Contract

ALLEGATO1

ACCORDO CONTRATTUALE TRA AZIENDA USL TOSCANA CENTRO E ISTITUTO FIORENTINO DI CURA E ASSISTENZA (IFCA) S.p.A CASA DI CURA ULIVELLA E GLICINI PER ACQUISIZIONE N° 60 POSTI LETTO PER EMERGENZA COVID 19 - ATTIVITA’ DI MEDICINA RIVOLTA AI PAZIENTI COVID 19- PERIODO 5 novembre 2020 – 31 gennaio 2020

Tra

l’Azienda USL Toscana Centro, di seguito denominata “Azienda”, codice fiscale e partita IVA 06593810481, con sede legale in Xxxxxxx, Xxxxxx Xxxxx Xxxxx Xxxxx 0, nella persona del Direttore SOC Accordi contrattuali e convenzioni con soggetti privati delegato alla stipula del presente atto con deliberazione del Direttore Generale n. 1339/2020

E

L’Istituto Fiorentino di Cura e Assistenza (IFCA) S.p.A. Casa di Cura Ulivella e Glicini, d’ora in poi Struttura, con sede legale in Xxx xxx Xxxxxxxxx, 0/0, 00000 Xxxxxxx, Cod. Fiscale e P.IVA 01300810486- nella persona del Legale rappresentante dr. Xxxxxxxxx Xxxxxx, nato a Roma il 14/12/1953, domiciliato per la carica presso l’ente sopraindicato;

PREMESSO

- il Decreto Legislativo 30 dicembre 1992, n. 502, ss.mm.ii. recante “Riordino della disciplina in materia sanitaria”;

- il Decreto Lgs.196/03 “Codice in materia di protezione dei dati personali”, così come modificato con D. Lgs. 101/18;

- la Legge Regione Toscana 24 febbraio 2005, n. 40, ss.mm.ii., “Disciplina del Servizio Sanitario Regionale”, ed in particolare: art. 29, comma 1, art. 29, comma 3, art. 29, comma 5, art. 29,

comma 6, e art. 76;

- la Legge Regione Toscana 5 agosto 2009, n. 51 ss.mm.ii., “Norme in materia di qualità e sicurezza delle strutture sanitarie: procedure e requisiti autorizzativi di esercizio e sistemi di accreditamento”;

- il Decreto Presidente della Giunta Regionale 17 novembre 2016 n. 79/R “Regolamento di attuazione della legge regionale 5 agosto 2009 n.51 in materia di autorizzazione e accreditamento delle strutture sanitarie;

- il Piano Socio Sanitario Integrato Regionale 2018/2020 approvato con Delibera del Consiglio Regionale Toscano n.73 del 09.10.2019;

- il Regolamento Europeo 2016/679 (RGPD);

- il DPCM 12.01.2017 con il quale sono stati definiti i Livelli Essenziali di Assistenza di cui all’art.

1, comma 7, del D.Lgs 502/92;

- la Delibera G.R.T. del 15.05.2017 n. 504 di recepimento del D.P.C.M. 12.01.2017;

- la Delibera GRT n.974/2017 “ Piani aziendali per la Gestione del Sovraffollamento in Pronto Soccorso (PGSA). Linee di indirizzo”;

- la circolare ministeriale n. 6360 del 27 febbraio 2020 “ COVID-19 – aggiornamento”;

- il Decreto del Presidente del Consiglio dei Ministri del 4 marzo 2020 - Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19, applicabili sull'intero territorio nazionale;

“documento firmato digitalmente”

- l’ l’Ordinanza del Presidente della Regione Toscana n. 6 del 2 marzo 2020 - Misure per la prevenzione, e gestione dell’emergenza epidemiologica da COVID-19. Ordinanza ai sensi dell'art. 32, comma 3, della legge 23 dicembre 1978, n. 833 in materia di igiene e sanità pubblica;

- l’ Ordinanza del Presidente della Regione Toscana n. 7 del 04 marzo 2020 - Definizione delle strutture organizzative per la gestione dell'emergenza epidemiologica da COVID-19;

- l’Ordinanza del Presidente della Regione Toscana n.14 del 17 marzo 2020 – Linee di indirizzo per la gestione del percorso COVID-19 in ambito ospedaliero e peri-ospedaliero;

- il D.P.C.M. 08 marzo 2020 “Ulteriori disposizioni attuative del decreto-legge 23 febbraio 2020, n. 6, recante misure urgenti in materia di contenimento e gestione dell'emergenza epidemiologica da COVID-19. (20A01522) (GU Serie Generale n.59 del 08-03-2020)

- il Decreto Legge 09 marzo 2020, n.14 “ Disposizioni urgenti per il potenziamento del Servizio Sanitario Nazionale in relazione all’emergenza COVID-19”;

- la Deliberazione del Direttore Generale n.179 del 30.01.2019 “Sistema Aziendale Privacy. Soggetti del trattamento dei dati: responsabili, referenti, incaricati, Ricognizione e ratifica degli schemi degli atti di nomina. Ulteriori determinazioni”;

Richiamato:

- il Decreto Legge 17 marzo 2020, n. 18 “Misure di potenziamento del Servizio sanitario nazionale e di sostegno economico per famiglie, lavoratori e imprese connesse all’emergenza epidemiolgica da COVID 19”, ed in particolare l’Art. 3 “Potenziamento delle rete di assistenza territoriale” e l’Art. 4 “Disciplina delle aree sanitarie temporanee

- l’Ordinanza del Presidente della Regione Toscana n. 96 del 24/10/2020 – Ulteriori misure in materia di contenimento e gestione dell’emergenza da Covid;

Rilevato:

- che l’Azienda USL a causa della seconda fase di emergenza, tenuto presente l’aumento dei contagi sul territorio, ha dovuto procedere ad una riorganizzazione delle attività e degli spazi interni dei presidi ospedalieri, procedendo a reperire posti letto COVID;

- che tale riorganizzazione rende necessaria il coinvolgimento delle Strutture private accreditate, come indicato nella nota prot.82001 del 13 ottobre 2020 con la quale questa Azienda Sanitaria ha chiesto ad A.I.O.P. Associazione Italiana Ospedalità Privata Sede Regionale Toscana una valutazione sulla possibilità di aumento posti letto presso le Case di Cura convenzionate per far fronte alla “seconda ondata” emergenziale, al fine di mantenere la risposta della rete ospedaliera ai picchi crescenti della domanda di posti letto con specifico riferimento ai pazienti COVID;

- che a seguito dell’interessamento di A.I.O.P., IFCA- Istituto Fiorentino di Cura e Assistenza ha manifestato la disponibilità di mettere a disposizione n.60 posti letto di Medicina interna - Area Medica - nei confronti di pazienti COVID 19 inviati dai Presidi Ospedalieri di pertinenza dell’Azienda USL Toscana Centro;

- che pertanto si rende necessaria una piena integrazione pubblico-privato accreditato per garantire l’erogazione delle prestazioni di ricovero;

- che la Casa di Cura IFCA risulta in possesso dei requisiti della Casa di Cura: autorizzazione rilasciata dal Comune di Firenze n.2008/00717 del 08/08/2008 e accreditamento rilasciato con Decreto dirigenziale R.T. n. 11319 del 11.07.2018;

TANTO PREMESSO SI CONVIENE E SI STIPULA QUANTO SEGUE:

ART. 1 - OGGETTO DEL CONTRATTO

Le parti convengono che oggetto del presente contratto è l’erogazione di prestazioni n regime di ricovero di Area Medica fino ad un massimo di n.60 posti letto secondo quanto disposto dal Regolamento 85/R del 11 agosto 2020 in attuazione della L.R. 51/2009, messi a disposizione dalla

Struttura per garantire il ricovero ad utenti nei confronti di pazienti COVID 19 (Area Medica) inviati dai Presidi Ospedalieri di pertinenza dell’Azienda USL Toscana Centro.

Ulteriori specifiche sono indicate nei successivi artt. 3, 4, 5.

ART. 2 – TIPOLOGIA D’ATTIVITA’ E MODALITA’ DI EROGAZIONE

La Struttura si impegna a mettere a disposizione dell'Azienda l’attività prevista al precedente art. 1. Inoltre la Struttura mette a disposizione le attrezzature tecniche, ed il personale qualificato, secondo quanto disposto dai requisiti organizzativi previsti nello stesso Regolamento 85/R

I pazienti ricoverati presso la Casa di Cura non devono avere caratteristiche cliniche o assistenziali tali da richiedere cure di tipo intensivo o semintensivo (escluso livello 3 sub-intensivo e livello 4 intensivo) – secondo le Linee di indirizzo per la gestione del percorso COVID-19 in ambito ospedaliero e peri- ospedaliero di medicina - Allegato Ordinanza 14 del 17-03-2020).

