SCHEMA DI MODELLO “ACCORDO DI NOMINA QUALE RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI EX ART.28 DEL REGOLAMENTO (UE) N. 2016/679 PER SOGGETTI DIVERSI DA PUBBLICHE AMMINISTRAZIONI E SOCIETÀ IN HOUSE”
Allegato numero 1
All. A
SCHEMA DI MODELLO “ACCORDO DI NOMINA QUALE RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI EX ART.28 DEL REGOLAMENTO (UE) N. 2016/679 PER SOGGETTI DIVERSI DA PUBBLICHE AMMINISTRAZIONI E SOCIETÀ IN HOUSE”
Le presenti clausole devono essere:
a) integralmente adattate in relazione al servizio/fornitura per i contratti in essere;
b) inserite all’interno dei bandi di gara/avvisi pubblici/ecc. e accertate nella fase di individuazione del fornitore, in relazione al servizio.
ACCORDO DI NOMINA DEL RESPONSABILE DEL TRATTAMENTO DEI DATI AI SENSI DELL’ART. 28 DEL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI PERSONALI
Il documento è redatto in adeguamento alle “DK SA Standard Contractual Clauses for the purposes of compliance with article 28 GDPR” del “Registro delle decisioni adottate da Autorità di Controllo e Giurisdizionali su questioni trattate nell’ambito del meccanismo di coerenza”.
Pertanto, rientra nell’ambito di applicazione dell’art. 28 par. 8 del GDPR e costituisce quindi un riferimento per dimostrare la compliance alla normativa.
TRA
Regione Liguria (P. Iva 00849050109) con sede legale in Genova, xxx Xxxxxxx 00, nella persona della Dott.ssa Xxxxxxx Xxxxxxx, Dirigente USS Collocamento Mirato e supporto all’attuazione di progetti speciali, in qualità di Responsabile dei dati personali, delegata autorizzata in forza della deliberazione di Giunta regionale n.154 del 26 febbraio 2019
- di seguito “Titolare” -
E
[Denominazione Società] (P. Iva ……………), con sede legale in …………………………………..
in persona del legale rappresentante pro tempore ,
- di seguito “Responsabile” -
VISTI
Il decreto dirigenziale 7930 del 23/12/2019 ad oggetto: “Approvazione esiti della valutazione per l’individuazione dei Soggetti ammessi all’erogazione delle attività previste dall’Avviso “Ricostruire il Mio Futuro” - Avviso pubblico finalizzato alla realizzazione di un percorso integrato di Certificazione delle Competenze”;
Il decreto dirigenziale del ………, con il quale i soggetti ammessi all’erogazione dei servizi previsti dall’Avviso “Ricostruire il Mio Futuro” sono stati nominati responsabili esterni del trattamento dei dati personali, ai sensi dell’art. 28 del Regolamento (UE) 2016/679, in relazione esclusivamente ai trattamenti derivanti dall’utilizzo degli applicativi Sil Consolle e Progetti SIL, sottosistemi del Sistema Informativo del Lavoro di Regione Liguria
Tutto quanto sin qui visto, il Titolare e il Responsabile (di seguito “le Parti”) aderiscono al presente Accordo al fine di soddisfare i requisiti del GDPR e garantire la protezione dei diritti e delle libertà delle persone fisiche.
INDICE
Art. 1 Premesse 4
Art. 2 Oggetto 4
Art. 3 Diritti e doveri del Titolare del trattamento 5
Art. 4 Diritti e doveri del Responsabile del trattamento 5
Art. 5 Autorizzati al trattamento e rispetto della riservatezza 6
Art. 6 Finalità del trattamento 6
Art. 7 Misure di sicurezza 7
Art. 8 Amministratori di Sistema 8
Art. 9 Condizioni per la nomina di sub-Responsabile 9
Art. 10 Responsabile della protezione dati (RPD)/Referente Privacy 10
Art. 11 Modalità di trasmissione dei dati personali oggetto del trattamento 10
Art. 12 Obbligo del Responsabile di assistere il Titolare nel caso di esercizio dei diritti dell’interessato 10
Art. 13 Obbligo del Responsabile di notifica e comunicazione violazione dei dati (data breach), valutazione di impatto, consultazione preventiva 10
Art. 14 Attività di revisione e verifica 11
Art. 15 Comunicazione dei dati 11
Art. 16 Informazione tempestiva 12
Art. 17 Codici di condotta e meccanismi di certificazione 12
Art. 18 Trasferimento dei dati all’estero 12
Art. 19 Cancellazione/Restituzione dei dati trattati 12
Art. 20 Informativa agli interessati 13
Art. 21 Trattamento dei dati del Responsabile 13
Art. 22 Responsabilità civile e sanzioni 13
Art. 23 Trattamento illecito, risoluzione di diritto e conseguenze giuridiche 14
Art. 24 Durata 14
Art. 25 Recesso 14
Art. 26 Foro competente 14
Art. 27 Disposizioni finali 14
Appendice A - Informazioni sul trattamento 16
Appendice B - Modello di comunicazione dei sub Responsabili 17
Appendice C - Ulteriori disposizioni non contenute nelle clausole 18
Art. 1 Premesse
1. Le attività oggetto del contratto comportano il trattamento di dati personali, ai sensi del Regolamento (UE) 679/2016 (di seguito, “Regolamento”) del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR), nonché del D.lgs. 196/2003 novellato dal D.lgs. 101/2018.
