Documento 2 - Atto di Nomina a Responsabile Trattamento Dati Personali

DOCUMENTO 2

ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679

VISTO l’Accordo sottoscritto fra l’Aderente (nel seguito anche “Titolare”) e la Società;

CONSIDERATO che le attività oggetto dell’Accordo comportano o possono comportare il trattamento di dati personali, ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio dell’Ue del 27 aprile 2016 (di seguito “Regolamento”), nonché del D.Lgs. 196/2003 e ss.mm.ii recante il Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO, in particolare, l’art. 4, paragrafo 1, n. 7) del Regolamento, che individua il Titolare del trattamento nella “persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali [...]” e visto altresì l’art. 4, paragrafo 1, n. 8) del Regolamento, che identifica il Responsabile del trattamento nella “persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento”;

VISTO l’art. 28, paragrafo 1 del Regolamento, secondo cui “qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato”;

CONSIDERATA l’idoneità, alla luce dell’attività istruttoria già svolta, della Società rispetto alle garanzie richieste dalla normativa regolamentare europea con riferimento all’adeguatezza delle misure tecniche e organizzative per la tutela dei diritti dell’interessato;

con il presente Atto, l’Aderente, quale Titolare del trattamento dei dati,

DESIGNA

la Società - che accetta - quale Responsabile del trattamento dei dati personali, ai sensi e per gli effetti dell’art. 28 del Regolamento, con riferimento alle attività di cui all’Accordo, che qui si intende integralmente richiamato, e per tutta la durata dello stesso. A tal fine la Società, allo stato dell’arte, è autorizzata a trattare i dati personali necessari per l’esecuzione delle seguenti attività:

  1. visione dello storico e dei dettagli delle notifiche per il Titolare da parte degli utenti dell’Aderente/Titolare;

  2. conservazione a 120 giorni degli atti notificati dal Titolare, a prescindere dalla sua de-registrazione dalla Piattaforma;

  3. deposito notifiche dal Titolare sulla Piattaforma;

  4. invio digitale della notifica;

  5. invio dell'avviso di cortesia;

  6. invio di lettera raccomandata semplice (in caso di deposito in Piattaforma dell’avviso di mancato recapito per problemi con l’invio digitale) contenente l’avviso di avvenuta ricezione;

  7. invio di avviso di avvenuta ricezione cartaceo a mezzo raccomandata A/R e raccomandata di cui alla L. 890/1982 (in caso di mancata acquisizione di domicilio digitale);

  8. copia analogica del documento informatico acquisito mediante accesso digitale semplificato, protetto e temporaneo, degli atti opponibili ai terzi e dei documenti di pagamento e/o copia analogica dell’avviso di avvenuta ricezione non consegnato - presso il fornitore del servizio universale di cui all’articolo 3 del decreto legislativo 22 luglio 1999, n. 261;

  9. consultazione dei documenti informatici oggetto di notificazione e di ogni altro documento disponibile in Piattaforma;

  10. gestione dei pagamenti da parte del destinatario (o suo delegato/operatore della persona giuridica);

  11. spese di notificazione/rendiconto delle notificazioni;

La Società si impegna ad effettuare, per conto dell’Aderente, le sole operazioni necessarie per fornire il servizio oggetto dell’Accordo, nei limiti delle finalità ivi specificate, nel rispetto della normativa vigente in materia di privacy e delle istruzioni nel seguito fornite.

Per eventuali attività per le quali l’Aderente agirà in qualità di responsabile del trattamento, la presente nomina vale quale nomina della Società a sub-responsabile del trattamento ai sensi dell’art. 28 co. 4 del Regolamento.

A tal fine si precisa quanto segue.

La Società si impegna a presentare, su richiesta dell’Aderente, garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per l’adozione di misure tecniche ed organizzative adeguate volte ad assicurare che il trattamento sia conforme alle prescrizioni della normativa in tema di trattamento dei dati personali.

