Contract
Convenzione tra la Società della Salute Nord Ovest Fiorentina e l’Ente di Sup- porto Tecnico Amministrativo Regionale - ESTAR per il supporto amministra- tivo all’attivazione di tirocini formativi e percorsi di accompagnamento lavora- tivo nell’ambito del Progetto “‘V.A.L.I. : Verso Autonomia, Lavoro, Inclusione”.
TRA
la Società della Salute Nord Ovest Fiorentina (di seguito SDS Nord Ovest Fiorenti- na), P.IVA 05517820485, con sede in Xxx Xxxxxxx x. 000 - Xxxxx Xxxxxxxxxx - Firen- ze, rappresentata dal suo Direttore Dr. Xxxxxx Xxxx, ivi domiciliato in ragione della carica;
E
l’Ente di Supporto Tecnico Amministrativo Regionale (di seguito Estar), C.F. 06485540485, con sede in Xxx Xxxxx 00 – Palazzina 14 FIRENZE, rappresentato dal suo Direttore Generale, Dott.ssa Xxxxxx Xxxxx, ivi domiciliata in ragione della sua ca- rica;
PREMESSO CHE
- con Decreto n. 5 del 3/7/2018 è stato nominato il Direttore SDS Nord Ovest Fiorentina - Dr. Xxxxxx Xxxx, quale soggetto autorizzato al trattamento dei dati personali, in adempimento al Regolamento UE 2016/679, con espressa delega a nominare per iscritto tutti i soggetti, interni ed esterni, incaricati per detti trattamenti, definendo i rispettivi profili e livelli di autorizzazione;
- la SDS Nord Ovest Fiorentina ha presentato, in qualità di capofila, il progetto “V.A.L.I: Verso Autonomia, Lavoro, Inclusione” – CODICE REGIONALE 235750 ammesso al finanziamento di € 451.061,00 con DDRT 18284 del 5/11/18, oltre ad altri progetti per i quali è prevista l’attivazione di tirocini formativi/stage;
1
- Estar è un Ente del Servizio Sanitario Regionale Toscano dotato di personalità giuridica pubblica (L.R.T. n. 40/2005 e ss.mm.ii.);
CONVENGONO QUANTO SEGUE:
Art. 1 - Oggetto
1. Nell’ambito del progetto ‘ V.A.L.I.’ la SDS Nord Ovest Fiorentina si è data l’obiettivo, nel periodo 2019-2020, di selezionare n. 130 utenti dei propri servizi per i quali attivare misure di contrasto alla povertà finalizzate all’inserimento in tirocini formativi e percorsi di accompagnamento lavorativo di durata trimestrale, con la possibilità di rinnovo per ulteriori tre mesi.
2. Ad ogni soggetto beneficiario sarà riconosciuta una indennità di partecipazione che sarà corrisposta direttamente dal capofila di progetto SDS Nord Ovest Fiorentina, che secondo le direttive comunitarie europee non è assimilabile a reddito.
3. Per la gestione tecnico-amministrativa necessaria finalizzata alla produzione dei cedolini (gestione anagrafica, calcolo delle competenze, rendicontazione), Estar mette a disposizione della SDS Nord Ovest Fiorentina il proprio personale della U.O.S. Trattamento Economico.
4. L’attività di supporto è svolta dalla competente struttura Estar sulla base delle disposizioni dalla medesima impartite e concordate con la Sds Nord Ovest Fiorentina, anche con eventuali protocolli operativi che si rendessero necessari.
Art. 2 - Oneri di collaborazione e rimborso costi sostenuti da Estar
1. Le attività oggetto della presente Convenzione devono essere svolte nel rispetto delle normative vigenti e nei termini temporali fissati per il riconoscimento dell’indennità di partecipazione mensile.
2
2. La SDS Nord Ovest Fiorentina, che ha la responsabilità del progetto, si impegna a trasmettere l’elenco nominativo con i dati necessari ad Estar nel momento di avvio dei tirocini/percorsi di accompagnamento lavorativo e in seguito, entro il 10 di ogni mese.
3. I dati verranno forniti secondo le indicazioni di Estar, tenendo conto di quanto necessario anche alla SDS Nord Ovest Fiorentina per la rendicontazione dei costi.
4. Estar si impegna a prestare alla SDS Nord Ovest Fiorentina una attività di collaborazione/supporto amministrativo nella misura di:
- n. 130 tirocini attivati per un compenso complessivo di 2.500,00 euro, comprensivo del rimborso del 5% per costi indiretti e generali sostenuti da Estar, negli ambiti di seguito indicati:
- gestione economica dei tirocinanti relativi al percorso formativo di accompagnamento;
- gestione anagrafica contrattuale (profilo del progetto);
- gestione economica dei compensi;
- elaborazioni contabili dei compensi ai fini del pagamento;
- adempimenti previsti dalla specifica normativa (fiscale, assicurativa, etc.);
- elaborazione ed invio dei cedolini in pagamento e controllo totali;
- elaborazione e produzione informazioni per Autoliquidazione INAIL;
- produzione Mod. F24 per i versamenti di imposte e contributi;
- produzione flussi telematici SEPA o SETIF per accredito compensi;
- elaborazione flussi per rendicontazione progetto Regione Toscana;
- gestione rapporti con terzi esterni nell’ambito delle funzioni oggetto della Convenzione;
3
- produzione Modello CU in tracciato ministeriale;
- produzione informazioni per Modello 770 in tracciato ministeriale.
