TRA

Allegato a)

Accordo Data Protection fra Titolari Autonomi

relativo al Sistema Informativo del Lavoro regionale toscano

TRA

Regione Toscana- Direzione Lavoro, con sede legale in Firenze, xxx Xxxx xxxxx Xxxxxxxxx 00, in persona del suo legale rappresentante Xxxxxxxxx Xxxxxxx in qualità di Direttrice della Direzione Lavoro,

E

Agenzia regionale Toscana per l’Impiego (ARTI), con sede legale in Firenze, via Xxxxxxxx Xxxxxxxx XX 62/64 in persona del suo legale rappresentante , Xxxxxxxxx Xxxxxxx, in qualità di Direttrice dell’Agenzia regionale Toscana per l’Impiego,

( in seguito indicati come “la Parte” o congiuntamente “le Parti”),

Premesso che in attuazione delle disposizioni GDPR, sentito il parere del DPO delle Parti, si rende opportuno definire un accordo di Data Protection tra le Parti quali Titolari autonome dei dati oggetto di trattamento nell’ambito del sistema informativo regionale del lavoro (IDOL), si definisce e concorda quanto segue:

Art. 1

Ambito di competenza

Le Parti si danno reciprocamente atto di conoscere ed applicare, nell’ambito delle proprie organizzazioni, tutte le norme vigenti ed in fase di emanazione in materia di trattamento dei dati personali, sia primarie che secondarie, rilevanti per la corretta gestione del Trattamento, ivi compreso il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “GDPR”).

Le parti si danno reciprocamente atto che lo scambio di dati oggetto del presente DPA risponde ai principi di liceità determinati da specifiche norme ed è conforme alle disposizioni.

Le parti si danno reciprocamente atto che lo scambio di dati oggetto del presente DPA è conforme alle disposizioni, alle linee guida e alle regole tecniche previste per l’accesso, la gestione e la

sicurezza dei dati dalla normativa in materia di amministrazione digitale (in specifico, d.lgs. 82/2005 e relative linee guida e regole tecniche) e dalle altre norme di riferimento.

Le Parti prendono reciprocamente atto delle finalità e delle funzioni stabilite dalle Legge regionale 26 luglio 2002 , n. 32 come modificata con Legge regionale 28/2108 istitutiva Agenzia Regionale Toscana per l’impiego (ARTI), con richiamo in particolare alle funzioni definite dagli articoli 21 e 21 quater della citata Legge regionale 32/2002, nonché alle funzioni stabilite dal D.L. 150/2015 e

s.m.i. Le Parti prendono atto che la richiamata Xxxxx 32/2002 e s.m.i all’art. 21 comma 2 lettera

d) attribuisce a Regione Toscana la funzione di gestione del sistema informativo del lavoro regionale (IDOL), con la finalità di “sviluppo e promozione delle politiche del lavoro per prevenire e contrastare la disoccupazione, in particolare quella di lunga durata, agevolare l’inserimento lavorativo, favorendo la stabilità del lavoro, la mobilità professionale e le carriere individuali, sostenendo il reinserimento nella vita professionale, in particolare di gruppi svantaggiati a rischio di esclusione sociale, nonché sostenendo azioni positive per le pari opportunità e l’inclusione sociale”. Le Parti danno atto che il Sistema Informativo del Lavoro è strumentale alla attuazione delle funzioni attribuite alla Regione Toscana ed alla Agenzia Regionale Toscana per l’impiego (ARTI) dalla richiamata Legge Regionale.

Art. 2

Rapporti fra autonomi Titolari di trattamento dati

Le Parti tratteranno in via autonoma i dati personali oggetto dello scambio per trasmissione o condivisione, per le finalità connesse alla attuazione delle funzioni attribuite dalla citata legge regionale L.r 32/2002 e dal DL. 150/2015. Le parti, in relazione agli impieghi dei predetti dati nell’ambito della propria organizzazione, assumeranno, pertanto, la qualifica di Titolare autonomo del trattamento ai sensi dell’articolo 4, nr. 7) del GDPR, sia fra di loro che nei confronti dei soggetti cui i dati personali trattati sono riferiti.

Art. 3

Tipologia di dati oggetto di scambio

I contraenti in relazione allo scambio di informazioni, inteso sia come trasmissione di dati sia di condivisione di archivi e al loro ruolo di essere sorgente o destinatario delle informazioni scambiate si qualificano nel seguito come soggetto Produttore o soggetto Utilizzatore.

I dati personali oggetto dello scambio:

1. Soggetto produttore del dato: ARTI, soggetto utilizzatore: Regione Toscana-Direzione Lavoro , la periodicità delle scambio di dati è in tempo reale

a. Tipologie di dati : dati comuni (anagrafici, residenza/sede sociale, codice fiscale, anagrafica dei rapporti di lavoro); dati sanitari;

b. tipologie degli interessati : persone fisiche, società/imprese

c. I seguenti formati : dati strutturati, file

2. Soggetto produttore del dato: Regione Toscana-Direzione lavoro , soggetto utilizzatore:

ARTI, la periodicità dello scambio di dati è in tempo reale

a. Tipologie di dati : dati comuni (anagrafici, residenza/sede sociale, codice fiscale, anagrafica dei rapporti di lavoro); dati sanitari

b. tipologie degli interessati : persone fisiche, società/imprese

c. I seguenti formati : dati strutturati, file

Le modalità di scambio del dato tra i titolari avviene utilizzando la Cooperazione applicativa, in particolare l'infrastruttura utilizzata è quella realizzata della Regione Toscana (CART) e dispiegata presso il data center regionale.

