CONTESTO DI RIFERIMENTO
ANNESSO AL CONTRATTO prot. DEL
CONTESTO DI RIFERIMENTO
LAZIOcrea S.p.A. (di seguito “LAZIOcrea” o “Società”) è stata costituita con Legge Regionale n. 12 del 24 novembre 2014, a seguito di fusione per unione delle società Lazio Service S.p.A. e LAit S.p.A. (Lazio Innovazione Tecnologica).
I rapporti tra LAZIOcrea e la Regione Lazio sono regolati dalle disposizioni comunitarie, nazionali e regionali vigenti, dallo Statuto della Società, nonché dai contratti di servizio stipulati sulla base dei criteri e dei contenuti predefiniti con delibera della Giunta Regionale in conformità ai principi e alla normativa vigente.
L’art. 13 dello Statuto della LAZIOcrea, da ultimo approvato con Delibera della Giunta regionale n. 459 del 25/07/2017 (di seguito “DGR 459/2017”) e con delibera dell’Assemblea straordinaria dei soci del 28/07/2017, prevede espressamente che i rapporti tra la Regione Lazio e LAZIOcrea siano regolati da uno o più contratti di servizi sulla base dei criteri e dei contenuti predefiniti dalla Giunta Regionale.
In data 29/12/2017 la Regione Lazio e LAZIOcrea hanno stipulato un Contratto Quadro di Servizi, entrato in vigore in data 1 Gennaio 2018 (Prot. LAZIOcrea n. 0306 del 10/01/2018), avente ad oggetto le attività affidate a LAZIOcrea a supporto dell’amministrazione regionale e degli enti alla stessa collegati.
LAZIOcrea, conformemente allo Statuto e sulla base di quanto stabilito nel suindicato Contratto Quadro, eroga servizi e realizza progetti per la Regione Lazio, classificabili nei seguenti ambiti di intervento:
attività di supporto e connesse all’esercizio delle funzioni amministrative della Regione Lazio di cui all’art. 118 della Costituzione e all’art. 16 dello Statuto Regionale;
attività inerenti alla formazione, aggiornamento e qualificazione professionale del personale dell’amministrazione regionale;
attività connesse all’attuazione dell’Agenda Digitale Regionale, inclusa la progettazione, realizzazione, organizzazione e gestione del SIR (Sistema Informativo Regionale), del Data Center e delle infrastrutture tecnologiche di rete.
I menzionati servizi svolti da LAZIOcrea per conto della Regione Lazio, così come pianificati attraverso la definizione del Piano Operativo Annuale (POA), comportano un trattamento di dati personali rientranti nella sfera di Titolarità dell’amministrazione stessa, ai sensi della normativa vigente in materia di protezione dei dati personali.
A tal proposito, la Regione Lazio, in qualità di Titolare del trattamento e in attuazione delle disposizioni vigenti in materia di protezione dei dati personali ha aggiornato i compiti e le responsabilità di Laziocrea, fornendo le istruzioni di cui all’art. 28 del Regolamento (DGR n. 797 del 29.11.2017, DGR n. 891 del 19 dicembre 2017 nel prosieguo rispettivamente “DGR 797/2017” e “DGR 891/2017”);
Nell’allegato A alla suindicata DGR 797/2017 sono stati definiti analiticamente i compiti affidati a LAZIOcrea quale Responsabile del trattamento designato.
Con la delibera della Giunta Regionale DGR 891/2017 è stato approvato lo schema del nuovo Contratto Quadro di Servizi tra Regione Lazio e LAZIOcrea e sono stati definiti i ruoli privacy e disciplinati gli obblighi e responsabilità del titolare e del resposnabile del trattamento e in particolare:
l’articolo 11 del Contratto Quadro disciplina i rapporti tra la Regione Lazio (Titolare del trattamento) e la LAZIOcrea (Responsabile del trattamento) in materia di trattamento dei dati personali secondo i parametri normativi di cui all’ art. 28 del Regolamento (UE) 2016/679;
nel punto 4 dell’art. 11 del Contratto Quadro la Regione Lazio autorizza LAZIOcrea - ai sensi e per gli effetti dell’ art. 28 paragrafo 2) del Regolamento UE n. 679/2016 - a ricorrere ad altro Responsabile del trattamento (sub- responsabile) in riferimento ai servizi affidati in outsourcing ad eventuali fornitori che comportano un trattamento di dati personali rientranti nella sfera di titolarità dell’amministrazione regionale e/o degli enti alla stessa collegati;
nel medesimo punto 4 si prescrive l’obbligo da parte del Responsabile del trattamento di informare il Titolare del trattamento in ordine alla nomina di eventuali altri Responsabili del trattamento nonché delle relative modifiche e/o integrazioni eventualmente intervenute al fine di consentire al Titolare stesso di procedere ad eventuali opposizioni.
