Tra

ACCORDO DI CONTITOLARITÀ AI SENSI DELL’ART. 26 DEL REG. UE 679/2016 (GDPR) - POLO REGIONALE SBN SARDEGNA (CAG)

Tra

La Regione Autonoma della Sardegna, con sede legale in Cagliari, xxxxx Xxxxxx 00, (xx seguito per brevità “Regione”), legalmente rappresentata, ai fini del presente Accordo, dalla dott.ssa Xxxxx Xxxxxxx Direttore del Servizio Patrimonio culturale, editoria e informazione presso la Direzione generale dei beni culturali, informazione, spettacolo e sport dell’Assessorato della pubblica istruzione, beni culturali, informazione, spettacolo e sport, come da Determinazione n. 870 protocollo n. 10254 del 23.06.2020 sub-delegato (sulla base della deliberazione n. 21/8 del 24.04.2018 e del decreto Presidenziale n. 48 del 23.05.2018) dal Direttore generale dei Beni culturali, a sua volta delegato dal Presidente pro tempore della Giunta Regionale, Titolare del trattamento, allo svolgimento delle funzioni relative all’attuazione dei principi dettati in materia di trattamento dei Dati personali, per gli ambiti di rispettiva competenza

e

Gli Enti titolari delle Biblioteche aderenti al Polo regionale SBN Sardegna (CAG), e nello specifico, con riferimento al presente Accordo:

L’Ente

C.F. , titolare della Biblioteca

aderente al Polo regionale SBN Sardegna (CAG) come da Convenzione di cui il presente atto costituisce allegato, nella persona del Titolare del trattamento o del suo delegato

in forza di

di seguito indicati individualmente o collettivamente come la/e “Parte/i”.

Premesso che:

a) La Regione, sulla base degli atti richiamati nella Convenzione di adesione al POLO REGIONALE SBN SARDEGNA (CAG) (da qui in poi “Polo” o “Polo SBN CAG”), svolge funzioni di gestione/coordinamento di tutti gli interventi finalizzati al mantenimento e all’evoluzione dei servizi bibliotecari gestiti ed erogati nell’ambito del Polo;

b) La Regione è proprietaria della PIATTAFORMA DI SERVIZI DEL POLO REGIONALE SBN CAG , costituita da risorse virtuali hardware e software erogate attraverso il data center regionale e comprendenti un applicativo di integrated library system (ILS) di cui la Regione Sardegna dispone di una piena licenza d’utilizzo estesa a tutte le biblioteche aderenti. La gestione della piattaforma è in capo:

I. alla Direzione Generale degli Affari Generali e Società dell’informazione, per gli aspetti relativi alla piattaforma di virtualizzazione, sicurezza IT, backup e continuità di esercizio delle infrastrutture di facility management del data-center regionale, anche svolti col supporto del personale della società in house SardegnaIT ed altri soggetti;

II. ad una società esterna, per l’assistenza sistemistica e applicativa contrattualmente prevista per l’erogazione del servizio.

c) nell’ambito di applicazione delle disposizioni succitate la Regione Sardegna e gli Enti titolari delle Biblioteche aderenti al Polo sono contitolari del trattamento ai sensi dell’art. 26 del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati (di seguito per brevità “GDPR”), considerato che, in base alle disposizioni sopra citate, l’utilizzo dell’applicativo determina un trattamento congiunto di dati personali finalizzato all’erogazione dei servizi bibliotecari all’utenza e alla valorizzazione del patrimonio librario nell’ambito della cooperazione, coordinamento e sviluppo delle progettualità comuni fra soggetti pubblici e privati;

d) il titolare del trattamento, secondo l’art. 4, comma 1, n. 7, del GDPR è la “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell’Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri”, mentre il successivo n. 8 individua il responsabile del trattamento nella “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;

e) l’art. 26 del GDPR individua la figura del “contitolare” stabilendo che “allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento”. La norma specifica che “essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell’Unione o dello Stato membro cui i titolari del trattamento sono soggetti”;

f) come evidenziato anche dal parere n. 1/2010 del “Gruppo di lavoro art. 291” “si è in presenza di una situazione di contitolarità quando varie parti determinano per specifici trattamenti, o la finalità o quegli aspetti fondamentali degli strumenti che caratterizzano il titolare del trattamento”, considerato che “la partecipazione delle parti alla determinazione congiunta può assumere varie forme e non deve essere necessariamente ripartita in modo uguale”;

