TRA
Accordo Data Protection fra Titolare, Responsabile
TRA
l’Agenzia Regionale Toscana per l’Impiego (di seguito anche denominata ARTI), con sede in Xxxxxxx, Xxx Xxxxxxxx Xxxxxxxx XX, 00 Codice Fiscale 94277540483 , in persona del suo Diretto- re Dott.ssa Simonetta Cannoni, nata a XXXXXXXXX, il XX/XX/XXXX, nella qualità di “Ti- tolare”
E
la società F.I.L. Formazione Innovazione Lavoro a Responsabilità Limitata a socio unico (di se- guito anche denominata F.I.L. SRL), con sede in Xxxxx, Xxx Xxxxxxxxx 000/X, Codice Fiscale, Partita IVA n. 01698270970, in persona del suo Amministratore Unico Xxxxxx Xxxxxxx, nata a XXXXXXX il XX/XX/XXXX (CF XXXXXXXXXX), nella qualità di “Responsabile”.
Titolare e Responsabile verranno in seguito entrambi indicati congiuntamente “le Parti”.
Definizioni:
Titolare il soggetto titolare delle finalità dei trattamenti e dei dati personali oggetto delle attività disciplinate dal contratto/convenzione
Responsabile il soggetto che effettua trattamenti di dati personali per conto del Titolare
Interessato la persona fisica cui si riferiscono i dati personali trattati
DPO Responsabile Protezione dei Dati/Data Protection Officer
GDPR Regolamento Europeo sulla protezione dei dati personali 679/2016 – General Data Protection Regulation
Security IT Manager la persona o la struttura a cui sono demandate le attività di auditing sulle misure di sicurezza adottate e di incident management
Incident management procedura di gestione degli incidenti IT relativi a dati personali
Responsabile della sicurezza IT la persona o la struttura cui è demandato il compito di definire, impostare e gestire le misure di sicurezza IT
Lock-In con tale termine si intende la diminuzione o perdita da parte del titolare della possibilità di gestire i servizi e relativi dati in autonomia senza dover forzatamente ricorrere al soggetto a cui ne ha ceduto la gestione. La sicurezza dei dati e la continuità del servizio devono sempre essere sotto il controllo del Titolare.
ART. 1 TRATTAMENTO DEI DATI PERSONALI
Ai sensi e per gli effetti della normativa in materia di protezione dei dati personali (Reg. UE n. 2016/679, di seguito "GDPR", nonché D.Lgs. 196/2003 da ultimo novellato dal D. Lgs. 101/2018, di seguito "Codice Privacy") ed in relazione alle operazioni che vengono eseguite per lo svolgimento delle attività previste dal “Contratto di servizio per l’esecuzione di servizi e
attività afferenti il mercato del lavoro e i servizi per l’impiego affidati direttamente dall’Agenzia Regionale Toscana per l’Impiego – ARTI, alla società F.I.L. s.r.l. a socio unico. annualità 2020” approvato con Decreto a firma del Direttore di ARTI n. 178 del 07/04/2020 , l’Agenzia Regionale Toscana per l’Impiego, in qualità di Titolare, nomina la società F.I.L. Formazione Innovazione Lavoro a Responsabilità Limitata a socio unico, quale Responsabile del trattamento, ai sensi dell’articolo 28 GDPR.
I trattamenti affidati dal Titolare al Responsabile sono quanti concordati e declinati all’art 2 “oggetto del contratto di servizio e decorrenza” e all'art. 3 “Servizio di assistenza tecnica” del Contratto di cui al Decreto ARTI n. 178/2020, e più in particolare:
- Incontro Domanda Offerta di Lavoro;
- Orientamento;
- Avviamento a selezione nella PA per utenti iscritti al collocamento mirato, all'elenco dei centralinisti, massofisioterapisti e fisioterapisti non vedenti e al collocamento ordinario;
- assistenza tecnica.
I trattamenti effettuati per conto del Titolare dal Responsabile cesseranno al completamento del contratto ovvero in caso di sua risoluzione, per qualsiasi altro motivo.
Se una disposizione del presente articolo è o diventa invalida o inapplicabile, la validità e l'applicabilità delle altre disposizioni del medesimo rimangono inalterate. In questo caso, Titolare e Responsabile concordano di adottare una disposizione che corrisponda al meglio allo scopo previsto nella disposizione non valida o agli interessi comuni.
