FRONTESPIZIO PROTOCOLLO GENERALE

AOO: AOPSO_BO

REGISTRO: Protocollo generale

NUMERO: 0020298

DATA: 10/06/2021

OGGETTO:

avviso di selezione per il conferimento dell’incarico di Responsabile della struttura semplice interaziendale Data Protection Officer in staff al Direttore Generale dell’IRCCS Azienda Ospedaliero-Universitaria di Bologna (Amministrazione capofila)

SOTTOSCRITTO DIGITALMENTE DA:

Xxxxxxxx Xxxxx

CLASSIFICAZIONI: [04-01]

DOCUMENTI:
File	Firmato digitalmente da	Hash
PG0020298_2021_Lettera_firmata.pdf:	Xxxxx Xxxxxxxx	9CEFD8EE3F640B47C65A54CC773D0889 5F432F86565CEBFD7A1EB37944C6F5C5
PG0020298_2021_Allegato1.pdf:		7AA331A2586B275A12A2311EB000F5DD0 F3734B0B9D95288E5495D263F7559CF
PG0020298_2021_Allegato2.pdf:		C89EB56ADC16726C7977BB0097838ED9 1FD09C09DB675FD91EB71B69CF0547FC

L'originale del presente documento, redatto in formato elettronico e firmato digitalmente e' conservato a cura dell'ente produttore secondo normativa vigente.

Ai sensi dell'art. 3bis c4-bis Dlgs 82/2005 e s.m.i., in assenza del domicilio digitale le amministrazioni possono predisporre le comunicazioni ai cittadini come documenti informatici sottoscritti con firma digitale o firma elettronica avanzata ed inviare ai cittadini stessi copia analogica di tali documenti sottoscritti con firma autografa sostituita a mezzo stampa predisposta secondo le disposizioni di cui all'articolo 3 del Dlgs 39/1993.

Servizio Unico Metropolitano Amministrazione Giuridica del Personale - SUMAGP (SC)

Ai Dirigenti dell’IRCCS Azienda

Ospedaliero-Universitaria di Bologna Policlinico di S.Orsola

dell’Azienda USL di Bologna dell’Istituto Ortopedico Rizzoli dell’Azienda USL di Imola

OGGETTO:

Richiamati

l’articolo 37 del “ 2016/679;

Regolamento generale sulla protezione dei dati” - GDPR, Regolamento UE

la deliberazione della Direzione Generale dell’IRCCS Azienda Ospedaliero-Universitaria di Bologna

n. 167 del 9/6/2021 con la quale è stato approvato l’accordo relativo alla gestione unificata delle funzioni di Data Protection Officer, con decorrenza dal 14 giugno 2021, con scadenza al 31 luglio 2026, e contestualmente si è stabilito di istituire - per consentire l’esercizio della funzione, in applicazione dell’accordo di cui al punto precedente - una struttura semplice a valenza interaziendale, collocata in staff al Direttore Generale dell’IRCCS Azienda ospedaliero-universitaria di Bologna (Amministrazione capofila) ( allegato 1).

Mission e rilevanza strategica :

l’individuazione di una specifica figura, quella del “

Responsabile della protezione dei dati”

o “ Data

Protection Officer” (DPO). Secondo il Regolamento Europeo, il DPO deve innanzitutto essere portatore di conoscenze specialistiche e qualità professionali legate alla conoscenza della normativa, delle procedure aziendali e della prassi, oltre a conoscere le operazioni di trattamento svolte presso le strutture. A tal fine, questa figura deve essere partecipe delle scelte di management del titolare del trattamento, ed esercitare un ruolo di terzietà nei confronti delle amministrazioni sanitarie coinvolte.

struttura organizzata, capace di potenziare le sinergie già esistenti tra le aziende in materia di privacy, rappresenta ad oggi il modello più appropriato in termini di rilevanza strategica.

In coerenza con il Documento di indirizzo su “Designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico” (Provvedimento del - 5 - 29 aprile 2021 [9589104] e tenuto conto delle dimensioni e della complessità dei trattamenti effettuati dalle Aziende Sanitarie firmatarie dell’accordo, la struttura è composta da un team a supporto del DPO, formato da personale in possesso di competenze professionali qualificate e diversificate.

In esecuzione di quanto convenuto con l’accordo soprarichiamato è necessario provvedere al conferimento dell’incarico di Responsabile della struttura semplice interaziendale Data Protection Officer in staff al Direttore Generale dell’IRCCS Azienda Ospedaliero-Universitaria di Bologna.

Requisiti specifici di ammissione:

1) essere dipendente o in posizione di comando o integrato in base all’art. 11 del protocollo di intesa tra la Regione Xxxxxx-Romagna e le Università di Bologna, Ferrara, Modena-Reggio Xxxxxx e Parma, in attuazione dell’art. 9 della L.R. 23/12/2004, n. 29, approvato con deliberazione della Giunta Regionale n. 1207/2016 con qualifica dirigenziale presso l’Azienda USL di Bologna, l’Azienda Ospedaliero-Universitaria di Bologna, l’Istituto Ortopedico Rizzoli o l’Azienda USL di Imola;

2) per il personale Dirigente afferente alla Dirigenza Sanitaria: anzianità di servizio alle dipendenze del SSN di almeno 5 anni nel ruolo e nel profilo professionale di inquadramento, ovvero, (per effetto dell’articolo 5, comma 2 del D.Lgs. n. 517/99), anzianità di servizio con integrazione per l’attività assistenziale di almeno 5 anni, senza soluzione di continuità, presso enti del comparto del Servizio Sanitario Nazionale. Nel computo degli anni ai fini del conferimento dell’incarico, rientrano i periodi di effettiva anzianità di servizio maturata in qualità di dirigente, anche a tempo determinato, anche presso altre Aziende od Enti del Servizio Sanitario Nazionale, nonché i periodi relativi ad attività sanitarie e professionali effettuate con incarico dirigenziale o equivalente alle funzioni dirigenziali in ospedali o strutture pubbliche dei paesi dell’Unione Europea con o senza soluzione di continuità.

per il personale Dirigente a tempo indeterminato afferente alla Dirigenza Amministrativa, Professionale e Tecnica: superamento con esito positivo del periodo di prova nel profilo professionale di inquadramento;

per il personale Dirigente a tempo determinato afferente alla Dirigenza Amministrativa, Professionale e Tecnica: aver prestato servizio per almeno 6 mesi, dopo il superamento con esito positivo del periodo di prova nel profilo professionale di inquadramento.

3) aver superato positivamente le verifiche previste dal contratto collettivo nazionale di lavoro relativamente allo svolgimento degli incarichi dirigenziali.

Requisiti preferenziali:

conseguimento di percorsi formativi qualificati inerenti alla normativa privacy;

curriculum formativo e professionale che evidenzi un percorso formativo e professionale nell’ambito della privacy;

aver ricoperto, per almeno 3 anni, il ruolo di DPO o, in alternativa, di Responsabile Privacy Aziendale o figura analoga;

possedere un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo specifico settore sanitario, in quanto la liceità del trattamento dei dati personali in questo ambito dipende dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore;

possedere adeguata conoscenza della normativa vigente e dei principali standard internazionali delle norme ISO in materia di protezione dei dati e adeguata conoscenza delle normative vigenti per la gestione dei sistemi qualità.

I Dirigenti interessati al conferimento dell'incarico dirigenziale di Responsabile struttura semplice interaziendale “Data Protection Officer”, in possesso dei requisiti specifici di ammissione sopra specificati, sono invitati a presentare domanda secondo lo schema allegato 2), corredata della copia di un documento di identità valido, unitamente a specifico curriculum formativo e professionale redatto secondo lo schema al legato 3) in forma di autocertificazione, datato e firmato, atto ad evidenziare le capacità e le competenze richieste per ricoprire la posizione di che trattasi in relazione al raggiungimento degli obiettivi ad essa correlati.

La domanda di partecipazione, datata e sottoscritta dall’interessato, deve pervenire al Servizio Unico Metropolitano Amministrazione Giuridica del Personale – Settore Concorsi e Avvisi - Xxx Xxxxxxx 00 - Xxxxxxx, entro le ore 23.59.59 del giorno VENERDÌ 25 GIUGNO 2021.

La domanda deve contenere l’indicazione del recapito (anche telefonico e di email) a cui fare riferimento per qualsiasi comunicazione inerente alla presente procedura, nonchè la dichiarazione di disponibilità all’assegnazione temporanea presso l’IRCCS Azienda Ospedaliero-Universitaria di Bologna per i Dirigenti che non siano già dipendenti dell’Azienda medesima e dovrà essere inoltrata alternativamente nei seguenti modi:

a mezzo del servizio postale al seguente indirizzo: Servizio Unico Metropolitano Amministrazione Giuridica del Personale (SUMAGP) - Settore Concorsi e Avvisi - xxx Xxxxxxx x. 00 - 00000 Xxxxxxx. La busta dovrà contenere la dicitura “ DOMANDA UOS Interaziendale DPO DI

(INDICARE COGNOME E NOME)”. La busta deve contenere

un’unica domanda di partecipazione. In caso contrario l’Amministrazione non risponde di eventuali disguidi che ne potrebbero derivare. A tal fine, si precisa che NON fa fede il timbro dell'Ufficio Postale accettante. L’Amministrazione non risponde di eventuali disguidi o ritardi derivanti dal Servizio Postale.

ovvero

trasmesse tramite l’utilizzo della Posta Elettronica Certificata (PEC) del candidato all’indirizzo xxxxxxxx@xxx.xxxx.xx.xx in un unico file in formato PDF (dimensione massima 50 MB). L’oggetto della PEC dovrà riportare la dicitura “ DOMANDA UOS Interaziendale DPO DI

(INDICARE COGNOME E NOME)”. Si precisa che la validità di tale invio è subordinata all’utilizzo da parte del candidato di posta elettronica certificata. Non sarà pertanto ritenuto valido l’invio da casella di posta elettronica semplice/ordinaria anche se indirizzata all’indirizzo di posta elettronica certificata di cui sopra. È onere del candidato verificare l’avvenuta consegna della domanda inviata tramite l’utilizzo della PEC mediante la verifica del ricevimento della ricevuta di accettazione e consegna. Qualora l’istanza di ammissione alla presente procedura sia pervenuta tramite PEC, l’Amministrazione è autorizzata ad utilizzare per ogni comunicazione, qualora lo ritenesse opportuno, il medesimo mezzo con piena efficacia e garanzia di conoscibilità degli atti trasmessi.

È esclusa ogni altra forma di presentazione o trasmissione.

L’Amministrazione non risponde di eventuali disguidi o ritardi derivanti dal Servizio Postale. Il termine fissato per la presentazione delle domande è perentorio.

Non vengono prese in considerazione domande spedite in data antecedente o successiva a quella di vigenza dell’avviso.

Responsabilità:

Le principali responsabilità dell’incarico sono:

informare e fornire consulenza ai titolari del trattamento, in ordine agli obblighi derivanti dal

Regolamento, nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

sorvegliare l'osservanza della normativa in materia di protezione dei dati personali nonché delle policy aziendali e curare l’attribuzione delle responsabilità in materia di trattamento dei dati personali;

promuovere iniziative formative congiunte e svolgere attività di formazione in materia di privacy in relazione all’obbligo formativo previsto dalla normativa di riferimento;

fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

verificare, attraverso l’attività di audit, che la normativa vigente e le policy aziendali siano correttamente attuate e applicate;

cooperare con l'Autorità Garante per la protezione dei dati personali, fungendo da punto di contatto per la stessa per questioni connesse al trattamento (tra cui la consultazione preventiva) ed effettuare eventuali consultazioni e curarne in generale i rapporti.

Obiettivi e responsabilità del titolare di posizione per Azienda:

Obiettivi e responsabilità

Risultato atteso e modalità di

misurazione

Promozione e svolgimento di iniziative formative trasversali e congiunte in materia di privacy in relazione all’obbligo formativo

previsto dalla normativa di riferimento

N° eventi formativi realizzati/n° eventi formativi pianificati (almeno 1

all’anno)

Formulazione di pareri in merito alla valutazione d'impatto sulla protezione dei dati svolta dai gruppi di lavoro delle singole aziende

N° valutazioni impatto validate/anno (% valutazioni impatto validate rispetto a quelle eseguite dalle

singole aziende: 100%)

Esecuzione di attività di audit per la verifica della corretta

applicazione della normativa vigente e delle policy aziendali

N° verifiche eseguite/n° verifiche

pianificate (almeno 1 nell’anno)

Gestione dell’attività di monitoraggio delle sperimentazioni cliniche (Gestione degli studi clinici in Italia in corso di emergenza COVID-19) come richiesto dall’Autorità Regolatoria Agenzia

Italiana del Farmaco (AIFA)

N° risposte rilasciate/n° richieste pervenute: 100%

Gestione delle richieste di esercizio dei diritti degli interessati (compresi dipendenti) e delle richieste relative ad aspetti privacy

sul FSE

N° richieste gestite/n° richieste pervenute: 100%

Gestione degli incidenti di sicurezza ( data breach) nella modalità

prevista dalle procedure delle singole aziende

N° pareri formulati/n° pareri

richiesti:100%

Formulazione degli indirizzi per la realizzazione dei registri delle attività di trattamento dei titolari delle singole aziende e tenuta degli stessi

Collaborazione con gli ICT delle aziende nella definizione degli indirizzi da fornire per la gestione dei

registri

Promozione dello sviluppo professionale del personale assegnato alla struttura, favorendo le attività di formazione e aggiornamento

Partecipazione ad almeno un evento formativo interno/esterno/anno in

tema di trattamento dei dati

Modalità di svolgimento della selezione:

La selezione si baserà sull’analisi del curriculum integrata da un colloquio volto ad accertare il possesso delle capacità e competenze richieste, da parte di una Commissione costituita dai quattro Direttori Amministrativi delle Aziende convenzionate o loro delegati.

Il colloquio con i Dirigenti ammessi alla presente selezione avrà luogo il giorno MERCOLEDÌ 30 GIUGNO 2021 alle ore 10,30 presso la Sala AVEC – 3° piano – via Gramsci n. 12 – Bologna. I candidati dovranno presentarsi al colloquio muniti di un documento di riconoscimento valido.

