tra
ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI
1/8
tra
La S.R.R. Palermo Area Metropolitana S.C.p.A. con sede legale in Palermo, Piazza Pretoria n. 1, CF./P.IVA 06269510829, in persona del proprio legale rappresentante pro-tempore (Presidente del CdA ex Deliberazione. n°555 del 13.04.2018), Xxxx. Xxxxxx Xxxxxxx, nato a Misilmeri (PA) il 18/11/1959, C.F. TBLNTL59S18F246K, domiciliato per la carica sociale presso la suddetta sede legale - che per brevità, in seguito, sarà denominata “Titolare o SRR”;
da una parte
e
Lo Studio _, con sede in _n. -- – Comune/CAP – C.F./P IVA
, in persona del proprio legale rappresentante pro-tempore:
, Sig./Sig.ra , nato/a a
( ) il __/ _/ , C.F.
- che per brevità, in seguito, sarà denominata “Responsabile o
Contraente”;
dall’altra parte
PREMESSO:
a) che il Titolare ed il Responsabile hanno stipulato in data un contratto (di seguito semplicemente “Contratto”), con il quale Contraente si è impegnato a prestare in favore del Titolare un incarico professionale finalizzato allo svolgimento di attività di consulenza contabile, fiscale e tributaria (di seguito anche solo “Incarico”);
b) che al fine di adempiere alle obbligazioni indicate nel suindicato contratto, il Contraente tratterà dati personali di cui la SRR è titolare;
c) che il Responsabile ha dichiarato di possedere misure di sicurezza appropriate e tese a garantire l’adeguata tutela dei dati personali trattati e dei diritti degli interessati nonché, in generale, la conformità ai requisiti previsti dalla normativa applicabile in materia di riservatezza e protezione dei dati personali dei trattamenti che saranno allo stesso conferiti per l’esecuzione del contratto assegnato;
d) che il Titolare prima di affidare al Contraente lo svolgimento delle prestazioni del caso in specie, ha valutato che lo stesso presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative idonee a garantire una adeguata tutela dei dati trattati e dei diritti degli interessati;
e) che con il presente atto (di seguito “Accordo”), le Parti intendono regolare i trattamenti dei Dati Personali da parte del Contraente ai sensi dell’art. 28, paragrafo 3, del Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali - Regolamento Generale sulla
Protezione dei Dati Personali, entrato in vigore il 24 maggio 2016 e applicabile dal 25 maggio 2018 (di seguito “GDPR” o “Regolamento”);
Tutto ciò premesso, tra le parti come in epigrafe rappresentate e domiciliate, SI CONVIENE E SI STIPULA QUANTO SEGUE:
Art. 1 – Definizioni
2/8
Ai fini del presente accordo, valgono le definizioni del Contratto, ove applicabili, e le seguenti definizioni:
Per “Dati personali” si intendono tutte informazioni relative a una persona fisica identificata o identificabile (“l’interessato”) che il Responsabile tratta per conto del Titolare allo scopo di fornire l’incarico ad oggetto del relativo contratto;
Per “Legge applicabile” si intende il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, (d’ora innanzi anche solo “Regolamento” o “GDPR”), nonché qualsiasi altra normativa o atto avente forza di legge vigente in materia di protezione dei dati personali ed applicabile in Italia, ivi compresi i provvedimenti del Garante;
Per "Garante" si intende l'Autorità di cui all'art. 51 del Regolamento, che svolge le funzioni indicate nel successivo art. 57, GDPR;
per "Misure di sicurezza" si intendono le misure minime di sicurezza indicate dall'art. 32, GDPR e nei provvedimenti del Garante.
Art. 2 - Nomina
Con la sottoscrizione del presente Accordo, il Titolare nomina il Contraente in epigrafe che accetta, quale Responsabile ai sensi dell'art. 28 del Regolamento.
Art. 3 - Operazioni di trattamento, tipologia di dati personali e categorie di interessati
Il presente Accordo si riferisce a tutte le operazioni di trattamento connesse alla fornitura del’incarico oggetto di correlativo Contratto ("Operazioni di trattamento").
