ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI
ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI
Ex art. 28 del Regolamento (UE) 2016/679 tra
Unione delle Terre d’Argine, con sede legale a Carpi (MO) Xxxxx Xxxxxxx Xxx n. 91, C.F. e P.IVA 03069890360 (di seguito anche “Titolare del trattamento” o “Titolare” o “Ente”), rappresentato ai fini del presente accordo Dott.ssa Xxxx Xxxxx in qualità di Dirigente ad interim del Settore SIA nonché soggetto designato a specifici compiti e funzioni in materia di protezione dei dati personali del Settore SIA,
e
Società Cooperativa Sociale Anziani e non solo, con sede legale a Xxxxx (Xx), Xxx Xxxxx x. 00, C.F. e P.IVA 04699521219 (di seguito anche “Responsabile del trattamento” o “Responsabile”), rappresentata ai fini del presente accordo da [indicare nome e cognome del rappresentante del soggetto terzo che sottoscrive l’accordo], in qualità di [indicare, ad esempio, se rappresentante legale, Dirigente, ecc ecc…],
di seguito indicate congiuntamente come le “Parti”
Premesso che:
- [inserire, anche scomponendo in più punti, i riferimenti da cui trae origine il rapporto contrattuale/convenzionale/accordo in virtù dei quali il soggetto terzo deve trattare dati personali per conto dell’Ente, come ad esempio la determina di aggiudicazione, il relativo contratto, l’accordo, la convenzione];
- il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (Regolamento Generale sulla Protezione dei Dati), consente a qualsiasi Titolare del trattamento dei dati personali di ricorrere ad uno o più Responsabili che trattano dati per conto del Titolare stesso, a condizione che tali soggetti presentino garanzie sufficienti a mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'interessato;
si conviene e si stipula quanto di seguito riportato: Art. 1
Valore delle premesse
Le premesse formano parte integrante e sostanziale del presente Accordo.
Art. 2 Oggetto
Oggetto del presente Accordo è definire le modalità attraverso le quali il Responsabile si impegna ad effettuare, per conto del Titolare, le operazioni di trattamento dei dati personali svolte nel contesto dell’erogazione del Servizio oggetto del contratto in essere tra le parti e per effetto dell’adempimento del contratto in essere tra le Parti.
Nel quadro della disciplina dettata dal citato contratto, le Parti sottoscrivono il presente Accordo al fine di garantirsi reciprocamente il rispetto del Regolamento (UE) 2016/679 e delle leggi applicabili sulla protezione dei dati personali vigenti, stabilendo le tutele e le procedure necessarie affinché il trattamento avvenga nel rispetto delle suddette norme.
Il Titolare del trattamento ha preso atto che il Responsabile presenta garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento e garantisca la tutela dei diritti dell'Interessato.
Il Responsabile garantisce che la propria struttura ed organizzazione sono conformi alle normative vigenti necessarie ai fini dell’erogazione del presente Servizio e si impegna ad adeguarle e a mantenerle adeguate, garantendo il pieno rispetto, per sé e per i propri collaboratori e dipendenti, delle presenti istruzioni nonché di tutte le norme di legge vigenti in materia di trattamento di dati personali.
Art. 3 Definizioni
• “Accordo”: questo scritto;
• “Autorità di vigilanza”: qualsiasi autorità, incluso il Garante della protezione dei dati personali, che abbia il potere di monitorare e far rispettare l’osservanza del Regolamento e delle leggi applicabili sulla protezione dei dati personali;
• “dati personali”: ai fini del presente Accordo, i dati personali sono i dati relativi ad interessati, trattati ai fini del Servizio erogato dal Responsabile del trattamento al Titolare e hanno il significato stabilito nel Regolamento, comprendendo, solo nei limiti in cui sono trattati dal Responsabile, anche le categorie di dati di cui agli artt. 9 e 10 del Regolamento;
• “diritti degli interessati”: i diritti cui sono destinatari gli interessati ai sensi del Regolamento. A titolo esemplificativo e non esaustivo i diritti degli interessati includono il diritto di richiedere l'accesso, la rettifica o la cancellazione dei dati personali, di richiedere la limitazione del trattamento in relazione all'oggetto dei dati o di opporsi al trattamento, nonché il diritto alla portabilità dei dati;
• “interessato”: (sia in forma singolare sia plurale) persona fisica identificata o identificabile alla quale si riferiscono i dati personali. Ai fini del presente Accordo, l’interessato ha il significato stabilito nel Regolamento;
• “Provvedimento”: “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre 2008, come modificato in base al provvedimento del 25 giugno 2009, con il quale il Garante per la protezione dei dati personali ha dettato misure ed accorgimenti per i titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema.
