ACCORDO DI NOMINA RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI AI SENSI

Allegato E – VOUCHER IMPRESE (rev1)

ACCORDO DI NOMINA RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI AI SENSI

DELL’ARTICOLO 28 REGOLAMENTO EUROPEO N° 2016/679

Tra le seguenti parti:

Infratel Italia S.p.a. – con sede legale in Roma, via Calabria n. 46, c.a.p. 00187 e sede operativa in Roma, Viale America n. 201, 00144, C.F. e P.IVA 07791571008 (di seguito anche "Infratel Italia" o "titolare" - "titolare del trattamento") – nell’ambito dell’implementazione delle attività relative al progetto di seguito indicato

e

l’Operatore di Telecomunicazioni – (per i dati identificativi dell’Operatore si rinvia al testo della Convenzione), (di seguito anche, Operatore di TLC o “responsabile” o “responsabile del trattamento”)

di seguito congiuntamente “Parti”.

****

Premesso che:

Infratel Italia S.p.a. nell’ambito dell’implementazione delle attività relative al progetto di seguito

indicato

“Progetto Voucher Banda Ultralarga”: misura con la quale si intende progettare e sviluppare un intervento per il sostegno alla domanda di servizi ultraveloci (NGA e VHCN) in tutte le aree del Paese allo scopo di ampliare il numero di Beneficiari che adottano servizi digitali utilizzando reti ad alta velocità ad almeno 30 Mbit/s.

ha sottoscritto con l’Operatore di Telecomunicazioni la Convenzione per l’attivazione di una misura di incentivazione per le imprese destinata all’incremento della domanda di servizi di connettività (di seguito “Convenzione”);

in esecuzione degli obblighi previsti dalla predetta Convenzione, l’Operatore di Telecomunicazioni effettuerà delle operazioni di trattamento di dati personali per conto di Infratel Italia;

Infratel Italia, in qualità di titolare del trattamento, ha valutato che il suddetto Operatore di Telecomunicazioni presenta sufficienti garanzie per mettere in atto misure tecniche ed organizzative adeguate affinché il trattamento dei dati sia conforme alla normativa in materia di protezione dei dati e garantisca la tutela dei diritti e delle libertà fondamentali degli interessati;

Infratel Italia – avendo riguardo alle attività oggetto della Convezione sopra indicata ed oggetto di affidamento - intende nominare il predetto Operatore di Telecomunicazioni quale "Responsabile del trattamento dei dati" ai sensi dell'art. 28 del Regolamento (UE) 679/2016 (di seguito GDPR);

il predetto Operatore di Telecomunicazioni garantisce, per esperienza e capacità, il possesso di tutti i requisiti richiesti dalla vigente normativa in materia di protezione dei dati personali per ricoprire il ruolo di Responsabile del trattamento dei dati.

Tanto premesso, si statuisce quanto segue:

*****

a) le Parti concordano che il presente accordo (di seguito “Accordo di Nomina”) è parte integrante della Convenzione stipulata dalle Parti e sopra richiamata e che il trattamento dei dati personali deve intendersi regolato dal presente Accordo di Nomina, le cui disposizioni prevalgono su eventuali altre disposizioni presenti nei documenti contrattuali sottoscritti dalle stesse;

b) l’esecuzione delle attività oggetto della Convenzione comporta il trattamento, da parte dell’Operatore di TLC, di dati personali di cui Infratel Itala è titolare del trattamento, ai sensi dell’art. 4, par. 7, del Regolamento UE 2016/679 (di seguito anche il “Regolamento” o il “GDPR”);

c) in considerazione di quanto sopra, le Parti convengono che le attività di trattamento dei Dati Personali dovranno avvenire nel rispetto del Regolamento, del D.lgs. 196/2003, così come modificato dal D.lgs. 101/2018 (il cd. “Codice Privacy”), nonché di tutti i Provvedimenti dell’Autorità Garante per la Protezione dei Dati Personali (di seguito il “Garante”) di volta in volta adottati (congiuntamente, la “Normativa Privacy”), nonché del presente Accordo di Nomina;

d) le Parti convengono che le attività di trattamento dei dati personali dovranno avvenire nel rispetto del presente Accordo di Nomina. Pertanto, per mezzo del presente Accordo di Nomina, Infratel Italia e il suddetto Operatore di TLC intendono disciplinare i trattamenti di dati personali che quest’ultimo, in qualità di responsabile del trattamento ai sensi degli artt. 4, par. 8 e 28 del Regolamento, svolgerà nell’interesse del titolare nel corso dell’esecuzione delle attività oggetto della Convenzione, secondo le istruzioni qui impartite.

SEZIONE I

1) Scopo e ambito di applicazione

a) Scopo delle presenti clausole contrattuali (di seguito le “Clausole”) è garantire il rispetto dell'articolo 28, paragrafi 3 e 4, del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati).

b) I titolari del trattamento e i responsabili del trattamento accettano le presenti Clausole al fine di garantire il rispetto dell'articolo 28 del Regolamento (UE) 2016/679 e/o dell’articolo 29, paragrafi 3 e 4, del Regolamento (UE) 2018/1725.

c) Le presenti Clausole si applicano al trattamento dei dati personali specificato all'allegato I.

d) Gli allegati costituiscono parte integrante delle Clausole.

e) Le presenti Xxxxxxxx lasciano impregiudicati gli obblighi cui è soggetto il titolare del trattamento a norma del Regolamento (UE) 2016/679 e/o del Regolamento (UE) 2018/1725.

f) Le presenti Clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del Regolamento (UE) 2016/679 o del Regolamento (UE) 2018/1725.

2) Interpretazione

a) Quando le presenti Clausole utilizzano i termini definiti, rispettivamente, nel Regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui al Regolamento interessato.

b) Le presenti Clausole vanno lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679 o del Regolamento (UE) 2018/1725, rispettivamente.

c) Le presenti Clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal Regolamento (UE) 2016/679 o dal Regolamento (UE) 2018/1725, o che pregiudichi i diritti o le libertà fondamentali degli interessati.

3) Gerarchia

In caso di contraddizione tra le presenti Xxxxxxxx e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti Clausole, o conclusi successivamente, prevalgono le presenti Clausole.

SEZIONE II OBBLIGHI DELLE PARTI

4) Descrizione del trattamento

I dettagli dei trattamenti, in particolare le categorie di dati personali e le finalità del trattamento per le quali i dati personali sono trattati per conto del titolare del trattamento, sono specificati nell'allegato I.

