CONTRATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
CONTRATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
ai sensi dell’art 28 del Regolamento europeo n. 16/679
TRA
CFP Ticino Malpensa, con sede in Somma Lombardo (Va) Via Visconti di Modrone, 12, P. IVA 02594340123 (di seguito
il “Titolare”), in persona del legale rappresentante o suo delegato, nella sua qualità di Titolare del trattamento dei personali, ai sensi dell’art 24 del Regolamento europeo n. 16/679 (di seguito “GDPR”)
E
Il Collaboratore , (di seguito “contraente o “Responsabile”) Congiuntamente indicate come le “Parti”.
Premesso che:
- CFP Ticino Malpensa svolge attività di formazione professionale, orientamento, consulenza individuale e alle imprese, servizi al lavoro, assistenza all’inserimento lavorativo degli utenti ed alla creazione di impresa.
- Il Collaboratore ai sensi dell’art. 28 del Regolamento europeo n. 16/679, dichiara di possedere garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate affinché il trattamento dei dati personali soddisfi i requisiti delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza, garantendo in tal modo la tutela dei diritti degli interessati.
- CFP Ticino Malpensa in qualità di Titolare del trattamento, intende nominare il Collaboratore quale Responsabile del trattamento ed il contraente, intende accettare tale nomina;
Tutto ciò premesso,
alla luce di quanto precede, le Parti stipulano quanto segue:
SEZIONE N. 1
Definizioni
Fatta eccezione per i termini e le espressioni altrimenti definiti nel presente Contratto, i termini e le espressioni contrassegnate da
iniziali maiuscole avranno il significato di seguito specificato:
• “Contratto” indica l’accordo sottoscritto tra le Parti.
• “Codice Privacy” indica le norme italiane che disciplinano la protezione dei Dati Personali, ed in particolare il Decreto Legislativo 196/2003 e successive modifiche e integrazioni
• “Regolamento UE 2016/679” o “GDPR” indica la norma europea di riferimento che disciplina la protezione dei Dati Personali ed è direttamente applicabile in ciascuno degli Stati Membri dell’Unione Europea.
• Autorità di Controllo” indica il Garante per la protezione dei Dati Personali.
• “Comitato Europeo per la protezione dei dati” indica l’organismo dell’Unione Europea dotato di personalità giuridica istituito ai sensi degli artt. 68 e ss. del Regolamento EU 2016/679.
• Articolo 29” indica il Gruppo di lavoro istituito in virtù dell’articolo 29 della direttiva 95/46/CE.
• “Dato/i Personale/i” qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
• “Categorie Particolari di Dati” indica ogni Dato Personale idoneo a rivelare l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale
della persona (anche detti “Dati Sensibili” ai sensi del D.lgs. 196/2003).
• “Dati Giudiziari” indica ogni Dato Personale relativo a condanne penali e ai reati o a connesse misure di sicurezza ovvero relativo a provvedimenti giudiziari, sanzioni penali, o carichi pendenti, o la qualità dell’imputato o indagato ai sensi degli articoli 60 e 61 del Codice di Procedura Penale.
• “Trattamento” indica qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione
mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.
• “Titolare” indica la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali. Ai fini del presente atto con il termine
Titolare si intende CFP Ticino Malpensa.
• “Responsabile” indica la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che tratta dati per conto del Titolare del trattamento dei Dati Personali.
• “Interessato” la persona fisica identificata o identificabile a cui si riferiscono i Xxxx Personali.
• “Terze Parti o Terzi” indica la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che non sia l’interessato, il Titolare, il Responsabile e gli incaricati autorizzati al trattamento dei Dati Personali sotto l’autorità diretta del titolare o del responsabile.
SEZIONE N. 2
1. NOMINA DEL RESPONSABILE DEL TRATTAMENTO
Con la sottoscrizione del presente atto che forma parte integrante del Contratto, CFP Ticino Malpensa nomina Il Collaboratore quale responsabile del Trattamento ai sensi dell’art. 28 del Regolamento EU 2016/679, con l’incarico di effettuare le operazioni di trattamento sui Dati Personali di cui entra in possesso od a cui ha comunque accesso, necessarie all’adempimento dei compiti affidatigli.
Il Responsabile, con la sottoscrizione del presente accordo, accetta tutti i termini sotto indicati, conferma la diretta e approfondita conoscenza degli obblighi che si assume in relazione al dettato normativo vigente e si impegna a procedere al trattamento dei Dati Personali attenendosi alle istruzioni ricevute dal Titolare attraverso il presente contratto o quelli ulteriori che saranno conferite nel corso delle attività prestate in suo favore.