• “Regolamento”: Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali e sulla libera circolazione di tali dati;
• “Responsabile” o “Responsabile del trattamento”: in generale, una persona fisica o giuridica, autorità pubblica, agenzia o altro ente che tratta i dati personali per conto del Titolare;
• “Responsabile della protezione dei dati”: soggetto designato rispettivamente dal Titolare e/o dal Responsabile in conformità agli art. 37 e ss. del Regolamento;
• “Servizio”: il Servizio erogato dal Responsabile nei confronti del Titolare, come definito nel contratto in essere;
• Soggetto designato a specifici compiti e funzioni: il soggetto attuatore degli adempimenti previsti dalla normativa vigente in materia di trattamento dei dati personali, al quale il Titolare del trattamento ha conferito, mediante atto di designazione espressa, specifici compiti e funzioni connessi al trattamento di dati relativamente ai Settori/Servizi di rispettiva competenza, fornendo le relative istruzioni utili ai fini della corretta attuazione dei compiti e delle funzioni conferite;
• “Sub-Responsabile del trattamento”: (sia in forma singolare sia plurale) ogni ulteriore Responsabile del trattamento che venga eventualmente nominato dal Responsabile Principale sulla base dell’autorizzazione, specifica o generale, del Titolare e che si impegna a trattare i dati personali del Titolare, in adempimento degli obblighi del Responsabile Principale ai sensi del presente Accordo;
• “Titolare del trattamento” o “Titolare”: in generale, la persona fisica o giuridica, l'autorità pubblica, l'agenzia o altro organismo che, da solo o in collaborazione con altri, determina le finalità e i mezzi del trattamento dei dati personali;
• “Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
• “Violazione dei Dati Personali”: violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, perdita, modifica, divulgazione non autorizzata o l’accesso non autorizzato a Dati Personali trasmessi, conservati o comunque trattati.
Art. 4
Categorie di dati personali e soggetti interessati oggetto del trattamento da parte del Responsabile
Le categorie di dati personali e i soggetti interessati del trattamento dei dati personali del Titolare da parte del Responsabile nel contesto dell’erogazione del Servizio sono descritti nell'Allegato 1 al presente Accordo.
Art. 5
Obblighi del Responsabile
Il Responsabile si impegna a procedere al trattamento dei dati personali nel rispetto del Regolamento e delle leggi applicabili sulla protezione dei dati che, con la sottoscrizione del presente atto, dichiara di conoscere. In particolare s’impegna a:
- trattare i dati personali del Titolare solo se necessario ai fini dell’erogazione del Servizio oggetto del contratto in essere tra le Parti e nel rispetto delle istruzioni scritte del Titolare. Le istruzioni sono descritte nel presente Accordo nonchè nell’Allegato 3, parte integrante e sostanziale dell’Accordo stesso;
- adottare le misure opportune e necessarie per garantire il rispetto delle modalità di raccolta e dei requisiti dei dati personali previste dall’art. 5 del Regolamento, attenendosi alle eventuali indicazioni fornite dal Titolare;
- informare il Titolare nel caso in cui ritenga che specifiche istruzioni siano in violazione di leggi applicabili in materia di protezione dei dati;
- notificare al Titolare senza ritardo qualsiasi contatto, comunicazione o corrispondenza che potrebbe ricevere da un'Autorità di vigilanza, in relazione al trattamento dei dati personali degli interessati;
- nel caso in cui il Responsabile, nelle operazioni di trattamento, si avvalga di soggetti coinvolti nell’erogazione del Servizio, assicurerà che tali soggetti:
• siano stati debitamente designati per iscritto e abbiamo ricevuto le istruzioni previste per legge e impartite in conformità con gli obblighi che lo stesso ha assunto per effetto del presente Accordo;
• s’impegnino formalmente alla riservatezza o siano soggetti ad un obbligo legale di riservatezza vietando anche la divulgazione di informazioni, dati riservati senza autorizzazione del Titolare;
• accedano con credenziali nominative e strettamente riservate solo ed esclusivamente ai dati necessari per l’erogazione del Servizio, sollevando il Titolare del trattamento da qualsiasi responsabilità per il loro operato;
• ricevano la formazione necessaria in materia di protezione dei dati personali;
- ove applicabile relativamente al Servizio erogato, procedere alla nomina di uno o più amministratori di sistema, individuati tenendo conto della loro esperienza professionale, in particolare con riferimento alle capacità ed affidabilità dimostrate nello svolgimento delle proprie mansioni, nelle forme e con le modalità indicate dall’Autorità di vigilanza ed eventualmente dal Titolare del trattamento, fornendo loro specifiche istruzioni e indicando espressamente i compiti attribuiti. Il Responsabile s’impegna a fornire al Titolare un elenco contenente i nominativi degli amministratori di sistema nominati e i rispettivi compiti attribuiti, provvedendo ad aggiornare l’elenco ogni qualvolta necessario (i.e. arrivo/cambio di mansione/cessazione). La nomina ad amministratore dovrà contenere almeno le seguenti istruzioni:
• rispettare le istruzioni impartite dal Titolare;
• considerare i dati personali dei quali avrà conoscenza, nel corso dello svolgimento delle attività connesse all’incarico ricevuto, di titolarità del Titolare; pertanto di tali dati non potrà esserne detenuta una copia se non espressamente autorizzati dal Titolare;
• attenersi allo specifico e rigoroso divieto di comunicazione non autorizzata e di diffusione a qualunque titolo delle credenziali di accesso e dei dati personali eventualmente conosciuti;
• collaborare con il Titolare mantenendolo informato della gestione e di eventuali anomalie che potrebbero compromettere la sicurezza dei dati;
• informare il Titolare del trattamento in caso di mancato rispetto delle norme di sicurezza e in caso di eventuali incidenti;
