ALLEGATO
Prot. nr. 2022/ del / /2022
ALLEGATO
Atto giuridico a norma dell’art. 28, paragrafo 3, del Regolamento UE 2016/679 tra Agenzia delle entrate- Riscossione e XXX.XX S.p.A., quale responsabile dei trattamenti dei dati personali effettuati nell’ambito del contratto di licenza d’uso e manutenzione del software “Antiriciclaggio” e relative istruzioni
Sommario
1 PREMESSA 3
1.1 Persone autorizzate al trattamento 7
1.2 Amministratori di sistema 7
1.3 Modalità di trattamento e di accesso ai dati, controllo e registrazione degli accessi 8
1.5 Comunicazione, diffusione, conservazione e cancellazione dei dati 9
1.6 Ricorso ad un altro responsabile del trattamento o a collaboratori esterni 10
1.8 Cessazione del trattamento dei dati personali e distruzione di dati obsoleti 11
1.9 Tenuta del Registro dei trattamenti e nomina del responsabile per la protezione dei dati 11
1.10 Attività di verifica e controllo 11
1.11 Obblighi di assistenza e collaborazione con il Titolare 12
1.12 Responsabilità 12
1.13 Durata del trattamento 13
1 Premessa
Agenzia delle entrate-Riscossione – nella persona di , con carica di
…………….., in qualità di Titolare del trattamento dei dati personali – d’ora in
avanti Titolare -
VISTO
- il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati), di seguito, per brevità, anche “Regolamento”;
PRESO ATTO
- che l’art. 4, paragrafo 1, numero 8, del suddetto Regolamento definisce il “Responsabile del trattamento” come la persona fisica o giuridica, l’autorità pubblica, il servizio o organismo che tratta dati personali per conto del titolare del trattamento;
- che l’art. 28 del Regolamento dispone che:
1. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato.
2. Il responsabile del trattamento non ricorre a un altro responsabile senza previa autorizzazione scritta, specifica o generale, del titolare del trattamento. Nel caso di autorizzazione scritta generale, il responsabile del trattamento informa il titolare del trattamento di eventuali modifiche previste riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l’opportunità di opporsi a tali modifiche.
3. I trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Il contratto o altro atto giuridico prevede, in particolare, che il responsabile del trattamento:
a) tratti i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese
terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento; in tal caso, il responsabile del trattamento informa il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
b) garantisca che le persone autorizzate al trattamento dei dati personali si siano impegnate
alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
c) adotti tutte le misure richieste ai sensi dell’articolo 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4 per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento, assista il titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III;
f ) assista il titolare del trattamento nel garantire il rispetto degli obblighi di cui agli articoli
da 32 a 36, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
g) su scelta del titolare del trattamento, cancelli o gli restituisca tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e cancelli le copie esistenti,
salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati; e
h) metta a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente articolo e consenta e contribuisca alle attività di revisione, comprese le ispezioni, realizzati dal titolare del trattamento o da un altro soggetto da questi incaricato. Con riguardo alla lettera h) del primo comma, il responsabile del trattamento informa immediatamente il titolare del trattamento qualora, a suo parere, un’istruzione violi il presente regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
4. Quando un responsabile del trattamento ricorre a un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento di cui al paragrafo 3, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento. Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
5. L’adesione da parte del responsabile del trattamento a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare le garanzie sufficienti di cui ai paragrafi
1 e 4 del presente articolo.
6. Fatto salvo un contratto individuale tra il titolare del trattamento e il responsabile del trattamento, il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 del presente articolo può basarsi, in tutto o in parte, su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del presente articolo, anche laddove siano parte di una certificazione concessa al titolare del trattamento o al responsabile del trattamento ai sensi degli articoli 42 e 43.
7. La Commissione può stabilire clausole contrattuali tipo per le materie di cui ai paragrafi
3 e 4 del presente articolo e secondo la procedura d’esame di cui all’articolo 93, paragrafo 2.
8. Un’autorità di controllo può adottare clausole contrattuali tipo per le materie di cui ai paragrafi 3 e 4 del presente articolo in conformità del meccanismo di coerenza di cui all’articolo 63.
9. Il contratto o altro atto giuridico di cui ai paragrafi 3 e 4 è stipulato in forma scritta, anche in formato elettronico.
10. Fatti salvi gli articoli 82, 83 e 84, se un responsabile del trattamento viola il presente regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.
- che l’art. 29 del Regolamento prevede che:
Il responsabile del trattamento, o chiunque agisca sotto la sua autorità o sotto quella del titolare del trattamento, che abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso dal titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri;
CONSIDERATO CHE
- In data …/…./….. ha sottoscritto con XXX.XX S.p.A. il contratto prot. nr. 2022/……… di licenza d’uso e manutenzione del software “Antiriciclaggio”, CIG ;
- XXX.XX S.p.A., ai sensi e per gli effetti dell’art. 28 del Regolamento, è Responsabile esterno del trattamento dei dati personali comuni (dati anagrafici, contabili e fiscali, inerenti possidenze e riscossione, inerenti il rapporto di lavoro, dati inerenti situazioni giudiziarie civili, amministrative, tributarie), nonché dati personali finanziari (dati relativi all'esistenza di rapporti finanziari (coordinate bancarie, consistenze saldi, movimenti, giacenza media, etc.) – di debitori iscritti a ruoloche, nell’ambito del Servizio regolato dal richiamato contratto vengono messi a disposizione di XXX.XX S.p.A.per le finalità sopra precisate;
con il presente Xxxx, in ottemperanza all’art. 28, paragrafo 3, del Regolamento, intende regolare i rapporti relativi alla protezione dei dati personali di Xxxxxxxx iscritti a ruolo con XXX.XX S.p.A. - d’ora in avanti Responsabile.
Nello specifico, è stato ritenuto che XXX.XX S.p.A., presenti - a mente dell’art. 28, paragrafo 1 e del considerando 81 del Regolamento - garanzie sufficienti, in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento, anche per la sicurezza, e garantisca la tutela dei diritti dell’interessato.
Qualsiasi mutamento sostanziale di queste garanzie, che possa sollevare incertezze sul mantenimento delle stesse, dovrà essere preventivamente segnalato al Titolare.
XXX.XX S.p.A., quale Responsabile, designa i propri “Amministratori di sistema” ai sensi del Provvedimento Generale del Garante per la protezione dei dati personali (di seguito, anche solo Garante o autorità di controllo) del 27 novembre 2008 (pubblicato sulla G.U. del 24 dicembre 2008), modificato dal provvedimento dello stesso Garante del 25 giugno 2009 (pubblicato sulla G.U. del 30 giugno 2009) e successive modifiche ed integrazioni.
Il Responsabile conferma la sua diretta ed approfondita conoscenza degli obblighi che assume in relazione a quanto disposto dal Regolamento e si impegna a procedere al trattamento dei predetti dati, attenendosi in materia di sicurezza dei dati, oltre che al rispetto della normativa vigente, anche alle istruzioni impartite dal Titolare che vigilerà sulla loro puntuale osservanza.
Il Responsabile deve trattare i dati personali in maniera conforme a quanto disposto dalla normativa vigente, dai provvedimenti del Garante, e soltanto secondo le istruzioni impartite sia nel presente atto sia in successive ed eventuali documentate comunicazioni del Titolare. Ciò, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile; in tal caso, il Responsabile informa il Titolare circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico (art. 28, paragrafo 3, lett. a) del Regolamento).
I trattamenti dei dati personali relativi alle attività previste nel contratto e nei relativi allegati devono essere effettuati con l’adozione delle misure di sicurezza ritenute idonee a garantire la riservatezza, l’integrità, la disponibilità e la custodia in ogni fase degli stessi trattamenti.
Il Responsabile è tenuto a trattare i dati personali nel rispetto dei principi di liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza, in conformità a quanto disposto dall’art. 5 del Regolamento.
Ove il Responsabile rilevi la sua impossibilità a rispettare le istruzioni impartite dal Titolare, anche per caso fortuito o forza maggiore (danneggiamenti, anomalia di funzionamento delle protezioni e controllo accessi, ecc.) deve attuare, comunque, le possibili e ragionevoli misure di salvaguardia e deve avvertire immediatamente il Titolare e concordare eventuali ulteriori misure di protezione.
Il Responsabile, le persone autorizzate al trattamento e gli amministratori di sistema designati che operano sotto la sua diretta autorità sono sottoposti, anche in ragione di quanto previsto dall’art. 35, comma 2, del d.lgs. n. 112/1999, al segreto d’ufficio in relazione alle informazioni acquisite nello svolgimento del Servizio dedotto in contratto.
1.1 Persone autorizzate al trattamento
Il Responsabile si impegna ad individuare le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità diretta, scegliendole tra i soggetti reputati idonei ad eseguire le operazioni di trattamento nel pieno rispetto delle prescrizioni legislative nazionali ed europee.
Il Responsabile garantisce, a norma dell’art. 28, paragrafo 3, lett. b) del Regolamento, che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
Il Responsabile deve tenere l’elenco nominativo di tutte le persone autorizzate, con i trattamenti affidati ed i relativi profili di autorizzazione di accesso ai dati.
Il Responsabile deve provvedere, nell’ambito dei percorsi formativi predisposti per gli incaricati, alla formazione sulle modalità di gestione sicura e sui comportamenti prudenziali nella gestione dei dati personali, specie con riguardo all’obbligo legale di riservatezza cui sono soggette le persone autorizzate al trattamento dei dati.
Il Responsabile, considerato l’art. 32, paragrafo 4, del Regolamento, fa si che chiunque agisca sotto la propria autorità e abbia accesso a dati personali non tratti tali dati se non è istruito in tal senso dal Titolare del trattamento, salvo che lo richieda il diritto dell’Unione o degli Stati membri.
1.2 Amministratori di sistema
Al fine di individuare i soggetti da nominare Amministratori di sistema, il Responsabile deve far riferimento alla valutazione delle caratteristiche soggettive e alla definizione che di tali figure viene data nell’ambito del Provvedimento del 27 novembre 2008 e nei successivi documenti interpretativi e/o integrativi.
