Contract

CONTRATTO DI SERVIZIO DEL TRATTAMENTO DATI PERSONALI TRA COMUNE DI TERAMO, TITOLARE DEL TRATTAMENTO DI DATI, E , RESPONSABILE DEL TRATTAMENTO DATI, IN QUALITÀ DI AFFIDATARIA DEL SERVIZIO DI SOMMINISTRAZIONE DI LAVORO A TEMPO DETERMINATO PER IL PROFILO PROFESSIONALE DI ISTRUTTORE EDUCATIVO CULTURALE E ESECUTORE EDUCATIVO PER GLI ASILI NIDO DEL COMUNE DI TERAMO

Rif. contratto Rep. n. / 20

L’anno………….il giorno ………..…..del mese di presso gli uffici del Comune di

Teramo in Xxx Xxxxxxxx, 00;

Richiamato il Regolamento (UE) 2016/679 del Parlamento europeo del 27 aprile 2016, Regolamento Generale sulla protezione dei dati (in seguito anche GDPR) ed in particolare le clausole che disciplinano i rapporti e le reciproche responsabilità tra Titolare del Trattamento di dati a carattere personale e il Responsabile del Trattamento;

Visto il contratto rep.n. del con cui il Comune di Teramo ha affidato, a seguito di regolare procedura aperta ai sensi dell’art.60 del D.Lgs. 50/2016, alla

la gestione del servizio di somministrazione di lavoro a tempo determinato per il profilo professionale di istruttore educativo culturale e esecutore educativo per gli asili nido del Comune di Teramo, per l’anno 2023;

TRA

Comune di Teramo con sede legale in Via Carducci,33, C.F 00174750679 in qualità di “Titolare del trattamento” a cui competono le decisioni in merito alle finalità e modalità del trattamento dei dati personali, rappresentato dal Dirigente dell’Area 1, Dott.ssa Xxxxxx Xxxxxxxx, giusta decreto sindacale n. 22 del 10/08/2020 (in seguito anche “Titolare del traflamento”)

E

, con sede in , Via , codice fiscale e p. IVA n. , rappresentata dal in qualità di procuratore speciale del sig.

, nato a il , Presidente del Consiglio di Amministrazione e legale rappresentante della (in seguito anche “Responsabile del traflamento”)

La premessa forma parte integrale e sostanziale del presente atto; Con il presente atto redatto in duplice originale

SI CONVIENE E SI STIPULA QUANTO SEGUE

Art. 1 - Oggeflo

Il presente atto disciplina il trattamento dei dati personali da parte del Responsabile per conto del Titolare, nonché gli obblighi e i diritti delle parti. Il Responsabile fornisce i servizi al Titolare in relazione alla gestione del servizio di somministrazione di lavoro a tempo determinato per il profilo professionale di istruttore educativo culturale e esecutore educativo per gli asili nido del Comune di Teramo, come specificato nel contratto di servizio vigente sottoscritto dalle parti.

Art. 2 - Requisiti di professionalità

Secondo l’art.28 del GDPR, quando un trattamento viene effettuato per conto del Titolare quest’ultimo ricorre unicamente a Responsabili del trattamento che forniscano piena garanzia del rispetto delle vigenti normative in materia e che presentino garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate. Le incombenze oggetto del presente atto sono affidate al Responsabile in base alle dichiarazioni da questo fornite al Titolare in merito alle caratteristiche di esperienza, capacità e affidabilità previste dalla normativa applicabile.

Per normativa applicabile si intende l’insieme delle norme rilevanti in materia di protezione dei dati personali inclusi il GDPR ed inoltre, in ogni tempo, ogni linea guida, norma di legge, compresa la normativa nazionale di adeguamento al citato GDPR, nonché i provvedimenti del Garante per la protezione dei dati, codice o provvedimento rilasciato o emesso dagli organi competenti o da altre autorità di controllo.

Il Responsabile con la sottoscrizione del presente atto si dichiara disponibile, competente e di disporre di una propria organizzazione per dare attuazione a quanto previsto, nonché in possesso dei requisiti di esperienza e capacità tali da fornire idonea garanzia del rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ed, in particolare, in termini di conoscenze specialistiche, affidabilità e risorse per attuare misure tecniche e organizzative che soddisfino i requisiti del GDPR, compresa la sicurezza del trattamento per garantire la riservatezza e al protezione dei diritti degli interessati.

