DETERMINAZIONE DEL DIRETTORE
DETERMINAZIONE DEL DIRETTORE
Numero del provvedimento | 51 |
Data del provvedimento | 18-02-2019 |
Oggetto | Contratti/Convenzioni |
Contenuto | APPROVAZIONE DEGLI ATTI RELATIVI AL SISTEMA DI CONSERVAZIONE DIGITALE. REGOLAZIONE DELLE ATTIVITÀ DEL PROCEDIMENTO DI CONSERVAZIONE CON LA DITTA MEDAS SRL DI MILANO QUALE RESPONSABILE DEL SERVIZIO DI CONSERVAZIONE |
Ufficio/Struttura | Direttore |
Resp. Ufficio/Struttura | Xxxxxxx Xxxxxxxx |
Resp. del procedimento | Xxxxxxx Xxxxxxxx - direttore |
Parere e visto di regolarità contabile | Xxxxxxx Xxxxxxxx |
Conti Economici | |||
Spesa | Descrizione Conto | Codice Conto | Anno Bilancio |
Spesa prevista | Conto Economico | Codice Conto | Anno Bilancio |
Estremi relativi ai principali documenti contenuti nel fascicolo | ||
Allegato | N° di pag. | Oggetto |
A | 16 | Mandato di affidamento |
X | 00 | XXXXXXX XX XXXXXXXXXX |
X | 14 | Manuale di conservazione |
DETERMINAZIONE DEL DIRETTORE
Numero del provvedimento | |
Data del provvedimento | |
Oggetto | Contratti/Convenzioni |
Contenuto | APPROVAZIONE DEGLI ATTI RELATIVI AL SISTEMA DI CONSERVAZIONE DIGITALE. REGOLAZIONE DELLE ATTIVITÀ DEL PROCEDIMENTO DI CONSERVAZIONE CON LA DITTA MEDAS SRL DI MILANO QUALE RESPONSABILE DEL SERVIZIO DI CONSERVAZIONE |
Ufficio/Struttura | Direttore |
Resp. Ufficio/Struttura | Xxxxxxx Xxxxxxxx |
Resp. del procedimento | Xxxxxxx Xxxxxxxx - direttore |
Parere e visto di regolarità contabile |
Conti Economici | |||
Spesa | Descrizione Conto | Codice Conto | Anno Bilancio |
Spesa prevista | Conto Economico | Codice Conto | Anno Bilancio |
Estremi relativi ai principali documenti contenuti nel fascicolo | ||
Allegato | N° di pag. | Oggetto |
A | 16 | Mandato di affidamento |
X | 00 | XXXXXXX XX XXXXXXXXXX |
X | 14 | Manuale di conservazione |
IL DIRETTORE
Premesso che:
- la conferenza zonale dei sindaci Z/D Pistoiese con propria deliberazione n. 2 del 14 maggio 2010 ha approvato lo schema di convenzione e lo schema di Statuto della Società della Salute Pistoiese;
- a seguito di quanto sopra, ciascun Comune della Zona-Distretto Pistoiese e l’Azienda USL n. 3 hanno deliberato ed approvato lo schema di convenzione e lo schema di Statuto della Società della Salute Pistoiese;
- il 6 agosto 2010 i sindaci dei comuni della Zona Distretto Pistoiese e il Direttore Generale dell’Azienda USL
n. 3 di Pistoia hanno sottoscritto la convenzione costitutiva del Consorzio Società della Salute Pistoiese, come da atto repertorio Comune di Pistoia n. 18959 registrato il 10 agosto 2010 al n. 104 Serie 1;
- con deliberazioni dell’Assemblea dei Soci n. 1, n. 2 e n. 3 del 15 settembre 2010 veniva rispettivamente accertata, ai sensi dell’art. 11 dello Statuto, la regolare costituzione dell’Assemblea dei Soci, veniva eletto il Presidente della SdS e nominata la Giunta Esecutiva;
Dato atto che il Presidente della SdS Pistoiese ha decretato con atto n. 2 del 26/10/2016 la nomina del xxxx. Xxxxxxx Xxxxxxxx quale Direttore della SdS Pistoiese a far data dal 1° novembre 2016;
Vista la deliberazione dell’Assemblea dei Soci n. 25 del 29/11/2017 con la quale è stato approvato lo Statuto della Società della Salute Pistoiese;
Vista la deliberazione dell’Assemblea dei Soci n. 26 del 29/11/2017 con la quale è stato eletto il Presidente della Società della Salute Pistoiese nonché Presidente della Giunta Esecutiva;
Vista la deliberazione dell’Assemblea dei Soci n. 27 del 29/11/2017 con la quale sono stati nominati i componenti della Giunta Esecutiva della Società della Salute Pistoiese;
VISTI:
- il Decreto Legislativo n. 82 del 7.03.2005 e s.m.i. recante il Codice dell’amministrazione digitale; - il D.P.R. 28.12.2000 n. 445 e s.m.i. recante disposizioni legislative in materia di documentazione amministrativa;
- il D.P.C.M. 3.12.2013 avente ad oggetto “Regole tecniche in materia di sistema di conservazione ai sensi degli articoli 20, commi 3 e 5 -bis , 23 -ter , comma 4, 43, commi 1 e 3, 44 , 44 -bis e 71, comma 1, del Codice dell’amministrazione digitale di cui al decreto legislativo n. 82 del 2005;
-
RICHIAMATI:
- il provvedimento dello scrivente n. 240/2018 con il quale è stato affidato alla Ditta Medas srl – Xxx Xxxxxxx, 00 00000 Xxxxxx P. IVA 02398390217- ai sensi dell'art. 44 del Codice dell'Amministrazione Digitale (CAD) e dell’art. 7 del DPCM 3/12/2013 sopracitato, il servizio di conservazione sostitutiva della documentazione amministrativa elettronica (DAE) per un importo complessivo di € 7.350,00 (al netto dell'IVA) per il periodo dal 01/10/2018 al 30/09/2021;
- il provvedimento dello scrivente n. 47/2019 con il quale è stato nominato il responsabile del protocollo e della gestione documentale di questa SdS e il suo vicario;
- il decreto del Presidente di questa SdS n. 1/2019 con il quale si è proceduto alla nomina del responsabile della conservazione dell'Area Organizzativa Omogenea “Ufficio di Direzione” della SdS Pistoiese, ai sensi dell’art. 7 del suddetto DPCM 3.12.2013;
-
RITENUTO pertanto, come previsto dagli artt. 7- 8 -9 del succitato DPCM del 3/12/2013, di regolare le attività del procedimento di conservazione con l’approvazione della sottoelencata documentazione, allegata al presente atto quale parte integrante e sostanziale:
- allegato A) Mandato di affidamento alla Ditta Medas Srl di Milano delle attività del procedimento di conservazione e Nomina del responsabile del trattamento dati personali, ai sensi dell'art. 28 reg. UE 2016/679 della Ditta stessa;
- allegato B) Manuale di conservazione digitale della Società della Salute del Mugello;
- allegato C) Accordi di versamento dei documenti informatici
Visto l’art. 21 dello Statuto della SDS Pistoiese e l’art. 31 del D.Lgs.267/2000; In considerazione di quanto sopra trascritto,
DISPONE
per i motivi espressi in narrativa e qui integralmente richiamati
1) DI APPROVARE, come previsto dagli artt. 7- 8 -9 del succitato DPCM del 3/12/2013, la sottoelencata documentazione, quale parte integrante e sostanziale del presente atto, al fine di regolare le attività del procedimento di conservazione digitale:
- allegato A) Mandato di affidamento alla Ditta Medas Srl di Milano delle attività del procedimento di conservazione e Nomina del responsabile del trattamento dati personali, ai sensi dell'art. 28 reg. UE 2016/679 della Ditta stessa;
- allegato B) Accordi di versamento dei documenti informatici
- allegato C) Manuale di conservazione digitale della Società della Salute del Mugello
2) DI DARE ATTO che il presente provvedimento non comporta oneri a carico del bilancio di questa SDS;
3) DI PUBBLICARE il presente provvedimento sul sito della Sds;
4) DI TRASMETTERE il presente atto Ditta Medas Srl di Milano.
X.xx IL DIRETTORE
(Xxxxxxx Xxxxxxxx)
MANDATO DI AFFIDAMENTO DELLE ATTIVITA’ DEL PROCEDIMENTO DI CONSERVAZIONE E NOMINA RESPONSABILE DEL TRATTAMENTO DATI PERSONALI AI SENSI DELL’ART. 28 REG. UE 2016/679 DELLA DITTA MEDAS SRL DI MILANO
Il Xxxx. XXXXXXX XXXXXXXX, in qualità di Responsabile della Conservazione (di seguito anche indicato brevemente con l’acronimo “RdC”) della Società della Salute Pistoiese anche indicata con “SDS”, giusto Decreto del Presidente n. 1 del 04/02/2019 avvalendosi della facoltà conferitagli ai sensi dell’art. 5 co. 2 lett. b) del DPCM del 3 dicembre 2013, di affidare in tutto o in parte lo svolgimento delle proprie attività a terzi certificati come Conservatori accreditati presso l'Agenzia per l'Italia digitale (AgID) che, per competenza ed esperienza, garantiscono la corretta esecuzione delle operazioni ad esse delegate,
PREMESSO CHE
- con provvedimento del Direttore della SdS Pistoiese n. 240/2018 è stato affidato alla ditta Medas srl di Milano il servizio di conservazione dei documenti amministrativi elettronici ai sensi dell’art. 44 del CAD dal 01/10/2018 al 30/09/2021;
- il servizio prevede la conservazione dei documenti provenienti dai sistemi informatici quali il Gestionale informatico della ditta Project srl che sottopone al sistema di conservazione Scryba i pacchetti di versamento contenenti DAE la cui tipologia è definita nel manuale della conservazione e il Sistema DocLoader della ditta Medas srl che sottopone al sistema di conservazione i pacchetti di versamento contenenti DAE la cui tipologia è definita nel manuale della conservazione.
