ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI
(AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679 del 27 aprile 2016 E
DELL’ART. 2 –QUATERDECIES DEL DLGS 30 GIUGNO 2003, N. 196 COME MODIFICATO
DAL DLGS 10 AGOSTO 2018, N. 101)
Tra
‒ Regione Lombardia, codice fiscale n. 80050050154, nella persona del Dirigente competente, dott.ssa Xxxxxx Xxxx nata il 27/08/1967a Nardò domiciliato per la carica presso la sede di Regione Lombardia, posta in Xxxxxx, Xxxxxx Xxxxx xx Xxxxxxxxx, x. 0, autorizzata ad intervenire nel presente atto in virtù del decreto 144 del 16/10/2018 e della delega di funzioni in materia di privacy con nomina Protocollo E1.2018.0545629 del 29/11/2018 per l’attuazione del D.D.U.O. n. 3803 del 26/03/2020 “Recepimento modello standard accordo sindacale e approvazione modalità applicative per la presentazione delle domande di cassa integrazione guadagni in deroga a seguito dell'emergenza sanitaria da covid-19 e in attuazione dell'accordo quadro sui criteri di accesso agli ammortizzatori sociali in deroga sottoscritto tra la Regione Lombardia e le parti sociali il 23 marzo 2020”;
E
‒ Denominazione ente/società
codice fiscale n.
con sede legale (Comune, Indirizzo)
nella persona del legale rappresentante pro tempore,
(Cognome e Nome, codice fiscale)
domiciliato per la carica presso la sede legale suindicata;
di seguito ciascuna indicate, individualmente "la Parte" e collettivamente "le Parti".
Premesso che
a) è stato sottoscritto il D.D.U.O. n. 3803 del 26/03/2020 “Recepimento modello standard accordo sindacale e approvazione modalità applicative per la presentazione delle domande di cassa integrazione guadagni in deroga a seguito dell'emergenza sanitaria da covid-19 e in attuazione dell'accordo quadro sui criteri di accesso agli ammortizzatori sociali in deroga sottoscritto tra la Regione Lombardia e le parti sociali il 23 marzo 2020” da parte del Dirigente della U.O. Programmazione e Coordinamento Servizi all’impiego;
b) REGIONE LOMBARDIA è Titolare del trattamento dei dati personali per finalità istituzionali ai sensi degli artt. 4 e 28 del Regolamento UE 2016/679;
c) REGIONE LOMBARDIA in qualità di Titolare del trattamento individua,
(Denominazione ente/società)
come Responsabile del Trattamento, in quanto la stessa presenta le garanzie sufficienti per mettere in atto le misure tecniche ed organizzative adeguate in modo che il trattamento rispetti i requisiti della normativa e la tutela degli interessati;
d) per l’esecuzione del D.D.U.O. n. 3803 del 26/03/2020 “Recepimento modello standard accordo sindacale e approvazione modalità applicative per la presentazione delle domande di cassa integrazione guadagni in deroga a seguito dell'emergenza sanitaria da covid-19 e in attuazione dell'accordo quadro sui criteri di accesso agli ammortizzatori sociali in deroga sottoscritto tra la Regione Lombardia e le parti sociali il 23 marzo 2020”
(Denominazione ente/società)
tratterà i dati per cui Regione Lombardia è titolare;
Definizioni
Ai fini del presente Atto di nomina valgono le seguenti definizioni:
‒ Per “Legge Applicabile” o “Normativa privacy”: Si intende il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito per brevità “GDPR”), il D. Lgs. N. 196/2003 modificato dal X.Xxx. N° 101 del 10 agosto 2018, nonché qualsiasi altra normativa sulla protezione dei dati personali applicabile all’interno del territorio nazionale, ivi compresi i provvedimenti dell’Autorità Garante per la Protezione dei dati personali.
‒ Per Trattamento: si intende qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insieme di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante
trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto
o l’interconnessione, la limitazione, la cancellazione o la distruzione,
‒ Per “Dati Personali”: si intendono tutte le informazioni così come definite ai sensi dell’art. 4 par. 1 del GDPR, che il Responsabile del trattamento tratta per conto del Titolare allo scopo di fornire i Servizi di cui alla Convenzione.
