SCHEMA TIPO DI CONVENZIONE PER LA NOMINA DEL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

ALLEGATO A

SCHEMA TIPO DI CONVENZIONE PER LA NOMINA DEL RESPONSABILE DEL TRATTAMENTO DEI DATI PERSONALI

(ex art. 28 del Regolamento Europeo sulla Privacy, n° 679 del 27 aprile 2016 del Parlamento e del Consiglio Europeo ed ex art. 28 della L. n. 167 del 20 novembre 2017)

Il giorno…….. del mese dell’anno……

TRA

L’Ente di supporto tecnico amministrativo regionale (di seguito Estar), con sede legale in Firenze, Via di San Salvi n. 12 Pal. 14 nella persona del Direttore Generale e legale rappresentante Dr.ssa Xxxxxx Xxxxx

E

L’Azienda Sanitaria (di seguito Azienda)………., con sede legale in…… nella persona del Direttore Generale e legale rappresentante, Dr.…

Premesso che:

- Estar, ai sensi di quanto disposto dalla DGRT n. 785 del 01/08/2016, che qui si intende integralmente riportata, è stato nominato dalle Aziende Sanitarie Responsabile esterno del trattamento ai sensi dell’art. 29 del D. Lgs 196/2003 nell’ambito delle materie delle tecnologie dell’informazione e della comunicazione, processi per il pagamento delle competenze economiche del personale afferente al Servizio Sanitario Regionale, tecnologie sanitarie se l’attività comporta anche l’assistenza e manutenzione con risorse proprie di Estar ;

- l’articolo 29 del Dlgs 196/2003 è stato modificato dalla L 167/2017, e attualmente prevede:

1) al comma 4 bis, che i titolari stipulino con i responsabili del trattamento atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento e che i predetti atti sono adottati in conformità a schemi tipo predisposti dal Garante;

2) al comma 5 che il responsabile effettui il trattamento attenendosi alle condizioni stabilite ai sensi del 4 bis e alle istruzioni impartite dal titolare;

- il Regolamento Europeo 2016/679 (di seguito RGPD) i cui termini di applicazione decorrono dal 25/05/2018, prevede all’art. 28 che i trattamenti svolti da parte del Responsabile del trattamento siano disciplinati da un contratto o altro atto giuridico vincolante per il Responsabile e che individui la materia del trattamento, la durata, la natura e la finalità, il tipo di dati personali trattati e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento;

- Estar, in qualità di Responsabile del trattamento, tratti i dati personali per conto dell’Azienda, Titolare del trattamento e che i trattamenti dei dati sono quelli afferenti al registro dei trattamenti, di cui all’allegato 1 al presente atto;

- tra Estar e le Aziende saranno sottoscritti specifici accordi per la più puntuale definizione delle modalità di collaborazione su specifici argomenti;

- i predetti accordi potranno essere oggetto di ulteriori istruzioni rispetto a quelle contenute nella presente convenzione, tenuto comunque conto dell’autonomia tecnica che qualifica e giustifica il ruolo del responsabile;

- per i software in uso nelle aziende sanitarie gestiti da Estar i Fornitori hanno dichiarato, o è in corso l’acquisizione della loro dichiarazione, la conformità degli applicativi e delle tecnologie esistenti alla normativa in materia di Privacy secondo il D.Lgs 196/2003 e xx.xx. ed ii.; e che Estar ha richiesto ai fornitori la formalizzazione di un piano di attività per tendere alla piena compliance al GDPR;

- Estar è in possesso dei necessari requisiti di idoneità, esperienza, capacità ed affidabilità relativi al trattamento dei dati;

- Estar opera attraverso la predisposizione di piani di azioni ed attività, che definiscono tempi, competenze e risorse necessarie al raggiungimento della compliance al GPRD e sono soggetti all’approvazione delle Aziende sanitarie anche in relazione alla necessaria copertura economica di competenza;

Ritenuto pertanto necessario, con riferimento alle materie ed alle competenze già individuate con la DGRT n. 785/2016, provvedere alla sottoscrizione della presente convenzione, alla luce di quanto disposto dal RGPD e nelle more da parte dell’Autorità di controllo di schemi tipo di cui all’art. 28 della Legge n. 167/2017.

