ALLEGATO 8 – CONTRATTO PRIVACY
PROCEDURA APERTA PER LA FORNITURA DI DISPOSITIVI MEDICI DI USO COMUNE
ALLEGATO 8 – CONTRATTO PRIVACY
ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI
(ai sensi dell'articolo 28 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27.4.2016)
TRA
Il titolare del trattamento che, ai sensi e per gli effetti degli artt. 4, paragrafo 1- punto 7), 24 del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (citato, in seguito, come “GDPR”), è l’Azienda Sanitaria Locale Roma 1 (C.F. e P.IVA 13664791004), in persona del Legale Rappresentante, il Commissario Straordinario Dr. Xxxxxxxx Xxxxxxxxxxx, domiciliato per la sua carica presso la Sede Legale sita in Xxxxx X. Xxxxxxx, 0 - 00000 Xxxx;
E
il responsabile del trattamento che, ai sensi e per gli effetti degli artt. 4, paragrafo 1- punto 8), 28 del GDPR, è da individuarsi nel Fornitore ……………………………………………………………………………………………………………………..
(C.F. …………………………. P.IVA ) in quanto tenuto ad effettuare operazioni di trattamento
necessarie all’esecuzione (descrizione sommaria delle attività oggetto dell’appalto e delibera di riferimento) …………………………..…………………… disciplinate dai relativi atti di aggiudicazione e dal contratto/Accordo quadro.
Il presente Accordo ha lo scopo di regolamentare, alle condizioni indicate negli articoli del presente atto, i rapporti tra il titolare del trattamento (in breve, di seguito, anche “Titolare”) e il succitato Fornitore (citato, di seguito, anche, come “responsabile del trattamento” e, in breve, “RdT” e, altresì, “Fornitore”).
Art. 1
Designazione del responsabile del trattamento
1. L’Azienda Sanitaria Locale Roma 1, nella qualità di titolare del trattamento, designa, con la sottoscrizione del presente atto, il Fornitore quale responsabile del trattamento.
2. Il Titolare, con la sottoscrizione del presente atto, conferisce al responsabile del trattamento le seguenti autorizzazioni generali:
a) ad effettuare operazioni di trattamento (sui dati personali - e, se necessari alla finalità principale del trattamento, anche particolari - di cui entra in possesso o ai quali ha comunque accesso) necessarie all’adempimento degli obblighi derivanti dall’affidamento e/o comunque funzionali all’esecuzione dell’attività/servizio (finalità principale del trattamento) dedotte nel vigente rapporto contrattuale, con modalità che permettano di identificare, solo in caso di necessità, gli interessati;
b) a far ricorso, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, ad altri responsabili del trattamento (anche se situati all’estero) ai sensi dell’art. 28, paragrafo 2, secondo periodo, del GDPR.
Art. 2
Accettazione della designazione da parte del Fornitore
1. Il Fornitore - nella persona del suo legale rappresentante e/o di persona delegata alla sottoscrizione del presente Accordo che, a tal fine, dichiara, assumendosene la responsabilità a tutti gli effetti di legge, di averne ricevuto potere – nel confermare la diretta e approfondita conoscenza degli obblighi che derivano dal GDPR e dalla normativa italiana sulla protezione dei dati personali (D.Lgs. n. 196/2003 e s.m.i.) e dal presente Accordo, dichiara di accettare la designazione a responsabile del trattamento di cui al comma 1 dell’art. 1 del presente Accordo e, ai sensi agli effetti degli artt. 4, paragrafo 1- punto 8), 28 del GDPR, si impegna a procedere al trattamento dei dati personali e, se necessari, particolari (entrambi, di seguito citati, come “dati”):
a) nei limiti delle autorizzazioni generali di cui al comma 2 dell’art. 1 del presente Accordo;
b) per esclusivo conto del Titolare, attenendosi alle istruzioni ricevute dal medesimo Titolare attraverso
la presente Accordo o a quelle ulteriori che saranno successivamente impartite;
c) in esecuzione del vigente rapporto contrattuale con l’Azienda Sanitaria Locale Roma 1, nonché per il tempo strettamente necessario al perseguimento di tale principale finalità o, se imposte dalla vigente legislazione o autorizzate dal Titolare, per altre finalità correlate con la finalità principale;
d) conservando, nei confronti del Titolare, l'intera responsabilità dell'adempimento degli obblighi, anche di altro Responsabile del trattamento (di seguito, anche, sub-responsabile) di cui, nel caso in cui sia ammesso il subappalto, si avvalga per effettuare il trattamento.
