CONTRATTO DI NOMINA DEL
CONTRATTO DI NOMINA DEL
RESPONSABILE (ESTERNO) DEL TRATTAMENTO DEI DATI PERSONALI
Redatta ai sensi dell’Art. 28 del Regolamento U.E. 2016/679 (G.D.P.R.)
Premesso che tra:
L’Istituto Comprensivo Cantù 2, con sede in Cantù (CO), rappresentato legalmente dal xxxx. Xxxx Xxxxx Xxxxxxx in qualità di Dirigente Scolastico di seguito definito “Titolare del trattamento”,
ed il
Liceo Statale “XXXXXX XXXXX”, con sede in Xxx Xxxxxx Xxxxxxxx, 0 x Xxxx (XX), rappresentato legalmente da Xxxxx Xxxxxxx in qualitá di Dirigente Scolastico, in quanto Scuola Polo identificata dall’Ufficio Scolastico della Lombardia per i servizi di “SCUOLA IN OSPEDALE”, è in essere un rapporto (in seguito definito “contratto sottostante”) che prevede che il Liceo Vegio sovraintenda a tutte le questioni di natura organizzativa ed amministrativa connessa alla organizzazione del servizio di istruzione in ospedale.
e che
- per adempiere alle obbligazioni indicate nel contratto il Liceo Vegio tratterà dati Personali il cui Titolare è l’Istituto scolastico;
- l’articolo 28 del Regolamento UE 2016/679 (in seguito G.D.P.R.), stabilisce che i “trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto”;
- il G.D.P.R. prevede che, qualora “un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo
ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;
- alla luce di quanto sopra, il Titolare intende nominare il Liceo Vegio quale Responsabile del trattamento dei Dati Personali ai sensi
dell’Art. 28 del G.D.P.R.;
Tutto ciò premesso, si conviene e si stipula quanto segue:
OGGETTO DEL CONTRATTO DI NOMINA
Con il presente contratto definito “contratto di nomina”, il Titolare nomina il Liceo Vegio quale “Responsabile del trattamento” ai sensi dell’Art. 28 del G.D.P.R., con specifico riferimento ai Trattamenti dei Dati Personali connessi all’esecuzione dei servizi compresi nel contratto sottostante citato in premessa e che si riferiscono essenzialmente nel supporto organizzativo ed amministrativo delle attività riconducibili al progetto “SCUOLA IN OSPEDALE”.
Il Liceo Vegio accetta la nomina e si impegna a:
1. trattare i dati personali esclusivamente al fine di svolgere i servizi previsti dal contratto sottostante e secondo le eventuali istruzioni fornite;
2. informare il Titolare, qualora, ad avviso dello stesso, le istruzioni ricevute violino il G.D.P.R. o altre disposizioni, nazionali o
dell’Unione, relative alla protezione dei dati personali.
3. Per tutta la durate del Contratto di Nomina, il Titolare determinerà le finalità e le modalità da osservare per l’esecuzione dei
Trattamenti dei Dati Personali.
4. Il Titolare dichiara e garantisce che:
a) I dati personali conferiti al Responsabile sono esatti e aggiornati e che sussistono tutti i necessari presupposti di legge affinché questi vengano trasmessi al Fornitore per l’esecuzione dei Trattamenti funzionali all’erogazione dei servizi previsti dal contratto sottostante;
b) I trattamenti effettuati dal Liceo Vegio per lo svolgimento dei servizi sono tutti fondati sulle condizioni di liceità del trattamento di cui agli Artt. 6 e 9 del G.D.P.R. e, in generale, rispettano le condizioni previste dalla normativa Privacy vigente. In particolare, ove il trattamento si basi sul consenso dell’Interessato, il Titolare ha acquisito tempestivamente tale consenso e ne conserva prova documentale. Con particolare riferimento ai trattamenti dei dati personali relativi ai minori di età inferiore ai sedici (16) anni, ove richiesto dalla normativa Privacy il Titolare ha ottenuto il consenso delle persone
esercenti la responsabilità genitoriale ai sensi dell’art. 8 del G.D.P.R. e ne conserva prova documentale;
c) comunicherà tempestivamente al Responsabile ogni eventuale modifica e rettifica dei dati personali, ogni modifica o cessazione delle condizioni di liceità del trattamento di cui agli Artt. 6 e 9 del G.D.P.R., ivi inclusa la revoca del consenso dell’interessato, nonché qualsiasi richiesta da parte di un interessato riguardante la cancellazione e/o la rettifica dei dati personali o la limitazione o opposizione al trattamento.
PERSONALE DEL LICEO VEGIO E RISERVATEZZA
Il Liceo Vegio dichiara e garantisce che, nell’ambito della propria organizzazione, i dati personali sono trattati soltanto dal personale a ció deputato.
