ASSESSORATO DELLE ATTIVITA' PRODUTTIVE
DECRETO 30 ottobre 2020
G.U.R.S. 13 novembre 2020, n. 57
Nomina del responsabile esterno del trattamento dei dati personali relativi all'avviso pubblico "BonuSicilia".
L'ASSESSORE PER LE ATTIVITA' PRODUTTIVE
Visto lo Statuto della Regione;
Viste la legge regionale 29 dicembre 1962, n. 28 e la legge regionale 10 aprile 1978, n. 2;
Vista la legge regionale 8 luglio 1977, n. 47, recante "Norme in materia di bilancio e contabilità della Regione siciliana";
Vista la legge regionale 12 agosto 2014, art. 68, comma 4, inerente l'obbligo di pubblicazione dei decreti assessoriali nel sito internet della Regione siciliana;
Visto il regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla "Protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati che abroga la direttiva n. 95/46/CE" e, in particolare, l'art. 27, recante "Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione" e l'art. 28, recante "Responsabile del trattamento", commi 2 e 4;
Visto il D.lgs. 10 agosto 2018, n. 101, recante "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016";
Vista la deliberazione della Giunta regionale di Governo 28 maggio 2018, n. 203 "regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 - nomina del responsabile per la protezione dei dati";
Vista la deliberazione della Giunta regionale di Governo 29 novembre 2018, n. 483, recante "regolamento UE 2016/679 - Adozione delle prime istruzioni organizzative e tecniche per il trattamento dei dati personali, di una procedura di risposta e di un questionario di autovalutazione";
Visto il D.P.R.S. n. 643/Area 1^ SG del 29 novembre 2017, con il quale il Presidente della Regione ha nominato l'avv. Girolamo Turano Assessore regionale con preposizione all'Assessorato regionale delle attività produttive;
Visto il D.P.R.S. 12 giugno 2018, n. 569, con il quale è stato nominato "responsabile della protezione dei dati" per la Regione siciliana;
Visto il D.P. Reg. 19 giugno 2020 n. 2812, con il quale al dott. Carmelo Frittitta è stato conferito l'incarico di dirigente generale del Dipartimento regionale delle attività produttive, in esecuzione della deliberazione della Giunta regionale n. 272 del 14 giugno 2020;
Visto il D.A. 31 maggio 2019, n. 13/Gab, con il quale l'Assessore regionale per le attività produttive, nella qualità di titolare del trattamento, ha conferito al dirigente generale del suddetto Dipartimento regionale, l'incarico di responsabile dei trattamenti di dati personali che rientrano tra le competenze del Dipartimento regionale delle attività produttive, con facoltà di ricorrere ad altri soggetti responsabili ai quali affidare in tutto o in parte il trattamento dei dati, ai sensi dell'art. 28 del regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016;
Vista la D.G.R. n. 374 del 3 settembre 2020, con la quale è stata approvata la nuova azione "contributo a fondo perduto - BonuSicilia" e le relative disposizioni attuative, da destinare alle microimprese operanti in Sicilia, ai sensi del sopra citato art. 10, comma 16, della legge regionale n. 9/2020;
Visto il D.D.G. n. 1702/7.S del 16 settembre 2020 del dirigente generale del Dipartimento regionale delle attività produttive, con il quale è stato approvato l'Avviso pubblico in attuazione dell'Azione 3.1.1_04a del P.O. FESR Sicilia 2014/2020, per la concessione di contributi a fondo perduto a favore delle microimprese artigiane, commerciali, industriali e di servizi (BonuSicilia) e ss.mm.ii.;
Vista la D.G.R. n. 428 del 9 ottobre 2020, avente ad oggetto "Art. 10, comma 16, della legge regionale 12 maggio 2020, n. 9 - Concessione di contributi a fondo perduto a favore delle microimprese artigiane, commerciali, industriali e di servizi (BonuSicilia) - Ratifica determinazioni dell'incontro del 7 ottobre 2020";
