PARTE 1
REGIONE EMILIA-ROMAGNA
INFORMATIVA per il trattamento dei dati personali ai sensi dell’art 13 del Regolamento europeo n. 679/2016
1. Premessa
Ai sensi dell’art. 13 del Regolamento europeo n. 679/2016, la Giunta della Regione Emilia-Romagna, in qualità di “Titolare” del trattamento, è tenuta a fornirle informazioni in merito all’utilizzo dei suoi dati personali.
2. Identità e i dati di contatto del titolare del trattamento
Il Titolare del trattamento dei dati personali di cui alla presente Informativa è la Giunta della Regione Emilia-Romagna, con sede in Bologna, Viale Aldo Moro n. 52, cap 40127.
Al fine di semplificare le modalità di inoltro e ridurre i tempi per il riscontro si invita a presentare le richieste di cui al paragrafo n. 10, alla Regione Emilia-Romagna, Ufficio per le relazioni con il pubblico (Urp), per iscritto o recandosi direttamente presso lo sportello Urp.
L’Urp è aperto dal lunedì al venerdì dalle 9 alle 13 in Viale Aldo Moro 52, 40127 Bologna (Italia): telefono 800-662200, fax 051-527.5360, e-mail urp@regione.emilia-romagna.it. 3. Il Responsabile della protezione dei dati personali Il Responsabile della protezione dei dati designato dall’Ente è contattabile all’indirizzo mail dpo@regione.emilia-romagna.it o presso la sede della Regione Emilia-Romagna di Viale Aldo Moro n. 30.
3. Il Responsabile della protezione dei dati personali
Il Responsabile della protezione dei dati designato dall’Ente è contattabile all’indirizzo mail dpo@regione.emilia-romagna.it o presso la sede della Regione Emilia-Romagna di Viale Aldo Moro n. 30.
4. Responsabili del trattamento
L’Ente si avvale dei comuni del territorio regionale nominati quale responsabile del trattamento, per l’espletamento di attività e relativi trattamenti di dati personali di cui manteniamo la titolarità. Conformemente a quanto stabilito dalla normativa. I Comuni nominati assicurano livelli esperienza, capacità e affidabilità tali da garantire il rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo della sicurezza dei dati. Formalizziamo istruzioni, compiti ed oneri in capo ai responsabili esterni con la designazione degli stessi a "Responsabili del trattamento". Sottoponiamo tali soggetti a verifiche periodiche al fine di constatare il mantenimento dei livelli di garanzia registrati in occasione dell’affidamento dell’incarico iniziale.
5. Soggetti autorizzati al trattamento
I Suoi dati personali sono trattati da personale previamente autorizzato e designato quale incaricato del trattamento, a cui sono impartite idonee istruzioni in ordine a misure, accorgimenti, modus operandi, tutti volti alla concreta tutela dei suoi dati personali.
6. Finalità e base giuridica del trattamento
Il trattamento dei suoi dati personali viene effettuato dalla Giunta della Regione Emilia-Romagna per lo svolgimento di funzioni istituzionali e, pertanto, ai sensi dell’art. 6 comma 1 lett. e) non necessita del suo consenso. I dati personali sono trattati per le seguenti finalità:
- attuazione della L.R. 14/08 “Norme in materia di politiche rivolte ai giovani”
- registrazione dei dati finalizzata all’iscrizione al progetto youngERcard
- partecipazione ai servizi collegati alla card regionale (usufruire delle convenzioni, eventuale svolgimento di progetti di protagonismo, ricezione premi e altre attività previste)
- ricezione di comunicazioni istituzionali esclusivamente legate al progetto regionale della youngERcard (ad esempio attraverso l’invio di una newsletter legata al portale Giovazoom)
- elaborazione per uso statistico e monitoraggio del progetto in modo anonimo e aggregato
7. Destinatari dei dati personali
I suoi dati personali non sono oggetto di comunicazione o diffusione.
8. Trasferimento dei dati personali a Paesi extra UE
I suoi dati personali non sono trasferiti al di fuori dell’Unione europea.
9. Periodo di conservazione
I suoi dati sono conservati per un periodo non superiore a quello necessario per il perseguimento delle finalità sopra menzionate. A tal fine, anche mediante controlli periodici, viene verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati che Lei fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non sono utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene.
10. I suoi diritti
Nella sua qualità di interessato, Lei ha diritto:
- di accesso ai dati personali;
- di ottenere la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano;
- di opporsi al trattamento;
- di proporre reclamo al Garante per la protezione dei dati personali
11. Conferimento dei dati
Il conferimento dei Suoi dati è facoltativo, ma necessario per le finalità sopra indicate. Il mancato conferimento dei dati comporterà l’anonimizzazione dei contenuti, o, in caso non sia possibile anonimizzare, l’utente sarà escluso dal trattamento.