‒ Per “Servizi”: si intendono i Servizi oggetto della Convenzione nonché il relativo trattamento dei dati personali, così come meglio descritto nel presente Atto di nomina e nei suoi allegati
‒ Per “Responsabile del Trattamento”: si intende, ai sensi dell’art. 4, par. 8 del GDPR, la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del Titolare del trattamento.
‒ Per “Sub-Responsabile”: si intende la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo, soggetto terzo (fornitore) rispetto alle Parti, a cui il Responsabile del trattamento abbia eventualmente affidato parte della prestazione oggetto della Convenzione, e che quindi tratta dati personali, previa autorizzazione del Titolare secondo le modalità di cui all’art. 28 del GDPR e con separato Atto di Nomina da parte del Responsabile del Trattamento.
‒ Per “Misure di Sicurezza”: si intendono le misure di sicurezza di cui alla normativa in materia di protezione dei dati personali.
Tutto cio’ premesso;
1. NOMINA
• (Denominazione ente/società)
REGIONE LOMBARDIA
nella persona del suo legale rappresentante pro tempore, in relazione a tutti i trattamenti di dati personali, è nominata da REGIONE LOMBARDIA quale Responsabile del Trattamento per i trattamenti di dati personali e le banche dati di cui alle procedure di erogazione trattate dalla Direzione Generale di cui all’Allegato A.1.1 del presente atto, ai sensi dell’art. 28 del GDPR.
• (Denominazione ente/società)
tratterà i dati personali di cui è titolare REGIONE LOMBARDIA di cui al D.D.U.O. n. 3803 del 26/03/2020 “Recepimento modello standard accordo sindacale e approvazione modalità applicative per la presentazione delle domande di cassa integrazione guadagni in deroga a seguito dell'emergenza sanitaria da covid-19 e in attuazione dell'accordo quadro sui criteri di accesso agli ammortizzatori sociali in deroga sottoscritto tra la Regione Lombardia e le parti sociali il 23 marzo 2020”;
2. DURATA
Regione Lombardia, in qualità di titolare del dato, per i bandi/avvisi /manifestazione di interesse, ha deciso di stabilire la durata di conservazione in 5 anni successivi dall’erogazione del contributo per consentire le ulteriori attività amministrative/contabili sui rendiconti;
3. MODALITA’ E ISTRUZIONI
Le modalità e le istruzioni per il trattamento dei dati personali impartite da REGIONE LOMBARDIA a
(Denominazione ente/società)
sono specificatamente indicate e declinate nell’Allegato A.1.2 parte integrante e sostanziale del presente Atto di nomina.
4. OBBLIGHI E DOVERI DEL RESPONSABILE DEL TRATTAMENTO
Il Responsabile del trattamento dichiara di avere una struttura ed una organizzazione adeguata per l’esecuzione dell’incarico di trattamento dei dati personali di REGIONE LOMBARDIA e si impegna ad adeguarla ovvero a mantenerla adeguata alla rilevanza dell’incarico stesso, garantendo il pieno rispetto (per sé e
per i propri dipendenti e collaboratori delle istruzioni sul trattamento dei dati personali di cui al contenuto dell’Allegato alla presente nomina, oltre che di tutte le norme di legge in materia applicabili.
Il Responsabile del trattamento garantisce che gli operatori assegnati al trattamento siano sempre formati e impegnati alla riservatezza e abbiano un adeguato obbligo legale di riservatezza.
Il Responsabile del trattamento tenendo conto della natura dei trattamenti affidati, per quanto di competenza, si obbliga ad assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, garantendo in accordo con il Titolare stesso il rispetto degli obblighi di cui agli art. 32-36 del Regolamento (UE) 2016/679.
5. NOMINA DI SUB-RESPONSABILI
1 (Denominazione ente/società)
_, in qualità di Responsabile del Trattamento, ai sensi del D.D.U.O. n. 3803 del 26/03/2020 “Recepimento modello standard accordo sindacale e approvazione modalità applicative per la presentazione delle domande di cassa integrazione guadagni in deroga a seguito dell'emergenza sanitaria da covid-19 e in attuazione dell'accordo quadro sui criteri di accesso agli ammortizzatori sociali in deroga sottoscritto tra la Regione Lombardia e le parti sociali il 23 marzo 2020”, ha la facoltà di ricorrere alla nomina, secondo le modalità specificate nello stesso, di ulteriori Responsabili del trattamento di dati personali ad essa subordinati (cd. “Sub-Responsabili del Trattamento”) nell’ambito delle attività di trattamento di dati personali per conto di REGIONE LOMBARDIA, in esecuzione del D.D.U.O. n. 3803 del 26/03/2020 “Recepimento modello standard accordo sindacale e approvazione modalità applicative per la presentazione delle domande di cassa integrazione guadagni in deroga a seguito dell'emergenza sanitaria da covid-19 e in attuazione dell'accordo quadro sui criteri di accesso agli ammortizzatori sociali in deroga sottoscritto tra la Regione Lombardia e le parti sociali il 23 marzo 2020”. Ai sensi dell’art. 28 c.2 del Regolamento UE 2016/679, tale facoltà è da intendersi quale autorizzazione scritta generale da parte di REGIONE LOMBARDIA, Titolare del trattamento, nei confronti di
(Denominazione ente/società)
, Responsabile del trattamento per le attività summenzionate.
(Denominazione ente/società)
,
in sede di individuazione di ulteriori Sub-Responsabili, è tenuto ad informare preventivamente REGIONE LOMBARDIA, al fine di consentire alla stessa REGIONE LOMBARDIA, come previsto dall’art. 28 c.2 summenzionato, di poter manifestare eventuale formale opposizione alla nomina entro e non oltre il congruo termine di quindici giorni dalla ricezione della comunicazione da parte di
(Denominazione ente/società)
_, decorso il termine quest’ultima potrà procedere all’effettuazione delle designazioni nei confronti dei Sub-Responsabili del Trattamento individuati.
Tale nomina di un Sub-Responsabile del trattamento da parte
(Denominazione ente/società)
_
è possibile a condizione che, ai sensi del D.D.U.O. n. 3803 del 26/03/2020 “Recepimento modello standard accordo sindacale e approvazione modalità applicative per la presentazione delle domande di cassa integrazione guadagni in deroga a seguito dell'emergenza sanitaria da covid-19 e in attuazione dell'accordo quadro sui criteri di accesso agli ammortizzatori sociali in deroga sottoscritto tra la Regione Lombardia e le parti sociali il 23 marzo 2020”, su tale soggetto siano imposti gli stessi obblighi in materia di protezione dei dati contenuti nel presente Atto, incluse garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti richiesti dalle leggi applicabili.
(Denominazione ente/società)
nella persona del legale rappresentante pro tempore,
(Cognome e Nome del Legale Rappresentante)
rimane comunque responsabile nei confronti di REGIONE LOMBARDIA con riguardo all’adempimento degli obblighi in materia di protezione dei dati da parte del Sub- Responsabile del trattamento.
(Denominazione ente/società)
nella persona del legale rappresentante pro tempore,
Cognome e Nome del Legale Rappresentante)
si impegna a comunicare, con cadenza annuale, eventuali modifiche ed aggiornamenti dei trattamenti di competenza dei propri Sub-Responsabili.
6. VIGILANZA
Come previsto dall’art. 28, par. 3 del GDPR, al fine di vigilare sulla puntale osservanza delle istruzioni impartite al Responsabile, REGIONE LOMBARDIA, nella sua qualità di Titolare del trattamento, potrà effettuare periodiche azioni di verifica. Tali verifiche, potranno anche comportare l’accesso a locali o macchine e programmi del Responsabile, potranno aver luogo in seguito a comunicazione da parte di REGIONE LOMBARDIA che sarà inviata con 15 giorni lavorativi di preavviso. Nell’ambito di tali verifiche il Responsabile fornirà l’assistenza ed il supporto necessario, rispondendo alle richieste di REGIONE LOMBARDIA in relazione ai dati ed ai trattamenti rispetto ai quali ha valore il presente atto di nomina.
Autorizzazione generale alla nomina di Sub Responsabili
Secondo quanto previsto e definito al punto 5 del presente atto di nomina, REGIONE LOMBARDIA delega e conferisce generale autorizzazione a
(Denominazione ente/società)
in ordine alla nomina di eventuali Sub-Responsabili intervenienti nel trattamento dei dati.
