Begin main content
Vedi · Indice

Privacy

DISCIPLINA DEL TRATTAMENTO DATI PERSONALI DA PARTE DEL RESPONABILE AI SENSI DELL’ART. 28 DEL

REG. 679/16 IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (GDPR)

***  ***  ***

Fra:

-  FVG Energia S.p.A. – Società in house di Regione Autonoma Friuli Venezia Giulia, con sede in Udine, Viale Duodo n. 5, P.IVA, Codice Fiscale e n. iscrizione Registro delle Imprese di Udine 02431160304 (di seguito “FVG Energia” o il “Responsabile”)

E

-  le Ditte di manutenzione che si registrano al portale del Catasto Regionale Impianti Termici (di seguito “CRIT-FVG”) per la trasmissione, in via telematica, del "rapporto di controllo di efficienza energetica" nonché di tutte le altre informazioni richieste dalla normativa vigente in relazione agli impianti termici ubicati sul territorio della Regione Autonoma Friuli Venezia Giulia (di seguito, al singolare, la “Ditta” o “Sub Responsabile”)

Congiuntamente le “Parti” 

PREMESSO CHE 

  • VG Energia è affidataria in house per lo svolgimento delle attività finalizzate ai controlli necessari ad accertare l’effettivo stato di manutenzione ed esercizio degli impianti termici degli edifici ai fini del contenimento dei consumi di energia, in attuazione dell’articolo 31, comma 3, della legge 10/1991;
  • lo svolgimento dei suddetti servizi, indicati nello specifico nella convenzione approvata con DGR 2 febbraio 2024, n. 159 e stipulata con FVG Energia in data 8 febbraio 2024, comporta il trattamento, da parte di FVG Energia per conto della Regione Autonoma Friuli Venezia Giulia (di seguito “Regione FVG”), dei dati personali di interessati di cui la Regione FVG stessa è Titolare;
  • in data 17 dicembre 2020, FVG Energia è stata formalmente nominata Responsabile del trattamento da Regione FVG con specifico atto di nomina che prevede la possibilità di ricorrere a ulteriori responsabili, per l'esecuzione delle attività di trattamento (o parte delle stesse), imponendo agli stessi i medesimi obblighi in materia di protezione dei dati cui è assoggettata FVG Energia;
  • ai sensi dell’Allegato alla Delibera n. 2018 del 30 dicembre 2020 recante “Disposizioni per l’esercizio, la conduzione, il controllo, la manutenzione e l’ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda sanitaria”, per poter svolgere le funzioni ex art. 5 e 6 della succitata Delibera ed operare all’interno del CRIT-FVG, le Ditte sono tenute a registrarsi al portale del CRIT-FVG mediante l’apposita procedura;
  • per lo svolgimento delle attività di cui sopra, il Sub Responsabile tratterà dati personali, come descritti nella Tabella n. 1, per conto di FVG Energia (Responsabile del Trattamento);
  • nell’ottica della responsabilizzazione, l’art. 28 del Reg. 679/16 “Regolamento in materia di protezione dei dati personali” (di seguito GDPR) dispone che il trattamento di dati da parte di un soggetto affidatario di un servizio per conto del Responsabile, comporta la necessità di disciplinare con apposito contratto o altro atto giuridico i reciproci rapporti in merito alle modalità e le responsabilità del trattamento di tali dati;
  • nell’esecuzione delle proprie attività, il Sub Responsabile dovrà procedere al trattamento secondo le istruzioni impartite dal Responsabile con il presente atto e con eventuali accordi successivi;
  • è intenzione del Responsabile consentire l’accesso ai dati sia al Sub Responsabile che al personale interno del Sub Responsabile medesimo qualora ciò sia necessario all’adempimento degli obblighi succitati;

TANTO PREMESSO

Il Responsabile e il Sub Responsabile del trattamento disciplinano il reciproco rapporto di “responsabilità” di cui all’art. 28 del GDPR secondo le condizioni contrattuali e le istruzioni di seguito riportate, che vengono accettate tramite specifica funzionalità del CRIT-FVG. 

Tab 1 - INFORMAZIONI SUL TRATTAMENTO 

 Materia disciplinata  Trattamenti connessi allo svolgimento delle funzioni e degli obblighi previsti dall’Allegato alla delibera n. 2018 del 30 dicembre 2020 - Disposizioni per l’esercizio, la conduzione, il controllo, la manutenzione e l’ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua calda sanitaria (di seguito, più semplicemente, “Allegato”) e successive eventuali modifiche ed integrazioni disposte da Regione FVG con propri provvedimenti amministrativi e/o normativi, nonché da norme di legge e regolamenti correlati.
 Durata del trattamento   I trattamenti saranno effettuati per il periodo di tempo previsto dalla normativa vigente (fino allo spirare dei termini di prescrizione)
 Finalità del trattamento  Adempimento obblighi e funzioni previsti dalla Legge Regionale 11 ottobre 2012, n. 19 recante “Norme in materia di energia e distribuzione dei carburanti” nonché da norme di legge e regolamenti correlati. In particolare, i trattamenti saranno finalizzati alla disciplina delle procedure per l’esercizio, la conduzione, il controllo, la manutenzione e l’ispezione degli impianti termici per la climatizzazione invernale ed estiva degli edifici e per la preparazione dell’acqua per usi igienici sanitari al fine di garantire condizioni omogenee agli utenti nel territorio della Regione Autonoma Friuli Venezia Giulia.
 Tipo di dati personali  Dati anagrafici dei Responsabili impianto, dati tecnici degli impianti, contributi versati ed eventuali morosità
 Categorie di interessati Persone fisiche e giuridiche del territorio FVG
 Obblighi consegna informativa all’interessato (art. 13 del Reg. 679/16)

Il Sub Responsabile

O   Deve rilasciare

NON deve rilasciare

l’informativa trattamento dati all’interessato (proprietario o occupante edificio dotato di impianto termico) predisposta dal Titolare e disponibile sul sito istituzionale di FVG Energia

1. Oggetto del trattamento 

Il presente atto disciplina tutti i dati e i documenti che il Sub Responsabile tratterà per adempiere agli obblighi derivanti dall’Allegato succitato e successive eventuali modifiche ed integrazioni disposte da Regione FVG con propri provvedimenti amministrativi e/o normativi, nonché da norme di legge e regolamenti correlati. Tali dati possono riguardare cittadini, aziende, utenti ecc. professionisti incaricati, dipendenti e collaboratori del Responsabile o del Sub Responsabile, e possono essere dati comuni ed altre informazioni personali, come da Tabella 1 sopra riportata. Per ogni trattamento effettuato il Sub Responsabile si impegna a porre in essere le misure di sicurezza previste dalla normativa vigente in materia di protezione dei dati personali e di non agire per finalità illecite.

2. Durata dei trattamenti 

 Ogni trattamento dei dati succitati, da effettuarsi solamente in conformità alle finalità sopra riportate, dovrà essere limitato al tempo necessario a dare esecuzione agli obblighi derivanti dall’Allegato. Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte del Sub Responsabile, quest’ultimo sarà tenuto a restituire al Responsabile i dati personali oggetti del trattamento oppure a provvedere alla loro integrale distruzione salvo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini (contabili, fiscali, ecc.).Qualora il rapporto tra le Parti venisse meno o perdesse efficacia per qualsiasi motivo o l’attività del Sub Responsabile non fosse più svolta, anche la presente convenzione verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Sub Responsabile non sarà più legittimato a trattare i dati del Responsabile.

3. Istruzioni documentate ai sensi dell’art. 28 par. III GDPR 

Nello svolgimento delle proprie funzioni, in merito ai trattamenti che dovranno essere effettuati, il Sub Responsabile dovrà dare scrupolosa applicazione alle disposizioni previste dal Reg. Ue 679/16, in particolare: 

  • Previa analisi che espliciti i rischi e le eventuali possibili misure di attenuazione degli stessi (e tenendo conto, in particolare, dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, ai Dati Personali trasmessi, conservati o comunque trattati), individuare e adottare le misure tecniche ed organizzative adeguate per garantire un livello di sicurezza congruo al rischio, tenendo conto, fra l’altro, della tipologia di trattamento, delle finalità perseguite, del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione.
    Tali misure comprendono, tra le altre: 

    1. la pseudonimizzazione e la cifratura dei Dati Personali;
    2. la capacità di assicurare la continua riservatezza, integrità, disponibilità e resilienza dei sistemi e dei servizi
    3. che trattano i Dati Personali;
    4. la capacità di ripristinare tempestivamente la disponibilità e l'accesso ai Dati Personali; in caso di incidente
    5. fisico o tecnico;
    6. una procedura adeguata per provare, verificare e valutare regolarmente l'efficacia delle misure adottate al fine di garantire la sicurezza del trattamento.
  • Individuare, verificare e, se del caso, aggiornare i propri incaricati a trattare i dati in relazione a ciascuna area di trattamento;
  • Formare periodicamente, eventualmente anche per iscritto, i propri dipendenti e collaboratori sulle corrette modalità di trattamento dei dati personali e delle informazioni acquisite nell’esecuzione dei propri compiti;
  • Vigilare che gli incaricati al trattamento dei dati personali si attengano alle procedure di volta in volta indicate specificatamente, sia oralmente che per iscritto, in relazione ai diversi trattamenti necessari ad adempiere agli obblighi dell’Allegato richiamato in premessa;
  • Se richiesto, assistere il Responsabile nel garantire il rispetto degli obblighi relativi alla valutazione d’impatto sulla protezione dei dati nonché alla eventuale consultazione preventiva all’Autorità di Controllo (ove applicabili);
  • Se richiesto, assistere il Responsabile del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare le eventuali richieste per l'esercizio dei diritti dell'interessato di cui agli articoli 13 – 22 del Regolamento 679/16;
  • Se richiesto, mettere a disposizione del Responsabile del trattamento il “Registro delle attività di trattamento” inerente alle attività di trattamento svolte per conto del Responsabile, nonché tutte le informazioni necessarie per dimostrare il rispetto degli obblighi del Regolamento 679/16;
  • Se richiesto, assistere il Responsabile del trattamento nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento 679/16, tenendo conto della natura del trattamento e delle informazioni a disposizione del Sub Responsabile del trattamento;
  • Comunicare ogni eventuale trasferimento di dati e informazioni all’esterno del territorio UE, anche per fini tecnici connessi ai servizi di providing e backup utilizzati;
  • Come espressamente indicato nella Tabella 1 di cui sopra, il Sub Responsabile ha l’onere di consegnare/mettere a disposizione degli interessati l’Informativa trattamento dati personali ex art. 13 del Reg. 679/16 implementata dal Responsabile e disponibile all’interno del sito istituzionale di quest’ultimo. Ove non consegnata in formato cartaceo, il Sub Responsabile dovrà fornire all’interessato (anche oralmente) tutte le informazioni per reperire l’informativa privacy ed indicare che, in ossequio agli obblighi di cui all’Allegato, alcuni suoi dati personali verranno trasmessi a FVG Energia ed alla Regione FVG.

4. Garanzie prestate dal Sub Responsabile

Il Sub Responsabile garantisce che i dati trattati saranno custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di loro distribuzione o perdita, anche accidentale, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità dell’Allegato. Tali dati dovranno essere trattati o comunque utilizzati dal Sub Responsabile esclusivamente al fine di adempiere alle obbligazioni sancite dall’Allegato e dalle altre norme che regolano gli impianti termici.
Conseguentemente i dati non saranno:

  1. duplicati, riprodotti o utilizzati in proprio per finalità diverse dall'esecuzione degli obblighi di legge posti in capo al Sub Responsabile;
  2. oggetto di cessione o di concessione d'uso a terzi, totale o parziale, a qualsiasi titolo. 

5. Gestione subappalti

L’esecuzione degli obblighi di cui all’Allegato spettano esclusivamente al Sub Responsabile. Per tale motivo  non è concesso al Sub Responsabile la possibilità a poter ricorrere a eventuali ed ulteriori responsabili del  trattamento. L’unico soggetto abilitato ad operare nella piattaforma del CRIT-FVG è esclusivamente il Sub  Responsabile ed i suoi dipendenti o collaboratori.  I danni provocati a terzi derivanti dal trattamento dei dati personali effettuati dal Sub Responsabile  rimangono a carico esclusivo di quest’ultimo che accetta, tramite accettazione del presente documento, di  manlevare e tenere indenne il Responsabile da qualsiasi danno, pretesa, risarcimento e/o sanzione.

6. Ulteriori garanzie 

Il Sub Responsabile si impegna altresì ad osservare e fare osservare ai propri dipendenti, incaricati e collaboratori, il segreto nei confronti di chiunque, per quanto riguarda fatti, informazioni, dati e atti di cui vengano a conoscenza nell'espletamento dell’incarico ricevuto. A tal fine il Sub Responsabile si impegna a non cedere, non consegnare, non copiare, non riprodurre, non comunicare, non divulgare, non rendere disponibili in qualsiasi modo o a qualsiasi titolo a terzi, le informazioni acquisite nell'esecuzione delle proprie mansioni.
Il Sub Responsabile mette a disposizione del Responsabile tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente contratto e della normativa applicabile, consentendo e contribuendo alle attività di revisione, comprese le ispezioni, realizzate dal Responsabile o da un altro soggetto da questi incaricato. In ogni caso il Responsabile si impegna per sé e per i terzi incaricati da quest’ultimo, a che le informazioni raccolte durante le operazioni di verifica siano utilizzate solo per tali finalità. Il Sub Responsabile sarà, inoltre, tenuto a comunicare tempestivamente al Responsabile istanze degli interessati, contestazioni, ispezioni o richieste dell’Autorità di Controllo e dalle Autorità Giudiziarie, ed ogni altra notizia rilevante in relazione al trattamento dei dati personali.
Resta inteso che la presente nomina non comporta alcun diritto del Sub Responsabile ad uno specifico compenso e/o indennità e/o rimborso derivante dal medesimo.

7. Foro Competente 

Questo accordo è stipulato e governato dalle leggi italiane. Ogni e qualsiasi controversia relativa all’esecuzione e all’interpretazione di esso sarà devoluta alla competenza del Foro di Udine ad esclusione di ogni altro foro anche concorrente. 

IL RESPONSABILE DEL TRATTAMENTO
FVG Energia S.p.A.
Il Presidente
dott. Franco BARITUSSIO
(firmato digitalmente)

Udine, 30 giugno 2025
Prot. U2025/000136

angolo

Menu

Links

Dati cittadino