ACCORDO PER LA PROTEZIONE DEI DATI PERSONALI E NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO (ART. 28 REG. UE 2016/679)

ACCORDO PER LA PROTEZIONE DEI DATI PERSONALI E NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO (ART. 28 REG. UE 2016/679)

L’ISTITUTO COMPRENSIVO SCORRANO, SCUOLA DELL’INFANZIA – PRIMARIA – SECONDARIA I GRADO,

con sede alla Xxx XXXXXXXXXXX xxx - 00000 XXXXXXXX (XX), CF 92012600752 (di seguito anche la “Scuola” o il “Titolare”), in qualità di Titolare del trattamento ai sensi Regolamento UE 2016/679 (di seguito “Normativa in materia di Protezione dei Dati Personali” o “GDPR”), rappresentato legalmente dal Dirigente Scolastico xxxx. Xxxxxxxx Xxxxxxx XXXX’

E

Gruppo Spaggiari Parma S.p.A., con sede legale in Xxx Xxxxxxx 00/X - 00000 Xxxxx, C.F./P.IVA 00150470342, in persona del legale rappresentante pro tempore (di seguito “Fornitore” o “Responsabile”)

Congiuntamente indicate come le “Parti”.

Premesso che

- la Scuola ed il Fornitore hanno sottoscritto un contratto di manutenzione e assistenza avente ad oggetto la fornitura del software del Registro Elettronico e Segreteria Digitale Spaggiari e per l’erogazione del servizio di gestione in outsourcing (piattaforma cloud in Saas) delle applicazioni per i soli programmi in regola con il contratto di assistenza riconducibili all’attività amministrativa e didattica riguardanti l’elaborazione on line dei dati, di cui la Scuola è Titolare (di seguito il “Contratto”);

- ai fini dell’esecuzione di detto Contratto il Fornitore dovrà effettuare operazioni di trattamento dei Dati Personali per conto della Scuola;

- il perfezionamento del Contratto di cui al punto precedente comporta la necessità di trattare, in nome e per conto del suddetto Titolare, dati personali che come tali sono soggetti all’applicazione della Normativa in materia di Protezione dei Dati Personali;

- la Scuola svolge il ruolo di Titolare del trattamento in relazione ai Dati Personali dallo stesso ente trattati, stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento;

- Il Fornitore è in possesso di adeguate competenze tecniche e know-how circa gli scopi e le modalità di trattamento dei Dati Personali, delle misure di sicurezza da adottare al fine di garantire la riservatezza, la completezza e l’integrità dei Dati Personali trattati, nonché circa le norme che disciplinano la protezione dei Dati Personali;

- la Scuola, in qualità di Titolare del trattamento, intende nominare il Fornitore, come previsto dal presente accordo sulla protezione dei dati personali e dalle clausole contrattuali aggiuntive che regolamentano il rapporto tra la Scuola e il Fornitore, quale Responsabile del trattamento ed il Fornitore intende accettare tale nomina;

- con riferimento alla summenzionata nomina, con la sottoscrizione del presente documento le Parti intendono regolare i reciproci rapporti in relazione al trattamento dei Dati Personali effettuato dal Fornitore per conto della Scuola.

Tutto ciò premesso, alla luce di quanto precede, le Parti stipulano quanto segue:

Definizioni

Fatta eccezione per i termini e le espressioni altrimenti definiti nel Contratto oggetto del servizio, i termini e le espressioni contrassegnate da iniziali maiuscole avranno il significato di seguito specificato:

Regolamento UE 2016/679 indica la norma europea di riferimento che disciplina la protezione

dei Dati Personali ed è direttamente applicabile in ciascuno degli

Stati Membri dell’Unione Europea.