Con la Delibera della Giunta Regionale n. 840 del 20 dicembre 2018 ( nel prosieguo DGR 840/2018) la Regione Lazio (Titolare del Trattamento) ha designato LAZIOCrea “Responsabile del trattamento” e, con Allegato G, ha ridefinito e/o aggiornato i compiti e le responsabilità attribuite alla LAZIOcrea con riferimento ai trattamenti dei dati personali effettuati per conto della Regione Lazio ai sensi dell’art. 28 del Regolamento (UE) 2016/679.
Con la Delibera della Giunta Regionale n. 952 del 16 dicembre 2021 (di seguito “DGR 952/2021”) la Regione Lazio ha provveduto a modificare e aggiornare le precedenti DGR 840/2018 e DGR 797/2017 – con le quali LAZIOcrea è stata designata “Responsabile del trattamento dei dati personali” – in osservanza dei vigenti parametri europei di cui all’art. 28 GDPR.
CONTESTO NORMATIVO IN CUI OPERANO LE PARTI
In riferimento ai servizi affidati al fornitore con il “Contratto Principale” si specificano di seguito i ruoli privacy delle parti in riferimento alla normativa in materia di protezione dei dati personali.
- La Regione Lazio è Titolare del trattamento dei dati personali effettuato nell’ambito delle attività oggetto del sopra menzionato contratto principale.
- LAZIOcrea opera in qualità di Responsabile del trattamento dei dati personali rientranti nella sfera di titolarità della Regione Lazio con delega alla individuazione di sub-responsabili.
- Il Fornitore/Appaltatore, nell’ambito dei servizi affidati con contratto principale, opera in qualità di sub Responsabile del Trattamento dei suindicati dati personali di titolarità della Regione Lazio.
SEZIONE I
1. Clausola 1
Scopo e ambito di applicazione
a) Scopo delle presenti clausole contrattuali tipo (di seguito «clausole») è garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,
relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
b) I titolari del trattamento e i responsabili del trattamento, di cui all'allegato I, hanno accettato le presenti clausole al fine di garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del regolamento (UE) 2016/679.
c) Le presenti clausole si applicano al trattamento dei dati personali specificato all'allegato II.
d) Gli allegati da I a IV costituiscono parte integrante delle clausole.
e) Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto il titolare del trattamento a norma del regolamento (UE) 2016/679.
f) Le presenti clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del regolamento (UE) 2016/679.
2. Clausola 2
Invariabilità delle clausole
a) Le parti si impegnano a non modificare le clausole se non per aggiungere o aggiornare informazioni negli allegati.
b) Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio o di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
3. Clausola 3
Interpretazione
a) Quando le presenti clausole utilizzano i termini definiti, rispettivamente, nel regolamento (UE) 2016/679 o nel regolamento (UE) 2018/1725, tali termini hanno lo stesso significato di cui al regolamento interessato.
b) Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
c) Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679, o che pregiudichi i diritti o le libertà fondamentali degli interessati.
4. Clausola 4
Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
5. Clausola 5
Clausola di adesione successiva
(omissis).
SEZIONE II
OBBLIGHI DELLE PARTI
6. Clausola 6
Descrizione del trattamento
I dettagli dei trattamenti, in particolare le categorie di dati personali e le finalità del trattamento per le quali i dati personali sono trattati per conto del titolare del trattamento, sono specificati nell'allegato II.