5) Obblighi delle parti

5.1. Istruzioni

a) Il responsabile del trattamento tratta i dati personali soltanto su istruzione documentata del titolare del trattamento, salvo che lo richieda il diritto dell'Unione o nazionale cui è soggetto il responsabile del trattamento. In tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto lo vieti per rilevanti motivi di interesse pubblico. Il titolare del trattamento può anche impartire istruzioni successive per tutta la durata del trattamento dei dati personali. Tali istruzioni sono sempre documentate.

b) Il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, le istruzioni del titolare del trattamento violino il Regolamento (UE) 2016/679/ il Regolamento (UE) 2018/1725 o le disposizioni applicabili, nazionali o dell'Unione, relative alla protezione dei dati.

5.1.1 Istruzioni specifiche

a) Il responsabile del trattamento si impegna a garantire che l’acquisizione dei dati personali venga effettuata solo dopo l’esecuzione degli adempimenti di seguito indicati, la cui corretta esecuzione deve essere oggetto di apposito controllo da parte del responsabile. L’acquisizione dei dati è subordinata alla previa consegna agli interessati dell’informativa privacy predisposta dal titolare cfr. Allegato F: Informativa al

trattamento dei dati personali ai sensi degli artt. 13 e 14 del Regolamento UE 679/2016 (allegato della Convenzione).

b) Il responsabile dovrà, in particolare (ma non esclusivamente):

• trattare i dati: in modo lecito, corretto e trasparente; esclusivamente per le finalità individuate nel presente atto; in modo adeguato, pertinente e limitato a quanto necessario rispetto alle finalità prescritte; gli stessi dati devono essere esatti, aggiornati, e conservati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati;

• in fase di trattamento dei dati, il responsabile dovrà garantire un elevato livello di compliance avendo cura: di rispettare ogni disposizione vigente in tema di protezione dei dati personali; di adottare tutte le misure idonee a garantire riservatezza, integrità e disponibilità dei dati personali trattati; di adottare i presidi idonei a garantire la tutela dei diritti e delle libertà degli interessati;

• rispettare il divieto di diffusione dei dati personali e vincolare contrattualmente in questo senso anche i soggetti autorizzati e legittimati al trattamento dei dati, senza limiti temporali o spaziali;

• assicurare specificamente che i dati forniti dal titolare, o altrimenti trattati per conto del titolare ai fini dell’esecuzione delle attività oggetto di Convenzione, non siano oggetto di trattamenti diversi (e/o effettuati per finalità diverse) da quelli di cui al servizio affidato o, in ogni caso, non siano trattati al di fuori dei limiti imposti dal titolare, avendo cura che i dati personali – conservati nei sistemi dell’operatore - siano possibilmente tenuti separati rispetto a quelli trattati per conto di altri soggetti o per conto dello stesso responsabile ed informando prontamente il titolare di qualsivoglia situazione anomala o emergenza occorsa nell’espletamento delle proprie attività che possa avere un’influenza, anche marginale, sulle modalità di trattamento (ivi inclusa la conservazione) dei dati personali;

• impegnarsi affinché la comunicazione a terzi dei dati raccolti, nonché il loro eventuale trasferimento all’estero (ai sensi degli artt. 44 e ss. del GDPR) siano posti in essere nel rispetto delle disposizioni del GDPR, ferma restando la previa autorizzazione scritta del titolare;

• impegnarsi affinché la conservazione e l’aggiornamento della documentazione di supporto attesti, in ogni momento, la prova dell’avvenuto assolvimento degli obblighi di legge;

• tenere il registro delle attività di trattamento e delle categorie di attività relative

al trattamento ai sensi dell’art. 30 del GDPR, se applicabile.

c) Il responsabile del trattamento si impegna a non trattare, trasferire, modificare, correggere o alterare i dati personali, comunicare o divulgare o consentirne tali attività a terzi se non in conformità alle istruzioni documentate del titolare del Trattamento, a meno che il trattamento non sia richiesto dall'UE e/o dalle leggi dello Stato Membro a cui è soggetto il responsabile e/o una qualsiasi legislazione anche sovranazionale a cui è soggetto il responsabile. Il responsabile del trattamento dovrà, nella misura consentita da tali leggi, informare il titolare del trattamento di tali requisiti legali prima di trattare i dati personali e attenersi – sempre nel rispetto della vigente normativa - alle istruzioni del titolare medesimo.

5.2. Limitazione delle finalità

Il responsabile del trattamento tratta i dati personali soltanto per le finalità specifiche del trattamento di cui all'allegato I, salvo ulteriori istruzioni del titolare del trattamento.

5.3. Durata del trattamento dei dati personali

Il responsabile del trattamento tratta i dati personali soltanto per la durata specificata nell'allegato I.

5.4. Sicurezza del trattamento

a) Il responsabile del trattamento mette in atto almeno le misure tecniche e organizzative specificate nell'allegato II per garantire la sicurezza dei dati personali. Ciò include la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati (violazione dei dati personali). Nel valutare l'adeguato livello di sicurezza, le parti tengono debitamente conto dello stato dell'arte, dei costi di attuazione, nonché della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi per gli interessati.

b) Il responsabile del trattamento concede l'accesso ai dati personali oggetto di trattamento ai membri del suo personale soltanto nella misura strettamente necessaria per l'attuazione, la gestione e il controllo della Convenzione. Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali ricevuti si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza e ricevuto un’adeguata formazione in materia di protezione dei dati personali.

