TRA
Accordo Data Protection fra Titolari Autonomi
(Data Protection Agreement)
TRA
Agenzia Regionale Toscana per l’Impiego (ARTI), con sede legale in xxx Xxxxxxxx Xxxxxxxx XX, 00-00, 00000 Xxxxxxx, in persona del suo legale rappresentante pro tempore XXXX nata a XXXX il XXXX, CF XXXX (Titolare 1)
E
BANCO BPM S.p.A., con sede in Xxxxxx xx Xxxxxx Xxxx x. 0, con codice Fiscale e Partita IVA n. 09722490969, iscritta nel Registro delle imprese presso la C.C.I.A.A. di Milano, rappresentato dal Sig. XXXX, nato a XXXX il XXXX, C.F. XXXX, nella sua qualità di procuratore con procura speciale (Titolare 2)
PREMESSO
- che con Decreto del Dirigente del Settore Xxxxxxxx e Contabilità di A.R.T.I. n. 380 del 21.11.2019 è stato disposto l'affidamento diretto, ex art. 36 comma 2, lett. a) del d.lgs. 50/2016, al BANCO BPM S.p.A. del Servizio di cassa dell'Agenzia per il periodo 1.1.2020 – 31.12.2022, con possibilità di proroga di ulteriori 12 mesi;
- che in data 20/12/2019 è stato stipulato il Contratto per l'espletamento del servizio di cassa fra Banco BPM S.p.A. e ARTI, mediante l’invio tramite posta elettronica certificata (PEC), del “Documento di ordinazione” del servizio, d'ora innanzi “il Contratto di servizio”;
TUTTO CIO PREMESSO, LE PARTI CONVENGONO E SOTTOSCRIVONO QUANTO SEGUE:
Art. 1
Ambito di competenza
Le Parti si danno reciprocamente atto di conoscere ed applicare, nell’ambito delle proprie organizzazioni e relativamente all'esecuzione del Contratto per l'espletamento del Servizio di cassa dell'Agenzia stipulato in data 20/12/2019, tutte le norme vigenti ed in fase di emanazione in materia di trattamento dei dati personali, sia primarie che secondarie, rilevanti
per la corretta gestione del Trattamento, ivi compreso il Regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito “GDPR”).
Le parti si danno reciprocamente atto che lo scambio di dati oggetto del presente DPA risponde ai principi di liceità determinati da specifiche norme ed è conforme alle disposizioni. Le parti si danno reciprocamente atto che lo scambio di dati oggetto del presente DPA è conforme alle disposizioni, alle linee guida e alle regole tecniche previste per l’accesso, la gestione e la sicurezza dei dati dalla normativa in materia di amministrazione digitale (in specifico, d.lgs. 82/2005 e relative linee guida e regole tecniche) e dalle altre norme di riferimento.
Art. 2
Rapporti fra autonomi Titolari di trattamento dati
Le Parti tratteranno in via autonoma i dati personali oggetto dello scambio per trasmissione o condivisione, per le finalità connesse all’esecuzione del Contratto di servizio. Le parti, in relazione agli impieghi dei predetti dati nell’ambito della propria organizzazione, assumeranno, pertanto, la qualifica di Titolare autonomo del trattamento ai sensi dell’articolo 4, nr. 7) del GDPR, sia fra di loro che nei confronti dei soggetti cui i dati personali trattati sono riferiti.
Art. 3
Tipologia di dati oggetto di scambio
Le Parti si danno atto che, nell'espletamento del servizio di cassa, sono sia produttori che utilizzatori di dati e che le tipologie di dati oggetto di scambio sono costituite prevalentemente da dati comuni, codici fiscali e dati anagrafici, relativi a tutti i soggetti con cui l'Amministrazione si rapporterà ai fini dell'esecuzione da parte del Banco BPM S.p.A. di operazioni di incasso e/o pagamento oggetto del servizio di tesoreria, ossia in particolare dipendenti e assimilati, fornitori e altri soggetti (ad esempio, a titolo non esaustivo, destinatari di contributi, destinatari di risarcimenti in forza di sentenze/transazioni, proprietari di immobili adibiti ai servizi per l'impiego, ecc.).
Tali dati verranno scambiati con periodicità giornaliera.
