ACCORDO DI NOMINAA RESPONSABILE ESTERNO TRATTAMENTO DATI
ACCORDO DI NOMINAA RESPONSABILE ESTERNO TRATTAMENTO DATI
ai sensi dell’art. 28 del Reg. UE 2016/679
Tra il Comune di Udine, con sede legale in xxx Xxxxxxxx x. 0 – 00000 Xxxxx C.F. e P.IVA, 00168650307 in persona del Dirigente - Responsabile del Sevizio Sociale dei Comuni del Friuli Centrale
e
denominazione/ragione sociale con sede legale in codice fiscale partita iva in persona del legale rappresentante p.t.
di seguito denominat
Responsabile del trattamento”
Premesso che:
il Comune di Udine, quale Ente gestore del Servizio Sociale dei Comuni del Friuli Centrale (SSC) in forza di Convenzione sottoscritta in data 28 febbraio 2020 è titolare dei dati trattati delle persone fisiche residenti o domiciliati sul suo territorio per le finalità socio assistenziali ivi indicate e – per le medesime finalità – tratta dati personali anche particolari di cittadini dei Comuni convenzionati (Comuni di Campoformido, Martignacco, Pagnacco, Pasian di Prato, Pavia di Udine, Pozzuolo del Friuli, Pradamano, Tavagnacco e Udine) in qualità di responsabile esterno del trattamento dai dati ai sensi dell’art. 28 GDPR, giusta nomina disciplinata ai sensi dell’art. 16 della citata Convenzione;
Nel contesto sopra descritto il Comune di Udine, in qualità di Ente gestore del SCC, sulla base della procedura di gara CIG 929344054C ha affidato alla Ditta
con sede (per brevità di seguito “Responsabile del trattamento”) il servizio di Servizio di utilizzo di procedure informatiche per la gestione di procedimenti di competenza del Servizio Sociale dei Comuni dell'Ambito Territoriale del Friuli Centrale – periodo 01/07/2022 al 30/06/2024 alla ditta Insoft srl di Udine e acquisto di 60 tablet.
Per l’espletamento del Servizio, sempre nei limiti e alle condizioni previste nella presente nomina, il Responsabile può assumere alternativamente il ruolo di “Responsabile del trattamento” (art. 28 par. 1 GDPR) se tratta dati di titolarità diretta del Comune di Udine o di “sub Responsabile del trattamento” (art. 28 par. 4 GDPR) se tratta dati di titolarità dei Comuni Convenzionati, di cui il Comune di Udine è sua volta “Responsabile esterno dei dati trattati”;
le Parti intendono disciplinare il loro rapporto ai sensi dell’art. 28 del Reg. UE 2016/679, in particolare par. 3 e par. 4;
Tutto ciò premesso, che costituisce parte integrante e sostanziale del presente Accordo,
si conviene e si stipula quanto segue:
Art. 1 – Oggetto
Con il presente Accordo, il Comune di Udine nomina Ditta con sede quale Responsabile esterno del trattamento dei dati personali di cui il Comune di Udine è Titolare e responsabile esterno del trattamento, in accordo al disposto dell’art. 28 del Reg. UE 2016/679.
Il Responsabile del trattamento dovrà, in particolare:
provvedere all’aggiornamento, modifica, rettifica e cancellazione dei Dati Personali qualora ciò sia necessario in relazione alle finalità del trattamento e se richiesto dal Comune di Udine;
curare la conservazione dei Dati Personali in conformità a quanto previsto dall’ art. 5 del Reg. UE 2016/679 (d’ora in avanti “GDPR”) e, in generale, nel rispetto dei tempi e delle modalità imposte dalla normativa vigente;
individuare e adottare le misure di sicurezza e organizzative adeguate previste dalla normativa Privacy applicabile, e in particolare:
a. adottare le misure organizzative, fisiche, procedurali e logiche sulla sicurezza nei trattamenti con particolare riferimento a quanto specificato nell’art. 32 del Regolamento. Il Responsabile, tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio, in particolare contro:
distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati;
trattamento dei dati non consentito o non conforme alle finalità delle operazioni di trattamento.
