Atto di nomina a RESPONSABILE del trattamento ai sensi dell’art. 28 Reg. 2016/679/EU Addendum alle relazioni contrattuali in essere tra

Atto di nomina a RESPONSABILE del trattamento ai sensi dell’art. 28 Reg. 2016/679/EU

Addendum alle relazioni contrattuali in essere

tra

UNIVERSITA` DEGLI STUDI DI GENOVA, in qualità di TITOLARE del trattamento, con sede legale in Xxx Xxxxx, x. 0, XXX 00000 Xxxxxx (XX) Codice Fiscale/ Partita IVA 00754150100, nella persona del Xxxx. Xxxxxxxx XXXXXXX, in qualità di Rettore, il quale dichiara di essere munito di tutti i necessari poteri per la sottoscrizione del presente atto

(di seguito TITOLARE)

e

……………………, con sede legale in Via…………, CAP ….., ………….. (..), Codice fiscale …………….., P. IVA ……………., rappresentato da …………….

(di seguito RESPONSABILE)

(di seguito collettivamente definite le PARTI)


Premesso che


  • Scopo delle presenti clausole contrattuali tipo (di seguito «clausole») è garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, (nel prosieguo anche solo GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)

  • I titolari del trattamento e i responsabili del trattamento accettano le presenti clausole al fine di garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del GDPR

  • Le presenti clausole si applicano al trattamento dei dati personali specificato all’allegato I (inserire eventuali altri allegati riferiti ai trattamenti-ad es. in presenza di fornitura di più servizi o di inserimento successivo di servizio)

  • Gli allegati da I a ….. costituiscono parte integrante delle clausole

  • Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto il titolare del trattamento a norma del GDPR

  • Le presenti clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del GDPR

  • Le parti si impegnano a non modificare le clausole se non per aggiungere o aggiornare informazioni negli allegati. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio o di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati

  • Quando le presenti clausole utilizzano i termini definiti, rispettivamente, nel GDPR, tali termini hanno lo stesso significato di cui al regolamento interessato

  • Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del GDPR

  • Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal GDPR o che pregiudichi i diritti o le libertà fondamentali degli interessati

  • In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole

  • Il RESPONSABILE eroga a favore del TITOLARE, nel quadro delle loro relazioni contrattuali, i Servizi dettagliati nei documenti contrattuali a cui la presente Nomina è allegata, o che comunque il Titolare e il Responsabile concordano di considerare come parte integrante (addendum) dei documenti contrattuali già in essere, e specificati nel punto 2 “Ambito del Trattamento”

  • lo svolgimento di tali Servizi da parte del RESPONSABILE comporta il trattamento per conto del TITOLARE dei dati personali meglio indicati al successivo punto 2 “Ambito del trattamento”;

  • Con il presente atto le PARTI intendono regolare il trattamento dei dati personali nel rispetto delle previsioni legislative vigenti in materia, e nello specifico in accordo con il GDPR;

  • il RESPONSABILE dichiara di possedere esperienza, competenze tecniche e risorse idonee a mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento svolto per conto del TITOLARE sia conforme alla normativa in materia di protezione dei dati personali e garantisca la tutela degli interessati, oltre a fornire garanzia circa la conformità delle attività all’art. 25 del GDPR;

  • il TITOLARE, in virtù di quanto sopra, ed ai sensi dell’art. 28 GDPR, intende designare ……….…. quale RESPONSABILE del trattamento dei dati personali in relazione all’erogazione dei Servizi nel quadro delle relazioni contrattuali con il TITOLARE;

  • il TITOLARE e ……… sono qualificati anche, nel proseguo, rispettivamente quali TITOLARE e RESPONSABILE;

  • l’Università degli Studi di Genova e ……………. dichiarano che il presente atto di nomina:

1. regola integralmente il rapporto Titolare/Responsabile esterno, salvo gli eventuali adeguamenti degli allegati per ogni eventuale trattamento aggiuntivo concordato tra le Parti

2. ha carattere novativo e sostituisce ogni eventuale nomina effettuata in precedenza (compilare il punto 2) per sanare e/o sostituire eventuali nomine parziali precedenti)


Tutto ciò premesso, e costituendo le premesse parte integrante e sostanziale del

presente atto di nomina, fra le Parti si conviene e si stipula quanto segue:

  1. Oggetto

1.1 Il TITOLARE nomina ……………. RESPONSABILE del trattamento dei dati personali, in relazione all’erogazione dei Servizi nel quadro delle relazioni contrattuali con il TITOLARE. La nomina viene accettata per mezzo del suo Legale Rappresentante, che sottoscrive il presente atto e lo accetta in tutte le sue parti, ai sensi di quanto specificato nelle Premesse.


