ACCORDO DI CONTITOLARITA’ AI SENSI DELL’ART. 26 DEL REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO DEL 27 APRILE 2016 - In relazione alle attività previste dalla L.R. 2 agosto 2016 n. 18 - TRA: La Regione Autonoma della Sardegna...
ACCORDO DI CONTITOLARITA’ AI SENSI DELL’ART. 26 DEL REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO DEL 27 APRILE 2016
- In relazione alle attività previste dalla L.R. 2 agosto 2016 n. 18 -
TRA:
La Regione Autonoma della Sardegna (contitolare)
Xxxxx Xxxxxx 00, 00000 Xxxxxxxx, C.F. 80002870923
qui rappresentata dal Direttore del Servizio politiche per la famiglia e l’inclusione sociale – Direzione generale delle politiche sociali dell’Assessorato dell’igiene e sanità e delle politiche sociali, delegato dalla Direttrice generale della Direzione generale delle politiche sociali con propria determinazione n. 6219/186 dell’8 giugno 2018, a sua volta delegata (sulla base della deliberazione n.21/8 del 24.04.2018, del decreto Presidenziale n. 48 del 23.05.2018 e della Determinazione n. 6219 del 8.06.2018 della Direzione Generale delle Politiche Sociali) dal Titolare del trattamento allo svolgimento degli adempimenti correlati, per quanto di competenza, alla situazione di contitolarità - di seguito per brevità “Regione” o “RAS”;
E
Il Comune di xxx (contitolare)
Via xxx x, xxx xxx, C.F. xxx.
in persona del Sindaco pro tempore, in forza di ____, di seguito per brevità “Comune”:
Premesso che:
con la misura regionale REIS (Reddito d’inclusione sociale), istituita dalla Legge regionale 2 agosto 2016, n. 18 recante "Reddito di inclusione sociale - Fondo regionale per il reddito di inclusione sociale - "Agiudu torrau", la Regione Sardegna intende assicurare il coordinamento con gli altri interventi previsti da norme nazionali ed europee, volti a contrastare la povertà e l’esclusione sociale, come previsto, appunto, dall’art. 6 della L.R. n. 18/2016;
con il decreto legislativo 15 settembre 2017, n. 147 recante “Disposizioni per l'introduzione di una misura nazionale di contrasto alla povertà” è stata istituita a livello nazionale la misura unica di contrasto alla povertà e all'esclusione sociale - Reddito d'inclusione (REI).
il D.Lgs. 147/2017 prevede, inoltre, la possibilità che le Regioni, sfruttando risorse regionali, possano “rafforzare il REI con riferimento ai propri residenti” integrandolo “con misure regionali di contrasto alla povertà”. La Regione Sardegna, con proprie risorse, prevede sia la possibilità di “aggiungere” ai beneficiari REI un contributo economico forfettario a fronte di un unico progetto REI, sia la possibilità di estendere il REIS ad una più ampia platea di famiglie destinatarie rispetto alla misura nazionale;
con Deliberazione della Giunta Regionale (DGR) n. 31/16 del 19.06.2018, sono state approvate in via definitiva le Linee guida per il triennio 2018-2020 concernenti le modalità di attuazione della legge regionale n. 18/2016 recante "Reddito di inclusione sociale - Fondo regionale per il reddito di inclusione sociale - "Agiudu torrau", (di cui alla deliberazione n. 27/24 del 29 maggio 2018);
l’art. 5 della L.R. 18/2016 prevede che ai fini del monitoraggio, valutazione e controllo delle attività rese a favore dei percettori di trattamenti di sostegno al reddito erogati a vario titolo dalla Regione o da soggetti da essa delegati viene istituito un sistema informativo. Il successivo art. 11 prevede che “il monitoraggio, la valutazione e le verifiche degli interventi previsti” dalla L.R. 18/2016 spettino alla Regione;
ll coinvolgimento dei Comuni è previsto all’art. 8 della L.R. 18/2016 posto che “la domanda di accesso al REIS è presentata al comune di residenza”. Questi ultimi si occupano della trasmissione “agli uffici di piano nell'ambito del PLUS territorialmente competente, salvo altra indicazione definita nelle disposizioni attuative in caso di risorse nazionali o europee”;
la gestione delle attività connesse al REIS viene effettuata, da Comuni e Regione, attraverso il Sistema SIPSO (SIstema per la gestione delle Politiche Sociali), un sistema informativo delle politiche sociali, istituito in forza dell’art. 35 della L.R. 23 dicembre 2005, n. 23, il quale prevede che “la Regione realizza, in collaborazione con i comuni, il sistema informativo sociale, strumento per la raccolta dei dati inerenti alla domanda ed all'offerta sociale, all'andamento della spesa e ad ogni altra informazione necessaria alla programmazione delle politiche sociali in ambito regionale e locale, nonché per la verifica del raggiungimento degli obiettivi”. Il SIPSO è dunque uno strumento per la gestione degli scambi informativi riferiti ai principali interventi programmati e finanziati dalla Regione e realizzati dai Comuni in ambito sociale;