Le Operazioni di trattamento saranno funzionali allo svolgimento delle attività indicate nel Contratto nonché a tutte le ulteriori attività che il Titolare dovesse richiedere al Responsabile nell'ambito del Contratto medesimo.
Le Operazioni di cui sopra hanno ad oggetto il seguente ambito di trattamento:
Categorie di interessati:
Utenti, Dipendenti, Fornitori,
Consulenti e professionisti,
Componenti organi di vertice e di controllo.
Tipologie di dati personali oggetto di trattamento:
Dati comuni che permettono l’identificazione diretta, quali ad esempio dati anagrafici, ecc…; Dati comuni che permettono l’identificazione indiretta, quali codice fiscale, ecc…;
Dati particolari quali dati idonei a rivelare l’appartenenza sindacale e lo stato di salute;
Dati giudiziari che possono rivelare l’esistenza di determinati provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale.
3/8
Natura e finalità del trattamento:
Il Responsabile tratta i dati personali nella misura strettamente necessaria ad espletare l’incarico oggetto del Contratto stipulato tra le Parti.
Durata del trattamento: Fino alla cessazione per qualunque motivo del Contratto, ovvero fino alla revoca anticipata per qualsiasi motivo da parte del Titolare.
Art. 4 - Amministratore di Sistema [solo ove applicabile al caso di specie]
Il Responsabile si impegna a conformarsi al Provvedimento generale del Garante per la protezione dei dati personali del 27 novembre 2008, recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal Provvedimento del Garante del 25 giugno 2009, e ad ogni altro pertinente provvedimento dell’Autorità frattanto eventualmente emanato.
Nell’ambito dello svolgimento delle attività oggetto di Contratto, il Responsabile è incaricato di svolgere specifici compiti di intervento tecnico sul sistema informatico aziendale, che potenzialmente permettono, anche indirettamente, di accedere ai dati personali presenti nello stesso sistema. Pertanto, il Responsabile viene altresì designato quale “Amministratore esterno di sistema” per le specifiche attività, inerenti solo e soltanto l’oggetto del relativo Contratto, di:
- amministratore dei sistemi operativi dei server;
- amministratore degli applicativi e delle banche dati;
- effettuazione interventi di manutenzione software su sistemi operativi e applicativi;
- gestione, in collaborazione con gli altri responsabili del trattamento dei dati personali, del sistema di attribuzione e gestione dei codici di accesso agli strumenti informatici;
- gestione delle proprie password di amministratore di sistema;
- gestione delle operazioni di backup con le seguenti mansioni:
a) gestire il sistema informatico nel quale risiedono le banche dati personali mettendo in atto - in conformità ai principi di cui all’art. 32 del GDPR - adeguate misure di sicurezza, attenendosi anche a successive ed ulteriori disposizioni del Titolare in tema di sicurezza;
b) monitorare il sistema di sicurezza informatico adottato, adeguandolo anche alle eventuali future norme in materia di sicurezza. Più specificatamente il Responsabile, in qualità di Amministratore di sistema, dovrà:
1. assegnare e gestire il sistema di autenticazione informatica, fatte salve le situazioni in cui sia presente un’integrazione con sistemi di autenticazione gestiti direttamente dal Titolare, secondo le modalità di seguito indicate:
Lo username viene assegnato, salvo diverso avviso o integrazione, esclusivamente dall’amministratore del servizio (o amministratore del sistema) o da un suo delegato;
La password viene gestita, dopo la sua prima assegnazione da parte dell’amministratore, esclusivamente dall’utente, con l’eccezione dei casi in cui ricorrano necessità di carattere tecnico-organizzative;
Il codice identificativo, una volta assegnato ad un utente, non potrà più essere riassegnato ad altri soggetti, nemmeno in tempi successivi, proprio per poter garantire un’archiviazione e storicizzazione delle utenze (come riportato dalla normativa vigente in tema di dati personali);
Le credenziali di accesso non utilizzate da almeno 6 (sei) mesi dovranno essere disattivate (a meno che non siano state preventivamente autorizzate quali credenziali per soli scopi di gestione tecnica, che
prevedono pertanto periodi di inattività anche più lunghi del semestre). Le credenziali devono essere disattivate anche quando l’utente perde il ruolo, la mansione e le qualità che gli consentono di utilizzarle per accedere ai vari servizi (es. cessazione del rapporto di lavoro, trasferimento, demansionamento, licenziamento, sostituzione, ecc.);
Laddove vi sia la ragionevole certezza che l’utenza sia stata utilizzata da persona diversa dal titolare, la stessa dovrà essere cambiata immediatamente dall’utente. In caso di inerzia, tale cambio verrà disposto direttamente dall’amministratore del sistema. Le password di default, come quelle create
4/8
per i nuovi utenti o assegnate dopo una reimpostazione della password, devono poter essere cambiate dall’utente al primo accesso. Tale cambio password deve essere imposto all’utente dal sistema.
