LETTERA DI ADESIONE
Spett. le Comune di Milano, sede legale in Xxxxxx 00000, Xxxxxx xxxxx Xxxxx
PEC: --
Oggetto: Adesione alla piattaforma EDU del Comune di Milano
Spett. le Comune di Milano (di seguito “il Gestore”),
con riferimento all’oggetto, l’ente scrivente , con sede legale in
, nella persona di , in
qualità di
(di seguito “l’Erogatore”), con i seguenti dati
identificativi: - codice fiscale
- partita IVA
(da valorizzare solo se esistente e diversa dal codice fiscale altrimenti eliminare/non compilare il campo) - codice di iscrizione all’Indice delle Pubbliche Amministrazioni e dei gestori di pubblici servizi (I.P.A.) (da compilare solo se esistente altrimenti eliminare/non compilare il campo) - n. Iscrizione registro delle imprese di
REA
capitale sociale
(da compilare solo se esistente altrimenti eliminare/non compilare il campo) - Indirizzo PEC presente in I.P.A. o nel Registro Imprese o del Delegato
tenuto conto che:
Si indicano le seguenti categorie di soggetti:
(i) Pubblica Amministrazione;
(ii) Gestore di Pubblico Servizio;
(iii) Società a Controllo Pubblico;
(iv) Ente privato
L’Erogatore, dichiara di aderire quale soggetto rientrante in una delle categorie sopracitate.
In aderenza ai punti ed alle condizioni sopra esposte, l’Erogatore richiede di accedere alla Piattaforma e di usufruire così dei servizi messi a disposizione dal Comune di Milano, accettando integralmente i termini e le condizioni di cui ai documenti allegati e/o richiamati che seguono in elenco e che, ove non allegati, devono intendersi comunque resi disponibili dal Gestore sul sito -- (“Sito”) e/o sul Portale, come infra definito e di volta in volta aggiornato.
Tutti i documenti sottoelencati costituiscono, unitariamente, l’”Accordo”
c.d. “lettera di adesione” | La presente lettera |
Tassonomia del servizio da erogare | ALLEGATO 1 |
Dati personali | ALLEGATO 1bis – Dati personali |
Clausole generali di adesione alla piattaforma | ALLEGATO 2 |
Termini e Condizioni di Adesione, d’Uso e Fruizione dei Servizi relativi alla Piattaforma | Link |
Accordo per il Trattamento dei Dati Personali e Nomina a Responsabile del Trattamento ai sensi dell’art. 28 del Regolamento (UE) 2016/679 c.d. “DPA | ALLEGATO 3, se necessario |
Le Linee Guida per l’uso dei Marchi, ” c.d. “Linee Guida Marchi” | ALLEGATO 4 |
Elenco dei soggetti delegati | ALLEGATO 5 |
Modelli di servizio e Standard tecnologici | ALLEGATO 6 |
Altra documentazione disponibile |
La presente Lettera di Adesione, nonché tutti i documenti richiamati e/o allegati di cui sopra, regolano il rapporto tra l’Erogatore e il Gestore, e costituiscono unitariamente l’“Accordo”.
Ai fini delle attività richieste per l’esecuzione del presente Accordo, di seguito sono indicati i riferimenti del referente del presente Accordo ("Referente") nominato dall’Erogatore, al quale verranno indirizzate tutte le comunicazioni da parte del Gestore in relazione all’Accordo:
Nome e Cognome: Codice Fiscale: Xxx.xx/Xxxx/Xxxxxxx: Qualifica/Posizione:
e-mail:
Si precisa, inoltre, che gli eventuali delegati (“Delegati”) nominati dall’Ente per l’esecuzione dell’Accordo, diversi dal Referente, sono indicati nell’Allegato 5, solo ove compilato dall'Ente.
Qualunque comunicazione dell’Erogatore al Gestore in relazione all’Accordo, inclusa qualsiasi variazione rispetto al nominativo del Referente e/o dei Delegati (da effettuarsi tramite PEC inviando un nuovo Allegato 5 in sostituzione integrale del precedente), dovrà essere tempestivamente indirizzata al seguente indirizzo PEC del Gestore: --
Con la presente, l’Erogatore dichiara e garantisce di aver conferito al Referente ed ai Delegati tutti i poteri necessari per l’esecuzione di tutte le attività relative alla Piattaforma EDU in esecuzione dell’Accordo, ivi incluse le seguenti attività:
- attivare singoli Servizi dell’Erogatore tramite dialogo con il personale preposto del Gestore e secondo le indicazioni che saranno fornite;
- disattivare i singoli Servizi dell’Erogatore attivati dai Delegati stessi;
- dare pronta attuazione alle indicazioni, anche di carattere tecnico, contenute nelle comunicazioni inviate dal Gestore;
- nominare sub-delegati;
- rispettare, e far rispettare al Referente, ai propri Delegati e a ogni altro soggetto terzo che, a qualsiasi titolo, agisca per suo conto, i diritti e gli interessi dei fruitori dei servizi dell’Ecosistema, a usare i Servizi EDU esclusivamente per gli scopi previsti dall’Accordo, in conformità ai termini e condizioni ivi previsti;
Con la presente, l’Erogatore si impegna altresì a:
- non erogare, direttamente o indirettamente, i Servizi per scopi illeciti o ultronei rispetto alle proprie finalità istituzionali, ai servizi di pubblico interesse gestiti e/o agli scopi previsti dall’Accordo;
- a rispettare e far rispettare al Referente, ai propri Delegati e ad ogni altro soggetto terzo, che a qualsiasi titolo agisca per suo conto, codesti accordi.
Il Gestore, in qualità di Titolare del trattamento, mette a disposizione sul Sito e/o sul Portale l’Informativa Privacy, ove sono descritte le finalità e modalità di trattamento dei dati personali del firmatario dell’Accordo, del Referente e degli eventuali Delegati.
Legale Rappresentante dell’Ente , o altro soggetto dotato dei necessari poteri per la firma del presente atto sig./dott. .
Firma
Clausola ai sensi dell’articolo 1341 c.c.
