CONVENZIONE

Allegato 2

CONVENZIONE

per la realizzazione di forme di collaborazione e di coordinamento e per il miglioramento e la valutazione dell'efficienza e dell'efficacia degli interventi mirati alla realizzazione del programma di superamento degli Ospedali psichiatrici giudiziari, in attuazione di quanto previsto dalle Linee di Indirizzo sancite dagli Allegati A e C del DPCM 1 aprile 2008 e dagli Accordi sanciti in Conferenza Unificata il 13.10.2011 (Rep. Atti n. 95/C.U.) e il 26.02.2015 (Rep. Atti n. 17/C.U.)

TRA

L’Azienda ………., Codice Fiscale …………………., rappresentata dal Direttore generale………

E

Il Laboratorio territoriale per la sanità penitenziaria Xxxxxxxx Xxxxx, Codice Fiscale ……., rappresentata da ……

Premesso che:

- la Regione Campania tramite il “Laboratorio territoriale per la sanità penitenziaria Xxxxxxxx Xxxxx”, articolazione centrale della rete della sanità penitenziaria campana, ha sviluppato il sistema informativo per il monitoraggio del superamento degli ospedali psichiatrici giudiziari denominato, in breve, SMOP;

- nella seduta del Comitato paritetico interistituzionale del 18 giugno 2014 il rappresentante designato della Regione Campania ha messo a disposizione delle altre amministrazioni, senza oneri, il suddetto sistema informativo SMOP quale strumento finalizzato alla raccolta, gestione ed elaborazione dei dati relativi all’attuazione delle misure di sicurezza di cui al DL n. 211/2011 e la connessa gestione documentale informatizzata e la dematerializzazione delle comunicazioni;

- tale sistema informativo è altresì predisposto ad interfacciarsi e comunicare con diversi sistemi informativi delle regioni e delle aziende sanitarie;

- il sistema SMOP risponde alla finalità di assicurare l’interscambio delle informazioni in maniera funzionale agli adempimenti informativi riguardanti la sanità penitenziaria e la funzionalità dello stesso agevola anche l’omogeneità dello svolgimento delle procedure connesse all’attuazione delle misure di sanità penitenziaria;

- in particolare, al suddetto sistema accedono già diverse regioni e il Ministero della salute nell’ambito dei compiti di monitoraggio del debito informativo regionale connesso al processo di superamento degli ospedali psichiatrici giudiziari;

- la Regione Friuli-Venezia Giulia ha valutato positivamente l’utilizzo, all’interno del servizio sanitario regionale, del sistema SMOP al fine di soddisfare i requisiti informativi richiesti nel processo di superamento degli ospedali psichiatrici giudiziari anche tenuto conto dell’esperienza già acquisita dalle altre regioni;

SI CONVIENE QUANTO SEGUE

Art. 1 - Finalità.

Con la presente convenzione l’Azienda sanitaria …… (d’ora in poi brevemente Azienda) e il Laboratorio territoriale per la sanità penitenziaria Xxxxxxxx Xxxxx (d’ora in poi brevemente Laboratorio) allineano le modalità di registrazione dei dati relativi ai pazienti delle REMS ed al loro monitoraggio, attraverso il Sistema informativo per il monitoraggio del superamento degli OPG, d’ora in poi SMOP, e si impegnano a provvedere alla gestione omogenea del soddisfacimento del debito informativo connesso al funzionamento delle REMS di cui al documento approvato nella riunione della Conferenza Unificata nella seduta del 26 febbraio 2015 "Accordo concernente disposizioni per il definitivo superamento degli Ospedali Psichiatrici Giudiziari in attuazione al D.M. l ottobre 2012, emanato in applicazione dell'art. 3-ter, comma 2, del decreto legge 22 dicembre 201 1, n. 21 1 convertito, con modificazioni, dalla legge 17 febbraio 2012, n. 9 e modificato dal decreto legge 31 marzo 2014 n. 52. convertito in legge 30 maggio 2014, n. 81" (Rep. Atti n. 17/CU) e, in generale, dei servizi e delle strutture delle reti regionali che, nell’ambito del riordino della medicina penitenziaria di cui alle normative citate in premessa, configureranno, a regime, il completo e definitivo superamento degli Ospedali Psichiatrici Giudiziari.

