PROCEDURA APERTA PER L’AFFIDAMENTO DEL SERVIZIO DI SUPPORTO TECNICO AL MONITORAGGIO DEL TERRITORIO DELLA REGIONE EMILIA- ROMAGNA PER ACCERTARE LA PRESENZA DI ORGANISMI NOCIVI REGOLAMENTATI IN APPLICAZIONE DELLA NORMATIVA FITOSANITARIA 2
PROCEDURA APERTA PER L’AFFIDAMENTO DEL SERVIZIO DI SUPPORTO TECNICO AL MONITORAGGIO DEL TERRITORIO DELLA REGIONE XXXXXX- ROMAGNA PER ACCERTARE LA PRESENZA DI ORGANISMI NOCIVI REGOLAMENTATI IN APPLICAZIONE DELLA NORMATIVA FITOSANITARIA 2
ALLEGATO 6a ACCORDO TRATTAMENTO DATI
Allegato
Accordo per il trattamento di dati personali
Il presente accordo costituisce allegato parte integrante del contratto siglato tra la Giunta della Regione Xxxxxx-Romagna e il Fornitore di servizi, designato Responsabile del trattamento di dati personali ai sensi dell’art. 28 del GDPR.
Le Parti convengono quanto segue:
1. Trattamento dei dati nel rispetto delle istruzioni della Giunta della Regione Xxxxxx-Romagna
1.1 Il Fornitore, relativamente a tutti i Dati personali che tratta per conto
dell’Ente garantisce che:
1.1.1 tratta tali Dati personali solo ai fini dell’esecuzione dell’oggetto del contratto, e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite dall’Ente
1.1.2 non trasferisce i Dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte dall’Ente e a fronte di quanto disciplinato nel presente accordo;
1.1.3 non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico dall’Ente, financo per trattamenti aventi finalità compatibili con quelle originarie;
1.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà l’Ente se, a suo parere, una qualsiasi istruzione fornita dall’Ente si ponga in violazione di Normativa applicabile;
1.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Fornitore si obbliga ad adottare:
1.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste
formulate all’Ente dagli interessati relativamente ai loro dati personali ;
1.2.2 procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta dell’Ente dei dati personali di ogni interessato;
1.2.3 procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta dall’Ente;
1.2.4 procedure atte a garantire il diritto degli interessati alla limitazione di
trattamento, su richiesta dell’Ente.
1.3 Il Responsabile del trattamento deve garantire e fornire all’Ente cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
1.4 Il Responsabile del trattamento, anche nel rispetto di quanto previsto all’art.
30 del Regolamento, deve mantenere e compilare e rendere disponibile a richiesta della stessa, un registro dei trattamenti dati personali che riporti tutte le informazioni richieste dalla norma.
1.5 Il Responsabile del trattamento assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 del GDPR che l’Ente intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
2. Le misure di sicurezza
2.1 Il Responsabile del trattamento deve conservare i dati personali garantendo la separazione di tipo logico dai dati personali trattati per conto di terze parti o per proprio conto.
2.2 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento.
2.3 Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate a salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti all’Ente, con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.
2.4 Il Responsabile del trattamento adotta le misure di sicurezza di cui all’Appendice “Security” allegata al presente accordo. In ragione della riservatezza delle evidenze di analisi di conformità alle misure di cui alla suddetta Appendice, il Fornitore condivide con l’Ente tali informazioni solo in caso di violazione o data breach. Si sottolinea che, ad ogni buon conto, la sottoscrizione del presente accordo, e dei suoi allegati, equivale ad attestazione della conformità del Responsabile, e della soluzione informatica prodotta/sviluppata, alle misure indicate nell’appendice “Security”.
2.5 Il Responsabile del trattamento dà esecuzione al contratto in aderenza alle
policy dell’Ente in materia di privacy e sicurezza informatica, tra le quali:
o Determinazione n. 6928/2009 “Disciplinare tecnico su modalità e procedure relative alle verifiche di sicurezza sul sistema informativo, ai controlli sull’utilizzo dei beni messi a disposizione dall’Ente per l’attività lavorativa con particolare riferimento alle strumentazioni informatiche e telefoniche ed esemplificazioni di comportamenti per il corretto utilizzo di tali beni, da applicare nella Giunta e nell’Assemblea Legislativa della Regione Xxxxxx-Romagna”, nel caso in cui il Responsabile del trattamento
-o suoi sottoposti- operi all’interno della rete regionale.
o Determinazione n. 4137/2014 “Disciplinare tecnico in materia di sicurezza delle applicazioni informatiche nella Giunta e nell’Assemblea legislativa della Regione Xxxxxx-Romagna”, in caso di sviluppo di soluzioni informatiche.
ed eventuali successivi aggiornamenti delle medesime policy.
Le stesse sono consegnate a seguito della firma del presente accordo.
