CONVENZIONE DI TIROCINIO CURRICULARE

La presente convenzione è soggetta ad imposto di bollo,

ai sensi del D.P.R. 26/10/1972, n. 642, assolta dall’Ateneo di Ferrara

CONVENZIONE DI TIROCINIO CURRICULARE

(Convenzione n°…….. del……… )

TRA

L’Università degli Studi di Ferrara, con sede in Xxx Xxxxxxx 00, 00000 Xxxxxxx (XX), codice fiscale n. 80007370382, nel prosieguo del presente atto denominata “soggetto promotore”, rappresentata dalla dott.ssa Xxxxxxxx Xxxxxx, Responsabile della Ripartizione Tirocini, placement e alta formazione, autorizzata alla firma del presente atto dal Direttore Generale, Xxxx. Xxxxx Xxxxxx, con DD Rep n. 1489/2022 Prot n. 299932 del 28/09/2022

E

……………………………… con sede legale in ……………………………………(.…) Via n.

………………, codice fiscale e partita IVA n. ……………………………………, nel prosieguo del presente atto denominata “soggetto ospitante" rappresentata da ……………………………………………….in qualità di

……………………………………………,

PREMESSO

che al fine di agevolare le scelte professionali mediante la conoscenza diretta del mondo del lavoro e realizzare momenti di alternanza tra studio e lavoro nell’ambito dei processi formativi richiamati all’articolo 18, comma 1, lettera a), della legge 24 giugno 1997, n. 196, le Università possono promuovere tirocini curriculari in impresa a beneficio delle studentesse e degli studenti iscritti ai propri Corsi di Studio

CONVENGONO QUANTO SEGUE:

Articolo 1 – Oggetto

1. Il soggetto ospitante si rende disponibile ad accogliere, presso le strutture, tirocinanti su proposta del soggetto promotore come indicato nel/i progetto/i formativo/i Il tirocinio sarà avviato per studenti iscritti a Corsi di Studio dell’Università.

Articolo 2 – Finalità e contenuti

Il tirocinio, ai sensi dell’art. 18, comma 1, lettera d) L 196/1997, si configura come completamento del percorso di studi e persegue obiettivi didattici e/o di acquisizione di conoscenza del mondo produttivo, pertanto non costituisce rapporto di lavoro.

Durante lo svolgimento del tirocinio l’attività di formazione è seguita e verificata da un tutor designato dall’Università, in veste di responsabile didattico-organizzativo, e da un tutor aziendale designato dal Soggetto Ospitante.

Per l’avvio di ciascun tirocinio in base alla presente Convenzione viene predisposto un progetto formativo contenente:

a) nominativo tirocinante;

b) nominativo tutor accademico;

c) nominativo tutor aziendale;

d) obiettivi e modalità di svolgimento del tirocinio con l’indicazione dei tempi di presenza presso il soggetto ospitante ed eventuali attività compatibili con lo svolgimento da remoto;

e) le strutture aziendali (stabilimenti, sedi, reparti, uffici) presso cui si svolge il tirocinio;

f) gli estremi identificativi delle coperture assicurative gli estremi identificativi delle assicurazioni per la responsabilità civile e contro gli infortuni sul luogo di lavoro.

Il soggetto ospitante potrà prevedere, a propria discrezione, facilitazioni ed incentivi economici quali rimborsi spese e borse studio a favore dei tirocinanti, indicandoli nel progetto formativo. Tali incentivi sono da ritenersinon correlati alla quantità-qualità della prestazione fornita dal tirocinante.

Articolo 3 – Doveri tirocinante

Durante lo svolgimento del tirocinio formativo il soggetto tirocinante è tenuto a:

a) svolgere le attività previste dal progetto formativo seguendo le indicazioni delle/dei tutor e fare riferimento ad essi per qualsiasi evenienza.

b) rispettare i regolamenti aziendali e le norme in materia di igiene e sicurezza.

c) mantenere la necessaria riservatezza per quanto attiene ai dati, informazioni o conoscenze in merito a processi produttivi e prodotti, acquisiti durante lo svolgimento del tirocinio.

Qualora si verificassero, da parte del soggetto tirocinante, comportamenti lesivi di diritti o interessi del soggetto ospitante, questi potrà, previa informazione alla/al tutore incaricato dal soggetto promotore, sospendere e interrompere lo svolgimento del tirocinio.

Nel caso di risoluzione anticipata del progetto formativo da parte del soggetto tirocinante questi è tenuto a darne comunicazione scritta al soggetto promotore e al soggetto ospitante, con un congruo preavviso.

Articolo 4 – Tutela della sicurezza e della salute nei luoghi di lavoro

In materia di sicurezza sul lavoro, i tirocinanti sono equiparati ai lavoratori dipendenti del soggetto ospitante, ai sensi del D.Lgs. 9 aprile 2008, n. 81.

È onere del soggetto ospitante rispettare la normativa sulla salute e sicurezza sui luoghi di lavoro e disposizioni specifiche riguardanti eventuali fasi emergenziali.

È onere del soggetto ospitante informare e (ove necessario) integrare la formazione del tirocinante sui rischi connessi allo svolgimento dell'attività di tirocinio nelle proprie strutture.

È onere del soggetto ospitante provvedere alla dotazione dei dispositivi di protezione individuale (DPI) e addestrare il tirocinante all’uso dei dispositivi stessi e delle attrezzature di lavoro conformemente alle disposizioni impartite per la sua sicurezza, pena l'immediata interruzione del tirocinio.

La visita di idoneità alla nuova mansione, ove necessario, è a carico del soggetto ospitante. Gli obblighi a carico del tirocinante sono declinati nel progetto formativo.

Articolo 5 - Assicurazioni

Per le attività previste dal tirocinio, il soggetto promotore garantisce a favore dei soggetti tirocinanti:

a) copertura assicurativa contro gli infortuni sul lavoro presso l’INAIL - gestione per conto dello Stato di cui al DPR 1124/65 e DPR 156/99, art.2;

b) polizza infortuni integrativa;

c) polizza responsabilità civile per i danni che dovessero essere involontariamente causati a terzi (persone e/o cose).

In caso di sinistro occorso al soggetto tirocinante durante lo svolgimento del tirocinio, il soggetto ospitante è obbligato a segnalare immediatamente l’evento al soggetto promotore, onde consentire allo stesso di effettuare la relativa denuncia nei termini previsti dalla legge o dal contratto di assicurazione.

Articolo 6 - Trattamento dei dati

Con la sottoscrizione del presente Convenzione, le Parti, in relazione ai trattamenti di dati personali effettuati in esecuzione del Convenzione medesima, si danno reciprocamente atto di adempiere, per quanto di rispettiva competenza, agli obblighi derivanti dal rispetto delle norme poste a protezione dei dati personali, in particolare dal Regolamento (UE) 2016/679 ("RGPD") e dal D.Lgs. 196/2003 e ss.mm.ii.

– L’Università, nell’ambito del presente Convenzione, è Titolare dei dati personali trattati per erogare un percorso formativo per i propri studenti (ivi compreso lo svolgimento di un tirocinio curricolare) e ad attestarne il raggiungimento degli obiettivi formativi.

Titolare del trattamento, pertanto, è l’Università degli Studi di Ferrara, Xxx Xxxxxxx 00 – 00000 Xxxxxxx; e-mail: xxxxxxx@xxxxx.xx – PEC: xxxxxx@xxx.xxxxx.xx – Tel. 0000000000. Il Responsabile della protezione dei dati è Lepida S.c.p.A., Via della Liberazione 15 – 40128 Bologna (BO), e-mail: xxx-xxxx@xxxxxx.xx – PEC: xxxxxxxxxx@xxx.xxxxxx.xx – Tel. 0000000000

– Per quanto riguarda la realizzazione di tutte le attività di natura amministrativa, organizzativa e/o logistica, di esclusiva competenza del soggetto ospitante, ritenute necessarie per favorire la realizzazione delle attività di insegnamento teorico pratico, nonché per facilitare l’uso dei propri servizi, (quali ad esempio il servizio mensa, rilascio badge per accedere alla struttura che eroga il tirocinio, ecc.), il soggetto ospitante è Titolare autonomo dei dati personali trattati.

Il soggetto ospitante è altresì Titolare dei dati personali, anche di natura particolare che, in ossequio al principio di necessità e proporzionalità, siano eventualmente trattati dallo studente per l’esecuzione di attività richieste nell’ambito delle attività di tirocinio/stage o attività professionale prestata. In tale qualità il soggetto ospitante si impegna a istruire, ai sensi dell’art. 29 del RGPD e dell’art. 2-quaterdecies del D.Lgs. 196/2003 ss.mm.ii., gli studenti dell’Università quali persone autorizzate al trattamento dei dati personali di cui potrebbero venire a conoscenza durante lo svolgimento del tirocinio.

Le Parti si impegnano infine a fornire agli interessati idonea informativa in merito al trattamento dei dati per le finalità sopra descritte, specificando, tra le altre informazioni, che i dati potranno essere comunicati, nel rispetto delle disposizioni e dei principi di cui al RGPD e del D.Lgs. 196/2003 ss.mm.ii., all’altra Parte.

