NOMINA DEL RESPONSABILE DEL TRATTAMENTO
NOMINA DEL RESPONSABILE DEL TRATTAMENTO
È fornito di seguito il fac-simile di contratto per la nomina di un soggetto terzo (persona fisica o giuridica) a responsabile del trattamento. Il contratto è sottoscritto dal titolare del trattamento o dal Dirigente dell’Area Contratti o da altra persona delegata dal titolare del trattamento.
Il fac-simile di contratto potrà essere soggetto ad eventuali aggiornamenti. La versione aggiornata è sempre disponibile all’indirizzo: xxxx://xxx.xxxxxxx0.xx/xxxxxxx/.
Il presente contratto relativo al trattamento dei dati personali ("Data Processing Agreement" o "Contratto") viene sottoscritto:
L’Università degli studi Roma Tre, con sede in xxx Xxxxxxxx 000, 00000 Xxxx, Xxxxxx, C.F. e P.I. n. 04400441004 ("Università" o "Titolare");
E
[FORNITORE DELL'UNIVERSITÀ], con sede in via [SEDE LEGALE] C.F. e P.I. n. [CF/PIVA] ("Responsabile" o "Fornitore").
Il Titolare e il Responsabile collettivamente sono indicati come le "Parti" e ciascuno, una "Parte".
Il [... inserire qualifica, cognome e nome …] RUP del suddetto contratto ha accertato che il Fornitore presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell’interessato.
In base al contratto […inserire i riferimenti al numero/oggetto decontratto…], il Responsabile fornirà all'Università, servizi inerenti alla […inserire la tipologia di servizio (ad es. gestione del patrimonio mobiliare, amministrazione dei servizi per la didattica, servizi di medicina preventiva, ecc) …], che delineano l'oggetto e le finalità del trattamento (i "Servizi").
Il suddetto contratto ha durata sino al […inserire la scadenza del contratto...].
Nell'erogazione dei Servizi, il Responsabile potrà avere accesso o potranno essergli resi disponibili i dati personali relativi [inserire la categoria degli interessati: agli studenti, ai dipendenti, ai fornitori o altra tipologia di interessati] i cui dati sono trattati dall'Università ("Dati Personali").
Con il presente Contratto le Parti intendono regolare gli obblighi del Responsabile con riferimento ai Dati Personali che gli saranno forniti dal Titolare, o a cui avrà accesso, nel corso e al fine dello svolgimento dei Servizi.
Art. 1. Premesse, appendici e definizioni
Le premesse e le appendici al presente Accordo (rispettivamente, le "Premesse" e le "Appendici") costituiscono parte integrante e sostanziale del medesimo.
Ai fini del presente Accordo:
a) "Dati Personali", "Trattamento", "Titolare", "Responsabile" e "Autorità di controllo" avranno il significato attribuito loro nel GDPR.
b) "Sub-responsabile" indica qualsiasi soggetto incaricato dal Responsabile che riceve da quest'ultimo Dati Personali relativi ai Servizi esclusivamente al fine di svolgere attività di Trattamento per conto del Titolare e in conformità alle istruzioni del medesimo Titolare e ai termini del presente Accordo.
c) "Disposizioni Privacy" fanno riferimento, collettivamente, al GDPR, al D.Lgs. 196 del 2003 come modificato dal D.Lgs. 101/2018, nonché delle linee guida emanate dall'Autorità di controllo e dall'European Data Protection Board.
Art. 2. Attività e finalità di trattamento
I dettagli delle attività e finalità di Trattamento dei Dati Personali degli Interessati in esecuzione dei Servizi che saranno svolti dal Responsabile per conto del Titolare ai sensi del presente Accordo sono specificati all'Appendice 1.
