In relazione al quesito formulato , il Servizio Consulenza ed assistenza Privacy ha provveduto a conformare l'apposita sezione della Piattaforma in dotazione con i dati comunicati ed ha generato il

• contratto con Responsabile del trattamento: Soggetto affidatario assistenza tecnica manutentiva installazione PC

dalla apposita sezione CONSULENZA - MODELLI - MODELLI CONTRATTI CON RESPONSABILI.

Tale contratto dovrà essere:

• personalizzato e sottoscritto dalle parti, acquisito al relativo fascicolo ed esibilito alle Autorità in caso di controlli

• inviato allo scrivente Servizio GDPR-DPO Entionline per essere controllato e conservato all'interno della Piattaforma telematica All privacy, sezione Documentazione, che funge da "Fascicolo" elettronico e digitale del Sistema di gestione per il trattamento e la protezione dei dati personali.

Per la visione dell'allegato è necessario accedere alla Piattaforma All Privacy sezione

• RPD/DPO

• PARERI/RPD/DPO.

L'informativa prevede:

MODELLO

CONTRATTO CON IL RESPONSABILE DEL TRATTAMENTO

AI SENSI DELL'ART. 28 DEL REGOLAMENTO (EU) 2016/679

In data :

tra

- Ente .... , con sede in .....

titolare

e

- Soggetto affidatario assistenza tecnica manutentiva installazione PC

responsabile

PREMESSE

Il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonche' alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati (di seguito solo "GDPR") disciplina, all'art. 28, i casi in cui un trattamento debba essere effettuato, per conto del titolare del trattamento, da un responsabile, per tale dovendosi intendere la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che offre garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell'interessato, e a cui il titolare ricorre per il trattamento.

I trattamenti dei dati personali relativi al servizio/attivita' di: Servizio di installazione/manutenzione computer

per il periodo dal al , vengono effettuati, per conto del titolare, dal responsabile Soggetto affidatario assistenza tecnica manutentiva installazione PC .

I suddetti trattamenti, da parte del responsabile del trattamento, secondo la disciplina del GDPR, vanno disciplinati da un contratto o da altro atto giuridico che vincoli il responsabile del trattamento al titolare del trattamento, fermo restando che il contratto o altro atto giuridico puo' basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 dell'art. 28 del GDPR, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43 GDPR;

Con il presente contratto, il titolare e il responsabile intendono conformarsi alla disciplina del GDPR stipulando, relativamente al servizio/attivita' sopra indicata il presente contratto volto a disciplinare:

- la materia del trattamento

- durata del trattamento

- la natura del trattamento

- la finalita' del trattamento

- il tipo di dati personali

- le categorie di interessati

- gli obblighi del titolare del trattamento

i diritti del titolare del trattamento

TUTTO CIO' PREMESSO

tra il titolare e il responsabile in epigrafe indicati si stipula quanto segue.

1. Materia disciplinata dal trattamento

Il presente contratto ha per oggetto la nomina del responsabile del trattamento e la disciplina del rapporto derivante da detta nomina.

Il titolare, cui competono le decisioni in ordine alle finalita' ed alle modalita' del trattamento, in persona del legale rappresentante, nomina Soggetto affidatario assistenza tecnica manutentiva installazione PC quale responsabile dei trattamenti dei dati personali effettuati in relazione all'attivita'/servizio: installazione /manutenzione computer

La nomina non costituisce autorizzazione generale ma autorizzazione limitata esclusivamente ai trattamenti relativi all'attivita'/servizio specificatamente indicata nel presente contratto.

La nomina, che costituisce specifica autorizzazione in favore del responsabile, consente al responsabile medesimo di trattare i dati personali soltanto in relazione alle specifiche finalita' correlate dell'attivita'/servizio, e su istruzione documentata del titolare, specie in caso di trasferimento di dati personali verso un paese terzo o un'organizzazione internazionale, salvo che lo richieda il diritto dell'Unione o nazionale cui e' soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico.

Col presente contratto, il titolare conferisce autorizzazione scritta al responsabile a poter ricorrere a eventuali ulteriori responsabili del trattamento ("sub-responsabile/i"), nella prestazione del servizio/attivita'.

Nel caso in cui il responsabile faccia effettivo ricorso a sub-responsabili, il responsabile medesimo si impegna a:

• informare il titolare delle decisioni riguardanti l'individuazione di sub- responsabili, dando cosi' al titolare la possibilita' di opporsi a tali modifiche.

• selezionare sub-responsabili tra soggetti che, per esperienza, capacita' e affidabilita':

• forniscano adeguate garanzie in ordine alla attuazione di misure tecniche e organizzative che soddisfino i requisiti della normativa applicabile pro tempore

• garantiscano l'esercizio e la tutela dei diritti degli interessati.