- svolgere i controlli sull’operato degli amministratori di sistema designati, nonché sugli accessi logici ai sistemi di elaborazione e agli archivi elettronici effettuati dagli stessi amministratori di sistema, in conformità alle previsioni del Provvedimento comunicando il risultato di tali controlli al Titolare;
- qualora il Servizio oggetto dell’Accordo preveda l’accesso ai sistemi del Titolare, deve comunicare tempestivamente ogni variazione, assunzione/cambio di mansione/cessazione del personale per permettere al Titolare di attivare / modificare / cancellare i profili di accesso e di autorizzazione;
- vigilare affinché le persone autorizzate al trattamento e gli amministratori di sistema che operano sotto la propria direzione e/o autorità rispettino le istruzioni impartite e le misure tecniche e organizzative predisposte, segnalando al Titolare il mancato rispetto di dette istruzioni che potrebbero causare vulnerabilità ai dati trattati per conto di quest’ultimo;
- qualora previsto dalla tipologia di trattamento, prestare particolare attenzione al trattamento dei dati personali rientranti nelle categorie particolari o relativi a reati e condanne penali degli interessati conosciuti, anche incidentalmente, nel corso dell’erogazione del Servizio, procedendo alla loro raccolta e archiviazione solo ove ciò si renda necessario per lo svolgimento delle attività di competenza e istruendo in tal senso le persone autorizzate che operano all’interno della propria struttura;
- collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;
- vigilare affinché i dati personali degli interessati vengano comunicati solo a quei terzi necessari per lo svolgimento del Servizio e i dati personali non siano diffusi, salvo espressa autorizzazione del Titolare;
- dare immediato avviso al Titolare in caso di nuovi trattamenti e/o della cessazione di quelli concordati. Il Responsabile non deve creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione del Servizio;
- conservare la documentazione cartacea contenente dati personali nell’ufficio di destinazione originaria, avendo cura di non lasciarla esposta e/o facilmente accessibile, al fine di evitare accessi non autorizzati ai dati;
- utilizzare esclusivamente mezzi del trattamento dei dati personali adeguati alle normative vigenti, ivi compresi i provvedimenti delle competenti autorità, e volti ad attuare in modo efficace i principi di protezione dei dati di cui alla normativa applicabile, ivi inclusi i principi della “privacy by design” e “privacy by default” e di integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti previsti dalla normativa applicabile e tutelare i diritti degli interessati;
- tenendo conto della natura del trattamento, assistere il Titolare nella realizzazione di analisi d’impatto relative alla protezione dei dati e nella consultazione preventiva all’Autorità di Xxxxxxxxx, conformemente agli artt. 35 e 36 del Regolamento;
- rispettare, in generale, tutte le disposizioni vigenti in materia di trattamento di dati personali, attuando gli eventuali provvedimenti giurisdizionali e/o amministrativi adottati dalla Autorità di vigilanza e ogni altra autorità all’uopo preposta;
- comunicare al Titolare del trattamento il nome ed i dati del proprio Responsabile della protezione dei dati, qualora ne abbia designato uno conformemente agli artt. 37 e ss. del Regolamento;
- tenere per iscritto un registro di tutte le categorie di attività di trattamento effettuate per conto del Titolare del trattamento ai sensi dell’art. 30 par. 2 del Regolamento;
- garantire che i server, gli storage, le infrastrutture contenenti dati del Titolare e necessari per la loro gestione siano ubicati nel territorio Italiano o Europeo. Il Responsabile è obbligato ad avvisare il Titolare qualora tale condizione subisse modifiche. Se il Responsabile del trattamento, per l’erogazione del Servizio oggetto dell’Accordo, fosse tenuto a procedere ad un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per motivi importanti di interesse pubblico;
- rispettare le istruzioni scritte del Titolare in materia di trattamento di dati personali e, su richiesta del Titolare, è tenuto a dimostrare la conformità a tali obblighi.
Art. 6
Obblighi del Titolare
Il Titolare del trattamento s’impegna a:
- garantire che i dati conferiti al Responsabile siano esatti e aggiornati;
- garantire che i trattamenti effettuati dal Responsabile per lo svolgimento del Servizio siano fondati su una delle condizioni di liceità del trattamento e, in generale, rispettino le condizioni previste dalla normativa vigente in materia di protezione dei dati personali;
- fornire e documentare le istruzioni relative al trattamento dei dati da parte del Responsabile, per garantire, prima e durante tutto il trattamento il rispetto degli obblighi previsti dal Regolamento;
- comunicare al Responsabile ogni eventuale modifica e rettifica dei dati personali, nonché qualsiasi richiesta da parte di un interessato riguardante la cancellazione e/o la rettifica dei dati personali o la limitazione o opposizione al trattamento;
- fornire al Responsabile, su sua richiesta, le necessarie informazioni aggiornate per consentirgli la tenuta del registro delle attività di trattamento ai sensi dell’art. 30 del Regolamento.
-
Art. 7 Diritti del Titolare
Il Titolare del trattamento ha il diritto di:
- vigilare sull’operato del Responsabile;
- proporre eventuali modifiche e aggiornamenti al presente accordo, ivi incluse le istruzioni nello stesso descritte;
- richiedere al Responsabile contezza scritta della conformità al presente Accordo ed alle istruzioni scritte del Titolare;
- chiedere la cessazione e/o la sospensione del trattamento qualora il Servizio erogato, a seguito di verifiche successive, non dovesse essere conforme ai requisiti del Regolamento, oppure imposta dalla necessità di adempiere a divieti o obblighi derivanti dalla normativa sul trattamento dei dati personali o dalla normativa applicabile, e/o a provvedimenti dell’Autorità di Vigilanza o dall'Autorità Giudiziaria.
