NOMINA A RESPONSABILE DEL TRATTAMENTO (ex art. 28 RGPD UE 2016/679) Spett.le Argo Software s.r.1. Zona Industriale IIl Fase s.n. 97100, Ragusa (Rg) tolare del trattamento, considerato che le prestazioni correlate al contratto in essere tra codesta istituzione scolastica e la Argo Software srl, avente per oggetto l'erogazione, messa a disposizione, assistenza e formazione degli applicativi SaaS acquistati, possono comportare il trattamento di dati personali in nome e per conto dell'istituzione scolastica , come specificato nelle Condizioni generali di servizio internet erogarti in modalità cloud/SaaS della licenza d'uso del software all'art. 7; considerato che eventuali prestazioni di assistenza e manutenzione richieste da codesta istituzione scolastica sugli applicativi on premises venduti dalla Argo Software srl, possono comportare il trattamento di dati personali in nome e per conto dell'istituzione scolastica , come specificato nelle Condizioni generali di concessione della licenza d'uso del software all’art. 6; considerate la natura e la tipologia dei dati personali e delle categorie di interessati gestiti all’interno di ogni applicativo richiamato nel modulo d'ordine, adeguatamente dettagliate nel registro delle attività di trattamento del responsabile che è da considerarsi un allegato della presente; verificate le idonee garanzie del rispetto delle disposizioni vigenti in materia di trattamento dei dati personali ed in particolare di quelle attinenti il profilo della sicurezza informatica che la Argo Software srl, per esperienza, capacità e affidabilità, è in grado di fornire; Nomina la Argo Software srl, ai sensi dell'art. 28 RGPD UE 2016/679 e nel rispetto delle linee guida EDPB 07/20, Responsabile del trattamento dei dati personali per i servizi richiamati nel modulo d'ordine, limitatamente ai dati personali evidenziati, per ogni prodotto, nel Registro dei Trattamenti del responsabile. Per effetto della nomina, la Argo Software srl s'impegna ad osservare le disposizioni vigenti in materia di protezione dei dati personali e ad attenersi con la massima diligenza alle seguenti istruzioni: a. per quanto di sua competenza, effettuare il trattamento in osservanza dell’art. 5 del citato Regola- mento relativo ai “Principi applicabili al trattamento dei dati personali”; b. trattare i dati solo per le finalità sopra specificate e per l'esecuzione delle prestazioni contrattuali; c. trattare i dati nel territorio della Unione Europea e comunque nel pieno rispetto dei requisiti previsti dal Capo V (artt. 44 e ss.) del RGPD UE 2016/679; adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia e di osserva- re scrupolosamente quanto in essa previsto; mantenere in atto e migliorare continuamente, ove possibile, il Sistema di Gestione per la Sicurez- za delle Informazioni certificato secondo la norma ISO IEC 27001:2013 e con l'adozione dei con- trolli delle linee guida ISO /IEC 27017:2015 e ISO/IEC 27018:2019. Mantenere quindi a disposizio- ne il dettaglio e la dimostrazione della adeguatezza delle misure di protezione adottate tramite la policy web pubblicata sul sito della Argo al link https:/Amww.argosoft.it/privacy.php ; restituire, su richiesta del titolare, al termine delle attività da contratto di erogazione del software SaaS, i dati in formato di esportazione aperto corredati di specifiche tecniche; cancellare i dati personali trattati per conto dell’istituto Scolastico al termine delle attività da contrat- to di erogazione del software SaaS ed anche di singole operazioni di manutenzione/aggiornamento (e.g. dump di database), anche da tutte le copie esistenti, compresi i backup, fatte salve le prescri- zioni di legge, secondo i tempi dettagliati nella policy web pubblicata sul sito della Argo al link https://www.argosoft.it/privacy.php; restituire e cancellare tutti i dati ricevuti e trattati per prestazioni di assistenza e manutenzione ri- chieste dal cliente sugli applicativi on premises, al termine di ogni operazione, anche di tutte le co- pie esistenti compresi i backup, come indicato nei relativi moduli di richiesta; 1di2 Mod. Nomina_Resp_Argo_ Stat rev.04 31-08-2022 mettere a disposizione del cliente tutte le informazioni atte a dimostrare la conformità alla vigente normativa di fronte ad una richiesta della Autorità competente; comunicare senza ingiustificato ritardo qualunque violazione di dati personali sugli archivi acquisiti o conservati per conto dei clienti ai fini della gestione dei data breach, in ogni caso con tempistiche tali da consentire al Titolare la eventuale notifica entro i termini previsti dalla normativa vigente; provvedere immediatamente, nel caso di richiesta da parte di un interessato per l'esercizio di un di- ritto o un reclamo, a comunicarlo all'Istituto Scolastico e non rispondendo all'interessato, salvo di- versa richiesta esplicita del Titolare del trattamento; autorizzare ed istruire adeguatamente il personale dedicato ai servizi, vincolandolo alla riservatez- za; . vigilare costantemente sull'operato dei soggetti autorizzati al fine di evitare che vengano disattese le misure tecniche ed organizzative atte a proteggere le informazioni personali; avvalersi, per l'erogazione dei servizi SaaS, di Cloud Service Providers che siano almeno qualificati AgiD e certificati ISO/IEC 27001 con l'adozione dei controlli delle linee guida ISO /IEC 27017:2015 e ISO/IEC 27018:2019, incaricandoli in qualità di subresponsabili del trattamento; provvedere alla nomina dei concessionari Argo quali sub-responsabili del trattamento per le attività di assistenza ai software e manutenzione degli archivi dei sistemi informatici specificati nell’apposi- to contratto di licenza software, sia esso SaaS o on premises, fornendo loro istruzioni in merito alle misure di sicurezza da adottare e vincolandoli alla riservatezza dei dati; contrattualizzare tali subresponsabili perché mantengano e migliorino le adeguate garanzie e pre- vedere il rispetto di tutti gli obblighi assunti con questo incarico; mantenere a disposizione del Titolare del Trattamento e consegnare su richiesta l'elenco dei subre- sponsabili autorizzati, oltre a darne chiara evidenza nella policy web pubblicata sul sito della Argo al link https://www.argosoft.it/privacy.php e nel Registro delle attività del trattamento del reSponsabi- le; comunicare, in caso di modifica dei citati subresponsabili, la variazione tramite indicazione nella ci- tata Policy Web con almeno 30 giorni di anticipo, così da consentire al Titolare del trattamento le opportune verifiche ed approfondimenti e la possibilità di opporsi al cambiamento rescindendo il contratto di servizi. Decorsi 30 giorni dalla comunicazione senza osservazioni da parte del Titolare, i subresponsabili si intenderanno autorizzati dallo stesso. rispettare, in relazione alle attività sistemistiche svolte sugli applicativi e sistemi utilizzati, il Provve- dimento del 27 novembre 2008 sugli Amministratori di Sistema ed in particolare: valutare le caratte- ristiche soggettive degli amministratori di sistema, designarli individualmente, rendendo disponibile su richiesta del titolare l'elenco degli amministratori nominati, registrarne, conservarne ed analiz- zarne i log di accesso ai sistemi ed alle banche dati messe a disposizione in SaaS; operare avvalendosi del proprio DPO (Data Protection Officer) i cui riferimenti sono resi pubblici tramite il sito web alla pagina: https:/A\mww. argosoft.it/privacy.php Il Titolare del trattamento si riserva di verificare periodicamente la rispondenza dell'operato della Argo Software srl alle suindicate disposizioni e istruzioni, concordando preventivamente con la Argo Software srl tempi e modalità al fine di non intralciare l’ordinaria attività del personale della Argo Software srl. La presente nomina s'intende automaticamente revocata alla scadenza senza rinnovo o risoluzione del contratto. San Giovanni Valdarne "datal 13/12/2019 Città Argo Software s.r.l. il Legale Rappresentante 2di2 Mod. Nomina_Resp_Argo_ Stat rev.04 31-08-2022