Fatturazione elettronica ciclo passivo PA e conservazione sostitutiva fatture e registro giornaliero di protocollo – CONSIGLIO NAZIONALE DOTT COMM E ESP CON – Nota 18 ottobre 2019, n. 88

CONSIGLIO NAZIONALE DOTT COMM E ESP CON – Nota 18 ottobre 2019, n. 88

Fatturazione elettronica ciclo passivo PA e conservazione sostitutiva fatture e registro giornaliero di protocollo

Caro Presidente,

Ti comunico che il Consiglio Nazionale ha deliberato di implementare la piattaforma informatica HUB B2B per la gestione del ciclo passivo per gli Ordini territoriali.

La piattaforma è già in uso per la gestione delle fatture elettroniche da parte del commercialista e dei propri clienti verso e da qualunque tipo di soggetto, sia esso B2B, B2C o Pubblica Amministrazione.

La nuova funzionalità consentirà anche agli Ordini territoriali di utilizzare la piattaforma informatica HUB B2B per la ricezione e la gestione delle fatture passive. Il Consiglio Nazionale fornirà a ciascun Ordine un plafond complessivo (per l’intero periodo) di 4000 fatture attive e passive con conservazione a norma decennale per le prime 4000 fatture intermediate. Il servizio prevede anche la conservazione a norma dei registri giornalieri di protocollo.

Il servizio andrà a sostituire quello attualmente reso per conto del Consiglio Nazionale dalle Società Bluenext e ITWorking i cui contratti sono scaduti senza possibilità di ulteriori proroghe. Il nuovo servizio avrà durata fino al 14.12.2023.

Il servizio di Unimatica garantisce l’accesso al portale per la visualizzazione delle fatture gestite per 10 anni dal versamento.

In considerazione di quanto sopra, l’Ordine potrà decidere se attivare il servizio fornito dal Consiglio Nazionale attraverso Unimatica o se proseguire a proprie spese il servizio con le Società Bluenext e ITWorking o con altro fornitore.

Nel primo caso l’Ordine dovrà, seguendo la sequenza indicata:

1) attivare il servizio attraverso la compilazione dell’apposito modulo di censimento clienti che Unimatica invierà via PEC ad ogni singolo Ordine entro il 25 ottobre 2019. L’Assistenza di Unimatica sarà a disposizione per un eventuale supporto ai seguenti riferimenti: numero di telefono: 051.41.95.195 – Lun/Ven dalle ore 09:00 alle 13:00 e dalle 14:00 alle 18:00; compilare il modulo di Delega al servizio di Conservazione, sottoscriverlo e ricaricarlo nell’opportuna sezione del portale Unimatica {All. n. 1),

2) inviare entro il 31 ottobre 2019 alle Società Bluenext e ITWorking la scheda di disdetta a far data dal 1° dicembre 2019 del servizio di conservazione a norma (si allega il relativo modulo All. n. 2), chiedendo alle Società Bluenext e ITWorking di versare al sistema di conservazione Unimatica i pacchetti di archiviazione e gli indici strutturati secondo lo standard UNI 11386:20101 e di non cancellare i dati conservati di proprietà dell’Ordine sino al completamento del processo di migrazione e senza preventiva autorizzazione alla cancellazione definitiva dei dati da parte del titolare;

3) autorizzare Unimatica ad accettare il versamento: attraverso il servizio di Assistenza di Unimatica (cndcec-tr@unimaticaspa.it) l’Ordine dovrà richiedere l’attivazione del servizio di importazione del pregresso al costo riservato di € 70 di start up e € 0,032 per ogni documento versato (anche in questo caso il servizio di Unimatica garantisce l’accesso al portale per la visualizzazione delle fatture gestite per 10 anni dal nuovo versamento);

4) in aggiunta, come ipotesi facoltativa e non necessaria quindi alla migrazione dei dati conservati, richiedere alle Società Bluenext e ITWorking la produzione e la consegna su DVD dei dati trasmessi nell’ambito del servizio di conservazione sostitutiva (opzionare all’interno del modulo All. n. 2). L’attuale contratto con il Consiglio Nazionale non prevede alcun costo a carico del Consiglio stesso o degli Ordini per la consegna di supporti informatici contenenti i dati trasmessi in conservazione;

5) modificare e configurare sul portale IPA (Indice Pubblica Amministrazione) il nuovo canale di trasmissione scelto dall’Ente (URI) per ricevere dallo SdI le fatture elettroniche, PEC, SPCOOP, SDIFTP. I dettagli sono riportati nel documento “Specifiche tecniche operative delle regole tecniche di cui all’allegato B al D.M. n. 55 del 3 aprile 2013” (All. n. 3),

6) modificare i parametri di interfaccia delle fatture XML con il software di contabilità in uso presso l’Ordine che attualmente consente l’automazione dell’import. Il servizio di Assistenza di Unimatica è a disposizione per fornire le informazioni necessarie e per supportare il personale dell’Ordine nell’integrazione del portale delle fatture con il proprio gestionale.

In ogni caso il Consiglio Nazionale sarà a disposizione per fornire ogni ulteriore chiarimento si dovesse rendere necessario.

Allegato 1

Incarico a Unimatica Spa al ruolo di Intermediario Accreditato SDI, la firma digitale e per la Conservazione Digitale a Norma di Fatture e altri documenti informatici

L’Ordine: ________________________ (nel seguito: Utente)

________________________

Indirizzo: ________________________

PEC: ________________________

Codice Fiscale: ________________________

Partita IVA: ________________________

Rappresentato da: ________________________

INCARICA

La Società: Unimatica Spa (nel seguito: Unimatica)

Sede legale: Via C. Colombo 21, 40131 Bologna

Codice Fiscale: 02098391200

Partita IVA: 02098391200

Numero REA: BO-413696

Pec: fatturaelettronica@pec.unimaticaspa.it

Legale rappresentante: Silvano Ghedini, Amministratore Delegato,

a espletare il servizio di fatturazione elettronica, firma digitale, archiviazione e conservazione a norma dei propri documenti informatici, tra cui le fatture elettroniche attive e passive, anche nel formato Fattura alla Pubblica Amministrazione ed altri documenti di carattere amministrativo, fiscale e tributario, quali: scritture contabili, libri, registri, ecc., utilizzando il sistema UNISTORAGE, affidando così a Unimatica stessa il ruolo di “Responsabile del servizio di conservazione” e, pertanto,

INCARICA

la società Unimatica

ad apporre la firma digitale ai documenti di carattere fiscale dell’Utente, fermo restando che l’Utente è e resta, in ogni caso, l’unico ed esclusivo responsabile dei contenuti dei documenti inviati ad Unimatica per la firma e la conservazione sostitutiva a norma.

DELEGA

Silvano Ghedini,

CF = GHD SVN 55C07 B880J,

in qualità di legale rappresentante di Unimatica, al ruolo di

RESPONSABILE DEL SERVIZIO DI CONSERVAZIONE

e quindi a svolgere le seguenti attività:

– definire le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia dei documenti da conservare, della quale tiene evidenza, in conformit à ̀ alla normativa vigente;

– gestire il processo di conservazione e ne garantisce nel tempo la conformità ̀ alla normativa vigente;

– generare il rapporto di versamento, secondo le modalità ̀ previste dal manuale di conservazione;

– generare e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti dal manuale di conservazione;

– efettuare il monitoraggio della corretta funzionalit del sistema à̀ di conservazione;

– assicurare la verifica periodica, con cadenza non superiore ai cinque anni, dell’integrità ̀ degli archivi e della leggibilità̀ degli stessi;

– al fine di garantire la conservazione e l’accesso ai documenti informatici, adottare misure per rilevare tempestivamente l’eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, per ripristinare la corretta funzionalità;̀ adottare analoghe misure con riguardo all’obsolescenza dei formati;

– provvedere alla duplicazione o copia dei documenti informatici in relazione all’evolversi del contesto tecnologico, secondo quanto previsto dal manuale di conservazione;

– adottare le misure necessarie per la sicurezza fisica e logica del sistema di conservazione ai sensi dell’art. 12 del DPCM 3 dicembre 2013 Regole tecniche in materia di sistema di conservazione;

– assicurare la presenza di un pubblico ufficiale, nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l’assistenza e le risorse necessarie per l’espletamento delle attività ̀ al medesimo attribuite;

– assicurare agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività ̀ di verifica e di vigilanza;

– predisporre il manuale di conservazione di cui all’art. 8 del DPCM 3 dicembre 2013 Regole tecniche in materia di conservazione e ne cura l’aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti.

Riservandosi le seguenti attività:

–  controllo e vigilanza sull’attività della Unimatica S.P.A. in relazione alla presente delega ed a quanto stabilito dal Contratto di servizio;

– determinazione delle politiche generali di conservazione dei documenti;

– determinazione dei requisiti generali del sistema di conservazione;

– determinazione dei livelli minimi di servizio;

– determinazione delle politiche di accesso ai documenti, eventualmente anche via web;

– determinazione dei requisiti archivistici del sistema di conservazione,

– determinazione di un Piano di cessazione a tutela del cliente, reso disponibile qualora venga richiesto.

Il legale rappresentante di Unimatica, Silvano Ghedini, accettando il presente incarico con delega, si impegna a osservare quanto previsto dal DPCM 3 dicembre 2013 – Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5-bis, 23-ter, comma 4, 43, commi 1 e 3, 44, 44-bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005.

Questo incarico per conservazione a norma avrà la medesima validità ed efficacia della durata della conservazione legale dei documenti, stabilita dalla normativa.

I documenti oggetto del servizio sono: Messaggi di Posta Elettronica Certificata, Fattura elettronica attiva alla Pubblica Amministrazione, Fatture attive e passive, Libri, Registri e scritture contabili, Ricevute, F24, Dichiarazioni e altri documenti fiscali, Registri di Protocollo, altri documenti di carattere amministrativo, fiscale e tributario etc.

Ai sensi dell’art. 28 del Regolamento UE n. 679 del 27 aprile 2016, l’Utente

NOMINA Unimatica S.p.A. RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

per il trattamento dei dati personali di cui è Titolare l’Utente e di cui il Responsabile può venire a conoscenza nell’esercizio delle attività espletate per conto del Titolare relativamente al servizio digitale/ai servizi digitali che formano oggetto contrattuale così come specificatamente indicato nel contratto/ordine che si richiama espressamente e del quale la presente forma parte integrante e sostanziale.

In specifico, il Titolare potrebbe consegnare al Responsabile i seguenti documenti: Fatture e altri documenti informatici.

— Durata del trattamento. La durata del trattamento è stabilita dal contratto/ordine sussistente tra le parti ed in particolare per tutta la durata della conservazione legale dei documenti, stabilita dalla normativa di riferimento, o di quanto diversamente stabilito nel contratto per il servizio.

— Natura e finalità del trattamento. Il trattamento dei dati personali è efettuato esclusivamente per la corretta esecuzione delle attività concordate tra le Parti.

— Categorie di dati personali trattati. Il Responsabile del trattamento per espletare le attività pattuite tra le Parti per conto del Titolare (l’Utente) potrebbe trattare direttamente o anche solo indirettamente una o più delle seguenti categorie di dati:

– dati personali,

– dati rientranti nelle categorie “particolari” di dati personali,

– dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza di cui è Titolare l’Utente.

Per i dettagli, si rinvia a quanto pattuito nel contratto/ordine.

Categorie di interessati cui si riferiscono i dati trattati. I dati trattati dal Responsabile si riferiscono potenzialmente a diverse seguenti categorie di interessati, quali a titolo esemplificativo, ma non esaustivo: clienti, dipendenti, utenti, fornitori, richiedenti impiego, soci, etc.

I dati suddetti formano oggetto di trasferimento dal Titolare al Responsabile del trattamento unicamente per consentire a Unimatica S.p.A. di espletare le attività scaturenti da contratto mediante modalità telematica.

Compiti e istruzioni per il Responsabile. Il Responsabile ha il potere ed il dovere di trattare i dati personale indicati sotto nel rispetto della normativa vigente, attenendosi sia alle istruzioni di seguito fornite, sia a quelle che verranno rese note dal Titolare mediante procedure e/o comunicazioni specifiche.

Il Responsabile dichiara espressamente di comprendere ed accettare le istruzioni di seguito rappresentate e si obbliga a porre in essere, nell’ambito dei compiti contrattualmente affidati, tutti gli adempimenti prescritti dalla normativa di riferimento in materia di tutela dei dati personali al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e di trattamento non consentito o non conforme alla raccolta.

Modalità di trattamento e requisiti dei dati personali. Il Responsabile si impegna a:

– trattare direttamente, o per il tramite dei propri dipendenti, collaboratori esterni, consulenti, etc. – designati incaricati del trattamento – i dati personali del Titolare, per le sole finalità connesse allo svolgimento delle attività previste dal Contratto, in modo lecito e secondo correttezza, nonché nel pieno rispetto delle disposizioni impartite dal GDPR, nonché, infine, dalle presenti istruzioni;

– non divulgare o rendere noti a terzi – per alcuna ragione ed in alcun momento, presente o futuro ed anche una volta cessati i trattamenti oggetto del Contratto – i dati personali ricevuti dal Titolare o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, se non previamente autorizzato per iscritto dal Titolare, fatti salvi eventuali obblighi di legge o ordini dell’Autorità Giudiziaria e/o di competenti Autorità amministrative;

– collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;

– dare immediato avviso al Titolare in caso di nuovi trattamenti e/o della cessazione di quelli concordati;

– non creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;

–  in caso di ricezione di richieste specifiche avanzate dall’Autorità Nazionale per la protezione dei dati personali o altre autorità, coadiuvare il Titolare per quanto di sua competenza;

– segnalare eventuali criticità al Titolare che possono mettere a repentaglio la sicurezza dei dati, al fine di consentire idonei interventi da parte dello stesso;

– coadiuvare, su richiesta, il Titolare ed i soggetti da questo indicati nella redazione della documentazione necessaria per adempiere alla normativa di settore, con riferimento ai trattamenti di dati efettuati dal Responsabile in esecuzione delle attività assegnate.

— Istruzioni specifiche per il trattamento dati particolari e/o relativi a condanne penali e reati. Il Responsabile deve:

– verificare la corretta osservanza delle misure previste dal Titolare in materia di archiviazione, potendo derivare gravi conseguenze da accessi non autorizzati alle informazioni oggetto di trattamento;

– prestare particolare attenzione al trattamento dei dati personali rientranti nelle categorie particolari e/o relative a condanne penali o reati degli interessati conosciuti, anche incidentalmente, in esecuzione dell’incarico affidato, procedendo alla loro raccolta e archiviazione solo ove ciò si renda necessario per lo svolgimento delle attività di competenza e istruendo in tal senso le persone autorizzate che operano all’interno della propria struttura;

– conservare la documentazione contenente dati particolari e/o relativi a condanne penali e reati adottando misure idonee al fine di evitare accessi non autorizzati ai dati, distruzione, perdita e/o qualunque violazione di dati personali;

– vigilare affinché i dati personali degli interessati vengano comunicati solo a quei soggetti preventivamente autorizzati dal Titolare (ad esempio a propri fornitori e/o subfornitori) che presentino garanzie sufficienti secondo le procedure di autorizzazione disposte e comunicate dal Titolare. Sono altresì consentite le comunicazioni richieste per legge nei confronti di soggetti pubblici;

– sottoporre preventivamente al Titolare, per una sua formale approvazione, le richieste di dati da parte di soggetti esterni;

– non difondere i dati personali, particolari e/o relativi a condanne penali e reati degli interessati;

– segnalare eventuali criticità nella gestione della documentazione contenente dati personali, particolari e/o relativi a condanne penali e reati al fine di consentire idonei interventi da parte del Titolare.

— Accesso ai dati personali. In linea di principio, i compiti affidati al Responsabile dovranno essere svolti senza che vi  sia accesso e conoscenza ai dati personali contenuti nei documenti informatici e cartacei; in ogni caso, se da parte del Responsabile risulterà indispensabile accedere ai dati personali, l’accesso dovrà avvenire esclusivamente per accertate  e documentate esigenze di operatività e gestione di sistema, e solo nei casi in cui le medesime finalità non possano venire perseguite senza che via sia accesso o conoscenza dei dati personali, e comunque per finalità coincidenti o compatibili con quelli evidenziate in precedenza.

— Sicurezza dei dati personali. Il Responsabile è tenuto, ai sensi dell’art. 32 del GDPR, ad adottare le necessarie misure di sicurezza in modo tale da ridurre al minimo i rischi di distruzione accidentale o illegale, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non consentito ai dati personali trasmessi, conservati o comunque trattati, o il trattamento non conforme alle finalità della raccolta. Il Responsabile, su richiesta, fornirà al Titolare l’elenco delle adeguate misure di sicurezza adottate.

— Sicurezza e Amministrazione del Sistema (ADS). Il Responsabile, su richiesta, fornirà al Titolare la lista nominativa degli ADS, con questi intendendo le persone fisiche che svolgono per conto del Responsabile ed in esecuzione dei compiti concordati ed affidati dal Titolare, attività di gestione e manutenzione di impianti di elaborazione con cui vengono efettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i software complessi che trattano dati del Titolare, le reti locali e gli apparati di sicurezza di quest’ultimo, o comunque che possano intervenire sulle misure di sicurezza a presidio dei medesimi dati. Con riferimento ai soggetti individuati, il Responsabile deve comunicare rispetto ad ognuno i compiti e le operazioni svolte.

— Data Breach. Il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo dall’avvenuta conoscenza, e comunque entro 24 ore dalla scoperta con comunicazione da inviarsi da inviarsi all’indirizzo PEC del titolare, (salvo diversa email da indicare all’indirizzo email dpo@unimaticaspa.it) ogni violazione dei dati personali (data breach) fornendo, altresì:

– la descrizione della natura della violazione e l’indicazione delle categorie dei dati personali e il numero approssimativo di interessati coinvolti;

– comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

– la descrizione delle probabili conseguenze;

– la descrizione delle misure adottate o di cui dispone per porre rimedio alla violazione o, quantomeno, per attenuarne i possibili efetti negativi.

Fermo quanto sopra previsto, il Responsabile si impegna a prestare ogni più ampia assistenza al Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 32 – 34 del GDPR.

Una volta definite le ragioni della violazione, il Responsabile di concerto con il Titolare e/o altro soggetto da quest’ultimo indicato, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi, al riguardo anche avvalendosi dell’operato di subfornitori.

È fatto obbligo di mantenere l’assoluto riserbo sulle violazioni intercorse. Al riguardo tali notizie non dovranno essere in alcun modo difuse in qualunque forma, anche mediante la loro messa a disposizione o consultazione. La  comunicazione della violazione è ammessa solo tra il Titolare e/o altro soggetto da questo indicati e il Responsabile, fatte salve quelle comunicazioni richieste dalla legge o da autorità pubbliche.

— Valutazione di impatto e consultazione preventiva.Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si

impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile del trattamento, ivi incluse le informazioni relative agli eventuali trattamenti efettuati dai Sub – Responsabili.

— Cessazione del trattamento.Una volta cessati i trattamenti oggetto del Contratto, salvo rinnovo, il Responsabile si impegna a restituire al Titolare i dati personali acquisiti o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, cancellandoli nel contempo dai propri archivi oppure distruggendoli, ad eccezione dei casi in cui i dati debbano essere conservati in virtù di obblighi di legge.

Resta inteso che la dimostrazione delle ragioni che giustificano il protrarsi degli obblighi di conservazione è a carico del Titolare e che le uniche finalità perseguibili con tali dati sono esclusivamente circoscritte a rispondere a tali adempimenti normativi.

I dati trattati per conto del Titolare saranno cancellati dal Responsabile entro 12 mesi dalla data di cessazione degli efetti del contratto, in base alle indicazioni fornite dal Titolare.

Attività di trattamento delegate dal Responsabile a terze parti. In esecuzione degli accordi contrattuali in essere con il

— Titolare del trattamento, il Responsabile potrà affidare l’esecuzione – parziale o totale – delle relative attività a soggetti terzi, dei quali garantisce il possesso dei requisiti di esperienza, capacità ed affidabilità, ivi compreso il profilo relativo alla sicurezza. Ove ricorra tale ipotesi, il Responsabile provvede personalmente a designare Responsabile del trattamento ai sensi dell’art. 28 del GDPR i suddetti soggetti terzi (nel seguito anche “Sub-Responsabile del trattamento”) con idoneo atto giuridico e ne dà notizia al Titolare tramite il seguente link: https://www.unimaticaspa.it/it/gdpr-elenco-subresponsabili.

— Trasferimento dei dati personali. Il Responsabile assicura che nessun dato personale potrà essere trasferito all’esterno  dell’Area Economica Europea (EEA), anche per il tramite di eventuali Sub – Responsabili, senza la preventiva e documentata autorizzazione scritta del Titolare. Qualora tale autorizzazione fosse concessa, l’attività di trasferimento dei dati personali oggetto del trattamento dovrà essere comunque disciplinata da uno specifico accordo giuridico concluso tra le Parti contenente le “Clausole Contrattuali Standard europee”, ad integrazione di quanto definito dal presente documento; nel caso in cui il Responsabile si avvalga di un Sub – Responsabile anche le intese contrattuali intercorrenti tra dette parti dovranno essere conseguentemente integrate con la previsione delle “Clausole Contrattuali Standard europee”, in modo che i medesimi obblighi incombenti sul Responsabile siano previsti anche in capo al Sub – Responsabile che efettua il trasferimento di dati presso paesi extra EEA.

— Diritti degli interessati. Premesso che l’accesso ai dati personali da parte degli interessati esercitato ai sensi degli artt. 15 e seguenti del GDPR sarà gestito direttamente dal Titolare, il Responsabile si rende disponibile a collaborare con il Titolare stesso fornendogli tutte le informazioni necessarie a soddisfare le eventuali richieste ricevute in tal senso.

Il Responsabile si impegna ad assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti  dell’interessato.

In particolare, il Responsabile dovrà comunicare al Titolare, senza ritardo, le istanze eventualmente ricevute e  avanzate dagli interessati in virtù dei diritti previsti dalla vigente normativa (es. diritto di accesso, diritto all’oblio, alla portabilità, rettifica, cancellazione ecc…), e a fornire le informazioni necessarie al fine di consentire al Titolare di evadere le stesse entro i termini stabiliti dalla normativa.

— Persone autorizzate al trattamento. Il Responsabile garantisce di adottare ogni misura ragionevole per assicurare l’affidabilità di ogni soggetto (designato incaricato del trattamento) che avrà accesso ai dati personali del Titolare in ragione di qualunque rapporto lavorativo o di collaborazione instaurato con il Responsabile. Inoltre, garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza, e vigila costantemente sull’operato delle stesse. Nello specifico, il Responsabile deve:

– individuare le persone autorizzate al trattamento dei dati impartendo loro, per iscritto, istruzioni dettagliate in merito alle operazioni consentite e alle misure di sicurezza da adottare in relazione alle criticità dei dati trattati;

– vigilare regolarmente sulla puntuale applicazione da parte delle persone autorizzate di quanto prescritto, anche tramite verifiche periodiche;

– garantire l’adozione dei diversi profili di autorizzazione delle persone autorizzate, in modo da limitare l’accesso ai soli dati necessari alle operazioni di trattamento consentite rispetto alle mansioni svolte;

– verificare periodicamente la sussistenza delle condizioni per la conservazione dei profili di autorizzazione di tutte le persone autorizzate, modificando tempestivamente detto profilo ove necessario (es. cambio di mansione);

– curare la formazione e l’aggiornamento professionale delle persone autorizzate che operano sotto la sua responsabilità circa le disposizioni di legge e regolamentari in materia di tutela dei dati personali.

— Registro dei trattamenti. Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni del comma 5 dell’art. 30 del GDPR – mantiene un registro (in forma scritta e/o anche in formato elettronico) di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, contenente:

– il nome e i dati di contatto del Responsabile e/o dei suoi Sub – Responsabili;

– le categorie dei trattamenti efettuati per conto del Titolare;

– ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate adottate;

– ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1 del GDPR.

Il Responsabile garantisce, inoltre, di mettere a disposizione del Titolare e/o dell’Autorità di controllo che ne dovessero fare richiesta, il suddetto registro dei trattamenti.

Il Responsabile si impegna a coadiuvare il Titolare nella redazione del proprio Registro delle attività di trattamenti, segnalando anche, per quanto di propria competenza, eventuali modifiche da apportare al Registro.

— Attività di audit. Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di sicurezza descritti nel presente documento e, in generale, il rispetto delle obbligazioni assunte in forza del presente atto e del GDPR, consentendo e, su richiesta, contribuendo alle attività di audit, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da esso incaricato. I suddetti impegni di collaborazione e l’attività di audit descritta nel presente paragrafo potrà essere esercitata dal Titolare anche nei confronti degli eventuali Sub-Responsabili.

Qualora il Titolare rilevasse comportamenti diformi a quanto prescritto dalla normativa in materia nonché dalle disposizioni contenute nei provvedimenti del Garante per la protezione dei dati personali, provvederà a darne comunicazione al Responsabile e, per il tramite di questo, ai suoi Sub – Responsabili, senza che ciò possa far venire meno l’autonomia dell’attività di impresa dei soggetti controllati ovvero possa essere qualificato come ingerenza nella loro attività.

— Ulteriori istruzioni. Il Responsabile comunica sollecitamente al Titolare qualsiasi modificazione di assetto organizzativo o di struttura proprietaria che dovesse intervenire successivamente all’affidamento dell’incarico, affinché il Titolare possa accertare l’eventuale sopravvenuta mancanza dei requisiti previsti dalla vigente normativa o il venir meno delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per il corretto trattamento dei dati oggetto della presente nomina.

Il Responsabile informa prontamente il Titolare delle eventuali carenze, situazioni anomale o di emergenza rilevate nell’ambito del servizio erogato – in particolare ove ciò possa riguardare il trattamento dei dati personali e le misure di sicurezza adottate dal Responsabile – e di ogni altro episodio o fatto rilevante che intervenga e che riguardi comunque l’applicazione del GDPR (ad es. richieste del Garante, esito delle ispezioni svolte dalle Autorità, ecc.) o della normativa nazionale ancorché applicabile.

— Validità e Revoca della nomina. La presente nomina inizierà a decorrere dalla data di sottoscrizione della presente comunicazione e ha validità per tutta la durata del rapporto giuridico intercorrente tra le Parti e potrà essere revocata a discrezione del Titolare.

La presente nomina non costituisce aggravio in capo al Responsabile, rientrando la medesima negli obblighi normativi che regolano i rapporti con il Titolare sotto il profilo privacy.

La perdita da parte del Responsabile dei requisiti di cui all’art. 28 e al considerando 81 del GDPR consentirà al Titolare di esercitare il diritto di revoca. L’esercizio della facoltà di revoca da parte del Titolare – senza obbligo di corresponsione di alcun risarcimento e/o indennità al Responsabile e fatto salvo quanto meglio specificato nel rapporto presupposto – avverrà mediante invio di una comunicazione contenente la manifestazione di volontà di revoca.

— Data Protection Officer (DPO). Il Responsabile è tenuto a collaborare e a coadiuvare il DPO nominato dal Titolare nello svolgimento delle attività da questo efettuate. Il Titolare comunica al Responsabile i contatti del DPO all’indirizzo email: dpo@unimaticaspa.it

— Codici di Condotta e Certificazioni. Il Responsabile si impegna a comunicare al Titolare l’adesione a codici di condotta approvati ai sensi dell’art. 40 del GDPR, e/o l’ottenimento di certificazioni che impattano sui servizi oferti al Titolare, intendendo anche quelle disciplinate dall’art. 42 del GDPR.

— Formazione periodica agli incaricati del trattamento dei dati. Il responsabile esterno del trattamento dei dati è tenuto ad assicurare una adeguata formazione in materia di privacy e sicurezza agli autorizzati al trattamento dei dati, in particolare in occasione di assunzioni, variazioni significative di incarico o di responsabilità, evoluzioni tecnologiche o normative.  Tale formazione è obbligatoria e deve essere erogata con frequenza almeno annuale.

— Proprietà dei dati. Qualunque sia la finalità e la durata del trattamento efettuato da parte del Responsabile, i dati

rimarranno sempre e comunque di proprietà esclusiva del Titolare e pertanto non potranno essere venduti o ceduti, in tutto o in parte, ad altri soggetti e dovranno essere da voi restituiti alla conclusione o revoca dell’incarico, o in qualsiasi momento il Titolare ne faccia richiesta.

— Obbligo alla riservatezza. Trattandosi di dati personali e/o particolari e/o relativi a condanne penali e/o reati, Il responsabile e i propri dipendenti e collaboratori sono tenuti ad una condotta equipollente al segreto professionale e al segreto d’ufficio, e comunque a trattare i dati in materia confidenziale e riservata, evitando qualsiasi occasione di conoscibilità superflua da parte di soggetti non autorizzati o non titolati.

Il Titolare, poste le suddette istruzioni e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio ruolo, di impartire per iscritto eventuali ulteriori istruzioni che dovessero risultare necessarie per il corretto e conforme svolgimento delle attività di trattamento dei dati collegate all’accordo vigente tra le Parti, anche a completamento ed integrazione di quanto sopra definito.

Il Responsabile risponderà dei danni derivanti dal suo trattamento qualora gli stessi derivino dall’inottemperanza del Responsabile, o di suoi Sub – Responsabili, agli obblighi della disciplina in materia di protezione dei dati personali specificatamente diretti ai Responsabili del trattamento o da sue azioni diformi o contrarie alle legittime istruzioni del Titolare in conformità a quanto previsto dall’art. 82 del GDPR.

Allegato 2

SCHEDA DI DISDETTA DEL SERVIZIO DI FATTURAZIONE ELETTRONICA ENTI PA CICLO PASSIVO, CICLO ATTIVO E CONSERVAZIONE SOSTITUTIVA FATTURE E REGISTRO DI PROTOCOLLO

L’Ordine di: ___________________________________________ (nel seguito: “Utente”)

Sede legale: Via _____________________ – _________ – ________________________

Indirizzo PEC: __________________________

Codice Fiscale/Partita IVA: __________________________

Legale rappresentante: ______________________________________________________

_________________________________________________________________________

Comunica la disdetta a far data dal 01/12/2019 del servizio di fatturazione elettronica enti PA ciclo passivo, ciclo attivo e conservazione sostitutiva fatture e registro di protocollo affidato alle Società Bluenext e ITWorking Srl e pertanto chiede alle società Bluenext Srl e ITWorking Srl che i documenti digitali di proprietà dell’Ordine che sono stati oggetto di conservazione a norma siano versati al sistema di conservazione Unimatica attraverso i pacchetti di archiviazione ed indici strutturati secondo lo standard UNI 11386:20101 e di non cancellare i dati conservati di proprietà dell’Ordine sino al completamento del processo di migrazione e senza preventiva autorizzazione alla cancellazione definitiva dei dati da parte del titolare stesso.

In aggiunta (OPZIONALE) chiede che i documenti digitali di proprietà dell’Ordine che sono stati oggetto di conservazione a norma siano restituiti all’Ordine su supporto ottico nel formato standard previsto dalla normativa in vigore (SInCRO – standard UNI 11386 – Supporto all’Interoperabilità nella Conservazione e nel recupero degli Oggetti digitali), da recapitare all’Ordine in modalità ordinaria senza alcun costo a carico di quest’ultimo.

Allegato 3

Testo dell’allegato