Art. 3. Obblighi del responsabile
Il Responsabile concorda e si impegna a:
• trattare i Dati Personali relativi agli Interessati esclusivamente:
o per conto del Titolare e in conformità alle istruzioni impartite dal Titolare, ivi incluse quelle riportate in Appendice 2;
o al fine di svolgere i Servizi, o in ogni caso come indicato dal Titolare, in conformità al presente Accordo, e per nessun motivo per finalità proprie;
• non adottare autonome decisioni in ordine alle finalità e alle modalità del Trattamento dei Dati degli Interessati;
• informare tempestivamente il Titolare nel caso in cui, nella esecuzione dei Servizi, le Disposizioni Privacy, o altra normativa, gli imponga di trattare i Dati Personali relativi agli Interessati in maniera non conforme alle istruzioni ricevute dal Titolare stesso;
• adempiere in ogni momento alle Disposizioni Privacy e nello specifico ad adottare tutte le misure richieste ai sensi dell’articolo 32 del GDPR;
• predisporre e mantenere aggiornato un adeguato sistema di protezione e sicurezza dei Dati Personali degli Interessati per evitare la distruzione, la perdita, la modifica, la diffusione di tali dati o l'accesso non autorizzato agli stessi, e controllare periodicamente l’efficacia delle misure di sicurezza adottate, implementando almeno le misure di cui all'Appendice 2;
• trattare tutti i Dati Personali relativi agli Interessati come informazioni confidenziali e non comunicare tali informazioni confidenziali senza il preventivo consenso del Titolare, salvo nel caso in cui sia richiesto dall'autorità giudiziaria, o vi sia un obbligo di divulgazione di tali Dati Personali degli Interessati, ma esclusivamente nei limiti in cui ciò sia strettamente necessario per conformarsi a tale ordine dell'autorità giudiziaria od obbligo;
• adottare misure ragionevoli al fine di assicurare che il proprio personale autorizzato (da intendersi dipendenti, consulenti e collaboratori a vario titolo):
o sia affidabile;
o sia a conoscenza della natura confidenziale dei Dati Personali degli Interessati e sia obbligato a mantenere confidenziali e riservati tali Dati Personali degli Interessati;
o sia a conoscenza e rispetti gli obblighi assunti dal Responsabile in virtù del presente Accordo;
• informare immediatamente il Titolare in merito a:
o qualsiasi violazione della sicurezza, accesso non autorizzato, appropriazione indebita, perdita, danno o altra compromissione della sicurezza, confidenzialità o integrità dei Dati Personali relativi ai Servizi, sia essa effettiva o potenziale ("Violazione di Sicurezza");
o qualsiasi reclamo, comunicazione o richiesta ricevuta dal personale del Responsabile o dal Sub-responsabile da parte di un Interessato relativamente ai propri Dati Personali, senza rispondere a tali reclami, comunicazioni o richieste salvo che non sia stato autorizzato dal Titolare;
o qualsiasi richiesta di informazioni, ispezione, contatto da parte dell'Autorità di controllo relativa ai Dati Personali degli Interessati;
• non appena abbia scoperto una Violazione di Sicurezza e, in ogni caso, non oltre 24 ore dalla scoperta:
o agire immediatamente per prevenire qualsiasi ulteriore Violazione di Sicurezza;
o assicurare al Titolare collaborazione ed assistenza piena ed immediata in relazione a qualsiasi comunicazione che il Titolare sia obbligato ad effettuare a seguito di una Violazione di Sicurezza;
• assicurare al Titolare collaborazione ed assistenza piena ed immediata in relazione a qualsiasi reclamo, comunicazione o richiesta per l’esercizio dei diritti da parte di un Interessato, inter alia:
o fornendo al Titolare tutti i dettagli del reclamo, comunicazione o richiesta;
o se autorizzato dal Titolare, soddisfacendo la richiesta dell'Interessato relativa al Trattamento dei propri Dati Personali nella esecuzione dei Servizi, nei tempi previsti dalla legge e nel rispetto delle istruzioni fornite dal Titolare;
o fornendo al Titolare qualsiasi Dato Personale che detiene con riferimento all'Interessato, se richiesto in un formato elettronico leggibile e comunemente usato;
o fornendo al Titolare qualsiasi informazione richiesta dal Titolare con riferimento al Trattamento dei Dati Personali degli Interessati effettuato in esecuzione dei Servizi ai sensi del presente Accordo;
o correggendo, eliminando o bloccando i Dati Personali degli Interessati;
o implementando misure tecniche ed organizzative adeguate che garantiscano al Responsabile di adempiere alle obbligazioni di cui al presente articolo;