PER REGIONE LOMBARDIA PER la Societa’/ente/terzo
Il Dirigente
Xxxxxx Xxxx IL LEGALE RAPPRESENTANTE
L’originale del presente documento, sottoscritto con firma olografa, è opponibile su richiesta degli interessati
ALLEGATO A.1.1
ELENCO DEI TRATTAMENTI DI DATI PERSONALI DI TITOLARITÀ DI Regione Lombardia IN CARICO A
(Denominazione ente/società)
IN QUALITA’ DI RESPONSABILE DEL TRATTAMENTO DATI
Id. | Trattamento | Finalità del trattamento | Descrizione | Tipo di dati trattati | Modalità di trattamen to | Categorie di Interessati | Durata incarico |
DGIFL_56 | Cassa integrazione guadagni in deroga (CIGD) a seguito dell'emergenza sanitaria da Covid-19 | Presentazione delle domande di cassa integrazione guadagni in deroga (CIGD) | Manifestazione di interesse | Dati anagrafici personali | Elettronico | Cittadini | Regione Lombardia, in qualità di titolare del dato, per i bandi/avvisi /manifestazioni di interesse, ha deciso di stabilire la durata di conservazione in 5 anni successivi dall’erogazione del contributo per consentire le ulteriori attività amministrative/con tabili sui rendiconti |
La tabella riporta integralmente i trattamenti di dati personali legati alle attività oggetto della presente nomina.
Ulteriori ed eventuali trattamenti di dati personali sottoposti al medesimo Responsabile del trattamento, nominato mediante il presente atto, saranno oggetto di comunicazione da parte del Titolare del trattamento, e/o opportunamente richiamati nei contenuti specifici degli accordi contrattuali successivi intervenuti tra il Titolare ed il Responsabile nominato.
ALLEGATO A.1.2
ISTRUZIONI SUL TRATTAMENTO DEI DATI PERSONALI DI REGIONE LOMBARDIA
IMPARTITE DA REGIONE LOMBARDIA IN QUALITA’ DI RESPONSABILE TRATTAMENTO DATI
***
Il Responsabile dei trattamenti individuati è tenuto ad effettuare i trattamenti dei dati nel rispetto di quanto disposto dalla Normativa Privacy e di ulteriori ed eventuali contenuti specifici dell’atto sottoscritto dalle Parti, richiamato nell’Allegato 1 della presente, secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità degli Interessati, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.
Il Responsabile è tenuto a trattare i dati personali nel rispetto dei principi di necessità, proporzionalità, pertinenza e non eccedenza, in modo lecito e secondo correttezza, per scopi legittimi e determinati, assicurando l’esattezza e la completezza dei dati.
Il Responsabile è tenuto ad iniziare eventuali nuovi trattamenti solo in seguito a richiesta da parte di Regione Lombardia, Titolare del trattamento. In caso di revoca della designazione a Responsabile dei trattamenti, o, in ogni caso, dopo il completamento di un trattamento per conto del Titolare, il Responsabile deve, sulla base delle istruzioni impartite da quest’ultimo, restituire o cancellare i dati personali, salvo che il diritto dell’Unione o degli Stati membri, cui è soggetto il Responsabile, prescriva la conservazione dei dati personali. In particolare, deve assicurare in ogni momento che la sicurezza fisica e logica dei dati oggetto di trattamento sia conforme alle norme vigenti, ai documenti contrattuali ed alle specifiche dei Servizi definiti dal Titolare. Le misure di sicurezza adottate dovranno, in ogni situazione, uniformarsi allo “standard” di maggiore sicurezza fra le disposizioni di legge e gli elementi contrattuali e/o progettuali.
Il Responsabile, in ogni caso, venuto a conoscenza di una specifica violazione dei dati personali, sarà tenuto a comunicare al Titolare, ai sensi dell’art. 33, par. 2 Reg. UE 2016/679, senza ingiustificato ritardo, tali violazioni, eventualmente intervenute durante la vigenza della presente nomina, secondo le modalità e procedure che verranno opportunamente definite con apposito atto. In ipotesi di intervenute violazioni dei dati personali, il Responsabile del trattamento collaborerà attivamente con il Titolare del trattamento per la corretta gestione della comunicazione delle violazioni summenzionate.
