Data di pubblicazione: 17/11/2022
Data di pubblicazione: 17/11/2022
Nome allegato: Allegato D a schema Contratto. Designazione Responsabile esterno trattamento dati .pdf
CIG: 9478670DEB;
Nome procedura: procedura ristretta, ai sensi dell’art. 61 del D.Lgs. m. 50/2016, svolta mediante il Sistema Dinamico di Acquisizione per la Pubblica Amministrazione (SDAPA), volta all'affidamento dei "Servizi Cloud IaaS e PaaS Microsoft Azure".
ISTITUTO NAZIONALE PREVIDENZA SOCIALE
Direzione centrale Risorse Strumentali e Centrale Unica Acquisti
ALLEGATO “D” al Contratto
Atto giuridico di nomina quale Responsabile del Trattamento dei dati personali ai sensi dell’art. 28 del Regolamento UE 2016/679
Disciplina dei trattamenti: compiti e istruzioni per il trattamento
Via Xxxx il Grande, 21 – 00000 Xxxx C.F. 80078750587 - P.IVA 02121151001
Atto di Nomina quale Responsabile del Trattamento
L’Istituto Nazionale Previdenza Sociale con sede in Roma, Via Xxxx il Grande n. 21, C.F. n. 80078750587 – rappresentato dal Presidente xxxx. Xxxxxxxx Xxxxxxx, (di seguito, per brevità, solo l’”INPS”)
VISTO
- Il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito, per brevità, solo “Regolamento UE”;
- Il Decreto legislativo 30 giugno 2003 n. 196, Codice in materia di protezione dei dati personali, così come integrato e modificato dal Decreto legislativo 10 agosto 2018 n. 101, di seguito, per brevità, solo “Codice della privacy”;
CONSIDERATO
- che l’art. 4, paragrafo 1, numero 8, del Regolamento UE definisce il «Responsabile del trattamento» come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento;
- il considerando numero 81 del Regolamento UE che prevede che “Per garantire che siano rispettate le prescrizioni del presente regolamento riguardo al trattamento che il responsabile del trattamento deve eseguire per conto del titolare del trattamento, quando affida delle attività di trattamento a un responsabile del trattamento il titolare del trattamento dovrebbe ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento…. L’esecuzione dei trattamenti da parte di un responsabile del trattamento dovrebbe essere disciplinata da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri che vincoli il responsabile del trattamento al titolare del trattamento, in cui siano stipulati la materia disciplinata e la durata del trattamento, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, tenendo conto dei compiti e responsabilità specifici del responsabile del trattamento nel contesto del trattamento da eseguire e del rischio in relazione ai diritti e alle libertà dell’interessato…..Dopo il completamento del trattamento per conto del titolare del trattamento, il responsabile del trattamento dovrebbe, a scelta del titolare del trattamento, restituire o cancellare i dati personali salvo che il diritto dell’Unione o degli Stati membri cui è soggetto il responsabile del trattamento prescriva la conservazione dei dati personali”.
- che l’art. 28, paragrafo 1, del Regolamento UE stabilisce che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre
unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;
- che l’art. 28, paragrafo 3, del Regolamento UE stabilisce che “ I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”;
- che l’art. 28, paragrafo 3, lett. b) del Regolamento UE stabilisce che, nell’ambito del contratto o di altro atto giuridico a norma del punto precedente, sia previsto, in particolare, che il Responsabile “garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza”;
- che l’art. 9 del Regolamento UE definisce “categorie particolari di dati personali” i dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona;
PREMESSO
- che l’INPS, ai sensi dell’art. 24 del Regolamento UE, è Titolare del trattamento dei dati personali affidati alla Soc. …, con sede in…, in esecuzione del Contratto stipulato in data…, avente ad oggetto…;
- che per l’espletamento dei servizi aventi per oggetto…, il Titolare intende nominare la Società…, Responsabile per il trattamento dei dati personali;
- che la Società… rientra tra i soggetti che per esperienza, capacità ed affidabilità forniscono garanzie sufficienti del pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati personali, ivi compreso il profilo relativo alla sicurezza, per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento UE e garantisca la tutela dei diritti dell’interessato;
- (solo se ricorre) che, in qualità di responsabile designato, tratterà i dati personali, anche appartenenti alle “categorie particolari di dati personali” ai sensi dell’ 9 oppure indicati nell’art. 10 del Regolamento UE, oggetto del Contratto…, attenendosi ai compiti e alle istruzioni impartite dal Titolare;
tutto ciò premesso, l’INPS, in qualità di Titolare del trattamento dei dati personali di cui al
Contratto (di seguito, per brevità, solo il “Titolare”),
DESIGNA
ai sensi e per gli effetti dell’art. 28 del Regolamento UE,… quale “Responsabile del trattamento” (di seguito, per brevità, solo “Responsabile”) per l’espletamento dei lavori/servizi/ forniture previsti dal Contratto.