- il servizio prevede di conservare un numero massimo di 100.000 DAE/anno complessivi.
- il servizio di cui al punto precedente è basato sul “Sistema di conservazione Scryba” della Società Medas srl di Milano.
- ll flusso di conservazione, oggetto del contratto, si riferisce ai documenti sottoposti a Scryba creati a partire dal 01 Ottobre 2018 e conseguentemente il contratto che ha durata triennale, scade il 30 Settembre 2021;
- il RdC della SdS Pistoiese ha appurato che la Ditta Medas srl (di seguito “MEDAS”) dispone della qualità di conservatore accreditato dall’Agenzia per l’Italia Digitale (come risulta dall’elenco dei
conservatori accreditati pubblicati sul sito AgID) e constatato dall’esperienza pluriennale presentata dalla ditta che la stessa ha la struttura e le competenze idonee a gestire il procedimento di conservazione ed in particolare le attività a lei affidate con il presente mandato;
-la ditta Medas Srl, ha preventivamente valutato il ricevimento dell’incarico di affidamento dell’attività di conservazione, ai sensi e per gli effetti del DPCM del 3 dicembre 2013 art. 5 co.2 lett. b), e la possibilità di espletare tali compiti con propri collaboratori;
AFFIDA
le attività riportate nella tabella sottostante alla ditta Medas Srl di Milano, con responsabilità della Ditta stessa. Per maggior chiarezza nella tabella sono state indicate anche le attività gestite direttamente dal RdC della SdS Pistoiese
ATTIVITA’ DEL PROCEDIMENTO DI CONSERVAZIONE | RESPONSABILITA’ |
1. Definizione delle caratteristiche dei requisiti del sistema di conservazione in funzione della tipologia dei documenti da conservare, della quale tiene evidenza, in conformità alla normativa vigente, al Manuale della Conservazione (MdC) e allegati tra cui in particolare il documento “Accordi di versamento” che specificale tipologie documentarie, i formati dei documenti inviati al sistema di conservazione e i relativi flussi di versamento. (DPCM 3-12-2013 art. 7 co.1 lett. a) e art. 6 co.5) | RdC o delegato |
2. Supporto al RdC per la definizione delle caratteristiche e dei requisiti del sistema di conservazione la cui evidenza è contenuta nel MdC ed allegati. | Medas |
3. Gestione del processo di conservazione con garanzia di mantenere nel tempo la conformità alla normativa vigente (DPCM 3-12-2013 art. 7 co.1 lett. b), nelle modalità indicate nel MdC e declinato nelle seguenti attività: | |
a) acquisizione da parte del sistema di conservazione del pacchetto di versamento per la sua presa in carico (DPCM 3-12-2013 art. 9 co.1 lett. a); | Medas |
b) verifica che il pacchetto di versamento e gli oggetti contenuti siano coerenti con le modalità previste dal manuale di conservazione e con quanto indicato all’art. 11 (DPCM 3-12-2013 art. 9 co.1 lett. b); | Medas |
c) rifiuto del pacchetto di versamento, nel caso in cui le verifiche di cui alla lettera b) o le regole di presa in carico definite negli Accordi di versamento abbiano evidenziato delle anomalie (DPCM 3-12-2013 art. 9 co.1 lett. c); | Medas |
d) generazione, anche in modo automatico, del rapporto di versamento relativo ad uno o più pacchetti di versamento, univocamente identificato dal sistema di conservazione e contenente un riferimento temporale, specificato con riferimento al Tempo universale coordinato (UTC), e una o più impronte, calcolate sull’intero contenuto del pacchetto di versamento, secondo le modalità descritte nel manuale di conservazione (DPCM 3-12-2013 art. 7 co.1 lett. c e art. 9 co.1 lett.e); | Medas |
e) preparazione, sottoscrizione con firma digitale o firma elettronica qualificata del responsabile della conservazione e gestione del | Medas |
pacchetto di archiviazione sulla base delle specifiche della struttura dati contenute nell’allegato 4 del D.P.C.M. 3 dicembre 2013 e secondo le modalità riportate nel Manuale della conservazione (DPCM 3-12-2013 art. 9 co.1 lett. f); | ||||||||
f) scarto del pacchetto di archiviazione dal sistema di conservazione alla scadenza dei termini di conservazione previsti dalla norma e concordati (DPCM 3-12-2013 art. 9 co.1 lett. k); | RdC | |||||||
g) supporto al RdC per l’espletamento della procedura di scarto del pacchetto di archiviazione dal sistema di conservazione alla scadenza dei termini di conservazione previsti dalla norma e concordati (DPCM 3-12-2013 art. 9 co.1 lett. k); | Medas | |||||||
4. Generazione di pacchetti di distribuzione contenenti documenti informatici clinici (DPCM 3-12-2013 art. 7 co.1 lett. d e art. 9 co.1 lett. i ). Tale attività viene svolta attraverso specifiche funzionalità dell’applicazione Scryba, accessibili ai soli delegati del RdC dotati di opportune credenziali di accesso. | RdC o delegato | |||||||
5. Sottoscrizione con firma digitale o firma elettronica qualificata, ove prevista nel MdC del pacchetto di distribuzione (DPCM 3-12-2013 art. 7 co.1 lett. d e art. 9 co.1 lett. g). Tale attività viene svolta attraverso specifiche funzionalità dell’applicazione Scryba, accessibili ai soli delegati del RdC dotati di opportune credenziali di accesso. | RdC o delegato | |||||||
6. Trasmissione dei pacchetti di distribuzione (DPCM 3-12-2013 art. 7 co.1 lett. d e art. 9 co.1 lett. g). Tale attività viene svolta attraverso specifiche funzionalità dell’applicazione Scryba, accessibili ai soli delegati del RdC dotati di opportune credenziali di accesso. | RdC o delegato | |||||||
7. Supporto alla Distribuzione. | generazione, | firma | e | trasmissione | dei | Pacchetti | di | Medas |
8. Monitoraggio della corretta funzionalità del sistema di conservazione (DPCM 3-12-2013 art. 7 co.1 lett. e) secondo le seguenti attività: | ||||||||
a) monitoraggio dell'infrastruttura hardware del sistema di conservazione e reti trasmissione dati, lato server farm remota del conservatore; | Medas | |||||||
b) monitoraggio dell'infrastruttura di rete locale geografica e reti trasmissione dati che collegano i sistemi submitter al sistema di conservazione sito remotamente presso la server farm del conservatore, lato SDS; | RdC o delegato | |||||||
c) monitoraggio del corretto funzionamento di submission da parte dei sistemi informatici che sottopongono i pacchetti di versamento al sistema di conservazione Scryba, lato SDS e supervisione dell’attività del conservatore relativa alla ricezione dei pacchetti da parte di Scryba; | RdC o delegato | |||||||
d) manutenzione e aggiornamento del SW del sistema di conservazione Scryba; | Medas | |||||||
e) monitoraggio dei flussi documentali e rendicontazione periodica | Medas | |||||||
9. Verifica periodica, con cadenza non superiore ai cinque anni, dell'integrità degli archivi e della leggibilità degli stessi secondo quanto previsto dal MdC e allegati (DPCM 3-12-2013 art.7 co.1 lett. f). | RdC o delegato | |||||||
10. Supporto alla verifica periodica cadenza non superiore ai cinque anni, dell'integrità degli archivi e della leggibilità degli stessi | Medas | |||||||
11. Adozione di misure per rilevare tempestivamente l'eventuale degrado dei sistemi di memorizzazione e delle registrazioni e ove necessario per ripristinare la corretta funzionalità (DPCM 3-12-2013 art.7 co.1 lett. g). Le evidenze sono date dalle notifiche di anomalia inviate al RdC a mezzo PEC. | Medas | |||||||
12. Attività di duplicazione o copia (riversamento) dei documenti informatici in relazione all'evolversi del contesto tecnologico secondo quanto previsto dal MdC e allegati (DPCM 3-12-2013 art. 7 co.1 lett. h). | RdC o delegato | |||||
13. Supporto alla duplicazione o copia (riversamento) dei documenti informatici | Medas | |||||
14. Adozione di misure necessarie per la sicurezza fisica e logica del sistema di conservazione (DPCM 3-12-2013 art. 7 co.1 lett. i e art.12 co.1), la cui evidenza è data dalla certificazione ISO 27001 e dal Piano di sicurezza del conservatore Medas. | Medas | |||||
15. Assicurare la presenza di un pubblico ufficiale nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l’assistenza e le risorse necessarie per l’espletamento delle attività al medesimo attribuite (DPCM 3-12-2013 art. 7 co.1 lett. j). | RdC o delegato | |||||
16. Assicurare agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza (DPCM 3-12-2013 art. 7 co.1 lett. k). | ||||||
a) assicurare agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza; | RdC o delegato | |||||
b) supporto al RdC in caso di attività di verifica e vigilanza; | Medas | |||||
c) assicurare agli organismi competenti previsti dalle norme vigenti l’assistenza e le risorse necessarie per l’espletamento delle attività di verifica e di vigilanza per quanto riguarda aspetti specifici delle attività affidate a Medas. | Medas | |||||
17. Predisporre del Manuale di conservazione di cui all’art. 8 e aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti (DPCM 3-12-2013 art. 7 co.1 lett. m). | RdC o delegato | |||||
18. Supporto alla predisposizione aggiornamento periodico. | del | Manuale | di | conservazione | e | Medas |
CONDIZIONI DELL’AFFIDAMENTO
1. MEDAS accettando l’incarico di affidamento assume, in ottemperanza all’art. 6 co. 8 del D.P.C.M.
3/12/2013, anche il ruolo di responsabile del trattamento dei dati come previsto dall’art. 28 del Regolamento UE 2016/679 sottoscrivendo, per l’effetto, il sotto esteso atto di nomina.