5.4.1 Sicurezza del trattamento

a) Il responsabile provvede affinché vengano rigorosamente adottate le misure di sicurezza ritenute idonee al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità per le quali i dati sono stati raccolti; il responsabile si impegna ad aggiornare tali misure in relazione all’avanzamento della scienza o della tecnica o all’evolversi della propria organizzazione al fine di garantire la sicurezza dei dati e dei relativi trattamenti che si rendano necessari in relazione alle operazioni di trattamento affidategli. A tal fine, ed entro i limiti suddetti, resta inteso che sarà obbligo del responsabile riferire al titolare in relazione alle misure di sicurezza adottate ed uniformarsi, nei tempi e modi concordati tra le Parti, purché tempestivi, alle eventuali ulteriori istruzioni che il titolare potrà ritenere necessario impartire ai fini del corretto trattamento dei dati e della riduzione dei rischi ad esso connessi. Il responsabile predispone idonee procedure interne finalizzate alla verifica periodica della corretta applicazione e della congruità degli adempimenti posti in essere ai sensi del GDPR, attuate in accordo con il titolare, e delle misure di sicurezza poste in essere in applicazione delle disposizioni richiamate ai precedenti punti. Il responsabile, inoltre, mantiene un costante aggiornamento sulle prescrizioni di legge in materia di trattamento dei dati personali, nonché sull’evoluzione tecnologica di strumenti e dispositivi di sicurezza, modalità di utilizzo e relativi criteri organizzativi adottabili.

b) Il responsabile, prima di procedere alle operazioni di trattamento, dovrà individuare per iscritto e istruire debitamente tutti i soggetti autorizzati a trattare i dati rientranti nell'ambito di applicazione del presente atto di nomina, garantendo al contempo che tali soggetti accedano esclusivamente ai dati necessari allo svolgimento delle attività affidate ai medesimi. A tal fine, il Responsabile garantisce espressamente che tutte le persone autorizzate al trattamento saranno soggette a un adeguato obbligo legale di riservatezza e/o si impegnino espressamente in tal senso. A tal fine, il Responsabile garantisce che:

• le persone autorizzate rispettino e applichino le istruzioni impartite da Infratel Italia ed eseguano le operazioni di trattamento nel pieno rispetto di quanto previsto dalla normativa in materia di protezione dei dati personali;

• le persone autorizzate sottoscrivano apposito impegno alla riservatezza e abbiano un adeguato obbligo legale di riservatezza;

• le persone autorizzate eseguano le operazioni di trattamento nel rispetto delle misure tecniche e organizzative adottate dal responsabile;

• le persone autorizzate siano soggetti all'autenticazione utente ed alle procedure di accesso quando accedono ai dati personali di titolarità di Infratel Italia in conformità al presente documento ed alle disposizioni normative sulla protezione dei dati applicabili;

• con specifico riferimento ai trattamenti svolti mediante modalità informatiche e/o automatizzate, provvederà a nominare, in conformità a quanto previsto nel Provvedimento del 27 novembre 2008 dell'Autorità Garante per la protezione dei dati [doc. web n. 1577499], i soggetti deputati allo svolgimento delle funzioni di "Amministratore di Sistema", fornendo a Infratel Italia, su richiesta di quest'ultima, l'elenco dei relativi nominativi.

Sarà cura del responsabile vincolare i soggetti di cui sopra alla riservatezza anche per il periodo successivo all'estinzione del rapporto intrattenuto con Infratel Italia.

5.5. Dati sensibili

Se il trattamento riguarda dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l'appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona, o dati relativi a condanne penali e a reati («dati sensibili»), il responsabile del trattamento applica limitazioni specifiche e/o garanzie supplementari.

5.6. Documentazione e rispetto

a) Le parti devono essere in grado di dimostrare il rispetto delle presenti Clausole.

b) Il responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del titolare del trattamento relative al trattamento dei dati conformemente alle presenti Clausole.

c) Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti Clausole e che derivano direttamente dal Regolamento (UE) 2016/679 e/o del Regolamento (UE) 2018/1725. Su richiesta del titolare del trattamento, il responsabile del trattamento consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti Clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o a un'attività di revisione, il titolare del trattamento può tenere conto delle pertinenti certificazioni in possesso del responsabile del trattamento.

d) Il titolare del trattamento può scegliere di condurre l'attività di revisione autonomamente o incaricare un revisore indipendente. Le attività di revisione possono comprendere anche ispezioni nei locali o nelle strutture fisiche del responsabile del trattamento e, se del caso, sono effettuate con un preavviso ragionevole.

e) Su richiesta, le parti mettono a disposizione della o delle autorità di controllo competenti le informazioni di cui alla presente clausola, compresi i risultati di eventuali attività di revisione.

5.6.1 Documentazione e rispetto

a) Il responsabile del trattamento si impegna a non ostacolare ed a collaborare in caso di ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato. Il responsabile del trattamento permetterà al titolare del trattamento o ad altro auditor incaricato di ispezionare e verificare che le disposizioni del presente documento siano rispettate. Il responsabile del trattamento dovrà fornire piena collaborazione al titolare in relazione a tali audit e fornirà, su richiesta, evidenza del rispetto degli obblighi previsti. Il responsabile del trattamento dovrà immediatamente informare il titolare qualora, a suo parere, un'istruzione ai sensi del presente articolo violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati.

5.7. Ricorso a sub-responsabili del trattamento

a) Il responsabile del trattamento ha l'autorizzazione generale del titolare del trattamento per ricorrere a sub-responsabili del trattamento.

b) Qualora si ricorra a un sub-responsabile del trattamento per l'esecuzione di specifiche attività di trattamento (per conto del responsabile del trattamento), il responsabile del trattamento rende edotto il sub-responsabile del trattamento degli stessi obblighi in materia di protezione dei dati, previsti dalle presenti Clausole. Il responsabile del trattamento si assicura che il sub-responsabile del trattamento rispetti gli obblighi cui il responsabile del trattamento è soggetto a norma delle presenti Clausole e del Regolamento (UE) 2016/679 e/o del Regolamento (UE) 2018/1725.

c) Il responsabile del trattamento rimane pienamente responsabile nei confronti del titolare del trattamento dell'adempimento degli obblighi del sub-responsabile del trattamento derivanti dal contratto che questi ha stipulato con il responsabile del trattamento. Il responsabile del trattamento notifica al titolare del trattamento qualunque inadempimento, da parte del sub-responsabile del trattamento, degli obblighi contrattuali.

5.8. Trasferimenti internazionali

a) Qualunque trasferimento di dati verso un paese terzo o un'organizzazione internazionale da parte del responsabile del trattamento è effettuato soltanto su istruzione documentata del titolare del trattamento o per adempiere a un requisito specifico a norma del diritto dell'Unione o degli Stati membri cui è soggetto il responsabile del trattamento, e nel rispetto del capo V del Regolamento (UE) 2016/679 o del Regolamento (UE) 2018/1725.

b) Il titolare del trattamento conviene che, qualora il responsabile del trattamento ricorra a un sub-responsabile del trattamento conformemente alla suddetta clausola per l'esecuzione di specifiche attività di trattamento (per conto del titolare del trattamento) e tali attività di trattamento comportino il trasferimento di dati personali ai sensi del capo V del Regolamento (UE) 2016/679, il responsabile del trattamento e il sub- responsabile del trattamento possono garantire il rispetto del capo V del Regolamento (UE) 2016/679 utilizzando le clausole contrattuali tipo adottate dalla Commissione conformemente all'articolo 46, paragrafo 2, del Regolamento (UE) 2016/679, purché le condizioni per l'uso di tali clausole contrattuali tipo siano soddisfatte.