Per la realizzazione della suddetta attività l’Azienda supporterà la casa di Xxxx attraverso:

• La fornitura in comodato d’uso gratuito delle dotazioni tecnologiche e le attrezzature non disponibili presso la Casa di Cura come, a titolo esemplificativo e non esaustivo, i sistemi per la ventilazione non invasiva dei pazienti, ad eccezione delle attrezzature di radiodiagnostica.

• La fornitura dei dispositivi di protezione individuale previsti dalla normativa vigente per l’assistenza ai pazienti COVID 19 positivi (regolata economicamente secondo quanto previsto dalle disposizioni regionali in materia).

• L’erogazione delle consulenze specialistiche nelle discipline per cui la Casa di Cura non è in possesso di autorizzazione o che richiedono particolari competenze professionali come, a titolo esemplificativo e non esaustivo, la consulenza in malattie infettive o in pneumologia.

• L’esecuzione ed il trasporto con mezzo idoneo di prestazioni diagnostiche non disponibili presso l’edificio dedicato dalla Casa di Cura “Glicini” ai pazienti COVID 19 come, a esempio, la tomografia assiale computerizzata (TC).

• Il proprio personale specializzato nella cura dei pazienti COVID 19 per l’erogazione di una formazione specifica al personale sanitario della Casa di Cura, prima dell’attivazione dei posti letto di cui al presente accordo.

• Il supporto al reperimento di personale medico e non medico nel caso di indisponibilità da parte della Casa di Cura (da disciplinare e valorizzare con atto a parte).

ART. 3 MODALITA’ OPERATIVE, DI ACCESSO E DI REGISTRAZIONE

L’accesso avviene secondo le attuali procedure aziendali e disposto dal Centro di Coordinamento dell’Azienda USL Toscana Centro

ART. 4 – TARIFFE, TETTO DI SPESA

La remunerazione delle prestazioni avverrà secondo il costo del DGR di riferimento e la tariffa ha carattere di remunerazione omnicomprensiva del profilo di trattamento mediamente associato alla corrispondente categoria di ricoveri.

Ricovero Ordinario

Il pagamento per le prestazioni di ricovero ordinario è a DRG.

A fronte dell’attività di medicina erogata nei confronti dei pazienti COVID 19 positivi, l’Azienda corrisponde alla Casa di Cura il DRG prodotto, valorizzato in base alle tariffe di cui alla Deliberazione Giunta Regionale del 27 settembre 2016, n. 947 - Tabella A - 1 ° Livello tariffario.

La tariffa giornaliera applicata per la messa in disponibilità del posto letto di ricovero ordinario (stand-by non occupato) è di Euro 300,00 (più iva).

Le prestazioni ed i volumi riferiti al presente contratto, stimabili complessivamente in circa 2.000.000 euro (salvo conguaglio), sono da intendersi compresi nei volumi già contrattualizzati.

L’attivazione degli inserimenti e delle prestazioni è pertinenza dell’Azienda che valuterà la sussistenza delle condizioni per disporre l’utilizzo dei posti letto anche gradualmente.

Relativamente alle prestazioni oggetto del presente contratto, saranno oggetto di ristoro i maggiori costi dovuti alla pandemia COVID, con particolare riferimento ai DPI, sostenuti dalla Struttura, così come regolamentato dalla Ordinanza n.104 del 9 novembre “Messa a disposizione di posti letto a favore delle Aziende Sanitarie territoriali della Regione Toscana da parte delle strutture private accreditate e non“,tenuto conto anche di ulteriori eventuali interpretazioni provenienti dai competenti Settori regionali.

L’Azienda si intende esonerata da ogni obbligo nei confronti della Struttura per l’attività eseguita oltre i volumi di attività e oltre i volumi finanziari complessivamente assegnati. La Struttura non potrà vantare alcun credito eccedente tale volume, salvo diverso accordo, regolarmente formalizzato, con l’Azienda.

L’attività è pianificata e svolta in stretta collaborazione tra la Struttura, il Direttore del Dipartimento Specialistiche Mediche, il Direttori SOC Medicina d’Urgenza dei Presidi Ospedalieri dell’Azienda e i Direttori SOC di Terapia Intensiva e Rianimazione dell’Azienda.

ART 5 – DEGENZA E DIMISSIONI

In relazione al Regolamento 85/R, l’assistenza medica è garantita dal medico specialista presente in Struttura.

1. La responsabilità clinica del paziente è del medico della Struttura.

2. L’assistenza infermieristica e l’assistenza alla persona sono garantite sulle 24 ore

3. Qualora durante il ricovero si verifichi la necessità di trasferimento del paziente per un aggravamento delle condizioni cliniche lo stesso è disposto dalla Casa di Cura in collaborazione con i servizi di bed Management aziendali interessati, che provvederanno a fornire disponibilità di posto letto nel setting intensivo o semi-intensivo adeguato.

4. L’Azienda rende disponibili posti letto di setting inferiori o collocazioni in situazioni alternative al ricovero (alberghi sanitari) per i pazienti che saranno ritenuti dimissibili dalla Casa di Cura ma per i quali non è prevedibile la dimissione a domicilio.

5. La dimissione ordinaria dovrà avvenire secondo le procedure aziendali vigenti nei casi interessati dal presente accordo

ART. 6 - MODALITA’ DI RENDICONTAZIONE E DI LIQUIDAZIONE

La Struttura si impegna ad inviare alla SOC Accordi contrattuali e convenzioni con soggetti privati preposto al controllo e alla liquidazione, i riepiloghi mensili dell’attività svolta su supporto cartaceo, secondo lo schema fornito dall’Azienda.

I riepiloghi devono contenere i seguenti elementi:

- cognome, nome ed indirizzo dell'utente;

- comune di residenza anagrafica dell'utente;

- codice fiscale dell'utente rilevato dalla tessera sanitaria;

- data di ingresso e data delle dimissioni.

Ai sensi di quanto previsto dall’art. 6 comma 6 del Decreto MEF n. 55 del 3/4/2013, così come modificato dall’art. 25 del D. L. n. 66 del 24/4/2014 (convertito nella L. n. 89 del 23/6/2014) la Struttura provvederà alla fatturazione elettronica dell’attività tramite il Sistema di Interscambio (SdI).

La fattura elettronica dovrà essere indirizzata al codice univoco identificativo dell’Azienda che è UFL7WY. Sarà cura dell’Azienda comunicare eventuali variazioni al codice univoco.

La Struttura si impegna inoltre a seguire tutte le indicazioni comunicate dall’Azienda su tale materia.

Eventuali contestazioni dovranno essere formalizzate entro 30 giorni dal ricevimento della suindicata quantificazione.

L'Azienda provvederà, purché sia stato rispettato dalla Struttura quanto previsto dai precedenti articoli a pagare le competenze regolarmente fatturate entro 60 giorni data fattura.

In caso di ritardato pagamento saranno applicati gli interessi di cui al D. Lgs N. 231 del 2002. I termini di decorrenza sono interrotti in caso di contestazioni.

ART. 7 - DOCUMENTAZIONE INFORMATICA

La Struttura si impegna con la sottoscrizione del presente accordo a registrare i dati di attività in modo da ottemperare al debito informativo previsto dalla Regione Toscana nella DGRT 909/2017. Si impegna a seguire le indicazioni che le verranno date da ESTAR e dalla AUSL per permettere di andare a regime per quanto sopra e di utilizzare le modalità transitorie indicate, nel caso queste siano necessarie. I dati di attività dovranno essere registrati su applicativo GAUSS.

La Struttura si impegna a procedere alla fatturazione dell’attività in stand by sulla base del prospetto delle giornate relative ai posti letto non utilizzati.

Qualora le scadenze sopra indicate cadano di sabato o in un giorno festivo, il termine viene spostato al primo giorno lavorativo successivo.

L’Azienda comunicherà gli eventuali aggiornamenti dei suddetti flussi in base a nuove disposizioni aziendali, regionali e ministeriali e provvederà a modificare il software di conseguenza.

La Struttura impegna all’alimentazione del fascicolo elettronico secondo le indicazioni fornite dall’Azienda.

ART. 8 - ELENCO DEL PERSONALE

La Struttura comunicherà alla SOC Accordi contrattuali e convenzioni con soggetti privati dell’Azienda, l’elenco del personale che opera all’interno della Struttura con rapporto di lavoro subordinato o di altra forma legale di idonea collaborazione. In tale elenco verrà indicato il personale che ha scelto di esercitare anche in regime di libera professione. Le eventuali modifiche verranno comunicate tempestivamente. Il primo elenco verrà consegnato all’Azienda in sede di stipula del contratto.