F.I.L. SRL, in quanto Responsabile, fornisce garanzie sufficienti, in particolare in termini di conoscenze specialistiche, affidabilità e risorse, per attuare misure tecniche e organizzative che soddisfino i requisiti normativi sanciti dal GDPR, dal Codice Privacy e da qualsiasi altra norma connessa inerente al trattamento dei dati personali, comprese le misure di sicurezza del trattamento, per garantire la riservatezza e la protezione dei diritti degli interessati.
F.I.L. SRL, in quanto Responsabile, è tenuto ad assicurare e far assicurare ai propri dipendenti, collaboratori e responsabili ulteriori, la riservatezza ed il corretto trattamento delle informazioni, dei documenti e degli atti amministrativi, dei quali venga a conoscenza durante l’esecuzione della prestazione.
In tal senso il responsabile, si impegna a consegnare, alla stipula del presente accordo al Titolare e al DPO di ARTI “il disciplinare di comportamento degli autorizzati” coinvolti in modo e diretto o indiretto nella esecuzione dei trattamenti svolti per conto del Titolare e delle istruzioni impartite agli autorizzati nei loro relativi ruoli.
In particolare, ai sensi dell’art. 28 GDPR, il Responsabile F.I.L. SRL si impegna a:
adottare e mantenere aggiornato un proprio registro dei trattamenti, concordandone la struttura e le modalità di aggiornamento con il DPO di ARTI entro 30 giorni dalla firma della presente, qualora tenuto a ciò ai sensi del GDPR.
Non mettere in atto, per nessun motivo, trattamenti di dati diversi da quelli autorizzati dal Titolare oggetto del presente contratto/convenzione e presenti, se sia adottato, nel registro dei trattamenti. In tal senso renderà accessibile al Titolare il registro dei trattamenti, attivati per effetto del contratto/convenzione, consentendo operazioni di consultazione, approvazione e diniego in relazione a singoli o gruppi di trattamenti.
Fornire per iscritto agli autorizzati al trattamento le necessarie istruzioni in tema.
Nominare gli autorizzati che svolgono le funzioni di “amministratore di sistema”, ai sensi dei provvedimenti del Garante italiano per la protezione dei dati personali del 27/11/2008 e del 25/6/2009, conservando i relativi estremi identificativi, definendo gli ambiti di operatività ai medesimi consentiti e comunicandone al titolare l’elenco nominativo con i relativi ambiti di operatività.
Di collaborare alla eventuale redazione di DPIA su trattamenti affidati alla sua responsabilità dal Titolare.
Predisporre e trasmettere, entro trenta giorni dalla stipula del presente accordo, al Titolare ARTI - una relazione con indicazione delle misure di sicurezza adottate.
Assistere e garantire il titolare del trattamento nell’evasione delle richieste e del rispetto dei tempi previsti, nei rapporti con l’Autorità Garante per la protezione dei dati personali.
Assistere il Titolare al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati ai sensi degli artt. 15 a 22 del Regolamento UE; qualora gli interessati esercitino tale diritto verso il Responsabile, quest’ultimo è tenuto ad inoltrare tempestivamente e comunque nel più breve tempo possibile, le istanze al Titolare, supportando quest’ultimo al fine di fornire adeguato riscontro agli interessati nei tempi prescritti.
Assistere ed assicurare la piena, fattiva e puntuale collaborazione al titolare del trattamento, ed in particolare al Security IT Manager del Titolare, nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento, della tipologia di dati trattati, delle categorie e numerosità degli interessati.
Garantire al Titolare, su richiesta, l’accesso e la disponibilità permanente ai dati, su formati e strumenti di uso comune che ne garantiscano la fruizione da parte del titolare, consentendo in tal modo la piena continuità dei servizi oggetto del presente appalto e in modo che mai si configuri una situazione di lock in. Il titolare deve essere sempre messo in condizione di poter garantire la continuità del servizio.
Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, il
Responsabile del trattamento deve mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e per garantire il rispetto degli obblighi di cui all’art. 32 del Regolamento UE. Tali misure comprendono tra le altre, se del caso:
a. la pseudonimizzazione e la cifratura dei dati personali;
b. la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi che trattano i dati personali;
c. la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;
d. una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;
A tal fine si impegna ad assistere ed assicurare la piena, fattiva e puntuale collaborazione al titolare del trattamento, ed in particolare al Security IT Manager del Titolare.