• assicurare al Titolare collaborazione ed assistenza piena ed immediata in relazione a qualsiasi valutazione relativa all'impatto sulla protezione dei Dati Personali degli Interessati trattati nell’esecuzione dei Servizi o consultazione preventiva che il Titolare sia obbligato ad effettuare con riferimento ai Dati Personali degli Interessati, nonché nell'ambito di investigazioni, richieste di informazioni, ispezioni da parte dell'Autorità di controllo;
• rendere noto al Titolare ogni soggetto che supporti il Responsabile nello svolgimento dell'attività di supervisione del rispetto del presente Accordo;
• mettere a disposizione, su richiesta del Titolare, tutte le informazioni e le prove necessarie a dimostrare che il Responsabile ha adempiuto e stia adempiendo alle sue obbligazioni derivanti dal presente Accordo nonché agli obblighi di cui all’articolo 28 del GDPR;
• mettere a disposizione, su richiesta del Titolare, le proprie strutture per il Trattamento dei Dati Personali degli Interessati al fine di consentire al Titolare di effettuare, direttamente o tramite qualsiasi soggetto indipendente e imparziale selezionato dal Titolare a propria scelta, verifiche e controlli delle attività di Trattamento previste dal presente Accordo;
Il Responsabile concorda e si impegna a:
• fornire immediatamente, su richiesta motivata del Titolare, un estratto di qualsiasi accordo concluso con un Sub-responsabile limitatamente a ciò che concerne le modalità, le istruzioni, gli accorgimenti di sicurezza e ogni altra informazione utile a definire il Trattamento dei Dati Personali degli Interessati effettuato nella fornitura dei Servizi;
• comunicare al Titolare ogni eventuale ricorso ad altri Sub-responsabili affinché il Titolare abbia la possibilità di opporsi alla nomina degli stessi. Il Responsabile deve assicurare che il Sub-responsabile abbia sottoscritto un accordo scritto a norma del diritto dell'Unione o di uno degli Stati Membri che abbia ad oggetto il Trattamento dei Dati Personali degli Interessati effettuato nella fornitura dei Servizi da parte del Responsabile e imponga al Sub-responsabile gli stessi obblighi che sono imposti al Responsabile ai sensi del presente Accordo. Resta inteso che il Responsabile e il Sub-responsabile possono concordare ulteriori aspetti commerciali fintantoché tali accordi non confliggano con il presente Accordo. Qualora il Titolare abbia ragionevoli motivi per opporsi alla nomina, da parte del Responsabile, di un nuovo Sub-responsabile, il Titolare dovrà comunicarlo per iscritto al Responsabile avendo cura di specificare i motivi a fondamento della sua opposizione, entro 30 giorni lavorativi dalla ricezione della suddetta comunicazione. Qualora il Titolare presenti opposizione, il Responsabile si impegnerà a collaborare in buona fede con il Titolare per trovare una proposta accettabile, ragionevole ed alternativa. Qualora il Responsabile non sia in grado di presentare una proposta alternativa entro un termine ragionevole che non dovrà essere superiore a sessanta (60) giorni, il Titolare potrà imporre la cessazione del trattamento, senza che ciò comporti alcuna penale o responsabilità in capo alle Parti, dandone comunicazione scritta al Responsabile entro trenta (30) giorni.
Le Parti concordano che in caso di scioglimento, per qualsiasi motivo, di tutti, di alcuni o di uno qualsiasi dei Contratti la nomina di Responsabile decadrà automaticamente e il Responsabile e tutti i Sub-responsabili, su richiesta del Titolare, dovranno restituire al Titolare tutti i Dati Personali degli Interessati (in qualsiasi formato siano detenuti) di cui abbiamo effettuato il Trattamento in esecuzione dei Servizi e, nello specifico, in relazione al o ai Contratti oggetto di scioglimento, nonché le relative copie ovvero cancellare tutti i Dati Personali degli Interessati e distruggere i supporti (cartacei, elettronici, etc.) in cui gli stessi sono contenuti e certificare per iscritto al Titolare di averli, rispettivamente, cancellati e distrutti, a meno che la legge impedisca al Responsabile di restituire, cancellare o distruggere, in tutto o in parte, i Dati Personali degli Interessati e i supporti (cartacei, elettronici, etc.) in cui sono contenuti. In tal caso, il Responsabile si impegna ad assicurare la confidenzialità dei Dati Personali degli Interessati e a restituire e/o cancellare i Dati Personali degli Interessati e le relative copie e distruggere i supporti (cartacei, elettronici, etc.) in cui sono contenuti, come richiesto dal Titolare non appena venga meno l'impedimento di cui sopra.
