TRA
ALLEGATO A
Schema di integrazione alle convenzioni già sottoscritte per l’attuazione degli interventi di cui all'Accordo GECO 8, ai sensi della Deliberazione di Giunta Regionale n. 889/2019
TRA
REGIONE XXXXXX-ROMAGNA, rappresentata da . . . .
. . . domiciliato per la carica in Viale Xxxx Xxxx n. 38 . . . . .
. . , come stabilito dalla deliberazione della Giunta regionale n.
. . . . del ;
e
(denominazione) ,
rappresentato da ……………….domiciliato per la carica in via …… autorizzato da …………….
Premesso che:
- la propria deliberazione n. 1127 del 16/07/2018 “Approvazione della proposta progettuale in materia di politiche giovanili per l'anno 2018 denominata "GECO 8", ai sensi del comma 2, art. 2 dell'Intesa, rep. 6/CU del 24/01/2018”, inviata con nota PG/2018/0524664 del 01/08/2018 al Dipartimento della Gioventù e del Servizio Civile Universale come previsto dall’art. 2 comma
5 della predetta Intesa, del valore progettuale complessivo di
€ 190.880,00 di cui € 152.704,00 quale quota di finanziamento derivante dal Fondo Nazionale per le Politiche giovanili anno 2018 e € 38.176,00 quale quota di cofinanziamento regionale la cui copertura è assicurata dal capitolo 71570 del capitolo del bilancio regionale;
- la propria deliberazione n. 1785 del 29/10/2018 “Approvazione dello schema di Accordo di collaborazione tra il Governo e la Regione in attuazione dell'Intesa repertorio n. 6/CU del 24/01/2018, di cui alla proposta progettuale denominata "GECO 8" approvata con Delibera di Giunta regionale n. 1127/2018;
- la propria deliberazione n. 889 del 05/06/2019 “Accordo in materia di politiche giovanili GECO 8 (Xxxxxxx Evoluti e Consapevoli) anno 2018 (D.G.R. n. 1127/2018). Attuazione interventi e approvazione schema di convenzione con i soggetti attuatori”;
- la propria deliberazione n. ……/2019 “Accordo GECO 8 - Integrazione e rettifica della deliberazione n. 889/2019, concessione contributi assegnati e contestuale assunzione dell’impegno della spesa, per l’attuazione degli interventi in materia di politiche giovanili per l'anno 2018”;
- l’art. 32 del D. Lgs. 196/2003 “Codice in materia di protezione dei dati personali” nonché del “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)”;
Dato atto che con la predetta deliberazione, n. ……/2019 è stato altresì approvata un’integrazione allo schema di convenzione per l'attuazione degli interventi di cui all'Accordo GECO 8, ai sensi della deliberazione di Giunta Regionale n. 889/2019, anche al fine di dare completa attuazione all’art. 32 del D. Lgs. 196/2003 “Codice in materia di protezione dei dati personali, nonché l’art. 32 del “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);
tra la Regione Xxxxxx-Romagna e
(denominazione soggetto)
Si conviene e si stipula quanto segue:
Art. 1
Alla convezione stipulata tra la Regione Xxxxxx-Romagna e
(denominazione soggetto) in data , repertorio n. aggiunti i seguenti articoli:
sono
Art. 9 bis Sicurezza e riservatezza
1. L’Ente ha l’obbligo di mantenere riservati i dati e le informazioni, ivi comprese quelle che transitano per le apparecchiature di elaborazione dati, di cui venga in possesso e comunque a conoscenza, anche tramite l'esecuzione della Convenzione, di non divulgarli in alcun modo e in qualsiasi forma, di non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione della Convenzione e di non farne oggetto di comunicazione o trasmissione senza l'espressa autorizzazione dell'Amministrazione regionale.
2. L’obbligo di cui al precedente comma sussiste, altresì, relativamente a tutto il materiale originario o predisposto in esecuzione della Convenzione.
3. L’obbligo di cui ai commi 1 e 2 non concerne i dati che siano o divengano di pubblico dominio.
4. L’Ente è responsabile per l’esatta osservanza da parte dei propri dipendenti, consulenti e collaboratori, nonché di subappaltatori e dei dipendenti, consulenti e collaboratori di questi ultimi, degli obblighi di segretezza di cui ai punti 1, 2 e 3 e risponde nei confronti dell’Amministrazione regionale per eventuali violazioni dell’obbligo di riservatezza commesse dai suddetti soggetti.
5. L’Ente può utilizzare servizi di cloud pubblici ove memorizzare i dati e le informazioni trattate nell'espletamento dell'incarico affidato, solo previa autorizzazione dell’Amministrazione regionale.
6. In caso di inosservanza degli obblighi descritti nei punti da 1 a 5, l’Amministrazione regionale ha facoltà di dichiarare risolta di diritto la Convenzione, fermo restando che L’Ente sarà tenuto a risarcire tutti i danni che ne dovessero derivare.
7. L’Ente potrà citare i termini essenziali della Convenzione nei casi in cui fosse condizione necessaria per la propria partecipazione a gare e appalti, previa comunicazione alla Amministrazione regionale delle modalità e dei contenuti di detta citazione.
8. Sarà possibile ogni operazione di auditing da parte della Amministrazione regionale attinente le procedure adottate dal Contraente in materia di riservatezza e degli altri obblighi assunti dalla presente Convenzione.
