- Accordo di contitolarità
A. L’articolo 26 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (il “GDPR”), prevede che allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento;
B. la legge n. 132/2016 istitutiva del SNPA disciplina i compiti e le responsabilità dell’ISPRA e delle varie Agenzie per l’ambiente e, nel caso in cui l’appartenenza al Sistema implichi o possa comportare, in relazione a specifici Progetti e/o attività istituzionali, anche il trattamento di dati di persone fisiche, è necessario che venga regolamentata anche la disciplina della protezione dei dati personali dei soggetti Interessati;
C. ai sensi dell’art. 3 lettera c) della legge n. 132/2016, il SNPA svolge attività di ricerca finalizzata all’espletamento dei propri compiti funzioni, sviluppo delle conoscenze e produzione, promozione e pubblica diffusione dei dati tecnico-scientifici e delle conoscenze ufficiali sullo stato dell’ambiente e sulla sua evoluzione, sulle fonti e sui fattori di inquinamento, sulle pressioni ambientali, sui relativi impatti e sui rischi naturali e ambientali, nonché trasmissione sistematica degli stessi ai diversi livelli istituzionali preposti al governo delle materie ambientali e diffusione al pubblico dell’informazione ambientale ai sensi del decreto legislativo 19 agosto 2005, n. 195;
D. a norma dell’art. 3 lettera g) della citata legge, inoltre, il SNPA collabora con istituzioni scolastiche e universitarie per la predisposizione e per l’attuazione di programmi di divulgazione e di educazione ambientale, nonché di formazione e di aggiornamento del personale di amministrazioni e di enti pubblici operanti nella materia ambientale;
E. Ispra è il coordinatore per l’Italia del progetto CleanAir@School, un’iniziativa di Citizen Science e di educazione ambientale dell’EPA Network (la rete delle agenzie ambientali europee), coordinata dall’AEA (Agenzia Europea per l’Ambiente), e sviluppata insieme alle Agenzie del SNPA aderenti all’iniziativa;
F. Ispra e le Agenzie del SNPA aderenti al Progetto CleanAir@School (ARPA BASILICATA, ARPA CAMPANIA, ARPAE EMILIA ROMAGNA, ARPA FRIULI VENEZIA GIULIA, ARPA LAZIO, ARPA LIGURIA, ARPA LOMBARDIA, ARPA MARCHE, ARPA PIEMONTE, ARPA PUGLIA, ARPA SICILIA, ARPA TOSCANA, ARPA UMBRIA, ARPA VALLE D’AOSTA, ARPA VENETO) hanno pertanto determinato in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR (di seguito “Accordo di contitolarità”) con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli art. 13 e 14.
G. Il contenuto essenziale dell’Accordo di Contitolarità di cui al presente documento (di seguito “Sintesi”) è messo a disposizione degli interessati, in ossequio a quanto stabilito dal paragrafo 2 dell’art. 26 del GDPR, da parte di Ispra e delle Agenzie del SNPA firmatarie, nell’apposita sezione del sito istituzionale dedicata al progetto rinvenibile al seguente link: https://www.snpambiente.it/progetti/cleanairschool.
- Premesse
Omissis
Oggetto del presente Accordo è definire adeguatamente i rispettivi ruoli e la ripartizione delle responsabilità tra il Contitolare del trattamento ISPRA e gli altri Contitolari (di seguito Parti), in ordine alle finalità e ai mezzi del trattamento dei dati personali effettuato nell’attuazione del progetto CleanAir@School.
Nell’ambito delle relazioni contrattuali definite dal presente Accordo, le Parti si impegnano a rispettare la disciplina sul trattamento dei dati delle persone fisiche contenuta nel Regolamento UE 2016/679 (di seguito GDPR), nel D.Lgs n. 196/2003 e s.m.i., nonché nelle Linee Guida e nelle Regole deontologiche emanate dall’autorità Garante per la protezione dei dati e dall’European Data Protection Board.
3.1 Le Parti, tenuto conto dei rispettivi ruoli e dei rapporti con gli Interessati, di seguito meglio precisati, dichiarano di trattare i seguenti dati relativi alle sotto indicate categorie di soggetti:
- dati identificativi acquisiti per il tramite degli Istituti scolastici di appartenenza degli studenti e degli insegnanti comunicati alle singole Agenzie (nome, cognome, scuola di appartenenza);
- immagini video, fotografie o altri materiali audiovisivi effettuati e/o registrati durante lo svolgimento del Progetto oppure in occasione di eventi inerenti allo stesso;
- dati identificativi dei soggetti aventi la responsabilità genitoriale del minore che rilasciano il consenso alle riprese video e alle fotografie.
ISPRA e gli altri Contitolari trattano esclusivamente i dati personali necessari a dare attuazione ai propri compiti istituzionali di divulgazione scientifica e di educazione ambientale stabiliti dalla legge n. 132/2016, nonché allo svolgimento delle attività previste dal Programma d’Azione 2018-2020 del SNPA.
I suddetti dati potranno essere eventualmente utilizzati, previa loro anonimizzazione, per finalità di statistica interna propria di ciascun Contitolare e potranno essere pubblicati anche nei rispettivi siti istituzionali.
I Contitolari del trattamento dei dati si impegnano a:
- Trattare i dati personali degli Interessati esclusivamente per le finalità sopra indicate, con espresso divieto di utilizzarli per altre finalità proprie di ciascun Contitolare.
- Trattare i dati personali nel rispetto dei principi di liceità e correttezza di cui all’art. 5 del GDPR e in modo tale da garantire la riservatezza e la sicurezza delle informazioni ed assicurare che le informazioni e i dati raccolti ed utilizzati siano adeguati, pertinenti e limitati, anche nel tempo di conservazione, a quanto necessario rispetto alle finalità di trattamento sopra descritte.
- Mettere in sicurezza il trattamento relativamente alle finalità sopra indicate attraverso misure tecniche e organizzative idonee a garantire un livello di sicurezza del trattamento adeguato al rischio ai sensi dell’art. 32 del GDPR nel rispetto del principio di Responsabilizzazione (cd. Accountability), che evitino il rischio di perdita, accesso non autorizzato, modifica non autorizzata, uso illecito e diffusione degli stessi.
In particolare, i Contitolari del trattamento s’impegnano a mettere in opera almeno le seguenti misure di sicurezza:
- la pseudonimizzazione e la cifratura dei dati personali, qualora necessarie e adeguate ai rischi individuati all’interno di ciascuna amministrazione (ISPRA e singole Agenzie coinvolte nel Progetto, secondo le rispettive misure tecniche ed organizzative adottate);
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- la gestione del flusso di dati personali nell’ambito del piano di comunicazione di Progetto, secondo quanto contenuto nelle relative Linee Guida riportate nell’allegato 2 del presente Accordo;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Acquisire i dati personali degli Interessati mediante previa comunicazione delle Informazioni di cui agli artt. 13 e 14 del GDPR, in relazione alle finalità del trattamento legate all’attuazione del Progetto CleanAir@School tra le Parti, secondo i Format riportati nell’allegato 1 al presente Accordo, individuare i possibili rischi connessi al trattamento dei dati di cui la punto 2 per i diritti e le libertà delle persone fisiche nell’ambito delle rispettive misure tecniche ed organizzative adottate da ciascun Titolare (ISPRA e singole Agenzie coinvolte nel Progetto),
Omissis
Effettuare una preventiva valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR in relazione alle attività di trattamento effettuate da ciascun Contitolare nell’ambito del Progetto, nell’eventualità in cui le stesse possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, in particolare per i soggetti vulnerabili (minori), anche in ragione della natura, dell’oggetto, del contesto e delle finalità del trattamento.
La valutazione di impatto, in particolare, attese le diversità strutturali ed organizzative proprie di ciascuna amministrazione coinvolta nel Progetto, e la necessità di adottare le misure tecniche ritenute più idonee da ciascun Titolare in base al principio di Accountability, è effettuata previamente ed in via autonoma dall’ISPRA e da ciascuna Agenzia, condividendo gli standard di tutela per gli interessati legati alla gestione del Progetto CleanAir@school, nell’ambito del SNPA.
Inserire le attività di trattamento dati legate al Progetto CleanAir@School all’interno del Registro delle attività di trattamento che ciascun Contitolare è tenuto a redigere ed aggiornare e che dovrà essere messo a disposizione, qualora richiesto, anche agli altri
Garantire la riservatezza dei dati personali trattati nell’ambito del presente Accordo.
Controllare che le persone autorizzate a trattare i dati personali che operano sotto la diretta autorità di ciascun Contitolare, in virtù del presente Accordo:
- si impegnino a rispettare la riservatezza delle informazioni ricevute o siano sottoposti ad un obbligo legale appropriato di segretezza;
- ricevano la formazione necessaria in materia di protezione dei dati personali in virtù della nuova normativa di riferimento di cui all’oggetto del presente Accordo;
- seguano pedissequamente le istruzioni impartite dal rispettivo Contitolare in ordine alle finalità di cui al punto 2 e ai mezzi del trattamento da questi individuati.
La notifica all’Autorità Garante per la protezione dei dati personali della eventuale violazione dei dati personali (cd. data breach) dovrà essere effettuata da parte del singolo Contitolare presso la cui amministrazione è avvenuta la violazione, senza ingiustificato ritardo, ed entro 72 ore decorrenti dal momento in cui ne sia venuto a conoscenza, a meno che appaia del tutto improbabile che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche (art. 33, paragrafo 1 GDPR), fornendo contestuale informazione della notifica ai DPO degli altri Contitolari.
La comunicazione della violazione dei dati personali all’Interessato in relazione alle attività di trattamento di cui a punto 2, dovrà avvenire, senza ingiustificato ritardo, a meno che non sussistano le condizioni di cui all’art. 34, paragrafo 3 del GDPR. La comunicazione seguirà la medesima procedura indicata al punto precedente.
Cooperare con l’Autorità di controllo, mettendo a disposizione i registri delle attività di trattamento, laddove richiesto.
Nell’eventualità in cui il singolo Contitolare decida di affidare la gestione di eventi relativi al Progetto CleanAir@School o la realizzazione di prodotti grafici/editoriali relativi all’iniziativa, ovvero, l’eventuale acquisizione di software per il progetto, sempre che tale attività comporti in tutto o in parte la gestione di dati personali in nome e per conto del Titolare (la singola Agenzia o l’Ispra), questi dovrà ricorrere unicamente a responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate, in modo tale che il trattamento soddisfi i requisiti del GDPR e garantisca la tutela dei diritti dell’interessato.
La singola amministrazione coinvolta, pertanto, una volta individuato in via autonoma il soggetto esterno secondo gli standard da ultimo citati, dovrà previamente sottoscrivere le clausole contrattuali privacy ai sensi dell’art. 28 del GDPR, al fine di vincolare il responsabile del trattamento al Titolare e di disciplinare l’oggetto, la durata del trattamento, la natura, la finalità del trattamento, le tipologie di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento.
Ciascun Contitolare, pertanto, risponderà in via autonoma ed esclusiva della scelta relativa al Responsabile del trattamento al quale affidare in gestione i dati personali nei termini fin qui descritti e delle violazioni connesse al rapporto contrattuale sottostante.
Qualora i Contitolari del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dell’art. 82, paragrafi 2 e 3 del GDPR, responsabili dell’eventuale danno causato dal trattamento, ogni Titolare del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato, fatto salvo il diritto di rivalsa interno.
Ciascun Contitolare risponde, invece, in via autonoma ed esclusiva per il danno cagionato dal suo trattamento che violi la normativa europea e nazionale indicata al punto 1, nonché se ha agito in modo difforme o contrario alle prescrizioni contenute nel presente Accordo.
Omissis
- Informazioni sul trattamento dei dati personali ai sensi dell’art. 13 e 14 del Regolamento UE 2016/679 ai partecipanti alle attività del Progetto di educazione ambientale e di Citizen Science “CleanAir@school” presso le scuole che aderiscono all’iniziativa;
- Linee Guida sul flusso di dati personali nell’ambito del Piano di Comunicazione del Progetto Cleanair@School.