Art.4
Rispetto della normativa
In quanto Titolari autonomi del trattamento, le parti sono tenute a rispettare tutte le normative rilevanti sulla protezione ed il trattamento dei dati personali che risultino applicabili ai rapporti che intercorrono fra produttore di informazioni e utilizzatore sulla base del presente DPA. Le Parti sono, altresì, tenute al rispetto della normativa in materia di amministrazione digitale e in materia di accesso, gestione e sicurezza dei dati.
Art. 5 Misure di sicurezza
Le parti concordano sull’adeguatezza delle misure di sicurezza messe in atto al fine di garantire lo scambio sicuro dei dati ed attestano la messa in atto di misure di sicurezza idonee a garantire la riservatezza dei dati personali, nonché ad evitare l’indebito accesso dai dati stessi da parte di soggetti terzi o di personale non autorizzato.
Al contempo, le parti, si impegnano a mettere in atto ulteriori misure qualora fossero da almeno una delle due parti ritenute insufficienti quelle in atto.
In particolare, Banco BPM S.p.A. si impegna ad applicare misure di sicurezza idonee e adeguate a proteggere i dati personali da Esso trattati in esecuzione del presente Accordo, contro i rischi di distruzione, perdita, anche accidentale, di accesso o modifica non autorizzata dei dati o di trattamento non consentito o non conforme alle finalità della raccolta.
Art. 6
Obblighi del personale autorizzato
Le parti si impegnano a far sì che l’accesso ai dati personali oggetto dello scambio sia consentito solo a coloro e nella misura in cui ciò sia necessario per l’esecuzione del Contratto di servizio, e che l’uso dei dati personali da parte del soggetto utilizzatore rispetti gli stessi impegni assunti dal produttore riguardo alla conformità legale del trattamento e la sicurezza dei dati trattati con misure adeguate alla tipologia dei dati degli interessati e dei rischi connessi.
Ognuna delle parti individua un proprio referente tecnico, responsabile dell’accesso, della gestione e della sicurezza dei dati e dell’applicazione delle relative norme, linee guida e regole tecniche, tenuto a comunicare tempestivamente all’altra parte modifiche,
aggiornamenti, esigenze, problematiche, incidenti e quanto ritenuto necessario nella corretta gestione dei dati, al fine di assicurarne la conformità ai principi e alle disposizioni normative di riferimento.
Art.7 Responsabilità
Fatto salvo quanto previsto come inderogabile dalla legge, nessuna responsabilità sarà imputabile al produttore del dato per i trattamenti operati dall’utilizzatore (vedi art. 3), eccettuati i casi di cattiva gestione o maltrattamento nella fase di raccolta originaria dei dati personali. Ferma restando la responsabilità assunta dal produttore verso i terzi e verso l’utilizzatore, quale titolare autonomo del trattamento sui dati ricevuti dal produttore, nei rapporti reciproci, l’utilizzatore si obbliga a manlevare e tenere indenne il produttore – per qualsiasi danno, incluse spese legali – che possa derivare da pretese avanzate nei confronti del produttore da terzi - inclusi i soggetti cui i dati personali trattati sono riferiti - a seguito dell’eventuale illiceità o non correttezza delle operazioni di trattamento imputabili al utilizzatore, intendendosi con la presente pattuizione, trasferire dal produttore al utilizzatore l’incidenza economica dei danni reclamati da terzi, in conseguenza dei trattamenti operati dal utilizzatore.
Art. 8 Impostazione organizzativa
Le parti si garantiscono reciprocamente che i dati trattati da ciascuna di esse in esecuzione del presente DPA formano oggetto di puntuale verifica di conformità alla disciplina rilevante in materia di trattamento di dati personali - ivi compreso il GDPR - , alla normativa in materia di amministrazione digitale e in materia di accesso, gestione e sicurezza dei dati e si impegnano altresì alla ottimale cooperazione reciproca nel caso in cui una di esse risulti destinataria di istanze per l’esercizio dei diritti degli interessati previsti dall’articolo 12 e ss. del GDPR ovvero di richieste delle Autorità di controllo che riguardino ambiti di trattamento di competenza dell’altra parte.
Art. 9 Durata
Il presente Data Protection Agreement ha la medesima durata del Contratto di servizio, ossia ossia fino alla data del 31.12.2022, ovvero fino alla data del 31.12.2023 in caso di proroga del Contratto di servizio.
Art. 10 Rescissione
La rescissione del presente DPA avviene per istanza di parte qualora, la stessa ritenga che lo scambio di informazioni leda per qualsivoglia motivo i legittimi diritti degli interessati
Data --/--/----
Firma Firma