ATTO DI NOMINA A RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI
In applicazione alle innovazioni e modifiche apportate al D. Lgs. 30 giugno 2003 n. 196 dal GDPR UE 2016/679 in materia di protezione dei dati personali, il sottoscritto Toniolo Stive, codice fiscale TNLSTV73S21C743S, in qualità di legale rappresentante pro-tempore della Evit s.r.l. con sede in Tombolo (PD), via Vittorio Veneto 95/b, codice fiscale 03813160284 Visto il Decreto Legislativo 30 giugno 2003, n. 196 denominato “Codice in materia di protezione dei dati personali” di seguito indicato come “Codice” Considerata l’entrata in vigore del nuovo Regolamento Europeo Privacy UE 2016/679 del 27 aprile 2016, pubblicato sulla Gazzetta Ufficiale dell’Unione Europea il 04 maggio 2016, di seguito indicato come “Regolamento” NOMINA RESPONSABILE ESTERNO DEL TRATTAMENTO DATI PERSONALI la Jonny Mole s.r.l., con sede in Cittadella (PD), via Pozzetto 30/1, nella persona del suo legale rappresentante pro-tempore:
A. per garantire la sicurezza del server e del framework software utilizzato per lo sviluppo del sito
B. per la corretta gestione dei dati sensibili raccolti
C. per la predisposizione dell’adeguata comunicazione sul sito web
D. per la predisposizione degli adeguati controlli a livello di interfaccia utente, vale a dire all’approvazione esplicita delle finalità
E. per garantire che il sistema informativo memorizzi correttamente le tipologie di autorizzazioni di privacy date dall’utente
F. per garantire che il software presente nel sistema informativo non gestisca i dati per scopi diversi da quelli autorizzati
G. per garantire che il sistema informativo rimuova i dati sensibili degli utenti nel momento in cui sia scaduto il tempo massimo di memorizzazione prevista
Il trattamento potrà essere eseguito con strumenti elettronici o comunque automatizzati, oppure con strumenti diversi, per l’ambito di attribuzioni, competenze e funzioni assegnate. Il Responsabile del trattamento dei dati ha il compito e la responsabilità di adempiere a tutto quanto necessario per il rispetto delle disposizioni vigenti in materia, e di osservare scrupolosamente quanto in essa previsto. Il Responsabile del trattamento si impegna, entro trenta giorni dalla data di sottoscrizione e accettazione della presente nomina, ad impartire ai propri collaboratori sub-responsabili le istruzioni in merito alle operazioni di trattamento dei dati personali e a vigilare sulla loro puntuale applicazione.
PRINCIPI GENERALI DA OSSERVARE
Ogni trattamento di dati personali deve avvenire nel rispetto primario dei principi di ordine generale. I dati devono essere trattati secondo il principio di liceità, vale a dire conformemente alle disposizioni del Codice e del Regolamento, nonché alle disposizioni del Codice Civile.
1. I dati personali devono essere:
A. Trattati in modo lecito e secondo il principio di correttezza che deve ispirare chiunque tratti qualcosa che appartiene alla sfera altrui
B. Raccolti e registrati per scopi determinati (vale a dire che non è consentita la raccolta come attività fine a se stessa), espliciti (nel senso che il soggetto interessato va informato sulle finalità del trattamento) e legittimi (vale a dire che oltre al trattamento, come è evidente, anche il fine della raccolta dei dati deve essere lecito)
C. Compatibili con il presupposto per il quale sono inizialmente trattati, specialmente nelle operazioni di comunicazione e diffusione degli stessi
D. Utilizzati in altre operazioni del trattamento solo se compatibili con tali scopi
E. Esatti – vale a dire precisi e rispondenti al vero – e, se necessario, aggiornati
F. Pertinenti, e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati e allo scopo perseguito, nel senso che devono essere raccolti solo i dati che siano al contempo strettamente necessari e sufficienti in relazione al fine, cioè la cui mancanza risulti di ostacolo al raggiungimento dello scopo stesso
G. Completi, non nel senso di raccogliere il maggior numero di informazioni possibili, bensì di contemplare specificamente il concreto interesse e diritto del soggetto interessato
H. Conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati, e comunque in base alle disposizioni aventi ad oggetto le modalità ed i tempi di conservazione degli atti e documenti di cui trattasi. Trascorso detto periodo, i dati vanno resi anonimi o cancellati I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. Ciascun trattamento deve avvenire, inoltre, nei limiti imposti dal principio fondamentale di riservatezza e nel rispetto della dignità dell’interessato al trattamento, vale a dire che deve essere effettuato eliminando ogni occasione di impropria conoscibilità dei dati da parte di terzi. Se il trattamento di dati è effettuato in violazione dei principi summenzionati e di quanto disposto dal Codice, è necessario provvedere al “blocco” dei dati stessi, vale a dire alla sospensione del trattamento. Infatti, tutti i dati personali trattati in violazione della disciplina in materia di trattamento dei dati personali non possono essere utilizzati
2. In caso di cessazione di un trattamento per qualsiasi causa, i dati sono:
A. Distrutti
B. Restituiti al Titolare
C. Conservati per obbligo di legge
D. Comunicati ad altro Responsabile indicato dal Titolare che si è avvalso del diritto di portabilità
3. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’Autorità Giudiziaria, quando è stata ordinata la cancellazione dei dati personali, nonché quando è decorso il periodo di tempo superiore a quello necessario agli scopi È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.
4. Il Responsabile del trattamento dei dati personali, operando nell’ambito dei principi sopra indicati, deve attenersi ai seguenti compiti di carattere particolare:
A. Identificare e censire i trattamenti di dati personali, le banche dati e gli archivi gestiti con supporti informatici e/o cartacei necessari all’espletamento delle attività rientranti nella propria sfera di competenza
B. Predisporre il registro delle attività di trattamento, se previsto, da esibire in caso di ispezioni delle autorità e contenente almeno le seguenti informazioni: Il nome e i dati di contatto del Responsabile del trattamento, del Titolare del trattamento e del Responsabile della protezione dei dati (se nominato) Le categorie dei trattamenti effettuati Se del caso, i trasferimenti di dati personali verso paesi terzi Una descrizione delle misure di sicurezza tecniche ed organizzative applicate a protezione dei dati
C. Indicare, per ciascun trattamento di dati personali, la durata del trattamento e la cancellazione o l’anonimizzazione dei dati obsoleti, nel rispetto della normativa vigente in materia di prescrizione e tenuta archivi
D. Provvedere, ogni qualvolta si raccolgano dati personali, a fornire l’informativa ai soggetti interessati
E. Assicurare che la comunicazione a terzi e la diffusione dei dati personali avvenga entro i limiti necessari alla finalità di specie, oppure solo se prevista da una norma di legge
5. Il Responsabile del trattamento dei dati personali deve adempiere agli obblighi di sicurezza, quali:
Adottare tutte le preventive misure di sicurezza ritenute idonee al fine di ridurre al minimo i rischi di distruzione o perdita dei dati anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta Definire una politica di sicurezza per assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e servizi afferenti il trattamento dei dati. Assicurarsi la capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico. Definire una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative applicate.
6. In relazione a eventuali sub-responsabili incaricati, il Responsabile del trattamento ha facoltà di nominarli ma solo alle stesse condizioni previste nel contratto tra il Titolare del trattamento e il Responsabile del trattamento. Il Responsabile del trattamento deve inoltre:
A. Individuare, tra i propri collaboratori, designandoli per iscritto, i sub-responsabili del trattamento
B. Fornire le istruzioni cui devono attenersi i sub-responsabili nel trattamento dei dati, assicurandosi che vengano materialmente consegnate agli stessi o siano già in loro
possesso
C. Adoperarsi al fine di rendere effettive le suddette istruzioni cui devono attenersi i subresponsabili del trattamento, curando e imponendo loro, in particolare, il profilo della riservatezza, della sicurezza di accesso, della integrità dei dati e l’osservanza da parte dei sub-responsabili – nel compimento delle operazioni di trattamento – dei principi di carattere generale della vigente disciplina in materia
D. Stabilire le modalità di accesso ai dati e l’organizzazione del lavoro dei sub-responsabili, avendo cura di adottare preventivamente le misure organizzative idonee e impartire le necessarie istruzioni ai fini del riscontro di eventuali richieste di esecuzione dei diritti degli interessati
7. Il Responsabile del trattamento può trattare i dati personali soltanto a seguito della presente istruzione documentata del Titolare del trattamento, firmata da entrambe le parti. Ciò vale anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il Responsabile del trattamento. In tal caso, il Responsabile del trattamento informa in anticipo il Titolare del trattamento circa tale obbligo giuridico, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico
8. Il Responsabile del trattamento deve inoltre:
A. Assistere il Titolare del trattamento nel rispetto dei diritti degli interessati
B. Collaborare con il Titolare del trattamento dei dati qualora sia chiamato davanti alle autorità di controllo
C. Su richiesta del Titolare del trattamento, restituire o distruggere i dati personali al termine del rapporto professionale, salvo quanto è tenuto a trattenere nel rispetto di un obbligo di legge o per la tutela di un diritto in sede giudiziaria, oppure salvo quanto diversamente richiesto dalla legge dell’Unione o dello Stato membro
D. Fornire al titolare del trattamento tutte le informazioni necessarie a dimostrare la conformità con il GDPR Il Responsabile del trattamento risponde al Titolare per ogni violazione o mancata attivazione di quanto previsto dalla normativa in materia di tutela dei dati personali, relativamente a quanto di competenza. La responsabilità penale per l’eventuale uso irregolare o illecito dei dati oggetto di tutela è a carico della singola persona cui l’uso improprio sia imputabile. Per tutto quanto non espressamente previsto nel presente atto, si rinvia alle disposizioni generali vigenti in materia di protezione dei dati personali. Una copia del presente atto di nomina deve essere restituita debitamente firmata per accettazione.
Padova, Il Titolare del Trattamento
Evit s.r.l.
Per accettazione
Il Responsabile del trattamento
Jonny Mole s.r.l.
