ALLEGATO 2
ALLEGATO 2
Oggetto: Accordo di designazione tra il Titolare del Trattamento e il Responsabile del Trattamento
Ente/Azienda:
con sede legale in: Via
CAP: NNNNN, CITTÀ: XXXXX,
Partita Iva n. 12345678901,
in qualità di Titolare del Trattamento (di seguito anche Titolare) ha deciso di avvalersi di soggetti esterni nell’attività di trattamento di dati personali, affidando ad essi determinate attività che restano nella sfera della sua titolarità e che non comportano decisioni sulle finalità e sulle modalità di utilizzazione dei dati. Pertanto, il Titolare
DESIGNA
Azienda/Ente:
con sede legale in: Via
CAP: NNNNN, CITTÀ: XXXXX,
Partita Iva n. 12345678901,
a Responsabile del Trattamento (di seguito anche Responsabile) ai sensi dell’Articolo 28 del Regolamento UE 2016/679 (di seguito anche GDPR)
Il Responsabile è stato designato a seguito delle disposizioni urgenti in relazione all’emergenza sul territorio nazionale relativo al rischio sanitario connesso all’insorgenza di patologie derivanti da agenti virali trasmissibili e deve operare nel rispetto dei principi di cui all’art. 5 del Regolamento (UE) 2016/679 avendo riguardo all’esigenza di contemperare la funzione di salvaguardia della salute pubblica e di necessità, con quella afferente la salvaguardia della riservatezza degli interessati
1. Premessa dell'accordo sul trattamento dei dati
Il presente Accordo sul trattamento dei dati stabilisce i diritti e gli obblighi che si applicano al trattamento dei dati personali da parte del Responsabile del trattamento per conto del Titolare.
Il presente accordo è stato progettato per garantire la conformità delle parti all'articolo 28 del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla tutela delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (GDPR), che stabilisce requisiti specifici per il contenuto degli accordi sul trattamento dei dati.
Il presente Accordo sul trattamento dei dati non esonera il Responsabile del trattamento da alcun vincolo a cui il Responsabile del trattamento è soggetto in base al Regolamento generale sulla protezione dei dati o ad altre normative comunitarie o nazionali.
2. I diritti e gli obblighi del Titolare
Il Titolare del trattamento è responsabile nei confronti degli interessati e deve garantire che il trattamento dei dati personali avvenga nell'ambito del Regolamento generale sulla protezione dei dati e del Codice in materia di protezione dei dati d.lgs. 196/2003
Il Titolare del trattamento deve pertanto avere sia il diritto che l'obbligo di prendere decisioni in merito alle finalità e ai mezzi di trattamento dei dati personali.
Il Titolare del trattamento ha la responsabilità di garantire che il trattamento di cui è incaricato il Responsabile del Trattamento sia conforme alle norme di legge.
3. Il Responsabile del Trattamento dei dati agisce secondo le istruzioni
Il Responsabile del trattamento dei dati è autorizzato a trattare i dati personali solo su istruzioni documentate del Titolare del trattamento a meno che il trattamento non sia richiesto dalla legislazione europea o nazionale a cui è soggetto il Responsabile del trattamento; in tal caso, il Responsabile del trattamento dei dati informa il Titolare del trattamento di questo requisito legale prima del trattamento, a meno che la legge non vieti tali informazioni per importanti motivi di interesse pubblico, cfr. Articolo 28, sottosezione 3, comma a. Tali istruzioni sono specificate nelle appendici A e C. Ulteriori istruzioni possono essere fornite anche dal Titolare per tutta la durata del trattamento dei dati personali, ma tali istruzioni devono sempre essere documentate e conservate in forma scritta, anche in formato elettronico.
Il Responsabile del trattamento informa immediatamente il Titolare del trattamento se, a suo parere, alcune istruzioni contravvengono al regolamento generale sulla protezione dei dati o ad altre disposizioni contenute in altre normative comunitarie o nazionali.
4. Riservatezza
Il Responsabile del trattamento dei dati garantisce che solo le persone che sono autorizzate, anche verbalmente, possano accedere ai dati personali trattati per conto del Titolare. L'accesso ai dati dovrebbe pertanto essere negato senza indugio se tale autorizzazione viene rimossa o scade.