2. Nello svolgimento delle attività, MEDAS dovrà ottemperare a tutti i regolamenti e direttive dell’AZIENDA, oltre che a tutta la normativa vigente.
3. MEDAS é tenuta a segnalare tempestivamente tramite opportune relazioni, eventuali malfunzionamenti o anomalie del procedimento di conservazione rispetto a quanto definito nel Manuale di Conservazione e alle attività a lei affidate.
4. MEDAS dovrà periodicamente redigere e consegnare al RdC delle relazioni relative alle attività svolte per consentire al RdC di esercitare la funzione di controllo.
5. XXXXX xxxx responsabile della corretta e tempestiva esecuzione delle attività a lei affidate e delle eventuali ulteriori istruzioni/direttive del RdC purché comunicate per iscritto e pertinenti all’oggetto contrattuale.
6. XXXXX xxxx responsabile per qualsiasi atto che esorbiti dal presente incarico.
7. MEDAS rende disponibili al RdC, contestualmente alla sottoscrizione per accettazione del presente incarico, l’elenco dei suoi collaboratori, aggiornandolo quando necessario, che svolgeranno le attività affidate, individuati quali incaricati del trattamento ai sensi dell’art. 30 del Codice in materia di protezione dei dati personali.
8. La responsabilità generale inerente la conservazione dei documenti prodotti dalla AZIENDA e la responsabilità diretta e indiretta derivante da dovere di direzione e vigilanza sull’affidatario rimarranno in capo al RdC.
PISTOIA, IL ……… Xxxx. Xxxxxxx Xxxxxxxx
Responsabile della Conservazione SdS Pistoiese
(documento informatico sottoscritto digitalmente)
DICHIARAZIONE DI ACCETTAZIONE DEL MANDATO DI AFFIDAMENTO
Il xxxx. Xxxxxxx Xxxxx, in qualità di legale rappresentante della società Medas srl e responsabile del servizio di conservazione, dichiara di accettare il presente mandato e che le attività affidate verranno svolte dai seguenti collaboratori:
• XXXXX Xxxxxxx Responsabile del servizio di conservazione
• XXXXXXX Xxxxxx Responsabile della funzione archivistica di conservazione
• XXXXXXXXX Xxxxx Responsabile del trattamento dei dati personali
• XXXXXXXXX Xxxxx Responsabile della sicurezza dei sistemi per la conservazione
• XXXXXXXXX Xxxxx Responsabile dei sistemi informativi per la conservazione
• TOMBOLATO Aldino Responsabile dello sviluppo e della manutenzione del sistema di conservazione
Medas è tenuta a comunicare ad AgID eventuali variazioni dei Responsabili del Sistema di Conservazione e ad aggiornare il relativo Manuale della conservazione del conservatore disponibile sul sito xxx.xxxx.xxx.xx nella sezione “Conservatori”.
Amministratori di sistema e tecnici esperti
Ai sensi del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 recante prescrizioni ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni di amministratore di sistema e proroga dei termini per il loro adempimento (modificato con Provvedimento del 25 giugno 2009) gli estremi identificativi delle persone fisiche amministratori di sistema, con l'elenco delle funzioni ad essi attribuite sono riportati in un documento interno a Medas, mantenuto aggiornato e disponibile in caso di accertamenti da parte del Garante.
Medas inoltre si avvale di tecnici esperti, formalmente designati, i quali possono intervenire sugli impianti in fase di installazione, configurazione, risoluzione di problemi, incidenti o in fase di exit (DS01 – Piano della Sicurezza – ISO 27001). L’elenco è un documento interno a Medas costantemente tenuto aggiornato e disponibile in caso di accertamenti da parte del Garante.
Milano, …. Xxxx. Xxxxxxx Xxxxx
Presidente CDA Medas srl e Responsabile del servizio di conservazione
ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO DATI AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679
TRA
la Società della Salute Pistoiese, in persona del Direttore xxxx. Xxxxxxx Xxxxxxxx, codice fiscale
domiciliato per la carica presso la sede della SDS sita in
, Partita IVA/codice fiscale , di seguito anche come “SDS”,
E
La MEDAS S.R.L., partita IVA/codice fiscale 02398390217, con sede legale in Via Benadir, 14 nella persona di XXXXXXX XXXXX nato a BERGAMO il 19/06/1963, in qualità di Presidente del CDA e legale rappresentante, domiciliato per la carica presso la sede della società stessa, di seguito anche come “Responsabile” ,
congiuntamente anche come le “Parti”
Premesso che:
- l’art. 28, par. 3, del Regolamento UE n. 2016/679 (General Data Protection Regulation), di seguito anche GDPR, prevede che i trattamenti effettuati per conto del Titolare del trattamento (SDS) da parte di un Responsabile del trattamento siano regolati da un contratto o da altro atto giuridico che determini la materia del trattamento, la durata, la natura e la finalità, il tipo di dati personali trattati e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento;
• l’art. 28 del Regolamento (UE) n. 2016/679 riconosce, altresì, al Titolare del trattamento la facoltà di avvalersi di uno o più responsabili del trattamento dei dati, che abbiano esperienza, capacità, conoscenza per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del regolamento, anche relativamente al profilo della sicurezza;
- la SDS ha affidato alla ditta Medas mediante provvedimento del Direttore della Sds Pistoiese n. 240/2018 avente ad oggetto “AFFIDAMENTO DEL SERVIZIO DI CONSERVAZIONE”;
• ai fini del rispetto della normativa, ciascuna persona che tratta dati personali deve essere autorizzata e istruita in merito agli obblighi normativi per la gestione dei suddetti dati durante lo svolgimento delle proprie attività;
• il Titolare ha affidato alla società MEDAS s.r.l. (di seguito “Responsabile” o “Fornitore”, e congiuntamente con il Titolare, “Parti”) il SERVIZIO DI CONSERVAZIONE DI DOCUMENTI provenienti dai seguenti sistemi informatici:
• Gestionale informatico della ditta Project srl che sottopone al sistema di conservazione Scryba i pacchetti di versamento contenenti DAE la cui tipologia è definita nel manuale della conservazione;
• Sistema DocLoader della ditta Medas srl che sottopone al sistema di conservazione i pacchetti di versamento contenenti DAE la cui tipologia è definita nel manuale della conservazione;
• tenuto conto delle attività di trattamento necessarie e/o opportune per dare esecuzione agli obblighi concordati tra le Parti, previa valutazione di quanto imposto dal Regolamento (UE) n. 2016/679, il Titolare ha ritenuto che il Responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del Regolamento (UE) n. 2016/679 ed a garantire la tutela dei diritti e le libertà degli interessati coinvolti nelle suddette attività di trattamento;
• tale nomina non comporta alcuna modifica della qualifica professionale del Responsabile e/o degli obblighi concordati tra le Parti.
Tutto quanto sopra premesso
la SDS, in qualità di Titolare del Trattamento, con la presente
NOMINA
in attuazione alle disposizioni del Regolamento del Parlamento Europeo n. 2016/679/UE (nel seguito “GDPR”),
la società MEDAS S.R.L. RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI ai sensi
dell’art. 28 del GDPR per il trattamento dei dati personali di cui è Titolare l’Azienda e di cui il Responsabile può venire a conoscenza nell’esercizio delle attività espletate per conto del Titolare relativamente al servizio di conservazione citato in premessa affidato dal Titolare al Responsabile.
Articolo 1 - Natura e finalità del trattamento
Il trattamento dei dati personali è effettuato esclusivamente per la corretta esecuzione delle attività concordate tra le Parti e di cui al citato contratto/convenzione.
Articolo 2 - Categorie di dati personali trattati
Il Responsabile del trattamento per espletare le attività pattuite tra le Parti per conto del Titolare tratta direttamente o anche solo indirettamente le seguenti categorie di dati:
• dati personali, di cui all’art. 4 n. 1 del GDPR;
• dati rientranti nelle categorie “particolari” di dati personali in particolare di carattere sanitario (p.e. dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale, all'orientamento sessuale della persona) di cui all’art. 9 del GDPR;
• dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza di cui all’art. 10 GDPR.
Articolo 3 - Categorie di interessati cui si riferiscono i dati trattati
Per effetto della presente nomina, le categorie di interessati i cui dati personali possono essere trattati, sono:
- pazienti/utenti;
- familiari dei pazienti/utenti;
- personale che opera a qualsiasi titolo e/o in forza di qualsivoglia atto all’interno della SDS (es. dipendenti, tirocinanti, interinale, ecc.);
Articolo 4 - Obbligo alla riservatezza
Trattandosi di dati personali e/o c.d. sensibili, il responsabile e i propri dipendenti e collaboratori sono tenuti alla assoluta riservatezza analogamente al segreto professionale e, così come previsto dal D.P.R. 62/2013 che il Responsabile si è impegnato a rispettare, al segreto d'ufficio, e comunque a trattare i dati in materia confidenziale e riservata, evitando l’eventuale comunicazione e/o conoscenza da parte di soggetti non autorizzati.