Il Responsabile si impegna, con riferimento ai propri dipendenti, a dare attuazione a quanto previsto nel Provvedimento Generale del Garante del 27 novembre 2008, e successive modifiche e integrazioni, per l’attribuzione del ruolo di Amministratori di sistema.
In particolare, il Responsabile deve nominare per iscritto e in modo individuale come Amministratori di sistema, ai sensi del citato Provvedimento, le persone fisiche incaricate della gestione e manutenzione del sistema informativo, indicando analiticamente i rispettivi ambiti di competenza e le funzioni attribuite a ciascuno.
Il Responsabile deve conservare e mantenere aggiornato l’elenco degli Amministratori di sistema con l'indicazione delle funzioni ad essi attribuite e, qualora richiesto, comunica tale elenco al Titolare.
Il Responsabile deve verificare, almeno annualmente, l’operato degli Amministratori di sistema al fine sia di accertare che le persone mantengano le caratteristiche soggettive richieste dal Garante per la Protezione dei dati personali, e la rispondenza del loro operato alle misure organizzative, tecniche e di sicurezza poste in essere per i trattamenti dei dati personali.
1.3 Modalità di trattamento e di accesso ai dati, controllo e registrazione degli accessi
Il trattamento dei dati dovrà essere effettuato dal Responsabile in modo tale da garantirne la sicurezza e la riservatezza e potrà essere attuato mediante strumenti manuali, informatici e telematici per il tempo e con logiche strettamente correlate alle finalità di cui in premessa, cui è obbligato, nel rispetto delle previsioni di cui all'art. 5 del Regolamento.
Il Responsabile adotta un idoneo sistema di identificazione, autenticazione, autorizzazione di qualsiasi tipo di accesso del personale autorizzato ai dati (diretto o tramite applicazione), nel rispetto di quanto previsto dall’art. 32 del Regolamento, adottando tutte le misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, ed in specie quelle ivi richieste.
In particolare, il Responsabile dovrà porre in essere le seguenti misure:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la
disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle
misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Nel valutare l’adeguato livello di sicurezza, il Responsabile dovrà tenere conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall’accesso, in modo accidentale o illegale, ai dati personali trasmessi, conservati o comunque trattati.
L’adesione a un codice di condotta approvato di cui all’articolo 40 o a un meccanismo di certificazione approvato di cui all’articolo 42 può essere utilizzata come elemento per dimostrare la conformità ai requisiti richiesti.
L’accesso ai dati e le operazioni effettuate dalle persone autorizzate e dagli amministratori di sistema, debbono essere tracciate e risultare consultabili dal Responsabile e, su eventuale motivata richiesta, dal Titolare nell’ambito dei propri compiti di vigilanza.
Le registrazioni degli accessi ai dati devono:
• avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità;
• comprendere i riferimenti temporali e la descrizione dell’evento che le ha
generate;
• essere adeguate al raggiungimento dello scopo di verifica per cui sono state richieste;
• essere conservate per un congruo periodo, non inferiore a sei mesi.
Le registrazioni degli accessi ai sistemi non riconducibili ai dati, da parte degli Amministratori di Sistema seguono le indicazioni connesse al Provvedimento Generale del Garante del 27 novembre 2008, e successive modifiche ed integrazioni.
1.4 Fornitura di dati al Titolare
Il Titolare informa il Responsabile circa i soggetto/i autorizzati a richiedere fornitura di dati con eventuali limitazioni di ambito.
Qualora il Titolare, o soggetto/funzione da esso incaricato, abbia necessità per lo svolgimento dei propri compiti istituzionali di accedere a dati non disponibili attraverso i servizi applicativi, li richiede per iscritto, esplicitando tipologia dei dati, tempistica e modalità di fornitura, al Responsabile il quale è tenuto a renderli disponibili, secondo linee guida da concordare.
Il Responsabile tiene traccia in un apposito registro generale di tali richieste e dei dati movimentati.
1.5 Comunicazione, diffusione, conservazione e cancellazione dei dati
Il Responsabile non può comunicare e/o diffondere dati senza l’esplicita autorizzazione del Titolare, fatte salve le particolari esigenze di riservatezza espressamente esplicitate dall’Autorità Giudiziaria. In tali casi gli oneri economici relativi al soddisfacimento delle richieste non potranno essere addebitati al Titolare.
In particolare, il Responsabile si impegna, anche ai sensi dell'articolo 1381 cod. civ., a mantenere i dati personali, strettamente riservati e a non utilizzarli né divulgarli in alcun modo, in tutto o in parte, a terzi non autorizzati; ad osservare i vincoli di segretezza e di riservatezza; ad adottare ogni misura necessaria a garantire il rispetto dei sopra menzionati vincoli, in specie disponendo che tali dati siano immediatamente cancellati a seguito della conclusione o risoluzione del contratto e che vengano cancellate tutte le copie esistenti fatti salvi eventuali specifici obblighi di legge che prevedano la conservazione dei dati.
