ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI

ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI

(ART. 28 DEL REGOLAMENTO (UE) 2016/679)

SERVIZI DI ASSISTENZA TECNICA E AMMINISTRATIVA

Il presente atto è stipulato tra:

- Commissario Straordinario per la realizzazione dell'Universiade 2019, con sede in Xxx X. Xxxxx x. 00 – 00000 XXXXXX (Xxxxx), in persona dell’Xxx. Xxxxxxxx Xxxxxx, tale nominato ai sensi dell’art. 10 del D.L. n. 91 del 25 luglio 2018, convertito con modificazioni dalla Legge n. 108 del 21 settembre 2018 (di seguito: Titolare del trattamento o Titolare o Consorzio);

- la Fondazione IFEL Campania, con sede in Xxx X. Xxxxx x. 00– 00000 XXXXXX (Xxxxx), in persona del legale rappresentante pro tempore                     , (di seguito: Responsabile del trattamento o Responsabile)

Premesso che:

- per «RPD o GDPR» si intende il Regolamento sulla Protezione dei Dati o General Data Protection Regulation n. 679 del 2016 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;

- per «responsabile del trattamento» si intende “la persona fisica o giuridica, l`autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento” (Art. 4, n. 8, GDPR);

- per «trattamento» si intende “qualsiasi operazione o insieme di operazioni, compiute con o senza l`ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l`organizzazione, la strutturazione, la conservazione, l`adattamento o la modifica, l`estrazione, la consultazione, l`uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l`interconnessione, la limitazione, la cancellazione o la distruzione” (art. 4, n. 2, GDPR);

- per «dato personale» si intende “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all`ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale” (Art. 4, n. 1 GDPR);

- per «autorizzazione» si intendono le operazioni alle quali è autorizzato l’incaricato del trattamento in base alle mansioni ricoperte e/o ai privilegi riconosciuti dal sistema informatico aziendale.

Considerato che:

1) il Commissario Straordinario per la realizzazione dell'Universiade 2019 è il Titolare del trattamento dei dati personali, ai sensi dell’art. 4, n. 7, GDPR e ha affidato alla Fondazione IFEL Campania le attività di trattamento relative ai servizi di supporto e assistenza tecnica, amministrativa e legale per l’organizzazione dell’Universiade Napoli 2019, giusta Convenzione in essere;

2) l’espletamento dei sopra indicati servizi comporta il trattamento di dati personali, come definiti all’art. 4, n. 1, GDPR, così che le Parti intendono disciplinare con il presente Accordo per il trattamento dei dati personali (di seguito: Accordo o APD) le condizioni e le modalità del trattamento dei dati personali eseguito dal Responsabile nell’ambito della Convenzione e della prestazione dei Servizi, nonché le responsabilità connesse al trattamento medesimo, ivi incluso l'impegno assunto dalla Fondazione IFEL Campania quale Responsabile del trattamento dei dati personali ai sensi dell'art. 28 del GDPR;

3) in particolare, con il presente Accordo si intende integrare quanto previsto all’art. 29 della Convenzione in materia di trattamento dei dati personali, attuando le previsioni normative contenute nel GDPR;

4) la Fondazione IFEL Campania fornisce garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento esternalizzato soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell`interessato;

5) sulla base delle referenze e competenze vantate in termini di proprietà, uomini, attrezzature ed esperienza nel campo del trattamento dei dati in generale, il Titolare del trattamento ha condotto una positiva valutazione della idoneità e qualificazione della Fondazione IFEL Campania a soddisfare, anche sotto il profilo della sicurezza del trattamento, i necessari requisiti di esperienza, capacità ed affidabilità previsti dalla normativa applicabile in materia di protezione dei dati personali, onde assicurare le richieste garanzie di legge ai fini del trattamento dei dati in qualità di Responsabile del trattamento per conto del Titolare del trattamento.