Il Liceo Vegio si impegna a nominare i soggetti di cui al precedente paragrafo “incaricati del trattamento”. Attraverso tali nomine, il Responsabile garantisce l’impegno alla riservatezza assunto dal personale con riferimento al trattamento dei dati personali e fornisce al personale apposite istruzioni sul trattamento dei dati personali, assicurando che gli stessi siano trattati nel rispetto della normativa privacy e del presente contratto di nomina.
SUB RESPONSABILI
Il Titolare autorizza sin da ora ed in via generale il Liceo Vegio ad avvalersi di soggetti terzi per lo svolgimento dei servizi e, quindi, a subdelegare a terzi porzioni di trattamento dei dati personali, nel rispetto delle disposizioni previste nel presente articolo.
Il Liceo Vegio si impegna a comunicare al Titolare con cadenza annuale, il nominativo dei soggetti terzi nominati Sub-responsabili che presentino garanzie idonee a rispettare i requisiti del G.D.P.R., del contratto di nomina ed a garantire la tutela dei diritti degli Interessati. Il Liceo Vegio prende atto e riconosce di essere responsabile anche relativamente ai Trattamenti dei Dati Personali posti in essere dal Sub- responsabile, salvo quanto previsto dall’art. 82, comma 3 del G.D.P.R.
Il contratto di nomina del Sub-responsabile a responsabile del Liceo Vegio non potrà indicare la possibilità del Sub-responsabile di avvalersi, senza la previa autorizzazione del Titolare, di un ulteriore sub-responsabile per lo svolgimento dei Servizi.
Il Liceo Vegio si impegna a nominare il Sub-responsabile del trattamento nel rispetto di quanto previsto dell’articolo 28 G.D.P.R., vincolandolo, mediante un contratto, agli stessi obblighi imposti dal Titolare al Fornitore in forza del presente contratto di nomina.
SICUREZZA DEI DATI PERSONALI
Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento dei dati personali, come anche del rischio per i diritti e le libertà delle persone fisiche, il Titolare ed il Liceo Vegio si impegnano a mettere in atto ed a mantenere per tutta la durata del presente contratto di nomina misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi della normativa Privacy. Il Liceo Vegio, in particolare, con il presente contratto di nomina conviene con il Titolare che adotterà le misure di sicurezza idonee ed adeguate ai fini della protezione dei Dati Personali.
Il Liceo Vegio si obbliga, inoltre, a monitorare il buon funzionamento dei sistemi e delle misure di sicurezza implementate, nonché il rispetto di queste da parte del personale interno che tratta i dati personali ai sensi del precedente articolo “personale del Liceo Vegio e riservatezza”.
Le Parti sono consapevoli che, in ragione del carattere periodico degli sviluppi della tecnologia, il rispetto del livello di sicurezza dei dati personali prescritto dal G.D.P.R. richiede frequenti e ricorrenti cambiamenti e miglioramenti delle misure di sicurezza adottate. A tal riguardo, le Parti si impegnano a negoziare in buona fede la ripartizione dei costi per l’implementazione di eventuali cambiamenti significativi delle misure di sicurezza richiesti dalla normativa Privacy o dalle Autorità competenti, nonché l’eventuale modifica del Contratto.
DIRITTI DEGLI INTERESSATI
Al fine di consentire al Liceo Vegio di dare seguito alle richieste ricevute per l’esercizio dei diritti degli Interessati, il Responsabile si obbliga
a:
a) comunicare al Titolare ogni richiesta di esercizio dei diritti previsti dal G.D.P.R., trasmessa dagli Interessati, direttamente o tramite un Sub-responsabile;
b) assistere il Titolare con misure tecniche ed organizzative adeguate, e nella misura in cui ciò sia possibile, nel dare seguito alle
richieste per l’esercizio dei diritti da parte degli Interessati. In questo senso, il Responsabile si impegna, tra l’altro a:
a. cancellare i Xxxx Personali su richiesta del Titolare effettuata a seguito dell’esercizio del diritto all’oblio;
b. segnalare al Titolare i Xxxx Personali in proprio possesso relativi agli Interessati che abbiano esercitato il diritto di accesso;
c. assistere il Titolare nella fornitura in un formato strutturato di uso comune e leggibile da dispositivo automatico dei Dati Personali che riguardano gli Interessato che abbiano esercitato il diritto alla portabilità;
d. rettificare i Xxxx Personali su richiesta del Titolare effettuata a seguito dell’esercizio del diritto di rettifica da parte degli Interessato;
e. limitare il trattamento dei Dati Personali su richiesta del Titolare effettuata a seguito dell’esercizio del diritto di limitazione da parte degli Interessati;
x. xxxxxxx su richiesta del Titolare effettuata a seguito dell’esercizio del diritto di opposizione da parte degli Interessati i trattamenti dei Dati Personali oggetto della richiesta.
A seguito dello scioglimento del contratto di nomina, qualora il Liceo Vegio sia autorizzato a compiere ulteriori Trattamenti dei Dati Personali, si impegna sin d’ora, in particolare con riferimento ai diritti di accesso e rettifica degli Interessati, a:
a. comunicare al Titolare ogni richiesta di esercizio dei diritti ricevuta;
b. assistere il Titolare nel dare seguito alle richieste ricevute.
VIOLAZIONE DEI DATI PERSONALI
Il Liceo Vegio si impegna a comunicare per iscritto al Titolare, tempestivamente e comunque non oltre le 24h dal momento in cui ne è venuto a conoscenza, ogni violazione dei dati personali che riguardi o afferisca ai trattamenti eseguiti dallo stesso Liceo Vegio o da qualsivoglia Sub-responsabile.
Al fine di consentire al Titolare di porre in essere gli adempimenti richiesti dal G.D.P.R. e, in particolare, di effettuare la notifica al Garante per la protezione dei dati personali e, laddove la violazione presenti un rischio per i diritti e le libertà degli Interessati, la comunicazione agli interessati, la comunicazione di cui al precedente paragrafo dovrà contenere almeno le seguenti informazioni:
a. descrizione della natura della violazione dei Dati Personali;
b. indicazione, ove possibile, delle categorie e del numero di Interessati i cui dati personali sono oggetto della violazione;
c. descrizione delle probabili conseguenze della violazione dei dati personali;
d. descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e per attenuarne i possibili effetti negativi.
e. indicazione del nome e dei recapiti del responsabile della protezione dei dati personali designato dal Liceo Vegio ex art. 37 del G.D.P.R. o, in mancanza, della persona da contattare per l’acquisizione di maggiori informazioni in merito alla violazione dei dati personali comunicata.
Il Responsabile si obbliga ad assistere il Titolare in ogni attività di investigazione relativa alla violazione subita, nonché di mitigazione ed eliminazione delle conseguenze da essa derivate.
VALUTAZIONE DI IMPATTO SULLA PROTEZIONE DEI DATI
Il Liceo Vegio si impegna a fornire assistenza al Titolare per l’adempimento dei suoi obblighi in materia di valutazione d’impatto sulla protezione dei dati, ivi inclusa l’eventuale consultazione del Garante per la protezione dei dati personali, con riferimento ai trattamenti svolti dal Liceo Vegio in qualità di responsabile del trattamento dei dati personali.
DURATA DEL CONTRATTO DI NOMINA ED OBBLIGHI DEL LICEO VEGIO CONSEGUENTI ALLA CESSAZIONE
Il Contratto di Nomina avrà durata pari a quella dell’accordo sottostante (partecipazione alla rete di scuole lombarde aderenti al progetto “SCUOLA IN OSPEDALE”) e perderà efficacia, salvo quanto previsto al successivo paragrafo alla data di cessazione.
Alla data di cessazione il Liceo Vegio si impegna ad interrompere ogni trattamento effettuato per conto del Titolare e dovrà restituire al Titolare e cancellare i dati personali entro 90 giorni dalla data di cessazione, da intendersi come tempo tecnico necessario per il completamento delle verifiche sui dati personali da restituire e cancellare, da compiersi in coordinamento con il Titolare.
Fermo restando quanto previsto al precedente paragrafo, è fatto salvo il diritto del Liceo Vegio di trattare i dati personali anche successivamente alla data di cessazione al fine di ottemperare a specifici obblighi disposti dal diritto nazionale o dell’Unione, applicabile al Liceo Vegio, nonché di conservare i dati personali, previa l’adozione di opportune misure di minimizzazione del trattamento, per finalità difensive e nei limiti dei termini di prescrizione previsti dal diritto nazionale in relazione alle controversie, potenziali o in essere, connesse all’erogazione dei servizi oggetto del contratto sottostante o all’esecuzione dei trattamenti.
AUDIT
Il Liceo Vegio rende disponibili al Titolare, qualora richiesto, tutte le informazioni necessarie a dimostrare l’adempimento degli obblighi previsti dal presente contratto di nomina, consentendo al Titolare l’esercizio del proprio potere di controllo relativamente ai trattamenti dei dati personali effettuati in qualità di responsabile del trattamento. Il Liceo Vegio prende atto che i diritti di verifica del Titolare potranno essere svolti per il tramite del D.P.O. nominato dal Titolare, di altre funzioni incaricate e/o di consulenti esterni.
Il Liceo Vegio si obbliga, a seguito di richiesta del Titolare pervenuta almeno 90 giorni precedenti all’ispezione, salva la sussistenza di particolari esigenze, a consentire al Titolare stesso o ad altro soggetto da questi indicato, di condurre attività ispettive presso le proprie sedi – e/o quelle dei sub-responsabili - o gli altri luoghi ove i dati personali sono trattati e/o custoditi, al fine di verificare la conformità del trattamento dei dati personali al presente contratto di nomina ed alla normativa privacy.
