Accordo per la designazione quale Responsabile del trattamento dei dati personali ai sensi del Regolamento U.E. 679/2016
ALLEGATO N. 9
Accordo per la designazione quale Responsabile del trattamento dei dati personali ai sensi del Regolamento U.E. 679/2016
1. In esecuzione dell’affidamento del servizio di copertura assicurativa, l’operatore economico
effettua trattamento di dati personali di titolarità del Comune di Riccione.
2. In virtù di tale trattamento, le Parti stipulano l’Accordo che segue al fine di disciplinare oneri e responsabilità in aderenza al Regolamento (UE) del Parlamento e del Consiglio europeo n. 2016/679 (di seguito, anche “GDPR”) e da ogni altra normativa applicabile.
3. L’operatore economico affidatario è, pertanto, designato dal Comune di Riccione quale Responsabile del trattamento dei dati personali ai sensi e per gli effetti dell’art. 28 del Regolamento, per il trattamento denominato “Contenziosi - Patrimonio”, e per tale motivo si obbliga a dare esecuzione al contratto suindicato conformemente a quanto previsto dall’Accordo che segue.
4. Le Parti riconoscono e convengono che il rispetto delle istruzioni di cui all’Accordo, nonché alle prescrizioni della normativa applicabile, non producono l’insorgere di un diritto in capo al Responsabile del trattamento al rimborso delle eventuali spese che lo stesso potrebbe dover sostenere per conformarsi.
Sicurezza e riservatezza
1. L’operatore economico ha l’obbligo di mantenere riservati i dati e le informazioni, ivi comprese quelle che transitano per le apparecchiature di elaborazione dati, di cui venga in possesso e comunque a conoscenza, anche tramite l'esecuzione del contratto, di non divulgarli in alcun modo e in qualsiasi forma, di non farne oggetto di utilizzazione a qualsiasi titolo per scopi diversi da quelli strettamente necessari all’esecuzione del Contratto e di non farne oggetto di comunicazione o trasmissione senza l'espressa autorizzazione dell'Amministrazione.
2. L’obbligo di cui al precedente comma sussiste, altresì, relativamente a tutto il materiale originario o predisposto in esecuzione del Contratto.
3. L’obbligo di cui ai commi 1 e 2 non concerne i dati che siano o divengano di pubblico dominio.
4. L’operatore economico è responsabile per l’esatta osservanza da parte dei propri dipendenti, consulenti e collaboratori, nonché di subappaltatori e dei dipendenti, consulenti e collaboratori di questi ultimi, degli obblighi di segretezza di cui ai punti 1, 2 e 3 e risponde nei confronti della Committente per eventuali violazioni dell’obbligo di riservatezza commesse dai suddetti soggetti.
5. L’operatore economico può utilizzare servizi di cloud pubblici ove memorizzare i dati e le informazioni trattate nell'espletamento dell'incarico affidato, solo previa autorizzazione del Comune di Riccione.
6. In caso di inosservanza degli obblighi descritti nei punti da 1 a 5, l’Amministrazione ha facoltà di dichiarare risolto di diritto il Contratto, fermo restando che l’operatore economico sarà tenuto a risarcire tutti i danni che ne dovessero derivare.
7. L’operatore economico potrà citare i termini essenziali del Contratto nei casi in cui fosse condizione necessaria per la partecipazione dell’operatore economico stesso a gare e appalti, previa comunicazione all’Amministrazione delle modalità e dei contenuti di detta citazione.
xxxxx X. Xxxxxxxx XX, 0 - 00000 Xxxxxxxx (XX)
T x00 0000 00 00 00 - F x00 0000 00 00 00
e-mail xxxxxxxxxx@xxxxxx.xxxxxxxx.xx.xx - sito xxx.xxxxxx.xxxxxxxx.xx.xx PEC xxxxxx.xxxxxxxx@xxxxxxxxx.xx – C.F./P.IVA 00324360403
pag. 1 di 7
8. Sarà possibile ogni operazione di auditing da parte della Amministrazione attinente le procedure adottate dal Contraente in materia di riservatezza e degli altri obblighi assunti dal presente accordo.
9. L’operatore economico non potrà conservare copia di dati e programmi dell’ Amministrazione, né alcuna documentazione inerente ad essi dopo la scadenza del Contratto e dovrà, su richiesta, ritrasmetterli all'Amministrazione.
1. Premesse
Il presente accordo costituisce allegato parte integrante del contratto siglato tra il Comune di Riccione e l’operatore economico, soggetto esterno designato Responsabile del trattamento di dati personali ai sensi dell’art. 28 del GDPR.
Il presente Accordo si compone delle clausole di seguito rappresentate e dal Documento 1: Glossario
Le Parti convengono quanto segue:
2. Trattamento dei dati nel rispetto delle istruzioni dell’Ente
2.1 Il Responsabile del trattamento, relativamente a tutti i Dati personali che tratta per conto del Comune di Riccione garantisce che:
2.1.1 tratta tali Dati personali solo ai fini dell’esecuzione dell’oggetto del contratto, e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite dal Comune di Riccione
2.1.2 non trasferisce i Dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte dal Comune di Riccione e a fronte di quanto disciplinato nel presente accordo;
2.1.3 non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico dal Comune di Riccione, financo per trattamenti aventi finalità compatibili con quelle originarie;
2.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà il Comune di Riccione se, a suo parere, una qualsiasi istruzione fornita dallo stesso si ponga in violazione di Normativa applicabile;
2.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:
1. procedure idonee a garantire il rispetto dei diritti e delle richieste formulate all’Ente dagli interessati relativamente ai loro dati personali;
2. procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta del Comune di Riccione dei dati personali di ogni interessato;
3. procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta del Comune di Riccione;
4. procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta del Comune di Riccione.
