Art. 11 Responsabili del trattamento dei dati personali
Art. 11 Responsabili del trattamento dei dati personali1. È designato/a Responsabile del trattamento qualunque soggetto che esegue, in base a un contratto/convenzione o altro atto giuridico, trattamenti di dati personali per conto dell’Università.
2. Quest’ultima designa quali Responsabili del trattamento dei dati personali esclusivamente i soggetti che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti normativi in materia di protezione dei dati personali e garantisca la tutela dei diritti dell'interessato.
3. I Responsabili del trattamento sono nominati con atto giuridico conforme al diritto nazionale e forniscono garanzia ai sensi del paragrafo 3 dell’articolo 28 del Regolamento UE, in particolare per quel che riguarda le misure tecniche e organizzative adeguate a consentire il rispetto delle disposizioni previste dallo stesso Regolamento.
4. Il Responsabile del trattamento dei dati personali non può delegare anche soltanto una parte dei trattamenti di dati personali che gli sono stati affidati ad altri soggetti, denominati Sub-Responsabili senza la previa e specifica autorizzazione generale o specifica scritta dell’Università.
5. L’Università disciplina le attività di trattamento dei dati personali affidate a tali soggetti con un apposito contratto, che vincola il Responsabile e l’eventuale Sub-Responsabile al Titolare del trattamento dei dati personali.
6. Tale contratto, stipulato in forma scritta, anche in formato elettronico, prevede, in particolare, che il Responsabile del trattamento:
• tratti i dati personali soltanto su istruzione documentata dell’Università;
• garantisce che gli Autorizzati del trattamento dei dati personali siano formalmente autorizzati e tenuti a mantenere la riservatezza di tali dati;
• adotti tutte le misure di sicurezza indicate dall’Università e le ulteriori misure tecniche e organizzative capaci di garantire che i dati ad oggetto di trattamento rispettino un livello di sicurezza adeguato al rischio, tenendo conto dello stato dell'arte e dei costi di attuazione, natura, oggetto, contesto e finalità del trattamento, rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche;
• assista l’Università, al fine di soddisfarne l'obbligo di dare seguito alle richieste per l'esercizio dei diritti dell'interessato e garantire il rispetto delle disposizioni di legge, tenendo conto della natura del trattamento e delle informazioni a sua disposizione;
• segnali senza ritardo al titolare del trattamento ogni incidente di sicurezza e ogni anomalia di trattamento dei dati oggetto di affidamento;
• cancelli o restituisca, su indicazione dell’Università, tutti i dati personali dopo che è terminata la prestazione oggetto di trattamento;
• metta a disposizione dell’Università le informazioni necessarie per dimostrare il rispetto degli obblighi di legge e contribuisca alle attività di controllo, revisione, comprese le ispezioni, realizzati dal Titolare del trattamento o da un altro soggetto da questi incaricato.
7. Nel caso in cui un Responsabile del trattamento ricorra, previa specifica autorizzazione, a un Sub- Responsabile del trattamento per l'esecuzione di specifiche attività di trattamento per conto dell’Università, a tale altro Sub-Responsabile del trattamento sono imposti, mediante un contratto, gli stessi obblighi a cui è stato sottoposto il Responsabile.
8. Qualora il Sub-Responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il Responsabile del trattamento conserva nei confronti dell’Università l'intera responsabilità dell'adempimento degli obblighi del Sub-Responsabile.
9. In tutti gli atti che disciplinano rapporti con i soggetti di cui al precedente comma (contratti, convenzioni, scritture private, conferimenti, etc.), deve essere inserita l’indicazione che l’Università provvederà a designare successivamente, ma prima di procedere al trattamento dei dati, il contraente quale Responsabile del trattamento dei dati personali, e a impartire le specifiche disposizioni operative attraverso apposite istruzioni documentate.
10. Il mancato rispetto del presente Regolamento e dei compiti attribuiti ai Responsabili del trattamento può essere oltre che oggetto di responsabilità anche motivo per pregiudicare l’affidamento da parte del Titolare di ulteriori attività di fornitura di beni o servizi.