Il Responsabile prende atto che l’incarico di effettuare le operazioni di trattamento sui Dati Personali quale Responsabile è stato affidato esclusivamente in quanto il profilo professionale, in termini di proprietà, risorse umane, organizzative ed attrezzature, dichiara di essere idoneo a soddisfare i requisiti di esperienza, capacità, affidabilità previsti dalla vigente
normativa. In caso di qualsiasi mutamento di tali requisiti, il Titolare potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta.
A) NATURA E FINALITÀ DEL TRATTAMENTO:
Il trattamento deve essere svolto da parte del Responsabile in esecuzione del vigente rapporto contrattuale e per il perseguimento delle seguenti finalità:
• Formazione professionale e orientamento
• Servizi al Lavoro
• Incrocio domanda/offerta di lavoro.
• Servizi di formazione e consulenza alle imprese.
• Progetti di supporto alle fasce deboli.
• Finalità Statistiche anonime
B) DATI PERSONALI OGGETTO DEL TRATTAMENTO I dati personali oggetto di trattamento sono:
• Dati identificativi e di contatto.
• Livello d’istruzione.
• Dati relativi al tipo di lavoro svolto / ricercato.
• Dati relativi ai referenti aziendali.
• Dati allievi e famiglie
• Dati allievi disabili
C) CATEGORIE DI INTERESSATI
Le categorie di interessati a titolo esemplificativo e correlati alle attività istituzionali di CFP Ticino Malpensa sono i dipendenti, collaboratori professionali individuali e imprese giuridiche, gli allievi e le famiglie, i corsisti, gli utenti, le aziende, i fornitori di beni e servizi.
D) DURATA DEL CONTRATTO
La presente nomina ha validità per tutta la durata del rapporto giuridico intercorrente tra le parti, salva la facoltà di recesso da parte del Titolare.
Il presente contratto ha efficacia dalla data della sottoscrizione ad opera di entrambi, Titolare e Responsabile.
Il presente contratto si intende automaticamente risolto per effetto della cessazione, a qualsiasi titolo intervenuta, del rapporto tra il Titolare ed il Responsabile.
E) OBBLIGHI E DIRITTI DEL TITOLARE DEL TRATTAMENTO Il titolare del trattamento dei dati personali si impegna:
- a rispettare la normativa sulla protezione dei dati personali;
- a prevedere misure tecniche ed organizzative idonee ad evitare la perdita, la cancellazione, la distruzione anche accidentale dei dati personali ed ogni altro rischio connesso al trattamento di dati personali così da garantire i diritti degli interessati;
- a fornire al responsabile del trattamento ogni informazione necessaria e richiesta per consentire il trattamento dei dati personali a lui conferito Il titolare del trattamento ha diritto di svolgere controlli sull’attività svolta dal responsabile del
La suddetta attività di verifica potrà concretizzarsi attraverso la richiesta al Responsabile di compiere attività di autovalutazione rispetto alle misure di sicurezza adottate fornendone, a richiesta, documentazione scritta.
F) OBBLIGHI E DIRITTI DEL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
• Il responsabile del trattamento dei dati personali si impegna a trattare i dati personali soltanto su istruzione documentata del titolare del trattamento per le attività già indicate nel contratto principale, in particolare: trattare i dati personali soltanto su istruzione documentata del titolare del trattamento;
• Trattare i dati personali nel rispetto del principio della pertinenza e di non eccedenza, nonché in modo lecito e secondo correttezza ai sensi dell’art 5 del Regolamento europeo, e ad assicurare il rispetto della riservatezza, dell’integrità e della disponibilità dei dati, nonché il loro utilizzo entro i limiti delle operazioni necessarie per lo svolgimento dei servizi previsti dal Contratto e per eventuali finalità connesse ad obblighi di legge.
• Adottare le misure di sicurezza atte a soddisfare i contenuti dell’art 32 del Regolamento europeo n. 679/16 al fine di
ridurre i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito, o non conforme alle finalità della raccolta e adegua a regola d’arte le misure di sicurezza al tipo di attività, di trattamento effettuato.
• a conservare i dati personali per il tempo strettamente necessario a perseguire le finalità indicate dal Titolare del trattamento salvo specifici obblighi di legge;
• Gestire la documentazione relativa agli adempimenti prescritti dalla legge, tramite adeguate procedure in grado di garantire la custodia, la non alterazione ed il pronto ritrovamento di essa.
• Coadiuvare il titolare, su sua richiesta, nella difesa nei procedimenti dinanzi al Garante o all’Autorità giudiziaria ordinaria anche consentendogli la tempestiva esibizione degli elementi documentali e probatori rientranti nella propria competenza.