5. Il Responsabile del trattamento deve garantire e fornire al Comune di Riccione cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
6. Il Responsabile del trattamento, anche nel rispetto di quanto previsto all’art. 30 del Regolamento, deve mantenere e compilare e rendere disponibile a richiesta della stessa, un registro dei trattamenti dati personali che riporti tutte le informazioni richieste dalla norma.
7. Il Responsabile del trattamento assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 del GDPR che il Comune di Riccione intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le
libertà delle persone fisiche.
3. Le misure di sicurezza
3.1 Il Responsabile del trattamento deve conservare i dati personali garantendo la separazione di tipo logico dai dati personali trattati per conto di terze parti o per proprio conto.
3.2 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento.
3.3 Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Comune di Riccione, con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.
4. Analisi dei rischi, privacy by design e privacy by default
4.1 Con riferimento agli esiti dell’analisi dei rischi effettuata dal Comune di Riccione sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dal Comune di Riccione per affrontare eventuali rischi identificati.
4.2 Il Responsabile del trattamento dovrà consentire al Comune di Riccione, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento
stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
4.3 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
4.4 Il Responsabile del trattamento dà esecuzione al contratto in aderenza alle policy di privacy by design e by default adottate dal Comune di Riccione e specificatamente comunicate.
5. Soggetti autorizzati ad effettuare i trattamenti - Designazione
5.1 Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto del Comune di Riccione.
5.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica.
5.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nel Contratto di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
6. Sub-Responsabili del trattamento di dati personali
6.1 Nell’ambito dell’esecuzione del contratto, il Responsabile del trattamento è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), previa informazione del Comune di Riccione ed imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo.
6.2 Su specifica richiesta del Comune di Riccione, il Responsabile del trattamento dovrà provvedere a che ogni SubResponsabile sottoscriva direttamente con il Comune di Riccione un accordo di trattamento dei dati che, a meno di ulteriori e specifiche esigenze, preveda sostanzialmente gli stessi termini del presente Accordo.
6.3 In tutti i casi, il Responsabile del trattamento si assume la responsabilità nei confronti del Comune di Riccione per qualsiasi violazione od omissione realizzati da un Sub-Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Responsabile del trattamento abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni.
7. Trattamento dei dati personali al di fuori dell’area economica europea
7.1 Il Comune di Riccione non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
8. Cancellazione dei dati personali
8.1 Il Responsabile del trattamento, a richiesta del Titolare, provvede alla restituzione o cancellazione dei dati personali trattati per l’esecuzione del presente contratto al termine dell’affidamento o del periodo di conservazione e in qualsiasi circostanza in cui sia richiesto dal Comune di Riccione, compresa l’ipotesi in cui la stessa debba avvenire per dare seguito a specifica richiesta da parte di interessati.
9. Audit
9.1 Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy da parte del Comune di Riccione.
9.2 L’esperimento di tali audit non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.
10. Indagini dell’Autorità e reclami
10.1 Nei limiti della normativa applicabile, il Responsabile del trattamento o qualsiasi SubResponsabile informa senza alcun indugio il Comune di Riccione di qualsiasi
a. richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine
b. istanza ricevuta da soggetti interessati
Il Responsabile del trattamento fornisce, in esecuzione del contratto e, quindi, gratuitamente, tutta la dovuta assistenza al Comune di Riccione per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamentari applicabili.
11. Violazione dei dati personali e obblighi di notifica
11.1 Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del Regolamento, deve comunicare a mezzo di posta elettronica certificata al Comune di Riccione nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri SubResponsabili.
Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a
a) descrivere la natura della violazione dei dati personali
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi
11.2 Il Responsabile del trattamento deve fornire tutto il supporto necessario al Comune di Riccione ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con il Comune di Riccione, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto del Comune di Riccione.
12. Responsabilità e manleve
12.1 Il Responsabile del trattamento tiene indenne e manleva il Comune di Riccione da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.
12.2 A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Responsabile del trattamento:
12.2.1 avverte, prontamente ed in forma scritta, il Comune di Riccione del Reclamo
12.2.2 non fornisce dettagli al reclamante senza la preventiva interazione con il Comune di Riccione
12.2.3 non transige la controversia senza il previo consenso scritto del Comune di Riccione;
12.2.4 fornisce al Comune di Riccione tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.
Documento 1 GLOSSARIO
“Garante per la protezione dei dati personali”: è l’autorità di controllo responsabile per la protezione dei dati personali in Italia;
“Dati personali ”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“GDPR” o “Regolamento”: si intende il Regolamento UE 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018;
“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali , incluso il Regolamento Privacy UE 2016/679 (GDPR) ed ogni provvedimento del Garante per la protezione dei dati personali e del WP Art. 29.
“Appendice Security”: consiste nelle misure di sicurezza che il Titolare determina assicurando un livello minimo di sicurezza, e che possono essere aggiornate ed implementate dal Titolare, di volta in volta, in conformità alle previsioni del presente Accordo;
“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento
“Pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile
L’operatore economico | Firma del legale rappresentante | |
Comune di Riccione | Dott.ssa Xxxxxx Xxxxxxxxx |
Documento prodotto in originale informatico e firmato digitalmente ai sensi dell’art. 20 del Codice dell’Amministrazione Digitale (D.Lgs. n° 82/2005 e s.m.i.)