PATTO DI RISERVATEZZA, COMPITI ED ISTRUZIONI PER IL RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI TRA

Addendum al contratto di cui alla determina …… / numero CIG

PATTO DI RISERVATEZZA, COMPITI ED ISTRUZIONI PER IL RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI

TRA

Università degli studi di Genova, P.I. e C.F.00754150100, con sede legale in Xxx Xxxxx, 0 00000- Xxxxxx

E

_ (denominazione della persona giuridica o fisica nel caso di Professionista), codice fiscale ______________________, con sede legale in _______________________________, in persona del legale rappresentante/procuratore________________________________ (in caso di persone giuridiche), nato a ______________ il ________________________ (nel seguito Fornitore)

Il presente Xxxxxxxx è redatto in conformità a quanto previsto all’art. 28 del Regolamento (UE) 2016/679 e forma parte integrante e sostanziale del Contratto stipulato tra le Parti, disciplinando le istruzioni che il Fornitore (ivi incluso il trattamento ad opera di eventuale sub-appaltatore o sub-fornitore) si impegna ad osservare nell’ambito dei trattamenti dei dati personali che realizzerà per conto dell’Università degli studi Genova (nel presente Addendum anche solo “Amministrazione”) nello svolgimento delle attività oggetto del Contratto.

Si precisa che, nella sua qualità di Responsabile esterno del trattamento, il Responsabile eseguirà le operazioni di trattamento nel rispetto di quanto disposto nel presente documento in piena autonomia gestionale, anche sotto il profilo economico. Pertanto, è da intendersi che il Titolare non sarà tenuto a contribuire né a rimborsare le eventuali spese che il Responsabile esterno dovrà sostenere al fine di assolvere correttamente e nel rispetto del Reg. 679/2016 i compiti affidati.

A) DEFINIZIONI

- "Dati Personali": qualsiasi informazione relativa a una persona fisica identificata o identificabile (interessato) come definita nelle Norme in materia di Trattamento dei Dati Personali;

- "Dati Personali dell’Amministrazione": i Dati Personali (nonché i dati appartenenti alle categorie particolari di dati personali di cui all’art. 9 e 10 del Regolamento UE 2016/679), concessi in licenza o diversamente messi a disposizione, trasmessi, gestiti, controllati o comunque trattati dall’Amministrazione;

- “Norme in materia di Trattamento dei Dati Personali”: tutte le leggi, disposizioni e direttive normative applicabili in relazione al trattamento e/o alla protezione dei Dati Personali, così come modificate di volta in volta, ivi incluso, ma non limitatamente, il Regolamento UE 2016/679 (GDPR), la normativa di adeguamento italiana, circolari, pareri e direttive dell’Autorità di Controllo nazionale, le decisioni interpretative adottate dallo European Data Protection Board.

- “Contratto”: si intende il contratto stipulato tra l’Amministrazione e il Fornitore e avente ad oggetto_________________________________________________________________________________

- “Misure di Sicurezza”: le misure di sicurezza di natura fisica, logica, tecnica e organizzativa adeguate a garantire un livello di sicurezza adeguato al rischio, ivi comprese quelle specificate nel Contratto, unitamente ai suoi eventuali Allegati.

- “Trattamento”: qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a Dati Personali o insieme di Dati Personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o, qualsiasi altra forma messa a disposizione, il raffronto o l’interconnessione, la limitazione, allineamento o combinazione, la cancellazione o la distruzione.