Ciò premesso e considerato, con il presente Accordo – stipulato ai sensi dell’art. 28, par. 3, GDPR – il Commissario Straordinario per la realizzazione dell'Universiade 2019, in qualità di Titolare del trattamento, intende fornire alla Fondazione IFEL Campania, quale Responsabile del trattamento per l’attività sopra indicata, dettagliate istruzioni in merito, che potranno essere oggetto di successive modifiche e/o integrazioni.

PARTE PRIMA: Materia, durata, natura e finalità del trattamento. Tipo di dati personali e categoria di interessati.

La Fondazione IFEL Campania è autorizzata ad effettuare i trattamenti di seguito elencati, così come risultano dal Registro delle Attività di trattamento di cui all’art. 30 del GDPR, detenuto dal Titolare del trattamento.

TRATTAMENTI (materia)

Organizzazione e accoglienza: accreditamento; gestione villaggio atleti; comunicazione e ufficio stampa; Servizi agli spettatori; Servizi di ristorazione; games services and operations; Logistica; Media e broadcast; Sicurezza; Gestione del

rischio; Sponsorizzazione e ticketing

Gestione dei servizi per la realizzazione degli eventi sportivi: gestione dei volontari e delle uniformi; gestione dei servizi ai delegati, anche con riferimento alle diverse aree linguistiche; gestione dei servizi linguistici e pubblicazioni; gestione delle relazioni e del cerimoniale; knowledge management; presentazione sportiva; gestione dati, risultati, tempistiche e punteggi

per lo sport

Gestione delle infrastrutture e degli impianti: tecnologie; overlay, infrastrutture e impianti di gara

Pubblicazione e gestione delle procedure di gara e conseguente gestione della esecuzione dei contratti

Organizzazione tecnica e ingegneristica relativa ai trasporti, agli impianti tecnologici e alle reti, agli aspetti relativi

all’ingegneria civile/edile, alla verifica del rispetto delle procedure e della normativa relative alla sicurezza sui luoghi di lavoro, ai sistemi informativi e informatici di supporto ai servizi organizzativi, logistici e tecnologici.

La società Fondazione IFEL Campania effettua il trattamento dei seguenti dati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati:

TIPOLOGIA DI DATI	FINALITA’ DEL TRATTAMENTO	CATEGORIA DI INTERESSATI
Personali: - anagrafici (es. nome e cognome; data e luogo di nascita; genere; nazionalità e cittadinanza; foto-tessera; numero, data di scadenza e copia del documento di riconoscimento, passaporto, carta d’identità, patente; codice fiscale; firma; - di indirizzo e recapito (es. domicilio e residenza; numeri di telefono e fax; contatti email); - di varia natura: (es. iscrizione a Ordini professionali; appartenenza a gruppi e/o organismi sportivi di qualunque natura; necessità di assistenza al rilascio del visto d’ingresso e luogo di rilascio (soggetti extra-UE); funzione esercitata per l’evento (role matrix) e luogo di esercizio	Supporto e assistenza tecnica e amministrativa e legale per la realizzazione delle evento indicato in Convenzione: − Organizzazione e accoglienza − Gestione dei servizi per la realizzazione degli eventi sportivi − Gestione delle infrastrutture e degli impianti − Pubblicazione e gestione delle procedure di gara ed esecuzione di contratti − Organizzazione tecnica e ingegneristica	Partecipanti all’evento (atleti, staff, spettatori, media e broadcast) Contractors Lavoratori dipendenti e collaboratori del Titolare
Particolari: - idonei a rivelare l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose, l’appartenenza sindacale, ovvero relativi alla salute o all’orientamento sessuale (art. 9, GDPR); - relativi a condanne penali, reati e/o connessi a misure di sicurezza (art. 10, GDPR)	Supporto e assistenza tecnica e amministrativa e legale per la realizzazione delle evento indicato in Convenzione: − Organizzazione e accoglienza − Gestione dei servizi per la realizzazione degli eventi sportivi − Gestione delle infrastrutture e degli impianti − Organizzazione tecnica e ingegneristica	Partecipanti all’evento (atleti, staff, spettatori, media e broadcast)
Tecnici (es. indirizzo IP, dati di accesso dell’utente, tipo e versione del browser di navigazione, fuso orario e posizione, plug-in del programma di navigazione e relative versioni, sistema operativo, piattaforma e qualsiasi altra tecnologia che operi sui dispositivi utilizzati dall’utente per accedere ai servizi offerti dal Titolare	Supporto e assistenza tecnica e amministrativa e legale per la realizzazione delle evento indicato in Convenzione: − Organizzazione e accoglienza degli spettatori − Gestione dei servizi per la realizzazione degli eventi sportivi − Gestione delle infrastrutture e degli impianti − Pubblicazione e gestione delle procedure di gara ed esecuzione di contratti − Organizzazione tecnica e ingegneristica	Partecipanti all’evento (atleti, staff, spettatori, media e broadcast) Contractors