L’Erogatore dichiara di avere preso visione di ognuna delle disposizioni che precedono e di accettarne espressamente, anche ai sensi dell'art. 1341 e ss. cod. civ., le disposizioni specificamente previste all’allegato n°2 e al documento recante Termini e Condizioni.
Firma
Allegato 1 - Tassonomia del servizio da erogare
Servizio | Nome del servizio | |
Descrizione del servizio: | ||
Glossario Dati | Livelli di disponibilità | Fruitore |
Es. Numero veicolo | Dati dinamici a fruibilità estesa* | |
Utenti autorizzati** | ||
Comune di Milano | ||
Es. Statistiche sui tragitti | Dati dinamici a fruibilità estesa* | |
Utenti autorizzati** | ||
Comune di Milano | ||
……. | Dati dinamici a fruibilità estesa* | |
Utenti autorizzati** | ||
Comune di Milano | ||
….. | Dati dinamici a fruibilità estesa* | |
Utenti autorizzati** | ||
Comune di Milano | ||
Il servizio erogato prevede attività di: | ||
Agricoltura | ||
Pesca | ||
Silvicoltura e prodotti alimentari | ||
Economia e finanze | ||
Istruzione, cultura e sport | ||
Energia | ||
Ambiente | ||
Governo e Settore pubblico | ||
Salute | ||
Tematiche internazionali | ||
Giustizia e sicurezza pubblica | ||
Regioni e città | ||
Popolazione e società | ||
Scienza e Tecnologia | ||
Trasporti |
L’erogatore si impegna a corredare tale tassonomia producendo la necessaria documentazione tecnica utile all’attivazione del servizio e la gestione dell’interfaccia con i fruitori, comprendente una mappatura tra il glossario dei dati e la struttura dell’API.
* Dati dinamici a fruibilità estesa: informazioni accessibili a tutti gli utenti in modalità open, ma comunque dietro autenticazione
** Specificare nel campo apposito (Fruitore) se il dato viene condiviso con una o più delle seguenti categorie di utenti fruitori:
• Imprese che operano sul territorio della Città Metropolitana di Milano
• Imprese che operano nel settore …. (indicare settore commerciale di riferimento)
• Utilities
• Start Up e incubatori
• Associazioni di imprese
• Associazioni e comitati di cittadini
• Università e enti di ricerca
• Partecipate del Comune di Milano
• Comuni della Città Metropolitana di Milano
• Enti locali della Regione Lombardia (inclusa Regione Lombardia stessa)
• Pubbliche Amministrazioni centrali
Allegato 1bis – Dati personali
*da compilare in caso il servizio preveda il Trattamento di dati personali
Il Servizio prevede il trattamento delle seguenti tipologie di dato personale: | |
Dati anagrafici | |
Dati economici o finanziari | |
Origine razziale o etnica | |
Orientamento sessuale | |
Dati di geolocalizzazione | |
Abitudini/Comportamenti | |
Dati relativi alla salute | |
Dati relativi a condanne penali e reati | |
Dati biometrici/genetici | |
Dati di videosorveglianza | |
Dati sensibili di pagamento (PSD2) | |
Numerosità dei dati |
Allegato 2 – CLAUSOLE GENERALI DI ADESIONE
ART. 1 PREMESSA
Con la Delibera di Giunta n° 620 del 20/05/2020 è stata sancita la nascita dell’Ecosistema Digitale Urbano, con cui il Comune di Milano si rende promotore della realizzazione di una piattaforma digitale di condivisione di informazioni e servizi messi a disposizione da pubbliche amministrazioni ed enti privati a favore e a beneficio della comunità.
ART. 2 DEFINIZIONI
Gestore
Il Comune di Milano (Direzione Innovazione Tecnologica e Digitale), in quanto ente promotore dell’iniziativa, da una parte è soggetto attivo nell’erogazione di servizi digitali ai cittadini e alle imprese tramite condivisione di dati in possesso dell’Amministrazione stessa, dall’altra riveste ruolo di governo, in quanto proprietario della piattaforma e responsabile della gestione e controllo delle iniziative pubbliche e private attivate, al fine di garantire la sussistenza di un ecosistema strutturato, coordinato e interoperabile.
Erogatore/i
Imprese private, enti pubblici, appaltatori, società controllate del Comune di Milano che aderiscono alla piattaforma al fine di offrire servizi e condividere dati e informazioni.
Fruitore/i
Enti pubblici e privati che usufruiscono dei servizi digitali messi a disposizione all’interno dell’Ecosistema richiedendo l’accesso alla Piattaforma per utilizzare dati e informazioni resi disponibili dagli erogatori coerentemente con le regole di accessibilità previste.
ART. 3 OGGETTO
Il presente contratto regola i diritti e gli obblighi delle Parti in relazione all'adesione all'Ecosistema digitale Urbano mediante quanto di seguito meglio dettagliato.
ART. 4 OBBLIGHI DELL’EROGATORE
4.1. L’Erogatore si impegna a seguire le indicazioni fornite dal Gestore e a rispettare le regole messe a disposizione negli allegati al presente Accordo, con diritto da parte del Gestore, in caso di mancato rispetto da parte dell’Erogatore alle suddette regole e/o indicazioni, di richiedere gli opportuni adattamenti e/o sospendere l’erogazione dei Servizi sulla piattaforma EDU.
4.2. L’Erogatore è il solo responsabile del contenuto informativo dei Servizi erogati, e garantisce di essere il solo responsabile per la condotta di eventuali terzi che a qualsiasi titolo agiscano per suo conto e per il rispetto da parte di questi ultimi delle regole e delle condizioni previste dall’Accordo. Il Gestore, infatti, non risponde ad alcun titolo dei danni causati direttamente o indirettamente a terzi attraverso l'utilizzo della piattaforma EDU da parte dell’Erogatore, del Referente e/o dei suoi Delegati e dei terzi che a qualsiasi titolo agiscono per suo conto.