Il Responsabile è tenuto, in relazione ai soggetti incaricati al trattamento che agiscono sotto la sua autorità, ad istruire quest’ultimi al rispetto delle seguenti misure:
1) individuare per iscritto i soggetti incaricati al trattamento dei dati personali (persone fisiche o gruppi omogenei);
2) impartire ai soggetti incaricati autorizzati al trattamento le istruzioni idonee alle attività da svolgere;
3) vigilare sull’operato dei soggetti incaricati autorizzati al trattamento in relazione all’accesso ai dati personali;
4) prevedere un piano di formazione destinato ai soggetti incaricati autorizzati al trattamento;
5) assicurarsi che ad ogni soggetto incaricato autorizzato sia assegnata una credenziale di autenticazione. Le credenziali di autenticazione consistono in un codice per l'identificazione del soggetto autorizzato al trattamento associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'Incaricato, eventualmente associato a un codice identificativo o a una parola chiave;
6) prescrivere necessarie cautele per assicurare la segretezza della componente riservata della credenziale e/o la diligente custodia del dispositivo in possesso ed uso esclusivo del soggetto incaricato autorizzato al trattamento;
7) assicurare che la parola chiave, quando è prevista dal sistema di autenticazione, sia composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non deve contenere riferimenti agevolmente riconducibili all'Incaricato e deve essere modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni tre mesi;
8) assicurare che il codice per l'identificazione, laddove utilizzato, non possa essere assegnato ad altri Incaricati, neppure in tempi diversi;
9) assicurare che sia operata la disattivazione delle credenziali di autenticazione del personale in caso venga a cessare la necessità di accesso da parte del soggetto incaricato autorizzato al trattamento o intervenga un'inattività per più di sei mesi;
10) predisporre le necessarie procedure affinché, in caso di prolungata assenza o impedimento dell’Incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema, si possa comunque assicurare la disponibilità di dati o strumenti elettronici. In tal caso la custodia delle copie delle credenziali deve essere organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti deputati alla loro custodia;
11) prevedere, con criteri restrittivi, profili di autorizzazione di accesso per ogni singolo soggetto incaricato autorizzato al trattamento o gruppo omogeneo e configurarli prima dell’inizio dei trattamenti;
12) verificare, ad intervalli almeno annuali, le autorizzazioni in essere;
13) assicurare che nel caso di Operatori telefonici, Incaricati del trattamento, questi nelle comunicazioni vocali scambiate durante lo svolgimento delle
proprie attività si conformino alle disposizioni specificatamente emesse dal Responsabile del trattamento per il rispetto dell’Utenza e la riservatezza delle informazioni trattate;
14) redigere e mantenere aggiornato un elenco con gli estremi identificativi delle persone fisiche che rivestono il ruolo di Amministratori di Sistema e, per ciascuno di essi, la descrizione delle funzioni che gli sono state attribuite nell’ambito delle attività svolte per conto del Titolare e implementare le ulteriori misure di sicurezza, come definito nel Provvedimento dell’Autorità Garante per la Protezione dei dati personali del 27/11/2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratori di sistema” e s.m.i.;
15) installare sugli elaboratori idonei programmi contro il rischio di intrusione e accesso abusivo in accordo ai requisiti di legge da aggiornare comunque ogni sei mesi ed in occasione di ogni versione disponibile dalla casa costruttrice;
16) provvedere, ogni qualvolta vi sia la segnalazione della presenza di vulnerabilità nei programmi utilizzati e la contemporanea disponibilità delle opportune modifiche, all’aggiornamento, entro un congruo periodo di tempo non superiore a sei mesi, dei programmi utilizzati, o almeno alla valutazione degli impatti sull’aggiornamento;
17) prevedere l’adozione di copie di back-up e il ripristino dei dati in tempi certi e comunque non superiori a sette giorni.
In tema di sicurezza dei dati personali, ai sensi dell’art. 32 del Reg. UE 2016/679, il Responsabile del trattamento è tenuto a mettere in atto misure tecniche ed organizzative adeguate per garantire un livello di sicurezza adeguato al rischio. Nel valutare l’adeguato livello di sicurezza, si tiene conto, in special modo, dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.
Inoltre, per il trattamento di categorie particolari di dati personali (nel seguito, “dati particolari”), secondo la definizione dell’art. 9, par. 1 del Reg. UE 2016/679, il Responsabile deve:
1) prevedere che il riutilizzo dei supporti di memorizzazione sia possibile solamente nel caso in cui le informazioni precedentemente contenute non siano recuperabili; in caso contrario i supporti dovranno essere distrutti. In questo ambito risulta necessario procedere a:
a) emanare adeguate istruzioni di comportamento a tutti i soggetti incaricati autorizzati al trattamento;
b) effettuare una ricognizione completa di tutti i supporti di memoria che possano essere riutilizzabili, sia essi di tipo asportabile che presenti in aree di memoria interne al sistema operativo od in programmi, ove possano trovarsi dati particolari;
c) esaminare tutti i nuovi supporti, sistema operativo e programmi, che vengono inseriti nel sistema di trattamento dei dati, analizzando i possibili rischi ed impartendo specifiche istruzioni ai soggetti incaricati autorizzati al trattamento .
