Premesse
Premesse
Accordo per il trattamento di dati personali
Allegato
Il presente Accordo disciplina oneri e responsabilità in aderenza alla normativa in materia di protezione dei dati personali tra ART-ER S.c.p.a. e l’Organismo Istruttore (O.I.: Comune o Unione di Comuni), nel quadro dell'assolvimento degli obblighi in materia di Aiuti di Stato in capo all’O.I. nell'ambito della direttiva approvata con Deliberazione di Giunta regionale n. 1243/2021 recante disposizioni per la concessione dei contributi alle attività economiche e produttive danneggiate in conseguenza dell’evento calamitoso della prima decade di dicembre 2020.
Ai fini del perfezionamento dell’istruttoria delle domande di contributo per i danni subiti dalle attività economiche e produttive, a pena di inefficacia degli atti conseguenti, è necessario consultare e alimentare il Registro nazionale degli Aiuti di Stato, istituito ai sensi di quanto previsto dall'articolo 52, comma 6, della Legge 24 dicembre 2012, n. 234 e s.m.i., oltre alla preventiva verifica della sussistenza delle condizioni di regolarità. A tali fini è necessario avere specifica formazione nonché procurare l’attivazione di un sistema di credenziali per l’accesso al Registro nazionale degli Aiuti. ART-ER S.cons.p.a possiede capacità organizzative e di competenza in grado di assicurare il necessario supporto agli O.I..
Il presente documento viene sottoscritto dal l.r.p.t. di ART-ER S.cons.p.a. ed è da intendersi parte integrante della richiesta di attivazione del Servizio di inserimento di dati progettuali nel Registro Nazionale Aiuti ex DGR n. 1818/2019 e correlate modalità operative, la cui sottoscrizione equivale a piena accettazione di quanto previsto nel presente Accordo.
Il presente Accordo si compone delle clausole di seguito rappresentate e
dall’Allegato 1: Glossario.
Le presenti clausole lasciano impregiudicati gli obblighi cui è soggetto l’O.I. quale Titolare del trattamento a norma del Regolamento (UE) 2016/679.
Le presenti clausole non garantiscono, di per sé, il rispetto degli obblighi connessi ai trasferimenti internazionali conformemente al capo V del Regolamento (UE) 2016/679.
Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del Regolamento (UE) 2016/679.
Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal Regolamento (UE) 2016/679 o che pregiudichi i diritti o le libertà fondamentali degli interessati.
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell'accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
1. Nomina di ART-ER S.cons.p.a quale Responsabile del trattamento
1.1. In ragione delle premesse sopra descritte, ART-ER S.cons.p.a effettua trattamenti di dati personali per conto dell’O. I..
1.2. Con il presente Accordo ART-ER S.cons.p.a è nominata dal Titolare del trattamento, ai sensi dell’art. 28 del Regolamento (UE) 2016/679, Responsabile dei trattamenti di dati personali effettuati in esecuzione delle attività sopra indicate.
Le Parti convengono quanto segue:
2. Descrizione del trattamento
2.1 Finalità per le quali i dati personali sono trattati per conto del Titolare del trattamento:
consultazione ed alimentazione del Registro nazionale degli Aiuti di Stato in nome e per conto dell'Organismo Istruttore i cui adempimenti rientrano fra quelli di cui all’art. 6, comma 1, lett. c) della direttiva citata nelle Premesse.
2.2 Categorie di interessati i cui dati personali sono trattati:
Beneficiari del contributo
2.3 Categorie di dati personali trattati: Dati personali comuni
3. Obblighi del Responsabile del trattamento
3.1 Il Responsabile del trattamento, relativamente a tutti i dati personali che tratta per conto del Titolare del trattamento, garantisce che:
3.1.1 tratta tali dati personali solo per la finalità di cui al precedente punto 2.1, e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite dall’O.I.;
3.1.2 non trasferisce i dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte dall’O.I. e a fronte di quanto disciplinato nel presente Accordo;
3.1.3 non tratta o utilizza i dati personali per finalità diverse da quelle per cui è conferito incarico dall’O.I.;
3.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà l’O.I. se, a suo parere, una qualsiasi istruzione fornita dall’O.I. si ponga in violazione della normativa applicabile;
3.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare procedure atte a garantire:
3.2.1 il rispetto dei diritti e delle richieste formulate all’O.I. dagli interessati relativamente ai loro dati personali;
3.2.2 l’aggiornamento, la modifica e la correzione, su richiesta dell’O.I. dei dati personali di ogni interessato;
3.2.3 la cancellazione o il blocco dell’accesso ai dati personali a richiesta dell’O.I.;
3.2.4 il diritto degli interessati alla limitazione di trattamento, su
richiesta dell’O.I..