4.3. L’Erogatore si obbliga, altresì, a:
a. gestire l’erogazione dei servizi pubblicati sulla piattaforma EDU unicamente tramite il Referente e/o i Delegati comunicati alla Società e vigilare sull'operato degli stessi;
b. verificare e controllare l’esattezza, adeguatezza, legalità dei contenuti dei suoi Servizi;
c. tenere aggiornati tutti i profili del Referente, dei Delegati e comunicare al Gestore ogni eventuale modifica, anche in caso di cessazione delle relative funzioni, cariche o ruoli eventualmente ricoperti;
d. far utilizzare al Referente e/o ai Delegati unicamente account istituzionali o legati alla funzione svolta per conto dell’Erogatore, sottoposti al controllo e alla responsabilità dell’Erogatore stesso, e non account personali suscettibili di permettere attività legate ai servizi erogati anche a seguito della cessazione dell’incarico conferito dall’Erogatore;
e. tenere sempre aggiornata l’anagrafica dell’Erogatore sui registri pubblici di riferimento;
4.4. Con riferimento alla Piattaforma EDU, è fatto esplicito divieto di e l’Erogatore si impegna a non:
a. erogare i servizi attraverso programmi o metodi diversi da quelli ufficialmente previsti dal Gestore;
b. farne un uso in violazione o sovraccarico della capacità di rete prevista dal Gestore;
c. trasmettere virus, malware, o altro codice dannoso, violarne la sicurezza e/o effettuare interventi di hacking o reverse-engineering.
4.5. L’Erogatore, anche per il tramite del Referente e/o il Delegato, è tenuto ad avvisare senza ingiustificato ritardo il Gestore in caso di uso o accesso non autorizzati alla propria infrastruttura, o di qualsiasi violazione, malfunzionamento o incidente di sicurezza che possa avere impatto sul servizio erogato o sulla piattaforma dell’Ecosistema. Qualora tali eventi comportino violazioni e intrusioni nei dati personali dei fruitori del servizio, l’Erogatore, il Referente e/o il Delegato dovranno avvisare il Gestore entro -- ore dal verificarsi dell’avvenuta conoscenza dell’evento. Il Gestore non potrà essere considerato responsabile per eventuali danni o disservizi derivanti da usi e/o accessi non autorizzati che riguardino l’infrastruttura dell’Erogatore. È responsabilità dell’Erogatore, altresì, comunicare tempestivamente al Gestore qualsiasi violazione dell’Accordo da parte del Referente, dei suoi Delegati o di terzi di cui fosse a conoscenza.
4.6. Xxxxx restando gli altri rimedi a disposizione del Gestore ai sensi dell’Accordo e della normativa applicabile, nel caso di violazioni dei commi che precedono, Il Gestore si riserva il diritto di sospendere l’erogazione del servizio.
ART. 5 DICHIARAZIONI DELL’EROGATORE
5.1. L’Erogatore accetta, e inoltre, riconosce e garantisce che:
a. Quando agisce in qualità di titolare del trattamento, su di esso ricadono le responsabilità per tutti i dati comunicati al Gestore tramite attivazione delle API e per l'effetto si impegna a manlevare e tenere indenne quest'ultimo da qualsiasi contestazione/pretesa avanzata dagli interessati;
b. Su di esso ricade la responsabilità del contenuto, dell’aggiornamento e della validità dei termini e condizioni applicabili ai Servizi erogati (inclusi eventuali termini aggiuntivi relativi a servizi di terze parti utilizzati dall’Erogatore), impegnandosi altresì a portarli tempestivamente a conoscenza dei fruitori e del Gestore della piattaforma con modalità adeguate ai sensi della legge applicabile;
c. Su di esso ricade l’onere della identificabilità dei Servizi erogati e della loro riconducibilità all’Erogatore stesso.
5.2. L’Erogatore prende atto che il Gestore non fornisce alcuna assistenza ai fruitori dei servizi con riferimento ai Servizi dell’Erogatore e/o al loro contenuto e/o alla loro disponibilità e/o erogazione da parte dell’Erogatore. Pertanto, qualunque informazione e/o assistenza che il fruitore dovesse necessitare è di esclusiva competenza e responsabilità dell’Erogatore, a cui il Gestore si riserva il diritto di re- indirizzare qualunque richiesta da parte dei soggetti che la richiedano. L’Erogatore si impegna fin da ora al rispetto di ogni eventuale indicazione tecnica o livello di servizio contenuto nell’Accordo e/o nei relativi allegati.
ART 6. OBBLIGHI DEL GESTORE
6.1. Nell’erogazione dei Servizi sulla piattaforma digitale urbana il Gestore si impegna a:
a. Tenere aggiornata la piattaforma rispetto alla fruibilità dei servizi in riferimento all’attivazione e disattivazione da parte dell’Erogatore.
b. rispettare le misure di sicurezza indicate nel DPA;
c. rispettare i livelli di servizio indicati nell’Articolo 16 del presente allegato, di volta in volta aggiornati
d. comunicare preventivamente all’Erogatore, dove possibile, le interruzioni programmate della Piattaforma.
6.2. L’Erogatore accetta e riconosce che, ai fini di fornire i servizi dell’Ecosistema, il Gestore potrebbe utilizzare servizi, soluzioni e software preesistenti di titolarità di terzi (di seguito “Terze Parti”) e concessi in licenza al Comune, anche di tipo open source (di seguito “Soluzioni di Terze Parti”). A tal fine, il Gestore garantisce all’Erogatore di avere il diritto di utilizzare tali Soluzioni di Terze Parti per le finalità di cui all’Accordo e per tutta la durata dello stesso, impegnandosi a manlevare e tenere indenne l’Erogatore verso qualsiasi pretesa avanzata dalle Terze Parti in tal senso.
6.3 Il Gestore si impegna ad effettuare una classificazione dell’informazioni contenute nelle API secondo quelli che sono i principi di legge in materia, nonché si impegna ad effettuare le notifiche del caso all’autorità competente e a tutti i soggetti rilevanti e a trattare i dati secondo le modalità previste da suddetta normativa.
6.4. Il Gestore si impegna a far rispettare ai fruitori i requisiti di sicurezza in linea con le normative vigenti, standard e best practice di riferimento, al fine di evitare violazioni di sicurezza e/o interventi malevoli sui servizi messi a disposizione sulla piattaforma erogati dagli Erogatori.
ART. 7 ESCLUSIONE DI RESPONSABILITA’
Il Gestore non fornisce alcuna garanzia agli Erogatori per la qualità dei servizi messi a disposizione dagli altri Aderenti all'interno dell'Ecosistema.
L'Erogatore si assume totale ed esclusiva responsabilità per la qualità dei propri servizi e manleva il Gestore da qualsiasi danno derivante ad altri Erogatori o a terzi a causa dei propri servizi.
ART. 8 MANLEVA
L'Erogatore dei Servizi si impegna ed obbliga a tenere indenne il gestore, nonché tutti i soggetti che a qualunque titolo possano interagire con la stessa, o con le informazioni in essa contenute, da qualsiasi conseguenza negativa e/o danno dovesse derivare loro dall'utilizzazione dei servizi.
L'Erogatore si impegna, per quanto occorrer possa, a far rispettare ai propri fornitori ovvero a qualunque soggetto terzo a qualunque titolo da esso coinvolto nelle attività di fornitura dei servizi i termini e le condizioni previste nel presente Accordo di Adesione. In tal senso, si impegna a manlevare il Gestore in relazione a qualsiasi danno che a qualunque titolo dovesse derivare in capo al gestore, o ai soggetti che a qualunque titolo possano interagire con la stessa, per responsabilità dei fornitori dell'Erogatore.
ART. 9 REVOCA DEI DIRITTI, RESTRIZIONE, CLAUSOLA RISOLUTIVA ESPRESSA
In caso di violazione (i) del presente Contratto, (ii) degli atti o regolamenti da esso richiamati, (iii) di disposizioni di legge, (iv) violazioni dei principi contenuti nel D.lgs. 231/2001 se applicabile, posta in essere da parte dell'Erogatore all'interno dell'Ecosistema o comunque in connessione con il Servizio, il Gestore si riserva il diritto di: a) sospendere l'Erogatore e rimuovere i suoi Servizi dall'Ecosistema con effetto immediato; b) revocare i diritti di partecipazione concessi.
9.1 Il Gestore ha diritto di risolvere il presente contratto ex art. 1456 cc. per grave inadempimento dell'Erogatore o per la mancanza, in capo all'Erogatore, dei requisiti tecnici indicati dal gestore e/o per la mancanza dei requisiti generali indicati dall'art. 80 del D.lvo 50/2016 per la contrattazione con la Pubblica Amministrazione. In tali ipotesi, il Gestore, fatto salvo ogni risarcimento del danno subito, comunicherà all'Erogatore l'immediata risoluzione del contratto, con contestuale immediato divieto di utilizzare l'Ecosistema.
9.2 Nel caso in cui l'Erogatore contesti la decisione del Gestore, l'Erogatore potrà dare corso alla procedura di risoluzione delle controversie prevista dal successivo art. 11.
ART. 10 TRATTAMENTO DEI DATI PERSONALI E UTILIZZO DATI AGGREGATI
10.1. Qualora vengano trattati dati personali, il Gestore agirà in qualità di titolare del trattamento per i trattamenti riguardanti l’accesso dell’erogatore ai servizi dell’’Ecosistema e per la sottoscrizione di codesto accordo. Fuori da tali casi, il Gestore agisce in qualità di Responsabile del trattamento, nel rispetto del DPA.
10.2. Il Gestore detiene tutti i diritti all’utilizzo delle informazioni statistiche, dei dati e delle relative analisi in forma aggregata, derivanti dall'erogazione del servizio tramite la Piattaforma da parte dell’Erogatore, e l’Erogatore autorizza espressamente il Gestore ad utilizzare gli stessi al fine di migliorare le funzionalità della Piattaforma, previo svolgimento di attività di anonimizzazione o pseudonimizzazione, ovvero a fine di informazione statistica pubblicabile in forma aggregata.
ART. 11 DURATA, RECESSO E RISOLUZIONE
11.1. L’Accordo è valido ed efficace a partire dalla data di sottoscrizione della Lettera di Adesione da parte del soggetto Erogatore, ha durata fino al 31-12 dell’anno solare successivo a quello di
sottoscrizione e si rinnova tacitamente in via automatica salvo esplicita risoluzione o recesso delle parti per tutta la durata dell’erogazione del servizio.
La comunicazione dovrà pervenire agli indirizzi previamente concordati nel paragrafo precedente entro e non oltre 3 mesi dalla interruzione delle attività di servizio del caso. Il corpo della comunicazione dovrà contenere valida motivazione a fondamento della risoluzione dell’Erogatore.
Dal decorrere del periodo di preavviso della volontà della parte di interrompere le attività, il servizio potrà considerarsi a tutti gli effetti cessato e così i rapporti tra le parti relativi al presente accordo.
11.2. L’Erogatore avrà titolo per risolvere il Contratto qualora il Gestore non esegua esatto adempimento alle obbligazioni previste a suo carico nei paragrafi: 6 (Obblighi del gestore); Allegato 3(Accordo relativo al Trattamento dei Dati personali), e 14 (Responsabilità Amministrativa delle persone giuridiche ex D. Lgs 231/2001). Tale atto, di interruzione del rapporto tra Xxxxxxxxx e Xxxxxxx potrà ritenersi valido solo se effettuato a mezzo raccomandata A/R, ovvero, a mezzo P.E.C. agli indirizzi: .
11.3. Il Gestore potrà, a sua volta, risolvere l’Accordo qualora l’Erogatore e non adempia con esattezza alle obbligazioni previste a suo carico nei paragrafi: Art.4 (Obblighi dell’Erogatore); Allegato 3 (Accordo relativo al Trattamento dei Dati personali); Allegato 4 (–Linee guida Marchi) e 14 (Responsabilità Amministrativa delle persone giuridiche ex D. Lgs 231/2001)
ART. 12 LIMITAZIONE DI RESPONSABILITA’
In deroga ad ogni contraria disposizione, il Gestore non sarà in alcun modo responsabile ai sensi del presente Accordo in caso di utilizzo della piattaforma non conforme a quanto previsto nella documentazione facente parte del presente Accordo di cui alla tabella riportata nella Lettera di Adesione. Il Gestore si impegna a mantenere l'efficienza dei Servizi della Piattaforma EDU. Tuttavia, fermo restando il rispetto da parte del Gestore degli obblighi assunti in tema di sicurezza e protezione dei dati nel DPA, il Fruitore accetta e riconosce che nel corso della durata dell’Accordo, potrebbero verificarsi malfunzionamenti, disservizi o interruzioni, anche conseguenti a interventi tecnici o di manutenzione correttiva e/o evolutiva, non preventivamente programmati. In tali casi, il Gestore si impegna a comunicare la circostanza, in tempi ragionevoli, all’Erogatore e il Gestore provvederà alle azioni correttive e al ripristino della piattaforma non appena ragionevolmente praticabile, e in ogni caso senza pregiudizio delle procedure in essere.
ART. 13 FORO E LEGGE APPLICABILE
13.1. La legge applicabile all’Accordo è la legge italiana.
13.2. Ogni eventuale contestazione e/o controversia che dovesse insorgere fra le Parti in relazione all'interpretazione, alla validità e/o all'esecuzione del presente Accordo, che non venisse risolta bonariamente e in buona fede fra le stesse, sarà deferita in via esclusiva al Foro di Milano. Le Parti rinunciano a qualsiasi eccezione di competenza del giudice identificato ai sensi della presente disposizione.
ART. 14 Modello ex D.Lgs. n. 231/01 e CODICE ETICO
14.1. L’Erogatore dichiara di aver preso visione della documentazione presente al link xxxxx://xxxxxxxxxxxxxx.xxxxxx.xxxxxx.xx/xxxxxxxxx/xxxxx-xxxxxx-xxxxxxxxxxxxx?xxxxxxxxx in merito al codice di comportamento e si impegna ad operare nel rispetto di tali principi.
L’erogatore si impegna altresì a segnalare, attraverso l’apposito canale dedicato al Whistleblowing eventuali condotte illecite poste in essere nel corso delle attività da parte dei propri dipendenti e da dipendenti di terze parti, definiti come illegittimi ai sensi della normativa dettata dal D.L. 10 marzo 2023
n. 24 in attuazione della direttiva (UE) 2019/1937 del Parlamento europeo e del Consiglio, del 23 ottobre 2019, riguardante la protezione delle persone che segnalano violazioni del diritto dell'Unione e recante “disposizioni riguardanti la protezione delle persone che segnalano violazioni delle disposizioni normative nazionali”, nonché, di ogni altro testo di legge in materia. La segnalazione potrà essere effettuata attraverso il link presenta al sito xxxxx://xxxxxxxxxxxxxx.xxxxxx.xxxxxx.xx/#/
14.2. L’Erogatore dichiara di essere a conoscenza della normativa vigente in materia di responsabilità amministrativa della persona giuridica e, in particolare, del disposto del D.lgs. 8 giugno 2001, n° 231 (Decreto). Con riferimento all'esecuzione delle attività oggetto del presente Accordo, L’erogatore dichiara e garantisce di aver impartito ed attuato disposizioni ai propri amministratori, dipendenti e/o collaboratori finalizzate a prevenire la commissione, anche tentata, dei comportamenti sanzionati dal Decreto e si obbligano a mantenere tali disposizioni tutte efficacemente attuate per l’intera durata del contratto.
14.3 L’inosservanza, anche parziale, intervenuta nel corso dello svolgimento dei Servizi, dei principi comportamentali richiamati nelle suddette disposizioni sarà valutata ai fini della tutela dei diritti ed interessi del Gestore, tenendo comunque conto dell’oggetto dell’Accordo. L’Erogatore si impegna a segnalare tempestivamente eventuali notizie, nell'ambito della fornitura del Servizio, da cui possano ragionevolmente desumersi eventuali inosservanze al Modello di comportamento del Gestore.
14.4 I precedenti punti – 14.1, 14.2 – sono efficaci ai sensi del presente accordo solo nell’eventualità in cui il presente accordo sia stipulato tra il Gestore e una persona giuridica – sono inclusi in tale categoria gli enti pubblici economici, enti a soggettività privata che svolgono pubblico servizio, società a partecipazione pubblica, società in house.
ART. 15 MODELLI DI SERVIZIO
15.1 L’Erogatore si impegna a rispettare modelli di servizio e di ripristino così come definiti all’interno dell’Allegato 6.
15.2 Qualora non fossero rispettati i tempi di recupero o non fosse rispettata alcuna continuità operativa da parte dell’Erogatore, Il Gestore si riserva di intervenire, con eventuale risoluzione dell’accordo.