La Società…, nella persona di…, nella sua qualità di…, con la sottoscrizione del presente Xxxx dichiara espressamente di accettare la designazione e dichiara di conoscere gli obblighi che, per effetto di tale accettazione, assume in relazione a quanto prescritto dal Regolamento UE, dal Codice della privacy, dal Contratto e dalle prescrizioni del Garante per la protezione dei dati personali (di seguito, per brevità, solo “Garante”).
Disciplina dei trattamenti:
compiti e istruzioni per il Responsabile del trattamento ART. 1
Compiti del Responsabile del trattamento
1.1. Il Titolare affida al Responsabile le operazioni di trattamento dei dati personali - (se ricorre) anche appartenenti alle “categorie particolari di dati personali” ai sensi dell’art. 9 oppure a quelli indicati nell’art. 10 del Regolamento UE - di cui agli articoli da… a… del Contratto e nell’Allegato n.… (compilare con i rinvii corretti) allo stesso, esclusivamente per le finalità indicate nel medesimo Contratto.
1.2. Il Responsabile conferma la sua diretta ed approfondita conoscenza degli obblighi che assume in relazione alle disposizioni contenute nel Regolamento UE e nel Codice della privacy ed assicura che la propria struttura organizzativa sia idonea ad effettuare il trattamento dei dati di cui al Contratto nel pieno rispetto delle prescrizioni legislative, ivi compreso il profilo della sicurezza e si impegna a realizzare, ove mancante, tutto quanto ritenuto utile e necessario per il rispetto e l’adempimento di tutti gli obblighi previsti dal Regolamento UE e dal Codice della privacy nei limiti dei compiti che gli sono affidati.
1.3. Il Responsabile si vincola a comunicare al Titolare qualsiasi mutamento delle garanzie offerte o gli elementi di valutazione in ordine all’incertezza del mantenimento delle stesse, con riferimento all’adozione delle misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento UE e del Codice della privacy e garantisca la tutela dei diritti dell’interessato, considerato che la sussistenza di tali garanzie è presupposto per la presente nomina a Responsabile e per il suo mantenimento.
1.4. Il Titolare comunicherà al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati. Il Responsabile e i soggetti autorizzati al trattamento sotto la sua diretta autorità non potranno effettuare nessuna operazione di trattamento dei dati, (se ricorre) compresi anche quelli appartenenti alle “categorie particolari di dati personali” ai sensi dell’ art. 9 oppure quelli indicati nell’art. 10 del
Regolamento UE, al di fuori delle regole previste nel Contratto e osserveranno, in ogni fase del trattamento, il rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, sanciti dall’art. 5 del Regolamento UE.
ART. 2
Modalità di espletamento dei compiti
2.1 Il Responsabile si impegna a trattare i dati personali solo per le finalità e i tempi strettamente necessari all’erogazione dei servizi forniti per conto del Titolare, come previsti nel Contratto, nel pieno rispetto sia della normativa vigente - con particolare riguardo alle norme del Regolamento UE e del Codice della privacy – sia delle istruzioni fornite dal Titolare, a cominciare da quelle indicate nel presente Atto, nonché le ulteriori eventualmente contenute in successive comunicazioni che, a tale fine, gli saranno formalizzate dal Titolare.
2.2 Il Responsabile avrà particolare riguardo ad attenersi alle modalità indicate dal Titolare per effettuare le operazioni affidate, al rispetto delle prescrizioni contenute nell’Allegato n… al Contratto, alla tutela della sicurezza dei dati oggetto del trattamento, agli adempimenti e alle responsabilità nei confronti degli interessati, dei terzi e del Garante.