Art. 2 – Impegni del Laboratorio

Il Laboratorio si impegna a rendere disponibile a titolo gratuito il Sistema Informativo SMOP, a mantenere i dati dei residenti nel territorio dell’Azienda presso un proprio server in ottemperanza alla normativa in materia di sicurezza dei dati e privacy. Si impegna inoltre a fornire supporto tecnico gratuito per la fase di avvio del programma nel territorio dell’Azienda. Assicura la creazione di utenze abilitate all'accesso a SMOP senza limitazione di numero di accessi.

Le credenziali di accesso a SMOP sono personali e non cedibili ed ogni accesso al sistema è tracciato. Il singolo utente abilitato può richiedere direttamente eventuali accessi aggiuntivi per propri collaboratori, che saranno attivati compatibilmente con la disponibilità del sistema, sulla base delle esclusive valutazioni degli Amministratori.

L'elenco degli utenti abilitati, comprensivo dei contatti comunicati, è costantemente disponibile e consultabile da chiunque acceda al sistema.

Art. 3 – Impegni dell’Azienda

L’Azienda si impegna a inserire nel sistema SMOP i dati relativi ai propri residenti presenti presso le SSO (con priorità per REMS e servizi e articolazioni per la salute mentale in carcere) ed a mantenere aggiornato il sistema relativamente agli ingressi e dimissioni.

Si conviene che l’Azienda designerà e comunicherà i nominativi dei propri utenti necessari ad assicurare l'operatività del sistema - completi di anagrafica, contatti telefonici fissi ed eventualmente mobili, e-mail (ed eventuale PEC).

Art. 4 - Funzioni e utilizzo

L’Azienda ha facoltà di utilizzare liberamente l'applicativo e i dati dallo stesso gestiti e/o prodotti per le finalità di cui alla presente convenzione, laddove non si configuri un utilizzo commerciale e non si determini lucro, direttamente o indirettamente.

Con riferimento ad ogni utilizzo a fini scientifici e di ricerca, l’Azienda si impegna a favorire la partecipazione del Laboratorio territoriale sperimentale per la sanità penitenziaria della Regione Campania “Xxxxxxxx Xxxxx”, titolare dei diritti dell'applicativo, giusta Deliberazione ASL Caserta n. 261 del 28/02/2013, e di altre articolazioni indicate dalla Direzione Generale Tutela della salute e Coordinamento del SSR della Giunta regionale della Campania, esplicitando comunque in ogni fase o esito dell'attività scientifica e di ricerca l'applicativo utilizzato e il titolare dei diritti.

Ogni altro utilizzo non previsto specificamente dal presente Accordo è subordinato alla preventiva autorizzazione del titolare dei diritti sull'applicativo SMOP.

Con riferimento alle informazioni relative a persone e/o attività non rientranti nella propria competenza territoriale, l’Azienda potrà accedere a tutti i dati presenti nel sistema ed ai report dallo stesso prodotti, limitatamente a quanto presentato in forma aggregata e anonima.

Il Laboratorio è esonerato da responsabilità conseguenti all'eventuale errato inserimento dei dati nel sistema informativo SMOP da parte dell’Azienda, nonché dall'improprio utilizzo.

Art. 5 – Caratteristiche tecniche dell'applicazione, sicurezza e tutela dei dati

L'accesso di tutti gli utenti, sia da Internet che da intranet, al sistema SMOP avviene solo ed esclusivamente su protocollo HTTPS. Il sistema è installato su un server fisico multiprocessore appositamente dedicato. Il sistema SMOP (applicazione e Database) è fisicamente allocato presso il CED dell'ASL di Caserta che prevede: accesso mediante badge a personale autorizzato; impianto di antintrusione; impianto di videosorveglianza; impianto antincendio; gruppo elettrogeno e di continuità a protezione dell'intero CED.

