuta ad informare la Regione Lazio ed il Data Protection Officer, tempestivamente e senza ingiustificato ritardo, al fine di rispettare i termini di cui all’articolo 33 GDPR, di ogni violazione di dati personali (cd. data breach) derivante dall’esecuzione delle attività previste dall’Accordo di cooperazione. Tale notifica – da effettuarsi tramite PEC alla Direzione regionale competente in materia e contestualmente al DPO della Regione Lazio - deve essere accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del GDPR, per permettere al Titolare, ove ritenuto necessario, di notificare la violazione all’Autorità Garante per la protezione dei dati personali e/o darne comunicazione agli interessati, entro il termine di 72 ore da quando il Titolare ne è venuto a conoscenza.

Nel caso in cui il Titolare debba fornire informazioni aggiuntive alla suddetta Autorità Xxxxxxx, ACI supporterà il Titolare nella misura in cui le informazioni richieste e/o necessarie per l’Autorità Garante siano esclusivamente in possesso del Responsabile e/o di suoi ulteriori Responsabili.

Articolo 9

Nomina di ulteriori responsabili (sub-Responsabili)

1. In esecuzione e nell'ambito di quanto previsto dall’Accordo di cooperazione, ACI, ai sensi dell'art. 28 comma 2 del GDPR, è autorizzata, salva diversa comunicazione scritta del Titolare, a ricorrere alla nomina di Ulteriori Responsabili, previo esperimento delle necessarie procedure di selezione degli operatori applicabili di volta in volta.

2. La nomina di Ulteriori responsabili da parte di ACI sarà possibile a condizione che sull'Ulteriore Responsabile siano imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel presente Atto, incluse garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il Trattamento soddisfi i requisiti richiesti dalla Normativa Privacy.

3. Qualora gli Ulteriori responsabili omettano di adempiere ai propri obblighi in materia di protezione dei dati,

ACI conserva nei confronti del Titolare l'intera responsabilità dell'adempimento degli obblighi dell'Ulteriore Responsabile.

Articolo 10 Responsabilità

1. Il Responsabile ha la piena responsabilità diretta verso gli Interessati per i danni subiti derivanti da inadempimento o da violazione delle istruzioni legittime del Titolare con riferimento alle attività affidate attraverso l’Accordo di cooperazione, ai sensi dell’art. 82 del RGPD 2016/679;

Xxxxx, approvato e sottoscritto

Per la Regione

Firmato digitalmente da

Xxxx. Xxxxx Xxxxxxxx

C: IT

Il Direttore della DiMrezAioRnCeOReMgiAonRaAleF, IBNilIancio, Governo Societario Demanio e Patrimonio

O: Regione Lazio/80143490581

Per l'Automobile Club d'Italia

Il Presidente

Xxxxxx Xxxxxxx Xxxxxxx