2.3 Laddove il Responsabile rilevi la sua impossibilità a rispettare le istruzioni impartite dal Titolare, anche per caso fortuito o forza maggiore, deve tempestivamente informare il Titolare per concordare eventuali ulteriori misure di protezione. In tali casi, comunque, il Responsabile adotterà tempestivamente ogni possibile e ragionevole misura di salvaguardia.
2.4 Il Responsabile si impegna ad adottare le misure di sicurezza per la protezione dei dati idonee a garantirne la riservatezza, l’integrità, la disponibilità e la custodia in ogni fase del trattamento così da ridurre al minimo i rischi di perdita e distruzione, anche accidentale, dei dati stessi, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità dei lavori/servizi/forniture oggetto del Contratto. In tale ambito, il Responsabile adotta un sistema di sicurezza, anche per l’identificazione ed autenticazione dei soggetti autorizzati alle operazioni sui dati, mettendo in atto misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio presentato dal trattamento in linea con le disposizioni di cui all’art. 32 del Regolamento UE.
ART. 3
Persone autorizzate al trattamento
3.1. Il Responsabile assicura che il trattamento affidato sarà svolto esclusivamente da persone preventivamente autorizzate. Il Responsabile si impegna ad individuare e nominare le persone fisiche autorizzate al trattamento dei dati quali “Persone autorizzate” (figura del trattamento riconducibile all’Incaricato del trattamento ai sensi dell’art. 30 del d. lgs. n. 196/2003), scegliendo tra i propri dipendenti e collaboratori, che operano sotto la sua
diretta autorità, quelli reputati idonei ad eseguire le operazioni di trattamento, nel pieno rispetto delle prescrizioni legislative, impartendo loro, per iscritto, le idonee indicazioni per lo svolgimento delle relative mansioni, con l’assegnazione di apposite credenziali e uno specifico profilo di abilitazione e attraverso la definizione di regole e modelli di comportamento.
3.2 Il Responsabile indica precise e dettagliate istruzioni alle persone autorizzate e, in tale ambito, provvede a richiamare l’attenzione sulle responsabilità connesse all’uso illegittimo dei dati e sul corretto utilizzo delle funzionalità dei collegamenti; in tale ambito, il Responsabile impegna le “Persone autorizzate al trattamento” alla riservatezza anche attraverso l’imposizione di un adeguato obbligo legale di riservatezza.
3.3 Il Responsabile detiene un elenco nominativo aggiornato delle “Persone autorizzate”, recante altresì l’indicazione dei trattamenti affidati e dei relativi profili di autorizzazione di accesso ai dati.
3.4 Il Responsabile deve provvedere, nell’ambito dei percorsi formativi predisposti per i soggetti autorizzati al trattamento dei dati, alla specifica formazione sulle modalità di gestione sicura e sui comportamenti prudenziali nella gestione dei dati personali, specie con riguardo all’obbligo legale di riservatezza cui gli stessi sono soggetti.
3.5 Il Responsabile, in ossequio a quanto disposto dall’art. 32, paragrafo 4, del Regolamento UE, assicura che chiunque agisca sotto la sua autorità e abbia accesso a dati personali, non abbia facoltà di trattare tali dati se non espressamente autorizzato dal Titolare del trattamento. Tale autorizzazione non è richiesta qualora il caso specifico sia espressamente disciplinato dal diritto dell’Unione o degli Stati membri.
3.6 Il responsabile del trattamento non è genericamente autorizzato a designare i soggetti di cui si avvale quali “Altro Responsabile” (Sub – Responsabile). A norma del paragrafo 2, del citato art. 28 del Regolamento UE, qualora il Responsabile intenda fare ricorso ad altro Responsabile deve ricevere apposita autorizzazione scritta, specifica o generale, da parte del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche.
.
ART. 4
Controlli e tracciamento degli accessi
4.1 Il Titolare del trattamento eseguirà controlli, anche a campione, finalizzati ad una verifica della puntuale applicazione delle istruzioni impartite al Responsabile nonché della conformità delle operazioni di trattamento alla normativa di riferimento in materia. Qualora tali controlli implichino l’accesso ai locali del Responsabile, quest’ultimo si impegna a
consentire l’accesso ai rappresentanti del Titolare, salvo preavviso di almeno cinque giorni lavorativi. Detti controlli si svolgeranno con modalità tali da non interferire con la regolare attività del Responsabile.