3.3 Il Responsabile del trattamento deve garantire e fornire all’O.I. cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dallo stesso, per consentirgli di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
4. Le misure di sicurezza
4.1 Il Responsabile del trattamento deve conservare i dati personali garantendo la separazione di tipo logico dai dati personali trattati per conto di terze parti o per proprio conto.
4.2 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento.
4.3 Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate a salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti all’O.I., con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.
4.4 Il Responsabile del trattamento utilizza postazioni client e strumenti il cui accesso è subordinato all’inserimento di credenziali di autenticazione;
4.5 Il Responsabile non utilizza credenziali non nominative per l’accesso ai
propri sistemi;
4.6 Il Responsabile adotta policy per la gestione sicura delle informazioni e dei dispositivi informatici, per il controllo di accesso, per la risposta agli incidenti e per la conservazione dei dati;
4.7 Il Responsabile del trattamento, in caso di trattamenti effettuati con strumenti non telematici, adotta misure adeguate (quali ad es. la chiusura a chiave di armadi e cassetti, archivio ad accesso controllato ecc.) atte a prevenire l’accesso di soggetti non autorizzati ai dati personali trattati.
5. Analisi dei rischi, privacy by design e privacy by default
5.1 Con riferimento agli esiti dell’analisi dei rischi effettuata dall’O.I. sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dall’O.I. per affrontare eventuali rischi identificati.
5.2 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
6. Soggetti autorizzati ad effettuare i trattamenti - Designazione
6.1 Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’O.I..
6.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica, consegnando all’O.I. le evidenze di tale formazione.
6.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nel presente Accordo. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
7. Documentazione e rispetto
7.1 Le parti devono essere in grado di dimostrare il rispetto delle presenti clausole.
7.2 Il Responsabile del trattamento risponde prontamente e adeguatamente alle richieste di informazioni del Titolare del trattamento relative al trattamento dei dati conformemente alle presenti clausole.
7.3 Il Responsabile del trattamento mette a disposizione del Titolare del trattamento tutte le informazioni necessarie a dimostrare il rispetto degli obblighi stabiliti nelle presenti clausole e che derivano direttamente dal Regolamento (UE) 2016/679. Su richiesta del Titolare del trattamento, il Responsabile del trattamento consente e contribuisce alle attività di revisione delle attività di trattamento di cui alle presenti clausole, a intervalli ragionevoli o se vi sono indicazioni di inosservanza. Nel decidere in merito a un riesame o
a un'attività di revisione, il Titolare del trattamento può tenere conto delle pertinenti certificazioni in possesso del Responsabile del trattamento.
7.4 Il Titolare del trattamento può scegliere di condurre l'attività di revisione autonomamente o incaricare un revisore indipendente. Le attività di revisione possono comprendere anche ispezioni nei locali o nelle strutture fisiche del Responsabile del trattamento e, se del caso, sono effettuate con un preavviso ragionevole.
7.5 Su richiesta, le parti mettono a disposizione della o delle autorità di controllo competenti le informazioni di cui alla presente clausola, compresi i risultati di eventuali attività di revisione.
8. Trattamento dei dati personali fuori dall’area economica europea
8.1 L’O.I. non autorizza il trasferimento dei dati personali oggetto di trattamento
al di fuori dell’Unione Europea.
9. Assistenza al Titolare del trattamento
9.1 Il Responsabile del trattamento notifica prontamente al Titolare del trattamento qualunque richiesta ricevuta dall'interessato. Non risponde egli stesso alla richiesta, a meno che sia stato autorizzato in tal senso dal Titolare del trattamento.
9.2 Il Responsabile del trattamento assiste il Titolare del trattamento nell'adempimento degli obblighi di rispondere alle richieste degli interessati per l'esercizio dei loro diritti, tenuto conto della natura del trattamento.
10. Notifica di una violazione dei dati personali
10.1 In caso di violazione dei dati personali, il Responsabile del trattamento coopera con il Titolare del trattamento e lo assiste nell'adempimento degli obblighi che incombono su quest'ultimo a norma degli articoli 33 e 34 del Regolamento (UE) 2016/679, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento.