Questo avviso costituisce l’unica forma di convocazione al colloquio e pertanto è onere dei candidati prenderne visione. Non verranno inviate convocazioni individuali.

La mancata presentazione nel giorno, nella sede ed orario che verranno indicati o la presentazione in ritardo, ancorché dovuta a causa di forza maggiore, comporteranno l’irrevocabile esclusione dalla procedura, equivalendo a rinuncia.

I requisiti previsti verranno valutati in coerenza con i criteri sotto elencati:

natura e caratteristiche dei programmi da realizzare in relazione alle responsabilità proprie della posizione da attribuire e delle relative attività;

attitudini personali e relazionali, e capacità professionali del singolo dirigente, sia in relazione alle conoscenze specialistiche nella professione di competenza, sia alla esperienza già acquisita o a esperienze documentate anche di studio, ricerca presso istituti di rilievo nazionale o internazionale; livello di autonomia nello svolgimento di funzioni anche complesse; competenza nella conduzione di prestazioni ad alta tecnologia; capacità di gestire casi/procedure di elevata complessità; propensione all’innovazione, anche organizzativa;

esperienza professionale valutabile sulla base del curriculum professionale e formativo dei candidati; conoscenza dei modelli e degli strumenti organizzativi, tecnico-contabili, giuridici e amministrativi a garanzia di una gestione amministrativa improntata all’innovazione organizzativa, fondata sul processo operativo di programmazione e controllo del budget;

buona preparazione tecnica, giuridico-amministrativa ed economica, legata alla normativa di settore, capacità di valutare la specificità dell’organizzazione e di apportare il proprio contributo in termini di innovazione, analisi e conclusione efficace ed efficiente dei procedimenti di pertinenza;

capacità di gestione dei sistemi informativi di supporto all’attività di riferimento;

capacità di guidare ed indirizzare i collaboratori verso gli obiettivi legati alle attività di pertinenza, utilizzando anche innovativi strumenti organizzativi, quali percorsi di miglioramento, stimolando la crescita dei propri collaboratori anche attraverso la valorizzazione dei contributi da loro offerti e lo sviluppo delle loro competenze;

capacità di relazione ed integrazione con altre strutture;

valutazione riportata dal dirigente nel caso di precedenti incarichi e nelle verifiche annuali previste, con particolare riferimento ai risultati conseguiti in rapporto agli obiettivi assegnati;

del criterio della rotazione ove applicabile.

Conferimento dell’incarico:

L’incarico sarà affidato dal Direttore Generale dell’IRCCS Azienda Ospedaliero-Universitaria di Bologna sulla base della proposta formulata dall’apposita Commissione di valutazione e avrà durata quinquennale, rinnovabile, fatta salva eventuale precedente scadenza dell’accordo interaziendale o cessazione anticipata dello stesso per volontà delle aziende sottoscrittrici, con verifica annuale del raggiungimento degli obiettivi nel rispetto delle finalità dell’incarico e della durata complessiva dell’accordo.

Trattamento economico:

In base alla graduazione delle strutture interaziendali, la retribuzione di posizione annua lorda, correlata alla responsabilità di che trattasi, è determinata, nel rispetto della normativa vigente e degli accordi in essere presso l’IRCCS Azienda Ospedaliero-Universitaria di Bologna, nella misura annua lorda pari a € 25.000, comprensiva del rateo di tredicesima mensilità.

La presentazione della domanda di partecipazione all’avviso implica il consenso al trattamento dei dati personali, compresi i dati sensibili. Tutti i dati di cui l'Amministrazione verrà in possesso a seguito della presente procedura verranno trattati nel rispetto del D.Lgs. 30/6/2003, n. 196 e del Regolamento Europeo 2016/679.

Per quanto non specificato si fa integralmente rinvio alla deliberazione del Direttore Generale dell’IRCCS Azienda Ospedaliero-Universitaria di Bologna n. 167 del 9/6/2021 e relativi allegati.

Per le informazioni necessarie gli interessati possono rivolgersi al Settore Concorsi e Avvisi – xxx Xxxxxxx

x. 00 - Xxxxxxx (tel. 051/0000000 – 9957 – 9589 dal lunedì al venerdì dalle ore 9 alle ore 12. – posta elettronica xxxxxxxxx@xxxx.xxxxxxx.xx).

Il presente avviso è reperibile sui siti internet aziendali xxx.xxxx.xx.xx , xxx.xxxx.xxxxxxx.xx , xxx.xxx.xx , w xx.xxxx.xxxxx.xx.xx

È gradita l’occasione per porgerLe, cordiali saluti.

Allegati: c.s.d.

Responsabile procedimento: Xxxxx Xxxxxxxx

Firmato digitalmente da: Xxxxxxxx Xxxxx

FRONTESPIZIO DELIBERAZIONE

AOO: AOPSO_BO

REGISTRO: Deliberazione

NUMERO: 0000167

DATA: 09/06/2021 15:35

OGGETTO:

Approvazione dell’accordo per l’istituzione della funzione di “Responsabile della protezione dei dati - Data Protection Officer” in ambito metropolitano - Provvedimenti conseguenti.

SOTTOSCRITTO DIGITALMENTE DA:

Il presente atto è stato firmato digitalmente da Xxxxxxxxx Xxxxxx in qualità di Direttore Generale Con il parere favorevole di Xxxxxx Xxxxxxxx - Direttore Sanitario

Con il parere favorevole di Samore' Nevio - Direttore Amministrativo

Su proposta di Xxxxxx Xxxxxxxxxxxx - SVILUPPO ORGANIZZATIVO che esprime parere favorevole in ordine ai contenuti sostanziali, formali e di legittimità del presente atto

CLASSIFICAZIONI: [09-01]

DESTINATARI:

Collegio sindacale

Servizio Unico Metropolitano Amministrazione Giuridica del Personale - SUMAGP (SC) Servizio Unico Metropolitano Amministrazione Economica del Personale - SUMAEP (SC) ATTIVITA' GENERALI ED ISTITUZIONALI

ANTICORRUZIONE TRASPARENZA E RAPPORTI CON L'UNIVERSITA' SERVIZIO LEGALE ED ASSICURATIVO

CONTROLLO DI GESTIONE E SISTEMA INFORMATIVO

Servizio Unico Metropolitano Contabilita' e Finanza (SUMCF)

DOCUMENTI:

File Firmato digitalmente da Hash

DELI0000167_2021_delibera_firmata.pdf Xxxxxx Xxxxxxxx; Xxxxxxxxx Xxxxxx; Samore'

Xxxxx; Xxxxxxxxxxxx Xxxxxx

02E7E88EF803BD41F9A34BD7AE4346DB XX00XX00XX000000000X0000X00X0X0X

XXXX0000000_0000_Xxxxxxxx0.xxx: 3C5413F5EC515265CC0820DF9681A2E09 X0XX0X0XX00X00000XX00000X00XXXX

XXXX0000000_0000_Xxxxxxxx0.xxx: 7A07CE2DBF4100704D7E1A1F5A5A8428 AB29A70BF48466473ABA3FEC03B151EC

L'originale del presente documento, redatto in formato elettronico e firmato digitalmente e' conservato a cura dell'ente produttore secondo normativa vigente.

