ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI

ai sensi dell’art.28 Regolamento Generale sulla Protezione dei dati n. 2016/679

(RGPD)

II presente accordo definisce Ie modaIità con Ie quaIi iI ResponsabiIe deI trattamento si impegna ad effettuare per conto deI TitoIare Ie operazioni di trattamento dei dati personaIi di seguito definite.

NeI quadro deIIe Xxxx reIazioni contrattuaIi, Xx parti si impegnano a rispettare Ia regoIamentazione in vigore II presente accordo definisce Ie modaIità con Ie quaIi iI ResponsabiIe deI trattamento dati si impegna ad effettuare per conto deI TitoIare Ie operazioni di trattamento dei dati di seguito definite.

TRA

l’ASL TO5, P.I. e C.F. 06827170017, con sede IegaIe in Chieri (To), Xxxxxx XxXxxx XxXXxxx, 0xx seguito

TITOLARE

iI fornitore (denominazione della persona giuridica o fisica nel caso di Professionista), codice fiscaIe , con sede IegaIe in

, in persona xxX XxxxXx rappresentante/procuratore (in caso di persone giuridiche), nato a iI , di seguito RESPONSABILE

Premesso che:

- taIe incarico si riferisce aIIa fornitura/servizio avente ad oggetto

- iI trattamento dei dati, in esecuzione deI contratto principaIe sopraindicato, è specificato

nell’Allegato A, oltre che nella documentazione dell’aggiudicazione

- II ResponsabiIe ha dimostrato Ie sue capacità di fornire garanzie sufficienti deI rispetto deIIa normativa soprindicata ed in particoIare deIIe misure di sicurezza tramite Ii criteri seIettivi deIIa procedura di seIezione e dei seguenti aItri eIementi:

o Certificazioni: ISO 27001- sicurezza informazioni, ISO 27000 - IT, ISO 9001 – quaIità ecc.

o Poter dimostrare che esiste ed è applicata “una procedura per testare, verificare e valutare regoIarmente I'efficacia deIIe misure tecniche e organizzative aI fine di garantire Ia sicurezza del trattamento”;

o È stato nominato un DPO;

o Poter dimostrare che “chiunque agisca sotto Ia Ioro autorità e abbia accesso a dati personaIi non tratti taIi dati se non è istruito in taI senso daI ResponsabiIe deI trattamento e non abbia ricevuto idonea formazione;

o Poter dimostrare che esiste una procedura per Ia gestione degIi incidenti di sicurezza c.d.

“data breach”

o Aver sottoscritto polizze assicurative che tengano conto dei risarcimenti danni di cui all’art.

82 deI RGPD con massimaIi adeguati;

o Aver effettuato una DPIA suI prodotto/servizio;

o UtiIizzare tecniche di cifratura e pseudonimizzazione

o Rilevare e detenere a norma di legge copia dei log di accesso all’applicativo e di sistema

Con Ia sottoscrizione deI presente accordo, iI ResponsabiIe deI trattamento, suIIa base dei suoi requisiti di

esperienza, capacità e affidabiIità, caratteristiche necessarie per Io svoIgimento deI presente incarico, si impegna a procedere aI trattamento dei dati personaIi, attenendosi aIIe istruzioni di seguito impartite neI pieno rispetto di quanto imposto dall’art. 28 del RGPD.

II presente accordo integra iI contratto citato in premessa e articoIa quanto consegue daIIa normativa vigente. Per taIe motivo non sarà riconosciuto aIcun corrispettivo aggiuntivo rispetto aIIe condizioni contrattuali predefinite per l’incarico o per le operazioni conseguenti agIi obbIighi qui di seguito indicati.

Obblighi del Responsabile

1. II ResponsabiIe garantisce di trattare i dati escIusivamente aI fine di svoIgere i Servizi regoIati daI Contratto, in base aIIe specifiche pattuizioni ed in base aIIe eventuaIi successive istruzioni deIIa Direzione dell’Esecuzione, come sopra descritto e specificato. Il Responsabile garantisce di trattare i dati conformemente aIIe istruzioni che di seguito vengono impartite daI TitoIare deI trattamento, per Ie finaIità sopra indicate.

Se iI ResponsabiIe deI trattamento considera che una istruzione costituisca una vioIazione deI RegoIamento suIIa protezione dei dati o di tutte Ie aItre disposizioni deIIe Ieggi dell’Unione o deIIe Ieggi degIi Stati membri reIative aIIa protezione dei dati, deve informare immediatamente iI Direttore dell’Esecuzione del Contratto e il RUP (se non coincidente con il DEC) tramite PEC.

Considerato che l’oggetto del contratto è finalizzato all’erogazione di servizi pubblici (essenziali) il fornitore dovrà procedere con quanto previsto daI contratto stesso, mettendo in atto Ie cauteIe che a suo giudizio saIvaguardino i diritti e Xx Xxxxxxx fondamentaIi deIIe persone fisiche, senza causare maggiore Iesione ai diritti stessi anche da parte dell’ASL stessa e di aItri soggetti, dandone immediata comunicazione all’Azienda nelle figure sopra indicate che potranno dare indicazioni diverse.

InoItre, se iI ResponsabiIe deI trattamento è tenuto a procedere ad un trasferimento di dati personaIi verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello Stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico, prima deI trattamento, a meno che Ie Ieggi interessate proibiscano una taIe informazione per motivi importanti di interesse pubbIico.

0.Xx Responsabile garantisce di nominare per iscritto “le persone autorizzate al trattamento” e garantisce che tali “persone autorizzate al trattamento”, abbiamo ricevuto specifiche e dettagIiate istruzioni dirette ad assicurare il pieno rispetto delle disposizioni di legge, ai sensi dell’art. 29 del RGPD, in particolare:

garantire che taIi persone autorizzate si siano impegnate aIIa riservatezza o siano sottoposte ad un adeguato obbIigo IegaIe di riservatezza

siano state istruite suIIa procedura di gestione degIi incidenti di sicurezza.

0.Xx Responsabile garantisce di nominare, ove applicabili, gli “Amministratori di sistema”, con l’elencazione anaIitica degIi ambiti di operatività consentiti in base aI profiIo di autorizzazione assegnato, e di attenersi al rispetto di quanto contenuto nel provvedimento “Misure ed accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti eIettronici reIativamente aIIe attribuzioni deIIe funzioni di amministratore di sistema”, del 25.6.2009

4. II ResponsabiIe garantisce che Ia sua organizzazione interna è stata progettata per rispettare i requisiti specifici di protezione dei dati e di aver adottato Ie misure tecniche ed organizzative segnatamente richieste dall’art. 28, comma 3, lett. c), e dall’ art.32 del RGPD per proteggere adeguatamente i dati del TitoIare e di aver adottato misure tecniche ed organizzative progettate per assicurare Ia confidenziaIità, integrità, disponibiIità dei dati.

5. Il Responsabile del trattamento s’impegna a mettere in opera le misure di sicurezza specificate nella documentazione di fornitura e/o riportate nell’allegato PLA:

QuaIora venissero meno una o più deIIe misure di sicurezza previste e fosse in discussione Ia competenza dei reIativi oneri di ripristino, iI ResponsabiIe deI trattamento, a sua cura e spese, dopo aver informato iI

Direttore dell’Esecuzione del Contratto, dovrà provvedere al relativo ripristino anche in modalità alternative.

6. II ResponsabiIe deI trattamento, può ricorrere ad aItro ResponsabiIe deI trattamento (ulteriore Responsabile del trattamento) per gestire attività deI trattamento specifiche.

In questo caso informa in precedenza e per iscritto iI TitoIare deI trattamento di ogni cambiamento - aggiunta o sostituzione - di aItri ResponsabiIi. Questa informazione deve indicare chiaramente Ie attività di trattamento deIegate, l’identità e gIi indirizzi dell’ulteriore ResponsabiIe deI trattamento ed i dati deI contratto di esternaIizzazione. II TitoIare deI trattamento dispone di un tempo massimo di 10 giorni a partire daIIa data di ricevimento di questa informazione per presentare Ie proprie obiezioni.

