Accordo per il trattamento di dati personali
Accordo per il trattamento di dati personali
Il presente Accordo costituisce allegato parte integrante della Convenzione/Accordo avente ad oggetto la conservazione degli oggetti digitali versati dall'Ente produttore, stipulata/o tra quest'ultimo e l’Istituto IBACN, il quale viene a tal fine designato Responsabile del trattamento di dati personali ai sensi dell’art. 28 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (di seguito anche GDPR).
1. Premesse
Il presente Accordo si compone delle clausole di seguito rappresentate e dal Glossario
Le Parti convengono quanto segue
2. Trattamento dei dati nel rispetto delle istruzioni dell’Ente produttore
2.1 - Il Responsabile del trattamento, relativamente a tutti i Dati personali che tratta per conto dell’Ente
produttore garantisce che:
2.1.1 - tratta tali Dati personali solo ai fini di archiviazione nel pubblico interesse degli oggetti digitali versati in conservazione in esecuzione all’Accordo o Convenzione stipulata con l’Ente produttore; gli oggetti digitali versati possono essere utilizzati anche in ambiente di test per consentire lo sviluppo del sistema di conservazione e la correzione di eventuali malfunzionamenti;
2.1.2 - non comunica i Dati personali a soggetti terzi, salvo i casi in cui ciò si renda necessario per
adempiere quanto disciplinato nell’Accordo o Convenzione stipulata con l’Ente produttore;
2.1.3 - non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico
dall’Ente produttore, neanche per trattamenti aventi finalità compatibili con quelle originarie;
2.1.4 - prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà l’Ente produttore se, a suo parere, una qualsiasi istruzione fornita dall’Ente produttore si ponga in violazione di Normativa applicabile;
2.2 - Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del
trattamento si obbliga ad adottare:
2.2.1 - procedure idonee a garantire il rispetto dei diritti e delle richieste formulate all’Ente
produttore dagli interessati relativamente ai loro dati personali;
2.2.2 - procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta dell’Ente
produttore dei dati personali di ogni interessato;
2.2.3 - procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta dall’Ente produttore, nei limiti di cui all'art. 17, paragrafo 3, lettera d) e secondo le deroghe dell'art. 89, paragrafo 3, del GDPR;
2.2.4 - procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su
richiesta dell’Ente produttore.
2.3 - Il Responsabile del trattamento deve garantire e fornire all’Ente produttore cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dallo stesso, per consentirgli di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
2.4 - Il Responsabile del trattamento, nel rispetto di quanto previsto all’art. 30, 2° comma del Regolamento, deve compilare, tenere aggiornato e, ove richiesto dal Garante per la protezione dei dati personali, esibire un registro delle attività di trattamento svolte per conto dell’Ente produttore, che riporti tutte le informazioni richieste dalla norma citata.
2.5 - Il Responsabile del trattamento assicura la massima collaborazione al fine dello svolgimento delle valutazioni di impatto ex art. 35 del GDPR che l’Ente produttore intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
3. Le misure di sicurezza
3.1 - Il Responsabile del trattamento adotta e mantiene appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati.
3.2 - In relazione alla criticità correlata al trattamento in questione il Responsabile del trattamento effettua la valutazione di impatto ai sensi dell’art. 35 del Regolamento.
3.3 - Il Responsabile del trattamento fornisce al Titolare, nel caso di servizi di amministrazione di sistema forniti in insourcing, l’elenco con gli estremi identificativi delle persone fisiche che espleteranno, nell’ambito dell’incarico affidato funzioni di amministratori di sistema unitamente all’attestazione delle conoscenze, dell’esperienza, della capacità e dell’affidabilità degli stessi soggetti, i quali devono fornire idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza Si sottolinea che tale valutazione è propedeutica alla formale designazione ad amministratore di sistema da parte del Titolare il quale, in attuazione di quanto prescritto alla lettera f) del paragrafo 2 del Provvedimento del 28/11/2008 del Garante per la protezione dei dati personali relativo agli amministratori di sistema, provvederà alla registrazione degli accessi logici ai sistemi da parte degli amministratori di sistema designati.
o in alternativa
3.3 - Il Responsabile del trattamento conserva direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema (outsourcing).
3.4 - L’Ente produttore attribuisce al Responsabile del trattamento il compito di dare attuazione alla prescrizione di cui al punto 2 lettera e) “Verifica delle attività” del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, con riferimento alla verifica dell'operato degli amministratori di sistema afferenti all'organizzazione del Responsabile del trattamento.
3.5 - Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Titolare, con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso
non autorizzato a qualsiasi computer o sistema.
3.6 - Conformemente alla disposizione di cui all’art. 28 comma 1 del Regolamento e alla valutazione delle garanzie che il Responsabile del trattamento deve presentare, lo stesso Responsabile dichiara di essere inserito nell’elenco dei conservatori accreditati da Agid che attesta il possesso di idonee garanzie organizzative e tecnologiche di protezione dei dati personali.
4. Analisi dei rischi, privacy by design e privacy by default
4.1 - Il Responsabile del trattamento adotta, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
4.2 - In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
5. Soggetti autorizzati ad effettuare i trattamenti – Designazione
5.1 - Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’Ente produttore.
5.2 - Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica.
5.3 - Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza non meno onerosi di quelli previsti nell’Accordo o Convenzione di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse
realizzarsi ad opera di tali soggetti.
5.4 - L’Ente produttore provvede in autonomia e sotto la propria responsabilità a designare quali persone autorizzate al trattamento i dipendenti e i collaboratori afferenti alla sua organizzazione che possono avere accesso agli oggetti digitali conservati dal Responsabile del trattamento. Inoltre, l’Ente produttore si impegna a fornire ai propri dipendenti e collaboratori adeguate informazioni relative al trattamento dei loro dati, in particolare con riferimento all’attività di registrazione e trattamento dei log prodotti ogniqualvolta che questi ultimi accedano o modifichino i documenti oggetto di conservazione digitale secondo quanto indicato nell’Accordo o Convenzione stipulata con l’Ente produttore.
5.5 - L’Ente produttore garantisce che i propri dipendenti e collaboratori ricevano la necessaria formazione in materia di protezione dei dati personali, provvedendo altresì a fornire loro istruzioni, sovrintendere e vigilare sull’attuazione delle istruzioni impartite ai fini e nei limiti dell’esecuzione delle attività di trattamento indicate nel presente atto e nell’Accordo o Convenzione.
6. Sub-Responsabili del trattamento di dati personali
6.1 - Nell’ambito dell’esecuzione del contratto, il Responsabile del trattamento è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche “sub-responsabili”), imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo.
6.2 - In tutti i casi, il Responsabile del trattamento si assume la responsabilità nei confronti dell’Ente produttore per qualsiasi violazione od omissione realizzati da un Sub-Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Responsabile del trattamento abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni.
7. Trattamento dei dati personali fuori dall’area economica europea
7.1 - L’Ente produttore non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori
dell’Unione Europea.
8. Cancellazione dei dati personali
8.1 - Il Responsabile del trattamento, a richiesta del Titolare, provvede alla restituzione e alla cancellazione dei dati personali trattati al termine della prestazione di servizi oggetto dell’Accordo o Convenzione, secondo le modalità e termini descritti nell’Accordo medesimo e nel Manuale di Conservazione.
9. Audit
9.1 - Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy e sicurezza
informatica da parte dell’Ente produttore.
9.2 - L’Ente produttore può esperire specifici audit anche richiedendo al Responsabile del trattamento di attestare la conformità della propria organizzazione agli obblighi di cui alla Normativa applicabile e al presente Accordo.
9.3 - L’esperimento di tali audit non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad
obblighi di riservatezza degli interessi commerciali.
9.4 - L'Ente produttore ha facoltà di vigilare, anche tramite ispezioni e verifiche periodiche, sulla puntuale osservanza delle prescrizioni impartite al Responsabile del trattamento nel presente Accordo, nel rispetto delle seguenti condizioni concordate tra le Parti:
- preavviso di almeno cinque giorni lavorativi;
- frequenza annuale in caso di data breach oppure quando richiesto da pubbliche autorità;
- in correlazione alla struttura organizzativa del Responsabile del trattamento l'effettuazione di dette ispezioni/verifiche potrà avvenire dal lunedì al venerdì dalle ore 9,00 alle ore 17,00
10. Indagini dell’Autorità e reclami
10.1 - Nei limiti della normativa applicabile, il Responsabile del trattamento informa entro la giornata lavorativa successiva l’Ente produttore di qualsiasi:
- richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da
forze dell’ordine;
- istanza ricevuta da soggetti interessati.
Il Responsabile del trattamento fornisce, in esecuzione dell’Accordo/Convenzione e, quindi, gratuitamente, tutta la dovuta assistenza all’Ente produttore per garantire che la stessa possa rispondere a tali istanze o comunicazioni nei termini temporali previsti dalla normativa e dai regolamenti applicabili.
11. Violazione dei dati personali e obblighi di notifica
11.1 - Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del Regolamento e nei limiti di cui al perimetro delle attività affidate, deve comunicare a mezzo di posta elettronica certificata all’Ente produttore nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub- Fornitori. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a:
a) descrivere la natura della violazione dei dati personali
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi.
11.2 - Il Responsabile del trattamento deve fornire tutto il supporto necessario all’Ente produttore ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con l’Ente produttore, per svolgere qualsiasi azione che si renda necessaria per porre
rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto dell’Ente produttore.
12. Responsabilità e manleve
12.1 - Il Responsabile del trattamento tiene indenne e manleva l’Ente produttore da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.
12.2 - Nel caso in cui il Responsabile del trattamento commetta violazioni della normativa in materia di protezione dei dati personali e di quanto stabilito nel presente Accordo, quali ad esempio quelle indicate all’art. 83 commi 4 e 5, l’Ente produttore può recedere dall’Accordo o Convenzione.
12.3 - A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Responsabile del trattamento:
- avverte entro 24 ore ed in forma scritta, l’Ente produttore del Reclamo;
- non fornisce dettagli al reclamante senza la preventiva interazione con l’Ente produttore;
- non transige la controversia senza il previo consenso scritto dell’Ente produttore;
- fornisce all’Ente produttore tutta l'assistenza che potrebbe ragionevolmente richiedere nella
gestione del reclamo.
GLOSSARIO
“Garante per la protezione dei dati personali”: è l’autorità di controllo responsabile per la protezione
dei dati personali in Italia;
“Dati personali ”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici
della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“GDPR” o “Regolamento”: si intende il Regolamento (UE) 2016/679 sulla protezione delle persone fisiche relativamente al trattamento dei dati personali e della loro libera circolazione (General Data Protection Regulation) che sarà direttamente applicabile dal 25 maggio 2018;
“Normativa Applicabile”: si intende l’insieme delle norme rilevanti in materia protezione dei dati personali, incluso il Regolamento (UE) 2016/679 (GDPR), il d.lgs. 30 giugno 2003, n. 196 s.m.i. (“Codice in materia di protezione dei dati personali”) ed ogni provvedimento del Garante per la protezione dei dati personali, del WP Art. 29 e del Comitato europeo per la protezione dei dati; “Appendice Security”: consiste nelle misure di sicurezza che il Titolare determina assicurando un livello minimo di sicurezza, e che possono essere aggiornate ed implementate dal Titolare, di volta in volta, in conformità alle previsioni del presente Accordo;
“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un Suo Responsabile del trattamento;
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione; “Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;
“Pseudonimizzazione”: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.
L'Ente produttore L'Istituto per i Beni Artistici, Culturali e Naturali dell'Xxxxxx-Romagna
(firmato digitalmente) (firmato digitalmente)