ACCORDO
Allegato 9
ACCORDO
AI SENSI DELL’ART.28 Reg. UE 2016/679
TRA
Il Segretariato Generale – Autorità di Audit, in persona del Direttore Generale Dott.ssa Xxxxx Xxxxxxx
E
La Società/Ente …………………………………………, con sede legale in …………………………………………………, [Cod. Fisc./P.IVA] , in persona del suo legale rappresentante pro tempore, in qualità
di Responsabile del trattamento dei dati (di seguito anche “Fornitore” o “Responsabile”), denominati congiuntamente le “Parti”;
Premesso che
• In data le parti del presente accordo hanno stipulato un contratto di appalto (di seguito il
“Contratto”) per ………………………………………… identificato dal CIG 8551160078, mediante ;
• L’art. 28 del Regolamento UE 2016/679 (di seguito anche il “Regolamento”) dispone che, qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorra unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e la tutela dei diritti dell’interessato;
• La conduzione delle attività oggetto del Contratto di servizio stipulato richiedono il trattamento di dati personali la cui titolarità è della P.A. committente;
• Gli obblighi in materia di protezione dei dati gravanti sul Responsabile del trattamento per l’esecuzione di specifiche attività per conto del titolare corrispondono a quelli gravanti sul Responsabile del trattamento del soggetto titolare ai sensi dell’art. 28 par. 3 del Regolamento.
Tutto quanto sopra premesso, tenuto conto degli accordi previamente assunti, le Parti convengono quanto segue:
DICHIARAZIONE DEL FORNITORE
Il Fornitore dichiara di aver ricevuto prima della sottoscrizione del presente accordo le informazioni di cui all’art. 13 Regolamento relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, circa il trattamento dei dati personali, conferiti per la sottoscrizione e l’esecuzione del Contratto stesso e di essere a conoscenza dei diritti riconosciuti ai sensi della predetta normativa. Tale informativa è contenuta nell’ambito degli atti di gara.
Con la sottoscrizione del Contratto, il rappresentante legale del Fornitore acconsente espressamente al trattamento dei dati personali come sopra definito e si impegna ad adempiere agli obblighi di rilascio dell’informativa e di richiesta del consenso, ove necessario, nei confronti delle persone fisiche interessate di cui sono forniti dati personali nell’ambito dell’esecuzione del contratto esecutivo, per le finalità descrittenegli atti di gara e di quanto sopra precisato.
RESPONSABILE DEL TRATTAMENTO
Il Fornitore chiamato ad eseguire attività di trattamento di dati personali, per conto dell’Amministrazione contraente, nella qualità di Responsabile del trattamento ai sensi dell’art. 28 del Regolamento, sulla base del presente accordo, si impegna ad improntare il trattamento dei dati ai principi di correttezza, liceità e trasparenza nel pieno rispetto di quanto disposto dall’art. 5 del Regolamento, limitandosi ad eseguire i soli trattamenti funzionali, necessari e pertinenti all’esecuzione delle prestazioni contrattuali e, in ogni modo, non incompatibili con le finalità per cui i dati sono stati raccolti.
A tal fine il Responsabile è autorizzato a trattare i dati personali necessari per l’esecuzione delle attività oggetto del Contratto e si impegna ad effettuare, per conto dell’Amministrazione (“Titolare del trattamento”), le sole operazioni necessarie per fornire il servizio oggetto del presente accordo, nei limiti delle finalità ivi specificate, nel rispetto del Regolamento e delle istruzioni nel seguito fornite.
NATURA, FINALITÀ, DURANTA DEL TRATTAMENTO E CATEGORIE DI INTERESSATI COINVOLTI
Il Fornitore effettuerà trattamenti di dati personali per conto del Titolare all’unico scopo di espletare le
attività e i servizi oggetto del Contratto, cui il presente accordo costituisce parte integrante come Allegato.
Le categorie di interessati, le tipologie di dati trattati, la finalità, natura e durata del trattamento sono indicati nel capitolato/offerta tecnica.
TRASFERIMENTO DEI DATI
Il Responsabile non può trasferire i dati personali verso un paese terzo o un’organizzazione internazionale salvo che non abbia preventivamente ottenuto l’autorizzazione scritta da parte del Titolare.
OBBLIGHI E DIRITTI DEL TITOLARE DEL TRATTAMENTO
Il Responsabile del trattamento si impegna ad operare adottando tutte le misure tecniche e organizzative, le attività di formazione, informazione e aggiornamento ragionevolmente necessarie per garantire che i Dati Personali trattati in esecuzione del presente accordo, siano precisi, corretti e aggiornati nel corso della durata del trattamento eseguito dal Responsabile.
AMMINISTRATORI DI SISTEMA
Il Responsabile del trattamento si impegna a individuare e designare per iscritto gli amministratori di sistema, tra i soggetti in grado di garantire il rispetto della normativa in materia di protezione dei dati personali, mettendo a disposizione del Titolare i nominativi degli amministratori di sistema entro 10 giorni dalla decorrenza del Contratto.
GESTIONE DEI DATI PERSONALI DA PARTE DEL RESPONSABILE DEL TRATTAMENTO
Nell’esercizio delle proprie funzioni, il Responsabile del trattamento dei dati personali si impegna a:
a) rispettare la normativa vigente in materia di trattamento dei dati personali, ivi comprese le norme che saranno emanate nel corso della durata del Contratto;
b) trattare i dati conformemente alle istruzioni impartite dal Titolare; nel caso in cui il Responsabile ritenga che un’istruzione costituisca una violazione del Regolamento o delle altre disposizioni normative relative alla protezione dei dati personali, il Fornitore deve informare immediatamente il Titolare del trattamento;
c) tenere un Registro delle attività di trattamento effettuate sotto la propria responsabilità e cooperare con il Titolare e con l’Autorità Garante per la protezione dei dati personali, mettendo il predetto Registro a disposizione del Titolare e dell’Autorità, laddove ne venga fatta richiesta.
RISERVATEZZA
Il Responsabile si impegna a garantire la riservatezza dei dati personali trattati nell’ambito del presente
accordo e verificare che le persone autorizzate a trattare i dati personali:
• si impegnino a rispettare la riservatezza riguardo ai dati e ai trattamenti di cui vengono a conoscenza, in
qualsiasi modo, nel corso delle proprie attività o siano sottoposti ad un obbligo legale di riservatezza;
• ricevano la formazione necessaria in materia di protezione dei dati personali;
• trattino i dati personali osservando le istruzioni impartite dal Titolare per il trattamento dei dati personali al Responsabile del trattamento.
SUPPORTO AI DIRITTI DEGLI INTERESSATI DEL TRATTAMENTO
Il Responsabile del trattamento deve assistere il Titolare del trattamento al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati; qualora gli interessati esercitino tale diritto presso il Responsabile del trattamento, quest’ultimo è tenuto ad inoltrare tempestivamente, e comunque nel più breve tempo possibile, le istanze al Titolare del trattamento, supportando quest’ultimo al fine di fornire adeguato riscontro agli interessati nei termini prescritti.
MISURE DI SICUREZZA
Con la sottoscrizione del accordo il Fornitore si obbliga ad adottare le misure di sicurezza di natura fisica, logica, tecnica e organizzativa idonee a garantire un livello di sicurezza adeguato al rischio e conformi a quanto previsto dalla normativa pro-tempore vigente, dalle istruzioni fornite dall’Amministrazione, nonché dalle misure minime di sicurezza ICT per le PP.AA. di cui alla Circolare AgID n. 2/2017 del 18 aprile 2017.
La valutazione circa l’adeguatezza del livello di sicurezza deve tenere conto, in particolare, dei rischi del trattamento derivanti da: distruzione o perdita anche accidentale, modifica, divulgazione non autorizzata, nonché accesso non autorizzato, anche accidentale o illegale, o trattamento non consentito o non conforme alle finalità del trattamento dei dati personali conservati o comunque trattati.
Il Responsabile si impegna a mantenere aggiornate le misure tecniche e organizzative sopra menzionate, nonché a monitorare e a vigilare sul loro corretto funzionamento.
ASSISTENZA AL TITOLARE
Il Responsabile, in relazione alla natura del trattamento e alle informazioni a sua disposizione, si impegna ad assistere il Titolare del trattamento:
a) nella comunicazione agli interessati e all’Autorità Garante di eventuali violazioni di dati personali;
b) nella valutazione d’impatto sulla protezione dei dati, su eventuale richiesta del Titolare;
c) nella consultazione del Garante per la protezione dei dati personali.
Il Responsabile del trattamento informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, il Titolare di ogni violazione di dati personali; tale notifica è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del Regolamento, per permettere al Titolare del trattamento, ove ritenuto necessario, di notificare questa violazione all’Autorità Garante per la protezione
dei dati personali, entro il termine di 72 ore da quanto il Titolare ne viene a conoscenza. Nel caso in cui il Titolare debba fornire informazioni aggiuntive all’Autorità di controllo, il Responsabile del trattamento si impegna a supportare il Titolare nell’ambito di tale attività.
VIOLAZIONE DELLA NORMATIVA VIGENTE O AGIRE IN MODO DIFFORSE ALLE ISTRUZIONE DEL TITOLARE
Ove il Responsabile violi gli obblighi previsti dalla normativa in materia di protezione dei dati personali, risponderà integralmente del danno cagionato agli “interessati”. In tal caso, l’Amministrazione potrà risolvere il Contratto ed escutere la garanzia definitiva, salvo il risarcimento del maggior danno.
Nel caso in cui il Fornitore, o i suoi subappaltori o subcontraenti, agiscano in modo difforme o contrario alle legittime istruzioni del Titolare oppure adottino misure di sicurezza inadeguate rispetto al rischio del trattamento, il Fornitore risponderà del danno causato agli “interessati”. In tal caso, l’Amministrazione potrà risolvere il Contratto ed escutere la garanzia definitiva, salvo il risarcimento del maggior danno.
Il Responsabile del trattamento deve mettere a disposizione del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al Regolamento, oltre a contribuire e consentire al Titolare - anche tramite soggetti terzi dal medesimo autorizzati, dandogli piena collaborazione - verifiche periodiche o circa l’adeguatezza e l’efficacia delle misure di sicurezza adottate ed il pieno e scrupoloso rispetto delle norme in materia di trattamento dei dati personali.
Nel caso in cui all’esito di tali verifiche periodiche, ispezioni e audit le misure di sicurezza dovessero risultare inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione del Regolamento, l’Amministrazione diffiderà il Fornitore ad adottare tutte le misure più opportune entro un termine congruo che sarà all’occorrenza fissato. In caso di mancato adeguamento a seguito della diffida, resa anche ai sensi dell’art. 1454 cc, l’Amministrazione potrà risolvere il Contratto ed escutere la garanzia definitiva, salvo il risarcimento del maggior danno.
SUB-RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
Il Responsabile del trattamento non può avvalersi di ulteriori Responsabili (di seguito anche il “sub- responsabili del trattamento”) per delegargli attività specifiche, se non previa autorizzazione scritta del Titolare del trattamento.
In caso di autorizzazione scritta del Titolare, il sub-Responsabile del trattamento dovrà rispettare obblighi analoghi a quelli forniti dal Titolare al Responsabile iniziale del trattamento. Spetta al Responsabile iniziale assicurare che il sub-Responsabile del trattamento presenti garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per l’adozione di misure tecniche ed organizzative appropriate, di modo che il trattamento risponda ai principi e alle esigenze della normativa in vigore.
L’Amministrazione si riserva di eseguire verifiche, ispezioni e audit rispetto alle misure di sicurezza adottate dai sub-Responsabili del trattamento; ove tali misure dovessero risultare inapplicate o inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione del Regolamento, l’Amministrazione diffiderà lo stesso a far adottare al sub-Responsabile del trattamento tutte le misure più opportune entro un termine congruo che sarà all’occorrenza fissato. In caso di mancato adeguamento a tale diffida, resa anche ai sensi dell’art. 1454 cc, l’Amministrazione potrà risolvere il Contratto con il Responsabile iniziale ed escutere la garanzia definitiva, salvo il risarcimento del maggior danno. Restano fermi i casi di recesso previsti nel Contratto.
LEGGE APPLICABILE E FORO COMPETENTE
Per qualsiasi controversia che dovesse sorgere in relazione al presente accordo, sarà competente in via esclusiva il Foro di Roma.
Per tutto quanto non espressamente previsto nel presente accordo, si rinvia alle disposizioni generali vigenti in materia di protezione dei dati personali.
Roma, Il Titolare del trattamento | Il Responsabile del trattamento |
Il Responsabile dell’Autorità di Audit Xxxxx Xxxxxxx | Il legale rappresentante della Società |