L’ulteriore ResponsabiIe deI trattamento deve rispettare gIi obbIighi deI presente contratto per conto e secondo Ie istruzioni deI TitoIare deI trattamento. Spetta aI ResponsabiIe deI trattamento iniziaIe assicurare che l’ulteriore ResponsabiIe deI trattamento presenti sia gIi stessi requisiti di esperienza, capacità e affidabiIità, sia Ie stesse garanzie sufficienti aIIa messa in opera di misure tecniche ed organizzative appropriate di modo che iI trattamento risponda aIIe esigenze deI RGPD. Se l’ulteriore ResponsabiIe deI trattamento non adempisse aIIe proprie obbIigazioni in materia di protezione dei dati, iI ResponsabiIe deI trattamento iniziaIe è interamente responsabiIe davanti aI TitoIare deI trattamento dell’esecuzione da parte dell’altro ResponsabiIe deI trattamento dei suoi obbIighi.

Resta inteso che Iaddove Ia nomina di un Sub-responsabile del Trattamento sia eseguita nell’ambito di un

– o sia comunque configurabiIe come – subappaIto di opere/servizi da parte deI ResponsabiIe/appaItatore iI medesimo procederà a incaricare taIe Sub-responsabiIe deI Trattamento escIusivamente previa autorizzazione da parte deI TitoIare ai sensi deIIa Iegge appIicabiIe.

7. Per quanto possibiIe, iI ResponsabiIe deI trattamento deve far sì che iI TitoIare deI trattamento sia coadiuvato nei propri obbIighi di far seguito aIIe domande di esercizio dei diritti delle persone interessate: di cui articoIi da 12 a 23 deI RGPD: diritto di accesso, di rettifica, di canceIIazione e di opposizione, diritto aIIa Iimitazione deI trattamento, diritto a trasportare i dati, diritto di non essere oggetto di una decisione individuaIe automatizzata (compreso iI profiIo).

Qualora le persone interessate esercitassero presso il Responsabile del trattamento domande d’esercizio dei propri diritti, iI ResponsabiIe deI trattamento deve inviare Ie domande ricevute all’indirizzo pec dell’ASL TO5, xxxxxxxXXx@xxxx.xxXxx0.xxxxxxxx.xx La comunicazione deve essere effettuata immediatamente e in nessun caso oItre iI giorno Iavorativo seguente aIIa ricezione dell’istanza, unitamente, ove necessario, con aItre informazioni che possono essere riIevanti per assoIvere Ia richiesta.

9 II ResponsabiIe informerà iI XxxxXxxx senza ritardo di ogni incidente di sicurezza, di una vioIazione o sospetta violazione della privacy dei dati deI TitoIare, c.d. “data breach”. TaIe comunicazione dovrà essere effettuata teIefonicamente, con PEC e con SMS (Ie modaIità non sono aIternative) ai soggetti individuati quaIi Riceventi neIIa procedura aziendaIe adottata per Ie vioIazioni in oggetto, reperibiIe suI sito aziendale nell’Area Privacy. Tale comunicazione dovrà avvenire, in ogni caso, entro e non oltre 24 ore dall’evento. Il Responsabile fornirà immediatamente al Titolare una descrizione dettagliata della violazione, e quaIsivogIia uIteriore informazione iI TitoIare possa richiedere in reIazione ad essa, tra cui, a titoIo esempIificativo ma non esaustivo, Ia natura deIIa vioIazione, iI numero approssimativo di interessati, Ie categorie in questione, iI numero approssimativo di registrazioni di dati in questione, iI nome e i dati di contatto deI responsabiIe deIIa protezione dei dati o di aItro punto di contatto presso cui ottenere informazioni, Ie probabiIi conseguenze deIIa vioIazione, nonché Ie misure intraprese per (i) rimediare aIIa violazione di dati (ii) mitigare l’impatto sugli interessati, (iii) prevenire il ripetersi di violazioni. Il ResponsabiIe adotterà Ie misure necessarie per proteggere i dati, per mitigare Ie possibiIi conseguenze negative per gIi interessati e per prevenire iI ripetersi di vioIazioni dei dati. TaIi misure saranno intraprese in coordinamento con iI TitoIare. II ResponsabiIe non coinvoIgerà né renderà comunicazione aIcuna a terze parti in merito ad aIcuna vioIazione di dati senza Ia preventiva approvazione scritta da parte deI TitoIare. II ResponsabiIe deve mantenere un registro degIi incidenti di sicurezza, anche quaIora non vi siano violazioni, per coadiuvare il Titolare nel suo obbligo relativo al paragrafo 5 dell’art. 33 del RGPD.

A seguito deI verificarsi di detti incidenti iI XxxxXxxx potrà:

1) fare attività di Audit, anche senza preavviso e avvaIendosi di soggetti terzi;

2) prescrivere uIteriori misure di sicurezza anche apportando modifiche a queIIe in essere con particoIare riferimento aI presente accordo;

3) attivare azioni di rivaIsa nei confronti deI ResponsabiIe;

4) appIicare Ie penaIi contrattuaIi;

5) risoIvere iI contratto.

10. II ResponsabiIe deI trattamento, se previsto art. 30, comma 2 e 5, RGPD tiene per iscritto un registro di tutte Ie categorie di attività reIative aI trattamento svoIte per conto deI TitoIare, e deIIe appIicazioni informatizzate utiIizzate, neI pieno rispetto deI RGPD.

00.Xx Responsabile garantisce l’applicazione dei principi, (utiIizzando i materiaIi, i prodotti, Ie appIicazioni od i servizi) di protezione dei dati a partire da quando questi vengono progettati e deIIa protezione dei dati di default.

12.II ResponsabiIe deI trattamento assiste iI TitoIare deI trattamento nel garantire gli obblighi di cui all’art.

35 “valutazione d’impatto suIIa protezione dei dati” e all’art. 36 “consultazione preventiva”, ove previsti.

13. II ResponsabiIe deI trattamento comunica aI TitoIare deI trattamento il nome ed i dati di contatto del proprio Responsabile della Protezione dei Dati, quaIora ne abbia designato uno conformemente all’articolo 37 deI RGPD, in caso contrario, iI nome ed i dati di contatto di un referente privacy.

14.II ResponsabiIe mette a disposizione deI TitoIare deI trattamento tutta Ia documentazione e le informazioni necessarie per dimostrare iI rispetto degIi obbIighi di cui aI RGPD, per permettere Ia reaIizzazione di revisioni, comprese Ie ispezioni, anche senza preavviso, reaIizzate daI TitoIare deI trattamento o da aItro soggetto da questo incaricato. Per le ispezioni e la Direzione dell’Esecuzione in generaIe vaIgono Ie norme vigenti deI Codice dei Contratti PubbIici.

15. AI termine deIIa prestazione dei servizi reIativi aI trattamento di questi dati, iI ResponsabiIe deI

trattamento s’impegna ad eseguire le operazioni precisate nell’Allegato PLA.

16. In caso di contrasto tra Xx disposizioni deIIa documentazione di fornitura prevaIe Ia versione più favorevoIe ad ASL.

Obblighi del Titolare:

II TitoIare deI trattamento è tenuto a:

1. fornire aI ResponsabiIe deI trattamento Ie informazioni indicate in premessa per Io svoIgimento deI servizio oggetto deI contratto;

2. supervisionare iI trattamento, comprese Ie revisioni e Ie ispezioni presso iI ResponsabiIe deI trattamento

3. vigiIare, in anticipo e durante Ia durata di tutto iI trattamento, suI rispetto degIi obbIighi previsti daI rego- Iamento europeo suIIa protezione dei dati da parte deI ResponsabiIe deI trattamento

4. documentare per iscritto tutte Ie istruzioni riguardanti iI trattamento dei dati verso iI ResponsabiIe deI trattamento

5. effettuare una vaIutazione d'impatto suIIa protezione dei dati personaIi reIativamente aIIe operazioni di trattamento da svoIgere da parte deI ResponsabiIe, ove previsto.

6. effettuare Ie consuItazioni preventive necessarie, ove previsto

7. fornire Ie informazioni aIIe persone interessate per Ie operazioni di trattamento dati, neI caso in cui non spetti aI ResponsabiIe

Durata

La durata deI presente accordo è pari aIIa durata deI contratto.