- “Autorità di controllo”: l'autorità pubblica indipendente istituita da uno Stato membro, ovvero, per l’Italia, il Garante per la protezione dei dati personali;

- “Titolare del trattamento”: la persona fisica o giuridica, l'Autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione europea o degli Stati membri, il Titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell’Unione o degli Stati membri; ovvero l’Amministrazione;

- “Responsabile della protezione dei dati” (Data protection officer – DPO – RDP), soggetto individuato dal Titolare del trattamento dei dati come definito dal Regolamento (UE) 2016/679 agli artt. 37-39;

- “Responsabile esterno del trattamento”: la persona fisica o giuridica, l'Autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare o del Contitolare del trattamento; ovvero il Fornitore;

- “Sub-Responsabile del trattamento”: la persona fisica o giuridica, l'Autorità pubblica, il servizio o altro organismo che svolge in forza di contratto scritto con altro Responsabile del trattamento; ovvero il subappaltatore o subfornitore autorizzato dall’Amministrazione;

- “Fornitore”: l’Impresa appaltatrice designata quale Responsabile esterno, in funzione della designazione fatta dall’Amministrazione in qualità di Titolare;

- “Persone autorizzate al trattamento dei dati”: persone che in qualità di dipendenti, collaboratori, amministratori o consulenti del responsabile e/o del sub-responsabile siano state autorizzate al trattamento dei dati personali sotto l’autorità diretta del Responsabile esterno o del Sub responsabile;

- “Terzi autorizzati”: persone terze, ovvero la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento, che in qualità di dipendenti, collaboratori, amministratori (anche amministratori di sistema) o consulenti del Fornitore siano state autorizzate al trattamento dei dati personali sotto l'autorità diretta del Responsabile esterno o del Sub- Responsabile;

- “Violazione dei dati personali (data breach)”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati;

- “Incidente di sicurezza”: la violazione di sicurezza che comporta la perdita, la modifica, la divulgazione non autorizzata o l’accesso a dati e/o informazioni riservate (non dati personali), la violazione e/o il malfunzionamento di misure di sicurezza, di strumenti elettronici, hardware o software a protezione dei dati e delle informazioni.

B) DURATA ATTO DI NOMINA

La presente nomina ha durata e validità pari a quella del Contratto di cui costituisce allegato, ivi inclusi gli eventuali rinnovi in relazione alle operazioni di trattamento necessarie per l'espletamento dei servizi concordati e per il perseguimento delle sopra indicate finalità.

Il Titolare impone, sin d'ora, nei confronti del Responsabile esterno il divieto di eseguire trattamenti diversi e per periodi eccedenti quelli necessari per il perseguimento delle finalità sopra individuate e strettamente connesse alla fornitura dei servizi oggetto del Contratto.

C) PERIODO CONSERVAZIONE DATI

Il Responsabile esterno garantisce sin d’ora che, in ogni caso, al termine delle attività previste dal contratto e da sue eventuali proroghe, i dati personali trasmessi da ___ (inserire specifica della struttura che fornisce i dati)________________ dovranno essere cancellati da qualsiasi archivio informatico e/o cartaceo tenuti dal fornitore, da eventuali società allo stesso collegate, nonché da eventuali subappaltatori e/o fornitori di servizi.

La società a tal fine, si impegna a fornire comunicazione scritta al Titolare dell’avvenuta distruzione, entro 5 giorni lavorativi dal termine delle attività contrattuali.

D) OBBLIGHI E ISTRUZIONI PER IL FORNITORE

Il Fornitore è autorizzato a trattare per conto dell’Amministrazione i dati personali necessari per l’esecuzione delle attività di cui all’oggetto del Contratto.

Il Fornitore si impegna a designare la figura professionale del Responsabile della protezione dei dati di cui all’art. 37 GDPR e a comunicarne i dati e i contatti di riferimento tempestivamente all’Amministrazione, in ragione dell’attività svolta. [se sussiste obbligo nel caso di specie]

1. Obblighi del Responsabile del trattamento nei confronti dell’Amministrazione

Il Responsabile esterno del trattamento si impegna a:

1. garantire che il trattamento dei Dati Personali sia effettuato in modo lecito, corretto, adeguato, pertinente e avvenga nel rispetto dei principi di cui agli artt. 5 e ss. del GDPR;

2. trattare i dati solo per l’esecuzione delle attività di cui all’oggetto del Contratto;

