ALLEGATO Clausole Contrattuali Privacy

ALLEGATO Clausole Contrattuali Privacy

SCHEMA di Contratto tra il Titolare del trattamento dei dati personali e il Responsabile del trattamento (Fornitore) ai sensi dell’art. 28 del Regolamento UE 2016/679.

L’Istituto Superiore per la Protezione e la Ricerca Ambientale -Ispra, con sede legale in Xxx Xxxxxxxxx Xxxxxxxx 00 - 00000 Xxxx, e rappresentato dal Presidente Xxxx. Xxxxxxx Xxxxxxx (qui di seguito, “il Titolare del trattamento” o “Ispra” o “Istituto”)

da una parte, e

la Società XXXX (INSERIRE DATI FORNITORE AGGIUDICATARIO/CONTRAENTE) con

sede legale in […] e rappresentato da […]

(qui di seguito, “il Responsabile del trattamento” o “il Fornitore”)

PREMESSO CHE:

• in data XX/XX/XXXX, l’Ispra ed il Fornitore affidatario dell’appalto (inserire CIG), avente ad oggetto l’acquisizione della Fornitura e messa in opera impianto di controllo accessi carraio e pedonale garage di via Xxxxxxxx 60, controllo varco accessi carrai xxx Xxxxxxxx 00 e 52, evoluzione controllo accessi dipendenti e pedonali xxx Xxxxxxxx 00 e via Xxxx Xxxxxxx, sottoscrivevano il contratto per l’erogazione dei predetti servizi (di seguito “Contratto”);

• il Fornitore, nell’ambito dell’esecuzione dei servizi oggetto del Contratto, svolgerà operazioni di trattamento di dati personali le cui decisioni in ordine ai mezzi, alle finalità, alle modalità del trattamento e agli strumenti utilizzati, ivi compreso il profilo della sicurezza, sono stabiliti da Ispra, (di seguito “Dati”);

• dal 25 maggio 2018 è applicabile il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, avente ad oggetto la tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché la libera circolazione di tali dati e che abroga la direttiva 95/46/CE (di seguito definito anche “Regolamento Generale sulla Protezione dei dati” o “Regolamento UE”);

• dal 19 settembre 2018 è in vigore il decreto legislativo 10 agosto 2018 n. 101, recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, decreto che ha apportato sostanziali modifiche al decreto legislativo 30 giugno 2003, n. 196 (di seguito “Codice Privacy e s.m.i.”);

• dall’8 giugno 2018 è in vigore il decreto legislativo 18 maggio 2018 n. 51, di attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (di seguito “Decreto sul trattamento dei dati giudiziari”;

• ai sensi dell’art. 4, paragrafo 1, n.1 del Regolamento e dell’art. 4 lett. b) del Codice Privacy e s.m.i. il Dato personale è: “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”;

• a norma dell’art. 4, paragrafo 1, n. 2 del Regolamento e dell’art. 4 lett. a) del Codice Privacy e s.m.i. per Trattamento si intende: “qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”;

• l’art. 4, paragrafo 1, n. 8 del Regolamento definisce il Responsabile del trattamento come: “la persona fisica, la persona giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;

• l’art. 28, paragrafo 1, del Regolamento ed il relativo Considerando 81 stabiliscono che: “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;

• l’art. 28, paragrafi 3 e 9, del Regolamento impongono che i trattamenti di dati autorizzati al Responsabile: “siano disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri”, stipulato in forma scritta o in formato elettronico, “che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”;

• a norma dell’art. 81, paragrafo 1, del Regolamento: “Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento” e che ai sensi del successivo paragrafo 2: “un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento”, salvo che dimostri che l’evento dannoso non gli è in alcun modo imputabile;

• ai sensi dell’art. 81, paragrafo 4, del Regolamento: “Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato”;

• l’art. 83, paragrafo 4, lett. a) del Regolamento, stabilisce che la violazione degli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli da 25 a 39, 42 e 43, tenuto conto delle singole circostanze del caso e dei criteri di applicazione e graduabilità delle sanzioni stabiliti dal paragrafo 2, è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 euro, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, e che ai sensi del successivo paragrafo 5, la violazione delle disposizioni del Regolamento richiamate nelle lettere a, b, c, e è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 euro, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell’esercizio precedente, se superiore;