Art. 9 - INCOMPATIBILITA’

La Struttura si impegna ad accertare e dichiarare che nessuno dei sanitari o di altro personale che opera presso la Struttura si trova in situazione di incompatibilità rispetto alla Legge 412/1991 e smi art. 4 co. 7 e Legge 662/1996 e smi art. 1 co. 5 e co. 19.

Della verifica sopra indicata viene data comunicazione con apposita dichiarazione scritta ai sensi del

D.P.R. 445/2000 e smi a questa Azienda entro il 31 Gennaio di ogni anno.

L’Azienda può richiedere alla Struttura la propria dotazione organica con la quale ha la capacità di garantire l’erogazione delle prestazioni oggetto della presente convenzione.

La Struttura si impegna a consegnare tempestivamente la documentazione richiesta.

E’ fatto altresì divieto, nel rispetto di quanto previsto dall’art. 53 del D. Lgs.vo 165/2001 e smi e del Piano Nazionale Anticorruzione, ai dipendenti dell’Azienda che negli ultimi tre anni di servizio hanno esercitato poteri autoritativi o negoziali concernenti le attività del presente accordo, di svolgere nei tre anni successivi alla cessazione del rapporto di pubblico impiego attività lavorativa o professionale presso la Struttura.

ART. 10 - RISPETTO NORMATIVA VIGENTE

Le attività all’interno della Struttura devono essere condotte nel pieno rispetto della legge sulla trasparenza (D.Lgs. n. 33 del 14 Marzo 2013 e successive modificazioni), sul procedimento amministrativo (Legge n. 241 del 7/8/1990 e successive modificazioni), della legge sulla protezione dei dati personali (D.Lgs n. 196/2003) e della normativa sulla privacy, provvedendo ad acquisire da parte dell’utente consenso scritto al trattamento dei dati personali e sensibili. E’fatto divieto alla Struttura di

utilizzare le informazioni assunte nell’espletamento delle attività per fini diversi da quelli inerenti l’attività stessa.

Per quanto riguarda i requisiti inerenti la normativa sulla sicurezza e di prevenzione incendi la Struttura garantisce tutti gli obblighi derivanti dal D.Lgs. 81/2008 e successive integrazioni, anche relativamente alla gestione delle emergenze, alla prevenzione incendi e del primo soccorso.

Gli obblighi relativi ad interventi, impiantistici e di manutenzione necessari per assicurare ai sensi del D.Lgs. 81/2008 la sicurezza dei locali sono a carico della Struttura che si impegna ad adeguare i locali, il personale e l’organizzazione secondo le normative nazionali e regionali che potranno intervenire nel periodo di vigenza del presente atto.

ART. 11 – CONTROLLI

La funzione di controllo esterno rappresenta una componente essenziale per il corretto funzionamento del sistema nel suo complesso e per favorire il miglioramento della qualità delle prestazioni erogate dal Servizio Sanitario Regionale.

I controlli saranno eseguiti direttamente dall’Azienda secondo le procedure definite dal piano dei controlli annuale.

Al termine delle verifiche, sarà rilasciato idoneo e completo verbale contenente una descrizione delle operazioni compiute nonché degli esiti, concedendo, in caso di rilievi, un termine per le controdeduzioni da parte della Struttura.

L'Azienda si riserva, in ordine alle attività erogate dalla Struttura e sulla base dell'attuale normativa in materia, di effettuare mediante accessi diretti attività di controllo e vigilanza, tramite le strutture aziendali preposte, sul rispetto del presente accordo contrattuale, sulla qualità dell'assistenza e sull'appropriatezza delle prestazioni rese.

A tale scopo la Struttura metterà a disposizione la documentazione sanitaria e amministrativa inerente l’attività svolta.

Si conviene altresì che saranno attivati anche controlli di tipo amministrativo effettuabili sia mediante accesso diretto alla Struttura, sia a mezzo della documentazione amministrativa da unirsi alla richiesta di pagamento a prova della prestazione erogata.

ART. 12 - TRACCIABILITA’ FLUSSI FINANZIARI E VERIFICA ADEMPIMENTI FISCALI E CONTRIBUTIVI

1. Ai sensi di quanto previsto dalla determinazione ex AVCP (ora ANAC) n° 4 del 07/07/2011, le prestazioni sanitarie oggetto del presente contratto non sono soggette agli obblighi di tracciabilità di cui all’art. 3, comma 1, Legge 136/2010; sono fatte salve diverse disposizioni normative o interpretative che dovessero intervenire nel periodo di vigenza contrattuale. La Struttura si impegna ad utilizzare conti correnti bancari o postale, accesi presso banche o presso la Società Poste Italiane s.p.a., dedicati, anche non in via esclusiva.

2. L’Azienda, ai fini del pagamento delle competenze dovute alla Struttura, acquisirà il documento di regolarità contributiva (DURC).

La liquidazione delle competenze avverrà solo nel caso in cui la Struttura risulti in regola con la contribuzione verso gli Enti previdenziali.

ART 13 - EFFICACIA DELL’ACCORDO CONTRATTUALE

Il presente accordo contrattuale è sottoscritto dall’Azienda USL Toscana Centro nel cui territorio la Struttura ha sede, ed ha efficacia nei confronti dei residenti nell’ambito dell’USL Toscana Centro.

ART. 14 – CONTROLLI SANITARI

8.1 L’Azienda esercita funzioni di vigilanza, monitoraggio e controllo sanitario sulla qualità, quantità, efficacia, congruità e appropriatezza clinica ed organizzativa dell’attività erogata in collaborazione con la Casa di Cura.comprensiva delle eventuali attività sanitarie autorizzate-convenzionate erogate durante lo stato di emergenza, delle prestazioni sanitarie accreditate-convenzionate, al fine di assicurare la tutela della salute e della sicurezza dei pazienti nonché sulla idoneità dei locali e delle apparecchiature in uso per accertare il mantenimento dei requisiti strutturali, organizzativi e tecnologici previsti dalle vigenti disposizioni in materia di autorizzazione-accreditamento. Resta ferma ogni altra competenza dell’Azienda in materia di igiene delle strutture sanitarie e di medicina del lavoro.

8.2 L’attività di controllo sanitario è svolta dal Nucleo Operativo dei Controlli sanitari aziendale, secondo modalità, tempistiche e campionamenti definiti dal Piano Annuale dei Controlli, redigendo apposito verbale di verifica in base al quale la Casa di Cura è tenuta ad emettere nota di credito per gli importi relativi alle prestazioni ritenute non appropriate.

ART. 15 – INADEMPIENZE, SOSPENSIONE, RECESSO, RISOLUZIONE

1. Inadempienze e penali.

Nel caso di riscontrate inadempienze al presente contratto, l’Azienda è tenuta a contestare per iscritto tramite PEC le inadempienze stesse; le eventuali controdeduzioni della Struttura dovranno essere comunicate all’Azienda entro e non oltre il termine massimo di 15 giorni dal ricevimento delle contestazioni.

In caso di non accoglimento delle controdeduzioni da parte dell’Azienda, il competente Ufficio aziendale procederà all’applicazione delle penalità commisurate al danno arrecato e graduate, in base alla gravità della violazione, da un minimo di € 400,00 ad un massimo di € 1.000,00 anche tramite compensazione con quanto dovuto alla Struttura per le prestazioni rese.

L’applicazione delle penali previste dal presente articolo non preclude il diritto dell’Azienda a richiedere il risarcimento degli eventuali danni derivanti dalla mancata o non conforme attività dovuta ai sensi del presente accordo. La richiesta e/o il pagamento delle penali di cui al presente articolo non costituisce esonero in alcun caso per la Struttura dall’adempimento dell’obbligazione per la quale è inadempiente e che ha fatto sorgere l’obbligo di pagamento della medesima penale.

L’Azienda si riserva di sospendere il pagamento dei corrispettivi mensili in caso di inadempienza o scorretto invio della rilevazione mensile delle presenze.

L’Azienda si riserva altresì la facoltà di sospendere il contratto qualora accerti il mancato rispetto dei requisiti organizzativi di cui all’art. 4 del presente contratto ed in generale di quanto previsto dal citato Regolamento 79/R del 17.11.2016. Di fronte a tale violazione sarà concesso alla Struttura un termine di 30 giorni dalla contestazione affinché si adegui ai parametri indicati. Al termine di tale periodo, qualora venga verificato il persistere dell’inottemperanza al suddetto obbligo, si procederà a sospendere il contratto.