DELIBERAZIONE

OGGETTO:

Approvazione dell’accordo per l’istituzione della funzione di “Responsabile della protezione dei dati - Data Protection Officer” in ambito metropolitano - Provvedimenti conseguenti.

IL DIRETTORE GENERALE

Premesso che l’articolo 37 del “ Regolamento generale sulla protezione dei dati” - GDPR, Regolamento UE 2016/679:

istituisce la figura del responsabile della protezione dei dati (DPO - Data Protection Officer);

prevede - paragrafo 1, lett. a) - che tale figura sia designata sistematicamente quando il trattamento sia effettuato da un'autorità pubblica o da un organismo pubblico;

richiede - paragrafo 5 - che il DPO sia designato in funzione delle qualità professionali, in particolare della conoscenza specialistica di normativa e prassi in materia di protezione dei dati nonché della capacità di assolvere i compiti di cui al successivo articolo 39, contemplando la possibilità - paragrafo 6 - che sia un dipendente del titolare del trattamento o del responsabile del trattamento; consente - paragrafo 3 - che più autorità pubbliche o organismi pubblici designino un unico responsabile della protezione dei dati, tenuto conto della loro struttura organizzativa e dimensione;

Considerato che la Regione Xxxxxx-Romagna ha costituito un tavolo regionale per il coordinamento delle misure in materia di protezione dei dati personali ad esito del quale Regione ed Aziende sanitarie hanno previsto la possibilità che più aziende possano dotarsi di un unico DPO, perseguendo percorsi analoghi e condividendo soluzioni in relazione agli specifici adempimenti normativi.

Ricordato che, a seguito di tale determinazione, le aziende sanitarie metropolitane si sono dotate, dal 2018, di un unico DPO, scelta che si è rivelata essere incisiva e rispetto alla quale si ritiene, pertanto, vantaggioso proseguire tale esperienza condivisa;

Dato atto, pertanto, che:

l’IRCCS Azienda ospedaliero-universitaria di Bologna; l’Azienda USL di Bologna;

l’IRCCS Istituto Ortopedico Rizzoli di Bologna; l’Azienda USL di Imola

hanno condiviso l’opportunità di gestire unitariamente la funzione di responsabile della protezione dei dati, stipulando uno specifico accordo (allegato 1), nel quale riconoscono all’AOU di Bologna il ruolo di azienda capofila;

Valutato opportuno, in virtù di tale accordo, ricondurre la funzione ad una struttura semplice a valenza interaziendale, collocata nell’ambito dell’azienda capofila, cui siano assegnate risorse con competenze giuridiche, amministrative ed informatiche e cui sia riconosciuta l’opportuna indipendenza di azione, come suggerito dal considerando 97 del Regolamento UE 2016/679;

Dato atto che il modello organizzativo, condiviso dalle Direzioni Aziendali:

è stato presentato ai Comitati Unici di Garanzia nella seduta unica, tenuta in ambito interaziendale, del 15 Aprile 2021;

è stato oggetto di informativa e successiva illustrazione alle organizzazioni sindacali delle aree di contrattazione del comparto e della dirigenza - sanitaria e professionale/tecnico/amministrativa - nell’ambito di specifico incontro interaziendale, tenutosi in data 20 Aprile 2021, e successivo approfondimento avvenuto in due distinti incontri tenutisi presso l’IRCCS AOU, in data 25 Maggio 2021, e presso l’AUSL di Bologna, in data 27 Maggio 2021;

è stato presentato ed approvato dalla Conferenza Territoriale Socio Sanitaria Metropolitana, in data 29 Aprile 2021;

Delibera

1. di approvare - con decorrenza 14 Giugno 2021 - l’accordo per la gestione unificata - in ambito

interaziendale metropolitano - della funzione di

responsabile della protezione dei dati

- Data

Protection Officer (allegato 1, parte integrante e sostanziale del presente provvedimento)

2. di istituire - per consentire l’esercizio della funzione, in applicazione dell’accordo di cui al punto precedente - una struttura semplice a valenza interaziendale, collocata in staff al Direttore Generale dell’IRCCS Azienda ospedaliero-universitaria di Bologna (azienda capofila);

3. di disporre che la responsabilità della struttura di cui al punto precedente sia assegnata ad esito di specifica procedura selettiva, aperta ai dipendenti delle aziende interessate in possesso dei requisiti richiesti;

4. di stabilire in cinque anni la durata dell’incarico dirigenziale conferito ad esito della procedura selettiva di cui al punto precedente, fatta salva eventuale precedente scadenza dell’accordo interaziendale o cessazione anticipata dello stesso per volontà delle aziende sottoscrittrici;

5. di approvare la scheda di descrizione della posizione dirigenziale in cui sono dettagliati requisiti formativi e professionali, mission, responsabilità, obiettivi e risultati attesi, risorse assegnate alla struttura semplice (allegato 2, parte integrante e sostanziale del presente provvedimento);

6. di dare mandato al Servizio Unico Metropolitano “ Amministrazione giuridica del personale” e alla struttura “ Valutazione del personale” affinché, per quanto di rispettiva competenza, adottino gli atti e dispongano quanto necessario all’attuazione del presente provvedimento.

Responsabile del procedimento ai sensi della L. 241/90: Xxxxxx Xxxxxxxxxxxx

ACCORDO PER LA GESTIONE UNIFICATA DELL’ATTIVITÀ DI

DATA PROTECTION OFFICER

IRCSS Azienda Ospedaliero Universitaria di Bologna (C.F. e P.IVA 92038610371), con sede legale in Bologna via Albertoni 15, in persona della dr.ssa Xxxxxx Xxxxxxxxx in qualità di Direttore Generale e legale rappresentante dell’Ente (di seguito IRCCS AOU);

Azienda USL di Bologna (C.F. e P.IVA: 02406911202), con sede legale in Bologna xxx Xxxxxxxxxxx 00, in persona del xxxx. Xxxxx Xxxxxx in qualità di Direttore Generale e legale rappresentante dell’Ente (di seguito AUSL BO);

Azienda Usl di Imola (P. IVA 00705271203) con sede legale in Imola xxxxx Xxxxxxxx 0, in persona del dr. Xxxxxx Xxxxx in qualità di Direttore Generale e legale rappresentante dell’Ente, dell’Ente (di seguito AUSL IMOLA);

Istituto Ortopedico Rizzoli (P. IVA 00302030374) con sede legale in Bologna via di Barbiano 1/10, in persona del Xxxx. Xxxxxxx Xxxxxxxx in qualità di Direttore Generale e legale rappresentante dell’Ente, (di seguito IOR);

di seguito congiuntamente “le parti”;

PREMESSO che

- il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla liberacircolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito GDPR), in vigore dal 24 maggio 2016, e applicabile a partire dal 25 maggio 2018, introduce la figura del Responsabile dei dati personali (RDP) o altrimenti detto Data ProtectionOfficer (DPO) (artt. 37-39);