Sono considerate autorizzate le persone che richiedono l'accesso ai dati personali per adempiere all'obbligo del Responsabile del trattamento nei confronti del Titolare del trattamento.
Il Responsabile del trattamento garantisce al Titolare che gli Addetti al trattamento dei dati personali da lui designati sono vincolati al più stretto riserbo sulla base di atti negoziali (es. codici di condotta interni, accordi di riservatezza specifici, ecc.) o disposizioni normative previste dal diritto dell’Unione o dal diritto nazionale cui il Responsabile e gli Addetti al trattamento dei dati personali sono soggetti, inoltre hanno accesso solo ai dati che hanno necessità di conoscere.
Il Responsabile del trattamento dei dati deve, su richiesta del Titolare, essere in grado di dimostrare che i dipendenti interessati sono soggetti alla riservatezza di cui al punto precedente.
5. Sicurezza del trattamento
Il responsabile del trattamento dei dati adotta tutte le misure richieste ai sensi dell'articolo 32 del regolamento generale sulla protezione dei dati, che stabilisce che, tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio
Il suddetto art. 32 pone in capo al Responsabile l’obbligo di eseguire una valutazione del rischio e, a seguito, l’implementazione di misure tali da contrastare il rischio identificato. Se del caso, le misure possono comprendere quanto segue:
a. la pseudonimizzazione e la cifratura dei dati personali;
b. la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c. la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;
d. una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Il Responsabile del trattamento garantisce quanto sopra in tutti i casi.
6. Utilizzo di sub-responsabili del trattamento
Il responsabile del trattamento non può utilizzare sub responsabili del trattamento.
7. Trasferimento di dati verso paesi terzi o organizzazioni internazionali
Il Responsabile del trattamento non è autorizzato al trasferimento di dati personali verso paesi terzi o organizzazioni internazionali.
8. Assistenza al Titolare del trattamento
Il Responsabile, tenuto conto della natura del trattamento, assiste, per quanto possibile, il Titolare con adeguate misure tecniche e organizzative, nell'adempimento dell'obbligo del Titolare di rispondere alle richieste di esercizio delle persone interessate "diritti” di cui al capitolo 3 del regolamento generale sulla protezione dei dati.
Ciò implica che il Responsabile del trattamento dovrebbe, per quanto possibile, assistere il Titolare nelle seguenti attività:
a) Informare gli interessati, ai sensi dell’art. 13 del GDPR, prima della raccolta di dati personali;
b) Informare gli interessati, ai sensi dell’art. 14 del GDPR, se i dati personali non sono stati ottenuti direttamente dall'interessato;
c) Gestire le richieste degli interessati sul:
a. diritto di accesso;
b. diritto alla rettifica
c. diritto alla cancellazione ("il diritto all'oblio")
d. diritto di limitare l'elaborazione
e. diritto alla portabilità dei dati
f. diritto di opposizione
g. diritto di opporsi al risultato di processi decisionali individuali automatizzati, compresa la profilazione
d) Informare l’interessato in merito alla rettifica o alla cancellazione dei dati personali o alla limitazione del trattamento.
Il Responsabile del trattamento assiste il Titolare nel garantire il rispetto degli obblighi ai sensi degli articoli 32-36 del Regolamento generale sulla protezione dei dati, tenendo conto della natura del trattamento e dei dati resi disponibili al Responsabile del trattamento, cfr. Articolo 28, sottosezione 3, comma f.
Ciò implica che il Responsabile del trattamento dei dati dovrebbe, per quanto possibile, tenendo conto della natura del trattamento, assistere il Titolare nelle seguenti attività:
a) Attuare adeguate misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio associato al trattamento;
b) Denunciare le violazioni dei dati personali all'autorità di controllo (Autorità Garante per la protezione dei dati) senza indebito ritardo e, se possibile, entro 72 ore dal momento in cui il Titolare rileva tale violazione a meno che, sia improbabile che la violazione dei dati personali comporti un rischio per i diritti e le libertà delle persone fisiche;
c) Informare l’interessato - senza indebito ritardo - della violazione dei dati personali quando è probabile che tale violazione comporti un rischio elevato per i diritti e le libertà delle persone fisiche;
d) Svolgere una valutazione d' impatto sulla protezione dei dati, se un tipo di trattamento può comportare un rischio elevato per i diritti e le libertà delle persone fisiche;
e) Consultare l'autorità di controllo (Autorità Garante per la protezione dei dati) prima dell'elaborazione, se la valutazione d'impatto sulla protezione dei dati mostra che il trattamento comporterà un rischio elevato e in mancanza di misure idonee a limitare il rischio.
9. Notifica di violazione dei dati personali
In caso di identificazione di una violazione di dati personali presso le strutture del Responsabile del trattamento dei
dati o di un sub-responsabile, il Responsabile informa il Titolare con prontezza fornendo le opportune informazioni (secondo le informazioni richieste dall’Autorità Garante al momento dell’indicente).
La notifica del Responsabile del trattamento al Titolare deve, se possibile, avvenire entro al massimo 48 h dopo che il Responsabile del trattamento ha individuato la violazione per consentire al Titolare di adempiere al proprio obbligo, se applicabile, di denunciare la violazione all’Autorità Garante entro 72 ore.
Secondo la clausola 8 del presente Accordo, il Responsabile del trattamento dei dati, tenendo conto della natura del trattamento e dei dati disponibili, assiste il Titolare nel segnalare la violazione all'autorità di controllo. Ciò può significare che il Responsabile del trattamento dei dati è tenuto a fornire assistenza per ottenere le informazioni che, in conformità con l'articolo 33, sottosezione 3 del Regolamento generale sulla protezione dei dati, devono essere dichiarate nella relazione del Titolare del trattamento all'autorità di controllo (e almeno):
a) La natura della violazione dei dati personali, inclusi, se possibile, le categorie e il numero approssimativo di interessati e le categorie e il numero approssimativo di record di dati personali interessati;
a) Probabili conseguenze di una violazione dei dati personali;
b) Misure adottate o proposte per gestire la violazione dei dati personali, comprese, se del caso, misure per limitare il suo possibile danno.
10. Cancellazione e restituzione dei dati
Alla cessazione del servizio, il Responsabile del trattamento è tenuto a cancellare tutti i dati personali in suo possesso a meno che il diritto dell'UE o il diritto nazionale non richiedano la conservazione obbligatoria.
11. Entrata in vigore
Il presente Accordo sul trattamento dei dati entrerà in vigore alla data della firma da entrambe le Parti.
Entrambe le Parti hanno il diritto di richiedere la rinegoziazione del presente Accordo sul trattamento dei dati qualora le modifiche alla legge o l'inesattezza delle disposizioni contenute nel presente documento comportino tale rinegoziazione.
12. Responsabilità
Il Responsabile risponde ai sensi degli artt. 2043 e 2049 c.c. per qualsiasi danno cagionato al Titolare o a terzi derivante da atti, fatti o omissioni posti in essere in violazione delle disposizioni del GDPR e delle altre disposizioni in materia di protezione dei dati personali, anche da parte delle persone autorizzate e dagli amministratori di sistema. In particolare, il Responsabile risponde per i danni derivanti dal trattamento qualora abbia agito in modo difforme o contrario alle legittime istruzioni del Titolare.
13. Richieste degli interessati
Su espressa richiesta del Titolare, nella misura in cui ciò sia possibile, il Responsabile fornisce riscontro alle eventuali istanze degli interessati nei termini previsti dal GDPR. Il Responsabile prima di provvedere sottopone al Titolare la risposta da fornire in merito al trattamento dei dati
14. Punti di contatto del titolare del trattamento e del responsabile del trattamento
posizione:
Numero di Telefono:
E-mail:
Nome E Cognome:
posizione:
Numero di Telefono:
E-mail:
Le Parti saranno costantemente obbligate a informarsi reciprocamente delle modifiche al contatto / punto di contatto.
Per accettazione dell'incarico Il Responsabile del trattamento
Il titolare del trattamento