Contract
Allegato B)
Accordo per la regolamentazione dei rapporti tra Titolare e Responsabile dei trattamenti previsti all’attuazione del Reddito di Cittadinanza
Vista la Convenzione siglata in data 17 Luglio 2019 tra la Regione Toscana e Anpal Servizi S.p.A. (di seguito, anche “la Convenzione”) di cui allo schema approvato con D.G.R. n.887 del 08 Luglio 2019
Considerato che la Convenzione prevede che Anpal Servizi s.p.a. operi i trattamenti ivi previsti in qualità di Responsabile
Richiamato l’art. 2 della Convenzione nel quale vengono elencate le attività svolte dai collaboratori di Anpal Servizi S.p.A. nell’ambito della suddetta Convenzione
Considerato che l’art. 28 del Regolamento (UE) 2016/679 (di seguito, anche “GDPR”) dispone che i rapporti tra Titolare e Responsabile siano definiti mediante apposito atto giuridico
Considerato che nell’ambito della Regione Toscana le competenze in materia di politiche del lavoro sono assegnate all’Agenzia Regionale Toscana per l’impiego , istituita ai sensi dell’art.21 ter della L.R. n. 32/2002
Vista la Delibera G.R.T. n.585 del 04.06.2018 che definisce i ruoli relativamente al trattamento dei dati personali detenuti nel Sistema informativo regionale del lavoro
L’Agenzia Regionale Toscana per l’impiego (ARTI) e Anpal Servizi s.p.a. definiscono quanto segue:
1. Ambito di applicazione
1.1 Le operazioni di trattamento dei dati personali nell’ambito delle attività previste dalla Convenzione, sono realizzate da Anpal Servizi in qualità di Responsabile del trattamento ai sensi dell’art. 28 del GDPR.
In particolare, Anpal Servizi è autorizzata a operare quale Responsabile per conto del Titolare sulle seguenti basi dati presenti sul sistema informativo del lavoro:
−REGISTRAZIONE AGGIORNAMENTO BANCHE DATI DEI SERVIZI PER L'IMPIEGO
−PROMOZIONE E STIPULA TIROCINI
−ATTIVITA' CONNESSE ALL'INCROCIO DOMANDA E OFFERTA
−PRESA IN CARICO DEI LAVORATORI PERCETTORI DI INTERVENTI DI SOSTEGNO AL REDDITO ORDINARI ED IN DEROGA
−CONSULENZA ON LINE DEL LAVORO
−ACCESSO DELLE PERSONE AI SERVIZI INTEGRATI
−AZIONI DI ORIENTAMENTO E ORIENTAMENTO SPECIALISTICO
−AZIONI DI ORIENTAMENTO E ORIENTAMENTO SPECIALISTICO NEI CONFRONTI DEGLI ISCRITTI AL COLLOCAMENTO MIRATO
1.2 L’autorizzazione a operare quale Responsabile riguarda anche tutte le altre informazioni di titolarità regionale trattate sul sistema informativo nazionale del lavoro.
2. Trattamento dei dati nel rispetto delle istruzioni della Agenzia Regionale Toscana per l’Impiego
2.1 Il Responsabile del trattamento, relativamente ai dati personali trattati nell’ambito della Convenzione, garantisce che:
2.1.1 il trattamento avvenga ai soli fini dell’attuazione della Convenzione e, successivamente, nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo, pertanto, sulla base delle istruzioni documentate e fornite dall’Ente
2.1.2 non trasferisce i dati personali a soggetti terzi rispetto a quanto previsto dalla normativa in materia di Reddito di cittadinanza, se non nel rispetto delle condizioni di liceità e a fronte di quanto disciplinato nel presente accordo
2.1.3 non tratta o utilizza i dati personali per finalità diverse da quelle previste nella Convenzione e dalle normative di riferimento. L’acquisizione e la copia dei dati dei beneficiari del Rdc di competenza regionale potranno avvenire unicamente per la gestione delle attività dei navigator ed esclusivamente per le finalità previste dalla Convenzione
2.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà l’Ente se, a suo parere, una qualsiasi istruzione fornita dall’Ente si ponga in violazione di normativa applicabile.
2.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:
2.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste formulate all’Ente dagli interessati relativamente ai loro dati personali e/o a conformarsi alle istruzioni fornite dall’Ente in materia
2.2.2 procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta dell’Ente dei dati personali di ogni interessato e/o a conformarsi alle istruzioni fornite dall’Ente in materia
2.2.3 procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta dall’Ente e/o a conformarsi alle istruzioni fornite dall’Ente in materia
2.2.4 procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta dell’Ente e/o a conformarsi alle istruzioni fornite dall’Ente in materia.
2.3 Il Responsabile del trattamento deve garantire e fornire all’Ente cooperazione, assistenza e le informazioni necessarie a consentire l’adempimento degli obblighi previsti dalla normativa, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
2.4 Il Responsabile del trattamento, anche nel rispetto di quanto previsto all’art. 30 del GDPR, deve mantenere, compilare e rendere disponibile a richiesta del Titolare, un registro dei trattamenti dei dati
personali che riporti tutte le informazioni richieste dalla norma. L’Ente assicura ad Anpal Servizi la collaborazione necessaria alla definizione del registro.
2.5 Il Responsabile del trattamento assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 del GDPR che l’Ente intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
3. Misure di sicurezza
3.1 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati
3.2 Nei casi in cui il Responsabile effettui trattamenti di conservazione dei dati personali del Titolare nel proprio sistema informativo, garantisce la separazione di tipo logico di tali dati da quelli trattati per conto di terze parti o per proprio conto
3.3 Conformemente alla disposizione di cui all’art. 28 comma 1 del Regolamento, il Responsabile è soggetto con profilo tale da garantire l’adozione di misure tecniche e organizzative adeguate a soddisfare i requisiti del regolamento comunitario
3.4 Il Responsabile del trattamento procederà ad adottare, per quanto compatibili con le attività previste dalla Convenzione e con il ruolo di Anpal Servizi, le policy dell’Ente in materia di privacy e sicurezza informatica, nello specifico:
Delibera GRT n.585 del 04-06-2018 che definisce i ruoli relativamente al trattamento dei dati personali detenuti nel sistema informativo regionale del lavoro
4. Analisi dei rischi, privacy by design e privacy by default
4.1 Con riferimento agli esiti dell’analisi dei rischi effettuata dall’Ente sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dall’Ente per affrontare eventuali rischi identificati
4.2 Il Responsabile del trattamento dovrà consentire all’Ente, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica e organizzativa che si riterrà opportuna per garantire e attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati
4.3 Il Responsabile del trattamento procederà ad adottare, per quanto compatibili con le attività previste dalla Convenzione e con il ruolo di Anpal Servizi, le policy di privacy by design e by default adottate dall’Ente e specificatamente comunicate
5. Soggetti autorizzati ad effettuare i trattamenti - Designazione
5.1 Il Responsabile del trattamento garantisce di aver formato sui temi della privacy i propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) previsti dalla Convenzione
5.2 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, richiede ai propri autorizzati obblighi di riservatezza e impartisce agli stessi specifiche istruzioni
6. Cancellazione dei dati personali
Il Responsabile del trattamento, a richiesta del Titolare, provvede alla restituzione o cancellazione dei dati personali trattati per l’attuazione della Convenzione al termine di tutte le attività ivi previste e al termine di tutte le attività di verifica amministrativa e contabile
7. Audit
7.1 Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte dell’Ente, da effettuarsi con preavviso di almeno 7 giorni lavorativi
7.2 Il Responsabile del trattamento consente, pertanto, all’Ente l’accesso ai propri locali, ai computer e altri sistemi informativi, ad atti, documenti e a quanto ragionevolmente e motivatamente richiesto per verificare che il Responsabile del trattamento rispetti gli obblighi derivanti dalla normativa in materia di protezione dei dati personali e, quindi, da questo Accordo
7.3 L’esperimento degli audit non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza..
8. Indagini dell’Autorità e reclami
Conformemente alla normativa di riferimento, il Responsabile del trattamento informa senza alcun indugio l’Ente di qualsiasi:
a) richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine
b) istanza ricevuta da soggetti interessati
Il Responsabile del trattamento collabora con l’Ente per la gestione di tali richieste.
9. Violazione dei dati personali e obblighi di notifica
9.1 Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del GDPR e nei limiti di cui al perimetro delle attività previste dalla Convenzione, deve comunicare a mezzo di posta elettronica certificata all’Ente xxxx@xxxxxxxxx.xxxxxxx.xx nel minor tempo possibile, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a:
a) descrivere la natura della violazione dei dati personali
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO di Anpal Servizi;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi
9.2 Il Responsabile del trattamento deve fornire tutto il supporto necessario all’Ente ai fini delle indagini e per le valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa e per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto dell’Ente.
10. Responsabilità e manleve
A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Responsabile del trattamento:
▪ avverte, prontamente e in forma scritta, l’Ente del Reclamo
▪ non fornisce dettagli al reclamante senza la preventiva interazione con l’Ente
▪ non transige la controversia senza il previo consenso scritto dell’Ente;
▪ fornisce all’Ente tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.
Agenzia Regionale Toscana per l’impiego Anpal Servizi S.p.A.
(firmato digitalmente) (firmato digitalmente)
Allegato 1 dell’Accordo
GLOSSARIO
“Garante per la protezione dei dati personali”: è l’autorità di controllo responsabile per la protezione dei dati personali in Italia;
“Dati personali ”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“GDPR” o “Regolamento”: si intende il Regolamento UE 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018;
“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali , incluso il Regolamento Privacy UE 2016/679 (GDPR) ed ogni provvedimento del Garante per la protezione dei dati personali e del WP Art. 29.
“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento