Protocollo 0000936/2020 del 14/02/2020 Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell’articolo 28, Regolamento (UE) 2016/679 Premesso che: Istituto Comprensivo "Romeo Fusari" a) con la sottoscrizione del Contratto, l’Ente ________________________________________________________________________ con Castiglione d'Adda LO sede in ____________________________________________________ (_____), Cod.Mec. L O I C 8 0 8 0 0 N rappresentato da _______________________________________________ Lodi nato/a a ___________________________________________, 25/10/1959 il ________________, C.F. R N A T Z N 5 9 R 6 5 E 6 4 8 M E-mail (personale del loic80800n@istruzione.it Legale rappresentante) ______________________________________________________________ (di seguito “Titolare” o l’”Ente”) affida al Fornitore lo svolgimento dei Servizi; b) per adempiere le obbligazioni indicate nel Contratto, il Fornitore verrà a conoscenza e tratterà Dati Personali, come di seguito definiti, il cui Titolare è l’Ente indicato nella premessa a; c) il GDPR, all’articolo 28, stabilisce che i “trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto”; d) al contempo, ai sensi del GDPR, qualora “un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”; e) alla luce di quanto sopra, Titolare intende nominare il Fornitore quale Responsabile del trattamento dei Dati Personali ai sensi dell’articolo 28 GDPR. Tutto ciò premesso, si conviene e si stipula quanto segue 1. Definizioni 1.1 Nel Contratto di Nomina, i seguenti termini avranno il significato stabilito nel presente paragrafo 1.1: 1.1.1 “Autorità Giudiziaria”: autorità giurisdizionale competente; 1.1.2 “Codice Civile”: Regio Decreto 16 marzo 1942, n. 262; 1.1.3 “Contratto di Nomina”: il presente documento, con il quale Titolare nomina il Fornitore responsabile del trattamento ai sensi dell’articolo 28 GDPR per lo svolgimento dei Trattamenti necessari all’adempimento dei Servizi oggetto del Contratto; 1.1.4 “Contratto”: il contratto sottoscritto dal Titolare e dal Fornitore e indicato nella Premessa a) del presente Contratto di Nomina; 1.1.5 “Data di Cessazione”: data di cessazione, per qualsivoglia motivo, degli effetti del presente Contratto di Nomina; 1.1.6 “Dati Personali”: ai sensi dell’art. 4 del GDPR, i dati personali sono “qualsiasi informazione riguardante una persona fisica identificata o identificabile; si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale”. Nel dettaglio, I Dati Personali trattati dal Fornitore nonché le finalità dei Trattamenti al fine di svolgere i Servizi sono indicati all’interno del Registro dei trattamenti del Titolare, riportato nell’Allegato A; 1.1.7 “Fornitore” o “Responsabile”: Gruppo Spaggiari Parma S.p.A, con sede legale in via F. Bernini, 22/A , Parma 1.1.8 “Garante Privacy”: l’autorità che rappresenta l’attuazione, a livello nazionale, di quanto previsto dall’articolo 51 del GDPR, deputata alla sorveglianza dell’applicazione del Regolamento al fine di tutelare i diritti e le _________________________________________________________________________________________________________________________________________ Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell’articolo 28, Regolamento (UE) 2016/679 Pag.82/2005 libertà fondamentali delle persone fisiche coinvolte nel trattamento di dati personali, nonché di agevolare la libera circolazione dei dati personali all’interno dell’Unione. 1.1.9 “GDPR”: il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati; 1.1.10 “Codice Privacy”: il decreto legislativo 30 giugno 2003, n. 196, s.m.i. (come da ultimo modificato dal decreto legislativo 10 agosto 2018, n. 101); 1.1.11 “Interessati”: le categorie di persone fisiche indicate nell’Allegato A a cui si riferiscono i Dati Personali oggetto del Trattamento cui il Fornitore avrà accesso al fine di svolgere i Servizi; 1.1.12 “Istruzioni”: le istruzioni dettagliate, che il Titolare fornisce al Fornitore per il Trattamento, come riportato nell’Allegato A e nell’Allegato D; 1.1.13 “Modifiche”: le modifiche convenute per iscritto tra il Titolare ed il Fornitore per adeguare il contenuto del Contratto di Nomina a eventuali novità della Normativa Privacy che incidono sugli obblighi del