Le Parti concordano che in caso di prolungamento o rinnovo di alcuni o di uno qualsiasi dei Contratti la nomina di Responsabile si ritiene automaticamente rinnovata sino alla scadenza ultima dei contratti, senza che sia necessario alcun ulteriore atto tra le parti.
Art. 6. Trasferimenti di dati personali verso paesi terzi
Le Parti riconoscono che il Responsabile non tratterà né trasferirà i Dati Personali degli Interessati al di fuori dello Spazio Economico Europeo. Qualora il Responsabile intenda trattare o trasferire i Dati Personali degli
Interessati in un paese terzo allo Spazio Economico Europeo (EEA) ("Paese Terzo") per il quale non sussiste una decisione della Commissione UE che riconosce un adeguato livello di protezione dei Dati Personali, sarà necessario il preventivo consenso scritto del Titolare, e troveranno applicazione le disposizioni di cui ai successivi paragrafi.
In aggiunta alle altre previsioni del presente Accordo, per i trasferimenti di Dati Personali in un Paese Terzo, le Parti dovranno stipulare le clausole contrattuali tipo approvate dall'Unione Europea per i trasferimenti di Dati Personali verso un Paese Terzo riconosciute dalla decisione della Commissione UE del 5 febbraio 2010, notificata con il numero C(2010) 593, ("Clausole Contrattuali Tipo").
Nel caso in cui le Clausole Contrattuali Tipo dovessero essere modificate, sostituite o abrogate dalla Commissione UE o ai sensi delle Disposizioni Privacy, le Parti collaboreranno per concordare una possibile versione aggiornata delle Clausole Contrattuali Tipo o per negoziare un'altra soluzione che consenta il trasferimento dei Dati Personali in conformità con le Disposizioni Privacy.
Le disposizioni di cui al presente articolo esplicano effetti, ove applicabili, anche ai rapporti tra Responsabile ed eventuali Sub-Responsabili.
Il Responsabile sarà pienamente e direttamente responsabile nei confronti del Titolare di tutti i danni subiti dal Titolare o da terzi a seguito o in conseguenza del Trattamento dei Dati Personali relativo ai Servizi effettuato sia da Responsabile sia da qualsiasi Sub-responsabile da egli nominato, a prescindere che il Titolare si sia opposto o abbia acconsentito a detta nomina.
Fatto salvo il caso di dolo e colpa grave, il Titolare non potrà in alcun modo essere ritenuto responsabile nei confronti del Responsabile e del Sub-responsabile per eventuali danni, di qualsiasi tipo, subiti da questi ultimi in conseguenza della esecuzione del presente Accordo.
Il Responsabile accetta di tenere indenne e manlevato il Titolare in relazione a tutti i costi, le pretese, i danni o le spese sostenute dal Titolare, o per le quali il Titolare può essere ritenuto responsabile, derivanti dall'inadempimento delle obbligazioni previste dal presente Accordo, o dalle Disposizioni Privacy, sia da parte del Responsabile o dei suoi agenti, collaboratori, dipendenti o personale in generale sia da parte del Sub- responsabile o dei suoi agenti, dipendenti, collaboratori o personale in generale.
Ogni Parte adempirà alle rispettive obbligazioni previste dal presente Accordo a proprie spese.
In caso di contrasto tra le disposizioni del presente Accordo e le disposizioni di qualsiasi altro accordo concluso tra le Parti, le disposizioni del presente Accordo prevarranno con riferimento al Trattamento dei Dati Personali effettuato in conseguenza della fornitura dei Servizi.