6) Assistenza al titolare del trattamento

a) Il responsabile del trattamento notifica prontamente al titolare del trattamento qualunque richiesta ricevuta dall'interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal titolare del trattamento.

b) Il responsabile del trattamento assiste il titolare del trattamento nell'adempimento degli obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti, tenuto conto della natura del trattamento. Nell'adempiere agli obblighi di cui alle lettere

a) e b), il responsabile del trattamento si attiene alle istruzioni del titolare del trattamento.

c) Oltre all'obbligo di assistere il titolare del trattamento in conformità della suddetta clausola, il responsabile del trattamento assiste il titolare del trattamento anche nel garantire il rispetto dei seguenti obblighi, tenuto conto della natura del trattamento dei dati e delle informazioni a disposizione del responsabile del trattamento:

1) l'obbligo di effettuare una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali («valutazione d'impatto sulla protezione dei dati») qualora un tipo di trattamento possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche;

2) l'obbligo, prima di procedere al trattamento, di consultare la o le autorità di controllo competenti qualora la valutazione d'impatto sulla protezione dei dati indichi che il trattamento presenterebbe un rischio elevato in assenza di misure adottate dal titolare del trattamento per attenuare il rischio;

3) l'obbligo di garantire che i dati personali siano esatti e aggiornati, informando senza indugio il titolare del trattamento qualora il responsabile del trattamento venga a conoscenza del fatto che i dati personali che sta trattando sono inesatti o obsoleti;

4) gli obblighi di cui all'articolo 32 Regolamento (UE) 2016/679.

d) Le parti stabiliscono nell'allegato II le misure tecniche e organizzative adeguate con cui il responsabile del trattamento è tenuto ad assistere il titolare del trattamento nell'applicazione della presente clausola, nonché l'ambito di applicazione e la portata dell'assistenza richiesta.

7) Notifica di una violazione dei dati personali

In caso di violazione dei dati personali, il responsabile del trattamento coopera con il titolare del trattamento e lo assiste nell'adempimento degli obblighi che incombono a quest'ultimo a norma degli articoli 33 e 34 del Regolamento (UE) 2016/679 o degli articoli 34 e 35 del Regolamento (UE) 2018/1725, ove applicabile, tenuto conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento.

7.1. Violazione riguardante dati trattati dal titolare del trattamento

In caso di una violazione dei dati personali trattati dal titolare del trattamento, il responsabile del trattamento assiste il titolare del trattamento:

a) nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il titolare del trattamento ne è venuto a conoscenza, se del caso/(a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche);

b) nell'ottenere le seguenti informazioni che, in conformità dell'articolo 33, paragrafo 3, del Regolamento (UE) 2016/679, devono essere indicate nella notifica del titolare del trattamento e includere almeno:

1) la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

2) le probabili conseguenze della violazione dei dati personali;

3) le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali, se del caso anche per attenuarne i possibili effetti negativi.

Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.

c) nell'adempiere, in conformità dell'articolo 34 del Regolamento (UE) 2016/679, all'obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

7.2. Violazione riguardante dati trattati dal responsabile del trattamento

In caso di violazione dei dati personali trattati dal responsabile del trattamento, quest'ultimo ne dà notifica al titolare del trattamento senza ingiustificato ritardo (entro 24 ore) dopo esserne venuto a conoscenza. La notifica contiene almeno:

a) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione);

b) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;

c) le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.

Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.

Le parti stabiliscono nell'allegato II tutti gli altri elementi che il responsabile del trattamento è tenuto a fornire quando assiste il titolare del trattamento nell'adempimento degli obblighi che incombono al titolare del trattamento a norma degli articoli 33 e 34 del Regolamento (UE) 2016/679.

SEZIONE III DISPOSIZIONI FINALI

8) Inosservanza delle Clausole e risoluzione

a) Fatte salve le disposizioni del Regolamento (UE) 2016/679 e/o del Regolamento (UE) 2018/1725, qualora il responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti Clausole, il titolare del trattamento può dare istruzione al responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti Clausole o non sia risolta la Convenzione. Il responsabile del trattamento informa prontamente il titolare del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti Clausole.

b) Il titolare del trattamento ha diritto di risolvere la Convenzione per quanto riguarda il trattamento dei dati personali conformemente alle presenti Clausole qualora:

1) il trattamento dei dati personali da parte del responsabile del trattamento sia stato sospeso dal titolare del trattamento in conformità della lettera a) e il rispetto delle presenti Clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;

2) il responsabile del trattamento violi in modo sostanziale o persistente le presenti Clausole o gli obblighi che gli incombono a norma del Regolamento (UE) 2016/679 e/o del Regolamento (UE) 2018/1725;

3) il responsabile del trattamento non rispetti una decisione vincolante di un organo giurisdizionale competente o della o delle autorità di controllo competenti per quanto riguarda i suoi obblighi in conformità delle presenti Clausole o del Regolamento (UE) 2016/679 e/o del Regolamento (UE) 2018/1725.

c) Il responsabile del trattamento ha diritto di risolvere la Convenzione per quanto riguarda il trattamento dei dati personali a norma delle presenti Clausole qualora, dopo aver informato il titolare del trattamento che le sue istruzioni violano i requisiti giuridici applicabili, il titolare del trattamento insista sul rispetto delle istruzioni.

d) Il titolare del trattamento e il responsabile del trattamento si danno reciprocamente atto che l’adempimento di tutto quanto previsto nel presente atto di nomina e dalla normativa privacy al trattamento dei dati personali è essenziale e che in caso di inadempimento, da parte del responsabile del trattamento, degli obblighi dallo stesso assunti ai sensi del presente atto di nomina e della legge applicabile, il titolare del trattamento avrà diritto di risolvere, ai sensi e per gli effetti dell’art. 1456 c.c., il presente atto di nomina e la Convenzione per grave inadempimento del responsabile del trattamento, e di ottenere il risarcimento di tutti i danni subiti.

e) Dopo la risoluzione della Convenzione il responsabile del trattamento, a scelta del titolare del trattamento, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica a quest'ultimo di averlo fatto, oppure restituisce al titolare del trattamento tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell'Unione o dello Stato membro non richieda la conservazione dei dati personali. Finché i dati non sono cancellati o restituiti, il responsabile del trattamento continua ad assicurare il rispetto delle presenti Clausole.