b. individuare, verificare e, se del caso, aggiornare le persone fisiche incaricate a trattare i dati in relazione a ciascuna area di trattamento;
c. vigilare - anche secondo le prassi istituite ed in accordo con il Comune di Udine che i propri incaricati al trattamento dei dati personali si attengano alle procedure di volta in volta indicate specificatamente, sia oralmente che per iscritto, in relazione ai diversi trattamenti necessari ad adempiere al contratto richiamato in premessa;
d. assistere il Comune di Udine nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva all’Autorità di Controllo;
e. se richiesto, assistere il Comune di Udine con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare le eventuali richieste per l'esercizio dei diritti dell'interessato di cui agli articoli 13 – 22 del Regolamento;
f. se richiesto, mettere a disposizione del Comune di Udine il proprio “registro dei trattamenti” inerente al Servizio afferente tale nomina, nonché tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del Regolamento, contribuendo altresì alle attività di revisione, comprese le ispezioni, realizzate dal Comune di Udine o da un altro soggetto da questi incaricato;
g. se richiesto, assistere il Comune di Udine nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento, tenendo conto della natura del trattamento e delle informazioni a disposizione del Responsabile del trattamento;
h. comunicare ogni eventuale trasferimento di dati e informazioni all’estero, anche per fini tecnici connessi ai servizi di Providing e backup utilizzati in azienda.
Il Responsabile del trattamento tratterà sia dati generali che dati particolari e precisamente:
a. dati generali: dati identificativi (nome cognome, data e luogo di nascita codice fiscale, partita iva, e -mail, PEC; indirizzo, numero telefono fisso, numero telefono mobile, indirizzo IP, immagini), dati bancari, dati reddituali e patrimoniali,
b. dati particolari: dati che rivelano dati che rivelano le convinzioni religiose o filosofiche, dati relativi alla salute, dati relativi alla vita/orientamento sessuale,
c. dati giudiziari: (dati relativi a indagini penali in corso, dati relativi a condanne penali, dati relativi a carichi pendenti, dati relativi a casellario giudiziale)
I Dati Personali trattati si riferiscono ai seguenti soggetti interessati:
a) persone fisiche utenti o potenziali utenti del Servizio;
b) coloro che hanno contatti con le persone di cui alla lettera precedente (a titolo esemplificativo: familiari, tutori, curatori, amministratori di sostegno, caregivers, operatori sanitari, persone di riferimento, creditori, debitori educatori, insegnanti);
c) incaricati e collaboratori di Enti/Strutture (pubbliche o private comprese quelle del terzo settore) o di Amministrazioni pubbliche, che collaborano o potrebbero collaborare con il Comune di Udine per la stesura, e/o la realizzazione e/o la verifica di progetti personalizzati di assistenza a favore delle persone di cui al punto a);
Il trattamento dei dati prevede la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, la modifica, l’estrazione la consultazione, l’uso, l’elaborazione, la comunicazione, la limitazione, la cancellazione, la distruzione, il raffronto fra dati.
Art. 2 – Modalità di esecuzione dell’incarico
Il Responsabile del trattamento, al fine di controllare i rischi di accesso non autorizzato, divulgazione, mancanza di integrità ed indisponibilità dei Dati Personali, sia accidentali sia illegali, si impegna ad adottare le misure idonee a garantire la sicurezza dei Dati Personali così come indicato nel presente Accordo o richiesto dalla normativa.
Le suddette misure tecniche ed organizzative dovranno essere costantemente monitorate dal Responsabile del trattamento al fine di verificarne l’efficienza e garantire la sicurezza del trattamento dei Dati Personali. Salvo previo consenso scritto del Comune di Udine, il Responsabile del trattamento si impegna a non trasmettere o conservare i Dati Personali in paesi esterni al territorio dell’Unione Europea ed a non consentire l’accesso ai Dati Personali al proprio personale dipendente e/o a soggetti terzi siti fuori dal territorio dell’Unione Europea.