1.6 Ricorso ad un altro responsabile del trattamento o a collaboratori esterni
Il Responsabile non può ricorrere a un altro responsabile (sub-responsabile) senza previa specifica autorizzazione scritta del Titolare del trattamento.
Nell’ipotesi in cui il Responsabile, a seguito di specifica autorizzazione scritta da parte del Titolare, ricorra ad un altro responsabile del trattamento per l’esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento devono essere imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel presente atto giuridico tra il titolare del trattamento e il responsabile del trattamento, prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento.
Qualora l’altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile di cui al presente atto (responsabile iniziale) conserva nei confronti del Titolare del trattamento l’intera responsabilità dell’adempimento degli obblighi dell’altro responsabile.
Qualora il contratto preveda che il Responsabile, per particolari e motivate esigenze operative, possa avvalersi sotto la propria responsabilità diretta e supervisione di collaboratori appartenenti a società terze, dovrà scegliere società che diano adeguate garanzie in termini di esperienza, capacità e affidabilità in materia di trattamento dei dati, ivi compreso il profilo relativo alla sicurezza. Inoltre, deve prevedere specifiche clausole che garantiscano il rispetto degli adempimenti previsti dal citato Regolamento.
Le istruzioni da impartire al personale autorizzato al trattamento circa le modalità di svolgimento dello stesso sono a cura del Responsabile che dovrà esercitare un costante controllo sul loro rispetto.
L’autorizzazione al trattamento deve, in ogni caso, riguardare persone sulle quali è possibile esercitare una diretta autorità e/o controllo da parte del Responsabile e devono essere limitate al solo periodo necessario a svolgere le operazioni di trattamento indicate nelle relative istruzioni.
Il Responsabile deve istituire un apposito registro, correttamente aggiornato, degli incaricati esterni, ispezionabile dal Titolare.
1.7 Cessazione del trattamento dei dati personali e distruzione di dati obsoleti
L’eventuale sostituzione e dismissione delle apparecchiature utilizzate nella erogazione del Servizio con conseguente distruzione dei relativi dati dovrà avvenire secondo quanto previsto dalle norme e dai provvedimenti vigenti.
1.8 Tenuta del Registro dei trattamenti e nomina del responsabile per la protezione dei dati
Il Responsabile deve tenere, in forma scritta, anche in formato elettronico, un registro di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, contenente le informazioni di cui al paragrafo 2 dell’art. 30 del Regolamento, da mettere, su richiesta, a disposizione dell’autorità di controllo.
Il Responsabile designa, a norma degli articoli 37 e ss. del Regolamento, un responsabile della protezione dei dati (RPD), comunicandone gli estremi e i dati di contatto al Titolare.
1.9 Attività di verifica e controllo
Il Responsabile è sottoposto al controllo da parte del Titolare sullo svolgimento dell’attività e dei compiti ad esso affidati. Tale controllo potrà essere effettuato dal Titolare anche attraverso periodiche attività di audit, svolte, direttamente o tramite persona/funzione da essa delegata.
Il Responsabile si impegna ad informare per iscritto il Titolare, su sua esplicita richiesta, sullo stato di applicazione delle procedure ed istruzioni impartite, fornendone evidenza al Titolare per mezzo di una relazione periodica, segnalando le necessità di intervento e proponendo le migliori azioni di verifica da porre in essere.
Il Responsabile mette, in ogni caso, a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente atto e consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da questi incaricato.
Il Responsabile informa immediatamente il Titolare qualora, a suo parere, un’istruzione violi il Regolamento o altre disposizioni, nazionali o dell’Unione, relative alla protezione dei dati.
1.10 Obblighi di assistenza e collaborazione con il Titolare
Il Responsabile deve assistere il Titolare:
- tenendo conto della natura del trattamento, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare medesimo di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del Regolamento;
- tenendo conto della natura del trattamento e delle informazioni a disposizione dello stesso Responsabile, nel garantire il rispetto di tutti gli obblighi di cui agli articoli da 32 a 36 del Regolamento. In particolare, conformemente all’art. 28, paragrafo 3, lett. f) del Regolamento, deve assistere il Titolare nell’esecuzione della valutazione d’impatto sulla protezione dei dati e fornire tutte le informazioni necessarie. Il Responsabile deve, altresì, a norma dell’art. 33, paragrafo 2, del Regolamento informare il Titolare senza ingiustificato ritardo dopo essere venuto a conoscenza di una violazione di dati personali (cd. data breach).
Il Responsabile deve, inoltre, collaborare con il Titolare nei rapporti di
quest’ultimo con il Garante ed in particolare deve:
• tenersi sempre aggiornato sulle iniziative normative e, in genere, sulle attività del Garante;
• collaborare per l’attuazione di eventuali specifiche istruzioni;
• avvisare immediatamente in caso di ispezioni, di richiesta di informazioni e di documentazione da parte dell’Autorità Garante fornendo, per quanto di competenza, il supporto eventualmente richiesto;
• rendere disponibile per tempo ogni informazione appropriata, in caso di contenzioso.
Il Responsabile coopera, su richiesta, con l’autorità di controllo nell’esecuzione dei
suoi compiti.