Articolo 5 – Disponibilità e uso dei dati
Qualunque sia la finalità e la durata del trattamento effettuato da parte del Responsabile:
- i dati non potranno essere venduti o ceduti, in tutto o in parte, ad altri soggetti e dovranno essere restituiti alla conclusione o revoca dell'incarico, o in qualsiasi momento il Titolare ne faccia richiesta;
- il Responsabile si impegna a non vantare alcun diritto sui dati e sui materiali presi in visione. Coerentemente con quanto prescritto dal GDPR, è esplicitamente fatto divieto al Responsabile di inviare messaggio pubblicitari, commerciali e promozionali, e comunque di contattare gli “interessati” per finalità diverse da quelle nel presente atto.
Articolo 6 - Cessazione del trattamento
Una volta cessati i trattamenti oggetto del Contratto, salvo rinnovo, il Responsabile si impegna a restituire al Titolare i dati personali acquisiti, pervenuti a sua conoscenza o da questi elaborati in relazione all’esecuzione del servizio prestato e, solo successivamente, si impegna a cancellarli dai propri archivi oppure distruggerli, ad eccezione dei casi in cui i dati debbano essere conservati in virtù di obblighi di legge. Resta inteso che la dimostrazione delle ragioni che giustificano il protrarsi degli obblighi di conservazione è a carico del Titolare e che le uniche finalità perseguibili con tali dati sono esclusivamente circoscritte a rispondere a tali adempimenti normativi.
Articolo 7 - Validità e Revoca della nomina
La presente nomina avrà validità per tutta la durata del rapporto giuridico intercorrente tra le Parti e potrà essere revocata a discrezione del Titolare.
La presente nomina non costituisce aggravio in capo al Responsabile, rientrando la medesima negli obblighi normativi che regolano i rapporti con il Titolare sotto il profilo della protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Articolo 8 - Sub-responsabili
Il Responsabile del trattamento non potrà ricorrere ad altri Responsabili senza la preventiva autorizzazione specifica del Titolare del trattamento. In tale ipotesi il Responsabile dovrà inviare, a mezzo P.E.C., circostanziata e motivata richiesta al Titolare che avrà la facoltà di consentire o meno detta nomina.
Ai sensi dell’art. 28, par. 4 del GDPR, fermo restando quanto previsto al precedente paragrafo, quando un responsabile del trattamento ricorre a un altro responsabile del trattamento, per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR.
Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.
Articolo 9 - Designazione e autorizzazione degli incaricati
Il Responsabile del trattamento garantisce la puntuale individuazione dei soggetti operanti a qualsiasi titolo nella propria organizzazione quali soggetti autorizzati al trattamento.
In particolare, il Responsabile del trattamento si impegna a consentire l’accesso e il trattamento dei dati personali solo a personale debitamente formato e specificamente designato anche ai sensi dell’art. 2- quaterdecies del D.Lgs 196/2003 e s.m.i.
Il Responsabile si impegna ad effettuare per iscritto le nomine e limitare l’accesso e il trattamento ai soli dati personali necessari per lo svolgimento delle attività oggetto della Convenzione/Contratto.
Il personale autorizzato dovrà ricevere idonea e specifica formazione in relazione al rispetto delle misure organizzative e tecniche, in particolare alle misure di sicurezza adottate, adeguate ad assicurare la tutela dei dati personali trattati nel rispetto delle previsioni normative e della prassi in materia.
Nello specifico il Responsabile:
• individua le persone autorizzate al trattamento dei dati impartendo loro, per iscritto, istruzioni dettagliate in merito alle operazioni consentite e alle misure di sicurezza da adottare in relazione alle criticità dei dati trattati;
• vigila regolarmente sulla puntuale applicazione da parte delle persone autorizzate di quanto prescritto, anche tramite verifiche periodiche;
• garantisce l’adozione dei diversi profili di autorizzazione delle persone autorizzate, in modo da limitare l’accesso ai soli dati necessari alle operazioni di trattamento consentite rispetto alle mansioni svolte;
• verifica periodicamente la sussistenza delle condizioni per la conservazione dei profili di autorizzazione di tutte le persone autorizzate, modificando tempestivamente detto profilo ove necessario (es. cambio di mansione);
• cura la formazione e l’aggiornamento professionale delle persone autorizzate che operano sotto la sua responsabilità circa le disposizioni di legge e regolamentari in materia di tutela dei dati personali.
Il Responsabile, su richiesta, invia al Titolare del trattamento a mezzo P.E.C. l’elenco nominativo con specifica evidenza delle relative mansioni dei soggetti autorizzati al trattamento dei dati personali svolti per suo conto e nell’ambito della Convenzione/Contratto.
Articolo 10 – Responsabile della protezione dei Dati
Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni dell’art. 37 del GDPR – si impegna a nominare e comunicare al Titolare il nominativo e i dati di contatto del Responsabile della Protezione dei Dati.
Articolo 11 - Diritti degli interessati
Premesso che l’esercizio dei diritti riconosciuti all’interessato ai sensi degli artt. 15 e seguenti del GDPR sarà gestito direttamente dal Titolare, il Responsabile si rende disponibile a collaborare con il Titolare stesso fornendogli tutte le informazioni necessarie a soddisfare le eventuali richieste ricevute in tal senso. Il Responsabile si impegna ad assistere il Titolare con misure tecniche e organizzative adeguate al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato.
In particolare, il Responsabile dovrà comunicare al Titolare, senza ritardo e comunque non oltre le 72 ore dalla ricezione, le istanze eventualmente ricevute e avanzate dagli interessati in virtù dei diritti previsti dalla vigente normativa (es. diritto di accesso, ecc.) e a fornire le informazioni necessarie al fine di consentire al Titolare di evadere le stesse entro i termini stabiliti dalla normativa.
Articolo 12 - Registro dei trattamenti
Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni del comma 5 dell’art. 30 del GDPR - mantiene un registro (in forma scritta e/o anche in formato elettronico) di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, contenente:
• il nome e i dati di contatto del Responsabile e/o dei suoi Sub – Responsabili;
• le categorie dei trattamenti effettuati per conto del Titolare;
• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate adottate;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1 del GDPR.
Il Responsabile garantisce, inoltre, di mettere a disposizione del Titolare e/o dell’Autorità di controllo che ne dovessero fare richiesta, il suddetto registro dei trattamenti.
Il Responsabile si impegna a coadiuvare il Titolare nella redazione del proprio Registro delle attività di trattamenti, segnalando anche, per quanto di propria competenza, eventuali modifiche da apportare al Registro.
Articolo 13 - Sicurezza dei dati personali
Il Responsabile è tenuto, ai sensi dell’art. 32 del GDPR, ad adottare le necessarie e adeguate misure di sicurezza (eventualmente anche ulteriori rispetto a quelle nel seguito indicate) in modo tale da ridurre al minimo i rischi di distruzione accidentale o illegale, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non consentito ai dati personali trasmessi, conservati o comunque trattati, o il trattamento non conforme alle finalità della raccolta.
Il Responsabile fornisce al titolare l’elenco delle adeguate misure di sicurezza adottate.
Articolo 14 - Sicurezza e Amministrazione del Sistema (ADS)
Il Responsabile fornirà al Titolare la lista nominativa degli ADS, con questi intendendo le persone fisiche che svolgono per conto del Responsabile ed in esecuzione dei compiti concordati ed affidati dal Titolare, attività di gestione e manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i software complessi che trattano dati del Titolare, le reti locali e gli apparati di sicurezza di quest’ultimo, o comunque che possano intervenire sulle misure di sicurezza a presidio dei medesimi dati. Con riferimento ai soggetti individuati, il Responsabile deve comunicare rispetto ad ognuno i compiti e le operazioni svolte.
Articolo 15 - Compiti e istruzioni per il Responsabile
Il Responsabile ha il potere ed il dovere di trattare i dati personali indicati nel rispetto della normativa vigente, attenendosi sia alle istruzioni di seguito fornite, sia a quelle che verranno rese note dal Titolare mediante procedure e/o comunicazioni specifiche.
Il Responsabile dichiara espressamente di comprendere ed accettare le istruzioni di seguito rappresentate e si obbliga a porre in essere, nell’ambito dei compiti contrattualmente affidati, tutti gli adempimenti prescritti dalla normativa di riferimento in materia di tutela dei dati personali al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e di trattamento non consentito o non conforme alla raccolta.
Articolo 16 - Modalità di trattamento e requisiti dei dati personali
Il Responsabile si impegna:
• a trattare direttamente, o per il tramite dei propri dipendenti, collaboratori esterni, consulenti, etc. – specificamente designati incaricati del trattamento - i dati personali del Titolare, per le sole finalità connesse allo svolgimento delle attività previste dal Contratto/Convenzione, in modo lecito e secondo correttezza, nonchè nel pieno rispetto delle disposizioni previste dal GDPR, nonchè, infine, dalle presenti istruzioni;
• non divulgare o rendere noti a terzi - per alcuna ragione ed in alcun momento, presente o futuro ed anche una volta cessati i trattamenti oggetto del Contratto/Convenzione - i dati personali ricevuti dal Titolare o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, se non previamente autorizzato per iscritto dal Titolare, fatti salvi eventuali obblighi di legge o ordini dell’Autorità Giudiziaria e/o di competenti Autorità amministrative;
• collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;
• dare immediato avviso al Titolare in caso di cessazione dei trattamenti concordati;
• non creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;
• in caso di ricezione di richieste specifiche avanzate dall’Autorità Garante per la protezione dei dati personali o altre autorità, a coadiuvare il Titolare per quanto di sua competenza;
• segnalare eventuali criticità al Titolare che possono mettere a repentaglio la sicurezza dei dati, al fine di consentire idonei interventi da parte dello stesso;
• coadiuvare, su richiesta, il Titolare ed i soggetti da questo indicati nella redazione della documentazione necessaria per adempiere alla normativa di settore, con riferimento ai trattamenti di dati effettuati dal Responsabile in esecuzione delle attività assegnate.