• Assicurare che i dati personali siano conservati per il periodo di tempo strettamente necessario all’esecuzione delle attività/servizi oggetto di Contratto, e comunque non oltre i termini di legge o quelli di volta in volta indicati o concordati con il Titolare.
• Provvedere, nel caso in cui riceva istanze dagli interessati ai sensi degli artt. da 15 a 22 del Reg. Ue 679/16 a:
⎯ darne tempestiva comunicazione scritta al Titolare su xxxxxxx@xxxxxxxxxxxxxxxxx.xx, allegando copia della richiesta,
⎯ accertare l’identità del richiedente per verificare la legittimità della richiesta,
⎯ contribuire, in collaborazione con il Titolare, alla verifica di completezza delle informazioni da trasmettere al richiedente in ossequio all’istanza inoltrata,
⎯ soddisfare tali diritti – per quanto di propria competenza - nel termine previsto dalla Legge, provvedendo all’inoltro delle informazioni oggetto di riscontro all’interessato.
• Garantire che i Dati Personali oggetto di trattamento non siano comunicati o diffusi a terzi in Italia o anche all’estero senza la preventiva autorizzazione del Titolare.
• Assistere il titolare del trattamento nel garantire il rispetto degli obblighi previsti in merito a misure di sicurezza, notificazione di una violazione all’Autorità di Controllo, comunicazione della violazione dei dati agli interessati, valutazione di impatto del rischio nonché in caso di consultazione preventiva del Garante.
• Informare, mediante ogni strumento utile ed in ogni caso scrivendo anche su xxxxxxx@xxxxxxxxxxxxxxxxx.xx, il Titolare del trattamento di eventuali incidenti e/o violazione dei dati cd data breach entro le 24 ore, dalla loro scoperta e fornire tutti i dettagli completi della violazione subita: in particolare, fornendo una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero
approssimativo di registrazioni dei dati in questione, l’impatto della violazione dei dati personali sul Titolare e sugli interessati coinvolti e le misure adottate per mitigare i rischi.
• Fornire assistenza al Titolare per far fronte alla violazione ed alle sue conseguenze soprattutto in capo agli interessati coinvolti.
• Garantire che in caso di cessazione del rapporto contrattuale i dati personali ad esclusione di quelli strettamente necessari per adempiere ad altri obblighi di legge, saranno restituiti al Titolare e le memorie elettroniche che contenevano i medesimi saranno cancellate in modo irreversibile o, in alternativa, distrutte quando la cancellazione dei
dati dai supporti non sia possibile.
• Non trasferire dati all’estero.
• Nell’eventualità che abbia ricevuto proprie credenziali di autenticazione queste devono essere conservate, così come le parole chiave, con la massima segretezza ed utilizzate in modo esclusivo; la parola chiave, se prevista, deve essere
composta da almeno 8 caratteri oppure, nel caso lo strumenti elettronico no lo permetta, da un numero di caratteri massimo a quello consentito; deve modificare la propria password ogni sei mesi oppure tre mesi in caso di trattamento di categorie particolari di dati personali (artt. 9 e 10 Regolamento UE 2016/679), evitando di riutilizzarne una in precedenza inserita. La password, avente una lunghezza minima di 8 caratteri, non deve contenere informazioni di facile reperibilità riconducibili all’Autorizzato stesso(quali ed es. nome o cognome, acronimi facilmente riconducibili all’interessato, ecc….); non deve comunicare ad alcun soggetto le proprie credenziali di autenticazione informatica (formate da un user id e una password), ad eccezione dei casi di prolungata assenza o impedimento dell’Autorizzato qualora fosse indispensabile e indifferibile intervenire per esclusive necessità di operatività e sicurezza del sistema, in caso di allontanamento temporaneo dalla postazione di lavoro, deve verificare che non vi sia la possibilità da parte di terzi di accedere a dati personali per i quali è in corso un qualunque tipo di trattamento, sei esso cartaceo che informatizzato. in particolare: nel
atte a garantirne la massima riservatezza rispondendo tali documenti in luogo sicuro non accessibile a soggetti non autorizzati; nell’eventualità di utilizzo degli strumenti elettronici messi a disposizione del Titolare, all’autorizzato è fatto
divieto di utilizzare il software e l’hardware aziendale per scopi strettamente personali. In particolare è vietato: l’invio e la ricezione di e-mail personali all’indirizzo di mail aziendale assegnato, l’utilizzo di e-mail personali (anche web-mail) attraverso i sistemi informatici aziendali, la navigazione su internet di siti non attinenti alla mansione lavorativa, l’utilizzo