15.3 Fatto salvo quanto dichiarato all’articolo 12 dell’allegato “Termini e Condizioni” in merito alla disponibilità della piattaforma, il Gestore si impegna a:
a. garantire aderenza ai livelli di servizio concordati nel presente accordo all’interno dell’Allegato 6
b. garantire un livello minimo di servizio per i fruitori
Trattamento Dati Personali – Data Protection Agreement “DPA”
1. Ai fini del presente DPA:
- per “Dati Personali”, si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile del cui trattamento l’Ente è Titolare, ivi inclusi eventuali categorie particolari di Dati Personali. In particolare, i dati oggetto di trattamento sono i Dati Personali di volta in volta contenuti nelle API attivate ai fini dell’erogazione del Servizio, nonché i Dati Personali trattati per le finalità connesse all’attuazione dell’Accordo;
- Per “Interessati”, si intendono i soggetti, proprietari dei dati contenuti nelle API, e ogni altra persona fisica, i cui diritti sono individuati dalla normativa di tutela dei Dati Personali;
- Per “Regolamento Privacy”, si intende il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei Dati Personali, nonché alla libera circolazione di tali dati;
- Per “Codice Privacy”, si intende il Decreto Legislativo n. 196 del 30 giugno 2003 e successive modifiche e integrazioni;
- Per “Normativa Privacy”, si intende il Regolamento Privacy, il Codice Privacy e ogni altro provvedimento emanato da un’autorità competente in attuazione degli stessi, ivi inclusi i provvedimenti del Garante per la protezione dei Dati Personali, le raccomandazioni e linee guida dell’EDPB/WP29;
- Per “Documentazione Privacy e Sicurezza”, si intende la documentazione di volta in volta predisposta dal Titolare del trattamento, che descrive tutti gli adempimenti, le misure tecniche o organizzative e le misure di sicurezza adottate a tutela dei diritti e le libertà degli interessati, nonché la documentazione predisposta ai sensi della Normativa Privacy, ivi incluse le politiche di conservazione dei dati e di gestione delle richieste degli interessati;
- Per “Gestore”, si intende: il Comune di Milano
2. Ogni altro termine usato in maiuscolo e non definito nel presente DPA avrà il significato attribuito nell’Accordo e nella Normativa Privacy. In caso di contrasto tra il presente DPA e l’Accordo e/o la Normativa Privacy, questi ultimi prevalgono.
3. Fatti salvi i casi in cui il Gestore agisce in qualità di Titolare del trattamento, i Dati Personali sono di esclusiva titolarità dell’Erogatore e il Gestore si impegna a non farne alcun uso diverso da quelli previsti per l’adempimento dell’Accordo.
4. Fuori dei casi in cui il Gestore agisce in qualità di Titolare del trattamento, il Gestore agisce in qualità di responsabile o sub-responsabile dell’Erogatore ai sensi del presente DPA. Le categorie di Dati Personali oggetto di trattamento, come anche le finalità, la base giuridica, le categorie di interessati, tra gli Utenti, sono determinate, in via esclusiva, dall’Erogatore in quanto Titolare del trattamento. Qualora per la
fornitura del Servizio, sia necessario il trattamento di particolari categorie di dati, sulla base della valutazione dell’Erogatore stesso, quest’ultimo deve preventivamente informare il Gestore.
5. Prima della conclusione dell’Accordo e su espressa richiesta dell’Erogatore, il Gestore si impegna a mettere a disposizione dell’Erogatore stesso la Documentazione Privacy e Sicurezza necessaria per le opportune valutazioni da parte dell’Erogatore stesso, ad esclusione delle eventuali parti confidenziali. Resta in ogni caso salva la facoltà, per l’Erogatore e il Gestore, di concordare misure aggiuntive, ove necessario.
6. L’Erogatore ha ritenuto il Gestore soggetto idoneo al trattamento e, per l’effetto, nomina lo stesso responsabile del trattamento dei Dati Personali ai sensi dell’art. 28 del Regolamento Privacy, salvi i casi già menzionati in cui il Gestore agisce in qualità di Titolare del trattamento.
7. Resta inteso che, nel caso in cui l’Erogatore agisca a sua volta come responsabile del trattamento, l’Erogatore dichiara e garantisce di aver concluso un valido accordo ai sensi dell’art. 28 del Regolamento Privacy, e in tal caso il presente DPA deve intendersi quale nomina a sub-responsabile del trattamento ai sensi dell’art. 28, comma 4, del Regolamento Privacy. L’Erogatore si impegna, nella misura massima consentita dalla legge, a manlevare e tenere indenne il gestore da ogni danno diretto e indiretto e da tutte le spese, i costi nonché pretese e contestazioni da parte di terzi (incluse eventuali sanzioni del Garante per la protezione dei Dati Personali e spese legali) in caso di assenza di tale accordo o di non conformità dello stesso ai requisiti previsti per legge. Inoltre, l’Erogatore garantisce di essere espressamente autorizzato a nominare a propria volta il Gestore come responsabile del trattamento.
8. Il Gestore dichiara di conoscere gli obblighi assunti con il presente DPA ai sensi dell’art. 28 del Regolamento Privacy e garantisce di possedere capacità, esperienza e competenze, anche tecniche, per ricoprire tale ruolo.
9. L’Erogatore e il Gestore adempiranno agli obblighi assunti con la predetta nomina nel rispetto della Normativa Privacy.