• le sanzioni amministrative pecuniarie di cui all’articolo 83, paragrafi 4 e 5, sono applicabili dall’Autorità per la protezione dei dati personali anche per le violazioni delle disposizioni indicate nell’articolo 166, commi 1 e 2, del Codice Privacy, come modificato dal D.Lgs n. 101/2018;

• gli articoli 167, 167-bis, 167-ter, 168, 170, 171 del Codice Privacy, come modificato dal D.Lgs n. 101/2018, tipizzano gli illeciti penali configurabili in materia di trattamento di dati personali, reati che si aggiungono a quelli già previsti dal codice penale.

• l’Ispra, all’esito della suindicata procedura di scelta del contraente ha verificato che il Fornitore Affidatario possa soddisfare i requisiti generali, di sicurezza, funzionali e tecnologici indicati nel Capitolato Tecnico e che, in particolare, possiede competenze e conoscenze tecniche in relazione alle finalità e modalità di trattamento, alle misure tecniche ed organizzative da adottare a tutela dei diritti degli interessati, e ne monitora il rispetto della normativa europea e nazionale applicabile in materia di protezione dei dati personali (inclusi i Provvedimenti del Garante per la protezione dei dati e dell’EDPB).

Tutto quanto ciò premesso, le Parti convengono e stipulano quanto segue.

I. Oggetto

Oggetto delle presenti condizioni contrattuali, costituenti parte integrante degli obblighi contrattuali del Fornitore Aggiudicatario, è definire le modalità con le quali quest’ultimo, nella qualità di Responsabile del trattamento debba effettuare, per conto del Titolare, le operazioni di trattamento dei dati personali rese necessarie per la progettazione, esecuzione e gestione dei Servizi oggetto del Contratto, definiti di seguito.

Le Parti, nel quadro delle loro relazioni contrattuali, si impegnano a rispettare la normativa europea e nazionale applicabile al trattamento dei dati personali indicata in Premessa.

II. Descrizione delle prestazioni del Responsabile del trattamento

Il Responsabile del trattamento è autorizzato a trattare, per conto del Titolare del trattamento, i dati personali necessari alla fornitura e messa in opera impianto di controllo accessi carraio e pedonale garage di via Xxxxxxxx 60, controllo varco accessi carrai xxx Xxxxxxxx 00 e 52, evoluzione controllo accessi dipendenti e pedonali xxx Xxxxxxxx 00 e via Xxxx Xxxxxxx, di seguito specificati:

A) Aggiornamento Terminali di varco e lettori apriporta/accessi compatibili con l’applicativo di rilevazione presenze denominato StartWeb

B) Installazione Terminale raccolta presenze compatibile con l’applicativo di rilevazione presenze denominato StartWeb

C) Installazione Terminale raccolta dati presenze compatibile con l’applicativo Solari

La finalità del trattamento è l’aggiornamento e l’installazione dei terminali di acquisizione presenze compatibili con l’applicativo di rilevazione presenze denominato StartWeb, in ottemperanza agli obblighi di cui al d.lgs. 81/2008 ai quali è soggetto l’Ispra.

I dati personali trattati sono:

a) dati comuni, necessari all’installazione e abilitazione dei terminali, quali: dati identificativi (nome, cognome, numero di matricola e codice identificativo badge);

Le categorie di persone interessate sono:

• il personale dipendente dell’Ispra;

• I collaboratori dell’ISPRA

• I dipendenti dei Fornitori di Servizi presso l’Ispra.

III. Durata del contratto

Il presente contratto entra in vigore dalla data di stipula del contratto di Appalto, e per tutta la durata della prestazione oggetto dello stesso.

IV. Obblighi del Responsabile del trattamento di fronte al Titolare del trattamento

Il Responsabile del trattamento si impegna a:

1. Trattare i dati solo per la finalità o le finalità sopra specificate e per l’esecuzione delle prestazioni contrattuali esclusivamente connesse alla Gestione degli adempimenti in materia fiscale e dei servizi professionali di supporto.