Art. 8
Autorizzazione alla designazione di Sub-Responsabili
Il Titolare riconosce e accetta che, per il solo scopo di erogare il Servizio oggetto del contratto in essere tra le Parti e nel rispetto dei termini di cui al presente Accordo e del Regolamento, il Responsabile del trattamento possa ricorrere ad altri Responsabili del trattamento (di seguito, “Sub-Responsabili”), nel caso in cui lo stesso, per il trattamento dei dati oggetto del Servizio, si avvalga di persone fisiche o giuridiche alle quali abbia eventualmente conferito il compito di svolgere attività e/o prestazioni riconducibili al Servizio stesso.
Pertanto, il Titolare del trattamento fornisce al Responsabile un'autorizzazione generale a ricorrere a Sub- Responsabili, a condizione che il Responsabile:
- informi il Titolare in merito alla scelta, aggiunta, cambiamento o sostituzione di qualsiasi Sub- Responsabile e riconosca al Titolare l’opportunità di valutarla, e se del caso opporvisi. Al fine di esercitare il proprio diritto ad opporsi al ricorso da parte del Responsabile a nuovi Sub-responsabili, il Titolare entro e non oltre quindici (15) giorni lavorativi informerà il Responsabile per iscritto della propria opposizione ad uno o più dei nuovi Sub-Responsabili spiegandone le ragioni. In tal caso, il Responsabile farà quanto in suo ragionevole potere per eventualmente rendere disponibile una diversa modalità di erogazione dei servizi oggetto del contratto in essere tra le Parti ai quali la nuova nomina a Sub-Responsabile afferisca;
- scelga diligentemente il Sub-responsabile, prestando particolare attenzione all'adeguatezza delle misure tecniche e organizzative adottate da quest’ultimo. Il Responsabile è tenuto a stipulare un accordo scritto con qualsiasi eventuale Sub-responsabile il quale deve prevedere nei confronti del Sub-responsabile gli stessi obblighi previsti dal presente Accordo a carico del Responsabile, nella misura applicabile ai servizi erogati dal Sub- responsabile in favore del Responsabile, descrivere gli stessi, nonché le misure tecniche e organizzative che il Sub- responsabile è tenuto ad implementare e le modalità di audit da parte del Responsabile del trattamento, del Titolare del trattamento o di soggetti terzi, laddove applicabili ai medesimi servizi. Il Responsabile, se richiesto, trasmetterà al Titolare copia del contratto stipulato tra il Responsabile e il Sub-responsabile, omettendo dal medesimo qualsiasi informazione riservata che attenga esclusivamente il rapporto economico tra il Responsabile o il Sub-Responsabile o altri aspetti del rapporto rispetto al quale il Titolare è estraneo;
- verificare che i soggetti nominati Sub-responsabili rispettino e facciano rispettare le istruzioni, gli obblighi e le misure tecniche di sicurezza necessarie in relazione alle specifiche attività di trattamento poste in essere. Su richiesta scritta del Titolare, il Responsabile metterà a disposizione le informazioni necessarie per dimostrare il rispetto degli obblighi in capo a ciascun Sub Responsabile;
- mantenga e notifichi al Titolare un elenco dei Sub-Responsabili designati e qualsiasi aggiornamento dello stesso;
- informi il Titolare del trattamento qualora il Sub-responsabile dovesse trasferire i dati in paesi Extra-UE. Solo previa autorizzazione del Titolare il Sub-responsabile potrà procedere a tale trasferimento.
Il Responsabile fornisce nell’Allegato 2 l’elenco dei Sub Responsabili già individuati alla data di sottoscrizione del presente accordo.
Spetta al Responsabile assicurare che ogni Sub-Responsabile presenti le stesse garanzie sufficienti alla messa in opera di misure tecniche ed organizzative appropriate, in modo che il trattamento risponda alle esigenze del Regolamento.
Il Responsabile che ricorre a Sub-Responsabili conserva nei confronti del Titolare l’intera responsabilità dell’adempimento degli obblighi dei Sub-Responsabili qualora questi omettano di adempiere ai propri obblighi in materia di protezione dei dati personali.
Art. 9
Diritti degli interessati
Tenuto conto della natura del trattamento, il Responsabile s’impegna ad assistere il Titolare consentendogli di adempiere agli obblighi che quest’ultimo ha di dar seguito alle richieste degli Interessati nell’esercizio dei diritti loro riconosciuti dal Regolamento, supportandolo, nella misura in cui ciò sia possibile, mediante misure tecniche e organizzative adeguate.
Qualora gli interessati esercitino i diritti loro riconosciuti dal Regolamento presso il Responsabile del trattamento presentandogli la relativa richiesta, questi deve avvisare senza ritardo il Titolare inoltrando le istanze tramite i canali di contatto concordati con il Titolare (e-mail xxxxxxx@xxxxxxxxxxxx.xx).
Art. 10 Violazione di dati personali
Il Responsabile adotta soluzioni atte a rilevare eventuali violazioni dei dati personali. Al verificarsi di tali violazioni, s’impegna a comunicarle al Titolare tempestivamente e in nessun caso non oltre le 24 ore dal momento in cui ne è venuto a conoscenza scrivendo all’indirizzo mail xxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxx.xx. Il Responsabile è consapevole che una violazione non è limitata ai soli accadimenti derivanti dall’esterno, ma include anche incidenti derivanti dal trattamento interno che violano i principi di sicurezza e riservatezza come definito all’art. 4 punto 12 del Regolamento. Il Responsabile ha l’obbligo della comunicazione della violazione al Titolare anche se le violazioni sono subite dall’eventuale Sub-responsabile.
La comunicazione dovrà essere accompagnata da ogni informazione e documentazione utile a permettere al Titolare del trattamento di procedere, se necessario, alla notifica all’Autorità di vigilanza competente ed eventualmente agli interessati, ai sensi degli art. 33 e ss. del Regolamento.
