Atto di nomina a Responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE n. 2016/679 del 27 aprile 2016 “Regolamento Generale sulla Protezione dei Dati” (RGPD)

Atto di nomina a Responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE n. 2016/679 del 27 aprile 2016 “Regolamento Generale sulla Protezione dei Dati” (RGPD)

TRA

L’Azienda Meyer (di seguito “Azienda” o “Titolare”) con sede ad Firenze, Viale Pieraccini 24 50139 Firenze (C.F./P.I. 02175680483) in qualità di Titolare del trattamento ai sensi del Regolamento UE 2016/679 nella persona del Direttore……………(specificare struttura) dott./dott.ssa………………………………………..

delegato/a alla sottoscrizione del presente atto dal Direttore generale, con propria deliberazione…………………………… in qualità di…………………….

E

…………………………… con sede legale in…………….. codice fiscale/partita IVA in

persona del legale rappresentante pro tempore ……………………..(di seguito “Fornitore” o “Responsabile”)

Congiuntamente indicate come le “Parti” Premesso che:

- il Regolamento Europeo n. 2016/679 Regolamento Generale sulla Protezione dei Dati (di seguito RGPD), prevede all’art. 28 che i trattamenti svolti da parte di un Responsabile del trattamento per conto del Titolare del trattamento siano disciplinati da un contratto o altro atto giuridico vincolante per il Responsabile e che individui la materia del trattamento, la durata, la natura e la finalità, il tipo di dati personali trattati e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento;

- l’Azienda e il Fornitore hanno sottoscritto in data un contratto/convenzione[ovvero convenzione,

specificare] avente a oggetto l’espletamento dell’attività di [ specificare ]……………………………….

- ai fini dell’esecuzione di detto contratto [ovvero convenzione, specificare] il Fornitore dovrà effettuare operazioni di trattamento dati personali per conto dell’Azienda;

- l’Azienda svolge il ruolo di Titolare del trattamento in relazione ai dati personali dalla stessa trattati stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento;

-tenuto conto delle attività di trattamento necessarie per dare esecuzione agli obblighi concordati tra le Parti, il Titolare del trattamento ritiene che il Fornitore [soggetto da incaricare, specificare] è in

possesso dei necessari requisiti di conoscenza specialistica, affidabilità e risorse tali da fornire sufficienti garanzie per mettere in atto misure tecniche ed organizzative adeguate a soddisfare i requisiti del RGPD e a garantire la tutela dei diritti degli interessati coinvolti nelle suddette attività di trattamento;

- l’Azienda , in qualità di Titolare del trattamento, intende nominare il Fornitore………… [soggetto da incaricare, specificare] quale Responsabile del trattamento dati e quest’ultimo intende accettare tale nomina;

- con riferimento alla summenzionata nomina, con la sottoscrizione del presente documento le Parti intendono regolare i reciproci rapporti in relazione al trattamento dei dati personali effettuato dal Fornitore per conto della Committente; tutto ciò premesso, alla luce di quanto precede, le Parti convengono e stipulano quanto segue:

ART. 1

(Oggetto, finalità e durata del trattamento)

Con la sottoscrizione del presente atto l’Azienda Meyer nomina ……………[soggetto da incaricare, specificare] …………. Responsabile del trattamento ai sensi dell’art. 28 del RGPD per le operazioni di trattamento sui dati personali di cui l’Azienda è Titolare e di cui il Responsabile entra in possesso o a cui ha comunque accesso, nell’esecuzione della propria attività contrattuale e dei compiti affidati ai sensi del contratto [ovvero convenzione, specificare] in essere tra le Parti.

Il Fornitore………………. [soggetto da incaricare, specificare], con la sottoscrizione del presente atto di nomina, conferma la diretta e approfondita conoscenza degli obblighi che assume in relazione alla disposizioni normative e si impegna a procedere al trattamento dei dati personali attenendosi alle istruzioni ricevute dal Titolare attraverso la presente nomina.