“Codice Privacy” indica la norma italiana che disciplina la protezione dei Dati Personali, ed in particolare il Decreto Legislativo 196/2003 e successive modifiche e integrazioni;

“Contratto” indica l’accordo sottoscritto tra le Parti per il tramite del quale avviene il trattamento dei dati per conto del Titolare;

“Dato/i Personale/i” qualsiasi informazione riguardante una persona fisica identificata o

identificabile («interessato»), così come definito all’articolo 4,

comma 1, del Regolamento UE 2016/679;

“Categorie Particolari di Dati” indica ogni Dato Personale di natura “sensibile”, così come indicato

all’articolo 9, comma 1, del Regolamento UE 2016/679;

“Dati Giudiziari” indica ogni Dato Personale relativo a condanne penali e ai reati o a connesse misure di sicurezza ovvero relativo a provvedimenti giudiziari, sanzioni penali, o carichi pendenti, o la qualità dell’imputato o indagato;

“Responsabile” indica la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che tratta dati per conto del Titolare del trattamento dei Dati Personali;

“Incaricato” le persone fisiche autorizzate a compiere operazioni di trattamento dal Titolare o dal Responsabile e che agiscono sotto l’autorità del Titolare o del Responsabile;

“Interessato” la persona fisica identificata o identificabile a cui si riferiscono i Xxxx Personali;

“Autorità” indica il Garante per la protezione dei Dati Personali;

“Collaboratore/i esterno/i” indica qualunque persona fisica o giuridica che nello svolgimento

della propria attività professionale o commerciale nei confronti del Fornitore, effettui il trattamento dei Dati Personali di titolarità della Scuola;

Sub-Responsabile/i indica un altro responsabile (sub-Fornitore) del trattamento

(persona fisica o giuridica) incaricato dal Fornitore ad effettuare il trattamento dei Dati Personali di titolarità della Scuola;

“Terze Parti o Terzi” indica quei soggetti estranei all’organizzazione delle Parti.

1. Nomina del Responsabile del trattamento

Con la sottoscrizione del presente documento, la Scuola designa il Fornitore quale Responsabile del Trattamento, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali di cui entra in possesso o a cui ha comunque accesso, necessarie all’adempimento degli obblighi derivanti dal Contratto e di eventuali servizi accessori allo stesso.

Il Fornitore, nonché i suoi dipendenti ed ogni Collaboratore esterno di cui il Fornitore si avvalga (per finalità strumentali all’oggetto principale del Contratto) e che effettui operazioni di trattamento su Dati Personali di titolarità della Scuola, si obbliga a rispettare la Normativa in materia di Protezione dei Dati Personali ed ogni altra istruzione impartita dalla Scuola, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità Garante per la protezione dei dati personali italiana ovvero dal Gruppo di Lavoro Articolo 29/Comitato Europeo per la protezione dei dati, inerenti al trattamento svolto.

Il Fornitore si impegna a cooperare con la Scuola in qualsiasi momento al fine di assicurare il corretto trattamento dei Dati Personali trattati e si impegna a fornire alla Scuola tutte le informazioni o i documenti che potranno essere ragionevolmente richiesti da quest’ultima per l’adempimento degli obblighi di legge e per comprovare l’adozione delle misure tecniche e organizzative adeguate da parte del Scuola.

Il Fornitore, con la sottoscrizione del presente accordo, accetta tutti i termini sotto indicati, conferma la diretta e approfondita conoscenza degli obblighi che si assume in relazione al dettato normativo vigente e si impegna a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso la presente nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore.

Il Fornitore prende atto che l’incarico è affidato per l’esclusiva ragione che il profilo professionale/societario, in termini di proprietà, risorse umane, organizzative ed attrezzature, è stato ritenuto idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente normativa. Qualsiasi mutamento di tali requisiti che possa sollevare incertezze sul loro mantenimento dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta.

2. Natura e Finalità del trattamento

Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale con la Scuola e per le finalità istituzionali dalla stessa perseguite, per il tempo strettamente necessario al perseguimento di tali finalità. In particolare, i dati saranno trattati dal Responsabile, mediante l’utilizzo degli specifici applicativi software forniti, per tutte le attività inerenti la gestione della Segreteria Digitale e Registro Elettronico, composti da vari moduli e funzionalità che permettono una gestione integrata delle attività istituzionali perseguita dalla Scuola.

Per il perseguimento di tali finalità e per le attività oggetto del Contratto, il Responsabile è tenuto a rispettare anche i provvedimenti emanati dall’Autorità Garante per la protezione dei dati personali italiana, i principi di di “privacy by design” e “privacy by default”, nonché ogni altra misure di precauzione indicata dall’Autorità Garante per la Protezione dei Dati personali italiana

3. Tipologia di dati personali e Categorie di interessati

Il trattamento dei dati personali, in riferimento ai Servizi affidati, riguarda dati di natura c.d. “comune” quali anagrafiche (dati personali identificativi) e/o relativi alla situazione economica, compreso le c.d. “categorie particolari di dati” (relativi allo stato di salute degli alunni, appartenenza a confessioni religiose e/o dati sindacali, etc.), in riferimento alle seguenti categorie di interessati: cittadini Ue ed extra UE – alunni – genitori degli alunni – tutori – docenti – Dirigente scolastico - personale tecnico/amministrativo – soggetti terzi in genere.