2. Il responsabile del trattamento dichiara di essere consapevole che:
- ulteriore trattamento dei dati non effettuato per conto del Titolare rileva ai sensi e per gli effetti degli artt. 4, paragrafo 1, punto 7), 24 del GDPR e, in tal caso, agirà quale autonomo titolare del trattamento assumendosene l’intera responsabilità nei confronti degli interessati, dell’Autorità di controllo, fatta salva comunque la previsione di cui all’art. 7 del presente Accordo;
- nell’evenienza indicata nell’art. 1, comma 2, lett. b) del presente Accordo, deve osservare quanto stabilito nell’art. 28, paragrafo 4, del GDPR e, nel caso altro responsabile del trattamento ometta di adempiere ai propri obblighi in materia di protezione dei dati, di conservare nei confronti del Titolare l'intera responsabilità dell'adempimento degli obblighi dell'altro responsabile.
Art. 3
Istruzioni sul trattamento dei dati
1. Il responsabile del trattamento, con la sottoscrizione del presente Accordo, si impegna ad osservare le istruzioni documentate fornite dal Titolare.
2. Il responsabile del trattamento considera istruzioni documentate le pattuizioni previste dal rapporto contrattuale in essere, dagli eventuali suoi allegati o atti correlati ai quali le relative parti hanno fatto espresso rinvio nonché ogni altra eventuale comunicazione scritta del Titolare concernente le modalità di trattamento dei dati da parte del responsabile del trattamento e, soprattutto, le seguenti:
a) informare il Titolare qualora ritenga che un’istruzione impartitagli da quest’ultimo violi il GDPR o altre disposizioni europee o nazionali relative alla protezione dei dati;
b) trattare i dati nel pieno rispetto del GDPR e di ogni altra vigente normativa in materia di protezione dei dati;
c) adottare tutte le misure di cui all’art. 32 del GDPR in modo da garantire la riservatezza, l’integrità e la disponibilità dei dati personali trattati, tenendo conto, se necessari a conformare il trattamento o ad elevarne la relativa sicurezza, anche dei provvedimenti, tempo per tempo, emanati dall’Autorità di Controllo, consultabili sul portale internet istituzionale di questa ultima (xxxxx://xxx.xxxxxxxxxxxxxx.xx) e che comunque, possono essere forniti, previa richiesta, dal responsabile della protezione dei dati di questa Azienda Sanitaria (tel. 0000000000; xxx@xxxxxxx0.xx);
d) rispettare, in ogni caso, la dignità degli interessati, osservando sia princìpi del trattamento di cui all’art. 5 del GDPR sia adottando ogni necessaria cautela e accorgimento riferibile al contesto del trattamento, tra cui, se applicabili, si indicano, esemplificativamente, le cautele e gli accorgimenti disposti dal Garante per la protezione dei dati personali: per i luoghi di cura, il provvedimento del 9 novembre 2005 (doc. web n. 1191411); per la consegna presìdi sanitari al domicilio dell'interessato, il provvedimento 21 novembre 2013 (doc. web n. 2803050);
e) compiere le sole operazioni di trattamento funzionali, nei limiti di stretta pertinenza e non eccedenza, all’esecuzione dell’attività/servizio (finalità principale del trattamento), con modalità che permettano di identificare l'interessato solo in caso di necessità e, in tal ultimo caso, con modalità e adozione di accorgimenti e misure tecniche e organizzative tali da assicurare che il livello di protezione dei diritti e delle libertà delle persone fisiche garantito dal GDPR non venga mai compromesso, anche al fine di evitare che il trattamento possa arrecare danno agli interessati;
f) utilizzare i dati per finalità strettamente correlate alla finalità principale del trattamento se imposte dalla normativa vigente o, diversamente, se autorizzate dal Titolare;