Il Fornitore prende atto che l’incarico di effettuare le operazioni di trattamento dei dati personali quale Responsabile del trattamento è affidato per l’esclusiva ragione che il profilo societario è stato ritenuto idoneo a soddisfare i requisiti di conoscenza specialistica, affidabilità e risorse tali da fornire sufficienti garanzie per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti della normativa vigente e garantisca la tutela dei diritti dell'interessato. Qualsiasi mutamento di tali requisiti che possa determinare incertezze sul mantenimento dei requisiti stessi deve essere comunicato al Titolare che può esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali o oneri a proprio carico.

Il presente atto di nomina ha validità per il tempo necessario ad eseguire le attività affidate al responsabile, e si considera venuto meno al termine delle attività stesse o qualora venga meno il rapporto con il Titolare.

Il Responsabile del trattamento, per l’espletamento delle operazioni affidategli dall’Azienda, tratta i seguenti tipi di dati:

DATI PERSONALI OGGETTO DI TRATTAMENTO DA PARTE DEL FORNITORE [indicare quali tra

i seguenti];

- dati personali, di cui all’art. 4 n. 1 del GDPR;

- dati rientranti nelle categorie “particolari” di dati personali (dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale, all'orientamento sessuale della persona) di cui all’art. 9 del GDPR;

- dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza di cui all’art. 10 GDPR.

CATEGORIE DI INTERESSATI [indicare quali tra i seguenti]:

- assistiti

- familiari degli assistiti

- dipendenti/altro personale che opera a diverso titolo all’interno dell’Azienda

- altre categorie [specificare]:

Natura del trattamento [indicare quali tra i seguenti]:

- informatico

- cartaceo

ART. 2

(Obblighi del Responsabile e modalità di trattamento)

Il Responsabile del trattamento, relativamente ai dati personali oggetto di trattamento, ha l’obbligo di attenersi alle istruzioni di seguito riportate e a quelle ulteriori impartite dal Titolare mediante procedure e/o comunicazioni specifiche.

Il Responsabile è tenuto a:

- organizzare, gestire e supervisionare tutte le operazioni di trattamento di competenza attenendosi ai principi generali e alle disposizioni della vigente normativa in materia di protezione dei dati personali, ovvero, assicurare che i dati personali oggetto del trattamento siano:

✓ trattati in modo lecito e secondo correttezza;

✓ raccolti e registrati per scopi determinati, espliciti e legittimi; a tale riguardo, l'utilizzazione di dati personali e di dati identificativi dovrà essere ridotta al minimo, in modo da escludere il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi, ovvero adottando modalità che permettano di identificare gli interessati solo in caso di necessità;

✓ esatti e, se necessario, aggiornati;

✓ pertinenti, completi e non eccedenti rispetto alle finalità del trattamento;

- effettuare il trattamento dei dati con logiche e modalità strettamente ed esclusivamente correlate alle finalità di cui all’art. 1, per il tempo strettamente necessario per il perseguimento delle finalità connesse, garantendo il pieno rispetto delle istruzioni ricevute;

- informare immediatamente l’Azienda qualora, a suo parere, l’applicazione di una sua istruzione possa violare, nel concreto contesto operativo, le disposizioni in materia di protezione dei dati personali;

- tenere il Registro delle attività di trattamento, ex art. 30 par. 2 del RGPD;

- conservare e custodire con diligenza, prudenza e perizia, i dati personali oggetto del trattamento;

- mantenere riservati, non comunicare e diffondere a terzi i dati personali e le informazioni di cui è venuto a conoscenza per effetto del trattamento;

- non utilizzare i dati personali e le informazioni, anche se in forma anonimizzata o pseudonimizzata, comprese le eventuali elaborazioni realizzate su disposizione dell’Azienda;

- assistere l’Azienda nel garantire il rispetto degli obblighi relativi alla sicurezza del trattamento, alla notifica di una violazione dei dati personali all’Autorità di controllo, alla comunicazione di una violazione di dati personali all’interessato, alla valutazione d’impatto sulla protezione dei dati personali, alla consultazione preventiva dell’Autorità di controllo ove normativamente previsto;

- attenersi alle specifiche disposizioni previste per il trasferimento di dati all’estero, qualora necessario, ed a non effettuare in alcun caso operazioni di diffusione dei dati stessi;

- mettere a disposizione del Titolare del trattamento tutte le informazioni e i documenti necessari a dimostrare il rispetto degli obblighi previsti dalla vigente normativa per il Responsabile del trattamento dati;

Il Responsabile del trattamento, tenuto conto della natura del trattamento, si obbliga ad assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato (nella definizione dell’art. 4 del RGPD) previsti dal RGPD. Qualora il Responsabile riceva richieste da parte di interessati finalizzate all’esercizio dei propri diritti, esso dovrà:

- darne tempestiva comunicazione al Titolare con comunicazione di posta elettronica certificata allegando copia delle richieste;

- coordinarsi, ove necessario e per quanto di propria competenza, con le funzioni aziendali designate dal Titolare per gestire le relazioni con gli interessati;

- assistere e supportare il Titolare con misure tecniche e organizzative adeguate al fine di soddisfare l’obbligo del Titolare del trattamento di dare seguito alle richieste di esercizio dei diritti degli interessati, negli ambiti e nel contesto del ruolo in cui opera il Responsabile del trattamento.

ART. 3

(Soggetti autorizzati al trattamento dei dati) Il Responsabile del trattamento si impegna:

- a individuare formalmente quali soggetti autorizzati al trattamento coloro che, a qualunque titolo, devono compiere per suo conto operazioni del trattamento e/o attuare compiti relativi alla protezione e alla libera circolazione dei dati limitando l’accesso e il trattamento ai soli dati necessari per lo svolgimento delle attività consentite rispetto alle mansioni svolte;

- a impartire per iscritto ai soggetti autorizzati, appropriate e complete istruzioni su come svolgere correttamente ed in modo lecito il trattamento,

- a vigilare regolarmente sulla puntuale osservanza delle istruzioni impartite da parte dei soggetti autorizzati, anche mediante verifiche periodiche;

- a curare la formazione specifica in materia di protezione dei dati personali dei soggetti autorizzati che operano sotto la sua responsabilità;

- a garantire che i propri dipendenti e/o collaboratori che operano a vario titolo nell’ambito del rapporto in essere con l’Azienda, siano dotati di esperienza, capacità e affidabilità con riferimento alla gestione dei sistemi informatici in particolare per quanto attiene alle misure di sicurezza previste dalla normativa in materia di protezione dei dati..

ART.4

(Responsabile della Protezione dei Dati)

Il Responsabile– ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni dell’art. 37 del GDPR – si impegna a nominare e comunicare al Titolare il nominativo e i dati di contatto del Responsabile della Protezione dei Dati.

ART. 5

(Trasferimento verso paesi terzi o organizzazioni internazionali)

Il Responsabile si impegna a circoscrivere gli ambiti di circolazione e trattamento dei dati personali (es. memorizzazione, archiviazione, conservazione dei dati sui propri server) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in Paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 (Paese terzo giudicato adeguato dalla Commissione europea, clausole contrattuali modello, consenso degli interessati, ecc.).

Il Responsabile pertanto non dovrà trasferire o effettuare il trattamento dei dati personali del Titolare del trattamento al di fuori dell’Unione Europea per nessuna ragione, in assenza di autorizzazione scritta da parte della Committente. Qualora, in corso di esecuzione del Contratto, la Committente rilasci tale autorizzazione, e venga pertanto effettuato un trasferimento di dati personali del Titolare del trattamento al di fuori dell’Unione Europea, tale trasferimento dovrà rispettare le previsioni di cui al Regolamento UE 2016/679.

Resta inteso fra le Parti che il Fornitore dovrà garantire che i metodi di trasferimento impiegati, ivi inclusa la conformità alle clausole contrattuali standard approvate dalla Commissione Europea e sulla base dei presupposti indicati nella medesima decisione consentano il mantenimento di costanti e documentabili standard di validità per tutta la durata del presente atto di nomina.

Il Fornitore è obbligato a comunicare immediatamente alla Committente Titolare il verificarsi delle seguenti fattispecie:

a) mancato rispetto delle clausole contrattuali standard di cui sopra;

b) qualsiasi modifica dei metodi e delle finalità di trasferimento dei dati personali della Committente all’estero.