5. L’attività di cui al comma 4 è stimata per n. 130 cedolini da elaborare nel
periodo di validità della convenzione. Per ulteriore attività tecnico- amministrativa che superi la lavorazione dei 130 cedolini, la SDS Nord Ovest Fiorentina erogherà un ulteriore compenso calcolabile in 1.000 euro ogni 50 cedolini.
6. Entro 7 giorni dalla stipula della presente Convenzione, il Responsabile della UOS Trattamento Economico di Estar comunicherà con propria nota al Direttore della SDS Nord Ovest Fiorentina il personale di Estar, di ruolo o a tempo determinato, che ha individuato, previa acquisizione delle disponibilità e previa verifica della insussistenza di situazioni di conflitto di interesse e di cause di inconferibilita’ e incompatibilita’ nell'ambito del personale afferente l'UOS Trattamento Economico i cui profili professionali siano coerenti con l'oggetto della Convenzione (la nota recherà, in calce, il consenso del personale a prestare tale attività).
7. La predetta attività sarà svolta presso le Sezioni territoriali di Estar in orario di lavoro aggiuntivo rispetto al normale orario di lavoro e non dovrà interferire con lo svolgimento del turno di lavoro programmato.
8. Sarà cura del Responsabile della UOS Trattamento Economico fare le opportune verifiche sull’equilibrio orario del personale di Estar.
9. Al fine di consentire il controllo delle ore dedicate all’attività il personale di Estar effettuerà apposita timbratura con codice da attivarsi, entro 2 giorni dalla sottoscrizione della presente Convenzione, a cura della UOC Gestione Risorse Umane di Estar.
4
10. Il pagamento al personale di Estar delle ore effettuate avviene entro 4 mesi dalla conclusione della presente Convenzione, previa verifica che non vi sia un debito orario individuale. Nei casi in cui, a conclusione della Convenzione, si riscontri un debito orario individuale, le ore aggiuntive, rese mediante l'utilizzo dell'apposito codice di timbratura, verranno trasformate in ore di normale orario di lavoro. Tale trasformazione avverrà, in tutto o in parte, in relazione all'entità del debito, fino a copertura del saldo negativo, con correlati riduzione/azzeramento di quanto corrisposto e conseguente recupero nel cedolino.
La SDS Nord Ovest Fiorentina si impegna a rimborsare ad Estar l'importo concordato comprensivo del rimborso del 5% per costi indiretti e generali sostenuti da Estar, di cui al comma 4. I costi del personale dipendente di Estar sono i seguenti:
a) per attività di dipendente appartenente alla Cat. A: euro 24,65 oltre pagamento oneri a carico dell’Ente;
b) per attività di dipendente appartenente alla Cat. B: euro 26,64 oltre pagamento oneri a carico dell’Ente;
c)per attività di dipendente appartenente alla Cat. Bs: euro 27,61 oltre pagamento oneri a carico dell’Ente;
d) per attività di dipendente appartenente alla Cat. C: euro 30,54 oltre pagamento oneri a carico dell’Ente;
e) per attività di dipendente appartenente alla Cat. D: euro 33,16 oltre pagamento oneri a carico dell’Ente;
f) per attività di dipendente appartenente alla Cat. Ds: euro 35,76 oltre pagamento oneri a carico dell’Ente.
5
11. Il rimborso delle ore svolte verrà corrisposto dalla SDS Nord Ovest Fiorentina ad Estar mediante bonifico bancario sul conto di Tesoreria n. 4168
- codice IBAN: IT 25 T 05034 02801 000000004168 - intestato a ESTAR -
Banco BPM Sede Firenze, Xxxxxx Xxxxxxxxx x. 0 - 00000 Xxxxxxx, da effettuarsi entro 60 giorni dal ricevimento della fattura elettronica che la UOC Contabilità e Bilancio di Estar emetterà a SDS Nord Ovest Fiorentina servendosi del Codice Univoco UFGGII.
12. La UOC Contabilità e Bilancio di Estar emette la predetta fattura previa comunicazione del Responsabile della UOS Trattamento Economico del numero delle ore effettuate dal personale di Estar alla scadenza della presente Convenzione, con l'indicazione del calcolo complessivo della valorizzazione ed oneri, comprensivo del 5% per rimborso dei costi indiretti e generali sostenuti da Estar.