9) RESPONSABILITÀ

Le responsabilità connesse al trattamento oggetto del presente atto sono regolate dall'art. 82 del GDPR. Il Responsabile si impegna a tenere indenne e manlevare Infratel Italia da qualsiasi danno, costo, spesa (ivi incluse le spese legali), onere, interesse e/o sanzione che quest'ultima dovesse patire in conseguenza dell'inadempimento degli obblighi assunti con la sottoscrizione del presente accordo da parte del responsabile e dei suoi sub-responsabili o a causa di comportamenti posti in essere da dipendenti, collaboratori, nonché da ogni altro soggetto autorizzato – dal responsabile o dal sub-responsabile - ad eseguire le prestazioni oggetto di affidamento.

10) MISCELLANEA

Il responsabile si impegna a inviare tutte le comunicazioni al titolare previste nel presente atto al seguente indirizzo: xxxxxxxxxxxxxx@xxxxxxxxxxxxxx.xx.

Il titolare si impegna a inviare tutte le comunicazioni al responsabile previste nel presente atto

all’indirizzo individuato nell’epigrafe della Convezione.

Il responsabile dovrà, previa richiesta del titolare, effettuare comunicazioni semestrali in favore del titolare in cui segnalare quanto realizzato nell’ambito dell’attività posta in essere in esecuzione della Convenzione. La comunicazione avrà anche lo scopo di consentire al titolare di esercitare le attività di controllo e di vigilanza previste dal presente documento.

11) Corrispettivi

I corrispettivi pattuiti nella Convenzione includono anche le prestazioni inerenti il presente accordo.

12) Ulteriori obblighi del Responsabile

Resta inteso che, nell’ipotesi in cui il responsabile tratti i dati personali oggetto della presente nomina per finalità diverse da quelle stabilite, lo farà in qualità di autonomo titolare del trattamento, con ciò comportando che dia seguito a tutti gli obblighi all’uopo previsti dal GDPR, autonomi ed ulteriori rispetto a quelli pendenti in capo al titolare.

13) Foro e legge applicabile

Il presente Accordo di Nomina è disciplinato dalla legge italiana. In tema di foro competente si rinvia a quanto definito nella Convenzione sottoscritta dalle parti.

Infratel Italia S.p.a. Operatore di TLC

Il Titolare Il Responsabile

Avv. Xxxxx Xxxxxxxx

ALLEGATO I Descrizione del trattamento

Categorie di interessati i cui dati personali sono trattati:

I dati personali oggetto di trattamento - per i quali viene in rilievo la nomina a responsabile del trattamento dei dati stessi - riguardano i beneficiari finali (imprese) individuati quali potenziali fruitori del voucher, in termini di servizi ultraveloci attivabili.

Le operazioni di trattamento potranno riguardare altresì le seguenti categorie di interessati: dipendenti, consulenti e collaboratori di Infratel Italia, soggetti terzi a questa correlati, con riferimento ai quali i dati trattati (dati di contatto e identificativi) sono funzionali a garantire – al responsabile del trattamento – un’interfaccia operativa con le pertinenti funzioni di Infratel Italia.

Categorie di dati personali trattati:

I dati personali oggetto di trattamento sono i seguenti:

• nome e cognome, luogo e data di nascita, residenza, codice fiscale;

• dati personali presenti nei seguenti documenti presentati per accedere alla misura di sostegno: domanda di ammissione al contributo “Voucher Banda Ultralarga” per le imprese (in aggiunta ai dati sopra riportati vengono richiesti i seguenti dati: dati tecnici relativi al servizio di connettività eventualmente attivo presso l’unità locale del richiedente; dati identificativi del soggetto giuridico per conto del quale si richiede il contributo; dati relativi a numero di dipendenti; fatturato/dati di bilancio; dati relativi al non superamento dei limiti degli aiuti de minimis; dati relativi al pieno e libero esercizio dei diritti del richiedente; non sottoposizione dell’impresa a liquidazione volontaria o procedure concorsuali con finalità liquidatorie; regolarità con le disposizioni vigenti in materia di normativa edilizia e urbanistica, del lavoro, della prevenzione degli infortuni e della salvaguardia dell’ambiente, obblighi contributivi; assenza di sanzione interdittiva di cui all’articolo 9, comma 2, lettera d), del decreto legislativo n. 231/2001 e di causa di incapacità a beneficiare di agevolazioni finanziarie pubbliche o comunque a ciò ostative; non aver già fruito del voucher di cui al decreto del Ministero dello sviluppo economico del 23 dicembre 2021; non aver ricevuto e non rimborsato o depositato in un conto bloccato gli aiuti individuati quali illegali o incompatibili dalla Commissione europea; assenza di status relativo ad impresa in difficoltà cosi come individuata all’articolo 2, punto 18, del Regolamento (UE) n. 651/2014 della Commissione del 17 giugno 2014) e documenti allegati alla predetta dichiarazione (fotocopia documento di identità in corso di validità);

• il contratto di servizi correlato alla misura di sostegno, stipulato tra l’Operatore ed il

beneficiario;

• dati di contatto (numero di telefono, indirizzo e-mail/PEC);

• dati relativi al contributo richiesto e dati presenti nel verbale di consegna;

• contratto già in essere o relativa fattura (se presente), quale documento allegato alla dichiarazione sostitutiva di certificazione presentata dal richiedente il beneficio.

Natura del trattamento:

Il presente Accordo di Nomina ha per oggetto il trattamento dei dati personali di pertinenza del titolare, cui il responsabile accede durante l’esecuzione delle attività oggetto di Convenzione. L’accesso ai dati personali è finalizzato al perseguimento di un interesse esclusivo del titolare del trattamento e i dati personali non saranno in alcun modo utilizzati per il perseguimento di scopi propri del responsabile.

Nello specifico, le operazioni di trattamento oggetto della presente nomina sono quelle relative alle attività oggetto di Convenzione (raccolta dati, conservazione dati).