I dati gestiti da SMOP sono cifrati a livello applicativo e, a seconda del profilo e delle credenziali dell'utente che accede al sistema, sono mostrate via via maggiori informazioni a partire dal solo identificativo del paziente sino ai dati anagrafici completati da eventuali documenti allegati, caricati dai vari servizi sanitari e/o OPG/REMS.

Per assicurare la centralità e la condivisione anonima dei dati, nonché possibilità di statistiche complessive sugli stessi è usato un solo DB su cui confluiscono tutti i dati imputati dai diversi utenti (operatori sanitari, dell'OPG, regionali, di bacino, ecc. ecc.) e al quale accede, tramite il manager di MSSQL, per manutenzione solo l'Amministratore del sistema. Con periodicità minima mensile, mediante piani di manutenzione realizzati in MSSQL, sono eseguiti backup dei dati e dei transaction log su un NAS configurato in RAID5.

Il Laboratorio, titolare dei diritti dell'applicativo, e la Direzione Generale Tutela della salute e Coordinamento del SSR della Giunta regionale della Campania si riservano il diritto di modificare la sede fisica di allocazione del sistema SMOP

(applicazione e Database), sempre assicurando il rispetto dei requisiti minimi di sicurezza e tutela dei dati previsti dal presente Accordo e dalla normativa pro tempore vigente.

Art. 6 – Manutenzione, amministrazione e ulteriori sviluppi del sistema

La manutenzione e l'amministrazione del Sistema informativo SMOP è di esclusiva competenza del Laboratorio, che ne copre gli oneri e ne assicura l'espletamento con efficacia ed efficienza e comunque nel rispetto delle normative nazionali pertinenti. Ogni sviluppo sarà reso disponibile senza oneri all’Azienda, ferma restando la garanzia del mantenimento del livello di compatibilità proprio dell'applicativo precedentemente a ciascuno sviluppo.

Per quanto inerente gli interventi di manutenzione e amministrazione necessari all'efficiente funzionamento del sistema, si conviene che gli stessi - analogamente a quanto avviene per le attività dei singoli utenti abilitati ad accedere al sistema - saranno costantemente tracciabili, rendendo anche disponibili, su richiesta, files di log idonei a consentire l'identificazione degli operatori intervenuti e il dettaglio delle attività svolte, comprensivo di ora e data dei singoli interventi.

Art. 7 – Formazione e aggiornamento degli utenti

Il Laboratorio, senza oneri aggiuntivi a proprio carico, assicura la disponibilità di ogni opportuno intervento formativo per gli operatori dell’Azienda per l'utilizzo del sistema. Il Laboratorio e l’Azienda convengono di favorire gli scambi formativi interregionali in tema di superamento degli OPG e servizi agli stessi alternativi, rendendo disponibile l'accesso gratuito, in qualità di discente, a numeri limitati di operatori dell’Azienda agli eventi formativi organizzati dal Laboratorio.

Art. 8 –Strumenti di collaborazione interistituzionale

L’Azienda provvederà a designare un proprio rappresentante che, insieme ai rappresentanti delle altre Regioni e Amministrazioni che utilizzano il sistema in parola, costituirà un Comitato tecnico-scientifico, da attivarsi nell'ambito del Laboratorio, ai fini dello specifico supporto e indirizzo all'aggiornamento e allo sviluppo del sistema.

Art.9 – Oneri

Per tutto quanto previsto dalla presente convenzione, non sono previsti oneri per l’Azienda. Per il Laboratorio, analogamente, non sono previsti oneri aggiuntivi per tutto quanto previsto dalla presente convenzione.