Titolare o del Fornitore; 1.1.14 “Normativa Privacy”: le disposizioni applicabili in materia di protezione dei dati personali previste dal GDPR e da ogni altra previsione normativa in vigore e/o che dovesse essere successivamente emanata, nonché i provvedimenti emanati dal Garante Privacy, dall’Article 29 Working Party e dal Comitato europeo per la protezione dei dati; 1.1.15 “Personale”: il personale del Fornitore, ivi inclusi dipendenti, agenti, consulenti, stagisti e collaboratori, coinvolti in relazione allo svolgimento dei Servizi; 1.1.16 “Provvedimento”: il provvedimento del 27 novembre 2008, comprensivo di successive modifiche, con il quale il Garante Privacy ha dettato misure ed accorgimenti per i titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema. In particolare, ai sensi del paragrafo d., del Provvedimento “nel caso di servizi di amministrazione di sistema affidati in outsourcing, il titolare o il responsabile esterno devono conservare direttamente e specificamente, per ogni eventuale evenienza, gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema”. 1.1.17 “Registro dei trattamenti”: il [omissis] ività di trattamento tenuto dal Fornitore in ossequio a quanto prescritto dal paragrafo 2 dell’art. 30 del GDPR; 1.1.18 “Servizi”: le prestazioni che il Fornitore deve svolgere in favore del Titolare ai sensi del Contratto, ivi inclusi gli applicativi informatici attraverso i quali tali prestazioni vengono erogate, e indicate nella relativa sezione del Registro dei trattamenti del titolare riportato nell’Allegato A; 1.1.19 “Sub-responsabile”: soggetti terzi di cui il Fornitore si avvale per l’esecuzione dei Trattamenti dei Dati Personali funzionali all’erogazione dei Servizi oggetto del Contratto, previa autorizzazione del Titolare; 1.1.20 “Titolare”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri; 1.1.21 “Trattamenti”: i trattamenti di Dati personali che il Fornitore pone in essere, come indicati all’interno del Registro dei trattamenti del Titolare, riportato nell’Allegato A, attenendosi alle eventuali Istruzioni fornite, al fine di eseguire i Servizi oggetto del Contratto. 1.1.22 “Violazione dei Dati Personali”: ogni violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai Dati Personali. 1.2 Qualora nella lettura ed interpretazione del presente Contratto di Nomina dovessero sorgere dubbi sul significato da attribuire ai termini e alle espressioni utilizzati, dovrà farsi riferimento, ove possibile, al significato attribuito dal GDPR o, in subordine, all’interpretazione più idonea a garantire il rispetto dei principi del GDPR. _________________________________________________________________________________________________________________________________________ Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell’articolo 28, Regolamento (UE) 2016/679 Pag. 2 di 8 2. Oggetto 2.1 Con il presente [omissis] Titolare nomina il Fornitore responsabile del trattamento ai sensi dell’articolo 28 GDPR, con specifico riferimento ai Trattamenti dei Dati Personali connessi all’esecuzione dei Servizi. 2.2 Il Fornitore accetta la nomina e si impegna a: i. trattare i Dati Personali esclusivamente al fine di svolgere i Servizi regolati dal Contratto sottoscritto con il Titolare e secondo le eventuali Istruzioni fornite, salvo che indisponibilità tecniche e/o economiche o che il diritto dell’Unione e/o nazionale impongano al Fornitore di non aderire alle Istruzioni; in tal caso, quest’ultimo informerà il Titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto dell’Unione e/o nazionale vieti tale informazione per rilevanti motivi di interesse pubblico; ii. informare il Titolare, qualora, ad avviso dello stesso, le Istruzioni violino il GDPR o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati personali. 2.3 Per tutta la durate del [omissis] Titolare determinerà le finalità e le modalità da osservare per l’esecuzione dei Trattamenti dei Dati Personali. 