Art.4

Rispetto della normativa

In quanto Titolari autonomi del trattamento, le parti sono tenute a rispettare tutte le normative rilevanti sulla protezione ed il trattamento dei dati personali che risultino applicabili ai rapporti che intercorrono fra produttore di informazioni e utilizzatore sulla base del presente DPA. Le Parti sono, altresì, tenute al rispetto della normativa in materia di amministrazione digitale e in materia di accesso, gestione e sicurezza dei dati.

Art. 5 Misure di sicurezza

Le parti concordano sull’adeguatezza delle misure di sicurezza messe in atto al fine di garantire lo scambio sicuro dei dati.

In particolare attestano la messa in atto delle seguenti misure:

• I dati risiedono su server installati presso l'infrastruttura di competenza della Regione Toscana , e pertanto rispettano tutti gli standard di sicurezza regionali.

• L'accesso ai dati è controllato e garantito sia dall'uso di credenziali (username, password) che da autenticazione forte (SPID, SmartCard).

• Il sistema prevede la profilazione delle credenziali di accesso rilasciato ad ogni profilo e associato una particolare funzionalità del sistema.

• Ad ogni utente possono essere associati uno o più profili.

• La disabilitazione delle credenziali di accesso non più attive.

Al contempo, le parti, si impegnano a mettere in atto ulteriori misure qualora fossero da almeno una delle due parti ritenute insufficienti quelle in atto. L’eventuale diniego dell’altra parte comporta l’annullamento del presente DPA.

In particolare, l’utilizzatore si impegna ad applicare misure di sicurezza idonee e adeguate a proteggere i dati personali da esso trattati in esecuzione del presente Accordo e a rispettare i principi e le norme in materia di accesso, gestione e sicurezza dei dati, contro i rischi di distruzione, perdita, anche accidentale, di accesso o modifica non autorizzata dei dati o di trattamento non consentito o non conforme alle finalità della raccolta.

Art. 6

Obblighi del personale autorizzato

Le parti si impegnano a far sì che l’accesso ai dati personali oggetto dello scambio sia consentito solo a coloro e nella misura in cui ciò sia necessario per l’esecuzione delle funzioni istituazionali di cui alle richiamate Leggi regionali, e che l’uso dei dati personali da parte del soggetto utilizzatore rispetti gli stessi impegni assunti dal produttore riguardo alla conformità legale del trattamento e la sicurezza dei dati trattati con misure adeguate alla tipologia dei dati degli interessati e dei rischi connessi.

Ognuna delle parti individua un proprio referente tecnico, responsabile dell’accesso, della gestione e della sicurezza dei dati e dell’applicazione delle relative norme, linee guida e regole tecniche, tenuto a comunicare tempestivamente all’altra parte modifiche, aggiornamenti, esigenze,

problematiche, incidenti e quanto ritenuto necessario nella corretta gestione dei dati, al fine di assicurarne la conformità ai principi e alle disposizioni normative di riferimento.

Art.7 Responsabilità

Fatto salvo quanto previsto come inderogabile dalla legge, nessuna responsabilità sarà imputabile al produttore del dato per i trattamenti operati dall’utilizzatore (vedi art. 3), eccettuati i casi di cattiva gestione o maltrattamento nella fase di raccolta originaria dei dati personali. Ferma restando la responsabilità assunta dal produttore verso i terzi e verso l’utilizzatore, quale titolare autonomo del trattamento sui dati ricevuti dal produttore, nei rapporti reciproci, l’utilizzatore si obbliga a manlevare e tenere indenne il produttore – per qualsiasi danno, incluse spese legali – che possa derivare da pretese avanzate nei confronti del produttore da terzi - inclusi i soggetti cui i dati personali trattati sono riferiti - a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento imputabili al utilizzatore, intendendosi con la presente pattuizione, trasferire dal produttore al utilizzatore l’incidenza economica dei danni reclamati da terzi, in conseguenza dei trattamenti operati dal utilizzatore.

Art. 8 Impostazione organizzativa

Le parti si garantiscono reciprocamente che i dati trattati da ciascuna di esse in esecuzione del presente DPA formano oggetto di puntuale verifica di conformità alla disciplina rilevante in materia di trattamento di dati personali - ivi compreso il GDPR-, alla normativa in materia di amministrazione digitale e in materia di accesso, gestione e sicurezza dei dati e si impegnano altresì alla ottimale cooperazione reciproca nel caso in cui una di esse risulti destinataria di istanze per l’esercizio dei diritti degli interessati previsti dall’articolo 12 e ss. del GDPR ovvero di richieste delle Autorità di controllo che riguardino ambiti di trattamento di competenza dell’altra parte.

Art. 10 Durata

Il presente Accordo ha durata dalla sua sottoscrizione fino alla sussistenza della finalità delle richiamate leggi.

Art. 11 Rescissione

La rescissione del presente DPA avviene per istanza di parte qualora, la stessa ritenga che lo scambio di informazioni leda per qualsivoglia motivo i legittimi diritti degli interessati.

Data --/--/----

Firma Firma