CONTRATTO CON IL RESPONSBILE DEL TRATTAMENTO AI SENSI DELL'ART. 28 DEL REGOLAMENTO (EU) 2016/679

CONTRATTO CON IL RESPONSBILE DEL TRATTAMENTO AI SENSI DELL'ART. 28 DEL REGOLAMENTO (EU) 2016/679

L’anno _______, il mese di ___________

tra

• Il Comune Basiglio (MI), con sede in Xxxxxx X. Xxxxxx, x. 0 – 00000 (XX) -, P.IVA 01743420158, in persona del dr. Xxxxxxxxx Xxxxxxxx del comune di Basiglio (MI) - Responsabile

e

• La ditta ______________, con sede legale in via ______________, n. _________, P.IVA _____________, in persona del legale rappresentante sig. ________________ nato a ______________ il ________________

PREMESSE

• Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati (di seguito solo “GDPR”) disciplina, all’art. 28, i casi in cui un trattamento debba essere effettuato, per conto del titolare del trattamento, da un responsabile, per tale dovendosi intendere la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che offre garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell'interessato, e a cui il titolare ricorre per il trattamento.

I trattamenti dei dati personali relativi al servizio/attività di: PROCEDURA APERTA EUROPEA PER LA GESTIONE DEI SERVIZI EDUCATIVI E AUSILIARI DELL’ASILO NIDO COMUNALE “POLLICINO” DI BASIGLIO (MI) PER IL PERIODO 01/09/2019 – 31/07/2022 – CIG: 78974795D6

per il periodo di durata del contratto, vengono effettuati, per conto del titolare, dal responsabile XXX (anagrafica responsabile).

• I suddetti trattamenti, da parte del responsabile del trattamento, secondo la disciplina del GDPR, vanno disciplinati da un contratto o da altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento, fermo restando che il contratto o altro atto giuridico può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 dell’art. 28 del GDPR, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43 GDPR;

• Con il presente contratto, il titolare e il responsabile intendono conformarsi alla disciplina del GDPR stipulando, relativamente al servizio/attività sopra indicata il presente contratto volto a disciplinare:

  • la materia del trattamento

  • durata del trattamento

  • la natura del trattamento

  • la finalità del trattamento

  • il tipo di dati personali

  • le categorie di interessati

  • gli obblighi del titolare del trattamento

  • i diritti del titolare del trattamento

TUTTO CIÒ PREMESSO

tra il titolare e il responsabile in epigrafe indicati si stipula quanto segue.

1. Materia disciplinata dal trattamento

Il presente contratto ha per oggetto la nomina del responsabile del trattamento e la disciplina del rapporto derivante da detta nomina.

Il titolare, cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento, in persona del legale rappresentante, nomina XXX quale responsabile dei trattamenti dei dati personali effettuati in relazione all’attività/servizio:

GESTIONE DEI SERVIZI EDUCATIVI E AUSILIARI DELL’ASILO NIDO COMUNALE “POLLICINO” DI BASIGLIO (MI) PER IL PERIODO 01/09/2019 – 31/07/2022 – CIG: 78974795D6

La nomina non costituisce autorizzazione generale ma autorizzazione limitata esclusivamente ai trattamenti relativi all’attività/servizio specificatamente indicata nel presente contratto.

La nomina, che costituisce specifica autorizzazione in favore del responsabile, consente al responsabile medesimo di trattare i dati personali soltanto in relazione alle specifiche finalità correlate dell’attività/servizio, e su istruzione documentata del titolare, specie in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.

Col presente contratto, il titolare conferisce autorizzazione scritta al responsabile a poter ricorrere a eventuali ulteriori responsabili del trattamento (“sub-responsabile/i”), nella prestazione del servizio/attività.

Nel caso in cui il responsabile faccia effettivo ricorso a sub-responsabili, il responsabile medesimo si impegna a:

1. informare il titolare delle decisioni riguardanti l’individuazione di sub- responsabili, dando così al titolare la possibilità di opporsi a tali modifiche;

2. selezionare sub-responsabili tra soggetti che, per esperienza, capacità e affidabilità:

   • forniscano adeguate garanzie in ordine alla attuazione di misure tecniche e organizzative che soddisfino i requisiti della normativa applicabile pro tempore,

   • garantiscano l’esercizio e la tutela dei diritti degli interessati.

Il responsabile si impegna altresì a stipulare specifici contratti, o altri atti giuridici, con i sub- responsabili, con i quali il responsabile:

• descrive analiticamente i compiti dei sub-responsabili;

• impone a tali soggetti di rispettare i medesimi obblighi, con riferimento alla disciplina sulla protezione dei dati personali, imposti dal titolare sul responsabile ai sensi della normativa vigente, e ai sensi delle disposizioni e dei provvedimenti della competente autorità di controllo, prevedendo in particolare adeguate garanzie in ordine alla attuazione di misure tecniche e organizzative tali da soddisfare i requisiti del GDPR.

Il responsabile:

1. dà atto che, qualora il sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati:

   • il responsabile conserva nei confronti del titolare l’intera responsabilità dell’adempimento degli obblighi dei sub-responsabili.

2. si impegna a manlevare, e tenere indenne il titolare da qualsiasi danno, pretesa, risarcimento, e/o sanzione possa derivare al titolare dalla mancata osservanza di tali obblighi e più in generale dalla violazione della applicabile normativa sulla tutela dei dati personali da parte del responsabile e dei suoi sub-responsabili;

3. si impegna altresì ad informare il titolare di eventuali modifiche previste riguardanti la sostituzione dialtri sub- responsabili, dando così al titolare la possibilità di opporsi a tali modifiche.

Il titolare autorizza espressamente il responsabile, che a ciò si impegna, a stipulare per suo conto con eventuali sub-responsabili, quando stabiliti in un paese al di fuori dell’Unione Europea per il quale la Commissione Europea non abbia emesso un giudizio di adeguatezza del livello di protezione dei dati personali:

• uno specifico accordo per il trasferimento dei dati all’estero contenente le apposite garanzie e clausole contrattuali, e successive modifiche adottate dalla stessa Commissione Europea con Decisione 2010/87/EU del 5 febbraio 2010.

1. Istruzioni documentate del titolare al responsabile

Con riferimento alla presente nomina, il titolare impartisce le seguenti istruzioni. Il responsabile del trattamento:

• non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare;

• tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio, in particolare contro:

  • distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

  • trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.

• adotta tutte le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato richieste ai sensi dell'articolo 32 GDPR e, a tal fine, se del caso:

1. mette in atto la pseudonimizzazione e la cifratura dei dati personali;

2. assicura la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

3. assicura la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

4. mette in atto una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

• tiene, e aggiorna costantemente un registro di tutte le categorie attività relative al trattamento svolte per conto di un titolare del trattamento, contenente le informazioni indicate dall’art. 30 paragrafo 2 del GDPR;

• quando ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento impone, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel presente contratto tra il titolare e il responsabile, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile;

• tenendo conto della natura del trattamento, assiste il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato. In particolare, ove applicabile e in considerazione delle attività di trattamento affidategli, deve:

• consentire al titolare di fornire agli interessati i propri dati personali in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonché di trasmettere i dati ad altro titolare;

• consentire al titolare di garantire in tutto o in parte i diritti di opposizione e limitazione del trattamento.

• assiste il titolare del trattamento nel garantire il rispetto degli obblighi di sicurezza del trattamento, notifica di una violazione dei dati personali all'autorità di controllo, comunicazione di una violazione dei dati personali all'interessato, valutazione d'impatto sulla protezione dei dati e consultazione preventiva cui agli articoli da 32 a 36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

• su scelta del titolare, xxxxxxxx o restituisce al titolare tutti i dati personali dopo che è terminata la prestazione dei servizi/attività in epigrafe indicati, relativi al trattamento e cancella le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati; e mette a disposizione del titolare del trattamento tutte le informazioni circa lo svolgimento delle operazioni di trattamento o del luogo in cui sono custoditi i dati e, più in generale, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto, consentendo e favorendo le attività di controllo, comprese le ispezioni, realizzati dal titolare o da un altro soggetto da questi incaricato. Nei suddetti casi, il Responsabile, su richiesta del titolare, provvede a rilasciare apposita dichiarazione scritta contenente l’attestazione che, presso il Responsabile, non esiste alcuna copia dei dati personali, e delle informazioni trattate per conto del titolare. Sul contenuto di tale dichiarazione il titolare si riserva il diritto di effettuare controlli e verifiche volte ad accertarne la veridicità;

• comunica tempestivamente al titolare istanze degli interessati nonché reclami, contestazioni, ispezioni o richieste del Garante e delle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali;

• individua, e comunica tempestivamente al titolare le persone che, nell’ambito della propria organizzazione, lo stesso responsabile autorizza al trattamento, facendosi contestualmente carico, nell’atto di designazione, di fornire adeguate istruzioni scritte alle persone autorizzate al trattamento circa le modalità del trattamento, in ottemperanza a quanto disposto dalla legge e dal presente contratto, e facendosi carico altresì di garantire una adeguata formazione in materia alle persone medesime e il successivo aggiornamento professionale;

• vincola le persone autorizzate al trattamento alla riservatezza o ad un adeguato obbligo legale di riservatezza, anche per il periodo successivo all’estinzione del rapporto di lavoro/collaborazione intrattenuto con il responsabile, in relazione alle operazioni di trattamento da esse eseguite;

• per quanto concerne l’amministratore di sistema, il responsabile è tenuto al rispetto delle disposizioni relative alla disciplina sugli amministratori di sistema, incluse le disposizioni contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008, come successivamente modificato in dal provvedimento del 25 giugno 2009, impegnandosi a conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, e a fornirli e al titolare su richiesta del medesimo;

• informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati;

• se, violando le disposizioni di legge e delle presenti istruzioni, determina le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione;

• in caso di danni derivanti dal trattamento, il Responsabile è tenuto a risponderne qualora non abbia adempiuto agli obblighi della normativa pro tempore vigente in materia di trattamento di dati personali specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle presenti legittime istruzioni del titolare.

Il Titolare si riserva di impartire, durante il corso di svolgimento del servizio/attività specificatamente individuata nel presente contratto, ulteriori istruzioni scritte che si rendano necessarie per implementare il livello di protezione dei dati.

2. Durata del trattamento

La nomina e la relativa autorizzazione al trattamento dei dati, per conto del titolare, ha efficacia limitata al solo ed esclusivo periodo intercorrente tra la data di stipulazione del presente contratto e la conclusione dell’attività/servizio i cui dati sono oggetto di trattamento, salvi gli specifici obblighi che per loro natura sono destinati a permanere in base ad una specifica disposizione nazionale o dell’Unione europea.

Per effetto di quanto sopra, la nomina e la relativa autorizzazione al trattamento dei dati, per conto del titolare, cessa in data: fine servizio.

Qualora l’attività/servizio in epigrafe indicati, e i cui dati sono oggetto di trattamento per conto del titolare, non venga più fornita o cessi, per qualsiasi motivo, il presente contratto si intenderà automaticamente risolto di diritto, senza bisogno di comunicazioni, disdette o revoche, ed l’autorizzazione al trattamento dei dati si intende cessata.

3. Natura del trattamento

Il servizio/attività affidata al responsabile del trattamento dati ha trattamenti aventi la seguente natura: comune.

4. Finalità del trattamento

Il responsabile è tenuto a raccogliere i dati esclusivamente per le finalità determinate, esplicite e legittime collegate al servizio/attività in epigrafe indicata, e successivamente a trattare i dati in modo che non sia incompatibile con tali finalità.

Qualora il responsabile del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento informa il titolare, e fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2 dell’art. 13 GDPR.