Articolo 17 - Istruzioni specifiche per il trattamento dati particolari e/o relativi a condanne penali e reati
Il Responsabile deve:
• verificare la corretta osservanza delle misure previste dal Titolare in materia di archiviazione nel rispetto di quanto previsto dal precedente articolo 6, potendo derivare gravi conseguenze da accessi non autorizzati alle informazioni oggetto di trattamento;
• prestare particolare attenzione al trattamento dei dati personali rientranti nelle categorie particolari e/o relative a condanne penali o reati degli interessati conosciuti, anche incidentalmente, in esecuzione dell’incarico affidato, procedendo alla loro raccolta e archiviazione solo ove ciò si renda necessario per lo svolgimento delle attività di competenza e istruendo in tal senso le persone autorizzate che operano all’interno della propria struttura;
• conservare, nel rispetto di quanto previsto dal precedente articolo 6, la documentazione contenente dati particolari e/o relativi a condanne penali e reati adottando misure idonee al fine di evitare accessi non autorizzati ai dati, distruzione, perdita e/o qualunque violazione di dati personali;
• vigilare affinchè i dati personali degli interessati vengano comunicati solo a quei soggetti preventivamente autorizzati dal Titolare (ad esempio a propri fornitori e/o subfornitori) che presentino garanzie sufficienti secondo le procedure di autorizzazione disposte e comunicate dal Titolare. Sono altresì consentite le comunicazioni richieste per legge nei confronti di soggetti pubblici;
• sottoporre preventivamente al Titolare, per una sua formale approvazione, le richieste di dati da parte di soggetti esterni;
• non diffondere i dati personali, particolari e/o relativi a condanne penali e reati degli interessati;
• segnalare eventuali criticità nella gestione della documentazione contenente dati personali, particolari e/o relativi a condanne penali e reati al fine di consentire idonei interventi da parte del Titolare. Articolo 18 – Violazione dei dati
Il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo dall’avvenuta conoscenza, e comunque entro 36 ore, con comunicazione da inviarsi all’indirizzo PEC del titolare, ogni violazione dei dati personali (data breach) fornendo, altresì:
• la descrizione della natura della violazione e l’indicazione delle categorie dei dati personali e il numero approssimativo di interessati coinvolti;
• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• la descrizione delle probabili conseguenze;
• la descrizione delle misure adottate o di cui dispone per porre rimedio alla violazione o, quantomeno, per attenuarne i possibili effetti negativi.
Fermo quanto sopra previsto, il Responsabile si impegna a prestare ogni più ampia assistenza al Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 33 - 34 del GDPR.
Una volta definite le ragioni della violazione, il Responsabile di concerto con il Titolare e/o altro soggetto da quest’ultimo indicato, su richiesta, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi, al riguardo anche avvalendosi dell’operato di subfornitori.
Articolo 19 - Valutazione di impatto e consultazione preventiva
Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile del trattamento, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai Sub - Responsabili. Articolo 20 - Trasferimento dei dati personali
Il Responsabile del trattamento si impegna a circoscrivere gli ambiti di circolazione e trattamento dei dati personali (es. memorizzazione, archiviazione, conservazione dei dati sui propri server) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in Paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 CAPO V.
Articolo 21 - Attività di audit
Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di sicurezza descritti nel presente documento e, in generale, il rispetto delle obbligazioni assunte in forza del presente atto e del GDPR, consentendo e, su richiesta, contribuendo alle attività di audit, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da esso incaricato.
Qualora il Titolare rilevasse comportamenti difformi a quanto prescritto dalla normativa in materia nonchè dalle disposizioni contenute nei provvedimenti del Garante per la protezione dei dati personali, provvederà a darne comunicazione al Responsabile, senza che ciò possa far venire meno l’autonomia dell’attività di impresa del Responsabile ovvero possa essere qualificato come ingerenza nella sua attività. Articolo 22 - Ulteriori istruzioni
Il Responsabile comunica tempestivamente al Titolare qualsiasi modificazione di assetto organizzativo o di struttura proprietaria che dovesse intervenire successivamente all’affidamento dell’incarico, affinchè il Titolare possa accertare l’eventuale sopravvenuta mancanza dei requisiti previsti dalla vigente normativa o il venir meno delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per il corretto trattamento dei dati oggetto della presente nomina.
Il Responsabile informa prontamente il Titolare delle eventuali carenze, situazioni anomale o di emergenza rilevate nell’ambito del servizio erogato - in particolare ove ciò possa riguardare il trattamento dei dati personali e le misure di sicurezza adottate dal Responsabile - e di ogni altro episodio o fatto rilevante che intervenga e che riguardi comunque l'applicazione del GDPR (ad es. richieste del Garante, esito delle ispezioni svolte dalle Autorità, ecc.) o della normativa nazionale ancorchè applicabile.
Articolo 23 - Codici di Condotta e Certificazioni
Il Responsabile si impegna a comunicare al Titolare l’adesione a codici di condotta approvati ai sensi dell’art. 40 del GDPR e/o l’ottenimento di certificazioni che impattano sui servizi offerti al Titolare, intendendo anche quelle disciplinate dall’art. 42 del GDPR.
Articolo 24 – Norme finali e responsabilità
Il Titolare, poste le suddette istruzioni e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio ruolo, di impartire per iscritto eventuali ulteriori istruzioni che dovessero risultare necessarie per il corretto e conforme svolgimento delle attività di trattamento dei dati collegate all’accordo vigente tra le Parti, anche a completamento ed integrazione di quanto sopra definito.
Il Responsabile dichiara sin d’ora di mantenere indenne e manlevato il Titolare da qualsiasi danno, onere, spesa e conseguenza che dovesse derivare al Titolare stesso a seguito della violazione, da parte del Responsabile o di suoi Sub – Responsabili, degli impegni relativi al rispetto della disciplina in materia di protezione dei dati personali o delle istruzioni contenute nei relativi atti di nomina anche in seguito a comportamenti addebitabili ai loro dipendenti, rappresentanti, collaboratori a qualsiasi titolo.
, lì
p. SDS Pistoiese
x. Xxxxx r..l. Rappresentante legale
MANUALE DI CONSERVAZIONE DELLA SOCIETA’ DELLA SALUTE PISTOIESE
Documento Versione V1 del 14/02/2019
SOMMARIO
1. SCOPO E AMBITO DEL DOCUMENTO 4
2. TERMINOLOGIA 5
3. NORMATIVA E STANDARD DI RIFERIMENTO 6
3.1. NORMATIVA DI RIFERIMENTO 6
3.2. STANDARD DI RIFERIMENTO 7
4. RUOLI E RESPONSABILITA’ 8
4.1. RESPONSABILE DELLA CONSERVAZIONE (RdC) 8
4.1.1. AFFIDAMENTI DEL RESPONSABILE DELLA CONSERVAZIONE 9
4.2. TITOLARI DI FIRMA AUTOMATICA 9
5. OGGETTI SOTTOPOSTI A CONSERVAZIONE 10
5.1. PACCHETTO DI VERSAMENTO (PdV) 10
5.2. PACCHETTO DI ARCHIVIAZIONE (PdA) 10
5.3. PACCHETTI DI DISTRIBUZIONE (PdD) 10
6. IL PROCESSO DI CONSERVAZIONE 11
6.1. MODALITÀ DI ACQUISIZIONE DEI PACCHETTI DI VERSAMENTO 11
6.2. VERIFICHE SUI PACCHETTI DI VERSAMENTO 11
6.3. ACCETTAZIONE DEI PACCHETTI DI VERSAMENTO 11
6.4. RIFIUTO DEI PACCHETTI DI VERSAMENTO 11
6.5. PREPARAZIONE E GESTIONE DEL PACCHETTO DI ARCHIVIAZIONE 11
6.6. PREPARAZIONE DEL PACCHETTO DI DISTRIBUZIONE 12
6.7. DUPLICATI E COPIE INFORMATICHE 12
6.8. COPIE DI SICUREZZA (CdS) 12
6.9. SCARTO DEI PACCHETTI DI ARCHIVIAZIONE 12
6.10. INTEROPERABILITÀ 12
7. IL SISTEMA DI CONSERVAZIONE 13
7.1. COMPONENTI LOGICHE 13
7.2. COMPONENTI TECNOLOGICHE 13
7.3. COMPONENTI FISICHE 13
8. MONITORAGGIO E CONTROLLI 14
8.1. ATTIVITA’ DI MONITORAGGIO 14
8.2. BACKUP E LOG 14
1. SCOPO E AMBITO DEL DOCUMENTO
Il presente Manuale della Conservazione (MdC), predisposto dal Responsabile della Conservazione (RdC) a norma dell’art. 7 c. 1 lett. m del D.P.C.M. 3 dicembre 2013 è un documento della SOCIETà DELLA SALUTE PISTOIESE (d’ora in poi SDS) che descrive le responsabilità e l’organizzazione logica e fisica del sistema di conservazione dei documenti digitali in particolare indica i soggetti che nel tempo ne hanno assunto la responsabilità, i processi attuati nell'ambito della conservazione, gli oggetti e le tipologie documentarie da destinare a conservazione.
Il presente documento e i dati contenuti devono essere mantenuti puntualmente aggiornati. La responsabilità dell’aggiornamento è in capo al RdC a seguito di variazioni avvenute nel ciclo di produzione e conservazione dei documenti informatici.
2. TERMINOLOGIA
AIP – Archival Information Package CdS – Copie di Sicurezza
DAE – Documento Amministrativo Elettronico DCE – Documento Clinico Elettronico
DICOM - Digital Imaging and COmmunications in Medicine MdC – Media di Conservazione
PdA – Pacchetti di Archiviazione PdD – Pacchetti di Distribuzione PdV – Pacchetti di Versamento
RdC – Responsabile della Conservazione VdC – Volume di conservazione
3. NORMATIVA E STANDARD DI RIFERIMENTO
3.1. NORMATIVA DI RIFERIMENTO
• L. 7 agosto 1990, n. 241 – Nuove norme in materia di procedimento amministrativo e di diritto di accesso ai documenti amministrativi.
Il testo normativo regola i procedimenti amministrativi fissandone i principi generali cui devono uniformarsi: economicità, efficacia, pubblicità e trasparenza. Esso, inoltre, garantisce e disciplina il diritto di accesso, ovverosia il diritto degli interessati di prendere visione e di estrarre copia di documenti amministrativi.
• D. Lgs. 30 giugno 2003, n. 196 e s.m.i. – Codice in materia di protezione dei dati personali
Il codice garantisce e disciplina il trattamento dei dati personali: affinché sia svolto nel rispetto dei diritti, delle libertà fondamentali, e della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità personale e al diritto alla protezione dei dati personali.
• D. Lgs. 22 gennaio 2004, n.42 e s.m.i. – Codice dei Beni Culturali e del Paesaggio
Il codice garantisce e disciplina la tutela e la valorizzazione del patrimonio e dei beni culturali. Tra i beni culturali citati vi sono gli archivi dei soggetti pubblici oltre che dei soggetti privati dichiarati di interesse storico.
• D.P.R. 28 dicembre 2000 n. 445 – Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa
Il testo unico recepisce e riordina tutta la normativa precedente in tema di documentazione amministrativa ed istituisce e determina le funzioni del Responsabile della Gestione Documentale di un ente pubblico.
• D.Lgs. 7 marzo 2005 n. 82 – Codice dell’amministrazione digitale (CAD)
Il codice costituisce un corpo organico di disposizioni che presiede all’uso dell’informatica come strumento di comunicazione tra Pubblica Amministrazione e cittadini.
• D.P.C.M. 22 febbraio 2013 – Regole tecniche sulle firme elettroniche
Il decreto definisce le regole in materia di generazione, apposizione e verifica delle firme elettroniche avanzate e digitali.
• D.P.C.M. 3 dicembre 2013 – Regole tecniche in materia di sistema di conservazione
Il decreto definisce le caratteristiche, gli oggetti, le responsabilità, le modalità di esibizione del contenuto connesse ad un sistema di conservazione.
• D.P.C.M. 3 dicembre 2013 – Regole tecniche sul protocollo informatico
Il decreto definisce le regole tecniche, i criteri e le specifiche delle informazioni previste nelle operazioni di registrazione e segnatura di protocollo, nonché gli adeguamenti a cui sono sottoposte le Pubbliche Amministrazioni in tema di protocollo informatico.
• D.P.C.M. 13 novembre 2014 – Regole tecniche sul documento informatico
Il decreto regola la formazione, la copia, la duplicazione, la riproduzione e la validazione temporale dei documenti informatici.
3.2. STANDARD DI RIFERIMENTO
Gli standard di riferimento per i servizi di conservazione sono i seguenti:
• ISO 14721:2012 OAIS (Open Archival Information System), Sistema informativo aperto per l’archiviazione;
• ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems
– Requirements, Requisiti di un ISMS (Information Security Management System);
• ETSI TS 101 533-1 V1.3.1 (2012-04) Technical Specification, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 1: Requirements for Implementation and Management, Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;
• ETSI TR 101 533-2 V1.3.1 (2012-04)Technical Report, Electronic Signatures and Infrastructures (ESI); Information Preservation Systems Security; Part 2: Guidelines for Assessors, Linee guida per valutare sistemi sicuri e affidabili per la conservazione elettronica delle informazioni;
• UNI 11386:2010 Standard SInCRO - Supporto all'Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali;
4. RUOLI E RESPONSABILITA’
4.1. RESPONSABILE DELLA CONSERVAZIONE (RdC)
Il RdC definisce e attua le politiche complessive del sistema di conservazione e ne governa la gestione con piena responsabilità ed autonomia.
Ai sensi dell’art. 7 del D.P.C.M. 3 dicembre 2013, il Responsabile della Conservazione:
• definisce le caratteristiche e i requisiti del sistema di conservazione in funzione della tipologia dei documenti da conservare, della quale tiene evidenza, in conformità alla normativa vigente;
• gestisce il processo di conservazione e ne garantisce nel tempo la conformità alla normativa vigente;
• genera il rapporto di versamento, secondo le modalità previste dal manuale di conservazione;
• genera e sottoscrive il pacchetto di distribuzione con firma digitale o firma elettronica qualificata, nei casi previsti dal manuale di conservazione;
• effettua il monitoraggio della corretta funzionalità del sistema di conservazione;
• assicura la verifica periodica, con cadenza non superiore ai cinque anni, dell'integrità degli archivi e della leggibilità degli stessi;
• al fine di garantire la conservazione e l'accesso ai documenti informatici, adotta misure per rilevare tempestivamente l'eventuale degrado dei sistemi di memorizzazione e delle registrazioni e, ove necessario, per ripristinare la corretta funzionalità; adotta analoghe misure con riguardo all'obsolescenza dei formati;
• provvede alla duplicazione o copia dei documenti informatici in relazione all'evolversi del contesto tecnologico, secondo quanto previsto dal manuale di conservazione;
• adotta le misure necessarie per la sicurezza fisica e logica del sistema di conservazione ai sensi dell'art. 12(delle regole tecniche);
• assicura la presenza di un pubblico ufficiale, nei casi in cui sia richiesto il suo intervento, garantendo allo stesso l'assistenza e le risorse necessarie per l'espletamento delle attività al medesimo attribuite;
• assicura agli organismi competenti previsti dalle norme vigenti l'assistenza e le risorse necessarie per l'espletamento delle attività di verifica e di vigilanza;
• provvede, per gli organi giudiziari e amministrativi dello Stato, al versamento dei documenti conservati all'archivio centrale dello Stato e agli archivi di Stato secondo quanto previsto dalle norme vigenti;
• predispone il manuale di conservazione di cui all'art. 8 (delle regole tecniche) e ne cura l'aggiornamento periodico in presenza di cambiamenti normativi, organizzativi, procedurali o tecnologici rilevanti.
La SDS ha nominato nel tempo mediante atto formale i RdC di seguito indicati.
Periodo di validità della nomina | Responsabile della Conservazione | Estremi dell’incarico |
dal 04/02/2019 | Xxxx. Xxxxxxx Xxxxxxxx Direttore SDS | Nomina del legale rappresentante del 04-02-2019 |
prima del 04-02-2019 | Non era attivo il procedimento di Conservazione Digitale |
4.1.1. AFFIDAMENTI DEL RESPONSABILE DELLA CONSERVAZIONE
Il Responsabile della Conservazione, come previsto dall’art. 5 c. 2 del D.P.C.M. 3 dicembre 2013, può affidare in tutto o in parte la conservazione ad uno o più soggetti esterni che offrono idonee garanzie organizzative e tecnologiche. L’affidamento è formalizzato mediante il documento allegato n. 1 “Mandato di affidamento” e che prevede anche la nomina dell’affidatario quale Responsabile del trattamento dei dati ai sensi della normativa vigente.
Di seguito viene riportata la storia delle deleghe conferite dal Responsabile della Conservazione.
Periodo | Affidamento | Estremi dell’ affidamento | Attività affidate |
da 01/10/2018 al 30/09/2021 | Affidamento a Medas srl Milano; P.Iva 02398390217 | Mandato di Affidamento Det. n.240 del 10/08/2018 | Vedi documento accordi di versamento |
4.2. TITOLARI DI FIRMA AUTOMATICA
Gli indici delle strutture informatiche AIP, VdC e MdC di ogni canale prodotti dal sistema di conservazione sono sottoscritti con firma digitale automatica del Responsabile del servizio di conservazione del conservatore accreditato Medas, xxxx. Xxxxxxx Xxxxx a cui la SDS ha affidato il procedimento come da documento “Mandato di affidamento”
5. OGGETTI SOTTOPOSTI A CONSERVAZIONE
La conservazione della SDS attraverso il servizio affidato a Medas prevede la conservazione dei seguenti flussi di documenti informatici
• DAE sottoposti dal Gestionale della ditta Project srl a Scryba – Canale DAE
La SDS prevede che il servizio di conservazione sia attivo per la conservazione dei PdV descritti nel documento “Accordi di versamento” predisposto dai responsabili della produzione dei documenti di cui si indica anche il relativo formato e i tempi di invio in conservazione.
Inoltre il documento “Accordi di versamento” specifica nel dettaglio i flussi di versamento dei singoli PdV distinguendo i sistemi che producono i documenti all’interno della SDS, i sistemi che li archiviano (sistemi PACS, repository, gestori documentali) ed infine il sistema di conservazione.
E’ compito del Responsabile della Conservazione comunicare al Conservatore Medas eventuali variazioni che dovessero intervenire sia in relazione alle tipologie di PdV inviati sia alle modalità di produzione o archiviazione.
5.1. PACCHETTO DI VERSAMENTO (PdV)
La struttura del PdV è descritta nell’allegato 2 “Manuale di conservazione del conservatore Medas”.
5.2. PACCHETTO DI ARCHIVIAZIONE (PdA)
La struttura del PdA è descritta nell’allegato 2 “Manuale di conservazione del conservatore Medas”.
5.3. PACCHETTI DI DISTRIBUZIONE (PdD)
La struttura del PdD è descritta nell’allegato 2 “Manuale di conservazione del conservatore Medas”.