- il predetto Regolamento prevede l’obbligo per il titolare o il responsabile del trattamento di designare ilDPO “quando il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico, eccettuate le autorità giurisdizionali quando esercitano le loro funzioni giurisdizionali” (art. 37, paragrafo 1, lett. a);

- le predette disposizioni prevedono che “qualora il titolare del trattamento o il responsabile del trattamento sia un'autorità pubblica o un organismo pubblico, un unico responsabile della protezione dei dati può essere designato per più autorità pubbliche o organismi pubblici, tenuto conto della loro struttura organizzativa e dimensione (art. 37, paragrafo 3);

- le predette disposizioni prevedono altresì che il DPO “può essere un dipendente del titolare del trattamento o del responsabile del trattamento oppure assolvere i suoi compiti in base a un contratto di servizi” (art. 37,paragrafo 6) e deve essere individuato “in funzione delle qualità professionali, in particolare dellaconoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità di assolvere i compiti di cui all’articolo 39” (art. 37, paragrafo 5);

- a seguito dei lavori del Tavolo regionale per il coordinamento delle misure in materia di protezione dei dati personali e delle osservazioni al documento prodotto dal Tavolo e inviato ai Direttori Generali il 23.02.2018 "Richiesta riscontro su documento concernente il DPO (Data ProtectionOfficer)" la Regione e le Aziende condivisero l’opportunità di dotarsi di un DPO per più Aziende Sanitarie agevolando percorsi analoghi e soluzioni condivise circa gli adempimenti normativi a cui dovranno rispondere.

- che le Aziende sanitarie dell’area bolognese nel 2018 decisero pertanto di dotarsi di una figura unitaria comune di Data ProtectionOfficer (DPO);

- che tale scelta, è risultata molto efficace ed ha consentito alle Aziende, di adottare un modello organizzativo privacy interaziendale articolato ed efficiente ed economicamente vantaggioso;

CONSIDERATO

- che in tale contesto, mantenere il modello organizzativo sperimentato rappresenta, per il sistema delle aziende sanitarie, una scelta confermata dalle Direzioni Generali;

- che conseguentemente è stato predisposto undocumento che, in ragione della validità del modello già adottato a decorrere dall’anno 2018 ed alla luce dell’esperienza condotta, prevede un consolidamento dello stesso mediante istituzione di unaU.O. interaziendale DPO che, dotata delle necessarie competenze e risorse, presidi la gestione in forma unificata delle attività di Data ProtectionOfficer

- che il succitato documento è stato validato dalle Direzioni Generali delle Aziende interessate: AUSL BO nota prot. n. 28016 del 18/03/2021, IRCCS AOU nota prot.

n. 9904 del 19/03/2021, AUSL Imola nota prot. n. del , IOR nota prot. 4663 del 24/03/2021;

- che il suddettomodello organizzativo è coerente con il Provvedimento del 29 aprile 2021 - Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico;

- che il modello organizzativo validato dalle Direzioni Generali, è stato presentato al Comitato Unico di Garanzia delle Aziende nella seduta unica interaziendale del 15 aprile 2021 ed è stato, altresì, oggetto di informativa e successiva illustrazione alle

XX.XX. dell’area del comparto e Dirigenza Sanitaria e PTA(delle Funzioni Locali) nell’ambito di specifico incontro interaziendale tenutosi in data il 20 aprile 2021;

- il predetto documento è stato, altresì, presentato in CTSSM il 29 aprile 2021 con esito favorevole;

- che a seguito di specifica richiesta di alcune Rappresentanze Sindacali di effettuare un approfondimento sui contenuti del citato documento sono stati convocati due distinti incontri sindacali in sede IRCCS AOU, in data 25 maggio 2021, e, in sede AUSL BO, in data 27 maggio 2021.

RICHIAMATI

− L’articolo 15 della legge n. 241/1990 e smi, in virtù del quale le Pubbliche amministrazioni possono concludere tra loro Accordi per disciplinare lo svolgimento di collaborazione per attività di interesse comune;

− le linee di indirizzo 2013 della Regione Xxxxxx-Romagna, approvate con deliberazione n. 199/2013, specificano che le Aziende sono tenute a “Migliorare la qualità dell’offerta e dell’efficienza nella produzione di servizi, avviando un processo di integrazione di attività e funzioni tra Aziende per condividere le migliori professionalità presenti, razionalizzare risorse tecnologiche, materiali, umane e finanziarie, concentrando strutturalmente le funzioni amministrative, tecnico-professionali e sanitarie a prevalente carattere generale e di supporto tecnico-logistico che non influenzano l’esercizio dell’autonomia e della responsabilità gestionale in capo alle direzioni aziendali, ma che possono determinare economie di scala ed economie di processo”;

− l’articolo 22 ter co. 4 della legge regionale 43/01 come modificata dalla LR del

20 dicembre 2013 n. 26 recante “Disposizioni urgenti in materia di organizzazione del lavoro nel sistema delle amministrazioni regionali” prevede che “nei casi di trasferimento o delega di funzioni da o a Enti del Sistema delle Amministrazioni regionali a o da altri enti e nei casi di collaborazioni non onerose tra enti del sistema delle amministrazioni regionali, per la gestione stabile di attività di comune interesse, possono essere disposte temporanee assegnazioni di personale, anche in deroga al limite di durata fissato al co. 2.”;

Tutto ciò premesso, le parti convengono e stipulano quanto segue

Capo I Disposizioni generali

Art. 1 (Oggetto dell’accordo)

1. Le Aziende firmatarie del presente accordo si impegnano alla conduzione in modalità unificata delle attività di Data ProtectionOfficer, secondo quanto di seguito specificato e per la realizzazione delle finalità di cui in premessa.

2. In forza del presente atto, l’intera attività delle Aziende convenzionate verrà organizzata e svolta in forma unificata da parte della unità operativa semplice "Data ProtectionOfficer" (di seguito UOS) che l’IRCCS AOU, in virtù del presente accordo, procederà ad istituire in staff alla Direzione Aziendale.

3. Gli Enti identificano l’IRCCS Azienda Ospedaliero Universitaria di Bologna come Azienda capofila e riconoscono nella UOS l’unica articolazione di riferimento per lo svolgimento delle relative attività.

4. L’IRCCS AOU, attraverso il Responsabiledella UOS, garantisce la direzione delle attività e le connesse responsabilità di governo e di controllo, assumendo i poteri di gestione e coordinamento del personale applicato alle attività di cui al presente atto ed alle relative risorse strumentali per il periodo di svolgimento.

Art. 2 (Finalità)

1. L’istituzione della UO interaziendale ha come finalità la strutturazione di un modello organizzativo privacy interaziendale, potenziandole sinergie già esistenti tra le aziende in materia di privacy al fine di applicare la normativa in materia di dati personali secondo linee sempre più omogenee e coerenti tra le Aziende sanitarie coinvolte e uniformareazioni e comportamenti all’interno di Aziende favorendo di conseguenza i vari processi di integrazione.

Art. 3 (Sede)

1. La sede della UO interaziendale viene individuata presso l’Azienda Capofila (IRCCS Azienda Ospedaliero Universitaria di Bologna)che metterà a disposizione gli spazi e le attrezzature dedicate allo svolgimento delle attività.

Capo II

Disciplina sull’organizzazione e funzionamento della UOS “Data ProtectionOfficer”

Art. 4

(UOS interaziendale “Data ProtectionOfficer”)

1. L’unità operativa semplice è una struttura a valenza interaziendale ed istituita

nell’ambito dell’articolazione organizzativa della Azienda Capofila (IRCCS AOU).

2. L’unità operativa in oggetto svolge la propria attività per conto delle Aziende

firmatarie delpresente accordo.

3. In coerenza con il Documento di indirizzo su designazione, posizione e compiti del Responsabile della protezione dei dati (RPD) in ambito pubblico(Provvedimento del

29 aprile 2021 [9589104] e tenuto conto delle dimensioni e della complessità dei trattamenti effettuati dagli Enti firmatari, l’UO è da intendersi quale team a supporto del DPO, dotata del personale in possesso di competenze professionali qualificate e diversificate.

Art. 5

(Responsabile dell’UO interaziendale DPO)

1. Alla direzione della UO interaziendale DPO è preposto un responsabile, individuato sulla base dei criteri e nel rispetto del Regolamento (UE) 2016/679 e delle indicazioni contenute nel sopra richiamato Provvedimento del 29 Aprile 2021.

2. Il responsabile individuato, in esito a percorso selettivo aperto rivolto ai dipendenti aventi diritto delle Aziende firmatarie del presente accordo, sarà incardinato presso l’Azienda Capofila.

3. La durata dell’incarico è di 5 anni, rinnovabile con verifica annuale del raggiungimento degli obiettivi nel rispetto della finalità dell’incarico e della durata complessiva dell’accordo.

4. Il responsabile è tenuto al raggiungimento degli obiettivi di seguito indicati:

- informare e fornire consulenza ai Titolari del Trattamento, in ordine agli obblighi derivanti dal Regolamento, nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

- sorvegliare l'osservanza della normativa in materia di protezione dei dati personali nonché delle policy aziendali e curare l’attribuzione delle responsabilità in materia di trattamento dei dati personali;

- promuovere iniziative formative congiunte e svolgere attività di formazione in materia di privacy in relazione all’obbligo formativo previsto dalla normativa di riferimento;

- fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

- verificare, attraverso l’attività di audit, che la normativa vigente e le policy

aziendali siano correttamente attuate e applicate;

- cooperare con l'Autorità Garante per la protezione dei dati personali, fungendo da punto di contatto per la stessa per questioni connesse al trattamento (tra cui la consultazione preventiva) ed effettuare eventuali consultazioni e curarne in generale i rapporti;

- definire e predisporre gli atti di attribuzione delle responsabilità per conto dei Titolari (organigramma privacy);

- tenere il Registro del trattamento delle singole strutture al fine di uniformarne la predisposizione in stretta collaborazione con le strutture informatiche e le funzioni privacy delle Aziende/Enti;

- assicurare la gestione dell’attività di Monitoraggio delle sperimentazioni cliniche (Gestione degli studi clinici in Italia in corso di emergenza COVID-19) come richiesto dall’Autorità Regolatoria Agenzia Italiana del Farmaco (AIFA)

- gestire i rapporti con il Comitato Etico AVEC per conto delle Aziende Sanitarie e curare gli aspetti privacy della ricerca;

- assicurare il necessario supporto alle strutture aziendali negli atti di nomina del Responsabile del trattamento ex art. 28 GDPR.

5. Il Responsabile può avvalersi della collaborazione e delle professionalità specifiche di ogni Ente.

6. In forza del presente accordo il responsabile della UOS assume poteri e responsabilità di gestione di tutto il personale assegnato alla UOS.

7. Il Responsabile della UOS è responsabile:

a) della programmazione e direzione delle attività;

b) della organizzazione delle attività in coerenza con i bisogni delle varie Aziende firmatarie;

c) della definizione delle relazioni con le altre articolazioni;

d) dell’impiego delle risorse umane, del controllo dell'orario e firma dei cartellini

del personale assegnato;

5. Il Responsabile dell’UO dovrà assicurare i compiti affidati al DPO dall’art. 39 del Regolamento (UE) 2016/679, nonché altri compiti e funzioni che i Titolari del trattamento possono affidare al DPO stesso, in coerenza con quanto previsto dall’art. 38 paragrafo 6.

Art. 6

(Compiti e funzioni del DPO)

1. I compiti che il DPO svolgerà, per conto delle Aziende firmatarie del presente accordo, sono:

• informare e fornire consulenza ai Titolari del Trattamento, in ordine agli obblighi derivanti dal Regolamento, nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

• sorvegliare l'osservanza della normativa in materia di protezione dei dati personali nonché delle policy aziendali e curare l’attribuzione delle responsabilità in materia di trattamento dei dati personali;

• promuovere iniziative formative congiunte e svolgere attività di formazione in materia di privacy in relazione all’obbligo formativo previsto dalla normativa di riferimento;

• fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

• verificare, attraverso l’attività di audit, che la normativa vigente e le policy aziendali siano correttamente attuate e applicate;

• cooperare con l'Autorità Garante per la protezione dei dati personali, fungendo da punto di contatto per la stessa per questioni connesse al trattamento (tra cui la consultazione preventiva) ed effettuare eventuali consultazioni e curarne in generale i rapporti;

Art.7 (Risorse umane)

1. La UOS interaziendale “Data ProtectionOfficer” garantisce la gestione unificata delle relative attività attraverso il personale in servizio presso l’Azienda Capofila e da quello messo a disposizione dagli Enti firmatari del presente accordo.

2. Il personale messo a disposizione dagli Enti firmatari, individuato nell’allegato 1 parte integrante e sostanziale del presente accordo, viene collocato in assegnazione temporanea ai sensi dell’art. 22, ter c. 4 della L.R. 43/01 come modificata dalla L.R. del 20 dicembre 2013 n. 26 per lo svolgimento delle attività di comune interesse oggetto del presente accordo.

3. L’azienda Capofila si impegna a formulare il piano triennale di fabbisogno del personale tenendo conto delle esigenze dell’UO interaziendale DPO; resta in capo alle Aziende aderenti la formulazione dei rispettivi piani triennali di fabbisogno di personale per le esigenze delle strutture aziendali afferenti agli affari generali presso le quali verranno confermate o a incardinarsi ex novo le funzioni privacy aziendali.

4. L’attività verrà svolta con garanzia di quanto previsto a tutela del lavoratore con riguardo alle obbligazioni di sicurezza, nonché delle coperture o regimi assicurativi vigenti nell’ambito delle rispettive Aziende; in particolare resta ferma la competenza dell’azienda di dipendenza del lavoratore per quanto attiene la denuncia all’INAIL degli infortuni che dovessero intercorrergli a prescindere dal luogo in cui sono avvenuti.

5. Per gli aspetti riguardanti la responsabilità disciplinare del personale dirigente:

a. le parti riconoscono in capo al Responsabile della UOS l’adozione degli atti di competenza, secondo la normativa vigente e le rispettive regolamentazioni aziendali;

b. per gli illeciti di maggiore gravità, le parti riconoscono che la competenza spetta all’UPD delle rispettive Aziende titolari del rapporto di lavoro, xxxxx gli obblighi di segnalazione da parte dei soggetti responsabili presso le sedi di cui al precedente articolo

6. In merito alla valutazione del personale, per il periodo dell’assegnazione è in capo al Responsabile della UOS e agli organismi di valutazione delle Aziende, in applicazione dei rispettivi sistemi premianti e di valutazione delle stesse.

7. La sorveglianza sanitaria compete all’Azienda di dipendenza.

Capo III

Rapporti tra soggetti convenzionati

Art. 8 (Durata dell’accordo)

1. Il presente accordo ha decorrenza dal 14 giugno 2021, con scadenza al 31 luglio 2026.

2. L’accordo potrà essere ulteriormente prorogata.

Art. 9

(Recesso e scioglimento del vincolo convenzionale)

1. Le parti possono recedere dal presente accordo con un preavviso di almeno tre mesi.

Art. 10

(Rapporti economico-finanziari)

1. Nella determinazione degli oneri a carico di ciascun Ente relativamente al

titolare dell’incarico dirigenziale, al titolare dell’incarico di funzione e al personale

assegnato all’ufficio si tiene conto dei volumi di attività utilizzando il parametro del numero dei dipendenti complessivo di ogni Azienda.

Sulla base dei predetti criteri il costo del personale e i costi relativi agli incarichi sono ripartiti come segue: in misura del 30,38% del totale del costo a carico dell’IRCCS Azienda Ospedaliero Universitaria di Bologna; in misura del 50,24% per Azienda USL di Bologna, del 12,11%, per l’Azienda USL di Imola, del 7,27% per l’Istituto Ortopedico Rizzoli.

2. Quanto determinato al comma 1 del presente articolo potrà essere oggetto di revisione annuale e potrà in ogni caso essere aggiornato, con successivi atti, in funzione di cambiamenti organizzativi o di processo.

3. Gli scambi economici relativi a questo accordo sono regolati all’interno del computo per il finanziamento delle funzioni per lo “Sviluppo dei processi di integrazione dei servizi delle Aziende metropolitane e di Area vasta”.

Art. 11

(Disposizioni in materia di privacy)

1. Le Parti si impegnano ad utilizzare le informazioni e i dati connessi al presente accordo esclusivamente per i propri fini istituzionali e nei limiti della presente convezione.

2. Le Parti, riguardo alla tutela della riservatezza delle informazioni, si impegnano altresì ad adottare ogni misura necessaria ad evitare indebiti utilizzi delle medesime informazioni, garantendo la riservatezza, la sicurezza e l’integrità dei dati, informazioni e documenti.

3. Le Parti si impegnano, a non divulgare, anche successivamente alla scadenza dell’accordo, notizie, dati e documenti di cui siano venute a conoscenza o/e in possesso in ragione del presente accordo.

4. A tale scopo ciascuna Parte si impegna a trattare i dati per le finalità previste dalla normativa e connesse alle obbligazioni derivanti del presente accordo, in modo lecito e secondo correttezza, mediante strumenti idonei a garantirne sicurezza e riservatezza, nel rispetto ed in adempimento di tutto quanto previsto dalla normativa vigente in materia di protezione dei dati personali.

Art. 12

(Registrazione e imposta di bollo)

1. Il presente accordo viene sottoscritta con firma digitale, giusta la previsione di cui

all’art.15, comma 2 bis, della legge n.241/1990 e s.m.i..

2. L’imposta di bollo sull’originale informatico, di cui all’art.2 della Tabella allegato A del DPR n.642/1972 - Tariffa Parte I, è assolta con le modalità previste dal DM 17.06.2014. Al versamento all’erario di detta somma provvede l’AOU in modalità virtuale ai sensi dell’art. 15 del d.p.r. 26 ottobre 1972 n. 642, con propria autorizzazione n. 11863 rilasciata dall’Agenzia dell’Entrate il 9.2.2004.

3. Il presente accordo è soggetta a registrazione solo in caso d’uso, ai sensi dell’art.10 del DPR n.131/86-Tariffa Parte II: le spese di registrazione sono a carico esclusivo della parte che le richiede.

Letto, confermato, sottoscritto

Xxxxxx Xxxxxxxxx	Xxxxx Xxxxxx	Xxxxxx Xxxxx	Xxxxxxx Xxxxxxxx
Direttore Generale	Direttore Generale	Direttore Generale	Direttore Generale
AOU di Bologna	AUSL Bologna	AUSL Imola	Istituto Ortopedico
			Rizzoli

Allegato 1 – Personale

Matricola	Qualifica	Azienda appartenenza
284965	Assistente amministrativo	AUSL Bologna

Proponente: Direzione Aziendale IRCCS AOU Bologna, in applicazione dello specifico accordo interaziendale

Tipologia posizione: struttura semplice interaziendale

Denominazione della posizione: Data Protection Officer interaziendale

Mission e rilevanza strategica

Con l’applicazione del Regolamento Europeo UE 2016/679, la disciplina della privacy ha assunto una posizione di maggior centralità nelle strutture sanitarie tale da richiedere ai titolari del trattamento, l’individuazione di una specifica figura, quella del “Responsabile della protezione dei dati” o “Data Protection Officer” (DPO). Secondo il Regolamento Europeo, il DPO deve innanzitutto essere portatore di conoscenze specialistiche e qualità professionali legate alla conoscenza della normativa, delle procedure aziendali e della prassi, oltre a conoscere le operazioni di trattamento svolte presso le strutture. A tal fine, questa figura deve essere partecipe delle scelte di management del titolare del trattamento, ed esercitare un ruolo di terzietà nei confronti delle amministrazioni sanitarie coinvolte.

L’istituzione di una struttura interaziendale dotata di risorse umane, tecniche e finanziarie necessarie ed adeguate all’adempimento dei sempre crescenti e complessi compiti affidati al DPO, rafforzata da una struttura organizzata, capace di potenziare le sinergie già esistenti tra le aziende in materia di privacy, rappresenta ad oggi il modello più appropriato in termini di rilevanza strategica.

Responsabilità

Le principali responsabilità dell’incarico sono:

- informare e fornire consulenza ai titolari del trattamento, in ordine agli obblighi derivanti dal Regolamento, nonché da altre disposizioni dell'Unione o degli Stati membri relative alla protezione dei dati;

- promuovere iniziative formative congiunte e svolgere attività di formazione in materia di privacy in relazione all’obbligo formativo previsto dalla normativa di riferimento;

- fornire pareri in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento;

- verificare, attraverso l’attività di audit, che la normativa vigente e le policy aziendali siano correttamente attuate e applicate;

Risorse umane e strumentali

Oltre al titolare dell’incarico di responsabilità della struttura, alla stessa sono assegnati:

- 3 risorse amministrative-giuridiche;

- 1 risorsa specializzata in ambito informatico

Relazioni organizzative e funzionali

Interlocutore	Interazione
Direzioni Aziendali	Supporta il titolare del trattamento dei dati, fornendogli consulenza in merito agli adempimenti previsti dalle normative di riferimento (Regolamento Europeo UE 2016/679, Decreto legislativo 196/2003, Decreto Legislativo 101/2018)
Funzioni Privacy aziendali	Collabora, fornendo consulenza e supporto in ordine alle problematiche interpretativo-applicative della normativa di riferimento ed in relazione al contesto organizzativo gestionale delle Aziende
ICT, Ingegneria clinica	Collabora, fornendo consulenza e supporto in ordine alle problematiche interpretativo-applicative della normativa di riferimento ed in relazione alle questioni riguardanti aspetti informatici.

