NOMINA A RESPONSABILE DEL TRATTAMENTO
All. C
NOMINA A RESPONSABILE DEL TRATTAMENTO
Regolamento UE n. 679/2016
Il Dott./Dott.ssa [•],(indicare il soggetto competente alla sottoscrizione dell’atto di nomina) Direttore della Direzione Centrale/Compartimentale/ Servizio Centrale/ Area Metropolitana /Direzione Territoriale di [•] ( indicare la struttura di appartenenza), autorizzato/a alla sottoscrizione del presente Atto giusta delega trasmessa con nota prot. n. 377/2019 del 9 settembre 2019 dall’Automobile Club d’Italia nella persona del legale rappresentante pro tempore, Dott. Xxx. Xxxxxx Xxxxxxx Xxxxxxx, in qualità di Titolare del Trattamento dei Dati Personali (di seguito “A.C.I.” o il “Titolare”)
PREMESSO CHE:
- in data [•], la Direzione Centrale/Compartimentale /il Servizio Centrale / l’Area Metropolitana / la Direzione Territoriale (indicare la struttura che ha svolto la procedura di affidamento) ha stipulato con la Società [•], con sede legale in [•], Codice Fiscale n. [•], un Contratto/una Convenzione/un Accordo avente ad oggetto [•] per la durata di [•] anni dal [•] al [•] (di seguito il “Contratto”/la “Convenzione”/l’“Accordo”);
- nello svolgimento delle attività oggetto del Contratto/Convenzione/Accordo, la Società [•] effettua trattamenti di Dati Personali (di seguito “Dati”) per conto dell’A.C.I.;
- il Regolamento UE n.679/2016, recante disposizioni per la protezione dei dati personali (di seguito il “Regolamento” o il “GDPR”), stabilisce, all’art. 4, che la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento assume il ruolo di Responsabile del trattamento;
- ai sensi dell’art. 28 del GDPR, i rapporti tra il Titolare del trattamento e coloro che effettuano per conto di quest’ultimo trattamenti di Dati Personali, in qualità di Responsabili, devono essere disciplinati da un contratto o da altro atto giuridico, che definisca le caratteristiche del trattamento e gli obblighi del Responsabile nei confronti del Titolare;
NOMINA
la Società [•] quale Responsabile esterno del trattamento dei Dati afferenti ai Servizi oggetto del Contratto/Convenzione/Accordo avente ad oggetto [•] (di seguito il “Responsabile”).
La presente nomina è effettuata nei termini e alle condizioni di seguito stabiliti. Per quanto non espressamente previsto, si rinvia alle disposizioni di legge applicabili in materia.
Compiti del Responsabile
Nell’ambito dei Servizi oggetto del Contratto/Convenzione/Accordo, il Responsabile deve:
1. eseguire il trattamento dei Dati [•] (indicare la tipologia di dati, comuni o particolari, oggetto di trattamento per conto del Titolare specificando se si tratta di dati anagrafici, di contatto, bancari, salute ecc.), afferenti alle seguenti categorie di soggetti interessati [•];
2. effettuare i trattamenti per le sole finalità connesse all’esecuzione del Contratto/Convenzione/Accordo e, in ogni caso, in conformità alle disposizioni dettate dal GDPR, dal D.Lgs. 196/2003 e s.m.i., (Codice privacy), da ogni ulteriore norma dettata a livello nazionale o sovranazionale, ivi compresi i provvedimenti adottati dal Garante per la protezione dei dati personali, (di seguito la “Normativa Applicabile”), nonché nel rispetto delle istruzioni fornite con la presente nomina e in eventuali ulteriori specifici atti che, ove presenti, ne costituiscono parte integrante e sostanziale, garantendo la tutela dei diritti degli Interessati;
3. garantire che non tratterà né utilizzerà in alcun modo i Dati per finalità proprie ovvero per scopi diversi da quelli previsti e necessari per l’erogazione dei Servizi oggetto del Contratto/Convenzione/Accordo;
4. informare il Titolare se, a suo parere, una qualsiasi delle istruzioni fornite si ponga in contrasto con previsioni di legge o regolamentari, ovvero, se lo stesso
Responsabile sia soggetto ad obblighi normativi che potrebbero rendere, in tutto o in parte, impossibile o illegittimo agire conformemente alle istruzioni impartite dal Titolare o nel rispetto di quanto previsto dalla Normativa Applicabile;
5. segnalare al Titolare i trattamenti che presentano o possono presentare un rischio elevato per i diritti e le libertà delle persone fisiche, collaborando nella esecuzione di tutte le attività connesse alla valutazione d’impatto sulla protezione dei dati personali (DPIA);