6. IL PROCESSO DI CONSERVAZIONE
Il processo di conservazione è descritto nel “Manuale della conservazione del conservatore Medas”.
6.1. MODALITÀ DI ACQUISIZIONE DEI PACCHETTI DI VERSAMENTO
L’acquisizione dei pacchetti di versamento avviene mediante integrazione del sistema di conservazione con i gestionali della SDS ed in particolare mediante Web Services opportunamente implementate. Lato sistema di conservazione, le modalità di acquisizione dei pacchetti di versamento per la loro presa in carico sono descritte nel “Manuale di conservazione del conservatore Medas”.
6.2. VERIFICHE SUI PACCHETTI DI VERSAMENTO
Le verifiche effettuate sui pacchetti di versamento e sugli oggetti in esso contenuti sono descritti nel “Manuale della conservazione del conservatore Medas” e nel documento “Accordi di versamento” dove sono riportare le regole di presa in carico.
6.3. ACCETTAZIONE DEI PACCHETTI DI VERSAMENTO
L’accettazione dei pacchetti di versamento è condizionata dall’applicazione delle regole di presa in carico descritte nell’allegato 3 “Accordi di versamento”.
La generazione del rapporto di versamento è descritta nell’allegato 2 “Manuale della conservazione del conservatore Medas”.
6.4. RIFIUTO DEI PACCHETTI DI VERSAMENTO
Il rifiuto dei pacchetti di versamento è condizionata dall’applicazione delle regole di presa in carico descritte nel documento “Accordi di versamento”.
Le modalità di comunicazione delle anomalie sono descritte nel “Manuale della conservazione del conservatore Medas”.
6.5. PREPARAZIONE E GESTIONE DEL PACCHETTO DI ARCHIVIAZIONE
La preparazione e gestione del pacchetto di archiviazione è descritta nel “Manuale della conservazione del conservatore Medas”.
6.6. PREPARAZIONE DEL PACCHETTO DI DISTRIBUZIONE
La preparazione e gestione del pacchetto di distribuzione ai fini dell’esibizione è descritta nel “Manuale della conservazione del conservatore Medas”.
6.7. DUPLICATI E COPIE INFORMATICHE
La produzione di duplicati e copie informatiche è descritta nel “Manuale della conservazione del conservatore Medas”. All’interno della SDS la funzione di pubblico ufficiale è espletata dal Direttore il quale è abilitato al rilascio di copie conformi dei documenti conservati.
6.8. COPIE DI SICUREZZA (CdS)
La descrizione completa del processo di produzione delle copie di sicurezza è descritta nel “Manuale della Conservazione del conservatore Medas”.
Il sistema di conservazione Scryba per l’SDS per ogni PdA, genera le seguenti CdS:
• 1 copia memorizzata in un’area di storage del conservatore riservata alla SDS presso la server farm SUPERNAP ITALIA vix Xxxxxx, 0/00 Xxxxxxx (XX),
• 1 copia memorizzata in aree di storage del conservatore riservate alla SDS presso la server farm MEDAS vix Xxxxxxx 00, 00000 Xxxxxx.
I formati sono definiti nel Manuale del sistema di conservazione Scryba.
6.9. SCARTO DEI PACCHETTI DI ARCHIVIAZIONE
La modalità operativa per lo scarto dei pacchetti di archiviazione è descritta nel “Manuale della conservazione del conservatore Medas”.
Attualmente la SDS non prevede politiche di scarto.
6.10. INTEROPERABILITÀ
Le misure a garanzia dell’interoperabilità e trasferibilità ad altri conservatori è descritta nel “Manuale della conservazione del conservatore Medas”.
7. IL SISTEMA DI CONSERVAZIONE
Il Sistema di conservazione è descritto nel “Manuale della Conservazione del conservatore Medas”.
7.1. COMPONENTI LOGICHE
Le componenti logiche del sistema di conservazione sono descritte nel “Manuale della Conservazione del conservatore Medas”.
7.2. COMPONENTI TECNOLOGICHE
Le componenti tecnologiche del sistema di conservazione sono descritte nel “Manuale della Conservazione del conservatore Medas”.
L’infrastruttura di rete geografica che connette la rete locale della SDS con la server farm del conservatore MEDAS è una linea di trasmissione dati VPN dedicata e cifrata con certificato a 2048 bit. Tramite questa connessione l’applicazione sottopone i documenti al sistema di conservazione remoto Scryba.
7.3. COMPONENTI FISICHE
Le componenti fisiche del sistema di conservazione sono descritte nel “Manuale della Conservazione del conservatore Medas”.
8. MONITORAGGIO E CONTROLLI
8.1. ATTIVITA’ DI MONITORAGGIO
Le procedure di monitoraggio, verifica dell’integrità degli archivi e le soluzioni adottate in caso di anomalie sono descritte nel “Manuale della Conservazione del conservatore Medas”.
In particolare l’attività del sistema Scryba viene documentata e rendicontata sul singolo impianto attraverso report trimestrali. La comunicazione avviene tramite PEC al RdC della SDS.
8.2. BACKUP E LOG
Il backup e i log del sistema di conservazione sono descritti nel “Manuale della Conservazione del conservatore Medas”.
ALLEGATO C
Il presente documento è un
Allegato al Manuale della Conservazione della Società della Salute Pistoiese
ACCORDI DI VERSAMENTO DEI DOCUMENTI INFORMATICI NEL SISTEMA DI CONSERVAZIONE SCRYBA
DELLA SOCIETA’ DELLA SALUTE PISTOIESE
Documento Versione V1 del 14/02/2019
1. SCOPO DEL DOCUMENTO 3
1.1. SCOPO 3
1.2. AGGIORNAMENTO PUNTUALE 3
2. PACCHETTI DI VERSAMENTO (PdV) 4
2.1. TIPOLOGIE DEI PDV 4
2.2. METADATI 4
2.3. FORMATI, FIRME E TEMPI DI INVIO IN CONSERVAZIONE 4
3. LA RESPONSABILITA’ DEL CICLO DI VITA DEI DOCUMENTI 6
3.1. RESPONSABILITA’ DELLA PRODUZIONE 6
3.1.1. Modalità di validazione dei documenti 6
3.1.2. Modalità di gestione del versionamento (versioning) 6
3.1.3. Modalità di gestione dell’oscuramento 6
3.1.4. Modalità di gestione delle relazioni tra i documenti 6
3.2. LA RESPONSABILITA’ DELLA CONSERVAZIONE E DELLO SCARTO 7
4. FLUSSI DI VERSAMENTO 8
4.1. TABELLA DEI FLUSSI DI VERSAMENTO 8
4.2. SISTEMI CHE PRODUCONO DOCUMENTI 8
4.2.1. APPLICATIVI DI PRODUZIONE DI DOCUMENTI AMMINISTRATIVI 8
4.3. SISTEMA DI CONSERVAZIONE E CANALI DI CONSERVAZIONE 8
4.3.1. Scryba – Canale DAE 8
5. LE REGOLE DI VERSAMENTO IN ARCHIVIAZIONE E CONSERVAZIONE 10
5.1. MODALITA’ DI PRESA IN CARICO ED ESITI 10
5.2. REGOLE DI PRESA IN CARICO DEI PDV 10
5.2.1. Regole di presa in carico di PdV di tipo “DAE” 10
1.1. SCOPO
Il presente documento, allegato al Manuale della Conservazione, è un documento predisposto dalla Società della Salute Pistoiese (d’ora in poi SDS) ed ha come obiettivo quello di delineare gli ambiti delle responsabilità in capo ai soggetti coinvolti nel ciclo di produzione e conservazione di documenti informatici, le tipologie documentarie oggetto di conservazione e le regole condivise affinché i documenti siano conservati nel Sistema di Conservazione Scryba di Medas srl.
1.2. AGGIORNAMENTO PUNTUALE
Il presente documento e i dati contenuti devono essere mantenuti puntualmente aggiornati. La responsabilità dell’aggiornamento è in capo al Responsabile della Conservazione a seguito di variazioni avvenute nel ciclo di produzione e conservazione dei documenti informatici.
2.1. TIPOLOGIE DEI PDV
Sono conservati i seguenti PdV relativi ai documenti informatici elencati nella tabella sottostante.
Tipologia Documentaria relativa ai PdV | Descrizione |
Documenti Amministrativi Elettronici (DAE) • Registro giornaliero di protocollo • Determinazioni • Deliberazioni • Allegati • Contratti | Documenti elettronici di carattere amministrativo |
2.2. METADATI
I metadati relativi alle tipologie documentarie inviate in conservazione sono oggetto degli “Accordi di integrazione Scryba Adapter” che vengono sottoscritti tra il conservatore e le singole software house nel momento in cui si avvia un processo di integrazione.
Nella tabella di seguito sono indicati gli estremi dei documenti oggetto degli accordi che si ritengono integralmente concordati ed acquisiti anche dal RdC.
Canale | Tipologia documentaria | Estremi dell’accordo di integrazione |
DAE | •Registro giornaliero di protocollo •Determinazioni •Deliberazioni •Allegati | Accordo prot. MD-WP P-18-D51B3 del 07/11/2018 |
DAE | •Contratti | Inviati da sistema di Upload documentale DocLoader embedded in Scryba |
2.3. FORMATI, FIRME E TEMPI DI INVIO IN CONSERVAZIONE
Le tipologie documentarie oggetto di conservazione possiedono formati, firme e tempi di invio in conservazione secondo quanto riportato nella tabella sottostante.