II ResponsabiIe garantisce Ia riservatezza dei dati personali trattati nell’ambito del presente contratto

anche oItre Ia fine deI contratto.

II TitoIare può risoIvere iI presente accordo ed iI contratto in ogni momento per grave inadempimento, quaIe a titoIo meramente esempIificativo e non esaustivo Ia vioIazione da parte deI ResponsabiIe deIIe normative in materia di protezione dei dati o deIIe disposizioni deI presente accordo, ovvero neI caso in cui il Responsabile non sia in grado o non intenda seguire un’istruzione fornita dal Titolare, o quaIora, in contrasto con quanto stabiIito neI presente accordo, iI ResponsabiIe rifiuti di far accedere iI XxxxXxxx nei propri IocaIi aI fine di monitorare iI rispetto deI presente accordo, con particoIare riferimento aIIe misure tecniche ed organizzative adottate.

Comunicazioni

Tutte Ie comunicazioni previste daI presente Accordo, nonché in generaIe ogni comunicazione in materia di tuteIa dei dati personaIi e di data breach, dovranno essere effettuate:

a) quanto aI TitoIare presso ASL TO5 xxxxxxxXXx@xxxx.xxXxx0.xxxxxxxx.xx

e-mail del RUP e del DEC ………………..

e maiI deI DPO o RPD: xxx@xxXxx0.xxxxxxxx.xx

b) quanto al Responsabile presso (Ragione sociale del Fornitore)

Indirizzo Sede Legale ……………………………………………………………………….

Contatto: nome e cognome della persona fisica : ………………………..

caseIIa e-mail: ………………………………………………………………….

nome e cognome deI DPO: ………………………………………………….

caseIIa e-maiI deI DPO: …………………………………………………

Foro competente

Per tutte Ie controversie che dovessero sorgere con riferimento aI presente Accordo sarà escIusivamente competente iI Foro di Torino.

Data

II TitoIare deI Trattamento II ResponsabiIe deI Trattamento

ALLEGATO PLA (Privacy Level Agreement)1

Qualificazioni del fornitore

(indicare quali qualificazioni per dimostrarsi affidabile in materia di provacy deve possedere il fornitore:

Essere certificato:

o ISO 9001

o ISO 27001

o Codice di condotta

o Avere nominato un DPO

o )

Descrizione del trattamento

- II trattamento dei dati sarà costituito da

VEDASI DOCUMENTAZIONE DELLA PROCEDURA DI SCELTA DEL CONTRAENTE;

- le operazioni che saranno eseguite sui dati personali saranno tutte quelle definite dall’art. 4 del GDPR (ad es. raccolta, registrazione, conservazione, consultazione, elaborazione, utilizzo, estrazione, interconnessione, comunicazione, diffusione, ecc...);

- Ia finaIità o Ie finaIità deI trattamento sono Ie seguenti:

per l’ASL il raggiungimento degli scopi istituzionali

per il fornitore il soddisfacimento degli obblighi contrattuali assunti

- i dati a carattere personaIe trattati sono: dati identificativi, particoIari, sanitari anche soggetti a maggior tuteIa e anche giudiziari.

- Ie categorie di persone interessate sono: assistiti anche minori, famigIiari di assistiti, dipendenti e aItri coIIaboratori e assimiIabiIi, professionisti e IegaIi rappresentanti/procuratori di impresa

- per l’esecuzione del servizio oggetto del presente contratto, il Titolare del trattamento mette a disposizione deI responsabiIe deI trattamento Ie informazioni desumibiIe daIIa procedura di sceIta deI contraente

Misure di sicurezza

Il Responsabile del trattamento s’impegna a mettere in opera le misure di sicurezza specificate di seguito:

- La pseuodonomizzazione e la cifratura dei dati a carattere personale;

- I mezzi che permettono di garantire la confidenzialità, l’integrità, la disponibilità e la resi- lienza costanti dei sistemi e dei servizi di trattamento;

- I mezzi che permettono di ristabilire la disponibilità dei dati a carattere personale e l’accesso

a questi nei tempi appropriati in caso di incidente fisico o tecnico;

- Una procedura che mira a testare, ad analizzare ed a valutare regolarmente l’efficacia delle

misure tecniche ed organizzative per assicurare la sicurezza del trattamento

1 Tale allegato dovrà essere compilato in versione bozza a cura del richiedente la fornitura. Esso sarà aggiornato a cura del RUP/DEC a seguito dell’aggiudicazione (almeno nei casi in cui sia prevista la valutazione delle caratteristiche di sicurezza della fornitura oppure quando il fornitore abbia previsto utilizzo di mezzi di trattamento non strettamente richiesti dalla documentazione contrattuale). L’Ufficio Privacy può essere consultato. Il rispetto di quanto specificato in questo documento dovrà essere puntualmente verificato a cura di DEC/RUP con il supporto dell’Ufficio Privacy

- Rilevare e detenere a norma di legge copia dei log di accesso all’applicativo e di sistema

II ResponsabiIe si impegna a mettere in atto e a mantenere Ie misure di sicurezza previste daI piano di gestione rischi predisposto daI ResponsabiIe.

Il Responsabile del trattamento s’impegna a mettere in opera le misure di sicurezza previste da norme e migIiori prassi attuaIi e future, a cui si impegna a conformarsi (senza uIteriori oneri per iI TitoIare), tra cui: EVADERE/INTEGRARE secondo l’oggetto del contratto

• Le norme specifiche in materia di Privacy eventuaImente appIicabiIi aI ResponsabiIe (per esempio RegoIamento e Privacy)

• Le disposizioni attuative emanate daIIa Commissione Europea in materia di Privacy

• Le disposizioni emanate daI Comitato Europeo per Ia Protezione dei Dati

• Le Linee Guida deI gruppo di Iavoro (WP) Art.29

• Le Opinioni e Raccomandazioni deI gruppo di Iavoro (WP) Art.29

• Le norme nazionaIi itaIiane (per esempio derivanti daIIa L.25 ottobre 2017, n. 163, art. 13)

• Le autorizzazioni generaIi e specifiche deI Garante

• I provvedimenti deI Garante appIicabiIi, in particoIare:

- Misure e accorgimenti prescritti ai titoIari dei trattamenti effettuati con strumenti eIettronici reIativamente aIIe attribuzioni deIIe funzioni di amministratore di si- stema - 27 novembre 2008;

- Rifiuti di apparecchiature eIettriche ed eIettroniche (Raae) e misure di sicurezza dei dati personaIi - 13 ottobre 2008;

- Individuazione deIIe modaIità sempIificate per I'informativa e I'acquisizione deI consenso per I'uso dei cookie - 8 maggio 2014 e reIative FAQ;

- Provvedimento in materia di videosorvegIianza - 8 apriIe 2010;

- Adempimenti sempIificati per iI customer care (inbound) - 15 novembre 2007

- RFID Etichette inteIIigenti: prescrizioni - 9 Marzo 2005;

- Provvedimento generaIe prescrittivo in tema di biometria - 12 novembre 2014;

- sistemi di localizzazione dei veicoli nell’ambito del rapporto di lavoro - 4 ottobre 2011;

- sistemi di videosorvegIianza per iI controIIo deIIa procedura di raccoIta deI cam- pione urinario a fini certificatori o di cura deIIa saIute - 15 maggio 2013;

• Le Linee Guida deI Garante in materia di:

- posta eIettronica e internet – 1° marzo 2007;

- trattamento di dati personaIi per profiIazione on Iine - 19 marzo 2015;

- trattamento di dati personaIi, contenuti anche in atti e documenti amministrativi, effettuato per finaIità di pubbIicità e trasparenza suI web da soggetti pubbIici e da aItri enti obbIigati – 15 maggio 2014;

- Dossier sanitario - 4 giugno 2015

- svoIgimento di indagini di customer satisfaction in ambito sanitario - 5 maggio 2011;

• Le norme deI Codice Privacy non in contrasto con iI RegoIamento Europeo e non og- getto di abrogazione/modifica

• Le buone prassi in materia di sicurezza o Privacy:

- Proposte da ENISA (Agenzia europea per Ia sicurezza deIIe reti e deII'informa- zione)

- Emanate dall’Agenzia per l’Italia Digitale

▪ Misure minime di sicurezza ICT per Ie pubbIiche amministrazioni

- Proposte da associazioni:

▪ Center for Internet Security

⮚ CriticaI Security ControIs for Effective Cyber Defense

⮚ CIS Benchmarks

- ISO 27001, ISO 29151, ISO 27002, ISO 27005, ISO 27035

[Nella misura in cui l’articolo 32 del regolamento europeo sulla protezione dei dati prevede che la messa in opera delle misure di sicurezza spetti al Titolare del trattamento ed al responsabile del trattamento, si raccomanda di determinare precisamente le responsabilità di ciascuna parte riguardo alle misure da mettere in opera]

Trasferimenti all’estero

Sono vietati tutti i trasferimenti di dati personaIi aI di fuori deIIo Stato ItaIiano.