(In caso di nomina di RTI specificare chi ricopre il ruolo di mandataria e chi di mandante/i ed inserire la formula seguente).

Si richiede alla Mandataria di comunicare i contenuti delle Clausole alle mandanti e si richiede l’attestazione della ricezione delle istruzioni contenute nell’atto di nomina. La mandataria è responsabile del coordinamento delle procedure Privacy e deve specificare i ruoli delle mandanti indicando i flussi di dati e le relative modalità. Per ogni flusso devono essere indicate le misure di sicurezza previste. (formula da inserire solo in caso di nomina di RTI)

  1. Ambito del trattamento

  • 2.1 Il RESPONSABILE del trattamento è autorizzato a trattare, per conto del TITOLARE del trattamento, i dati personali come descritto per ciascun ambito di servizio di cui all’allegato I e … (inserire eventuali altri allegati riferiti ai trattamenti-ad es. in presenza di fornitura di più servizi o di inserimento successivo di servizio)

al presente atto di nomina.

2.2 Le finalità, le categorie dei trattamenti, le categorie di interessati, i tipi di dati trattati, il periodo di conservazione e le modalità di cancellazione relativi ai diversi Servizi erogati dal RESPONSABILE, e gli specifici ed ulteriori obblighi a questi connessi, sono dettagliati in favore del TITOLARE in ciascuno degli allegati al presente atto di nomina.

  1. Obblighi generali del RESPONSABILE

3.1 Il RESPONSABILE è tenuto a trattare i dati personali solo ed esclusivamente ai fini della prestazione dei suddetti Servizi, nel rispetto di quanto disposto dalla normativa applicabile e vigente in materia di protezione dei dati personali, nonché delle istruzioni del TITOLARE riportate nei successivi punti, e di ogni altra indicazione scritta che potrà essergli dallo stesso fornita, nei limiti delle prestazioni contrattualmente dovute in suo favore.

3.2 Il RESPONSABILE nei limiti delle prestazioni contrattualmente dovute, si impegna a:

- trattare i dati in modo lecito, corretto e trasparente nei confronti dell’interessato, nell’ambito esclusivo delle finalità per le quali eroga i propri Servizi in favore del TITOLARE;

- trattare i dati personali solamente su istruzione documentata del TITOLARE del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale secondo quanto di seguito meglio specificato;

- formare adeguatamente i propri dipendenti e collaboratori rispetto all’applicazione del Regolamento e vigilare sull’operato dei propri incaricati, amministratori di sistema ed eventuali sub-responsabili, facendo sottoscrivere a costoro un apposito impegno di riservatezza;

- garantire che le persone siano espressamente autorizzate al trattamento dei dati personali e opportunamente istruite ai sensi dell’art. 29 del GDPR ;

- adottare le misure richieste ai sensi dell'art. 32 del GDPR, come meglio descritto al punto 4 “Misure di Sicurezza”;

- tenere un registro dei trattamenti in qualità di RESPONSABILE, ex art. 30 del GDPR;

- rispettare le condizioni previste dal GDPR nel ricorrere ad un altro RESPONSABILE del trattamento, come meglio descritto al punto 13 “Altri Responsabili del Trattamento”;

- assistere il TITOLARE del trattamento, tenendo conto della natura del trattamento stesso, con misure tecniche e organizzative adeguate, al fine di soddisfare l'obbligo del TITOLARE del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato di cui al capo III del GDPR;

- assistere il TITOLARE del trattamento nel garantire il rispetto degli obblighi di cui agli artt. da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del RESPONSABILE del trattamento;

-garantire la cancellazione o la restituzione di tutti i dati personali, su richiesta del TITOLARE del trattamento, al termine della prestazione dei Servizi relativi al trattamento, nonché la cancellazione delle copie esistenti, salvo che la legge non preveda la conservazione di tali dati;

- mettere a disposizione del TITOLARE del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all'art. 28 del GDPR;

- consentire e contribuire alle attività di revisione e ispezione realizzate dal TITOLARE del trattamento o da soggetto da questi delegato.