Finalità per le quali i dati personali sono trattati per conto del titolare del trattamento:

Il responsabile, nel limite degli obblighi previsti dal presente Accordo di Nomina, tratterà dati personali per conto del titolare esclusivamente per la finalità della corretta esecuzione delle attività indicate nella Convenzione sottoscritta dalle Parti. Eventuali modifiche delle finalità di trattamento dovranno essere stabilite per iscritto dal titolare.

Nello specifico, il trattamento dei dati personali è correlato al perseguimento della seguente finalità: esecuzione delle attività richieste dall’implementazione del “Progetto Voucher Banda Ultralarga”, il quale prevede misure di sostegno alla domanda di servizi ultraveloci in tutte le aree del Paese allo scopo di ampliare il numero di imprese che adottano servizi digitali utilizzando reti ad alta velocità ad almeno 30 Mbit/s.

Durata del trattamento:

Il presente Accordo di Nomina ha validità per tutta la durata della Convenzione sottoscritta dalle Parti, salva la facoltà di revoca da parte del titolare e, pertanto, il responsabile è autorizzato al trattamento dei Dati Personali sino alla completa esecuzione delle attività oggetto della citata Convenzione. La perdita accertata da parte del responsabile dei requisiti di cui al Regolamento consentirà al titolare di esercitare la facoltà di revoca fornendo preventivamente idonee motivazioni che giustifichino tale decisione e inviando una comunicazione scritta contenente la manifestazione di tale volontà. Qualora il rapporto tra le Parti dovesse venir meno, perdesse efficacia per qualsiasi motivo o le prestazioni non fossero più erogate, gli effetti del presente accordo cesseranno automaticamente di avere effetto, senza necessità di alcuna formale comunicazione o revoca.

Rimane comunque inteso che, al cessare degli effetti del presente atto, il responsabile, fatte salve le ipotesi di legge, non sarà più in alcun modo legittimato a trattare i dati personali per conto di Infratel Italia. Di conseguenza, ogni ulteriore operazione di trattamento sarà considerata illegittima.

Dopo la risoluzione della Convenzione il responsabile del trattamento, a scelta del titolare del trattamento, cancella tutti i dati personali trattati per conto del titolare del trattamento e certifica a quest'ultimo di averlo fatto, oppure restituisce al titolare del trattamento tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell'Unione o dello Stato membro non richieda la conservazione dei dati personali. In entrambi i casi, il responsabile provvederà a rilasciare a Infratel Italia, previa richiesta, un'apposita dichiarazione scritta contenente l'attestazione che, presso il responsabile, non esiste alcuna copia di dati e/o informazioni di titolarità di Infratel Italia, salvo quelli la cui conservazione sia necessaria ai sensi della normativa nazionale e comunitaria applicabile. Infratel Italia si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della dichiarazione da ultimo menzionata.

A seguito della richiesta di cancellazione o restituzione dei dati personali da parte del titolare del trattamento, il responsabile del trattamento dovrà prontamente e, in ogni caso, entro e non oltre 72 ore dare seguito alla richiesta. Il responsabile dovrà inoltre:

• restituire una copia completa di tutti i dati al titolare mediante trasferimento sicuro di file nel formato indicato dal titolare medesimo;

• garantire che le operazioni di cancellazione, restituzione, distruzione avvengano in modo sicuro;

• se richiesto dal titolare del Trattamento cessare i Trattamenti dei dati personali effettuati per conto dello stesso.

Il responsabile vincola contrattualmente - secondo le disposizioni sopra indicate - ogni eventuale altro responsabile (o sub-processor) coinvolto nell’erogazione del servizio.

Il responsabile del trattamento può conservare i dati avendo riguardo a quanto concordato con il titolare e solo nella misura e per il periodo richiesto dalla legge dell'Unione o dello Stato

Membro, avendo cura di garantire la riservatezza di tutti i dati personali ed il trattamento degli stessi esclusivamente per gli scopi specificati nelle leggi dell'Unione o degli Stati membri che richiedono la sua conservazione e per nessun’altra finalità.

ALLEGATO II

Misure tecniche e organizzative, comprese misure tecniche e organizzative per garantire la sicurezza dei dati

Il responsabile si impegna ad adottare le misure tecniche e organizzative idonee a garantire

un’adeguata sicurezza dei dati in considerazione del rischio del trattamento in modo tale che il trattamento soddisfi i requisiti di legge, e in particolare del GDPR e di ogni adeguamento della normativa in materia, e garantisca la tutela dei diritti e delle libertà fondamentali dell’interessato. Le misure tecniche e organizzative adeguate comprendono, tra l’altro: (a) la pseudonimizzazione e la cifratura dei dati personali; (b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento; (c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei Dati Personali in caso di incidente fisico o tecnico; (d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Il responsabile provvede affinché vengano rigorosamente adottate le misure di sicurezza ritenute idonee al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità per le quali i dati sono stati raccolti.

Descrizione delle misure di sicurezza tecniche e organizzative messe in atto dal responsabile del trattamento (comprese le eventuali certificazioni pertinenti) per garantire un adeguato livello di sicurezza, tenuto conto della natura, dell'ambito di applicazione, del contesto e della finalità del trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche.

Prima sezione (nell’ambito di tale sezione sono riportate le misure indicate nella Dichiarazione

di compliance privacy e cyber security sottoscritta dall’Operatore di TLC).

Misure finalizzate:

• a osservare tutti gli obblighi derivanti dalla normativa in materia di Protezione dei Dati Personali, in particolare il Regolamento UE n. 2016/679 (“GDPR”) nonché ogni ulteriore norma dettata a livello nazionale o sovranazionale in materia di protezione dei dati, in particolare con riferimento ai provvedimenti emanati dall’Autorità Garante per la Protezione dei Dati Personali ovvero del Comitato Europeo per la Protezione dei Dati (la “normativa applicabile”);

• a porre in essere gli adempimenti richiesti dalla normativa in materia di protezione dei Dati Personali, al fine di garantire piena riservatezza, integrità e disponibilità dei dati personali oggetto di trattamento, sicurezza del trattamento medesimo e tutela dei diritti e libertà degli interessati;

• ad assicurare sia il rispetto della normativa in materia di protezione dei Dati Personali sia la sicurezza delle informazioni;

• ad assicurare il recepimento delle misure di sicurezza Agid per le pubbliche amministrazioni.