Informativa

(sbarrare se previsto)

🗆 II ResponsabiIe deI trattamento, aI momento deIIa raccoIta dei dati, deve fornire aIIe persone interessate daIIe operazioni deI trattamento Ie informazioni reIative ai trattamenti dei dati che reaIizza, tra Ie quaIi

anche l’eventuale uso di strumenti di profilazione. La formulazione ed il formato dell’informazione deve

essere concordata con iI TitoIare deI trattamento prima deIIa raccoIta dei dati.

Gestione di fine contratto

AI termine deIIa prestazione dei servizi reIativi aI trattamento di questi dati, iI ResponsabiIe deI trattamento

s’impegna a:

1. trasmettere i dati a carattere personaIe aI fornitore subentrante designato daI TitoIare deI tratta- mento

2. restituire tutti i dati a carattere personaIe aI TitoIare deI trattamento

3. distruggere tutti i dati a carattere personaIe in Ioro possesso

Una voIta distrutte, iI responsabiIe deI trattamento deve dare evidenza per iscritto deIIa distruzione.

CITTÀ DI CHIERI Città metropolitana di Torino

DATA PROCESSING AGREEMENT (DPA) - NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

(Articolo 28 del Regolamento General Data Protection Regulation GDPR - 2016/679/UE)

Premesso che tra:

− Il Comune di Chieri, con sede in Xxx Xxxxxxx xx Xxxxx 00, 00000 – Xxxxxx (XX), di seguito anche solo “Ente” o “Titolare”

− _

con sede legale in

, –

C.F. _, di seguito anche solo “Fornitore” o “Responsabile”,

è stato stipulato il Contratto n. _ del _, avente per oggetto:

Dato che:

- l’art. 4 co. 1 n. 7) del Regolamento (UE) 2016/679 definisce il “Titolare del Trattamento” come la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del Trattamento di dati personali;

- secondo quanto stabilito dal Regolamento Generale sulla Protezione dei Dati Personali (UE) 2016/679 (in seguito anche “Regolamento” o “GDPR”), in merito al Trattamento dei dati personali, in qualità di Titolare del Trattamento è tenuto ad individuare e disciplinare i rapporti di Responsabilità/Titolarità con i soggetti esterni alla propria organizzazione, attraverso appositi contratti o atti giuridici a norma del diritto dell'Unione o degli Stati membri;

- il Titolare del Trattamento (di seguito anche semplicemente “Titolare”) intende affidare in esterno le attività di gestione del centro di aggregazione giovanile della città di Chieri;

- l’art. 4, co. 1, n. 8 del Regolamento (UE 2016/679) definisce il “Responsabile” come “la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratti dati personali per conto del Titolare del Trattamento”;

- l’art. 28 co. 1 dispone che: “qualora un Trattamento debba essere effettuato per conto del Titolare del Trattamento, quest'ultimo ricorre unicamente a Responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il Trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato”;

- Il Fornitore per esperienza, capacità ed affidabilità, anche in termini di know-how, è idoneo a garantire il pieno rispetto delle disposizioni in materia di trattamento di dati personali anche sotto il profilo della sicurezza ed è disponibile ad accettare la nomina a Responsabile del trattamento dei dati personali;

- Il Fornitore svolgerà il suo mandato trattando i dati per conto del Titolare del Trattamento in qualità di Responsabile del Trattamento (di seguito anche “Responsabile”) ai sensi dell’art.28 del Regolamento;

- il rapporto tra le “Parti” (ovvero Titolare del Trattamento e Responsabile del Trattamento) è regolarmente definito da un contratto (in seguito anche «Contratto Principale») in cui il Titolare del Trattamento affida a

_ le attività di gestione del servizio;

- l’art. 28 prescrive che “i trattamenti da parte di un Responsabile del Trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il Responsabile del Trattamento al Titolare del Trattamento e che stipuli la materia disciplinata e la durata del Trattamento, la natura e la finalità del Trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e diritti del Titolare del Trattamento”;

- il Responsabile del Trattamento procederà al trattamento dei dati personali nell’ambito della sua autonomia professionale ma secondo le istruzioni impartite dal Titolare anche in relazione alla durata del Trattamento, al tipo di dati personali e alle categorie di interessati, agli obblighi e ai diritti del Titolare del Trattamento;

- i termini usati nel presente contratto devono essere intesi in accordo con le loro rispettive definizioni ex art. 4 Regolamento (UE) 2016/679;

- tutto quanto sopra premesso e considerato, con il presente atto il Comune di Chieri ai sensi e per gli effetti dell’articolo 28 del GDPR 2016/679/UE, nella persona del Designato Interno Dott. , come da Decreto sindacale n. _ del _ (art.2 quaterdecies D.Lgs.196/2003)

NOMINA

, in persona del legale rappresentante _ , Responsabile del trattamento dei dati per le operazioni di trattamento in esecuzione del contratto in premessa (di seguito il “Contratto”).

In considerazione della suddetta nomina, il Comune di Chieri affida i seguenti COMPITI ed impartisce le seguenti ISTRUZIONI per il trattamento dei Dati, cui il Responsabile deve attenersi:

1. OGGETTO DEL CONTRATTO

1.1 Il contratto ha come oggetto la disciplina ai sensi dell’art. 28 del Regolamento (UE) 2016/679 del trattamento dei dati personali conferiti dal Comune di Chieri, in qualità di Titolare del Trattamento, a

_ - Responsabile del trattamento - limitatamente al Contratto principale e con riferimento alle sole informazioni cui il Responsabile può venire a conoscenza nello svolgimento delle attività concordate e a quelle che in futuro potranno essere affidate nell’ambito del medesimo incarico.

2. DURATA

2.1 Il presente DPA esplica efficacia dalla data di sottoscrizione digitale da parte del Responsabile del trattamento e sarà valido ed efficace per tutta la durata del Contratto principale e si intenderà automaticamente risolto, senza necessità di ulteriori comunicazioni, con la risoluzione e/o scioglimento del Contratto Principale. Il presente Accordo resterà inoltre valido ed efficace senza soluzione di continuità anche quando il rapporto instaurato con il Contratto principale sia immediatamente rinnovato per mezzo di

un successivo Contratto di contenuto equivalente. L’equivalenza del contenuto andrà verificata alla luce delle sole condizioni rilevanti ai fini del trattamento dei dati personali.

2.2 Alla cessazione del Contratto, per qualsivoglia causa, continueranno ad avere efficacia quelle clausole che per loro natura sopravvivono all’estinzione del rapporto giuridico. In particolare, la cessazione del Contratto principale e del presente DPA non comporterà il venire meno degli obblighi di riservatezza in merito alle informazioni acquisite dalle parti e al rispetto della normativa vigente sul Trattamento dei dati personali eventualmente conservati.

Salvo diversa istruzione del Titolare, nel caso di cessazione del Contratto per qualsiasi causa (ad es. risoluzione, mancato rinnovo a scadenza), provvedere all’immediata restituzione al Titolare stesso dei Dati e dei documenti trattati. Nel caso in cui fosse necessaria la conservazione dei Dati per ottemperare a un obbligo di legge, i dati saranno custoditi dal Responsabile esclusivamente per le finalità imposte dalla legge e solo per il periodo strettamente necessario a tale scopo.

2.3 Le parti si impegnano, in ogni caso, a modificare ovvero integrare il contenuto del presente Contratto a fronte di sopravvenienze normative, ovvero a fronte di gravi carenze/insufficienze di disciplina risultanti dall’applicazione pratica del presente accordo.

3. ATTIVITA’ DI TRATTAMENTO

3.1 I dati affidati nell’ambito delle attività demandate al Responsabile attraverso il Contratto principale potranno essere trattati esclusivamente per le finalità riportate all’art. 17 del presente accordo.

4. MODALITA’ DEL TRATTAMENTO

4.1 Il Responsabile del Trattamento si impegna ad usare la diligenza richiesta dalla natura dell’incarico affidato e ad effettuare i trattamenti previsti nel rispetto delle Leggi applicabili in materia di trattamento dei dati personali, secondo le modalità previste nel presente accordo.

4.2 Il Titolare del Trattamento riconosce al Responsabile del Trattamento, nei limiti del presente accordo e anche alla luce del principio di responsabilizzazione introdotto dal Regolamento, autonomia di azione e decisione in merito all’esecuzione dei trattamenti assegnati, alla scelta delle modalità e delle tecnologie ritenute più opportune, così come alla scelta di soggetti Autorizzati e dei collaboratori a cui affidare il Trattamento.

4.3 Le parti si impegnano ad adottare misure tecniche ed organizzative idonee ad evitare la perdita, la cancellazione, la distruzione anche accidentale dei dati personali ed ogni altro rischio connesso al trattamento di dati personali, al fine di garantire sempre un’adeguata tutela dei diritti e le libertà dei soggetti interessati.

5. AFFIDABILITÀ DEGLI AUTORIZZATI E NON DIVULGAZIONE

5.1 Il Responsabile adotterà misure ragionevoli per garantire l'affidabilità di qualsiasi dipendente o collaboratore che possa avere accesso ai dati personali affidati dal Titolare, assicurando in ogni caso che il loro accesso sia strettamente limitato alle persone che ne necessitano la conoscenza per svolgere le mansioni affidate.

5.2 Ai sensi dell’art.29 GDPR i soggetti che abbiano le caratteristiche di Amministratori di Sistema, ai sensi del Provvedimento del Garante del 27 novembre 2008 e successive modifiche, impartendo loro precise

disposizioni e vigilando sulla loro attività e sul rispetto delle misure di sicurezza adottate, nonché tenere l’elenco aggiornato degli amministratori di sistema incaricati a disposizione del Titolare.

5.3 Il Responsabile deve garantire che tutte le persone che hanno il compito di trattare i dati personali del Titolare:

A) siano informate della natura confidenziale dei Dati personali del Titolare e siano a conoscenza degli obblighi del Responsabile ai sensi del presente accordo e del Contratto Principale;

B) siano in possesso di formazione / certificazioni appropriate in relazione alle mansioni svolte e alle leggi applicabili sulla protezione dei dati o qualsiasi altra formazione / certificazione richiesta dal Titolare;

C) siano soggetti a impegni di riservatezza o obblighi professionali o normativi di riservatezza;

D) siano soggetti all'autenticazione dell'utente e a specifiche procedure di accesso quando accedono ai Dati personali del Titolare in conformità alle leggi applicabili in materia di protezione dei dati;

E) abbiano ricevuto adeguate istruzioni in merito alle operazioni corrette e sicure del trattamento e siano stati informati in merito ai controlli applicati.

6. OBBLIGHI DELLE PARTI

6.1 In relazione ai poteri di autonomia conferiti dal presente accordo, il Responsabile:

A) conferma di essere a conoscenza delle disposizioni legali applicabili in materia di protezione dei dati e si impegna ad osservare i principi della corretta elaborazione dei dati trattati per conto del Titolare;

B) garantisce che i dati personali saranno trattati in modo lecito, raccolti, registrati e trattati per gli scopi espliciti e legittimi determinati dal Titolare nel Contratto principale ed utilizzati con finalità e modalità conformi a quelle per le quali sono stati raccolti;

C) collabora con il Titolare ai fini dell’esatta applicazione della legge;

D) agisce autonomamente nell’ambito e nei limiti della propria attività ma sempre seguendo le direttive stabilite dal Titolare nel presente accordo. In tal senso informa immediatamente il Titolare qualora, a suo parere, una o più delle Istruzioni violi il GDPR o altre disposizioni applicabili, nazionali o dell’Unione Europea;

E) in caso di necessità di ulteriore trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo diversa disposizione di legge, il Responsabile è tenuto all’obbligo di informare il Titolare sulla specifica necessità e ad attenersi alle sue specifiche istruzioni e autorizzazioni. Sul punto si precisa che, fatto salvo quanto autorizzato al punto 14, non è ammesso alcun trasferimento dei dati personali verso Paesi non facenti parte dell’Unione Economica Europea senza esplicito consenso del Titolare;

F) incarica e autorizza per iscritto eventuali soggetti che agiscono sotto la sua autorità in merito al Trattamento dei dati personali, impartendo agli stessi le istruzioni relative e verificandone la loro puntuale applicazione;

G) mantiene la massima riservatezza nel trattamento dei dati e, in ottemperanza a quanto sopra stabilito, garantisce al Titolare del Trattamento che le persone autorizzate al trattamento (es. dipendenti e/o collaboratori) si siano impegnate per iscritto alla riservatezza o abbiano un adeguato obbligo legale di riservatezza ai sensi dell’art. 28 paragrafo 3 lettera b) del Regolamento;

H) garantisce che i soggetti da lui utilizzati per elaborare i dati siano stati autorizzati per iscritto e informati delle disposizioni pertinenti sulla protezione dei dati e del presente contratto, prima di iniziare a elaborare i dati. Le corrispondenti misure di formazione e sensibilizzazione sono eseguite in modo appropriato su base regolare. Il Responsabile del trattamento garantisce che le persone incaricate del trattamento dei dati siano

adeguatamente istruite e controllate su base continuativa in termini di conformità ai requisiti di protezione dei dati;

I) si impegna a recepire e adottare le eventuali misure di sicurezza tecniche e organizzative concordate nel Contratto principale o nel presente accordo. Sul punto si precisa che il Titolare del Trattamento potrà inviare una richiesta scritta al Responsabile del Trattamento se, a suo ragionevole giudizio, le misure tecniche e organizzative già concordate dovessero essere modificate per conformarsi a nuove prescrizioni imposte dalle Leggi in materia di protezione dei dati.

Tale notifica scritta includerà una descrizione, il più possibile dettagliata, dei cambiamenti imposti dalle leggi e delle modifiche necessarie. Sono, in ogni caso escluse, le misure di sicurezza non riconducibili ad un principio di ragionevole richiesta o comunque non in linea con gli standard di sicurezza adottati per i trattamenti effettuati in questo settore;

L) si impegna ad adottare, qualora contestualmente al contratto o successivamente non fossero impartite specifiche misure di sicurezza da parte del Titolare, tutte le misure tecniche ed organizzative (ex art. 32 del GDPR) ritenute adeguate per garantire un livello di sicurezza proporzionato al rischio, che tenga conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del Trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (privacy by design, art. 25 par. 1 GDPR). Tali misure devono essere attuate in modo da ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, e devono garantire la protezione dei dati personali fin dalla progettazione (privacy by default, art. 25 par. 2 GDPR). Inoltre, si impegna custodire i Dati separatamente rispetto a quelli trattati per conto di altre terze parti, sulla base di un criterio di sicurezza di tipo logico;

M) I dati personali sono trattati per le sole finalità previste e per il periodo strettamente necessario al perseguimento delle stesse. Il trattamento dei dati deve intendersi effettuato sotto l’autorità del Titolare, il quale, in ogni momento e con congruo preavviso - preavviso non dovuto in caso di data breach o altra emergenza o necessità di riscontro ad un’Autorità - potrà operare controlli presso il Responsabile, e presso eventuali Sub-affidatari, e impartire eventuali ulteriori specifiche istruzioni per il suo svolgimento; Il Responsabile, anche con riguardo ai propri Sub-affidatari, dovrà fornire la più ampia collaborazione per le attività di revisione del Titolare, comprese le ispezioni. Nel caso in cui all’esito di tali verifiche periodiche, ispezioni e audit le misure di sicurezza dovessero risultare inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione del Regolamento, o risulti che il Fornitore agisca in modo difforme o contrario alle istruzioni fornite dall’Amministrazione, quest’ultima diffiderà il Fornitore ad adottare tutte le misure più opportune o a tenere una condotta conforme alle istruzioni entro un termine congruo che sarà all’occorrenza fissato. Il Titolare potrà altresì chiedere la cessazione del Trattamento se imposta dalla necessità di adempiere a divieti od obblighi di legge, ovvero a provvedimenti dell’Autorità Garante e/o Giudiziaria. Sul punto si precisa che, su richiesta del Titolare, il Responsabile è tenuto a rendere disponibile una descrizione delle misure tecniche ed organizzative adottate e degli eventuali risultati delle attività di autovalutazione effettuate per verificarne l’efficacia.