3. trattare i dati conformemente alle istruzioni documentate impartite dall’Amministrazione con il presente Addendum e con eventuali istruzioni documentate aggiuntive; non modificare i trattamenti esistenti né introdurre nuovi trattamenti senza l’esplicita autorizzazione del Titolare. Qualora il Fornitore reputi che un’istruzione sia, o possa essere, contraria alla Normativa in materia di protezione dei dati, ivi incluso il GDPR, deve informarne immediatamente l’Amministrazione;

4. trattare i dati conformemente alle istruzioni documentate dell’Amministrazione anche nei casi di trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o il diritto nazionale cui è soggetto il Fornitore; in tale ultimo caso il Fornitore dovrà informare l’Amministrazione di tale obbligo giuridico prima che il trattamento abbia inizio, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;

5. non determinare o favorire mediante azioni e/o omissioni, direttamente o indirettamente, la violazione da parte dell’Amministrazione delle Norme in materia di Trattamento dei Dati Personali;

6. garantire la riservatezza dei dati personali trattati per l’esecuzione delle attività del Contratto;

7. garantire che le persone autorizzate a trattare i dati personali in virtù del presente Contratto: I) si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza; II) abbiano ricevuto, e ricevano, da parte del Fornitore la formazione necessaria in materia di protezione dei dati personali; II) accedano e trattino i dati personali osservando le istruzioni impartite dall’Amministrazione;

8. tenere conto nell’esecuzione delle attività contrattuali dei principi della protezione dei dati fin dalla progettazione e protezione per impostazione predefinita (privacy by design e by default), anche mediante l’ausilio delle istruzioni documentate impartite dal Titolare del trattamento.

2) Obblighi di supporto, collaborazione e coordinamento del responsabile esterno del trattamento nell’attuazione degli obblighi dell’amministrazione

Il Fornitore, in qualità di Responsabile esterno del trattamento, assiste e collabora pienamente con l’Amministrazione nel garantire il rispetto degli obblighi di cui agli articoli 31, 32, 33, 34, 35 e 36 del GDPR, come di seguito descritto.

Misure di sicurezza

1. Il Fornitore deve mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio e garantire il rispetto degli obblighi di cui all’art. 32 del GDPR. I criteri per la valutazione del rischio devono essere previamente condivisi dall’Amministrazione. Tali misure comprendono tra le altre:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente e la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento;

f) l’obbligo di adottare le misure di sicurezza previste da codici di condotta di settore, ove esistenti, e dalle certificazioni, ove acquisite (artt. 40 - 43 GDPR).

2. Nel valutare l’adeguatezza del livello delle misure di sicurezza il Fornitore deve tenere conto in special modo dei rischi presentati dal trattamento (o dai trattamenti), che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, o dal trattamento non consentito o non conforme alle finalità della raccolta, ai dati personali trasmessi, conservati o comunque trattati.

3. I risultati dell’analisi del rischi per l’individuazione delle misure di sicurezza adeguate andranno riportati dal Fornitore in un apposito documento contenente almeno le seguenti informazioni: identificazione e classificazione dei dati personali trattati anche in termini di riservatezza ed integrità; classificazione del trattamento anche in termini di disponibilità; valutazione dei rischi per l’interessato e inerenti al trattamento stesso; l’identificazione delle misure di sicurezza così come richieste ai sensi dell’articolo 32 del GDPR. Tale documento potrà essere visionato, a richiesta, dal Titolare.

4. L’attività di identificazione dei dati personali oggetto del trattamento dovrà seguire i criteri di privacy by default di cui all’art. 25 del GDPR.

5. Ai sensi dell’art. 32, comma 4, GDPR il Fornitore deve garantire che chiunque agisca sotto la sua autorità e abbia accesso ai Dati Personali non tratti tali dati se non debitamente istruito, salvo che lo richieda il diritto dell’Unione o degli Stati membri.

Data breach

Il Fornitore deve assistere e collaborare pienamente con l’Amministrazione nelle attività di adempimento in materia di violazioni di dati personali, ovvero di data breach.