g) non utilizzare i dati per altre finalità (es. ricerca scientifica, marketing, ecc.);
h) fornire assistenza al Titolare, per quanto di competenza e nella misura in cui ciò sia possibile, per garantire il rispetto degli obblighi di cui agli articoli da 32 a 36 del GDPR, tenendo conto della natura del trattamento e delle informazioni a disposizione del responsabile del trattamento, come (esemplificativamente):
- tutte le informazioni necessarie per dimostrare la conformità del trattamento, anche relativamente alla sicurezza, al GDPR e il rispetto degli obblighi stabiliti dal relativo articolo 28 e dal presente Accordo;
- tutte le informazioni necessarie a fornire adeguato riscontro degli interessati o ad adempiere ad obblighi stabiliti dalla normativa vigente nei confronti dell’Autorità di controllo (Garante per la protezione dei dati personali);
i) mantenere la riservatezza dei dati ovvero non renderli pubblici, diffonderli o divulgarli, anche dopo la cessazione del rapporto contrattuale/convenzionale di riferimento, come, parimenti, mantenere la riservatezza sulle misure intraprese per proteggerli;
j) designare le persone autorizzate al trattamento e garantire che tali persone siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza;
k) individuare, ove necessario, i soggetti da nominare quali Amministratori di sistema e, in tal caso, garantire e rispettare quanto stabilito nel provvedimento del Garante per la protezione dei dati personali del 27 novembre 2008 (pubblicato in G.U. n. 300 del 24 dicembre 2008) modificato in base al provvedimento del 25 giugno 2009 (pubblicato in G.U. n. 149 del 30 giugno 2009);
l) far osservare alle persone autorizzate le istruzioni sul corretto trattamento o, se del caso, chiederne ulteriori al Titolare nonché vigilare sulla correttezza delle operazioni di trattamento;
m) gestire, nel caso in cui sia previsto dall’atto di affidamento del servizio e/o da eventuali susseguenti connessi accordi, le credenziali informatiche del personale autorizzato dal titolare, i cui nominativi, con descrizione dei connessi profili di autorizzazione (ambito di trattamento consentito e relative operazione da abilitare), verranno comunicati al responsabile del trattamento da Responsabili/Direttori di Unità Operative che compongono la struttura organizzativa dello stesso Titolare;
n) fornire agli interessati l’informativa sul trattamento dei dati personali (contenente gli estremi identificativi del responsabile del trattamento e quelli del Titolare), salvo che al riguardo non debba provvedervi direttamente il Titolare;
o) acquisire dagli interessati la debita autorizzazione (consenso) al trattamento (salvo che al riguardo non debba provvedervi direttamente il Titolare), impegnandosi altresì, a non acquisire ulteriori consensi non necessari al trattamento e che possono avere effetti pregiudizievoli all’eventuale fruizione di servizi che il Titolare, tramite il responsabile del trattamento, deve fornire agli stessi interessati;
p) tenere e aggiornare il registro delle attività di trattamento, salvo quanto stabilito dall’art. 30, paragrafo 5, del GDPR Ue 2016/679 e, in tal caso, dandone adeguata motivazione al Titolare;
q) comunicare prontamente al Titolare ogni notizia rilevante che possa incidere sul trattamento dei dati personali, quali, a titolo esemplificativo e non esaustivo, liquidazione, fallimento, fusione, accorpamento societario, ricorso ad altri subfornitori (di seguito, sub-responsabili del trattamento) e, senza ingiustificato ritardo, comunicare qualsivoglia violazione di dati personali e, in tal caso, le misure adottate per limitare e/o evitare effetti pregiudizievoli nei confronti degli interessati, fornendo ogni collaborazione al Titolare;