3.3 Il RESPONSABILE, altresì, si impegna affinché i dati personali relativi alle attività di trattamento poste in essere in virtù del presente atto di nomina:

- vengano trattati per scopi determinati, espliciti e legittimi, e, se utilizzati in altre operazioni di trattamento, questi debbono essere processati in termini compatibili con tali scopi, ed in ogni caso nei limiti in cui il trattamento sia necessario per l’erogazione dei Servizi, nel rispetto dei principi di pertinenza e necessità;

- siano esatti e, ove necessario, aggiornati;

- siano pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono trattati;

- siano archiviati in una forma che ne consenta la cancellazione, la rettifica (nonché la conseguente notificazione agli eventuali destinatari a cui sono stati trasmessi i dati personali oggetto di richiesta di rettifica o cancellazione), nonché la limitazione o l’opposizione al relativo trattamento;

- siano conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali gli stessi sono stati raccolti e successivamente trattati;

- siano trattati esclusivamente all’interno dell’Unione Europea ed eventualmente trasferiti verso paesi terzi solo nel rispetto del Capo V del GDPR.

  1. Misure di sicurezza

4.1 Il RESPONSABILE si impegna a individuare e adottare misure tecniche e organizzative appropriate ed adatte a garantire un livello di sicurezza adeguato al rischio, tenendo conto, fra l’altro, della tipologia di trattamento, delle finalità perseguite, del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione. Tali misure comprendono:

i) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;

ii) la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai dati personali in caso di incidente fisico o tecnico;

iii) una procedura adeguata (messa a disposizione del TITOLARE su richiesta) per provare, verificare e valutare regolarmente l'efficacia delle misure adottate al fine di garantire la sicurezza del trattamento;

iv) ove espressamente richieste dal TITOLARE, l’anonimizzazione, la pseudonimizzazione o la cifratura dei dati personali, previa valutazione dei rischi con il RESPONSABILE.

  1. Violazioni di dati personali (cd. “Data Breach”)

5.1 Il RESPONSABILE deve:

  1. comunicare tempestivamente al TITOLARE, all’indirizzo di posta elettronica certificata xxxxxxxxxx@xxx.xxxxx.xx e all’indirizzo e-mail xxxxx@xxxxxxxxxx.xxxxx.xx, ove possibile, entro 48 ore dal momento in cui ne è venuto a conoscenza, che si è verificata una violazione dei dati personali o che ha elementi per sospettarne la sussistenza. Tale comunicazione deve essere trasmessa unitamente a ogni documentazione utile al TITOLARE per consentire di notificare la violazione all’Autorità di controllo competente entro e non oltre il termine di 72 ore da quando ne ha avuto conoscenza. Deve fornire tutte le informazioni al Titolare con quanti più dettagli conosciuti in quel momento e aggiornare quest’ultimo relativamente alla natura dei dati compromessi o potenzialmente compromessi, minacciati, nonché di tutti gli eventi che possono influenzare negativamente la capacità del Responsabile esterno di eseguire il Contratto, con particolare riferimento a:

  • la natura della violazione, le categorie ed il numero dei soggetti interessati coinvolti, le categorie ed il numero dei dati personali violati;

  • il contatto presso cui ottenere più informazioni,

  • i tempi trascorsi dall'incidente alla sua individuazione, ove determinabili,

  • i tempi di presa in carico

  • gli interventi attuati o che si prevede di realizzazione e in che tempi

  • le possibili conseguenze della violazione indicando, eventualmente, i rischi per i diritti e le libertà dei soggetti interessati coinvolti;

  • le misure di cui si propone l’adozione per porre rimedio alla violazione nonché, se del caso, per attenuarne i possibili effetti negativi;

  • le modifiche delle relative policy e procedure per evitare il verificarsi di eventi simili e fornire una copia di tali modifiche al Titolare per la sua approvazione;

  1. indagare sulla violazione di dati personali adottando tutte le misure tecniche e organizzative e le misure rimediali necessarie a eliminare o contenere l’esposizione al rischio, collaborare con il TITOLARE nelle attività di indagine, mitigando qualsivoglia danno o conseguenza lesiva dei diritti e delle libertà degli Interessati (misure di mitigazione) nonché ponendo in atto un piano di misure, previa approvazione del TITOLARE, per la riduzione tempestiva delle probabilità che una violazione simile di dati personali possa ripetersi;

  2. nel caso in cui il TITOLARE debba fornire informazioni (inclusi i dettagli relativi ai servizi prestati dal Responsabile) all’Autorità di controllo, il Responsabile supporterà il TITOLARE nella misura in cui le informazioni richieste o necessarie per l’Autorità di controllo siano esclusivamente in possesso del Responsabile o di suoi Terzi Autorizzati.