2. Il Regolamento fissa le modalità da adottare e individua i soggetti che, in relazione all’attività svolta, sono tenuti agli adempimenti previsti dal Regolamento. Le presenti clausole definiscono i diritti e gli obblighi del Titolare e quelli del Responsabile.
3. L’art. 28 del Regolamento afferma che qualora un trattamento debba essere effettuato per conto del Titolare, quest’ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
4. Nell’esecuzione del servizio [Erogazione dei servizi previsti dall’Avviso “Ricostruire il Mio Futuro” Avviso pubblico finalizzato alla realizzazione di un percorso integrato di Certificazione delle Competenze” approvato con Deliberazione della Giunta Regionale 08/11/2021 n. 1005, in relazione ai trattamenti dei dati derivanti dall’utilizzo degli applicativi Sil Consolle e Progetti SIL, sottosistemi del Sistema Informativo del Lavoro di Regione Liguria], il Responsabile tratterà i dati personali per conto del Titolare in conformità alle presenti clausole.
5. Il presente Accordo non esonera il Responsabile dagli obblighi ai quali lo stesso è soggetto ai sensi del Regolamento Generale sulla protezione dei dati (GDPR) o di altra legislazione.
6. Si specifica che il Responsabile del trattamento non ricorre a un altro Responsabile (cd. “sub- Responsabile”) senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento.
7. L’Appendice A contiene i dettagli sul trattamento dei dati personali, inclusi l’oggetto, la finalità, la base giuridica, la tipologia di dati personali e le categorie di soggetti interessati.
8. L'Appendice B contiene le condizioni stabilite dal Titolare per il ricorso dei sub-Responsabili da parte del Responsabile.
9. L'Appendice C contiene ulteriori disposizioni che non sono contenute nel presente Accordo.
10. Le premesse e le tre appendici costituiscono parte integrante e sostanziale del presente Accordo.
11. L’Accordo e le Appendici devono essere conservate per iscritto, anche elettronicamente, da entrambe le Parti.
Art. 2 Oggetto
1. Il presente Accordo individua la materia disciplinata, la durata, la natura, la liceità e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento il quale specifica le istruzioni a cui il Responsabile deve attenersi nello svolgimento dei compiti ad esso affidati.
2. Con la sottoscrizione del presente Accordo, l’Ente/ATS (nome della Società) accetta l’incarico di Responsabile, senza corrispettivo, riserva o eccezione alcuna alle condizioni di seguito riportate.
3. Ciascuna parte è esclusivamente responsabile per il rispetto delle disposizioni di legge applicabili in materia di protezione dei dati personali.
Art. 3 Diritti e doveri del Titolare del trattamento
1. Il Titolare del trattamento:
a) si impegna a garantire la liceità del trattamento e il rispetto dei principi applicabili al trattamento di dati personali ai sensi dell’art. 24 del Regolamento, le disposizioni applicabili in materia di protezione dei dati dell'UE o degli Stati membri e le clausole stesse;
b) ha il diritto e l’obbligo di prendere decisioni in merito alle finalità e ai mezzi del trattamento
dei dati personali;
c) ha il compito di garantire che il trattamento dei dati personali di cui il Responsabile è
incaricato di eseguire, abbia una base giuridica;
d) fornisce al Responsabile i dati personali e tutte le informazioni necessarie relative al presente Accordo e per lo svolgimento dei servizi oggetto dell’Avviso pubblico “Ricostruire il Mio Futuro” - - Avviso pubblico finalizzato alla realizzazione di un percorso integrato di Certificazione delle Competenze”;
e) vigila, in anticipo e durante tutto il trattamento, sul rispetto degli obblighi previsti dal GDPR da parte del Responsabile;
f) fornisce l’informativa di cui all’art. 13 del GDPR e garantisce il rispetto dei diritti degli interessati di cui all’art.15 e seguenti del GDPR;
g) fornisce i dati di contatto del proprio RPD e i recapiti da utilizzare per adempiere agli obblighi di comunicazione e segnalazione di cui all’art. 4 del presente Accordo.
Art. 4 Diritti e doveri del Responsabile del trattamento
1. Il Responsabile è tenuto a trattare i dati personali esclusivamente ai fini dell’erogazione dei servizi e/o delle forniture indicate nel presente Accordo solo su istruzioni documentate da parte del Titolare, a meno che ciò non sia richiesto dalla normativa dell'Unione o degli Stati membri a cui è soggetto il Responsabile, nel rispetto di quanto disposto dalla normativa applicabile in materia di protezione dei dati personali.
2. Le istruzioni fornite dal Titolare sono specificate nell’ appendice A.
3. Le successive istruzioni, nei limiti fissati dalle vigenti norme di settore ivi incluse quelle specifiche e particolari attinenti la protezione di particolari categorie di dati, possono essere indicate dal Titolare anche nel corso dello svolgimento del trattamento dei dati personali; tali ulteriori istruzioni devono comunque essere sempre documentate e conservate per iscritto, anche elettronicamente, insieme al presente Accordo.