Il Titolare si impegna a condurre l’ispezione esclusivamente per quanto strettamente necessario a verificare il rispetto del contratto di nomina e della normativa privacy, durante il normale orario di lavoro e secondo modalità idonee a non disturbare irragionevolmente la normale attività del Liceo Vegio. Ogni costo relativo all’attività ispettiva sarà a carico del Titolare.
Il Liceo Vegio dichiara e garantisce di dichiarare il vero nel corso delle attività di audit svolte dal Titolare ai sensi del presente articolo del Contratto di Nomina.
COOPERAZIONE NEL CORSO DELLE ISPEZIONI DEL GARANTE O DELL’AUTORITÀ GIUDIZIARIA
Il Liceo Vegio si obbliga ad informare tempestivamente il Titolare in merito ad ispezioni eseguite da parte del Garante per la protezione dei dati personali o dell’Autorità Giudiziaria con riferimento ai Trattamenti dei Dati Personali.
Il Liceo Vegio si impegna altresì a collaborare col Titolare in buona fede e nei limiti delle rispettive competenze, previa motivata richiesta scritta del Titolare, in caso di indagine svolta dalle autorità indicate al precedente paragrafo.
TRASFERIMENTO DEI DATI PERSONALI
Il Liceo Vegio, salvo un espresso consenso rilasciato per iscritto dal Titolare, non trasferisce, né direttamente né per il tramite di soggetti terzi, i dati personali verso paesi non aderenti all’Unione Europea o organizzazioni internazionali, fatta eccezione per il trasferimento extra UE dei dati personali che potrebbe verificarsi nell’ambito dell’operatività del servizio di posta elettronica utilizzato dal Liceo Vegio.
Resta inteso che ogni trasferimento dei dati personali, anche all’interno dell’Unione Europea, ivi inclusi i trasferimenti dei dati personali tra il Titolare, il Liceo Vegio ed eventuali Sub-responsabili, deve avvenire in presenza delle condizioni di liceità prescritte dal G.D.P.R. e secondo modalità idonee ad assicurarne la sicurezza, nel rispetto di quanto richiesto dal presente contratto di nomina.
OBBLIGO DI MANLEVA ED INDENNIZZO.
Il Titolare si impegna a manlevare e tenere indenne il Liceo Vegio e/o i Sub-responsabili da ogni eventuale danno, spesa, costo o onere subiti da questi ultimi in conseguenza di una violazione da parte del Titolare degli obblighi previsti a suo carico dalla normativa privacy e dal contratto di nomina, con particolare riferimento alle dichiarazioni e garanzie rese ai sensi dei precedenti articoli.
MODIFICHE DELLA NORMATIVA PRIVACY
Nel caso in cui intervengano modifiche della normativa privacy in grado di incidere sulle responsabilità e gli obblighi imposti dal presente contratto di nomina, la parte più diligente può proporre le modifiche del presente contratto di nomina necessarie al rispetto delle nuove previsioni normative.
Nel caso in cui il Liceo Vegio non accetti le modifiche dovrà fornire idonea motivazione e il Titolare e il Liceo Vegio si impegnano a discutere e negoziare in buona fede le possibili modifiche al presente contratto di nomina necessarie al rispetto della normativa privacy.
SEPARABILITÀ
Nel caso in cui, in qualsivoglia momento, una delle disposizione del presente contratto di nomina sia o diventi invalida o inapplicabile, tale disposizione sarà considerata autonomamente rispetto al presente contratto di nomina e, se possibile, sostituita da una disposizione legittima che preveda, in modo veritiero, l’intenzione del Titolare e del Liceo Vegio ai sensi del presente contratto di nomina e, ove consentito, non influenza la validità o l’applicabilità di alcuna altra disposizione del presente contratto di nomina.
LEGGE APPLICABILE E FORO COMPETENTE
Il presente contratto di nomina è regolato dalla legge italiana.
Per tutte le controversie che dovessero sorgere con riferimento al presente contratto di nomina, incluse, a titolo esemplificativo ma non esaustivo, quelle riguardanti l'interpretazione, la validità, l'efficacia, l'esecuzione o la risoluzione dello stesso, sarà esclusivamente competente il Foro di Milano.
Per il Titolare
Dirigente Scolastico
Legale rappresentante dell’Istituto Comprensivo Cantù 2
Xxxx Xxxxx Xxxxxxx
Firmato da:
XXXXXXX XXXX XXXXX
Codice fiscale: XXXXXX00X00X000X
Per il Responsabile Esterno
Dirigente Scolastico
Legale rappresentante del Liceo Statale “Xxxxxx Xxxxx”
Xxxxx Xxxxxxx