La comunicazione dovrà contenere almeno le seguenti informazioni:
a) il tipo, data, ora della violazione;
b) la natura, la sensibilità e il volume dei dati personali interessati;
c) la facilità di identificazione dei soggetti interessati dalla violazione;
d) l'elenco dei soggetti interessati dalla violazione di sicurezza (se disponibili), incluse le informazioni di contatto;
e) le categorie e il numero approssimativo di interessati nonché le categorie e il numero approssimativo di record di dati personali interessati;
f) la descrizione delle probabili conseguenze, per il Titolare, della violazione dei dati personali subita dal Responsabile e/o dai Sub-responsabili, fermo restano che la valutazione finale spetta al Titolare;
g) descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio e mitigarne gli effetti al fine di ridurre al minimo i danni.
Nel caso in cui le suddette informazioni non fossero disponibili entro le 24 ore, il Responsabile comunicherà al Titolare le informazioni necessarie per permettere a quest’ultimo di procedere, se necessario, alla notifica preventiva all’Autorità.
Il Responsabile in caso di violazione della sicurezza, deve fornire ragionevole assistenza al Titolare nell’adempimento dell’obbligo di quest’ultimo di informare l’Autorità di vigilanza e gli interessati, laddove necessario, fornendo le informazioni a sua disposizione e tenendo conto della natura del trattamento.
Il Responsabile che viene a conoscenza di una violazione dei dati personali dovrà adottare le appropriate misure di salvaguardia atte a contenerla e a mitigarne gli effetti.
Art. 11 Misure di sicurezza
Il Responsabile dichiara che il Servizio erogato è conforme ai requisiti del Regolamento e s’impegna ad adottare adeguate misure tecniche e organizzative ai sensi dell'articolo 32 del Regolamento, nonché ogni altra misura indicata dal Titolare, o comunque eventualmente indicata come adeguata dall’Autorità di vigilanza con propria circolare, risoluzione o qualsivoglia altro provvedimento eventualmente diversamente denominato, al fine di proteggere i dati personali. A titolo esemplificativo e non esaustivo il Titolare fornisce nell’Allegato 3 un elenco delle misure che il Responsabile deve avere adottato. Il Responsabile, inoltre, s’impegna ad adottare anche quanto previsto dal Provvedimento “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” del 27 novembre 2008, così come modificato in base al provvedimento del 25 giugno 2009, e di svolgere i controlli sull’operato degli amministratori di sistema, nonché sugli accessi logici ai sistemi di elaborazione ed agli archivi elettronici effettuati da quest’ultimi, in conformità alle previsioni del Provvedimento comunicando il risultato di tali controlli al Titolare.
le misure di sicurezza implementate alla luce della tipologia dei dati personali e dei trattamenti che sono necessari per l’erogazione del Servizio nonché tenendo conto dello sviluppo delle prassi e della normativa in tema di misure di sicurezza.
Art. 12 Audit e verifiche
Il Responsabile s’impegna a mettere a disposizione del Titolare la documentazione e le informazioni necessarie per dimostrare il rispetto degli obblighi del presente Accordo, consentendo e contribuendo alle attività di revisione - comprese verifiche e ispezioni - realizzate dal Titolare o da un altro soggetto da questi incaricato.
Il Responsabile riconosce a accetta che il Titolare, in qualsiasi momento con un preavviso di almeno 15 giorni lavorativi, potrà chiedere al Responsabile la collaborazione per lo svolgimento, all’interno della struttura del Responsabile, di operazioni di verifica dell’esatto adempimento di quanto pattuito. L’attività di verifica potrà concretizzarsi sia attraverso attività di audit ed ispezione effettuate dal Titolare, direttamente o attraverso personale da questo incaricato, presso la sede del Responsabile del trattamento, sia attraverso la richiesta allo stesso di espletare attività di autovalutazione rispetto alle misure di sicurezza adottate ed all’osservanza delle misure impartite fornendone, a richiesta, documentazione per iscritto. In ogni caso il Titolare s’impegna affinché l’attività di verifica eventualmente svolta presso la sede del Responsabile del trattamento si svolga nel più breve tempo possibile – negli orari di ufficio e in giorni lavorativi – in modalità tale da non arrecare disturbo al regolare svolgimento dell’attività del Responsabile.
Il Responsabile, laddove proceda alla designazione di Sub-responsabili, si impegna a svolgere, in nome e per conto del Titolare, le attività di controllo di cui al capoverso precedente nei confronti di tali ultimi Sub-responsabili e, comunque, si obbliga ad impegnare questi ultimi a consentire i controlli del Titolare.
Art. 13 Responsabilità
Qualora dall’inottemperanza degli obblighi previsti dal presente Accordo o dal Regolamento in capo al Responsabile dovesse derivare al Titolare l’applicazione di una sanzione, ivi inclusa una sanzione amministrativa pecuniaria, o qualsivoglia pregiudizio, costo o spesa, il Responsabile sarà ritenuto direttamente responsabile nei confronti del Titolare, obbligandosi sin da ora a manlevare e tenere indenne il Titolare.
Il Responsabile si impegna a manlevare e tenere indenne il Titolare da ogni eventuale danno, spesa, costo o onere derivanti da una violazione dei dati personali subita dal Responsabile o da qualsivoglia Sub-responsabile.