g) la deliberazione della Giunta Regionale n. 21/8 del 24.4.2018 ha definito il modello organizzativo e gli adempimenti finalizzati all’applicazione del GDPR;

h) la Regione Autonoma della Sardegna, legalmente rappresentata dal Presidente pro tempore della Giunta Regionale, nella sua qualità di Titolare del Trattamento ai sensi del GDPR, ha delegato i compiti e le funzioni relative all’attuazione dei principi dettati in materia di trattamento dei Dati personali ai Direttori Generali pro tempore, con il Decreto Presidenziale

23 maggio 2018, n. 48, tra cui gli adempimenti correlati, per quanto di competenza, all’attuazione degli articoli 26 e 28 del GDPR, inerenti, rispettivamente, agli obblighi correlati alla situazione di contitolarità del trattamento e alla disciplina del responsabile del trattamento; il succitato Decreto n. 48/2018 prevede che i direttori generali possono esercitare le proprie

1 Gruppo di lavoro europeo indipendente composto da un rappresentante delle varie autorità nazionali, dal garante europeo della protezione dei dati nonché da un rappresentante della Commissione, che, fino al 25 maggio del 2018 (entrata in vigore del GDPR), aveva, tra gli altri lo scopo di rilasciare pareri e assicurare che le autorità di controllo nazionali seguissero interpretazioni comuni della normativa europea in materia.

funzioni relative all’attuazione dei principi in materia di trattamento dei dati personali anche delegandole ai direttori di servizio pro tempore della medesima Direzione o Ufficio, secondo le relative competenze e responsabilità;

i) ai sensi dell’art. 26, secondo paragrafo, del GDPR, l'accordo di contitolarità (di seguito, “Accordo”) riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati, come individuati nella Convenzione di cui il presente accordo è parte integrante. Il contenuto essenziale dell'accordo è messo a disposizione dell'interessato;

j) ai sensi dell’art. 26, terzo paragrafo, del GDPR, indipendentemente dalle disposizioni del presente accordo, l'interessato può esercitare i propri diritti ai sensi del GDPR nei confronti di e contro ciascun Titolare del trattamento;

Tutto ciò premesso

le Parti convengono e stipulano quanto segue Art. 1. Valore delle premesse

Le presenti premesse, unitamente agli allegati, costituiscono parte integrante e sostanziale del presente Accordo.

Art. 2. Oggetto dell’accordo di contitolarità e compiti

1. Oggetto del presente Accordo è la costituzione e definizione di un rapporto di contitolarità tra le Parti per il trattamento dei dati acquisiti, gestiti e trattati per le finalità indicate nelle premesse ed inerenti all’erogazione ottimale dei servizi bibliotecari tramite la PIATTAFORMA del POLO REGIONALE SARDEGNA SBN (CAG) -ciascun Ente per quanto di competenza nella realizzazione del Servizio Bibliotecario Nazionale nel territorio- che determina un trattamento congiunto da parte di detti soggetti di dati bibliografici e personali presenti sulla predetta PIATTAFORMA.

2. Come prescritto dall’art. 26 del GDPR, il presente Accordo riflette i rispettivi ruoli e i rapporti dei contitolari con gli interessati, come individuati nella CONVENZIONE di cui il presente accordo è parte integrante e disciplina le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal GDPR, con particolare riguardo all'esercizio dei diritti dell'interessato, nonché le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14 dello stesso GDPR (inerenti le informative da rendere agli interessati).

3. I dati trattati in regime di contitolarità sono i dati personali presenti negli ARCHIVI CONDIVISI costituiti mediante l’APPLICATIVO SBN e trattati dagli OPERATORI DEL POLO accreditati delle Biblioteche aderenti, ciascuno secondo i rispettivi ruoli e permessi, nonché dai GESTORI DEL POLO e dalla Regione nel suo ruolo di coordinamento e per la conservazione sui propri server e riguardano:

- i dati personali degli UTENTI dei SERVIZI BIBLIOTECARI: codice utente, nome e cognome, data di nascita, sesso, luogo di nascita, nazionalità, fotografia, indirizzo di residenza e di domicilio (indirizzo, città, CAP, provincia, paese, telefono, fax), altri recapiti (cellulare, altro cellulare, e-mail), codice fiscale, altro codice, numero matricola, dati del documento di identità (numero, tipo, ente, luogo e data di rilascio, data di scadenza), tipo utente, provenienza, titolo di studio, ivi compresi i dati relativi a utenti minori, i dati inerenti i prestiti di materiale librario e documentario richiesti, inseriti nell’ANAGRAFICA UTENTI del POLO SBN CAG

- i dati personali dei FORNITORI del materiale librario e documentario: codice fornitore (univoco e attribuito dall’operatore), cognome e nome, indirizzo, città, provincia, Paese, n. di telefono e indirizzo e-mail, inseriti nell’ANAGRAFICA FORNITORI del POLO SBN CAG

- i dati personali degli OPERATORI: codice operatore, cognome e nome, sesso, luogo di nascita, data di nascita, n. di telefono e indirizzo e-mail, inseriti nell’ANAGRAFICA OPERATORI del POLO SBN CAG.

4. Richiamata la definizione di trattamento di cui all’art. 4, punto 2 del GDPR, inteso come “qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione”, la contitolarità di cui al presente Accordo è riferita alle operazioni di trattamento dei dati presenti sulla PIATTAFORMA DI SERVIZI del POLO SBN CAG per le succitate finalità.

5. Le Parti contitolari condividono, ciascuno nell’ambito del proprio ruolo:

- le finalità di trattamento dei dati personali, come descritte nella Convenzione di adesione al Polo, nella D.G.R. 27/26 del 28.5.2020 e nelle premesse;

- le modalità di trattamento dei dati personali attraverso l’APPLICATIVO SBN concesso in uso dalla Regione;

- gli strumenti utilizzati per la gestione dei dati personali, presenti negli archivi condivisi della

PIATTAFORMA DI SERVIZI del POLO SBN CAG;

I rispettivi ruoli nell’ambito del rapporto di contitolarità, sulla base della Convenzione, sono così definiti:

La Regione, per il tramite del competente Servizio della Direzione generale dei Beni Culturali, Informazione, Spettacolo e Sport e, nello specifico, dei GESTORI DI POLO, nell’ambito del ruolo come definito alla Convenzione gestisce le operazioni di trattamento dei dati personali degli utenti e dei dati inerenti i SERVIZI BIBLIOTECARI con riferimento a tutti gli UTENTI i cui dati sono presenti nell’ANAGRAFICA UTENTI del Polo SBN CAG e provvede alla cancellazione delle schede anagrafiche nei casi previsti; crea le schede anagrafiche degli OPERATORI e tratta i relativi dati presenti nell’ANAGRAFICA OPERATORI del Polo SBN CAG, potendo altresì accedere a tutte le operazioni effettuate dagli operatori sull’applicativo SBN e cancellare le relative schede anagrafiche nei casi previsti; tratta i dati dei FORNITORI presenti nell’ANAGRAFICA FORNITORI del Polo SBN CAG; effettua le ulteriori operazioni di trattamento necessarie per lo svolgimento del suo ruolo nell’ambito dei servizi erogati dal Polo SBN.

Provvede, altresì, per il tramite della competente Direzione generale o di aziende esterne da questa incaricate, alla conservazione e al back-up dei dati sui propri server e all’attuazione delle relative policy di sicurezza.

La Regione e gli Enti aderenti, in tali ambiti e secondo i rispettivi ruoli, sono contitolari del trattamento dei dati personali presenti negli ARCHIVI CONDIVISI per le operazioni all’interno della PIATTAFORMA DI SERVIZI DEL POLO SBN CAG necessarie per le finalità di cui in premessa.

6. Con riferimento alle operazioni di trattamento in contitolarità le Parti si impegnano ad assicurarsi la massima collaborazione reciproca nonché, in ordine alla tutela del dati presenti sugli ARCHIVI

CONDIVISI, ciascuno per quanto di competenza, al rispetto degli adempimenti e obblighi previsti dal GDPR e dal D.lgs. 196 del 30.6.2003 e ss.mm.ii. (Codice in materia di protezione di dati personali).

7. Le Parti, ai fini del presente Accordo, sono vincolate all’utilizzo dei dati secondo le finalità definite dalla normativa citata in premessa nonché esposte nelle informative rilasciate agli interessati, secondo lo schema allegato al presente accordo.

Art. 3. Conservazione dei dati personali

1. Le Parti concordano che la Regione, salvo esplicita richiesta di cancellazione dell’interessato, assicurerà la conservazione dei dati personali presenti negli ARCHIVI CONDIVISI ed ospitati sul server di sua proprietà fino a quando l'UTENTE è attivo in una qualunque biblioteca del Polo e fino ai successivi 5 anni dalla inattività.

2. Dopo tale termine si provvederà alla completa cancellazione dei dati personali e contestuale anonimizzazione dei dati relativi ai movimenti (es. prestiti, consultazioni, proroghe).

Articolo 4. Misure tecniche e organizzative di sicurezza

1. Le Parti, nel rispetto del principio di integrità e riservatezza di cui all’art. 5, par. 1, lett. f) del GDPR, nei limiti delle proprie funzioni e delle rispettive prerogative e tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, adottano le misure tecniche e organizzative adeguate ai sensi degli artt. 25 - 32 del GDPR e delle vigenti norme in materia di privacy al fine di garantire un livello di sicurezza adeguato al rischio nello svolgimento delle operazioni di trattamento dei dati personali presenti negli archivi condivisi per le quali agiscono in contitolarità.

2. Anche con riguardo alle operazioni di trattamento che non rientrano nell’ambito della contitolarità le Parti si impegnano ad adottare le misure tecniche ed organizzative adeguate ai sensi della vigente normativa volte a proteggere i dati personali presenti negli archivi condivisi.

3. In particolare le Parti si impegnano, per i trattamenti in contitolarità:

- a designare gli autorizzati al trattamento e, ai sensi dell’art. 29 del GDPR e dell’art. 2 – quaterdecies, comma 2, del Codice e a istruire e autorizzare chiunque effettui un trattamento dei dati personali per proprio conto;

- a esporre e fornire agli utenti l’informativa di cui agli artt. 13 e 14 del GDPR, secondo quanto indicato al seguente art. 5;

- ad assicurare la correttezza dei dati forniti dall’interessato;

- a tenere il Registro dei trattamenti di cui all’art. 30 del GDPR avendo cura di indicare i trattamenti effettuati per le finalità di cui al presente accordo e che gli stessi sono effettuati in contitolarità;

- ad adeguare le postazioni di lavoro alle misure di sicurezza previste dal GDPR e dal Codice e a predisporre tutte le condizioni organizzative, logistiche e amministrative affinché il personale incaricato operi conformemente a quanto previsto dalla vigente normativa in materia di privacy e dal presente accordo.

4. La Regione, nella persona del Direttore generale pro tempore della Direzione generale degli Affari generali e Società dell’Informazione, adotta le misure tecniche e organizzative di cui all’art. 32 del

GDPR con riferimento alla gestione dei server di proprietà della Regione che ospitano gli archivi condivisi e cura gli aspetti strettamente inerenti la gestione sistemistica della piattaforma di virtualizzazione, assicurando meccanismi di back-up dei dati.

Art. 5. Informativa

1. Le Parti avranno cura di elaborare una propria informativa ex artt. 13 e 14 del GDPR per rendere note all’utente/operatore/fornitore interessato le modalità dei propri trattamenti.

2. Le Parti stabiliscono che l’informativa fornita da ciascun Ente debba recare una parte comune, relativamente ai trattamenti in contitolarità dei dati personali presenti negli ARCHIVI CONDIVISI, da redigere sulla base del modello allegato al presente accordo.

3. L’informativa dovrà altresì contenere un estratto recante le informazioni essenziali del presente Accordo, salvo eventualmente assicurare agli interessati la conoscenza delle ulteriori informazioni contenute in questo Accordo a seguito di apposita richiesta avanzata in occasione dell’esercizio dei diritti dell’interessato, come di seguito specificato al seguente articolo 7.

