Foro Competente

Articolo 24 Garanzie

1. Il Fornitore garantisce, per tutta la durata dei Contratti di fornitura a valere sul presente Appalti Specifici, il software realizzato o modificato e pertanto è tenuto l’eliminazione di anomalie, difetti, malfunzionamenti che si intendono integralmente a suo carico, nonché allo svolgimento di tutto quanto richiesto dal processo di sviluppo del software, come meglio specificato nell’Allegato 4.2 del Capitolato Tecnico, senza alcun onere aggiuntivo per l’Amm.ne contraente, secondo i tempi e nei modi indicati nel Capitolato Tecnico.

2. Le suddette garanzie sono prestate in proprio dal Fornitore anche per il fatto del terzo, intendendo l’Amm.ne contraente restare estranea ai rapporti tra il Fornitore e le ditte fornitrici.

Articolo 25 Responsabilità

1. Il Fornitore assume in proprio ogni responsabilità per qualsiasi danno causato a persone o beni, tanto del Fornitore stesso quanto dell’Amm.ne contraente e/o di terzi, in dipendenza di omissioni, negligenze o altre inadempienze relative all’esecuzione delle prestazioni contrattuali ad esso riferibili, anche se eseguite da parte di terzi.

2. Anche in caso di eventuali coperture assicurative, resta ferma l’intera responsabilità del Fornitore anche per danni eventualmente non coperti ovvero per danni eccedenti i massimali assicurati.

Articolo 26 Foro Competente

1. Per tutte le questioni relative ai rapporti tra il Fornitore e l’Amministrazione, la competenza è de- terminata in base alla normativa vigente.

Articolo 27

Allegato 5 – Schema di Contratto pag. 19/27 presente Accordo Quadro e del Contratto di fornitura degli Appalti Specifici, e comunque per i cinque anni successivi alla cessazione di efficacia del rapporto contrattuale.

2. L’obbligo di cui al precedente comma sussiste, altresì, relativamente a tutto il materiale originario o predisposto in esecuzione dei Contratti di fornitura degli Appalti Specifici; tale obbligo non concerne i dati che siano o divengano di pubblico dominio.

3. Il Fornitore è responsabile per l’esatta osservanza da parte dei propri dipendenti, consulenti e collaboratori, nonché dei propri eventuali subappaltatori e dei dipendenti, consulenti e collaboratori di questi ultimi, degli obblighi di segretezza anzidetti.

4. In caso di inosservanza degli obblighi di riservatezza, l’Amm.ne contraente e InnovaPuglia hanno la facoltà di dichiarare risolto di diritto, rispettivamente, il singolo Contratto di fornitura degli Appalti Specifici ovvero il presente Accordo Quadro, fermo restando che il Fornitore sarà tenuto a risarcire tutti i danni che dovessero derivare a InnovaPuglia e alle Amm.ni contraenti.

5. Il Fornitore potrà citare i contenuti essenziali del presente Accordo Quadro, nei casi in cui ciò fosse condizione necessaria per la partecipazione del Fornitore medesimo a gare e appalti.

Articolo 28

Trattamento dei dati personali

1. Il Fornitore dichiara di aver ricevuto prima della sottoscrizione del presente Contratto le informazioni di cui all’articolo 13 Regolamento UE n. 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (nel seguito anche “Regolamento UE”), circa il trattamento dei dati personali, conferiti per la sottoscrizione e l’esecuzione del Contratto stesso e di essere a conoscenza dei diritti riconosciuti ai sensi della predetta normativa. Tale informativa è contenuta nell’ambito della lettera di invito.

2. Le Parti si impegnano ad improntare il trattamento dei dati ai principi di correttezza, liceità e trasparenza nel pieno rispetto della legislazione nazionale ed europea vigente in materia di protezione dei dati personali (ivi inclusi gli ulteriori provvedimenti, comunicati ufficiali, autorizzazioni generali, pronunce in genere emessi dall'Autorità Garante per la Protezione dei Dati Personali), con particolare riguardo alle misure di sicurezza da adottare.

3. Il Fornitore prende atto che l’Amministrazione tratta i dati forniti dal Fornitore, anche relativi a soggetti terzi coinvolti nelle attività di trattamento quali, a titolo esemplificativo, i dipendenti e collaboratori del Fornitore, ai fini della stipula del Contratto, per l’adempimento degli obblighi legali ad esso connessi, oltre che per la gestione ed esecuzione tecnica, economica ed amministrativa del Contratto stesso. Tutti i dati acquisiti dall’Amministrazione potranno essere trattati anche per fini

Allegato 5 – Schema di Contratto pag. 20/27 personali come sopra definito. Il Fornitore si impegna, altresì, ad adempiere agli obblighi di informativa e di consenso, ove necessario, nei confronti delle persone fisiche interessate di cui sono forniti dati personali nell’ambito dell’esecuzione del Contratto, per quanto concerne il trattamento dei loro Dati personali da parte dell’Amministrazione per le finalità sopra descritte.