Art.3 - Ambito e limiti del traflamento dei dati

il responsabile del trattamento è autorizzato ad effettuare esclusivamente le operazioni di trattamento necessarie per lo svolgimento delle attività concordate e descritte nel contratto per l’affidamento del servizio di somministrazione di lavoro a tempo determinato presso gli asili nido comunali del comune di Teramo.

Sinteticamente si riportano le attività riconducibili al contratto con l’indicazione delle categoria dei dati:

Aflività relative al contraflo

Gestione del servizio di somministrazione di lavoro a tempo determinato per il profilo professionale di istruttore educativo culturale e esecutore educativo presso gli asili nido del Comune di Teramo per l’anno 2023.

Categorie di persone interessate

Minori e adulti di ambo i sessi.

Categoria di dati

dati personali comuni (generalità, C.F. etc.) ;

dati personali particolari : stato di salute, stato vaccinale, origini razziali ed etniche, convinzioni religiose.

Operazioni eseguite sui dati:

raccolta, registrazione, elaborazione anche in forma cartacea e con modalità informatizzata, estrapolazione, elaborazioni statistiche semplici per monitoraggio, conservazione, comunicazione.

Categoria di destinatari della comunicazione dei dati:

Enti pubblici o privati autorizzati al trattamento per l'efficacia dell'intervento o per acquisizione/accertamento dati o a fini statistici o per altre finalità pubbliche (es. ASL, INPS, etc.).

A tal proposito, il responsabile riconosce che le finalità del trattamento sono esclusivamente quelle individuate nel citato contratto di servizio. Il responsabile ha accesso ai dati del Comune di

Teramo, e quindi alle informazione degli utenti, per le attività necessarie e connesse allo svolgimento delle attività di gestione del servizio affidatogli, nei limiti di legge e di eventuali prescrizioni da parte del Comune medesimo.

Il responsabile può accedere ai dati personali e ai dati particolari (ex artt. 4, punto 1, e 9 del GDPR) degli utenti solo se la conoscibilità di tali informazioni è indispensabile per una specifica attività posta o da porre in essere; il Responsabile non può accedere ai predetti dati in via generale e/o massiva, ma solo in via puntuale. Nel caso di necessità di accesso massivo, deve essere preventivamente autorizzato dal Titolare. Il Responsabile non può impedire e deve sempre garantire al Titolare l’accesso diretto ai dati ed al Sistema di gestione del servizio.

Art. 4 - Dirifli e obblighi del Titolare del traflamento di fronte al Responsabile del traflamento

Il titolare del trattamento assicura che il trattamento dei dati personali avvenga in conformità al GDPR (cfr. art. 24), alle disposizioni applicabili in materia di protezione poste dall’UE, dall’Italia e dal presente contratto.

Il titolare del trattamento ha il diritto e l’obbligo di assumere le decisioni in merito alle finalità e ai mezzi del trattamento dei dati personali.

Il titolare del trattamento dei dati garantisce, tra l’altro, che il trattamento dei dati personali eseguito dal responsabile del trattamento abbia una corretta base giuridica.

Il Titolare del trattamento si impegna a:

• Comunicare le modifiche alle Misure di sicurezza adottate dal Titolare per quanto applicabili al Responsabile del trattamento da intendersi quali misure adeguate, in attuazione del principio di accountability; il Responsabile del Trattamento deve comunque essere dotato di un proprio Sistema di protezione dei dati personali tale da garantire livelli adeguati di sicurezza a tutela degli interessati;

• Vigilare, in anticipo e durante la durata di tutto il trattamento, sul rispetto degli obblighi previsti dal regolamento europeo sulla protezione dei dati da parte del Responsabile del trattamento.

Art. 5 - Obblighi del Responsabile del traflamento di fronte al Titolare del traflamento

Il Responsabile del trattamento agisce secondo le istruzioni ricevute e si impegna a:

• Trattare i dati solo per la finalità o le finalità sopra specificate e per l’esecuzione delle prestazioni contrattuali.