Art. 10 – Monitoraggio, attuazione e verifica

Tutte le attività, le implementazioni e le iniziative, elaborate e/o realizzate ai sensi del presente Accordo, così come la valutazione dell’efficienza e dell’efficacia di quanto allo stesso, sia sotto il profilo della qualità organizzativa che della qualità del processo, sono sottoposti all’indirizzo, al monitoraggio ed alla valutazione del Comitato tecnico-scientifico di cui all'art. 8, anche in collegamento con le competenti articolazioni individuate dalle singole Regioni, in funzione delle diverse eventuali obbligazioni statutarie ed organizzative.

Art. 11 – Designazione del Laboratorio quale responsabile del trattamento dei dati personali

L’Azienda, in qualità di Titolare dei dati trattati a mezzo del sistema informativo SMOP per la finalità della gestione omogenea del soddisfacimento del debito informativo connesso al funzionamento delle REMS (di cui all"Accordo concernente disposizioni per il definitivo superamento degli Ospedali Psichiatrici Giudiziari in attuazione al D.M. l ottobre 2012, emanato in applicazione dell'art. 3-ter, comma 2, del decreto legge 22 dicembre 2011, n. 211, convertito, con modificazioni, dalla legge 17 febbraio 2012, n. 9 e modificato dal decreto legge 31 marzo 2014 n. 52 convertito in legge 30 maggio 2014, n. 81) e, in generale, dei servizi e delle strutture delle reti regionali che, nell’ambito del riordino della medicina penitenziaria di cui alle normative citate in premessa, configureranno, a regime, il completo e definitivo superamento degli Ospedali Psichiatrici Giudiziari (di seguito anche Titolare), nomina il Laboratorio quale Responsabile del Trattamento (di seguito anche Responsabile), ai sensi dell’Articolo 28 del Regolamento UE 2016/679 ed in base a quanto previsto dal D. Lgs 196/2003 così come emendato dal D. Lgs 101/2008, per lo svolgimento delle seguenti attività:

- Gestione e manutenzione del Sistema informativo SMOP;

- Gestione dei profili autorizzativi degli utenti che accedono al Sistema informativo SMOP e di quei trattamenti che eventualmente in futuro verranno affidati nell'ambito di questo stesso incarico per iscritto.

Il Responsabile presenta adeguata e documentata esperienza, capacità ed affidabilità in relazione ai compiti ad esso affidati dal Titolare nonché idonea organizzazione tecnica, organizzativa e di risorse atte ad eseguirla. Il Responsabile,

accettando la presente designazione, conferma e garantisce il rispetto delle vigenti disposizioni in materia di trattamento di dati personali, anche con riferimento al profilo relativo alla sicurezza e al rispetto dei diritti dell’interessato.

FACOLTÀ E DOVERI DEL RESPONSABILE DEL TRATTAMENTO

Nello svolgimento dei suindicati compiti, il Responsabile deve attenersi alle istruzioni impartite dal Titolare. Lo stesso, in particolare, deve:

a) trattare i dati personali in base alle istruzioni ricevute e per le finalità sopra specificate.

b) consentire al Titolare l’accesso a SMOP in forza della creazione e messa a disposizione di utenze di accesso (associate a credenziali di autenticazione individuali secondo la coppia “username/password”) idonee ad assicurare che il livello di accesso ai dati presenti in SMOP sia limitato alle sole informazioni pertinenti, non eccedenti e necessarie rispetto alle finalità del trattamento.

Ai fini della creazione delle utenze di accesso a SMOP, il Titolare individua i soggetti da abilitare in forza di meccanismi di autorizzazione che coinvolgono attivamente le figure apicali delle strutture/ uffici interessati e trasmette il relativo elenco al Responsabile, con la contestuale richiesta di provvedere alla nomina dei soggetti in esso contenuti quali addetti al trattamento e di fornire loro le dovute istruzioni per il trattamento dei dati a mezzo SMOP, sovrintendendo e vigilando sull’attuazione delle istruzioni impartite.