4. Il Responsabile, limitatamente all’ambito delle proprie attività, si impegna a:
a) tener conto, durante l’utilizzo di materiali, prodotti, e applicazioni per l’attuazione del servizio oggetto di nomina, dei principi di privacy by design e by default in ottemperanza all’art. 25 del GDPR;
b) adottare le misure di sicurezza richieste ai sensi dell’art. 32 del GDPR come meglio descritto al successivo paragrafo “Misure di sicurezza”;
c) adottare, se ricorrono le condizioni, il Registro delle attività di trattamento ai sensi dell’art. 30 par. 2 del GDPR;
d) non adottare processi decisionali automatizzati e/o profilanti gli interessati;
e) mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del GDPR;
f) consentire e agevolare le attività di revisione e verifica, anche sul posto, richieste dal Titolare o da soggetto da questi delegato;
g) avvisare il Titolare di eventuali incongruenze tra le richieste/procedure/sistemi gestiti e le disposizioni di legge vigenti, suggerendo correttivi idonei.
5. Qualora occorra, ulteriori obblighi del Responsabile in funzione delle peculiarità delle prestazioni fornite e dei dati trattati possono essere inseriti dal Titolare in relazione al singolo servizio e/o fornitura.
6. Il Responsabile deve informare immediatamente il Titolare se le istruzioni fornite dal Titolare stesso, a suo giudizio, violano il GDPR o le disposizioni applicabili in materia di protezione dei dati dell'UE o degli Stati membri.
Art. 5 Autorizzati al trattamento e rispetto della riservatezza
1. Il Responsabile permette l'accesso ai dati personali oggetto del trattamento effettuato per conto del Titolare esclusivamente a persone sotto l'autorità del Responsabile stesso e che si sono impegnate a garantire la riservatezza o hanno l'obbligo di riservatezza come previsto dalla legge.
2. Il Responsabile è obbligato a far sottoscrivere ai propri dipendenti o soggetti comunque sottoposti alla sua autorità un patto di riservatezza, individuando per ciascuno di essi uno specifico ambito di trattamento dati collegato alle mansioni ricoperte.
3. Il Responsabile si impegna a produrre ed aggiornare in caso di modifiche l’elenco degli operatori autorizzati singolarmente ed opportunamente formati in materia di privacy (ivi inclusi gli opportuni aggiornamenti normativi), impartendo per iscritto specifiche istruzioni per trattare i dati degli utenti nell’ambito della propria attività e con i limiti di legge, curando, in particolare, il profilo della sicurezza di accesso e dell’integrità dei dati. Inoltre il Responsabile si impegna a stabilire le modalità di accesso ai dati e l’organizzazione del lavoro degli autorizzati al trattamento, avendo cura di adottare preventivamente misure organizzative adeguate al rischio per diritti e libertà delle persone fisiche.
4. L'elenco delle persone a cui è stato concesso l'accesso ai dati è tenuto a revisione periodica. Sulla base di questa revisione, tale accesso ai dati personali può essere revocato, qualora l'accesso non sia più necessario, e, di conseguenza, i dati personali non sono più accessibili a tali soggetti.
5. Il Responsabile, su richiesta del Titolare, deve dimostrare che le persone sotto l'autorità del Responsabile stesso siano soggette alla suddetta riservatezza.
Art. 6 Finalità del trattamento
1. Il Responsabile è autorizzato ad effettuare i trattamenti di dati personali strumentali o strettamente connessi all’esercizio della funzione delegata per lo svolgimento del servizio/convenzione/accordo quadro/etc. di cui al presente Accordo.
2. L’oggetto, la finalità, la base giuridica, il tipo di dati, le categorie di interessati oggetto del trattamento sono specificate nell’Appendice A.
3. Durante il trattamento, il Responsabile è tenuto ad osservare il principio di minimizzazione del trattamento, evitando di detenere, utilizzare o visualizzare informazioni eccedenti rispetto all’attività in oggetto. È fatto divieto al Responsabile di utilizzare, a qualsiasi titolo, i dati per finalità diverse da quelle oggetto di incarico. Qualora il Responsabile, senza autorizzazione
del Titolare, determini autonomamente le finalità ed i mezzi del trattamento è considerato quale Titolare autonomo.
Art. 7 Misure di sicurezza
1. L’art. 32 del GDPR stabilisce che, tenendo conto dello stato dell'arte, dei costi di attuazione e della natura, la portata, il contesto e le finalità del trattamento, nonché il rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Titolare e il Responsabile, anche in via autonoma, adottano misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
2. Il Titolare e così il Responsabile devono adottare preventivamente e mantenere, per tutta la durata della presente designazione, costantemente aggiornate misure di sicurezza tecniche ed organizzative idonee e/o che si rendano tali, in ragione del progresso tecnologico, al fine di contrastare i rischi che minacciano le informazioni oggetto di trattamento e di garantire un livello di sicurezza adeguato ai rischi individuati, quali – a titolo esemplificativo e non esaustivo - i rischi di errore, di perdita, modifica, divulgazione ovvero accesso non autorizzato, accidentale o illegale, diffusione, cancellazione, distruzione o perdita accidentale dei dati trattati, diversificandole in base alla tipologia di servizio o fornitura previsti.
3. Tali misure comprendono di norma e ove opportuno:
a) la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi che trattano i dati personali;
b) la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico;
c) le istruzioni documentate e le prescrizioni previste dal Contratto, dagli eventuali suoi allegati e dal presente Accordo;
d) le “Misure minime di sicurezza ICT per le pubbliche amministrazioni”, emanate da AGID, quando applicabili; in particolare si richiede l’aggiornamento periodico e costante del software;
e) una procedura adeguata (messa a disposizione del Titolare su richiesta) per provare, verificare e valutare regolarmente l’efficacia delle misure adottate al fine di garantire la sicurezza del trattamento;
f) ove necessario, la pseudonimizzazione o la cifratura dei dati personali trattati;
g) ove necessario ed in particolare in caso di dati soggetti a maggiore tutela, quali previsti dall’ordinamento nazionale le tutele previste dalle norme di settore, primo fra tutti il diritto all’oscuramento di tali dati e il loro trattamento in forma anonima ovvero misura equipollente.
4. Entro (15) giorni dalla sottoscrizione del presente Accordo, il Responsabile si impegna a comunicare al Titolare:
a) le misure di sicurezza adottate comprese quelle di nuova adozione al fine di consentire a quest’ultimo la verifica del mantenimento di un livello di sicurezza adeguato ai rischi ed alla natura dei dati trattati;
b) il luogo fisico di archiviazione dei dati nonché le modalità di loro conservazione e il loro ripristino (backup e architetture di disaster recovery) ovvero, fermo restando quanto precede, le eventuali allocazioni su cloud, i relativi dati di sicurezza, declinando le generalità del provider/gestore per la relativa autorizzazione e designazione preventiva a Responsabile;
c) di essere in possesso di idonea polizza assicurativa per il risarcimento di danni inerenti
/derivanti dall’attività in questione e per quelli inerenti/derivanti da eventuali violazioni della Privacy;
d) la gestione dei data breach di cui al successivo art. 13 e dei file di log relativi alla tracciabilità degli accessi.
5. Qualora il Titolare ritenga necessaria, da parte del Responsabile, l’adozione di una specifica misura di sicurezza in seguito all’evoluzione del quadro tecnologico in grado di garantire un maggior contrasto ad uno o più rischi specifici da cui è ragionevole attendersi un aumento della probabilità di verificazione dell’evento dannoso o illecito, il Responsabile ha l’obbligo di adeguarsi, fatto salvo l’esercizio di recesso dalla presente designazione nel termine di 60 giorni, e fatta salva la garanzia della continuità del servizio per il tempo occorrente al Titolare ad adottare i provvedimenti necessari.
6. Qualsiasi istruzione aggiuntiva o diversa rispetto a quanto previsto nel presente atto deve essere fornita al Responsabile per iscritto e diviene efficace solo a seguito di ricezione da parte del Responsabile. Il Responsabile si impegna a informare il Titolare laddove, a ragionevole giudizio del Responsabile, un’istruzione del Titolare possa violare le disposizioni del Regolamento e delle norme di armonizzazione.
7. Il Responsabile deve assistere il Titolare nel garantire il rispetto degli obblighi del Titolare stesso ai sensi dell'articolo 32 del GDPR, fornendo al Titolare le informazioni relative alle misure tecniche e organizzative già attuate da parte del Responsabile stesso ai sensi dell'art. 32 del GDPR insieme a tutte le altre informazioni necessarie affinché il Titolare ottemperi agli obblighi a cui è sottoposto ai sensi del medesimo articolo.
8. Qualora venissero meno una o più delle misure di sicurezza previste e fosse in discussione la competenza dei relativi oneri di ripristino, il Responsabile, a sua cura e spese, dopo aver informato il Titolare nella persona del (Direttore/Dirigente responsabile del contratto di fornitura), dovrà provvedere al relativo ripristino anche in modalità alternative.
Art. 8 Amministratori di Sistema
1. Il Responsabile, qualora siano presenti Amministratori di Sistema, si impegna a conformarsi al Provvedimento generale del Garante del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal Provvedimento del Garante del 25 giugno 2009 “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento”, così come eventualmente modificato o sostituito dallo stesso Xxxxxxx, e ad ogni altro pertinente provvedimento dell’Autorità.
2. Il Responsabile si impegna a:
a) designare quali Amministratori di Sistema le figure professionali dedicate alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti con cui vengono effettuati trattamenti di dati personali;
b) provvedere alla formazione ed all’aggiornamento normativo degli Amministratori di Sistema;
c) predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali Amministratori di Sistema e le funzioni ad essi attribuite, con evidenza delle attività formative e di aggiornamento normativo erogate ai medesimi;
d) comunicare con cadenza annuale, entro il 31 dicembre di ciascun anno ed ogniqualvolta si renda necessario, al Titolare l’elenco aggiornato degli Amministratori di Sistema;
e) verificare annualmente l’operato degli Amministratori di Sistema, informando il Titolare circa le risultanze di tale verifica;
f) mantenere i file di log previsti in conformità a quanto previsto dai sopraccitati provvedimenti.
Art. 9 Condizioni per la nomina di sub-Responsabile
1. Il Responsabile deve soddisfare i requisiti di cui all'articolo 28, paragrafi 2 e 4, del GDPR nel caso in cui si avvalga di un ulteriore Responsabile (sub-Responsabile).
2. Qualora si rendesse necessario, il Responsabile può nominare un sub-Responsabile, solo con la preventiva autorizzazione del Titolare a seguito di comunicazione.
Per quanto concerne i contenuti della comunicazione di cui al comma precedente, si fa riferimento all’Appendice B, al fine di consentire al Titolare l’accertamento della sussistenza dei requisiti strutturali, di capacità economica, di affidabilità, tecnici ecc. non inferiori a quelli garantiti dal Responsabile stesso, nonché l’assenza di conflitto di interesse anche potenziale in ordine ad eventuali altre finalità di trattamento svolte dal sub-Responsabile per conto di terzi, ovvero in contrasto con le finalità oggetto del presente Accordo.