10. In particolare, il Gestore si impegna a trattare i Dati Personali nel rispetto delle seguenti istruzioni e previsioni:
a) non cederli o metterli a disposizione di xxxxx, in modo parziale o totale, temporaneo o definitivo, salvo specifica istruzione scritta dell’Ente in ossequio a legittima base giuridica;
b) non farne uso ultroneo rispetto alle finalità indicate nel presente DPA e a quelle connesse all’attuazione dell’Accordo di adesione, salvo l’uso in forma aggregata;
c) trattarli in modo adeguato, pertinente e nel rispetto del principio della minimizzazione dei dati, nonché in modo lecito, corretto e trasparente, secondo quanto previsto dalla Normativa Privacy;
d) garantire la riservatezza, l’integrità e la disponibilità, compreso ogni profilo relativo alla sicurezza così come disciplinato dall’art. 32 del Regolamento Privacy, secondo quanto descritto nella Documentazione Privacy e Sicurezza e in ossequio alla Normativa Privacy;
e) garantire un’adeguata tutela dei diritti dell’interessato, supportando il Titolare del trattamento (che potrebbe non coincidere con l’Erogatore, in caso di contitolarità) al fine di adempiere al proprio obbligo di dare seguito alle richieste degli interessati per l’esercizio dei propri diritti, anche qualora tali richieste siano ricevute dal Gestore, (i) comunicando all'interessato di indirizzare la propria richiesta al Titolare del trattamento; (ii) trasmettendo al Titolare del trattamento la richiesta e/o (iii) mettendo a disposizione
strumenti degli Interessati per la gestione dei propri diritti, come descritto nella Documentazione Sicurezza e Privacy;
f) avvalersi della propria struttura organizzativa, identificando e designando le persone autorizzate ad effettuare operazioni di trattamento dei Dati Personali, individuando contestualmente l’ambito autorizzativo, fornendo le dovute istruzioni sulle modalità di trattamento e provvedendo alla relativa formazione;
g) garantire che le persone autorizzate siano state preventivamente informate della natura confidenziale dei Dati Personali e, conseguentemente, siano soggetti a specifici obblighi di confidenzialità;
h) gestire tutti gli obblighi connessi alla nomina ad amministratore di sistema del proprio personale preposto alla gestione e alla manutenzione del servizio erogato;
i) garantire un livello di sicurezza adeguato al rischio, adottando misure di sicurezza tecniche e organizzative adeguate in linea con le disposizioni previste dalla Regolamento Privacy;
j) ove necessario, cooperare con l’autorità di controllo e mettere a disposizione di questa la documentazione eventualmente richiesta in occasione di controlli e/o accessi dell’autorità medesima, provvedendo altresì ad informare l’Erogatore e/o il Titolare del trattamento, se diverso;
k) istituire e mantenere il registro delle attività di trattamento ai sensi dell’art. 30 del Regolamento Privacy e renderlo disponibile all’Erogatore su sua richiesta;
l) mettere a disposizione dell’Erogatore il nominativo e le informazioni di contatto del proprio responsabile della protezione dei dati designato ai sensi degli artt. 37 e ss. del Regolamento Privacy;
m) per gli aspetti di propria competenza, fornire supporto tecnico all’Erogatore rispetto agli obblighi inerenti alla: (i) sicurezza del trattamento, (ii) notifica di una violazione dei Dati Personali all’autorità di controllo ai sensi dell’art. 33 del Regolamento Privacy, (iii) comunicazione di una violazione dei Dati Personali all’interessato ai sensi dell’art. 34 del Regolamento Privacy, (iv) valutazione d’impatto sulla protezione dei dati ai sensi dell’art. 35 del Regolamento Privacy, (v) consultazione preventiva ai sensi dell’art. 36 del Regolamento Privacy;
n) in caso di violazione accidentale o illecita dei sistemi per l’erogazione del servizio, che comporti la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati, procedere a: (i) informare l’Erogatore, senza ingiustificato ritardo a mezzo PEC inviata ai recapiti forniti dall’Erogatore stesso; (ii) fornire all’Erogatore le opportune informazioni circa la natura della violazione, le categorie ed il numero approssimativo di dati e di interessati coinvolti, nonché le probabili conseguenze della violazione e le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione o attenuare gli effetti pregiudizievoli; (iii) qualora non sia possibile fornire le suddette informazioni specifiche nel termine previsto, indicare all’Erogatore i motivi del ritardo, fornendo comunque delle informazioni iniziali riferite alla violazione riscontrata ed utili all’Erogatore ai fini della relativa notifica;
o) fornire all’Erogatore, anche nel corso dell’esecuzione dell’Accordo di adesione, le informazioni relative alle misure tecniche, organizzative e di sicurezza adottate necessarie per il pieno rispetto della Normativa Privacy per il tramite della Documentazione Privacy e Sicurezza, ad esclusione delle eventuali parti confidenziali;
p) rendersi disponibile con riguardo alle attività ispettive e di audit che l’Erogatore vorrà effettuare, direttamente o per il tramite di un altro soggetto da questo incaricato, fermo restando che (i) tali attività non potranno essere effettuate dall’Erogatore con una frequenza superiore a 1 (una) volta all’anno e, in ogni caso, prima che siano decorsi 12 (dodici) mesi dall’ultima attività di audit svolta o commissionata dall’Erogatore (ii) tali attività dovranno essere concordate con il Gestore con un preavviso di almeno 10
(dieci) giorni lavorativi; (iii) tali attività dovranno essere svolte salvaguardando la normale operatività del Gestore; (iv) l’uso delle informazioni di cui l’Erogatore e l’eventuale soggetto incaricato dall’Erogatore dovessero venire a conoscenza nel corso dell’audit dovrà essere preventivamente regolamentato da un apposito accordo di confidenzialità; (v) tali attività non vengano svolte durante i periodi di beta testing e/o sulle componenti, applicativi, perimetri soggetti a beta testing; e (vi) qualora tali attività comportino un costo non ragionevole per il Gestore, le parti si accordino per un equo compenso che l’Erogatore corrisponda al Gestore per lo svolgimento di tali attività. Per costi non ragionevoli per il Gestore si intendono, spese emergenti e lucro cessante che possano derivare da prolungate interferenze nella normale operatività dello stesso, ovvero, da richieste tecniche e organizzative che si rendano necessarie ai soli fini dello svolgimento dell’audit. Il Gestore ad ogni modo condividerà su richiesta dell’Erogatore le risultanze degli audit e processi di certificazione cui si sottopone e l’Erogatore potrà richiedere di partecipare a tali attività di audit programmate dal Gestore. In ogni caso, in deroga a quanto previsto sopra nei punti (i) (ii) e (v), qualora sussistano circostanze eccezionali o di particolari problematiche dell’Erogatore (a titolo esemplificativo, violazioni di Dati Personali, ispezioni o richieste da parte del Garante per la Protezione dei Dati Personali), il Gestore si renderà pienamente disponibile ad attività ispettive e audit effettuate dall’Erogatore, direttamente o per il tramite di un altro soggetto da questo incaricato;
q) qualora dovesse riscontrare che un’istruzione impartita dall’Erogatore violi la Normativa Privacy, il Gestore si impegna ad informare prontamente l’Erogatore stesso;
r) garantire che i Dati Personali siano custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, mediante l'adozione di idonee e preventive misure di sicurezza;
s) adottare misure atte a prevenire accessi fisici non autorizzati, danni e interferenze ai Dati Personali trattati nello svolgimento del proprio incarico, nonché un’adeguata e sicura operatività delle strutture di elaborazione dei dati, attraverso l’adozione di misure di sicurezza fisica e ambientale oltre a idonei strumenti di protezione contro i malware e contro la perdita dei dati;
t) adottare procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
11. Con il presente DPA, l’Erogatore conferisce al Gestore un’autorizzazione generale ad avvalersi di sub- responsabili nominati per iscritto, a condizione che il Gestore imponga agli stessi, mediante un contratto o altro atto giuridico, i medesimi obblighi in materia di protezione dei dati contenuti nel presente DPA, prevedendo, in particolare, garanzie adeguate in tema di misure tecniche e organizzative, per soddisfare i requisiti richiesti dalla Normativa Privacy, restando tuttavia il Gestore interamente responsabile verso l’Erogatore dell’adempimento degli obblighi dei sub-responsabili individuati ai sensi del presente articolo. Il Gestore è autorizzato e si impegna, inoltre, a impiegare gli strumenti di trasferimento adeguati, compresa la conclusione di clausole contrattuali tipo (“Standard Contractual Clauses” o “SCC”), nonché ad ottemperare agli obblighi di notifica, informazione e comunicazione nei confronti dei titolari previsti dalla Normativa Privacy.