6. adottare, in conformità alla Normativa Applicabile, tutte le misure tecniche e organizzative necessarie e idonee a garantire un adeguato livello di sicurezza dei Dati, in particolare, contro i rischi di modifica, distruzione o perdita, anche accidentali, divulgazione o accesso non autorizzati, trattamento non consentito o non conforme alle finalità;
7. predisporre e tenere aggiornato, ai sensi dell’art. 30 GDPR, il Registro delle attività di trattamento dei Dati svolte per conto del Titolare, da esibire su richiesta di quest’ultimo nonché in caso di ispezioni dell’Autorità Garante per la protezione dei dati personali;
8. conservare i Dati oggetto di trattamento per conto del Titolare garantendone la separazione, anche di tipo logico, da quelli trattati per conto di terze parti o per proprio conto;
9. garantire che nelle attività di trattamento dei Dati siano rispettati i principi di cui all’art. 5 del GDPR ovvero la liceità, correttezza e trasparenza, limitazione delle finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza;
10. assicurare che in caso di raccolta dei Dati venga resa ai soggetti Interessati l’informativa di cui agli artt. 13 e 14 GDPR e che questa sia debitamente controfirmata, provvedendo, ove previsto, anche alla corretta acquisizione dei consensi secondo le modalità indicate negli artt. 7 e 8 del GDPR e garantendone, altresì, la revoca in qualunque momento;
11. garantire ai soggetti Interessati il corretto ed efficace esercizio dei diritti di cui agli artt. da 15 a 22 del GDPR - in particolare, accesso, rettifica, cancellazione, limitazione del trattamento, portabilità, opposizione al
trattamento nonché il diritto a non essere sottoposto a processi decisionali automatizzati, compresa la profilazione nei termini previsti dall’art. 22 del GDPR
- adottando misure tecniche e organizzative adeguate e dando, di ogni richiesta, tempestiva comunicazione scritta al Titolare attraverso la casella di posta elettronica xxxxxxx@xxx.xx;
12. individuare, nell’ambito della propria struttura, i soggetti deputati alla esecuzione delle attività di trattamento dei Dati per conto del Titolare, garantendo che abbiano ricevuto un’adeguata formazione in tema di protezione dei dati personali e fornendo loro adeguate istruzioni circa le modalità del trattamento conformemente a quanto stabilito dal presente Atto e nel rispetto delle disposizioni dettate dalla Normativa Applicabile, vigilando, altresì, sulla loro corretta osservanza;
13. garantire l’affidabilità dei soggetti che, nell’ambito della propria struttura, accedono ai Dati del Titolare assicurando che siano vincolati al rispetto di adeguati obblighi di riservatezza in relazione alle operazioni di trattamento da essi effettuate, anche per il periodo successivo alla scadenza del Contratto/Convenzione/Accordo;
14. collaborare con il Titolare in occasione di ispezioni o di richieste da parte dell’Autorità Garante per la protezione dei dati personali, mettendo a disposizione quanto eventualmente richiesto;
15. avvisare il Titolare - tempestivamente e, comunque, entro tre (3) giorni lavorativi - di qualsiasi richiesta o comunicazione relativa al trattamento dei Dati eventualmente ricevuta da parte dell’Autorità Garante per la protezione dei dati personali ovvero da parte dell’Autorità Giudiziaria o di Pubblica Sicurezza, inviando copia delle istanze all’indirizzo di posta elettronica xxxxxxx@xxx.xx per concordare congiuntamente il riscontro da fornire.
Violazione della sicurezza e obblighi di notifica
Il Responsabile del trattamento, ai sensi dell’art. 33 del GDPR, deve notificare al Titolare senza ingiustificato ritardo, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto conoscenza, qualsiasi distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai Dati (di seguito la “Violazione della sicurezza” o “Data Breach”) che si siano verificati presso la
propria struttura, assistendo il Titolare medesimo nell’adempimento degli obblighi previsti dalla Normativa Applicabile e fornendo la più ampia collaborazione alle competenti Autorità.
La comunicazione del Data Breach al Titolare del trattamento deve avvenire attraverso l’invio di una e-mail alla casella di posta elettronica xxxxxxx@xxx.xx specificando: a) la natura della violazione dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati; b) le probabili conseguenze per i diritti e le libertà degli Interessati; c) il punto di contatto presso il quale ottenere ogni altra informazione utile e necessaria a consentire al Titolare di procedere, se necessario, alla notifica della violazione all’Autorità Garante per la protezione dei dati personali ai sensi degli artt. 33 e 34 del GDPR; d) le misure adottate o di cui si propone l’adozione da parte del Responsabile per porre rimedio alla violazione.
Il Responsabile non deve rilasciare, né pubblicare alcun comunicato stampa, avviso o relazione riguardante la Violazione della sicurezza senza aver ottenuto la previa autorizzazione scritta del Titolare.
Sub-Responsabili del trattamento
Il Responsabile, nell’esecuzione delle attività di trattamento per conto del Titolare, può ricorrere ad altro responsabile (di seguito il “Sub-Responsabile”) solo previa notifica scritta al Titolare medesimo, con l’indicazione di tutti i riferimenti del Sub-Responsabile e il contenuto essenziale dell’atto di nomina, sempre che il Titolare non vi si opponga entro 7 giorni (lavorativi) dalla ricezione della notifica.
L’atto di nomina del sub-Responsabile deve contenere la descrizione analitica dei compiti assegnati in relazione alle attività di trattamento dei Dati del Titolare oggetto di delega, istruzioni dettagliate in merito alle operazioni di trattamento nonché la previsione dei medesimi obblighi posti a carico del Responsabile in conformità a quanto previsto dalla Normativa Applicabile e nel presente Atto.
In ogni caso, il Responsabile risponde dinanzi al Titolare dell’inadempimento degli obblighi a carico del Sub-Responsabile e di ogni altra azione od omissione posti in essere da questo o da altri soggetti terzi dallo stesso incaricati.
Comunicazione dei Dati a soggetti terzi
Il Responsabile del trattamento, laddove ne ricorrano i presupposti, potrà comunicare i Dati a soggetti terzi solo per l’adempimento di obblighi normativi e regolamentari, ovvero per lo svolgimento delle attività afferenti i Servizi oggetto del Contratto/Convenzione/Accordo.
Trasferimento dei Dati all’estero
Qualsiasi trattamento effettuato dal Responsabile al di fuori dal territorio dell’Unione Europea o dello Spazio Economico Europeo dovrà avvenire nel rispetto delle norme previste al Capo V del GDPR.
Audit
Il Responsabile garantisce al Titolare l’accesso ai propri locali, ai sistemi informativi in uso, agli atti, ai documenti e a quanto ragionevolmente richiesto per verificare il rispetto delle istruzioni fornite e l’adempimento degli obblighi di cui al presente Atto di nomina, sempre che tali verifiche non comportino l’analisi dei Dati di terze parti e che queste verifiche non contrastino con obblighi di riservatezza del Responsabile.
Gli eventuali costi correlati ai controlli posti in essere dal Titolare sono a suo carico salvo che emerga l’inosservanza, da parte del Responsabile, di uno qualsiasi degli obblighi di cui al presente atto.
Durata
Il presente atto di nomina ha efficacia per tutta la durata del Contratto/Convenzione/Accordo salvi i casi di risoluzione anticipata.
Alla scadenza del Contratto/Convenzione/Accordo, ovvero in caso di risoluzione anticipata, i Dati dovranno essere distrutti o restituiti al Titolare del trattamento, secondo quanto stabilito dallo stesso, unitamente a qualsiasi supporto fisico o documento contenente i Dati e sempre che il diritto dell’Unione o la normativa nazionale non ne prevedano la conservazione.
Il Responsabile attesta, per iscritto, l’avvenuta distruzione dei Dati una volta adempiuti gli obblighi previsti dal Contratto.
Disposizioni finali
Il Titolare del Trattamento si riserva, ove ne ravvisasse la necessità, di integrare ed adeguare di volta in volta le istruzioni fornite con il presente Atto di nomina.
***
Il Sig./Dott./La Sig.ra/Dott.ssa [•], legale rappresentante della Società [•], con la sottoscrizione dichiara di aver preso visione e accettato quanto stabilito dal presente atto di nomina.