9. L’Ente non potrà conservare copia di dati e programmi della Amministrazione regionale, né alcuna documentazione inerente ad essi dopo la scadenza della Convenzione e dovrà, su richiesta, ritrasmetterli all'Amministrazione regionale.
Art. 9 ter
Designazione quale responsabile del trattamento dei dati personali ai sensi del Regolamento U.E. 679/2016
1. In esecuzione della presente Convenzione, L’Ente effettua trattamento di dati personali di titolarità dell’Amministrazione regionale.
2. In virtù di tale trattamento, le Parti stipulano l’accordo allegato al fine di disciplinare oneri e responsabilità in aderenza al Regolamento (UE) del Parlamento e del Consiglio europeo n. 2016/679 (di seguito, anche “GDPR”) e da ogni altra normativa applicabile.
3. L’Ente è, pertanto, designato dalla Giunta della Regione Xxxxxx- Romagna quale Responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 28 del Regolamento, il quale si obbliga a dare esecuzione alla Convenzione suindicata conformemente a quanto previsto dall’Accordo allegato alla presente Convenzione.
4. Le Parti riconoscono e convengono che il rispetto delle istruzioni di cui all’accordo allegato, nonché alle prescrizioni della normativa applicabile, non producono l’insorgere di un diritto in capo al Responsabile del trattamento al rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per conformarsi.”
Art. 2
1. La convenzione di cui all’art. 1 resta invariata in ogni altra sua parte.
Letto, confermato e sottoscritto digitalmente ai sensi dell’art. 15 comma 2 bis della Legge 241/90 e successive modifiche.
Per la Regione Xxxxxx-Romagna Per . . . . . . . . . . . . .
Il Dirigente regionale Il Legale rappresentante
Allegato
Accordo per il trattamento di dati personali
Il presente accordo costituisce allegato parte integrante della Convenzione siglata tra la Giunta della Regione Xxxxxx-Romagna e il Soggetto esterno designato Responsabile del trattamento di dati personali ai sensi dell’art. 28 del GDPR.
1. Premesse
(A) Il presente Accordo si compone delle clausole di seguito rappresentate e dall’Allegato 1: Glossario.
Le Parti convengono quanto segue:
2. Trattamento dei dati nel rispetto delle istruzioni della Giunta della Regione Xxxxxx-Romagna
2.1 Il Responsabile del trattamento, relativamente a tutti i Dati personali che tratta per conto dell’Amministrazione regionale garantisce che:
2.1.1 tratta tali Dati personali solo ai fini dell’esecuzione dell’oggetto della Convenzione, e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite dall’Amministrazione regionale;
2.1.2 non trasferisce i Dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte dall’Amministrazione regionale e a fronte di quanto disciplinato nel presente accordo;
2.1.3 non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico dall’Amministrazione regionale, financo per trattamenti aventi finalità compatibili con quelle originarie;
2.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà l’Amministrazione regionale se, a suo parere, una qualsiasi istruzione fornita dall’Amministrazione stessa si ponga in violazione di Normativa applicabile;
2.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:
2.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste formulate all’Amministrazione regionale dagli interessati relativamente ai loro dati personali e/o a conformarsi alle istruzioni fornite dall’Amministrazione stessa in materia;
2.2.2 procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta dell’Amministrazione regionale dei dati personali di ogni interessato e/o a conformarsi alle istruzioni fornite dall’Amministrazione stessa in materia;
2.2.3 procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta dall’Amministrazione
regionale e/o a conformarsi alle istruzioni fornite dall’Amministrazione stessa in materia;
2.2.4 procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta dell’Amministrazione regionale e/o a conformarsi alle istruzioni fornite dalla stessa in materia.
2.3 Il Responsabile del trattamento deve garantire e fornire all’Amministrazione regionale cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
2.4 Il Responsabile del trattamento, anche nel rispetto di quanto previsto all’art. 30 del Regolamento, deve mantenere e compilare e rendere disponibile a richiesta della stessa, un registro dei trattamenti dati personali che riporti tutte le informazioni richieste dalla norma.
2.5 Il Responsabile del trattamento assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 del GDPR che l’Amministrazione regionale intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
3. Le misure di sicurezza
3.1 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati.
3.2 Nei casi in cui il Responsabile effettui trattamenti di conservazione dei dati personali del Titolare nel proprio sistema informativo, garantisce la separazione di tipo logico di tali dati da quelli trattati per conto di terze parti o per proprio conto.
3.3. Il Responsabile del trattamento conserva, nel caso siano allo stesso affidati servizi di amministrazione di sistema, direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;
3.4 L’Amministrazione regionale attribuisce al Responsabile del trattamento il compito di dare attuazione alla prescrizione di cui al punto 2 lettera e) “Verifica delle attività” del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”;
3.5 Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Titolare,
con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.
3.6 Conformemente alla disposizione di cui all’art. 28 comma 1 del Regolamento e alla valutazione delle garanzie che il Responsabile del trattamento deve presentare, lo stesso Responsabile attesta, a mezzo della sottoscrizione del presente accordo, la conformità della propria organizzazione almeno ai parametri di livello minimo di cui alle misure di sicurezza individuate da Agid la circolare n. 2/2017.
3.7 Il Responsabile del trattamento dà esecuzione alla Convenzione in aderenza alle policy dell’Amministrazione regionale in materia di privacy e sicurezza informatica, tra le quali:
4. Analisi dei rischi, privacy by design e privacy by default
4.1 Con riferimento agli esiti dell’analisi dei rischi effettuata dall’Amministrazione regionale sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dall’Amministrazione stessa per affrontare eventuali rischi identificati.
4.2 Il Responsabile del trattamento dovrà consentire all’Amministrazione regionale, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
4.3 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
4.4 Il Responsabile del trattamento dà esecuzione alla Convenzione in aderenza alle policy di privacy by design e by default adottate dall’Amministrazione regionale e specificatamente comunicate.
5. Soggetti autorizzati ad effettuare i trattamenti - Designazione
5.1 Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’Amministrazione regionale.
5.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica, consegnando all’Amministrazione regionale le evidenze di tale formazione.
5.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nella Convenzione
di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
6. Sub-Responsabili del trattamento di dati personali
6.1 Nell’ambito dell’esecuzione della Convenzione, il Responsabile del trattamento è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), previa informazione dell’Amministrazione regionale ed imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo.
6.2 Su specifica richiesta dell’Amministrazione regionale, il Responsabile del trattamento dovrà provvedere a che ogni SubResponsabile sottoscriva direttamente con l’Amministrazione stessa un accordo di trattamento dei dati che, a meno di ulteriori e specifiche esigenze, preveda sostanzialmente gli stessi termini del presente Accordo.
6.3 In tutti i casi, il Responsabile del trattamento si assume la responsabilità nei confronti dell’Amministrazione regionale per qualsiasi violazione od omissione realizzati da un Sub-Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Responsabile del trattamento abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni.
7. Trattamento dei dati personali fuori dall’area economica europea
7.1 L’Amministrazione regionale non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
8. Cancellazione dei dati personali
8.1 Il Responsabile del trattamento, a richiesta del Titolare, provvede alla restituzione o cancellazione dei dati personali trattati per l’esecuzione della presente Convenzione al termine dell’affidamento o del periodo di conservazione e in qualsiasi circostanza in cui sia richiesto dall’Amministrazione regionale, compresa l’ipotesi in cui la stessa debba avvenire per dare seguito a specifica richiesta da parte di interessati.
9. Audit
9.1 Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte dell’Amministrazione regionale.
9.2 Il Responsabile del trattamento consente, pertanto, all’Amministrazione regionale l’accesso ai propri locali e ai locali di qualsiasi SubResponsabile, ai computer e altri sistemi informativi, ad atti, documenti e a quanto ragionevolmente richiesto per verificare che il Responsabile del trattamento, e/o i suoi Sub- fornitori, rispettino gli obblighi derivanti dalla normativa in
materia di protezione dei dati personali e, quindi, da questo Accordo.
9.3 L’Amministrazione regionale può esperire specifici audit anche richiedendo al Responsabile del trattamento di attestare la conformità della propria organizzazione agli oneri di cui alla Normativa applicabile e al presente Accordo.
9.4 L’esperimento di tali audit non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.
9.5 Il rifiuto del Responsabile del trattamento di consentire l’audit all’Amministrazione regionale comporta la risoluzione della Convenzione.
10. Indagini dell’Autorità e reclami
10.1 Nei limiti della normativa applicabile, il Responsabile del trattamento o qualsiasi SubResponsabile informa senza alcun indugio l’Amministrazione regionale di qualsiasi:
a) richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine;
b) istanza ricevuta da soggetti interessati;
10.2 Il Responsabile del trattamento fornisce, in esecuzione della Convenzione e, quindi, gratuitamente, tutta la dovuta assistenza all’Amministrazione regionale per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamentari applicabili.
11. Violazione dei dati personali e obblighi di notifica
11.1 Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del Regolamento e nei limiti di cui al perimetro delle attività affidate, deve comunicare a mezzo di posta elettronica certificata all’Amministrazione regionale nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-Fornitori. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a
a) descrivere la natura della violazione dei dati personali;
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi;
11.2 Il Responsabile del trattamento deve fornire tutto il supporto necessario all’Amministrazione regionale ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con l’Amministrazione stessa, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto dell’Amministrazione regionale.
12. Responsabilità e manleve
12.1 Il Responsabile del trattamento tiene indenne e manleva l’Amministrazione regionale da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.
12.2 Nel caso in cui il Responsabile del trattamento commetta violazioni alla normativa in materia di protezione dei dati personali e al presente Accordo, quali ad esempio quelle indicate all’art. 83 commi 4 e 5, l’Amministrazione regionale può risolvere la Convenzione.
12.3 A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Responsabile del trattamento:
avverte, prontamente ed in forma scritta, l’Amministrazione regionale del Reclamo;
non fornisce dettagli al reclamante senza la preventiva interazione con l’Amministrazione regionale;
non transige la controversia senza il previo consenso scritto dell’Amministrazione regionale;
fornisce alla stessa tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.”
Letto, confermato e sottoscritto digitalmente ai sensi dell’art. 15 comma 2 bis della Legge 241/90 e successive modifiche.
Per la Regione Xxxxxx-Romagna Per . . . . . . . . . . . . .
Il Dirigente regionale Il Legale rappresentante
Allegato 1
GLOSSARIO
“Garante per la protezione dei dati personali”: è l’autorità di controllo responsabile per la protezione dei dati personali in Italia;
“Dati personali ”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“GDPR” o “Regolamento”: si intende il Regolamento UE 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018;
“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali, incluso il Regolamento Privacy UE 2016/679 (GDPR) ed ogni provvedimento del Garante per la protezione dei dati personali e del WP Art. 29.
“Appendice Security”: consiste nelle misure di sicurezza che il Titolare determina assicurando un livello minimo di sicurezza, e che possono essere aggiornate ed implementate dal Titolare, di volta in volta, in conformità alle previsioni del presente Accordo;
“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
“Pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
ALLEGATO B
Nuovo schema per le convenzioni non ancora sottoscritte finalizzato all’attuazione degli interventi di cui all'Accordo GECO 8, approvato con Deliberazione di Giunta Regionale n. 889/2019
TRA
REGIONE XXXXXX-ROMAGNA, rappresentata da . . . .
. . . domiciliato per la carica in Viale Xxxx Xxxx n. 38 . . . . .
. . , come stabilito dalla deliberazione della Giunta regionale n.
. . . . del ;
e
(denominazione) ,
rappresentato da ……………….domiciliato per la carica in via …… autorizzato da ……………
Premesso che:
- in sede di Conferenza Unificata Rep. 6/CU, in data 24 gennaio 2018 è stata sancita l’Intesa tra il Governo, le Regioni e Province Autonome di Trento e Bolzano e gli Enti locali, ai sensi dell’articolo 8, comma 6, della legge 5 giugno 2003, n. 131, (di seguito denominata “Intesa”) sulla ripartizione per l’anno 2018 del “Fondo nazionale per le politiche giovanili di cui all’art. 19, comma 2, del decreto legge 4 luglio 2006, n. 223, convertito, con modificazioni, dalla legge 4 agosto 2006, n. 248";
- il Decreto del Ministro del lavoro e delle politiche sociali in data 1° febbraio 2018, registrato dalla Corte dei conti in data 9 marzo 2018, al n. 407, in attuazione dell’Intesa, ha provveduto al “Riparto del Fondo per le politiche giovanili per l’anno 2018”, assegnando alle Regioni ed alle Province Autonome risorse per un ammontare complessivo di euro 2.156.836,00;
- l'Accordo di collaborazione, in attuazione della predetta Intesa, siglato digitalmente, ai sensi dell'art. 15 della Legge
7 agosto 1990 n. 241, nostro RPI n. 511 del 31/10/2018 in data 15/11/2018 e nota PG/2018/714014 del 29/11/2018, che disciplina le modalità di realizzazione delle attività - anche in collaborazione con altri Enti, tramite sottoscrizione di specifiche convenzioni - e il monitoraggio semestrale dell’iniziativa regionale, a seguito dell'approvazione della suddetta proposta progettuale (GECO 8 – Giovani evoluti e consapevoli) tra il Dipartimento della Gioventù e del Servizio Civile Nazionale della Presidenza del Consiglio del Ministri e la Regione Xxxxxx-Romagna;
- a seguito della registrazione del decreto di approvazione del sopracitato Accordo di collaborazione, in data 24 gennaio 2019
con ordine n. 9, il Dipartimento della Gioventù e del Servizio Civile Nazionale della Presidenza del Consiglio del Ministri ha provveduto ad impegnare contabilmente, a favore di codesta Regione, a valere sull'Esercizio Finanziario 2019, l'importo di
€ 152.704,00;
- l’art. 32 del D. Lgs. 196/2003 “Codice in materia di protezione dei dati personali” nonché del “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)”;
Dato atto che:
- la Giunta della Regione Xxxxxx-Romagna, con propria deliberazione n. 889/2019 ha dato attuazione agli “Interventi in materia di politiche giovanili, volti a promuovere attività di orientamento e placement, e/o attività dirette alla prevenzione del disagio e al sostegno dei giovani talenti” sulla base di quanto indicato nell’Accordo medesimo – e in particolare nella Relazione tecnica e nella scheda/intervento;
- con la predetta deliberazione, n. 889/2019 è stato altresì approvato lo schema di convenzione per disciplinare la collaborazione fra la Regione e i singoli soggetti coinvolti nell’attuazione degli interventi;
- la propria deliberazione n. ……/2019 “Accordo GECO 8 - Integrazione e rettifica della deliberazione n. 889/2019, concessione contributi assegnati e contestuale assunzione dell’impegno della spesa, per l’attuazione degli interventi in materia di politiche giovanili per l'anno 2018”, anche al fine di al fine di dare completa attuazione all’art. 32 del D. Lgs. 196/2003 “Codice in materia di protezione dei dati personali, nonché l’art. 32 del “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati);
Tutto ciò premesso e considerato;
tra la Regione Xxxxxx-Romagna e
(denominazione soggetto) Si conviene e si stipula quanto segue:
ART. 1
Oggetto
1. La Regione Xxxxxx-Romagna (di seguito indicata come Regione) e
………………..(denominazione soggetto realizzatore ) sottoscrivono la presente convenzione per l’attuazione dell’intervento “Interventi in materia di politiche giovanili, volti a promuovere attività di orientamento e placement, e/o attività dirette alla prevenzione del disagio e al sostegno dei giovani talenti” previsto nell’Accordo “Giovani Evoluti e Consapevoli 8” (di seguito GECO 8).
2. La realizzazione dell’intervento, di cui al comma 1, in coerenza con quanto indicato nella scheda/intervento contenuta nella Relazione Tecnica dell’APQ GECO 8, meglio specificato e riassunto nei punti seguenti:
Obiettivi:
Azioni:
ART. 2
Durata
La presente convenzione e le relative attività hanno durata fino al 31/12/2019 dalla sottoscrizione della stessa, fatto salvo quanto indicato al successivo art. 7.
La presente convenzione s'intenderà sottoscritta alla data di apposizione della firma digitale da parte della Regione, quale ultimo firmatario e di repertoriazione della stessa alla quale si procederà nella medesima data.
ART. 3
Costo dell'intervento e copertura finanziaria
1. L’intervento di cui all’articolo 1 prevede un costo complessivo di € …….. a carico del Fondo nazionale per le politiche giovanili.
ART. 4
Impegni di …. (denominazione del soggetto coinvolto)
Ai fini dell’attuazione dell’intervento di cui all’art. 1 (denominazione del soggetto coinvolto) si impegna a:
a) realizzare le attività ossia le azioni previste dall’intervento di cui all’articolo 1;
b) compilare, con cadenza semestrale l’apposita “Scheda di monitoraggio” Allegato 2 della presente convenzione, a decorrere dalla sottoscrizione della presente convenzione, da inviare all’indirizzo PEC: xxxxxxxx@xxxxxxxxx.xxxxxxx.xxxxxx-xxxxxxx.xx al fine di consentire alla Regione il monitoraggio dello stato di realizzazione degli interventi previsti dalla presente Convenzione, in coerenza agli adempimenti previsti nell'Accordo di collaborazione sopracitato;
c) comunicare tempestivamente alla Regione informazioni dettagliate circa eventuali ritardi nello svolgimento delle attività previste, ossia azioni svolte, fatti che ne pregiudichino lo svolgimento o ne comportino un’attuazione parziale, nonché fatti che possano comportare la riduzione del cofinanziamento delle attività a carico del medesimo soggetto;
d) evidenziare in ogni strumento di promozione e di informazione che l’attività oggetto della presente convenzione rientra negli interventi previsti dall’Accordo GECO 8 ed è realizzata con il contributo della Presidenza del Consiglio dei Ministri – Dipartimento per la Gioventù e della Regione Xxxxxx-Romagna – Assessorato alla Cultura, politiche giovanili e politiche per la legalità;
e) garantire, ai sensi della Comunicazione della Commissione europea 2016/C262/01, paragrafo 34, che la realizzazione delle attività oggetto del presente finanziamento siano svolte con finalità esclusivamente sociali e culturali che non rivestano carattere economico e non costituiscano Aiuto di Stato.
ART. 5
Impegni della Regione
La Regione si impegna a concorrere all'attuazione in collaborazione del progetto di cui all’art. 1) attraverso:
- la collaborazione dei propri uffici per favorire l’efficacia delle attività previste;
- la concessione dei contributi per l’importo indicato all’art. 3.
ART. 6
Modalità di liquidazione dei contributi a valere sul Fondo nazionale politiche giovanili
I contributi verranno liquidati ed erogati a presentazione, da parte del Soggetto attuatore dell’intervento, della documentazione e nei tempi di seguito indicate:
− una prima tranche, fino al 30% del contributo in relazione ad un primo stato di avanzamento delle attività realizzate, supportato da apposita relazione e attestazione delle spese sostenute;
− il saldo a conclusione dell’attività e dietro presentazione dell’apposita documentazione di rendicontazione finale;
con l’indicazione del luogo di conservazione della relativa documentazione contabile il tutto debitamente firmato dal Responsabile del Procedimento o dal Legale Rappresentante dell’Ente. La rendicontazione di spesa dovrà pervenire entro il 28/02/2020.
ART. 7
Termine delle azioni e proroghe
Le azioni svolte dovranno essere completate entro il 31/12/2019, salvo motivate ragioni, da documentarsi adeguatamente, sulla base delle quali il (denominazione del soggetto) …....... potrà richiedere una proroga da concedersi con apposito atto del Dirigente regionale competente per materia prima della scadenza della presente convenzione. In caso di proroga si provvederà alla rivisitazione delle scritture contabili ai fini della corretta registrazione dell’impegno di spesa assunto, in linea con i principi previsti dal D.Lgs. n. 118/2011 e ss.mm.ii..
ART. 8
Verifiche amministrativo-contabili sull'attuazione del progetto
La Regione può procedere a verifiche amministrativo-contabili concernenti la realizzazione ed i risultati dell’intervento oggetto della presente convenzione in particolare attraverso:
- incontri periodici di verifica;
- relazioni periodiche sullo stato di avanzamento dell’intervento;
- richieste di atti e delle necessarie documentazioni.
Nel corso della realizzazione delle azioni oggetto della convenzione la Regione può definire inoltre le forme e le modalità per riorientare le azioni previste al fine del raggiungimento dei risultati.
“Art. 9 bis Sicurezza e riservatezza
1. L’Ente ha l’obbligo di mantenere riservati i dati e le informazioni, ivi comprese quelle che transitano per le apparecchiature di elaborazione dati, di cui venga in possesso e comunque a conoscenza, anche tramite l'esecuzione della Convenzione, di non divulgarli in alcun modo e in qualsiasi forma, di non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione della Convenzione e di non farne oggetto di comunicazione o trasmissione senza l'espressa autorizzazione dell'Amministrazione regionale.
2. L’obbligo di cui al precedente comma sussiste, altresì, relativamente a tutto il materiale originario o predisposto in esecuzione della Convenzione.
3. L’obbligo di cui ai commi 1 e 2 non concerne i dati che siano o divengano di pubblico dominio.
4. L’Ente è responsabile per l’esatta osservanza da parte dei propri dipendenti, consulenti e collaboratori, nonché di subappaltatori e dei dipendenti, consulenti e collaboratori di questi ultimi, degli obblighi di segretezza di cui ai punti 1,
2 e 3 e risponde nei confronti dell’Amministrazione regionale per eventuali violazioni dell’obbligo di riservatezza commesse dai suddetti soggetti.
5. L’Ente può utilizzare servizi di cloud pubblici ove memorizzare i dati e le informazioni trattate nell'espletamento dell'incarico affidato, solo previa autorizzazione dell’Amministrazione regionale.
6. In caso di inosservanza degli obblighi descritti nei punti da 1 a 5, l’Amministrazione regionale ha facoltà di dichiarare risolta di diritto la Convenzione, fermo restando che L’Ente sarà tenuto a risarcire tutti i danni che ne dovessero derivare.
7. L’Ente potrà citare i termini essenziali della Convenzione nei casi in cui fosse condizione necessaria per la propria partecipazione a gare e appalti, previa comunicazione alla Amministrazione regionale delle modalità e dei contenuti di detta citazione.
8. Sarà possibile ogni operazione di auditing da parte della Amministrazione regionale attinente le procedure adottate dal Contraente in materia di riservatezza e degli altri obblighi assunti dalla presente Convenzione.
9. L’Ente non potrà conservare copia di dati e programmi della Amministrazione regionale, né alcuna documentazione inerente ad essi dopo la scadenza della Convenzione e dovrà, su richiesta, ritrasmetterli all'Amministrazione regionale.
Art. 9 ter
Designazione quale responsabile del trattamento dei dati personali ai sensi del Regolamento U.E. 679/2016
1. In esecuzione della presente Convenzione, L’Ente effettua trattamento di dati personali di titolarità dell’Amministrazione regionale.
2. In virtù di tale trattamento, le Parti stipulano l’accordo allegato al fine di disciplinare oneri e responsabilità in aderenza al Regolamento (UE) del Parlamento e del Consiglio europeo n. 2016/679 (di seguito, anche “GDPR”) e da ogni altra normativa applicabile.
3. L’Ente è, pertanto, designato dalla Giunta della Regione Xxxxxx- Romagna quale Responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 28 del Regolamento, il
quale si obbliga a dare esecuzione alla Convenzione suindicata conformemente a quanto previsto dall’Accordo allegato alla presente Convenzione.
4. Le Parti riconoscono e convengono che il rispetto delle istruzioni di cui all’accordo allegato, nonché alle prescrizioni della normativa applicabile, non producono l’insorgere di un diritto in capo al Responsabile del trattamento al rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per conformarsi.
ART. 10
Registrazione
Il presente atto sarà registrato solo in caso d'uso ai sensi del
D.P.R. 26 ottobre 1972, n. 634 e successive modifiche ed integrazioni, a cura e spese della parte richiedente.
Letto, confermato e sottoscritto digitalmente ai sensi dell’art. 15 comma 2 bis della Legge 241/90 e successive modifiche.
Per la Regione Xxxxxx-Romagna Per . . . . . . . .
Il Dirigente regionale Il Legale rappresentante
Allegato
Accordo per il trattamento di dati personali
Il presente accordo costituisce allegato parte integrante della Convenzione siglata tra la Giunta della Regione Xxxxxx-Romagna e il Soggetto esterno designato Responsabile del trattamento di dati personali ai sensi dell’art. 28 del GDPR.
1. Premesse
(A) Il presente Accordo si compone delle clausole di seguito rappresentate e dall’Allegato 1: Glossario.
Le Parti convengono quanto segue:
2. Trattamento dei dati nel rispetto delle istruzioni della Giunta della Regione Xxxxxx-Romagna
2.1 Il Responsabile del trattamento, relativamente a tutti i Dati personali che tratta per conto dell’Amministrazione regionale garantisce che:
2.1.1 tratta tali Dati personali solo ai fini dell’esecuzione dell’oggetto della Convenzione, e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite dall’Amministrazione regionale;
2.1.2 non trasferisce i Dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte dall’Amministrazione regionale e a fronte di quanto disciplinato nel presente accordo;
2.1.3 non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico dall’Amministrazione regionale, financo per trattamenti aventi finalità compatibili con quelle originarie;
2.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà l’Amministrazione regionale se, a suo parere, una qualsiasi istruzione fornita dall’Amministrazione stessa si ponga in violazione di Normativa applicabile;
2.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:
2.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste formulate all’Amministrazione regionale dagli interessati relativamente ai loro dati personali e/o a conformarsi alle istruzioni fornite dall’Amministrazione stessa in materia;
2.2.2 procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta dell’Amministrazione regionale dei dati personali di ogni interessato e/o a conformarsi alle istruzioni fornite dall’Amministrazione stessa in materia;
2.2.3 procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta dall’Amministrazione
regionale e/o a conformarsi alle istruzioni fornite dall’Amministrazione stessa in materia;
2.2.4 procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta dell’Amministrazione regionale e/o a conformarsi alle istruzioni fornite dalla stessa in materia.
2.3 Il Responsabile del trattamento deve garantire e fornire all’Amministrazione regionale cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
2.4 Il Responsabile del trattamento, anche nel rispetto di quanto previsto all’art. 30 del Regolamento, deve mantenere e compilare e rendere disponibile a richiesta della stessa, un registro dei trattamenti dati personali che riporti tutte le informazioni richieste dalla norma.
2.5 Il Responsabile del trattamento assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 del GDPR che l’Amministrazione regionale intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
3. Le misure di sicurezza
3.1 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati.
3.2 Nei casi in cui il Responsabile effettui trattamenti di conservazione dei dati personali del Titolare nel proprio sistema informativo, garantisce la separazione di tipo logico di tali dati da quelli trattati per conto di terze parti o per proprio conto.
3.3. Il Responsabile del trattamento conserva, nel caso siano allo stesso affidati servizi di amministrazione di sistema, direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;
3.4 L’Amministrazione regionale attribuisce al Responsabile del trattamento il compito di dare attuazione alla prescrizione di cui al punto 2 lettera e) “Verifica delle attività” del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”;
3.5 Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Titolare,
con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.
3.6 Conformemente alla disposizione di cui all’art. 28 comma 1 del Regolamento e alla valutazione delle garanzie che il Responsabile del trattamento deve presentare, lo stesso Responsabile attesta, a mezzo della sottoscrizione del presente accordo, la conformità della propria organizzazione almeno ai parametri di livello minimo di cui alle misure di sicurezza individuate da Agid la circolare n. 2/2017.
3.7 Il Responsabile del trattamento dà esecuzione alla Convenzione in aderenza alle policy dell’Amministrazione regionale in materia di privacy e sicurezza informatica, tra le quali:
4. Analisi dei rischi, privacy by design e privacy by default
4.1 Con riferimento agli esiti dell’analisi dei rischi effettuata dall’Amministrazione regionale sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dall’Amministrazione stessa per affrontare eventuali rischi identificati.
4.2 Il Responsabile del trattamento dovrà consentire all’Amministrazione regionale, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
4.3 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
4.4 Il Responsabile del trattamento dà esecuzione alla Convenzione in aderenza alle policy di privacy by design e by default adottate dall’Amministrazione regionale e specificatamente comunicate.
5. Soggetti autorizzati ad effettuare i trattamenti - Designazione
5.1 Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’Amministrazione regionale.
5.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica, consegnando all’Amministrazione regionale le evidenze di tale formazione.
5.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nella Convenzione
di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
6. Sub-Responsabili del trattamento di dati personali
6.1 Nell’ambito dell’esecuzione della Convenzione, il Responsabile del trattamento è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), previa informazione dell’Amministrazione regionale ed imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo.
6.2 Su specifica richiesta dell’Amministrazione regionale, il Responsabile del trattamento dovrà provvedere a che ogni SubResponsabile sottoscriva direttamente con l’Amministrazione stessa un accordo di trattamento dei dati che, a meno di ulteriori e specifiche esigenze, preveda sostanzialmente gli stessi termini del presente Accordo.
6.3 In tutti i casi, il Responsabile del trattamento si assume la responsabilità nei confronti dell’Amministrazione regionale per qualsiasi violazione od omissione realizzati da un Sub-Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Responsabile del trattamento abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni.
7. Trattamento dei dati personali fuori dall’area economica europea
7.1 L’Amministrazione regionale non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
8. Cancellazione dei dati personali
8.1 Il Responsabile del trattamento, a richiesta del Titolare, provvede alla restituzione o cancellazione dei dati personali trattati per l’esecuzione della presente Convenzione al termine dell’affidamento o del periodo di conservazione e in qualsiasi circostanza in cui sia richiesto dall’Amministrazione regionale, compresa l’ipotesi in cui la stessa debba avvenire per dare seguito a specifica richiesta da parte di interessati.
9. Audit
9.1 Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte dell’Amministrazione regionale.
9.2 Il Responsabile del trattamento consente, pertanto, all’Amministrazione regionale l’accesso ai propri locali e ai locali di qualsiasi SubResponsabile, ai computer e altri sistemi informativi, ad atti, documenti e a quanto ragionevolmente richiesto per verificare che il Responsabile del trattamento, e/o i suoi Sub- fornitori, rispettino gli obblighi derivanti dalla normativa in
materia di protezione dei dati personali e, quindi, da questo Accordo.
9.3 L’Amministrazione regionale può esperire specifici audit anche richiedendo al Responsabile del trattamento di attestare la conformità della propria organizzazione agli oneri di cui alla Normativa applicabile e al presente Accordo.
9.4 L’esperimento di tali audit non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.
9.5 Il rifiuto del Responsabile del trattamento di consentire l’audit all’Amministrazione regionale comporta la risoluzione della Convenzione.
10. Indagini dell’Autorità e reclami
10.1 Nei limiti della normativa applicabile, il Responsabile del trattamento o qualsiasi SubResponsabile informa senza alcun indugio l’Amministrazione regionale di qualsiasi:
a) richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine;
b) istanza ricevuta da soggetti interessati;
10.2 Il Responsabile del trattamento fornisce, in esecuzione della Convenzione e, quindi, gratuitamente, tutta la dovuta assistenza all’Amministrazione regionale per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamentari applicabili.
11. Violazione dei dati personali e obblighi di notifica
11.1 Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del Regolamento e nei limiti di cui al perimetro delle attività affidate, deve comunicare a mezzo di posta elettronica certificata all’Amministrazione regionale nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-Fornitori. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a
a) descrivere la natura della violazione dei dati personali;
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi;
11.2 Il Responsabile del trattamento deve fornire tutto il supporto necessario all’Amministrazione regionale ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con l’Amministrazione stessa, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto dell’Amministrazione regionale.
12. Responsabilità e manleve
12.1 Il Responsabile del trattamento tiene indenne e manleva l’Amministrazione regionale da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.
12.2 Nel caso in cui il Responsabile del trattamento commetta violazioni alla normativa in materia di protezione dei dati personali e al presente Accordo, quali ad esempio quelle indicate all’art. 83 commi 4 e 5, l’Amministrazione regionale può risolvere la Convenzione.
12.3 A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Responsabile del trattamento:
avverte, prontamente ed in forma scritta, l’Amministrazione regionale del Reclamo;
non fornisce dettagli al reclamante senza la preventiva interazione con l’Amministrazione regionale;
non transige la controversia senza il previo consenso scritto dell’Amministrazione regionale;
fornisce alla stessa tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.”
Letto, confermato e sottoscritto digitalmente ai sensi dell’art. 15 comma 2 bis della Legge 241/90 e successive modifiche.
Per la Regione Xxxxxx-Romagna Per . . . . . . . . . . . . .
Il Dirigente regionale Il Legale rappresentante
Allegato 1
GLOSSARIO
“Garante per la protezione dei dati personali”: è l’autorità di controllo responsabile per la protezione dei dati personali in Italia;
“Dati personali ”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“GDPR” o “Regolamento”: si intende il Regolamento UE 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018;
“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali, incluso il Regolamento Privacy UE 2016/679 (GDPR) ed ogni provvedimento del Garante per la protezione dei dati personali e del WP Art. 29.
“Appendice Security”: consiste nelle misure di sicurezza che il Titolare determina assicurando un livello minimo di sicurezza, e che possono essere aggiornate ed implementate dal Titolare, di volta in volta, in conformità alle previsioni del presente Accordo;
“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
“Pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
Allegato 2
SCHEDA MONITORAGGIO STATO DI ATTUAZIONE DEGLI INTERVENTI ALLA DATA DEL (gg.mm.aaaa) (inserire
data della relazione)
TAVOLA 1: QUADRO RIEPILOGATIVO DEI DATI QUALI/QUANTITATIVI RELATIVI
AGLI INTERVENTI
NOTE DI APPROFONDIMENTO ALLA DATA DEL (gg.mm.aaaa) (inserire data della relazione)
(*) Osservazioni sintetiche sugli interventi che presentano criticità e sugli scenari tendenziali. Relazione sintetica sull’andamento del progetto che sia coerente con le notizie fornite nel quadro “Dati (**)” (Inserire la descrizione delle eventuali criticità e osservazioni rispetto a quanto previsto nelle stime originarie o nel precedente rapporto, quali aumenti o diminuzioni di costo, modifiche del quadro finanziario, riprogrammazione economie, variazioni del cronoprogramma, avanzamento delle procedure di evidenza pubblica).
(**) dati necessari alla comprensione dell’avanzamento quali/quantitativo degli interventi Attività: riportare ciascun Centro o forma di aggregazione prevista dal progetto.
Indicatori quantitativi: inserire almeno il numero (cumulato dall’inizio del progetto alla data del presente report) di giovani coinvolti e/o interagenti, per ciascuno dei Centri e delle Forme di aggregazione giovanile avviate nonché ogni altro dato ritenuto utile alla comprensione dell’andamento).
Codice o titolo intervento | Osservazioni/Relazione (*) | Dati(**) | |
Attività | Indicatori quantitativi | ||
ALLEGATO C
Nuovo quadro finanziario di sintesi della “Proposta progettuale” denominata GECO 8
TITOLO INTERVENTO | BENEFICIARI | FONDO POLITICHE GIOVANILI | COFINANZIAMEN TO | % Quota di cofinanziamento | TOTALE AREA |
2018 (euro) | Risorse Finanziarie di cui alla D.G.R. 1390/2018 | ||||
“Interventi in materia di | Comune di Piacenza | € 30.500,00 | 20% | € 190.880,00 | |
politiche giovanili, volti a | Comune di Reggio Emilia | € 30.500,00 | |||
promuovere attività di | Comune di Modena | € 30.500,00 | |||
orientamento | |||||
e placement, e/o attività dirette alla | Comune di Ravenna | € 30.000,00 | € 21.000,00 | ||
Comune di Bologna | |||||
prevenzione | |||||
del disagio e | |||||
al sostegno | € 31.204,00 | € 17.176,00 | |||
dei giovani | |||||
talenti” | |||||
TOTALE | € 152.704,00 | € 38.176,00 | 20% | €190.880,00 |
ALLEGATO D
Interventi di cui all’Accordo GECO 8: quadro finanziario di sintesi e contributi impegnati
TITOLO INTERVENTO | BENEFICIARI | CONTRIBUTO CONCESSO E IMPEGNATO |
“Interventi in materia di politiche giovanili, volti a promuovere attività di orientamento e placement, e/o attività dirette alla prevenzione del disagio e al sostegno dei giovani talenti” | Comune di Piacenza | € 30.500,00 |
Comune di Reggio Emilia | € 30.500,00 | |
Comune di Modena | € 30.500,00 | |
Comune di Ravenna | € 30.000,00 | |
Comune di Bologna | € 31.204,00 | |
TOTALE | € 152.704,00 | |