Il Responsabile del trattamento garantisce la gestione delle richieste avanzate dal Comune di Udine o dagli interessati al trattamento entro il termine massimo di 30 (trenta) giorni dal ricevimento delle stesse al fine di permettere l’esercizio dei diritti degli interessati al trattamento dei Dati Personali.
Il Responsabile del trattamento, inoltre, avrà l’obbligo di comunicare al Comune di Udine nel minor tempo possibile, e comunque non oltre 48 (quarantotto) ore da quando ne abbia avuto conoscenza, qualsiasi distruzione, perdita, alterazione, divulgazione o accesso non autorizzato ai Dati Personali, ivi incluse quelle che abbiano riguardato i propri subfornitori. In tale ipotesi, sarà compito del Responsabile del trattamento fornire adeguata assistenza al Comune di Udine.
Art. 3– Data breach
Il Responsabile - del trattamento si obbliga a informare, senza giustificato ritardo e comunque entro 48 (quarantotto) ore dal momento in cui ne è venuto a conoscenza, di ogni violazione della sicurezza che comporti anche accidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai Dati Personali trasmessi, conservati o comunque trattati ed a prestare ogni necessaria collaborazione al Comune di Udine in relazione all’adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni all’Autorità ai sensi dell’art. 34 del GDPR o di comunicazione della stessa agli interessati ai sensi dell’art. 34 del GDPR.
La comunicazione al Comune di Udine, ai sensi del paragrafo che precede, deve contenere almeno una descrizione della natura della violazione di Dati Personali e/o informazioni ed elencare le misure raccomandate per attenuare i possibili effetti pregiudizievoli della violazione di Dati Personali e/o informazioni. La comunicazione descrive, inoltre, le conseguenze della violazione di Dati Personali e/o informazioni e le misure proposte o adottate dal Responsabile per porvi rimedio. Quanto previsto al periodo che precede deve essere applicato anche qualora la violazione sia solo presunta o esista un sospetto pur in assenza di certezze.
Il Responsabile del trattamento dovrà tenere un aggiornato inventario delle violazioni dei Dati Personali, ivi incluse le circostanze in cui si sono verificate, le loro conseguenze e i provvedimenti adottati per porvi rimedio, in modo da consentire al Comune di Udine di verificare il rispetto delle disposizioni del presente articolo. Nell'inventario devono figurare unicamente le informazioni necessarie a tal fine.
Il Comune di Udine avrà diritto, direttamente e/o indirettamente tramite terzi di propria fiducia, di effettuare ogni verifica, anche presso le sedi del Responsabile del trattamento, utile al fine di verificare il rispetto da parte del Responsabile del trattamento delle prescrizioni del presente articolo. Il Comune di Udine avrà altresì il diritto di richiede la compilazione da parte del Responsabile del trattamento di questionari di self assessment.
Resta ferma l’applicabilità di ogni eventuale disposizione di legge di ogni genere e natura in materia di segnalazione delle violazioni dei dati.
Art. 4 – Amministratori di Sistema
Il Responsabile del trattamento si impegna a conformarsi al Provvedimento generale del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal Provvedimento del Garante del 25 giugno 2009 “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento”, così come eventualmente modificato o sostituito dallo stesso Xxxxxxx, e ad ogni altro pertinente provvedimento dell’Autorità.
Il Responsabile del trattamento si impegna, in particolare, a:
designare quali amministratori di sistema le figure professionali dedicate alla gestione e alla manutenzione di impianti di elaborazione o di loro componenti con cui vengono effettuati trattamenti di Dati Personali;
predisporre e conservare l’elenco contenente gli estremi identificativi delle persone fisiche qualificate quali amministratori di sistema e le funzioni ad essi attribuite;
comunicare periodicamente al Comune di Udine l’elenco aggiornato degli amministratori dei sistemi;
verificare annualmente l'operato degli amministratori di sistema, informando il Comune di Udine circa le risultanze di tale verifica;
mantenere i file di log previsti in conformità a quanto previsto nel suddetto provvedimento.