• Trattare i dati conformemente alle istruzioni del Titolare e collaborare con esso nel fornire tutte le informazioni necessarie in caso di data breach.

• Garantire la riservatezza dei dati a carattere personale trattati nell’ambito del presente contratto.

• Controllare che le persone autorizzate a trattare i dati personali in virtù del presente contratto:

✓ si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza;

✓ ricevano la formazione necessaria in materia di protezione dei dati a carattere personale.

• Tenere conto, utilizzando i materiali, i prodotti, le applicazioni o i servizi, dei principi di protezione dei dati a partire da quando questi vengono progettati e della protezione dei dati di default.

5.1. Diritto di informazione delle persone interessate

Il Responsabile del trattamento, al momento della raccolta dei dati, deve fornire alle persone interessate dalle operazioni del trattamento, le informazioni relative ai trattamenti dei dati che esso realizza. La formulazione ed il formato dell’informazione deve essere convenuta con il Titolare del trattamento prima della raccolta dei dati.

5.2. Esercizio dei diritti delle persone

Tenendo conto della natura del trattamento, il Responsabile del trattamento assiste il Titolare del trattamento con adeguate misure tecniche e organizzative, nella misura del possibile, nell’adempimento degli obblighi del titolare del trattamento di rispondere alle richieste di esercizio dei diritti dell’interessato di cui al capo III del GDPR.

Il Responsabile del trattamento previa condivisione con il Titolare, deve rispondere, in nome e per conto del Titolare stesso e nei tempi previsti dal regolamento europeo sulla protezione dei dati, alle domande delle persone interessate qualora queste esercitino i loro diritti, dato che si tratta di dati che sono oggetto della prestazioni previste dal presente contratto.

5.3. Notifica della violazione di dati a carattere personale

In caso di violazione dei dati personali, il Responsabile del trattamento dei dati, senza indebito ritardo dopo esserne venuto a conoscenza, informa il Titolare del trattamento della violazione dei dati personali. La notifica del responsabile del trattamento al Titolare del trattamento dei dati deve, se possibile, avvenire entro 72 ore dopo che il Responsabile del trattamento dei dati è venuto a conoscenza della violazione dei dati personali, al fine di consentire al Titolare del trattamento di rispettare l’obbligo di notificare la violazione dei dati personali all’autorità di controllo competente, ai sensi dell’art. 33 GDPR.

Il responsabile del trattamento dei dati assiste il titolare del trattamento dei dati nel notificare la violazione dei dati personali all’autorità di controllo competente, pertanto il Responsabile del trattamento dei dati è tenuto a fornire assistenza per ottenere le informazioni elencate di seguito che, ai sensi del citato articolo del GDPR, devono essere indicati nella notifica del Titolare del trattamento all'Autorità di controllo competente.

La notifica deve almeno:

a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

b) comunicare il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

c) descrivere le probabili conseguenze della violazione dei dati personali;

d) descrivere le misure adottate o di cui si propone l'adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.

Il Responsabile del trattamento assiste il Titolare del trattamento nel garantire la conformità con l’obbligo di comunicare, senza indebito ritardo, la violazione dei dati personali all’interessato, quando la violazione dei dati personali può comportare un rischio elevato per i diritti e le libertà delle persone fisiche.

La comunicazione alla persona interessata descrive, in termini chiari e semplici, la natura della violazione di dati a carattere personale e deve contenere almeno tutte le informazioni contenute nella notifica all'Autorità di controllo competente, indicate al precedente punto.

5.4. Assistenza del Responsabile del trattamento nell’attuazione degli obblighi del Titolare del trattamento

Il Responsabile del trattamento assiste il Titolare nella realizzazione di analisi d’impatto relativa alla protezione dei dati, conformemente all’articolo 35 del Regolamento UE 206/679.

Il Responsabile del trattamento assiste il Titolare nella consultazione preventiva dell’autorità di controllo, prevista dall’articolo 36.