In particolare, il Fornitore deve:

1. comunicare tempestivamente all’Amministrazione, all’indirizzo di posta elettronica certificata xxxxxxxxxx@xxx.xxxxx.xx e, ove possibile, entro 24 ore dal momento in cui ne è venuto a conoscenza, che si è verificata una violazione dei dati personali o che ha elementi per sospettarne la sussistenza. Tale comunicazione deve essere trasmessa unitamente a ogni documentazione utile all’Amministrazione per consentirle di notificare la violazione all’Autorità di controllo competente entro e non oltre il termine di 72 ore da quando ne ha avuto conoscenza. Deve fornire tutte le informazioni al Titolare con quanti più dettagli conosciuti in quel momento e aggiornare quest’ultimo relativamente alla natura dei dati compromessi o potenzialmente compromessi, minacciati, nonché di tutti gli eventi che possono influenzare negativamente la capacità del Responsabile esterno di eseguire il Contratto, con particolare riferimento a:

   • la natura della violazione, le categorie ed il numero dei soggetti interessati coinvolti, le categorie ed il numero dei dati personali violati;

   • le possibili conseguenze della violazione indicando, eventualmente, i rischi per i diritti e le libertà dei soggetti interessati coinvolti;

   • le misure di cui si propone l’adozione per porre rimedio alla violazione nonché, se del caso, per attenuarne i possibili effetti negativi;

   • le modifiche delle relative policy e procedure per evitare il verificarsi di eventi simili e fornire una copia di tali modifiche al Titolare per la sua approvazione;

2. indagare sulla violazione di dati personali adottando tutte le misure tecniche e organizzative e le misure rimediali necessarie a eliminare o contenere l’esposizione al rischio, collaborare con l’Amministrazione nelle attività di indagine, mitigando qualsivoglia danno o conseguenza lesiva dei diritti e delle libertà degli Interessati (misure di mitigazione) nonché ponendo in atto un piano di misure, previa approvazione dell’Amministrazione, per la riduzione tempestiva delle probabilità che una violazione simile di dati personali possa ripetersi;

3. nel caso in cui l’Amministrazione debba fornire informazioni (inclusi i dettagli relativi ai servizi prestati dal Fornitore) all’Autorità di controllo, il Fornitore supporterà l’Amministrazione nella misura in cui le informazioni richieste o necessarie per l’Autorità di controllo siano esclusivamente in possesso del Fornitore o di suoi Terzi Autorizzati.

Valutazione d’impatto del rischio di violazioni dei Dati Personali

1. Il Responsabile esterno del trattamento si impegna ad assistere l’Amministrazione, a livello tecnico e organizzativo, nello svolgimento della valutazione d’impatto, così come disciplinata dall’art. 35 del GDPR, in tutte le ipotesi in cui il trattamento preveda o necessiti della preliminare valutazione di impatto sulla protezione dei dati personali (di seguito anche “PIA”) o dell’aggiornamento della PIA.

2. I risultati della valutazione d’impatto ex art. 35 del GDPR per l’individuazione delle misure di sicurezza necessarie andranno riportati dal Fornitore nel documento di analisi del rischio citato nel paragrafo “Misure di scurezza”.

4. Il Fornitore si impegna altresì ad assistere, ove necessario, l’Amministrazione nell’attività di consultazione preventiva dell’Autorità di controllo ai sensi dell’articolo 36 del GDPR.

3) Obblighi del Fornitore nell’ambito dei diritti esercitati dagli Interessati nei confronti dell’Amministrazione

1. Il Responsabile esterno del trattamento, al momento della raccolta dei dati, deve fornire alle persone interessate le informazioni relative ai trattamenti dei dati che realizza, tra le quali anche l’eventuale uso di strumenti di profilazione.

2. Il Fornitore deve collaborare e supportare nel dare riscontro scritto, anche di mero diniego, alle istanze trasmesse dagli Interessati nell’esercizio dei diritti previsti dagli artt. 15-23 del GDPR, ovverosia alle istanze per l’esercizio del diritto di accesso, di rettifica, di integrazione, di cancellazione e di opposizione, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto a non essere oggetto di un processo decisionale automatizzato, compresa la profilazione.

3. Il Fornitore deve dare supporto, in tale attività, affinché il riscontro alle richieste di esercizio dei diritti degli Interessati avvenga senza giustificato ritardo.

4. A tal fine il Fornitore deve adottare e aggiornare un registro di tutte le attività di trattamento eseguite per conto dell’Amministrazione completo di tutte le informazioni previste all’art. 30 del GDPR e mettere tale registro a disposizione dell’Amministrazione affinché si possa ottemperare, senza ingiustificati ritardi, alle istanze formulate dagli Interessati ai sensi degli artt. 15-23 del GDPR (come meglio precisato alla sezione E).

5. Qualora gli Interessati esercitino un diritto previsto dal GDPR, trasmettendo la relativa richiesta al Fornitore, quest’ultimo deve inoltrarla tempestivamente, e comunque entro e non oltre 3 giorni dalla ricezione, per posta elettronica certificata all’Amministrazione.

4) Obblighi del Fornitore che ricorre a Terzi Autorizzati

1. Il Fornitore può ricorrere a Terzi Autorizzati per l’esecuzione di specifiche attività di trattamento esclusivamente nei casi in cui abbia ricevuto espressa autorizzazione scritta dall’Amministrazione.

2. Il Fornitore deve formulare per iscritto all’Amministrazione la domanda di autorizzazione alla nomina di un Terzo Autorizzato, specificando: I) le attività di trattamento da delegare; II) il nominativo/ragione sociale e gli indirizzi del Terzo; III) i requisiti di affidabilità ed esperienza - anche in termini di competenze professionali, tecniche e organizzative nonché con riferimento alle misure di sicurezza - del Terzo in materia di trattamento dei dati personali; IV) il contenuto del relativo contratto tra il Fornitore e il Terzo autorizzato.

3. Nell’ipotesi in cui il Fornitore, previa autorizzazione scritta dell’Amministrazione, abbia designato un Terzo Autorizzato, il Fornitore e il Terzo autorizzato dovranno essere vincolati da un accordo scritto recante tutti gli obblighi in materia di protezione dei dati di cui al presente Contratto e relativi Allegati e di cui alle ulteriori eventuali istruzioni documentate, aggiuntive, impartite dall’Amministrazione.

4. In particolare, il Fornitore deve garantire che il Terzo Autorizzato assicuri l’adozione di misure, logiche, tecniche ed organizzative adeguate di cui al presente contratto ed alla normativa e regolamentazione in materia nonché alle istruzioni impartite dall’Amministrazione in materia di protezione dei dati personali.

5. Resta, in ogni caso, ferma la successiva facoltà dell’Amministrazione di opporsi all’aggiunta o sostituzione del Terzo Autorizzato con altri soggetti Terzi.

6. Le istruzioni impartite dal Fornitore a qualsiasi Terzo dovranno avere il medesimo contenuto e perseguire i medesimi obiettivi delle istruzioni fornite al Fornitore dall’Amministrazione nei limiti dei trattamenti autorizzati in capo al Terzo.

7. A tal fine, l’Amministrazione può, in qualsiasi momento, verificare le garanzie e le misure tecniche ed organizzative del Terzo Autorizzato, anche per mezzo di audit, assessment, sopralluoghi e ispezioni svolti mediante il proprio personale oppure tramite soggetti terzi. Nel caso in cui all’esito delle verifiche, ispezioni, audit e assessment, le misure di sicurezza dovessero risultare insussistenti o inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione delle Norme in materia di protezione dei dati personali, l’Amministrazione diffiderà lo stesso a far adottare al Terzo Autorizzato tutte le misure più opportune entro un termine congruo che sarà, all’occorrenza, fissato (tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, della tipologia dei dati e della categoria dei soggetti interessati coinvolti nonché del livello di rischio relativo alla violazione dei dati, alla gravità della violazione verificatasi e degli incidenti di sicurezza). In caso di mancato adeguamento da parte del Terzo Autorizzato e/o del Fornitore a tale diffida l’Amministrazione potrà risolvere il Contratto.

5) Istruzioni per il fornitore

Le Parti si danno reciprocamente atto che, alla data di efficacia del presente Allegato:

• le attività che prevedono il trattamento dei dati dell’Amministrazione sono:

a. ________________________

b. ________________________

c. _________________________

• la natura e lo scopo del trattamento, tenuti conto i requisiti di legittimità stabiliti dalle leggi vigenti in materia di protezione dei dati, è ____________________________________________________________________;

• i Dati Personali trattati per conto dell’Amministrazione sono i dati ________________________________;

• le categorie di persone interessate sono: _____________________________________________________;

• per l’esecuzione del servizio oggetto del presente contratto, il Titolare del trattamento mette a disposizione del Responsabile esterno del trattamento le seguenti informazioni necessarie:

-______________________________________________________________________________________;

-______________________________________________________________________________________;

• il Fornitore, al temine della durata del Contratto, come eventualmente prorogato, elimina, con tecniche adeguate e sicure, i dati trattati in relazione al contratto;

• il Titolare del trattamento dei dati personali è l’Università degli Studi di Genova, nella persona del suo rappresentante legale ovvero il Rettore pro tempore.

Recapiti rettorato: telefono:(x00) 000000-0000, (x00) 000000-00000

e-mail: xxxxxxx@xxxxx.xx, PEC: xxxxxxxxxx@xxx.xxxxx.xx

• i dati di contatto del Responsabile della protezione dei dati (RDP/DPO) sono:

telefono (x00) 0000000000

e-mail: xxx@xxxxx.xx, PEC: xxxxxxxxxx@xxx.xxxxx.xx

• il rappresentante per l’Amministrazione incaricato della sorveglianza delle procedure previste dal presente Xxxxxxxx è il dirigente responsabile del trattamento dei dati ______________________________________

Telefono_________________________ e-mail___________________________________________

Si precisa che il Titolare eserciterà il proprio potere e dovere di controllo e di vigilanza, anche per mezzo di verifiche periodiche, secondo quanto stabilito dall’art. 28, comma 3 del GDPR in merito al rispetto delle istruzioni qui impartite.

E) IL REGISTRO DEI TRATTAMENTI DEL FORNITORE

1. Il Fornitore è obbligato a predisporre, conservare, aggiornare - anche con l’ausilio del proprio Responsabile della protezione dei dati - un registro, in formato elettronico di tutte le categorie di attività relative al trattamento (o ai trattamenti) svolti per conto del Titolare del Trattamento.

2. In particolare, il Registro del Fornitore dei trattamenti svolti per conto dell’Amministrazione deve contenere:

I) il nome e i dati di contatto del Fornitore (e, se del caso, di Terzi Autorizzati) del trattamento, di ogni Titolare del trattamento per conto del quale il Fornitore agisce, del rappresentante (eventuale) del Fornitore e del Terzo Autorizzato, nonché del Responsabile della protezione dei dati (DPO);

II) le categorie dei trattamenti effettuati per conto di ogni Titolare del trattamento;

III) ove applicabile, i trasferimenti di dati personali verso un paese terzo o un'organizzazione internazionale, compresa l'identificazione del paese terzo o dell'organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell'articolo 49 del GDPR, la documentazione delle garanzie adeguate;

IV) una descrizione generale delle misure di sicurezza tecniche e organizzative messe in atto per un trattamento corretto e sicuro ai sensi dell'articolo 32 del GDPR.

F) ULTERIORI OBBLIGHI DI GARANZIA DEL FORNITORE DEL TRATTAMENTO

1. Il Fornitore si impegna ad operare adottando tutte le misure tecniche e organizzative, le attività di formazione, informazione e aggiornamento ragionevolmente necessarie per garantire che i Dati Personali siano precisi, corretti e aggiornati durante l’intera durata del trattamento - anche qualora il trattamento consista nella mera custodia o attività di controllo dei dati - eseguito dal Fornitore, o da un Terzo da lui autorizzato, nella misura in cui il Fornitore sia in grado di operare in tal senso.