di internet per sessioni di chat o di download non autorizzato di qualsiasi file, l’installazione sui PC aziendali di software non espressamente autorizzato, l’utilizzo di sistemi peer to peer per lo scambio di fila (musica, filmati, suonerie, files in genere), la connessione alla rete aziendale del proprio PC personale o latra strumentazione informatica di proprietà; nell’ambito dei trattamenti effettuati con supporti cartacei, deve osservare le seguenti disposizioni: controllo e custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali, ciascun autorizzato , che tratta atti e documenti contenenti dati personali, deve conservarli e restituirli solo al termine delle operazioni, se i documenti in possesso degli autorizzati contengono categorie particolari di dati personali o dati giudiziari (artt. 9 e 10 Regolamento UE 2016/679) ciascun autorizzato p tenuto a conservarli fino alla restituzione in
contenitori muniti di serratura, dopo l’orario di chiusura, l’accesso agli archivi contenenti documenti è consentito solo previa identificazione e registrazione dei soggetti autorizzati, se gli atti ed i documenti contenenti categorie particolari di dati personali o dati giudiziari (artt. 9 e 10 Regolamento EU 2016/679) sono affidati all’autorizzato del trattamento per lo svolgimento dei relativi compiti, i medesimi atti o documenti sono controllati e custoditi dall’autorizzato fino alla
restituzione in maniera, che ad esse non accedano persone prive di autorizzazione e sono restituiti al termine delle operazioni affidate, quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accesi o di incaricati
della vigilanza, le persone che vi accedono sono preventivamente autorizzate; è fatto divieto a chiunque di effettuare copie su supporti magnetici, fotostatiche o di qualsiasi altra natura se non espressamente autorizzate dal titolare
G) MANLEVA E RESPONSABILITÀ PER VIOLAZIONE DELLE DISPOSIZIONI
Il Responsabile, con l’accettazione della presente nomina, si impegna a mantenere indenne il Titolare da qualsiasi responsabilità, danno, incluse le spese legali, o altro onere che possa derivare da pretese, azioni o procedimenti avanzate da terzi a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento dei Dati Personali che
sia imputabile a fatto, comportamento o omissione del Responsabile, ivi incluse le eventuali sanzioni che dovessero essere comminate ai sensi del GDPR.
Il Responsabile si impegna a comunicare prontamente al Titolare eventuali situazioni sopravvenute che, per il mutare
delle conoscenze acquisite in base al progresso tecnico o per qualsiasi altra ragione, possano incidere sulla propria idoneità allo svolgimento dell’incarico.
Il Titolare ha il diritto di reclamare dal Responsabile la parte dell’eventuale risarcimento di cui dovesse essere chiamato a rispondere nei confronti di terzi per le violazioni commesse dal Responsabile ai sensi dell’art. 82, paragrafo 5, del GDPR. Nel caso di mancata o ritarda comunicazione di data breach al Titolare da parte del Responsabile, il Titolare può richiedere il risarcimento dei danni equivalenti alla sanzione comminata dall’Autorità, quelli derivanti dal risarcimento danni degli interessati e dal danno reputazionale.
Fatti salvi gli articoli 82, 83, 84, del Regolamento UE 2016/679, in caso di violazione delle disposizioni contenute nella presente nomina relative alle finalità e modalità di trattamento dei dati, di azione contraria alle istruzioni ivi contenute o in caso di mancato adempimento agli obblighi specificatamente diretti al Responsabile dal Regolamento UE 2016/679, il Responsabile sarà considerato quale Titolare del trattamento e ne risponderà direttamente dal punto di vista sanzionatorio; non è possibile ricorrere ad altri responsabili (sub-responsabili).
H) SOPRAVVIVENZA DELLE CLAUSOLE
Alla cessazione, per qualsiasi causa, del Contratto continueranno ad avere efficacia quelle clausole che per loro natura sopravvivono all’estinzione del rapporto giuridico:
I ) ACCETTAZIONE DELLA NOMINA
Con la sottoscrizione del presente atto, ai sensi dell’art. 28 del Regolamento UE 2016/679, il Responsabile accetta la propria nomina, in relazione ai dati personali la cui conoscenza risulta essere indispensabile per l’adempimento delle obbligazioni di cui al Contratto. Il Responsabile è a conoscenza degli obblighi previsti dal Regolamento UE 2016/ e dovrà attenersi per lo svolgimento dei compiti assegnatigli alle previsioni ed ai compiti contenuti nel presente atto di nomina.
La presente nomina avrà durata fino alla cessazione, per qualsivoglia motivo, del Contratto. Somma X.xx
Sottoscrizione
CFP Ticino Malpensa – Titolare del trattamento
Per integrale accettazione
la società/collaboratore/consulente esterno – Responsabile del trattamento