Accordo Data Protection fra Titolare e Responsabile (Data Protection Agreement)

Firmato digitalmente da

XXXXXXXX

XXXXXXXXXX

XXXXXXXX

CN = CENTOFANTI

C = IT

Accordo Data Protection fra Titolare e Responsabile (Data Protection Agreement)

TRA

l’Ente / Amministrazione AMBITO TERRITORIALE DI CACCIA - “MASSA” , con sede legale in Xxxxx Xxxxxxxx x. 0/0- 00000 – Xxxxx (XX), in persona del suo legale rappresentante XXXXXXXXXX XXXXXXXX

E

Accenture S.P.A., in qualità di mandataria e in nome e per conto delle società mandanti nominate singolarmente responsabili ai sensi del presente atto, con sede legale in Xxx Xxxxxxx Xxxx Xxxxxx 00, 00000 Xxxxxx, in persona del suo legale rappresentante Xxxxxx Xxxxxxx

Ai sensi dell’art. 28 del Regolamento UE n. 2016/679 sulla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, l’Ente / Amministrazione AMBITO TERRITORIALE DI CACCIA – “MASSA”, in qualità di Titolare del trattamento, nomina con il presente atto, ciascuna delle società che formano parte del R.T.I, rappresentate da Accenture S.p.A. in qualità di mandataria e in nome e per conto delle mandanti (Accenture Technology Solutions S.r.l., Accenture Financial Advanced Solutions & Technology S.r.l., Pronext S.r.l.) Responsabile del trattamento, per le attività connesse alle procedure di Gara indette dall’Ente / Amministrazione stesso che comportano il trattamento di dati personali (di seguito “Responsabile”).

Tale nomina ha validità per il tempo necessario ad eseguire le operazioni affidategli e si considera revocata al termine delle operazioni stesse o qualora venga meno il rapporto contrattuale fra Regione Toscana e il R.T.I. relativo al Contratto Quadro per l’affidamento del “Servizio di Gestione del Sistema Telematico Acquisti Regionale della Toscana (START)".

Con la stipula del contratto suddetto Regione Toscana riconosce che il R.T.I. ha presentato in offerta tecnica garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per l’adozione di misure tecniche ed organizzative adeguate volte ad assicurare che il trattamento sia conforme alle prescrizioni della normativa in tema di trattamento dei dati personali.

Il R.T.I. Appaltatore in quanto Responsabile del trattamento, per le finalità del trattamento esclusivamente riconducibili all’espletamento delle operazioni affidategli tratta i seguenti tipi di dati:

- informazioni anagrafiche degli utenti dipendenti dell’Ente / Amministrazione utilizzatori del sistema START,

- informazioni anagrafiche degli utenti di imprese ed operatori privati registrati sul sistema START,

- informazioni relative a dati comuni, personali e giudiziari presenti nel documenti redatti dai concorrenti partecipanti alle procedure di gara pubblicate dall’Ente / Amministrazione.

Nell’esercizio delle proprie funzioni, ciascuna società del R.T.I. in qualità di Responsabile si impegna a:

a) rispettare la normativa vigente in materia di trattamento dei dati personali, ivi comprese le norme che saranno emanate nel corso della durata del contratto;

b) trattare i dati personali per le sole finalità specificate e nei limiti dell’esecuzione delle prestazioni contrattuali;

c) trattare i dati conformemente alle istruzioni impartite dal Titolare e di seguito indicate, che il Responsabile si impegna a far osservare anche alle persone da questi autorizzate ad effettuare il trattamento dei dati personali precedentemente indicati, d’ora in poi “persone autorizzate”; nel caso in cui ritenga che un’istruzione costituisca una violazione del Regolamento UE sulla protezione dei

dati o delle altre disposizioni di legge relative alla protezione dei dati personali, il Responsabile deve informare immediatamente il Titolare;

d) garantire la riservatezza dei dati personali trattati e verificare che le persone autorizzate a trattare i dati personali:

• si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza;

• ricevano la formazione necessaria in materia di protezione dei dati personali;

• trattino i dati personali osservando le istruzioni impartite dal Titolare per il trattamento dei dati personali al Responsabile del trattamento;

e) adottare politiche interne e attuare misure che soddisfino i principi della protezione dei dati personali fin dalla progettazione di tali misure (privacy by design), nonché adottare misure tecniche ed organizzative adeguate per garantire che i dati personali siano trattati, in ossequio al principio di necessità ovvero che siano trattati solamente per le finalità previste e per il periodo strettamente necessario al raggiungimento delle stesse (privacy by default);

f) valutare i rischi inerenti il trattamento dei dati personali e adottare tutte le misure tecniche ed organizzative che soddisfino i requisiti del Regolamento UE anche al fine di assicurare un adeguato livello di sicurezza dei trattamenti, in modo tale da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, modifica, divulgazione non autorizzata, nonché di accesso non autorizzato, anche accidentale o illegale, o di trattamento non consentito o non conforme alle finalità della raccolta;

g) su eventuale richiesta del Titolare, assistere quest’ultimo nello svolgimento della valutazione d’impatto sulla protezione dei dati, conformemente all’articolo 35 del Regolamento UE e nella eventuale consultazione del Garante per la protezione dei dati personale, prevista dall’articolo 36 del medesimo Regolamento UE;

h) ai sensi dell’art. 30 del Regolamento UE, e nei limiti di quanto esso prescrive e salve le eccezioni previste dal comma 5 del medesimo articolo, tenere un Registro delle attività di trattamento effettuate sotto la propria responsabilità e cooperare con il Titolare e con l’Autorità Garante per la protezione dei dati personali, mettendo il predetto Registro a disposizione del Titolare e dell’Autorità, laddove ne venga fatta richiesta ai sensi dell’art. 30 comma 4 del Regolamento UE; (N.B. tale obbligo non si applica alle imprese e organizzazioni con meno di 250 dipendenti, a meno che il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, o includa il trattamento di dati sensibili di cui all’art. 9. paragrafo 1, o giudiziari di cui all’articolo 10);

i) assistere il Titolare del trattamento nel garantire il rispetto degli obblighi di cui agli artt. da 31 a 36 del Regolamento UE;

l) nominare gli autorizzati che svolgono le funzioni di “amministratore di sistema”, ai sensi dei provvedimenti del Garante italiano per la protezione dei dati personali del 27/11/2008 e del 25/6/2009, conservando i relativi estremi identificativi, definendo gli ambiti di operatività ai medesimi consentiti e comunicandone al titolare l’elenco nominativo con i relativi ambiti di operatività.

Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, ciascun Responsabile del trattamento deve mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e per garantire il rispetto degli obblighi di cui all’art. 32 del Regolamento UE. Tali misure comprendono tra le altre:

• la cifratura dei dati personali;

• la pseudonimizzazione e la crittografia dei dati personali;

• la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi che trattano i dati personali; -

• la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;

• una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

Il Responsabile è tenuto inoltre a rispettare tutte le prescrizioni di carattere tecnico ed organizzativo individuate in fase di procedura di gara da Regione Toscana e descritte al capitole 2.8 del Capitolato nonché le azioni indicate dal Responsabile stesso in fase di presentazione dell’offerta tecnica nella sezione “Piano di estensione delle misure tecniche e organizzative e id rispetto della terzietà”.

Il Responsabile del trattamento può avvalersi di ulteriori Responsabili per delegargli attività specifiche, previa autorizzazione scritta del Titolare del trattamento.

Nel caso in cui l’Appaltatore/Responsabile ricorra a subappaltatori o subcontraenti è obbligato a nominare tali operatori a loro volta sub-Responsabili del trattamento sulla base della modalità sopra indicata e comunicare l’avvenuta nomina al Titolare.

Il sub-Responsabile del trattamento deve rispettare obblighi analoghi a quelli forniti dal Titolare al Responsabile Iniziale del trattamento, riportati in uno specifico contratto o atto di nomina. Spetta al Responsabile del trattamento assicurare che il sub-Responsabile del trattamento presenti garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per l’adozione di misure tecniche ed organizzative appropriate di modo che il trattamento risponda ai principi e alle esigenze del Regolamento UE. Qualora il sub-Responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserva nei confronti del Titolare l’intera responsabilità.

Il Responsabile deve assistere il Titolare al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati ai sensi degli artt. da 15 a 22 del Regolamento UE; qualora gli interessati esercitino tale diritto presso il Responsabile, quest’ultimo è tenuto ad inoltrare tempestivamente, e comunque nel più breve tempo possibile, le istanze al Titolare, supportando quest’ultimo al fine di fornire adeguato riscontro agli interessati nei termini prescritti.

Il Responsabile informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, il Titolare di ogni violazione di dati personali (cd. data breach); tale notifica è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del Regolamento UE, per permettere al Titolare del trattamento, ove ritenuto necessario, di notificare questa violazione all’Autorità Garante per la protezione dei dati personali, entro il termine di 72 ore da quanto il Titolare ne viene a conoscenza; nel caso in cui il Titolare debba fornire informazioni aggiuntive informazioni richieste e/o necessarie per l’Autorità di controllo siano esclusivamente in possesso del Responsabile e/o di suoi sub-Responsabili.

Il Responsabile deve avvisare tempestivamente e senza ingiustificato ritardo il Titolare in caso di ispezioni, di richiesta di informazioni e di documentazione da parte dell’Autorità Garante per la protezione dei dati personali; inoltre, deve assistere il Titolare nel caso di richieste formulate dall’Autorità Garante in merito al trattamento dei dati personali effettuate in per conto di Regione Toscana.

Il Responsabile deve mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al Regolamento UE, oltre a contribuire e consentire al Titolare - anche tramite soggetti terzi dal medesimo autorizzati, dandogli piena collaborazione - verifiche periodiche o circa l’adeguatezza e l’efficacia delle misure di sicurezza adottate ed il pieno e scrupoloso rispetto delle norme in materia di trattamento dei dati personali.

Il Responsabile deve comunicare al Titolare il nome ed i dati del proprio “Responsabile della protezione dei dati”, qualora, in ragione dell’attività svolta, ne abbia designato uno conformemente

all’articolo 37 del Regolamento UE; il Responsabile della protezione dei dati personali dell’Appaltatore/Responsabile collabora e si tiene in costante contatto con il Responsabile della protezione dei dati del Titolare.

Al termine della prestazione dei servizi, il Responsabile su richiesta del Titolare, si impegna a:

• restituire al Titolare del trattamento i supporti rimovibili eventualmente utilizzati su cui sono memorizzati i dati;

• distruggere tutte le informazioni registrate su supporto fisso, documentando per iscritto l’adempimento di tale operazione.

Il Responsabile si impegna a attuare quanto previsto dal provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 e s.m.i. recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratori di sistema”.

Il Responsabile del trattamento si impegna ad operare adottando tutte le misure tecniche e organizzative, le attività di formazione, informazione e aggiornamento ragionevolmente necessarie per garantire che i Dati Personali trattati siano precisi, corretti e aggiornati nel corso della durata del trattamento – anche qualora il trattamento consista nella mera custodia o attività di controllo dei dati

-eseguito dal Responsabile, o da un sub-Responsabile.

Il Responsabile non può trasferire i dati personali verso un paese terzo o un’organizzazione internazionale salvo che non abbia preventivamente ottenuto l’autorizzazione scritta da parte del Titolare.

Il Titolare del trattamento vigilerà durante tutta la durata del trattamento sul rispetto degli obblighi previsti dalle presenti istruzioni e dal Regolamento UE sulla protezione dei dati da parte del Responsabile del trattamento, nonché controllerà l’attività di trattamento dei dati personali effettuando audit, ispezioni e verifiche periodiche sull’attività posta in essere dal Responsabile.

Nel caso in cui il Responsabile agisca in modo difforme o contrario alle legittime istruzioni del Titolare oppure adotti misure di sicurezza inadeguate rispetto al rischio del trattamento risponde del danno causato agli “interessati”. In tal caso, il Titolare potrà risolvere l’adesione al contratto quadro stipulato da Regione Toscana, salvo il risarcimento del maggior danno.

Durante il periodo di adesione al Contratto Quadro, nell’eventualità di qualsivoglia modifica della normativa in materia di Trattamento dei Dati Personali che generi nuovi requisiti (ivi incluse nuove misure di natura fisica, logica, tecnica, organizzativa, in materia di sicurezza o trattamento dei dati personali), il Responsabile del trattamento si impegna a collaborare - nei limiti delle proprie competenze tecniche, organizzative e delle proprie risorse - con il Titolare e con Regione Toscana affinché siano sviluppate, adottate e implementate misure correttive di adeguamento ai nuovi requisiti applicabili all’intero sistema START.

Per il Titolare AMBITO TERRITORIALE DI CACCIA – “MASSA” Xxxxxxxxxx Xxxxxxxx Xxx il Responsabile Accenture S.p.A. Xxxxxx Xxxxxxx