4. Obblighi e Diritti del Titolare

Le Scuola ha diritto di ottenere dal Responsabile tutte le informazioni relative alle misure organizzative e di sicurezza da questo adottate necessarie per dimostrare il rispetto delle istruzioni e degli obblighi affidati, compreso quelle applicabili e applicate al software fornito.

La Scuola, inoltre, ha il diritto di disporre - a propria cura e spese - verifiche a campione o specifiche attività di audit in ambito protezione dei dati personali e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile, come indicato al punto 10.

La Scuola ha il diritto di conoscere l’esistenza di eventuali sub-responsabili al fine di rilasciare al Fornitore specifica autorizzazione. Il Fornitore, pertanto, accetta di comunicare tale elenco dietro semplice richiesta scritta da parte della Scuola.

5. Obblighi del Responsabile

Il Responsabile, nell’adempimento delle proprie obbligazioni, si impegna ad effettuare il Trattamento dei soli Dati Personali che siano necessari e/o strumentali all’esecuzione del Contratto in essere. Il Responsabile si impegna, sin dalla data di sottoscrizione del presente documento, a rendere disponibili ed a comunicare ai propri Collaboratori esterni soltanto quei Dati Personali che siano strettamente necessari per l’adempimento delle obbligazioni di cui al Contratto in essere o che siano necessarie per l’adempimento di obblighi di legge o imposte dalle normative europee.

Il Responsabile si obbliga, nei limiti dei propri poteri, al rispetto delle norme che disciplinano il Trattamento dei Dati Personali, ivi incluse le regole stabilite dall’Autorità, ed a garantire che i propri dipendenti, ed ogni soggetto della cui cooperazione esso si avvalga, rispettino tali norme.

In particolare, il Responsabile si impegna a rispettare i seguenti obblighi e istruzioni:

5.1.Misure tecniche ed organizzative adeguate e violazioni dei dati personali

Il Responsabile dovrà adottare le misure tecniche ed organizzative adeguate previste dalla normativa italiana ed europea in materia di protezione dei Dati Personali, cosi come ogni altra previsione derivante dal Comitato Europeo per la protezione dei dati.

Il Responsabile, in considerazione della conoscenza maturata quale conseguenza dei progressi tecnici e tecnologici, della natura dei Dati Personali e delle caratteristiche delle operazioni di Trattamento, nonché dei rischi per i diritti e le libertà delle persone fisiche, si obbliga a mettere in atto misure tecniche ed organizzative adeguate e dovrà assicurare che le misure di sicurezza progettate ed implementate siano in grado di ridurre il rischio di danni volontari o accidentali, perdita di dati, accessi non autorizzati ai dati, trattamenti non autorizzati o trattamenti non conformi agli scopi di cui al presente Contratto.

In particolare, il Responsabile, anche per le attività di trattamento effettuate da ciascun dipendente e/o Collaboratore Esterno e ogni eventuale sub-fornitore (sub-responsabile) di cui si avvalga, si obbliga a:

5.1.1 adottare tutte le misure di cui all’art. 32 del Regolamento Europeo n. 679/2016 in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità Garante per la protezione dei dati personali italiana inerenti ai trattamenti svolti dal Responsabile. Tali misure sono richieste al fine di garantire un livello di sicurezza adeguato al rischio correlato al trattamento eseguito. In particolare, il Responsabile garantisce che i dati sono protetti da trattamenti non autorizzati o illeciti, dalla perdita, dalla distruzione o da danni accidentali, mediante l’applicazione di specifiche misure di sicurezza di seguito descritte ed elencate:

● adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti;

● utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione;

● definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati;

● definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.);

● conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte

(es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata;

● utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte;

● adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery);

● utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto

operativo;

● utilizzo di sistemi antivirus e anti malware costantemente aggiornati;

● aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità;

● registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della

correttezza e legittimità del trattamento dei dati;

● definizione di istruzioni da fornire ai soggetti autorizzati al trattamento;

● formazione e sensibilizzazione degli utenti (personale interno autorizzato al trattamento e amministratori

di sistema).