2. Trattare i dati conformemente alle istruzioni del Titolare del trattamento contenute nel Capitolato Tecnico, nel presente contratto e negli eventuali ed ulteriori documenti e/o procedure che si rendessero necessarie al fine di garantire un livello di sicurezza dei trattamenti costantemente adeguato ai rischi per i diritti e le libertà degli Interessati. Se il Responsabile del trattamento considera che una istruzione costituisca una violazione del Regolamento UE o di altre normative europee o nazionali relative alla protezione dei dati, deve informare immediatamente il Titolare. Inoltre, se il Responsabile del trattamento è tenuto a procedere ad un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per motivi importanti di interesse pubblico.

3. Garantire la riservatezza dei dati personali trattati nell’ambito dei Servizi oggetto del contratto, in quanto informazioni riservate nella titolarità della Stazione Appaltante. In virtù di tale obbligo, il Responsabile del trattamento:

a) non dovrà in alcun caso comunicare i dati a terzi, a meno che ciò non sia necessario per l'assolvimento di un obbligo di legge, previa comunicazione al Titolare;

b) non dovrà in alcun modo trasferire dati personali verso soggetti terzi oppure ad un’organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale nei termini di cui al precedente punto 2. Fuori dai predetti casi e fatto salvo il trasferimento ad ulteriori Responsabili del trattamento autorizzati dal Titolare, il Responsabile è tenuto a chiedere specifica autorizzazione ad Ispra nel caso in cui riceva richiesta o intimazione di comunicare informazioni personali o inerenti alle operazioni di trattamento regolato nel presente contratto (da parte di una pubblica autorità o da parte dell’autorità giudiziaria).

4. Garantire, prima di iniziare qualsiasi attività di trattamento di dati personali, che le persone autorizzate/incaricate a trattare tali dati in virtù del presente contratto:

a) si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza, ivi compreso il rispetto delle ulteriori istruzioni ricevute ai sensi degli artt. 29 e 32, paragrafo 4, del Regolamento UE;

b) si impegnino al rispetto delle istruzioni impartite dal Responsabile che abbiano previamente individuato e circoscritto l’ambito di trattamento agli stessi consentito, conformemente alle istruzioni impartite dal Titolare ai fini della gestione della piattaforma e-procurement e dei servizi ad essa connessi;

c) ricevano una adeguata formazione in materia di protezione dei dati personali e dimostrando, conformemente all’Accountability impostagli dal Regolamento UE, l’effettiva acquisizione e consapevolezza delle regole e istruzioni fornite, anche mediante questionari di verifica al personale, test e simulazioni.

5. Rispettare i principi della protezione dei dati a partire da quando questi vengono progettati (privacy by design) e della protezione dei dati per impostazione predefinita (privacy by default) indicati dall’art. 25 del Regolamento UE, comunicando al Titolare le soluzioni individuate e adottate per rispettare tali principi, anche sulla base dei progressi tecnici e tecnologici in relazione alle conoscenze acquisite nel proprio ambito di competenza.

6. Astenersi dal ricorrere ad ulteriori Responsabili o sub-responsabili del trattamento per gestire in tutto o in parte le attività di trattamento dei dati oggetto del Contratto con l’Ispra senza previa e specifica autorizzazione scritta da parte del Titolare.

L’ulteriore ed eventuale Responsabile del trattamento deve comunque rispettare gli obblighi del presente contratto per conto e secondo le istruzioni del Titolare del trattamento. Spetta al Responsabile del trattamento iniziale assicurare che l’ulteriore Responsabile del trattamento presenti le stesse garanzie sufficienti alla messa in opera di misure tecniche ed organizzative appropriate di modo che il trattamento risponda alle esigenze del regolamento europeo sulla protezione dei dati. Se l’ulteriore Responsabile del trattamento non adempisse alle proprie obbligazioni in materia di protezione dei dati, il Responsabile del trattamento iniziale sarebbe interamente responsabile davanti al Titolare del trattamento dell’esecuzione, da parte dell’altro Responsabile del trattamento, dei suoi obblighi.

7. Diritto di informazione delle persone interessate

Spetta al Responsabile del trattamento predisporre il contenuto delle Informazioni di cui agli art. 13 del Regolamento UE alle persone interessate per le operazioni del trattamento di dati effettuate

nell’ambito dell’esecuzione del contratto, e sottoporlo al RPD del Titolare per la verifica di conformità delle stesse alla normativa vigente.

Il formato delle Informazioni e la collocazione delle stesse dovranno essere convenuti con il Titolare del trattamento prima della raccolta dei dati.

8. Esercizio dei diritti delle persone interessate

Per quanto possibile, il Responsabile del trattamento deve assistere il Titolare del trattamento nell’espletamento dei propri obblighi e nel dar seguito alle domande aventi ad oggetto l’esercizio dei diritti delle persone interessate: diritto di accesso, di rettifica, di cancellazione e di opposizione, diritto alla limitazione del trattamento, diritto di non essere oggetto di una decisione individuale automatizzata.

Qualora le persone interessate esercitino tale/i diritto/i presso il Responsabile del trattamento presentandogli la relativa richiesta, questi, entro 24 ore dal ricevimento della stessa, deve inoltrarla/e a mezzo posta elettronica all’indirizzo Pec istituzionale del Titolare: xxxxxxxxxx.xxxxx@xxxxx.xxxxxxxxx.xx e, per conoscenza, all’indirizzo e-mail del Responsabile della Protezione dei dati dell’Ispra: xxx@xxxxxxxxxxxx.xx, allegando il modulo standard per l’esercizio dei diritti dell’Interessato reperibile sul sito istituzionale del Titolare.

9. Notifica della violazione di dati a carattere personale

Il Responsabile del trattamento notifica al Titolare del trattamento ogni violazione di dati personali nel tempo massimo di 48 (quarantotto) ore decorrenti dal momento in cui ne è venuto a conoscenza, a mezzo Pec, seguendo la procedura di data breach fornita da Xxxxx.

Tale notifica è accompagnata da ogni documentazione utile per permettere al Titolare del trattamento, se necessario, di notificare questa violazione all’autorità di controllo competente.

Previo accordo con il Titolare del trattamento, il Responsabile del trattamento notifica all’autorità di controllo competente (il Garante per la protezione dei dati personali), in nome e per conto del Titolare del trattamento, le violazioni di dati a carattere personale senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all'autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo.

La notifica deve almeno:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l'adozione da parte del titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

Previo accordo con il Titolare del trattamento, il Responsabile del trattamento comunica, in nome e per conto del Titolare del trattamento, la violazione di dati a carattere personale alla

persona interessata al più presto, qualora tale violazione sia suscettibile di generare un rischio elevato per i diritti e le libertà di una persona fisica.

La comunicazione alla persona interessata descrive, in termini chiari e semplici, la natura della violazione di dati a carattere personale e contiene almeno gli elementi di cui alle precedenti lettere a, b, c, d.

Il Responsabile è in ogni caso obbligato alla corretta e diligente tenuta del:

- Registro degli incidenti Data Breach;

- Modulo Gestione Data Breach;

- Modulo Comunicazione Data Breach all’Autorità Garante.

Tali documenti dovranno essere messi a disposizione del Titolare, qualora ne faccia richiesta al Responsabile.

10. Assistenza del Responsabile del trattamento nell’attuazione degli obblighi del Titolare del trattamento

Il Responsabile del trattamento assiste il Titolare del trattamento nella realizzazione di analisi d’impatto relative alla protezione dei dati (DPIA), conformemente all’articolo 35 del Regolamento UE.

Il Responsabile del trattamento assiste il Titolare del trattamento anche nell’eventuale consultazione preventiva dell’autorità di controllo, prevista dall’articolo 36.

11. Misure di sicurezza

Il Responsabile del trattamento, tenuto conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, si impegna a adottare idonee e adeguate misure necessarie ai fini della sicurezza dei dati personali ai sensi dell'articolo 32 del Regolamento UE, ivi compresi, fra gli altri:

a) la pseudonimizzazione e la cifratura dei dati personali, qualora necessarie in base al rischio rilevato;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento, comunicando all’Ispra le soluzioni individuate e adottate per rispettare tale obbligo.