3. Analisi dei rischi, privacy by design e privacy by default
3.1 Con riferimento agli esiti dell’analisi dei rischi effettuata dall’Ente sui trattamenti di dati personali cui concorre il Fornitore, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dall’Ente per affrontare eventuali rischi identificati.
3.2 Il Fornitore dovrà consentire all’Ente, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
3.3 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
3.4 Il Responsabile del trattamento dà esecuzione al contratto in aderenza alle policy di privacy by design e by default adottate dall’Ente e specificatamente comunicate.
4. Soggetti autorizzati ad effettuare i trattamenti - Designazione
4.1 Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’Ente.
4.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica, consegnando all’Ente le evidenze di tale formazione.
4.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nel Contratto di cui il presente documento costituisce parte integrante. In ogni caso il Fornitore è direttamente ritenuto responsabile
per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
5. Sub-Responsabili del trattamento di dati personali
5.1 Nell’ambito dell’esecuzione del contratto, il Fornitore è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub- responsabili”), previa informazione dell’Ente ed imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo.
5.2 Su specifica richiesta dell’Ente, il Fornitore dovrà provvedere a che ogni SubResponsabile sottoscriva direttamente con l’Ente un accordo di trattamento dei dati che, a meno di ulteriori e specifiche esigenze, preveda sostanzialmente gli stessi termini del presente Accordo.
5.3 In tutti i casi, il Fornitore si assume la responsabilità nei confronti dell’Ente per qualsiasi violazione od omissione realizzati da un Sub-Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Fornitore abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni.
6. Trattamento dei dati personali fuori dall’area economica europea
6.1 L’Ente non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
7. Cancellazione dei dati personali
7.1 Il Fornitore provvede alla cancellazione dei dati personali trattati per l’esecuzione del presente contratto al termine del periodo di conservazione e in qualsiasi circostanza in cui sia richiesto dall’Ente, compresa l’ipotesi in cui la stessa debba avvenire per dare seguito a specifica richiesta da parte di interessati.
7.2 Alla cessazione del Contratto e, conseguentemente del presente Accordo, per qualsiasi causa avvenga, i dati personali dovranno, a discrezione dell’Ente, essere distrutti o restituiti alla stessa, unitamente a qualsiasi supporto fisico o documento contenente dati personali di proprietà dell’Ente.
8. Audit
8.1 Il Fornitore si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte dell’Ente.
8.2 Il Fornitore consente, pertanto, all’Ente l’accesso ai propri locali e ai locali di qualsiasi SubResponsabile, ai computer e altri sistemi informativi, ad atti, documenti e a quanto ragionevolmente richiesto per verificare che il Fornitore, e/o i suoi Sub-fornitori, rispettino gli obblighi derivanti dalla normativa in materia di protezione dei dati personali e, quindi, da questo Accordo.
8.3 L’esperimento di tali audit non deve avere ad oggetto dati di terze parti,
informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.
8.4 Nel caso in cui l’audit fornisca evidenze di violazioni alla normativa in materia di protezione dei dati personali e al presente Accordo, quali ad esempio quelle indicate all’art. 83 comma 5 (con esclusione della lett. e) l’Ente può risolvere il Contratto o chiedere una cospicua riduzione del prezzo.
8.5 Nel caso in cui l’audit fornisca evidenze di violazioni gravi, quali ad esempio quelle indicate all’art. 83 comma 4 lett. a), l’Ente può chiedere una cospicua riduzione del prezzo.
8.6 Il rifiuto del Fornitore di consentire l’audit all’Ente comporta la risoluzione
del contratto.
9. Indagini dell’Autorità e reclami
9.1 Nei limiti della normativa applicabile, il Fornitore o qualsiasi SubResponsabile informa senza alcun indugio l’Ente di qualsiasi
a) richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine
b) istanza ricevuta da soggetti interessati
Il Fornitore fornisce, in esecuzione del contratto e, quindi, gratuitamente, tutta la dovuta assistenza all’Ente per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamentari applicabili.
10. Violazione dei dati personali e obblighi di notifica
10.1 Il Fornitore, in virtù di quanto previsto dall’art. 33 del Regolamento, deve comunicare a mezzo di posta elettronica certificata all’Ente nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-Fornitori. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a
a) descrivere la natura della violazione dei dati personali
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi
10.2 Il Fornitore deve fornire tutto il supporto necessario all’Ente ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con l’Ente, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla
violazione stessa. Il Fornitore non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto dell’Ente.
11. Responsabilita’ e manleve
11.1 Il Fornitore tiene indenne e manleva l’Ente da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Fornitore delle disposizioni contenute nel presente Accordo.
11.2 A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Fornitore:
11.2.1 avverte, prontamente ed in forma scritta, l’Ente del Reclamo
11.2.2 non fornisce dettagli al reclamante senza la preventiva interazione con l’Ente
11.2.3 non transige la controversia senza il previo consenso scritto
dell’Ente;
11.2.4 fornisce all’Ente tutta l'assistenza che potrebbe ragionevolmente
richiedere nella gestione del reclamo.