2. Sospensione

L’Azienda si riserva la facoltà di sospendere il contratto qualora accerti il mancato rispetto degli adempimenti previsti dall’art. 5 del presente accordo. Di fronte a tale inosservanza sarà concesso alla Struttura un termine di 30 giorni dalla contestazione affinché si adegui alla normativa. Al termine di tale periodo, qualora venga verificato il persistere dell’inottemperanza, si procederà a sospendere la convenzione per 90 giorni, al termine dei quali, nel caso perduri la violazione, il contratto si intenderà automaticamente risolto.

3. Recesso

Qualora la Struttura intenda recedere dal contratto deve darne comunicazione all’Azienda tramite PEC con preavviso di almeno tre mesi.

L’Azienda può recedere dalla convenzione per motivate esigenze di pubblico interesse o per il sopraggiungere di diversa normativa regionale o nazionale in materia, dando comunicazione tramite PEC con preavviso di tre mesi. In tale caso, nessun indennizzo è dovuto alla Struttura da parte dell’Azienda.

4. Risoluzione

L’Azienda può risolvere il contratto previa comunicazione scritta inoltrata tramite PEC e con preavviso, di norma, di un mese, nei seguenti casi:

- reiterate contestazioni per fatturazione errata;

- reiterate ipotesi di inosservanza delle disposizioni del presente contratto tali da essere valutate dall’Azienda, per la natura dei fatti che le costituiscono o dei motivi che le hanno determinate, causa di risoluzione del contratto;

- sospensione dell’attività non preventivamente concordata con l’Azienda. 5. Clausola risolutiva espressa

Il presente contratto decade di diritto nei seguenti casi:

- ritiro dell’autorizzazione / accreditamento sanitario;

- accertato caso di incompatibilità ai sensi dell’art. 4 addebitabile a responsabilità della Struttura;

- nel caso in cui nella gestione e proprietà della Casa di Cura/Struttura vengano accertate infiltrazioni mafiose da parte della Prefettura;

- in tutti i casi previsti dalla normativa vigente.

ART. 16– PRIVACY

Il trattamento dei dati personali dovrà avvenire nel rispetto delle norme della D.Lgs. 196/2003 e del “Regolamento attuativo del Codice in materia di protezione dei dati personali di cui al D. Lgs. n. 196/2003” adottato con delibera del Direttore Generale n. 173/2018 visibile sul sito aziendale xxx.xxxxxxxxx.xxxxxxx.xx alla voce “privacy”.

La Struttura si impegna, altresì, al rispetto di quanto previsto in materia di protezione dei dati personali dal Regolamento Europeo Privacy n° 2016/679 del 27.4.2016.

La Struttura nell'effettuare le operazioni ed i compiti ad essa affidati dovrà osservare le norme di legge sulla protezione dei dati personali ed attenersi alle decisioni del Garante per la protezione dei dati personali provvedendo ad evaderne le richieste.

La Struttura è altresì tenuta ad osservare compiutamente quanto disposto dal D. Lgs.196/03 ed in particolare dovrà informare l'Azienda in merito alla puntuale adozione di tutte le misure di sicurezza previste, così da evitare rischi di distruzione e perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.

In ogni caso la Struttura si impegna espressamente a non effettuare operazioni di comunicazione e diffusione dei dati personali sottoposti al trattamento verso soggetti terzi diversi dall'Azienda committente o dai soggetti sopra indicati senza preventivo consenso dell'Azienda stessa, non rientrando tali operazioni tra quelle affidate alla Struttura.

ART. 17 – POLIZZE ASSICURATIVE

A copertura dei rischi inerenti l’attività svolta per conto dell’Azienda dalla Struttura con mezzi, strumenti e personale propri, il contraente dichiara espressamente di essere in possesso della polizza assicurativa per la responsabilità civile verso terzi, con massimali adeguati e dal medesimo ritenuti congrui o di altra analoga copertura (autoassicurazione), della polizza assicurativa a copertura del rischio incendio fabbricati, nonché della polizza infortuni in favore dei soggetti che usufruiscono delle prestazioni oggetto del presente accordo, esonerando espressamente l’Azienda da qualsiasi responsabilità per danni o incidenti che dovessero verificarsi nell’espletamento della attività oggetto dell’accordo stesso.

ART. 18 - CODICE DI COMPORTAMENTO

Il soggetto contraente è tenuto a far osservare a tutti i professionisti e a tutto il personale operante a qualsiasi titolo nella Struttura stessa, i principi contenuti nel codice di comportamento dell’Azienda USL

Toscana Centro adottato con deliberazione n. 1358 del 16.09.2016 e pubblicato sul sito aziendale alla voce “amministrazione-trasparente- disposizioni generali – atti generali”.

ART. 19 - FORO COMPETENTE

Per ogni controversia le parti convengono che sia competente il Foro di Firenze.

ART. 20 - DECORRENZA

Il presente contratto produce effetti dal 05/11/2020 e avrà scadenza 31/01/2021

Le parti si danno reciprocamente atto che, nelle more della sottoscrizione del presente accordo contrattuale, sono fatti salvi i rapporti eventualmente intercorsi durante la sottoscrizione.

ART. 21 – RESPONSABILI DELL’ACCORDO CONTRATTUALE

L’attività è pianificata e svolta in stretta collaborazione tra la Struttura, la Direzione Sanitaria Aziendale , i Direttori dei Dipartimenti Specialistiche mediche e Emergenza e Area critica.

Vengono individuati:

a) per l’Azienda:

• il Responsabile della gestione amministrativa il Direttore SOC Accordi contrattuali e convenzioni con soggetti privati

• il Responsabile professionale il Direttore Dipartimento Specialistiche mediche o suo delegato e il Direttore del Dipartimento Emergenza e Area critica o suo delegato.

• il Direttore della SOS Verifica della Qualità delle Prestazioni Erogate

b) per la Struttura:

- il Responsabile della Convenzione nella figura del legale rappresentante Dr. Xxxxxxxxx Xxxxxx.

ART. 22 – REGISTRAZIONE E IMPOSTA DI XXXXX

Il presente contratto, che consta di n. 9 pagine, sarà registrato in caso d’uso a cura e a spese della parte che avrà interesse a farlo.

Le spese di bollo sono a carico della Struttura e saranno assolte in modo virtuale nelle modalità previste dalla legge. L’Azienda acquisirà copia dell’avvenuto pagamento contestualmente all’invio del contratto sottoscritto.

Xxxxx, approvato e sottoscritto

per l’Azienda USL Toscana Centro

Direttore della SOC Accordi contrattuali e convenzioni con soggetti privati

Xxxx. Xxxxxxx Xxxxxxxx (documento firmato digitalmente)

per IFCA Istituto Fiorentino di Cura e Assistenza S.p.A. Casa di Cura Ulivella e Xxxxxxx

Dr. Xxxxxxxxx Xxxxxx (documento firmato digitalmente)

Rapporto di verifica

Nome file CONTRATTO FIRMATO.pdf.p7m Data di verifica 18/11/2020 13:13:41 UTC Versione CAPI 6.1.4

Livello	Firmatario	Autorità emittente	Pagina Esito
1	XXXXXXXX XXXXXXX	CN=ArubaPEC S.p.A. NG CA 3,OU=...	2
1	Xxxxxxxxx Xxxxxx	CN=InfoCert Firma Qualificata ...	3
	Appendice A		4

XXXXXXXX XXXXXXX 2

Esito

Firma valida

La firma è in formato CADES-BES La firma è integra

Il certificato è attendibile

Verifica alla data di sistema: 18/11/20 14.13

Data-ora di firma dichiarata dal firmatario: 18/11/2020 10:18:51 UTC

Il certificato ha validità legale

Certificato Qualificato conforme al Regolamento UE N. 910/2014 - eIDAS Periodo di conservazione delle informazioni di certificazione: 20 anni

La chiave privata associata al certificato risiede in un dispositivo sicuro conforme al Regolamento (UE) N. 910/2014 (QSCD - Qualified Signature/Seal Creation Device)

PKI Disclosure Statements (PDS): (en) xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxxxxxx-xxxxxx-xxx-xx.xxx

PKI Disclosure Statements (PDS): (it) xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxxxxxx-xxxxxx-xxx-xx.xxx

Dettagli certificato

Nome Cognome soggetto: XXXXXXXX XXXXXXX Seriale: 2a255783867d8eb4c3e1b84191d1778e Organizzazione: Regione Toscana/01386030488 Nazione: IT

Codice Fiscale: IT:XXXXXX00X00X000X

Autorità emittente: CN=ArubaPEC S.p.A. NG CA 3,OU=Certification AuthorityC,O=ArubaPEC S.p.A