Tale elenco contiene la specifica del livello di accesso richiesto per ogni singolo utente da abilitare, individuato sulla base di profili autorizzativi predefiniti dl Responsabile, in funzione del livello e della struttura di appartenenza del soggetto da abilitare, ovvero sulla scorta di parametri individuati dal Titolare sempre nel rispetto dei principi di pertinenza e non eccedenza dei dati. L’elenco in parola contiene altresì, per ogni operatore da abilitare, le informazioni personali minime necessarie ai fini dell’operatività su SMOP.

c) censire i trattamenti di dati personali effettuati nell’ambito di sua competenza su apposito Registro delle attività di trattamento ovvero all’interno del Registro delle attività di trattamento complessivo del Responsabile, con indicazione che detto trattamento è svolto per conto del Titolare;

d) assistere il Titolare nel garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del Regolamento UE 679/2016, tenendo conto della natura del trattamento e delle informazioni a sua disposizione. In particolare il Responsabile garantisce lo svolgimento della valutazione di impatto sulla protezione dei dati personali trattati a mezzo SMOP ex articolo 35 del Regolamento UE 679/2016;

e) determinare e attuare le misure giuridiche, organizzative e tecniche adeguate ad assicurare che le operazioni di trattamento dati realizzate a mezzo SMOP siano conformi alla normativa di settore e garantiscano i principi di protezione dei dati personali e la tutela dei diritti degli interessati, attese le finalità del trattamento (es. pseudonimizzazione dei dati, anonimizzazione dei dati, cifratura dei dati, adozione di procedure idonee a ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico). Dette misure sono riesaminate e aggiornate in funzione dei progressi tecnici e dell’evoluzione dei rischi;

f) testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate, al fine di garantire la sicurezza del trattamento;

g) consentire al Titolare, dandogli piena collaborazione, verifiche periodiche in ordine alle misure di sicurezza adottate, anche mediante l’invio di report a cadenza periodica con cui il Responsabile fornisce le seguenti attestazioni:

1. di aver effettuato l'individuazione degli addetti al trattamento nel rispetto delle indicazioni fornite dal Titolare,

2. di aver revisionato il censimento dei trattamenti effettuato nel registro del trattamento di cui all’articolo 30, p. 2, del GDPR 678/2016,

3. di aver implementato tutte le misure di sicurezza ex articolo 32 del Regolamento UE 679/2016,

4. di aver testato, verificato e valutato regolarmente l’efficacia delle misure tecniche e organizzative adottate, al fine di garantire la sicurezza del trattamento,

5. di aver aggiornato la valutazione di impatto condotta ex articolo 35 del Regolamento UE 679/2016 ove siano mutate le condizioni di attuazione del trattamento (ambito di applicazione, finalità, dati personali raccolti, periodo di conservazione dei dati, misure tecniche e organizzative, ecc.), ovvero il livello di rischio ad esso connesso rispetto alla prima verifica effettuata,

6. di aver effettuato/modificato/revocato la designazione ad amministratori di sistema dei soggetti preposti a tali funzioni nell’ambito dei servizi di amministrazione di sistema dell'applicativo fornito in concessione, previa attestazione/a seguito di riesame delle conoscenze, dell’esperienza, della capacità e dell’affidabilità degli stessi soggetti, e di aver adempiuto alla prescrizione di cui al punto 2 lettera e) “Verifica delle attività” del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”;

h) nominare gli amministratori di sistema, verificarne l’attività e conservare l’elenco contenente gli estremi identificati degli stessi, con l’indicazione delle funzioni ad essi attribuite, in conformità con la normativa vigente e con il provvedimento del 27 novembre 2008 del Garante Privacy “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008” e successive integrazioni e modificazioni. Il Titolare attribuisce al Responsabile esterno delle attività di amministrazione di sistema, il compito di dare attuazione alla prescrizione di cui al punto 2 lettera e) “Verifica delle attività” del Provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, limitatamente alle attività degli amministratori di sistema dipendenti dello stesso;