Tipologia Documentaria relativa ai PdV | Formato | Firma | Tempi di invio in conservazione |
DAE (documenti amministrativi elettronici) •Allegati •Determinazioni •Deliberazioni | CADES-BES | Subito dopo la produzione | |
DAE (documenti amministrativi elettronici) • Registro giornaliero di protocollo | PDF, CSV | Non presente | Subito dopo la produzione |
DAE (documenti amministrativi elettronici) • Contratti | CADES-BES/PADES BES | Invio manuale dell’utente |
Nella tabella sottostante si riportano ulteriori informazioni circa le caratteristiche ritenute necessarie per la leggibilità dei formati gestiti.
Aggregazione o Tipologia documentaria | Visualizzatore | Produttore | Formato e versione | Sistema operativo | Licenza e relativa scadenza |
DAE | Non rilevante | PDF versioni varie | Non rilevante | Non rilevante |
3. LA RESPONSABILITA’ DEL CICLO DI VITA DEI DOCUMENTI
3.1. RESPONSABILITA’ DELLA PRODUZIONE
L’SDS disciplina la produzione dei propri documenti informatici secondo procedure e linee guida emanate e diffuse all’interno del consorzio.
In particolare per quanto riguarda i documenti informatici oggetto dei presenti accordi si stabiliscono le caratteristiche indicate nei paragrafi seguenti.
3.1.1. Modalità di validazione dei documenti
I DAE prodotti e successivamente inviati in conservazione sono firmati digitalmente dall’operatore che ha la responsabilità della loro produzione secondo la tabella al cap. 2.
3.1.2. Modalità di gestione del versionamento (versioning)
I sistemi di produzione dei documenti devono prevedere meccanismi di identificazione univoca dei documenti prodotti mediante apposite funzionalità. Inoltre è necessario che sia garantita la gestione delle versioni successive alla prima.
La SdS prevede che i documenti siano inviati in conservazione sempre sotto forma di prime versioni. L’integrazione non prevede l’invio di: Documenti Sostituitivi, Documenti Annullativi, Documenti
3.1.3. Modalità di gestione dell’oscuramento
Al fine di poter gestire le informazioni riguardanti l’oscuramento per volontà del paziente o per legge1 dei DCE prodotti, il produttore ha la possibilità di istanziare metadati che identificano i motivi specifici dell’oscuramento oppure indicare in forma generica che il documento è oscurato.
La SdS prevede che per ciascun documento possa essere istanziato, prima dell’invio in conservazione, uno dei seguenti codici di riservatezza:
“000” Non noto
“010” Accesso consentito
“020” Oscurato
“100” DATI PARTICOLARI – CATEGORIE PARTICOLARI DI DATI (ART. 9 GDPR)
3.1.4. Modalità di gestione delle relazioni tra i documenti
Al fine di mantenere nel tempo i legami esistenti tra i documenti prodotti e facenti parte di aggregazioni documentali specifiche è importante che vengano valorizzati i metadali relativi alle relazioni che intercorrono tra i documenti.
L’SDS valorizza le seguenti relazioni:
Canale | Tipologia documentaria | Tipo di relazione | Sottotipo di relazione |
1 L’oscuramento per legge è applicato nei casi relativi a delle vittime di atti di violenza sessuale o di pedofilia (L.15 febbraio 1996, n. 66; L. 3 agosto 1998, n. 269 e L. 6 febbraio 2006, n. 38); persone sieropositive (L. 5 giugno 1990 n. 35); persone che fanno uso di sostanze stupefacenti, di sostanze psicotrope e di alcool (D.P.R. 9 ottobre 1990 n.135); donne che si sottopongono a un intervento di interruzione volontaria della gravidanza o che decidono di partorire in anonimato (L. 22 maggio 1978 n. 194 e D.M. 16 luglio 2001 n. 349), nonché con riferimento ai servizi offerti dai consultori familiari (L. 29 luglio 1975 n.405).
DAE | Deliberazioni Determinazioni | Nessuna relazione adottata | |
Registro giornaliero di protocollo | Nessuna relazione adottata | ||
Allegati e contratti | Is attached to | Addendum |
3.2. LA RESPONSABILITA’ DELLA CONSERVAZIONE E DELLO SCARTO
Il sistema di conservazione assicura, dalla presa in carico dal produttore fino all’eventuale scarto, la conservazione degli oggetti digitali in esso conservati, tramite l’adozione di regole, procedure e tecnologie adeguate, garantendone le caratteristiche di autenticità, integrità, affidabilità, leggibilità e reperibilità.
I tempi di conservazione dei documenti informatici presenti nel sistema di conservazione sono regolati dalle indicazioni fornite dal piano di conservazione aziendale.
Trascorso il tempo indicato nel piano, il Responsabile della Conservazione procede allo scarto della documentazione. Allo stato attuale non si prevedono politiche di scarto.
4. FLUSSI DI VERSAMENTO
4.1. TABELLA DEI FLUSSI DI VERSAMENTO
La tabella sottostante illustra i flussi di versamento che coinvolgono i sistemi di produzione, di archiviazione e di conservazione.
I sistemi informatici nominati nella tabella sottostante sono descritti nei successivi paragrafi del presente capitolo.
Aggregazione o Tipologia Documentaria | Sistema Produttore | Archivio | Conservazione |
Documenti Amministrativi Elettronici 003.000.230.010 (Delibera) 003.000.230.020 (Determina) 003.000.130.460 (Registro giornaliero di protocollo) 003.000.000.040 (Documento Allegato) 003.000.240.000 (Contratto/Convenzioni) 003.000.240.010 (Contratto pubblico di affidamento lavori) 003.000.240.011 (Contratto pubblico di affidamento servizi) 003.000.240.012 (Contratto pubblico di affidamento forniture) 003.000.240.030 (Convenzione tra PA) | Gestionale Project srl | - | Scryba - canale DAE |
4.2. SISTEMI CHE PRODUCONO DOCUMENTI
4.2.1. APPLICATIVI DI PRODUZIONE DI DOCUMENTI AMMINISTRATIVI
Sistemi informatici aziendali deputali alla generazione e documenti amministrativi elettronici.
Tipo applicazione | Descrizione | Produttore e Prodotto | Tipologia documentaria |
Applicazioni | Applicazioni di creazione dei DAE | Gestionale Project srl | Documenti amministrativi elettronici |
Applicazioni | Applicazioni di creazione dei DAE | Sistema DocLoader di upload documentale | Documenti amministrativi elettronici |
4.3. SISTEMA DI CONSERVAZIONE E CANALI DI CONSERVAZIONE
4.3.1. SCRYBA – CANALE DAE
Scryba è un sistema software ideato, progettato e realizzato da Medas srl, dedicato alla conservazione a norma di documenti digitali. L’architettura logica è basata sul concetto di “canale” ossia un flusso di conservazione dedicato a determinate tipologie documentarie. Ogni impianto Scryba può essere configurato per erogare contemporaneamente e parallelamente più flussi di conservazione. Il canale DAE è configurato per la conservazione di documenti digitali di carattere amministrativo
Tipo applicazione | Descrizione | Produttore e Prodotto | Tipologia documentaria |
Scryba DAE | – | Canale | Sistema conservazione | di | Produttore: Medas srl Prodotto: Scryba | Documenti elettronici | amministrativi |
5. LE REGOLE DI VERSAMENTO IN ARCHIVIAZIONE E CONSERVAZIONE
5.1. MODALITA’ DI PRESA IN CARICO ED ESITI
La soluzione Scryba introduce elementi organizzativi e tecnologici che garantiscono la qualità dei documenti clinici a garanzia della comunità degli utenti (operatori sanitari) e soprattutto dei pazienti.
Ogni pacchetto di versamento sottoposto a conservazione è accessibile dalle persone autorizzate, solo se ne è certa la sua “qualità aziendale”. La “qualità aziendale” di un documento informatico è garantita innanzi tutto dal produttore, che considera i documenti creati come autentici, ossia in grado di produrre gli effetti di cui sono portatori ed è inoltre garantita dai controlli di presa in carico definiti nel paragrafo seguente e concordati tra i responsabili della produzione e della conservazione.
Il PdV inviato in conservazione viene quindi sottoposto a determinate regole di presa in carico, il cui esito può assumere uno dei seguenti risultati:
a) PdV accettato (Esito OK): se supera tutti i controlli di presa in carico
b) XxX rifiutato (Esito KO): se non viene superato anche uno solo dei test bloccanti
c) PdV accettato con warning (Esito WARN): se uno o più test “non bloccanti” non vengono superati.
5.2. REGOLE DI PRESA IN CARICO DEI PDV
5.2.1. Regole di presa in carico di PdV di tipo “DAE”
I PdV oggetto del presente paragrafo contengono:
• Documenti amministrativi elettronici
Questi oggetti vengono versati nel sistema di conservazione Scryba dai seguenti sistemi informatici:
• Gestore documentale
Cod. controllo | Controlli di Presa in Carico nel Sistema di Conservazione | PdV Rifut. | PdV Warn. |
012 | Verifica che il PdV non sia già stato conservato Il controllo verifica che il PdV non sia già presente in Scryba. Questa verifica viene fatta calcolando l’impronta del PdV, composto dal documento e dai suoi metadati (GlobalDigest) e confrontandola con le impronte degli altri PdV già conservati in Scryba. | X | |
017 | Verifica che il PdV non sia già stato conservato Verifica che il DAE (SIP) sottoposto a Xxxxxx non sia gia' presente in Scryba stesso. Viene calcolato il digest del documento + metadati e confrontato con quelli presenti nel DB di Scryba | X | |
130 | Verifica del metadato relativo al tipo di documento Il controllo verifica che il metadato relativo al tipo di documento (DocumentType) sia istanziato e noto. | X | |
170 | Verifica la tipologia di relazione Verifica che tra i metadati del PdV sia istanziata una relazione di tipo ammesso | X |