Il Fornitore, inoltre, si obbliga a:

e) installare e mantenere aggiornate, sugli strumenti elettronici oggetto del contratto, tutte le misure e gli accorgimenti eventualmente prescritti dai Provvedimenti emessi dall’Autorità Garante della privacy applicabili al Servizio appaltato, nonché le ulteriori misure di sicurezza previste nel Capitolato Tecnico e, in particolare, dei requisiti di cui al punto 3.1.3;

f) evidenziare al Titolare le situazioni che richiedono misure di sicurezza aggiuntive a quelle indicate nel punto precedente, suggerendo l’adozione di idonee e preventive misure di sicurezza in modo da ridurre i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato, di trattamenti non consentiti o non conformi alle finalità della raccolta, allo scopo di consentire al committente di custodire e controllare i dati anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento;

g) adottare, qualora il trattamento dei dati venga effettuato all’interno di ubicazioni dell’Ispra, le medesime misure di sicurezza disposte dal Titolare per i propri dipendenti;

h) adottare, qualora il trattamento dei dati venga effettuato al di fuori delle ubicazioni dell’Ispra, preventive misure di sicurezza che si rivelino adeguate ad evitare i rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato ai dati, di trattamenti non consentiti o non conformi alle finalità della raccolta. In ogni caso, tali misure di sicurezza non dovranno essere inferiori a quelle prescritte da Provvedimenti emessi dall’Autorità Garante per la protezione dati personali applicabili ai Servizi oggetto del contratto, nonché alle ulteriori misure di sicurezza disposte dal Fornitore per i propri dipendenti

12. Individuazione e designazione degli Amministratori di Sistema

Il Responsabile, nell’ambito della propria organizzazione si impegna ad individuare e designare uno o più persone fisiche che svolgono attività riconducibili alla mansione di Amministratori di sistema (di seguito “AdS”), in ottemperanza delle prescrizioni imposte dall’Autorità Garante per la protezione dei dati personali con Provvedimento del 27 novembre 2008 (G.U. n. 300 del 24 dicembre 2008) e dei suoi successivi ed eventuali adeguamenti e modifiche.

Il Fornitore, dovrà, in particolare:

a) effettuare la designazione per atto scritto e su base individuale, che dovrà indicare, per ciascun soggetto, l’elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato;

b) segnalare ad Ispra, qualora l’esecuzione del servizio lo richieda, la necessità di procedere analogamente, indicando i nominativi da designare all’interno dell’organizzazione del Titolare;

c) documentare che l’attribuzione delle funzioni di AdS sia avvenuta previa valutazione delle caratteristiche di esperienza, capacità e affidabilità del soggetto designato, il quale deve fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati, ivi compreso il profilo relativo alla sicurezza degli stessi;

d) redigere un documento interno contenente gli estremi identificativi delle persone fisiche designate AdS con la puntuale indicazione delle funzioni ad essi attribuite, che il Fornitore si impegna a conservare e che deve essere immediatamente reso disponibile ad Ispra, su semplice richiesta e ad ogni evenienza, ivi compresa l’ipotesi di accertamenti, ispezioni e verifiche da parte dell’Autorità Garante. Tale documento deve essere mantenuto costantemente aggiornato. In ogni caso, una copia del documento aggiornato deve essere inoltrata all’Ispra all’atto della sottoscrizione contratto e, successivamente, entro la fine di ciascun anno solare;

e) comunicare al Titolare gli estremi identificativi di quegli AdS la cui attività riguardi anche indirettamente servizi o sistemi che trattano o che permettono il trattamento di informazioni di carattere personale dei lavoratori. Ciò al fine di consentire ad Ispra di rendere nota o conoscibile l'identità di tali AdS nell'ambito della propria organizzazione, in relazione ai diversi servizi informatici a quali sono preposti. Ogni variazione successiva deve essere immediatamente comunicata al Titolare.

f) adottare sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici, oggetto del contratto, da parte di tutti i soggetti AdS che operano per conto del Titolare, da chiunque designati. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le

registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate. Tali registrazioni devono essere conservate per un congruo periodo, non inferiore a sei mesi;

g) verificare, con cadenza almeno annuale, l'operato degli AdS in modo da controllare la rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalla normativa e dalla prassi dell’Autorità Garante vigente in materia. I risultati dell’attività di verifica dovranno essere resi disponibili all’Ispra.

