Sei sulla pagina 1di 6

DESIGNAZIONE RESPONSABILE ESTERNO DEL TRATTAMENTO DEI DATI PERSONALI EX ART. 28 REG.

UE 2016/679 NELL’AMBITO DEL SISTEMA DI ATTESTAZIONE DELLA PRESTAZIONE ENERGETICA DEGLI


EDIFICI (CERTIFICAZIONE ENERGETICA)
Premesso che:
La Regione Emilia-Romagna ha conferito alla società “in house” ART-ER S. cons. p. a. le funzioni di
Organismo Regionale di Accreditamento di cui all’art. 25-ter della L.R. 26/2004, con il compito di gestire
ed assicurare il pieno ed efficace funzionamento del sistema di attestazione della prestazione energetica
degli edifici, ai sensi della delibera di Giunta regionale n. 1275 del 7 settembre 2015 “Approvazione delle
disposizioni regionali in materia di attestazione della prestazione energetica degli edifici (certificazione
energetica)”.
Peer l’espletamento di tali funzioni, ART-ER S. cons. p. a. - Organismo Regionale di Accreditamento (di
seguito ART-ER) fa utilizzo dell’applicativo informatico SACE – certificazione energetica degli edifici (di
seguito “SACE” o “Sito”), appositamente predisposto ed accessibile per via telematica all’indirizzo
http://energia.regione.emilia-romagna.it/certificazione-energetica/certificazione-energetica-
degliedifici mediante il quale vengono acquisiti dati personali forniti dagli Utenti.

Titolare del trattamento dei dati


Il Titolare del trattamento dei dati personali acquisiti tramite SACE è la Giunta della Regione
EmiliaRomagna, con sede legale in Viale Aldo Moro, 52 – 40127 Bologna. Con Delibera n. 2169 del
20/12/2017 il Titolare del Trattamento ha designato il Responsabile della protezione dei dati (Data
Protection Officer) contattabile ai seguenti indirizzi mail dpo@regione.emilia-romagna.it,
dpo@postacert.regione.emilia-romagna.it.

Responsabile del trattamento


Ai sensi dell’art 28 Reg. UE 2016/679, qualora un trattamento debba essere effettuato per conto del
Titolare, quest'ultimo ricorre unicamente a Responsabili del Trattamento che garantiscano l’adozione di
misure tecniche ed organizzative adeguate, assicurando in tal modo che il trattamento soddisfi i requisiti
del Reg. UE 2016/679 ed offra garanzia di piena tutela dei diritti dell'interessato.
Ai sensi e per gli effetti di tali disposizioni, il Titolare del Trattamento, previa verifica della capacità di
garantire il rispetto delle vigenti disposizioni in materia di protezione dei dati personali, ivi compreso il
profilo della sicurezza dei dati, ha designato ART-ER S. cons. p. a., con sede legale c/o CNR – Area della
Ricerca di Bologna Via P. Gobetti, 101 – 40129 Bologna, quale Responsabile del trattamento finalizzato
alla gestione del sistema di attestazione della prestazione energetica degli edifici (certificazione
energetica).
ART-ER ha designato un proprio Responsabile della protezione dei dati contattabile al seguente indirizzo
mail dpo-team@lepida.it.

Sub-Responsabile del trattamento


Le funzioni di elaborazione, rilascio e registrazione degli Attestati di Prestazione Energetica (APE) sono
svolte da soggetti certificatori accreditati da ART-ER in qualità di Organismo Regionale di
Accreditamento. Nello svolgimento di tali funzioni, il soggetto certificatore acquisisce, tratta e trasferisce
nel sistema SACE dati personali comuni degli Utenti finali del servizio, dati di cui la Regione
EmiliaRomagna risulta essere Titolare del Trattamento ed ART-ER risulta essere Responsabile del
Trattamento.

