Misure di sicurezza e normativa sul trattamento dei dati personali. 29 Sezione II – Parte normativa 29 Art. 1 Durata del servizio – prezzi 29 Art. 2 Revisione dei prezzi 30 Art. 3 Quantitativi 30 Art. 4 Periodo di prova 30 Art. 5 Obbligo di Riservatezza dei dati – trattamento dei dati personali 31 Art. 6 Obblighi in materia di sicurezza e salute sul lavoro ‐ 32 Art. 7 Direttore dell’esecuzione del contratto 33 Art. 8 Risoluzione del contratto 33 Art. 9 Responsabilità 34 Art. 10 Fatturazione, Pagamento, Ordini e documenti di trasporto 34
Misure di sicurezza e normativa sul trattamento dei dati personali. Il fornitore è tenuto a rispondere pienamente ai requisiti di cui al GDPR 2016/679 e D.Lgs. 101/2018. Egli, in particolare, si assumerà l’incarico di Responsabile del trattamento dati ai sensi e per gli effetti della medesima
Misure di sicurezza e normativa sul trattamento dei dati personali. Il fornitore è tenuto a rispondere pienamente ai requisiti di cui al D.Lgs. 196/2003, con particolare riferimento alle indicazioni di cui agli Artt. 31; 33-36 e relativo Allegato B. Egli, in particolare, si assumerà l’incarico di Responsabile del trattamento ai sensi e per gli effetti della medesima normativa, limitatamente alle operazioni che gli sono consentite per tutte le banche dati dell’Ente. Il dettaglio dei tipi di dati trattati e delle operazioni consentite, le politiche di gestione della sicurezza, i meccanismi di gestione degli utenti, il sistema di gestione delle autorizzazioni devono essere chiaramente descritte nel progetto. Inoltre è richiesto al fornitore di dare evidenza delle procedure adottate al proprio interno per la gestione della sicurezza, con particolare riferimento alle indicazioni di cui al D.Lgs 196/03 (adozione delle misure minime e idonee, nomina di responsabili e incaricati ecc.). In qualunque momento il fornitore avesse motivo di ritenere che esista una situazione che metta a rischio la sicurezza del sistema (es. smarrimento di chiavi, rilevazione di tentativi di violazione della rete o dei sistemi, di effrazione fisica, di pubblicazione accidentale di password ecc.) dovrà darne comunicazione all’Ente entro 6 ore lavorative dal verificarsi dell’evento. I quantitativi richiesti sono puramente indicativi e potranno essere aumentati o diminuiti, per particolari esigenze organizzative interne, nei limiti previsti dalla normativa vigente senza che il fornitore possa sollevare eccezione al riguardo e pretendere compensi o indennità di sorta. In tale caso, rimarranno fisse ed invariate le condizioni economiche e contrattuali pattuite in sede di gara. Il presente contratto ha una validità triennale ed è rinnovabile di ulteriori due anni due, durante tale periodo, la Ditta aggiudicataria è impegnata a eseguire il servizio alle stesse condizioni e modalità previste dal presente Capitolato Speciale e relativo allegato. Rimane peraltro in obbligo della Società di proseguire nell’espletamento del servizio affidato, alle medesime condizioni contrattuali, per un ulteriore periodo di 90 giorni oltre alla scadenza contrattuale senza poter pretendere compensi od indennizzi oltre a quelli derivanti dal presente contratto. I prezzi che risulteranno dall’aggiudicazione della gara resteranno fissi e invariabili per tutta la durata del contratto. I costi definiti dall’offerta economica dovranno essere comprensivi di spese di trasferte e di ogni al...
Misure di sicurezza e normativa sul trattamento dei dati personali. 27 5. Condizioni di fine contratto 27
Misure di sicurezza e normativa sul trattamento dei dati personali. Il fornitore è tenuto a rispondere pienamente ai requisiti di cui al D.Lgs. 196/2003, con particolare riferimento alle indicazioni di cui agli Artt. 31; 33-36 e relativo Allegato B. Egli, in particolare, si assumerà l’incarico di Responsabile del trattamento ai sensi e per gli effetti della medesima normativa, limitatamente alle operazioni che gli sono consentite per tutte le banche dati dell’Azienda. Il dettaglio dei tipi di dati trattati e delle operazioni consentite, le politiche di gestione della sicurezza, i meccanismi di gestione degli utenti, il sistema di gestione delle autorizzazioni devono essere chiaramente descritte nel progetto. Inoltre è richiesto al fornitore di dare evidenza delle procedure adottate al proprio interno per la gestione della sicurezza, con particolare riferimento alle indicazioni di cui al D.Lgs 196/03 (adozione delle misure minime e idonee, nomina di responsabili e incaricati ecc.). In qualunque momento il fornitore avesse motivo di ritenere che esista una situazione che metta a rischio la sicurezza del sistema (es. smarrimento di chiavi, rilevazione di tentativi di violazione della rete o dei sistemi, di effrazione fisica, di pubblicazione accidentale di password ecc.) dovrà darne comunicazione all’Azienda entro 2 ore continuative dal verificarsi dell’evento.
Misure di sicurezza e normativa sul trattamento dei dati personali. Il sistema offerto dovrà essere conforme alla vigente normativa in materia di protezione dei dati personali (Regolamento EU 2016/679) ed in particolare ai principi di privacy by default e privacy by design. Il fornitore sarà designato responsabile del trattamento dei dati personali ai sensi dell’art. 28 del Regolamento UE n. 679/2016 e D. Lgs.196/2003 come modificato dal D. Lgs. N. 101/2018. Il sistema offerto dovrà essere costantemente aggiornato e conforme a quanto richiesto dagli adeguamenti normativi di AGID e del GDPR. L’Azienda effettua delle attività di vulnerability assessment al fine di verificare la sicurezza dei propri sistemi, il fornitore si impegna ad effettuare un’analisi congiunta degli esiti entro 2 settimane da scansione e a pianificare le eventuali attività per la messa in sicurezza dei sistemi di propria competenza (2 settimane per update o vulnerabilità molto gravi, 6 mesi per upgrade o vulnerabilità basse/medie). Qualora il software oggetto di contratto sia classificato come Medical Device dovranno essere rispettate le relative normative del settore anche in relazione ai test da effettuare a valle degli interventi a garanzia della conservazione della certificazione nel tempo.