Art. 14
Modifiche della normativa vigente in materia di protezione dei dati personali
Nel caso in cui intervengano modifiche alla normativa vigente in materia di protezione dei dati personali in grado di incidere sulla responsabilità e gli obblighi imposti dal presente Accordo, le Parti potranno proporre le modifiche ritenute necessarie affinché sia garantito il rispetto delle nuove previsioni normative in materia di protezione dei dati personali successivamente intervenute.
Ove l’Accordo sia modificato, il Responsabile del trattamento s’impegna affinché variazioni equivalenti siano apportate, senza ritardo, negli accordi posti in essere con i Sub-Responsabili.
Nel caso in cui il Responsabile non accetti le modifiche dovrà fornire idonea motivazione, e il Titolare e il Responsabile si impegnano a discutere e negoziare in buona fede le possibili modifiche al presente Accordo necessarie al rispetto della normativa vigente in materia di protezione dei dati personali.
Art. 15
Restituzione e cancellazione dei dati
Alla cessazione dell’erogazione del Servizio il Responsabile del trattamento, senza alcun costo per il Titolare e senza indebito ritardo, è tenuto a cancellare o, a scelta del Titolare, a restituirgli tutti i dati personali, qualora conservati sui sistemi del Responsabile. In caso di cancellazione il Responsabile dovrà adottare sistemi che permettano una cancellazione sicura di tutte le copie esistenti, ivi incluso i back up, entro 60 giorni, certificando e documentando per iscritto l’esecuzione di tali adempimenti, salvo che obblighi di legge impediscano tale
cancellazione. All’atto della restituzione e/o cancellazione dei dati il Responsabile dovrà fare rispettare le stesse Istruzioni anche al/ai Sub-Responsabile/i (qualora designato/i).
Art. 16 Validità e cessazione
Il presente Accordo è da ritenersi valido per tutta la durata dell’erogazione del Servizio da parte del Responsabile, così come stabilite nel contratto in essere tra le Parti e delle operazioni di trattamento ad esso connesse.
Art. 17
Informativa ex art. 13 del Regolamento Europeo 2016/679
Ai sensi dell’art. 13 del Regolamento Europeo 2016/679 il Titolare tratta di dati del Responsabile per adempiere alle normali operazioni necessarie per adempimenti di obblighi contrattuali e di legge nelle modalità descritte nell’informativa. I dati saranno comunicati ai soggetti esterni necessari per l’erogazione dei servizi. I dati saranno conservati in stati appartenenti all’Unione Europea. In qualunque momento il Responsabile potrà esercitare i diritti deli interessati di cui artt. 15 e seguenti del Regolamento e richiedere l’informativa completa scrivendo a xxxxxxx@xxxxxxxxxxxx.xx dell’Ente oppure contattando il Titolare ai recapiti dell’Ente. Il Responsabile della protezione dei dati personali designato dal Titolare ai sensi dell’art. 37 del GDPR è disponibile scrivendo a xxxxxxxxxxxxxxxxxxxxxxxxxx@xxxxxxxxxxxx.xx oppure nella sezione privacy del sito dell’Ente
Per l’Unione delle Terre d’Argine Il Dirigente
Dott.ssa Xxxx Xxxxx
Per il Responsabile, per integrale accettazione dell’Accordo:
[indicare riferimenti soggetto sottoscrittore]
Allegato 1: dettagli sui trattamenti effettuati dal Responsabile
Il presente Allegato include alcuni dettagli sul trattamento dei dati personali che il Responsabile è autorizzato ad effettuare per conto del Titolare, come richiesto dall'articolo 28, par. 3, del Regolamento.
CATEGORIE DI DATI PERSONALI
I dati personali oggetto di trattamento si riferiscono alle seguenti categorie di dati: X abitudini di vita e di consumo
□ attività economiche e/o commerciali, finanziarie e/o assicurative
□ attività economiche, commerciali, finanziarie e assicurative
□ beni, proprietà, possessi
X codice fiscale ed altri numeri di identificazione personale X dati relativi al tipo di lavoro ed alla retribuzione
X dati relativi alla famiglia e a situazioni personali
□ dati sul comportamento
□ istruzione e cultura
□ lavoro
□ nominativo, indirizzo o altri elementi di identificazione personale
□ ruolo lavorativo
X dati relativi al Medico di Medicina Generale
CATEGORIE PARTICOLARI DI DATI PERSONALI (OVE PRESENTI)
I dati personali oggetto di trattamento si riferiscono alle seguenti categorie particolari di dati personali:
□ convinzioni religiose
□ dati particolari come definito dall’art. 9 del Regolamento Europeo
□ dati particolari comunicati spontaneamente dal potenziale candidato
□ dati particolari relativi ai familiari dell’interessato
□ origini razziali o etniche X stato di salute e/o malattie
CATEGORIE REATI E CONDANNE PENALI (OVE PRESENTI)
I dati personali oggetto di trattamento si riferiscono alle seguenti categorie di dati personali relativi a condanne a reati e condanne penali:
□ dati relativi a reati e condanne penali come definito dall’art. 10 del Regolamento Europeo
□ informazioni concernenti i provvedimenti giudiziari
□ informazioni concernenti la qualità di imputato od indagato ai sensi degli articoli 60 e 61 del codice di procedura penale
INTERESSATI
I dati personali oggetto di trattamento riguardano le seguenti categorie di interessati:
□ candidati da considerare per l'instaurazione di un rapporto di lavoro
□ servizi del settore finanze, bilancio e Controllo di gestione
□ servizi dell’ufficio ambiente
□ servizi erogati dall'URP
□ servizi sociali
□ patrimonio immobiliare
□ Servizio di biblioteca
□ Servizio sport
□ settore Cultura
□ anagrafe degli animali da affezione (A.R.A.A.)
□ attività dei lavori pubblici
□ attività del patrimonio immobiliare, artistico e storico
□ attività dei tributi
□ attività del commercio
□ attività delle onoranze funebri
□ attività della polizia municipale
□ attività dell'urbanistica
□ attività di comunicazione
□ attività gabinetto del Sindaco
□ attività culturali e/o sportive
□ sportello unico edilizia
□ lavoratori in somministrazione
□ personale dipendente e personale parasubordinato
☐ servizi demografici
☐ stagisti e/o tirocinanti
☐ SUAP
X soggetti interessati al progetto “Fragili” relativo al monitoraggio dei soggetti residenti nel territorio dell’Unione delle Terre d’Argine che versino in condizioni di fragilità e/o non autosufficienza, nonché alla gestione delle emergenze di protezione civile.
Il Responsabile potrà accedere ai trattamenti contenuti nei seguenti sistemi del Titolare Elenco dei server
Allegato 2
(da compilare da parte del Responsabile)
Elenco dei Sub Responsabili già individuati alla data della stipula dell’accordo
Cognome Nome /Ragione Sociale | Partita Iva | Tipologia di Servizio erogato | Stato di conservazione dei dati |
Allegato 3: Istruzioni aggiuntive Istruzioni integrative per il trattamento dei dati del Titolare
Descrizione delle misure tecniche e organizzative di sicurezza che il Responsabile deve adottare per l’utilizzo dei dati del Titolare ivi incluso quanto indicato nei seguenti documenti:
- “Misure minime di sicurezza ICT per le pubbliche amministrazioni” stabilite da AGID con la circolare del 18 aprile 2017, n. 2/2017 pubblicata sulla Gazzetta Ufficiale. L’elenco delle misure è descritto all’indirizzo: xxxxx://xxx.xxxx.xxx.xx/xx/xxxxxxxxx/xxxxxx-xxxxxx-xxxxxxxxx-xxx
AREE DI SICUREZZA MISURE DI SICUREZZA PER LA PROTEZIONE DEI DATI PERSONALI NETWORK E SISTEMI DI SICUREZZA
Il Responsabile deve configurare il firewall e router al fine di limitare il traffico, in entrata e in uscita, da reti "non attendibili" (inclusi wireless). Deve altresì essere negato tutto il resto del traffico ad eccezione dei protocolli necessari all’ambiente che tratta dati personali anche del Responsabile oppure utilizzare firewall evoluti che permettono di predire il traffico e di gestirlo tramite sistemi di intelligenza artificiale. I firewall devono essere configurati al fine di proteggere, verificare e convalidare il traffico che è diretto ai sistemi. Qualsiasi Servizio o traffico non autorizzato deve essere bloccato.
Il Responsabile conserva i dati solo qualora necessario per l’erogazione del Servizio.
SICUREZZA DEI DATI
Il Responsabile deve:
- limitare il periodo di conservazione dei dati personali nella misura necessaria per ogni singola attività di trattamento, nel rispetto degli obblighi legali e/o regolamentari vigenti. Al personale del Responsabile non è consentito archiviare dati su supporti digitali portatili, salvo che questi ultimi presentino le adeguate misure di sicurezza ivi incluso la cifratura, una copia dei dati personali risiedono anche sui sistemi di archiviazione del Responsabile e siano stati autorizzati dal Titolare;
- crittografare (cryptography in transit) tutti i dati personali che transitano all’interno della rete del Responsabile e verso il Titolare attraverso i protocolli standard la cui sicurezza è assicurata;
- prevedere l’utilizzo di sistemi di monitoraggio sul perimetro della propria rete che analizzino il traffico aziendale al fine di controllare il flusso dei dati dall’interno verso l’esterno e dall’esterno verso l’esterno;
- proteggere adeguatamente i supporti dove sono fisicamente contenuti i dati del Titolare mediante l’adozione di misure logiche e fisiche come la chiusura a chiave e il registro degli accessi fisici al luogo di conservazione del supporto.
- per la dismissione degli asset e dei supporti informatici, deve mettere in atto procedure di pulizia sicura e certificata al fine di rimuovere in via definitiva tutti i dati personali e/o sovrascrivere in modo sicuro prima dello smaltimento o del riutilizzo;
- istruire e formare il proprio personale sulle corrette regole di condotta da adottare per la protezione dei dati personali accessibili dai sistemi del Responsabile (ad es: accesso mediante credenziali riservate, implementazione di screen saver con password che si attivano dopo un breve periodo di inattività, ecc..).
- istruire e formare il proprio personale sulle corrette regole di condotta da adottare per la protezione dei dati personali contenuti in documenti cartacei (ad es: in caso di allontanamento dalla postazione di lavoro assicurarsi che nessuno possa accedere alle informazioni riservate proteggendo i documenti originali e le fotocopie da furto o uso non autorizzato, conservando la documentazione in cassetti e armadi chiusi alla fine della sessione di lavoro).
BACK-UP E DISPONIBILITA’ DEI DATI
Qualora il Servizio preveda che i dati personali forniti dal Titolare siano contenuti e conservati nei sistemi del Responsabile, questi dovranno essere utilizzati solo ed esclusivamente al fine di eseguire le attività inerenti al Servizio. Di tali dati potrà essere fatta una copia a fini esclusivi di back–up, ed è espressamente vietato qualsiasi altro utilizzo, comunicazione, copia (parziale o totale) dei dati stessi senza il preventivo consenso scritto del Titolare.
Il Responsabile del trattamento mette in atto procedure adeguate a ripristinare la disponibilità dei dati personali del Titolare conservati presso il Responsabile in modo tempestivo e continuo. Le procedure di backup garantiscono copie dei dati personali almeno settimanalmente, con una retention dei dati che garantisca delle copie di salvataggio cifrate ed adeguate (ad es: 15 gg /1 mese). Il personale autorizzato al back up deve essere identificato per garantire la continuità del Servizio al Titolare.
IDENTITY AND ACCESS MANAGEMENT
L'autorizzazione ad accedere agli ambienti contenenti dati personali viene fornita, secondo i principi del "need to know" e del “least privilege”, da parte del Titolare del trattamento e per quanto di propria competenza dal Responsabile del trattamento.
Il Responsabile del trattamento deve avere implementato policy e procedure tali da garantire la corretta identificazione degli utenti e degli amministratori che accedono alle componenti di sistema che gestiscono i dati personali del Titolare. Il Titolare deve assegnare a tutte le persone autorizzate un nome utente univoco prima di consentire a quest’ultimi di accedere ai sistemi di autenticazione e ai propri dati personali.
Il Responsabile del trattamento deve identificare il/i custode/i delle password di sistema.
AREE DI SICUREZZA MISURE DI SICUREZZA PER LA PROTEZIONE DEI DATI PERSONALI
Il Responsabile deve assegnare ad ogni persona autorizzata che accede ai dati del Titolare le risorse di sistema e il relativo diritto di accesso. Tutti gli accessi ai database contenenti dati personali del Titolare devono essere protetti/controllati assegnando le credenziali necessarie per l’erogazione del Servizio al Titolare.
Le credenziali devono essere adeguatamente protette da abusi. L'accesso deve essere concesso solo al personale del Responsabile che ne ha realmente bisogno per l'esecuzione del proprio lavoro / dei propri compiti. Al momento dell’assunzione il Responsabile deve prevedere una procedura che gestisca il diritto di accesso ed il relativo profilo dei nuovi assunti in base al proprio ruolo (ad es: qualora il Servizio preveda l’accesso ai dati personali del Titolare contenuti nei sistemi del Titolare, tale richiesta dovrà essere inoltrata al Titolare stesso; qualora il Servizio preveda l’accesso ai dati personali del Titolare contenuti nei sistemi del Responsabile, tale adempimento dovrà essere svolto dal Responsabile).
In caso di modifica o di dimissione di una persona autorizzata del Responsabile che accede ai sistemi del Titolare mediante accessi forniti da quest’ultimo, il Responsabile dovrà avvisare immediatamente il Titolare affinchè possa rivedere oppure chiudere tali accessi.
I diritti di accesso ai dati personali delle persone autorizzate sono rivisti a intervalli regolari, secondo il corretto processo di Identity and Access Management del Responsabile.
LOGGING E MONITORAGGIO
L'accesso agli ambienti del Responsabile contenenti dati personali del Titolare sono monitorati e loggati al fine di tracciare il collegamento tra l'accesso e l'utente che accede ai dati personali. Il Responsabile deve registrare almeno le seguenti voci del registro di log:
- Identificazione dell'utente;
- Tipo di evento;
- Data e ora;
- Indicazione di successo o fallimento;
- Fonte dell'evento;
- Identità dei dati interessati (qualora il sistema lo permetta);
Il Titolare del trattamento dei dati personali ha il diritto di ottenere i log dai Responsabili del trattamento e/o dai Sub-responsabili.
ORGANIZZAZIONE E SICUREZZA DELLE PERSONE
È necessario che il Responsabile attui un programma formale di sensibilizzazione sulla sicurezza per rendere consapevole tutto il personale delle politiche e procedure relative alla sicurezza dei dati personali.
Il Responsabile ha in essere chiari accordi contrattuali con i fornitori dei servizi (Sub-responsabili), al fine di pattuire la loro responsabilità in merito alla sicurezza dei dati personali che trattano/memorizzano/trasmettono per conto del Titolare.
Le responsabilità e i doveri degli addetti relative alla riservatezza dei dati personali devono essere validi anche dopo la cessazione o il cambio di impiego.
DATA PROTECTION BY DESIGN
Il Responsabile o il Titolare che necessitino di nuovi software devono assicurarsi che siano progettati e sviluppati tenendo in considerazione la sicurezza dei dati e rispetto di quanto previsto dal Regolamento e dalla normativa vigente in materia di protezione di dati personali.
Ogni software che giunge a fine vita viene sostituito dal Responsabile o dal Titolare con il supporto del Responsabile.
I processi di gestione delle modifiche nei software/applicazioni devono essere integrati con controlli e requisiti di sicurezza appropriati, al fine di garantire la protezione continua del software/applicazioni informatiche in vigore subito dopo queste modifiche.
VIOLAZIONE DEI DATI PERSONALI
I processi e gli strumenti per la gestione degli incidenti devono essere correttamente implementati e/o migliorati al fine di consentire il rilevamento e la classificazione delle violazioni dei dati personali in modo che siano
correttamente comunicati al Titolare affinché possa provvedere entro i termini stabiliti alla gestione della violazione (vedasi anche art. 10).
Il Responsabile ha l’obbligo di creare e mantenere aggiornato uno specifico registro delle violazioni dei dati personali.