5.5. Misure di sicurezza

Il Responsabile del trattamento s’impegna a mettere in opera le misure di sicurezza tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

5.6. Disposizione dei dati al termine delle prestazioni contrattuali

Il Responsabile del trattamento dovrà utilizzare i dati esclusivamente per il tempo strettamente necessario ad assicurare il servizio di somministrazione di lavoro a tempo determinato presso gli asili nido per conto del Comune di Teramo e a tale fine si impegna, al momento delle dimissioni dei singoli utenti, a cessare qualunque utilizzo dei dati limitandosi a custodire e conservare con modalità che garantiscano la totale riservatezza, esclusivamente i dati che possano assumere rilevanza in caso di indagini o richieste di informazioni da parte dell’Autorità Giudiziaria, per il tempo ritenuto necessario a tale scopo e comunque per un periodo non superiore ad anni 10 (dieci). Al termine della fornitura del servizio di somministrazione di lavoro a tempo determinato presso gli asili nido, erogato per conto del Comune di Teramo, il Responsabile del trattamento si impegna a cancellare tutti i dati personali elaborati per conto del Titolare del trattamento e certificare al Titolare del trattamento di averlo fatto ovvero restituire tutti i dati personali al titolare del trattamento ed eliminare le copie esistenti.

5.7. Responsabile della protezione dei dati

Il Responsabile del trattamento comunica al Titolare del trattamento il nome ed i dati del proprio Responsabile della protezione dei dati, qualora ne abbia designato uno conformemente all’articolo 37 del regolamento europeo sulla protezione dei dati.

5.8. Registro delle categorie di attività di trattamento

Il Responsabile del trattamento dichiara di tenere per iscritto un Registro di tutte le categorie di attività di trattamento effettuate per conto del Titolare del trattamento e che comprende:

• Il nome ed i dati del Titolare del trattamento per conto del quale lui tratta, del/dei Responsabile/i e, se applicabile, del Responsabile della protezione dei dati;

• Le categorie di trattamenti effettuati per conto del Titolare del trattamento;

• Se applicabili, i trasferimenti di dati a carattere personale verso un paese terzo o ad una organizzazione internazionale e, nel caso di trasferimenti previsti dall’articolo 49, paragrafo 1, secondo comma del Regolamento Europeo sulla Protezione dei dati, i documenti che attestano l’esistenza di opportune garanzie;

• Per quanto possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative, ivi compresi, fra gli altri, secondo le necessità:

• La pseudonimizzazione e la numerazione dei dati a carattere personale;

• I mezzi che permettono di garantire la segretezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di trattamento;

• I mezzi che permettono di ristabilire la disponibilità dei dati a carattere personale e l’accesso a questi nei tempi appropriati in caso di incidente fisico o tecnico;

• Una procedura che mira a testare, ad analizzare ed a valutare regolarmente l’efficacia delle misure tecniche ed organizzative per assicurare la sicurezza del trattamento.

5.9. Documentazione

Il Responsabile del trattamento mette a disposizione del Titolare la documentazione necessaria per dimostrare il rispetto di tutti gli obblighi e per permettere la realizzazione di revisioni, comprese le ispezioni, da parte del Titolare o di un altro revisore che questi abbia incaricato, e contribuire a queste revisioni.

5.10.Personale incaricato al trattamento dati

Il Responsabile del trattamento fornisce al Titolare l’elenco dei soggetti che effettuano il trattamento dei dati inerenti lo svolgimento del servizio.

Art. 6 - Misure Tecniche ed organizzative a protezione dei dati personali

Si riportano di seguito le misure di sicurezza tecniche ed organizzative che il Responsabile del Trattamento si impegna a mettere in opera:

A) OBBLIGHI DI SICUREZZA DEI DATI

I dati devono essere trattati in modo tale da prevenire e ridurre al minimo, mediante idonee misure di sicurezza e aflraverso precise modalità comportamentali, i rischi di distruzione, perdita anche accidentale, accesso non autorizzato, traflamento non consentito o non conforme agli scopi della raccolta. Pertanto ogni Operatore autorizzato al trattamento, è tenuto ad osservare le seguenti misure di sicurezza:

A.1) Banche dati gestite in formato eleflronico: valutazione del rischio e principali misure tecnico-organizzative.

In applicazione dell’art 32 del Regolamento UE/2016/679, che tratta i principi che riguardano la “Sicurezza del trattamento”, vengono evidenziati i principali aspetti riguardanti la sicurezza del trattamento analizzandone i rischi presentati dal trattamento stesso e le misure tecniche e organizzative che si ritiene di dover adottare per mitigare tali ‘rischi’.

