                               Art. 9 
 
      Disposizioni in materia di trattamento dei dati personali 
 
  1. I dati personali di cui all'art. 8 sono trattati  esclusivamente
per le finalita' inerenti la  raccolta  delle  firme  degli  elettori
necessarie per i referendum previsti dagli articoli 75  e  138  della
Costituzione nonche' per i progetti di legge previsti  dall'art.  71,
secondo comma, della Costituzione. 
  2. Il gestore della piattaforma e' responsabile del trattamento dei
dati raccolti attraverso la piattaforma e, in generale, di ogni altro
dato  inerente  alla   gestione   di   ogni   attivita'   strumentale
all'utilizzo della stessa piattaforma. 
  3. I soggetti di cui all'art. 4, comma 3, lettera a) e b), trattano
i dati di cui all'art. 8, comma 1, lettera a),  b),  c),  d)  ed  e),
quali titolari autonomi del trattamento ai sensi della legge  n.  352
del 1970 e del presente decreto. 
  4. Al fine di assicurare ai soggetti di cui all'art.  4,  comma  3,
lettere a), b) c), l'accesso previsto dall'art. 6, il  gestore  della
piattaforma conserva le firme raccolte elettronicamente,  comprensive
delle informazioni e delle evidenze informatiche di cui  all'art.  5,
commi 1, 2, 3 e 4, per il tempo previsto dallo stesso art. 6. 
  5.  Il  gestore  implementa  misure  di  sicurezza  appropriate   e
specifiche per tutelare i diritti fondamentali e gli interessi  delle
persone fisiche. 
  6. I soggetti di  cui  all'art.  4,  comma  3,  lettera  a)  e  b),
effettuano,  prima  dell'inizio  dell'attivita'  di  trattamento,  la
valutazione d'impatto ai sensi dell'art. 35, paragrafo 10, del GDPR e
consultano il Garante per la protezione dei dati personali  nei  casi
di cui  all'art.  36  del  GDPR.  Nella  valutazione  d'impatto  sono
indicate, tra l'altro, le misure tecniche e  organizzative  idonee  a
garantire un livello di sicurezza adeguato  al  rischio,  nonche'  le
eventuali misure poste a tutela dei diritti e  delle  liberta'  degli
interessati. 
  7. Il gestore  garantisce,  mediante  una  specifica  funzionalita'
descritta nel manuale operativo  di  cui  all'art.  3,  comma  3,  la
conoscenza  da  parte  dei  titolari  del  trattamento,  in   maniera
tempestiva, delle violazioni di sicurezza o di qualsiasi minaccia che
comporti un rischio per la sicurezza e per i diritti  e  le  liberta'
degli interessati al trattamento.