5. Il Fornitore prende atto che la ragione sociale dell’operatore economico ed il prezzo di aggiudicazione dell’appalto, potranno essere diffusi tramite il sito internet dell’Amministrazione e sono in ogni caso soggetti agli obblighi imposti dalla vigente normativa sulla trasparenza delle attività dell’Amministrazione.

6. Il Fornitore si impegna a svolgere i trattamenti di dati personali nel pieno rispetto della legislazione vigente nonché della normativa per la protezione dei dati personali (ivi inclusi - oltre al Regolamento (UE) 2016/679 e al D.Lgs. 30 giugno 2003, n. 196 – anche gli ulteriori provvedimenti, autorizzazioni generali, pronunce in genere emanati dal Garante per la protezione dei dati personali) nonché delle misure minime di sicurezza ICT per le PP.AA. di cui alla Circolare AgID n. 2/2017 del 18 aprile 2017 (in Gazzetta Ufficiale - Serie Generale n. 103 del 5-5-2017).

7. Con la sottoscrizione del Contratto, il rappresentante legale del Fornitore acconsente espressamente al trattamento dei dati personali come sopra definito e si impegna ad adempiere agli obblighi di rilascio dell’informativa e di richiesta del consenso, ove necessario, nei confronti delle persone fisiche interessate di cui sono forniti dati personali nell’ambito dell’esecuzione del contratto esecutivo, per le finalità descritte nella Lettera di invito e di quanto sopra precisato. 23.3 Il Fornitore acconsente, altresì, a che il nominativo del fornitore ed il valore del Contratto Esecutivo siano diffusi tramite i siti internet www.regione.puglia.it . Inoltre, in adempimento agli obblighi di legge che impongono la trasparenza amministrativa (D.Lgs. 33/2013; art. 32 L.

190/2012; art. 29 D.Lgs. n. 50/2016 e s.m.i.), il Fornitore prende atto ed acconsente a che i dati e/o la documentazione che la legge impone di pubblicare, siano pubblicati e diffusi tramite il sito internet www.regione.puglia.it, sezione “amministrazione trasparente”.

8. Nel caso in cui il Fornitore violi gli obblighi previsti dalla normativa in materia di protezione dei dati personali (quali a titolo meramente esemplificativo quelli previsti agli artt. 5, 32, 33, 34, 44- 49 del Regolamento) risponderà integralmente del danno cagionato da tale violazione agli “interessati”.

In tal caso, l’Amministrazione, in ragione della gravità della violazione, potrà risolvere il contratto ed escutere la garanzia definitiva, salvo il risarcimento del maggior danno. 23.8 Il Fornitore si impegna ad osservare le vigenti disposizioni in materia di sicurezza e riservatezza e a farle osservare ai relativi dipendenti e collaboratori, anche quali incaricati del trattamento dei Dati

Allegato 5 – Schema di Contratto pag. 21/27 eventuali dati personali nell’ambito dell’erogazione dei servizi contrattualmente ivi previsti. Le modalità di trattamento dovranno essere improntate ai disposti del Regolamento UE 679/2016, del Dlgs 196/2003 e s.m.i. e dovranno essere conformi alle condizioni contenute nella nomina a Responsabile/Sub-Responsabile del Trattamento se predisposta.

ARTICOLO 29

Nomina a Responsabile del Trattamento Dati

1. Con la sottoscrizione del presente contratto il Fornitore è nominato Responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE n. 2016/679 sulla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati(nel seguito anche “Regolamento UE”), per tutta la durata del contratto. A tal fine il Responsabile è autorizzato a trattare i dati personali necessari per l’esecuzione delle attività oggetto del contratto e si impegna ad effettuare, per conto dell’Amministrazione (Titolare del trattamento), le sole operazioni necessarie per fornire il servizio oggetto del presente contratto, nei limiti delle finalità ivi specificate, nel rispetto del Codice Privacy, del Regolamento UE (nel seguito anche “Normativa in tema di trattamento dei dati personali”) e delle istruzioni nel seguito fornite.