1.11 Responsabilità
Il Responsabile del trattamento risponde per il danno causato dal trattamento se non ha adempiuto gli obblighi del Regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del Titolare, a meno che non dimostri che l’evento dannoso non gli è in alcun modo imputabile.
Fatti salvi gli articoli 82, 83 e 84 del Regolamento, se il Responsabile viola il Regolamento, determinando le finalità e i mezzi del trattamento, è considerato un titolare del trattamento in questione.
1.12 Durata del trattamento
XXX.XX S.p.A. è Responsabile del trattamento dei dati personali di debitori iscritti a ruolo per tutta la durata di esecuzione del contratto di cui in premessa.
La predetta qualifica si intenderà cessata di diritto contestualmente alla conclusione o alla risoluzione, per qualsiasi motivo, del contratto.
Il Responsabile si impegna a cancellare tutti i dati personali appresi in esecuzione del Contratto, una volta che sia terminata la prestazione dei servizi relativi al trattamento e siano state esaurite le lavorazioni per le quali gli stessi dati sono stati conosciuti e, in ogni caso, alla cessazione, per qualsiasi motivo, del Contratto e a provvedere, con le modalità a tal fine predisposte dal Garante, alla effettiva cancellazione dai supporti delle copie esistenti, fatti salvi eventuali specifici obblighi di legge che prevedano la conservazione dei dati.
Costituisce parte integrante del presente atto l’allegato 1 relativo alle misure tecniche ed organizzative inerenti alla protezione dei dati personali. Il suddetto allegato potrà essere oggetto di successive modifiche.
Il presente Atto non comporta alcun onere aggiuntivo a carico dell’Agenzia
delle entrate- Riscossione.
Pregasi voler restituire alla scrivente copia del presente atto sottoscritto per accettazione.
per “Agenzia delle entrate-Riscossione”
il Titolare
(firmato digitalmente)
Per presa visione ed accettazione
Con la sottoscrizione del presente atto, il Responsabile conferma la diretta ed approfondita conoscenza degli obblighi assunti in relazione al Regolamento UE 2016/679 ed assume l’impegno a procedere al trattamento dei dati personali attenendosi alle istruzioni impartite dal Titolare nel rispetto della normativa in materia e si impegna ad adottare le misure di sicurezza per il trattamento dei dati nell’esecuzione di quanto conferito, dichiarandosi altresì edotto degli obblighi previsti dal citato Regolamento.
per “XXX.XX S.p.A.”
il Responsabile
(firmato digitalmente)
Appendice 1 all’allegato A al Contratto di licenza d’uso e manutenzione del software “Antiriciclaggio”, Cig. N.
Misure Tecnico Organizzative per Responsabili Esterni
NATURA DEL TRATTAMENTO | licenza d’uso e manutenzione del software “Antiriciclaggio” |
FINALITA’ DEL TRATTAMENTO | Manutenzione del software a supporto della riscossione, con riferimento ai moduli software indicati nel capitolato tecnico |
TIPOLOGIA DI DATI TRATTATI | Dati personali comuni (dati anagrafici, contabili e fiscali, inerenti possidenze e riscossione, inerenti il rapporto di lavoro, dati inerenti situazioni giudiziarie civili, amministrative, tributarie), nonché dati personali finanziari (dati relativi all'esistenza di rapporti finanziari (coordinate bancarie, consistenze saldi, movimenti, giacenza media, etc.). |
CATEGORIE INTERESSATI | Debitori iscritti a ruolo |
CARATTERISTICHE DEI SERVIZI PREVISTI NEL CONTRATTO
Il contratto ha come oggetto la manutenzione correttiva della licenza d’uso e manutenzione del software
“Antiriciclaggio”
Luogo del trattamento
Il Responsabile utilizza la propria infrastruttura
Il Responsabile utilizza l'infrastruttura IT del Titolare
Quanto segue in questo paragrafo vuole essere una breve sintesi di ciò che è stato descritto nel Capitolato Tecnico, allegato al contratto avente CIG. . Resta inteso che non si intende in alcun modo superare i contenuti nel Capitolato Tecnico stesso.
Per ogni dettaglio o approfondimento relativo alla natura dei servizi previsti nel contratto si rimanda
all’allegato citato.
I servizi software oggetto del contratto sono:
• Servizio di Application Management (AMS)
Per quanto riguarda il servizio di AMS, questo contempla la Manutenzione Correttiva (MAC). Considerato che un generico intervento di XXX è correlato ad un errore del software su un determinato insieme di dati, la risoluzione di una MAC richiederà la trasmissione dei dati sul quale si è rilevato l’errore software stesso. Questi dati non potranno essere anonimizzati in quanto l’operazione di renderli anonimi potrebbe compromettere la possibilità di risolvere l’intervento di XXX.
Il processo sottostante alla gestione di una MAC è articolabile nei seguenti passaggi:
1. A seguito di un problema del software il personale di AdeR rileva l’insieme di dati sui quali si è
manifestato.
2. I dati sono estratti tramite l’impiego di opportuni software.
3. Si apre un ticket al Fornitore del servizio con allegati i dati estratti di cui al punto 2.
4. La trasmissione dei dati da AdeR al Fornitore avviene su canale criptato.
5. Il Fornitore riceve i dati e il ticket per l’intervento di XXX e provvede a installarli sul proprio sistema.
6. I passi da 2 a 5 potranno essere ripetuti più volte, anche su richiesta del Fornitore, qualora si rendesse necessario trasmettere altri dati su cui si manifesta lo stesso problema software.
7. Il Fornitore deve sempre avere informazione circa coloro della propria organizzazione che accedono a quei dati specifici.
8. Quando AdeR riterrà concluso l’intervento di XXX, il Fornitore dovrà cancellare tutti i dati relativi.
Comprende inoltre le attività di ripristino dei sistemi oggetto del capitolato di gara a fronte di errori di manovra di operatori o utenti, o più in generale analisi di situazioni di errore ingenerati da programmi software.
Nel caso di ripristino dei sistemi come anche l’analisi delle situazioni di errore, gli addetti del Fornitore
dovranno accedere direttamente ai dati reali sul sistema di produzione di AdeR.
L’accesso ai dati di produzione (quindi i dati reali e non resi pseudo anonimi), potrà avvenire presso le sedi di AdeR, come anche da sedi del Fornitore remote. Resta inteso che l’accesso del Fornitore ai sistemi di produzione di AdeR sarà sempre intermediato dagli operatori di AdeR e che quindi l’addetto del Fornitore accederà alle informazioni come “Amministratore di sistema”.
In generale potrebbe essere richiesto un accesso ai dati di produzione, allo scopo di fornire una spiegazione più precisa e dettagliata.
Sulla base dei servizi e dello scenario descritto, nei paragrafi che seguono sono declinate le Misure Tecnico Organizzative per Responsabili Esterni.
ORGANIZZAZIONE DELLA SICUREZZA DELLE INFORMAZIONI
Obiettivo: Stabilire un quadro di riferimento gestionale per intraprendere e controllare l’attuazione e l’esercizio della sicurezza delle informazioni all’interno dell’organizzazione.
1. Prevedere la definizione all’interno dell’organizzazione di specifici ruoli e responsabilità per la gestione della privacy (per es. privacy officer) e per la gestione della sicurezza dei dati (per es. CISO o figure equivalenti).
2. Prevedere adeguate misure di sicurezza per proteggere dati, informazioni acceduti, elaborati o memorizzati tramite siti di telelavoro (al di fuori delle sedi di lavoro).
Output
• Il Responsabile fornisce, a richiesta, specifiche sulla propria organizzazione producendo l’organigramma, il funzionigramma, l’elenco degli incarichi/ nomine con evidenza delle figure e gli uffici preposti alla sicurezza dei dati personali.
• Nel caso venga attuato il telelavoro, operatività sugli ambienti tecnici da parte dei propri dipendenti nell’ambito delle attività previste da contratto, il Responsabile si impegna a documentare le misure messe in opera per garantire la sicurezza. A titolo di esempio potranno essere indicate le misure fisiche adottate, delle comunicazioni, degli accordi di licenza, delle procedure operative e di audit delle attività svolte.
SICUREZZA DELLE RISORSE UMANE
Obiettivo: Assicurare che il personale e i collaboratori comprendano le proprie responsabilità e siano adatti a ricoprire i ruoli per i quali sono presi in considerazione.
3. Prevedere l’erogazione di formazione specifica, per il personale del Responsabile e per eventuali Sub-Contractor, in materia di trattamento dei dati – GDPR -, con particolare focus in relazione agli specifici trattamenti inerenti al contratto, ponendo in rilievo l’obbligo di riservatezza e di non divulgazione delle informazioni, sua durante le fasi di trattamento, sia successivamente, alla scadenza del rapporto contrattuale.
Output
• Il Responsabile fornisce, a richiesta, documentazione attestante la formazione in materia di sicurezza delle informazioni e dei dati personali in particolare, producendo evidenza dei Piani di formazione previsti o già attuati in materia e gli esiti dei corsi attuati. Per quest’ultimo aspetto, a titolo di esempio, indica la percentuale di copertura del personale coinvolto nelle attività previste dal contratto.
GESTIONE DEGLI ASSET
Obiettivo: Identificare gli asset dell’organizzazione e definire adeguate responsabilità per la loro
protezione.
4. Definire e gestire un inventario dei Dati Personali di ADER e dei relativi elementi di sicurezza.
5. Distruggere in modo sicuro le informazioni sensibili e il software in licenza prima del riutilizzo o dello smaltimento delle apparecchiature.
Output
• Il Responsabile fornisce, a richiesta, documentazione attestante la modalità con la quale gestisce la dismissione dei supporti non più necessari e che contengono informazioni riservate.
CONTROLLO DEGLI ACCESSI
Obiettivo: Limitare l’accesso alle informazioni ed ai servizi di elaborazione delle informazioni.
Proteggere e controllare l'accesso, anche in lettura, ai sistemi contenenti Dati Personali di ADER.
5. Assegnare a ciascun soggetto autorizzato al trattamento credenziali sicure di autenticazione personali per accedere ai sistemi ed agli applicativi per trattare i dati di cui AdeR è Titolare.
6. Qualora fosse prevista la nomina di Amministratori di Sistema, per l’assegnazione delle credenziali privilegiate (Amministratori di sistema), rispettare il provvedimento del Garante del 27 novembre 2008, nonché quanto indicato nell’allegato privacy al contratto.
Output
• Il Responsabile fornisce, a richiesta, l’elenco degli utenti abilitati all’ambiente tecnico
evidenziando le utenze di amministratori di sistema.
• Inoltre, a richiesta, sono fornite indicazioni relative al sistema di gestione password, a titolo di esempio riporta le modalità di definizione della password, le modalità di revisione e rimozione dei diritti di accesso ed il profilo di accesso assegnato ai singoli utenti.
SICUREZZA FISICA E AMBIENTALE
Obiettivo: Prevenire l’accesso fisico non autorizzato, danni e disturbi alle informazioni dell’organizzazione
e alle strutture di elaborazione delle informazioni.
7. Definire, implementare e documentare le misure di sicurezza fisica all’interno dei locali e delle
aree di lavoro del progetto.
8. Definire ed implementare politiche per il corretto utilizzo degli strumenti elettronici che includano anche indicazioni per la protezione dei dati in essi contenuti durante l’utilizzo ed in caso di furto, danneggiamento o malfunzionamento.
9. Definire implementare e documentare una politica di controllo accessi alle aree protette (Sede/i della società, sale CED, uffici, ecc.)
Output
• Il Responsabile fornisce, a richiesta, indicazione rispetto alle misure assolte in materia sicurezza fisica delle aree in cui sono svolte le attività di progetto ed in relazione al corretto utilizzo degli strumenti elettronici (Disciplinare). A titolo di esempio, indica le precauzioni intraprese rispetto alla protezione dei dispositivi fisici e dell’edificio in cui gli stessi sono collocati (reception, tornelli con badge, presenza sistemi di sicurezza perimetrale).
SICUREZZA DELLE ATTIVITÀ OPERATIVE
Obiettivo: Assicurare che le attività operative delle strutture di elaborazione delle informazioni siano corrette e sicure.
10. Condividere con AdeR la descrizione degli ambienti di sviluppo, test e altro tipo usati nell’ambito del contratto (in termine di numero macchine, configurazione software, configurazioni di rete, policy di sicurezza, ecc.)
11. Implementare controlli adeguati di sicurezza per le workstation che trattano Dati Personali di AdeR.
12. Implementare e portare a termine piani di azioni derivanti da audit, test e verifiche sulla sicurezza
13. Implementare, gestire e documentare una politica per la produzione, la conservazione e l’accesso
ai file di log delle applicazioni e dei sistemi che trattano dai del presente contratto.
14. Definire, implementare e documentare politiche di backup delle informazioni in accordo con le specifiche contenute negli allegati tecnici.
15. Cancellare in modo sicuro i Dati Personali di AdeR in accordo con gli standard stabiliti nel Supplemento per il Trattamento dei Dati Personali (DPA) e comunque alla conclusione degli interventi di AMS, come indicato nel paragrafo “CARATTERISTICHE DEI SERVIZI PREVISTI NEL CONTRATTO”.
16. Cancellare i file temporanei delle transazioni
Output
Le precedenti TOM si intendono dispositive in materia dei dati personali oggetto di trattamento
nell’ambito del contratto, pertanto che il Responsabili documenti tramite uno specifico output. In particolare dovrà essere data evidenza dei seguenti eventi:
1. Acquisizione dei dati personali di produzione correlati all’intervento di AMS richiesto da AdeR.
2. Evidenza della distruzione dei dati di cui al punto precedente alla conclusione dell’intervento di AMS.
SICUREZZA DELLE COMUNICAZIONI
Obiettivo: Assicurare la protezione delle informazioni nelle reti e nelle strutture per l’elaborazione delle
informazioni a loro supporto.
17. Definire, implementare e documentare i seguenti controlli per assicurare la protezione dei dati oggetto del contratto che viaggiano su rete:
o Definire una politica di controllo accessi e di utilizzo della rete.
o Perseguire la sicurezza dei canali di trasmissione dati, sia sulla rete interna
all’organizzazione, sia all’esterno (cifratura dei protocolli di rete HTTPS, FTPS, ecc.).
Output
• Il Responsabile fornisce, a richiesta, indicazione rispetto le misure assolte in materia sicurezza delle comunicazioni previste nell’esecuzione del contratto. A titolo di esempio riporta le eventuali procedure operative per la gestione delle reti, controlli a garanzia della riservatezza e della integrità dei dati in transito, le modalità di monitoraggio, eventuale presenza di NDA che riflettono la volontà del Responsabile di proteggere le informazioni e la modalità di aggiornamento e revisione periodica degli stessi.
ACQUISIZIONE, SVILUPPO E MANUTENZIONE DEI SISTEMI
Obiettivo: Assicurare che la sicurezza delle informazioni sia parte integrante di tutto il ciclo di vita dei sistemi informativi. In particolare questo include anche i requisiti specifici per i sistemi informativi che forniscono servizi attraverso reti pubbliche.
18. Memorizzare e archiviare la documentazione di progetto in un repository protetto e sicuro
19. Creare e mantenere una lista delle procedure operative di sicurezza.
20. Definire, implementare e documentare processi, regole e procedure per garantire la sicurezza dei dati personali oggetto del contratto nell’ambito di tutto il ciclo di vita dei sistemi informativi e degli applicativi, dalla progettazione alla dismissione; mantenendo al riguardo registrazione delle approvazioni, rendendole disponibili.
21. Mantenere registrazione delle approvazioni dei documenti sulla sicurezza dei dati e sulla privacy (DS&P) e renderla disponibile per scopi di report/audit.
22. Creare e aggiornare i documenti sulla sicurezza dei dati e sulla privacy (DS&P) nei tempi stabiliti e revisionarli su base periodica.
Output
• Il Responsabile fornisce, a richiesta, indicazione rispetto le misure assolte in materia di sviluppo dei sistemi nell’ambito del contratto. A titolo di esempio, indica le precauzioni intraprese rispetto alla protezione dei dati nelle fasi di raccolta dei requisiti, rispetto le politiche di sviluppo sicuro adottate e alle modalità di controllo dei cambiamenti di sistema, indica l’assolvimento della sicurezza nell’ambiente di sviluppo e l’attenzione alla attuazione di test di sicurezza e accettazione. Indica, inoltre, le protezioni adottate per la trattazione dei dati di test.
• Tracciare tutti i passaggi di assolvimento dei principi di privacy by design e by default.
RELAZIONI CON I FORNITORI
Obiettivo: Assicurare la protezione degli asset dell’organizzazione accessibili da parte dei fornitori.
23. Definire e monitorare livelli di servizio (SLA) per i Subresponsabili (sub-processors) corrispondenti a quelli riportati nel presente documento contratto (in termine di numero macchine, configurazione software, configurazioni di rete, policy di sicurezza, ecc.).
24. Garantire l’uso esclusivo di tutti gli ambienti usati nell’ambito di contratto per le sole finalità di
ADER.
25. Registrare e monitorare le attività di sistema come stabilito nell'allegato tecnico.
26. Stipulare accordi scritti con tutti gli altri Subresponsabili del Trattamento (sub-processor) per imporre loro gli stessi obblighi stabiliti nel Supplemento per il Trattamento dei Dati Personali (DPA), in particolare per fornire sufficienti garanzie nell'attuare misure tecniche e organizzative adeguate.
27. (Definire e monitorare livelli di servizio (SLA) per i Subresponsabili (sub-processors) corrispondenti a quelli riportati nel presente documento contratto (in termine di numero macchine, configurazione software, configurazioni di rete, policy di sicurezza, ecc.).
28. Garantire l’uso esclusivo di tutti gli ambienti usati nell’ambito di contratto per le sole finalità di
AdeR.
GESTIONE DEGI INCIDENTI RELATIVI ALLA SICUREZZA DELLE INFORMAZIONI
Obiettivo: Assicurare un approccio coerente ed efficace per la gestione degli incidenti relativi alla sicurezza delle informazioni, incluse le comunicazioni relative agli eventi di sicurezza ed ai punti di debolezza.
29. Definire, implementare e documentare un processo di gestione degli incidenti di sicurezza per assicurare: una immediata comunicazione, una rapida analisi d'impatto ed efficaci azioni correttive (e preventive).
30. (data breach) informare per iscritto, senza ingiustificato ritardo, AdeR specificando prontamente le violazioni dei dati subiti e le relative procedure messe in atto per contenere il rischio.
ASPETTI RELATIVI ALLA SICUREZZA DELLE INFORMAZIONI NELLA GESTIONE DELLA CONTINUITÀ OPERATIVA
Obiettivo: La continuità della sicurezza delle informazioni dovrebbe essere integrata nei sistemi per la
gestione della continuità operativa dell’organizzazione.
31. Garantire e assicurare la sicurezza delle informazioni anche attraverso le necessarie attività sulle basi dati per assicurare la continuità del servizio, in riferimento a quanto previsto dal contratto
CONFORMITÀ
Obiettivo: Evitare violazioni a obblighi cogenti o contrattuali relativi alla sicurezza delle informazioni e di qualsiasi requisito di sicurezza.
32. Garantire l’adeguatezza delle misure tecniche previste per assicurare la continuità operativa dei servizi erogati.
33. Analizzare periodicamente i rischi di progetto relativi al trattamento dei dati personali e averne evidenza in caso di audit da parte di ADER.
34. Implementare un processo di gestione dei rischi
35. Documentare e gestire i rischi di progetto e di trattamento dei dati in accordo con il processo di gestione dei rischi
36. Implementare procedure per la prevenzione delle minacce per ridurre al minimo il rischio di violazioni della sicurezza
37. Il Titolare si riserva di procedere agli audit per la verifica in tema di protezione dati. Il Responsabile si impegna a produrre la documentazione, eventualmente richiesta, nel rispetto del principio di accountability previsto nel regolamento (UE) 2016/679.