Gli aspetti principali che riguardano la sicurezza di un trattamento derivano dai seguenti criteri da preservare quando si parla di dati personali:

- Disponibilità

- Integrità

- Riservatezza

In relazione a questi criteri, i principali rischi inerenti il trattamento dei dati sono:

- rischio di distruzione accidentale o illegale

- rischio di perdita dei dati

- rischio di indisponibilità dei dati

- rischio di alterazione non voluta

- rischio di comunicazione e diffusione non consentita

- rischio di accesso non autorizzato

Nel valutare un adeguato livello di sicurezza per il trattamento si deve tener conto del fatto che i rischi derivano dal verificarsi di eventi relativi al comportamento degli operatori, eventi relativi agli strumenti utilizzati, eventi relativi al contesto fisico-ambientale quali ad esempio:

1) eventi relativi al comportamento degli operatori:

- sottrazione di credenziali di autenticazione

- carenza di consapevolezza, disattenzione o incuria

- comportamenti sleali o fraudolenti

- errore materiale

2) eventi relativi agli strumenti:

- azione di virus informatici o di programmi suscettibili di recare danno

- spamming o tecniche di sabotaggio

- malfunzionamento, indisponibilità o degrado degli strumenti

- accessi esterni non autorizzati

- intercettazione di informazioni in rete

3) eventi relativi al contesto fisico-ambientale:

- ingressi non autorizzati a locali/aree ad accesso ristretto

- sottrazione di strumenti contenenti dati

- eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti, condizioni ambientali, ecc.), nonché dolosi, accidentali o dovuti ad incuria

- guasto a sistemi complementari (impianto elettrico, climatizzazione, ecc.)

- errori umani nella gestione della sicurezza fisica

Dall’analisi dei rischi e degli eventi da cui essi derivano si individuano le principali misure tecniche organizzative utili al fine di garantire un livello di sicurezza adeguato al rischio:

1) Istruzione e formazione del personale:

- informativa sulla custodia e rinnovo frequente delle credenziali di autenticazione

- formazione puntuale sull’utilizzo degli applicativi gestionali

- sensibilizzazione del personale

- informativa sui possibili attacchi virali provenienti dalla rete

- vigilanza dei responsabili dei trattamenti

2) Sicurezza logica relativa agli strumenti tecnologici utilizzati:

- sistema di identificazione, autenticazione e autorizzazione degli utenti

- gestione dei diritti di accesso ai servizi applicativi con i privilegi minimi necessari all’utente

- unico sistema di repository delle credenziali di accesso degli utenti ad uso di alcuni applicativi

- Log degli accessi e delle operazioni sui vari applicativi

- log di sistema, generati dal sistema operativo

- log dei dispositivi di protezione periferica del sistema informatico

- utilizzo di cartelle per la condivisione di documenti di lavoro su server accessibili via rete

- applicazione di tecniche di cifrature o pseudonimizzazione nel caso di dati personali più sensibili

- sistema di aggiornamento e patching dei sistemi server e client

- utilizzo di protocolli di trasmissione sicuri (https, ssh,…)

- utilizzo di procedure di backup centralizzate e automatizzate

- utilizzo di firewall e filtri sulla navigazione Internet

- utilizzo di programmi antintrusione

- utilizzo di programmi antispam

- utilizzo di un sistema antivirus centralizzato e monitorato

- utilizzo di configurazioni sicure e standard nella predisposizione delle postazioni di lavoro

- verifica periodica degli strumenti e loro sostituzione

3) Sicurezza relativa al contesto fisico-ambientale:

- utilizzo di sistemi Cloud Microsoft (Office365 e Azure) compliance con il GDPR

- nel Datacenter sono disponibili i seguenti impianti, atti a garantire la sicurezza fisica dei dati:

- allarme antincendio

- controllo degli accessi e dei varchi fisici

- gruppo di continuità (UPS) dimensionato

- climatizzazione degli ambienti

- sistemi di allarme antintrusione e antincendio

- verifica periodica degli strumenti e manutenzione programmata

A.2) Misure volte a prevenire in particolare, il rischio di perdita (anche accidentale) e/o distruzione dei dati:

I documenti cartacei contenenti dati personali non possono essere portati al di fuori dei locali già individuati ed utilizzati per la loro conservazione se non per necessità istituzionali e per il tempo strettamente necessario ai relativi scopi; in tale caso l’incaricato non dovrà mai lasciare incustoditi i documenti assicurandosi altresì che gli stessi siano completi ed integri soprattutto quando composti di numerose pagine o di allegati.