  1. Valutazione d’impatto (cd. “Data Protection Impact Assessment”)

6.1 Il RESPONSABILE s’impegna fin da ora a fornire al TITOLARE, a far data dalla sottoscrizione del presente addendum, ogni elemento utile all’effettuazione, da parte di quest’ultimo, della valutazione di impatto sulla protezione dei dati, qualora lo stesso sia tenuto ad effettuarla ai sensi dell’art. 35 del GDPR, nonché ogni collaborazione nell’effettuazione della eventuale consultazione preventiva al Garante ai sensi dell’art. 36 GDPR.

  1. Soggetti autorizzati al trattamento

7.1 Il RESPONSABILE è tenuto a fornire ai propri dipendenti e collaboratori deputati a trattare i dati personali per conto del titolare, le istruzioni idonee allo scopo, vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività, anche per il periodo successivo alla cessazione del rapporto di lavoro o collaborazione.

  1. Amministratori di sistema

8.1 Nel caso in cui il RESPONSABILE eroghi i Servizi nel proprio Data Center, questo si impegna a conformarsi al Provvedimento generale del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal Provvedimento del Garante del 25 giugno 2009 “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento”, così come eventualmente modificato o sostituito dallo stesso Xxxxxxx, e ad ogni altro pertinente provvedimento dell’Autorità.

8.2 Il RESPONSABILE si impegna, in particolare, a:

i) designare quali amministratori di sistema le figure professionali dedicate alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti, alla gestione di database e allo sviluppo di software, che effettuano trattamenti di dati personali;

ii) predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali amministratori di sistema e le funzioni ad essi attribuite;

iii) comunicare, ove richiesto dal TITOLARE, l’elenco aggiornato degli amministratori dei sistemi;

iv) verificare annualmente l'operato degli amministratori di sistema;

v) mantenere i file di log in conformità a quanto previsto nel suddetto provvedimento.

8.3 Nei casi dove venga richiesta una attività di Supporto Tecnico presso i sistemi del TITOLARE, il TITOLARE conferisce al RESPONSABILE, previa apposita nomina per il tempo necessario all’intervento, il ruolo di Amministratore di Sistema.

  1. Responsabile della protezione dati (RPD)

9.1 …………….. ha nominato il Responsabile per la protezione dati, contattabile all’indirizzo e-mail ……….., anche per eventuali chiarimenti sulla policy adottata sulla protezione dei dati personali.

  1. Istanze degli interessati

10.1 Tenendo conto della natura del trattamento, il RESPONSABILE si obbliga ad assistere il TITOLARE nell’adempimento dei propri obblighi di dar seguito alle richieste di esercizio dei diritti degli interessati di cui al capo III del GDPR.

10.2 Nell’eventualità in cui gli interessati rivolgessero le proprie istanze direttamente al RESPONSABILE, questi ha l’onere di trasmettere le suddette al TITOLARE, tempestivamente e comunque non oltre il termine di 10 giorni dalla richiesta. La comunicazione deve essere inoltrata via PEC all’indirizzo xxxxxxxxxx@xxx.xxxxx.xx, avendo cura di corredare tale trasmissione di tutte le eventuali informazioni e documenti risultanti nell’ambito dei servizi di propria competenza e relativi all’istante, al fine di adempiere al proprio obbligo di assistere il TITOLARE nel riscontrare la richiesta dell’interessato.

  1. Ulteriori obblighi

11.1 Il RESPONSABILE mette a disposizione del TITOLARE tutte le informazioni necessarie per dimostrare, il rispetto degli obblighi di cui alla normativa vigente ed applicabile in materia di protezione dei dati personali e/o delle istruzioni del TITOLARE di cui al presente atto di nomina, e consente al TITOLARE del trattamento l’esercizio del potere di controllo e ispezione, prestando ogni necessaria collaborazione alle attività di audit effettuate dal TITOLARE stesso o da un altro soggetto da questi incaricato o autorizzato, con lo scopo di controllare l’adempimento degli obblighi e delle istruzioni di cui al presente atto. Resta inteso che qualsiasi verifica condotta ai sensi del presente punto dovrà essere eseguita in maniera tale da non interferire con il normale corso delle attività del RESPONSABILE e fornendo a quest’ultimo un ragionevole preavviso.