5.1.2 trattare i dati nel rispetto del principio di liceità e correttezza, e più in generale nel rispetto dei principi previsti nel Regolamento UE 2016/679 e nel D.Lgs. 196/2003 s.m.i. I dati devono, pertanto, essere:

- esatti, cioè, precisi e rispondenti al vero e pertanto, ove necessario, aggiornati;

- pertinenti, ovvero, il trattamento è consentito soltanto per il perseguimento delle finalità strettamente correlate con le finalità di cui al Contratto;

- completi, al fine di contemperare le esigenze legate al trattamento e i diritti ed interessi del soggetto interessato;

- non eccedenti in senso quantitativo rispetto allo scopo perseguito, ovvero devono essere raccolti solo i dati che siano al strettamente necessari e sufficienti in relazione alle finalità di cui al Contratto, cioè la cui mancanza risulti di ostacolo al raggiungimento degli scopi stessi;

- conservati per un periodo non superiore a quello necessario per gli scopi del trattamento e comunque in conformità alle applicabili disposizioni di legge e/o di regolamento. Trascorso detto periodo i dati devono essere resi anonimi e cancellati entro il termine indicato dal Titolare (in osservanza ai provvedimenti emanati dall’Autorità Garante per la protezione dei dati personali);

5.1.3 consentire l’accesso ai propri sistemi informatici tramite l’utilizzo di identificativi univoci per ciascun utente, evitando identificativi condivisi tra più utenti, e attribuire a ciascun profilo di utenza i soli permessi di accesso ai sistemi necessari allo svolgimento delle rispettive mansioni operative (i permessi di accesso ai sistemi sui quali sono archiviati dati di titolarità della Scuola devono essere rivisti su base annuale e comunque revocati qualora questi non siano più necessari);

5.1.4 non trasferire i Dati Personali della Scuola al di fuori del territorio europeo, a meno che tale trasferimento non sia autorizzato dalle competenti pubbliche autorità, anche regolamentari e di vigilanza;

5.1.5 fornire alla Scuola, su specifica richiesta di quest’ultima, una descrizione dettagliata delle misure fisiche, tecniche ed organizzative applicate al Trattamento dei Dati Personali e un documento contenente l’analisi dei rischi e/o d’impatto sulla protezione dei dati, relativamente agli applicativi forniti;

5.1.6 si impegna ad adottare, mantenere in atto e migliorare continuamente, ove possibile, adeguate misure di protezione delle informazioni, con pertinente dimostrazione della valutazione di adeguatezza mantenuta a disposizione tramite la policy e gli allegati pubblicati sul proprio sito all’indirizzo xxxx://xxx.xxxxxxxxx.xx/xxxxxxx/xxxxxxx.xxxx

5.1.7 evitare l’inserimento di tracker e analytics, notifiche push (per la App), font resi disponibili da terze parti, advertising o in-appurchasing o altri elementi che possono comportare il trasferimento di dati fuori dall’Unione Europea e/o il monitoraggio delle attività degli utenti al di fuori delle attività istituzionali della Scuola;

5.1.8 assistere la Scuola, relativamente ai dati oggetto di trattamento, nel garantire – ove applicabili – il rispetto degli obblighi relativi:

- alla sicurezza del trattamento;

- alla notifica di una violazione dei dati personali all'Autorità di controllo;

- alla comunicazione di una violazione dei dati personali all'interessato;

- alla valutazione d'impatto sulla protezione dei dati;

- alla consultazione preventiva.

In particolare, in caso di violazione dei dati personali subita dal Responsabile e che ne determini la distruzione, perdita, modifica, divulgazione non autorizzata dei dati personali, lo stesso Responsabile deve:

- informare la Scuola, tempestivamente e senza ingiustificato ritardo, e comunque nei termini di legge, di essere venuto a conoscenza di una violazione e fornire tutti i dettagli completi della

violazione subita (descrizione, volume dei dati personali interessati, natura della violazione, i rischi per gli interessati e le misure adottate per mitigare i rischi);

- fornire assistenza alla Scuola per far fronte alla violazione e alle sue conseguenze (soprattutto in capo agli interessati coinvolti).