3. Qualora il Titolare sollevi obiezioni, è tenuto a dettagliare al Responsabile le relative motivazioni. In tal caso, il Responsabile può, a propria discrezione:
a) proporre un altro sub-Responsabile in sostituzione del sub-Responsabile per il quale il Titolare abbia sollevato obiezioni;
b) adottare misure tese a superare le obiezioni del Titolare.
4. Il Responsabile è tenuto ad inviare al Titolare, con cadenza annuale, l’elenco complessivo degli eventuali terzi affidatari designati sub-Responsabili.
5. Se il Responsabile si avvale di un sub-Responsabile per lo svolgimento di specifiche attività di trattamento per conto del Titolare, gli stessi obblighi di protezione dei dati stabiliti nel presente Accordo sono imposti a tale sub-Responsabile mediante un contratto o un altro atto giuridico ai sensi del diritto dell'UE o degli Stati membri, in particolare il fatto che fornisca garanzie sufficienti per attuare misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti previsti dal GDPR e dal presente Accordo.
6. Il sub-Responsabile è garante circa l’operato di ulteriori terzi sub-Responsabili ai sensi e per gli effetti dell’art. 1936 e seguenti c.c..
7. Resta inteso che laddove la nomina di un sub-Responsabile sia eseguita nell’ambito di un subappalto di opere/servizi da parte del Responsabile/appaltatore il medesimo procederà a incaricare tale sub-Responsabile esclusivamente previa autorizzazione da parte del Titolare ai sensi della legge applicabile.
8. Qualora il sub-Responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile iniziale conserva nei confronti del Titolare l'intera responsabilità dell’adempimento degli obblighi del sub-Responsabile.
9. Una copia dell’accordo con il sub-Responsabile e successive modifiche e integrazioni deve, su richiesta, essere presentata al Titolare al fine di garantire che gli stessi obblighi in materia di protezione dei dati stabiliti nel presente Accordo siano state imposte al sub-Responsabile. Le clausole relative a questioni commerciali che non attengono la disciplina della protezione dei dati non richiedono di essere sottoposte al Titolare.
10. Il Responsabile deve convenire con il sub-Responsabile che, nel caso in cui il Responsabile sia sottoposto a procedure concorsuali, il Titolare abbia il diritto di imporre al sub- Responsabile le istruzioni relative alla cancellazione o restituzione dei dati personali. Questo non pregiudica i diritti delle persone fisiche interessate ai sensi del GDPR - in particolare quelli previsti dagli artt. 79 e 82 del GDPR - nei confronti del Titolare e del Responsabile, incluso il sub-Responsabile.
Art. 10 Responsabile della protezione dati (RPD)/Referente Privacy
1. Il Responsabile nomina, nei casi previsti dalla legge, il Responsabile per la protezione dati, contattabile all’indirizzo e-mail …(da compilare a cura del Responsabile)
2. Nel caso in cui il Responsabile non abbia provveduto come sopra, deve indicare il contatto del Referente Privacy aziendale contattabile all’indirizzo e-mail … (da compilare a cura del Responsabile)
Art. 11 Modalità di trasmissione dei dati personali oggetto del trattamento
1. Nella trasmissione dei dati personali deve essere garantito un livello di sicurezza adeguato con l’adozione di misure tecniche e organizzative adeguate alla tipologia dei dati oggetto del trattamento.
Art. 12 Obbligo del Responsabile di assistere il Titolare nel caso di esercizio dei diritti dell’interessato
1. Qualora al Responsabile pervenissero richieste degli interessati per l’esercizio dei diritti di cui agli artt. 15, 16, 17, 18, 20 e 21 del GDPR, lo stesso deve darne tempestiva comunicazione al Titolare, e comunque entro e non oltre 24 ore dal ricevimento della richiesta, ai seguenti indirizzi:
(compilare con i riferimenti della struttura)
a) Posta elettronica ordinaria
o USS Collocamento mirato e supporto all’attuazione di progetti speciali Dirigente Xxxxxxx Xxxxxxx : xxxxxxx.xxxxxxx@xxxxxxx.xxxxxxx.xx
b) Posta Elettronica Certificata (PEC): xxxxxxxxxx@xxx.xxxxxxx.xxxxxxx.xx
2. Tenendo conto della natura del trattamento dei dati personali svolti dal Responsabile, quest’ultimo si impegna, su richiesta del Titolare, ad assisterla nella misura in cui ciò sia ragionevolmente possibile, approntando le adeguate misure tecniche e organizzative, ai fini dell’adempimento da parte del Titolare al proprio obbligo di permettere ai terzi interessati l’esercizio dei diritti di cui agli Artt. da 12 a 23 del GDPR.
Art. 13 Obbligo del Responsabile di notifica e comunicazione violazione dei dati (data breach), valutazione di impatto, consultazione preventiva
1. In caso di incidente di sicurezza, di una violazione o sospetta violazione dei dati personali, il Responsabile ne dà al Titolare comunicazione immediata o, comunque, entro e non oltre le 24 ore dalla conoscenza della violazione a:
a) Dirigente dell’USS Collocamento mirato e supporto all’attuazione di progetti speciali :
Xxxxxxx Xxxxxxx – xxxxxxx.xxxxxxx@xxxxxxx.xxxxxxx.xx
b) DPO: xxx@xxxxxxx.xxxxxxx.xx
c) Posta elettronica certificata (PEC) USS Collocamento mirato e supporto all’attuazione di progetti speciali: xxxxxx.xx@xxxx.xxxxxxx.xxxxxxx.xx
2. Nella comunicazione devono essere fornite tutte le informazioni a disposizione in grado di consentire al Titolare la valutazione della violazione, la conferma o meno che tale violazione presenti un rischio per i diritti e le libertà delle persone fisiche, e quindi, qualora ne ricorrano i presupposti, effettuare le notifiche ai sensi degli artt. 33 e 34 del GDPR.
3. La suddetta comunicazione deve contenere almeno le seguenti informazioni:
a) la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) le probabili conseguenze della violazione dei dati personali;
c) le misure adottate o di cui si propone l’adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi;
d) il contatto presso cui ottenere più informazioni.
4. Il Responsabile s’impegna, fin da ora, a fornire al Titolare, se necessario, ogni elemento utile ad effettuare la valutazione di impatto nonché ogni collaborazione per un’eventuale consultazione preventiva al Garante ai sensi dell’art. 36 del GDPR.
5. Il Responsabile deve mantenere un registro degli incidenti di sicurezza, anche qualora non vi siano violazioni, per coadiuvare il Titolare nel suo obbligo relativo al paragrafo 5 dell’art. 33 del GDPR.
6. A seguito del verificarsi di detti incidenti il Titolare potrà:
a) svolgere attività di audit, anche senza preavviso e avvalendosi di soggetti terzi;
b) prescrivere ulteriori misure di sicurezza anche apportando modifiche a quelle in essere con particolare riferimento al presente Accordo;
c) attivare azioni di rivalsa nei confronti del Responsabile;
d) applicare le penali contrattuali;
e) risolvere il contratto.
Art. 14 Attività di revisione e verifica
1. Qualora richiesto, il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare la conformità agli obblighi di cui all'articolo 28 del GDPR e alle presenti clausole, nonché consentire lo svolgimento delle attività di audit, comprese le ispezioni in loco, siano esse condotte dal Titolare o un altro revisore incaricato dal Titolare stesso.
2. Il Responsabile è tenuto a fornire, alle Autorità di Controllo o ai rappresentanti che agiscano per conto delle stesse, l’accesso alle proprie strutture fisiche ai sensi della legislazione vigente.
Art. 15 Comunicazione dei dati
1. Il Responsabile non comunica alcun dato a terzi, salvo espressa autorizzazione del Titolare.
2. È fatto divieto cedere i dati a qualsiasi titolo ovvero utilizzarli per le finalità differenti ancorché affini, nonché ai fini commerciali, pubblicitari ovvero di marketing.
Art. 16 Informazione tempestiva
1. Qualora una o più disposizioni del presente Accordo si rivelassero in contrasto con le norme attuali o future del GDPR e con le norme di armonizzazione, con direttive o con le Linee Guida stabilite dal Garante o dal Garante Europeo per la protezione dei dati, il Responsabile dovrà tempestivamente informare il Titolare, prima di procedere alla loro applicazione.
Art. 17 Codici di condotta e meccanismi di certificazione
1. Il Responsabile è incoraggiato ad aderire ai codici di condotta o ai meccanismi di certificazione ai sensi degli artt. 40 e 42 del GDPR per gli schemi applicabili alle attività oggetto di trattamento. Il Responsabile deve comunicare preventivamente al Titolare l’eventuale adesione ai predetti Codici di condotta o il probabile conseguimento di certificazioni.
Art. 18 Trasferimento dei dati all’estero
1. Il Responsabile conferma che tutte le operazioni di trattamento previste dal presente Accordo sono e saranno effettuate in territorio UE.
2. Qualora per svolgere l’attività sostanziale sottesa al presente Accordo, si rendesse necessario trasferire il trattamento dei dati in un paese terzo o presso una organizzazione internazionale che non garantiscono un livello di protezione adeguato, il Responsabile è tenuto a chiederne preventiva autorizzazione e ne darà comunicazione al Titolare perché possa adottare i provvedimenti a tutela dei diritti e della libertà degli interessati anche al fine di concordare adeguate garanzie ai sensi degli artt. 44 e seguenti del Capo V del GDPR.
3. Nel caso in cui i trasferimenti verso paesi terzi o organizzazioni internazionali, per i quali il Responsabile non è stato incaricato dal Titolare, siano richiesti ai sensi del diritto dell'UE o degli Stati membri a cui è soggetto il Responsabile, quest’ultimo informa il Titolare di tali requisiti legali prima del trattamento, a meno che tale legge non vieti tali informazioni per importanti motivi di interesse pubblico.
4. Senza istruzioni documentate da parte del Titolare, il Responsabile non può pertanto nell'ambito delle clausole:
a) trasferire i dati personali a un Titolare o ad un Responsabile in un paese terzo o in un'organizzazione internazionale;
b) trasferire il trattamento di dati personali a un sub-Responsabile in un paese terzo;
c) far elaborare i dati personali da un Responsabile stabilito in un paese terzo.
5. Il presente Accordo non deve essere confuso con le clausole standard sulla protezione dei dati ai sensi dell'articolo 46, paragrafo 2, lettere c) e d), del GDPR.
6. Il presente Accordo non può altresì essere invocato dalle parti come strumento di trasferimento ai sensi del capitolo V del GDPR.
Art. 19 Cancellazione/Restituzione dei dati trattati
1. Al termine delle prestazioni che comportano l’attività di trattamento, il Responsabile dovrà su richiesta del Titolare:
a) restituire i dati personali al Titolare ed eliminarli dalla propria infrastruttura informatica e da eventuali archivi cartacei, fornendo al Titolare idonea dichiarazione scritta dell’avvenuta distruzione dei dati, ai sensi dell’art. 47 del D.P.R. 445/2000;
b) eliminarli in maniera permanente dalla propria infrastruttura informatica e da eventuali archivi cartacei, fornendo al Titolare idonea dichiarazione scritta dell’avvenuta distruzione dei dati, ai sensi dell’art. 47 del D.P.R. 445/2000, salvo che il diritto dell'Unione o degli Stati membri non richieda la conservazione dei dati personali.
Art. 20 Informativa agli interessati
1. Spetta al Titolare l’obbligo di mettere a disposizione del Responsabile l’informativa ex artt. 13 e 14 del GDPR e al Responsabile l’obbligo di comunicarla agli interessati o diffonderla in base alle caratteristiche della prestazione resa dal Responsabile.
2. In base al tipo di prestazione prevista spetta o meno al Responsabile l’acquisizione del consenso, se dovuto, con obbligo di conservazione insieme alla documentazione relativa all’interessato/utente.
Art. 21 Trattamento dei dati del Responsabile
1. Il Responsabile prende atto e acconsente che il nominativo del legale rappresentante pro tempore, di altri eventuali soggetti di cui la legge richiede l’evidenza ed il valore del contratto esecutivo, siano diffusi tramite il sito internet xxx.xxxxxxx.xxxxxxx.xx
2. Il Responsabile prende atto e acconsente che, in adempimento agli obblighi di legge che impongono la trasparenza amministrativa (D.Lgs. del 14 marzo 2013 n. 33; L. del 6 novembre 2012 n. 190; D.Lgs. del 18 aprile 2016 n. 50 e s.m.i.), i dati e/o la documentazione che la legge impone di pubblicare, siano pubblicati e diffusi tramite il sito internet xxx.xxxxxxx.xxxxxxx.xx
3. Il Responsabile prende atto ed acconsente che le informazioni e i dati inerenti alla partecipazione all’iniziativa di gara, nei limiti e in applicazione dei principi e delle disposizioni in materia di dati pubblici e riutilizzo delle informazioni del settore pubblico (D. Lgs. del 24 gennaio 2006 n. 36, D.Lgs. del 7 marzo 2005 n. 82 e s.m.i.), potranno essere utilizzati dal Ministero dell’Economia e delle Finanze e da Consip, ciascuno per quanto di propria competenza, anche in forma aggregata, per essere messi a disposizione di altre pubbliche amministrazioni, persone fisiche e giuridiche, anche come dati di tipo aperto.
Art. 22 Responsabilità civile e sanzioni
1. Fermo restando che il GDPR conferma nel trattamento dei dati personali l’attività pericolosa di cui all’art. 2050 c.c., la relativa responsabilità per danni, patrimoniali e non, provocati all’interessato in conseguenza del trattamento stesso grava in capo a chi detiene i mezzi per gestire le modalità di trattamento (ossia al Titolare o al Responsabile o ad entrambi in solido).
2. Il Responsabile risponde direttamente per il danno causato dal trattamento qualora non abbia adempiuto agli obblighi previsti dal GDPR e dalle norme di armonizzazione ovvero abbia agito in modo difforme o contrario rispetto alle legittime istruzioni impartite dal Titolare, manlevando il Titolare per eventuali violazioni di norme, inadempimenti giuridici,
inosservanza regolamentari, nonché per i danni inerenti/derivanti dai trattamenti dati di cui trattasi, per i quali il Titolare può essere chiamato a rispondere, sia civilmente, sia in punto privacy. Identico riparto si configura in ipotesi di sanzioni amministrative.
3. Qualora il Responsabile violi una delle disposizioni del presente Accordo, determinando le finalità e i mezzi del trattamento, è considerato Titolare delle attività di trattamento per le quali ha determinato in autonomia finalità e mezzi del trattamento e come tale risponde a sensi di legge.
Art. 23 Trattamento illecito e conseguenze giuridiche
1. L’inadempimento di quanto previsto nel presente Accordo comporta la revoca di diritto del presente incarico con contestuale caducazione del rapporto contrattuale sostanziale per violazione privacy, fatte salve le responsabilità inerenti e /o derivanti da tali violazioni ed il relativo ristoro di eventuali danni.
Art. 24 Durata
1. La durata del presente Accordo è pari alla durata del Progetto “Ricostruire il Mio Futuro”. Il Responsabile è comunque tenuto a garantire la riservatezza dei dati personali trattati nell’ambito del presente Accordo anche oltre la conclusione dello stesso.
Art. 25 Recesso
1. Il Titolare del trattamento può recedere dal presente Accordo in ogni momento per grave inadempimento, quale a titolo meramente esemplificativo e non esaustivo la violazione da parte del Responsabile delle normative in materia di protezione dei dati o delle disposizioni del presente Accordo, ovvero nel caso in cui il Responsabile non sia in grado o non intenda seguire un’istruzione fornita dal Titolare, o qualora, in contrasto con quanto stabilito nel presente Accordo, esso rifiuti di far accedere il Titolare nei propri locali al fine di monitorare il rispetto del presente Accordo, con particolare riferimento alle misure tecniche ed organizzative adottate.
