NOMINA DI RESPONSABILE AL TRATTAMENTO DEI DATI
Accordo di Sperimentazione Allegato 2
NOMINA DI RESPONSABILE AL TRATTAMENTO DEI DATI
Con il presente documento, ai sensi del contratto di “Accordo Quadro di Sperimentazione per la fornitura dei Servizi Wholesale di OpEn Fiber S.p.A. nei Cluster C e D, pubblicata sul sito xxx.xxxxxxxxx.xx – Area Infratel in data 31 Ottobre 2019” (“Contratto”) e per la finalità di esecuzione dello stesso, OpEn Fiber S.p.A. accetta di essere nominato Responsabile del trattamento dei dati (“Responsabile”) per conto e nell’interesse del Titolare del trattamento dei dati che è [Inserire Ragione Sociale Operatore], (“Titolare”), ponendo in essere le operazioni di trattamento dei dati personali meglio definite di seguito.
Nell'ambito delle relazioni contrattuali stipulate, le Parti si impegnano in modo solidale al rispetto (i) della riservatezza dei dati di seguito indicati, (ii) delle norme in vigore applicabili al trattamento dei dati personali previste dal D. Lgs. 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”, e successive modifiche, e dal Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016 applicabile a decorrere dal 25 maggio 2018 (“GDPR”) e (iii) delle eventuali ulteriori disposizioni normative applicabili al trattamento in oggetto.
Tanto premesso, tra le Parti si conviene e si stipula quanto segue
Descrizione del trattamento affidato al fornitore ex art. 28 del GDPR
Il Responsabile è autorizzato a trattare, in nome del Titolare, i soli dati personali necessari per fornire i servizi inclusi nel Contratto di cui il presente documento costituisce Accordo integrativo.
Più nello specifico, con il presente atto, il Responsabile viene autorizzato dal Titolare al trattamento dei dati personali necessari per fornire i servizi oggetto del Contratto.
Il trattamento di cui al presente atto di nomina presenta le seguenti caratteristiche:
Natura del trattamento: accettazione del Contratto
Finalità del trattamento: esecuzione del Contratto
Categorie di dati personali trattati:
|
Si |
x |
No |
|
|
Si |
|
No |
X |
Categorie di dati soggetti Interessati3: |
|
|
|
|
|
|
|
|
|
|
Si |
x |
No |
|
|
Si |
|
No |
X |
|
Si |
x |
No |
|
|
Si |
|
No |
X |
|
Si |
x |
No |
|
|
Si |
|
No |
X |
|
|
|
|
|
Durata
Le obbligazioni assunte con il presente atto saranno vincolanti per l’intera durata del Contratto di cui il presente documento costituisce Accordo integrativo. In presenza di rinnovi dello stesso, le obbligazioni assunte con il presente atto si intendono vincolanti fino al termine del/i periodo/i di rinnovo.
Il Responsabile si impegna a rispettare quanto di seguito indicato relativamente al trattamento dei dati.
Il Responsabile si impegna a trattare i dati personali per le sole finalità oggetto del Contratto di cui il presente documento costituisce Accordo integrativo, come meglio individuate al punto b) del presente atto.
Fermo restando quanto sopra, resta inteso che qualora il Responsabile tratti i dati acquisiti per finalità diverse, esso sarà considerato Titolare in questione e in quanto tale risponderà delle eventuali violazioni.
Il Responsabile si impegna a trattare i dati personali secondo quanto previsto nelle istruzioni fornite dal Titolare nel presente documento.
Qualora il Responsabile dovesse ritenere che un'istruzione costituisca una violazione del GDPR o di qualsiasi altra disposizione applicabile al trattamento in oggetto, del diritto dell'Unione o della legislazione degli Stati membri relativa alla protezione dei dati, ne informerà immediatamente il Titolare.
Qualora il Responsabile fosse tenuto a trasferire dei dati personali trattati per conto del Titolare in un paese extra-UE e o ad un’organizzazione internazionale a norma del diritto dell’Unione o della legislazione dello Stato membro cui è soggetto, dovrà informare il Titolare di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per rilevanti motivi di interesse pubblico.
Il Responsabile garantisce la riservatezza e la confidenzialità dei dati personali trattati per conto del Titolare in esecuzione del Contratto di cui il presente documento costituisce Accordo integrativo.
Formazione del personale autorizzato
Il Responsabile assicura che le persone autorizzate al trattamento dei dati personali previsti nel Contratto:
si siano adeguatamente impegnate alla riservatezza dei dati personali trattati ovvero che, in ogni caso, siano soggette ad un idoneo obbligo di riservatezza;
abbiano ricevuto dettagliate specifiche istruzioni in base alla tipologia di dati trattati;
ricevano adeguata formazione in materia di protezione dei dati personali.
Accountability del Responsabile
Il Responsabile è stato selezionato dal Titolare avendo offerto garanzie ritenute sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell'Interessato.
Il Responsabile dovrà, quindi, permettere al Titolare di effettuare verifiche periodiche, anche a mezzo di propri rappresentanti, impegnandosi (i) a consentire al Titolare, con un preavviso di almeno (5) giorni lavorativi, l’accesso a tutti i locali ove ha luogo il trattamento dei dati personali, nonché (ii) a mettere a disposizione del Titolare tutta la documentazione e le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente atto e (iii) a consentire e a contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi incaricato (art. 29, comma 5, Codice Privacy, art. 30 (3) lett. h GDPR). Il Titolare segnalerà senza ritardo al Responsabile ogni eventuale errore o irregolarità dovesse ravvisare nel trattamento dei dati personali posto in essere dal Responsabile.
Il Responsabile può richiedere ad un soggetto terzo (in seguito denominato "sub-responsabile") di svolgere specifiche attività di trattamento dei dati solamente a condizione di vincolare per iscritto il sub-responsabile agli stessi obblighi in materia di protezione dei dati personali assunti dal Responsabile nei confronti del Titolare, attraverso il presente atto.
Il Responsabile deve assicurarsi che il sub-responsabile abbia le stesse idonee garanzie in merito all'attuazione di adeguate misure tecniche e organizzative che assicurino che il trattamento avvenga con modalità conformi a quanto richiesto dalla normativa in materia di protezione dei dati personali.
Il Responsabile risponde nei confronti del Titolare in caso di inadempimento da parte del sub-responsabile degli obblighi previsti all’interno del presente Contratto e/o della normativa privacy applicabile.
Il Responsabile si impegna a prestare al Titolare tutta la propria assistenza affinché possa tempestivamente e regolarmente assolvere ai propri obblighi di riscontro alle richieste degli Interessati relative all’esercizio dei loro diritti (tra cui, diritto di accesso, diritto di rettifica, di cancellazione e di opposizione, diritto alla limitazione del trattamento, diritto alla portabilità dei dati, diritto di non essere sottoposto ad una decisione basata unicamente su trattamento automatizzato, inclusa la profilazione).
Il Responsabile si impegna ad assistere, con adeguate misure tecniche ed organizzative, e a coordinarsi con il Titolare al fine di evadere la richiesta dell’Interessato nel più breve tempo possibile e, comunque, nel rispetto dei termini previsti dal GDPR.
Il Responsabile provvederà ad informare tempestivamente il Titolare di ciascuna richiesta ricevuta da un Interessato del trattamento affinché sia il Titolare a riscontrare le istanze degli Interessati.
Privacy by Design e by Default
Il Responsabile si impegna ad osservare ai fini della selezione e dell’utilizzo nell’ambito della propria attività di strumenti, prodotti, applicazioni e/o servizi, i principi di Privacy by Design e Privacy by Default, di cui all’articolo 25 del GDPR.
Ogni incidente che comporti la violazione dei dati personali deve essere comunicato da parte del Responsabile al Titolare entro e non oltre 24 ore e, comunque, senza ingiustificato ritardo dall’avvenuta conoscenza della violazione per mezzo email all’indirizzo [Indicare indirizzo email].
La notifica del Responsabile al Titolare deve contenere almeno:
una descrizione della natura della violazione di dati personali comprensiva dei seguenti elementi:
le categorie e il numero approssimativo di Interessati coinvolti;
le categorie e il numero approssimativo di dati personali coinvolti;
il livello della gravità della violazione. le misure di sicurezza messe in atto;
il nome e i dati di contatto del Responsabile della Protezione dei Dati o altro punto di contatto dal quale possono essere ottenute ulteriori informazioni;
il nome del Responsabile della Protezione dei Dati o dell’apposito Ufficio Privacy degli eventuali sub-responsabili coinvolti nel trattamento, con i quali prendere contatti per ulteriori approfondimenti;
la descrizione delle misure adottate dal Responsabile e/o le misure che il Responsabile intende adottare per porre rimedio alla violazione dei dati personali, tra cui, se del caso, misure destinate ad attenuare le possibili conseguenze negative;
la descrizione delle probabili conseguenze della violazione dei dati personali;
ogni ulteriore informazione necessaria affinché il Titolare possa notificare la violazione all’Autorità di Controllo competente.
Se, e nella misura in cui, non sia possibile fornire simultaneamente tutte queste informazioni, le informazioni possono essere comunicate in un momento successivo, senza ritardo ingiustificato.
Il Responsabile sarà obbligato a notificare al Titolare ogni e qualsiasi violazione di dati personali, indipendentemente dal grado di gravità della stessa. Ogni valutazione circa la gravità di un’eventuale violazione di dati personali è rimessa solo ed unicamente al Titolare.
In ogni caso, il Responsabile si impegna sin d’ora a collaborare con il Titolare per consentirgli la migliore e regolare gestione di ogni evento, anche solo potenziale, di violazione dei dati personali.
In ogni caso, il Responsabile assicura al Titolare la massima collaborazione per approfondire tutti gli aspetti necessari ed utili per accertare le cause e le conseguenze della violazione. Una volta definite le ragioni della violazione, il Responsabile, di concerto con il Titolare, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi.
Il Responsabile assiste il Titolare dei dati nell’esecuzione delle valutazioni d'impatto sulla protezione dei dati che si rendessero necessarie in relazione al trattamento di cui al presente atto, e, se ritenuta necessaria dal Titolare, nell'esecuzione della procedura di consultazione preventiva dell'Autorità di Xxxxxxxxx.
In caso di cessazione del contratto di cui il presente atto costituisce Accordo integrativo, il Responsabile si impegna, sulla base delle istruzioni che saranno fornite dal Titolare, (i) a distruggere tutti i dati personali trattati oppure (ii) a trasferirli al Titolare o al diverso responsabile indicato dal Titolare del trattamento, salvo in ogni caso l’ipotesi in cui il Responsabile sia tenuto a conservare le informazioni raccolte per tutela di interessi legittimi o in adempimento di obblighi di legge (es. esercizio o difesa di un diritto in sede giudiziaria).
Il Responsabile comunica di aver nominato il Responsabile della Protezione dei Dati il quale può essere contattato al seguente indirizzo email xxx.xx@xxxxxxxxx.xx .
Il Responsabile dichiara di tenere per iscritto il Registro delle Attività di trattamento dei dati in maniera conforme a quanto previsto dall’articolo 30 del GDPR.
Il Responsabile si impegna a mettere tempestivamente a disposizione del Titolare e/o dell’Autorità di Controllo il Registro delle Attività di trattamento dei dati effettuato per conto del Titolare.
Il Titolare si impegna a:
documentare per iscritto tutte le istruzioni relative al trattamento dei dati fornite o che saranno fornite al Responsabile;
assicurare, prima dell’avvio e per tutta la durata del trattamento, il rispetto da parte del Responsabile del trattamento degli obblighi previsti dal GDPR e, più in generale, dalla normativa applicabile in materia di protezione dei dati;
vigilare sui trattamenti dei dati, compresa la conduzione di audit e ispezioni nei confronti del Responsabile;
inoltre, ed in particolare, il Titolare si impegna ad impartire al Responsabile le misure di sicurezza elencate di seguito:
ID |
Misura di sicurezza da Implementare da parte del Responsabile |
1 |
Definizione di Policy e Procedure in materia di Data Privacy Governance e Information Security con definizione di ruoli e responsabilità degli attori coinvolti. |
2 |
Definizione a livello organizzativo di Strutture/Funzioni a presidio della Data Privacy Governance e della Sicurezza delle Informazioni. |
3 |
Formazione delle risorse che, nell'ambito delle proprie mansioni, effettuano un trattamento di dati personali, in materia Data Privacy e Information Security. |
4 |
Definizione di soluzioni tecniche organizzative e procedurali orientate alla gestione degli asset informativi, anche in modo che venga impedita la divulgazione, la modifica, la rimozione o la distruzione di asset. |
5 |
Definizione di appropriate procedure atte a regolamentare la modifica dei profili autorizzativi in funzione dei cambi mansione o alla disabilitazione delle utenze in caso di perdita della qualità. Definizione di appropriate soluzioni tecniche ed organizzative rivolte alla regolamentazione degli accessi logici. A titolo esemplificativo e non esaustivo: accesso ai sistemi tramite User Id e Password, Password con lunghezza adeguata -almeno 8 caratteri-, definizione tempistiche di scadenza delle Password in funzione della tipologia di dati oggetto del trattamento, profili autorizzativi definiti in funzione del principio del Need to Know. |
6 |
Definizione di misure di sicurezza addizionali sui dati in funzione dei risultati della DPIA. |
7 |
Adozione di soluzioni di Antivirus su tutti i device funzionali all'erogazione della prestazione di servizio. |
8 |
Adozione di soluzioni di Back Up e/o Disaster Recovery, di tutti i sistemi funzionali all'erogazione del servizio |
9 |
Adozione di soluzioni per la garanzia di un adeguato livello di protezione delle reti e delle infrastrutture a supporto, funzionali all'erogazione del servizio. |
10 |
Adozione di soluzioni organizzative, tecniche e procedurali volte a garantire la protezione dei dati nell'ambito delle comunicazioni, elettroniche e non, all'interno dell'organizzazione e tra l'organizzazione e gli attori esterni. |
11 |
Adozione di soluzioni organizzative, tecniche e procedurali a garanzia della continuità dei servizi e della disponibilità delle informazioni in relazione alla prestazione di servizio erogata |
Informativa agli Interessati
Ai sensi degli artt. 13 e 14 GDPR il Titolare provvederà a fornire le informazioni previste per la tutela dei dati alle persone interessate dalle attività di trattamento al momento della raccolta dei dati e di mettere a disposizione degli Interessati la lista aggiornata dei Responsabili esterni al trattamento dei dati.
Il Responsabile risponde per il danno causato dal trattamento se non ha adempiuto gli obblighi previsti dal GDPR specificatamente diretti ai Responsabili o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare.
Il Responsabile si impegna a mettere in atto misure di sicurezza adeguate alla protezione dei dati personali di cui effettuerà il trattamento in esecuzione del contratto, di cui il presente documento costituisce Accordo integrativo, secondo quanto previsto dall’art.32 del GDPR e, in ogni caso, rispettando le misure di sicurezza richieste dal Titolare.
Legge applicabile e foro competente
Il presente Accordo è regolato dalla legge italiana.
Ogni e qualsiasi controversia relativa alla negoziazione, interpretazione, esecuzione e/o risoluzione del presente Accordo integrativo (nessuna controversia esclusa od eccettuata) è devoluta in via esclusiva alla competenza del Foro indicato nel Contratto.
[Città], [Data]
1 es. nome e cognome; indirizzo di casa; xxxxxxxxx e-mail, numero della carta d’identità; dati sulla posizione (ad es. la funzione di posizionamento su un telefono cellulare), indirizzo IP (Internet Protocol)
2 includono i dati sensibili , es. stato di salute, appartenenza a sindacati partiti politici o opinioni filosofiche e religiose, vita e orientamento sessuale, origine razziale o etnica, dati biometrici (impronte digitali, lettura della retina), dati genetici
3 Per “Interessato” si intende la persona fisica i cui dati personali sono oggetti di trattamento.
7