Il responsabile si impegna altresi' a stipulare specifici contratti, o altri atti giuridici, con i sub-responsabili, con i quali il responsabile:

• descrive analiticamente i compiti dei sub-responsabili;

• impone a tali soggetti di rispettare i medesimi obblighi, con riferimento alla disciplina sulla protezione dei dati personali, imposti dal titolare sul responsabile ai sensi della normativa vigente, e ai sensi delle disposizioni e dei provvedimenti della competente autorita' di controllo, prevedendo in particolare adeguate garanzie in ordine alla attuazione di misure tecniche e organizzative tali da soddisfare i requisiti del GDPR.

Il responsabile:

• da' atto che, qualora il sub-responsabile ometta di adempiere ai propri obblighi in materia di protezione dei dati:

• il responsabile conserva nei confronti del titolare l'intera responsabilita' dell'adempimento degli obblighi dei sub-responsabili.

• si impegna a manlevare, e tenere indenne il titolare da qualsiasi danno, pretesa, risarcimento, e/o sanzione possa derivare al titolare dalla mancata osservanza di tali obblighi e piu' in generale dalla violazione della applicabile normativa sulla tutela dei dati personali da parte del responsabile e dei suoi sub-responsabili.

• si impegna altresi' ad informare il titolare di eventuali modifiche previste riguardanti la sostituzione di altri sub- responsabili, dando cosi' al titolare la possibilita' di opporsi a tali modifiche.

Il titolare autorizza espressamente il responsabile, che a cio' si impegna, a stipulare per suo conto con eventuali sub-responsabili, quando stabiliti in un paese al di fuori dell'Unione Europea per il quale la Commissione Europea non abbia emesso un giudizio di adeguatezza del livello di protezione dei dati personali:

• uno specifico accordo per il trasferimento dei dati all'estero contenente le apposite garanzie e clausole contrattuali, e successive modifiche adottate dalla stessa Commissione Europea con Decisione 2010/87/EU del 5 febbraio 2010.

1.1. Istruzioni documentate del titolare al responsabile

Con riferimento alla presente nomina, il titolare impartisce le seguenti istruzioni.

Il responsabile del trattamento:

• non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare;

• tenendo conto dello stato dell'arte e dei costi di attuazione, nonche' della natura, dell'oggetto, del contesto e delle finalita' del trattamento, come anche del rischio di varia probabilita' e gravita' per i diritti e le liberta' delle persone fisiche, deve assicurarsi che le misure di sicurezza predisposte ed adottate siano adeguate a garantire un livello di sicurezza adeguato al rischio, in particolare contro:

• distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

• trattamento dei dati non consentito o non conforme alle finalita' delle operazioni di trattamento.

• adotta tutte le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato richieste ai sensi dell'articolo 32 GDPR e, a tal fine, se del caso:

• mette in atto la pseudonimizzazione e la cifratura dei dati personali;

• assicura la capacita' di assicurare su base permanente la riservatezza, l'integrita', la disponibilita' e la resilienza dei sistemi e dei servizi di trattamento;

• assicura la capacita' di ripristinare tempestivamente la disponibilita' e l'accesso dei dati personali in caso di incidente fisico o tecnico;

• mette in atto una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

• tiene, e aggiorna costantemente un registro di tutte le categorie attivita' relative al trattamento svolte per conto di un titolare del trattamento, contenente le informazioni indicate dall'art. 30 paragrafo 2 del GDPR;

• quando ricorre a un altro responsabile del trattamento per l'esecuzione di specifiche attivita' di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento impone, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel presente contratto tra il titolare e il responsabile, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR. Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilita' dell'adempimento degli obblighi dell'altro responsabile;

• tenendo conto della natura del trattamento, assiste il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui cio' sia possibile, al fine di soddisfare l'obbligo del titolare del trattamento di dare seguito alle richieste per l'esercizio dei diritti dell'interessato. In particolare, ove applicabile e in considerazione delle attivita' di trattamento affidategli, deve:

• consentire al titolare di fornire agli interessati i propri dati personali in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, nonche' di trasmettere i dati ad altro titolare;

• consentire al titolare di garantire in tutto o in parte i diritti di opposizione e limitazione del trattamento.

• assiste il titolare del trattamento nel garantire il rispetto degli obblighi di sicurezza del trattamento, notifica di una violazione dei dati personali all'autorita' di controllo, comunicazione di una violazione dei dati personali all'interessato, valutazione d'impatto sulla protezione dei dati e consultazione preventiva cui agli articoli da 32 a 36 GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;

• su scelta del titolare, cancella o restituisce al titolare tutti i dati personali dopo che e' terminata la prestazione dei servizi/attivita' in epigrafe indicati, relativi al trattamento e cancella le copie esistenti, salvo che il diritto dell'Unione o degli Stati membri preveda la conservazione dei dati; e mette a disposizione del titolare del trattamento tutte le informazioni circa lo svolgimento delle operazioni di trattamento o del luogo in cui sono custoditi i dati e, piu' in generale, tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto, consentendo e favorendo le attivita' di controllo, comprese le ispezioni, realizzati dal titolare o da un altro soggetto da questi incaricato. Nei suddetti casi, il Responsabile, su richiesta del titolare, provvede a rilasciare apposita dichiarazione scritta contenente l'attestazione che, presso il Responsabile, non esiste alcuna copia dei dati personali, e delle informazioni trattate per conto del titolare. Sul contenuto di tale dichiarazione il titolare si riserva il diritto di effettuare controlli e verifiche volte ad accertarne la veridicita';

• comunica tempestivamente al titolare istanze degli interessati nonche' reclami, contestazioni, ispezioni o richieste del Garante e delle Autorita' Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali;

• individua, e comunica tempestivamente al titolare le persone che, nell'ambito della propria organizzazione, lo stesso responsabile autorizza al trattamento, facendosi contestualmente carico, nell'atto di designazione, di fornire adeguate istruzioni scritte alle persone autorizzate al trattamento circa le modalita' del trattamento, in ottemperanza a quanto disposto dalla legge e dal presente contratto, e facendosi carico altresi' di garantire una adeguata formazione in materia alle persone medesime e il successivo aggiornamento professionale;

• vincola le persone autorizzate al trattamento alla riservatezza o ad un adeguato obbligo legale di riservatezza, anche per il periodo successivo all'estinzione del rapporto di lavoro/collaborazione intrattenuto con il responsabile, in relazione alle operazioni di trattamento da esse eseguite;

• per quanto concerne l'amministratore di sistema, il responsabile e' tenuto al rispetto delle disposizioni relative alla disciplina sugli amministratori di sistema, incluse le disposizioni contenute nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008, come successivamente modificato in dal provvedimento del 25 giugno 2009, impegnandosi a conservare gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema, e a fornirli e al titolare su richiesta del medesimo;

• informa immediatamente il titolare del trattamento qualora, a suo parere, un'istruzione violi il GDPR o altre disposizioni, nazionali o dell'Unione, relative alla protezione dei dati;

• se, violando le disposizioni di legge e delle presenti istruzioni, determina le finalita' e i mezzi del trattamento, e' considerato un titolare del trattamento in questione

• in caso di danni derivanti dal trattamento, il Responsabile e' tenuto a risponderne qualora non abbia adempiuto agli obblighi della normativa pro tempore vigente in materia di trattamento di dati personali specificatamente diretti ai responsabili del trattamento o abbia agito in modo difforme o contrario rispetto alle presenti legittime istruzioni del titolare;

Il Titolare si riserva di impartire, durante il corso di svolgimento del servizio/attivita' specificatamente individuata nel presente contratto, ulteriori istruzioni scritte che si rendano necessarie per implementare il livello di protezione dei dati.

2. Durata del trattamento

La nomina e la relativa autorizzazione al trattamento dei dati, per conto del titolare, ha efficacia limitata al solo ed esclusivo periodo intercorrente tra la data di stipulazione del presente contratto e la conclusione dell'attivita'/servizio i cui dati sono oggetto di trattamento, salvi gli specifici obblighi che per loro natura sono destinati a permanere in base ad una specifica disposizione nazionale o dell'Unione europea.

Per effetto di quanto sopra, la nomina e la relativa autorizzazione al trattamento dei dati, per conto del titolare, cessa in data: .

Qualora l'attivita'/servizio in epigrafe indicati, e i cui dati sono oggetto di trattamento per conto del titolare, non venga piu' fornita o cessi, per qualsiasi motivo, il presente contratto si intendera' automaticamente risolto di diritto, senza bisogno di comunicazioni, disdette o revoche, e l'autorizzazione al trattamento dei dati si intende cessata.

3. Natura del trattamento

Il servizio/attivita' affidata al responsabile del trattamento dati ha trattamenti aventi la seguente natura:

- Conferimento facoltativo

4. Finalita' del trattamento

Il responsabile e' tenuto a raccogliere i dati esclusivamente per le finalita' determinate, esplicite e legittime collegate al servizio/attivita' in epigrafe indicata, e successivamente a trattare i dati in modo che non sia incompatibile con tali finalita'.

Qualora il responsabile del trattamento intenda trattare ulteriormente i dati personali per una finalita' diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento informa il titolare, e fornisce all'interessato informazioni in merito a tale diversa finalita' e ogni ulteriore informazione pertinente di cui al paragrafo 2 dell'art. 13 GDPR.

Laddove il responsabile effettui il trattamento per una finalita' diversa da quella per la quale i dati personali sono stati raccolti e tale trattamento non sia basato sul consenso dell'interessato o su un atto legislativo dell'Unione o degli Stati membri che costituisca una misura necessaria e proporzionata in una societa' democratica per la salvaguardia degli obiettivi di cui all'articolo 23, paragrafo 1 GDPR, al fine di verificare se il trattamento per un'altra finalita' sia compatibile con la finalita' per la quale i dati personali sono stati inizialmente raccolti, il titolare del trattamento tiene conto, tra l'altro:

• di ogni nesso tra le finalita' per cui i dati personali sono stati raccolti e le finalita' dell'ulteriore trattamento previsto;

• del contesto in cui i dati personali sono stati raccolti, in particolare relativamente alla relazione tra l'interessato e il titolare del trattamento;

• della natura dei dati personali, specialmente se siano trattate categorie particolari di dati personali ai sensi dell'ar­ticolo 9 GDPR, oppure se siano trattati dati relativi a condanne penali e a reati ai sensi dell'articolo 10 GDPR;

• delle possibili conseguenze dell'ulteriore trattamento previsto per gli interessati;

• dell'esistenza di garanzie adeguate, che possono comprendere la cifratura o la pseudonimizzazione.

5. Tipo di dati personali

Le categorie di dati personali oggetto di trattamento, in relazione al servizio/attivita' in epigrafe indicata, sono:

- Tutti i dati in possesso dell' Ente

Il titolare da' atto che i dati da lui trasmessi al Responsabile del trattamento:

1. sono pertinenti e non eccedenti rispetto alle finalita' per le quali sono stati raccolti e successivamente trattati;

2. in ogni caso, i dati personali, oggetto delle operazioni di trattamento affidate al responsabile, devono essere raccolti e trattati rispettando ogni prescrizione normativa e regolamentare e, per l'effetto devono essere, a cura del responsabile del trattamento:

• trattati in modo lecito, corretto e trasparente nei confronti dell'interessato ("liceita', correttezza e trasparenza");

• raccolti per le finalita' determinate, esplicite e legittime sopra indicate, e successivamente trattati in modo che non sia incompatibile con tali finalita'; un ulteriore trattamento dei dati personali a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici non e', conformemente all'articolo 89, paragrafo 1 GDPR, considerato incompatibile con le finalita' iniziali ("limitazione della finalita'");

• adeguati, pertinenti e limitati a quanto necessario rispetto alle finalita' per le quali sono trattati ("minimizzazione dei dati");

• esatti e, se necessario, aggiornati; devono essere adottate tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalita' per le quali sono trattati ("esattezza");

• conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalita' per le quali sono trattati; i dati personali possono essere conservati per periodi piu' lunghi a condizione che siano trattati esclusivamente a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici, conformemente all'articolo 89, paragrafo 1, fatta salva l'attuazione di misure tecniche e organizzative adeguate richieste dal presente regolamento a tutela dei diritti e delle liberta' dell'interessato ("limitazione della conservazione");

• trattati in maniera da garantire un'adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali ("integrita' e riservatezza").

Resta inteso che rimane a carico del titolare l'onere di individuare la base legale del trattamento dei dati personali degli interessati.

Nell'eseguire il trattamento dei dati, il responsabile del trattamento considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell'ambito di applicazione, del contesto e delle finalita' del medesimo.

6. Categorie di interessati

Le categorie di interessati, i cui dati sono oggetto di trattamento, sono:

- Utenti (anche potenziali)

Il responsabile del trattamento garantisce la scrupolosa osservanza di tutte le disposizioni relative ai diritti degli interessati contenute nel Capo III, articoli da 12 a 23 del GDPR nonche' nel contenute nel Capo VIII.

7. Obblighi del titolare del trattamento

Il titolare assume tutti gli obblighi generali imposti al titolare dal Capo IV del GDPR.

Il titolare si impegna, altresi', a comunicare al responsabile del trattamento qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati.

Il titolare rimane responsabile del trattamento delle informazioni attuate tramite procedure applicative sviluppate secondo sue specifiche e/o attraverso propri strumenti informatici o di telecomunicazioni.

8. Diritti del titolare del trattamento

Il titolare ha diritto:

• al puntuale ed esatto adempimento di tutti gli obblighi gravanti sul responsabile dal GDPR e dal presente contratto;

• al puntuale ed esatto adempimento delle legittime istruzioni contenute nel presente contratto e nelle istruzioni successivamente impartite

L'adempimento non comporta, per il responsabile, alcun diritto a compenso e/o indennita' e/o rimborso derivante dal trattamento, e dal presente contratto.

Disposizioni finali

Con il presente contratto viene revocato e sostituito espressamente ogni altro contratto o accordo tra le parti inerente il trattamento di dati personali in epigrafe indicato.

Per quanto non espressamente indicato nel presente contratto, il titolare e il responsabile del trattamento rinviano al GDPR, al decreto legislativo di attuazione del GDPR nonche' ai provvedimenti dell'autorita' di controllo.