13. Estar si impegna a garantire la sicurezza sui luoghi di lavoro ai sensi del
D. Lgs. n. 81/2008 e ss. mm. ed ii.
Art. 3 - Referenti ed interfacce operative
1. Quanto alle persone fisiche che provvederanno ciascuna per la propria parte a dare esecuzione alla presente Convenzione, Xxxxx individua sin d’ora il Responsabile della UOS Trattamento Economico mentre la SDS Fiorentina indica il Direttore.
Art. 4 Decorrenza e durata del rapporto
1. La presente Convenzione ha validità dalla data della sua sottoscrizione e fino al 31/12/2020 (data di scadenza del progetto).
2. In caso di recesso di ciascuna delle parti contraenti non è prevista alcuna penalità.
6
3. Le parti contraenti possono recedere dal rapporto dando congruo preavviso di almeno 30 giorni lavorativi.
4. Il recesso è efficace dal momento in cui il destinatario ne riceve comunicazione, da darsi mediante lettera raccomandata A/R o PEC.
Art. 5 – Disposizioni sul trattamento dei dati personali
1. Le parti si impegnano a trattare i dati personali oggetto della presente convenzione nel rispetto di quanto stabilito dal Regolamento UE 2016/679 (di seguito “GDPR”) e dal D. Lgs. n. 196/2003 (di seguito “Codice”) nonché dei provvedimenti emanati dall’Autorità Garante per la protezione dei dati personali.
2. La Società della Salute Nord Ovest Fiorentina, quale Titolare del trattamento dei dati ai sensi dell'art. 4 n. 7 del GDPR, per le attività oggetto della presente Convenzione individua e nomina ESTAR quale Responsabile del trattamento dei dati ai sensi dell'art. 28 del GDPR giusto atto di nomina allegato (sub. 1) alla presente Convenzione.
3. Le durata, natura e finalità del trattamento, le categorie di dati personali e di interessati, gli obblighi e diritti del Titolare del trattamento nonché le specifiche istruzioni e gli obblighi del Responsabile sono disciplinati dall’atto redatto e sottoscritto, prima dell’inizio delle attività, ex art. 28, paragrafo 3 del GDPR allegato alla presente (sub 1)
Art. 6 - Modalità di sottoscrizione
1. Ai sensi dell’art. 15 della Legge n. 241/90, la presente Convenzione è sottoscritta digitalmente dalle parti con trasmissione a mezzo posta certificata.
7
2. La presente Convenzione verrà registrata solo in caso d’uso a cura e spese della parte interessata.
3. L’imposta di bollo relativa alla presente Convenzione è assolta in maniera virtuale (giusta autorizzazione dell’Ufficio territoriale Firenze 1 - prot. n. 46020 del 27/5/2015) da Estar, che ne richiederà alla SDS Nord Ovest Fiorentina il rimborso unitamente alla fattura di cui all’art. 2.
Art. 7 – Controversie e Foro competente
1. Per qualsiasi controversia dovesse insorgere tra le parti in relazione all'interpretazione e/o alla validità della presente Convenzione, il Foro competente sarà quello di Firenze.
Art. 8 - Norma di rinvio
1. Per quanto non espressamente previsto dalla presente Convenzione, si rinvia alle disposizioni normative vigenti in materia.
Letto, confermato e sottoscritto. Per la SDS Nord Ovest Fiorentina Il Direttore
Dr. Xxxxxx Xxxx
Per l’Ente di Supporto Tecnico Amministrativo Regionale – ESTAR Il Direttore Generale
Dr.ssa Xxxxxx Xxxxx
8
CONVENZIONE
Per la nomina e designazione del Responsabile del trattamento dati ai sensi dell’art. 28 del Regolamento UE 2016/679
TRA
la Società della Salute Fiorentina Nord Ovest, nella persona del Direttore Xxxxxx Xxxx, con nomina a soggetto autorizzato al trattamento dei dati personali di cui al Decreto n. 5 del 3/7/18, codice fiscale XXXXXX00X00X000X, domiciliato per la carica presso la sede della Società della Salute sita in Xxxxx Xxxxxxxxxx, Xxx Xxxxxxx x. 000, Partita IVA/codice fiscale 05517820485, di seguito anche come “SDS”,
E
l’Ente di Supporto Tecnico Amministrativo Regionale (di seguito Estar), C.F. 06485540485, con sede in Xxx Xxxxx 00 – Palazzina 14 FIRENZE, rappresentato dal suo Direttore Generale, Dott.ssa Xxxxxx Xxxxx, ivi domiciliata in ragione della sua carica, di seguito denominato anche come “Responsabile”, congiuntamente anche come le “Parti”
Premesso che:
- l’art. 28, par. 3, del Regolamento UE n. 2016/679 (General Data Protection Regulation), di seguito anche GDPR, prevede che i trattamenti effettuati per conto del Titolare del trattamento (SDS) da parte di un Responsabile del trattamento siano regolati da un contratto o da altro atto giuridico che determini la materia del trattamento, la durata, la natura e la finalità, il tipo di dati personali trattati e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento;
• l’art. 28 del Regolamento (UE) n. 2016/679 riconosce, altresì, al Titolare del trattamento la facoltà di avvalersi di uno o più responsabili del trattamento dei dati, che abbiano esperienza, capacità, conoscenza per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del regolamento, anche relativamente al profilo della sicurezza;
- la SDS e ESTAR hanno sottoscritto in data 2019 REP n. del 2019 una Convenzione volta a disciplinare il supporto tecnico-amministrativo necessario a garantire l'attivazione di tirocini formativi e percorsi di accompagnamento lavorativo nell’ambito del Progetto “‘V.A.L.I. : Verso Autonomia, Lavoro, Inclusione”, oltre ad altri progetti per i quali è prevista l’attivazione di tirocini formativi/stage, attraverso la produzione dei cedolini dei tirocinanti/stagisti (gestione anagrafica, calcolo delle competenze, rendicontazione).
• ai fini del rispetto della normativa, ciascuna persona che tratta dati personali deve essere autorizzata e istruita in merito agli obblighi normativi per la gestione dei suddetti dati durante lo svolgimento delle proprie attività;
• il Titolare ha affidato a ESTAR (di seguito “Responsabile” o “Fornitore”, e congiuntamente con il Titolare, “Parti”) la realizzazione della gestione del servizio di supporto amministrativo per l’attivazione di tirocini formativi e percorsi di accompagnamento lavorativo nell’ambito del Progetto “‘V.A.L.I. : Verso Autonomia, Lavoro, Inclusione”, oltre ad altri progetti per i quali è prevista l’attivazione di tirocini formativi/stage che comporta il trattamento di dati personali di titolarità della Società;
• tenuto conto delle attività di trattamento necessarie e/o opportune per dare esecuzione agli obblighi concordati tra le Parti, previa valutazione di quanto imposto dal Regolamento (UE) n. 2016/679, il Titolare ha ritenuto che il Responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del Regolamento (UE) n. 2016/679 ed a garantire la tutela dei diritti e le libertà degli
interessati coinvolti nelle suddette attività di trattamento;
• con il presente atto, relativamente alle attività di trattamento dei dati necessarie e/o opportune per dare esecuzione agli obblighi concordati tra le Parti, il Titolare vincola il Responsabile a trattare i propri dati personali nel rispetto delle istruzioni di seguito fornite;
• tale nomina non comporta alcuna modifica della qualifica professionale del Responsabile e/o degli obblighi concordati tra le Parti.
Tutto quanto sopra premesso
la Società della Salute, in qualità di Titolare del Trattamento, con la presente
NOMINA
in attuazione alle disposizioni del Regolamento del Parlamento Europeo n. 2016/679/UE (nel seguito “GDPR”),
l’Ente di Supporto Tecnico Amministrativo Regionale - ESTAR RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI ai sensi dell’art. 28 del GDPR per il trattamento dei dati personali di cui è Titolare la Società e di cui il Responsabile può venire a conoscenza nell’esercizio delle attività espletate per conto del Titolare relativamente al servizio di supporto amministrativo per l’attivazione di tirocini formativi e percorsi di accompagnamento lavorativo nell’ambito del Progetto “‘V.A.L.I. : Verso Autonomia, Lavoro, Inclusione”, oltre ad altri progetti per i quali è prevista l’attivazione di tirocini formativi/stage, che comporta il trattamento di dati personali di titolarità della Società affidati dal Titolare al Responsabile.
Articolo 1 - Natura e finalità del trattamento
Il trattamento dei dati personali è effettuato esclusivamente per la corretta esecuzione delle attività concordate tra le Parti.
Articolo 2 - Categorie di dati personali trattati
Il Responsabile del trattamento per espletare le attività pattuite tra le Parti per conto del Titolare tratta direttamente o anche solo indirettamente le seguenti categorie di dati:
• dati personali, di cui all’art. 4 n. 1 del GDPR e, in particolare: dati anagrafici e di contatto (nome, cognome, data e luogo di nascita, residenza, numero telefonico/email), dati relativi alle presenze/assenze, dati fiscali e dati relativi ai pagamenti (es. Codice Iban);
In considerazione delle categorie di interessati, come infra specificato, potranno essere oggetto di trattamento anche • dati di cui alle categorie “particolari” (art. 9, par. 1 del GDPR) ovvero quelli relativi alla salute e quelli idonei a rivelare l’origine razziale o etnica.
Potranno, da ultimo, essere oggetto di trattamento dati relativi alla situazione socio-economica e patrimoniale degli interessati che, pur non rientrando tra le categorie particolari, dovranno essere trattati alla medesima stregue con l’applicazione di specifiche e adeguate misure di sicurezza.
Articolo 3 - Categorie di interessati cui si riferiscono i dati trattati
Per effetto della presente nomina, le categorie di interessati i cui dati personali possono essere trattati, sono: gli utenti in carico ai servizi della SDS nell’ambito del progetto volto all’adozione di misure di contrasto alla povertà. Articolo 4 - Obbligo alla riservatezza
Trattandosi di dati personali e/o c.d. sensibili, il responsabile e i propri dipendenti e collaboratori sono tenuti alla assoluta riservatezza analogamente al segreto professionale e, così come previsto dal D.P.R. 62/2013 che il
Responsabile si è impegnato a rispettare, al segreto d'ufficio, e comunque a trattare i dati in materia confidenziale e riservata, evitando l’eventuale comunicazione e/o conoscenza da parte di soggetti non autorizzati.