12. L’elenco dei sub-responsabili essenziali all’operatività del servizio erogato, con indicazione delle relative garanzie, è disponibile all’indirizzo . Senza pregiudizio degli obblighi di riservatezza
in capo al Gestore, quest’ultimo fornisce, su richiesta dell’Erogatore, gli approfondimenti necessari rispetto ai sub-responsabili a qualsiasi titolo coinvolti nei trattamenti rilevanti per l’Accordo di adesione e si impegna a informare l’Erogatore di eventuali modifiche riguardanti l’aggiunta o la sostituzione dei sub- responsabili, dando così all’Erogatore l’opportunità di opporsi a tali modifiche.
13. Il Gestore si impegna altresì a non eseguire alcun trasferimento di Xxxx Personali fuori dallo SEE e verso Paesi che non garantiscono un livello adeguato di tutela in assenza di garanzie adeguate e di effettuare tali trasferimenti unicamente nel pieno rispetto della Normativa Privacy e previa indicazione nella Documentazione Privacy e Sicurezza dello strumento utilizzato per garantire un livello adeguato di tutela.
14. Il Gestore conserverà i Dati Personali in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità di cui all'Accordo di adesione, e comunque nel rispetto del principio di limitazione della conservazione, ferma restando l’osservanza della normativa vigente per i documenti fiscali, contabili e legali.
15. Il presente DPA potrà, ove necessario, costituire oggetto di accordi accessori e supplementari in forma scritta attraverso cui le Parti potranno stabilire misure di sicurezza e organizzative aggiuntive qualora esse, secondo la valutazione delle Parti, risultino più idonee ad assicurare la tutela dei principi di privacy by design e by default avendo riguardo alle caratteristiche del Servizio.
16. Il presente DPA ha durata pari alla durata dell’Accordo di adesione e si intenderà caducato in caso di cessazione per qualsiasi motivo dell’Accordo di adesione stesso, senza pregiudizio di quanto disposto al precedente art. 14 e salvo diverso accordo tra le Parti.
Allegato 4- Le Linee Guida per l’uso dei Marchi, c.d. “Linee Guida Marchi”
In questa sezione vengono definite le regole di brandizzazione relative all’Ecosistema Digitale Urbano, sia in relazione all’uso dei loghi degli erogatori da parte del Gestore, sia in relazione all’uso del logo del Gestore da parte dei fruitori.
Il Gestore pubblicherà sul portale dell’Ecosistema Digitale Urbano, in una sezione libera da autenticazione, il catalogo degli Erogatori, fatta eccezione per i singoli individui, con i relativi loghi riportanti i colori e le forme indicate dall’Erogatore stesso, tale annotazione al catalogo rimarrà online per tutta la durata dell’accordo di adesione.
Il Gestore si riserva la possibilità di pubblicare sul portale dell’Ecosistema Digitale Urbano eventuale materiale promozionale il nome e il logo dei soggetti aderenti, siano essi Erogatori o Fruitori e fatta eccezione per le persone fisiche.
In ogni caso, a prescindere dall’uso dei loghi e il rimando al portale dell’Ecosistema Digitale Urbano, tutti i servizi e/o le applicazioni sviluppate a partire dal materiale erogato in Piattaforma, devono rendere chiaro ai fruitori che le stesse non sono di proprietà di, sviluppate o controllate dal gestore o da utenti dello stesso diversi dall’erogatore e/o fruitore del servizio.
Allegato 5 – Elenco dei soggetti Delegati
*da compilare in caso vi siano ulteriori soggetti coinvolti nell’utilizzo della Piattaforma oltre al Referente indicato sopra
Il soggetto firmatario si impegna a tenere costantemente aggiornato l’elenco dei soggetti delegati di seguito indicati, informando tempestivamente Comune di Milano in merito a qualsiasi variazione, mezzo PEC all’indirizzo --.
SoggeF delegati:
Erogatore | |
Cognome | |
Nome | |
C.F. | |
Qualifica/Posizione | |
E-mail/PEC |
Erogatore | |
Cognome | |
Nome | |
C.F. | |
Qualifica/Posizione | |
E-mail/PEC |
Il soggetto firmatario dichiara e garantisce di aver conferito le necessarie autorizzazioni ai soggetti sopra delegati ad operare di concerto con il Gestore per l’attuazione dei servizi sulla Piattaforma dell’Ecosistema Digitale Urbano, garantendo altresì il rispetto degli obblighi contenuti nell’Accordo.
Il soggetto firmatario si impegna, inoltre, a manlevare e tenere indenne il Gestore da ogni danno diretto e indiretto causato dai soggetti sopra citati.
Allegato 6 – Modelli di servizio e requisiti tecnici
Di seguito riportiamo una tabella contenente i modelli di servizio e i requisiti tecnici:
Requisito | Descrizione | Valore | Note |
Numero di chiamate | |||
Limite di chiamate | |||
Latenza | |||
Tempo di ripristino del servizio (in caso di eventi bloccanti) | |||
Altro |
Indicare lo standard tecnologico di riferimento scelto per il servizio oggetto dell’Accordo: .