ALLEGATO A - NOMINA DEL RESPONSABILE DEL TRATTAMENTO

Il CLIENTE (“Titolare del trattamento”) affida ad ARCHIVIST S.r.l. (in seguito denominata anche solo “Responsabile”), che accetta, l’incarico di effettuare le operazioni di trattamento sui dati personali di cui entra in possesso necessarie all’adempimento degli obblighi derivanti dal contratto di fornitura dei Servizi (sulla piattaforma “ArchiSMALL”).

Il Responsabile del trattamento, in forza della nomina conferitagli ai sensi dell’art. 29 del D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali” (nel seguito per brevità: Codice) e in riferimento alle pattuizioni contrattuali convenute, è tenuto al rispetto dei seguenti compiti e istruzioni:

A. adottare ogni misura idonea allo scrupoloso rispetto del Codice, con particolare attenzione alle disposizioni di cui al “Disciplinare tecnico in materia di misure minime di sicurezza” contenuto nell’Allegato C) al Codice, recante norme per l’individuazione delle misure minime di sicurezza, a norma degli artt. da 33 a 36 del Codice, nonché tenendo conto dei provvedimenti tempo per tempo emanati dall’Autorità Garante per la protezione dei dati personali inerenti ai trattamenti svolti dal Responsabile;

B. svolgere il trattamento in esecuzione dei rapporti contrattuali in essere e per le finalità ad essi relative, nonché per il tempo strettamente necessario al perseguimento di tali finalità, con particolare attenzione allo scopo per il quale il relativo trattamento è stato delegato; in ogni caso, il trattamento dovrà avvenire in modo da garantire la sicurezza, la riservatezza e l’integrità dei dati di titolarità del Cliente ed è fatto esplicito divieto al Responsabile di utilizzare tali dati per scopi o finalità diversi da quelli sopraindicati;

C. provvedere alla gestione, monitoraggio, messa in sicurezza e aggiornamento dei propri sistemi informativi aziendali, sui quali sono presenti dati personali di titolarità del Cliente;

D. mantenere un elenco, da aggiornare con cadenza annuale, di tutte le attrezzature informatiche (HW e SW) utilizzate in favore del Cliente, dello scopo cui sono destinate, della loro allocazione fisica, delle misure di sicurezza sulle stesse adottate e delle eventuali misure di adeguamento pianificate;

E. individuare per iscritto gli incaricati, preliminarmente a ogni operazione di trattamento ed impartire ai medesimi, ai sensi di legge, idonea formazione, nonché vigilare sulla puntuale applicazione delle istruzioni impartite;

F. interagire con il Garante, in caso di richiesta di informazioni o effettuazione di controlli ed accessi da parte dell’Autorità;

G. supportare il Cliente nella risposta alle istanze degli interessati ai sensi dell’art. 7 del Codice, negli ambiti, ovviamente, del ruolo ricoperto;

H. informare prontamente il Cliente di tutte le questioni rilevanti ai fini di legge, e dare tempestiva notizia al medesimo di richieste che dovessero pervenirgli da parte del Garante e/o da parte degli interessati;

I. consentire al Cliente di disporre – ai sensi dell’art. 29 comma 5 del D.lgs. 196/03 – a propria cura e spese verifiche a campione o specifiche attività di audit in ambito privacy e sicurezza, avvalendosi di personale espressamente incaricato a tale scopo, presso le sedi del Responsabile;

J. adottare politiche interne e meccanismi atti a garantire e dimostrare il rispetto della privacy e predisporre, a richiesta del Cliente, rapporti scritti in merito agli adempimenti eseguiti ai fini di legge ed alle conseguenti risultanze. In ogni caso, ove il Responsabile, nell’ambito delle verifiche delle misure di sicurezza adottate, riscontrasse carenze relative alle misure stesse o inerenti a qualunque altro aspetto riferito al trattamento effettuato nell’ambito della collaborazione contrattuale in essere, che dovessero comportare responsabilità del Cliente, informerà immediatamente quest’ultimo, che provvederà ad attivare sollecitamente le competenti funzioni interne al fine di adottare le cautele necessarie; a tal fine, il Responsabile dovrà predisporre e sottoporre al Titolare un programma annuale degli interventi ritenuti necessari per migliorare gli aspetti legati alla sicurezza dei dati conferiti, al loro trattamento, alla conservazione e alla distruzione, per prevenire i rischi di indebita consultazione, sottrazione, perdita e/o danneggiamento, nonché per evitare il verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware, etc.);