A fine giornata di lavoro, gli incaricati al trattamento dei dati devono provvedere:

- a riporre tutti i documenti contenenti dati personali in contenitori, cassetti, armadi dotati di chiave;

- alla chiusura a chiave di tutti i cassetti, contenitori, armadi etc. che custodiscono archivi di dati personali;

- a riporre tutte le chiavi in luogo sicuro e non accessibile a sua volta chiuso a chiave (quest’ultima chiave deve essere conservata direttamente a cura dell’operatore autorizzato all’accesso alle specifiche banche dati);

- allo spegnimento della luce dell’ufficio nonché allo spegnimento degli elaboratori togliendo completamente corrente dalla apposita ciabatta elettrica al fine di non incorrere in rischi di distruzione di archivi per possibili corti circuiti o rischi incendi per surriscaldamento della macchina.

A.3) Misure volte a prevenire il rischio di accessi non autorizzati:

1) Modalità di conservazione dei dati:

• adottare ogni cautela onde evitare che soggetti non autorizzati possano anche casualmente, venire a conoscenza di dati personali;

• quando l’Operatore autorizzato al trattamento si debba allontanare temporaneamente dalla propria stanza in assenza di altri operatori che possano controllare l’accesso da parte di soggetti terzi, deve bloccare il proprio computer utilizzando contemporaneamente i tasti Alt+Ctrl+Canc e cliccando poi su “Blocca computer” al fine di richiedere la password per un nuovo accesso; nel caso in cui vi siano documenti cartacei incustoditi deve provvedere chiudendo a chiave la stanza;

• nella gestione delle chiavi di armadi e porte dei locali, ogni Operatore deve rispettare le istruzioni di cui al precedente paragrafo B2);

• quando documenti contenenti dati sensibili debbano essere portati al di fuori della sede presso la quale sono conservati o presso la quale sono stati prodotti, l’Operatore avrà cura di tenere con sé la cartella che li contiene evitando che terzi possano visionare anche solo la copertina del fascicolo;

• evitare in qualunque momento il deposito di atti o documenti contenenti dati personali, anche registrati su supporto magnetico mobile, quando ciò sia espressamente autorizzato, in luoghi accessibili a chiunque (scrivanie, fotocopiatrici, stampanti, fax……), al fine di impedire accessi non autorizzati sia in orario di servizio sia durante la chiusura al pubblico;

• conservare in armadi e/o contenitori chiusi a chiave, tutti i documenti cartacei e/o, cd, dvd, pennetta, che contengano dati personali;

• evitare per quanto possibile, la duplicazione di archivi anche limitando l’uso delle copie fotostatiche allo stretto indispensabile;

• è vietato l’uso di copie fotostatiche non utilizzate o comunque di atti e documenti recanti dati personali come carta per appunti a meno che non venga comunque conservata in contenitori chiusi a chiave prima dell’utilizzo per poi essere distrutta;

• è vietato gettare nel cestino o nel contenitore per carta da riciclare, atti e documenti contenenti dati sensibili non previamente distrutti, in modo tale da renderli inintelleggibili;

• eliminare i “brogliacci” contenenti dati sensibili, giudiziari o comunque riservati, utilizzati per la definizione di pratiche, che non costituiscano documento da conservare, attraverso l’apposita “distruggidocumenti” (in carenza di attrezzatura distruggidocumenti, si dovrà provvedere a distruggere i brogliacci in modo tale da assicurare la loro totale illeggibilità).

A.4)Altre misure fisiche di custodia dei dati:

1) Accesso agli archivi cartacei controllati (contenenti dati sensibili, giudiziari o di particolare natura) ubicati presso i singoli uffici:

I dati necessari per lo svolgimento dei compiti lavorativi propri di ciascun Operatore autorizzato al trattamento, sono custoditi in armadi muniti di serratura e debitamente chiusi a chiave a cura del/dei dipendente/i che occupa/occupano l’ufficio designato/i formalmente incaricato/i della custodia degli archivio/i ad accesso controllato. L’accesso a tali banche dati pur di utilizzo quotidiano, è selezionato per cui deve avvenire, da parte degli stessi Operatori autorizzati, esclusivamente nei limiti in cui ciò sia strettamente necessario per prelevare e riporre i documenti (e/o i supporti informatici rimovibili quando dovesse esserne autorizzato l’uso) necessari per lo svolgimento delle specifiche funzioni. Durante l’utilizzo, i documenti dovranno essere vigilati e custoditi in maniera che ad essi non accedano persone prive di autorizzazione. Durante i periodi di temporanea assenza ed al termine della giornata lavorativa, i documenti prelevati dovranno essere riposti in cassetti/contenitori chiusi a chiave. Una volta terminato il lavoro per svolgere il quale si è reso necessario utilizzare i documenti, essi dovranno essere ricollocati nell’archivio dal quale sono stati prelevati e chiusi a chiave.

2) Accesso ad archivi controllati, di deposito o non ubicati presso uffici specifici (contenenti dati sensibili, giudiziari o di particolare natura):

L’accesso a banche dati contenenti dati sensibili, di natura giudiziaria o di particolare natura, conservate presso archivi di deposito, è controllato, per cui ciascun Operatore o qualunque altra persona ammessa a qualunque titolo, può accedervi anche durante l’orario di lavoro, solo previa autorizzazione del Responsabile delle chiavi individuato dal Dirigente di Servizio. In carenza di nomina del Responsabile della custodia per l’accesso agli archivi, è necessario rivolgersi al Dirigente del Servizio.

L’accesso al di fuori dell’orario lavorativo, dovrà essere autorizzato direttamente dal Dirigente del Servizio.

3) Gestione chiavi ufficio

Le chiavi delle porte dei singoli uffici non devono essere mai tenute sulle porte (in particolare all’esterno dell’ufficio), per motivi di sicurezza. Dette chiavi devono essere utilizzate nel caso in cui il dipendente esca dagli uffici del Servizio in assenza di colleghi, durante la giornata di lavoro e per altre assenze (ad es. pausa pasto).

B) TRASMISSIONE DI DATI SENSIBILI O DI PARTICOLARE NATURA

1) Comunicare i dati sensibili ad altri servizi dell’Azienda autorizzati al trattamento, nel rispetto della riservatezza, procedendo ad inserire il documento o la certificazione in busta chiusa recante all’esterno la dicitura “contiene dati sensibili – da aprire solo a cura del destinatario”; qualora venga utilizzato il fax, accertarsi preventivamente che l’operatore dell’ufficio ricevente proceda a prelevarlo con immediatezza onde evitare accessi non autorizzati;

2) Controllare e monitorare l’andamento dei flussi informativi e delle relative modalità di comunicazione di dati sensibili o comunque di particolare natura, con gli altri servizi dell’Azienda eliminando i comportamenti scorretti, riferendo al Responsabile del Servizio, eventuali anomalie riscontrate e suggerendo gli opportuni accorgimenti;

C) USO DEGLI STRUMENTI DEL TRATTAMENTO

C.1) Telefono:

• è vietato discutere, comunicare o comunque trattare dati personali per telefono se non si è assolutamente certi che il destinatario sia un operatore autorizzato a trattare i dati in questione;

• in ogni caso, non possono essere forniti dati sensibili, o particolari, via telefono a soggetti privati.

• nel caso di richieste di informazioni via telefono da parte di organi di amministrazioni pubbliche, A.S.L.- Zona Territoriale, forze di P.S., Autorità Giudiziarie, etc., può essere necessario, quando non si abbia la certezza che il chiamante sia un soggetto autorizzato al trattamento dei dati, procedere nel seguente modo:

- chiedere ed accertare l’identità del chiamante e la motivazione della richiesta;

verificare a chi corrisponde il telefono chiamante differendo il riscontro della richiesta, se pure nel rispetto dei principi di celerità ed efficienza;

- procedere immediatamente a richiamare la persona che ha richiesto le informazioni, con ciò accertandosi della identità dichiarata in precedenza;

- non parlare mai ad alta voce, trattando dati personali per telefono, per evitare che i dati possano essere conosciuti da terzi non autorizzati, anche accidentalmente; tale modalità va scrupolosamente osservata quando il telefono è ubicato in luogo aperto al pubblico.