r) non comunicare i dati, oggetto del trattamento, a terzi (salvo che tale operazione non sia consentita da disposizione di legge o dal titolare del trattamento) né cedergli, in alcun modo, i dati;
s) designare, nel caso in cui sia ammesso il subappalto dagli atti negoziali di riferimento, i subfornitori (anche se situati all’estero) quali altri responsabili del trattamento (sub-responsabili del trattamento) e far assumere agli stessi, mediante sottoscrizione di appositi atti giuridici o contratti, i medesimi obblighi in materia di protezione dei dati personali cui si è impegnato, con imposti, tramite il presente Accordo, quale al responsabile (iniziale) del trattamento; (Fornitore);
t) informare il Titolare di aver fatto ricorso a sub-responsabili del trattamento, anche se situati all’estero, conformemente a quanto previsto dall’art. 28, paragrafo 2, secondo periodo, del GDPR.
Art. 4
Eventuale trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali
1. Il trasferimento di dati extra UE è ammesso se la Commissione Europea ha stabilito che il paese terzo, un territorio o uno o più settori specifici all’interno del paese terzo o verso organizzazione internazionale (ONU, Unesco, ecc.) garantiscono un livello di protezione adeguato.
2. Il trasferimento di dati extra UE è, altresì, ammesso se il responsabile del trattamento è in grado di fornire garanzie adeguate, ovvero sia in grado di comprovare la validità di uno degli strumenti previsti dall’art. 46 del GDPR (es. clausole standard approvate dalla Commissione Europea - cd. standard contract clauses; le norme vincolanti di impresa o Binding Corporate Rules; i codici di condotta; i meccanismi di certificazione) e garantire che gli Interessati dispongano di diritti azionabili e mezzi di ricorso effettivi ai sensi del GDPR e, per ottenere tale risultato, implementare, se del caso, misure aggiuntive tecniche (crittografia, separazione del trattamento, pseudonimizzazione) e organizzative (politica interna, trasparenza, procedure) che dovranno essere documentate e giustificate. Nel caso in cui l’adozione di tali misure non si riveli sufficiente a ridurre i rischi derivanti dal trasferimento il medesimo non dovrà essere effettuato o, se già attuato, dovrà sospendersi.
Art. 5
Diritti del Titolare
1. Il Titolare ha diritto:
a. al puntuale ed esatto adempimento di tutti gli obblighi, stabiliti dal GDPR, gravanti sul RdT e dal presente Accordo;
b. al puntuale ed esatto adempimento delle legittime istruzioni contenute nel presente Accordo e nelle istruzioni successivamente impartite;
c. di reclamare la parte del risarcimento corrispondente alla parte di responsabilità imputabile al RdT e agli eventuali sub-responsabili del trattamento cui, nei casi consentiti, abbia fatto ricorso per effettuare operazioni di trattamento, anche all’estero;
d. all’immediata restituzione dei dati personali oppure, a sua alla conclusione dell’attività di cui al vigente rapporto contrattuale oppure, a richiesta, alla loro integrale cancellazione e, in entrambi i casi, al rilascio contestuale di attestazione scritta che presso lo stesso RdT non ne esiste alcuna copia. In caso di richiesta scritta del Titolare, il RdT è tenuto ad indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione. Con riferimento all’obbligo di restituzione dei dati, il RdT si obbliga ad utilizzare formati standard ed interfacce che facilitino l’interoperabilità e la portabilità dei dati.
