OGGETTO: ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART.28 DEL REGOLAMENTO (UE) 679/2016.

Spett.le          

Via        

Pec:         

OGGETTO: ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO AI SENSI DELL’ART.28 DEL REGOLAMENTO (UE) 679/2016.

Il Sindaco,

PREMESSO CHE

• Il Comune di Pagani detiene il ruolo di Titolare del Trattamento dei dati personali ai sensi del D.Lgs. 196/03 e s.m.i. (nel prosieguo del documento indicato anche come “Codice”) e del Nuovo Regolamento Europeo in materia di Protezione dei Dati Personali (“REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”, detto anche “GDPR – General Data Protection Regulation”);

• nell'ambito dei rapporti tra il comune e la società (                      ), con xxxx xxxxxx xx (                                       ), Xxx (                               ) xxx (              ), Xxxxxxx XXX (             ) (di seguito "             "), le attività inerenti al contratto / convenzione “(riferimenti del contratto di servizi tra il Comune e la società esterna)”, comportano il trattamento di dati personali di cui questa Amministrazione è Titolare;

• la società   dichiara di essere

consapevole che il trattamento dei dati personali connesso all’espletamento dell’incarico ricevuto in conseguenza del suddetto contratto sarà svolto per conto e secondo le istruzioni del Titolare;

• la società   è soggetto dotato

della esperienza, affidabilità e capacità necessarie per assolvere alla funzione di Responsabile del Trattamento di dati personali.

Tanto premesso e considerato, con il presente atto

NOMINA

la società   Responsabile del Trattamento dei dati personali connesso all’esecuzione delle attività inerenti al contratto sopra citato e le affida i compiti e le responsabilità previsti dall’art. 29, comma 4 del Codice e dall’art. 28 del GDPR.

Tale nomina è effettuata in relazione a tutte le operazioni necessarie per il puntuale adempimento del contratto sopra citato ed è valida anche in caso di un’eventuale proroga del contratto medesimo.

Modalità di Trattamento

Il Responsabile del Trattamento dei dati personali:

• si impegna a trattare direttamente, o per il tramite dei propri dipendenti, collaboratori esterni, consulenti, etc. - appositamente designati quali autorizzati del trattamento - i dati personali del Titolare, per le sole finalità connesse allo svolgimento delle attività previste dall’incarico, in modo lecito e secondo correttezza, nonché nel pieno rispetto dei principi del GDPR e, in generale, dai Provvedimenti del Garante per la protezione dei dati personali, nonché dalle presenti istruzioni;

• non dovrà divulgare o rendere noti a terzi - per alcuna ragione ed in alcun momento, presente o futuro ed anche una volta cessati i trattamenti oggetto dell’incarico - i dati personali ricevuti dal Titolare o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, se non previamente autorizzato per iscritto dal Titolare, fatti salvi eventuali obblighi di legge o ordini dell’Autorità Giudiziaria e/o di competenti Autorità amministrative.

Cessazione del trattamento.

Una volta concluse le finalità relative ai trattamenti oggetto dell’accordo il Responsabile si impegna a restituire al Titolare, su sua richiesta, i dati personali acquisiti o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, cancellandoli nel contempo dai propri archivi oppure distruggendoli, ad eccezione dei casi in cui i dati debbano essere conservati in virtù di obblighi di legge. In quest’ultimo caso il trattamento di tali dati dovrà essere limitato ai soggetti preposti all’esecuzione delle attività relative alla gestione degli obblighi di legge.

Attività di trattamento delegate dal Responsabile del Trattamento a terze parti.

In esecuzione degli accordi contrattuali in essere con il Titolare, il Responsabile potrà affidare l’esecuzione - parziale o totale - delle relative attività a soggetti terzi, dei quali garantisce il possesso dei requisiti di esperienza, capacità ed affidabilità, ivi compreso il profilo relativo alla sicurezza, nonché la capacità di adempiere ai principi del GDPR.

Ove ricorra tale ipotesi, il Responsabile provvede – previa autorizzazione del Titolare - a designare quali Responsabili del trattamento (nel seguito Sub-Responsabili) i suddetti soggetti terzi con idoneo atto giuridico.

Qualora un Sub-Responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile conserva nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi del Sub-Responsabile.

Persone autorizzate al trattamento da parte del Responsabile del Trattamento.

Il Responsabile garantisce di adottare ogni misura ragionevole per assicurare l’affidabilità di ogni soggetto (designato /autorizzato al trattamento) che avrà accesso ai dati personali del Titolare in ragione di qualunque rapporto lavorativo o di collaborazione instaurato con il Responsabile.

Inoltre, garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e vigila costantemente sull’operato delle stesse.

Trasferimento dei dati personali in territorio extra-UE.

Il Responsabile assicura che nessun dato personale potrà essere trasferito all’esterno dell’Area Economica Europea (EEA), anche per il tramite di eventuali Sub-responsabili, senza la preventiva e documentata autorizzazione scritta del Titolare. Qualora tale autorizzazione fosse concessa, l’attività di trasferimento dei dati personali oggetto del trattamento dovrà essere comunque disciplinata da uno specifico accordo giuridico concluso tra i Responsabili contenente le “Clausole Contrattuali Standard europee”, ad integrazione di quanto definito dal presente documento.

Nel caso in cui il Responsabile si avvalga di un Sub-Responsabile anche le intese contrattuali intercorrenti tra dette parti dovranno essere conseguentemente integrate con la previsione delle “Clausole Contrattuali Standard europee”, in modo che i medesimi obblighi incombenti sul Responsabile siano previsti anche in capo al Sub-Responsabile che effettua il trasferimento di dati presso paesi extra EEA.

Diritti degli interessati.

Premesso che l’esercizio dei diritti previsti dagli artt 15-21 del GDPR sarà gestito direttamente dal Titolare, il Responsabile si rende disponibile a collaborare con il Titolare stesso fornendogli tutte le informazioni necessarie a soddisfare le eventuali richieste ricevute in tal senso.

Il Responsabile si impegna ad assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato.

In particolare, il Responsabile dovrà comunicare al Titolare, senza ritardo, le istanze eventualmente ricevute e avanzate dagli interessati in virtù dei diritti previsti dalla vigente normativa (es. diritto di accesso, diritto all’oblio, alla portabilità, rettifica, cancellazione ecc…), e a fornire le informazioni necessarie al fine di consentire al Titolare di evadere le stesse entro i termini stabiliti dalla normativa.

Registro dei trattamenti

Il Responsabile mantiene un registro (in forma scritta e/o anche in formato elettronico) di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, secondo quanto indicato dall’art. 30 comma2 del GDPR.

Il Responsabile garantisce, inoltre, di mettere a disposizione del Titolare e/o dell’Autorità di controllo che ne dovessero fare richiesta, il suddetto registro dei trattamenti.

Sicurezza dei dati personali

Il Responsabile è tenuto, ai sensi dell’art. 32 del GDPR, ad adottare, per quanto di propria competenza, le necessarie misure di sicurezza da concordare con il Titolare (eventualmente anche ulteriori rispetto a quelle nel seguito indicate) in modo tale da ridurre al minimo i rischi di distruzione accidentale o illegale, la perdita, la modifica, la divulgazione non autorizzata o

l’accesso non consentito ai dati personali trasmessi, conservati o comunque trattati, o il trattamento non conforme alle finalità della raccolta.

Il Responsabile si impegna, altresì, a:

• adottare misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio di cui il Titolare informerà il Responsabile, nel rispetto dei principi del GDPR;

• prevedere interventi, concordati con il Titolare, di aggiornamento di suddette misure anche al fine del loro adeguamento ad eventuali disposizioni legislative e/o regolamentari e/o a eventuali perfezionamenti tecnici che si rendano disponibili nel settore informatico;

• garantire che le persone autorizzate al trattamento dei dati si impegnino alla riservatezza e abbiamo ricevute idonee istruzioni sulle modalità del trattamento e sulle misure di sicurezza da attuare;

• adottare procedure idonee a testare, verificare e valutare nel tempo l’efficacia delle misure tecniche e organizzative atte a garantire la sicurezza del trattamento.

Inoltre, il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo dall’avvenuta conoscenza, ogni violazione dei dati personali (data breach) fornendo, altresì:

• la descrizione della natura della violazione e l’indicazione delle categorie dei dati personali e il numero approssimativo di interessati coinvolti;

• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

• la descrizione delle probabili conseguenze;

• la descrizione delle misure adottate o di cui dispone per porre rimedio alla violazione o, quantomeno, per attenuarne i possibili effetti negativi.

Fermo quanto sopra previsto, il Responsabile si impegna a prestare ogni più ampia assistenza al

Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 32 - 34 del GDPR.

Valutazione di impatto e consultazione preventiva.

Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai Sub-Responsabili.

Attività di audit

Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di sicurezza descritti nel presente documento e, in generale, il rispetto delle obbligazioni assunte in forza del presente atto e del GDPR, consentendo e contribuendo alle attività di audit, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da esso incaricato purchè non si tratti di società che svolgano una attività in concorrenza con il Responsabile. I suddetti impegni di collaborazione e l’attività di audit descritta nel presente paragrafo potrà essere esercitata dal Titolare anche nei confronti degli eventuali Sub- Responsabili.

Qualora il Titolare rilevasse comportamenti difformi a quanto prescritto dalla normativa in materia nonché dalle disposizioni contenute nei provvedimenti del Garante per la protezione dei dati personali, provvederà a darne comunicazione al Responsabile e, per il tramite di questo, ai suoi Sub–Responsabili, senza che ciò possa far venire meno l’autonomia dell’attività di impresa dei soggetti controllati ovvero possa essere qualificato come ingerenza nella loro attività.

Ulteriori istruzioni

Il Responsabile comunica sollecitamente al Titolare qualsiasi modificazione di assetto organizzativo o di struttura proprietaria che dovesse intervenire successivamente all’affidamento dell’incarico, affinché il Titolare possa accertare l’eventuale sopravvenuta mancanza dei requisiti previsti dalla vigente normativa o il venir meno delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per il corretto trattamento dei dati oggetto della presente nomina.

Il Responsabile informa prontamente il Titolare delle eventuali carenze, situazioni anomale o di emergenza rilevate nell’ambito del servizio erogato - in particolare ove ciò possa riguardare il trattamento dei dati personali e le misure di sicurezza adottate dal Responsabile- e di ogni altro episodio o fatto rilevante rispetto al trattamento dei dati effettuato come Responsabile rispetto al Titolare che intervenga e che riguardi comunque l'applicazione del GDPR (ad es. richieste del Garante, esito delle ispezioni svolte dalle Autorità, ecc.) o della normativa nazionale ancorché applicabile.

Luogo e data Il Titolare del trattamento

Il Sindaco

Firma per accettazione

Il responsabile del trattamento