i) comunicare i dati in forma aggregata e/o anonima ad altre Amministrazioni laddove previsto da norme di legge o di regolamento (e trattamento riconducibile alle finalità istituzionali) ovvero a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici. Tale comunicazione ha luogo mediante la creazione, in favore dell’Amministrazione istante, di utenze di accesso alla piattaforma SMOP a seguito della intervenuta stipula di apposita convenzione per l’utilizzo della sistema informativo SMOP.

Con le medesime modalità, laddove sia previsto da norme di legge o di regolamento, ovvero a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici che potrebbero essere compromessi dall’utilizzo delle tecniche dell’anonimizzazione e della pseudonimizzazione, ovvero laddove sia intervenuta apposita autorizzazione del Titolare, i dati potranno essere comunicati in forma non anonima e/o non aggregata su richiesta motivata dell’Amministrazione istante.

L’avvenuta stipula delle convenzioni di cui al presente punto sarà resa nota al Titolare mediante l’inserimento della relativa notizia nelle note di rilascio del sistema e la pubblicazione degli atti in commento alla voce di menu “Archivio documenti” della piattaforma SMOP.

Il Responsabile del trattamento, nelle anzidette ipotesi di comunicazione dei dati in chiaro, garantisce al Titolare l’osservanza del Regolamento UE 679/2016 in sede di stipula delle Convenzioni con le Amministrazioni terze.

Il Responsabile del trattamento, salvo il diritto di rivalersi nei loro confronti, risponde dei danni causati, nel corso delle operazioni di trattamento, dall’operato dei soggetti autorizzati ai sensi del presente punto;

j) informare il Titolare del trasferimento dei dati personali trattati verso un paese terzo o un’organizzazione internazionale per adempiere ad un obbligo giuridico cui è soggetto, prima dell’inizio delle attività di trattamento o del trasferimento stesso, salvo che ciò sia vietato da rilevanti motivi d’interesse pubblico o obblighi di legge o regolamento.

k) il Responsabile dichiara che i dati saranno trattati e archiviati nel territorio dello Spazio Economico Europeo;

l) assistere il Titolare del trattamento nell’adempimento dei suoi obblighi di riscontro alle richieste degli interessati, sia fornendo allo stesso tutte le informazioni e i dati in suo possesso, sia adoperandosi materialmente per consentire al Titolare di dar seguito alle istanze ricevute. In particolare il Responsabile garantisce al Titolare la copia in formato csv/pdf dei dati personali oggetto di trattamento e tutte le informazioni di cui all’articolo 15 Regolamento UE 679/2016, la possibilità di rettifica/integrazione dei dati ai sensi dell’articolo 16 Regolamento UE 679/2016, la limitazione del trattamento nell’ipotesi di cui all’articolo 18 par. 1 lett. a) Regolamento UE 679/2016;

m) predisporre una procedura interna atta all’identificazione delle violazioni dei dati personali e comunicare ogni violazione al Titolare con prontezza, e comunque entro 72 ore dal momento in cui ne è venuto a conoscenza, fornendogli tutte le opportune informazioni;

n) comunicare con prontezza qualsiasi circostanza rilevante ai fini del Regolamento UE n. 679/2016 (come richieste del Garante, ispezioni, ecc.), nonché l’esito della procedura suddetta e qualsiasi violazione dei dati personali;

o) qualora richiesto, il Responsabile dovrà consegnare al Titolare tutte le informazioni necessarie a dimostrare il rispetto, da parte sua, degli obblighi previsti nel presente atto di designazione e di quelli cui è soggetto dalla normativa in vigore.

FACOLTÀ E DOVERI DEL TITOLARE DEL TRATTAMENTO

Il Titolare del trattamento si riserva il diritto di aggiornare i compiti e le istruzioni impartite al Responsabile del trattamento o di assegnarne di nuove.

