Tra

Allegato sub b) alla Determinazione del Direttore Generale Dir. Gen. Sanità n. 473 del 11.06.2020

ACCORDO PER IL TRATTAMENTO DEI DATI PERSONALI EX ART 28 REG. UE 679/2016

Tra

Regione Autonoma della Sardegna (di seguito per brevità “Regione”), Codice Fiscale 80002870923, rappresentata dal Direttore Generale della Sanità dell'Assessorato Igiene e Sanità e Assistenza Sociale, xxxx. Xxxxxxxx Xxxxxx,

e

Federfarma Sardegna - Unione Regionale dei Titolari di Farmacia - Regione Sardegna (di seguito per brevità “Farmacie”), Codice Fiscale 92016900927, con sede in Xxxxxxxx, xxx Xxxxx 00, rappresentata dal Presidente, xxxx. Xxxxxxx Xxxxxx, in qualità di rappresentante delle Farmacie che aderiscono alla Convezione per l’erogazione di servizi ICT del 07/03/2017, ai sensi dell’art. 3, lett. c) dello Statuto della Federfarma Sardegna;

il presente accordo sostituisce integralmente quello stipulato in precedenza e repertoriato al prot. n. 19017 rep. Convenzioni n. 11 del 30/07/2018.

INFORMAZIONI GENERALI

Titolare del Trattamento: Regione Autonoma della Sardegna – Presidente della Regione

Delegato del Titolare: Direttore Generale della Direzione della Sanità – Assessorato dell'igiene e sanità e dell'assistenza sociale

Indirizzo: xxx Xxxx, 000 - 00000 Xxxxxxxx Telefono: 000 000 0000

Email: xxx.xxxxx0@xxxxxxx.xxxxxxxx.xx PEC: xxx.xxxxx@xxx.xxxxxxx.xxxxxxxx.xx

Responsabile della Protezione dei dati (DPO) per il sistema Regione Autonoma della Sardegna: Coordinatore Unità di progetto Responsabile della protezione dati per il sistema Regione Autonoma della Sardegna - Presidenza

Indirizzo: xxxxx Xxxxxxx, 000 - 00000 Xxxxxxxx Telefono: 000 000 0000

Email: xxx@xxxxxxx.xxxxxxxx.xx PEC: xxx@xxx.xxxxxxx.xxxxxxxx.xx

Responsabile del Trattamento: Farmacie aderenti alla Convenzione di cui all’Allegato 4.

DEFINIZIONI

“Normativa Nazionale Privacy”: le norme italiane che disciplinano la protezione dei dati personali, ed in particolare il Decreto Legislativo 196/2003 e successive modifiche e integrazioni ed il D.Lgs. 10

agosto 2018 n. 101.

“Dato/i Personale/i”: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

“Interessato/i”: la/e persona/e fisica/che identificata/i o identificabile/i a cui si riferiscono i Dati Personali.

“Titolare”: la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali.

“Responsabile”: la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo che tratta dati per conto del Titolare del trattamento dei dati personali.

“Responsabile della Protezione dei Dati”: la figura prevista dagli articoli da 37 a 39 del Regolamento UE 2016/679.

“Trattamento”: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione.

“Limitazione di trattamento”: il contrassegno dei dati personali conservati con l’obiettivo di limitarne il trattamento in futuro.

“Consenso dell’interessato”: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento.

“Violazione dei dati personali”: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati.

“Dati relativi alla salute”: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

“Pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l’utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile.

“Convenzione”: Convenzione per l’erogazione di servizi ICT presso le farmacie convenzionate tra la Regione Autonoma della Sardegna e Federfarma, tra l’Assessorato dell’Igiene e Sanità e

dell’Assistenza Sociale della Regione Autonoma della Sardegna contratto Prot. ........del ..........

PREMESSO CHE

- il Decreto del Presidente della Regione Sardegna, n. 10072/48 del 23/05/2018, recante ad oggetto “Regolamento (UE) 2016/679 del Parlamento e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Delega delle funzioni del Titolare del trattamento”, all’articolo 2, prevede che i Direttori Generali ed i responsabili apicali degli uffici possono esercitare le funzioni del Titolare del trattamento anche delegandole ai Direttori di Servizio pro tempore della medesima Direzione o Ufficio, secondo le relative competenze e responsabilità;

- la Regione Autonoma della Sardegna e Federfarma Sardegna hanno stipulato una convenzione disciplinante l’erogazione di servizi ICT presso le farmacie convenzionate (di seguito Convenzione);

- le attività oggetto della Convenzione comportano il trattamento di dati personali ai sensi del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito Regolamento o GDPR) nonché del D. Lgs. 196/2003 e ss.mm.ii. recante il Codice in materia di protezione dei dati personali;

- l’attuazione della Convenzione implica per le farmacie aderenti il trattamento di dati personali la cui titolarità è in capo alla Regione;

- il Titolare del trattamento di dati personali può preporre una persona fisica, una persona giuridica, una pubblica amministrazione e qualsiasi altro ente, associazione od organismo quale Responsabile al trattamento dei dati che sia nominato tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento di dati personali, ivi compreso il profilo di sicurezza;

- nell’ambito dei servizi di cui alla presente Convenzione, Federfarma dichiara l’idoneità delle farmacie aderenti rispetto alle garanzie richieste dal Regolamento in particolare in termini di conoscenza specialistica, affidabilità e risorse per mettere in atto adeguate misure tecniche e organizzative a tutela della sicurezza del trattamento e dei diritti dell’interessato;

- è intenzione del Titolare consentire l’accesso sia al Responsabile che alle persone autorizzate al trattamento per i soli dati personali la cui conoscenza è necessaria per adempiere ai compiti loro attribuiti;

- il Responsabile deve procedere al trattamento secondo le istruzioni impartite dal Titolare per iscritto con il presente accordo e con eventuali accordi successivi;

TUTTO CIÒ PREMESSO

1. La Regione in qualità di Titolare dei dati cui competono le decisioni in ordine alle finalità ed alle

modalità del trattamento dei dati personali, nella persona del suo delegato, nomina le Farmacie aderenti alla Convenzione di cui all’Allegato 4 quali Responsabili del Trattamento ai sensi dell’art. 28 del Regolamento EU 2016/679 e della Normativa Nazionale Privacy, con l’incarico di effettuare le operazioni di trattamento sui dati personali relativi ai servizi oggetto della Convenzione.

2. Le Farmacie con la sottoscrizione del presente atto, accettano tutti i termini sotto indicati, confermano la diretta e approfondita conoscenza degli obblighi che si assumono in relazione al dettato normativo vigente e si impegnano a procedere al trattamento dei dati personali attenendosi alle istruzioni ricevute dal Titolare attraverso la presente nomina o a quelle ulteriori che saranno conferite nel corso delle attività prestate in suo favore.

3. Le Farmacie di cui all’Allegato 4, in qualità di Responsabili del trattamento si impegnano altresì ad attenersi “ALLE MISURE MINIME DI SICUREZZA” (Allegato 1) ed alle “ISTRUZIONI PER IL RESPONSABILE ALLE OPERAZIONI DI TRATTAMENTO DEI DATI PERSONALI E PARTICOLARI” (Allegato 2) che costituiscono parte integrante e inscindibile del presente accordo.

4. Le Farmacie prendono atto che qualsiasi mutamento dei requisiti di idoneità dichiarati, che possa sollevare fondati dubbi sul loro mantenimento, dovrà essere preventivamente segnalato al Titolare, che potrà esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali ed eccezioni di sorta.

ART. 1 PREMESSE E ALLEGATI

1.Le premesse e gli allegati, di seguito indicati, costituiscono parte integrante e sostanziale del presente Accordo e hanno valore di patto.