2. Il Fornitore/Responsabile si impegna a presentare, su richiesta dell’Amministrazione, garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse per l’adozione di misure tecniche ed organizzative adeguate volte ad assicurare che il trattamento sia conforme alle prescrizioni della normativa in tema di trattamento dei dati personali.

Le finalità del trattamento sono esclusivamente: - Gestione tecnica sito web - Gestione dati analitici e di traffico sito web

3. Il tipo di dati personali trattati in ragione delle attività oggetto del contratto sono: i) dati comuni (es. dati anagrafici e di contatto ecc.); Le Tipologie di dati trattati si distinguono in : Dati di navigazione: I sistemi informatici e le procedure software preposte al funzionamento di questo portale acquisiscono, nel corso del loro normale esercizio, alcuni dati personali la cui trasmissione è implicita nell'uso dei protocolli di comunicazione di Internet. Trattasi di informazioni che non sono raccolte per essere associate a interessati identificati, ma che per loro stessa natura potrebbero, attraverso elaborazioni ed associazioni con dati detenuti da terzi, permettere di identificare gli utenti. In questa categoria di dati rientrano gli indirizzi IP o i nomi a dominio dei computer utilizzati dagli utenti che si connettono al sito, gli indirizzi in notazione, in sigla URI

Allegato 5 – Schema di Contratto pag. 22/27

funzionamento. I dati potrebbero essere utilizzati per l'accertamento di responsabilità in caso di ipotetici reati informatici ai danni del sito. Dati forniti volontariamente dall'utente: l'invio facoltativo, esplicito e volontario di posta elettronica agli indirizzi riportati su questo portale o l’invio, per mezzo dello stesso, di altri eventuali dati personali comporta la successiva acquisizione ed elaborazione dei dati necessari per fornire il servizio e/o rispondere alle richieste.

4. Le categorie di interessati sono gli utenti dei servizi. Nell’esercizio delle proprie funzioni, il Responsabile si impegna a:

a) rispettare la normativa vigente in materia di trattamento dei dati personali, ivi comprese le norme che saranno emanate nel corso della durata del contratto;

b) trattare i dati personali per le sole finalità specificate e nei limiti dell’esecuzione delle prestazioni contrattuali;

c) trattare i dati conformemente alle istruzioni impartite dal Titolare e di seguito indicate che il Fornitore si impegna a far osservare anche alle persone da questi autorizzate ad effettuare il trattamento dei dati personali oggetto del presente contratto, d’ora in poi “persone autorizzate”;

nel caso in cui ritenga che un’istruzione costituisca una violazione del Regolamento UE sulla protezione dei dati o delle altre disposizioni di legge relative alla protezione dei dati personali, il Fornitore deve informare immediatamente il Titolare del trattamento;

d) garantire la riservatezza dei dati personali trattati nell’ambito del presente contratto e verificare che le persone autorizzate a trattare i dati personali in virtù del presente contratto: o si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza; o ricevano la formazione necessaria in materia di protezione dei dati personali; o trattino i dati personali osservando le istruzioni impartite dal Titolare per il trattamento dei dati personali al Responsabile del trattamento;

e) adottare politiche interne e attuare misure che soddisfino i principi della protezione dei dati personali fin dalla progettazione di tali misure (privacy by design), nonché adottare misure tecniche ed organizzative adeguate per garantire che i dati personali siano trattati, in ossequio al principio di necessità ovvero che siano trattati solamente per le finalità previste e per il periodo strettamente necessario al raggiungimento delle stesse (privacy by default);

f) adottare tutte le misure tecniche ed organizzative che soddisfino i requisiti del Regolamento UE

Allegato 5 – Schema di Contratto pag. 23/27

d’impatto sulla protezione dei dati, conformemente all’articolo 35 del Regolamento UE e nella eventuale consultazione del Garante per la protezione dei dati personali, prevista dall’articolo 36 del medesimo Regolamento UE;

h) adottare le misure minime di sicurezza ICT per le PP.AA. di cui alla Circolare AgID n. 2/2017 del 18 aprile 2017;

i) ai sensi dell’art. 30 del Regolamento UE, e nei limiti di quanto esso prescrive tenere un Registro delle attività di trattamento effettuate sotto la propria responsabilità e cooperare con il Titolare e con l’Autorità Garante per la protezione dei dati personali, mettendo il predetto Registro a disposizione del Titolare e dell’Autorità, laddove ne venga fatta richiesta ai sensi dell’art. 30 comma 4 del Regolamento UE;

5. Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, il Responsabile del trattamento si impegna, su richiesta dell’Amministrazione, a fornirle un piano di misure di sicurezza rimesse all’approvazione dell’Amministrazione medesima, che saranno concordate al fine di mettere in atto misure tecniche ed organizzative idonee per garantire un livello di sicurezza adeguato al rischio e per garantire il rispetto degli obblighi di cui all’art. 32 del Regolamento UE. Tali misure comprendono tra le altre, se del caso: o la pseudonimizzazione e la cifratura dei dati personali; o la capacità di assicurare, su base permanente, la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi che trattano i dati personali; o la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati in caso di incidente fisico o tecnico; o una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. La valutazione circa l’adeguatezza del livello di sicurezza deve tenere conto, in particolare, dei rischi del trattamento derivanti da: distruzione o perdita anche accidentale, modifica, divulgazione non autorizzata, nonché accesso non autorizzato, anche accidentale o illegale, o trattamento non consentito o non conforme alle finalità del trattamento dei dati personali conservati o comunque trattati. Il Piano d’intesa tra le parti potrà essere aggiornato in corso di esecuzione contrattuale:

Tenuto conto della natura, dell’oggetto, del contesto e delle finalità del trattamento, il Responsabile del trattamento ha definito un piano di misure di sicurezza approvato dell’Amministrazione e allegato al presente contratto, al fine di mettere in atto misure tecniche ed

Allegato 5 – Schema di Contratto pag. 24/27

dandogli piena collaborazione - verifiche periodiche, ispezioni e audit circa l’adeguatezza e l’efficacia delle misure di sicurezza adottate ed il pieno e scrupoloso rispetto delle norme in materia di trattamento dei dati personali. A tal fine, il Titolare informa preventivamente il Responsabile del trattamento con un preavviso minimo di quattro giorni lavorativi. Nel caso in cui all’esito di tali verifiche periodiche, ispezioni e audit le misure di sicurezza dovessero risultare inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione del Regolamento, o risulti che il Fornitore agisca in modo difforme o contrario alle istruzioni fornite dall’Amministrazione, quest’ultima diffiderà il Fornitore ad adottare tutte le misure più opportune o a tenere una condotta conforme alle istruzioni entro un termine congruo che sarà all’occorrenza fissato. In caso di mancato adeguamento a seguito della diffida, resa anche ai sensi dell’art. 1454 cc, l’Amministrazione potrà, in ragione della gravità della condotta del Fornitore e fatta salva la possibilità di fissare un ulteriore termine per l’adempimento, risolvere il contratto ed escutere la garanzia definitiva, salvo il risarcimento del maggior danno. In alternativa alle verifiche di cui sopra, l’Amministrazione potrà richiedere al Responsabile di fornire annualmente o comunque su richiesta del Titolare una relazione sull’andamento della gestione dei dati personali e sull’applicazione delle misure di sicurezza approvate.

7. Il Responsabile del trattamento può ricorrere ad un altro Responsabile del trattamento per gestire attività di trattamento specifiche, informando, periodicamente, il Titolare del trattamento di ogni nomina e/o sostituzione. Nella comunicazione andranno specificate le attività di trattamento delegate, i dati identificativi del sub-Responsabile del trattamento e i dati del contratto di esternalizzazione. Il Responsabile del trattamento può avvalersi di ulteriori Responsabili per delegargli attività specifiche, previa autorizzazione scritta del Titolare del trattamento. Il sub-Responsabile del trattamento deve rispettare obblighi analoghi a quelli forniti dal Titolare al Responsabile Iniziale del trattamento, riportate in uno specifico contratto o atto di nomina. Spetta al Responsabile Iniziale assicurare che il sub-Responsabile del trattamento presenti garanzie sufficienti in termini di conoscenza specialistica, affidabilità e risorse, per l’adozione di misure tecniche ed organizzative appropriate di modo che il trattamento risponda ai principi e alle esigenze del Regolamento UE. In caso di violazione da parte del sub-Responsabile del trattamento degli obblighi in materia di protezione dei dati, il Responsabile Iniziale del trattamento è

Allegato 5 – Schema di Contratto pag. 25/27

inadeguate rispetto al rischio del trattamento o, comunque, inidonee ad assicurare l’applicazione del Regolamento, o risulti che il Sub responsabile/terzo autorizzato agisca in modo difforme o contrario alle istruzioni fornite dall’Amministrazione, quest’ultima diffiderà il Fornitore a far adottare al sub-Responsabile del trattamento tutte le misure più opportune o a tenere una condotta conforme alle istruzioni entro un termine congruo che sarà all’occorrenza fissato. In caso di mancato adeguamento a tale diffida, resa anche ai sensi dell’art. 1454 cc, l’Amministrazione potrà, in ragione della gravità della condotta del sub responsabile/terzo autorizzato e fatta salva la possibilità di fissare un ulteriore termine per l’adempimento, risolvere il contratto con il Responsabile iniziale ed escutere la garanzia definitiva, salvo il risarcimento del maggior danno.

Restano fermi i casi di recesso previsti nel Contratto Quadro. In alternativa alle verifiche di cui sopra, l’Amministrazione potrà richiedere al Responsabile di fornire annualmente o comunque su richiesta del Titolare una relazione sull’andamento della gestione dei dati personali e sull’applicazione delle misure di sicurezza approvate da parte del subResponsabile/terzo autorizzato.

8. Il Responsabile del trattamento manleverà e terrà indenne il Titolare da ogni perdita, contestazione, responsabilità, spese sostenute nonché dei costi subiti (anche in termini di danno reputazionale) in relazione anche ad una sola violazione della normativa in materia di Trattamento dei Dati Personali e/o del Contratto (inclusi gli Allegati) derivata dalla condotta (attiva e/o omissiva) sua e/o dei suoi agenti e/o sub appaltatori e/o sub-contraenti.

9. l Fornitore Responsabile del trattamento deve assistere il Titolare del trattamento al fine di dare seguito alle richieste per l’esercizio dei diritti degli interessati; qualora gli interessati esercitino tale diritto presso Il Responsabile del trattamento, quest’ultimo è tenuto ad inoltrare tempestivamente, e comunque nel più breve tempo possibile, le istanze al Titolare del Trattamento, supportando quest’ultimo al fine di fornire adeguato riscontro agli interessati nei termini prescritti.

10. l Fornitore Responsabile del trattamento informa tempestivamente e, in ogni caso senza ingiustificato ritardo dall’avvenuta conoscenza, il Titolare di ogni violazione di dati personali (cd.

data breach); tale notifica è accompagnata da ogni documentazione utile, ai sensi degli artt. 33 e 34 del Regolamento UE, per permettere al Titolare del trattamento, ove ritenuto necessario, di

Allegato 5 – Schema di Contratto pag. 26/27

ritardo il Titolare in caso di ispezioni, di richiesta di informazioni e di documentazione da parte dell’Autorità Garante per la protezione dei dati personali; inoltre, deve assistere il Titolare nel caso di richieste formulate dall’Autorità Garante in merito al trattamento dei dati personali effettuate in ragione del presente contratto.

12. Il Fornitore Responsabile del trattamento deve comunicare al Titolare del trattamento il nome ed i dati del proprio “Responsabile della protezione dei dati”, qualora, in ragione dell’attività svolta, ne abbia designato uno conformemente all’articolo 37 del Regolamento UE; il Responsabile della protezione dei dati personali del Fornitore/Responsabile collabora e si tiene in costante contatto con il Responsabile della protezione dei dati del Titolare.

13. Al termine della prestazione dei servizi oggetto del contratto, Il Responsabile su richiesta del Titolare, si impegna a: i) restituire al Titolare del trattamento i supporti rimovibili eventualmente utilizzati su cui sono memorizzati i dati; ii) distruggere tutte le informazioni registrate su supporto fisso, documentando per iscritto l’adempimento di tale operazione.

14. Il Fornitore si impegna a individuare e a designare per iscritto gli amministratori di sistema mettendo a disposizione dell’Amministrazione l’elenco aggiornato delle nomine.

15. Il Responsabile del trattamento si impegna ad operare adottando tutte le misure tecniche e organizzative, le attività di formazione, informazione e aggiornamento ragionevolmente necessarie per garantire che i Dati Personali trattati in esecuzione del presente contratto, siano precisi, corretti e aggiornati nel corso della durata del trattamento - anche qualora il trattamento consista nella mera custodia o attività di controllo dei dati - eseguito dal Responsabile, o da un sub-Responsabile.

15. Il Responsabile del trattamento si impegna ad operare adottando tutte le misure tecniche e organizzative, le attività di formazione, informazione e aggiornamento ragionevolmente necessarie per garantire che i Dati Personali trattati in esecuzione del presente contratto, siano precisi, corretti e aggiornati nel corso della durata del trattamento - anche qualora il trattamento consista nella mera custodia o attività di controllo dei dati - eseguito dal Responsabile, o da un sub-Responsabile.