Contratto di prestazione di servizi

Contratto di prestazione di servizi

per l’attuazione del Regolamento UE 679/2016 (R.G.P.D.) in materia di protezione dei dati personali e per il

conferimento dell’incarico di RPD (Responsabile della Protezione dei Dati)

TRA

L'Istituto I.I.S. “X. Xxxxxxx” Vittoria (RG), rappresentato dal Dirigente Scolastico Prof.ssa Xxxx Xxxxxxx, domiciliato per la sua carica presso l'Istituto stesso, codice fiscale 82001840881

E

l’impresa NetSense S.r.l. con sede legale in Xxxxxxxxxxx Xxxxx (XX), xxx Xxxxxxxx, 00 – 95030, P. IVA: 04253850871 nella persona del suo legale rappresentante l’xxx. Xxxxxx Xxxxxxx nato a Catania il 20/05/1975, residente in Xxxxxxxxxxx Xxxxx xxx xxx Xxxxxxxxxxxx, 00, COD. FISC.: NRCRNT75E20C351Q.

PREMESSO CHE

a) nella Gazzetta Ufficiale dell’Unione Europea è stato pubblicato il 4 maggio 2016 il Regolamento (UE) 2016/679 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito RGPD), in vigore dal 24 maggio 2016 e applicabile a partire dal 25 maggio 2018;

b) il RGPD introduce nuovi obblighi e nuove sanzioni che impongono agli enti l’adozione di specifiche misure sulla protezione dei dati personali;

c) sia la circolare AGID N. 2 del 18 aprile 2017, sulle misure minime di sicurezza ICT PA, che il RGPD indicano agli enti le misure e le procedure da adottare obbligatoriamente per contrastare le minacce più comuni e frequenti cui sono soggetti i loro sistemi informativi e per la tutela dei dati personali;

d) il RGPD introduce la figura del Responsabile della protezione dei dati (RDP) (RGPD artt. 37- 39);

e) il RGPD prevede l’obbligo per il titolare o il responsabile del trattamento di designare il RPD

«quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali» (RGPD art. 37, paragrafo 1, lett a);

f) la NetSense S.r.l. è in possesso delle «qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39» (RGPD art. 37, paragrafo 5) anche indicate dalle Linee Guida del Gruppo Articolo 29, WP 243 rev. 01.

SI CONVIENE E SI STIPULA QUANTO SEGUE

Art. 1 - Obiettivo del contratto

L’obiettivo delle attività previste è la definizione e l’implementazione delle procedure e delle prassi necessarie per rispondere agli obblighi giuridici relativi al RGPD.

Art. 2 - Modalità di attuazione del presente contratto e obblighi dell’Impresa

L’attuazione del contratto prevede le attività documentate nell’offerta economica, per le quali la NetSense si obbliga.

In particolare la NetSense si impegna a:

a) Predisporre e accettare la Nomina del Responsabile della Protezione dei Dati RPD e assistere il Titolare alla comunicazione all’ente preposto.

b) Definire un documento di analisi preliminare delle misure organizzative e tecnologiche per la protezione dei dati personali. Il documento dovrà indicare anche eventuali contromisure organizzative e tecniche da adottare per allinearsi alle misure minime previste dal nuovo regolamento e dalle indicazioni AGID (Circolare 2/2017).

c) Redigere e manutenere il Registro delle attività di trattamento (Art. 30 del RE 679/2016).

d) Predisporre la modulistica necessaria: informativa, consenso, moduli per la richiesta di accesso ai dati, nomine, modulo per segnalazione data breach.

e) Predisporre le nomine come da regolamento: utilizzatori (data handler), responsabili esterni

– fornitori (data processor), amministratore di sistema.

f) Erogare la formazione (incontro di 2 ore) ed informazione del personale interessato, in linea con gli obblighi dettati dalla norma.

g) Condurre le necessarie attività di audit per la verifica degli eventi intercorsi nella P.A. e integrazione/modifica del Registro delle attività di trattamento.

Tutte le informazioni e i dati che entreranno in possesso dell’impresa saranno considerati riservati e non saranno divulgati in nessun modo e per alcun motivo se non dietro Vostra specifica autorizzazione.

Art. 3 - Nomina RPD (Responsabile della Protezione dei Dati)

A seguito del presente accordo, in linea con gli impegni dell’impresa, Il RPD designato è l’impresa NetSense nella persona dell’Xxx. Xxxxxx Xxxxxxx, in relazione alle competenze specifiche possedute in materia.

Il predetto, nel rispetto di quanto previsto dall’art. 39, par. 1, del RGPD è incaricato di svolgere, in piena autonomia e indipendenza, i seguenti compiti e funzioni:

- informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal RGPD, nonché da altre disposizioni nazionali o dell’Unione relative alla protezione dei dati;

- sorvegliare l’osservanza del RGPD, di altre disposizioni nazionali o dell’Unione relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;

- fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35 del RGPD;

- cooperare con il Garante per la protezione dei dati personali;

- fungere da punto di contatto con il Garante per la protezione dei dati personali per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.

Il modulo per la designazione del RPD (nomina RPD) sarà fornito dalla NetSense sulla base del modello del Garante da sottoscrivere quale accettazione delle clausole e condizioni. Le modalità di trasmissione dei dati all’Autorità di Controllo (Garante della Privacy) avverranno con modulistica ufficialmente proposta dal Garante stesso.

Art. 4 - Durata del contratto

I servizi di cui al presente contratto e l’incarico di RPD hanno la durata di anni 1 (uno). La durata del contratto decorrerà dalla firma del presente contratto e terminerà alla scadenza dell’incarico di RPD.

Il contratto potrà essere rinnovato alla scadenza. E’ escluso il tacito rinnovo.

Art. 5 - Importo del contratto

Gli importi, al netto dell’IVA, per i servizi e l’incarico di RPD e di tutti gli oneri a carico della NetSense S.r.l. di cui al presente contratto, sono pari a:

- Euro 630,00 oltre IVA 22% (diconsi Euro seicentotrenta/00 oltre IVA 22%)

Gli importi suddetti verranno regolati attraverso emissione di regolare fattura elettronica.

Art. 6 - Copertura assicurativa per le attività di RPD

Una polizza assicurativa a favore dell’Istituto, con massimale di € 1.000.000,00 (un milione di euro), sarà stipulata dall’Impresa, per eventuali sanzioni a carico dell’Istituto derivanti dalle attività professionali del RPD, a decorrere dal 25 maggio 2018.

Art. 7 - Obblighi di riservatezza e protezione dei dati personali

I dati personali che verranno forniti per permettere l’esecuzione del contratto e/o in adempimento a obblighi di legge, regolamentari e/o contrattuali, verranno trattati conformemente a quanto stabilito dal D.Lgs. 196/2003 e al Regolamento UE 679/2016 e le finalità perseguite sono esclusivamente quelle inerenti l’esecuzione del contratto.

Art. 8 - Recesso dal contratto

L’Istituto potrà esercitare il recesso dal presente contratto a mezzo PEC o raccomandata A/R.

Art. 9 - Foro competente

Qualsiasi controversia relativa all’interpretazione, applicazione ed esecuzione del presente contratto è devoluta alla competenza del Foro di Catania, previo tentativo di conciliazione obbligatorio.

Tremestieri Etneo 25/05/2018 NetSense S.r.l.

Il Legale Rappresentante Xxx. Xxxxxx Xxxxxxx

Firma apposta digitalmente

L’Istituto I.I.S. “X. XXXXXXX” VITTORIA (RG)

Il Dirigente Scolastico Prof.ssa Xxxx Xxxxxxx Firma apposta digitalmente