Contenuto essenziale dell’Accordo di Contitolarità ai sensi dell’art. 26, paragrafo 2, del Regolamento (UE) 2016/679
PREMESSE
- L’articolo 26 del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (il “GDPR”); prevede che allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento;
- la legge n. 132/2016 istitutiva del SNPA disciplina i compiti e le responsabilità dell’ISPRA e delle varie Agenzie per l’ambiente e, nel caso in cui l’appartenenza al Sistema implichi o possa comportare, in relazione a specifici Progetti e/o attività istituzionali, anche il trattamento di dati di persone fisiche, è necessario che venga regolamentata anche la disciplina della protezione dei dati personali dei soggetti Interessati;
- ai sensi dell’art. 3 lettera c) della legge n. 132/2016, il SNPA svolge attività di ricerca finalizzata all’espletamento dei propri compiti funzioni, sviluppo delle conoscenze e produzione, promozione e pubblica diffusione dei dati tecnico-scientifici e delle conoscenze ufficiali sullo stato dell’ambiente e sulla sua evoluzione, sulle fonti e sui fattori di inquinamento, sulle pressioni ambientali, sui relativi impatti e sui rischi naturali e ambientali, nonché trasmissione sistematica degli stessi ai diversi livelli istituzionali preposti al governo delle materie ambientali e diffusione al pubblico dell’informazione ambientale ai sensi del decreto legislativo 19 agosto 2005, n. 195;
- a norma dell’art. 3, lettera n) della suddetta legge, il SNPA svolge altresì funzioni di valutazione comparativa di modelli e strutture organizzative, di funzioni e servizi erogati, di sistemi di misurazione e valutazione delle prestazioni, quale attività di confronto finalizzato al raggiungimento di migliori livelli prestazionali mediante la definizione di idonei indicatori e il loro periodico aggiornamento, ivi inclusa la redazione di un rapporto annuale di valutazione comparativa dell’intero Sistema nazionale;
- ISPRA è il coordinatore del progetto SI-URP “Sistema Integrato degli Uffici per le Relazioni con il Pubblico” nato dalla collaborazione dell’URP ISPRA con gli URP delle Agenzie ambientali presenti nelle varie Regioni/Province autonome facente parte del SNPA;
- Ispra e le Agenzie del SNPA aderenti al Progetto SI URP (ARPA ABRUZZO, ARPA BASILICATA, APPA BOLZANO; ARPA CAMPANIA, ARPA EMILIA ROMAGNA, ARPA FRIULI VENEZIA GIULIA, ARPA LAZIO, ARPA LIGURIA, ARPA LOMBARDIA, ARPA MARCHE, ARPA MOLISE, ARPA PIEMONTE, ARPA PUGLIA, ARPA SICILIA, ARPA TOSCANA, APPA TRENTO, ARPA UMBRIA, ARPA VALLE D’AOSTA, ARPA VENETO) hanno pertanto determinato in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal GDPR (di seguito “Accordo di contitolarità”) con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli art. 13 e 14;
- Il contenuto essenziale dell’Accordo di Contitolarità di cui al presente documento (di seguito “Sintesi ”) è messo a disposizione degli interessati, in ossequio a quanto stabilito dal paragrafo 2 dell’art. 26 del GDPR, da parte di Ispra e delle Agenzie del SNPA firmatarie.
ACCORDO DI CONTITOLARITA’
- PREMESSE, ALLEGATI
Omissis
- Oggetto
Oggetto del presente Accordo è definire adeguatamente i rispettivi ruoli e la ripartizione delle responsabilità tra il Contitolare ISPRA del trattamento e gli altri Contitolari facenti parte della rete (di seguito Parti), in ordine alle finalità e ai mezzi del trattamento dei dati personali effettuato in ragione dell’appartenenza al SNPA.