4.2 Il Responsabile tiene traccia dell’accesso ai dati e delle operazioni svolte dalle “Persone autorizzate” e fornisce le evidenze al Titolare nel caso in cui quest’ultimo ne faccia richiesta.
4.3 Il Responsabile si impegna ad informare per iscritto il Titolare, qualora lo richieda, circa lo stato di applicazione delle procedure ed istruzioni impartite e, in ogni caso di necessità, a segnalargli l’opportunità di intervento, consentendo e contribuendo alle attività di revisione dallo stesso realizzate.
ART. 5
Registro dei trattamenti e nomina RPD
5.1 Il Responsabile tiene il registro di tutte le categorie di attività relative al trattamento svolto per conto del Titolare contenente gli elementi di cui all’art. 30, paragrafo 2, del Regolamento UE.
5.2 Il Responsabile, se ricorrono i presupposti, procede alla designazione del Responsabile della protezione dei dati ai sensi dell’art. 37 del Regolamento UE, comunicandone gli estremi e i dati di contatto al Titolare.
ART. 6
Comunicazione e diffusione dei dati
6.1 Il Responsabile, al di fuori dei casi previsti da specifiche norme di legge, non può comunicare e/o diffondere dati senza l’esplicita autorizzazione del Titolare.
ART. 7
Obblighi di collaborazione con il Titolare
7.1 Il Responsabile si impegna a comunicare tempestivamente al Titolare qualsiasi richiesta di esercizio dei diritti dell’interessato, ricevuta ai sensi degli artt. 15 e seguenti del Regolamento UE, per consentirne l'evasione nei termini previsti dalla legge, e ad avvisarlo immediatamente in caso di ispezioni, di richiesta di informazioni e di documentazione da parte del Garante, fornendo, per quanto di competenza, il supporto eventualmente richiesto.
7.2 Il Responsabile, a norma dell’art. 33, paragrafo 2, del Regolamento, deve informare senza ritardo il Titolare, fornendo ogni informazione utile, in caso di violazione dei dati o incidenti informatici eventualmente occorsi nell’ambito dei trattamenti effettuati per conto dell’Istituto, che possano avere un impatto significativo sui dati personali, in modo che l’Istituto medesimo adempia, nei termini prescritti, alla dovuta segnalazione di c.d. “data breach” al Garante per la protezione dei dati personali in osservanza di quanto disposto nel Provvedimento n. 393 del 2 luglio 2015.
7.3 Il Responsabile, tenendo conto della natura del trattamento e delle informazioni di cui dispone, deve assistere il Titolare nel garantire il rispetto di tutti gli obblighi di cui agli artt. da 32 a 36 del Regolamento. In particolare, conformemente all’art. 28, paragrafo 3, lett. f) del Regolamento, deve assistere il Titolare nell’esecuzione della valutazione d’impatto sulla protezione dei dati e fornire tutte le informazioni necessarie.
7.4 Il Responsabile collabora con il Titolare ponendo in essere tutte le attività necessarie in caso di proposizione da parte dell’interessato di un di Reclamo all’Autorità di controllo ai sensi dell’art. 77 del Regolamento UE, ovvero di un Ricorso giurisdizionale effettivo nei confronti dell’Autorità di controllo o del Titolare del trattamento o del Responsabile del trattamento ai sensi degli artt. 78 e 79 del Regolamento UE e disponendo l'organizzazione interna per l'eventuale modifica, rettifica, integrazione e cancellazione dei dati, nonché il blocco del trattamento, ove venisse disposto dal Garante o dall'Autorità Giudiziaria;
7.5 Il Responsabile, in caso di trasferimento di dati personali verso un Paese terzo o un'organizzazione internazionale ai sensi del diritto dell'Unione o nazionale, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico, si impegna ad informare il Titolare del trattamento circa tale obbligo giuridico prima di procedere.
ART. 8
Ulteriori disposizioni
8.1 Il Responsabile adotta tutte le necessarie misure e gli accorgimenti circa le funzioni di “amministratori di sistema” in conformità al Provvedimento Generale del Garante del 27 novembre 2008, così come modificato in base al provvedimento del 25 giugno 2009; in particolare, designa individualmente per iscritto gli “amministratori di sistema” (e funzioni assimilate), con elencazione analitica degli ambiti di operatività consentiti in base al profilo di autorizzazione assegnato, attribuendo tali funzioni previa valutazione dell'esperienza, della capacità e dell'affidabilità del soggetto designato. Il Responsabile conserva l’elenco degli amministratori di sistema, con gli estremi identificativi e le funzioni loro attribuite e, qualora richiesto, comunica tale elenco al Titolare.