Restituire tutti i dati personali di pertinenza del Titolare, dopo che è terminata la prestazione dei servizi relativi al trattamento, cancellando le copie esistenti in proprio possesso, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati. In tal senso entro 120 giorni dalla firma del presente accordo, le Parti concordano modalità, tempi e forme idonee a garantire il non precostituirsi di situazioni di lock in, inteso come la diminuzione o perdita della possibilità da parte del Titolare di garantire i servizi, senza ricorrere forzatamente al soggetto Responsabile, e di gestire agevolmente, in modo sicuro e con tempi ragionevoli, la chiusura del Contratto di servizio di cui al Decreto 178/2020 e l'eventuale subentro di un nuovo contraente o la gestione in autonomia in toto o in parte dei servizi. Tale accordo documentato viene messo a disposizione del Titolare e del DPO di ARTI.
Il Responsabile informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, il Titolare di ogni violazione di dati personali (cd. data breach); tale notifica è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del Regolamento UE, per permettere al Titolare del trattamento, ove ritenuto necessario, di notificare questa violazione all’Autorità Garante per la protezione dei dati personali, entro il termine di 72 ore da quanto il Titolare ne viene a conoscenza; nel caso in cui il Titolare debba fornire informazioni aggiuntive all’Autorità di controllo, il Responsabile supporterà il Titolare nella misura in cui le informazioni richieste e/o necessarie per l’Autorità di controllo siano esclusivamente in possesso del Responsabile e/o di suoi sub-Responsabili.
Sarà obbligo del Titolare del trattamento vigilare durante tutta la durata del trattamento,
sul rispetto degli obblighi previsti dalle presenti istruzioni e dal Regolamento UE sulla protezione dei dati da parte del Responsabile del trattamento, nonché a supervisionare l’attività di trattamento dei dati personali effettuando audit, ispezioni e verifiche periodiche sull’attività posta in essere dal Responsabile. A tal fine il Responsabile del trattamento metterà a disposizione, su richiesta del titolare del trattamento, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi derivanti dal regolamento UE, agevolando il contributo alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato, ivi compresa, se necessario, l'attività di monitoraggio e controllo da parte del DPO e del Security IT Manager (se nominato), sulle misure di sicurezza attuate e sulla loro efficacia fornendo tutta la documentazione che sarà richiesta e collaborando attivamente alle attività di rilevazione e misura.
Comunicare al Titolare il nome ed i dati del proprio “Responsabile della protezione dei dati” (DPO), qualora, in ragione dell’attività svolta, ne abbia designato uno conformemente all’articolo 37 del Regolamento UE; il Responsabile della protezione dei dati personali (DPO) del Fornitore/Responsabile collabora e si tiene in costante contatto con il Responsabile della protezione dei dati (DPO) del Titolare.
Comunicare al Titolare, al DPO e al Security Manager di ARTI, il nome e i riferimenti di contatto del proprio Responsabile della sicurezza IT.
Mettere in atto gli interventi necessari qualora l'attività di monitoraggio e controllo mettesse in evidenza punti di debolezza nelle misure e nelle tecniche adottate o qualora
durante l’esecuzione del Contratto, la normativa in materia di Trattamento dei Dati Personali generi nuovi requisiti (ivi incluse nuove misure di natura fisica, logica, tecnica, organizzativa, in materia di sicurezza o trattamento dei dati personali), il Responsabile del trattamento si impegna a collaborare - nei limiti delle proprie competenze tecniche, organizzative e delle proprie risorse - con il Titolare affinché siano sviluppate, adottate e implementate misure correttive di adeguamento ai nuovi requisiti.
Fornire e a mantenere aggiornato il catalogo degli asset (comprese le applicazioni utente e quelle di gestione dei sistemi e degli apparati), delle minacce e delle misure di sicurezza adottate e delle loro correlazioni al fine di una agevole valutazione dei rischi in fase di DPIA. A tal fine Titolare concorda entro 30 giorni dalla firma del contratto/convenzione, con il responsabile di contratto e il Security IT Manager (se nominato) oppure con il responsabile della sicurezza del committente, i contenuti e i formati dei cataloghi al fine della condivisione e l'aggiornamento di tali informazioni.
ART 2 - Penali
Nel caso in cui il Responsabile agisca in modo difforme o contrario alle legittime istruzione del Titolare oppure adotti misure di sicurezza inadeguate rispetto al rischio del trattamento risponde del danno causato agli “interessati”. In tal caso, il Titolare potrà risolvere il contratto/convenzione, salvo il risarcimento del maggior danno.
Letto, approvato, sottoscritto
Dott.ssa Simonetta Cannoni Xxxxxx Xxxxxxx