Fatto salvo il potere di revoca da parte del Commissario Straordinario per la realizzazione dell'Universiade 2019, la durata del presente Accordo termina al cessare del rapporto contrattuale in essere riferito alla fornitura dei servizi sopra indicati.

PARTE SECONDA: Istruzioni dettagliate

Ai sensi dell’art. 28, par. 3, lett. a), GDPR il Titolare del trattamento fornisce alla Fondazione IFEL Campania le seguenti istruzioni.

1. NATURA E FINALITÀ DEL TRATTAMENTO

Il Responsabile del trattamento:

a) tratta i dati personali nel rispetto del principio della pertinenza e della non eccedenza, esclusivamente per le finalità strettamente necessarie per l'esecuzione delle prestazioni contrattuali, obbligandosi a non comunicare o diffondere i dati personali trattati oltre i limiti autorizzati dal Titolare;

b) tratta i dati personali soltanto su istruzione documentata del Titolare, che determina in via esclusiva le finalità ed i mezzi del trattamento. In caso contrario, il Responsabile sarà considerato titolare autonomo;

c) nell’ipotesi in cui consideri che un'istruzione proveniente dal Titolare possa contravvenire ad alcune leggi o regolamenti in vigore, o ad altre disposizioni nazionali o europee relativamente alla protezione dei dati, ne da immediata notizia al Titolare, con facoltà di non dare esecuzione a tale istruzione fino a che questa non venga confermata o corretta da quest’ultimo;

d) in caso di trasferimento di tali dati personali verso un paese terzo o un’organizzazione internazionale previsto da una norma di legge, informa il Titolare circa tale obbligo giuridico prima del trattamento, a meno che una norma di legge vieti tale informazione per motivi di interesse pubblico;

e) è autorizzato ad organizzare ogni operazione di trattamento di dati personali, con o senza l’ausilio di strumenti elettronici o comunque automatizzati, nel pieno rispetto delle norme previste dal GDPR e della normativa nazionale, nonché di quanto disposto dalle istruzioni operative impartite dal Titolare del trattamento;

f) verifica che i trattamenti di dati personali, effettuati nell’ambito dell’incarico conferito dal Titolare, non si discostino dalle finalità per cui i dati stessi sono raccolti e, a tal fine, si obbliga a mantenere attivo il monitoraggio dei trattamenti di propria competenza;

g) tiene i dati personali, trattati in esecuzione del presente Accordo, separati rispetto a quelli eventualmente trattati per conto di altre terze parti, applicando una segregazione logica e, ogni qualvolta possibile, anche fisica;

h) garantisce la stretta osservanza dell’incarico ricevuto, escludendo qualsiasi trattamento o utilizzo dei dati personali trattati per conto del Titolare non coerente con gli specifici trattamenti svolti in adempimento del presente Accordo;

i) mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui all’art. 28 del GDPR, contribuendo alle attività di revisione realizzate dal medesimo Titolare o da un altro soggetto da questi incaricato, ovvero dalle Autorità di controllo. Resta inteso che, laddove tali attività comportino un costo per il Responsabile, le stesse saranno gestite previa stima dei costi necessari per la loro attuazione, da intendersi a carico del Titolare.