.,C=IT

Utilizzo chiavi: nonRepudiation Policies:

1.3.6.1.4.1.29741.1.1.1,CPS URI: xxxxx://xx.xxxxxxxx.xx/xxx.xxxx, Validità: da 24/07/2017 00:00:00 UTC a 24/07/2023 23:59:59 UTC

La chiave privata associata al certificato risiede in un dispositivo sicuroconforme al Regolamento (UE)

N. 910/2014(QSCD - Qualified Signature/Seal Creation Device) Periodo di conservazione delle informazioni di certificazione: 20 anni Dichiarazione di Trasparenza:

- (en) xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxxxxxx-xxxxxx-xxx-xx.xxx

- (it) xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxxxxxx-xxxxxx-xxx-xx.xxx

Xxxxxxxxx Xxxxxx 3

Esito

Firma valida

La firma è in formato CADES-BES La firma è integra

Il certificato è attendibile

Verifica alla data di sistema: 18/11/20 14.13

Data-ora di firma dichiarata dal firmatario: 16/11/2020 12:49:22 UTC

Il certificato ha validità legale

Certificato Qualificato conforme al Regolamento UE N. 910/2014 - eIDAS Periodo di conservazione delle informazioni di certificazione: 20 anni

La chiave privata associata al certificato risiede in un dispositivo sicuro conforme al Regolamento (UE) N. 910/2014 (QSCD - Qualified Signature/Seal Creation Device)

PKI Disclosure Statements (PDS): (en) xxxxx://xxx.xxxxx.xxxxxxxx.xx/xxx/XXX-XX.xxx

Certificato di firma elettronica conforme al Regolamento (UE) N. 910/2014

Dettagli certificato

Nome Cognome soggetto: Xxxxxxxxx Xxxxxx Seriale: 01146419

Organizzazione: GIOMI SPA/06619881003 Nazione: IT

Codice Fiscale: TINIT-XXXXXX00X00X000X

Autorità emittente: CN=InfoCert Firma Qualificata 2,SERIALNUMBER=07945211006,OU=Certificatore Accreditato,O=INFOCERT SPA,C=IT

Utilizzo chiavi: nonRepudiation

Policies:

1.3.76.36.1.1.1,CPS URI: xxxx://xxx.xxxxx.xxxxxxxx.xx/xxxxxxxxxxxxxx/xxxxxxx.xxx, 1.3.76.24.1.1.2,

0.4.0.194112.1.2,

Validità: da 23/04/2020 09:20:14 UTC a 23/04/2023 00:00:00 UTC

La chiave privata associata al certificato risiede in un dispositivo sicuroconforme al Regolamento (UE)

N. 910/2014(QSCD - Qualified Signature/Seal Creation Device) Periodo di conservazione delle informazioni di certificazione: 20 anni

Certificato di firma elettronica conforme al Regolamento (UE) N. 910/2014 Dichiarazione di Trasparenza:

- (en) xxxxx://xxx.xxxxx.xxxxxxxx.xx/xxx/XXX-XX.xxx

Appendice A 4

Certificati delle autorità radice (CA)

InfoCert Firma Qualificata 2

Seriale: 01

Organizzazione: INFOCERT SPA Nazione: IT

Codice Fiscale: 07945211006

Utilizzo chiavi: keyCertSign | cRLSign

Validità: da 19/04/2013 14:26:15 UTC a 19/04/2029 15:26:15 UTC

ArubaPEC S.p.A. NG CA 3

Seriale: 6cad805e30383cc586f31fab2f6e95f7 Organizzazione: ArubaPEC S.p.A.

Nazione: IT

Utilizzo chiavi: keyCertSign | cRLSign

Validità: da 22/10/2010 00:00:00 UTC a 22/10/2030 23:59:59 UTC

ALLEGATO 2 ATTO DI NOMINA A RESPONSABILE DEL TRATTAMENTO DATI AI SENSI DELL’ART. 28 DEL REGOLAMENTO UE 2016/679

TRA

l’Azienda USL Toscana Centro, in persona del Direttore SOC Accordi contrattuali e convenzioni con soggetti privati domiciliato per la carica presso la sede dell’Azienda sita in Xxxxxxx X.xxx X.Xxxxx Xxxxx, 0 00000 (XX), Partita IVA/codice fiscale 06593810481, di seguito anche come “AZIENDA”,

E

L’Istituto Fiorentino di Cura e Assistenza – IFCA- S.p.A. Casa di Cura Ulivella e Glicini d’ora in poi Struttura, con sede legale Xxx xxx Xxxxxxxxx, 0/0 – 50139 Firenze , Cod. Fiscale e P.IVA 01300810486 nella persona del Legale Rappresentante dr. Xxxxxxxxx Xxxxxx, nato a Roma il 14/12/1953., domiciliato per la carica presso l’ente sopraindicato, di seguito anche come “Responsabile”, congiuntamente anche come le “Parti”

Premesso che:

- l’art. 28, par. 3, del Regolamento UE n. 2016/679 (General Data Protection Regulation), di seguito anche GDPR, prevede che i trattamenti effettuati per conto del Titolare del trattamento (Azienda) da parte di un Responsabile del trattamento siano regolati da un contratto o da altro atto giuridico che determini la materia del trattamento, la durata, la natura e la finalità, il tipo di dati personali trattati e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento;

• l’art. 28 del Regolamento (UE) n. 2016/679 riconosce, altresì, al Titolare del trattamento la facoltà di avvalersi di uno o più responsabili del trattamento dei dati, che abbiano esperienza, capacità, conoscenza per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del regolamento, anche relativamente al profilo della sicurezza;

- la Azienda con delibera n. 1339/2020. ha adottato lo schema di accordo contrattuale “tra l’Azienda Sanitaria e IFCA -Istituto Fiorentino di Cura e Assistenza, Istituto già in convenzione con l’Azienda sanitaria per attività di ricovero, per l’acquisto di n.60 prestazioni di ricovero di Area Medica per pazienti COVID provenienti dai Presidi Ospedalieri- ” periodo 05/11/2020 – 31/01/2021;

• ai fini del rispetto della normativa, ciascuna persona che tratta dati personali deve essere autorizzata e istruita in merito agli obblighi normativi per la gestione dei suddetti dati durante lo svolgimento delle proprie attività;

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

• il Titolare ha affidato alla CASA DI CURA I.F.C.A. S.p.A. (di seguito “Responsabile” o “Fornitore”, e congiuntamente con il Titolare, “Parti”) “per l’acquisto di n.60 prestazioni di ricovero di Area Medica per pazienti COVID provenienti dai Presidi Ospedalieri- ” periodo 05/11/2020 – 31/01/2021 , come da delibera aziendale n. 1339/2020 che si richiama espressamente e del quale la presente forma parte integrante e sostanziale, che comporta il trattamento di dati personali di titolarità della Azienda;

• tenuto conto delle attività di trattamento necessarie e/o opportune per dare esecuzione agli obblighi concordati tra le Parti, previa valutazione di quanto imposto dal Regolamento (UE) n. 2016/679, il Titolare ha ritenuto che il Responsabile presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate a soddisfare i requisiti del Regolamento (UE) n. 2016/679 ed a garantire la tutela dei diritti e le libertà degli interessati coinvolti nelle suddette attività di trattamento;

• tale nomina non comporta alcuna modifica della qualifica professionale del Responsabile e/o degli obblighi concordati tra le Parti.

Tutto quanto sopra premesso

l’Azienda, in qualità di Titolare del Trattamento, con la presente

NOMINA

in attuazione alle disposizioni del Regolamento del Parlamento Europeo n. 2016/679/UE (nel seguito “GDPR”),

la CASA DI CURA I.F.C.A. S.p.A. - RESPONSABILE DEL TRATTAMENTO

DEI DATI PERSONALI ai sensi dell’art. 28 del GDPR per il trattamento dei dati personali di cui è Titolare l’Azienda e di cui il Responsabile può venire a conoscenza nell’esercizio delle attività espletate per conto del Titolare relativamente all’attività di “tra l’Azienda Sanitaria e IFCA -Istituto Fiorentino di Cura e Assistenza, Istituto già in convenzione con l’Azienda sanitaria per attività di ricovero, per l’acquisto di n.60 prestazioni di ricovero di Area Medica per pazienti COVID provenienti dai Presidi Ospedalieri- ” periodo 05/11/2020 – 31/01/2021, come da delibera aziendale n. 1339/2020 affidati dal Titolare al Responsabile.

Articolo 1 - Natura e finalità del trattamento

Il trattamento dei dati personali è effettuato esclusivamente per la corretta esecuzione delle attività concordate tra le Parti e di cui al citato contratto/convenzione.

Articolo 2 - Categorie di dati personali trattati

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

Il Responsabile del trattamento per espletare le attività pattuite tra le Parti per conto del Titolare tratta direttamente o anche solo indirettamente le seguenti categorie di dati:

• dati personali, di cui all’art. 4 n. 1 del GDPR;

• dati rientranti nelle categorie “particolari” di dati personali (p.e. dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute, alla vita sessuale, all'orientamento sessuale della persona) di cui all’art. 9 del GDPR;

• dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza di cui all’art. 10 GDPR.

Articolo 3 - Categorie di interessati cui si riferiscono i dati trattati

Per effetto della presente nomina, le categorie di interessati i cui dati personali possono essere trattati, sono:

- pazienti/utenti;

- familiari dei pazienti/utenti;

- personale che opera a qualsiasi titolo e/o in forza di qualsivoglia atto all’interno Azienda (es. dipendenti, tirocinanti, interinale, ecc.);

Articolo 4 - Obbligo alla riservatezza

Trattandosi di dati personali e/o c.d. sensibili, il responsabile e i propri dipendenti e collaboratori sono tenuti alla assoluta riservatezza analogamente al segreto professionale e, così come previsto dal D.P.R. 62/20131 che il Responsabile si è impegnato a rispettare, al segreto d'ufficio, e comunque a trattare i dati in materia confidenziale e riservata, evitando l’eventuale comunicazione e/o conoscenza da parte di soggetti non autorizzati.

Articolo 5 – Disponibilità e uso dei dati

Qualunque sia la finalità e la durata del trattamento effettuato da parte del Responsabile:

- i dati non potranno essere venduti o ceduti, in tutto o in parte, ad altri soggetti e dovranno essere restituiti alla conclusione o revoca dell'incarico, o in qualsiasi momento il Titolare ne faccia richiesta;

- il Responsabile si impegna a non vantare alcun diritto sui dati e sui materiali presi in visione.

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

1

y xxxx://xxx.xxxxxxxxx.xxxxxxx.xx/xxxxxxxxxxx/xxxxxxx/000/Xxxxxx%00xx%00Xxxxx

rtamento%20(28-06-16).pdf

Coerentemente con quanto prescritto dal GDPR, è esplicitamente fatto divieto al Responsabile di inviare messaggio pubblicitari, commerciali e promozionali, e comunque di contattare gli “interessati” per finalità diverse da quelle nel presente atto.

Articolo 6 - Cessazione del trattamento

Una volta cessati i trattamenti oggetto del Contratto, salvo rinnovo, il Responsabile si impegna a restituire al Titolare i dati personali acquisiti, pervenuti a sua conoscenza o da questi elaborati in relazione all’esecuzione del servizio prestato e, solo successivamente, si impegna a cancellarli dai propri archivi oppure distruggerli, ad eccezione dei casi in cui i dati debbano essere conservati in virtù di obblighi di legge. Resta inteso che la dimostrazione delle ragioni che giustificano il protrarsi degli obblighi di conservazione è a carico del Titolare e che le uniche finalità perseguibili con tali dati sono esclusivamente circoscritte a rispondere a tali adempimenti normativi.

Articolo 7 - Validità e Revoca della nomina

La presente nomina avrà validità per tutta la durata del rapporto giuridico intercorrente tra le Parti e potrà essere revocata a discrezione del Titolare.

La presente nomina non costituisce aggravio in capo al Responsabile, rientrando la medesima negli obblighi normativi che regolano i rapporti con il Titolare sotto il profilo della protezione delle persone fisiche con riguardo al trattamento dei dati personali.

Articolo 8 - Sub-responsabili

Il Responsabile del trattamento non potrà ricorrere ad altri Responsabili senza la preventiva autorizzazione specifica del Titolare del trattamento. In tale ipotesi il Responsabile dovrà inviare, a mezzo P.E.C., circostanziata e motivata richiesta al Titolare che avrà la facoltà di consentire o meno detta nomina.

Ai sensi dell’art. 28, par. 4 del GDPR, fermo restando quanto previsto al precedente paragrafo, quando un responsabile del trattamento ricorre a un altro responsabile del trattamento, per l'esecuzione di specifiche attività di trattamento per conto del titolare del trattamento, su tale altro responsabile del trattamento sono imposti, mediante un contratto o un altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, gli stessi obblighi in materia di protezione dei dati contenuti nel contratto o in altro atto giuridico tra il titolare del trattamento e il responsabile del trattamento prevedendo in particolare garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del GDPR.

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

Qualora l'altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, il responsabile iniziale conserva nei confronti del titolare del trattamento l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.

Articolo 9 - Designazione e autorizzazione degli incaricati

Il Responsabile del trattamento garantisce la puntuale individuazione dei soggetti operanti a qualsiasi titolo nella propria organizzazione quali soggetti autorizzati al trattamento.

In particolare, il Responsabile del trattamento si impegna a consentire l’accesso e il trattamento dei dati personali solo a personale debitamente formato e specificamente designato anche ai sensi dell’art. 2-quaterdecies del D.Lgs 196/2003 e s.m.i.

Il Responsabile si impegna ad effettuare per iscritto le nomine e limitare l’accesso e il trattamento ai soli dati personali necessari per lo svolgimento delle attività oggetto della Convenzione/Contratto.

Il personale autorizzato dovrà ricevere idonea e specifica formazione in relazione al rispetto delle misure organizzative e tecniche, in particolare alle misure di sicurezza adottate, adeguate ad assicurare la tutela dei dati personali trattati nel rispetto delle previsioni normative e della prassi in materia.

Nello specifico il Responsabile:

• individua le persone autorizzate al trattamento dei dati impartendo loro, per iscritto, istruzioni dettagliate in merito alle operazioni consentite e alle misure di sicurezza da adottare in relazione alle criticità dei dati trattati;

• vigila regolarmente sulla puntuale applicazione da parte delle persone autorizzate di quanto prescritto, anche tramite verifiche periodiche;

• garantisce l’adozione dei diversi profili di autorizzazione delle persone autorizzate, in modo da limitare l’accesso ai soli dati necessari alle operazioni di trattamento consentite rispetto alle mansioni svolte;

• verifica periodicamente la sussistenza delle condizioni per la conservazione dei profili di autorizzazione di tutte le persone autorizzate, modificando tempestivamente detto profilo ove necessario (es. cambio di mansione);

• cura la formazione e l’aggiornamento professionale delle persone autorizzate che operano sotto la sua responsabilità circa le disposizioni di legge e regolamentari in materia di tutela dei dati personali.

Il Responsabile, su richiesta, invia al Titolare del trattamento a mezzo P.E.C. l’elenco nominativo con specifica evidenza delle relative mansioni dei soggetti autorizzati al

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

trattamento dei dati personali svolti per suo conto e nell’ambito della Convenzione/Contratto.

Articolo 10 – Responsabile della protezione dei Dati

Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni dell’art. 37 del GDPR – si impegna a nominare e comunicare al Titolare il nominativo e i dati di contatto del Responsabile della Protezione dei Dati.

Articolo 11 - Diritti degli interessati

Premesso che l’esercizio dei diritti riconosciuti all’interessato ai sensi degli artt. 15 e seguenti del GDPR sarà gestito direttamente dal Titolare, il Responsabile si rende disponibile a collaborare con il Titolare stesso fornendogli tutte le informazioni necessarie a soddisfare le eventuali richieste ricevute in tal senso.

Il Responsabile si impegna ad assistere il Titolare con misure tecniche e organizzative adeguate al fine di soddisfare l'obbligo del Titolare di dare seguito alle richieste per l'esercizio dei diritti dell'interessato.

In particolare, il Responsabile dovrà comunicare al Titolare, senza ritardo e comunque non oltre le 72 ore dalla ricezione, le istanze eventualmente ricevute e avanzate dagli interessati in virtù dei diritti previsti dalla vigente normativa (es. diritto di accesso, ecc.) e a fornire le informazioni necessarie al fine di consentire al Titolare di evadere le stesse entro i termini stabiliti dalla normativa.

Articolo 12 - Registro dei trattamenti

Il Responsabile – ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni del comma 5 dell’art. 30 del GDPR - mantiene un registro (in forma scritta e/o anche in formato elettronico) di tutte le categorie di attività relative al trattamento svolte per conto del Titolare, contenente:

• il nome e i dati di contatto del Responsabile e/o dei suoi Sub – Responsabili;

• le categorie dei trattamenti effettuati per conto del Titolare;

• ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49 del GDPR, la documentazione delle garanzie adeguate adottate;

• ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’art. 32, par. 1 del GDPR.

