Contract
Oggetto: Atto di nomina del Responsabile del trattamento dati personali, ai sensi e per gli effetti dell’art. 28 del Regolamento UE 20016/679, con riferimento al contratto n del
……………………. tra AMA SpA e …<nome fornitore> relativamente ai “servizi di manutenzione applicativa, manutenzione evolutiva e supporto specialistico ICT su si- stemi corporate e di operation (AMS) per un periodo di 36 (trentasei) mesi – CIG 8344838A28”
1. Definizioni ai fini del presente atto
GDPR: Regolamento Generale UE n. 2016/679 sulla protezione dei dati personali.
Codice Privacy: D.Lgs. n. 196/2003 e s.m.i., Xxxxxx in materia di protezione dei dati personali. Trattamento: operazione come definita all’art. 4, par. 2 del GDPR eseguita nell’ambito del contratto in oggetto.
Titolare: Titolare del trattamento dati come definito all’art. 4, par.7 del GDPR. Ai fini del contratto in oggetto il Titolare è AMA SpA, cod. fiscale/partita IVA n. 05445891004, con sede legale in Roma, via Xxxxxxxx de la Barca n. 87, cap 00142, in persona del Legale Rappresentante, Xxxx. Xxxxxxx Xxxxxx.
Responsabile: Responsabile del trattamento dati personali come definito all’art. 4, par. 8 del GDPR. e nominato ai sensi e per gli effetti dell’art. 28 del GDPR del Titolare per l’esecuzione delle attività e dei conseguenti trattamenti previsti del Contratto in oggetto. Ai fini del contratto in oggetto il Responsabile è <nome Fornitore> con sede legale < città, via del Fornitore> in persona del Legale Rappresentante <nome Legale Rappresentante del Fornitore>.
Incaricato: persona fisica autorizzata al trattamento dei dati personali sotto l’autorità diretta del Re- sponsabile, ivi inclusi i dipendenti esecutivi, di controllo ed i responsabili gestionali del Responsabile coinvolti nel trattamento, che il Responsabile individuerà come soggetti idonei ad eseguire operazioni di trattamento nel pieno rispetto delle prescrizioni legislative nazionali ed europee.
2. Atto di nomina
PREMESSO CHE AMA S.p.A. ha affidato in data ………………………. a <nome Fornitore> … le attività di “servizi di manutenzione applicativa, manutenzione evolutiva e supporto specialistico ICT
su sistemi corporate e di operation (AMS) per un periodo di 36 (trentasei) mesi – CIG 8344838A28” alle condizioni e con le modalità indicate nel contratto in oggetto e nei relativi allegati contrattuali, CONSIDERATO che le attività oggetto del contratto comportano o possono comportare il trattamento di dati personali, ai sensi del GDPR nonché del Codice Privacy,
CONSIDERATO che il Fornitore <nome Fornitore> è stato ritenuto idoneo a presentare garanzie suf- ficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR, del Codice Privacy e della normativa in materia di trattamento dei dati personali e garantisca la tutela dei diritti dell’interessato,
AMA
in persona del Legale Rappresentante Xxxx. Xxxxxxx Xxxxxx, con sede legale in Roma, Via Xxxxxxxx de la Barca n. 87, in qualità di Titolare del trattamento relativamente alle attività oggetto del contratto in oggetto, nomina <nome Fornitore> , in persona del Rappresentante Legale <nome Legale Rappresen- tate Legale > , con sede legale in < città, via del Fornitore> - che accetta - quale Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’art. 28 del Regolamento UE 2016/679, con riferimento al trattamento dei dati personali necessari per lo svolgimento delle attività di cui al contratto ed ai suoi allegati che qui si intendono integralmente richiamati.
3. Materia disciplinata
Il Responsabile, ai fini dell’esecuzione del contratto in oggetto, porrà in essere i seguenti trattamenti di dati personali.
Assistenza al cliente per l’elaborazione di report
Produzioni flussi riepilogativi da database
Lavorazioni per la produzione / modifica dei dati necessari all’invio dei flussi in formato tele- matico
Lavorazioni per lanci batch per produzione / modifica dei dati necessari all’invio dei flussi in formato telematico
Caricamento di flussi esterni per l’elaborazione di report / popolazione di database
Caricamento di flussi esterni su richiesta del Titolare (avvisi, comunicazioni, ecc.)