2.4 Il Titolare dichiara e garantisce che: i. i Dati Personali conferiti al Responsabile sono esatti e aggiornati e che sussistono tutti i necessari presupposti di legge affinché questi vengano trasmessi al Fornitore per l’esecuzione dei Trattamenti funzionali all’erogazione dei Servizi; ii. i Trattamenti effettuati dal Fornitore per lo svolgimento dei Servizi sono tutti fondati sulle condizioni di liceità del trattamento di cui agli artt. 6 e 9 del GDPR e, in generale, rispettano le condizioni previste dalla Normativa Privacy. In particolare, ove il Trattamento si basi sul consenso dell’Interessato, il Titolare ha acquisito tempestivamente tale consenso e ne conserva prova documentale. Con particolare riferimento ai Trattamenti dei Dati Personali relativi ai minori di età inferiore ai quattordici (14) anni, ove richiesto dalla [omissis] Titolare garantisce di aver acquisito il consenso delle persone esercenti la responsabilità genitoriale ai sensi dell’art. 2-quinquies del Codice Privacy e dell’art. 8 del GDPR e di conservarne prova documentale; iii. comunicherà tempestivamente al Responsabile ogni eventuale modifica e rettifica dei Dati Personali, ogni modifica o cessazione delle condizioni di liceità del trattamento di cui agli artt. 6 e 9 del GDPR, ivi inclusa la revoca del consenso dell’Interessato, nonché qualsiasi richiesta da parte di un Interessato riguardante la cancellazione e/o la rettifica dei Dati Personali o la limitazione o opposizione al trattamento. 3. Personale del Fornitore e Riservatezza 3.1 Il Fornitore dichiara e garantisce che, nell’ambito della propria organizzazione, i Dati Personali sono trattati soltanto dal Personale. 3.2 Il Fornitore si impegna a nominare i soggetti di cui al precedente paragrafo autorizzati al Trattamento. Attraverso tali nomine, il Responsabile garantisce l’impegno alla riservatezza assunto dal Personale con riferimento al Trattamento dei Dati Personali e fornisce al Personale apposite istruzioni sul Trattamento dei Dati Personali, assicurando che i Dati Personali siano trattati nel rispetto della Normativa Privacy e del presente Contratto di Nomina. 3.3 Nell’ipotesi in cui il Contratto abbia ad oggetto lo svolgimento da parte del Fornitore anche dei servizi di amministrazione di sistema, il Fornitore si impegna ad ottemperare a tutti gli obblighi previsti nel Provvedimento e, in particolare, a: 3.3.1 designare quali amministratori di sistema il/i soggetto/i che, tenuto conto della sua/loro esperienza professionale, in particolare con riferimento alle capacità ed affidabilità dimostrate nello svolgimento delle proprie mansioni, è/sono in possesso dei requisiti richiesti dal Provvedimento per assolvere la funzione di amministratore di sistema e garantire il pieno rispetto delle vigenti disposizioni in materia di trattamento dei dati personali (ivi compreso il profilo relativo alla sicurezza); _________________________________________________________________________________________________________________________________________ Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell’articolo 28, Regolamento (UE) 2016/679 Pag. 3 di 8 3.3.2 fornire al Titolare gli estremi identificativi degli amministratori di sistema designati, al fine di permettere al Titolare stesso di adempiere, a sua volta, alle prescrizioni dettate dal Provvedimento, provvedendo, altresì, ad aggiornare tale elenco ogniqualvolta necessario; 3.3.3 svolgere tutti i controlli sull’operato degli amministratori di sistema designati, nonché sugli accessi logici ai sistemi di elaborazione ed agli archivi elettronici effettuati dagli stessi amministratori di sistema, in conformità alle previsioni del Provvedimento. 4. Sub-responsabili 4.1 Il Titolare autorizza sin da ora ed in via generale il Fornitore ad avvalersi di soggetti terzi per lo svolgimento dei Servizi e, quindi, a subdelegare a terzi porzioni di trattamento dei Dati Personali, nel rispetto delle disposizioni previste nel presente articolo. In particolare, il Titolare autorizza sin d’ora il Fornitore a designare quali Sub- responsabili i soggetti terzi individuati nell’Allegato B. 4.2 Il Fornitore si impegna a comunicare al Titolare, nelle forme e con le modalità di cui al successivo articolo 4.3, il nominativo degli eventuali ulteriori soggetti terzi nominati Sub-responsabili che presentino garanzie idonee a rispettare i requisiti del GDPR, del Contratto di Nomina e a garantire la tutela dei diritti degli Interessati. 4.3 Con cadenza annuale il Fornitore si impegna ad inviare al Titolare l’elenco aggiornato dei soggetti terzi nominati Sub-responsabili. 4.4 Il Fornitore prende atto e riconosce di essere responsabile anche relativamente ai Trattamenti dei Dati Personali posti in essere dal Sub-responsabile, salvo quanto previsto dall’art. 82, comma 3 del GDPR. 4.5 Il contratto di nomina del Sub-responsabile a responsabile del Fornitore non potrà indicare la possibilità del Sub-responsabile di avvalersi, senza la previa autorizzazione del Titolare, di un ulteriore sub-responsabile per lo svolgimento dei Servizi. 4.6 Il Fornitore si impegna a nominare il Sub-responsabile del trattamento nel rispetto di quanto previsto dell’articolo 28 GDPR, vincolandolo, mediante un contratto, agli stessi obblighi imposti dal Titolare al Fornitore in forza del presente Contratto di Nomina. 5. Sicurezza dei Dati Personali 5.1 Tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento dei Dati Personali, come anche del rischio per i diritti e le libertà delle persone fisiche, il Titolare ed il Fornitore si impegnano a mettere in atto ed a mantenere per tutta la durata del presente Contratto di Nomina misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, ai sensi della Normativa Privacy. Il Fornitore, in particolare, con il presente Contratto di Nomina conviene con il Titolare che adotterà le misure di sicurezza indicate nell’Allegato D al presente Contratto di Nomina, che il Titolare ha già valutato ai fini del conferimento della designazione del Fornitore quali misure di sicurezza idonee ed adeguate ai fini della protezione dei Dati Personali. 5.2 Il Titolare è consapevole che gli applicativi informatici predisposti dal Responsabile, e attraverso i quali vengono erogati i Servizi, richiedono la definizione di una serie di misure di sicurezza, individuate nell’Allegato C, la cui specifica determinazione è rimessa alla valutazione ed alle scelte di merito del Titolare stesso, in osservanza Ente ________________________________________________________________________________________________________ De Gasperi 30 Castiglione d'Adda Via _________________________________________________, CAP 2 6 8 2 3 ______________________________ loic80800n@pec.istruzione.it loic80800n@istruzione.it Indirizzo PEC: _____________________________________ – Indirizzo EMAIL: _____________________________________ Dirigente Scolastico Dott. [omissis] All’attenzione di ____________________________________________________________________________________________ _________________________________________________________________________________________________________________________________________ Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell’articolo 28, Regolamento (UE) 2016/679 Pag. 7 di 8 Per il Responsabile: Gruppo Spaggiari Parma S.p.A. Via Ferdinando Bernini 22/a, CAP 43126, Parma Indirizzo PEC: spaggiari@legalmail.it – Indirizzo EMAIL: privacy@spaggiari.eu Legale rappresentante Per il Responsabile Esterno Parma, (data di validità della firma digitale apposta) Presidente (firmato digitalmente) ALLEGATI ▪ ALLEGATO A – Schede del Registro dei Trattamenti del Titolare relative ai Trattamenti effettuati dal Fornitore nello svolgimento dei Servizi. ▪ ALLEGATO B – Elenco dei Sub-responsabili autorizzati dal Titolare. ▪ ALLEGATO C – Elenco delle misure di sicurezza tecniche e organizzative che il Fornitore deve adottare ai sensi dell’articolo 5.1 del presente Contratto di Nomina. ▪ ALLEGATO D – Elenco delle misure di sicurezza tecniche e organizzative relative agli applicativi, rimesse alla valutazione ed alle scelte di merito del Titolare ai sensi dell’articolo 5.2 del presente Contratto di Nomina. Gli Allegati indicati sono disponibili online al seguente indirizzo: http://www.spaggiari.eu/privacy/privacy.html nel formato PDF/A che come previsto dal CAD (D.Lgs. 82/2005 s.m.i.) ne assicura il valore giuridico e la piena efficacia probatoria. ________________________________________________________________________________________________________________________________________ _ Contratto di nomina a responsabile del trattamento dei dati personali ai sensi dell’articolo 28, Regolamento (UE) 2016/679 Pag. 8 di 8