12. CANCELLAZIONE DAL SERVIZIO
Per non ricevere più la newsletter può scrivere una e-mail alla redazione del sito web.
PARTE 2
Accordo per il trattamento di dati personali del progetto YOUNGERCARD in attuazione della L.R. 14/08
Con il presente accordo la Giunta della Regione Emilia-Romagna (di seguito Ente) individua il Comune sottoscrittore, come da elenco allegato, quale soggetto esterno designato Responsabile del trattamento di dati personali ai sensi dell’art. 28 del GDPR, per le finalità di cui al progetto YOUNGERCARD in attuazione della L.R. 14/08.
1. Premesse
- (A) Il presente Accordo si compone delle clausole di seguito rappresentate e dall’Allegato 1: Glossario.
Le Parti convengono quanto segue:
2. Trattamento dei dati nel rispetto delle istruzioni della Giunta della Regione Emilia-Romagna
2.1 Il Responsabile del trattamento, relativamente a tutti i Dati personali che tratta per conto dell’Ente garantisce che:
2.1.1 tratta tali Dati personali solo ai fini di cui al progetto YOUNGERCARD in attuazione della L.R. 14/08 e, successivamente, solo nel rispetto di quanto eventualmente concordato dalle Parti per iscritto, agendo pertanto, esclusivamente sulla base delle istruzioni documentate e fornite dall’Ente;
- 2.2.1 procedure idonee a garantire il rispetto dei diritti e delle richieste formulate all’Ente dagli interessati relativamente ai loro dati personali e/o a conformarsi alle istruzioni fornite dall’Ente in materia;
- 2.2.2 procedure atte a garantire l’aggiornamento, la modifica e la correzione, su richiesta dell’Ente dei dati personali di ogni interessato e/o a conformarsi alle istruzioni fornite dall’Ente in materia;
- 2.2.3 procedure atte a garantire la cancellazione o il blocco dell’accesso ai dati personali a richiesta dall’Ente e/o a conformarsi alle istruzioni fornite dall’Ente in materia;
- 2.2.4 procedure atte a garantire il diritto degli interessati alla limitazione di trattamento, su richiesta dell’Ente e/o a conformarsi alle istruzioni fornite dall’Ente in materia.
- 2.3 Il Responsabile del trattamento deve garantire e fornire all’Ente cooperazione, assistenza e le informazioni che potrebbero essere ragionevolmente richieste dalla stessa, per consentirle di adempiere ai propri obblighi ai sensi della normativa applicabile, ivi compresi i provvedimenti e le specifiche decisioni del Garante per la protezione dei dati personali.
2.1.2 non trasferisce i Dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte dall’Ente e a fronte di quanto disciplinato nel presente accordo;
2.1.3 non tratta o utilizza i Dati personali per finalità diverse da quelle per cui è conferito incarico dall’Ente, financo per trattamenti aventi finalità compatibili con quelle originarie;
2.1.4 prima di iniziare ogni trattamento e, ove occorra, in qualsiasi altro momento, informerà l’Ente se, a suo parere, una qualsiasi istruzione fornita dall’Ente si ponga in violazione di Normativa applicabile;
2.2 Al fine di dare seguito alle eventuali richieste da parte di soggetti interessati, il Responsabile del trattamento si obbliga ad adottare:
- 2.4 Il Responsabile del trattamento, anche nel rispetto di quanto previsto all’art. 30 del Regolamento, deve mantenere e compilare e rendere disponibile a richiesta dello stesso, un registro dei trattamenti dati personali che riporti tutte le informazioni richieste dalla norma.
- 2.5 Il Responsabile del trattamento assicura la massima collaborazione al fine dell’esperimento delle valutazioni di impatto ex art. 35 del GDPR che l’Ente intenderà esperire sui trattamenti che rivelano, a Suo insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
3. Le misure di sicurezza
3.1 Il Responsabile del trattamento deve adottare e mantenere appropriate misure di sicurezza, sia tecniche che organizzative, per proteggere i dati personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati.
3.2 Nei casi in cui il Responsabile effettui trattamenti di conservazione dei dati personali del Titolare nel proprio sistema informativo, garantisce la separazione di tipo logico di tali dati da quelli trattati per conto di terze parti o per proprio conto.
3.3 Il Responsabile del trattamento deve adottare misure tecniche ed organizzative adeguate per salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti al Titolare, con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non autorizzato a qualsiasi computer o sistema.
3.4 Conformemente alla disposizione di cui all’art. 28 comma 1 del Regolamento e alla valutazione delle garanzie che il Responsabile del trattamento deve presentare, lo stesso Responsabile attesta, a mezzo della sottoscrizione del presente accordo, la conformità della propria
organizzazione almeno ai parametri di livello minimo di cui alle misure di sicurezza individuate da Agid la circolare n. 2/20171.
(1http://www.gazzettaufficiale.it/do/atto/serie_generale/caricaPdf?cdimg=17A0239900200010110001&dgu=2017-04-04&art.dataPubblicazioneGazzetta=2017-04-04&art.codiceRedazionale=17A02399&art.num=1&art.tiposerie=SG)
3.5 Il Responsabile del trattamento dà esecuzione al contratto in aderenza alle policy della Regione Emilia-Romagna, titolare della banca dati, in materia di privacy e sicurezza informatica, tra le quali, per la RER:
- Determina n. 8901 del 6 giugno 2017 Disciplinare tecnico per utenti dei servizi informativi della Regione Emilia-Romagna
- Determina di Giunta regionale n. 4137 del 28/03/2014 "Disciplinare tecnico in materia di sicurezza delle applicazioni informatiche nella Giunta e nella assemblea Legislativa della Regione Emilia-Romagna"
- Deliberazione della Giunta Regionale n. 281 del 29/02/2016 "Linee Guida Per La Governance Del Sistema Informatico Regionale – Aggiornamento 2016".
Il Responsabile del trattamento dichiara di conoscere ed accettare i contenuti degli atti sopra citati, anche se non materialmente allegati al presente accordo.
4. Analisi dei rischi, privacy by design e privacy by default
4.1 Con riferimento agli esiti dell’analisi dei rischi effettuata dall’Ente sui trattamenti di dati personali cui concorre il Responsabile del trattamento, lo stesso assicura massima cooperazione e assistenza al fine di dare effettività alle azioni di mitigazione previste dall’Ente per affrontare eventuali rischi identificati.
4.2 Il Responsabile del trattamento dovrà consentire all’Ente, tenuto conto dello stato della tecnica, dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura tecnica
ed organizzativa che si riterrà opportuna per garantire ed attuare i principi previsti in materia di protezione dati e a tutelare i diritti degli interessati.
4.3 In linea con i principi di privacy by default, dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali necessari per ogni specifica finalità del trattamento, e che in particolare non siano accessibili dati personali ad un numero indefinito di soggetti senza l’intervento di una persona fisica.
4.4 Il Responsabile del trattamento dà esecuzione al presente accordo in aderenza alle policy di privacy by design e by default adottate dall’Ente e specificatamente comunicate.
5. Soggetti autorizzati ad effettuare i trattamenti - Designazione
5.1 Il Responsabile del trattamento garantisce competenze ed affidabilità dei propri dipendenti e collaboratori autorizzati al trattamento dei dati personali (di seguito anche incaricati) effettuati per conto dell’Ente.
5.2 Il Responsabile del trattamento garantisce che gli incaricati abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza informatica, consegnando all’Ente le evidenze di tale formazione.
5.3 Il Responsabile del trattamento, con riferimento alla protezione e gestione dei dati personali, impone ai propri incaricati obblighi di riservatezza rispettosi della normativa in materia di privacy e delle istruzioni fornite dal titolare non meno onerosi di quelli previsti nel Contratto di cui il presente documento costituisce parte integrante. In ogni caso il Responsabile del trattamento è direttamente ritenuto responsabile per qualsiasi divulgazione di dati personali dovesse realizzarsi ad opera di tali soggetti.
6. Sub-Responsabili del trattamento di dati personali
6.1 Nell’ambito del presente accordo, il Responsabile del trattamento è autorizzato sin d’ora, alla designazione di altri responsabili del trattamento (d’ora in poi anche "sub-responsabili"), previa informazione dell’Ente ed imponendo agli stessi condizioni vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel presente Accordo.
6.2 Su specifica richiesta dell’Ente, il Responsabile del trattamento dovrà provvedere a che ogni SubResponsabile sottoscriva direttamente con l’Ente un accordo di trattamento dei dati che, a meno di ulteriori e specifiche esigenze, preveda sostanzialmente gli stessi termini del presente Accordo.
6.3 In tutti i casi, il Responsabile del trattamento si assume la responsabilità nei confronti dell’Ente per qualsiasi violazione od omissione realizzati da un Sub-Responsabile o da altri terzi soggetti incaricati dallo stesso, indipendentemente dal fatto che il Responsabile del trattamento abbia o meno rispettato i propri obblighi contrattuali, ivi comprese le conseguenze patrimoniali derivanti da tali violazioni od omissioni.
7. Trattamento dei dati personali fuori dall’area economica europea
7.1 L’Ente non autorizza il trasferimento dei dati personali oggetto di trattamento al di fuori dell’Unione Europea.
8. Cancellazione dei dati personali
8.1 Il Responsabile del trattamento, a richiesta del Titolare, provvede alla restituzione o cancellazione dei dati personali trattati per l’esecuzione del presente accordo al termine del trattamento e in qualsiasi circostanza in cui sia richiesto dall’Ente, compresa l’ipotesi in cui la stessa debba avvenire per dare seguito a specifica richiesta da parte di interessati.
9. Audit
9.1 Il Responsabile del trattamento si rende disponibile a specifici audit in tema di privacy e sicurezza informatica da parte dell’Ente.
9.2 Il Responsabile del trattamento consente, pertanto, all’Ente l’accesso ai propri locali e ai locali di qualsiasi SubResponsabile, ai computer e altri sistemi informativi, ad atti, documenti e a quanto ragionevolmente richiesto per verificare che il Responsabile del trattamento, e/o i suoi Sub-fornitori, rispettino gli obblighi derivanti dalla normativa in materia di protezione dei dati personali e, quindi, da questo Accordo.
9.3 L’Ente può esperire specifici audit anche richiedendo al Responsabile del trattamento di attestare la conformità della propria organizzazione agli oneri di cui alla Normativa applicabile e al presente Accordo.
9.4 L’esperimento di tali audit non deve avere ad oggetto dati di terze parti, informazioni sottoposte ad obblighi di riservatezza degli interessi commerciali.
9.5 Il rifiuto del Responsabile del trattamento di consentire l’audit all’Ente comporta la decadenza del presente accordo.
10. Indagini dell’Autorità e reclami
10.1 Nei limiti della normativa applicabile, il Responsabile del trattamento o qualsiasi SubResponsabile informa senza alcun indugio l’Ente di qualsiasi
- a) richiesta o comunicazione promanante dal Garante per la protezione dei dati personali o da forze dell’ordine
- b) istanza ricevuta da soggetti interessati
Il Responsabile del trattamento fornisce, gratuitamente, tutta la dovuta assistenza all’Ente per garantire che la stessa possa rispondere a tali istanze
o comunicazioni nei termini temporali previsti dalla normativa e dai regolamentari applicabili.
11. Violazione dei dati personali e obblighi di notifica
11.1 Il Responsabile del trattamento, in virtù di quanto previsto dall’art. 33 del Regolamento e nei limiti di cui al perimetro delle attività affidate, deve comunicare a mezzo di posta elettronica certificata all’Ente nel minor tempo possibile, e comunque non oltre 24 (ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ivi incluse quelle che abbiano riguardato i propri sub-Fornitori. Tale comunicazione deve contenere ogni informazione utile alla gestione del data breach, oltre a
a) descrivere la natura della violazione dei dati personali
b) le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali;
e) una descrizione delle misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove opportuno, misure per mitigare i suoi possibili effetti negativi
11.2 Il Responsabile del trattamento deve fornire tutto il supporto necessario all’Ente ai fini delle indagini e sulle valutazioni in ordine alla violazione di dati, anche al fine di individuare, prevenire e limitare gli effetti negativi della stessa, conformemente ai suoi obblighi ai sensi del presente articolo e, previo accordo con l’Ente, per svolgere qualsiasi azione che si renda necessaria per porre rimedio alla violazione stessa. Il Responsabile del trattamento non deve rilasciare, né pubblicare alcun comunicato stampa o relazione riguardante eventuali data breach o violazioni di trattamento senza aver ottenuto il previo consenso scritto dell’Ente.
12. Responsabilità e manleve
12.1 Il Responsabile del trattamento tiene indenne e manleva l’Ente da ogni perdita, costo, sanzione, danno e da ogni responsabilità di qualsiasi natura derivante o in connessione con una qualsiasi violazione da parte del Responsabile del trattamento delle disposizioni contenute nel presente Accordo.
12.2 Nel caso in cui il Responsabile del trattamento commetta violazioni alla normativa in materia di protezione dei dati personali e al presente Accordo, quali ad esempio quelle indicate all’art. 83 commi 4 e 5, l’Ente può revocare la nomina quale Responsabile del trattamento e chiedere il risarcimento del danno.
12.3 A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Accordo, il Responsabile del trattamento:
▪ avverte, prontamente ed in forma scritta, l・Ente del Reclamo
▪ non fornisce dettagli al reclamante senza la preventiva interazione con l・Ente
▪ non transige la controversia senza il previo consenso scritto dell・Ente;
▪ fornisce all’Ente tutta l'assistenza che potrebbe ragionevolmente richiedere nella gestione del reclamo.
Per la Regione Emilia-Romagna
|
Per il Comune il Sindaco
|
Il Dirigente del Servizio Cultura e Giovani
___________________________
|
________________________________
|