2. DESIGNAZIONE DI SUB-RESPONSABILI

Il Responsabile del trattamento può procedere alla designazione di Sub-Responsabili per l’espletamento dell’incarico ricevuto, previa autorizzazione scritta, specifica o generale, da parte del Titolare del trattamento.

Nell'ipotesi di autorizzazione scritta generale, è obbligo del Responsabile informare il Titolare di eventuali modifiche (aggiunta, sostituzione, ecc.) riguardanti i Sub-Responsabili del trattamento, in modo che il Titolare possa eventualmente opporsi a tali modifiche.

Il Responsabile garantisce che i Sub-Responsabili sono designati tra coloro che presentano garanzie sufficienti per mettere in atto misure tecniche e organizzative idonee a garantire il rispetto della normativa in materia di protezione dei dati personali.

In ogni caso, sui Sub-Responsabili incombono gli stessi obblighi in materia di protezione dei dati personali previsti a carico del Responsabile del trattamento designato (Responsabile iniziale), che risponde direttamente al Titolare per l'eventuale inadempimento, imputabile ai Sub-Responsabili, agli obblighi in materia di protezione dei dati personali.

Il Responsabile comunica per iscritto la designazione dei Sub-Responsabili al Titolare, il quale si riserva la facoltà di opporsi entro 15 giorni dal ricevimento di tale comunicazione.

In caso di opposizione del Titolare, laddove il Responsabile ritenga che la specifica designazione dei Sub-Responsabili sia necessariamente strategica per il corretto espletamento del proprio incarico, il Titolare potrà scegliere se dare disdetta al contratto ovvero modificare l’erogazione del servizio, sulla base di quanto indicato nella Convenzione in essere.

3. DESIGNAZIONE PERSONE AUTORIZZATE E OBBLIGHI DI RISERVATEZZA

Il Responsabile del trattamento può individuare le persone autorizzate al trattamento (ex Incaricati) tra i propri dipendenti o eventuali altre persone fisiche (es. collaboratori, consulenti e/o altre figure professionali anche autonome), che siano deputati a trattare i dati messi a disposizione dal Titolare, comunicando a quest’ultimo, su specifica richiesta, l’elenco aggiornato dei soggetti designati, secondo le modalità indicate nella Convenzione in essere.

Le persone autorizzate al trattamento dei dati personali sono vincolate ad osservare rigidi canoni di riservatezza, anche per il periodo successivo all'estinzione del rapporto di collaborazione intrattenuto con il Responsabile del trattamento.

La designazione deve avvenire per iscritto.

Resta inteso che, poiché il trattamento dei dati è eseguito anche direttamente dal Titolare del trattamento (trattamento diretto), in tale ipotesi quest’ultimo provvederà a designare personalmente i soggetti autorizzati al trattamento, nel rispetto delle previsioni di legge e con esonero del Responsabile del trattamento da ogni responsabilità sulle descritte designazioni.

Il Responsabile del trattamento informa le persone autorizzate al trattamento del contenuto del presente Accordo e, in generale, le istruisce sulle procedure di sicurezza del trattamento predisposte dal Titolare, attuando un monitoraggio sistematico e dettagliato sulla concreta osservanza, da parte delle stesse, delle istruzioni contenute nel presente Accordo.

4. SICUREZZA DEL TRATTAMENTO

Il Responsabile del trattamento adotta le misure di sicurezza previste dall’art. 32 del GDPR, consistenti in misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio, come indicate dalla norma richiamata.

In base alle eventuali richieste del Titolare, ovvero sulla base dell’effettiva necessità di accesso ai dati, il Responsabile del trattamento assicura la piena collaborazione nell’eseguire interventi di monitoraggio e miglioramento delle misure di sicurezza. In particolare, tutte le descritte misure di sicurezza saranno costantemente adottate ed aggiornate al fine di impedire la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso, in modo accidentale o illegale, ai dati offerti dal Titolare, conservati o comunque trattati, nonché allo scopo di escludere un trattamento di dati non consentito o non conforme alle finalità previste.

Il Responsabile del trattamento si obbliga a rispettare tutte le misure di sicurezza già attuate o che verranno in futuro predisposte ai sensi della normativa applicabile in materia di protezione dei dati personali.

In particolare, il Responsabile del trattamento si obbliga:

• a trattare i dati personali esclusivamente sulle aree di lavoro messe a disposizione dal Titolare (es. OneDrive e altri sistemi di cloud storage e backup), utilizzando unicamente i software offerti dal Titolare (videoscrittura, fogli di calcolo, basi di dati, publishing, presentazioni, video editing, ecc.);

• non eseguire, se non previa esplicita autorizzazione del Titolare del trattamento, copie o back-up di sicurezza dei dati su spazi e supporti diversi da quelli indicati dal Titolare;

• utilizzare esclusivamente i programmi forniti dal Titolare come antivirus, antimalware, antispyaware, firewall e ogni altro applicativo idoneo a garantire la massima misura di sicurezza;

• verificare costantemente che i profili di accesso assegnati alle persone autorizzate al trattamento siano adeguati e non eccedenti le esigenze della mansione o dell’Unità organizzativa/operativa cui gli stessi sono stati assegnati;

• custodire le credenziali di accesso alle reti e ai sistemi informatici offerti dal Titolare in luogo sicuro e non accessibile a soggetti diversi dalla persona autorizzata all’accesso;

• utilizzare le caselle di posta elettronica messe a disposizione dal Titolare, ovvero quelle su dominio specifico IFEL. In tale ultimo caso, il Responsabile del trattamento presta ogni più ampia garanzia in ordine all’adozione di misure tecniche ed organizzative idonee a garantire un livello di sicurezza adeguato al rischio, conformi a quelle adottate dal Titolare del trattamento. Inoltre, tutti i contenuti delle caselle di posta elettronica su dominio specifico IFEL dovranno essere oggetto, con cadenza settimanale, di back-up specifico su spazio messo a disposizione del Titolare;

• per il caso di trattamenti effettuati presso le sedi del Titolare con strumenti propri del Responsabile del trattamento, ad osservare le istruzioni dettagliate contenute nella Parte Seconda, Sezione 5, del presente Accordo (“Sicurezza e verifiche”);

• in generale, fornire alle persone autorizzate al trattamento precise istruzioni operative, anche sotto il profilo delle misure minime di sicurezza, tenuto anche conto della natura dei dati trattati (es. comuni, sensibili, giudiziari, ecc.) e di eventuali situazioni organizzative e/o ambientali particolari.

Il Responsabile potrà aderire ad un codice di comportamento ovvero esibire una certificazione che lo impegna ad osservare le misure di sicurezza previste dal codice di comportamento o dai protocolli riferiti alla certificazione. In questo caso il Titolare accetterà la certificazione come prova del fatto che il Responsabile del trattamento ha adottato misure adeguate rispetto al trattamento effettuato, con espressa rinuncia ad effettuare attività di audit sui sistemi e sulle procedure adottate dal Responsabile.

5. SICUREZZA E VERIFICHE

Il Responsabile del trattamento assiste il Titolare nel garantire il rispetto degli obblighi di sicurezza dei dati personali, come previsto agli artt. 32-36 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Responsabile. E’ tenuto a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi incombenti sul Responsabile del trattamento, consentendo e contribuendo alle attività di revisione, comprese le eventuali ispezioni, realizzate dal Titolare del trattamento o da altro soggetto da questo incaricato.

Il Responsabile non potrà effettuare presso le proprie sedi trattamenti di dati forniti dal Titolare.