Le finalità del trattamento, allo stato dell’arte, corrispondenti alle summenzionate attività di trattamento sono:

  1. consultazione delle notifiche effettuate ai fini del tracciamento delle attività poste in essere dagli utenti degli Aderenti;

  2. consultazione temporanea degli atti notificati da parte dei destinatari e del Titolare;

  3. messa a disposizione dei documenti da parte del Titolare sulla Piattaforma ai fini dell’invio degli stessi;

  4. perfezionamento della notifica;

  5. permettere al destinatario di accedere all’atto anche prima di aver ricevuto la notifica attraverso i canali di comunicazione a valore legale;

  6. spedizione della notifica in via analogica per tentare il perfezionamento della notifica in caso di problemi di deposito con l’invio digitale;

  7. spedizione della notifica in via analogica per tentare il perfezionamento della notifica in caso di mancata acquisizione del domicilio digitale del destinatario;

  8. perfezionamento della notifica da parte del destinatario;

  9. perfezionamento della notifica e contestuale disponibilità dei documenti accessori all’atto perfezionato, ivi inclusi, a titolo esemplificativo, gli atti opponibili ai terzi, ai fini dell’esperimento di eventuali contenziosi;

  10. semplificazione dei pagamenti sulla Piattaforma;

  11. rendicontazione dei pagamenti e contestuale verifica della correttezza degli stessi.

I dati personali trattati allo stato dell’arte, in ragione delle summenzionate attività di trattamento sono:

  • notifica (ogni notifica riporta):

  • indicazione del nome del Titolare;

  • data e ora di messa a disposizione dell’atto in Piattaforma;

  • nome, cognome e codice fiscale dei destinatari;

  • oggetto della notifica, ovvero causale/titolo dell'avviso/atto/provvedimento/comunicazione;

inoltre, nella schermata di dettaglio della notifica, oltre ai dati di cui sopra, sono presenti:

  • atto notificato e relativi documenti informatici (ad es. allegati all’atto notificato, F24 e Avviso di pagamento pagoPA);

  • codice IUN;

  • stato della notifica;

  • evoluzione della notifica/storico del processo di notifica (che include atti opponibili ai terzi e avvisi di mancato recapito);

  • strumenti per visualizzare/scaricare l’atto notificato (ad es.collegamento a pdf reader);

  • informazioni di contatto del Titolare;

  • IUV, ovvero importo da pagare, disponibile anche mediante link per il pagamento diretto in piattaforma pagoPA.

  • atto notificato e relativi documenti informatici (ad es. allegati all’atto notificato, F24 e avviso di pagamento pagoPA);

  • notifica depositata, contenente i seguenti dati:

  • indicazione del Titolare;

  • nome, cognome e codice fiscale dei destinatari;

  • oggetto della notifica, ovvero causale/titolo dell'avviso/atto/provvedimento/comunicazione;

  • atto notificato e relativi documenti informatici (ad es. allegati all’atto notificato, F24 e avviso di pagamento pagoPA);

  • codice IUN;

  • IUV, ovvero importo da pagare, disponibile anche mediante link per il pagamento diretto in piattaforma pagoPA.

  • nome, cognome e codice fiscale, nonché indirizzo fisico del destinatario (quest’ultimo solo se dal medesimo comunicato al Titolare);

  • hash dei documenti da notificare;

  • relativo atto opponibile ai terzi generato dal deposito della notifica;

  • numero di protocollo;

  • avviso di avvenuta ricezione contenente i seguenti dati:

  • indicazione del Titolare;

  • data e ora di messa a disposizione dell’atto in Piattaforma;

  • nome, cognome e codice fiscale dei destinatari;

  • oggetto della notifica, ovvero causale/titolo dell'avviso/atto/provvedimento/comunicazione;

  • codice IUN;

  • atti oggetto di notifica e documenti relativi al pagamento;

  • atti opponibili ai terzi;

  • QR Code e link HTML;

  • informazioni di ritorno della spedizione, contenenti: nome, cognome e firma del soggetto ricevente la notifica, comunicazione consegnata dall'addetto al recapito postale/recapitista, gli estremi identificativi/anagrafici di quest’ultimo, eventualmente il nuovo indirizzo del destinatario della notifica, data e ora di consegna della notifica e ogni altra informazione presente sulle cartoline di ritorno;

  • ricevute cartacee ed i plichi inesitati, relativa copia digitale ai sensi dell’art. 22 del Decreto Legislativo 7 marzo 2005, n. 82 recante il Codice dell’Amministrazione Digitale;

  • documenti informatici;

  • documento di riconoscimento del destinatario e della persona di fiducia;

  • OTP;

  • autodichiarazione ex art. 46 del DPR 28.12.2000, n. 445;

  • documenti informatici oggetto di notificazione ed ogni altro documento disponibile in Piattaforma, ivi inclusi gli atti opponibili ai terzi, ad eccezione solo dell’avviso di cortesia;

  • timestamp di accesso alla notifica (marcatura temporale certificata);

  • IUV di pagamento indicato dal Titolare;

  • F24 precompilato e avviso di pagamento pagoPA;

  • IUN della notifica.

Le categorie di soggetti interessati, allo stato dell’arte mappate, sono:

  • personale della Società (dipendenti/collaboratori);

  • personale di terze parti coinvolte nel progetto;

  • utenti dell’Aderente;

  • destinatari;

  • delegati dei destinatari (persona di fiducia);

  • dipendenti delle persone giuridiche;

  • rappresentante legale della persona giuridica.

Nell’esercizio delle proprie funzioni, la Società si impegna a:

  1. rispettare la normativa vigente in materia di trattamento dei dati personali, ivi comprese le norme che saranno emanate nel corso della durata dell’Accordo;

  2. trattare i dati personali per le sole finalità specificate e nei limiti dell’esecuzione delle prestazioni contrattuali;

  3. trattare i dati conformemente alle istruzioni impartite dall’Aderente, che la Società si impegna a far osservare anche alle persone da questi autorizzate ad effettuare il trattamento dei dati personali oggetto dell’Accordo, d’ora in poi “persone autorizzate”; nel caso in cui ritenga che un’istruzione costituisca una violazione del Regolamento o delle altre disposizioni di legge relative alla protezione dei dati personali, la Società deve informare immediatamente l’Aderente;

  4. garantire la riservatezza dei dati personali trattati nell’ambito dell’Accordo e verificare che le persone autorizzate a trattare i dati personali in virtù dell’Accordo:

  • si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza;

  • ricevano la formazione necessaria in materia di protezione dei dati personali;

  • trattino i dati personali osservando le istruzioni impartite dal Titolare per il trattamento dei dati personali;

  1. gestire tutti gli obblighi connessi alla nomina ad amministratore di sistema del proprio personale preposto alla gestione e alla manutenzione della Piattaforma;

  2. adottare politiche interne e attuare misure che soddisfino i principi della protezione dei dati personali fin dalla progettazione di tali misure (privacy by design), nonché adottare misure tecniche ed organizzative adeguate per garantire che i dati personali siano trattati, in ossequio al principio di necessità ovvero che siano trattati solamente per le finalità previste e per il periodo strettamente necessario al raggiungimento delle stesse (privacy by default);

  3. adottare tutte le misure tecniche ed organizzative che soddisfino i requisiti del Regolamento anche al fine di assicurare un adeguato livello di sicurezza dei trattamenti, in modo tale da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, modifica, divulgazione non autorizzata, nonchè di accesso non autorizzato, anche accidentale o illegale, o di trattamento non consentito o non conforme alle finalità della raccolta;

  4. su eventuale richiesta dell’Aderente prestare supporto, ove necessario, su tematiche relative alla valutazione d’impatto sulla protezione dei dati e limitatamente alla attività che coinvolgono la Società, conformemente all’articolo 35 del Regolamento e nella eventuale consultazione del Garante per la protezione dei dati personali, prevista dall’articolo 36 del medesimo Regolamento;

  5. ai sensi dell’art. 30 del Regolamento, tenere un registro delle attività di trattamento effettuate sotto la propria responsabilità e cooperare con l’Aderente e con l’Autorità Garante per la protezione dei dati personali, mettendo il predetto registro a disposizione dell’Aderente e dell’Autorità, laddove ne venga fatta richiesta ai sensi dell’art. 30 comma 4 del Regolamento.

Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, la Società si impegna, su richiesta dell’Aderente, a fornire le misure di sicurezza, tecniche ed organizzative, idonee per garantire un livello di sicurezza adeguato al rischio ai fini del rispetto degli obblighi di cui all’art. 32 del Regolamento. Tali misure comprendono tra le altre, se del caso:

  • la pseudonimizzazione e la cifratura dei dati personali;

  • la capacità di assicurare la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi che trattano i dati personali;

  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico;

  • una procedura per testare, verificare e valutare l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

La Società deve mettere a disposizione dell’Aderente le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al Regolamento, oltre a contribuire e consentire all’Aderente stesso di richiedere, con preavviso minimo di 5 giorni lavorativi, informazioni specifiche circa l’adeguatezza e l’efficacia delle misure di sicurezza adottate ed il pieno e scrupoloso rispetto delle norme in materia di trattamento dei dati personali.

Nel caso in cui all’esito di richieste di informazioni, necessarie per dimostrare il rispetto degli obblighi di cui al Regolamento, le misure di sicurezza dovessero risultare inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione del Regolamento, o risulti che la Società agisca in modo difforme o contrario alle istruzioni fornite dall’Aderente, quest’ultimo diffiderà la Società ad adottare tutte le misure più opportune o a tenere una condotta conforme alle istruzioni entro un termine congruo che sarà all’occorrenza fissato. In caso di mancato adeguamento a seguito della diffida, resa anche ai sensi dell’art. 1454 c.c., l’Aderente potrà, in ragione della gravità della condotta della Società e fatta salva la possibilità di fissare un ulteriore termine per l’adempimento, risolvere l’Accordo, salvo il risarcimento del maggior danno.

Il Titolare conferisce alla Società, in qualità di Responsabile del trattamento, autorizzazione generale ad avvalersi di sub-Responsabili per delegare attività specifiche. Il Responsabile comunica al Titolare il nominativo/denominazione del sub responsabile che intende nominare, modificare e/o aggiungere, affinché il Titolare, ai sensi dell'art. 28 del GDPR, possa eventualmente opporsi. Il Responsabile del trattamento si impegna a impartire agli eventuali sub-Responsabili nominati obblighi analoghi a quelli forniti dall’Aderente alla Società. Spetta alla Società assicurare che il sub-Responsabile del trattamento presenti garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per l’adozione di misure tecniche ed organizzative appropriate in modo che il trattamento risponda ai principi e alle esigenze del Regolamento.

In caso di violazione da parte del sub-Responsabile del trattamento degli obblighi in materia di protezione dei dati, la Società è responsabile nei confronti dell’Aderente di tali inadempimenti.

La Società deve assistere l’Aderente al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati; qualora gli interessati esercitino tale diritto presso la Società, quest’ultima è tenuta ad inoltrare tempestivamente, e comunque nel più breve tempo possibile, le istanze all’Aderente, supportando quest’ultima al fine di fornire adeguato riscontro agli interessati nei termini prescritti.

La Società informa entro 24 ore dall’avvenuta conoscenza, l’Aderente di ogni violazione di dati personali (cd. data breach); tale notifica è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del Regolamento per permettere al Titolare del trattamento, ove ritenuto necessario, di notificare questa violazione all’Autorità Garante per la protezione dei dati personali, entro il termine di 72 ore da quando il Titolare ne viene a conoscenza; nel caso in cui il Titolare debba fornire informazioni aggiuntive all’Autorità di controllo, la Società si impegna a supportare l’Aderente nell’ambito di tale attività.

La Società deve avvisare tempestivamente l’Aderente in caso di ispezioni, di richiesta di informazioni e di documentazione da parte dell’Autorità Garante per la protezione dei dati personali che coinvolga espressamente l’Aderente stesso.

La Società conserverà i Dati Personali in una forma che consenta l’identificazione degli interessati per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità di cui all'Accordo, e comunque nel rispetto del principio di limitazione della conservazione, ferma restando l’osservanza della normativa vigente per i documenti fiscali, contabili e legali. In particolare, la Società, al fine di garantire che il trattamento sia svolto nel rispetto del principio di limitazione della conservazione dei dati, provvederà a cancellare i Dati Personali allo scadere dei termini di conservazione indicati nella DPIA predisposta dalla Società. In caso di cessazione per qualsiasi causa dell’Accordo, ai fini della cancellazione dei Dati Personali trattati dalla Società in qualità di responsabile del trattamento per conto dell’Ente, nonché di tutti gli altri dati e delle informazioni eventualmente trattate in esecuzione dell’Accordo, si applicano i termini e le condizioni previsti dall’art. 5 dell’Accordo

La Società comunica all’Aderente i dati di contatto del proprio “Responsabile della protezione dei dati” come di seguito riportato:

PEC: dpo@pec.pagopa.it

Con espresso riferimento a quanto non previsto nel presente Atto di nomina, si rinvia alle disposizioni dell’Accordo. In caso di contrasto, prevale quanto previsto nell’Accordo.

Last updated