ART.6

(Misure di sicurezza)

Con riguardo alle misure di sicurezza da osservare nel trattamento dei dati e allo scopo di ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità ivi previste, il Responsabile del trattamento si impegna:

- ad adottare adeguate ed idonee misure tecniche ed organizzative previste dalla normativa italiana ed europea in materia di protezione dei dati personali ed ogni altra previsione derivante dall’Autorità di controllo e dal Comitato Europeo per la protezione dei dati, curandone il rispetto e l’applicazione da parte degli autorizzati al trattamento, effettuando, altresì controlli sull’operato dei medesimi;

- a verificare periodicamente e, ove necessario, ad adeguare le misure di sicurezza con riferimento all’analisi dei rischi aziendali, all’evolversi della normativa e al progredire dello sviluppo tecnologico;

- a garantire le evidenze e la documentazione comprovanti l’adozione delle misure tecniche ed organizzative idonee.

ART.7

(Controlli)

Il Responsabile si impegna a consentire al Titolare la verifica del rispetto del presente atto di nomina. Il Responsabile si impegna a supervisionare e controllare direttamente i soggetti da esso designati per le operazioni di trattamento. Il Responsabile riconosce al Titolare il diritto di effettuare controlli relativamente alle operazioni aventi ad oggetto il Trattamento dei dati personali ed a tal fine il Titolare, ove lo reputi opportuno, potrà disporre verifiche a campione o attività di audit avvalendosi di personale espressamente incaricato a tale scopo. Il Responsabile si impegna a mettere a disposizione in qualunque momento e dietro richiesta del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente nomina e a contribuire alle attività di controllo, comprese eventuali ispezioni realizzate dal Titolare del Trattamento o altro soggetto incaricato. Tutti i controlli potranno essere effettuati periodicamente in base a metodologie concordate tra le Parti.

ART.8

(Nomina dei sub Responsabili del trattamento)

Il Responsabile del trattamento è autorizzato ricorrere, ai sensi di quanto previsto dall’art. 28 par. 4 del RGPD, ad altro soggetto (di seguito sub Responsabile del trattamento) per l’esecuzione di specifiche attività di trattamento per conto dell’Azienda, disciplinando il rapporto con atto giuridico o contratto teso a circoscrivere i rispettivi ambiti di responsabilità e facendo sottoscrivere al sub Responsabile le medesime condizioni applicate nel presente atto di nomina adottando nei confronti dello stesso gli stessi obblighi in materia di protezione di dati personali già in capo al Responsabile del trattamento e derivanti dalla sottoscrizione del presente atto di nomina.

Il Responsabile del trattamento dovrà assicurare che il sub Responsabile del trattamento offra garanzie sufficienti di affidabilità e riservatezza e metta in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del RGPD e che restituisca [ovvero cancelli] i dati personali oggetto dei trattamenti e le eventuali copie al termine della prestazione del servizio.

Il sub Responsabile del trattamento potrà trattare i dati personali nella misura in cui il trattamento sia strettamente necessario per l’esecuzione del Contratto in essere tra le Parti ed in ogni caso nel rispetto del presente atto di nomina, restando inteso tra le Parti che il sub Responsabile sarà inoltre obbligato al rispetto delle limitazioni cui il Fornitore è tenuto.

Qualora l’eventuale sub Responsabile, esecutore del trattamento, ometta di adempiere ai propri obblighi in materia di protezione dei dati personali, il Responsabile dichiara di espressamente e garantisce di mantenere l’intera responsabilità dell’adempimento degli obblighi di tale soggetto. Il Responsabile del trattamento dovrà trasmettere all’Azienda la denominazione del sub Responsabile del trattamento, nonché di ogni altra modifica riguardante l’aggiunta o la sostituzione con altri sub Responsabili del trattamento, dando al Titolare la possibilità di opporsi.

ART.9

(Responsabilità)

Il Responsabile del trattamento risponde per il danno causato dal trattamento se non ha adempiuto agli obblighi del RGPD specificatamente diretti al responsabile del trattamento, o ha agito in modo difforme o contrario rispetto alle istruzioni offerte dall’Azienda.