il provvedimento “Requisiti specifici per le singole tipologie di strutture sociali ai sensi del Regolamento di attuazione della L.R. 23 dicembre 2005 n. 23, art. 28, comma 1 ai fini dell’autorizzazione al funzionamento e art. 40, comma 3 ai fini dell’accreditamento (Allegato alla Delib.G.R. n. 33/36 del 8.8.2013)”, prevede, al punto 4, che “la Regione, ai sensi dell’articolo 35 della L.R. n.23/2005, promuove l’implementazione del sistema informativo delle politiche sociali. Il sistema informativo delle politiche sociali è realizzato con procedure informatiche gestite in rete tra Regione e i servizi sociali dei Comuni”;
il Sistema SIPSO viene implementato – sulla base della lettera d’incarico 21 dicembre 2017, con cui la RAS, Assessorato dell'igiene e sanità e dell'assistenza sociale - Direzione Generale delle Politiche Sociali - Servizio attuazione della Programmazione Sociale – da Sardegna IT che è incaricata della realizzazione del Sistema Informativo Integrato del Welfare Regionale (SIWE);
nell’ambito di applicazione delle disposizioni previste dalla L.R. n. 18/2016 relative alla misura regionale REIS (Reddito d’inclusione sociale), la Regione Sardegna e il Comune di XXX sono contitolari del trattamento ai sensi dell’art. 26 del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati (di seguito anche “GDPR” o “Regolamento”) - posto che in base all’art. 35 della L. 23/2005 (istitutiva del SIPSO) si prevede che la RAS realizzi il sistema SIPSO “in collaborazione con i comuni” - e con il presente atto si disciplinano i rapporti tra i suddetti contitolari;
il titolare del trattamento va individuato, secondo il Regolamento, all’art. 4, comma 1, n. 7, nella “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”, mentre il successivo n. 8 individua il responsabile del trattamento nella “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;
l’art. 26 regola la figura del “contitolare”, stabilendo che “allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento” . La norma precisa che “essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti”;
come evidenziato anche dal parere n. 1/2010 del WP29 sussiste la contitolarità “quando varie parti determinano, per specifici trattamenti, o la finalità o quegli aspetti fondamentali degli strumenti che caratterizzano il titolare del trattamento” tenendo conto che “la partecipazione delle parti alla determinazione congiunta può assumere varie forme e non deve essere necessariamente ripartita in modo uguale”;
i rapporti tra contitolari possono quindi articolarsi in modo asimmetrico, nel senso che i soggetti coinvolti possono determinare in misura diversa le finalità e/o i mezzi, con distinti gradi di autonomia;
la deliberazione della Giunta Regionale n. 21/8 del 24.4.2018 definisce il modello organizzativo e gli adempimenti finalizzati all’applicazione del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati;
il suindicato modello organizzativo prevede che il Presidente della Regione Autonoma della Sardegna, titolare del trattamento, deleghi con proprio decreto le funzioni relative all’attuazione dei principi dettati in materia di trattamento dei dati personali dall’articolo 5 del Regolamento;
il Decreto Presidenziale n. 48 del 23/5/2018 delega ai direttori generali, ai coordinatori delle unità di progetto e ai responsabili apicali degli uffici, pro tempore, per ciascun ambito di competenza, le funzioni relative all’attuazione dei principi dettati in materia di trattamento dei dati personali dall’articolo 5 del Regolamento e, in particolare, i compiti e le funzioni previste dal Regolamento tra cui lo svolgimento degli adempimenti correlati, per quanto di competenza, all’attuazione degli articoli 26 e 28 del Regolamento, concernenti, rispettivamente, gli obblighi correlati alla situazione di contitolarità del trattamento e disciplina del responsabile del trattamento;
la Determinazione n. 6219 del 8.06.2018 della Direzione Generale delle Politiche Sociali, attribuisce ai direttori di Servizio della Direzione Generale delle Politiche sociali - Assessorato dell’Igiene e Sanità e dell’Assistenza Sociale - la delega, per ciascun ambito di competenza, delle funzioni relative all’attuazione dei principi dettati in materia di trattamento dei dati personali dall’articolo 5 del GDPR e, in particolare, lo svolgimento degli adempimenti correlati, per quanto di competenza, all’attuazione degli articoli 26 e 28 del GDPR, concernenti, rispettivamente, gli obblighi correlati alla situazione di contitolarità del trattamento e disciplina del responsabile del trattamento.