Art. 5– Diritto di audit e di verifica periodica
Il Comune di Udine si riserva il diritto di compiere attività di audit e, in particolare, avrà facoltà di verificare, con un preavviso di almeno 7 (sette) giorni lavorativi, anche presso la sede del Responsabile del trattamento, la conformità delle procedure adottate da quest’ultima rispetto a quanto indicato nel presente Accordo ovvero richiesto dalla normativa.
A tal fine, lo stesso si impegna a concordare con il Responsabile del trattamento il programma di audit.
Il Responsabile del trattamento procederà secondo quanto stabilito di volta in volta nel programma di audit, attraverso interviste, esame di documentazione ed osservazioni sull’utilità e sulle condizioni operative al fine di raccogliere un numero di evidenze oggettive sufficiente alla determinazione della conformità ai requisiti prefissati.
Il diritto rappresentato nel presente articolo si estende anche a eventuali subfornitori del Responsabile del trattamento. In accordo all’art. 28, co. 3, del Reg. UE 2016/679, il Responsabile del trattamento si riserva la facoltà di rilevare e segnalare al Comune di Udine qualunque istruzione o procedura ritenga violare il Reg. UE 2016/679.
Art. 6 – Personale del Responsabile del trattamento
Il Responsabile del trattamento si impegna a stipulare con il proprio personale dipendente un obbligo di riservatezza pari a quello contenuto nel presente Accordo. Si impegna inoltre ad adoperare, per il trattamento dei Dati Personali, solo ed esclusivamente personale debitamente formato in materia di trattamento dei dati personali.
Art. 7 – Nomina ulteriori responsabili
Il Comune di Udine conferisce autorizzazione scritta generale al Responsabile del Trattamento a poter ricorrere a eventuali ulteriori responsabili del trattamento nella prestazione del Servizio, salvo divieti di subappalto previsti dalla normativa o dal contratto di affidamento del servizio a cui la presente nomina afferisce. Nel caso in cui il Responsabile del trattamento faccia effettivo ricorso a sub-responsabili, si impegna a selezionare sub-responsabili tra soggetti che per esperienza, capacità e affidabilità forniscano
garanzie sufficienti in merito a trattamenti effettuati in applicazione della normativa pro tempore vigente e che garantiscano la tutela dei diritti degli interessati.
Il Responsabile del trattamento si impegna altresì a stipulare specifici contratti, o altri atti giuridici, con i sub-responsabili a mezzo dei quali il Responsabile del trattamento descriva analiticamente i loro compiti e imponga a tali soggetti di rispettare i medesimi obblighi, con particolare riferimento alla disciplina sulla protezione dei dati personali.
I danni provocati a terzi derivanti dal trattamento dei dati personali affidati dal Responsabile del trattamento a sub-responsabili o sub-fornitori saranno a carico esclusivo del Responsabile del trattamento che accetta, con la firma del presente documento, di manlevare e tenere indenne il Comune di Udine da qualsiasi danno, pretesa, risarcimento, e/o sanzione.
Il Responsabile- del Trattamento informa il Comune di Udine di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri sub responsabili del trattamento, dando così al Comune di Udine l'opportunità di opporsi a tali modifiche.
Art. 8– Condizioni per le eventuali modifiche dell’Accordo
Il Comune di Udine ha la facoltà di apportare al presente Accordo, in qualsiasi momento, le modifiche e gli adeguamenti che dovessero rendersi necessari, anche per conformarsi ad eventuali aggiornamenti normativi.
Di ogni modifica verrà data comunicazione all’altra Parte a mezzo posta elettronica certificata.
