Comunicazione del responsabile del trattamento dei dati personali

COMUNE DI BRACCIANO

Città Metropolitana di Roma Capitale

Visto il Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), più avanti sintetizzato come Regolamento;

Visto il dlgs 196/2003 aggiornato dal dlgs 101/2018;

Visto il Regolamento di Ordinamento degli Uffici e dei Servizi approvato con d.g. n. 10 del 14/1/2010 e s.m.i.;

Visto il Regolamento comunale di attuazione del Regolamento UE 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali approvato con delibera del Consiglio Comunale n. 25 del 10 maggio 2018;

In qualità di Titolare del trattamento dei dati personali, Sindaco pro tempore dell’Ente, nell’ambito dell’appalto di servizi che svolge per questo Ente sulla base di specifcio rapporto contrattuale in essere, si comunica che è incaricato di svolge il ruolo di Responsabile del trattamento dei dati personali (esterno) e che risulta soggetto a tutti gli obblighi, oneri, doveri e prerogative previste dalla normativa vigente;

Nel dettaglio si rappresenta che:

  1. Il titolare del trattamento dei dati svolge una attività che comporta il trattamento di dati personali;
  2. Il medesimo, tenendo conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, ha ritenuto di valutare i rischi e, di conseguenza, mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento viene e sarà costantemente effettuato uniformandosi al regolamento sopra citato;
  3. Le relative soluzioni tecniche ed organizzative richiedono una costante monitorizzazione anche mediante riesami e periodici aggiornamenti;
  4. Tali misure devono tenere conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento, sia al momento di determinare i mezzi del trattamento sia all’atto del trattamento stesso;
  5. Il titolare del trattamento sa di essere tenuto anche a mettere in atto misure tecniche e organizzative volte ad attuare in modo efficace i principi di protezione dei dati, quali la pseudonimizzazione e la minimizzazione;
  6. Il titolare del trattamento è altresì consapevole di dovere anche integrare, nel trattamento, le necessarie garanzie al fine di soddisfare i requisiti del suddetto regolamento e tutelare i diritti degli interessati alla riservatezza ed adeguato trattamento dei dati personali;
  7. Il titolare del trattamento è consapevole di essere tenuto a mettere in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento. Tali obblighi valgono per la quantità dei dati personali raccolti, per la portata del trattamento ed anche per il periodo di conservazione e l’accessibilità, dette misure devono garantire che, per impostazione predefinita, non siano resi accessibili dati personali ad un numero indefinito di persone fisiche senza l’intervento della persona fisica;
  8. Qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo ricorre unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’interessato;
  9. Il soggetto indicato come responsabile del trattamento deve essere edotto di tutti gli obblighi che incombono sul titolare del trattamento e si impegna a rispettarne e consentirne ogni prerogativa, obbligo, onere e diritto che discende da tale posizione giuridica;
  10. Il responsabile del trattamento si impegna ad informare il titolare del trattamento di eventuali modifiche previste al processo di trattamento riguardanti l’aggiunta o la sostituzione di altri responsabili del trattamento (sub responsabili), dando così al titolare l’opportunità di opporsi a tali modifiche;
  11. Il responsabile del trattamento è tenuto a trattare i dati personali soltanto su istruzione documentata del titolare del trattamento, anche in caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, salvo che lo richieda il diritto dell’Unione o nazionale cui è soggetto il responsabile del trattamento. Il responsabile del trattamento in tal caso è tenuto ad informare il titolare del trattamento circa tale obbligo giuridico prima del trattamento, a meno che il diritto vieti tale informazione per rilevanti motivi di interesse pubblico;
  12. Il responsabile del trattamento garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
  13. Il responsabile del trattamento assicura che procederà alla pseudonimizzazione ed alla cifratura dei dati personali;
  14. Il responsabile del trattamento garantisce di avere la capacità strutturale, tecnica ed organizzativa di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  15. Il responsabile del trattamento si impegna ad adottare tutte le misure richieste dall’art. 32 ed a rispettare le condizioni di cui ai paragrafi 2 e 4 dell’art. 28 del Regolamento;
  16. Il responsabile del trattamento è tenuto ad assistere il titolare del trattamento, unicamente per le attività di sua competenza, con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del titolare del trattamento di dare seguito alle richieste per l’esercizio dei diritti dell’interessato di cui al capo III del Regolamento. Tale obbligo di assistenza riguarda anche la garanzia del rispetto, da parte del titolare del trattamento, degli obblighi di cui agli articoli da 32 a 36 del Regolamento. Il tutto tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento. Per tali obblighi di assistenza si terrà conto della natura del trattamento;
  17. Il responsabile del trattamento mette a disposizione del titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi specificati ed inoltre consente e contribuisce alle attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato;
  18. Nel caso in cui il responsabile del trattamento ritenga che, a suo avviso, una delle istruzioni violi il regolamento o altre disposizioni nazionali o dell’unione riguardo al trattamento dei dati personali, informa immediatamente il responsabile della protezione dei dati (DPO – data Protection Officer – art. lo 37 del regolamento);
  19. Il responsabile del trattamento si impegna a far sì che, chiunque agisca sotto la sua autorità e abbia accesso a dati personali, non tratti tali dati se non è istruito in tal senso, salvo che lo richieda il diritto dell’Unione o degli Stati membri;
  20. In caso di violazione dei dati, tale da presentare un rischio per i diritti e le libertà fondamentali delle persone, il responsabile del trattamento si dichiara consapevole degli obblighi che incombono sul titolare del trattamento a norma dell’art. 33 del regolamento. Di conseguenza si impegna a comunicare ogni circostanza e dato rilevane, senza ingiustificato ritardo, dopo essere venuto a conoscenza della violazione, il titolare del trattamento. A tale fine di ricorda che in caso di violazione dei dati personali, il titolare del trattamento notifica la violazione all’autorità di controllo competente a norma dell’articolo 55 senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza, a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica all’autorità di controllo non sia effettuata entro 72 ore, è corredata dei motivi del ritardo;
  21. Se richiesto, il responsabile del trattamento dei dati è tenuto a fornire un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’art. 35 del regolamento, a cooperare con l’autorità di controllo ed a fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’art. 36 ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione;

Riservandoci di fornire ulteriori istruzioni e comunicazioni in merito, rimaniamo a disposizione per ogni eventuale chiarimento o richiesta.

Bracciano, lì 1/7/2020

Il Sindaco, Titolare del Trattamento