In alternativa alle verifiche di cui sopra, l’Amministrazione potrà richiedere al Responsabile di fornire annualmente o comunque su richiesta dell’Amministrazione una relazione sull’andamento della gestione dei dati personali e sull’applicazione delle misure di sicurezza approvate;

N) informa il Titolare del Trattamento della necessità di ricorrere ad ulteriore Responsabile del Trattamento. Fatto salvo quanto stabilito nel Contratto principale e all’art. 16 del presente accordo, è facoltà del Titolare

rifiutare la nomina del Responsabile, ed è necessario il previo espresso consenso scritto del Titolare del Trattamento per la nomina di ulteriori Responsabili;

O) collabora con il Titolare affinché possa dare seguito in relazione alle richieste degli Interessati aventi ad oggetto l’esercizio dei diritti di cui agli artt.15-22 del GDPR; a tale fine dovrà entro tre (3) giorni lavorativi informare il Titolare delle richieste che dovessero pervenire da parte degli Interessati, tese ad esercitare i diritti di cui ai citati articoli, e fornire al Titolare tutto quanto necessario per le relative risposte ed i provvedimenti da adottare eventualmente al riguardo;

P) assicura il Titolare del Trattamento di soddisfare gli obblighi di legge ovvero qualora sia necessario: assicurare la risposta, nei termini di legge, alle istanze presentate al Titolare dalle autorità di controllo, collaborare attivamente con lo stesso nel caso di richiesta di informazioni o nel caso di controlli. Sul punto si precisa che se il Responsabile del trattamento è soggetto all'ispezione delle autorità di controllo o di altri organismi o se le persone interessate esercitano diritti sul Responsabile del trattamento, questi è tenuto a supportare il Titolare nella misura richiesta, se i dati vengono elaborati per conto del Titolare;

Q) deve cancellare o restituire tempestivamente, su richiesta del Titolare del Trattamento, tutti i dati personali e le copie esistenti di cui è in possesso senza poterne conservare copia alcuna, salvo espresso diverso accordo o previsione di legge. In ogni caso, è tenuto ad eliminare e/o distruggere i dati personali quando siano state raggiunte le finalità per le quali i dati sono stati raccolti e trattati in mancanza di un obbligo di legge o della necessità di ulteriore conservazione.

6.2 Adottare un Registro delle attività di trattamento in cui siano tracciate tutte le categorie di attività e le applicazioni informatiche utilizzate, relative ai trattamenti dei Dati svolti per conto del Titolare, nel pieno rispetto di quanto disposto dall’art. 30 GDPR;

6.3 Laddove ne venga fatta richiesta ai sensi dell’art. 30 par. 4 GDPR, mettere a disposizione del Titolare e dell’Autorità Garante il predetto Registro delle attività di trattamento.

6.4 Nominare per iscritto, ai sensi degli artt.37-39 GDPR, ricorrendone i presupposti, un Responsabile della protezione dei dati “Data Protection Officer” – DPO – fornendo i recapiti di contatto in calce al presente atto; qualora il Responsabile avesse sede al di fuori dell’UE e del SEE dovrà designare un Rappresentante all’interno dell’UE, ai sensi dell’art. 27 par. 1 GDPR segnalando - senza ritardo - il nome, cognome, unità organizzativa, email del designato al seguente indirizzo di posta elettronica: xxxxxxxxxx@xxxxxx.xxxxxx.xx.xx

6.5 Il Titolare si impegna a mettere a disposizione del Responsabile ogni informazione necessaria e richiesta per consentire il raggiungimento degli obiettivi del presente accordo, garantendo sempre la qualità e la sicurezza delle informazioni trasmesse.

6.6 Il Responsabile, con l’accettazione della presente nomina, si impegna a tenere indenne il Comune di Chieri da ogni responsabilità, costo, spesa o altro onere, discendenti da pretese, azioni o procedimenti di terzi a causa della violazione da parte di (o di suoi dipendenti e/o collaboratori) degli obblighi a proprio carico in base alla presente nomina e/o alle prescrizioni del GDPR;

6.7 Ai sensi dell’art. 82 paragrafo 2 del GDPR il Responsabile del trattamento, nel caso in cui non abbia ottemperato agli obblighi disciplinati nella citata normativa o abbia agito in modo difforme rispetto alle legittime istruzioni impartite dal Titolare, sarà ritenuto responsabile del danno cagionato.

6.8 Responsabile sarà esonerato da responsabilità solo nel caso in cui dimostri che l’evento dannoso cagionato non gli sia in alcun modo imputabile.

6.9 Il Titolare si riserva comunque, in caso di inosservanza da parte del Responsabile degli obblighi previsti, la facoltà di risolvere il Contratto ai sensi dell’art.1456 Cod. Civ., con revoca immediata della presente nomina.

7. TRATTAMENTO SECONDARIO (Sub-Responsabili)

7.1 Con la stipula del presente contratto il Titolare conferisce altresì autorizzazione generale al Responsabile del Trattamento (ai sensi dell’art. 28 paragrafo 2 del Regolamento) di coinvolgere eventuali ulteriori Responsabili del Trattamento («Sub-Responsabili»), ai fini della prestazione dei servizi (subappalto) elencati nel Contratto principale e/o all’articolo 16. L’elenco completo dei Sub-Responsabili deve sempre essere disponibile presso il Responsabile su richiesta del Titolare.

7.2 In relazione a quanto stabilito all’art. 6.1 lett. N), per ciascun Sub-Responsabile del Trattamento il Responsabile s’impegna a:

A) incaricare i Sub-Responsabili solo a seguito di consenso scritto del Titolare. Sul punto si precisa che il consenso è possibile solo se il subappalto è soggetto da contratto agli obblighi di protezione dei dati, che sono paragonabili a quelli stipulati nel presente accordo. L’Amministrazione avrà la facoltà motivata di opporsi, in relazione all’attribuzione dello specifico trattamento ad un determinato Sub-Responsabile aggiunto in caso di aggiornamento dell’elenco di cui sopra in corso di esecuzione del Contratto, chiedendone la sostituzione;

B) limitare l'accesso da parte dei sub affidatari ai Dati solo in relazione a ciò che risulterà necessario per l'espletamento dei servizi concordati contrattualmente.

C) fornire al Titolare i dettagli completi del Trattamento che debba essere affidato in subappalto a ciascun Sub-Responsabile;

D) includere nel contratto tra il Responsabile e ciascun Sub-Responsabile del Trattamento le stesse condizioni specificate nel presente accordo e supervisionarne la conformità. Su richiesta, il Responsabile s’impegna a fornire al Titolare una copia dei contratti stipulati con i Sub-Responsabili del Trattamento affinché il Titolare del Trattamento possa verificare l’adeguatezza del servizio e delle garanzie di sicurezza;

E) nei limiti entro i quali il subappalto comporti il trasferimento di Dati Personali al di fuori dell’Unione Economica Europea, incorporare clausole contrattuali o qualsivoglia altro meccanismo richiesto dal Regolamento per garantire il trasferimento a norma di legge e l’adeguata protezione dei Dati Personali.