2. Il Fornitore si impegna a trasmettere all’Amministrazione tutte le informazioni e la documentazione che quest’ultima potrà ragionevolmente richiedere durante il Contratto al fine di verificare la conformità del Fornitore (o del Terzo Autorizzato come sub-appaltatore e sub-fornitore) con il presente Allegato, le Norme in materia di Trattamento dei Dati Personali e le Misure di sicurezza.

3. Il Fornitore si impegna a notificare tempestivamente all’Amministrazione ogni provvedimento di un’Autorità di controllo, o dell’Autorità giudiziaria relativo ai Dati Personali dell’Amministrazione salvo il caso in cui tale comunicazione non sia vietata dal provvedimento o dalla legge.

4. In simili circostanze, salvo divieti previsti dalla legge, il Fornitore deve: I) informare l’Amministrazione tempestivamente, e comunque entro 24 ore dal ricevimento della richiesta di ostensione; II) collaborare con l’Amministrazione, nell’eventualità in cui lo stesso intenda opporsi legalmente a tale comunicazione; III) garantire il trattamento riservato di tali informazioni.

5. Il Fornitore prende atto e riconosce che, nell’eventualità di una violazione delle disposizioni del presente Allegato, oltre all’applicazione delle clausole di risoluzione del contratto e delle penali, nonché all’eventuale risarcimento del maggior danno, l’Amministrazione avrà la facoltà di ricorrere a provvedimenti cautelari, ingiuntivi e sommari o ad altro rimedio equitativo, allo scopo di interrompere immediatamente, impedire o limitare il trattamento, l’utilizzo o la divulgazione dei Dati Personali .

6. Il Fornitore manleverà e terrà indenne l’Amministrazione da ogni perdita, contestazione, responsabilità, spese sostenute nonché dei costi subiti (anche in termini di danno reputazionale) in relazione anche ad una sola violazione delle Norme in materia di Trattamento Personali o del Contratto (inclusi gli Allegati) comunque derivata dalla condotta (attiva od omissiva) sua e/o dei suoi agenti e/o Terzi autorizzati (sub-fornitori).

G) MODIFICHE DELLE LEGGI IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI

Nell’eventualità di qualsivoglia modifica delle Norme in materia di Trattamento dei Dati Personali applicabili al trattamento dei Dati Personali, che generi nuovi requisiti (ivi incluse nuove misure di natura fisica, tecnica, organizzativa, in materia di sicurezza o trattamento dei dati personali), il Fornitore collaborerà con l’Amministrazione, nei limiti delle proprie competenze tecniche, organizzative e delle proprie risorse, affinché siano sviluppate, adottate e implementate misure correttive di adeguamento ai nuovi requisiti durante l’esecuzione del Contratto.

Sottoscrivendo la presente lettera di nomina, il Responsabile esterno:

1. conferma di conoscere gli obblighi assunti in relazione alle disposizioni e del Reg. UE 679/2016 e del D.Lgs. n. 196/2003 e di possedere i requisiti di esperienza, capacità ed affidabilità idonei a garantire il rispetto di quanto disposto dalle predette normative e relative evoluzioni ed integrazioni;

2. conferma di aver compreso integralmente le istruzioni qui impartite e si dichiara competente e disponibile alla piena esecuzione di quanto affidato;

3. prende atto che nessun compenso è dovuto per la preposizione alla funzione di responsabile esterno del trattamento;

4. accetta la nomina di Responsabile esterno del trattamento dei dati personali e si impegna ad attenersi rigorosamente a quanto ivi stabilito, nonché alle eventuali successive modifiche ed integrazioni decise dal Titolare, anche in ottemperanza alle evoluzioni legislative in materia.

5. è tenuto ad osservare l’assoluto riserbo a proposito di fatti, di informazioni, notizie o altro di cui avrà comunicazione o prenderà conoscenza nello svolgimento del contratto.