Articolo 5 - Accesso ai dati personali
I compiti affidati al Responsabile dovranno essere svolti senza che vi sia accesso e conoscenza ai dati personali contenuti nei documenti informatici e cartacei; in ogni caso, se da parte del Responsabile risulterà indispensabile accedere ai dati personali, l'accesso dovrà avvenire esclusivamente per accertate e documentate esigenze di operatività e gestione di sistema, e solo nei casi in cui le medesime finalità non possano venire perseguite senza che vi sia accesso o conoscenza dei dati personali, e comunque per finalità coincidenti o compatibili con quelle evidenziate in precedenza.
Articolo 6 - Proprietà dei dati
Qualunque sia la finalità e la durata del trattamento effettuato da parte del Responsabile, i dati rimarranno sempre e comunque di proprietà esclusiva del Titolare e pertanto non potranno essere venduti o ceduti, in tutto o in parte, ad altri soggetti e dovranno essere restituiti alla conclusione o revoca dell'incarico, o in qualsiasi momento il Titolare ne faccia richiesta.
Articolo 7 - Diritti sulle informazioni
Qualunque sia la finalità e la durata del trattamento effettuato dal Responsabile, lo stesso si impegna a non vantare alcun diritto sui dati e sui materiali presi in visione.
Articolo 8 - Divieto di invio di messaggi pubblicitari, commerciali e promozionali
Coerentemente con quanto prescritto dal GDPR, è esplicitamente fatto divieto al Responsabile di inviare messaggio pubblicitari, commerciali e promozionali, e comunque di contattare gli “interessati” per finalità diverse da quelle nel presente atto.
Articolo 9 - Cessazione del trattamento
Una volta cessati i trattamenti oggetto del Contratto, salvo rinnovo, il Responsabile si impegna a restituire al Titolare i dati personali acquisiti o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, cancellandoli nel contempo dai propri archivi oppure distruggendoli, ad eccezione dei casi in cui i dati debbano essere conservati in virtù di obblighi di legge. Resta inteso che la dimostrazione delle ragioni che giustificano il protrarsi degli obblighi di conservazione è a carico del Titolare e che le uniche finalità perseguibili con tali dati sono esclusivamente circoscritte a rispondere a tali adempimenti normativi.
I dati trattati per conto del Titolare saranno cancellati dal Responsabile entro 12 mesi dalla data di cessazione degli effetti del contratto ad eccezione dei casi in cui i dati debbano essere conservati in virtù di obblighi di legge. Articolo 10 - Validità e Revoca della nomina
La presente nomina inizierà a decorrere dalla data di ricezione della presente comunicazione e avrà validità per tutta la durata del rapporto giuridico intercorrente tra le Parti e potrà essere revocata a discrezione del Titolare.
La presente nomina non costituisce aggravio in capo al Responsabile, rientrando la medesima negli obblighi normativi che regolano i rapporti con il Titolare sotto il profilo privacy.
Articolo 11 - Sub-responsabili
Il Responsabile del trattamento potrà ricorrere ad altri Responsabili valendo la presente quale autorizzazione generale ai sensi dell’art. 28, par. 2 del GDPR. Il responsabile del trattamento informa il titolare del trattamento
di eventuali modifiche previste riguardanti l'aggiunta o la sostituzione di altri responsabili del trattamento, dando così al titolare del trattamento l'opportunità di opporsi a tali modifiche.
Articolo 12 - Designazione e autorizzazione degli incaricati
Il Responsabile del trattamento garantisce la puntuale individuazione dei soggetti operanti a qualsiasi titolo nella propria organizzazione quali soggetti autorizzati al trattamento.
In particolare, il Responsabile del trattamento si impegna a consentire l’accesso e il trattamento dei dati personali solo a personale debitamente formato e specificamente designato anche ai sensi dell’art. 2-quaterdecies del D.Lgs 196/2003 e s.m.i.
Il Responsabile si impegna ad effettuare per iscritto le nomine e limitare l’accesso e il trattamento ai soli dati personali necessari per lo svolgimento delle attività oggetto della Convenzione.
Il personale autorizzato dovrà ricevere idonea e specifica formazione in relazione al rispetto delle misure organizzative e tecniche, in particolare alle misure di sicurezza adottate, adeguate ad assicurare la tutela dei dati personali trattati nel rispetto delle previsioni normative e della prassi in materia.
Nello specifico il Responsabile:
• individua le persone autorizzate al trattamento dei dati impartendo loro, per iscritto, istruzioni dettagliate in merito alle operazioni consentite e alle misure di sicurezza da adottare in relazione alle criticità dei dati trattati;
• vigila regolarmente sulla puntuale applicazione da parte delle persone autorizzate di quanto prescritto, anche tramite verifiche periodiche;
• garantisce l’adozione dei diversi profili di autorizzazione delle persone autorizzate, in modo da limitare l’accesso ai soli dati necessari alle operazioni di trattamento consentite rispetto alle mansioni svolte;
• verifica periodicamente la sussistenza delle condizioni per la conservazione dei profili di autorizzazione di tutte le persone autorizzate, modificando tempestivamente detto profilo ove necessario (es. cambio di mansione);
• cura la formazione e l’aggiornamento professionale delle persone autorizzate che operano sotto la sua responsabilità circa le disposizioni di legge e regolamentari in materia di tutela dei dati personali.
Articolo 13 - Diritti degli interessati
Premesso che l’accesso ai dati personali da parte degli interessati esercitato ai sensi degli artt. 15 e seguenti del GDPR sarà gestito direttamente dal Titolare, il Responsabile si rende disponibile a collaborare con il Titolare stesso fornendogli tutte le informazioni necessarie a soddisfare le eventuali richieste ricevute in tal senso.
Il Responsabile si impegna ad assistere il Titolare con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato.
In particolare, il Responsabile dovrà comunicare al Titolare, senza ritardo, le istanze eventualmente ricevute e avanzate dagli interessati in virtù dei diritti previsti dalla vigente normativa (es. diritto di accesso, diritto all’oblio, alla portabilità, rettifica, cancellazione ecc.), e a fornire le informazioni necessarie al fine di consentire al Titolare di evadere le stesse entro i termini stabiliti dalla normativa.
Articolo 14 - Registro dei trattamenti
Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni del comma 5 dell’art. 30 del GDPR - mantiene un registro (in forma scritta e/o anche in formato elettronico) di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, contenente:
• il nome e i dati di contatto del Responsabile e/o dei suoi Sub – Responsabili;
• le categorie dei trattamenti effettuati per conto del Titolare;
• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate adottate;
• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1 del GDPR.
Il Responsabile garantisce, inoltre, di mettere a disposizione del Titolare e/o dell’Autorità di controllo che ne dovessero fare richiesta, il suddetto registro dei trattamenti.
Il Responsabile si impegna a coadiuvare il Titolare nella redazione del proprio Registro delle attività di trattamenti, segnalando anche, per quanto di propria competenza, eventuali modifiche da apportare al Registro. Articolo 15 - Formazione periodica agli incaricati del trattamento dei dati
Il responsabile esterno del trattamento dei dati è tenuto ad assicurare una adeguata formazione in materia di privacy e sicurezza agli autorizzati al trattamento dei dati, in particolare in occasione di assunzioni, variazioni significative di incarico o di responsabilità, evoluzioni tecnologiche o normative. Tale formazione è obbligatoria e deve essere erogata con frequenza almeno annuale.
Articolo 16 - Sicurezza dei dati personali
Il Responsabile è tenuto, ai sensi dell’art. 32 del GDPR, ad adottare le necessarie e adeguate misure di sicurezza (eventualmente anche ulteriori rispetto a quelle nel seguito indicate) in modo tale da ridurre al minimo i rischi di distruzione accidentale o illegale, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non consentito ai dati personali trasmessi, conservati o comunque trattati, o il trattamento non conforme alle finalità della raccolta.
Il Responsabile su richiesta potrà fornire al titolare l’elenco delle adeguate misure di sicurezza adottate.
Articolo 17 - Sicurezza e Amministrazione del Sistema (ADS)
Il Responsabile fornirà al Titolare la lista nominativa degli ADS, con questi intendendo le persone fisiche che svolgono per conto del Responsabile ed in esecuzione dei compiti concordati ed affidati dal Titolare, attività di gestione e manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i software complessi che trattano dati del Titolare, le reti locali e gli apparati di sicurezza di quest’ultimo, o comunque che possano intervenire sulle misure di sicurezza a presidio dei medesimi dati. Con riferimento ai soggetti individuati, il Responsabile deve comunicare rispetto ad ognuno i compiti e le operazioni svolte.
Articolo 18 - Durata del trattamento
La durata del trattamento è stabilita dal contratto sussistente tra le parti ed a quanto previsto dalla normativa vigente.
Articolo 19 - Compiti e istruzioni per il Responsabile
Il Responsabile ha il potere ed il dovere di trattare i dati personali indicati nel rispetto della normativa vigente, attenendosi sia alle istruzioni di seguito fornite, sia a quelle che verranno rese note dal Titolare mediante procedure e/o comunicazioni specifiche.
Il Responsabile dichiara espressamente di comprendere ed accettare le istruzioni di seguito rappresentate e si
obbliga a porre in essere, nell’ambito dei compiti contrattualmente affidati, tutti gli adempimenti prescritti dalla normativa di riferimento in materia di tutela dei dati personali al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e di trattamento non consentito o non conforme alla raccolta.