Nel caso in cui una o più disposizioni del presente Accordo fossero o divenissero illegittime, invalide o inefficaci sotto qualsiasi aspetto, tale illegittimità, invalidità o inefficacia non renderà, illegittime, invalide o inefficaci le rimanenti disposizioni del presente Accordo. Nei limiti del possibile, le disposizioni ritenute
illegittime, invalide o inefficaci saranno interpretate o sostituite in maniera tale da riflettere il più fedelmente possibile l'intento contrattuale delle Parti.
Qualsiasi modifica del presente Accordo dovrà essere effettuata per iscritto e sottoscritta da un firmatario debitamente autorizzato delle Parti.
Art. 11. Legge applicabile e foro competente
Il presente Accordo è disciplinato e deve essere interpretato ai sensi della legge italiana.
Il foro esclusivamente competente per qualsiasi controversia tra il Titolare e il Responsabile che non possa essere risolta in modo amichevole e che riguardi l’interpretazione, l’adempimento, la violazione, la risoluzione o l’esecuzione del presente Accordo, è quello di Roma.
Per il Titolare Per il Responsabile
Nome e cognome Xxxx e cognome
Ruolo Ruolo
Luogo/Data Luogo/Data
Ai sensi e per gli effetti di cui agli art. 1341 e 1342 del Codice Civile, il Responsabile dichiara di aver letto, compreso e accettato espressamente le seguenti clausole: Art. 4 Sub-responsabile Art. 6 Trasferimenti di dati personali verso paesi terzi, Art. 7 Responsabilità, Art. 8 Manleva e indennizzo, Art. 11 Legge applicabile e foro competente.
Per il Responsabile
Nome e cognome
Ruolo
Luogo/Data
APPENDICE 1
DETTAGLI DELLE ATTIVITÀ DI TRATTAMENTO
I Dati Personali oggetto di Trattamento in esecuzione dei Servizi riguardano
• [inserire: ad es., studenti, dipendenti, fornitori, etc.]
I Dati Personali degli Interessati riguardano le seguenti categorie di dati [inserire maggiori informazioni, quali, ad esempio]:
• "Dati identificativi” (nome, cognome, codice fiscale e altri dati degli Interessati);
• “Dati di contatto” (numero telefonico, indirizzo di spedizione, email, etc.);
• Ecc.
Nell’esecuzione dei Servizi da parte del Responsabile, i Dati Personali relativi agli Interessati saranno soggetti alle seguenti attività di Trattamento da parte del Responsabile: [specificare le attività che vengono svolte quali ad esempio: raccolta, registrazione, organizzazione, strutturazione, conservazione, adattamento o modifica, estrazione, consultazione, uso, comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, raffronto, interconnessione, limitazione, cancellazione, distruzione].
Finalità del Trattamento e base giuridica
Nell’esecuzione dei Servizi da parte del Responsabile, i Dati Personali relativi agli Interessati saranno trattati per le seguenti finalità [specificare le finalità e le basi giuridiche del trattamento, ad esempio]:
• erogazione dei servizi didattici e di segreteria studenti;
• organizzazione e svolgimento di iniziative volte all’orientamento in ingresso, in itinere ed in uscita;
• organizzazione di test di valutazione o ammissione a qualunque corso di;
• organizzazione delle attività di collaborazione e dei tirocini extracurriculari;
• erogazione dei servizi informatici e accesso ai laboratori e ad altre strutture protette;
• erogazione dei servizi di e-learning;
• erogazione di servizi di tutorato, assistenza, inclusione sociale;
• sondaggi condotti anonimamente e su base aggregata;
• ecc.
I Dati Personali degli Interessati saranno trattati dal Responsabile per tutta la durata dei Servizi e, al termine degli stessi, restituiti al Titolare o cancellati nel rispetto delle previsioni del presente Accordo.
MISURE TECNICHE E ORGANIZZATIVE DI SICUREZZA
Il Responsabile si impegna a garantire che il proprio personale autorizzato e i propri Sub-responsabili osservino, in ogni momento, gli obblighi contenuti nelle Istruzioni per il corretto trattamento dei dati personali allegate al Regolamento di Ateneo in materia di protezione dei dati personali nonché le misure di cui al documento [inserire eventuale documentazione aggiuntiva o rimuovere il testo da “nonché le misure…”].
In ogni caso, il Responsabile si impegna ad adottare le seguenti misure tecniche e organizzative minime:
• I Dati Personali degli Interessati devono essere, ove possibile o necessario ai sensi della normativa, cifrati o pseudonomizzati, a seconda dei casi. Opportune salvaguardie devono essere adottate sia per i formati digitali che fisici.
• Prodotti contro i malware e antivirus devono essere installati, operanti e aggiornati su ogni hardware ivi inclusi, a titolo esemplificativo e non esaustivo, computer, laptop, server, router, dispositivi mobili.
• La conservazione e il Trattamento dei Dati Personali degli Interessati in dispositivi portatili o al di fuori dei locali del Responsabile, saranno soggetti al rispetto di specifiche policy e procedure e, in ogni caso, garantiranno il livello di sicurezza che si renderà necessario in relazione al tipo di file trattato.
• Qualora i supporti e i documenti contenenti Dati Personali degli Interessati, siano portati fuori dai locali sotto il controllo del Responsabile, tale circostanza dovrà essere disciplinata da specifiche procedure. Le necessarie misure di sicurezza saranno implementate durante il trasferimento dei supporti e della documentazione, al fine di evitare furti, perdite o accessi non autorizzati alle informazioni durante il trasporto.
• I sistemi di archiviazione temporanea o le copie di documenti creati esclusivamente per l’esecuzione di attività temporanee o ausiliarie devono rispettare un livello di sicurezza adeguato e devono essere cancellati o distrutti una volta che non siano più necessari per le finalità per le quali sono stati creati.
• Le procedure di back-up devono essere documentate. Le copie di backup complete devono essere conservate.
• In tema di distaster recovery, devono essere implementate procedure per ripristinare tempestivamente la disponibilità e l'accesso ai dati in caso di incidenti fisici o tecnici. Ciò include anche la predisposizione di un piano di disaster recovery per i sistemi attraverso i quali sono trattati Dati Personali degli Interessati.
• Saranno implementati controlli degli accessi sia digitali che fisici. Le misure di controllo degli accessi dovranno essere documentate mediante policy scritte e procedure interne. Inoltre, il Responsabile adotterà policy e procedure rispetto a:
o procedure di autenticazione multi fattore;
o limitazione dell'accesso ai dati unicamente a persone che ne abbiano necessità per poter adempiere ai propri obblighi.
• Il Responsabile assicura che le persone autorizzate al Trattamento abbiano accesso solo ai dati necessari per compiere le proprie mansioni. Le funzioni e gli obblighi di ogni persona autorizzata con accesso ai Dati Personali degli Interessati e ai sistemi informativi saranno chiaramente definiti e documentati.
• Il Responsabile deve garantire l’esistenza di un elenco aggiornato delle persone autorizzate al Trattamento dei Dati Personali degli Interessati e degli accessi autorizzati per ciascuno di essi.
• Il Responsabile stabilirà meccanismi per evitare che un soggetto possa accedere a Dati Personali degli Interessati in modo diverso rispetto alle modalità con le quali tale soggetto è autorizzato ad accedere agli stessi.
• Quando il meccanismo di autenticazione si basa sull’esistenza di password, sarà implementata dal Responsabile una procedura per l’assegnazione, la distribuzione e la memorizzazione di tali password al fine di garantirne la riservatezza e l’integrità. Analogamente, le password saranno sostituite dal Responsabile con cadenza regolare, che comunque non potrà superare sei mesi, e saranno conservate in modo tale da renderle inintelligibili durante il periodo di validità.
• I luoghi dove sono conservati i Dati Personali degli Interessati saranno soggetti a restrizioni e verrà tenuto un inventario di tali luoghi. L'accesso a luoghi dove sono conservati i dei Dati Personali degli Interessati al di fuori delle relative ore di lavoro sarà registrato dal Responsabile, con la indicazione di: ora entrata, ora uscita, persona che accede al luogo.