Ciò premesso, tra le parti si conviene e si stipula quanto segue:

ART. 1

(Oggetto, finalità e durata del trattamento)

1. Il presente atto stabilisce nell’ambito delle materie nelle quali Estar è Responsabile del trattamento ai sensi della DGRT n. 785/2016 (tecnologie dell’informazione e della comunicazione, processi per il pagamento delle competenze economiche del personale afferente al Servizio Sanitario Regionale, tecnologie sanitarie se l’attività comporta anche l’assistenza e manutenzione con risorse proprie di Estar) le tipologie di trattamenti di dati personali e le relative finalità, la durata del trattamento, i tipi di dati personali trattati, le categorie di interessati e le misure di sicurezza applicate ai trattamenti di dati di cui all’allegato 1 al presente atto, in relazione alla nomina da parte delle Aziende di Estar come Responsabile del trattamento.

2. Estar interviene nel supporto ai trattamenti delle Aziende Sanitarie effettuati per competenza nella gestione della infrastruttura informatica sia hardware che software. In particolare Estar:

a)ha la responsabilità della gestione delle reti e dei sistemi informatici

b)ha la responsabilità dei software gestionali utilizzati dalle aziende

c)fornisce il supporto nella elaborazione del debito informativo della azienda sanitaria nei confronti dei referenti istituzionali, regione, ministeri, ecc.

La responsabilità di Estar per quanto riferisce ai punti a) e b) è individuata esclusivamente alla gestione della infrastruttura, alla continuità operativa, e alla conservazione dei dati gestiti sui Sistemi e i Datacenter di competenza.

Per quanto riguarda il punto c) la responsabilità di Estar è sempre definibile come una attività che riferisce ad un trattamento principale che è nella titolarità della azienda sanitaria.

3. La presente convenzione opera dal punto di vista temporale e organizzativo all’interno degli ambiti della Legge Regionale N° 40/2005 e s.m.i.

ART. 2

(Obblighi del Responsabile del trattamento e modalità di trattamento)

1. In particolare Estar provvederà:

a)al trattamento dei dati in conformità a quanto previsto dalle norme in materia di trattamento dei dati personali;

b)al trattamento dei dati con logiche e modalità strettamente ed esclusivamente correlate alle finalità di cui all’allegato 1 al presente atto, per il tempo strettamente necessario per il perseguimento delle finalità connesse, garantendo il pieno rispetto delle istruzioni ricevute, contenute nella presente convenzione;

c)ad informare immediatamente l’Azienda qualora, a suo parere, una sua istruzione violi le disposizioni in materia di protezione dei dati personali;

d)a tenere il Registro delle attività di trattamento, ex art. 30 par. 2 del RGPD, in collaborazione con l’Azienda per le informazioni eventualmente necessarie;

e)con diligenza, prudenza e perizia alla conservazione e alla custodia dei dati personali oggetto del trattamento, degli archivi e delle banche dati, dall’iniziale acquisizione fino all’eventuale cessazione o distruzione;

f)alla restituzione alle Aziende, in caso di cessazione del rapporto convenzionale in essere, dell’eventuale documentazione, su qualsiasi supporto, relativa a qualsiasi dato personale di cui Xxxxx è entrato in possesso, senza che alcun dato possa essere direttamente o indirettamente detenuto;

g)a mantenere riservati, non comunicare e diffondere a terzi i dati personali e le informazioni di cui Xxxxx è venuto a conoscenza per effetto dello svolgimento del trattamento;

h)ad organizzare, su richiesta delle Aziende, il blocco dei trattamenti soggetti a scadenza temporale (o la trasformazione dei dati in forma anonimizzata o pseudonimizzata) nei termini previsti dalla legge o sulla base dei provvedimenti dell’autorità di controllo o disposizioni dell’autorità giudiziaria;

i)a non utilizzare i dati personali e le informazioni, anche se in forma anonimizzata o pseudonimizzata, comprese le eventuali elaborazioni realizzate su disposizione dell’Azienda;

