ACCORDO PER IL TRATTAMENTO DI DATI PERSONALI (RELATIVAMENTE AL TRATTAMENTO DEI DATI PERSONALI DERIVANTI DALLA GESTIONE DI IMPIANTI DI VIDEO SORVEGLIANZA)
ACCORDO PER IL TRATTAMENTO DI DATI PERSONALI (RELATIVAMENTE AL TRATTAMENTO DEI DATI PERSONALI DERIVANTI DALLA GESTIONE DI IMPIANTI DI VIDEO SORVEGLIANZA)
COMUNE DI VIGNOLA (di seguito “Comune”), con sede in Vignola, via X. Xxxxxxxx n. 1., C.F. 00179790365, rappresentato dal Sindaco pro tempore xxxx. Xxxxxx Xxxxxxx;
E
HERA SPA (di seguito “Hera”), con sede legale in Bologna, Viale Xxxxx Pichat n. 2/4, iscritta al Registro delle Imprese di Bologna - Codice Fiscale e Partita IVA n. 04245520376, rappresentata dal xxxx. Xxxxxxx Xxxxx – Direttore dei Servizi Ambientali – il quale interviene nel presente atto in forza di procura institoria redatta dal xxxx. Xxxxxxxx Xxxxxxxxx, Notaio in Bologna, con atto Rep. n. 62.046 Racc. n. 39.835 in data 27/02/2018, rilasciata dall'Amministratore Delegato pro tempore in virtù dei poteri conferitigli dal Consiglio di Amministrazione di Hera (di seguito “Hera”)
Convengono quanto segue:
1. Premesse
a) Il Comune ha devoluto ad ATERSIR - Agenzia Territoriale dell’Xxxxxx Xxxxxxx per la regolazione dei servizi idrico e rifiuti, le funzioni già esercitate dalle Autorità d'ambito territoriali ottimali, di organizzazione del servizio rifiuti, ai sensi dell’art. 4 della L.R. E.R. n. 23/2011, prevedendone organi e funzionamento;
b) Il Comune ha previsto nel PEF 2019 del servizio rifiuti, approvato da ATERSIR il 5/2/2019 con atto del CAMB n 14/ 2019, il finanziamento di un servizio di videosorveglianza, da realizzare da parte di HERA mediante appalto a terzi, per il controllo, la prevenzione e la tutela del decoro ambientale di aree o viabilità pubbliche, sia in prossimità dei punti di conferimento dei rifiuti urbani, sia in aree soggette ad abbandono rifiuti, per il contrasto agli abbandoni di rifiuti su suolo pubblico;
c) Il servizio prevede attività di registrazione, estrazione, trasmissione al Comune delle immagini riprese, che configurano un trattamento di dati personali ai sensi del Regolamento Europeo n. 679/2016, per i quali vanno disciplinati la finalità del trattamento, gli obblighi ed i diritti del titolare del trattamento e del Responsabile Esterno che provvede al trattamento per il Comune;
d) Il Comune di Vignola e gli agli altri enti aderenti hanno costituito, nel 2001, ai sensi e per gli effetti di cui all’art. 32 del D.Lgs. 18 agosto 2000, n. 267, l’Unione Terre di Castelli approvandone lo Statuto e l’Atto Costitutivo, nonché conformi convenzioni di trasferimento di funzioni e servizi;
e) Giusta ultima convenzione rep. n. 2253/2018, il Comune di Vignola, unitamente agli altri sette Comuni aderenti, ha trasferito l’esercizio delle funzioni e delle attività di Polizia Amministrativa Locale all’Unione Terre di Castelli che le esercita attraverso il Corpo di Polizia Amministrativa Locale. Il Corpo vigila sull'osservanza delle leggi, dei regolamenti e delle altre disposizioni emanate dallo Stato, dalla Regione, dalla Provincia e dai Comuni dell’Unione Terre di Castelli, assolvendo, in particolare, a tutte le funzione di polizia amministrativa locale relative al controllo e agli accertamenti delle violazioni. Il personale appartenente al Corpo, nell'ambito territoriale di appartenenza e nei limiti delle proprie attribuzioni, esercita, tra le altre, anche le funzioni di polizia giudiziaria;
f) Il presente accordo costituisce atto di nomina a Responsabile Esterno trattamento dati della società Hera Spa, ai sensi dell’art. 28 del Regolamento UE 2016/679 (GDPR).
g) Il trattamento dati a mezzo di strumenti di videosorveglianza e la localizzazione dei dispositivi sono disposte dal Comune qualora non siano attuabili altri mezzi alternativi altrettanto efficaci.