Pag. 1 di 6
il trattamento dei dati personali degli Utenti finali del servizio da parte dei soggetti certificatori
accreditate da ART-ER, effettuato tramite l’applicativo informatico SACE e tramite supporti cartacei
risulta necessario ai fini della registrazione obbligatoria ai sensi di legge degli Attestati di Prestazione
Energetica degli edifici (APE) energetica.
In conseguenza di tale sistema di relazioni, l’accreditamento da parte di ART-ER dei soggetti certificatori
comporta la individuazione e la nomina di questi ultimi come sub-responsabili del trattamento dei dati
personali comuni degli Utenti finali acquisiti nell’ambito del servizio di attestazione della prestazione
energetica degli edifici SACE.
In conformità alle vigenti disposizioni, che prevedono che le funzioni di Responsabile e Sub-responsabile
del trattamento siano disciplinate da un contratto o da altro atto giuridico a norma del diritto dell'Unione
o degli Stati membri, e comunque stipulato per iscritto, la sottoscrizione del presente documento vincola
ART-ER ed i soggetti certificatori all’osservanza delle istruzioni impartite dal Titolare ed all’adempimento
degli obblighi previsti dall’art. 28 c.3 Reg. UE 2016/679, disciplinando la durata, la natura e la finalità del
trattamento, il tipo di dati personali e le categorie di interessati, nonché gli obblighi ed i diritti del Titolare
del Trattamento;

Base giuridica del trattamento


il trattamento dei dati personali degli Utenti finali del servizio da parte del soggetto certificatore,
effettuato tramite l’applicativo informatico SACE e tramite supporti cartacei, risulta necessario ai fini
della registrazione degli Attestati di Prestazione Energetica, atto che conferisce a tale documento la
necessaria validità giuridica ai fini previsti dalla legge vigente.
Il trattamento dei dati personali forniti dagli Utenti, ai sensi e per gli effetti dell’art.6 c.1 lett. e) Reg. UE
2016/679, è quindi posto in essere per l’esecuzione di un compito di interesse pubblico o connesso
all’esercizio dei pubblici poteri di cui è investito il Titolare del Trattamento (Legge Regionale 23 dicembre
2004, n. 26 “Disciplina della programmazione energetica territoriale ed altre disposizioni in materia di
energia”; Delibera di Giunta regionale n. 1275 del 7 settembre 2015 “Approvazione delle disposizioni
regionali in materia di attestazione della prestazione energetica degli edifici (certificazione energetica)”),
pertanto, il relativo trattamento non necessita del consenso dell’interessato.

Tutto ciò premesso:


1. Definizioni
Ai fini del presente accordo si intende per:
“Garante per la protezione dei dati personali”: l’autorità di controllo responsabile per la protezione dei
dati personali in Italia;
“Dati personali ”: qualsiasi informazione riguardante una persona fisica identificata o identificabile
(«interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o
indirettamente, con particolare riferimento a un identificativo come il nome, un numero di
identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici
della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
“Normativa Applicabile”: l’insieme delle norme rilevanti in materia protezione dei dati personali, incluso
il Regolamento Privacy UE 2016/679 (GDPR) ed ogni provvedimento del Garante per la protezione dei
dati personali.
“Reclamo”: si intende ogni azione, reclamo, segnalazione presentata nei confronti del Titolare o di un
Responsabile del trattamento;

Pag. 2 di 6
“Titolare del Trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo
che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali;
quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati
membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere
stabiliti dal diritto dell'Unione o degli Stati membri;
“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi
automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione,
l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la
consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa
a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;
“Responsabile del trattamento”: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro
organismo che tratta dati personali per conto del titolare del trattamento.
2. Oggetto
Tramite la sottoscrizione congiunta del presente atto, ART-ER – Organismo Regionale di Accreditamento,
nella propria qualità di Responsabile del Trattamento dei dati personali degli utenti finali registrati nel
sistema SACE a seguito dell’erogazione del servizio di attestazione della prestazione energetica degli
edifici da parte del Soggetto certificatore accreditato, formalizza la nomina di quest’ultimo quale
(Sub)Responsabile del trattamento dei dati (di seguito anche (“(Sub)Responsabile”) nello svolgimento
delle attività di attestazione della prestazione energetica degli edifici di propria competenza.
3. Trattamento dei dati nel rispetto delle istruzioni fornite da ART-ER S. cons. p. a
Il (Sub)Responsabile si impegna ad osservare le istruzioni in materia di trattamento dei dati personali
fornite da ART-ER tramite il presente atto od eventualmente comunicate successivamente per iscritto,
obbligandosi in particolare a:
− rilasciare agli Utenti finali del servizio l’informativa al trattamento dei dati predisposta da ART-ER e
resa disponibile alla pagina web http://energia.regione.emilia-
romagna.it/certificazioneenergetica/certificazione-energetica-degli-edifici
− trattare i dati personali in modo lecito, corretto ed unicamente per le finalità sottese all’esecuzione
del servizio di attestazione della prestazione energetica degli edifici, garantendo che i dati personali
raccolti siano adeguati, pertinenti, limitati a quanto necessario per il perseguimento delle finalità per
le quali sono raccolti, esatti e, se necessario, aggiornati;
− non trasferire i dati personali a soggetti terzi, se non nel rispetto delle condizioni di liceità assolte da
ART-ER;
− non trattare i dati personali per finalità differenti da quelle sottese all’esecuzione del servizio di
attestazione della prestazione energetica degli edifici, financo per trattamenti aventi finalità
compatibili con quelle originarie;
− informare ART-ER - prima di iniziare qualsivoglia trattamento e, comunque ove occorra, in qualsiasi
altro momento - ogni qualvolta ritenga che una istruzione dalla stessa fornita si ponga in contrasto
con la normativa vigente in materia di protezione dei dati personali.
Al fine di dare seguito alle eventuali istanze formulate dai soggetti interessati, il (Sub)Responsabile si
obbliga ad adottare procedure atte a garantire:
a) il rispetto dei diritti degli interessati ed il tempestivo riscontro delle istanze da questi ultimi formulate
nei confronti di ART-ER;
b) su richiesta di ART-ER, l’aggiornamento, la modifica, la correzione, la cancellazione dei dati personali
degli interessati;
c) su richiesta di ART-ER, il diritto degli interessati alla limitazione del trattamento.

Pag. 3 di 6
Il (Sub)Responsabile si impegna altresì a comunicare ad ART-ER qualsivoglia informazione
ragionevolmente utile o necessaria ai fini dell’esatto adempimento, da parte della stessa, degli obblighi
vigenti in materia di protezione dei dati personali, ivi compresi quelli derivanti da provvedimenti e/o
specifiche decisioni del Garante per la protezione dei dati personali.
Il (Sub)Responsabile, in adempimento di quanto prescritto dall’art. 30 del Reg.UE 2016/679, garantisce
di aver provveduto a redigere, ed a mantenere aggiornato, il proprio Registro delle attività di trattamento
che si impegna a rendere disponibile su richiesta di ART-ER.
Il (Sub)Responsabile assicura la più ampia collaborazione ai fini dell’espletamento delle valutazioni di
impatto ex art. 35 del Reg.UE 2016/679 che ART-ER intenderà effettuare sui trattamenti che presentino,
a proprio insindacabile giudizio, un rischio elevato per i diritti e le libertà delle persone fisiche.
4. Misure di sicurezza
Il (Sub)Responsabile garantisce di aver adottato appropriate misure di sicurezza, sia tecniche che
organizzative, allo scopo di proteggere i dati personali da eventuali distruzioni o perdite di natura illecita
o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il
trattamento comporti trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento.
Il (Sub)Responsabile garantisce di aver adottato misure tecniche ed organizzative adeguate per
salvaguardare la sicurezza di qualsiasi rete di comunicazione elettronica o dei servizi forniti ad ART-ER,
con specifico riferimento alle misure intese a prevenire l'intercettazione di comunicazioni o l'accesso non
autorizzato a qualsiasi computer o sistema.
Il (Sub)Responsabile si impegna a conservare i dati personali garantendo la separazione di tipo logico dei
dati personali trattati per conto di ART-ER da quelli trattati per conto di terze parti o per proprio conto.
5. Analisi dei rischi, privacy by design e privacy by default
Il (Sub)Responsabile si impegna a collaborare con ART-ER al fine di dare effettività alle azioni di
mitigazione dei rischi da quest’utlima pianificate all’esito dell’analisi e valutazione dei rischi effettuata
sui trattamenti di dati personali cui concorre il Responsabile medesimo.
Il (Sub)Responsabile del trattamento dovrà consentire ad ART-ER, tenuto conto dello stato della tecnica,
dei costi, della natura, dell’ambito e della finalità del relativo trattamento, di adottare, sia nella fase
iniziale di determinazione dei mezzi di trattamento, che durante il trattamento stesso, ogni misura
tecnica ed organizzativa che la stessa riterrà opportuna per garantire ed attuare i principi vigenti in
materia di protezione dei dati personali ed a tutelare i diritti degli interessati.
In linea con i principi di privacy by default, e nel rispetto delle specifiche policy adottate da ART-ER,
dovranno essere trattati, per impostazione predefinita, esclusivamente quei dati personali il cui
trattamento risulti necessario ai fini del perseguimento delle finalità sottese al trattamento medesimo,
garantendo, per l’effetto, una corretta profilazione degli accessi ai dati personali trattati per conto di
ART-ER.
6. Soggetti autorizzati ad effettuare i trattamenti - Designazione
Il (Sub)Responsabile garantisce competenze ed affidabilità del proprio personale dipendente e dei propri
collaboratori autorizzati al trattamento dei dati personali (di seguito anche “autorizzati”) effettuato
nell’ambito del servizio di attestazione della prestazione energetica degli edifici, garantendo altresì che
gli stessi abbiano ricevuto adeguata formazione in materia di protezione dei dati personali e sicurezza
informatica.
Il (Sub)Responsabile, con riferimento alla protezione e gestione dei dati personali, impone ai propri
autorizzati obblighi di riservatezza non meno onerosi di quelli previsti nel presente Atto. Si precisa
espressamente come, in ogni caso, il (Sub)Responsabile sia direttamente ritenuto responsabile di
qualsiasi divulgazione di dati personali posta in essere da propri autorizzati.

Pag. 4 di 6
7. Sub-Responsabili del trattamento di dati personali
Ai fini dell’esecuzione del servizio di attestazione della prestazione energetica degli edifici, il
(Sub)Responsabile è autorizzato, sin d’ora, alla designazione di propri responsabili del trattamento,
previa comunicazione scritta ad ART-ER.
Il (Sub)Responsabile garantisce che ai propri Responsabili del trattamento siano imposte condizioni
vincolanti in materia di trattamento dei dati personali non meno onerose di quelle contenute nel
presente Atto.
Su specifica richiesta di ART-ER, il (Sub)Responsabile dovrà imporre ai propri Responsabili del
trattamento la sottoscrizione con ART-ER di un accordo di trattamento dei dati che, a meno di ulteriori
e specifiche esigenze, preveda sostanzialmente gli stessi termini del presente Accordo.
8. Trattamento dei dati personali al di fuori dell’area economica europea
E’ fatto espressamente divieto al (Sub)Responsabile di trasferire al di fuori dell’Unione Europea dati
personali trattati per conto di ART-ER.
9. Cancellazione dei dati personali
Le parti precisano, ora per allora, che il (Sub)Responsabile, al termine del periodo di conservazione dei
dati nonché in qualsiasi circostanza in cui sia richiesto da ART-ER, compresa l’ipotesi in cui la
cancellazione dei dati debba avvenire per dare seguito a specifiche richieste da parte degli interessati,
provvederà alla restituzione o cancellazione dei dati personali trattati per conto di ART-ER.
10. Audit
Il (Sub)Responsabile si rende disponibile a sottoporsi nell’ambito degli audit effettuati da ART-ER, o di
altro soggetto da questa incaricato, alla verifica del puntuale rispetto degli obblighi assunti dal
(Sub)Responsabile con il presente Atto. Resta inteso che tali verifiche non potranno avere ad oggetto
dati di terze parti od informazioni sottoposte ad obblighi di riservatezza.
11. Indagini dell’Autorità e reclami
Nei limiti della normativa applicabile, il (Sub)Responsabile informa senza alcun indugio ART-ER di
qualsiasi richiesta o comunicazione inoltrata o notificata dall’Autorità Garante per la protezione dei dati
personali o dalle forze dell’ordine.
A fronte della ricezione di un reclamo relativo alle attività oggetto del presente Atto, il (Sub)Responsabile
si obbliga a:
a) avvertire ART-ER in forma scritta non oltre 5 giorni dalla ricezione del reclamo;
b) non fornire dettagli al reclamante né transigere la controversia senza la preventiva autorizzazione di
ART-ER;
c) fornire ad ART-ER l'assistenza ragionevolmente necessaria ai fini della gestione del reclamo.
Il (Sub)Responsabile fornisce ad ART-ER, in esecuzione del presente Atto e, pertanto, a titolo gratuito,
l’assistenza necessaria ai fini del riscontro delle suddette istanze o comunicazioni nei termini previsti
dalla normativa vigente e dai regolamentari applicabili.
12. Violazione dei dati personali e obblighi di notifica
Il (Sub)Responsabile, in forza di quanto previsto dall’art. 33 del Reg.UE 2016/679, si obbliga a comunicare
a mezzo di posta elettronica certificata ad ART-ER, nel minor tempo possibile, e comunque non oltre 24
(ventiquattro) ore da quando ne abbia avuto notizia, qualsiasi violazione di sicurezza che abbia
comportato accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non
autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati. Tale comunicazione
dovrà contenere ogni informazione utile alla gestione del data breach, oltre a: a) la descrizione della
natura della violazione dei dati personali;

Pag. 5 di 6
b) le categorie ed il numero approssimativo di interessati in questione nonché le categorie e il numero
approssimativo di registrazioni dei dati personali in questione;
c) i recapiti del DPO nominato o del soggetto competente alla gestione del data breach;
d) la descrizione delle probabili conseguenze della violazione dei dati personali; e) la descrizione delle
misure adottate o che si intende adottare per affrontare la Violazione della sicurezza, compreso, ove
opportuno, misure per mitigare i possibili effetti negativi causati dalla violazione medesima.
Il (Sub)Responsabile si obbliga a fornire ad ART-ER il supporto necessario ai fini delle indagini e delle
valutazioni in ordine alla violazione di dati, anche allo scopo di individuare, prevenire e limitare gli effetti
negativi della stessa, impegnandosi a porre in essere qualsivoglia azione si renda necessaria per porre
rimedio alla violazione stessa.
Il (Sub)Responsabile si obbliga infine ad astenersi dal rilasciare e/o pubblicare comunicati stampa o
relazioni riguardanti eventuali data breach o violazioni di trattamento senza aver ottenuto il previo
consenso scritto dell’ART-ER S. cons. p. a.
13. Responsabilità e manleve
Il (Sub)Responsabile si obbliga a tenere indenne e manlevare ART-ER da qualsivoglia perdita, costo,
sanzione, danno e da qualsivoglia responsabilità ascritta a quest’ultima e derivante dalla violazione, da
parte del (Sub)Responsabile medesimo, di propri autorizzati o di propri Responsabili, delle disposizioni
contenute nel presente accordo e/o delle disposizioni vigenti in materia di privacy. In tali ipotesi,
pertanto, il (Sub)Responsabile sarà chiamato a rispondere, per conto del Titolare, della violazione
commessa e, conseguentemente, sarà tenuto a farsi integralmente carico delle eventuali sanzioni
irrogate dalle competenti autorità nonché delle eventuali richieste risarcitorie avanzate da terzi nei
confronti di ART-ER o del Titolare del Trattamento.
Le parti precisano infine che, qualora il (Sub)Responsabile violi una delle disposizioni del presente
accordo, determinando le finalità ed i mezzi del trattamento, lo stesso sarà considerato a tutti gli effetti
Titolare delle attività di Trattamento per le quali ha determinato, in autonomia ed in violazione del
presente accordo, finalità e mezzi del Trattamento.
14. Durata della nomina ed impegno di riservatezza
La presente nomina è condizionata, per oggetto e durata, all’accreditamento concesso da ART-ER ed il
(Sub)Responsabile e si intenderà decaduta di diritto alla scadenza o alla revoca del medesimo.
Ciononostante, si precisa espressamente come l’impegno alla riservatezza dei dati trattati e delle
informazioni ricevute durante il periodo di vigenza del presente atto rimarrà valido anche in seguito,
pena il risarcimento del danno eventualmente arrecato ad ART-ER od al Titolare del Trattamento.

Per presa visione ed accettazione

Bologna, 12 Novembre 2020

Il Responsabile del trattamento Il (Sub)Responsabile del Trattamento

Pag. 6 di 6