La nomina è valida fino alla cessazione delle operazioni di trattamento di cui al Contratto sopra richiamato, ovvero fino alla revoca anticipata per qualsiasi motivo da parte del Titolare.
Articolo 20 - Modalità di trattamento e requisiti dei dati personali
Il Responsabile si impegna:
• a trattare direttamente, o per il tramite dei propri dipendenti, collaboratori esterni, consulenti, etc. – specificamente designati incaricati del trattamento - i dati personali del Titolare, per le sole finalità connesse allo svolgimento delle attività previste dalla Convenzione, in modo lecito e secondo correttezza, nonchè nel pieno rispetto delle disposizioni impartite dal GDPR, nonchè, infine, dalle presenti istruzioni;
• non divulgare o rendere noti a terzi - per alcuna ragione ed in alcun momento, presente o futuro ed anche una volta cessati i trattamenti oggetto della Convenzione - i dati personali ricevuti dal Titolare o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, se non previamente autorizzato per iscritto dal Titolare, fatti salvi eventuali obblighi di legge o ordini dell’Autorità Giudiziaria e/o di competenti Autorità amministrative;
• collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;
• dare immediato avviso al Titolare in caso di cessazione dei trattamenti concordati;
• non creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;
• in caso di ricezione di richieste specifiche avanzate dall’Autorità Nazionale per la protezione dei dati personali o altre autorità, a coadiuvare il Titolare per quanto di sua competenza;
• segnalare eventuali criticità al Titolare che possono mettere a repentaglio la sicurezza dei dati, al fine di consentire idonei interventi da parte dello stesso;
• coadiuvare, su richiesta, il Titolare ed i soggetti da questo indicati nella redazione della documentazione necessaria per adempiere alla normativa di settore, con riferimento ai trattamenti di dati effettuati dal Responsabile in esecuzione delle attività assegnate.
Articolo 21 - Istruzioni specifiche per il trattamento dati particolari e/o relativi a condanne penali e reati
Il Responsabile deve:
• verificare la corretta osservanza delle misure previste dal Titolare in materia di archiviazione, potendo derivare gravi conseguenze da accessi non autorizzati alle informazioni oggetto di trattamento;
• prestare particolare attenzione al trattamento dei dati personali rientranti nelle categorie particolari e/o relative a condanne penali o reati degli interessati conosciuti, anche incidentalmente, in esecuzione dell’incarico affidato, procedendo alla loro raccolta e archiviazione solo ove ciò si renda necessario per lo svolgimento delle attività di competenza e istruendo in tal senso le persone autorizzate che operano all’interno della propria struttura;
• conservare la documentazione contenente dati particolari e/o relativi a condanne penali e reati adottando misure idonee al fine di evitare accessi non autorizzati ai dati, distruzione, perdita e/o qualunque violazione di
dati personali;
• vigilare affinchè i dati personali degli interessati vengano comunicati solo a quei soggetti preventivamente autorizzati dal Titolare (ad esempio a propri fornitori e/o subfornitori) che presentino garanzie sufficienti secondo le procedure di autorizzazione disposte e comunicate dal Titolare. Sono altresì consentite le comunicazioni richieste per legge nei confronti di soggetti pubblici;
• sottoporre preventivamente al Titolare, per una sua formale approvazione, le richieste di dati da parte di soggetti esterni;
• non diffondere i dati personali, particolari e/o relativi a condanne penali e reati degli interessati;
• segnalare eventuali criticità nella gestione della documentazione contenente dati personali, particolari e/o relativi a condanne penali e reati al fine di consentire idonei interventi da parte del Titolare.
Articolo 22 - Data Breach
Il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo dall’avvenuta conoscenza, e comunque entro 24 ore dalla scoperta con comunicazione da inviarsi all’indirizzo PEC del titolare, ogni violazione dei dati personali (data breach) fornendo, altresì:
• la descrizione della natura della violazione e l’indicazione delle categorie dei dati personali e il numero approssimativo di interessati coinvolti;
• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• la descrizione delle probabili conseguenze;
• la descrizione delle misure adottate o di cui dispone per porre rimedio alla violazione o, quantomeno, per attenuarne i possibili effetti negativi.
Fermo quanto sopra previsto, il Responsabile si impegna a prestare ogni più ampia assistenza al Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 32 - 34 del GDPR.
Una volta definite le ragioni della violazione, il Responsabile di concerto con il Titolare e/o altro soggetto da quest’ultimo indicato, su richiesta, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi, al riguardo anche avvalendosi dell’operato di subfornitori.
È fatto obbligo di mantenere l’assoluto riserbo sulle violazioni intercorse. Al riguardo tali notizie non dovranno essere in alcun modo diffuse in qualunque forma, anche mediante la loro messa a disposizione o consultazione. La comunicazione della violazione è ammessa solo tra il Titolare e/o altro soggetto da questo indicati e il Responsabile, fatte salve quelle comunicazioni richieste dalla legge o da autorità pubbliche.