Tutto ciò premesso, si conviene quanto segue:
Valore della premessa
La premessa costituisce parte integrante e sostanziale del presente Accordo.
Oggetto dell’accordo e compiti
L’oggetto del presente accordo è la costituzione di un rapporto di contitolarità – tra le Parti – per il trattamento dei dati acquisiti, gestiti e trattati per le finalità indicate.
I dati trattati sono quelli gestiti dal Sistema SIPSO, e sono relativi ai nuclei familiari, unipersonali o pluripersonali, di cui all’art. 3, L.R. RAS 18/2016, che accedono al REIS, misura complementare e aggiuntiva rispetto alla misura nazionale e finalizzata a consentire ai beneficiari di superare la condizione di povertà e di essere posto in condizione di accedere ai beni essenziali e di partecipare dignitosamente alla vita sociale, disponendo di un reddito sufficiente a garantire il diritto a una vita dignitosa.
La “contitolarità” è riferita all’acquisizione congiunta e/o disgiunta e/o al conseguente trattamento dei dati acquisiti dalle Parti per le finalità espresse nella L.R. 18/2016 e richiamate nella apposita informativa resa agli interessati (e allegata al presente accordo), intendendosi per “trattamento” qualunque operazione o complesso di operazioni effettuate con o senza l’ausilio di strumenti elettronici e concernenti la raccolta, la registrazione, l’organizzazione, l’archiviazione, la conservazione, la consultazione, l’elaborazione, la modifica, la selezione, l’estrazione, l’utilizzo, la diffusione, la cancellazione e la distruzione di dati acquisiti ed, in definitiva, tutti i processi di gestione dei dati cui il presente accordo è riferito.
I Contitolari del trattamento condividono:
le finalità del trattamento di dati personali, ossia la finalità di cui all’art. 1 della L.R. 18/2016;
le modalità del trattamento dei dati personali, attraverso il sistema SIPSO che la Regione Autonoma della Sardegna mette a disposizione del Comune - xxxx://xxx.xxxxxxxxxxxxxxx.xx/xxxxx;
gli strumenti utilizzati, ossia il Sistema informativo gestito da Sardegna IT per conto della Regione Autonoma della Sardegna;
i profili di sicurezza, per garantire il trattamento e la protezione dei dati secondo la legislazione vigente e con elevati standard di sicurezza.
Inoltre il presente accordo dispone che:
La Regione Autonoma della Sardegna, anche attraverso aziende esterne e in house, gestirà le seguenti operazioni: archiviazione dei dati, back-up dei dati, sicurezza dei dati, gestione e attribuzione delle credenziali di accesso alla piattaforma; elaborazione delle informazioni per le finalità previste dalla normativa in tema di reddito di inclusione (monitoraggio, valutazione e controllo delle attività rese a favore dei percettori di trattamenti di sostegno al reddito).
Il Comune gestirà le operazioni di trattamento relative alle domande di accesso al REIS presentate ai sensi dell’art. 8 della L.R. 18/2016, all’elaborazione delle graduatorie, alla gestione dei benefici e alla loro erogazione, e garantirà che l’accesso ai dati trattati dal sistema SIPSO per le finalità di erogazione del REIS avvenga esclusivamente da parte del personale autorizzato e nel rispetto della normativa e, in particolare, di quella relativa alla protezione dei dati personali. Il Comune dovrà altresì curare che venga erogata agli interessati idonea informativa, secondo lo schema allegato al presente accordo.
In tale ambito la Regione Autonoma della Sardegna ed il Comune sono contitolari del trattamento dei dati personali trattati in conseguenza della richiesta di REIS di cui alla L.R. 18/2016, ai sensi dell’art. 26 del Regolamento.
Individuazione dei responsabili ex art. 28 e degli autorizzati ex art. 29 del Regolamento.
L’evoluzione, la manutenzione e la gestione di SIPSO è affidata a Sardegna IT. La Regione provvederà alla nomina di Sardegna IT, ai sensi dell’art. 28 del GDPR, quale responsabile del trattamento dei dati personali relativi al presente accordo di contitolarità. Il Comune delega la Regione alla nomina, anche per proprio conto, di Sardegna IT quale responsabile del trattamento dei dati.