– Per lo svolgimento del tirocinio l’Università si avvale della Parte ospitante che viene nominata Responsabile dei dati trattati, ai sensi e per gli effetti dell’art. 28 del Regolamento (UE) 2016/679, per l’esecuzione dei compiti e delle funzioni stabilite nell’allegato che costituisce parte integrante della presente convenzione.

Articolo 7 - Durata, rinnovo e recesso

La presente convenzione ha durata di tre anni, a decorrere dalla data di perfezionamento con possibilità proroga per ulteriori periodi di pari durata, sulla base della sottoscrizione, tra le parti, di un ulteriore atto.

Le Parti hanno facoltà di recedere unilateralmente dalla presente convenzione ovvero di scioglierla consensualmente; il recesso deve essere esercitato mediante comunicazione scritta da notificare a mezzo Posta elettronica certificata (PEC).

Il recesso ha effetto decorsi tre mesi dalla data di notifica dello stesso.

Il recesso unilaterale o lo scioglimento hanno effetto per l’avvenire e non incidono sulla parte di convenzione già eseguita.

In caso di recesso unilaterale o di scioglimento le Parti concordano fin d’ora, comunque, di portare a conclusione le attività di tirocinio in essere, come indicato nei singoli progetti formativi.

Articolo 8 - Foro

Le parti concordano di definire in via amichevole qualsiasi controversia dovesse insorgere dall’interpretazione e dall’applicazione della presente convenzione.

Le parti convengono che, non perfezionata tale amichevole composizione, ogni controversia in materia di diritti ed obblighi, interpretazione e applicazione della convenzione medesima sarà rimessa alla competenza

dell’autorità giudiziaria e che sarà competente in via esclusiva il Foro di Ferrara, ferma restando la giurisdizione esclusiva del Tribunale amministrativo regionale competente ai sensi dell’articolo 133, lettera a) numero 2) del decreto legislativo 8 luglio 2010, n. 104 (Attuazione dell’articolo 44 della legge 18 giugno 2009, n. 69, recante delega al governo per il riordino del processo amministrativo).

Articolo 9 - Sottoscrizione, registrazione e imposta di bollo

La presente convenzione è redatta in un unico originale ed è conservata dall’Università degli Studi di Ferrara. Il soggetto ospitante ne conserva una copia presso la propria sede.

La presente convenzione sarà registrata a tassa fissa, in caso d’uso, ai sensi degli artt. 5 e 39 del DPR 131 del 26.04.86, a spese della parte che chiederà la registrazione.

La presente convenzione, soggetta a imposta di bollo, ai sensi del DPR 26/10/1972 n. 642, sarà assolta in modo virtuale a cura dell’Università degli Studi di Ferrara giusta autorizzazione dell’Agenzia delle Entrate di Ferrara.

Per l’UNIVERSITÀ DI FERRARA

LA RESPONSABILE DELLA RIPARTIZIONE TIROCINI, PLACEMENT E ALTA FORMAZIONE

(Dott.ssa Xxxxxxxx Xxxxxx)

…………………………………………………

Per IL SOGGETTO OSPITANTE

IL LEGALE RAPPRESENTANTE

(Dott )

…………………………………………………

Allegato – Accordo per la designazione quale Responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento UE n. 679/2016 (GDPR)

Il presente accordo costituisce parte integrante del contratto sottoscritto tra l’Università degli Studi di Ferrara e il Soggetto ospitante (di seguito detto “Fornitore”), che viene designato Responsabile del trattamento di dati personali ai sensi dell’art. 28 del GDPR.

Di seguito congiuntamente nominate “Parti”.

Le Parti convengono quanto segue:

Scopo del presente accordo è garantire il rispetto dell’art. 28 del Regolamento europeo (GDPR) relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, da parte sia del Titolare del trattamento che del Responsabile del trattamento.

In particolare, il trattamento dei dati personali è così individuato:

- categorie di interessati i cui dati personali sono trattati: studenti

- tipologia di dati personali trattati: nome, cognome, matricola, data e luogo di nascita, genere, indirizzo di residenza e domicilio, nazionalità, email istituzionale, cellulare, ciclo di studi, dati relativi salute (a richiesta di alcune aziende o nel caso di soggetti disabili per fornire gli adeguati supporti), tenuta dei registri delle presenze, scheda di fine attività necessaria al soggetto promotore per il riconoscimento dei crediti nel curriculum didattico del tirocinante e trattamento dei dati personali in caso di eventuali infortuni dei tirocinanti ovvero di danni coperti dall’assicurazione per responsabilità civile verso terzi

- finalità per le quali i dati personali sono trattati per conto del titolare del trattamento: attivazione del tirocinio curriculare

- durata del trattamento: sino alla scadenza della Convenzione.

Per la durata della Convenzione e per le attività in esso disciplinate, il Responsabile del trattamento dei dati personali designato, si impegna nei confronti del Titolare a:

Obblighi del Fornitore

- Trattare tali dati personali solo ai fini dell’esecuzione dell’oggetto del contratto, e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite dall’Università;

- non trasferire i dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte dall’Università e a fronte di quanto disciplinato nel presente accordo;

- non trattare o utilizzare i dati personali per finalità diverse da quelle per cui è conferito l’incarico dall’Università, financo per trattamenti aventi finalità compatibili con quelle originarie.

- prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informare l’Università se, a suo parere, una qualsiasi istruzione fornita dall’Università stessa si ponga in violazione di normativa applicabile.

Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:

- procedure idonee a garantire il rispetto dei diritti e delle richieste formulate all’Università dagli interessati relativamente ai loro dati personali;

- procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta dell’Università dei dati personali di ogni interessato;

- procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta dall’Università;

- procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta dell’Università.

- garantire e fornire all’Università cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.

- mantenere, compilare e rendere disponibile a richiesta dell’Università, un registro dei trattamenti dati personali che riporti tutte le informazioni richieste dalla norma (art. 30 del Regolamento UE);

- assicurare la massima collaborazione al fine delle valutazioni di impatto ex art. 35 del GDPR che l’Università intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.

Il Responsabile assicura altresì ogni collaborazione nell’effettuazione della eventuale consultazione preventiva al Garante ai sensi dell’art. 36 GDPR.

Le misure di sicurezza

- Conservare i dati personali garantendo la separazione di tipo logico dai dati personali trattati per conto di terze parti o per proprio conto.

- adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento.

- conservare, nel caso siano allo stesso affidati servizi di amministrazione di sistema, direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema;

- attribuire al Responsabile del trattamento il compito di dare attuazione alla prescrizione di cui al punto 2 lettera e) “Verifica delle attività” del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”;

- adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti all’Università, con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.

Analisi dei rischi, privacy by design e privacy by default

- Con riferimento agli esiti dell’analisi dei rischi effettuata dall’Università sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dall’Università per affrontare eventuali rischi identificati.

- consentire all’Università, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.

4.3 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.

Soggetti autorizzati ad effettuare i trattamenti - Designazione

- Garantire competenze ed affidabilità dei propri dipendenti e collaboratori, compresi gli amministratori di sistema, autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’Università.

- garantire che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica.

- con riferimento alla protezione e gestione dei dati personali, imporre ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nel Contratto di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento sarà direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.

Altri Responsabili al Trattamento

- Con il presente atto di designazione, l’Università autorizza il Responsabile del trattamento a ricorrere ad altri Responsabili (di seguito “sub-responsabili”) per l'esecuzione delle attività di trattamento (o parte delle stesse) oggetto del presente atto, imponendo agli stessi i medesimi obblighi in materia di protezione dei dati a cui è soggetto il Responsabile del trattamento.

- trattandosi di autorizzazione generale, il Responsabile del trattamento informa in precedenza e per iscritto l’Università del trattamento di ogni cambiamento ravvisato riguardante l’aggiunta o la sostituzione di altri Responsabili.

- l’Università ha il diritto di opporsi alla nomina e/o alla sostituzione del sub-responsabile effettuata dal Responsabile del trattamento entro il termine di 5 giorni dal ricevimento della comunicazione scritta.

- il Responsabile del trattamento ha la facoltà di indicare un nome ulteriore o di trattenere le relative competenze con comunicazione scritta entro il termine dei successivi 5 giorni. In ogni caso la nomina diviene effettiva qualora l’Università non abbia sollevato obiezioni nel termine a lui concesso.

In particolare:

- il Responsabile del trattamento informa l’Università circa i soggetti che provvede a nominare quali sub- responsabili del trattamento, specificandone altresì i relativi compiti assegnati;

- il Responsabile del trattamento si impegna a far rispettare ai sub-responsabili del trattamento gli stessi obblighi imposti dall’Università in materia di protezione dei dati contenuti nel presente atto di designazione e nell’Allegato/negli Allegati allo stesso;

- il Responsabile del trattamento prende atto di conservare nei confronti dell’Università l’intera responsabilità dell’adempimento degli obblighi posti in capo ai sub-responsabili nominati dallo stesso Responsabile.

Trattamento dei dati personali fuori dall’area economica europea

- L’Università autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea, nel rispetto delle condizioni previsto nel Capo V del GDPR.

Durata

8.1 La presente nomina decorre dalla data in cui viene sottoscritta dalle PARTI ed è valida fino alla cessazione di ogni effetto del contratto, compresi gli eventuali rinnovi degli stessi, relativi ai Servizi erogati dal Responsabile in favore dell’Università, ovvero fino alla revoca anticipata per qualsiasi motivo da parte dell’Università, fermo restando che, anche successivamente alla cessazione degli effetti del suindicato contratto, compresi gli eventuali rinnovi, o alla revoca per iscritto del presente atto di designazione, il Responsabile dovrà mantenere la massima riservatezza sui dati e le informazioni relative all’Università delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni. Il Responsabile, all’atto di cessazione

– per qualunque causa – dell’efficacia del presente atto di designazione, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o dell’Unione Europea che preveda la conservazione dei dati personali, dovrà interrompere ogni operazione di trattamento degli stessi e dovrà provvedere, a scelta dell’Università, all’immediata restituzione allo stesso dei dati personali oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un’attestazione scritta che presso lo stesso Responsabile non ne esiste alcuna copia. In caso di richiesta scritta dell’Università, il Responsabile è tenuto ad indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione. Con riferimento all’obbligo di restituzione dei dati, il Responsabile si obbliga ad utilizzare formati standard ed interfacce che facilitino l’interoperabilità e la portabilità dei dati.

Audit

- Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte dell’Università.

- il Responsabile del trattamento consente, pertanto, all’Università l’accesso ai propri locali e ai locali di qualsiasi Sub-Responsabile, ai computer e altri sistemi informativi, ad atti, documenti e a quanto ragionevolmente richiesto per verificare che il Responsabile del trattamento, e/o i suoi Sub-Responsabili, rispettino gli obblighi derivanti dalla normativa in materia di protezione dei dati personali e, quindi, da questo Accordo.

- l’Università può esperire specifici audit anche richiedendo al Responsabile del trattamento di attestare la conformità della propria organizzazione agli oneri di cui alla normativa applicabile e al presente Accordo.

- l’esperimento di tali audit non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.

- il rifiuto del Responsabile del trattamento di consentire l’audit all’Università comporta la risoluzione del contratto.

Indagini dell’Autorità e reclami

- Nei limiti della normativa applicabile, il Responsabile del trattamento o qualsiasi Sub-Responsabile informa senza alcun indugio l’Università di qualsiasi:

a) richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine;

b) istanza ricevuta da soggetti interessati.

Il Responsabile del trattamento fornisce, in esecuzione del contratto e, quindi, gratuitamente, tutta la dovuta assistenza all’Università per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamentari applicabili.

Violazione dei dati personali e obblighi di notifica

- Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del GDPR, dovrà comunicare a mezzo di posta elettronica certificata all’Università nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-responsabili. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a:

a) descrivere la natura della violazione dei dati personali;

b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;

d) la descrizione delle probabili conseguenze della violazione dei dati personali;

e) una descrizione delle misure adottate o che si intende adottare per affrontare la violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi.

- il Responsabile del trattamento deve fornire tutto il supporto necessario all’Università ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con l’Università, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto dell’Università.

Responsabilità e manleve

- Il Responsabile del trattamento tiene indenne e manleva l’Università da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.

- nel caso in cui il Responsabile del trattamento commetta violazioni alla normativa in materia di protezione dei dati personali e al presente Accordo, quali ad esempio quelle indicate all’art. 83 commi 4 e 5, l’Università può risolvere il Contratto o chiedere una cospicua riduzione del prezzo.

- a fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Responsabile del trattamento:

• avverte, prontamente ed in forma scritta, l’Università del Reclamo

• non fornisce dettagli al reclamante senza la preventiva interazione con l’Università

• non transige la controversia senza il previo consenso scritto dell’Università;

• fornisce all’Università tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.

Ferrara, ………………

Il Titolare del trattamento Il Responsabile del trattamento

UNIVERSITÀ DI FERRARA IL SOGGETTO OSPITANTE

LA RESPONSABILE DELLA RIPARTIZIONE TIROCINI, PLACEMENT E ALTA FORMAZIONE SU DELEGA DEL DIRETTORE GENERALE

(Dott.ssa Xxxxxxxx Xxxxxx)

…………………………………………………