Art. 6
Istanze degli interessati
1. Qualora il responsabile del trattamento riceva richieste provenienti dagli Interessati, finalizzate all’esercizio dei loro diritti, esso dovrà:
- darne tempestiva comunicazione scritta al Titolare a mezzo posta elettronica certificata, allegando copia delle richieste ricevute;
- coordinarsi, ove necessario e per quanto di propria competenza, con le funzioni aziendali designate dal Titolare per gestire le relazioni con gli Interessati;
- assistere e supportare il Titolare del trattamento con misure tecniche e organizzative adeguate, al fine di soddisfare l'obbligo dell’Azienda di dare seguito alle richieste per l'esercizio dei diritti degli Interessati (negli ambiti e nel contesto del ruolo ricoperto e in cui opera il Fornitore).
Art. 7
Manleva e responsabilità per violazione di dati personali
1. Il Responsabile del trattamento, in caso di violazione delle disposizioni contenute nel presente atto relativamente alle finalità e modalità di trattamento dei dati, di azione contraria alle istruzioni ivi contenute o in caso di mancato adempimento agli obblighi specificatamente diretti al Responsabile del trattamento dei dati dal GDPR, si impegna a mantenere indenne il Titolare da ogni danno, costo od onere di qualsiasi genere e natura, nonché da ogni contestazione, azione o pretesa avanzate nei confronti del Titolare da parte degli interessati e/o di qualsiasi altro soggetto e/o Autorità. Ciò vale anche nei casi di eventuale illiceità o illegittimità delle operazioni di trattamento di dati personali che siano imputabili a fatto, comportamento o omissione da parte di suoi dipendenti e/o collaboratori o di eventuali suoi sub-responsabili.
2. Il Titolare dà atto che il Responsabile del trattamento è esonerato dalla responsabilità se dimostra che l'evento dannoso non gli è in alcun modo imputabile, come descritto all’art. 82.3 GDPR.
3. Fatti salvi gli articoli 82, 83 e 84 del GDPR, se il responsabile del trattamento viola il RGPD o il presente Accordo, determinando le finalità e i mezzi del trattamento, è considerato autonomo titolare del trattamento.
Art. 8 Durata
1. La designazione e le relative autorizzazioni al trattamento dei dati, per conto del Titolare, hanno efficacia limitata al solo ed esclusivo periodo intercorrente tra la data di stipulazione del presente Accordo e la conclusione dell’attività di cui al vigente rapporto contrattuale, salvi gli specifici obblighi che per loro natura sono destinati a permanere in base ad una specifica disposizione nazionale o dell’Unione europea.
2. Qualora l’attività/servizio dedotto nel rapporto contrattuale non venga più fornita o cessi, per qualsiasi motivo, il presente Accordo si intenderà automaticamente risolto di diritto, senza bisogno di comunicazioni, disdette o revoche, e l’autorizzazione al trattamento dei dati si intende cessata.
Art. 9 Rinunce
1. Resta inteso che il presente Accordo non comporta alcun diritto per il responsabile del trattamento a uno specifico compenso o indennità o rimborso per l’attività svolta né ad un incremento del compenso spettante allo stesso in virtù delle relazioni contrattuali con il Titolare o con sub-responsabili del trattamento.
Art. 10 Rinvio
1. Per tutto quanto non previsto dalla presente Accordo si rinvia alle disposizioni generali vigenti ed applicabili in materia di protezione dei dati personali.
2. Sono valevoli le definizioni ed i princìpi del trattamento di cui, rispettivamente, agli artt. 4 e 5 del GDPR.
3. Il Titolare si riserva in ogni caso la facoltà di rivedere le condizioni del presente Accordo laddove la normativa subisse una significativa riforma, dandone tempestiva comunicazione al responsabile del trattamento.
Roma,
Il responsabile del trattamento Il titolare del trattamento Azienda Sanitaria Locale Roma 1
Il Legale Rappresentante
Il Commissario Straordinario Dr. Xxxxxxxx Xxxxxxxxxxx