A maggior specificazione di quanto sopra menzionato, si indicano le seguenti misure:

• assessment management: definizione di ruoli e responsabilità inerenti il trattamento e la protezione dei dati personali per tutto il personale e per eventuali terze parti rilevanti

(es. fornitori, clienti, partner) e adozione dei relativi atti di designazione/autorizzazione e nomine nel rispetto del cd. principio del minimo privilegio;

• rispetto dei requisiti legali in materia di cybersecurity, con l'inclusione degli obblighi riguardanti la privacy e le libertà civili;

• per quanto riguarda gli strumenti, prodotti, applicazioni o servizi, atti idonei a garantire il rispetto dei principi della protezione dei dati fin dalla fase di progettazione (Privacy by Design) e della protezione dei dati per impostazione predefinita (Privacy by Xxxxxxx);

• tenendo conto del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, gestione degli adempimenti privacy in linea con l’art. 32 GDPR e adozione di misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

- la pseudonimizzazione e la cifratura dei dati personali;

- la capacità di assicurare su base permanente la riservatezza, l’integrità, la

disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati

personali in caso di incidente fisico o tecnico;

- una procedura per testare, verificare e valutare regolarmente l’efficacia delle

misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;

• nomina dei propri Amministratori di Sistema, in adempimento a quanto previsto dal provvedimento del Garante del 27.11.08, pubblicato in G.U. n. 300 del 24.12.2008, ove ne ricorrano i presupposti;

• nomina del DPO, se obbligatorio;

• adozione di una compliance privacy idonea ad assicurare la corretta gestione dei seguenti adempimenti: analisi del rischio; valutazione di impatto; sicurezza del trattamento; valutazione fornitori/responsabili del trattamento; tenuta del registro del trattamento; uso della rete, del sistema e delle risorse fisiche all'interno dell'organizzazione; definizione delle azioni vietate e consentite da parte dei dipendenti; definizione degli obblighi delle parti / persone coinvolte nel trattamento dei dati personali, compreso l’obbligo di confidenzialità; controllo della sicurezza degli accessi logico-fisica; adozione di procedure e policy di sicurezza per la protezione dei dati personali; gestione risorse/asset; sicurezza server/database; sicurezza postazioni di lavoro; sicurezza della rete/comunicazioni; accesso a dispositivi mobili/portatili; protezione da malware; gestione password e account; inventario dispositivi e software; identificazione e rispetto delle leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili; rispetto dei principi privacy e attuazione degli adempimenti volti a garantire l’informazione degli interessati e l’esercizio dei diritti a questi ultimi riconosciuti dalla legislazione vigente; trasmissione e conservazione dei dati; sicurezza fisica dei luoghi in cui i dati personali sono trattati; corretta registrazione degli eventi; liceità del trattamento dati; qualità del dato; portabilità e cancellazione;

• adozione di una procedura sicura per la gestione degli incidenti e dei data breach;

• utilizzo di sistemi crittografici per la sicurezza dei dati memorizzati, archiviati o trasmessi;

• modifica immediata dei diritti di accesso quando lo stato di un dipendente o di un altro soggetto cambia (terminazione, trasferimento, ecc.);

• adozione di un piano di continuità aziendale;

• adozione di un piano di disaster recovery/ un piano di backup ed un piano di test di ripristino e/o ripristino del backup;

• scansioni delle vulnerabilità e penetration test periodici e correggere la vulnerabilità in modo tempestivo;

• adozione di presidi per restituire o smaltire/distruggere in modo sicuro tutti i dati del titolare al momento della risoluzione del contratto;

• adozione di un piano di risposta agli incidenti per notificare informazioni al titolare al momento del rilevamento di eventuali incidenti di sicurezza che coinvolgono o che hanno un impatto sul titolare o che hanno compromesso il sistema informativo e informativo del titolare;

• definizione, implementazione e documentazione dei processi di trasferimento dei dati in ambito internazionale assicurando rispetto della normativa di settore;

• gli archivi ove i dati saranno conservati sono protetti mediante misure di sicurezza efficaci e adeguati a contrastare i rischi di violazione. Gli archivi sopra citati si trovano all’interno dei confini dell’EU (o SEE) e non è prevista la loro connessione o interazione con database locati al di fuori dell'Unione Europea.

Avendo riguardo anche alla cybersecurity, si richiede l’adozione delle misure di seguito indicate:

• Governance

Le politiche, le procedure e i processi per gestire e monitorare i requisiti dell'organizzazione (organizzativi, legali, relativi al rischio, ambientali) sono compresi e utilizzati nella gestione del rischio di cybersecurity.

• Risk Assessment

L'impresa comprende il rischio di cybersecurity inerente l'operatività dell'organizzazione (incluse la mission, le funzioni, l'immagine o la reputazione), gli asset e gli individui.

• Supply Chain Risk Management

Le priorità, i vincoli, le tolleranze al rischio e le ipotesi dell'organizzazione sono stabilite e utilizzate per supportare le decisioni di rischio associate alla gestione del rischio legato alla catena di approvvigionamento. L'organizzazione ha definito e implementato i processi atti a identificare, valutare e gestire il rischio legato alla catena di approvvigionamento.

• Identity Management, Authentication and Access Control

L'accesso agli asset fisici e logici ed alle relative risorse è limitato al personale, ai processi e ai dispositivi autorizzati, ed è gestito in maniera coerente con la valutazione del rischio di accesso non autorizzato alle attività ed alle transazioni autorizzate, avendo cura di rispettare la normativa privacy e garantire la sicurezza informatica.

• Awareness and Training

Il personale e le terze parti sono sensibilizzati in materia di tutela dei dati personali e cybersecurity e vengono addestrate per adempiere ai loro compiti e ruoli coerentemente con le politiche, le procedure e gli accordi esistenti.

• Data Security

I dati sono memorizzati e gestiti in accordo alla strategia di gestione del rischio dell'organizzazione, al fine di garantire l'integrità, la confidenzialità e la disponibilità delle informazioni.

• Information ProtectionProcesses and Procedures

Sono attuate e adeguate nel tempo politiche di sicurezza (che indirizzano scopo, ambito, ruoli e responsabilità, impegno da parte del management e coordinamento tra le diverse entità organizzative), processi e procedure per gestire la protezione dei sistemi informativi e degli assets.

• Maintenance

La manutenzione dei sistemi informativi e di controllo industriale è fatta in accordo con le politiche e le procedure esistenti.

• Protective Technology

Le soluzioni tecniche di sicurezza sono gestite per assicurare sicurezza e resilienza di sistemi e asset, in coerenza con le relative politiche, procedure ed accordi.