4. L’informativa dovrà essere esposta presso ciascuna delle biblioteche aderenti al POLO SBN (CAG) in modo visibile agli utenti, nonché fornita agli utenti che ne fanno richiesta. La stessa dovrà altresì essere resa disponibile sui siti Internet di cui siano dotati i soggetti aderenti al POLO SBN (CAG)

5. Le Parti dovranno assicurare che gli operatori acquisiscano dagli utenti, all’atto della loro registrazione sul sistema informativo, la dichiarazione di aver preso visione dell’informativa di cui all’art. 13 del GDPR.

Art. 6 Esercizio dei diritti degli interessati

1. Come stabilito dall’art. 26, par. 3 del GDPR, anche per i trattamenti di dati personali effettuati in contitolarità l'interessato può esercitare i propri diritti ai sensi degli artt. 15 e 22 del medesimo GDPR nei confronti di e contro ciascun titolare del trattamento, indipendentemente dalle disposizioni di cui al presente Accordo.

2. La Parte che a qualunque titolo riceva una richiesta di esercizio dei diritti ai sensi degli artt. 15-22 del GDPR da parte di un interessato provvederà a riscontrare la richiesta stessa rispettando le previsioni dei suddetti articoli e curerà di inserire nelle informative di cui agli artt. 13 e 14 del GDPR un proprio punto di contatto presso il quale l’interessato potrà inviare le richieste.

Art. 7 Riparto obblighi e responsabilità

1. Le Parti saranno responsabili in solido tra loro in virtù del rapporto di contitolarità per i danni cagionati nell’esecuzione delle operazioni inerenti i trattamenti in contitolarità effettuati nell’ambito dei rispettivi ruoli (art. 2 del presente Accordo). Tra i contitolari vi è, pertanto, solidarietà passiva in caso di risarcimento del danno nei confronti dell’interessato o in caso di sanzioni amministrative pecuniarie. La Parte che ha pagato l’intero ammontare ha diritto di regresso nei confronti dell’altra, conformemente alla parte di responsabilità di ciascuna ai sensi del presente Accordo (art. 82 del GDPR, par. 4 e 5).

2. Con riferimento alle attività compiute da ciascuna Parte e/o da suoi collaboratori o dipendenti, nel corso dell’esecuzione delle operazioni di trattamento in qualità di autonomo titolare, resta inteso che tale Parte ne rimane l’unica responsabile sia ai fini del trattamento dei dati personali, sia secondo le

norme di diritto penale, civile ed amministrativo, e pertanto sarà chiamata a tale titolo a risponderne sia nei confronti dei terzi che nei confronti delle altre Parti.

Art. 8 Nomina Responsabile

1. Le parti delegano la Regione Sardegna a nominare, ai sensi dell’art. 28 del GDPR, quale Responsabile, l’affidatario dei servizi di manutenzione, evoluzione e assistenza della PIATTAFORMA DI SERVIZI DEL POLO REGIONALE SARDEGNA SBN (CAG) previo accertamento che lo stesso presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato (art. 28, par. 1 del GDPR).

2. Le parti a tal fine concordano che la Regione Sardegna abbia il potere di sottoscrivere con il Responsabile del trattamento selezionato il contratto o altro atto giuridico a norma del diritto dell'Unione o degli Stati membri che disciplini la durata, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento e contenga gli ulteriori elementi di cui all’art. 28 del GDPR.

Art. 9 "Data breach" o "Violazione di dati personali"

1. L’articolo 4 del GDPR definisce “data breach” la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati presso una Azienda o una Pubblica Amministrazione.

2. In caso di “data breach” ovvero di violazione dei dati personali contenuti negli archivi condivisi, il contitolare del trattamento che ha rilevato la violazione, ai sensi dell’art. 33 del GDPR, notifica la stessa all'autorità di controllo competente (Garante per la protezione dai dati personali) senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche.

3. Quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento comunica la violazione all'interessato senza ingiustificato ritardo, secondo quanto previsto all’art. 33 del GDPR.

4. Delle violazioni rilevate deve essere data tempestiva comunicazione alla Regione Sardegna all’indirizzo PEC xx.xxxxxxxxxxx@xxx.xxxxxxx.xxxxxxxx.xx e agli altri contitolari mediante email/PEC agli indirizzi reperibili sui rispettivi siti istituzionali.

Per la Regione Autonoma della Sardegna

Il Direttore del Servizio patrimonio culturale, editoria e informazione

Dott.ssa Xxxxx Xxxxxxx

Per l’Ente aderente