SCHEDA DI DEFINIZIONE DELLE POSIZIONI ORGANIZZATIVE DIRIGENZIALI

Obiettivi e responsabilità del titolare di posizione per Azienda

Obiettivi e responsabilità

Risultato atteso e modalità di misurazione

Promozione e svolgimento di iniziative formative trasversali e congiunte in materia di privacy in relazione

all’obbligo formativo previsto dalla normativa di riferimento

N° eventi formativi realizzati/n° eventi formativi pianificati (almeno 1 all’anno)

Formulazione di pareri in merito alla valutazione d'impatto sulla protezione dei dati svolta dai gruppi di lavoro delle singole aziende

N° valutazioni impatto validate/anno (% valutazioni impatto

validate rispetto a quelle eseguite dalle singole aziende: 100%)

Esecuzione di attività di audit per la verifica della corretta

applicazione della normativa vigente e delle policy aziendali

N° verifiche eseguite/n° verifiche pianificate (almeno 1 nell’anno)

Gestione dell’attività di monitoraggio delle sperimentazioni cliniche (Gestione degli studi clinici in Italia in corso di emergenza COVID-19) come richiesto dall’Autorità

Regolatoria Agenzia Italiana del Farmaco (AIFA)

N° risposte rilasciate/n° richieste pervenute: 100%

Gestione delle richieste di esercizio dei diritti degli interessati (compresi dipendenti) e delle richieste relative

ad aspetti privacy sul FSE

N° richieste gestite/n° richieste pervenute: 100%

Gestione degli incidenti di sicurezza (data breach) nella

modalità prevista dalle procedure delle singole aziende

N° pareri formulati/n° pareri richiesti:100%

Formulazione degli indirizzi per la realizzazione dei

registri delle attività di trattamento dei titolari delle singole aziende e tenuta della stesso

Collaborazione con gli ICT delle aziende nella definizione degli indirizzi da fornire per la gestione dei registri

Promozione dello sviluppo professionale del personale assegnato alla struttura, favorendo le attività di formazione

e aggiornamento

Partecipazione ad almeno un evento formativo interno/esterno/anno in tema di trattamento dei dati

Requisiti formali

Laurea magistrale.

Sono considerati titoli preferenziali:

- il conseguimento di percorsi formativi qualificati inerenti la normativa privacy

- un CV formativo professionale che evidenzia un percorso formativo e professionale nell’ambito della privacy

Requisiti professionali

- Aver ricoperto, per almeno 3 anni, il ruolo di DPO o, in alternativa, di Responsabile Privacy Aziendale o figura analoga;

- Possedere un’adeguata conoscenza anche delle norme e procedure amministrative che caratterizzano lo specifico settore sanitario, in quanto la liceità del trattamento dei dati personali in questo ambito dipende dalla corretta applicazione delle regole di volta in volta previste dalla disciplina di settore;

- Possedere adeguata conoscenza della normativa vigente e dei principali standard internazionali delle norme ISO in materia di protezione dei dati e adeguata conoscenza delle normative vigenti per la gestione dei sistemi qualità.

Bologna, 8 Giugno 2021

X.xx Il Direttore Generale Dr.ssa Xxxxxx Xxxxxxxxx

Pag. 2 a 2

Allegato 2)

DOMANDA DI PARTECIPAZIONE ALL’AVVISO PER L’ATTRIBUZIONE DI INCARICO DIRIGENZIALE DI RESPONSABILE DELLA STRUTTURA SEMPLICE INTERAZIENDALE “DATA PROTECTION OFFICER” IN STAFF AL DIRETTORE GENERALE

DELL’IRCCS AZIENDA OSPEDALIERO-UNIVERSITARIA DI BOLOGNA (AMMINISTRAZIONE CAPOFILA)

Il/La sottoscritto/a , nato/a a

il , residente in via

cap. città telefono e-mail

C.F. , matricola aziendale

CHIEDE

di partecipare all’avviso per il conferimento dell’incarico dirigenziale di Responsabile della struttura semplice interaziendale Data Protection Officer in staff al Direttore Generale dell’IRCCS Azienda Ospedaliero-Universitaria di Bologna.

A tal fine dichiara, sotto la propria responsabilità, consapevole delle sanzioni penali previste dall’art. 76 del D.P.R. 28.12.2000, n. 445 per le ipotesi di falsità in atti e dichiarazioni mendaci:

1) di essere dipendente presso

;

nel profilo professionale di

2) di (aver ovvero non aver) superato positivamente il periodo di prova nel profilo professionale di

;

3) di (aver ovvero non aver) superato positivamente le verifiche previste dal CCNL relativamente allo svolgimento degli incarichi dirigenziali;

4) di svolgere attività presso la U.O. afferente al Dipartimento/Distretto dell’Azienda .

5) di essere in possesso dei seguenti REQUISITI SPECIFICI DI AMMISSIONE:

6) di essere in possesso dei seguenti REQUISITI PREFERENZIALI

;

7) di (essere ovvero non essere) disponibile all’assegnazione temporanea presso l’IRCCS Azienda

Ospedaliero-Universitaria di Bologna (solo per i dipendenti delle altre Amministrazioni aderenti).

8) che il recapito al quale deve essere fatta ogni necessaria comunicazione relativa alla presente procedura è il seguente

Al tal fine allega il proprio curriculum formativo professionale, datato, firmato e redatto ai sensi degli artt. 19, 46 e 47 del

D.P.R. 445/2000, nonché fotocopia del documento d’identità.

, FIRMA

Allegato 3)

CURRICULUM FORMATIVO E PROFESSIONALE

DICHIARAZIONE SOSTITUTIVA D.P.R. 445/2000

Il/La sottoscritto/a

(cognome) (nome)

Nato/a a il

dichiara

sotto la propria responsabilità, ai sensi degli artt. 19, 46 e 47 del D.P.R. 28/12/2000, n. 445 e consapevole delle sanzioni penali previste all’art. 76 dello stesso D.P.R. per le ipotesi di falsità in atti e dichiarazioni mendaci, che quanto dichiarato nel sotto riportato curriculum corrisponde a verità:

Data Firma

Ai sensi dell’art. 38, D.P.R. 445 del 28 dicembre 2000, la dichiarazione è sottoscritta dall’interessato in presenza del dipendente addetto ovvero sottoscritta e inviata insieme alla fotocopia, non autenticata di un documento di identità del dichiarante, all’ufficio competente, tramite un incaricato, oppure a mezzo posta.

=================================================================================

Servizio Unico Metropolitano Amministrazione Giuridica del Personale

- Xxx Xxxxxxx, 00 - 00000 Xxxxxxx

Attesto che la sottoscrizione delle dichiarazioni di cui sopra è stata apposta in mia presenza.

Bologna, li

Document Metadata

Table of Contents

FRONTESPIZIO PROTOCOLLO GENERALE

Document Metadata