Il Responsabile garantisce, inoltre, di mettere a disposizione del Titolare e/o dell’Autorità di controllo che ne dovessero fare richiesta, il suddetto registro dei trattamenti.

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

Il Responsabile si impegna a coadiuvare il Titolare nella redazione del proprio Registro delle attività di trattamenti, segnalando anche, per quanto di propria competenza, eventuali modifiche da apportare al Registro.

Articolo 13 - Sicurezza dei dati personali

Il Responsabile è tenuto, ai sensi dell’art. 32 del GDPR, ad adottare le necessarie e adeguate misure di sicurezza (eventualmente anche ulteriori rispetto a quelle nel seguito indicate) in modo tale da ridurre al minimo i rischi di distruzione accidentale o illegale, la perdita, la modifica, la divulgazione non autorizzata o l’accesso non consentito ai dati personali trasmessi, conservati o comunque trattati, o il trattamento non conforme alle finalità della raccolta.

Il Responsabile fornisce al titolare l’elenco delle adeguate misure di sicurezza adottate.

Articolo 14 - Sicurezza e Amministrazione del Sistema (ADS)

Il Responsabile fornirà al Titolare la lista nominativa degli ADS, con questi intendendo le persone fisiche che svolgono per conto del Responsabile ed in esecuzione dei compiti concordati ed affidati dal Titolare, attività di gestione e manutenzione di impianti di elaborazione con cui vengono effettuati trattamenti di dati personali, compresi i sistemi di gestione delle basi di dati, i software complessi che trattano dati del Titolare, le reti locali e gli apparati di sicurezza di quest’ultimo, o comunque che possano intervenire sulle misure di sicurezza a presidio dei medesimi dati. Con riferimento ai soggetti individuati, il Responsabile deve comunicare rispetto ad ognuno i compiti e le operazioni svolte.

Articolo 15 - Compiti e istruzioni per il Responsabile

Il Responsabile ha il potere ed il dovere di trattare i dati personali indicati nel rispetto della normativa vigente, attenendosi sia alle istruzioni di seguito fornite, sia a quelle che verranno rese note dal Titolare mediante procedure e/o comunicazioni specifiche.

Il Responsabile dichiara espressamente di comprendere ed accettare le istruzioni di seguito rappresentate e si obbliga a porre in essere, nell’ambito dei compiti contrattualmente affidati, tutti gli adempimenti prescritti dalla normativa di riferimento in materia di tutela dei dati personali al fine di ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato e di trattamento non consentito o non conforme alla raccolta.

Articolo 16 - Modalità di trattamento e requisiti dei dati personali

Il Responsabile si impegna:

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

• a trattare direttamente, o per il tramite dei propri dipendenti, collaboratori esterni, consulenti, etc. – specificamente designati incaricati del trattamento - i dati personali del Titolare, per le sole finalità connesse allo svolgimento delle attività previste dal Contratto/Convenzione, in modo lecito e secondo correttezza, nonchè nel pieno rispetto delle disposizioni previste dal GDPR, nonchè, infine, dalle presenti istruzioni;

• non divulgare o rendere noti a terzi - per alcuna ragione ed in alcun momento, presente o futuro ed anche una volta cessati i trattamenti oggetto del Contratto/Convenzione - i dati personali ricevuti dal Titolare o pervenuti a sua conoscenza in relazione all’esecuzione del servizio prestato, se non previamente autorizzato per iscritto dal Titolare, fatti salvi eventuali obblighi di legge o ordini dell’Autorità Giudiziaria e/o di competenti Autorità amministrative;

• collaborare con il Titolare per garantire la puntuale osservanza e conformità alla normativa in materia di protezione dei dati personali;

• dare immediato avviso al Titolare in caso di cessazione dei trattamenti concordati;

• non creare banche dati nuove senza espressa autorizzazione del Titolare, fatto salvo quando ciò risulti strettamente indispensabile ai fini dell’esecuzione degli obblighi assunti;

• in caso di ricezione di richieste specifiche avanzate dall’Autorità Garante per la protezione dei dati personali o altre autorità, a coadiuvare il Titolare per quanto di sua competenza;

• segnalare eventuali criticità al Titolare che possono mettere a repentaglio la sicurezza dei dati, al fine di consentire idonei interventi da parte dello stesso;

• coadiuvare, su richiesta, il Titolare ed i soggetti da questo indicati nella redazione della documentazione necessaria per adempiere alla normativa di settore, con riferimento ai trattamenti di dati effettuati dal Responsabile in esecuzione delle attività assegnate.

Articolo 17 - Istruzioni specifiche per il trattamento dati particolari e/o relativi a condanne penali e reati

Il Responsabile deve:

• verificare la corretta osservanza delle misure previste dal Titolare in materia di archiviazione nel rispetto di quanto previsto dal precedente articolo 6, potendo derivare gravi conseguenze da accessi non autorizzati alle informazioni oggetto di trattamento;

• prestare particolare attenzione al trattamento dei dati personali rientranti nelle categorie particolari e/o relative a condanne penali o reati degli interessati conosciuti,

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

anche incidentalmente, in esecuzione dell’incarico affidato, procedendo alla loro raccolta e archiviazione solo ove ciò si renda necessario per lo svolgimento delle attività di competenza e istruendo in tal senso le persone autorizzate che operano all’interno della propria struttura;

• conservare, nel rispetto di quanto previsto dal precedente articolo 6, la documentazione contenente dati particolari e/o relativi a condanne penali e reati adottando misure idonee al fine di evitare accessi non autorizzati ai dati, distruzione, perdita e/o qualunque violazione di dati personali;

• vigilare affinchè i dati personali degli interessati vengano comunicati solo a quei soggetti preventivamente autorizzati dal Titolare (ad esempio a propri fornitori e/o subfornitori) che presentino garanzie sufficienti secondo le procedure di autorizzazione disposte e comunicate dal Titolare. Sono altresì consentite le comunicazioni richieste per legge nei confronti di soggetti pubblici;

• sottoporre preventivamente al Titolare, per una sua formale approvazione, le richieste di dati da parte di soggetti esterni;

• non diffondere i dati personali, particolari e/o relativi a condanne penali e reati degli interessati;

• segnalare eventuali criticità nella gestione della documentazione contenente dati personali, particolari e/o relativi a condanne penali e reati al fine di consentire idonei interventi da parte del Titolare.

Articolo 18 – Violazione dei dati

Il Responsabile si impegna a notificare al Titolare, senza ingiustificato ritardo dall’avvenuta conoscenza, e comunque entro 24 ore, con comunicazione da inviarsi all’indirizzo PEC del titolare, ogni violazione dei dati personali (data breach) fornendo, altresì:

• la descrizione della natura della violazione e l’indicazione delle categorie dei dati personali e il numero approssimativo di interessati coinvolti;

• comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;

• la descrizione delle probabili conseguenze;

• la descrizione delle misure adottate o di cui dispone per porre rimedio alla violazione o, quantomeno, per attenuarne i possibili effetti negativi.

Fermo quanto sopra previsto, il Responsabile si impegna a prestare ogni più ampia assistenza al Titolare al fine di consentirgli di assolvere agli obblighi di cui agli artt. 33

- 34 del GDPR.

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

Una volta definite le ragioni della violazione, il Responsabile di concerto con il Titolare e/o altro soggetto da quest’ultimo indicato, su richiesta, si attiverà per implementare nel minor tempo possibile tutte le misure di sicurezza fisiche e/o logiche e/o organizzative atte ad arginare il verificarsi di una nuova violazione della stessa specie di quella verificatasi, al riguardo anche avvalendosi dell’operato di subfornitori.

Articolo 19 - Valutazione di impatto e consultazione preventiva

Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile del trattamento, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai Sub - Responsabili.

Articolo 20 - Trasferimento dei dati personali

Il Responsabile del trattamento si impegna a circoscrivere gli ambiti di circolazione e trattamento dei dati personali (es. memorizzazione, archiviazione, conservazione dei dati sui propri server) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in Paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 CAPO V.

Articolo 21 - Attività di audit

Il Responsabile si impegna a mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di sicurezza descritti nel presente documento e, in generale, il rispetto delle obbligazioni assunte in forza del presente atto e del GDPR, consentendo e, su richiesta, contribuendo alle attività di audit, comprese le ispezioni, realizzate dal Titolare o da altro soggetto da esso incaricato.