Il Titolare del trattamento si riserva la facoltà di effettuare visite di controllo, direttamente o per il tramite di suoi incaricati eventualmente esterni al Titolare stesso, presso il Responsabile. Il Titolare si impegna a dare preventiva comunicazione delle visite di controllo e, qualora svolte da parte di incaricati esterni al Titolare, di indicare i riferimenti e nominativi delle persone coinvolte e l’ambito di verifica ad essi conferito nell’incarico. Il Responsabile collabora alle attività di verifica del suo operato realizzate dal Titolare del trattamento o da altro soggetto da questi incaricato.

Il Titolare è responsabile dell’esattezza e dell’aggiornamento dei dati inseriti nel sistema informativo SMOP dagli addetti nominati per suo conto.

Il Titolare assicura che l’accesso ai dati venga consentito esclusivamente a personale dipendente e/o soggetti ad esso assimilati. A tal fine il Titolare procede alla tempestiva richiesta di revisione del profilo di accesso ovvero alla disabilitazione dei soggetti preposti ad altre mansioni o che abbiano cessato il rapporto con l’Ente di appartenenza.

Il Titolare assicura che il personale designato ai fini delle operazioni di trattamento a mezzo SMOP sia formato e periodicamente aggiornato sulla normativa di riferimento mediante l’organizzazione di appositi corsi di formazione ed aggiornamento professionale sul tema. A tal fine il Laboratorio, in attuazione degli impegni assunti all’articolo 7 “Formazione e aggiornamento degli utenti” della Convenzione per l’utilizzo del sistema informativo SMOP, assicura la partecipazione gratuita agli eventi formativi, dallo stesso organizzati, in materia di “data protection” ad un numero concordato di referenti per ogni singola struttura/servizio coinvolti nella gestione dei pazienti in misura di sicurezza non detentiva.

Il Titolare è responsabile della correttezza dell’individuazione dei soggetti da abilitare quali addetti al trattamento e del rispetto da parte di costoro delle istruzioni loro fornite ai fini del trattamento dei dati. A tal fine il Responsabile comunica prontamente al Titolare il mancato rispetto di dette istruzioni, onde consentirgli l’adozione dei consequenziali provvedimenti. In caso di inosservanza e/o reiterata inosservanza delle istruzioni suddette, il Responsabile può procedere, su richiesta del Titolare ovvero, nelle more della comunicazione, di sua iniziativa, alla disabilitazione provvisoria o definitiva delle utenze degli addetti di cui trattasi.

Il Titolare è responsabile per le violazioni dei dati (manomissione del sistema informativo, divulgazione, perdita, distruzione, modifica, diffusione indebita, accesso non autorizzato) imputabili alle persone fisiche autorizzate, su designazione dello stesso, a compiere operazioni di trattamento dati a mezzo SMOP; accertata direttamente la violazione ovvero informato della violazione da parte del Responsabile, il Titolare, in presenza dei presupposti di cui agli articoli 33 e 34 del Regolamento UE 679/2016, notifica/comunica la violazione all’Autorità di controllo e all’interessato senza ingiustificato ritardo.

Il Titolare assicura ai soggetti interessati i diritti di cui al Capo III del Regolamento UE 679/2016. A tal fine il Responsabile garantisce al Titolare la messa a disposizione sulla piattaforma SMOP di tutta la modulistica necessaria, ed in particolare l’informativa da rendere agli interessati, predisposta nel rispetto delle nuove specifiche minime di contenuto di cui agli articolo 13 e 14 del Regolamento UE 679/2016.

È onere del Titolare del trattamento, in ogni caso, quello di tenere informato e aggiornare il Responsabile del trattamento di qualsiasi circostanza rilevante ai fini dell’attività di trattamento a lui delegate.

Per il Laboratorio ….

Per l’Azienda…...