11.2 Il RESPONSABILE si impegna altresì a:

a. collaborare, se richiesto dal TITOLARE, con altri Responsabili del trattamento, al fine di armonizzare e coordinare l’intero processo di trattamento dei dati personali;

b. realizzare quant’altro sia ragionevolmente utile e/o necessario al fine di garantire l’adempimento degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati, nei limiti dei compiti affidati con il presente atto di nomina;

c. effettuare un rendiconto in ordine all’esecuzione delle istruzioni ricevute dal TITOLARE, agli adempimenti eseguiti e alle conseguenti risultanze, su richiesta del TITOLARE;

d. informare prontamente il TITOLARE di ogni questione rilevante ai fini di legge, in particolar modo, a titolo esemplificativo e non esaustivo, nei casi in cui abbia notizia, in qualsiasi modo, che risulti violata la normativa in materia di protezione dei dati personali, ovvero che il trattamento presenti rischi specifici per i diritti, le libertà fondamentali e/o la dignità dell’interessato, nonché qualora, a suo parere, un'istruzione violi la normativa, nazionale o dell’Unione Europea, relativa alla protezione dei dati.

  1. Rapporti con le autorità

12.1 Il RESPONSABILE, su richiesta del TITOLARE, s’impegna a coadiuvare quest’ultimo nella difesa in caso di procedimenti dinanzi alle autorità di controllo o giudiziarie che riguardino il trattamento dei dati personali.

  1. Altri Responsabili al Trattamento

13.1 Il RESPONSABILE del trattamento ha l'autorizzazione generale del titolare del trattamento per ricorrere a sub-responsabili del trattamento sulla base di un elenco concordato (allegato II). Il responsabile del trattamento informa specificamente per iscritto il titolare del trattamento di eventuali modifiche previste di tale elenco riguardanti l'aggiunta o la sostituzione di sub-responsabili del trattamento con un anticipo di almeno 15 giorni, dando così al titolare del trattamento tempo sufficiente per poter opporsi a tali modifiche prima del ricorso al o ai sub-responsabili del trattamento in questione. Il responsabile del trattamento fornisce al titolare del trattamento le informazioni necessarie per consentirgli di esercitare il diritto di opposizione, specificando: i) le attività di trattamento da delegare; ii) il nominativo/ragione sociale e gli indirizzi del Terzo; iii) i requisiti di affidabilità ed esperienza - anche in termini di competenze professionali, tecniche e organizzative nonché con riferimento alle misure di sicurezza - del Terzo in materia di trattamento dei dati personali; iv) il contenuto del relativo contratto tra il Responsabile e il Terzo autorizzato;

13.2 Qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento per l'esecuzione di specifiche attività di trattamento (per conto del responsabile del trattamento), stipula un contratto che impone al sub-responsabile del trattamento, nella sostanza, gli stessi obblighi in materia di protezione dei dati imposti al responsabile del trattamento conformemente alle presenti clausole. Il responsabile del trattamento si assicura che il sub-responsabile del trattamento rispetti gli obblighi cui il responsabile del trattamento è soggetto a norma delle presenti clausole e del GDPR.

13.3 Su richiesta del titolare del trattamento, il responsabile del trattamento gli fornisce copia del contratto stipulato con il sub-responsabile del trattamento e di ogni successiva modifica. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, il responsabile del trattamento può espungere informazioni dal contratto prima di trasmetterne una copia.

13.4 Il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento dell'adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con il responsabile del trattamento. Il responsabile del trattamento notifica al titolare del trattamento qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi contrattuali.

13.5 Il responsabile del trattamento concorda con il sub-responsabile del trattamento una clausola del terzo beneficiario secondo la quale, qualora il responsabile del trattamento sia scomparso di fatto, abbia giuridicamente cessato di esistere o sia divenuto insolvente, il titolare del trattamento ha diritto di risolvere il contratto con il sub-responsabile del trattamento e di imporre a quest'ultimo di cancellare o restituire i dati personali.

  1. Responsabilità

14.1 Ai sensi dell’art. 82 paragrafo 2 del GDPR, il RESPONSABILE del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del GDPR specificatamente diretti ai Responsabili del trattamento ovvero ha agito in modo difforme o contrario rispetto alle legittime istruzioni del TITOLARE del trattamento.

14.2 Qualora il TITOLARE del trattamento e il RESPONSABILE del trattamento siano coinvolti nello stesso trattamento e siano, secondo le previsioni dei paragrafi 2 e 3 dell’art. 82 del Regolamento 2016/679/EU, responsabili dell'eventuale danno causato dal trattamento, ogni TITOLARE del trattamento o RESPONSABILE del trattamento è responsabile in solido per l'intero ammontare del danno, al fine di garantire il risarcimento effettivo dell'interessato.

