Atto di designazione del Responsabile del trattamento

(addendum al contratto già in essere tra le parti)

(ex art. 28 GDPR 2016/679)

 

Con il presente addendum, che è parte integrante del contratto già in essere tra le parti, da valere ad ogni effetto di legge,

 

TRA

Assistiamo Te Società Cooperativa Sociale A R.L. con sede legale in Gravina In Puglia (BA) alla Via Renato Cartesio – snc, P.IVA 07636760725, C.F.: 07636760725, PEC: coop.assistiamote@pec.it, in persona del suo legale rappresentante pro tempore, in qualità di Titolare del Trattamento, di seguito “Titolare“

E

il professionista / azienda fornitore di servizi 

 

(Il Titolare ed il Responsabile potranno essere definiti congiuntamente “Parti” e singolarmente anche come “Parte”)

PREMESSO CHE

tra le Parti è in essere una convenzione avente ad oggetto la fornitura di servizio, come da contratto, per l’esecuzione della quale il fornitore tratta, per conto di Assistiamo Te Società Cooperativa Sociale A R.L., dati personali di Interessati di cui Assistiamo Te Società Cooperativa Sociale A R.L. è Titolare del trattamento.

 

  1. il 25 maggio 2018, in ogni stato membro dell’Unione Europea, ha avuto piena applicazione il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea del 04 maggio 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati;
  2. l’art. 28 del citato Regolamento UE stabilisce che “Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente Regolamento e garantisca la tutela dei diritti dell’Interessato”;
  3.  Il Fornitore in considerazione
  • della correttezza, sicurezza e professionalità che connota il suo agire,
  • della sua organizzazione interna e
  • della riscontrata mancanza di provvedimenti sanzionatori in materia di protezione dei dati personali,

ha dimostrato di essere in possesso dei requisiti di esperienza, capacità e affidabilità e di aver presentato garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento dei dati personali effettuato, in forza del Contratto, soddisfi i requisiti richiesti dalla normativa vigente in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito, la “Normativa di Riferimento”) e garantisca la tutela dei diritti degli interessati

  1. al fine di ottemperare alle prescrizioni dettate dalla Normativa di Riferimento e di garantire che l’inquadramento dei soggetti coinvolti nelle operazioni di trattamento dei dati personali sia coerente con le predette prescrizioni, il Titolare nomina 

che accetta, quale “Responsabile del trattamento”, impartendo nel contempo le istruzioni cui detto Responsabile sarà tenuto ad attenersi nell’espletamento delle prestazioni contrattuali previste in forza del Contratto del quale il presente atto costituisce addendum.

si conviene e stipula quanto di seguito riportato:

  • PREMESSE

Le premesse e l’allegato costituiscono parte integrante e sostanziale del presente atto.

  • OGGETTO

    1. Con il perfezionamento del presente atto il Titolare nominato quale “Responsabile del trattamento” dei dati personali di sua pertinenza o, comunque, in suo possesso e, contestualmente, impartisce a tale Responsabile designato le istruzioni operative cui quest’ultimo dovrà attenersi nel trattare, per conto del Titolare, i dati, con particolare riguardo alle finalità e modalità del trattamento, ai principi di liceità, correttezza, trasparenza, minimizzazione dei dati, all’esattezza, limitazione della conservazione, integrità e riservatezza dei dati, nonché alle misure tecniche e organizzative che dovranno essere adottate al riguardo.

2.2 In particolare, le attività di trattamento sono così riassunte:

 

DURATA DEL TRATTAMENTO Durata del Contratto e, ove necessario, per il tempo prescritto da eventuali obblighi di legge in capo al Responsabile

 

DESCRIZIONE DEI TRATTAMENTI Gestione di tutti i dati personali e sensibili, in particolare di quelli sanitari di cui il responsabile dovesse venire a conoscenza nell’esecuzione del contratto di fornitura in essere con il titolare.

 

NATURA E FINALITÀ Il trattamento potrà essere svolto sia in forma automatizzata sia in forma non Automatizzata, unicamente per la seguente finalità: esecuzione del contratto di fornitura avente ad oggetto la fornitura di servizio di trasporto in Italia o all’estero in ambulanza e/o taxi sanitario con a bordo personale medico e/o paramedico.
TIPO DI DATI PERSONALI  

Dati anagrafici (nome, cognome, sesso, luogo e data di nascita, cittadinanza, residenza, domicilio); Dati di contatto (es. numero di telefono cellulare, numero di telefono fisso, indirizzo e-mail, indirizzo PEC, fax); Dati bancari (IBAN, numero d conto corrente); Dati sanitari (ovvero i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute) Qualsiasi altra tipologia di dato il cui trattamento avvenga, anche in via indiretta, in

esecuzione delle attività di amministratore di sistema.

 

CATEGORIE DI INTERESSATI Amministratori; Clienti o Utenti; Dipendenti; Lavoratori autonomi che collaborano con l’azienda; Stagisti/Tirocinanti; Fornitori; Ogni altro interessato i cui dati dovessero essere trattati, anche in via indiretta, in esecuzione delle attività esecuzione del contratto di fornitura.
  • PRINCIPI GENERALI DA OSSERVARE

Ogni trattamento di dati personali deve avvenire, nel rispetto primario dei seguenti principi di ordine generale.

