Art. 11
Disposizioni in materia
di trattamento dei dati personali
1. I dati personali di cui all'art. 10 sono trattati esclusivamente
per le finalita' inerenti alla creazione, alla gestione e
all'utilizzo delle deleghe.
2. Il Dipartimento per la trasformazione digitale della Presidenza
del Consiglio dei ministri e' titolare dei dati utilizzati per
l'accesso al SGD da parte dei delegati e dei deleganti, dei dati
necessari per l'adesione al SGD da parte dei Service provider, e ogni
altro dato inerente alla gestione di ogni attivita' strumentale
all'utilizzo dello stesso SGD, ivi inclusi i dati relativi alla
salute dei soggetti rappresentati da tutori, curatori e
amministratori di sostegno.
3. Il gestore, ai sensi dell'art. 28 del regolamento UE 2016/679,
agisce per conto del titolare in qualita' di responsabile del
trattamento dei dati utilizzati per l'accesso al SGD da parte dei
delegati e dei deleganti, dei dati necessari per l'adesione al SGD da
parte dei Service provider, e ogni altro dato inerente alla gestione
di ogni attivita' strumentale all'utilizzo dello stesso SGD, ivi
inclusi i dati relativi alla salute dei soggetti rappresentati da
tutori, curatori e amministratori di sostegno. Il gestore garantisce,
altresi', la protezione della riservatezza delle informazioni in
transito da e verso il portale.
4. I soggetti di cui all'art. 2, comma 2, del CAD, nelle ipotesi
previste dall'art. 6, comma 2, lettera b), e comma 17, lettera a), e
dall'art. 12, comma 1, lettera l), agiscono per conto del titolare in
qualita' di responsabile del trattamento ai sensi dell'art. 28 del
regolamento UE 2016/679.
5. I Service provider, con riferimento a dati acquisiti dal SGD ai
sensi dell'art. 7, comma 3, agiscono come titolari del trattamento.
6. Al fine di assicurare a deleganti e delegati l'accessibilita'
alle deleghe e alla documentazione agli stessi riferibili, il
titolare del trattamento, avvalendosi del gestore della piattaforma,
e, nelle ipotesi di cui all'art. 6, comma 2, lettera b), e comma 17,
lettera a), i soggetti di cui all'art. 2, comma 2, del CAD,
conservano i dati relativi per il tempo previsto dall'art. 9.
7. Al fine di garantire il corretto utilizzo delle deleghe
digitali, il gestore e i Service provider che aderiscono al SGD
conservano l'evidenza dell'utilizzo di tali deleghe per il periodo
previsto dall'art. 14, comma 1, lettera c).
8. Il titolare del trattamento, avvalendosi del gestore della
piattaforma, implementa misure di sicurezza appropriate e specifiche
per tutelare i diritti fondamentali e gli interessi delle persone
fisiche.
9. Il titolare del trattamento effettua, prima dell'inizio
dell'attivita' di trattamento, la valutazione d'impatto ai sensi
dell'art. 35 del regolamento (UE) 679/2016 e consulta il Garante per
la protezione dei dati personali ai sensi dell'art. 36 dello stesso
regolamento. Nella valutazione d'impatto sono indicate, tra l'altro,
le misure tecniche e organizzative idonee a garantire un livello di
sicurezza adeguato al rischio, nonche' le eventuali misure poste a
tutela dei diritti e delle liberta' degli interessati.
10. Il titolare del trattamento, avvalendosi del gestore della
piattaforma, previa aggregazione, puo' utilizzare i dati acquisiti
per finalita' di miglioramento del servizio erogato, nonche' per lo
sviluppo del SGD.
11. Il gestore garantisce, con una specifica modalita' descritta
nel manuale operativo di cui all'art. 3, comma 3, la conoscenza da
parte del titolare del trattamento e dei Service provider, in maniera
tempestiva, delle violazioni di sicurezza o di qualsiasi minaccia che
comporti un rischio per la sicurezza e per i diritti e le liberta'
degli interessati al trattamento.