8.2 Il Responsabile archivia, custodisce e conserva i dati personali oggetto del trattamento
– ivi inclusi i documenti elettronici – per tutta la durata del Contratto, fatto salvo il rispetto di eventuali termini di legge stabiliti per alcune categorie di dati e/o documenti. I dati conferiti all’Istituto saranno da questo conservati per il periodo indicato dal vigente Massimario di conservazione e scarto dell'INPS.
8.3 Il Responsabile restituisce – una volta che siano state esaurite le prestazioni per le quali i dati sono stati trasferiti o resi accessibili e, in ogni caso, alla cessazione, per qualsivoglia motivo, del Contratto – i dati ricevuti in esecuzione del suddetto rapporto e provvede, con le modalità a tal fine predisposte dal Garante, alla loro effettiva cancellazione
dai propri supporti, salvo diversa indicazione scritta del Titolare, pervenuta prima del citato termine di 30 giorni, e fatti salvi specifici obblighi di legge (es.: obblighi di carattere fiscale).
ART. 9
Disposizioni finali
9.1 Salvo quanto stabilito nel Contratto, l’Istituto si riserva la facoltà di risolvere il Contratto in parola ai sensi dell’art. 1456 del Cod. Civ., con revoca immediata della nomina in oggetto, in caso di inosservanza da parte dell’operatore:
• delle disposizioni di legge in materia di protezione dei dati personali;
• del divieto di comunicazione e di diffusione dei dati personali, nonché dell’obbligo di non trattare i dati oggetto del Contratto per finalità diverse da quelle previste dal Contratto medesimo;
• delle sopra riportate istruzioni;
• di perdita, da parte del Responsabile del trattamento, dei requisiti di cui all’art. 29 del Codice e all’art. 28 del Regolamento UE;
9.2 Ove una delle Parti sia ritenuta responsabile di una violazione di legge o delle clausole e/o delle istruzioni operative contenute nel presente Atto di designazione, dovrà, nei limiti delle responsabilità accertate, indennizzare l’altra parte per ogni costo, onere o danno subiti.
9.3 Il presente Atto non comporta alcun onere aggiuntivo a carico dell’Istituto. Le spese per la stipulazione del presente Atto ed ogni relativo onere fiscale sono poste ad esclusivo e totale carico dell’Appaltatore, fatte salve le sole tasse e imposte - a carico dell’Istituto - nelle percentuali di legge. In proposito, l’incaricato dichiara di essere a conoscenza che, in base al contratto d’appalto, l’appaltatore si è impegnato, nei confronti dell’Inps, a sostenere direttamente ogni e qualsiasi onere e spesa conseguente, anche a titolo di corrispettivo, rimborso, contributo o imposta, all’attività prestata dall’incaricato, dovendosi intendere che tali eventuali oneri, spese, corrispettivi, contributi, imposte e quant’altro sono integralmente compresi e coperti dal corrispettivo d’appalto, con manleva dell’Istituto, da parte dell’appaltatore, da eventuali pretese e azioni del medesimo incaricato e da ogni onere o spesa conseguente.
9.4 Con la sottoscrizione del presente Atto, il Responsabile accetta la nomina, attenendosi alle istruzioni ivi indicate nonché al rispetto delle disposizioni di legge e ad ogni altra normativa vigente in materia di protezione di dati personali.
9.5 Salvo diversa pattuizione, il presente Atto di Nomina cesserà, comunque, di produrre i propri effetti al termine dell’erogazione del lavoro/servizio/fornitura oggetto del Contratto.
9.6. Per tutto quanto non espressamente previsto nel presente atto e nel Contratto, si rinvia alle disposizioni generali vigenti in materia di protezione dei dati personali.
9.7 Tutte le comunicazioni in materia, ai fini del presente Xxxx, dovranno essere inoltrate all’Istituto all’indirizzo rispettivamente indicato nell’apposito articolo del contratto e secondo le modalità ivi descritte. Allo stesso indirizzo dovrà essere restituito il presente Atto di designazione debitamente sottoscritto per accettazione.
Il Titolare
Il Responsabile
Firma per accettazione