Art. 9 – Responsabilità del Responsabile del trattamento
Il Responsabile del trattamento tiene indenne e manlevato il Comune di Udine da ogni perdita, costo, spesa, multa e/o sanzione, danno e da ogni responsabilità di qualsiasi natura (sia essa prevedibile, contingente o meno) derivante da o in connessione con una qualsiasi violazione da parte dello stesso delle disposizioni contenute nel presente Accordo. In particolare, il Responsabile del trattamento tiene indenne il Comune di Udine da qualsiasi perdita derivante da qualsiasi violazione delle disposizioni contenute nel presente Accordo o previste della normativa applicabile, anche da parte di ogni subfornitore di cui si avvale; o dalla subfornitura o all’esternalizzazione di qualsiasi trattamento affidato a terzi soggetti.
Art. 10 - Durata
Il presente Accordo decorre dalla data della sua sottoscrizione e rimarrà in vigore fin tanto che il Responsabile del trattamento effettuerà il trattamento dei Dati Personali di cui è Responsabile del trattamento.
Art. 11 – Cancellazione o restituzione dei Dati Personali
Il Responsabile del trattamento si impegna a cancellare o restituire i Dati Personali al Comune di Udine al termine del presente Accordo ovvero in qualsiasi altro momento in cui tale richiesta venga avanzata dal Comune di Udine stesso, salvo che non sia previsto diversamente dalla normativa specifica applicabile ai servizi oggetto del rapporto contrattuale tra le Parti.
Art. 12 – Titolarità e riservatezza dei Dati Personali
Il Responsabile del trattamento si impegna a mantenere strettamente riservate e confidenziali e ad usare solo per l’esecuzione delle obbligazioni previste dall’Accordo ogni informazione relativa all’altra Parte e/o agli interessati al trattamento dei Dati Personali e/o ai prodotti, servizi, organizzazione, strategia commerciale o tecnica ricevute dall’altra Parte o di cui vengano a conoscenza in occasione dell’esecuzione dell’Accordo (nel seguito denominate “Informazioni Riservate”).
Il Responsabile del trattamento si impegna a non utilizzare le Informazioni Riservate al di fuori degli scopi previsti dal presente Accordo, né a rivelarle a soggetti non previsti dallo stesso, senza l’approvazione scritta del Comune di Udine.
Il Responsabile del trattamento adotterà ogni misura necessaria a non divulgare o rendere in alcun modo disponibili le Informazioni Riservate del Comune di Udine, e/o degli interessati, a terzi e sarà comunque ritenuta direttamente responsabile nei confronti del Comune di Udine di ogni violazione da parte dei propri dipendenti e/o subfornitori degli obblighi di riservatezza di cui al presente articolo.
Le disposizioni del presente articolo non si applicano o cesseranno di applicarsi a quelle singole informazioni che il Responsabile del trattamento possa dimostrare:
essere già divenute di pubblico dominio per ragioni diverse dall’inadempimento del Responsabile del trattamento stesso;
essere già note prima di averle ricevute dal Comune di Udine;
essere comunicate o divulgate in ottemperanza ad un ordine legittimo di qualsiasi autorità o in forza di un obbligo di legge.
Le Informazioni Riservate rivelate rimangono di proprietà del Comune di Udine. A seguito di richiesta scritta dello stesso Comune di Udine tali informazioni devono essere restituite o distrutte dal Responsabile del trattamento. I suddetti obblighi di riservatezza restano in vigore per due (2) anni dopo la cessazione per qualunque causa del presente Accordo.
Art. 13 – Legge applicabile, Foro competente
Per la risoluzione di ogni controversia concernente la validità, l’interpretazione, l’esecuzione e la risoluzione del presente Accordo sarà applicata la Legge Italiana.
Ogni e qualsiasi controversia relativa all’esecuzione e all’interpretazione di esso sarà devoluta alla competenza del Foro di Udine ad esclusione di ogni altro foro anche concorrente.
Per la ditta Responsabile del trattamento
Il legale rappresentante
data dell’ultima sottoscrizione digitale
Per il Comune di Udine
Il Dirigente - Responsabile del Servizio Sociale dei Comuni del Friuli centrale
Documento firmato da: XXXXXX XXXXXXXXX 28.06.2022 09:04:16 UTC