2. Il presente Accordo si compone dei seguenti allegati:

- Allegato 1 “MISURE DI SICUREZZA” ; - OMISSIS

- Allegato 2 “ISTRUZIONI PER IL RESPONSABILE ALLE OPERAZIONI DI TRATTAMENTO DEI DATI PERSONALI E PARTICOLARI”; - OMISSIS

- Allegato 3 “DETTAGLIO DEI TRATTAMENTI”; - OMISSIS

- Allegato 4 “ELENCO DELLE FARMACIE”. - OMISSIS

ART. 2 OGGETTO

1. Oggetto del presente atto è la disciplina del trattamento dei dati personali che le Farmacie aderenti effettuano nell’ambito dei servizi di cui alla Convenzione.

2. Le Farmacie, Responsabili del trattamento, sono autorizzate a trattare, per conto del Titolare, i dati personali dei cittadini affinché gli stessi, presso la Farmacia, possano attivare/usufruire i seguenti servizi:

• attivazione della TS-CNS;

• attivazione della firma digitale;

• apertura del Fascicolo Sanitario Elettronico (FSE);

• consultazione del FSE;

• stampa e ritiro di documenti tramite il FSE (p.e. referti, certificati, etc.);

• scelta e revoca del medico;

• richiesta dell’esenzione per reddito dal pagamento del ticket;

• centro informazioni sui servizi online della Regione Sardegna.

ART. 3 NATURA E FINALITA’ DEL TRATTAMENTO

La natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati sono specificati nell’Allegato 3 “DETTAGLIO DEI TRATTAMENTI” cui si rimanda.

ART. 4 DURATA E CESSAZIONE DEL TRATTAMENTO

1. Il trattamento ha una durata pari a quella di esecuzione della Convenzione e in ogni caso non superiore a quello necessario alla finalità per la quale i dati personali sono stati trattati. Tali dati devono essere conservati nei sistemi e nelle banche dati del Responsabile in una forma che consenta l'identificazione degli interessati per un periodo di tempo non superiore a quello in precedenza indicato ed a quanto previsto dall’art. 2220 del codice civile.

2. Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte del Responsabile, lo stesso a discrezione del Titolare sarà tenuto a restituire al Titolare i dati personali oggetto del trattamento oppure, provvedere alla loro integrale distruzione salvi solo i casi in cui la conservazione dei dati sia richiesta da norme di legge od altri fini (contabili, fiscali, ecc.).

In entrambi i casi il Responsabile provvederà a rilasciare al Titolare apposita dichiarazione per iscritto contenente l’attestazione che presso il Responsabile non esista alcuna copia dei dati personali e delle informazioni di titolarità del Titolare. Il Titolare si riserva il diritto di effettuare controlli e verifiche volte ad accertare la veridicità della dichiarazione. La presente nomina avrà efficacia fintanto che sia erogato il servizio, salvi gli specifici obblighi che per loro natura sono destinati a permanere. Qualora il rapporto tra le parti venisse meno o perdesse efficacia per qualsiasi motivo o il Servizio non fosse più erogato, anche il presente accordo verrà automaticamente meno senza bisogno di comunicazioni o revoche, ed il Responsabile non sarà più legittimato a trattare i dati del Titolare.

ART. 5 OBBLIGHI DEL TITOLARE

1. Il Titolare mette a disposizione del Responsabile quanto necessario per l’esecuzione della Convenzione ed in particolare:

⁃ lettori smart card;

⁃ accesso al portale;

⁃ buste contenenti i codici PIN;

⁃ informativa per il trattamento dei dati

2. Il Titolare si impegna a comunicare per iscritto al Responsabile qualsiasi variazione si dovesse rendere necessaria nelle operazioni di trattamento dei dati.

ART. 6 OBBLIGHI DEL RESPONSABILE

1. Il Responsabile tratterà i dati solo per la finalità o le finalità sopra specificate e per l’esecuzione delle prestazioni previste dalla Convenzione.