7.3 La nomina di eventuali Sub-Responsabili, che devono trattare dati per conto del Titolare e che non sono ubicati e non operano esclusivamente all'interno dell'UE o della CEE, è possibile solo nel rispetto delle condizioni stabilite dal Regolamento (UE) 2016/679. In particolare, ciò è consentito solo se il sub- responsabile fornisce adeguate misure di protezione dei trattamenti. Il Responsabile del trattamento deve informare il Titolare delle garanzie specifiche sulla protezione dei dati fornite dal Sub-Responsabile e su come ottenerne evidenza.

7.4 Qualora il Sub-Responsabile non adempia ai propri obblighi di protezione dei dati, il Responsabile del trattamento sarà sempre e comunque responsabile nei confronti del Titolare.

7.5 L’Amministrazione potrà in qualsiasi momento verificare le garanzie e le misure tecniche ed organizzative del sub-Responsabile, tramite audit verifiche e ispezioni anche avvalendosi di soggetti terzi. A tal fine, l’Amministrazione informa preventivamente il Responsabile del trattamento con congruo preavviso. Ove tali misure dovessero risultare inapplicate o inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione del Regolamento, o risulti che il Sub-responsabile agisca in modo difforme o contrario alle istruzioni fornite dall’Amministrazione, quest’ultima diffiderà il Fornitore a far adottare al sub-Responsabile del trattamento tutte le misure più opportune o a tenere una condotta conforme alle istruzioni entro un termine congruo che sarà all’occorrenza fissato. In caso di mancato adeguamento a tale diffida, resa anche ai sensi dell’art. 1454 cc, l’Amministrazione potrà, in ragione della gravità della condotta

del sub responsabile/terzo autorizzato e fatta salva la possibilità di fissare un ulteriore termine per l’adempimento, risolvere il contratto con il Responsabile iniziale.

8. ADESIONE A CODICI DI CONDOTTA O MECCANISMI DI CERTIFICAZIONE

8.1 Il Responsabile è invitato a prendere in considerazione l’adesione a codici di condotta (ex art. 40 GDPR) o a meccanismi di certificazione (ex art. 42 GDPR) onde dimostrare le garanzie sufficienti ai sensi dell’art. 28 paragrafo 1 del GDPR, dandone tempestiva comunicazione al Titolare in caso di adesione.

9. DIRITTI DEL SOGGETTO INTERESSATO

9.1 Con riferimento a quanto precedentemente stabilito, il Responsabile si impegna a notificare al Titolare del Trattamento, senza ingiustificato ritardo e comunque entro cinque (5) giorni lavorativi, l’eventuale ricezione di una richiesta proveniente da un soggetto interessato ai sensi di qualsivoglia Legge in materia, comprese le richieste per l’esercizio dei diritti di cui al Capo III del Regolamento, fornendo altresì i dettagli completi riguardanti tale richiesta.

9.2 Il Responsabile s’impegna a collaborare con il Titolare del Trattamento al fine di permettere allo stesso di adempiere ai propri doveri nei confronti dei soggetti interessati, delle autorità di controllo e di qualsiasi altro soggetto. In particolare, il Responsabile s’impegna a:

A) fornire tutte le informazioni richieste dal Titolare entro i tempi ragionevoli specificati in ciascun caso dal Titolare, compresi i dettagli completi e le copie del reclamo, della comunicazione o della richiesta e gli eventuali Dati Personali in suo possesso in relazione al soggetto interessato;

B) ove applicabile, fornire l’assistenza ragionevolmente richiesta dal Titolare per consentirgli di adempiere alla relativa richiesta entro i tempi prescritti dalle Leggi in materia di Protezione dei Dati;

C) implementare le eventuali misure tecniche e organizzative aggiuntive che dovessero essere ragionevolmente richieste dal Titolare del Trattamento per consentirgli di rispondere efficacemente ai relativi reclami, comunicazioni o richieste.

9.3 Il Titolare si impegna ad informare i soggetti interessati ai sensi degli artt. 13 e 14 del GDPR e ad acquisire il consenso dell’interessato ai sensi degli art. 6 e 7 del GDPR, nei casi in cui il consenso risulti essere la corretta base giuridica del Trattamento.

10. VIOLAZIONE DEI DATI PERSONALI (Data Breach) E GESTIONE DEGLI INCIDENTI

10.1 Il Responsabile, con rifermento ai trattamenti effettuati per conto del Titolare deve:

A) comunicare senza ingiustificato ritardo al Titolare e comunque entro ventiquattro (24) ore dal momento in cui si è percepita la violazione (o la sospetta violazione) qualsiasi accadimento che possa compromettere il corretto trattamento dei Dati, in particolare fornire, in virtù dell’art. 33 e 34 del GDPR, in caso di violazione dei Dati (cd. “Data Breach”, da intendersi quale la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati) opportuno contributo e l’assistenza necessaria a consentire di adempiere agli obblighi di segnalazione al Garante; tale comunicazione dovrà:

1. descrivere la natura della violazione dei dati, le categorie e i numeri di soggetti interessati nonché le categorie e i numeri delle Registrazioni di Dati Personali in oggetto;

2. comunicare il nominativo e i contatti del Responsabile della protezione dati del Responsabile del Trattamento (se nominato) o altri relativi contatti dai quali sarà possibile ottenere maggiori dettagli;

3. descrivere le probabili conseguenze derivanti dalla violazione dei dati;

4. descrivere le misure adottate o proposte per affrontare il Data Breach.

B) collaborare in buona fede con il Titolare all’indagine, alla mitigazione e alla correzione di ciascuna violazione dei dati, al fine di soddisfare qualsivoglia requisito previsto dalle Leggi in materia di Protezione dei Dati;

C) coordinarsi con il Titolare al fine di predisporre i contenuti di eventuali dichiarazioni pubbliche in materia di Data Breach, o le eventuali notifiche richieste per le persone coinvolte;

D) informare immediatamente il Titolare, ove consentito, di qualsiasi richiesta o comunicazione da parte dell’Autorità Garante e/o Giudiziaria, per dare adeguato seguito alle stesse e collaborare con il Titolare per l’attuazione delle prescrizioni eventualmente impartite dall’Autorità Xxxxxxx;

E) evitare di dare comunicazione a soggetti terzi dell’evento, senza espresso consenso preventivo scritto del Titolare, salve le ipotesi di notifica obbligatoria prevista dalle leggi dell’Unione Europea o di uno Stato membro. In tal caso, il Responsabile s’impegna a informare il Titolare del Trattamento del suddetto obbligo, a fornire una copia della notifica proposta e a tenere conto di eventuali commenti fatti dal Titolare.

11. VALUTAZIONE D’IMPATTO SULLA PROTEZIONE DEI DATI (DPIA) E CONSULTAZIONE PREVENTIVA

11.1 Qualora fosse necessario, il Responsabile del Trattamento s’impegna a fornire ragionevoli livelli di assistenza al Titolare in relazione alle eventuali valutazioni d'impatto (DPIA) sulla protezione dei dati richieste ai sensi dell’Art. 35 del GDPR.

11.2 Il Responsabile del Trattamento effettua una valutazione di impatto sui trattamenti di dati personali effettuati per suo conto da ulteriori responsabili del Trattamento se:

a) il Trattamento riguarda categorie particolari di dati trattati con strumenti elettronici;

b) i dati sono interessati da trasferimenti transfrontalieri o extra UE;

c) i dati sono trasferiti ad organizzazioni internazionali. Il Responsabile mette a disposizione del Titolare del Trattamento i risultati dalla Valutazione d’Impatto e non effettua il trasferimento/Trattamento senza consultazione preventiva del Titolare, qualora la valutazione rivelasse un rischio residuo non trascurabile.

12. CONSERVAZIONE, CANCELLAZIONE E RESTITUZIONE DEI DATI PERSONALI DEL TITOLARE

12.1 Il Responsabile assicura su base permanente che i dati personali saranno conservati per il periodo di tempo strettamente necessario all’esecuzione delle attività/servizi oggetto di Contratto, e comunque non oltre i termini di legge o quelli di volta in volta indicati o concordati con il Titolare.