I contitolari si impegnano altresì ad autorizzare le persone fisiche facenti parte della propria organizzazione a trattare i dati personali, a fornire loro idonee istruzioni ed a nominare, laddove sussistono i presupposti, come responsabili del trattamento i soggetti esterni che potrebbero eventualmente trattare i dati per conto dei contitolari stessi.
Esercizio dei diritti dell’interessato.
L'esercizio dei diritti dell'interessato previsti, in particolare, dagli articoli 15, 16, 17, 18 e 21 del Regolamento (UE) 2016/679 e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 del Regolamento saranno effettuati in ottemperanza al suddetto Regolamento e potranno essere esercitati rivolgendosi alla RAS per gli aspetti attinenti al sistema informatico ai dati di monitoraggio, valutazione e controllo delle attività rese a favore dei percettori di trattamenti di sostegno al reddito e al Comune per gli aspetti di tipo amministrativo, organizzativo e contabile. I contitolari si impegnano a cooperare, trasmettendo tempestivamente le istanze di esercizio dei diritti relative agli aspetti di rispettiva competenza, e laddove un interessato proponga delle istanze riguardanti i trattamenti effettuati da entrambi i contitolari.
Sicurezza dei trattamenti e violazione di dati personali
I contitolari, nel rispetto del principio di integrità e riservatezza di cui all’art. 5 comma 1 lett. f, e in applicazione dell’art. 32 del GDPR, nei limiti delle funzioni esercitate e delle rispettive prerogative, tenendo conto anche dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità di trattamento, adottano misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (ad esempio misure atte a garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento).
Nel valutare l’adeguato livello di sicurezza i contitolari devono tenere conto dei rischi di:
• Perdita;
• Distruzione;
• Modifica;
• Divulgazione non autorizzata;
• Accesso accidentale o illecito a dati personali trasmessi, conservati o comunque trattati.
I Contitolari si impegnano a stabilire, attuare, mantenere e migliorare un sistema di gestione per la sicurezza delle informazioni, impegnandosi a comunicare nel rispetto del Regolamento e secondo la procedura prevista dal singolo ente i casi di violazione dei dati (cd. data breach), per la valutazione congiunta degli eventi e per l’eventuale notificazione al Garante e la comunicazione agli interessati.
Valutazione d’impatto sulla protezione dei dati
I Contitolari, qualora un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche ai sensi dell’art. 35 del Regolamento, si impegnano a collaborare per la valutazione dei rischi connessi e delle misure tecniche ed organizzative da adottare a tutela dei dati personali.
Durata
La durata della contitolarità coinciderà con il periodo di utilizzo del SIPSO da parte del Comune.
Dati di contatto del Titolare
il Titolare del trattamento per l’amministrazione regionale è la Regione Autonoma della Sardegna, con sede legale in Cagliari, xxxxx Xxxxxx 00, legalmente rappresentata dal Presidente pro tempore della Giunta Regionale, sede legale a Cagliari, tel. 000 0000000, xxxxxxxxxx@xxxxxxx.xxxxxxxx.xx, xxxxxxxxxx@xxx.xxxxxxx.xxxxxxxx.xx. Il Data Protection Officer della Regione Autonoma della Sardegna può essere contattato ai seguenti recapiti telefono: 000 0000000, email: xxx@xxxxxxx.xxxxxxxx.xx, xxx@xxx.xxxxxxx.xxxxxxxx.xx.
Il Titolare del trattamento per l’amministrazione comunale è il Comune di xxx, con sede legale in xxx, tel. xxx, email xxx. Il Data Protection Officer del Comune di xxx può essere contattato ai seguenti recapiti ______.
Disposizioni finali
Qualsiasi modifica al presente accordo è ammessa solo con il consenso di tutti i Contitolari.
Il contenuto essenziale del presente accordo, in conformità all’articolo 26 comma 2 del Regolamento sarà pubblicato sul sito della Regione e del Comune, al fine di essere messo a disposizione degli interessati.
L’accordo verrà monitorato e revisionato periodicamente per assicurarne l’attualità e la rispondenza al quadro normativo europeo, nazionale e regionale.
Allegato: Schema di informativa sul trattamento dei dati personali
Per la Regione Autonoma della Sardegna -Assessorato dell’igiene e sanità e delle politiche sociali
Direzione generale delle politiche sociali
Il Direttore del Servizio politiche per la famiglia e l’inclusione sociale
(firmato digitalmente)
Per il Comune di xxx
Il Sindaco
(firmato digitalmente)
|
|
Pagina 1 di 7 |