2. Il Responsabile dei dati personali si impegna a:

a) adempiere agli obblighi previsti dal GDPR e dalla Normativa Nazionale Privacy vigente, compreso l'obbligo di tenere un registro di tutte le categorie di attività di trattamento ai sensi dell'art. 30 del GDPR;

b) attenersi alle istruzioni del Garante per la protezione dei dati personali e, in particolare, alle misure di garanzia disposte dal Garante ai sensi dell’art. 2-septies del D.Lgs. 196/03;

c) trattare i Dati Personali solo se necessario per l’attivazione dei servizi ed osservare le istruzioni documentate del Titolare e come da questi comunicate per iscritto di volta in volta: qualora il Responsabile ritenga che un'istruzione di trattamento violi le leggi applicabili, informerà immediatamente al riguardo il Titolare e fornirà una motivazione adeguata;

d) fornire riscontro tempestivamente a tutte le richieste del Titolare in merito al trattamento dei Dati Personali;

e) vincolare il proprio personale che tratta i Dati Personali ad un adeguato obbligo di riservatezza, che rimane in vigore anche dopo il termine delle attività di trattamento; identificare e designare gli incaricati autorizzati ad effettuare operazioni di Trattamento sui Dati Personali, precisando l'ambito autorizzativo consentito ai sensi dell'art. 29 del GDPR e della Normativa Nazionale Privacy e provvedendo alla relativa formazione, fornendo le dovute istruzioni relativamente alle operazioni ed alle modalità di Trattamento dei Dati Personali, vigilando sulla puntuale applicazione delle istruzioni impartite e adottando misure disciplinari nei confronti di chi non rispetti tali istruzioni;

f) non divulgare o trasferire Dati Personali oggetto del presente accordo a terzi senza previa

autorizzazione scritta del Titolare, eccetto laddove tale divulgazione o trasferimento siano richiesti per legge, nel qual caso il Responsabile informerà tempestivamente il Titolare per iscritto prima di adempiere a tali richieste di divulgazione; il Responsabile dovrà rispettare tutte le indicazioni del Titolare in relazione a tale divulgazione o trasferimento;

g) non trasferire i Dati Personali in un paese al di fuori dello Spazio Economico Europeo che non preveda un livello di protezione dei dati equivalente a quello dell'Unione Europea come riconosciuto da una decisione della Commissione Europea, senza previa autorizzazione scritta del Titolare; in ogni caso, il Responsabile collaborerà con il Titolare per assicurarsi che siano in vigore adeguate salvaguardie legali o contrattuali per tali trasferimenti internazionali in conformità alla legislazione applicabile;

h) fornire un'assistenza al Titolare nel rispettare i suoi obblighi di trasparenza nei confronti degli interessati;

i) informare tempestivamente il Titolare di qualsiasi comunicazione ricevuta dagli interessati in relazione all'esercizio dei loro diritti sui propri Dati Personali e rispettare le istruzioni del Titolare nel fornire riscontro a tali comunicazioni;

j) informare gli interessati sul trattamento dei propri Dati Personali in conformità alle leggi applicabili e alle istruzioni del Titolare ogni volta che il Responsabile del trattamento raccoglie Dati Personali direttamente dagli interessati per conto del Titolare;

k) adottare misure tecniche e organizzative adeguate previste dal GDPR e dalla Normativa Nazionale Privacy, cosi come ogni altra previsione derivante dall'Autorità di Controllo, ovvero dal Comitato Europeo per la protezione dei dati e comunque in conformità con l'art. 5, lettera f, ed all'art. 32 del GDPR per proteggere i Dati Personali da distruzione accidentale o illecita o perdita o danno accidentale, alterazione, divulgazione o accesso non autorizzati e da tutte le altre forme di trattamento non autorizzate o illegali o richieste dalle leggi applicabili;

l) ad adottare e mantenere appropriate misure di sicurezza di cui all’art. 32 del GDPR, sia tecniche che organizzative, per proteggere i Dati Personali da eventuali distruzioni o perdite di natura illecita o accidentale, danni, alterazioni, divulgazioni o accessi non autorizzati, ed in particolare, laddove il trattamento comporta trasmissioni di dati su una rete, da qualsiasi altra forma illecita di trattamento. A tal fine il Responsabile del trattamento si impegna a rispettare i Requisiti Minimi di Sicurezza stabiliti dal Titolare del Trattamento di cui al successivo Allegato 1 e i provvedimenti in materia del Garante per la protezione dei dati personali, ivi incluso il provvedimento del 27 novembre 2008 in materia di amministratori di sistema, fatti salvi gli adeguamenti che potranno essere necessari a seguito dell’applicazione del Regolamento e di suoi eventuali provvedimenti attuativi. Tra le misure tecniche ed organizzative che garantiscono un livello di sicurezza adattato al rischio, ivi compresi, sono comprese fra le altre:

a) la pseudonimizzazione e la cifratura dei dati personali

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

L’adesione a un codice di condotta o una certificazione può essere utilizzata dal Responsabile, come elemento per dimostrare la conformità ai requisiti di cui al paragrafo 1 dell’art. 32 del GDPR;

m) fornire al Titolare la documentazione tecnica relativa alle procedure, eventualmente poste in essere, per testare e valutare l'efficacia delle misure tecniche e organizzative per la sicurezza del trattamento;

n) rispettare la vigente disciplina sugli amministratori di sistema (in origine contemplata dal provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008) e conservare gli estremi identificativi delle persone fisiche preposte alla mansione di amministratore di sistema e il registro delle attività dagli stessi poste in essere;

o) verificare periodicamente e, comunque, almeno annualmente, la sussistenza delle condizioni per la conservazione dei profili di autorizzazione degli incaricati e/o responsabili del trattamento e/o amministratori di sistema nominati;

p) astenersi dal compiere qualsiasi trattamento di dati personali che non sia stato definito in Convenzione e/o che comunque abbia finalità diverse da quelle definite e consentite;

q) garantire l'affidabilità di qualsiasi dipendente che accede ai Dati Personali di cui è titolare la Regione Sardegna ed assicurare, inoltre, che gli stessi abbiano ricevuto adeguata formazione con riferimento alla protezione e gestione dei Dati Personali, e che siano vincolati al rispetto di obblighi di riservatezza non meno onerosi di quelli previsti nel presente Accordo relativamente al Trattamento dei Dati Personali.

In ogni caso il Responsabile del trattamento dei dati sarà direttamente ritenuto responsabile per qualsiasi divulgazione di Dati Personali che dovesse realizzarsi ad opera di tali soggetti;

r) tenere conto, utilizzando i materiali, i prodotti, le applicazioni o i servizi, dei principi di protezione dei dati a partire da quando questi vengono progettati e della protezione dei dati di default;

s) informare il Titolare per iscritto secondo la procedura di data breach di cui alla DGR 51/3 del 16/10/2018, di qualsiasi distruzione accidentale o illecita o perdita o danno accidentale, alterazione, divulgazione o accesso ai Dati Personali non autorizzati, fornendo tutti i dettagli completi della violazione subita ed attivandosi per mitigare gli effetti delle violazioni, proponendo tempestive azioni correttive al Titolare ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dal Titolare. In particolare, il Responsabile dovrà fornire una descrizione della natura della violazione dei dati personali, le categorie e il numero approssimativo di interessati coinvolti, nonché le categorie e il numero approssimativo di registrazioni dei dati in questione, l'impatto della violazione dei dati personali sul Titolare e sugli Interessati coinvolti e le misure adottate per mitigare i rischi; il Responsabile dovrà assistere il Titolare nell'obbligo, in conformità con le leggi applicabili, di notificare la violazione alle autorità di controllo competenti e agli Interessati, nella misura in cui il Responsabile del trattamento disponga di informazioni rilevanti per il Titolare al fine di adempiere ai propri obblighi di notifica;