Il Responsabile del trattamento si obbliga a tenere manlevata ed indenne l’Azienda da ogni responsabilità o danno, anche nei confronti di terzi, e da qualunque somma che il Responsabile del trattamento dovesse essere condannato a pagare, derivante direttamente o indirettamente da fatti attivi o omissivi ad esso imputabili esclusivamente, commessi anche dai dipendenti e/o collaboratori che operano a vario titolo come autorizzati al trattamento dei dati, ivi inclusi i danni derivanti dalla perdita, sottrazione, deterioramento e/o distruzione dei dati trattati.

Il Responsabile del trattamento conserva nei confronti dell’Azienda l’intera responsabilità dell’adempimento degli obblighi del sub Responsabile del trattamento, qualora quest’ultimo ometta di adempiere agli obblighi in materia di protezione dei dati disciplinati nel RGPD o nel presente atto.

ART. 10

(Violazione dei dati personali c.d. data breach)

In eventuali casi di violazione dei dati personali consistenti nella violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto del Titolare del trattamento, il Responsabile deve:

a) informare il Titolare, con comunicazione da inviarsi all’indirizzo PEC dello stesso, tempestivamente e in ogni caso non oltre le 24 ore dalla scoperta dell’evento, di essere venuto a conoscenza di una violazione allegando alla comunicazione la scheda segnalazione evento (allegato 1. al presente atto) ) recante le seguenti dettagliate informazioni:

- la natura della violazione dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

- il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso il Responsabile da cui ottenere maggiori informazioni;

- le probabili conseguenze della violazione dei dati personali;

- le misure adottate per mitigare i rischi;

Tali informazioni, o alcune di esse, qualora non possano essere fornite contestualmente, possono essere trasmesse al Titolare in fasi successive, senza ulteriore ingiustificato ritardo.

b) fornire ove possibile assistenza al Titolare del trattamento per far fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti;

c) attivarsi per mitigare, ove possibile, gli effetti delle violazioni proponendo tempestive azioni correttive al Titolare ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dal Titolare stesso;

ART. 11

(Valutazione di impatto sulla protezione dei dati)

Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile del trattamento, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai sub - Responsabili.

ART. 12

(Amministratori di sistema) [eventuale]

Il provvedimento dell’Autorità Garante per la protezione dei dati personali Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema del 27 novembre 2008 e successive modifiche ed integrazioni, e si impegna a svolgere tali attività nel rispetto delle prescrizioni ivi contenute.

Art.13.

(Restituzione e cancellazione dei dati)

In caso di cessazione del contratto/convenzione, Il Responsabile provvede, a scelta e su richiesta del Titolare, alla restituzione dei dati, comprese le eventuali copie di backup e tutta la documentazione cartacea, oppure alla integrale cancellazione/distruzione degli stessi, rilasciando in ogni caso attestazione scritta che presso di se non ne sussiste copia alcuna.

In caso di richiesta scritta del Titolare, il Responsabile è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione. Sono fatti salvi eventuali obblighi di conservazione previsti dalla normativa, obblighi che il Responsabile è tenuto a motivare impegnandosi a non compiere sui dati conservati, e a non consentire ai propri sub-Responsabili, operazioni di trattamento per qualsivoglia ulteriore finalità.

ART.14

(Accettazione della nomina)

Con la sottoscrizione del presente atto, ai sensi dell’art.28 del Regolamento UE 2016/679, il Responsabile accetta la propria nomina, in relazione ai dati personali la cui conoscenza risulta essere indispensabile per l’adempimento delle obbligazioni di cui al Contratto in essere tra le Parti.

Il Responsabile è a conoscenza degli obblighi previsti dal Regolamento UE 2016/679 e dal D. Lgs. n.196/2003 "Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE", e dovrà attenersi per lo

svolgimento dei compiti assegnatigli alle previsioni e ai compiti contenuti nel presente atto di nomina. La presente nomina avrà durata fino alla cessazione, per qualsivoglia motivo, del Contratto in essere tra le Parti.

L’AZIENDA MEYER

Il Direttore …………….

Il FORNITORE

Rappresentante legale