2. Trattamento dei dati nel rispetto delle istruzioni dell’Ente
Il Responsabile del trattamento, relativamente a tutti i dati personali che tratta per conto del Comune garantisce che:
- Tratta tali dati personali ai fini di monitoraggio delle zone dedicate al conferimento di rifiuti, ove siano stati riscontrati ripetuti scarichi abusivi, abbandono di rifiuti e comportamenti scorretti e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti, agendo pertanto esclusivamente sulla base delle istruzioni documentate dell’Ente;
- Non trasferisce i dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte dal Comune e a fronte di quanto disciplinato nel presente accordo;
- Non tratta o utilizza i dati personali per finalità diverse da quelle per cui è conferito incarico dal Comune;
- Prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà il Comune se, a suo parere, una qualsiasi istruzione fornita dall’Ente si ponga in violazione della normativa;
- Le zone oggetto di video sorveglianza saranno adeguatamente segnalate con cartelli conformi alla normativa in tema di privacy. Il Comune pubblicherà nel proprio sito internet il testo dell’informativa privacy completa;
Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:
- Procedure idonee a garantire il rispetto dei diritti e delle richieste formulate al Comune dagli interessati relativamente ai loro dati personali;
- Procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta del Comune.
Il Responsabile del trattamento deve garantire e fornire all’Ente cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della
normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
Il Responsabile del trattamento assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 GDPR che il Comune intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
3. Durata
Il servizio di videosorveglianza, ed il relativo trattamento dei dati personali, sarà effettuato per la durata di 12 mensilità dal momento dell’effettiva installazione dei dispositivi.
4. Caratteristiche degli impianti di videosorveglianza
Le fotocamere sono allocate in contenitori stagni e di sicurezza, completi di ancoraggio, con alloggiamento per Sim card telefonica e scheda SD per il salvataggio delle immagini. Sono posizionate ad almeno 3 mt dal suolo e possono essere spostate su richiesta del Comune, i relativi collegamenti elettrici devono essere certificati.
Le fotocamere sono in grado di leggere le targhe dei veicoli fermi, a colori di giorno o in bianco e nero di notte, con possibilità di invio di sms di allarme in caso di manomissione. Possono rilevare in tempo reale la presenza di un bersaglio, anche in assenza di illuminazione.
Ogni fotocamera è dotata di sensori e trasmettitori che rilevano eventuali tentativi di furti o manomissioni.
5. Finalità
Le finalità istituzionali perseguite dal Comune con il sistema di videosorveglianza sono:
- Prevenire illeciti relativi alla normativa sulla gestione dei rifiuti attraverso un’azione di deterrenza che la presenza di telecamere a sorveglianza di aree pubbliche è in grado di esercitare;
- Accertare e contestare illeciti relativi alla normativa sulla gestione dei rifiuti, qualora avvengano nelle zone controllate dalle telecamere, ricorrendo alla informazioni che il sistema sarà in grado di fornire;
- Prevenire ed accertare comportamenti illeciti derivanti dall’utilizzo abusivo di aree impiegate come discariche di materiali e sostanze pericolose e non, oltre che al monitoraggio del rispetto delle disposizioni concernenti il conferimento dei rifiuti.
6. Trattamento dei dati
Il trattamento dei dati effettuato mediante il sistema di videosorveglianza si svolgerà nel rispetto dei diritti, delle libertà fondamentali, della dignità delle persone, con particolare riferimento alla riservatezza e all’identità personale. I sistemi sono configurati riducendo al minimo l’utilizzazione dei dati, che saranno trattati in modo lecito e secondo correttezza; saranno raccolti in modo pertinente e non eccedente rispetto alle finalità per le quali sono raccolti e trattati.