t) informare tempestivamente il Titolare di eventuali ispezioni e misure adottate dalle Autorità di controllo, nella misura in cui incidano sulle operazioni di trattamento ai sensi del presente atto. Ciò vale anche, nella misura consentita dalla legge applicabile, laddove il Responsabile sia oggetto di indagine o sia parte di un'indagine condotta dall'autorità pubblica relativa ai Dati Personali trattati ai sensi del presente accordo. Il Responsabile dovrà conformarsi a tutte le indicazioni del Titolare in merito a qualsiasi divulgazione o trasferimento di Dati Personali alle autorità competenti;

u) assistere il Titolare, qualora sia fatta richiesta specifica in tal senso, nell’ambito delle procedure dinnanzi all'Autorità di controllo o all'Autorità Giudiziaria per le attività di sua competenza;

v) applicare senza indebito ritardo adeguate misure di sicurezza e di mitigazione, in accordo con il Titolare, per limitare i potenziali effetti negativi di una violazione della sicurezza;

w) assistere il Titolare nell'effettuare valutazioni di impatto sulla protezione dei dati e preparare le consultazioni con le autorità di controllo, laddove il Responsabile detenga informazioni rilevanti affinché il Titolare rispetti gli obblighi previsti dalle leggi applicabili;

x) il Responsabile del trattamento dei dati accetta che il Titolare o un revisore esterno incaricato dal Titolare possa, con ragionevole preavviso, ispezionare e verificare il trattamento dei Dati Personali per confermare l’adempimento degli obblighi stabiliti nel presente atto e nelle leggi applicabili da parte del Responsabile. La verifica può, tra l'altro, comportare richieste di informazioni o un'ispezione dei locali del Responsabile da parte del Titolare o del revisore esterno incaricato;

y) il Responsabile fornirà al Titolare o al revisore esterno incaricato tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente nomina e tutto il materiale necessario affinché il Titolare possa condurre tali ispezione o audit;

z) esporre all’interno della farmacia e ben visibile al pubblico le informative.

ART. 7 MANLEVA

Il Responsabile si obbliga a manlevare e a tenere indenne il Titolare da qualsiasi danno, pregiudizio, costo, spesa per comportamenti commissivi/omissivi connessi al proprio ruolo di Responsabile nonché dei propri incaricati del trattamento e/o responsabili interni del trattamento e/o amministratori di sistema e/o eventuali sub-responsabili.

ART. 8 COMUNICAZIONI TRA LE PARTI

Le comunicazioni tra le parti, ai fini del presente incarico, dovranno essere indirizzate:

⁃ per il Titolare del trattamento: Regione Autonoma della Sardegna – Direzione Generale della Sanità via Roma n. 223 – Cagliari,

Tel. 000 000 0000,

PEC: xxx.xxxxx@xxx.xxxxxxx.xxxxxxxx.xx.

⁃ per il Responsabile del trattamento: Federfarma Sardegna - Unione Regionale dei Titolari di Farmacia - Regione Sardegna, via Xxxxx 25- Cagliari,

Tel. 000000000 –

PEC xx.xxxxxxxx@xxx.xxxxxxxxxx.xx email: xxxxxxxxxx@xxxxxxxxxxxxxxxxxx.xx.

ART. 9 DISPOSIZIONI FINALI

1. La Nomina non prevede alcun compenso aggiuntivo in favore del Responsabile.

2. Per quanto non espressamente ivi previsto, si rinvia alle disposizioni generali vigenti in materia di protezione di dati personali.

3. Con il presente accordo si intende espressamente revocare e sostituire ogni altro accordo tra le parti inerente il trattamento di dati personali.

4. Il servizio di apertura del FSE e le operazioni connesse rimarranno operative nelle more della completa definizione, attuazione e completamento delle attività di attivazione massiva per tutta la popolazione conseguenti all’abrogazione del consenso all’alimentazione ai sensi dell’art. 11 del Decreto Legge 19 maggio 2020, n. 34 (c.d. Decreto Rilancio), fermo restando che dovrà rimanere sempre operativo il servizio di gestione del consenso alla consultazione del FSE.

Il Titolare Il Responsabile