Nell’ambito delle relazioni contrattuali definite dal presente Accordo, le Parti si impegnano a rispettare la disciplina sul trattamento dei dati delle persone fisiche contenuta nel Regolamento UE 2016/679 (di seguito GDPR); nel d.lgs. n. 196/2003 e s.m.i., nonché nelle Linee Guida e nelle Regole deontologiche emanate dall’autorità Garante per la protezione dei dati.
- Descrizione delle tipologie di dati trattati e delle finalità del trattamento dei Contitolari
3.1 Le Parti, tenuto conto dei rispettivi ruoli e dei rapporti con gli Interessati, di seguito meglio precisati, dichiarano di trattare i seguenti dati relativi alle sotto indicate categorie di soggetti:
- dati identificativi (nome, cognome, data e luogo di nascita);
- dati di contatto (indirizzo e-mail, indirizzo Pec, telefono);
- dati relativi alla residenza (Regione, Comune, Provincia) contenuti nella richiesta di accesso agli atti, ai dati e alle informazioni, anche ambientali e nei documenti ad essa allegati (documento di identità in corso di validità del soggetto richiedente).
ISPRA e gli altri Contitolari trattano esclusivamente i dati personali necessari a dare attuazione agli obblighi di legge, in particolare, agli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni imposti dal d.lgs. n. 33/2013 e s.m.i. e dal d.lgs. n. 195/2005 relativamente all’accesso del pubblico alle informazioni ambientali, nonché degli adempimenti in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi contenuti nella Legge n. 241/1990;
ISPRA e gli altri Contitolari, inoltre, trattano i dati di cui al punto 2, previa loro anonimizzazione, per le finalità statistiche legate alla tenuta del Registro degli accessi, secondo quanto previsto dalla Circolare n. 2/2017 del Ministro per la Semplificazione e la Pubblica Amministrazione, avente ad oggetto l’attuazione delle norme sull’accesso civico generalizzato (cd. Foia).
Omissis
- Obblighi CONTITOLARI DEL TRATTAMENTO
I Contitolari del trattamento dei dati si impegnano a:
- Trattare i dati personali degli Interessati esclusivamente per le finalità sopra indicate, con espresso divieto di utilizzarli per altre finalità proprie di ciascun Contitolare.
- Trattare i dati personali nel rispetto dei principi di liceità e correttezza di cui all’art. 5 del GDPR e in modo tale da garantire la riservatezza e la sicurezza delle informazioni ed assicurare che le informazioni e i dati raccolti ed utilizzati siano adeguati, pertinenti e limitati, anche nel tempo di conservazione, a quanto necessario rispetto alle finalità di trattamento sopra descritte;
- Mettere in sicurezza il trattamento relativamente alle finalità sopra indicate attraverso misure tecniche e organizzative idonee a garantire un livello di sicurezza del trattamento adeguato al rischio ai sensi dell’art. 32 del GDPR nel rispetto del principio di Responsabilizzazione (cd. Accountability), che evitino il rischio di perdita, accesso non autorizzato, modifica non autorizzata, uso illecito e diffusione degli stessi
In particolare, i Contitolari del trattamento si impegnano a mettere in opera almeno le seguenti misure di sicurezza:
- la pseudonimizzazione e la cifratura dei dati personali, qualora necessarie e adeguate ai rischi;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Acquisire i dati personali degli Interessati mediante previa comunicazione delle Informazioni di cui agli artt. 13 e 14 del GDPR, in relazione alle finalità del trattamento legate alla gestione del SI-URP tra le Parti e per le finalità di statistica connesse alla tenuta del Registro degli accessi.
Omissis
Effettuare una preventiva valutazione d’impatto sulla protezione dei dati (DPIA) ai sensi dell’art. 35 del GDPR in relazione alle attività di trattamento effettuate da ciascun Contitolare, nell’eventualità in cui le stesse possano presentare un rischio elevato per i diritti e le libertà delle persone fisiche, anche in ragione della natura, dell’oggetto, del contesto e delle finalità del trattamento.
Nel caso in cui la valutazione di impatto sulla protezione dei dati di cui all’art. 35 indichi che il trattamento potrebbe presentare un rischio elevato per i diritti e le libertà delle persone fisiche, senza che vi siano misure adeguate a mitigare il rischio, il singolo Contitolare prima di procedere al trattamento, deve consultare l’Autorità di Controllo competente (art. 36 GDPR).
Tenere un Registro delle attività di trattamento effettuate da ciascun Contitolare che dovrà essere messo a disposizione, qualora richiesto, anche agli altri Contitolari.
Garantire la riservatezza dei dati personali trattati nell’ambito del presente Accordo.
Controllare che le persone autorizzate a trattare i dati personali che operano sotto la diretta autorità di ciascun Contitolare, in virtù del presente Accordo:
– si impegnino a rispettare la riservatezza delle informazioni ricevute o siano sottoposti ad un obbligo legale appropriato di segretezza;
– ricevano la formazione necessaria in materia di protezione dei dati personali in virtù della nuova normativa di riferimento di cui all’oggetto del presente Accordo;
– seguano pedissequamente le istruzioni impartite dal rispettivo Contitolare in ordine alle finalità di cui al punto 2 e ai mezzi del trattamento da questi individuati.
La notifica all’Autorità Garante per la protezione dei dati personali della eventuale violazione dei dati personali (cd. data breach) dovrà essere effettuata da parte del singolo Contitolare presso la cui amministrazione è avvenuta la violazione, senza ingiustificato ritardo, ed entro 72 ore decorrenti dal momento in cui ne sia venuto a conoscenza, a meno che appaia del tutto improbabile che la violazione dei dati personali presenti un rischio elevato per i diritti e le libertà delle persone fisiche (art. 33, paragrafo 1 GDPR), fornendo contestuale informazione della notifica ai DPO degli altri Contitolari.
La comunicazione della violazione dei dati personali all’Interessato in relazione alle attività di trattamento di cui a punto 2, dovrà avvenire, senza ingiustificato ritardo, a meno che non sussistano le condizioni di cui all’art. 34, paragrafo 3 del GDPR. La comunicazione seguirà la medesima procedura indicata al punto precedente.
Cooperare con l’Autorità di controllo, mettendo a disposizione i registri delle attività di trattamento, laddove richiesto.
Omissis
5. Responsabilità dei Contitolari del trattamento
Qualora i Contitolari del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dell’art. 82, paragrafi 2 e 3 del GDPR, responsabili dell’eventuale danno causato dal trattamento, ogni Titolare del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato, fatto salvo il diritto di rivalsa interno.
Ciascun Contitolare risponde, invece, in via autonoma ed esclusiva per il danno cagionato dal suo trattamento che violi la normativa europea e nazionale indicata al punto 1, nonché se ha agito in modo difforme o contrario alle prescrizioni contenute nel presente Accordo.
ESERCIZIO DEI DIRITTI DEGLI INTERESSATI
I soggetti che presentano istanza di accesso agli atti, ai documenti e alle informazioni, in qualità di soggetti cd. “Interessati” al trattamento dei dati personali ivi contenuti, possono esercitare i loro diritti nei casi previsti dagli artt. 15 e ss. del Regolamento UE 2016/679. L’apposita istanza per l’esercizio dei diritti connessi al trattamento dei dati personali (identificativi, di contatto e relativi alla residenza) raccolti mediante la richiesta di accesso tramite il SI-URP è presentata all’Agenzia per l’ambiente o all’Ente nei confronti della quale è stata presentata la richiesta di accesso, con apposito modulo predisposto da Ispra, all’indirizzo di posta elettronica dei rispettivi Responsabili della Protezione dei dati (RPD-DPO) di cui al punto 3.
Per l’esercizio dei propri diritti, in quanto compatibili, gli interessati potranno contattare i singoli Contitolari del trattamento ed i rispettivi Responsabili della Protezione dati personali (RPO-DPO) nell’apposita sezione Privacy del sito SNPA dedicata al Progetto, rinvenibile al seguente link: Contatti Contitolari e RPD
Ultimo aggiornamento: 5 aprile 2024