2) assicurare che la memorizzazione dei dati sensibili su elenchi, registri o banche dati, avvenga in maniera da non permettere la diretta identificazione dell’interessato, ovvero che la memorizzazione dei dati sensibili sia cifrata o in alternativa che vi sia separazione tra i dati particolari e gli altri dati personali che possano permettere l’identificazione dell’interessato;
3) assicurare che il trasferimento dei dati particolari in formato elettronico,
avvenga attraverso “canali sicuri” o in maniera cifrata.
Nel caso in cui il Responsabile riceva da parte dell’interessato una istanza per l'esercizio dei suoi diritti ai sensi degli artt. da 15 a 22 del Regolamento UE 2016/679, è tenuto ad inoltrarla prontamente al Titolare in quanto individuato quale soggetto tenuto alla evasione della stessa.
In merito al trattamento dei dati personali con strumenti diversi da quelli elettronici, il Responsabile è tenuto a predisporre un archivio per gli atti e i documenti con dati personali individuando per iscritto i soggetti incaricati autorizzati al trattamento con i relativi profili di accesso ai dati ed ai documenti.
Devono essere definite le procedure di deposito, custodia, consegna o restituzione e compartimentazione dei dati stessi (ad esempio, un registro e degli armadi separati e chiusi).
Il trattamento di dati particolari, dovrà infine prevedere l’utilizzo di appositi contenitori con lucchetti o serrature e definire una procedura di gestione delle chiavi.
E’ fatto comunque assoluto divieto, al Responsabile designato, della diffusione dei dati, della comunicazione non autorizzata a terzi e più in generale è fatto divieto di effettuare trattamenti non finalizzati all’esecuzione delle attività affidate, salvo a fronte di specifica autorizzazione da parte del Titolare.
Le operazioni di trattamento devono essere gestite dal Responsabile del trattamento in aderenza alle attività svolte nell'ambito dei progetti assegnati e in considerazione di eventuali e successive modifiche alle operazioni e/o modalità di trattamento apportate dal Titolare.
Il Responsabile è chiamato ad assicurare, per conto del Titolare, l’esercizio dei diritti
eventualmente applicabili da parte degli Interessati (Capo III del Regolamento UE
2016/679), nel rispetto dei termini di legge, adottando ogni soluzione organizzativa, logistica, tecnica e procedurale idonea ad assicurare l’osservanza delle disposizioni vigenti in materia di trattamento dei dati personali per l’esercizio degli stessi diritti.
Il Responsabile è tenuto a mettere a disposizione del Titolare tutte le informazioni necessarie all’espletamento delle attività di revisione, comprese le ispezioni, richieste dallo stesso Titolare del trattamento o da altro soggetto da esso autorizzato, al fine di rilevare il rispetto degli obblighi previsti dalla Normativa Privacy e dal contenuto specifico della Convenzione, richiamata nel presente atto di nomina, tra le Parti sottoscritta.
Il Responsabile, ai sensi dell’art. 30 del Regolamento UE 2016/679, è tenuto a fornire al Titolare le informazioni necessarie alla compilazione del “Registro dei trattamenti”. Qualora il Titolare intenda redigere la Valutazione di impatto prevista dall’art. 35 del Regolamento summenzionato, il Responsabile sarà tenuto a fornire anche le ulteriori informazioni che si rendessero necessarie alla redazione del documento.
Il Responsabile, qualora in ottemperanza all’obbligo di Xxxxx, fosse tenuto ad individuare all’interno della propria organizzazione la figura del “Responsabile per la protezione dei dati personali”, quest’ultimo sarà tenuto a svolgere la propria attività in stretta collaborazione con il Titolare.
Il Responsabile collaborerà attivamente con l’Autorità Garante per la Protezione dei dati personali e le Autorità Pubbliche, al fine di consentire a queste ultime l’esercizio delle proprie attività istituzionali, quali richieste di informazioni, attività di controllo mediante accessi ed ispezioni, relativamente ai trattamenti oggetto dell’Atto di nomina.