Art. 10
Trattamento dei dati personali
1. Il MIBACT assicura il trattamento dei dati personali ai sensi
della normativa vigente, limitandolo alla sola realizzazione dei
compiti attinenti all'attribuzione e all'utilizzo della Carta
elettronica prevista dall'articolo 1, comma 604, della legge 30
dicembre 2018, n. 145. SOGEI e CONSAP sono Responsabili del
trattamento dei dati personali cui il MIBACT, in qualita' di Titolare
del trattamento, ricorre. A tal fine, il MIBACT provvede alla stipula
del contratto o atto giuridico previsto dall'articolo 28 del
Regolamento (UE) 2016/679 e disciplina, sentito il Garante per la
protezione dei dati personali, le modalita' e i tempi della gestione
e conservazione dei dati personali, nonche' gli obblighi e le
responsabilita' reciproche fra il Titolare e i Responsabili del
trattamento.
Note all'art. 10:
- Per l'art. 1, comma 604, della legge 30 dicembre
2018, n. 145, si vedano le note precedenti.
- Il testo dell'art. 28 del regolamento (UE) n.
2016/679, e' il seguente:
«Art. 28 (Responsabile del trattamento). - 1. Qualora
un trattamento debba essere effettuato per conto del
titolare del trattamento, quest'ultimo ricorre unicamente a
responsabili del trattamento che presentino garanzie
sufficienti per mettere in atto misure tecniche e
organizzative adeguate in modo tale che il trattamento
soddisfi i requisiti del presente regolamento e garantisca
la tutela dei diritti dell'interessato.
2. Il responsabile del trattamento non ricorre a un
altro responsabile senza previa autorizzazione scritta,
specifica o generale, del titolare del trattamento. Nel
caso di autorizzazione scritta generale, il responsabile
del trattamento informa il titolare del trattamento di
eventuali modifiche previste riguardanti l'aggiunta o la
sostituzione di altri responsabili del trattamento, dando
cosi' al titolare del trattamento l'opportunita' di opporsi
a tali modifiche.
3. I trattamenti da parte di un responsabile del
trattamento sono disciplinati da un contratto o da altro
atto giuridico a norma del diritto dell'Unione o degli
Stati membri, che vincoli il responsabile del trattamento
al titolare del trattamento e che stipuli la materia
disciplinata e la durata del trattamento, la natura e la
finalita' del trattamento, il tipo di dati personali e le
categorie di interessati, gli obblighi e i diritti del
titolare del trattamento. Il contratto o altro atto
giuridico prevede, in particolare, che il responsabile del
trattamento:
a) tratti i dati personali soltanto su istruzione
documentata del titolare del trattamento, anche in caso di
trasferimento di dati personali verso un Paese terzo o
un'organizzazione internazionale, salvo che lo richieda il
diritto dell'Unione o nazionale cui e' soggetto il
responsabile del trattamento; in tal caso, il responsabile
del trattamento informa il titolare del trattamento circa
tale obbligo giuridico prima del trattamento, a meno che il
diritto vieti tale informazione per rilevanti motivi di
interesse pubblico;
b) garantisca che le persone autorizzate al
trattamento dei dati personali si siano impegnate alla
riservatezza o abbiano un adeguato obbligo legale di
riservatezza;
c) adotti tutte le misure richieste ai sensi
dell'art. 32;
d) rispetti le condizioni di cui ai paragrafi 2 e 4
per ricorrere a un altro responsabile del trattamento;
e) tenendo conto della natura del trattamento,
assista il titolare del trattamento con misure tecniche e
organizzative adeguate, nella misura in cui cio' sia
possibile, al fine di soddisfare l'obbligo del titolare del
trattamento di dare seguito alle richieste per l'esercizio
dei diritti dell'interessato di cui al capo III;
f) assista il titolare del trattamento nel
garantire il rispetto degli obblighi di cui agli articoli
da 32 a 36, tenendo conto della natura del trattamento e
delle informazioni a disposizione del responsabile del
trattamento;
g) su scelta del titolare del trattamento, cancelli
o gli restituisca tutti i dati personali dopo che e'
terminata la prestazione dei servizi relativi al
trattamento e cancelli le copie esistenti, salvo che il
diritto dell'Unione o degli Stati membri preveda la
conservazione dei dati; e
h) metta a disposizione del titolare del
trattamento tutte le informazioni necessarie per dimostrare
il rispetto degli obblighi di cui al presente articolo e
consenta e contribuisca alle attivita' di revisione,
comprese le ispezioni, realizzati dal titolare del
trattamento o da un altro soggetto da questi incaricato.
Con riguardo alla lettera h) del primo comma, il
responsabile del trattamento informa immediatamente il
titolare del trattamento qualora, a suo parere,
un'istruzione violi il presente regolamento o altre
disposizioni, nazionali o dell'Unione, relative alla
protezione dei dati.
4. Quando un responsabile del trattamento ricorre a
un altro responsabile del trattamento per l'esecuzione di
specifiche attivita' di trattamento per conto del titolare
del trattamento, su tale altro responsabile del trattamento
sono imposti, mediante un contratto o un altro atto
giuridico a norma del diritto dell'Unione o degli Stati
membri, gli stessi obblighi in materia di protezione dei
dati contenuti nel contratto o in altro atto giuridico tra
il titolare del trattamento e il responsabile del
trattamento di cui al paragrafo 3, prevedendo in
particolare garanzie sufficienti per mettere in atto misure
tecniche e organizzative adeguate in modo tale che il
trattamento soddisfi i requisiti del presente regolamento.
Qualora l'altro responsabile del trattamento ometta di
adempiere ai propri obblighi in materia di protezione dei
dati, il responsabile iniziale conserva nei confronti del
titolare del trattamento l'intera responsabilita'
dell'adempimento degli obblighi dell'altro responsabile.
5. L'adesione da parte del responsabile del
trattamento a un codice di condotta approvato di cui
all'art. 40 o a un meccanismo di certificazione approvato
di cui all'art. 42 puo' essere utilizzata come elemento per
dimostrare le garanzie sufficienti di cui ai paragrafi 1 e
4 del presente articolo.
6. Fatto salvo un contratto individuale tra il
titolare del trattamento e il responsabile del trattamento,
il contratto o altro atto giuridico di cui ai paragrafi 3 e
4 del presente articolo puo' basarsi, in tutto o in parte,
su clausole contrattuali tipo di cui ai paragrafi 7 e 8 del
presente articolo, anche laddove siano parte di una
certificazione concessa al titolare del trattamento o al
responsabile del trattamento ai sensi degli articoli 42 e
43.
7. La Commissione puo' stabilire clausole
contrattuali tipo per le materie di cui ai paragrafi 3 e 4
del presente articolo e secondo la procedura d'esame di cui
all'art. 93, paragrafo 2.
8. Un'autorita' di controllo puo' adottare clausole
contrattuali tipo per le materie di cui ai paragrafi 3 e 4
del presente articolo in conformita' del meccanismo di
coerenza di cui all'art. 63.
9. Il contratto o altro atto giuridico di cui ai
paragrafi 3 e 4 e' stipulato in forma scritta, anche in
formato elettronico.
10. Fatti salvi gli articoli 82, 83 e 84, se un
responsabile del trattamento viola il presente regolamento,
determinando le finalita' e i mezzi del trattamento, e'
considerato un titolare del trattamento in questione.».