12.2 Fatte salve le conservazioni di dati personali effettuate per adempiere a specifici obblighi di legge, il Responsabile del Trattamento, in base alla richiesta del Titolare, sollecitamente e comunque, qualora non fosse specificato un tempo diverso, entro 180 (centottanta) giorni di calendario a decorrere dal primo verificarsi di uno dei seguenti eventi in ordine di tempo: cessazione del Trattamento dei Dati Personali da parte del Responsabile del Trattamento, risoluzione del presente accordo o del Contratto Principale, s’impegna a:

A) se richiesto dal Titolare, restituire una copia completa di tutti i Dati Personali al Titolare stesso mediante trasferimento sicuro di file nel formato indicato dal Titolare tra gli standard disponibili del Responsabile e cancellare in modo sicuro tutte le altre copie;

B) qualora il Titolare sia già in possesso di una copia completa o sia prevista una modalità di autonoma acquisizione di una copia completa, non è previsto che il Responsabile fornisca ulteriore copia, ma dovrà comunque adempiere a quanto previsto al punto successivo;

C) cancellare in modo sicuro tutte le copie dei Dati Personali;

D) in ogni caso, il Responsabile notificherà in anticipo la scadenza dei termini di cui al presente articolo e fornirà adeguata documentazione scritta al Titolare del Trattamento a dimostrazione dell’esatto adempimento alle disposizioni A) e B) della presente sezione.

13. DIRITTO DI VERIFICA

13.1 Il Responsabile del Trattamento s’impegna inoltre a:

A) mettere a disposizione del Titolare del Trattamento, ai sensi dell’art. 28 paragrafo 3 lettera h) del Regolamento, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di legge e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare del Trattamento o da un altro soggetto da questi incaricato.

B) compiere attività di autovalutazione rispetto alle misure di sicurezza, fornendone, a richiesta, documentazione scritta al Titolare del Trattamento.

14. TRASFERIMENTI INTERNAZIONALI DI DATI PERSONALI DEL TITOLARE DEL TRATTAMENTO

14.1 Fatto salvo quanto stabilito dall’art 7.6, il Responsabile del Trattamento s’impegna a non trattare (permanentemente o temporaneamente) i Dati Personali e parimenti a non consentire a qualsivoglia ulteriore Responsabile del Trattamento di trattare i Dati Personali in un paese al di fuori dalla UE, a meno che il Paese terzo in cui si intendano trasferire i Dati sia fra quelli che hanno conseguito formale valutazione di c.d. “adequacy” dalla Commissione Europea (art. 45 GDPR); in assenza di un parere di adeguatezza da parte della Commissione Europea, può fare ricorso a uno degli strumenti di garanzia di cui all’art. 46 del GDPR e sempre che sia stato autorizzato, per iscritto, al trasferimento da parte del Titolare.

14.2 Nel caso in cui il trasferimento verso un Paese terzo o verso un’organizzazione internazionale sia imposto da un obbligo normativo cui è soggetto il Responsabile, questi deve informare il Titolare circa tale obbligo prima del trasferimento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.

15. VARIE

15.1 In caso di discrepanze tra le disposizioni del presente Contratto e qualsivoglia altro contratto tra le parti, compreso, a mero titolo esemplificativo, il Contratto Principale, le disposizioni del presente Contratto prevarranno in relazione agli obblighi delle parti riferiti alla protezione dei Dati Personali.

16. AUTORIZZAZIONE DEL TITOLARE SULL’UTILIZZO DI SPECIFICI “SUB-RESPONSABILI”

16.1 Il Titolare può autorizzare il Responsabile del Trattamento a servirsi di ulteriori responsabili, i cui nominativi siano stai preventivamente comunicati, sotto la sua esclusiva responsabilità. Per il trattamento in questione il Responsabile si avvale dei seguenti Sub-responsabili:

• _

•

17. FINALITA’

17.1 Finalità del Trattamento

Nel rispetto e ad integrazione di quanto eventualmente stabilito nel Contratto Principale, se richiesto dal Titolare, il Responsabile potrà trattare i dati del Titolare per le seguenti finalità:

17.1.1 Finalità principali

Il trattamento da parte del Responsabile è necessario per:

• Erogare correttamente il servizio

• Gestione delle partecipazioni

• Gestione dei rapporti con i professionisti ingaggiati

17.2 Categorie di soggetti interessati

Per le finalità del trattamento, il Responsabile potrà trattare i dati per conto del Titolare del Trattamento delle seguenti categorie di soggetti interessati:

• Iscritti

• Genitori di minori iscritti

• Artisti e professionisti

17.3 Tipologie di dati personali trattati

17.3.1 Dati personali

Per le finalità del trattamento e relativamente ai soggetti interessati indicati in precedenza, il Responsabile potrà trattare anche in forma aggregata, per conto del Titolare del Trattamento, le seguenti tipologie di informazioni contenenti dati potenzialmente personali:

1) Dati personali comuni:

• Dati anagrafici (artisti e professionisti, tesserati, minori iscritti, genitori, parenti, tutori legali e persone in generale delegate ad accompagnare e riprendere i minori tesserati)

• Dati di contatto (artisti e professionisti, tesserati, minori iscritti, genitori, parenti, tutori legali e persone in generale delegate ad accompagnare e riprendere i minori tesserati)

2) Dati personali potenzialmente critici:

• Dati di fatturazione

17.3.2 Dati relativi a minori

Per le finalità del trattamento indicate, e relativamente ai soggetti interessati, il Responsabile potrà trattare, per conto del Titolare del Trattamento, le seguenti tipologie di informazioni potenzialmente contenenti Dati relativi a minori:

•

18. INFORMAZIONI DI CONTATTO E REFERENTI

18.1 In riferimento al presente accordo, il Titolare del Trattamento e il Responsabile del Trattamento utilizzeranno le seguenti informazioni di contatto.

18.2 Le parti si impegnano a mantenere aggiornati i contatti e a comunicare senza ingiustificato ritardo ogni variazione.

Tutte le comunicazioni previste dalla presente, nonché in generale ogni comunicazione in materia di tutela dei dati personali, dovranno essere effettuate:

quanto al Titolare presso Comune di Chieri Indirizzo Xxx Xxxxxxx xx Xxxxx 00 00000 XXXXXX (XX)

casella e-mail: xxxxxxxxxx@xxxxxx.xxxxxx.xx.xx In caso di Data Breach anche a:

nome e cognome del DPO: _ xxxxxxx e-mail del DPO: xxx@xxxxxx.xxxxxx.xx.xx

quanto al Responsabile presso Indirizzo Contatto/Ufficio _ nome e cognome: _ xxxxxxx e-mail: _

nome e cognome del Referente privacy:

PEC del Referente privacy:

19. ACCETTAZIONE DELL’ACCORDO

19.1 Con la sottoscrizione del presente atto, stipulato ai sensi dell'art. 28 del Regolamento UE 2016/679, le parti accettano gli accordi sul trattamento in relazione ai dati personali il cui trattamento risulta essere indispensabile per l'adempimento delle obbligazioni di cui al Contratto Principale.

19.2 In caso di conflitto od incongruenza, le disposizioni del presente Accordo si considerano prevalenti rispetto a quelle contenute nel Contratto principale o in qualsivoglia altro accordo concluso tra le Parti.

19.3 Le parti dichiarano di essere a conoscenza degli obblighi previsti dal Regolamento UE 2016/679 e dal D.lgs. 196/2003 e dichiarano inoltre di attenersi alle previsioni ed ai compiti stabiliti nel presente Accordo.

19.4 Per tutto quanto non normato nel presente contratto entrambe le parti si richiamano e si attengono alla normativa in materia di protezione dei dati personali e, in particolare, alle disposizioni contenute nel Regolamento(UE) 2016/679 (GDPR).

20. FORO COMPETENTE

20.1 Eventuali controversie derivanti dal (o in qualsiasi modo connesse al) presente Accordo saranno devolute alla competenza del Foro determinato nel Contratto principale. Solo in caso di mancata determinazione, saranno devolute alla competenza esclusiva del Foro di Torino, intendendosi dalle Parti consensualmente derogata ogni diversa norma di competenza giudiziaria

Comune di Chieri-Titolare del trattamento IL DESIGNATO INTERNO

Dott. FIRMATO DIGITALMENTE

Responsabile del trattamento Firma per accettazione

_ FIRMATO DIGITALMENTE

Document Metadata

Table of Contents

ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI

Document Metadata