Tali misure sono richieste al fine di garantire un livello di sicurezza adeguato al rischio correlato al trattamento eseguito.

Qualora venga rilevato che un’istruzione impartita dal Titolare vìoli le disposizioni relative alla normativa rilevante in tema di protezione dei dati personali, il Responsabile si obbliga ad informare immediatamente lo stesso Titolare di tale circostanza.

5.2.Modulistica Privacy

Il Responsabile dovrà adottare senza indugio la documentazione in materia di protezione dei dati personali prevista dalla normativa italiana ed europea in materia di protezione dei dati personali (tra cui il Registro delle Attività di trattamento ai sensi dell’art. 30 del Regolamento UE 2016/679) e le relative procedure concernenti le misure organizzative e di sicurezza.

Il Responsabile si impegna a fornire alla Scuola una dichiarazione avente ad oggetto le misure tecniche ed organizzative relative al Trattamento adottate nell’ambito dell’esecuzione del Contratto in essere e a fornire tempestivamente ulteriori chiarimenti qualora richiesti; in particolare, il Responsabile dichiara che gli applicativi eventualmente forniti/utilizzati per effettuare l’attività in favore della Scuola e i sistemi IT garantiscano il rispetto dei principi della Privacy by Design e Privacy by Default, nonché l’adozione di adeguate misure di sicurezza (es. l’adozione di certificati https, seguire le regole e linee guida del Secure Coding per vulnerabilità sul software, conduzione di analisi di sicurezza per realizzare un prodotto che soddisfi i principi di confidenzialità, integrità, e disponibilità, etc.), con divieto di utilizzo di standard obsoleti che possano introdurre vulnerabilità tecniche nel software fornito.

Il Responsabile si impegna a fornire al Titolare una dichiarazione avente ad oggetto le misure tecniche ed organizzative relative al Trattamento adottate nell’ambito dell’esecuzione del presente Contratto e a fornire tempestivamente ulteriori chiarimenti al Titolare qualora da questi richiesti. In particolare, il Responsabile si impegna a fornire sin d’ora al Titolare la seguente documentazione:

- Registro dei Trattamenti del Responsabile (relativo ai Trattamenti effettuati per conto del Titolare nello svolgimento dei servizi);

- Elenco dei Sub-responsabili utilizzati per i trattamenti di dati effettuati per conto del Titolare;

- Elenco delle misure di sicurezza tecniche e organizzative adottate dal Responsabile;

- Elenco delle misure di sicurezza tecniche e organizzative relative agli applicativi in uso presso il Titolare.

5.3.Istanze degli Interessati

Tenendo conto della natura del trattamento, il Responsabile si obbliga ad assistere e supportare il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo della Scuola di dare riscontro alle richieste per l'esercizio dei diritti dell'interessato (negli ambiti e nel contesto del ruolo ricoperto e in cui opera il Responsabile).

In particolare, qualora il Responsabile riceva richieste provenienti dagli Interessati, finalizzate all’esercizio

dei propri diritti, esso dovrà:

- darne tempestiva comunicazione scritta al Titolare, allegando copia delle richieste ricevute;

- coordinarsi, ove necessario e per quanto di propria competenza, con le funzioni interne (quali il Responsabile della Protezione dei Dati) designate dal Titolare per gestire le relazioni con gli Interessati.

5.4. Autorizzati - Incaricati

Il Responsabile dovrà identificare e nominare le persone autorizzate ad effettuare operazioni di Trattamento sui dati di titolarità della Scuola, identificando l’ambito autorizzativo consentito. Allo stesso tempo, il Responsabile dovrà:

- fornire agli Incaricati le dovute istruzioni relativamente alle operazioni ed alle modalità di Trattamento dei Dati Personali;

- rispettare e far rispettare agli autorizzati al trattamento e agli altri soggetti che per qualsivoglia motivo entreranno in contatto con i trattamenti di dati personali della Scuola, le misure di sicurezza già attuate o che verranno in futuro predisposte ai sensi della normativa applicabile in materia di protezione dei dati personali;

- verificare con cadenza almeno annuale che i profili di accesso assegnati agli autorizzati al trattamento siano adeguati e non eccedenti alle esigenze della mansione.