Articolo 23 - Valutazione di impatto e consultazione preventiva
Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile del trattamento, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai Sub – Responsabili.
Articolo 24 - Trasferimento dei dati personali
Il Responsabile assicura che nessun dato personale potrà essere trasferito all’esterno del territorio dell’Unione Europea, anche per il tramite di eventuali Sub – Responsabili, senza la preventiva e documentata autorizzazione
scritta del Titolare. Qualora tale autorizzazione fosse concessa, l’attività di trasferimento dei dati personali oggetto del trattamento dovrà essere comunque disciplinata da uno specifico accordo giuridico concluso tra le Parti contenente le “Clausole Contrattuali Standard europee”, ad integrazione di quanto definito dal presente documento; nel caso in cui il Responsabile si avvalga di un Sub – Responsabile anche le intese contrattuali intercorrenti tra dette parti dovranno essere conseguentemente integrate con la previsione delle “Clausole Contrattuali Standard europee”, in modo che i medesimi obblighi incombenti sul Responsabile siano previsti anche in capo al Sub – Responsabile che effettua il trasferimento di dati presso paesi extra UE.
Articolo 25 - Attività di audit
Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di sicurezza descritti nel presente documento e, in generale, il rispetto delle obbligazioni assunte in forza del presente atto e del GDPR, consentendo e, su richiesta, contribuendo alle attività di audit, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da esso incaricato. I suddetti impegni di collaborazione e l’attività di audit descritta nel presente paragrafo potrà essere esercitata dal Titolare anche nei confronti degli eventuali Sub- Responsabili.
Qualora il Titolare rilevasse comportamenti difformi a quanto prescritto dalla normativa in materia nonchè dalle disposizioni contenute nei provvedimenti del Garante per la protezione dei dati personali, provvederà a darne comunicazione al Responsabile e, per il tramite di questo, ai suoi Sub – Responsabili, senza che ciò possa far venire meno l’autonomia dell’attività di impresa dei soggetti controllati ovvero possa essere qualificato come ingerenza nella loro attività.
Articolo 26 - Ulteriori istruzioni
Il Responsabile comunica sollecitamente al Titolare qualsiasi modificazione di assetto organizzativo o di struttura proprietaria che dovesse intervenire successivamente all’affidamento dell’incarico, affinché il Titolare possa accertare l’eventuale sopravvenuta mancanza dei requisiti previsti dalla vigente normativa o il venir meno delle garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate per il corretto trattamento dei dati oggetto della presente nomina.
Il Responsabile informa prontamente il Titolare delle eventuali carenze, situazioni anomale o di emergenza rilevate nell’ambito del servizio erogato - in particolare ove ciò possa riguardare il trattamento dei dati personali e le misure di sicurezza adottate dal Responsabile - e di ogni altro episodio o fatto rilevante che intervenga e che riguardi comunque l'applicazione del GDPR (ad es. richieste del Garante, esito delle ispezioni svolte dalle Autorità, ecc.) o della normativa nazionale ancorché applicabile.
Articolo 27 - DPO
Il Responsabile è tenuto a collaborare e a coadiuvare il DPO nominato dal Titolare nello svolgimento delle attività da questo effettuate.
Articolo 28 - Codici di Condotta e Certificazioni
Il Responsabile si impegna a comunicare al Titolare l’adesione a codici di condotta approvati ai sensi dell’art. 40 del Regolamento, e/o l’ottenimento di certificazioni che impattano sui servizi offerti al Titolare, intendendo anche quelle disciplinate dall’art. 42 del Regolamento.
Articolo 29 – Norme finali e responsabilità
Il Titolare, poste le suddette istruzioni e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio
ruolo, di impartire per iscritto eventuali ulteriori istruzioni che dovessero risultare necessarie per il corretto e conforme svolgimento delle attività di trattamento dei dati collegate all’accordo vigente tra le Parti, anche a completamento ed integrazione di quanto sopra definito.
Il Responsabile dichiara sin d’ora di mantenere indenne e manlevato il Titolare da qualsiasi danno, onere, spesa e conseguenza che dovesse derivare al Titolare stesso a seguito della violazione, da parte del Responsabile o di suoi Sub – Responsabili, degli impegni relativi al rispetto della disciplina in materia di protezione dei dati personali o delle istruzioni contenute negli atti di nomina a responsabile del trattamento, anche in seguito a comportamenti addebitabili ai loro dipendenti, rappresentanti, collaboratori a qualsiasi titolo.
Xxxxx Xxxxxxxxxx, dicembre 2019
p. Società della Salute Fiorentina Nord Ovest Il Direttore Xxxxxx Xxxx*
p. ESTAR – Ente di Supporto Tecnico Amministrativo Regionale Rappresentante legale Xxxxxx Xxxxx*
* Firma apposta da persona con certificato legittimo, corrente e non scaduto né revocato. (Si rammenta che il certificato è lo strumento digitale per fornire identità e autenticità. I certificati vengono emessi da autorità di certificazione ed e hanno una scadenza o possono essere revocati).