Per i trattamenti effettuati presso le sedi del Titolare con strumenti propri del Responsabile del trattamento (es. laptop), quest’ultimo collabora con il Titolare nell’eseguire la valutazione delle misure di sicurezza adottate, fornendo i contributi informativi eventualmente richiesti dal Titolare per effettuare report di conformità a tali misure.

Su autorizzazione del Titolare, il Responsabile potrà procedere al trattamento attraverso strumenti predisposti e configurati da quest’ultimo, adottando in tali ipotesi ogni cautela necessaria affinché il trattamento sia comunque effettuato sotto il continuo controllo del Titolare.

Qualora il Titolare trasferisca dati aziendali propri presso l’infrastruttura del Responsabile, ovvero qualora quest’ultimo dovesse collegarsi da remoto ed utilizzare i sistemi del Titolare, il Responsabile dovrà porre in essere adeguate misure minime di sicurezza, sulle quali potrà essere effettuata attività di verifica o richieste di riscontro specifiche, con riferimento a:

• sistemi di autenticazione e autorizzazione all’accesso ai dati

• protezione da malware informatico

• protezione da accessi abusivi

• correzione vulnerabilità applicativi e sistemi operativi

• procedure di back-up e ripristino dei dati

• controllo supporti di memoria utilizzati (hd, chiavette, supporti ottici, ecc.)

• controllo dei soggetti autorizzati all’accesso con credenziali di admin

• protezione fisica di sede e archivi

Il Responsabile del trattamento informa il Titolare, senza ingiustificato ritardo, eventuali violazioni dei dati personali (data breach) adottando, di concerto con lo stesso, nuove misure di sicurezza atte a circoscrivere gli effetti negativi dell’evento e a ripristinare la situazione precedente. L’informazione in parola deve avvenire a mezzo PEC entro le 24 ore successive al momento in cui il Responsabile ha avuto conoscenza della violazione, e la notifica dovrà contenere quanto espressamente indicato all’art. 33, comma 3, GDPR, così da permettere al Titolare del trattamento, se necessario, di notificare questa violazione all’Autorità di controllo competente.

6. ASSISTENZA AL TITOLARE

Il Responsabile del trattamento assiste il Titolare al fine di soddisfare l’obbligo incombente su quest’ultimo di dare seguito alle richieste di esercizio dei diritti da parte degli interessati.

A tal fine, comunica al Titolare (e contestualmente al Responsabile della protezione dei dati designato), al momento della ricezione, eventuali richieste di informazioni o comunicazioni degli interessati o del Garante nazionale ed europeo per la protezione dei dati personali, provvedendo al relativo riscontro previa consultazione del Titolare medesimo.

Qualora il Titolare decida di riscontrare direttamente le istanze, ne darà comunicazione al Responsabile, il quale dovrà comunque fornire al Titolare le necessarie informazioni e offrire la più ampia collaborazione.

7. VALUTAZIONE D’IMPATTO PRIVACY

Il Responsabile del trattamento assiste il Titolare, se richiesto e previa stima dei costi necessari per la loro attuazione, nelle attività di Valutazione d’impatto privacy (Data Protection Impact Assessment – DPIA) o di preventiva consultazione con l’Autorità Garante.

8. DURATA DEL TRATTAMENTO

Il Responsabile del trattamento assicura che i dati personali saranno conservati esclusivamente su piattaforme, spazi informatici e archivi messi a disposizione del Titolare, per il periodo di tempo strettamente necessario all’esecuzione delle attività e/o dei servizi indicati nella Convenzione in essere, e comunque non oltre i termini di legge o quelli di volta in volta indicati dal Titolare medesimo.

Il Responsabile del trattamento è tenuto ad aggiornare i dati personali oggetto di trattamento. Non può procedere alla loro e comunicazione, diffusione, cancellazione o distruzione senza preventiva autorizzazione del Titolare, che potrà essere rilasciata anche con modalità informali (es. mail).