Il Responsabile garantisce che i propri dipendenti e collaboratori siano affidabili ed abbiano piena conoscenza della normativa in materia di protezione dei dati personali. Ove non già presenti, il Fornitore deve documentare le istruzioni operative per il trattamento dei dati, comprensive delle misure da adottare per la sicurezza dei dati stessi.

6. Collaboratori esterni, sub-Responsabili e Terze Parti

Il Fornitore, previa autorizzazione scritta della Scuola, potrebbe dover comunicare o rendere disponibili i Dati Personali di titolarità di quest’ultima ad uno o più soggetti terzi (quali sub-Responsabili nel caso di utilizzo della tecnologia “cloud”) o a Collaboratori esterni, al fine di affidare a tali soggetti parte delle attività di Trattamento.

Il Fornitore è tenuto a comunicare preventivamente al Titolare la lista dei sub-Responsabili e Collaboratori Esterni di cui intende avvalersi, e ad impartire a tali soggetti, dietro autorizzazione espressa della Scuola, precise istruzioni relativamente al Trattamento dei Dati Personali di titolarità della Scuola.

Qualora opportuno al fine di dare attuazione alle previsioni del Regolamento UE 2016/679, del Codice Privacy e del Contratto in essere tra le Parti, il Responsabile, previa autorizzazione da parte del Titolare, si obbliga a far sottoscrivere ai propri sub-Responsabili e/o Collaboratori Esterni le medesime condizioni applicate nella presente designazione a responsabile, mediante sottoscrizione di appositi accordi con i sub- Responsabili e/o Collaboratori Esterni.

I Collaboratori Esterni e i sub-Responsabili potranno trattare i Dati Personali nella misura in cui tale trattamento sia strettamente necessario per l’esecuzione del Contratto che il Fornitore ha stipulato con la Scuola, ed in ogni caso nel rispetto del presente accordo scritto, restando inteso tra le Parti che tali soggetti

esterni saranno inoltre obbligati al rispetto delle limitazioni cui il Fornitore stesso è tenuto. Nello specifico, il Responsabile:

- si obbliga a stipulare con i Collaboratori Esterni e i sub-Responsabili un accordo scritto (o specifico atto di designazione a su-responsabili) che imponga a quest’ultimi il rispetto degli stessi obblighi in materia di protezione dei Dati Personali a cui il Responsabile è vincolato nei confronti della Scuola (in base al Contratto e al presente atto di designazione), prevedendo, in particolare, garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo che il trattamento soddisfi i requisiti della normativa italiana ed europea in materia di trattamento dei dati personali;

- si obbliga, in caso di autorizzazione scritta generale, ad informare la Scuola di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri Collaboratori Esterni o sub-Responsabili del trattamento, dando così al Titolare del trattamento l'opportunità di opporsi a tali modifiche.

Qualora gli eventuali Collaboratori Esterni e sub-Responsabili del trattamento omettano di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile dichiara espressamente e garantisce di mantenere l’intera responsabilità circa l’adempimento degli obblighi da parte di tali soggetti.

Il Fornitore si impegna a non comunicare, trasferire o condividere, i Dati Personali di titolarità della Scuola a Terze Parti.

7. Deroghe all’obbligo di riservatezza

Il Fornitore, i suoi dipendenti o i Collaboratori Xxxxxxx sono tenuti a non divulgare o comunicare i Dati Personali senza il consenso della Scuola, fatta eccezione per l’ipotesi in cui detta comunicazione sia resa nei confronti di:

(a) soggetti autorizzati dalla Scuola, dipendenti del Fornitore o Collaboratori Esterni quando ciò sia

necessario per l’esecuzione dei servizi, o

(b) una pubblica autorità competente, anche regolatoria e di vigilanza, fermo restando che:

(i) la comunicazione di tali Dati Personali dovrà essere effettuata nel rispetto di questo accordo e della legge applicabile;

(ii) i contratti sottoscritti con i Collaboratori Xxxxxxx dovranno riportare le medesime previsioni di cui al presente documento relativamente al corretto trattamento e sulla riservatezza, e

(iii) il Fornitore e i Collaboratori Xxxxxxx dovranno dare al Titolare preventivo avviso scritto di comunicazioni conformi alla clausola 7 (b).

8. Comunicazione delle richieste di accesso, perdite o danno

Il Fornitore è tenuto a comunicare immediatamente alla Scuola e fornire tutta la necessaria assistenza:

(a) in caso di richiesta di accesso ai Dati Personali effettuata da un Interessato, da una autorità di

controllo, da una autorità indipendente o dall’autorità giudiziaria;

(b) qualora venga a conoscenza di una delle seguenti circostanze, in conformità a quanto previsto nel precedente paragrafo 5.1:

i. Perdita, danneggiamento o distruzione dei Dati Personali;

ii. Accesso ai Dati Personali da parte di Terze Parti, fuori dai casi espressamente previsti dal Contratto;

iii. Qualunque circostanza o evento che possa determinare potenzialmente una violazione della normativa italiana ed europea in materia di protezione dei Dati Personali.

9. Attribuzione delle funzioni di amministratore di sistema

Il Responsabile deve assicurare la puntuale adozione delle misure di cui al Provvedimento dell’Autorità Garante per la protezione dei dati personali “Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre 2008 e successive modifiche ed integrazioni.

In particolare, il Responsabile deve:

a) Provvedere alla designazione dei propri amministratori di sistema in forma scritta su base individuale, con elencazione analitica dell’ambito di operatività consentita in base al profilo di autorizzazione assegnata;

b) Stilare la lista degli amministratori di sistema e provvedere al relativo periodico aggiornamento. Tale lista dovrà includere gli estremi identificativi delle persone fisiche amministratori di sistema con l’elenco delle funzioni ad essi attribuite;

c) Fornire tempestivamente la lista aggiornata degli amministratori di sistema ogni qualvolta il Titolare ne faccia richiesta, anche tramite propri delegati;

d) Garantire l’effettuazione di una verifica almeno annuale sulla rispondenza dell’operato degli amministratori di sistema alle misure organizzative, tecniche e di sicurezza previste dalla legge per i Trattamenti di Dati Personali;

e) Adottare, anche relativamente al software utilizzato, sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e degli archivi elettronici da parte degli amministratori di sistema. Le registrazioni devono:

• avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste;

• comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate;

• essere conservate per un congruo periodo, comunque non inferiore a un anno e rese disponibili tempestivamente al Titolare, ogniqualvolta questi ne faccia richiesta, anche a mezzo di propri delegati.

10. Controlli e attività di audit

Il Responsabile del trattamento si impegna a consentire al Titolare la verifica del rispetto della presente nomina e delle istruzioni fornite. Il Responsabile del trattamento si impegna a supervisionare e controllare direttamente i soggetti da esso designati per le operazioni di Trattamento ed a tal fine dovrà organizzare e curare la loro formazione.

Il Responsabile del trattamento inoltre riconosce al Titolare il diritto di effettuare attività di audit con cadenza annuale relativamente alle operazioni aventi ad oggetto il Trattamento dei Dati Personali di titolarità della Scuola, avvalendosi di personale interno od esterno espressamente incaricato a tale scopo, anche presso le sedi del Responsabile.

Il Responsabile nominato, per i motivi su esposti, è obbligato a mettere a disposizione in qualunque momento e dietro richiesta del Titolare del trattamento, tutte le informazioni necessarie per dimostrare il

rispetto degli obblighi di cui alla presente nomina ed a contribuire alle attività di revisione, comprese le ispezioni, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato.

Tali attività saranno effettuate dal Titolare periodicamente ed in base a metodologie concordate tra le Parti.

11. Durata e Cessazione del Trattamento

La presente nomina ha la medesima durata ed efficacia del Contratto in essere tra le Parti e, pertanto, cesserà al momento del completo adempimento o della cessazione del medesimo, qualsiasi ne sia il motivo. Il trattamento, pertanto, deve avere una durata non superiore a quella necessaria agli scopi per i quali i Dati Personali sono stati raccolti e tali dati devono essere conservati nei sistemi e nelle banche dati del Responsabile in una forma che consenta l'identificazione degli interessati per un periodo di tempo non superiore a quello in precedenza indicato.