2. generare, sostituire ed invalidare, in relazione agli strumenti ed alle applicazioni informatiche utilizzate, le parole chiave ed i Codici identificativi personali da assegnare agli autorizzati del trattamento dati, svolgendo anche la funzione di custode delle copie delle credenziali;
3. assicurarsi di operare con l’utenza nominale di Amministratore di Sistema assegnata e di provvedere al cambio della password secondo le seguenti modalità minime:
Utilizzare le utenze solo per effettuare operazioni che ne richiedano i privilegi;
Utilizzare per le utenze adeguate credenziali in rapporto ai profili di attività delle stesse;
Utilizzare sempre le regole di complessità per le utenze (a-z; AZ; 0-9; un carattere speciale o simbolo di interpunzione);
Le utenze anonime, quali “Administrator” di Windows, debbono essere utilizzate solo per le situazioni di emergenza e l’uso deve essere documentato e datato con certezza (anche con comunicazione al titolare);
4. adottare adeguati programmi antivirus, firewall ed altri strumenti software o hardware atti a garantire la massima misura di sicurezza nel rispetto delle vigenti disposizioni normative in materia ed utilizzando le conoscenze acquisite in base al progresso tecnico software e hardware, verificandone l’installazione, l’aggiornamento ed il funzionamento degli stessi;
5. adottare tutti i provvedimenti necessari ad evitare la perdita o la distruzione, anche solo accidentale, dei dati personali e provvedere al ricovero periodico degli stessi con copie di back-up, vigilando sulle procedure attivate in struttura. L’Amministratore di sistema dovrà anche assicurarsi della qualità delle copie di back-up dei dati e della loro conservazione in luogo adatto e sicuro;
6. monitorare le ulteriori misure di sicurezza per il trattamento informatico dei dati particolari (comunque intesi) e per la conseguente tutela degli strumenti elettronici;
c) collaborare con il Titolare per l’attuazione delle prescrizioni impartite dal Garante;
d) comunicare prontamente al Titolare qualsiasi situazione (di cui il Responsabile anche in qualità di amministratore di sistema sia venuto a conoscenza) che possa compromettere il corretto trattamento informatico dei dati personali;
e) verificare il rispetto delle norme sulla tutela del diritto d’autore sui programmi di elaboratore da installare nei dispositivi presenti in Azienda riferendo al Titolare;
f) designare quali amministratori di sistema le figure professionali dedicate alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti con cui vengono effettuati trattamenti di Dati personali, fornendo al Titolare, su richiesta, informazioni sulle valutazioni effettuate per le designazioni;
g) effettuare un’elencazione analitica degli ambiti di operatività consentiti a ciascuno di essi in base al relativo profilo di autorizzazione assegnato e fornendo, su richiesta, informazioni relative alle valutazioni alla base delle designazioni;
h) predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali amministratori di sistema e le funzioni ad essi attribuite;
i) comunicare, tempestivamente, al Titolare l’elenco aggiornato degli amministratori di sistema, specificandone l’ambito di responsabilità (sistemi, database, reti, applicativi, etc.), oltre ad ogni suo successivo aggiornamento;
j) verificare con cadenza almeno annuale l'operato degli amministratori di sistema, informando il Titolare – su richiesta dello stesso - circa le risultanze di tale verifica; ciò in attuazione delle prescrizioni contenute nel citato provvedimento del Garante;
5/8
k) garantire una rigida separazione tra chi autorizza e/o assegna i privilegi di accesso e chi effettua le attività tecnico-sistemistiche (c.d. Segregation Duty).
Si evidenzia che il provvedimento del Garante impone la tracciabilità e la registrazione dell’attività di accesso ai sistemi da parte degli stessi amministratori di sistema. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti allo “username” utilizzato, i riferimenti temporali e la descrizione dell'evento (log in e log out) che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi. Conseguentemente, l’attività di amministratore di sistema verrà monitorata in conformità alle prescrizioni del Garante. Della nomina del Responsabile anche in qualità di amministratore di sistema - così disposta mediante il presente atto - verrà data opportuna informazione nell’ambito dell’organizzazione aziendale ed al personale interessato con le modalità più opportune.
Art. 5 - Rapporti con Sub-responsabili
Il Responsabile, in nessun caso, può sub-affidare le prestazioni contrattuali che implicano il trattamento di Dati personali per conto del Titolare, senza la previa autorizzazione scritta dello stesso 'Titolare.
II Responsabile si impegna espressamente a vincolare i propri Sub-responsabili alle medesime obbligazioni cui il medesimo è tenuto in virtù del presente Accordo ed a vigilare, anche per mezzo di specifiche attività di audit, che gli stessi rispettino le istruzioni fornite.
Xxxxx restando quanto sopra, resta inteso tra le Parti che il Contraente è responsabile nei confronti dell'interessato e del Titolare con riferimento al rispetto da parte di ciascun Sub-responsabile della Legge all’uopo applicabile.
Art. 6 - Istruzioni e obblighi del Responsabile
Fermo restando ogni altro obbligo previsto dalla normativa vigente ed all’uopo applicabile, il Responsabile si impegna a:
a. trattare i Dati personali esclusivamente per le finalità indicate nel presente Accordo, nonché per le finalità ulteriori che il Titolare dovesse eventualmente e successivamente indicare, e comunque esclusivamente per l'esecuzione del Contratto di relativo riferimento;
b. trattare i Dati personali in piena conformità alle istruzioni qui fornite da parte del Titolare ovvero, di quelle ulteriori che lo stesso dovesse, in futuro, ritenere opportuno fornire per la migliore e più efficiente esecuzione delle attività in trattazione; le ulteriori istruzioni che dovessero essere fornite dal Titolare saranno rese al Responsabile per iscritto o trasmesse al Responsabile stesso a mezzo posta elettronica certificata;
c. garantire che tutte le persone agenti sotto la propria autorità, alle quali sia consentito di accedere o anche trattare i Dati personali, abbiano sottoscritto idoneo impegno, o siano altrimenti comunque adeguatamente vincolate a mantenere totale riservatezza rispetto al trattamento dei dati medesimi e che, a tal fine, le stesse agiscano sotto il costante controllo del Responsabile ed in conformità alle istruzioni da quest’ultimo fornite;
d. non consentire a terzi l’accesso ai Dati personali, se non in presenza di adeguati presupposti di liceità per tali ulteriori trattamenti;
e. tenere i Dati personali separati dai dati detenuti per conto di altri soggetti;
f. adottare idonea procedura di gestione della violazione della sicurezza da cui derivino, accidentalmente o in modo illecito, la distruzione, la perdita, la divulgazione non autorizzata o l’accesso ai Dati personali o, in alternativa,
conformarsi e dare adeguata attuazione alla corrispondente policy che dovesse essere trasmessa da parte del titolare, prestando in ogni caso la massima collaborazione nei confronti dello stesso al fine di eliminare o quantomeno ridurre al minimo gli impatti derivanti da eventi di questo tipo;
g. segnalare - fermo l’obbligo di notificare senza ingiustificato ritardo al Titolare e, comunque, entro e non oltre 24 ore
6/8
- ogni possibile evento qualificabile come violazione dei dati personali ai sensi della Legge applicabile, informando prontamente il titolare medesimo con riguardo a qualsiasi ulteriore evento, fatto o circostanza, prevedibile o meno, da cui possa derivare un rischio elevato per i diritti e le libertà fondamentali degli interessati coinvolti nelle Operazioni di trattamento;
h. collaborare con il Titolare, limitatamente ai trattamenti relativi ai Dati personali afferenti al Contratto, nell’assolvimento degli obblighi di:
notifica delle violazioni di dati al Garante o ad altre autorità di controllo competenti e, laddove richiesto in ragione dell’elevato livello di rischio per i diritti e le libertà degli interessati, anche a questi ultimi,
se necessario, esecuzione di idonea valutazione di impatto sulla protezione dei dati, oltre che nello svolgimento delle procedure di consultazione preventiva con il Garante o le altre autorità competenti;
i. predisporre e mantenere costantemente aggiornato, al ricorrere dei presupposti del caso, in formato elettronico o cartaceo, un Registro di tutte le operazioni di trattamento svolte ai fini dell’esecuzione dell’Accordo, contenente in particolare:
1. i propri dati di contatto, oltre a quelli del Titolare e, ove applicabile, del proprio Responsabile del Trattamento dei Dati;
2. le categorie dei Trattamenti effettuati per conto del Titolare;
3. una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in conformità al presente atto di nomina e, più in generale alla normativa applicabile;
j. designare, ove richiesto in base al GDPR, un Responsabile della Protezione dei Dati (DPO) in conformità a quanto disposto dagli artt. 37 – 39 del GDPR stesso e a comunicare i relativi dati di contatto all’autorità di controllo e al Titolare;
k. mettere il Titolare al corrente, riguardo a qualsiasi richiesta di esercizio di diritti che il Responsabile dovesse ricevere da parte degli Interessati, entro un termine massimo di 24 ore dal ricevimento della stessa;
l. segnalare al Titolare se le istruzioni ricevute comportano una violazione della Legge applicabile;
m. prestare al Titolare ogni necessaria collaborazione nell’assolvimento di richieste che dovessero pervenire dal Garante o da altre autorità competenti o in relazione a procedure o ispezioni che dovessero essere avviate nei confronti del Titolare, dando altresì immediata esecuzione alle istruzioni ricevute e fornendo copia di ogni documento richiesto;
n. [Nel caso di trattamenti con modalità informatiche o telematiche] adottare le misure minime di sicurezza ICT per le pubbliche amministrazioni, contenute nella circolare AGID n. 2 del 18 aprile 2017, pubblicata sulla GU - Serie generale - n. 103 del 05/05/2017. Qualora i parametri di sicurezza ivi contenuti non dovessero essere applicati, previa diffida ad adempiere in 30 giorni, l’inadempimento potrà essere ragione di risoluzione del correlativo Contratto di affidamento.
Art. 7 - Restituzione e distruzione dei Dati personali
È espressamente convenuto tra le Parti che alla data di cessazione del presente Accordo - che coincide con la scadenza del Contratto di relativo riferimento o, comunque, in caso di cessazione per qualunque causa dell’efficacia del presente atto di designazione, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o comunitario che preveda la conservazione dei Dati Personali - il Responsabile dovrà interrompere ogni operazione di trattamento dei Dati personali trattati in considerazione dello svolgimento dell’incarico di cui al correlativo Contratto, e dovrà provvedere, a scelta del Titolare, all’immediata restituzione allo stesso dei Dati Personali medesimi oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un’attestazione scritta riportante che presso lo stesso Responsabile non ne esiste alcuna copia.
In caso di richiesta scritta del Titolare, il Responsabile è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione dei dati stessi.
Ove del caso, il Responsabile, inoltre, si impegna ad imporre ai propri Sub-responsabili l’obbligo di cancellare o distruggere qualsiasi Dato personale trattato in considerazione dell’attività prestata a favore del Responsabile stesso.
Art. 8 - Sicurezza dei Dati
7/8
IL Responsabile si impegna ad adottare misure tecniche e organizzative adeguate a garantire un idoneo livello di sicurezza in riferimento ai Dati personali trattati per conto del Titolare e ad adottare ogni misura necessaria a prevenire o, quantomeno minimizzare, ogni rischio ragionevolmente prevedibile connesso alla distruzione, alla perdita, alla modifica, alla divulgazione non autorizzata o all’accesso, in modo accidentale o illegale, relativamente ai medesimi dati ricevuti. In particolare, in conformità alle attività e ai correlativi rischi oggetto di incarico, il Responsabile si impegna ad adottare misure di sicurezza previste all’art. 32 del GDPR oltre a quelle, eventualmente, ulteriori che il Titolare gli chiedesse di adottare in relazione a specifiche Operazioni di trattamento.
Art. 9 – Audit
Il Responsabile si impegna a fornire al Titolare, su richiesta, apposite relazioni e report che attestino l’adempimento degli obblighi gravanti sul Responsabile stesso ai sensi del presente Accordo, con particolare riguardo alle misure di sicurezza adottate.
Il Responsabile si impegna a fornire al Titolare o a soggetti terzi da questo delegati, con modalità e tempi da concordarsi, l’accesso ad uffici, dispositivi sistemi e documenti informatici propri e dei propri sub-responsabili, qualora risulti necessario verificare l’osservanza, da parte del Responsabile, degli obblighi pattuiti.
Art. 10 - Durata
L’Accordo produrrà i suoi effetti a partire dalla data di sottoscrizione del presente Accordo.
L’Accordo sostituisce ogni precedente Atto di nomina ai sensi della previgente normativa in materia e sarà vincolante per le Parti a decorrere dalla data di sottoscrizione del presente Accordo, che rimarrà in vigore fino a cessazione del Contratto, indipendentemente dalla causa di detta cessazione o, comunque, alla data di cessazione del Trattamento dei Dati personali se, per qualsiasi ragione, successiva alla cessazione dell’efficacia del Contratto.
Resta fermo ed impregiudicato che, anche successivamente alla cessazione di cui sopra, il Responsabile dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.
Art. 11 - Responsabilità
Il Fornitore si impegna a mantenere indenne il Titolare da ogni danno, costo od onere di qualsiasi genere e natura, nonché da ogni contestazione, azione o pretesa avanzate nei confronti del Titolare da parte degli interessati e/o di qualsiasi altro soggetto e/o Autorità derivanti da eventuali inadempimenti del presente Accordo da parte del Responsabile stesso (o di eventuali suoi Sub-responsabili) o inosservanze delle istruzioni di cui al presente atto o di ulteriori istruzioni eventualmente impartite per iscritto da parte del Titolare stesso.
Art. 12 - Legge applicabile e Foro competente
Il presente Accordo è regolato dalla Legge italiana.
Tutte le controversie derivanti dal presente Accordo, comprese quelle relative alla sua validità, interpretazione, esecuzione e risoluzione, che dovessero insorgere tra le Parti, saranno deferite alla competenza esclusiva del Tribunale di Palermo.
Art. 13 - Disposizioni finali
Resta inteso che il presente Accordo non comporta alcun diritto per il Responsabile ad uno specifico compenso o indennità o rimborso per l’attività svolta, né ad un incremento del corrispettivo spettante allo stesso in virtù del Contratto di correlativo riferimento.
Per tutto quanto non previsto dal presente Accordo si rinvia alle disposizioni generali vigenti ed applicabili in materia protezione dei dati personali.
8/8
Data
Il Titolare Il Responsabile