Qualora il Titolare rilevasse comportamenti difformi a quanto prescritto dalla normativa in materia nonchè dalle disposizioni contenute nei provvedimenti del Garante per la protezione dei dati personali, provvederà a darne comunicazione al Responsabile, senza che ciò possa far venire meno l’autonomia dell’attività di impresa del Responsabile ovvero possa essere qualificato come ingerenza nella sua attività.

Articolo 22 - Ulteriori istruzioni

Il Responsabile comunica tempestivamente al Titolare qualsiasi modificazione di assetto organizzativo o di struttura proprietaria che dovesse intervenire successivamente all’affidamento dell’incarico, affinchè il Titolare possa accertare l’eventuale sopravvenuta mancanza dei requisiti previsti dalla vigente normativa o il venir meno delle garanzie sufficienti per mettere in atto misure tecniche e

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

organizzative adeguate per il corretto trattamento dei dati oggetto della presente nomina.

Il Responsabile informa prontamente il Titolare delle eventuali carenze, situazioni anomale o di emergenza rilevate nell’ambito del servizio erogato - in particolare ove ciò possa riguardare il trattamento dei dati personali e le misure di sicurezza adottate dal Responsabile - e di ogni altro episodio o fatto rilevante che intervenga e che riguardi comunque l'applicazione del GDPR (ad es. richieste del Garante, esito delle ispezioni svolte dalle Autorità, ecc.) o della normativa nazionale ancorchè applicabile. Articolo 23 - Codici di Condotta e Certificazioni

Il Responsabile si impegna a comunicare al Titolare l’adesione a codici di condotta approvati ai sensi dell’art. 40 del GDPR e/o l’ottenimento di certificazioni che impattano sui servizi offerti al Titolare, intendendo anche quelle disciplinate dall’art. 42 del GDPR.

Articolo 24 – Norme finali e responsabilità

Il Titolare, poste le suddette istruzioni e fermi i compiti sopra individuati, si riserva, nell’ambito del proprio ruolo, di impartire per iscritto eventuali ulteriori istruzioni che dovessero risultare necessarie per il corretto e conforme svolgimento delle attività di trattamento dei dati collegate all’accordo vigente tra le Parti, anche a completamento ed integrazione di quanto sopra definito.

Il Responsabile dichiara sin d’ora di mantenere indenne e manlevato il Titolare da qualsiasi danno, onere, spesa e conseguenza che dovesse derivare al Titolare stesso a seguito della violazione, da parte del Responsabile o di suoi Sub – Responsabili, degli impegni relativi al rispetto della disciplina in materia di protezione dei dati personali o delle istruzioni contenute nei relativi atti di nomina anche in seguito a comportamenti addebitabili ai loro dipendenti, rappresentanti, collaboratori a qualsiasi titolo.

Firenze, lì …………………

p. Azienda USL Toscana Centro Direttore SOC Accordi contrattuali e convenzioni con soggetti privati                

Azienda USL Toscana Xxxxxx X.xxx Xxxxx Xxxxx Xxxxx 0 00000 Xxxxxxx

C.F./P.IVA 06593810481

p. CASA DI CURA I.F.C.A. S.p.A..               

Rapporto di verifica

Nome file 4 2 PER FIRMA MOD_RESPONSABILI_GDPR_vers.1.pdf.p7m

Data di verifica 18/11/2020 13:10:06 UTC

Versione CAPI 6.1.4

Livello	Firmatario	Autorità emittente	Pagina Esito
1	XXXXXXXX XXXXXXX	CN=ArubaPEC S.p.A. NG CA 3,OU=...	2
1	Xxxxxxxxx Xxxxxx	CN=InfoCert Firma Qualificata ...	3
	Appendice A		4

XXXXXXXX XXXXXXX 2

Esito

Firma valida

La firma è in formato CADES-BES La firma è integra

Il certificato è attendibile

Verifica alla data di sistema: 18/11/20 14.07

Data-ora di firma dichiarata dal firmatario: 18/11/2020 10:19:07 UTC

Il certificato ha validità legale

Certificato Qualificato conforme al Regolamento UE N. 910/2014 - eIDAS Periodo di conservazione delle informazioni di certificazione: 20 anni

La chiave privata associata al certificato risiede in un dispositivo sicuro conforme al Regolamento (UE) N. 910/2014 (QSCD - Qualified Signature/Seal Creation Device)

PKI Disclosure Statements (PDS): (en) xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxxxxxx-xxxxxx-xxx-xx.xxx

PKI Disclosure Statements (PDS): (it) xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxxxxxx-xxxxxx-xxx-xx.xxx

Dettagli certificato

Nome Cognome soggetto: XXXXXXXX XXXXXXX Seriale: 2a255783867d8eb4c3e1b84191d1778e Organizzazione: Regione Toscana/01386030488 Nazione: IT

Codice Fiscale: IT:XXXXXX00X00X000X

Autorità emittente: CN=ArubaPEC S.p.A. NG CA 3,OU=Certification AuthorityC,O=ArubaPEC S.p.A

.,C=IT

Utilizzo chiavi: nonRepudiation Policies:

1.3.6.1.4.1.29741.1.1.1,CPS URI: xxxxx://xx.xxxxxxxx.xx/xxx.xxxx, Validità: da 24/07/2017 00:00:00 UTC a 24/07/2023 23:59:59 UTC

La chiave privata associata al certificato risiede in un dispositivo sicuroconforme al Regolamento (UE)

N. 910/2014(QSCD - Qualified Signature/Seal Creation Device) Periodo di conservazione delle informazioni di certificazione: 20 anni Dichiarazione di Trasparenza:

- (en) xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxxxxxx-xxxxxx-xxx-xx.xxx

- (it) xxxxx://xxx.xxx.xx/xxxxxxxxxx/xxxxxxxx-xxxxxx-xxx-xx.xxx

Xxxxxxxxx Xxxxxx 3

Esito

Firma valida

La firma è in formato CADES-BES La firma è integra

Il certificato è attendibile

Verifica alla data di sistema: 18/11/20 14.07

Data-ora di firma dichiarata dal firmatario: 16/11/2020 08:45:26 UTC

Il certificato ha validità legale

Certificato Qualificato conforme al Regolamento UE N. 910/2014 - eIDAS Periodo di conservazione delle informazioni di certificazione: 20 anni

La chiave privata associata al certificato risiede in un dispositivo sicuro conforme al Regolamento (UE) N. 910/2014 (QSCD - Qualified Signature/Seal Creation Device)

PKI Disclosure Statements (PDS): (en) xxxxx://xxx.xxxxx.xxxxxxxx.xx/xxx/XXX-XX.xxx

Certificato di firma elettronica conforme al Regolamento (UE) N. 910/2014

Dettagli certificato

Nome Cognome soggetto: Xxxxxxxxx Xxxxxx Seriale: 01146419

Organizzazione: GIOMI SPA/06619881003 Nazione: IT

Codice Fiscale: TINIT-XXXXXX00X00X000X

Autorità emittente: CN=InfoCert Firma Qualificata 2,SERIALNUMBER=07945211006,OU=Certificatore Accreditato,O=INFOCERT SPA,C=IT

Utilizzo chiavi: nonRepudiation

Policies:

1.3.76.36.1.1.1,CPS URI: xxxx://xxx.xxxxx.xxxxxxxx.xx/xxxxxxxxxxxxxx/xxxxxxx.xxx, 1.3.76.24.1.1.2,

0.4.0.194112.1.2,

Validità: da 23/04/2020 09:20:14 UTC a 23/04/2023 00:00:00 UTC

La chiave privata associata al certificato risiede in un dispositivo sicuroconforme al Regolamento (UE)

N. 910/2014(QSCD - Qualified Signature/Seal Creation Device) Periodo di conservazione delle informazioni di certificazione: 20 anni

Certificato di firma elettronica conforme al Regolamento (UE) N. 910/2014 Dichiarazione di Trasparenza:

- (en) xxxxx://xxx.xxxxx.xxxxxxxx.xx/xxx/XXX-XX.xxx

Appendice A 4

Certificati delle autorità radice (CA)

InfoCert Firma Qualificata 2

Seriale: 01

Organizzazione: INFOCERT SPA Nazione: IT

Codice Fiscale: 07945211006

Utilizzo chiavi: keyCertSign | cRLSign

Validità: da 19/04/2013 14:26:15 UTC a 19/04/2029 15:26:15 UTC

ArubaPEC S.p.A. NG CA 3

Seriale: 6cad805e30383cc586f31fab2f6e95f7 Organizzazione: ArubaPEC S.p.A.

Nazione: IT

Utilizzo chiavi: keyCertSign | cRLSign

Validità: da 22/10/2010 00:00:00 UTC a 22/10/2030 23:59:59 UTC