j)a mettere a disposizione dell’Azienda tutte le informazioni necessarie per dimostrare il rispetto degli obblighi derivanti dalla normativa in materia di protezione di dati personali, anche a richiesta, tramite una relazione annuale;

k)ad assistere l’Azienda nel garantire il rispetto degli obblighi relativi alla sicurezza del trattamento, alla notifica di una violazione dei dati personali all’autorità di controllo, alla comunicazione di una violazione di dati personali all’interessato;

l)a predisporre e realizzare procedure di audit, fornendo relazione scritta degli esiti delle azioni conseguenti;

m)ad assistere l’Azienda nella predisposizione ed aggiornamento periodico di atti e documenti aventi ad oggetto la valutazione di impatto del trattamento sui diritti e sulle libertà delle persone ed a fornire supporto in merito alla eventuale consultazione preventiva all’autorità di controllo.

ART. 3

(Autorizzati al trattamento dei dati)

1. Estar si impegna:

a)ad individuare e nominare per iscritto coloro che, a qualunque titolo, devono compiere operazioni del trattamento e/o attuare compiti relativi alla protezione e alla libera circolazione dei dati e ad impartire loro idonee istruzioni;

b)a porre in essere le prescrizioni e gli adempimenti di cui al Provvedimento del 27 novembre 2008 del Garante per la Protezione dei dati personali per i servizi di amministrazione di sistema correlati alle funzioni trasferite e, in particolare a 1) procedere all’attribuzione delle funzioni di amministratore di sistema mediante designazione individuale previa valutazione dell’esperienza, capacità e affidabilità del soggetto designato 2) precisare analiticamente per ciascun soggetto designato l’ambito di operatività consentito in base al profilo autorizzativo assegnato 3) conservare e aggiornare periodicamente gli estremi identificativi delle persone fisiche preposte quali amministratori di sistema e darne comunicazione alla Direzione dell’Azienda sanitaria sottoscrivente 4) procedere alla verifica, almeno annuale, dell’operato degli amministratori individuati 5) adottare sistemi di registrazione degli accessi logici ai sistemi di elaborazione e agli archivi elettronici da parte degli amministratori;

c)a fornire specifica ed adeguata formazione agli autorizzati al trattamento dei dati oggetto del contratto ed impartendo loro, per iscritto, appropriate e complete istruzioni su come svolgere correttamente ed in modo lecito tale trattamento;

d)a conservare idonea documentazione, da consegnare all’Azienda a semplice richiesta, comprovante l’assolvimento degli obblighi di formazione e di conferimento istruzioni a tutti coloro che, a qualunque titolo, devono attuare compiti relativi alla protezione e alla libera circolazione dei dati;

e)a garantire che i propri dipendenti e/o collaboratori che operano a vario titolo nell’ambito del rapporto in essere con le Aziende, siano dotati di esperienza, capacità e affidabilità con riferimento alla gestione dei sistemi informatici, nonché con riferimento alla normativa in materia di protezione dei dati personali, in particolare per quanto attiene alle misure di sicurezza previste.

ART. 4

(Obblighi informativi e di supporto)

1. Per quanto concerne gli obblighi informativi, Estar è di supporto alle Aziende Sanitarie nei seguenti termini:

a)agisce tempestivamente e in autonomia informando l’azienda in caso di ispezioni di autorità di controllo e/o organi istituzionali (es. Guardia di Finanza, NAS, etc…);

b)supporta l’Azienda in caso di richieste di accesso ai dati da parte degli interessati, per le quali Estar opera solo in caso di richiesta formale del titolare del trattamento, sulla base di una apposita procedura concordata tra le parti e comunque tenendo conto del rispetto dei termini previsti dalla normativa in capo al titolare;

2. Per quanto concerne gli obblighi informativi, Estar si impegna ad informare tempestivamente l’Azienda di:

a)ogni violazione dei dati di cui viene a conoscenza nonché ogni necessaria informazione per lo svolgimento delle notificazioni e comunicazioni se del caso previste, sulla base di una apposita procedura concordata tra le parti e comunque tenendo conto del rispetto dei termini previsti dalla normativa in capo al titolare;

b)ogni fatto o atto che l’Azienda ritenesse insindacabilmente di dover acquisire ai fini dell’osservanza delle norme e delle prassi in materia di protezione e libera circolazione dei dati ed in tal caso il riscontro da parte di Estar deve avvenire senza ingiustificato ritardo.