Considerato che le procedure attuative per la concessione dei contributi a fondo perduto a favore delle microimprese, di cui all'avviso del cd "BonuSicilia", prevedono l'invio delle domande esclusivamente per via telematica attraverso la piattaforma digitale denominata "Sicilia- PEI", dell'Assessorato regionale dell'economia, Agenzia regionale per l'Innovazione Tecnologica (ARIT);
Considerato che ARIT, in virtù del Contratto esecutivo n. 2080012000826022COE approvato con D.D.G. n. 112 del 23 luglio 2020 del dirigente generale dell'Autorità regionale per l'innovazione tecnologica, per la gestione della piattaforma digitale si avvale del fornitore esterno Telecom Italia S.p.A., con sede legale in Milano, via Gaetano Negri n. 1, direzione generale e sede secondaria in Roma, corso d'Italia n. 41, P. IVA 00488410010, quale impresa mandataria capogruppo di Raggruppamento temporaneo costituito, oltre che dalla stessa, da Enterprise Services Italia s.r.l., Poste Italiane S.p.A., Postecom S.p.A., Postel S.p.A., per la realizzazione di "Piattaforme per l'esposizione di servizi con utilizzo di credenziali SPID" nell'ambito del Contratto Quadro per l'affidamento dei servizi di cloud computing per le pubbliche amministrazioni - Lotto 1;
Considerato che ARIT, con nota prot. n. 8033 del 15 ottobre 2020, ha trasmesso il contratto esecutivo n. 2080012000826022COE al Dipartimento delle attività produttive;
Considerato che il fornitore esterno Telecom Italia S.p.A., come riportato nel suddetto contratto esecutivo n. 2080012000826022COE, è nominato responsabile del trattamento dei dati ai sensi dell'art. 28 del regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, con attribuzione delle relative competenze;
Considerato che, qualora il fornitore sia chiamato ad eseguire le attività di trattamento di dati personali per conto del titolare, è necessario nominarlo responsabile esterno del trattamento dei dati ai sensi dell'art. 28 del regolamento UE 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, attribuendogli le relative competenze;
Considerato che il fornitore, nella qualità di responsabile esterno del trattamento dei dati, si obbliga ad adottare le misure di sicurezza di natura fisica, logica, tecnica e organizzativa idonee a garantire un livello di sicurezza adeguato al rischio e conformi alla normativa vigente e alle istruzioni fornite dall'Amministrazione;
Ritenuto, quindi, per le motivazioni indicate in premessa, ai sensi dell'art. 28 del regolamento UE 2016/679, di dovere nominare responsabile esterno del trattamento dei dati personali relativi alla realizzazione dell'intervento denominato "contributo a fondo perduto - BonuSicilia", di competenza dell'Assessorato regionale delle attività produttive - Dipartimento regionale delle attività produttive, la società Telecom Italia S.p.A., quale impresa mandataria capogruppo del Raggruppamento temporaneo, costituito, oltre che dalla stessa, da Enterprise Services Italia S.r.l., Poste Italiane S.p.A., Postecom S.p.A., Postel S.p.A., nell'ambito del Contratto Quadro per l'affidamento dei servizi di cloud computing per le pubbliche amministrazioni - Lotto 1;
Decreta:
Nomina
1. Ai sensi dell'art. 28 del regolamento UE 2016/679, la società Telecom Italia S.p.A., con sede legale in Milano, via Gaetano Negri n. 1, direzione generale e sede secondaria in Roma, corso d'Italia n. 41, P.IVA 00488410010, quale impresa mandataria capogruppo del Raggruppamento temporaneo, costituito, oltre che dalla stessa, da Enterprise Services Italia S.r.l., Poste Italiane S.p.A., Postecom S.p.A., Postel S.p.A., nell'ambito del Contratto Quadro per l'affidamento dei servizi di cloud computing per le pubbliche amministrazioni - Lotto 1 di cui al contratto esecutivo n. 2080012000826022COE, è nominata responsabile esterno del trattamento dei dati personali relativamente all'intervento denominato "Contributo a fondo perduto - Bonu- Sicilia", di competenza dell'Assessorato regionale delle attività produttive - Dipartimento regionale delle attività produttive.
2. Il responsabile esterno del trattamento ha facoltà di designare sub-responsabili del trattamento le società subappaltanti, previa autorizzazione scritta da parte del titolare del trattamento dei dati.
3. Il responsabile esterno del trattamento effettua il trattamento dei dati di cui all'allegato "A" al presente provvedimento nei limiti e nel rispetto delle finalità per cui sono trattati.
4. Il responsabile esterno del trattamento dei dati ha validità dalla operatività dell'intervento denominato "Con tributo a fondo perduto - BonuSicilia" e sino al completamento dell'intervento stesso, o fino alla revoca anticipata per qualsiasi motivo da parte del titolare, fermo restando che, anche successivamente alla cessazione del contratto di fornitura o alla revoca, il responsabile esterno dovrà mantenere la massima riservatezza sui dati e le informazioni relative al titolare delle quali sia venuto a conoscenza nell'adempimento delle sue obbligazioni.
Obblighi
1. Il responsabile esterno del trattamento ha facoltà, nell'ambito dell'esecuzione dei contratti di cui all'art.1, di procedere alla nomina degli autorizzati al trattamento dei dati personali, mediante apposito atto di designazione. Per autorizzato si intende qualsiasi unità di personale interna alla propria società, autorizzata al trattamento dei dati personali secondo le proprie direttive e istruzioni. Il responsabile esterno fornisce, all'Assessorato regionale delle attività produttive, l'elenco degli autorizzati.
2. Il responsabile esterno del trattamento, nell'ambito dell'esecuzione dei contratti di cui all'art. 1, ha l'obbligo di mettere in atto le misure di sicurezza di natura fisica, logica, tecnica e organizzativa idonee a garantire un livello di sicurezza adeguato al rischio e conformi alla normativa vigente, tenendo conto delle finalità perseguite, del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione.
3. Il responsabile si deve attenere alle misure di sicurezza indicate dall'Assessorato regionale delle attività produttive, di cui all'Allegato B al presente provvedimento, nonché di quelle specificate nel contratto di fornitura di cui all'art. 1 e relativi allegati.
4. Il responsabile esterno del trattamento ha l'onere di informare il titolare di eventuali modifiche riguardanti l'aggiunta o la sostituzione degli ulteriori sub-responsabili. Il titolare avrà il diritto di opporsi a tali modifiche, comunicando la propria opposizione per iscritto entro 10 giorni dalla notifica da parte del responsabile esterno. Il responsabile esterno non ricorrerà ai sub-responsabili nei cui confronti il titolare abbia manifestato la propria opposizione. Resta inteso che, in mancanza di opposizione, la modifica si intenderà accettata. Il responsabile esterno impone al sub-responsabile con apposito atto, gli stessi obblighi in materia di protezione dei dati che sono posti a suo carico in forza del presente atto e vigila sul loro rispetto. Il responsabile esterno del trattamento rimarrà direttamente responsabile nei confronti del titolare in ordine alle azioni ed alle omissioni dei propri sub-responsabili.
Oneri e responsabilità
1. Il responsabile esterno del trattamento assiste il titolare in tutte le operazioni di sua competenza, inclusa quella di fornire risposta alla richiesta di esercizio dei diritti degli interessati, e ha l'onere di svolgere compiti di direzione e coordinamento sul corretto trattamento dei dati personali.
2. Il responsabile esterno del trattamento ha, altresì, l'onere di:
a. mettere in atto misure tecniche e organizzative atte a garantire, ed essere in grado di dimostrare, che il trattamento dei dati personali per conto del titolare è effettuato in conformità al regolamento europeo UE 2016/679;
b. adottare misure tecniche e organizzative idonee a garantire la sicurezza dei locali e delle postazioni di lavoro;
c. fornire ai propri dipendenti e collaboratori deputati a trattare i dati personali le istruzioni necessarie per garantire un corretto, lecito e sicuro trattamento, vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività;
d. predisporre ed aggiornare sistematicamente il registro delle attività di trattamento dei dati personali trattati per conto del titolare ed assistere il titolare nell'aggiornamento del suo registro delle categorie di trattamento e il Dipartimento regionale delle attività produttive dell'Assessorato regionale delle attività produttive nell'aggiornamento dei registri delle categorie di attività di trattamento;
e. cooperare, su richiesta, assieme al titolare, con l'autorità di controllo nell'esecuzione dei suoi compiti;
f. fornire assistenza al titolare per la gestione del consenso degli interessati al trattamento dei dati personali;
g. fornire assistenza al titolare per informare in maniera trasparente gli interessati sulla modalità di gestione e di protezione dei relativi dati personali trattati;
h. fornire assistenza al titolare per la gestione le richieste degli interessati sui propri dati personali trattati per conto del titolare;
i. fornire assistenza al titolare per l'analisi del rischio sui dati personali trattati;
j. fornire assistenza al titolare per la valutazione d'impatto dell'eventuale uso di nuove tecnologie sulla sicurezza dei dati personali trattati (Data protection impact assessment o DPIA o VIP);
k. collaborare con il titolare e con il responsabile della protezione dei dati della Regione siciliana nell'attuazione delle ispezioni interne organizzative e tecniche volte alla verifica dell'attuazione di misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al regolamento UE 2016/679;
l. comunicare i luoghi dove sono memorizzati i dati, le loro copie e i sistemi che li trattano, e impegnarsi a non trasferirli in Paese terzo rispetto la UE;
m. fornire assistenza al titolare nell'aggiornamento dell'informativa da rendere agli interessati ai sensi degli art. 13 e 14 del regolamento UE 679/2016 in merito al trattamento in argomento;
n. rendere disponibili tutte le informazioni necessarie per dimostrare il rispetto degli adempimenti previsti dal regolamento europeo UE 2016/679.
3. Il responsabile esterno del trattamento ha l'obbligo di informare il titolare (inviando una comunicazione a mezzo PEC), senza ingiustificato ritardo e comunque entro 48 ore dal momento in cui ne è venuto a conoscenza, di ogni violazione della sicurezza (Data breach) che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati, ed a prestare ogni necessaria collaborazione al titolare in relazione all'adempimento degli obblighi, sullo stesso gravanti, di notifica delle suddette violazioni all'autorità ai sensi dell'art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell'art. 34 del GDPR. Inoltre comunica le prime misure organizzative e tecniche adottate per porre rimedio alla violazione dei dati personali e per minimizzare gli effetti negativi e propone al titolare l'adozione di ulteriori misure di sicurezza non immediatamente attuabili.
4. Il responsabile esterno del trattamento sarà responsabile per i danni conseguenti a inadempimenti o inosservanze delle istruzioni di cui all'Allegato B al presente provvedimento o di quelle successive eventualmente trasmesse per iscritto dall'Assessorato regionale delle attività produttive.
5. Il responsabile esterno del trattamento, all'atto della scadenza del contratto di fornitura o, comunque, in caso di cessazione - per qualunque causa - dell'efficacia del presente atto di nomina, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o comunitario che preveda la conservazione dei dati personali, sarà tenuto ad interrompere ogni operazione di trattamento degli stessi e dovrà provvedere, a scelta del titolare, all'immediata restituzione allo stesso dei dati personali oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un'attestazione scritta che presso lo stesso responsabile esterno non ne esiste alcuna copia. In caso di richiesta scritta del titolare, il responsabile esterno è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione.
Il presente decreto sarà pubblicato in forma integrale nella Gazzetta Ufficiale della Regione siciliana e nel sito web dell'Assessorato regionale delle attività produttive.
Palermo, 30 ottobre 2020.
TURANO