A seguito della cessazione del Trattamento affidato al Responsabile, nonché a seguito della cessazione del rapporto contrattuale sottostante, qualunque ne sia la causa, il Responsabile sarà tenuto (a discrezione e su specifica indicazione del Titolare) a:

(i) restituire al Titolare copia integrale dei Dati Personali trattati, e/o

(ii) provvedere alla loro integrale distruzione in modo che non siano più recuperabili, al buon esito della procedura di migrazione, salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge e/o altre finalità (contabili, fiscali, ecc.) o il caso in cui si verifichino circostanze autonome e ulteriori che giustifichino la continuazione del trattamento dei dati da parte del Responsabile, con modalità limitate e per il periodo di tempo a ciò strettamente necessario

(iii) garantire in ogni caso la migrazione verso altro fornitore che sarà indicato dalla Scuola, consentendo così la portabilità di tutti i dati trattati.

12. Accordo relativo al trasferimento dei dati all’estero

Il Responsabile si impegna a circoscrivere gli ambiti di circolazione e trattamento dei Dati Personali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server o su server in cloud) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 (Paese terzo giudicato adeguato dalla Commissione europea, BCR di gruppo, clausole contrattuali modello, consenso degli interessati, etc.).

Il Fornitore, pertanto, non dovrà trasferire o effettuare il trattamento dei Dati Personali della Scuola al di fuori dell’Unione Europea, per nessuna ragione, in assenza di autorizzazione scritta della stessa Scuola. Qualora la Scuola rilasci l’autorizzazione di cui al presente paragrafo e venga pertanto effettuato un trasferimento dei Dati Personali della Scuola al di fuori dell’Unione Europea, tale trasferimento dovrà rispettare le previsioni di cui al Regolamento UE 2016/679 sopra indicate.

Resta inteso tra le Parti che il Fornitore dovrà garantire che i metodi di trasferimento impiegati, ivi inclusa la conformità alle clausole contrattuali standard approvate dalla Commissione Europea e sulla base dei presupposti indicati nella medesima decisione, consentano il mantenimento di costanti e documentabili standard di validità per tutta la durata del presente Contratto.

Il Fornitore è obbligato a comunicare immediatamente alla Scuola il verificarsi di una delle seguenti fattispecie:

(a) mancato rispetto delle clausole contrattuali standard di cui sopra, oppure

(b) qualsiasi modifica della metodologia e delle finalità di trasferimento dei Dati Personali della Scuola

all’estero.

13. Manleva e Responsabilità per violazione delle disposizioni

Il Responsabile, con l’accettazione della presente nomina, si impegna a mantenere indenne il Titolare da qualsiasi responsabilità, danno, incluse le spese legali, o altro onere che possa derivare da pretese, azioni o procedimenti avanzate da terzi a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento dei Dati Personali che sia imputabile a fatto, comportamento o omissione del Responsabile (o di suoi dipendenti e/o Collaboratori esterni).

Il Responsabile si impegna a comunicare prontamente al Titolare eventuali situazioni sopravvenute che, per il mutare delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento dell’incarico.

Fatti salvi gli articoli 82, 83 e 84 del Regolamento UE 2016/679, in caso di violazione delle disposizioni contenute nella presente nomina relative alle finalità e modalità di trattamento dei dati, di azione contraria alle istruzioni ivi contenute o in caso di mancato adempimento agli obblighi specificatamente diretti al Responsabile dal Regolamento UE 2016/679, il Responsabile sarà considerato quale Titolare del trattamento e ne risponderà direttamente dal punto di vista sanzionatorio.

14. Accettazione della nomina

Con la sottoscrizione del presente accordo, ai sensi della Normativa in materia di Protezione dei Dati Personali, il Fornitore accetta la propria nomina a responsabile del trattamento in relazione ai dati personali la cui conoscenza risulta essere indispensabile per l’adempimento delle obbligazioni di cui ai Contratti in essere. Il Fornitore è a conoscenza degli obblighi previsti dal Regolamento UE 2016/679 e dal D.Lgs. 196/2003 (come modificato dal D.Lgs. 101/2018) e dovrà attenersi per lo svolgimento dei compiti assegnatigli alle previsioni ed ai compiti contenuti nel presente atto di nomina.

Vi preghiamo pertanto di voler confermare alla Scuola il rispetto da parte vostra degli obblighi giuridici a cui siete soggetti, firmando il presente accordo quadro sulla protezione dei dati e di designazione a responsabile esterno del trattamento, restituendocene una copia.

Xxxxx Xxxxxxxx, data 30/11/2020

Il Titolare del Trattamento Gruppo Spaggiari Parma S.p.A.