• Anomalies and Events

Le attività anomale sono rilevate e il loro impatto potenziale viene analizzato.

• Security Continuous Monitoring

I sistemi informativi e gli asset sono monitorati per indentificare eventi di cybersecurity e per verificare l'efficacia delle misure di protezione

• DetectionProcesses

Sono adottati, mantenuti e verificati processi e procedure di monitoraggio per assicurare la comprensione di eventi anomali.

• Response Planning

Procedure e processi di risposta sono eseguiti e mantenuti per assicurare una risposta agli incidenti di cybersecurity rilevati ed il rispetto della normativa in materia di protezione dei dati personali

• Communications

Le attività di risposta sono coordinate con le parti interne ed esterne (es. eventuale supporto da parte degli organi di legge o dalle forze dell'ordine).

• Analysis

Vengono condotte analisi per assicurare un'efficace riposta e supporto alle attività di ripristino.

• Mitigation

Vengono eseguite azioni per prevenire l'espansione di un evento di sicurezza, per mitigare i suoi effetti e per risolvere l'incidente.

• Improvements

Le attività di risposta sono migliorate incorporando le "lessonlearned" da attività precedenti di monitoraggio e risposta.

• Recovery Planning

I processi e le procedure di ripristino sono eseguiti e mantenuti per assicurare un recupero dei sistemi o asset coinvolti da un incidente di cybersecurity.

• Improvements

I piani di ripristino ed i relativi processi sono migliorati tenendo conto delle "lesson learned" per le attività future.

• Communications

Le attività di ripristino a seguito di un incidente sono coordinate con le parti interne ed esterne (es. le vittime, gli ISP, i proprietari dei sistemi attaccati, i vendor, i CERT/CSIRT).

Seconda sezione

Misure organizzative e tecniche volte a regolamentare adeguatamente i seguenti aspetti:

• definizione di un iter procedurale e comportamentale da seguire in caso: di esecuzione della notifica al titolare del trattamento di eventuali richieste ricevute dall'interessato; di ricezione di dette istanze e richiesta di supporto ed assistenza da parte del titolare impegnato nella gestione degli obblighi di rispondere alle richieste degli interessati per l’esercizio dei loro diritti;

• collaborazione con il titolare nella gestione dei rapporti con gli interessati al fine: (i) garantire al titolare l’accesso, la consultazione, l’aggiornamento dei dati, la raccolte dei dati, nel rispetto sempre della normativa vigente; (ii) collaborare attivamente e assistere il Titolare – ponendo in essere tutti gli adempimenti e le attività utili o necessarie, anche tramite misure tecniche e organizzative adeguate – affinché lo stesso possa dare seguito tempestivamente alle richieste degli interessati per l’esercizio dei loro diritti; (iii) informare tempestivamente il titolare in merito a ogni eventuale istanza proveniente dall’interessato e, in ogni caso, a rispondere all’interessato unicamente in conformità alle istruzioni scritte del titolare ed alla legge applicabile; (iv) fornire informazioni o integrazioni di informazioni richieste sulle operazioni di trattamento e consente la tempestiva esibizione degli elementi documentali; (v) consente l’effettuazione di controlli; (vi) compiere quanto necessario per una tempestiva esecuzione degli obblighi di legge; (vii) comunicare tempestivamente al titolare eventuali controversie insorte con gli interessati;

• definizione di procedure atte a gestire gli obblighi di assistenza verso il titolare del trattamento impegnato nella gestione degli obblighi di garantire esattezza ed aggiornamento dei dati;

• definizione di ruoli e responsabilità anche relativi all’obbligo del responsabile di informare

– senza indugio il titolare – qualora venga a conoscenza del fatto che i dati personali che sta trattando sono inesatti o obsoleti;

• definizione di procedure atte a gestire gli obblighi verso il titolare del trattamento in caso di violazione riguardanti dati personali, come regolamentati dalle clausole del presente accordo. Con riferimento alle informazioni che il responsabile dovrà fornire al titolare in caso di violazione dei dati personali, la comunicazione al titolare dovrà contenere oltre a quanto già previsto nelle Clausole anche le informazioni circa le caratteristiche, entità e modalità dell’evento che ha causato la violazione dei dati personali. Il responsabile si impegna inoltre ad garantire la presenza di misure volte ad assistere il Titolare nell’adempimento degli obblighi di cui all’art 33 e 34 del regolamento, fornendo qualsiasi documentazione che il titolare riterrà utile e necessaria ai fini dell’adempimento degli obblighi citati e assistendo il titolare nella redazione della documentazione da inviare al Garante.

• adozione di espedienti ragionevoli per assistere nelle indagini, nella mitigazione e risoluzione di ogni violazione dei dati personali, avendo cura di non informare i terzi senza prima aver informato il titolare, salvo che lo richieda il diritto dell'Unione o nazionale;

• definizione di procedure atte a gestire la collaborazione con il titolare nella gestione dei rapporti con il Garante e con l’autorità pubblica. Il responsabile, in particolare garantisce la presenza di procedure volte a: (i) informare tempestivamente il Titolare di ogni richiesta proveniente dal Garante nell’esercizio dei poteri di controllo a questi attribuiti al fine dell’attuazione del GDPR e da altra autorità competente ai sensi delle leggi sulla protezione dei dati applicabili in relazione ai Dati Personali di titolarità di Infratel Italia; (ii) cooperare con il titolare, fornire informazioni o integrazioni di informazioni richieste sulle operazioni di trattamento e consentire la tempestiva esibizione degli elementi documentali; (iii) consentire l’effettuazione di controlli; (iv) consentire l’accesso alle raccolte dei dati oggetto delle operazioni

di trattamento, nel rispetto sempre della normativa vigente; (v) compiere quanto necessario per una tempestiva esecuzione dei provvedimenti impartiti; (vi) in generale, comunicare tempestivamente al titolare qualsivoglia questione rilevante ai fini di legge; (vii) mettere a disposizione del titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi previsti dalla normativa applicabile in materia di dati personali, consentendo le attività di verifica, revisione e ispezione da parte del titolare o di suoi soggetti autorizzati; (viii) informare immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il presente regolamento o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati; (ix) rendere immediatamente edotta Infratel Italia in caso di ispezioni e/o eventuali misure adottate nei suoi confronti da parte dell'Autorità Garante per la protezione dei dati personali e/o di altra Autorità competente in materia, nonché in caso di qualsivoglia violazione della normativa in materia di protezione dei dati.