C.2) Utilizzo posta eleflronica e fax: occorre inserire, in calce alla comunicazione, la seguente dicitura:

“Il testo e gli eventuali documenti trasmessi contengono informazioni riservate esclusivamente al/ai destinatario/i indicato/i. Il contenuto della presente e-mail /fax e dei suoi eventuali allegati, è confidenziale e la sua riservatezza è tutelata legalmente dalla vigente normativa in materia di riservatezza. La lettura, utilizzo, comunicazione, diffusione copia o altro uso non autorizzato o qualsiasi altra azione derivante dalla conoscenza di queste informazioni sono rigorosamente vietate e sanzionate dall’ordinamento. Qualora abbiate ricevuto questo documento per errore, siete cortesemente pregati di darne immediata comunicazione al miflente all'indirizzo dello stesso e di provvedere immediatamente alla distruzione del contenuto della presente e-mail/fax. This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message.”

C.3) Fotocopiatrice e scanner:

• la stampa e la scansione dei dati deve essere effettuata solo se strettamente necessario. La fotocopia deve essere ritirata prontamente dai vassoi della stampante;

• nella duplicazione di documentazione (con stampanti o fotocopiatrici o altre periferiche) si deve fare attenzione a non lasciare originale e/o copie incustodite;

• in caso di inceppamento, i xxxxx non utilizzabili recanti dati personali dovranno essere distrutti evitando di gettare la documentazione nel cestino o nel contenitore della carta straccia senza aver previamente provveduto a rendere inintelligibile il contenuto anche con l’apparecchio distruggi documenti.

D) OBBLIGO DI RISERVATEZZA E SEGRETEZZA

L’Incaricato del trattamento deve mantenere l’assoluta segretezza sulle informazioni di cui venga a conoscenza nel corso delle operazioni del trattamento e deve evitare qualunque comunicazione/diffusione non espressamente autorizzata da fonte normativa. L’eventuale violazione dell’obbligo ivi considerato può comportare l’applicazione di sanzioni di natura disciplinare ed una responsabilità civile e penale, secondo quanto previsto dalla vigente normativa.

Art. 7 - Durata del contraflo

Il presente contratto ha validità per il periodo di vigenza del contratto principale, ovvero a copertura dell’anno 2023, fermo restando l’eventuale proroga del contratto, alla scadenza, limitata al tempo strettamente necessario alla conclusione delle procedure necessarie per l’individuazione del nuovo contraente .

Entrambe le parti hanno il diritto di richiedere la rinegoziazione del contratto qualora le modifiche alla legge o l’inesattezza delle clausole ivi contenute dovessero dar luogo a tale rinegoziazione.

Se la fornitura dei servizi di trattamento dei dati personali viene interrotta e i dati personali vengono eliminati o restituiti al Titolare del trattamento, il contratto può essere risolto mediante comunicazione scritta di entrambe le parti.

Art. 8 - Contafli del Titolare e del Responsabile del traflamento

Le parti possono contattarsi reciprocamente utilizzando i seguenti recapiti: Per il Titolare del trattamento

Nome/cognome Loana Presbiteri De Lassis Posizione Specialista Amm.vo Telefono 0861/324406; 0000000000

E-mail/PEC x.xxxxxxxxxx@xxxxxx.xxxxxx.xx; xxxxxxxxxxxxxx@xxxxxx.xxxxxx.xxxxx.xx

Per il Responsabile del trattamento

Nome/cognome

Posizione

Telefono

E-mail/PEC

Le parti hanno l’obbligo continuo di informarsi reciprocamente delle modifiche ai suddetti recapiti.

Il Titolare del Traflamento del Comune di Teramo

Dott.ssa Xxxxxx Xxxxxxxx (designata dal Titolare)

Il Responsabile del Traflamento Dati

Document Metadata

Table of Contents

Contract

Document Metadata