K. coordinarsi con eventuali altri responsabili del trattamento (interni o esterni) nominati dal Cliente, con riferimento a determinati servizi e alle attività di trattamento poste in essere in adempimento degli accordi contrattuali, nonché per l’applicazione delle misure di sicurezza in ambito privacy;

L. per il periodo di trattamento, custodire i dati medesimi in ambiente sicuro e protetto con criteri di sicurezza e di separazione tali da non consentire l’accesso ai dati a persone non autorizzate al trattamento;

M. rispettare il divieto di comunicazione e diffusione dei dati personali oggetto di trattamento, fatti salvi eventuali obblighi di legge a cui il Responsabile debba sottostare in ragione della propria attività; in tali eventualità è fatto espresso obbligo al Responsabile di informare tempestivamente in proposito il Cliente;

N. adibire a qualsiasi trattamento dei dati personali esclusivamente persone che operino sotto la diretta autorità del Responsabile e a tal proposito incaricate per iscritto dal medesimo ai sensi dell’art. 30 del Codice;

O. in esecuzione degli obblighi contrattuali, procedere alla individuazione, valutazione, designazione e controllo dell’operato degli Amministratori di Sistema interni alla struttura del Responsabile che operano sui trattamenti in questione, seguendo le prescrizioni di cui al provvedimento del Garante Privacy del 27 Novembre 2008 recante “Misure e accorgimenti, prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema” e dandone cortese comunicazione al Titolare del trattamento. In particolare, come amministratore di sistema della soluzione tecnologica dei Servizi offerti, il Responsabile deve:

valutare con cadenza almeno semestrale le opportunità di aggiornamento del software di sistema e applicativo al fine di prevenire vulnerabilità di sicurezza e difetti di programmazione;

salvare con frequenza almeno giornaliera le basi dati ed altri dati critici di configurazione e supporto utili alla fruizione delle basi dati stesse. I relativi supporti di salvataggio (backup) sono da conservarsi in modo fisicamente sicuro in sede diversa da quella di custodia dei dati, in modo da assicurare la loro fruibilità anche in caso di evento disastroso (incendio, evento idrogeologico, atto di forza, furto) presso il luogo di custodia;

registrare gli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte dei suoi amministratori di sistema (persone fisiche).

Le registrazioni (access log) devono:

  • avere le caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste (Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008);

  • comprendere i riferimenti temporali,

  • contenere la descrizione dell’evento che le ha generate;

  • essere conservate per un periodo non inferiore a sei mesi.

P. mettere a disposizione del Cliente, per ogni evenienza e ai sensi del punto 2 lett. d) del provvedimento sopra indicato (“obbligo di conservare l'elenco degli estremi identificativi delle persone fisiche preposte quali Amministratori di Sistema”), un elenco degli amministratori di sistema, di rete o di banche dati designati dal Responsabile, che hanno effettuato operazioni su dati personali di titolarità del Cliente;

Q. informare il Cliente nel caso in cui intenda avvalersi dell’opera di soggetti terzi esterni (subappaltatori) alla propria organizzazione per l’esecuzione di alcune delle attività effettuate per conto dello stesso Cliente e a sottoporre tale circostanza al previo accordo di quest’ultimo;

R. stipulare con i terzi subappaltatori un accordo scritto che imponga a questi ultimi il rispetto degli stessi obblighi a cui il Responsabile è vincolato con il Cliente (in virtù della designazione ricevuta quale responsabile del trattamento;

S. circoscrivere gli ambiti di trattamento dei dati personali ai paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in paesi extra UE che non garantiscano un livello adeguato di tutela.

Il Responsabile con la firma apposta sul presente documento, accetta tutti i termini di cui sopra, conferma la diretta e approfondita conoscenza degli obblighi che si assume in relazione al dettato normativo vigente e si impegna a procedere al trattamento dei dati attenendosi alle presenti istruzioni ricevute dal Cliente o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore.