Art. 9 Disposizioni in materia di trattamento dei dati personali 1. I dati personali di cui all'art. 8 sono trattati esclusivamente per le finalita' inerenti la raccolta delle firme degli elettori necessarie per i referendum previsti dagli articoli 75 e 138 della Costituzione nonche' per i progetti di legge previsti dall'art. 71, secondo comma, della Costituzione. 2. Il gestore della piattaforma e' responsabile del trattamento dei dati raccolti attraverso la piattaforma e, in generale, di ogni altro dato inerente alla gestione di ogni attivita' strumentale all'utilizzo della stessa piattaforma. 3. I soggetti di cui all'art. 4, comma 3, lettera a) e b), trattano i dati di cui all'art. 8, comma 1, lettera a), b), c), d) ed e), quali titolari autonomi del trattamento ai sensi della legge n. 352 del 1970 e del presente decreto. 4. Al fine di assicurare ai soggetti di cui all'art. 4, comma 3, lettere a), b) c), l'accesso previsto dall'art. 6, il gestore della piattaforma conserva le firme raccolte elettronicamente, comprensive delle informazioni e delle evidenze informatiche di cui all'art. 5, commi 1, 2, 3 e 4, per il tempo previsto dallo stesso art. 6. 5. Il gestore implementa misure di sicurezza appropriate e specifiche per tutelare i diritti fondamentali e gli interessi delle persone fisiche. 6. I soggetti di cui all'art. 4, comma 3, lettera a) e b), effettuano, prima dell'inizio dell'attivita' di trattamento, la valutazione d'impatto ai sensi dell'art. 35, paragrafo 10, del GDPR e consultano il Garante per la protezione dei dati personali nei casi di cui all'art. 36 del GDPR. Nella valutazione d'impatto sono indicate, tra l'altro, le misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio, nonche' le eventuali misure poste a tutela dei diritti e delle liberta' degli interessati. 7. Il gestore garantisce, mediante una specifica funzionalita' descritta nel manuale operativo di cui all'art. 3, comma 3, la conoscenza da parte dei titolari del trattamento, in maniera tempestiva, delle violazioni di sicurezza o di qualsiasi minaccia che comporti un rischio per la sicurezza e per i diritti e le liberta' degli interessati al trattamento.