7. Clausola 7
Obblighi delle parti
7.1. Istruzioni
a) Il sub-responsabile del trattamento tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il sub-responsabile del trattamento. In tal caso, il sub-responsabile del trattamento informa il responsabile del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto lo vieti per rilevanti motivi di interesse pubblico. Il responsabile del trattamento può anche impartire istruzioni successive per tutta la durata del trattamento dei dati personali. Tali istruzioni sono sempre documentate.
b) Il sub-responsabile del trattamento informa immediatamente il responsabile del trattamento qualora, a suo parere, le istruzioni del titolare del trattamento violino il regolamento (UE) 2016/679 o le disposizioni applicabili, nazionali o dell'Unione, relative alla protezione dei dati.
7.2. Limitazione delle finalità
Il sub-responsabile del trattamento tratta i dati personali soltanto per le finalità specifiche del trattamento di cui all'allegato II, salvo ulteriori istruzioni del responsabile del trattamento.
7.3. Durata del trattamento dei dati personali
Il sub-responsabile del trattamento tratta i dati personali soltanto per la durata specificata nell'allegato II. Al termine del trattamento il sub-responsabile emette comunicazione formale verso il responsabile in cui informa che da quel momento tutti i trattamenti dell’accordo sono interrotti.
7.4. Sicurezza del trattamento
a) Il sub-responsabile del trattamento mette in atto almeno le misure tecniche e organizzative specificate nell'allegato III per garantire la sicurezza dei dati personali. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati (violazione dei dati personali). Nel valutare l'adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati.
b) Il sub-responsabile del trattamento concede l'accesso ai dati personali, oggetto di trattamento, ai membri del suo personale soltanto nella misura strettamente necessaria per l'attuazione, la gestione e il controllo del contratto. Il sub-responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
7.5. Dati sensibili
Se il trattamento riguarda dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o dati relativi a condanne penali e a reati («dati sensibili»), il sub-responsabile del trattamento applica limitazioni specifiche e/o garanzie supplementari. Tali garanzie supplementari vanno esplicitate nell’allegato III.
7.6. Documentazione e rispetto
a) Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole.
b) Il sub-responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del
responsabile del trattamento relative al trattamento dei dati conformemente alle presenti clausole.
c) Il sub-responsabile del trattamento mette a disposizione del responsabile del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e che derivano direttamente dal regolamento (UE) 2016/679. Su richiesta del responsabile del trattamento, il sub- responsabile del trattamento consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un'attività di revisione, il responsabile del trattamento può tenere conto delle pertinenti certificazioni in possesso del sub-responsabile del trattamento.
d) Il responsabile del trattamento può scegliere di condurre l'attività di revisione autonomamente o incaricare un revisore indipendente. Le attività di revisione possono comprendere anche ispezioni nei locali o nelle strutture fisiche del sub-responsabile del trattamento e, se del caso, sono effettuate con un preavviso ragionevole, non inferiore a 4 settimane.
e) Su richiesta, le parti mettono a disposizione della o delle autorità di controllo competenti le informazioni di cui alla presente clausola, compresi i risultati di eventuali attività di revisione.
7.7. Ricorso a ulteriori sub-responsabili del trattamento
a) Il sub-responsabile del trattamento ha l'autorizzazione generale del responsabile del trattamento per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato. Il sub-responsabile del trattamento informa specificamente per iscritto il titolare del trattamento di eventuali modifiche previste di tale elenco riguardanti l'aggiunta o la sostituzione di sub-responsabili del trattamento con un anticipo di almeno 15 giorni.
b) Qualora il sub-responsabile del trattamento ricorra a un ulteriore sub-responsabile (sub-sub-responsabile) del trattamento per l'esecuzione di specifiche attività di trattamento (per conto del sub-responsabile del trattamento), stipula un contratto che impone all’ulteriore sub-responsabile (sub-sub-responsabile) del trattamento, nella sostanza, gli stessi obblighi in materia di protezione dei dati imposti al sub-responsabile del trattamento conformemente alle presenti clausole. Il sub-responsabile del trattamento, ove possibile, si assicura che il sub-sub-responsabile del trattamento rispetti gli obblighi cui il sub-responsabile del trattamento è soggetto a norma delle presenti clausole e del regolamento (UE) 2016/679.
