Disposizione del sindaco

Atto di nomina del Responsabile del trattamento dei dati ai sensi dell’art. 28 del regolamento UE 2016/679 del 27 Aprile 2016 e dell’art. 2 – quaterdecies del D. Lgs. 30 giugno 2003, n. 196 come modificato dal D. Lgs. 10 agosto 2018, n. 101.

TRA

Il Comune di Grosseto (di seguito indicato anche come “Titolare del trattamento” o “Committente”) con sede in Grosseto, Piazza Duomo n. 1 – 58100 (GR), C.F. e P. IVA 00082520537, Tel. 0564488111, nella persona del Sindaco pro tempore e legale rappresentante, PEC comune.grosseto@postacert.toscana.it

E

La Promo PA Fondazione (di seguito indicata anche come il “Responsabile”) con sede legale in Viale Luporini 37/57 – 55100 Lucca P.IVA 01922510464 nella persona del suo Legale rappresentante pro tempore Dott./Dott.ssa Fabiana Dardi, PEC promopa@legalmail.it

(di seguito indicate congiuntamente anche come le “Parti”)

PREMESSO CHE

• Il Comune di Grosseto ha affidato alla Promo PA Fondazione la prestazione da parte del fornitore di un servizio di Supporto specialistico all’Amministrazione per l’attivazione di Grosseto impresa mediante la realizzazione ed aggiornamento del sito investingrosseto.it
• Per eseguire tale progetto, il Fornitore:
• 1) esegue operazioni di trattamento di dati personali di titolarità del Committente e riferiti unicamente ai dati necessari per l’erogazione dei servizi pattuiti tra le parti;
• 2) dichiara e garantisce di possedere competenza e conoscenze tecniche in relazione alle finalità e modalità di trattamento, alle misure di sicurezza da adottare a garanzia della riservatezza, completezza ed integrità dei Dati personali trattati, nonché in relazione alla normativa italiana ed europea in materia di protezione dei dati personali e di possedere i requisiti di affidabilità idonei a garantire il rispetto delle disposizioni normative in materia;

TUTTO CIÒ PREMESSO

Tenuto conto che Il Regolamento generale sulla protezione dei dati personali 679/16 (denominato GDPR) all’articolo 28 stabilisce che qualora “un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato […]”, in ossequio a tale prescrizione il Comune

NOMINA RESPONSABILE DEL TRATTAMENTO ex art. 28 GDPR

Promo PA Fondazione in persona del suo legale rappresentante p.t. per l’espletamento delle attività connesse a quanto indicato in premessa;

Nello svolgimento dei compiti attribuiti, l’ambito del trattamento dei dati personali che il Responsabile del trattamento tratta deve dirsi circoscritto alle sole attività correlate allo svolgimento del servizio commissionato ed in funzione del rapporto che intercorre tra il Titolare del trattamento ed il Responsabile del trattamento stesso.

In particolare, il Responsabile quivi nominato tratterà i seguenti dati personali:

Dati di navigazione, cookie tecnici essenziali.

Saranno inoltre trattati tutti gli ulteriori dati volontariamente forniti dall’utente durante la navigazione sul sito di riferimento.

Le Parti si impegnano ad improntare il trattamento dei dati ai principi di correttezza, liceità e trasparenza nel pieno rispetto della normativa in materia di privacy di cui al Regolamento UE 2016/679 (G.D.P.R.) e al D.lgs. n. 196/2003 ss.mm.ii.

Il trattamento dei dati è effettuato nel rispetto delle misure tecniche e organizzative che le Parti hanno posto in essere per garantire un adeguato livello di sicurezza nella protezione dei dati personali.

Il Responsabile del trattamento quivi nominato si impegna a rispettare le indicazioni ed istruzioni di seguito riportate e, con la sottoscrizione della presente nomina, dichiara che i dati del Titolare sono e saranno trattati e conservati nel solo territorio dell’Unione Europea.  Nello specifico il Responsabile si impegna a:

• Osservare il Reg. UE n. 679/2016 “GDPR”, i Provvedimenti del Garante per la protezione dei dati personali, il codice privacy di cui al D.Lgs. 196/03 come abrogato e/o modificato dal D.lgs. 101/2018;
• Non portare a conoscenza di terzi informazioni, documenti e notizie di carattere riservato, di cui il personale comunque impiegato nello svolgimento delle attività oggetto del contratto venga a conoscenza in forza del presente impegno. Il Responsabile si obbliga a ottemperare al vincolo di riservatezza anche successivamente alla scadenza del presente accordo;
• Adottare ogni misura ragionevole per assicurare l’affidabilità di ogni soggetto che avrà accesso ai dati personali del Titolare in ragione di qualunque rapporto lavorativo instaurato con il Responsabile. Inoltre, garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e vigila costantemente sull’operato delle stesse.
• Individuare le persone autorizzate al trattamento dei dati impartendo loro, per iscritto, istruzioni dettagliate in merito alle operazioni consentite e alle misure di sicurezza da adottare in relazione alle criticità dei dati trattati;
• Vigilare regolarmente sulla puntuale applicazione da parte delle persone autorizzate di quanto prescritto, anche tramite verifiche periodiche;
• Garantire l’adozione dei diversi profili di autorizzazione delle persone autorizzate, in modo da limitare l’accesso ai soli dati necessari alle operazioni di trattamento consentite rispetto alle mansioni svolte;
• Verificare periodicamente la sussistenza delle condizioni per la conservazione dei profili di autorizzazione di tutte le persone autorizzate, modificando tempestivamente detto profilo ove necessario (es. cambio di mansione);
• Curare la formazione e l’aggiornamento professionale delle persone autorizzate che operano sotto la sua responsabilità circa le disposizioni di legge e regolamentari in materia di tutela dei dati personali;

In ogni caso, il trattamento dei dati deve essere effettuato dal Responsabile del trattamento ai soli fini di dare esecuzione ai servizi commissionatigli.

In particolare, il Responsabile del trattamento garantisce che:

• I dati siano trattati in modo lecito, corretto e trasparente;
• I dati siano raccolti solo per le specifiche finalità del trattamento assegnato (principio di limitazione delle finalità);
• I dati siano adeguati, pertinenti e non eccedenti rispetto alle finalità (principio di minimizzazione dei dati);
• I dati siano esatti e se necessario aggiornati (principio di esattezza dei dati), predisponendo eventuali direttive in ordine al loro aggiornamento;

Il Responsabile del trattamento dei dati è tenuto a collaborare con il Titolare per garantire il rispetto degli obblighi e delle prescrizioni contenute nel GDPR e, per l’effetto, si impegna ad eseguire gli adempimenti ivi imposti di sua pertinenza;

In virtù dell’art. 28, paragrafo 3, lettera e) del GDPR, il Responsabile tenendo conto della natura del trattamento, assiste il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;

Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il Responsabile del trattamento deve adottare misure idonee ed adeguate necessarie ai fini della sicurezza dei dati personali, ai sensi dell’articolo 32 del GDPR;

Il Responsabile del trattamento deve fornire ragionevole assistenza al Titolare ai fini del rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR (in tema di sicurezza dei dati personali, sicurezza del trattamento, notifica di una violazione dei dati personali all’autorità di controllo, etc.) tenendo conto della natura del trattamento e delle informazioni a sua disposizione;

Il Responsabile del trattamento deve implementare soluzioni atte a rilevare per quanto di propria responsabilità eventuali violazioni dei dati personali (ossia le violazioni di sicurezza che comportano accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati) e, al verificarsi di tali violazioni, comunicarle senza ingiustificato ritardo e, comunque, entro e non oltre le ventiquattro (24) ore dall’avvenuta conoscenza della violazione, al Committente alla mail privacy@comune.grosseto.it. Il Responsabile del trattamento s’impegna, per quanto di sua competenza, a collaborare attivamente con il Committente ai fini di predisporre le conseguenti comunicazioni all’Autorità Garante per la protezione dei dati personali e, eventualmente, agli interessati ai sensi degli artt. 33 e 34 del GDPR;

Il Responsabile del trattamento deve mettere a disposizione del Committente tutte le informazioni necessarie per dimostrare il rispetto degli obblighi derivanti dall’art. 28 del GDPR e contribuire alle attività di revisione, comprese le verifiche realizzate dal Committente o da un altro soggetto da questi incaricato.

Il Responsabile del trattamento prende atto che le verifiche del Titolare potranno essere svolte direttamente dal Comune di Grosseto o per il tramite di audit, attraverso il DPO o tramite altre funzioni incaricate e/o consulenti esterni. Tali verifiche dovranno essere svolte esclusivamente in giorni feriali, da concordarsi con il Responsabile e con preavviso di almeno 15 giorni lavorativi salvo casi di particolare urgenza dettata da norma di legge o da provvedimento dell’autorità giudiziaria o amministrativa;

Al termine del servizio oggetto del contratto o della prestazione, il Responsabile del trattamento dovrà provvedere alla distruzione dei dati personali in suo possesso, nonché delle eventuali copie effettuate. In ogni caso, salvo che non sia obbligato dalla normativa vigente alla conservazione per un tempo determinato o che non conservi i dati ai fini dell’esercizio del diritto di agire e/o di difendersi in giudizio, Il Responsabile è tenuto alla cancellazione del dato secondo il disposto dell’informativa allegata alla presente nomina .

Il Responsabile del trattamento deve informare immediatamente il Titolare qualora, a suo parere, ritenga che alcune azioni od omissioni sue o di terzi violino il Regolamento Europeo o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati. Il Responsabile ha anche il dovere di avvisare il Titolare del trattamento delle eventuali condotte e/o istruzioni e direttive che risultano non correttamente disciplinate dallo stesso titolare;

Il Responsabile del trattamento deve vigilare e controllare le modalità di trattamento dei dati attuate dai suoi Incaricati e sub-fornitori. A riguardo, il Responsabile assicura, per quanto di propria responsabilità, un costante controllo per verificare che i dati siano trattati in modo lecito, secondo correttezza e, comunque, nel rispetto delle leggi, delle disposizioni in materia di trattamento compreso il profilo relativo alla sicurezza oltre che delle istruzioni quivi impartite;

Il Responsabile del trattamento, su espressa richiesta del Committente, deve assistere lo stesso con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di agevolare la realizzazione di valutazioni d’impatto sulla protezione dei dati personali, ai sensi dell’art. 35 del GDPR, per il trattamento in questione;

Il Responsabile del trattamento può ricorrere a un altro responsabile solo previa autorizzazione scritta specifica del Committente. Se il Responsabile del trattamento ricorre a un altro responsabile (sub-responsabile) per l’esecuzione di specifiche attività di trattamento per conto del Committente, deve imporgli, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel presente contratto. In particolare, il sub-responsabile deve presentare garanzie sufficienti per la predisposizione di misure tecniche e organizzative adeguate al fine di soddisfare i requisiti normativi previsti.

Il Responsabile del trattamento è, comunque, sempre tenuto ad informare il Committente in merito alla scelta, aggiunta o sostituzione di qualsiasi sub-responsabile del trattamento, dando così al Committente l’opportunità di valutarla e, se del caso, opporvisi;

Nel caso in cui sia consentito il subappalto, il trattamento di dati a cura di altri soggetti qualificati come sub-responsabili del trattamento dovrà avvenire alle stesse condizioni contrattuali previste nelle presenti pattuizioni e, pertanto, il Responsabile del trattamento mantiene, nei confronti del Titolare del trattamento, la responsabilità di cui all’art. 28, paragrafo 4 del Regolamento Ue 2016/679, e si impegna a tenere indenne il Titolare del trattamento da qualsiasi danno, pretesa, risarcimento, sanzione che sia conseguenza della mancata osservanza, da parte del Responsabile del trattamento e dei suoi sub-fornitori (sub-responsabili), degli obblighi stabiliti dalle presenti pattuizioni e più in generale dalla violazione della sopra citata normativa o da prescrizioni dell’Autorità di Controllo o dell’Autorità Giudiziaria;

Si rammenta che la violazione delle norme di legge in materia di privacy (art. 83, comma 4, lett. a, GDPR) comporterà la comminazione delle sanzioni e l’eventuale risarcimento del danno e, ove, il Responsabile del trattamento dovesse effettuare il trattamento determinando autonomamente, finalità e mezzi di trattamento sarebbe considerato quale vero e proprio Titolare (art 28 n. 10 GDPR);

Il Responsabile del trattamento deve tenere un registro delle attività dei trattamenti ai sensi dell’art. 30, c.2, del GDPR;

Il Responsabile del Trattamento e i Sub-responsabili dovranno provvedere a nominare i propri Amministratori di sistema come da specifico provvedimento del Garante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema 27 novembre 2008” e ss.mm.ii. In ogni caso, il responsabile del trattamento si impegna a trasmettere al titolare i nominativi dei soggetti amministratori di sistema propri o dei sub-responsabili eventualmente nominati, ove consentito dal presente accordo.

Il Responsabile del trattamento deve procedere, se del caso, alla designazione del responsabile della protezione dei dati (DPO) ai sensi dell’art. 37 del GDPR. Qualora il Responsabile del trattamento ritenga di non doversi dotare di tale figura ne fornisce adeguata e documentata motivazione al Committente.

La presente nomina decadrà con effetti dalla data di cessazione del rapporto tra le parti. Restano fermi tutti gli obblighi che, per loro natura, devono continuare a sopravvivere per assicurare il rispetto alla normativa.

Il Titolare, poste le suddette istruzioni e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio ruolo, di impartire per iscritto eventuali ulteriori istruzioni che dovessero risultare necessarie per il corretto e conforme svolgimento delle attività di trattamento dei dati collegate all’accordo vigente tra le Parti, anche a completamento ed integrazione di quanto sopra definito.

Le Parti dichiarano che i dati personali forniti con il presente atto sono esatti e corrispondono al vero esonerandosi reciprocamente da qualsivoglia responsabilità per errori materiali di compilazione ovvero per errori derivanti da una inesatta imputazione dei dati stessi negli archivi elettronici e/o cartacei.

La presente nomina sostituisce qualsiasi precedente pattuizione eventualmente stipulata tra le parti in data antecedente.

Firma per presa visione ed accettazione

Lucca 04/10/2023