14.3 Nel caso in cui il TITOLARE del trattamento o il RESPONSABILE del trattamento abbia pagato, conformemente al paragrafo 4 dell’art. 82, l'intero risarcimento del danno, tale soggetto ha il diritto di reclamare dall’altra parte coinvolta nello stesso trattamento la quota del risarcimento corrispondente alla parte di responsabilità di quest'ultima per il danno, conformemente alle condizioni di cui al paragrafo 2 dell’art. 82 del GDPR.



  1. Durata

15.1 La presente nomina decorre dalla data in cui viene sottoscritta dalle PARTI ed è valida fino alla cessazione di ogni effetto dei contratti, compresi gli eventuali rinnovi degli stessi, relativi ai Servizi erogati dal RESPONSABILE in favore del TITOLARE, ovvero fino alla revoca anticipata per qualsiasi motivo da parte del TITOLARE (anche per il venir meno dei requisiti di cui alla lettera d) delle premesse, su cui si basa il presente atto di nomina e il cui possesso da parte del RESPONSABILE del trattamento è presupposto indispensabile), fermo restando che, anche successivamente alla cessazione degli effetti dei suindicati contratti, compresi gli eventuali rinnovi, o alla revoca per iscritto del presente atto di nomina, il RESPONSABILE dovrà mantenere la massima riservatezza sui dati e le informazioni relative al TITOLARE delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni. Il RESPONSABILE, all’atto di cessazione – per qualunque causa – dell’efficacia del presente atto di nomina o anche di singoli servizi erogati nell’ambito degli accordi contrattuali, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o dell’Unione Europea che preveda la conservazione dei dati personali, dovrà interrompere ogni operazione di trattamento degli stessi e dovrà provvedere, a scelta del TITOLARE, all’immediata restituzione allo stesso dei dati personali oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un’attestazione scritta che presso lo stesso RESPONSABILE non ne esiste alcuna copia. In caso di richiesta scritta del TITOLARE, il RESPONSABILE è tenuto ad indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione. Con riferimento all’obbligo di restituzione dei dati, il RESPONSABILE si obbliga ad utilizzare formati standard o da concordare con il TITOLARE.

  1. Diritto di informazione delle persone interessate

16.1 Spetta al TITOLARE del trattamento, nella propria qualità, l’obbligo di fornire agli interessati le informazioni di cui agli artt. 13-14 del GDPR.

16.2 Ai fini del completamento di tale informativa, Il RESPONSABILE comunicherà al TITOLARE i trattamenti effettuati sui dati di navigazione degli Interessati, nell’ambito dei servizi on line a cui gli stessi Interessati effettuano direttamente l’accesso.

16.3 Nel caso di erogazione dei servizi in hosting presso il RESPONSABILE, resta in capo a questo l’obbligo di fornire l’informativa di cui agli artt. 13-14 del GDPR sul trattamento dei dati personali alle Utenze universitarie che, nell’ambito delle attività di supporto alle strutture dell’Ateneo o agli interessati, accede ai sistemi e ai dati tramite gli strumenti concordati con il Responsabile (p.e. modalità di log degli accessi, registrazione delle operazioni, profilature o statistiche, tempi e modi di conservazione, …..).

  1. Disposizioni finali

17.1 Resta inteso che il presente atto di nomina non comporta alcun diritto per il RESPONSABILE a uno specifico compenso o indennità o rimborso per l’attività svolta, né ad un incremento del compenso spettante allo stesso in virtù delle relazioni contrattuali con il TITOLARE.

17.2 Per tutto quanto non previsto dal presente atto di nomina si rinvia alle disposizioni generali vigenti ed applicabili in materia di protezione dei dati personali.

17.3 Il TITOLARE si riserva in ogni caso la facoltà di rivedere le condizioni del presente atto di nomina laddove la normativa subisse una significativa riforma.


Data dell’ultima firma digitale


Il Titolare del trattamento Il Responsabile del trattamento

Università degli Studi di Genova …………..

Il Rettore Il (carica)

Xxxx. Xxxxxxxx Xxxxxxx ……………


Allegati: da _ a _

Documento informatico firmato digitalmente ai sensi del D.Lgs. 7 marzo 2005, n. 82 e norme collegate

12


Document Metadata

Filed: October 4th, 2022