c) Su richiesta motivata del responsabile del trattamento, il sub-responsabile del trattamento gli fornisce copia del contratto stipulato con il sub-sub-responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, il responsabile del trattamento può espungere informazioni dal contratto prima di trasmetterne una copia.
d) Il sub-responsabile del trattamento rimane pienamente responsabile nei confronti del responsabile del trattamento dell'adempimento degli obblighi del sub-sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con il responsabile del trattamento. Il sub-responsabile del trattamento
notifica al titolare del trattamento qualunque inadempimento, da parte del sub-sub-responsabile del trattamento, degli obblighi contrattuali.
e) Il sub-responsabile del trattamento concorda con il sub-sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora il sub-responsabile del trattamento sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, il responsabile o il titolare del trattamento hanno diritto di risolvere il contratto con il sub-sub-responsabile del trattamento e di imporre a quest'ultimo di cancellare o restituire i dati personali.
7.8. Trasferimenti internazionali
a) Qualunque trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del sub- responsabile del trattamento è effettuato soltanto su istruzione documentata del responsabile del trattamento o per adempiere a un requisito specifico a norma del diritto dell'Unione o degli Stati membri cui è soggetto il responsabile del trattamento, e nel rispetto del capo V del regolamento (UE) 2016/679.
b) Il responsabile del trattamento conviene che, qualora il sub-responsabile del trattamento ricorra a un sub- sub-responsabile del trattamento conformemente alla clausola 7.7 per l'esecuzione di specifiche attività di trattamento (per conto del responsabile del trattamento) e tali attività di trattamento comportino il trasferimento di dati personali ai sensi del capo V del regolamento (UE) 2016/679, il sub-responsabile del trattamento e il sub- sub-responsabile del trattamento possono garantire il rispetto del capo V del regolamento (UE) 2016/679 utilizzando le clausole contrattuali tipo adottate dalla Commissione conformemente all'articolo 46, paragrafo 2, del regolamento (UE) 2016/679, purché le condizioni per l'uso di tali clausole contrattuali tipo siano soddisfatte.
8. Clausola 8
Assistenza al titolare del trattamento
a) Il sub-responsabile del trattamento notifica prontamente al responsabile del trattamento qualunque richiesta ricevuta dall'interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal responsabile del trattamento.
b) Il sub-responsabile del trattamento assiste il responsabile e/o il titolare del trattamento nell'adempimento degli obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti, tenuto conto della natura del trattamento. Nell'adempiere agli obblighi di cui alle lettere a) e b), il sub-responsabile del trattamento si attiene alle istruzioni del responsabile del trattamento.
c) Oltre all'obbligo di assistere il titolare e/o il responsabile del trattamento in conformità della clausola 8, lettera b), il sub-responsabile del trattamento assiste il titolare e/o il responsabile del trattamento anche nel garantire il rispetto dei seguenti obblighi, tenuto conto della natura del trattamento dei dati e delle informazioni a disposizione del sub-responsabile del trattamento:
i) l'obbligo di effettuare una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali («valutazione d'impatto sulla protezione dei dati») qualora un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;
ii) l'obbligo, prima di procedere al trattamento, di consultare la o le autorità di controllo competenti qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio;
iii) l'obbligo di garantire che i dati personali siano esatti e aggiornati, informando senza indugio il responsabile del trattamento qualora il sub-responsabile del trattamento venga a conoscenza del fatto che i dati personali che sta trattando sono inesatti o obsoleti;
iv) gli obblighi di cui all'articolo 32 regolamento (UE) 2016/679.
d) Le parti stabiliscono nell'allegato III le misure tecniche e organizzative adeguate con cui il sub-responsabile del trattamento è tenuto ad assistere il titolare e/o il responsabile del trattamento nell'applicazione della presente clausola, nonché l'ambito di applicazione e la portata dell'assistenza richiesta.
9. Clausola 9
Notifica di una violazione dei dati personali
In caso di violazione dei dati personali, il sub-responsabile del trattamento coopera con il titolare e/o con il responsabile del trattamento e lo assiste nell'adempimento degli obblighi che incombono a quest'ultimo a norma degli articoli 33 e 34 del regolamento (UE) 2016/679tenuto conto della natura del trattamento e delle informazioni a disposizione del sub-responsabile del trattamento.
9.1. Violazione riguardante dati trattati dal titolare e/o dal responsabile del trattamento
In caso di una violazione dei dati personali trattati dal titolare e/o dal responsabile del trattamento, il sub- responsabile del trattamento, assiste il titolare e/o il responsabile del trattamento:
a) nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il titolare e/o il responsabile del trattamento ne è venuto a conoscenza, (a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche);
b) nell'ottenere le seguenti informazioni che, in conformità dell'articolo 33, paragrafo 3, del regolamento (UE) 2016/679 devono essere indicate nella notifica del titolare e/o il responsabile del trattamento e includere almeno:
i) la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
ii) le probabili conseguenze della violazione dei dati personali;
iii) le misure adottate o di cui si propone l'adozione da parte del titolare e/o del responsabile del trattamento per porre rimedio alla violazione dei dati personali, se del caso anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
c) nell'adempiere, in conformità dell'articolo 34 del regolamento (UE) 2016/679 all'obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
9.2. Violazione riguardante dati trattati dal sub-responsabile del trattamento
In caso di una violazione dei dati personali trattati dal sub-responsabile del trattamento, quest'ultimo ne dà notifica al responsabile del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza. La notifica contiene almeno:
a) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione);
b) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;
c) le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica
iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
Le parti stabiliscono nell'allegato III tutti gli altri elementi che il sub-responsabile del trattamento è tenuto a fornire quando assiste il titolare del trattamento nell'adempimento degli obblighi che incombono al titolare e/o al responsabile del trattamento a norma degli articoli 33 e 34 del regolamento (UE) 2016/679.
SEZIONE III
DISPOSIZIONI FINALI
10. Clausola 10
Inosservanza delle clausole e risoluzione
a) Fatte salve le disposizioni del regolamento (UE) 2016/679, qualora il sub-responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti clausole, il responsabile del trattamento può dare istruzione al sub-responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti clausole o non sia risolto il contratto. Il sub-responsabile del trattamento informa prontamente il responsabile del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
b) Il responsabile del trattamento ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali conformemente alle presenti clausole qualora:
i) il trattamento dei dati personali da parte del sub-responsabile del trattamento sia stato sospeso dal titolare del trattamento in conformità della lettera a) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
ii) il sub-responsabile del trattamento violi in modo sostanziale o persistente le presenti clausole o gli obblighi che gli incombono a norma del regolamento (UE) 2016/679;
iii) il sub-responsabile del trattamento non rispetti una decisione vincolante di un organo giurisdizionale competente o della o delle autorità di controllo competenti per quanto riguarda i suoi obblighi in conformità delle presenti clausole o del regolamento (UE) 2016/679
c) Il sub-responsabile del trattamento ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora, dopo aver informato il responsabile del trattamento che le sue istruzioni violano i requisiti giuridici applicabili in conformità della clausola 7.1, lettera b), il responsabile del trattamento insista sul rispetto delle istruzioni.
d) Dopo la risoluzione del contratto il sub-responsabile del trattamento, a scelta del responsabile del trattamento, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica a quest'ultimo di averlo fatto, oppure restituisce al responsabile del trattamento tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell'Unione o dello Stato membro non richieda la conservazione dei dati personali. Finché i dati non sono cancellati o restituiti, il sub-responsabile del trattamento continua ad assicurare il rispetto delle presenti clausole.
_ROMA lì
Il Responsabile del Trattamento Il sub-Responsabile del Trattamento
LAZIOcrea s.p.a.
ALLEGATO I
Elenco delle parti
Titolare/i del trattamento:
Nome: REGIONE LAZIO
Direzione:
...............................................................................................
Responsabile/i del trattamento
LAZIOcrea S.p.a.
Sede legale: Xxx xxx Xxxxxxxx 000 00000 – XXXX (XX)
Tel. (x00) 00 00000000
Nome, qualifica e dati di contatto del referente:
Inserire nome referente interno
Firma e data di adesione: ......................................................................................................
(Delegato Privacy LAZIOcrea s.p.a.)
SubResponsabile del trattamento
Inserire i dati per fornitore. In caso di RTI sarà compito del mandatario coordinarsi perché gli stessi patti e condizioni siano definiti con ogni singolo mandante, definendo in modo preciso le differenti responsabilità sul trattamento. Il mandatario firma questa DPA per tutti i mandanti come previsto dalle regole sugli appalti e sulla composizione delle RTI.
[ ]
Firma e data di adesione: ......................................................................................................
(firmatario del contratto)
................................................................................................................................
ALLEGATO II
Descrizione del trattamento
Erogazione del servizio di di supporto, chiavi in mano, per la gestione ed erogazionecomma 2 lett.b del servizio di Contact Center del Numero Unico Regionale nonché di supporto alla rendicontazione, programmazione e gestione dei progetti finanziati oltre che servizi di supporto amministrativo, come meglio descritti nel capitolato di gara.
Categorie di interessati i cui dati personali sono trattati
Dipendenti, Operatori, Cittadini della Regione Lazio
Categorie di dati personali trattati Dati Comuni.
Categorie particolari di dati ai sensi dell’art. 9 comma 2 lettere b e g del GDPR e art. 2 sexies del Codice Privacy. Dati di personali relativi a condanne penali e reati. 10 del GDPR e art. 2-octies del Codice Privacy solo occasionalmente.
Natura del trattamento
Raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione anche a fini statistici, consultazione, uso, diffusione o qualsiasi altra forma di messa a disposizione ad organi istituzionali esterni, raffronto o interconnessione, limitazione, cancellazione o distruzione
Finalità per le quali i dati personali sono trattati per conto del titolare del trattamento
Dare corretta e pronta risposta al cittadino che si interfaccia con la pubblica amministrazione regionale.
Il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri (Regione Lazio).
Durata del trattamento
Durata del contratto maggiorata di 6 mesi con obbligo del responsabile di comunicare l’interruzione dei trattamenti con atto formale.
Per il trattamento da parte di (sub-)responsabili del trattamento, specificare anche la materia disciplinata, la natura e la durata del trattamento
Eventuali sub-subresponsabili devono rispettare le stesse misure di sicurezza applicate al primo responsabile. Inserire il singolo delegato (o richiamare quanto riportato in allegato 4) dettagliando i singoli trattamenti delegati ai subresponsabili o alle mandanti.
ALLEGATO III – RICHIESTE AL FORNITORE SUBRESPONSABILE
Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati
NOTA ESPLICATIVA:
Le misure tecniche e organizzative devono essere descritte in modo concreto e non genericamente.
Descrizione delle misure di sicurezza tecniche e organizzative messe in atto dal o dai responsabili del trattamento (comprese le eventuali certificazioni pertinenti) per garantire un adeguato livello di sicurezza, tenuto conto della natura, dell'ambito di applicazione, del contesto e della finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.
Le misure attivate al trattamento sono:
• misure di pseudonimizzazione e cifratura dei dati personali (obbligatoria a livello di campo per sistemi che gestiscono categorie di dati particolari e per dati giudiziari):
o il gruppo di progetto deve utilizzare una crittografia a livello di hard-disk;
• misure per assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento:
o consegnare specifici documenti che riportino a:
▪ evidenze periodiche semestrali sui controlli effettuati dal titolare sgli amministratori di sistema (secondo le definizione del Provvedimento dell’Autorità Garante di cui al xxxxx://xxx.xxxxxxxxxxxxxx.xx/xxxx/xxxxxx/-/xxxxxx-xxxxxxx/xxxxxx/0000000;
annotazione: nel caso di sistemi applicativi complessi occorre declinare i controlli sui soli soggetti autorizzati che hanno possibilità di effettuazione di azioni di controllo sull’operato di altri utenti e limitatamente agli autorizzati dell’appaltatore tenendo definendo in apposito documento eventuali limiti di comportamento secondo proposta del appaltatore sottoposta per approvazione al PM/RUP/Gestore entro 30 giorni dall’inizio delle attività;
▪ elenco degli amministratori di sistema aggiornato;
▪ analisi dei rischio privacy del gruppo di progetto in funzione del RID (Riservatezza, Integrità, Disponibilità);
▪ struttura dei profili utente del gruppo di progetto;
▪ modalità di gestione dei dati personali da parte del gruppo di progetto;
▪ modalità di erogazione della formazione al gruppo di progetto;
▪ evidenze delle istruzioni fornite e della formazione effettuata al personale del gruppo di progetto.
Inoltre occorre fornire a tutti i partecipanti del gruppo di progetto le seguenti regole organizzative di tutela
▪ non effettuare trattamenti che possano in qualunque modo impattare sulla riservatezza, disponibilità o confidenzialità dei dati del Cliente;
▪ non esportare su chiavetta o altro supporto dati prelevati dai sistemi, dai database o dai server del Cliente;
▪ non installare applicativi o tool web sulle postazioni lavorative del Cliente;
▪ non modificare in nessun modo le configurazioni delle risorse informatiche a meno di approvazione esplicita del Cliente.
• misure per assicurare la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico:
Per il gruppo di progetto (ove applicabili)
▪ sistemi di backup del progetto in corso;
▪ consegna di documenti che descrivano le modalità di attuazione di:
• sistemi di backup del gruppo di progetto e dei siti di sviluppo e test;
• gestione del backup delle installazioni di sviluppo e test;
• utilizzo di cloud (autorizzato ai sensi del Capo V del GDPR);
• gestione del versioning delle parti software in fase di sviluppo/test.
• procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento:
o consegna di documenti che evidenzino:
▪ attività di restore del gruppo di progetto;
▪ audit interni al gruppo di progetto;
o audit esterni da parte di LAZIOcrea s.p.a.
• misure di identificazione e autorizzazione dell'utente consegna di documenti che evidenzino: Per il gruppo di progetto
▪ profili utente per l’accesso al progetto;
▪ autenticazione con username e password (di almeno 10 caratteri), o con sistemi di identificazione alternativi (IAM – token authenticator – SSO);
▪ sostituzione password al massimo dopo 90 giorni;
• misure di protezione dei dati durante la trasmissione consegna di documenti che evidenzino, per la soluzione progettata e per gli scambi del gruppo di progetto le modalità di utilizzo di :
o protocollo Https;
o protocolli TLS 1.2 o successivi;
o FTPS o SFTP per il trasferimento di file;
o accesso all’ambiente LAZIOcrea attraverso VPN o resa disponibile dal fornitore o utilizzando quella disponibile sul data center di LAZIOcrea (limitare il tempo di connessione continuativo ad un massimo di massimo 5 ore)
• misure di protezione dei dati durante la conservazione: Per il gruppo di progetto:
▪ conservazione in armadi chiusi a chiave del supporto cartaceo;
▪ server di conservazione con accesso riservato con credenziali utente;
▪ sviluppo dell’applicazione su sistemi protetti con antivirus, antispam;
▪ ambiente di sviluppo protetto da firewall;
▪ crittografia dei dischi del gruppo di progetto (specie se opera con portatili);
▪ tracciamento degli accessi ai dati di progetto;
• misure per garantire la sicurezza fisica dei luoghi in cui i dati personali sono trattati: Per il gruppo di progetto occorre documentare opportunamente:
o misure di Anti-Intrusione degli ambienti di lavoro;
o misure di sicurezza fisica del gruppo di progetto;
• misure per garantire la registrazione degli eventi: Per il gruppo di progetto (ove applicabili):
o sistemi di log per le attività del gruppo di progetto;
o conservazione di log per non meno di 180 giorni;
o log specifici per gli amministratori di sistema come specificato in altro punto;
o evidenze dei controlli periodici sui log.