13. Agevolazione delle verifiche del Titolare sull’operato del Responsabile del trattamento Il Fornitore deve mettere a disposizione di Ispra tutte le informazioni necessarie per dimostrare la conformità con la normativa in materia di protezione dei dati personali e contribuire alle attività di revisione, comprese le verifiche realizzate dal Titolare, dal RPD o da un altro soggetto da questi incaricato, agevolandone l’attività di controllo.

14. Disposizione dei dati al termine delle prestazioni contrattuali

Al termine della prestazione dei servizi relativi al trattamento dei dati personali indicati al punto II, sia nel caso di scadenza naturale del contratto, sia nell’ipotesi di risoluzione contrattuale, il Responsabile del trattamento si impegna a:

a) fornire alla Stazione Appaltante, entro 3 (tre) mesi dalla fine delle prestazioni, tutti i dati personali acquisiti nel corso dell’esecuzione del contratto di Appalto, presenti sia nei database del Fornitore che nei singoli fascicoli cartacei, secondo le modalità ed i formati indicati dal Titolare;

b) distruggere, a seguito della consegna dei dati di cui alla lettera a) e previa indicazione scritta del Titolare, tutte le copie esistenti nei sistemi di informazione del Responsabile del trattamento e documentarne per iscritto la distruzione.

15. Registro delle attività di trattamento

Il Responsabile del trattamento dichiara di tenere per iscritto, ai sensi dell’art. 30, paragrafo 2 del Regolamento UE, un registro che indichi tutte le categorie di attività di trattamento effettuate per conto del Titolare del trattamento e che comprendono, in particolare:

a) il nome ed i dati del Titolare del trattamento per conto del quale lui tratta, degli eventuali ulteriori Responsabili, nonché del proprio Responsabile della protezione dei dati se obbligatorio;

b) le categorie di trattamenti effettuati per conto del Titolare del trattamento;

c) ove applicabile, i trasferimenti di dati a carattere personale verso un paese terzo o ad una organizzazione internazionale e, nel caso di trasferimenti previsti dall’articolo 49, paragrafo 1, secondo comma del Regolamento UE, nonché i documenti che attestano l’esistenza di opportune garanzie;

d) per quanto possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative, ivi compresi, fra gli altri, secondo le necessità:

- la pseudonimizzazione e la numerazione dei dati a carattere personale;

- i mezzi che permettono di garantire la segretezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di trattamento;

- i mezzi che permettono di ristabilire la disponibilità dei dati a carattere personale e l’accesso a questi nei tempi appropriati in caso di incidente fisico o tecnico;

- una procedura che mira a testare, ad analizzare ed a valutare regolarmente l’efficacia delle misure tecniche ed organizzative per assicurare la sicurezza del trattamento.

17. Documentazione

Il Responsabile del trattamento mette a disposizione del Titolare del trattamento la documentazione necessaria per dimostrare il rispetto di tutti gli obblighi e per permettere la realizzazione di revisioni, comprese le ispezioni, da parte del Titolare, dal suo Responsabile della protezione dei dati, o da un altro revisore che lui ha incaricato, e contribuire a queste revisioni. Lo stato di adeguamento delle misure tecniche ed organizzative adottate in materia di protezione dei dati personali dovrà essere comunque attestato da idonea relazione, inoltrata su richiesta del Titolare.

V. Obblighi del Titolare del trattamento nei confronti del Responsabile del trattamento

Il Titolare del trattamento s’impegna a:

1. Fornire al Responsabile del trattamento i dati previsti al punto II delle presenti clausole;

2. Documentare per iscritto tutte le ulteriori istruzioni riguardanti il trattamento dei dati da parte del Responsabile del trattamento;

3. Vigilare, in anticipo e durante la durata del contratto, il rispetto degli obblighi previsti dal Regolamento europeo sulla protezione dei dati, nonché dalla normativa complessivamente indicata in Premessa, da parte del Responsabile del trattamento;

4. Supervisionare le attività di trattamento effettuate per dare esecuzione ai Servizi oggetto del contratto, comprese le revisioni e le ispezioni da parte del Responsabile del trattamento.

Roma,

Il Delegato

dal Titolare del trattamento Il Responsabile del trattamento Direttore Generale (Fornitore)