I sistemi di videosorveglianza trasmettono le immagini ad un sistema locale di videoregistrazione delle immagini allocato sulla postazione stessa, escludendo la possibilità di visualizzazione diretta da remoto.
I dati vengono estratti e trasmessi, per conto del Comune, titolare del trattamento, al Corpo Unico di Polizia Amministrativa Locale dell'Unione Terre di Castelli, per l'esercizio dell’attività di accertamento delle violazioni in capo al medesimo.
7. Misure di sicurezza
Il Responsabile deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare da qualsiasi altra forma illecita di trattamento.
Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica, con specifico riferimento alle misure intese a prevenire l’intercettazione di comunicazioni o l’accesso non autorizzato a qualsiasi computer o sistema.
Conformemente alla disposizione di cui all’art. 28 co. 1 del GDPR, il Responsabile attesta, a mezzo di sottoscrizione del presente accordo, la conformità della propria organizzazione almeno ai parametri di livello minimo d cui alle misure di sicurezza individuate da AGID.
Il Responsabile del trattamento dà esecuzione alla convenzione in aderenza alle policy del Comune in materia di privacy e sicurezza informatica.
8. Analisi dei rischi
Con riferimento agli esiti dell’analisi dei rischi effettuata dal Comune sui trattamenti di dati personali cui concorre il Responsabile, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dal Comune per affrontare eventuali rischi identificati.
Il Responsabile del trattamento dovrà consentire ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e tutelare i diritti degli interessati.
Dovranno essere trattati esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
9. Soggetti autorizzati ad effettuare il trattamento
Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito “incaricati”) effettuati per conto del Comune.
Gli incaricati riceveranno adeguata formazione in materia di protezione dei dati personali e sicurezza informatica.
Il Responsabile, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nella nomina di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
10. Sub-Responsabili del trattamento
Il Responsabile del trattamento è autorizzato alla designazione di altri sub-responsabili, previa informazione al Comune ed imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle imposte al Responsabile.
Su richiesta specifica del Comune, il Responsabile dovrà provvedere a che ogni sub-responsabile sottoscriva direttamente con il Comune un accordo di trattamento dei dati che, a meno di ulteriori specifiche esigenze, preveda sostanzialmente gli stessi termini del presente Accordo.
Il Responsabile si assume la responsabilità nei confronti del Comune per qualsiasi violazione od omissione realizzati da un sub-responsabile.
11. Cancellazione dei dati
Il Responsabile, a richiesta del Titolare, provvede alla cancellazione dei dati personali trattati. In ogni caso, la cancellazione avviene in modalità automatica al termine di 7 giorni successivi alla rilevazione.
12. Indagini dell’Autorità e reclami
Nei limiti della normativa applicabile, il Responsabile del trattamento, o qualsiasi sub-responsabile, informa senza alcun indugio il Comune di qualsiasi:
- Richiesta o comunicazione proveniente dal Garante privacy o da forze dell’ordine;
- Istanza ricevuta da soggetti interessati.
Il Responsabile fornisce tutta la dovuta assistenza al Comune per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamenti applicabili.
13. Violazione dei dati personali e obblighi di notifica
Il Responsabile del trattamento, anche per mezzo del sub-responsabile, ai sensi dell’art. 33 del GDPR, deve comunicare a mezzo PEC al Comune entro non oltre 24 ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o trattati, ivi incluse quelle che abbiano riguardato i propri sub-responsabili. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a:
- Descrivere la natura della violazione dei dati personali;
- I recapiti del DPO - Data Protection Officer nominato;
- La descrizione delle probabili conseguenze della/delle violazione/i dei dati;
- La descrizione delle misure adottate o che si intende adottare per affrontare la violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi.
Il Responsabile deve fornire tutto il supporto necessario all’Ente ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con il Comune, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento, senza aver ottenuto il previo consenso del Comune.
14. Reclami
A fronte della ricezione di un reclamo relativo alle attività oggetto del presente accordo, il Responsabile:
- Avverte prontamente per iscritto il Comune;
- Non fornisce dettagli al reclamante senza la preventiva interazione con l’Ente;
- Non transige la controversia senza il previo consenso del Comune;
- Fornisce al Comune l’assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.