• misure per garantire la configurazione del sistema, compresa la configurazione per impostazione predefinita Per il gruppo di progetto (ove applicabili):
o documenti progettuali per descrivere la struttura dell’ambiente di sviluppo;
o documenti progettuali per descrivere la struttura dell’ambiente di test e di produzione (tale documento permetterà la predisposizione all’interno degli ambienti operativi di LAZIOCrea)
• misure di informatica interna e di gestione e governance della sicurezza informatica: Per il gruppo di progetto (ove applicabili):
o referente della sicurezza di progetto;
o piani di formazione ed evidenze della formazione erogata in ambito privacy con cadenza almeno annuale del personale coinvolto nel progetto;
o contratti esterni da sub-responsabile a struttura identificata e autorizzata;
• misure di certificazione/garanzia di processi e prodotti
o non prevista (segnalare se la soluzione è certificata ai sensi dell’art. 43 del GDPR);
o presenza di verifiche con altri sistemi esterni;
• misure per garantire la minimizzazione dei dati
o analisi in modalità privacybydesign privacybydefault (documentata)
o raccolta collegata al rispetto di normative vigenti (documentata)
• misure per garantire la qualità dei dati:
o dati comunicati dal titolare;
o Istruzioni per gli operatori;
o presenza di verifiche con altri sistemi esterni;
• misure per garantire la conservazione limitata dei dati:
o impegno contrattuale;
o attestazione di fine trattamento entro un massimo di 90 giorni dal termine del progetto;
o documento che descriva la procedure si cancellazione sicura al termine del trattamento;
• misure per garantire la responsabilità:
o organigramma privacy del gruppo di progetto;
o attribuzione delle stesse misure applicabili ai soggetti esterni che operano come sub-responsabili del trattamento (evidenza da mostrare in audit);
• misure per consentire la portabilità dei dati e garantire la cancellazione:
o procedure (anche software) di selezione dei dati ed esportazione verso file csv (Comma-separated values);
o procedure (anche software) di cancellazione selettiva e sicura dei dati a fine ciclo di vita;
o mantenimento dei soli dati legati ad altri obblighi di legge;
o documentazione esplicativa delle soluzioni attuate.
Per i trasferimenti a (sub-)responsabili del trattamento, descrivere anche le misure tecniche e organizzative specifiche che il (sub-)responsabile del trattamento deve attuare per essere in grado di fornire assistenza al titolare del trattamento.
Descrizione delle misure tecniche e organizzative specifiche che il subresponsabile del trattamento deve prendere per essere in grado di fornire assistenza al titolare del trattamento.
o Le stesse misure di sicurezza applicate al sub-responsabile vanno estese a tutta la catena produttiva. Il primo sub-responsabile mantiene la totale responsabilità per tutti i subresponsabili che ha scelto.
NOTE GENERALI
In caso di RTI le misure possono essere ripartite fra i vari soggetti in base alle caratteristiche del trattamento delegato a ciascuna parte. L’obbligazione viene assunta da RTI nella sua interezza e ripartita con documenti interni che devono essere portati all’attenzione del referente del progetto.
Il sub-responsabile è delegato per le attività di gestione e manutenzione dei sistemi informatici e degli applicativi dando piena trasparenza nell’operato a LAZIOcrea ed adegua le sue misure alle misure in essere sui siti produttivi di LAZIOcrea.
La documentazione afferente la certificazione ISO/IEC 27001 è disponibile e scaricabile al seguente link: xxxxx://xxxxxxxx.xxxxxxxxx.xx/xxxx-xxxxxx-00000/ tale documentazione sarà resa disponibile ai fornitori da parte dei team di progetto secondo le modalità indicate dagli uffici competenti (e.g. documentazione di gara, documentazione contrattuale, avvio del progetto, ecc..)
ALLEGATO IV
Elenco dei sub-responsabili del trattamento
Inserire i componenti del RTI mandanti come sub-responsabili, specificando per ciascuno il subtrattamento delegato e l’eventuale posizione dei dati – In caso di trattamenti in Cloud indicare la base giuridica su cui si base l’eventuale trasferimento al di fuori di SEE.
Ragione Sociale del subresponsabile []
SUB-TRATTAMENTO DELEGATO: Gestione
POSIZIONE dei dati: Italia
Ragione Sociale del subresponsabile []
SUB-TRATTAMENTO DELEGATO Gestione
POSIZIONE dei dati Italia