Laddove il responsabile effetti il trattamento per una finalità diversa da quella per la quale i dati personali sono stati raccolti e tale trattamento non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una società democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1 GDPR, al fine di verificare se il trattamento per un'altra finalità sia compatibile con la finalità per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l'altro:

1. di ogni nesso tra le finalità per cui i dati personali sono stati raccolti e le finalità dell'ulteriore trattamento previsto;

2. del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;

3. della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'articolo 9 GDPR, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10 GDPR;

4. delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;

5. dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

5. Tipo di dati personali

Le categorie di dati personali oggetto di trattamento, in relazione al servizio/attività in epigrafe indicata, sono: persona fisica o giuridica cui i dati trattati possono essere comunicati.

Il titolare dà atto che i dati da lui trasmessi al Responsabile del trattamento:

1. sono pertinenti e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;

2. in ogni caso, i dati personali, oggetto delle operazioni di trattamento affidate al responsabile, devono essere raccolti e trattati rispettando ogni prescrizione normativa e regolamentare e, per l’effetto devono essere, a cura del responsabile del trattamento:

1. trattati in modo lecito, corretto e trasparente nei confronti dell’interessato («liceità, correttezza e trasparenza»);

2. raccolti per le finalità determinate, esplicite e legittime sopra indicate, e successivamente trattati in modo che non sia incompatibile con tali finalità; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non è, conformemente all’articolo 89, paragrafo 1 GDPR, considerato incompatibile con le finalità iniziali («limitazione della finalità»);

3. adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati («minimizzazione dei dati»);

4. esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati («esattezza»);

5. conservati in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati; i dati personali possono essere conservati per periodi più lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all’articolo 89, paragrafo 1, fatta salva l’attua- zione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle libertà dell’interessato («limitazione della conservazione»);

6. trattati in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali («integrità e riservatezza»).

Resta inteso che rimane a carico del titolare l’onere di individuare la base legale del trattamento dei dati personali degli interessati.

Nell’eseguire il trattamento dei dati, il responsabile del trattamento considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo.

6. Categorie di interessati

Le categorie di interessati, i cui dati sono oggetto di trattamento, sono: @categorieinteressati@

Il responsabile del trattamento garantisce la scrupolosa osservanza di tutte le disposizioni relative ai diritti degli interessati contenute nel Capo III, articoli da 12 a 23 del GDPR nonché contenute nel Capo VIII.

7. Obblighi del titolare del trattamento

Il titolare assume tutti gli obblighi generali imposti al titolare dal Capo IV del GDPR.

Il titolare si impegna, altresì, a comunicare al responsabile del trattamento qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati.

Il titolare rimane responsabile del trattamento delle informazioni attuate tramite procedure applicative sviluppate secondo sue specifiche e/o attraverso propri strumenti informatici o di telecomunicazioni.

8. Diritti del titolare del trattamento

Il titolare ha diritto:

• al puntuale ed esatto adempimento di tutti gli obblighi gravanti sul responsabile dal GDPR e dal presente contratto;

• al puntuale ed esatto adempimento delle legittime istruzioni contenute nel presente contratto e nelle istruzioni successivamente impartite.

L’adempimento non comporta, per il responsabile, alcun diritto a compenso e/o indennità e/o rimborso derivante dal trattamento, e dal presente contratto.

9. Disposizioni finali

Con il presente contratto viene revocato e sostituito espressamente ogni altro contratto o accordo tra le parti inerente il trattamento di dati personali in epigrafe indicato.

Per quanto non espressamente indicato nel presente contratto, il titolare il responsabile del trattamento rinviano al GDPR, al decreto legislativo di attuazione del GDPR nonché ai provvedimenti dell’autorità di controllo.

Titolare del trattamento - Responsabile del Trattamento

Per l’ente

Comune di Basiglio (MI) per ___________

_______________ sig. ____________

N.B.: qualora non venga indicato alcun altro nome, si intenderà responsabile il legale rappresentante firmatario.

Il documento è generato dal sistema Informativo automatizzato del Comune di Rozzano. La firma autografa è sostituita dall’indicazione a stampa del nominativo del soggetto responsabile ai sensi dell’art. 3 del D. Lgs. n. 39 del 12 febbraio 1993.

3