ART. 5

(Misure di sicurezza)

1. Con riguardo alle misure di sicurezza da osservare nel trattamento dei dati e allo scopo di ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità ivi previste, Estar si impegna:

a)al raggiungimento della compliance tecnologica al GDPR tenendo conto dei vincoli e dei tempi di adeguamento che emergeranno dalla suddetta pianificazione;

b)ad adottare adeguate ed idonee misure tecniche ed organizzative, curandone il rispetto e l’applicazione da parte degli autorizzati al trattamento, effettuando, altresì controlli sull’operato dei medesimi;

c)a verificare periodicamente e, ove necessario, ad adeguare le misure di sicurezza con riferimento all’analisi dei rischi aziendali, all’evolversi della normativa e al progredire dello sviluppo tecnologico;

d)a garantire le evidenze e la documentazione comprovanti l’adozione delle misure tecniche ed organizzative, di sua competenza, idonee.

ART. 6

(Nomina sub Responsabili del trattamento)

1. Estar può ricorrere, ai sensi di quanto previsto dall’art. 28 par. 4 del RGPD, ad altro Responsabile del trattamento (di seguito sub Responsabile del trattamento) per l’esecuzione di specifiche attività di trattamento per conto dell’Azienda Titolare del trattamento, disciplinando il rapporto con atto giuridico o contratto teso a circoscrivere i rispettivi ambiti di responsabilità adottando nei confronti dello stesso gli stessi obblighi in materia di protezione di dati personali già in capo ad Estar e derivanti dalla sottoscrizione della presente convenzione.

2. Estar dovrà assicurare che il sub Responsabile del trattamento offra garanzie sufficienti di affidabilità e riservatezza e metta in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del RGPD e che cancelli o restituisca i dati personali oggetto dei trattamenti e le eventuali copie al termine della prestazione del servizio.

ART. 7

(Responsabilità)

1. L’Azienda coinvolta nel trattamento risponde per il danno cagionato dal suo trattamento che violi il RGPD.

2. Estar risponde per il danno causato dal trattamento solo se non ha adempiuto agli obblighi del RGPD specificatamente diretti al responsabile del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni date dall’Azienda che sono contenute nella presente convenzione o in specifici accordi relativi a particolari argomenti stipulati tra Estar e l’Azienda.

3. L’Azienda o Estar sono esonerati dalla responsabilità di cui ai commi 1 e 2 se dimostrano che l’evento dannoso non gli è in alcun modo imputabile.

4. Qualora l’Azienda o Estar siano coinvolti nello stesso trattamento e siano responsabili dell’eventuale danno causato dal trattamento, sono responsabili in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.

5. Qualora l’Azienda o Estar abbia pagato l’intero ammontare del risarcimento del danno, sussiste il diritto di reclamare dal Titolare/Responsabile del trattamento la parte del risarcimento corrispondente alla sua parte di responsabilità per il danno.

6. Estar si obbliga a tenere manlevata ed indenne l’Azienda da ogni responsabilità o danno, anche nei confronti di terzi, e da qualunque somma che Estar dovesse essere condannato a pagare derivante direttamente o indirettamente, da fatti attivi o omissivi ad esso imputabili esclusivamente, commessi anche dai dipendenti e/o collaboratori che operano a vario titolo come autorizzati al trattamento dei dati, ivi inclusi i danni derivanti dalla perdita, sottrazione, deterioramento e/o distruzione dei dati trattati.

7. Estar conserva nei confronti dell’Azienda l’intera responsabilità dell’adempimento degli obblighi del sub Responsabile del trattamento, qualora quest’ultimo ometta di adempiere ai suddetti obblighi in materia di protezione dei dati.

(luogo e data)

Per l’Azienda sanitaria Per ESTAR