Art. 26 Foro competente
1. Per tutte le controversie che dovessero sorgere con riferimento al presente Accordo sarà esclusivamente competente il Foro di Genova.
Art. 27 Disposizioni finali
1. Le clausole di cui al presente Accordo hanno priorità su qualsiasi disposizione analoga contenuta in altri accordi tra le Parti.
2. Entrambe le Parti hanno il diritto di richiedere la rinegoziazione delle clausole di cui al presente Accordo in caso di modifiche del quadro normativo, ovvero l’inesattezza delle stesse dovesse dar luogo a tale rinegoziazione.
3. Eventuali accordi in contrasto ovvero in deroga con il presente Accordo possono essere concordate per iscritto tra le Parti, richiamando espressamente quelle derogate avvertendo che ciò connota responsabilità diretta dei contraenti.
4. Le clausole di cui al presente Accordo sono vincolanti dalla sottoscrizione dello stesso e si applicano per la durata del contratto su cui si basa il presente Accordo.
5. Per tutto quanto non previsto dal presente Accordo si rinvia alle disposizioni generali vigenti ed applicabili in materia di protezione dei dati personali.
Data ….., lì …………
Titolare Responsabile
Regione Liguria
Per accettazione di quanto sopra
Firma Firma
…………………. ………………………………….
Appendice A - Informazioni sul trattamento
“Campi da compilare a seconda del trattamento affidato: vedi Registro dei trattamenti:
Oggetto del trattamento: [Scheda SAP, Inserimento e aggiornamento dati anagrafici, scolastici e professionali. Iscrizioni, monitoraggio percorsi e progetti. Utilizzo software Progetti SIL, Sottosistema del Sistema Informativo del Lavoro di Regione Liguria.]
Finalità del trattamento: [Erogazione dei servizi previsti da “Ricostruire il Mio Futuro” Avviso pubblico finalizzato alla realizzazione di un percorso integrato di Certificazione delle Competenze” approvato con Deliberazione della Giunta Regionale 08/11/2021 n. 1005, in relazione ai trattamenti dei dati derivanti dall’utilizzo degli applicativi Sil Consolle e Progetti SIL, sottosistemi del Sistema Informativo del Lavoro di Regione Liguria],
Base giuridica: [I dati sono trattati per finalità determinate, esplicite e legittime, che trovano base giuridica nei D.Lgs 150/2015 e 151/2015 e ss.mm.ii.]
Tipologia di dati: [ Comuni Istruzione e cultura (curriculum di studi e accademico; pubblicazioni di articoli, monografie, relazioni, materiale audiovisivo; titolo di studio). Xxxxxx Xxxxxx (occupazione attuale, precedente; informazione sul reclutamento, sul tirocinio o sulla formazione, professionale; informazione sulla sospensione o interruzione del rapporto di lavoro o sul passaggio ad altra occupazione; curriculum vitae o lavorativi.) Identificati Anagrafici Ordinari
Sensibili Dati concernenti di cui alla Legge 68/1999 Sensibili Stato di salute dei familiari
Sensibili Stato di salute: attuale Sensibili Stato di salute: pregresso]
Categorie di interessati: [Lavoratori in carico agli Uffici del Collocamento Mirato della Regione Liguria]
Appendice B - Modello di comunicazione dei sub Responsabili
Il Responsabile è tenuto a specificare le motivazioni che rendono necessaria l’affidamento dell’attività al sub Responsabile, indicando:
a) Motivazioni: [ ]
b) Denominazione e dati di contatto del sub- Responsabile: [ ]
c) Caratteristiche e requisiti del sub-Responsabile: [ ]
d) Modalità e dati oggetto del sub-trattamento: [ ]
Appendice C - Ulteriori disposizioni non contenute nell’Accordo
Affidamento dell’incarico a Reti temporanee di impresa (RTI)
[In caso di RTI specificare chi ricopre il ruolo di mandataria e chi di mandante/i.]
Si richiede alla RTI di comunicare i contenuti delle Clausole alle mandanti e si richiede l’attestazione della ricezione delle istruzioni contenute nell’atto di nomina.
La mandataria è responsabile del coordinamento delle procedure Privacy e deve specificare i ruoli delle mandanti indicando i flussi di dati e le relative modalità.
Registro dei trattamenti
Il Responsabile, qualora non rientri nelle casistiche definite dall’art. 30, par. 2 e 5 del GDPR, tiene per iscritto un Registro delle attività relative al trattamento svolte per conto del Titolare e delle applicazioni informatizzate utilizzate, nel pieno rispetto del GDPR.
Clausola servizi pubblici
Considerato che l’oggetto dell’Avviso è finalizzato all’erogazione di servizi pubblici (essenziali) il fornitore dovrà procedere con quanto previsto dall’Avviso stesso, mettendo in atto le cautele che a suo giudizio salvaguardino i diritti e le libertà fondamentali delle persone fisiche, senza causare maggiore lesione ai diritti stessi anche da parte del Titolare stesso e di altri soggetti, dandone immediata comunicazione all’azienda nelle figure sopra indicate che potranno dare indicazioni diverse.
Informativa
Nel trattare i dati personali il fornitore deve fare riferimento all'informativa rilasciata dal Titolare. L'informativa deve essere pubblicata in qualsiasi contesto in cui sono raccolti i dati personali degli interessati.