4. Finalità, base giuridica, natura e durata del trattamento, informativa e consenso
Finalità: Manutenzione su applicativi su sistemi corporate e di operation che trattano dati per la gestio-
ne contabile / amministrativa / operativa. Il trattamento potrà essere manuale e strumenti automatici e informatici di dati personali.
Base giuridica: la base giuridica del trattamento è il contratto “<nome contratto>” stipulato tra AMA e
“nome Fornitore>” in data ……………... ..
Natura: Il trattamento dei documenti contenenti dati personali sarà manuale e/o attraverso strumenti
automatici ed informatici.
Durata: Le attività di trattamento dei dati espressamente definite dal contratto in oggetto avranno la
durata pari all’intero periodo di espletamento del contratto, con decorrenza dalla stipula dello stesso. Pertanto, il Responsabile tratterà e conserverà i dati personali in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati (art. 5, par.1, l. e GDPR). Cessato il contratto, il Responsabile si impegna a restituire e/o cancellare definitivamente i dati personali derivanti dall’esecuzione del contratto come indicato nel successivo punto 8.9.4. In tal caso, il Responsabile potrà trattare i soli dati personali in suo possesso, funzionali al perseguimento degli specifici obblighi di legge che prevedano la conserva- zione dei dati.
5. Tipo di dati trattati e luogo di trattamento
Ai fini dell’espletamento del contratto, il Responsabile tratterà i dati personali comuni ed i dati partico- lari e quanto necessario, pervenuti dal Titolare, attraverso telefono, base dati o comunicazioni email.
Ai fini dell’espletamento del contratto, il Responsabile tratterà anche i dati personali comuni e di con- tatto dei dipendenti del Titolare, mentre il Titolare tratterà i dati personali e di contatto dei referenti del contratto con il Responsabile.
I documenti cartacei o digitali, gli stampati, gli applicativi, i data base ed i data center contenenti dati
personali saranno ubicati e conservati presso <indicare il Titolare o Il Responsabile> come meglio de- scritto in allegato 2.
Eventuali necessità di trasferimento di documenti/archivi di documenti contenenti dati personali do- vranno essere notificati e concordati preventivamente con il Titolare e, comunque, non sarà mai con- sentito al Responsabile il trasferimento dei dati personali fuori dal territorio della UE.
6. Categorie di interessati
Gli interessati sono i dipendenti del Titolare o di sue società controllate e la popolazione del territorio servito da AMA SpA.
Gli interessati sono anche tutti e soli i dipendenti del Titolare e del Responsabile coinvolti, a vario tito- lo, nel trattamento in oggetto.
7. Obblighi e diritti del Titolare
7.1 Il Titolare si impegna, nell’espletamento delle attività di sua competenza necessarie all’esecuzione del contratto, ad improntare il trattamento dei dati ai principi di liceità, corret- tezza, trasparenza, pertinenza e non eccedenza, nel pieno rispetto del citato GDPR, del Codice Privacy e della normativa in materia di trattamento dei dati personali, con particolare attenzione all’adozione di misure tecniche ed organizzative adeguate al fine di garantire l’integrità, la ri- servatezza e la disponibilità dei dati personali e la tutela dei diritti dell’interessato.
7.2 Il Titolare si obbliga a comunicare tempestivamente al Responsabile eventuali modifiche o integrazioni relativamente alle finalità del trattamento dei dati personali conseguenti alla implementazione delle funzioni previste dal contratto in oggetto.
7.3 Il Titolare si riserva la facoltà di verificare l'efficacia delle misure di sicurezza attuate dal Responsabile per la protezione dei dati personali anche attraverso ispezioni presso le strutture del Responsabile dove il trattamento è effettuato. A tal fine, il Responsabile consentirà l'accesso al personale autorizzato dal Titolare per eseguire tali controlli, avendo ricevuto un preavviso di almeno 7 giorni lavorativi. Le verifiche saranno condotte nei normali orari di ufficio e senza ostacolare il normale svolgimento delle attività del Responsabile.
7.4 Qualora ricorrano le condizioni dell’art. 82, par. 5 del GDPR, il Titolare si riserva la facoltà di esercitare il diritto di rivalsa nei confronti del Responsabile con le modalità ivi indicate.