Il Responsabile assicura che alla cessazione, per qualsiasi causa, della prestazione delle attività e/o servizi relativi al trattamento, non saranno eseguite copie dei dati personali forniti dal Titolare, salvo che le disposizioni di legge nazionali ed europee non prevedano la conservazione.

9. REGISTRO DEI TRATTAMENTI

Il Responsabile del trattamento tiene un Registro delle categorie di attività relative al trattamento svolte per conto del Titolare, in forma scritta e/o in formato elettronico, contenente il nome e i dati di contatto dei Responsabili del trattamento, dei Titolari per conto dei quali agisce in qualità di Responsabile del trattamento, degli eventuali rappresentanti designati da ciascun Titolare o Responsabile, nonché – ove applicabile – del Responsabile della protezione dei dati.

Il Registro, che sarà periodicamente aggiornato dal Responsabile, indica altresì: a) le categorie dei trattamenti effettuati per conto di ciascun Titolare; b) se applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale (compresa l'identificazione di questi ultimi e, se previsto dalla legge applicabile, la documentazione delle garanzie adeguate); c) ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate ai fini della sicurezza del trattamento.

10. ATTIVITA’ DI COOPERAZIONE

Il Responsabile del trattamento è tenuto a collaborare con l’Autorità di controllo (artt. 31 e 58 GDPR), cooperare con gli organismi indipendenti di certificazione (art. 42, par. 6, GDPR) e a prestare supporto al Responsabile della protezione dei dati (RPD o DPO), ove designato.

In generale, poi, esegue ogni altro adempimento e/o operazione richiesti dal Titolare e/o necessari per garantire il pieno rispetto delle disposizioni normative in materia di protezione dei dati personali e dei provvedimenti emessi dal Garante nazionale o europeo.

PARTE TERZA: Obblighi specifici del Titolare del trattamento

In qualità di Titolare del trattamento, IL Commissario Straordinario per la realizzazione dell'Universiade 2019 assume nei confronti del Responsabile i seguenti obblighi:

• garantisce che i dati, notizie, informazioni, testi, segni, immagini, ecc. consegnati e/o trasmessi al Responsabile per il loro trattamento sono acquisiti legittimamente e non violano in alcun modo diritti di terzi;

• fornisce esclusivamente per iscritto al Responsabile le informazioni riguardanti il trattamento dei dati personali;

• vigila, sia in via preventiva che durante tutta la durata del trattamento, anche mediante audit ed ispezioni, sull’osservanza da parte del Responsabile degli obblighi di legge e delle istruzioni impartite in materia di protezione dei dati personali.

Resta comunque inteso che IL Commissario Straordinario per la realizzazione dell'Universiade 2019 mantiene la titolarità dei dati, notizie, informazioni, testi, segni, immagini, ecc. consegnati al Responsabile per il loro trattamento ed assume espressamente ogni più ampia responsabilità in ordine alla loro natura e contenuto, esonerando il Responsabile del trattamento dall’onere di eseguire al riguardo accertamenti, verifiche o controlli di qualunque genere.

PARTE QUARTA: Disposizioni finali

Gli impegni assunti dal Responsabile del trattamento con il presente Accordo si intendono a titolo non oneroso, in quanto già retribuiti dalla Convenzione alla base del servizio esternalizzato.

Eventuali modifiche alla presente regolamentazione contrattuale dovranno essere apportate solo mediante una dichiarazione scritta concordata tra le Parti.

L’invalidità, anche parziale, di una o più delle clausole del presente atto non pregiudica la validità delle restanti clausole.

Con il presente atto le Parti intendono espressamente revocare e sostituire ogni altro atto tra di esse esistente relativo al trattamento dei dati personali.

Le Parti hanno letto e compreso il contenuto del presente Accordo e lo sottoscrivono accettandolo integralmente.

Luogo e data,                

Il Titolare del Trattamento

Commissario Straordinario per la realizzazione dell'Universiade 2019

Il Responsabile del Trattamento

Fondazione IFEL Campania