10.2 In caso di una violazione dei dati personali trattati dal Titolare del trattamento, il Responsabile del trattamento assiste il Titolare del trattamento:
a) nel notificare la violazione dei dati personali alla o alle autorità di controllo competenti, senza ingiustificato ritardo dopo che il Titolare del trattamento ne
è venuto a conoscenza, se del caso, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche;
b) nell'ottenere le seguenti informazioni che, in conformità dell'articolo 33, paragrafo 3, del Regolamento (UE) 2016/679, devono essere indicate nella notifica del Titolare del trattamento e includere almeno:
i. la natura dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
ii. le probabili conseguenze della violazione dei dati personali;
iii. le misure adottate o di cui si propone l'adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali, se del caso anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
c) nell'adempiere, in conformità dell'articolo 34 del Regolamento (UE) 2016/679, all'obbligo di comunicare senza ingiustificato ritardo la violazione dei dati personali all'interessato, qualora la violazione dei dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.
10.3 In caso di una violazione dei dati personali trattati dal Responsabile del trattamento, quest'ultimo ne dà notifica al Titolare del trattamento senza ingiustificato ritardo dopo esserne venuto a conoscenza. La notifica contiene almeno:
a) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati in questione);
b) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni sulla violazione dei dati personali;
c) le probabili conseguenze della violazione dei dati personali e le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
Qualora, e nella misura in cui, non sia possibile fornire tutte le informazioni contemporaneamente, la notifica iniziale contiene le informazioni disponibili in quel momento, e le altre informazioni sono fornite successivamente, non appena disponibili, senza ingiustificato ritardo.
11. Inosservanza delle clausole e risoluzione
11.1 Fatte salve le disposizioni del Regolamento (UE) 2016/679, qualora il Responsabile del trattamento violi gli obblighi che gli incombono a norma delle presenti clausole, il Titolare del trattamento può dare istruzione al Responsabile del trattamento di sospendere il trattamento dei dati personali fino a quando quest'ultimo non rispetti le presenti clausole. Il Responsabile del trattamento informa prontamente il Titolare del trattamento qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
11.2 Il Titolare del trattamento ha diritto di risolvere il presente Accordo per quanto riguarda il trattamento dei dati personali conformemente alle presenti clausole qualora:
x.xx trattamento dei dati personali da parte del Responsabile del trattamento sia stato sospeso dal Titolare del trattamento per il mancato rispetto delle presenti clausole e tale rispetto non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
xx.xx Responsabile del trattamento violi in modo sostanziale o persistente le presenti clausole o gli obblighi che gli incombono a norma del Regolamento (UE) 2016/679;
xxx.xx Responsabile del trattamento non rispetti una decisione vincolante di un organo giurisdizionale competente o dell’autorità di controllo competente per quanto riguarda i suoi obblighi in conformità delle presenti clausole o del Regolamento (UE) 2016/679.
11.3 Il Responsabile del trattamento ha diritto di risolvere il presente Accordo per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora, dopo aver informato il Titolare del trattamento che le sue
istruzioni violano i requisiti giuridici applicabili, il Titolare del trattamento insista sul rispetto delle istruzioni.
11.4 In caso di risoluzione del presente Accordo il Responsabile del trattamento, a scelta del Titolare del trattamento, cancella tutti i dati personali trattati per conto del Titolare del trattamento e certifica a quest'ultimo di averlo fatto, oppure restituisce al Titolare del trattamento tutti i dati personali e cancella le copie esistenti, a meno che il diritto dell'Unione o dello Stato membro non richieda la conservazione dei dati personali. Finché i dati non sono cancellati o restituiti, il Responsabile del trattamento continua ad assicurare il rispetto delle presenti clausole.
12. Responsabilità e manleve
12.1 Il Responsabile del trattamento tiene indenne e manleva l’O.I. da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.
12.2 Le Parti riconoscono e convengono che il rispetto delle istruzioni di cui al presente Accordo, nonché delle prescrizioni della normativa applicabile, non producono l’insorgere di un diritto in capo al Responsabile del trattamento al rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per conformarsi.
Per ART-ER S.cons.p.a. - Responsabile del trattamento dei dati personali Il Presidente Firmato digitalmente da: XXXXXXXX XXXXXXXX
Data: 26/04/2022 17:30:04
Allegato 1 GLOSSARIO
“Garante per la protezione dei dati personali”: è l’autorità di controllo
responsabile per la protezione dei dati personali in Italia;
“Dati personali ”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“Regolamento”: si intende il Regolamento UE 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018;
“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali , incluso il Regolamento Privacy UE 2016/679 ed ogni provvedimento del Garante per la protezione dei dati personali e del WP Art. 29.
“Appendice Security”: consiste nelle misure di sicurezza che il Titolare determina assicurando un livello minimo di sicurezza, e che possono essere aggiornate ed implementate dal Titolare, di volta in volta, in conformità alle previsioni del presente Accordo;
“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il Titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento
“Pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile
Firmato digitalmente da: XXXXXXXX XXXXXXXX Data: 26/04/2022 17:30:03