Per ciascun trattamento di propria competenza, il Responsabile deve far in modo che siano sempre rispettati i seguenti presupposti:

  • i dati devono essere trattati secondo il principio di liceità vale a dire conformemente al Regolamento UE 2016/679 e alla normativa nazionale vigente in materia, in particolare, il trattamento non deve essere contrario a norme imperative, all’ordine pubblico e al buon costume; secondo il principio di correttezza il quale deve ispirare chiunque tratti qualcosa che appartiene alla sfera altrui.
  • I dati devono essere raccolti solo per scopi determinati (non è consentita la raccolta per finalità fine a sé stessa), espliciti (l’Interessato deve essere informato sulle finalità del trattamento), legittimi (oltre al trattamento anche il fine della raccolta deve essere lecito), compatibili con il presupposto per il quale sono inizialmente trattati.
  • I dati, inoltre, devono essere esatti (precisi, rispondenti al vero e, se necessario, aggiornati), pertinenti (il trattamento è consentito soltanto per lo svolgimento delle funzioni individuate e in relazione all’attività svolta), completi (contemplare specificamente il concreto interesse e diritto dell’Interessato), non eccedenti (devono essere raccolti solo i dati che siano strettamente necessari e sufficienti in relazione alle finalità per le quali vengono raccolti), conservati per un periodo non superiore a quello necessario per gli scopi del trattamento.
  • I dati idonei a rivelare lo stato di salute o la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo.
  • Ciascun trattamento deve avvenire nei limiti imposti dal principio fondamentale di riservatezza e nel rispetto della dignità della persona dell’Interessato, ovvero deve essere effettuato eliminando ogni occasione di impropria conoscibilità dei dati da parte di terzi.
  • Qualora il trattamento dei dati fosse effettuato in violazione dei principi su menzionati si dovrà provvedere al “blocco” dei dati stessi, vale a dire alla sospensione temporanea di ogni operazione di trattamento, fino alla regolarizzazione del medesimo trattamento (a titolo esemplificativo e non esaustivo fornendo l’informativa omessa), ovvero alla cancellazione dei dati qualora non fosse possibile regolarizzare.
  • OBBLIGHI DEL RESPONSABILE

Il Responsabile del Trattamento si impegna a:

  1. trattare i dati del Titolare solo per la finalità o le finalità sopra specificate, nonché per le finalità ulteriori che il Titolare dovesse eventualmente e successivamente indicare, e comunque per l’esecuzione delle prestazioni contrattuali;
  2. trattare i dati conformemente alle istruzioni fornite dal Titolare del trattamento (come da allegato) ovvero di quelle ulteriori che lo stesso dovesse, in futuro, ritenere opportuno fornire per la migliore e più efficiente esecuzione delle attività; le ulteriori istruzioni che dovessero essere fornite dal Titolare, saranno rese al Responsabile per iscritto o trasmesse a mezzo posta elettronica certificata;
  3. adottare misure tecniche e organizzative adeguate per soddisfare quanto previsto dal Regolamento UE n. 2016/679 e garantire la tutela dei diritti dell’interessato, rispettando in particolare quanto previsto al punto 5 (Misure di sicurezza);
  4. se il Responsabile è tenuto a procedere al trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare del trattamento di quest’obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di inter esse pubblico;
  5. garantire che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza e che, a tal fine, gli stessi agiscano sotto il costante controllo del Responsabile e in conformità alle istruzioni da quest’ultimo fornite;
  6. non consentire a terzi l’accesso ai dati personali, se non in presenza di adeguati presupposti di liceità per tali ulteriori trattamenti;
  7. informare tempestivamente il Titolare di tutti gli eventi e le circostanze che potrebbero pregiudicare, per qualsiasi motivo, la sicurezza del trattamento o la capacità di eseguire le obbligazioni in carico al Responsabile;
  8. garantire che le informazioni ed i dati messi a sua disposizione dal Titolare siano utilizzati esclusivamente per l’erogazione dei Servizi e delle Prestazioni oggetto del Contratto e siano protetti da adeguate misure di sicurezza fisica e logica volte a garantire che gli stessi restino integri e non siano in alcun modo e per nessun motivo alterati, smarriti, cancellati, distrutti o comunque resi accessibili a terze parti non autorizzate;
  9. assistere il titolare del trattamento con misure tecniche e organizzative adeguate, tenendo conto della natura del trattamento e nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato;
  10. in particolare, qualora il responsabile tratti dati oggetto di richiesta di portabilità, si obbliga ad assistere il titolare del trattamento con misure tecniche e organizzative adeguate al fine di rispondere a detta richiesta;
  11. assistere il titolare del trattamento nel garantire il rispetto dell’obbligo di notifica di una violazione dei dati personali all’autorità di controllo di cui all’art. 33 e 34 Regolamento UE 2016/679. In caso di violazione dei dati personali il responsabile del trattamento informa il titolare senza ingiustificato ritardo e comunque entro il termine di 12 ore dal momento in cui è venuto a conoscenza della violazione;
  12. assistere il titolare del trattamento nelle attività relative alla valutazione di impatto sulla protezione dei dati e consultazione preventiva (artt. 35, 36 Regolamento UE 2016/679), tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento;
  13. a tenere e aggiornare il registro di tutte le categorie di attività di trattamento, svolte per conto del Titolare, di cui all’art. 30 Regolamento UE n. 2016/679 nelle forme e con i contenuti indicati dalla disposizione citata. In particolare, si impegna a indicare:
  • il nome e i dati del Titolare del Trattamento per conto del quale lui tratta, degli eventuali Sub Responsabili e, se applicabili, del Responsabile della protezione dei dati;
  • le categorie dei trattamenti effettuati per conto del Titolare;
  • ove applicabile, l’eventuale trasferimento dei dati personali verso un paese terzo o verso un’organizzazione internazionale, l’identificazione del paese terzo e dell’organizzazione internazionale verso la quale i dati sono stati trasferiti e l’indica zione di ogni documentazione e garanzia volta ad assicurare che il livello di protezione delle persone fisiche all’interno del paese terzo o dell’organizzazione internazionale di riferimento non sia pregiudicato;
  • una descrizione generale delle misure di sicurezza tecniche e organizzative adottate in conformità al presente contratto e, più in generale, alla normativa applicabile;
  1. mettere il Titolare al corrente, riguardo a qualsiasi richiesta di esercizio di diritti che il Responsabile dovesse ricevere da parte degli Interessati entro un termine massimo di 24 ore dal ricevimento della stessa;
  2. prestare al Titolare ogni necessaria collaborazione nell’assolvimento di richieste che dovessero pervenire dal Garante o da altra Autorità competente o in relazione a procedure o ispezioni che dovessero essere avviate nei confronti del Titolare, dando altresì immediata esecuzione alle istruzioni ricevute e fornendo copia di ogni documento richiesto.
  • DIRITTO DI INFORMAZIONE DEGLI INTERESSATI

Spetta al Titolare del trattamento fornire l’informativa di cui agli artt. 13-14 del Regolamento europeo agli interessati per il trattamento al momento della raccolta dei dati.

  • MISURE DI SICUREZZA

6.1 Per tutta la durata del trattamento, il Responsabile si impegna a mettere in atto ogni presidio di sicurezza necessario ad impedire o comunque ridurre al minimo (i) il rischio di distruzione, perdita, diffusione o alterazione dei dati personali ovvero di accidentale o incontrollata consultazione, esportazione, lettura, copiatura degli stessi da parte di terzi, nonché (ii) il rischio di trattamento di dati non consentito o non conforme alle finalità delle operazioni di trattamento, quali, ad esempio:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

6.2. Il Responsabile dovrà periodicamente aggiornare le misure tecniche e organizzative adottate ai sensi del presente Contratto – in relazione alle conoscenze tempo per tempo dal medesimo acquisite in base al progresso tecnico, alla natura dei dati, alle specifiche caratteristiche del trattamento e a eventuali specifici provvedimenti o raccomandazioni di settore – mediante l’applicazione, in particolare, di quelle misure, tempo per tempo, rese obbligatorie dalla legge ovvero rese disponibili nel settore della sicurezza dei dati personali, previa intesa con il Titolare.

  1. Il Responsabile, nell’ambito della propria struttura, consentirà l’accesso ai dati personali ai soli soggetti che siano stati espressamente autorizzati al trattamento e, contestualmente alla loro individuazione e designazione, si fa carico di fornire loro specifiche istruzioni circa le modalità di trattamento che siano in linea con quanto disposto dalla Normativa di Riferimento e dal presente Contratto. Tali soggetti dovranno operare – in relazione alle mansioni dagli stessi svolte – con metodologie e strumenti di lavoro idonei all’acquisizione esatta, pertinente e non eccedente dai dati personali, all’eventuale loro aggiornamento, alla conservazione nei termini di legge e, più in generale, ad ogni fase del trattamento e non potranno esegui re operazioni di trattamento per fini diversi rispetto a quelli previsti per l’esecuzione dei Servizi e delle prestazioni previste dal Contratto e non oltre il tempo stabilito per ciascuna operazione di trattamento.

In particolare, ove i trattamenti dei dati personali dovessero comportare l’uso di sistemi informatici e telematici, l’accesso a tali dati da parte delle persone fisiche autorizzate al trattamento potrà avvenire solo attraverso un opportuno profilo di abilitazione (User ID e Password), attivato secondo i criteri e le modalità impartite dal Responsabile. Sarà cura del Responsabile vincolare le persone autorizzate al trattamento ad un adeguato obbligo legale di riservatezza, anche per il periodo successivo all’estinzione del rapporto di collaborazione intrattenuto con il Responsabile, in relazione alle operazioni di trattamento da esse eseguite.

  1. Il Responsabile, in virtù delle attività svolte, è tenuto altresì a rispettare le previsioni vigenti in tema di amministrator i di sistema, tra cui quelle contenute nel Provvedimento emanato il 27 novembre 2008 dall’Autorità Garante per la protezione dei dati personali, recante “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come integrato dal successivo provvedimento datato 29 giugno 2009. In particolare, il Responsabile deve adottare sistemi idonei alla registrazione degli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici dallo stesso effettuati. Le registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Le registrazioni devono comprendere i riferimenti temporali e la descrizione dell´evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi; Il Responsabile, inoltre, si impegna a conservare direttamente e specificamente gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema e a fornirli prontamente al Titolare su richiesta del medesimo e comunque almeno una volta all’anno.
  • DICHIARAZIONI E GARANZIE

Il Responsabile dichiara e garantisce di:

  1. aver messo in atto misure tecniche ed organizzative adeguate a garantire che il trattamento dei dati personali avvenga nel rispetto della Normativa di Riferimento, anche ai fini della sicurezza del trattamento, dandone apposita evidenza al Titolare su richiesta di quest’ultimo;
  2. laddove disponibili, aver aderito agli eventuali codici di condotta compatibili con la propria operatività, registrati e pubblicati dall’autorità di controllo competente e/o dal comitato europeo per la protezione dei dati, e/o di possedere adeguate certificazioni in corso di validità eventualmente rilasciate dagli organismi di certificazione accreditati dall’autorità di controllo competente e/o da organismi di accreditamento idonee a dimostrare la conformità dei trattamenti effettuati alla Normativa di Riferimento; a questo proposito il Responsabile si impegna a mantenere in essere – e a darne evidenza documentale al Titolare – dei suddetti codici di condotta e/o certificati per tutta la durata dell’Atto, garantendo sin d’ora di trasmettere tempestivamente al Titolare una copia degli stessi e di ogni eventuale loro rinnovo, revoca, modifica e/o integrazione;
  3. di non essere a conoscenza di condizioni che possano in qualsiasi modo ostacolare o impedire di adempiere alle istruzioni del Titolare o di adempiere agli obblighi di cui al presente contratto.
  • MISURE DI CONTROLLO

  1. Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente atto e della Normativa di Riferimento, anche attraverso la trasmissione, su richiesta del Titolare, di un documento che indichi in maniera dettagliata ed esaustiva le misure tecniche e organizzative adottate. Il Responsabile s’impegna altresì a consentire e a contribuire in ogni momento alle attività di revisione, comprese le ispezioni,
  2. A tale proposito il Titolare – direttamente o per il tramite di propri incaricati di fiducia – si riserva la facoltà di richiedere a proprio insindacabile giudizio informazioni al Responsabile o di compiere, in qualsiasi momento, verifiche e controlli al fine di accertare la piena conformità del trattamento svolto alle istruzioni impartite.

A questo proposito il Responsabile riconosce al Titolare – direttamente o per il tramite di propri incaricati di fiducia – nonché all’autorità di controllo, il diritto di accedere a qualsiasi dato personale, a qualsiasi informazione, nonché a qualsiasi locale in cui vengono svolte le operazioni di trattamento e a qualsiasi mezzo o strumento utilizzato per il trattamento dei dati personali. Rimane inteso tra le Parti che i soggetti sopraindicati si impegnano a svolgere le proprie verifiche e i propri controlli per tutto il tempo strettamente necessario, negli orari e con modalità tali da non interferire con l’attività lavorativa del Responsabile e senza dover corrispondere, né a quest’ultimo né a terzi, alcuna somma di denaro.

  1. Il Responsabile si impegna sin d’ora a mettere a disposizione del Titolare, del responsabile della protezione dei dati ove da quest’ultimo designato, o dell’autorità di controllo, il proprio Registro di tutte le categorie di attività di trattamento svolte per conto del Titolare, su richiesta di questi ultimi.
  2. Qualora, nel corso della verifica e del controllo, accerti che il Responsabile non ha rispettato le istruzione impartite, il Titolare potrà fissare un congruo termine entro il quale il Responsabile sarà tenuto ad adeguarsi ai requisiti pattuiti, decorso inutilmente il quale il Titolare avrà facoltà di considerare risolto il rapporto contrattuale con il Responsabile con riferim ento al quale sono state svolte le attività di verifica e di controllo.
  • SUB-RESPONSABILI

  1. Con il presente atto il Titolare conferisce autorizzazione scritta generale al Responsabile a poter ricorrere a eventuali ulteriori soggetti nello svolgimento di specifiche attività di trattamento (di seguito, i “Sub-Responsabili”).
  2. A tal proposito il Responsabile si impegna a selezionare Sub-Responsabili tra soggetti che per esperienza, capacità e affidabilità forniscano garanzie sufficienti per mettere in atto misure tecniche organizzative adeguate in modo tale che il trattamento svolto da questi ultimi soddisfi i requisiti di cui alla Normativa di Riferimento e garantisca la tutela dei diritti degli interessati ed il rispetto delle istruzioni impartite dal Titolare.
  3. Il Responsabile si impegna in ogni caso a comunicare al Titolare l’intenzione di ricorrere ai Sub-Responsabili, nonché l’eventuale aggiunta o sostituzione degli stessi, affinché quest’ultimo abbia l’opportunità di opporsi, ove necessario.
  4. Il Responsabile si impegna altresì a stipulare specifici contratti o altri atti giuridici, volti a disciplinare le condizioni e le

modalità di trattamento dei dati personali da parte dei Sub- Responsabili, che impongano a questi ultimi i medesimi obblighi e le medesime istruzioni a cui egli stesso è tenuto in virtù del presente Contratto e a esibirli a semplice richiesta del Titolare.

  1. Il Responsabile risponde nei confronti del Titolare dell’operato dei Sub-Responsabili difforme dalla Normativa di Riferimento o dal presente Atto e s’impegna a manlevare il Titolare da qualsiasi danno, pretesa, risarcimento e/o sanzione possa derivare da tale operato, mantenendo su di sé ogni relativo costo, onere o spesa.
  • TRASFERIMENTO INTERNAZIONALE DI DATI PERSONALI

  1. I dati trattati dal Responsabile nell’esecuzione della prestazione oggetto del Contratto non potranno essere da quest’ultimo comunicati a terzi, né diffusi o trasferiti all’estero, salvo quanto eventualmente previsto dalla Normativa di Riferimento. In particolare, per quanto riguarda il trasferimento di dati personali verso paesi terzi all’Unione europea o verso organizzazioni internazionali, il Responsabile potrà trasferire i dati personali esclusivamente verso i paesi terzi o le organizzazione internazionale nei quali le regole applicabili al trattamento dei dati garantiscono un livello adeguato di protezione delle persone fisiche, sulla base delle valutazioni effettuate dalla Commissione europea.
  2. Al di fuori delle ipotesi di cui sopra, il Responsabile può procedere al trasferimento dei dati verso paesi terzi all’Unione europea o verso organizzazioni internazionali solo a condizione che disponga di adeguate garanzie dei diritti degli interessati, che il trattamento sia effettuato in presenza di norme vincolanti per l’impresa destinataria dei dati ovvero che sussistano specifiche situazioni in deroga a quanto sopra, ai sensi della Normativa di Riferimento. Delle suddette valutazioni e garanzi e il Responsabile deve dare apposita evidenza al Titolare.
  • RESTITUZIONE E DISTRUZIONE DEI DATI PERSONALI

In caso di cessazione, per qualsiasi motivo, del Contratto, di scioglimento del presente atto o di richiesta di cancellazione dei dati personali, il Responsabile dovrà senza ingiustificato ritardo:

  1. restituire al Titolare tutta la documentazione, su qualsiasi supporto, relativa a qualsiasi dato personale di cui sia entrato in possesso nel corso del trattamento o nell’esecuzione della prestazione oggetto del Contratto; la documentazione resa tramite supporti informatici dovrà essere sempre accessibile da parte del Titolare al momento in cui la riceve;
  2. cancellare, in modo permanente e irreversibile, tutti i dati personali trattati in esecuzione del Contratto e cancellare le copie esistenti, fatte salve le eventuali norme di legge nazionali e comunitarie che dispongano la conservazione di determinati dati, informazioni e documenti per periodi prefissati. Alle operazioni di cancellazione dei dati predetti dovrà presenziare un incaricato del Titolare, al quale dovrà essere dato preavviso di almeno 7 (sette) giorni lavorativi prima della data di effettuazione di tali operazioni. La cancellazione dovrà essere documentata da apposito verbale, sottoscritto dal Responsabile e dall’incaricato del Titolare.
  • DURATA E CESSAZIONE

  1. Gli effetti giuridici del presente contratto-addendum decorrono dalla sottoscrizione dello stesso e restano validi per tutto il periodo di validità del rapporto giuridico esistente tra le Parti (Contratto)
  2. Al momento della cessazione e/o risoluzione e/o revoca, per qualunque motivo e/o causa, del rapporto giuridico esistente tra le Parti (Contratto), la presente nomina a Responsabile (contratto-addendum) decadrà contestualmente con effetto immediato, senza necessità di ulteriori formalità o comunicazioni.
  • RISOLUZIONE ESPRESSA

Il Titolare potrà risolvere l’Atto, così risolvendo anche il rapporto contrattuale con il Responsabile ad esso connesso, ai sensi ed agli effetti dell’art. 1456 del codice civile qualora:

  1. l’eventuale inadempimento del Responsabile alle istruzioni impartite dal Titolare possa compromettere i diritti degli interessati o la protezione dei loro dati personali;
  2. il Responsabile non si sia adeguato alle istruzioni fornite dal Titolare entro i termini di cui al precedente punto 8.4;
  3. il Responsabile abbia trattato i dati personali per finalità ulteriori rispetto a quelle strettamente previste per l’espletam ento delle attività previste in virtù del Contratto o non abbia messo in atto adeguate misure di sicurezza fisica e logica volte a garantire che i dati stessi restino integri e non siano in alcun modo e per nessun motivo alterati, smarriti, cancellati, distrutti o comunque resi accessibili a terze parti non autorizzate;
  4. il Responsabile abbia violato quanto previsto dall’articolo 10 in materia di trasferimento internazionale di dati personali;
  5. il Responsabile abbia violato l’obbligo di informare tempestivamente il Titolare di tutti gli eventi e le circostanze che potrebbero pregiudicare, per qualsiasi motivo, la sicurezza del trattamento o la capacità di eseguire, ovvero di eseguire nei tempi previsti, le obbligazioni in carico al Responsabile medesimo.
  • RESPONSABILITA’

  1. Il Responsabile risponde con diretta assunzione di responsabilità sia delle violazioni degli obblighi che la Normativa di Riferimento pone a carico dei responsabili del trattamento sia dei comportamenti, anche omissivi, difformi rispetto alle istruzioni impartite dal Titolare posti in essere dai suoi dipendenti, consulenti e collaboratori, nonché dai dipendenti, consulenti e collaboratori di eventuali fornitori terzi di cui si sia avvalso per l’esecuzione di specifiche attività di trattamento, esonerando integralmente il Titolare da ogni responsabilità connessa alle suddette violazioni e/o comportamenti.

Pertanto il Responsabile garantisce sin d’ora di manlevare integralmente e tenere indenne il Titolare, anche ai fini processuali, da qualsiasi responsabilità, onere, danno, spesa o conseguenza pregiudizievole derivante da qualsivoglia azione, eccezione, contestazione o pretesa, giudiziale o extragiudiziale, da chiunque promossa o avanzata per questioni inerenti o conseguenti ad un’eventuale o asserita violazione degli obblighi o delle istruzioni di cui sopra. Il Responsabile garantisce altresì di assistere il Titolare affinché siano rispettati gli obblighi relativi alla comunicazione agli interessati e/o all’autorità di controllo delle violazione dei dati personali, alla valutazione d’impatto sulla protezione dei dati nonché alla

  1. Parimenti, il Titolare risponde con diretta assunzione di responsabilità sia delle violazioni degli obblighi che la Normativa di Riferimento pone a carico dei titolari del trattamento sia delle violazioni di dati personali che siano imputabili unicamente alla propria condotta, esonerando integralmente il Responsabile da ogni responsabilità al riguardo.
  2. Fermo quanto sopra previsto, nelle ipotesi in cui il Responsabile determini finalità e mezzi di trattamento in violazioni del presente atto e della Normativa di Riferimento è considerato titolare del trattamento.
  3. Resta inalterato il ruolo del fornitore,quale autonomo Titolare per quei trattamenti di dati personali effettuati in autonomia ed estranei al trattamento effettuato nell’espletamento delle attività previste dal Contratto, quali ad esempio i trattamenti dei dati personali dei propri dipendenti, e/o collaboratori e/o fornitori, trattamento dati per attività di marketing su clientela effettuati in autonomia.
  • ULTERIORI DISPOSIZIONI

  1. Le Parti concordano che la nomina quale Responsabile contenuta nel presente atto è a titolo gratuito e non potrà comportare in capo al Titolare alcun aggravio di oneri e/o spese e/o costi concordati per l’esecuzione del Contratto.
  2. In merito a questioni relative al trattamento dei dati personali, il presente atto prevale sulle eventuali disposizioni contrastanti contenute all’interno del Contratto.
  • LEGGE APPLICABILE E FORO COMPETENTE

Il presente contratto è regolato dalla legge italiana.

Tutte le controversie derivanti dal presente contratto, comprese quelle relative alla sua validità, interpretazione, esecuzione e risoluzione, che dovessero insorgere tra le Parti, saranno deferite alla competenza del Foro di Bari

 

Ai sensi e per gli effetti dell’articolo 1341 e 1342 del codice civile, il Responsabile dichiara di aver riletto attentamente e compreso, nonché di approvare espressamente, le seguenti disposizioni contenute all’interno del presente atto: 9 (Sub- Responsabili); 10 (Trasferimento all’estero di dati personali); 13 (Risoluzione espressa); 14.1 (manleva in favore del Titolare per eventuali danni derivanti da pretese o azioni di terzi intentate a seguito di inadempimenti alle obbligazioni di cui all’Atto ed alla Normativa di Riferimento da parte del Responsabile e/o di qualsiasi altro soggetto del cui operato debba rispondere, nonché per qualsiasi costo, spesa, onere connessi); 16 (legge applicabile e foro competente).

 

ALLEGATO 1

MISURE TECNICHE E ORGANIZZATIVE ADEGUATE ED ISTRUZIONI DI TRATTAMENTO

La Normativa di Riferimento impone ai soggetti coinvolti nelle operazioni di trattamento di dati personali di mettere in atto misure tecniche ed organizzative che garantiscano un adeguato livello di sicurezza dei dati personali e di adottare processi strutturati di rilevazione, di notifica e di comunicazione delle violazioni di sicurezza comportanti l’accidentale e/o l’illecita distruzione, perdita, modifica, divulgazione di tali dati o l’accesso non autorizzato ai dati medesimi.

Obiettivo del presente allegato consiste nel fornire al Responsabile le istruzioni di trattamento a cui quest’ultimo deve attenersi nell’ambito dell’esecuzione del Contratto. Tali istruzioni dovranno essere recepite dal Responsabile il quale si impegna a sua volta a svolgere ogni intervento necessario al rispetto delle istruzioni impartite, a mantenere un appropriato livello di sicurezza del trattamento e ad assistere il Titolare nell’individuare le soluzioni tecniche ed organizzative adeguate ed efficaci in funzione del trattamento concretamente svolto.

  • MISURE DI SICUREZZA

I trattamenti di dati personali, con riferimento all’esecuzione della prestazione (in forza del Contratto), dovranno essere posti in essere dal Responsabile nel pieno rispetto delle previsioni della Normativa di Riferimento con particolare, ma non esclusivo, riferimento ai principi applicabili al trattamento dei dati personali, all’adozione delle misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio e tenendo conto dei provvedimenti tempo per tempo emanati ed aggiornati dal Garante per la protezione dei dati personali o da altre autorità di controllo competenti in materia di protezione dei dati personali.

Il Responsabile dichiara e garantisce che il trattamento dei dati personali di cui all’Atto:

  • sarà effettuato sia manualmente sia con l’ausilio di strumenti elettronici o comunque automatizzati e per via telematica, con modalità strettamente correlate alle finalità dei trattamenti da effettuare;
  • si attuerà per il tempo e con le modalità strettamente necessarie al perseguimento delle finalità del trattamento specificate nel Contratto e nell’Addendum e in modo tale da garantire la riservatezza, integrità e disponibilità dei dati personali;
  • sarà effettuato soltanto dopo aver messo in atto le misure adeguate per ridurre al minimo i rischi di:
  • distruzione, perdita e violazione, anche accidentale, dei dati stessi;
  • accesso, in modo accidentale o illegale, ai dati personali e sanitari;
  • modifica e divulgazione non autorizzata dei dati personali e sanitari;
  • trattamento non autorizzato o illecito dei dati personali e sanitari.

Nel valutare l’adeguatezza delle misure di sicurezza messe in atto, il Responsabile dovrà tenere conto in special modo dei predetti rischi insiti nel trattamento. Le misure di sicurezza adottate ai sensi del presente Atto dovranno essere periodicamente aggiornate dal Responsabile – in relazione alla conoscenze tempo per tempo dal medesimo acquisite in base al progresso tecnico, alla natura dei dati, alle specifiche caratteristiche del trattamento e ad eventuali specifici provvedimenti o raccomandazioni di settore – mediante l’applicazione, in particolare, di quelle ulteriori o rafforzate misure, tempo per tempo, rese obbligatorie dalla legge ovvero rese disponibili nel settore della sicurezza dei dati personali, previa intesa con il Titolare. Il Responsabile, inoltre, sarà tenuto a:

  • implementare le proprie misure di sicurezza secondo i principi di “Privacy by design” e “Privacy bydefault”;
  • adottare misure tecniche e organizzative che garantiscano un livello di sicurezza adeguato al rischio a cui i dati, i trattamenti, i diritti e le libertà delle persone fisiche sono esposti, tenuto conto delle indicazioni fornite dal Titolare anche a seguito dell’eventuale analisi di impatto effettuata (DPIA);
  • garantire la continua riservatezza, integrità e disponibilità dei dati stessi, impartendo istruzioni tecniche e organizzative per la corretta custodia e utilizzo dei supporti rimovibili di memorizzazione;
  • mettere in atto procedure interne volte a testare, verificare e valutare che le misure tecniche e organizzative implementate garantiscano la sicurezza del trattamento;
  • comunicare e trasmettere al Titolare la documentazione tecnica relativa alle modifiche, tempo per tempo apportate alle misure di sicurezza adottate in riferimento al trattamento dei dati in relazione all’esecuzione della prestazione (in forza del Contratto);
  • garantire la disponibilità e la resilienza dei sistemi, ripristinando tempestivamente la disponibilità e l’accesso ai dati personali in caso di incidente fisico o tecnico, definendo delle misure tecniche e di processo per il corretto backup dei dati personal i e prevedendo attività periodiche di test volte a verificare il restore dei dati.

 

  • MISURE CONCERNENTI IL TRATTAMENTO EFFETTUATO CON L’AUSILIO DI STRUMENTI ELETTRONICI Sistema di autenticazione informatica

Il Responsabile deve far sì che:

  • il trattamento di dati personali con strumenti elettronici sia consentito alle sole persone autorizzate dotate di credenziali che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti;
  • l’autenticazione informatica delle persone autorizzate al trattamento venga effettuata tramite un codice identificativo personale associato ad una parola chiave riservata conosciuta solamente dalle medesime oppure tramite dispositivo di autenticazione in possesso ed uso esclusivo della persona autorizzata al trattamento di dati personali, eventualmente associato a un codice identificativo o ad una parola chiave. In aggiunta, l’autenticazione potrà avvenire mediante lo sfruttamento di una caratteristica biometrica della persona autorizzata al trattamento di dati personali, eventualmente associata ad un codice identificativo o ad una parola chiave;
  • il sistema di autenticazione informatica garantisca che ad ogni persona autorizzata al trattamento di dati personali sia assegnata o associata individualmente una o più credenziali per l’autenticazione;
  • siano impartite alle persone autorizzate al trattamento di dati personali istruzioni sulle cautele per la segretezza della password e sulla diligente custodia degli eventuali dispositivi in possesso ed uso esclusivo di queste ultime;
  • la password sia composta da almeno 8 caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito;
  • siano impartite istruzioni affinché le password non siano facilmente riconducibili alle persone autorizzate al trattamento di dati personali;
  • la password sia modificata dalla persona autorizzata al trattamento di dati personali al primo utilizzo e, successivamente, almeno ogni sei mesi. Nel caso in cui le persone siano autorizzate al trattamento di categorie particolari di dati personali compresi quelli relativi a condanne penali e reati, la password dovrà essere modificata almeno ogni tre mesi;
  • il codice per l’identificazione, laddove utilizzato, non possa essere assegnato ad altre persone, neppure in tempi diversi;
  • le credenziali di autenticazione (eccetto le utenze tecniche autorizzate) vengano disattivate dopo almeno 6 mesi di inutilizzo;
  • le credenziali di autenticazione vengano disabilitate in caso di perdita della qualità che consente alla persona autorizzata l’accesso ai dati personali (es. cambi di ruolo);
  • siano impartite istruzioni per non lasciare incustodito e accessibile lo strumento elettronico durante la sessione di trattamento;
  • siano presenti le disposizioni relative ai casi di assenza prolungata della persona autorizzata al trattamento, in relazione alla custodia delle copie delle credenziali.

 

Sistema di autorizzazione

Il Responsabile deve far sì che:

  • quando per le persone autorizzate al trattamento di dati personali sono individuati profili di autorizzazione di ambito diverso, sia utilizzato un sistema di autorizzazione;
  • il sistema di autorizzazione sia configurato in modo tale da limitare l’accesso ai soli dati necessari per effettuare le operazioni di trattamento (principio del minimo privilegio);
  • la sussistenza delle condizioni per il mantenimento dei profili autorizzativi sia verificata con periodicità almeno annuale.

 

Altre misure di sicurezza

Il Responsabile deve far sì che:

  • nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito alle persone autorizzate al trattamento di dati personali e addette alla gestione o alla manutenzione degli strumenti elettronici, la lista di queste persone possa essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione;
  • i dati personali siano protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante idonei strumenti elettronici (es. firewall, IDS, antivirus) aggiornati almeno ogni 6 mesi;
  • gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti siano effettuati almeno annualmente. In caso di trattamento di categorie particolari di dati personali l’aggiornamento deve essere almeno semestrale;
  • siano impartite istruzioni organizzative e tecniche che prevedano il salvataggio dei dati con frequenza almeno settimanale;

 

Ulteriori misure in caso di trattamento di dati particolari (ex art. 9 GDPR)

Il Responsabile deve far sì che:

  • i dati personali che rientrino in categorie particolari siano protetti contro l’accesso abusivo, di cui all’art. 615-ter  del codice penale, mediante l’utilizzo di idonei strumenti elettronici;
  • siano impartite istruzioni tecniche e organizzative per la corretta custodia e utilizzo dei supporti rimovibili di memorizzazione;
  • siano impartite istruzioni per la distruzione dei supporti rimovibili contenenti categorie particolari di dati personali non più utilizzati e per la distruzione di tali dati dai supporti riutilizzati da altri addetti non autorizzati al trattamento di dati personali;
  • siano adottate idonee misure per garantire il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni.
  • MISURE CONCERNENTI IL TRATTAMENTO EFFETTUATO SENZA L’AUSILIO DI STRUMENTI ELETTRONICI

Per il trattamento effettuato senza l’ausilio di strumenti elettronici, il Responsabile deve:

  • impartire alle persone autorizzate al trattamento di dati personali istruzioni scritte finalizzate al controllo ed alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali;
  • far sì che nell’ambito dell’aggiornamento periodico con cadenza almeno annuale dell’individuazione dell’ambito del trattamento consentito alle persone autorizzate al trattamento di dati personali, la lista di queste persone possa essere redatta anche per classi omogenee di incarico e dei relativi profili di autorizzazione;
  • far sì che quando gli atti e i documenti contenenti categorie particolari di dati personali (ex art. 9 GDPR), sono affidati a determinate persone per lo svolgimento dei relativi compiti, i medesimi atti e documenti siano controllati e custoditi daqueste persone fino alla loro restituzione in maniera che ad essi non accedano persone prive di autorizzazione, e siano restituiti al termine delle operazioni affidate;
  • garantire che l’accesso agli archivi contenenti categorie particolari di dati sia controllato;
  • adottare procedure idonee a far sì che le persone ammesse all’accesso ai locali dell’azienda, a qualunque titolo, dopo l’orario di chiusura, siano identificate e registrate;
  • quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi, garantire che le persone che vi accedono siano preventivamente autorizzate.
  • MISURE CONCERNENTI LE PERSONE AUTORIZZATE AL TRATTAMENTO DI DATI

Il Responsabile deve:

  • far sì che le persone autorizzate al trattamento di dati personali abbiano accesso e trattino esclusivamente i dati personali che sono strettamente necessari per dare corretta e piena esecuzione alle prestazioni contrattuali o per adempiere ad obblighi di legge e, in ogni caso, nei limiti e in conformità con i termini del Contratto (con Addendum e relativi allegati) e della Normativa di Riferimento,
  • consentire il trattamento dei dati personali unicamente alle persone che:
  • per esperienza, capacità e formazione risultano idonee ad assicurare il rispetto della Normativa di Riferimento;
  • abbiano svolto con cadenza almeno annuale un corso di formazione circa gli obblighi disposti dalla Normativa di Riferimento;
  • siano state autorizzate per iscritto allo svolgimento di operazioni di trattamento di dati personali.

Mediante l’autorizzazione di cui sopra il Responsabile deve altresì impartire per iscritto alle suddette persone dettagliate istruzioni operative relative agli obblighi cui sono tenute nel trattamento dei dati personali, alle precauzioni che le medes ime devono adottare per garantire che il trattamento dei dati personali si svolga in conformità al Contratto (con Addendum e relativi allegati) e alla Normativa di Riferimento ed alle attività da compiere in caso di violazione dei dati personali.

Il Responsabile deve altresì:

  • vigilare scrupolosamente sull’esatto adempimento, da parte delle persone autorizzate al trattamento di dati personali, delle istruzioni ricevute e degli obblighi a cui sono soggetti;
  • approntare misure fisiche, tecniche ed organizzative atte a far sì che ciascuna persona autorizzata al trattamento possa avere accesso esclusivamente ai Dati Personali che possono essere trattati in base al proprio profilo di autorizzazione, tenendo conto dell’attività che devono compiere con riferimento all’esecuzione alle prestazioni contrattuali;
  • far sì che le persone autorizzate al trattamento mantengano un comportamento conforme a quanto previsto nel Contratto (con Addendum e relativi allegati) e nella Normativa di Riferimento e comunque improntato a standard di diligenza, correttezza e professionalità, astenendosi da qualsiasi condotta, attiva od omissiva, che possa violare la Normativa di Riferimento o che possa determinare conseguenze pregiudizievoli per il Titolare.
  • MISURE CONCERNENTI GLI AMMINISTRATORI DI SISTEMA

Il Responsabile è tenuto, al verificarsi dei relativi presupposti, a designare gli amministratori di sistema ed a rispettare quanto indicato nel provvedimento generale del Garante del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, così come modificato dal successivo Provvedimento del 25 giugno 2009, recante “Modifiche del provvedimento del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento”. Il Responsabile dovrà predisporre, aggiornare e conservare l’elenco contenente gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema e comunicare al Titolare, a richiesta di quest’ultimo e comunque con periodicità almeno annuale, l’elenco aggiornato degli amministratori di sistema, specificando in una apposita lista quali siano gli amministratori di sistema che nell’ambito delle proprie funzioni e mansioni abbiano la possibilità di intervenire sui dati personali di pertinenza o comunque in possesso del Titolare. Il Responsabile dovrà, inoltre, verificare annualmente l’operato degli amministratori di sistema in modo da controllare la sua rispondenza alle misure organizzative, tecniche e di sicurezza riguardanti i trattamenti dei dati personali previste dalle norme vigenti. Il Responsabile deve adottare sistemi idonei alla registrazione degli accessi logici (c.d. autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori di sistema. Tali registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo per cui sono richieste. Esse devono altresì comprendere i riferimenti temporali e la descrizione dell’evento che le ha generate ed essere conservate per un congruo periodo, non inferiore a 6 (sei) mesi.

  • VIOLAZIONE DEI DATI PERSONALI

In presenza di violazioni, anche solo presunte, di dati personali e sanitari il Responsabile è tenuto a:

  1. informare il Titolare immediatamente e comunque entro 24 ore da quando ha avuto conoscenza dell’evento, inviando una comunicazione redatta sulla base del modulo di seguito riportato e fornendo le informazioni ivi indicate;
  2. di concerto con il Titolare, adottare immediatamente e comunque senza ingiustificato ritardo ogni necessaria misura volta a minimizzare i rischi di qualsivoglia natura per i dati personali e porre in essere ogni eventuale operazione necessaria per porre rimedio alla violazione dei dati personali, per attenuarne i possibili effetti negativi e per investigarne la cause.

Il Responsabile deve inoltre tenere un registro che elenchi le violazioni dei dati personali, le circostanze ad esse relative , le conseguenze di ciascuna violazione, i provvedimenti adottati per porvi rimedio. Tale registro dovrà essere esibito al Titolare a semplice richiesta di quest’ultimo.

 

MODULO PER LA COMUNICAZIONE DELLA VIOLAZIONE DEI DATI PERSONALI
Soggetto che compila il modulo relativo alla violazione dei dati personali
Nome della soggetto che ha rilevato la violazione dei dati personali
Natura della violazione dei dati personali
Data e orario in cui la violazione dei dati si è verificata
Data e orario in cui si è venuti a conoscenza della violazione dei dati
Categorie e numero approssimativo di interessati i cui dati personali sono stato oggetto della violazione
Categorie e numero approssimativo di dati personali oggetto della violazione
Categorie e numero approssimativo di dati personali oggetto della violazione
Nome e dati di contatto del Responsabile della Protezione dei Dati, se previsto
Probabili conseguenze della violazione dei dati personali
Misure a disposizione per porre rimedio e/o per

attenuare i possibili effetti negativi della violazione dei dati personali

Eventuali commenti finali
  • DIRITTI DEGLI INTERESSATI

Il Responsabile dichiara e garantisce di aver adottato misure tecniche e organizzative adeguate per consentire l’esercizio dei diritti degli interessati ai sensi della Normativa di Riferimento, impegnandosi a evadere qualsiasi richiesta formulata da parte del Titolare per far fronte alle richieste degli interessati. Nello specifico il Responsabile si obbliga a collaborare con il Titolare per garantire che le richieste di esercizio dei diritti degli interessati previsti dalla Normativa di Riferimento siano soddisfatte entro i tempi e secondo le modalità di legge. Il termine previsto per l’evasione operativa della richiesta formulata dal Titolare non deve in ogni caso superare i 15 giorni solari dal momento della formulazione della stessa.

Il Responsabile dovrà garantire l’effettivo esercizio dei diritti riconosciuti agli interessati dalla Normativa di Riferimento sulla base degli accordi intercorsi con il Titolare, impegnandosi a notificare per iscritto al Titolare entro un termine di 15 giorni solari qualsivoglia richiesta di esercizio di tali diritti formulata direttamente da parte degli interessati, allegando altresì una copia della richiesta.