8. Obblighi del Responsabile
8.1 Il Responsabile si impegna, nell’espletamento delle attività di sua competenza necessarie all’esecuzione del contratto, ad improntare il trattamento dei dati ai principi di liceità, correttezza, trasparenza, pertinenza e non eccedenza, nel pieno rispetto del citato GDPR, del Codice Privacy e della normativa in materia di trattamento dei dati personali , con particolare attenzione all’adozione di misure tecniche ed organizzative adeguate al fine di garantire l’integrità, la riserva- tezza e la disponibilità dei dati personali e la tutela dei diritti dell’interessato.
8.2 Il Responsabile tratterà i dati personali solo su istruzione documentata del Titolare, o altrimenti come previsto dalla legge, esclusivamente ai fini dell’erogazione dei Servizi oggetto del contratto in essere tra il Titolare ed il Responsabile.
8.3 Il Responsabile garantirà l’impegno alla riservatezza da parte del proprio personale autorizzato ed istruito al trattamento dei dati personali anche per il periodo successivo all’estinzione del rapporto di collaborazione intrattenuto con il Titolare .
8.4 Il Responsabile dichiara che per l’esecuzione delle attività oggetto del contratto si avvale di personale con mansioni di “Amministratore di Sistema”. I trattamenti di dati personali relativi al contratto in oggetto posti in essere dal Responsabile con strumenti elettronici/informatici attraverso suoi Amministratori di Sistema, oltre ad uniformarsi al GDPR ed al Codice Privacy, dovranno anche rispettare le misure e gli accorgimenti prescritti nel Provvedimento del 27 novembre 2008 del Garante per la protezione personale, così come modificato in base al provvedimento del 25 giugno 2009. In particolare, il Responsabile ha il compito di dare attuazione alle prescrizioni del Garante ivi indicate in merito a: valutazione delle caratteristiche soggettive, designazioni individuali, elenco aggiornato degli amministratori di sistema, verifica periodica delle attività, registrazione degli accessi. Il Responsabile infine invierà al Titolare, prima dell’avvio delle attività di trattamento dei dati personali inerenti il contratto in oggetto e ad ogni cessazione e/o nuovo incarico, un elenco contenente gli estremi identificativi (nome, cognome, matr. aziendale) degli amministratori di sistema impiegati nel contratto, comprensivo della data di nomina, della data di
cessazione incarico, dell’ambito di competenza e delle funzioni ad essi attribuite, secondo il modello allegato al presente atto (allegato 1).
8.5 Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura e dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia gravità e probabilità per i diritti e le libertà delle persone fisiche, adotterà le misure di sicurezza idonee a garantire un livello di sicurezza adeguato tenendo conto dei rischi presentati dal trattamento che derivano in particolare da:
distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;
trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.
8.6 Il Responsabile si atterrà alle istruzioni tecniche ed organizzative fornite dal Titolare e qui sotto riportate e quelle eventualmente impartite nel corso del contratto.
8.7 Il Responsabile applicherà le misure di sicurezza, di cui al punto precedente, per garantire:
8.7.1 se del caso, la pseudonimizzazione, l’anonimizzazione e la cifratura dei dati personali;
8.7.2 la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento) ;
8.7.3 la capacità di rispristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, e darne comunicazione al Titolare senza ingiustificato ritardo , consentendo al Titolare di rispettare i termini temporali di legge ex art. 33 e 34 GDPR;
8.7.4 una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche ed organizzative al fine di garantire la sicurezza del trattamento;
8.7.5 che i dati personali non siano comunicati o diffusi senza esplicita autorizzazione del Titolare;
8.7.6 di non duplicare senza motivo né fare copie di basi di dati personali senza l’autorizzazione preventiva del Titolare , salvo quanto previsto dalle finalità indicate al punto 4 del presente Atto di nomina;
8.7.7 di non effettuare stampe di documenti o di liste contenenti dati personali senza l’autorizzazione preventiva del Titolare , salvo quanto previsto dalle finalità indicate al punto 4 del presente Atto di nomina;
8.7.8 di procedere sempre alla distruzione sicura dei documenti cartacei e degli eventuali supporti magnetici contenti dati personali che risultassero da errori o scarti di lavorazione, attraverso un distruggi-documenti o analoga procedura che garantisca la sicurezza della distruzione.
8.7.9 l’istruzione del personale Incaricato prima che questo sia adibito al trattamento dei dati e la verifica periodica dell’operato;
8.7.10 l’accesso del personale Incaricato ai soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti assegnati, curando la sicurezza fisica, logica ed organizzativa;
8.7.11 la registrazione ed il controllo degli accessi logici ai dati e delle operazioni effettuate dagli Incaricati e degli Amministratori di Sistema e la possibilità di rendicontazione al Titolare, su sua motivata richiesta; tali registrazioni devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono state chieste, devono comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate ed essere conservate per un congruo periodo, proporzionale e non eccedente la finalità;
8.7.12 che tutti gli atti, i documenti e gli strumenti informatici di supporto (PC, server, gruppi di continuità, ecc) contenenti dati personali inerenti il contratto in oggetto siano conservati in un luogo sicuro, non accessibile a persone non autorizzate, con idonea protezione contro possibile furto/incendio/allagamento;
8.7.13 la tenuta del registro dei trattamenti del Responsabile, ai sensi art. 30, par. 2 del GDPR;
8.7.14 la nomina del Responsabile della Protezione dei Dati ai sensi art. 37 del GDPR, ove necessario (art. 32, par.1, lett b del GDPR).
8.8 Il Responsabile, tenendo conto della natura del trattamento, assisterà il Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare del Trattamento di dare seguito alle richieste per l’esercizio dei diritti degli interessati di cui al Capo III del GDPR (art. 28, par. 3, let. e), garantendo tempi di risposta massimi di 7 gg lavorativi dalla richiesta del Titolare. Il Responsabile comunicherà al Titolare senza ingiustificato ritardo eventuali richieste pervenute da parte di un interessato, al fine di consentire allo stesso di esercitare i propri obblighi.
8.9 Il Responsabile, tenendo conto della natura del trattamento e delle informazioni a sua disposizione, assisterà il Titolare nel garantire il rispetto degli obblighi di cui ai seguenti punti:
8.9.1 tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità di trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, mettere in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio ed impedire l’accesso ai dati ad incaricati che non abbiano ricevuto idonea istruzione dal Titolare , salvo che lo richieda il diritto dell’Unione o nazionale (art. 32 GDPR par.4);
8.9.2 informare il Titolare , senza ingiustificato ritardo , dopo essere venuto a conoscenza di una violazione dei dati personali c.d. “data breach”, fornendo, nei limiti di quanto previsto dalla vigente normativa, ragionevole collaborazione al Titolare, nonché alle Autorità di Controllo competenti, al fine di soddisfare gli obblighi di notifica e di comunicazione previsti dagli art. 33 e art.34 GDPR;
8.9.3 su richiesta formale del Titolare, e nei casi specificatamente previsti, assistere il Titolare nell’ effettuazione della valutazione di impatto del trattamento dati relativo al contratto in oggetto ai
sensi dell’art.35 GDPR, ovvero nel caso di necessità di consultazione preventiva di cui all’art.36 GDPR;
8.9.4 al termine della prestazione dei servizi relativi al contratto ed ai trattamenti in oggetto , su richiesta formale scritta del Titolare e previo accordo congiunto su tempi e modalità, ai sensi dell’ art.28, par.3, lett. g del GDPR, il Responsabile dovrà provvedere a distruggere e/o a restituire al Titolare tutti i dati personali (cartacei/digitali/supporti magnetici) in suo possesso e a distruggere tutte le eventuali copie esistenti, assicurandosi che ciò avvenga anche da parte di eventuali ulteriori Sub-Responsabili nominati, salvo il caso in cui la conservazione dei dati sia richiesta da norme di legge dell’Unione o nazionali. In quest’ultimo caso, il Responsabile dovrà conservare tali dati solo ed unicamente per le finalità previste dalla legge e non utilizzarli per nessun altro scopo né trasmetterli ad altri. Il Responsabile provvederà a rilasciare al Titolare, dietro sua richiesta, apposita dichiarazione per iscritto sotto la propria responsabilità attestando che presso il Responsabile, e i Sub-Responsabili eventualmente dallo stesso nominati, non esista alcuna copia dei dati personali inerenti il contratto in oggetto;
8.9.5 su richiesta formale del Titolare , il Responsabile metterà a disposizione tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di adempimento di cui all’art. 28 del GDPR, nonché consentire e contribuire all’attività di revisione, comprese le ispezioni, realizzate a sua discrezione dal Responsabile (art. 28, par. h del GDPR) che avverranno secondo le modalità specificate nel presente Atto di nomina al precedente art. 7.3 e, comunque, con un preavviso di 15 giorni lavorativi.
8.9.6 il Responsabile dovrà informare senza ingiustificato ritardo il Titolare qualora, a suo parere, una sua istruzione ricevuta violi il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati;
8.10 il Responsabile che intenda ricorrere ad altro Sub-Responsabile ai fini dell’esecuzione di specifiche attività di trattamento di dati personali inerenti il contratto in oggetto, dovrà chiedere la previa specifica autorizzazione scritta del Titolare; (previsto in caso di subappalto)
8.11ogni qualvolta il Titolare autorizzi il ricorso del Responsabile ad altro Sub-Responsabile per l’esecuzione di specifiche attività di trattamento inerenti il contratto in oggetto, il Responsabile imporrà su tale altro Sub-Responsabile, mediante la stipula di contratto o altro atto giuridico scritto a norma del diritto dell’Unione o nazionale, gli stessi obblighi in materia di protezione dati contenuti nel presente atto, garantendo che gli accordi sottoscritti con tali sub-responsabili rispettino le previsioni dell’art. 28 parr. 4 e 9 GDPR. Il Responsabile verificherà preventivamente la sussistenza, in capo all’altro Sub-Responsabile dal medesimo nominato, delle garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR, del Codice Privacy e della normativa nazionale in materia di protezione dei dati personali e garantisca la tutela dei diritti dell’Interessato(previsto in caso di subappalto);
8.12 qualora l’altro Sub-Responsabile del trattamento dal medesimo nominato ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserva, nei confronti del Titolare, l’intera responsabilità dell’adempimento degli obblighi dell’altro Sub-Responsabile. (previsto in caso di subappalto)
9 Responsabilità
Il Responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Responsabile (art. 82 par. 2 GDPR).
Fatti salvi gli artt. 82, 83 e 84 del GDPR, se il Responsabile viola il GDPR, determinando le finalità e i mezzi del trattamento, è considerato un Titolare del trattamento in questione (art. 28 par. 10 GDPR).
Per quanto non espressamente previsto nel presente atto di nomina, si fa riferimento alla normativa, nazionale ed europea, in materia di protezione dei dati personali nonché al contratto citato in oggetto.
Tutte le comunicazioni obbligatorie citate nei precedenti articoli saranno inviate dal Responsabile al Titolare all’indirizzo xxxxxxx@xxx.xxxxxxx.xx, all’attenzione del RUP e del DEC.
Le parti convengono che gli effetti del presente atto decorrono dalla data di firma del contratto in oggetto, ricomprendendo perciò tutti i trattamenti eventualmente già posti in essere dal Sub- Responsabile ed intercorsi tra la data di firma del contratto e la data del presente atto.
Il Responsabile del trattamento Il Titolare del trattamento Il Legale Rappresentante di <Fornitore> Il Legale Rappresentante di
AMA
Dott.….……………………….. Dott.…….………………………..
Luogo e data: ………………………………………………………..
Allegati
1 Elenco nominativo amministratori di Sistema di <nome Fornitore>
2 Elenco ed ubicazione delle risorse informatiche, dei centri servizi, di archiviazione e di stampa di <nome Fornitore>
Allegato 1: ELENCO AMMINISTRATORI DI SISTEMA
Contratto n……….. del ……………………. tra AMA SpA e re-
lativo a “ ”
Cognome e Nome | Matr. | Azienda | Sede | Data nomi- na | Data cessazio- ne | Ambito di competenza e funzioni attribuite |
< Nome Fornitore>
Il Legale Rappresentante
Luogo e data:
Allegato 2: ELENCO ED UBICAZIONE RISORSE INFORMATICHE, CENTRI SERVIZI, DI ARCHIVIAZIONE E DI STAMPA
Contratto n……….. del ……………………. tra AMA SpA e re-
lativo a “ ”
TIPO RI- SORSA | NOME RISOR- SA | AZIENDA | UBICAZIONE |
< Nome Fornitore>
Il Legale Rappresentante
Luogo e data: