ATTO DI DESIGNAZIONE A RESPONSABILE DEL TRATTAMENTO
ATTO DI DESIGNAZIONE A RESPONSABILE DEL TRATTAMENTO
Tra
con sede in ,
via , ,X.XXX in persona del proprio legale rappresentante, (di seguito, il “Cliente”),
e
CGM Pharmaone S.r.l. con sede in Xxxxxx, Xxxxx Xxxxxxxx 000 C/D, P.IVA 01494710039, in persona del suo Consigliere Delegato Xxxxxxxxxx Xxxxxx (di seguito, il “Fornitore”) (di seguito, collettivamente, definite le “Parti”)
PREMESSO CHE
a) tra il Fornitore ed il Cliente è in essere un contratto (di seguito, “Contratto”) avente ad oggetto l’erogazione, da parte del Fornitore stesso, dei servizi di assistenza al sistema informativo gestionale, formazione all'uso, eventuali forniture di materiali hardware, nonché eventuali servizi integrativi del suddetto sistema informativo gestionale resi da terze parti (di seguito: “Servizi”);
b) lo svolgimento dei suddetti Servizi da parte del Fornitore comporta il trattamento, da parte di quest’ultimo, per conto del Cliente, dei dati personali di interessati di cui il Cliente stesso è Titolare (di seguito: “Dati Personali”), meglio indicati in Allegato 1;
c) il Fornitore dichiara di possedere esperienza, competenze tecniche e risorse che gli consentono di mettere in atto misure tecniche e organizzative adeguate atte a garantire la conformità alla normativa in materia di tutela dei dati personali e la tutela degli interessati;
d) con il presente atto di designazione, le Parti intendono regolare i trattamenti dei Dati Personali da parte del Fornitore ai sensi dell’art. 28.3 del Regolamento (UE) 2016/679 del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali - Regolamento Generale sulla Protezione dei Dati Personali, entrato in vigore il 24 maggio 2016 e applicabile dal 25 maggio 2018
(di seguito, “GDPR” o “Regolamento”);
e) il Cliente ed il Fornitore sono qualificati anche, nel prosieguo, rispettivamente, quali Titolare e Responsabile;
CLOUD
CGM Pharmaone S.r.l. a socio unico soggetta a direzione e coordinamento della società "CompuGroup Medical Italia Holding S.r.l." Xxxxx Xxxxxxxx, 000 C/D · 28100 Novara NO · Tel x00 0000 000000 · Fax x00 0000 000000
Codice Fiscale, Partita IVA e Iscrizione Registro delle Imprese di Novara 01494710039
N. Iscrizione Registro AEE IT12060000007620
N. Registro Pile e Accumulatori IT12060P00002873
N. REA NO-0177593 · Capitale sociale € 213.290 i.v.
Tutto ciò premesso (e costituendo le premesse parte integrante e sostanziale del presente atto di designazione), fra le Parti si conviene e si stipula quanto segue
OGGETTO
1.1 Con il presente atto, il Fornitore è nominato dal Cliente Responsabile del trattamento dei Dati Personali connesso all’erogazione dei Servizi.
1.2 Resta inteso che il Cliente, quale Titolare del trattamento, è l’unico responsabile della correttezza e della legittimità dei Dati Personali acquisiti e raccolti ed è tenuto ad adempiere a tutti gli obblighi di cui al GDPR gravanti sul Titolare.
OBBLIGHI DEL RESPONSABILE
Il Fornitore è tenuto a trattare i Dati Personali solo ed esclusivamente ai fini dell’esecuzione dei Servizi, nel rispetto di quanto disposto dalla normativa applicabile in materia di protezione dei dati personali, nonché delle ragionevoli istruzioni del Titolare riportate nei successivi articoli e di ogni altra indicazione scritta che potrà essergli dallo stesso successivamente fornita.
MISURE DI SICUREZZA
3.1 Il Responsabile, previa effettuazione dell’analisi dei rischi (e tenendo conto, in particolare, dei rischi che derivano dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, ai Dati Personali trasmessi, conservati o comunque trattati), si impegna ad adottare e a mantenere misure tecniche ed organizzative adeguate per proteggere la sicurezza, la riservatezza e l’integrità dei Dati Personali, tenendo conto, fra l’altro, della tipologia di trattamento, delle finalità perseguite, del contesto e delle specifiche circostanze in cui avviene il trattamento, nonché della tecnologia applicabile e dei costi di attuazione.
3.2 Fermo restando quanto sopra, il Responsabile si obbliga ad adottare, in particolare, le misure di sicurezza fisiche, logiche e organizzative di cui all’Allegato 2.
3.3 Eventuali evoluzioni e/o modifiche delle misure di sicurezza dovute a mutate esigenze del Cliente e/o a modifiche ed aggiornamenti della normativa in materia di protezione dei dati personali saranno adottate ed implementate dal Fornitore e/o suoi eventuali subappaltatori a onere e spese del Cliente salvo diverse previsioni contenute nel contratto commerciale riferito all'erogazione dei servizi oggetto del presente atto di designazione, e su espressa richiesta ed indicazione da parte di quest’ultimo e anche sulla base della valutazione di impatto che sarà suo onere condurre in qualità di Titolare del trattamento, se del caso con la collaborazione del Fornitore.
3.4 Il Responsabile si impegna, altresì, ad assistere il Cliente in relazione all’obbligo del Titolare di mettere in atto misure tecniche ed organizzative adeguate ai sensi dall’art. 32 del GDPR, tenuto conto della natura del trattamento e delle informazioni a disposizione del Fornitore. Il fornitore si riserva di quantificare e comunicare preliminarmente al Cliente l’eventuale impegno economico necessario per l’implementazione di servizi non inclusi nel Contratto.
VIOLAZIONI DI DATI PERSONALI (CD. “DATA BREACH”)
Il Responsabile si impegna ad informare, senza ingiustificato ritardo e comunque entro 48 ore dal momento in cui ne è venuto a conoscenza, il Titolare (inviando una comunicazione a mezzo PEC) di ogni violazione della sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai Dati Personali trasmessi, conservati o comunque trattati, ed a prestare ogni necessaria collaborazione al Titolare in relazione all’adempimento degli obblighi sullo stesso gravanti di notifica delle suddette violazioni all’Autorità ai sensi dell’art. 33 del GDPR o di comunicazione della stessa agli interessati ai sensi dell’art. 34 del GDPR.
VALUTAZIONE D’IMPATTO (CD. “DATA PROTECTON IMPACT ASSESSMENT”)
Il Responsabile s’impegna fin da ora a fornire al Titolare ogni elemento utile all’effettuazione, da parte di quest’ultimo, della valutazione di impatto sulla protezione dei dati, qualora il Titolare sia tenuto ad effettuarla ai sensi dell’art. 35 del Regolamento, nonché ogni collaborazione nell’effettuazione della eventuale consultazione preventiva al Garante ai sensi dell’art. 36 del Regolamento stesso.
SOGGETTI AUTORIZZATI AL TRATTAMENTO
6.1 Fatto salvo quanto previsto all’articolo 11 che segue, il Responsabile garantisce che l’accesso ai Dati Personali sarà limitato ai soli propri dipendenti e collaboratori il cui accesso ai Dati Personali sia necessario per l’esecuzione dei Servizi.
6.2 Il Responsabile si impegna a fornire ai propri dipendenti e collaboratori deputati a trattare i Dati Personali di cui è Titolare il Cliente le istruzioni necessarie per garantire un corretto, lecito e sicuro trattamento, vincolandoli alla riservatezza su tutte le informazioni acquisite nello svolgimento della loro attività.
ISTANZE DEGLI INTERESSATI
Il Responsabile si obbliga ad assistere il Titolare con misure tecniche ed organizzative adeguate, nella misura in cui ciò sia possibile, nell’adempimento dei propri obblighi di dar seguito ad eventuali istanze degli interessati di cui al capo III del GDPR.
ULTERIORI OBBLIGHI
Il Responsabile mette a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla normativa in materia di protezione dei dati personali e/o delle istruzioni del Titolare di cui al presente atto di designazione e consente al Titolare del trattamento l’esercizio del potere di controllo e ispezione,
prestando ogni collaborazione alle attività di audit effettuate dal Titolare stesso o da un altro soggetto da questi incaricato o autorizzato, con lo scopo di controllare l’adempimento degli obblighi e delle istruzioni di cui al presente atto. Resta inteso che qualsiasi verifica condotta ai sensi del presente comma dovrà essere eseguita in maniera tale da non interferire con il normale corso delle attività del Responsabile e fornendo a quest’ultimo un ragionevole preavviso. Il Responsabile si riserva di quantificare e comunicare preliminarmente al Cliente l’eventuale impegno economico necessario per permettere a quest’ultimo le suddette attività di audit.
Il Responsabile si impegna altresì a:
a) realizzare quant’altro sia ragionevolmente utile e/o necessario al fine di garantire l’adempimento degli obblighi previsti dalla normativa applicabile in materia di protezione dei dati, nei limiti dei compiti affidati con il presente atto di nomina;
b) informare prontamente il Titolare di ogni questione rilevante ai fini di legge, in particolar modo, a titolo esemplificativo e non esaustivo, nei casi in cui abbia notizia, in qualsiasi modo, che risulti violata la normativa in materia di protezione dei dati personali, ovvero che il trattamento presenti rischi specifici per i diritti, le libertà fondamentali e/o la dignità dell’interessato, nonché qualora, a suo parere, un'istruzione violi la normativa, nazionale o comunitaria, relativa alla protezione dei dati.
9. ULTERIORI RESPONSABILI E LIMITAZIONI AL TRASFERIMENTO DEI DATI AL DI FUORI DELLO SPAZIO ECONOMICO EUROPEO (SEE)
9.1 Il Responsabile è autorizzato sin da ora a ricorrere ad altri responsabili (di seguito, “Sub-responsabili”) per l'esecuzione di specifiche attività di trattamento di Dati Personali per conto del Titolare, imponendo agli stessi, per iscritto, attraverso appositi accordi vincolanti, i medesimi obblighi in materia di protezione dei dati cui è soggetto il Responsabile in virtù del presente atto di designazione, in particolare in relazione agli obblighi in materia di sicurezza.
9.2 Il Responsabile si impegna espressamente ad informare di eventuali modifiche riguardanti l'aggiunta o la sostituzione degli ulteriori Sub-responsabili il Titolare, che avrà il diritto di opporsi a tali modifiche, comunicando la propria opposizione per iscritto, da inviare all’indirizzo xxx.xx@xxx.xxx, entro 10 giorni dalla messa a disposizione di tali informazioni da parte del Responsabile sul sito internet xxx.xxx.xxx. Il Responsabile non ricorrerà ai Sub-responsabili nei cui confronti il Titolare abbia manifestato la propria opposizione. Resta inteso che, in mancanza di opposizione, la modifica si intenderà accettata.
9.3 Resta espressamente inteso che il Responsabile rimarrà direttamente responsabile nei confronti della Società in ordine alle azioni e alle omissioni dei propri Sub-responsabili.
9.4 L'elenco dei Sub-responsabili sarà reso disponibile al Titolare, su richiesta scritta dello stesso da inviare all’indirizzo xxx.xx@xxx.xxx.
9.5 Il Cliente acconsente espressamente sin d’ora che alcune operazioni di trattamento di dati personali siano affidate dal Fornitore ad altre società del Gruppo CGM, il cui elenco è disponibile al link indicato al precedente punto 9.4.
9.6 Il Fornitore si astiene dal trasferire i dati personali trattati per conto del Cliente al di fuori dello Spazio Economico Europeo senza il previo consenso scritto di volta in volta del Cliente; in caso di consenso, il Fornitore dovrà assicurarsi che il trattamento avvenga verso Paesi terzi e Organizzazioni internazionali che garantiscano un livello di sicurezza e protezione adeguato adottando tutte le misure previste dagli artt. 44 e ss. del GDPR.
RESPONSABILITÀ
Il Fornitore sarà responsabile per i danni conseguenti a inadempimenti o inosservanze delle istruzioni di cui al presente atto o di quelle successive eventualmente trasmesse per iscritto dal Cliente, nei limiti della clausola sulla limitazione di responsabilità eventualmente contenuta nel Contratto.
Resta inteso che i) laddove il Responsabile abbia adempiuto integralmente ai compiti assegnatigli in forza del presente atto ed alle obbligazioni del GDPR specificatamente dirette ai Responsabili, e/o ii) l'evento dannoso non gli è in alcun modo imputabile iii) e/o qualora il Cliente ingiustificatamente rifiuti di mettere in atto misure atte a mitigare i rischi segnalatigli dal Responsabile ai sensi di quanto previsto dall’articolo 8, lett. b) che precede, il Responsabile non risponderà di alcun danno, diretto o indiretto, nei confronti del Cliente.
DURATA
La presente designazione decorre dalla data in cui viene sottoscritta dalle Parti ed è valida fino alla cessazione per qualunque motivo del Contratto e/o, comunque, dei Servizi ovvero fino alla revoca anticipata per qualsiasi motivo da parte del Titolare, fermo restando che, anche successivamente alla cessazione del Contratto o dei Servizi o alla revoca, il Responsabile dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.
RESTITUZIONE E CANCELLAZIONE DEI DATI PERSONALI
Il Responsabile, all’atto della scadenza del Contratto e/o dei Servizi o, comunque, in caso di cessazione – per qualunque causa – dell’efficacia del presente atto di designazione, salvo la sussistenza di un obbligo di legge o di regolamento nazionale e/o comunitario che preveda la conservazione dei Dati Personali, dovrà interrompere ogni operazione di trattamento degli stessi e dovrà provvedere, a scelta del Titolare, all’immediata restituzione allo stesso dei Dati Personali oppure alla loro integrale cancellazione, in entrambi i casi rilasciando contestualmente un’attestazione scritta che presso lo stesso Responsabile non ne esiste alcuna copia.
In caso di restituzione dei dati oggetto delle attività commissionate - salvo che la normativa europea e/o nazionale di riferimento preveda la conservazione degli stessi – il Responsabile garantirà, su richiesta scritta del Titolare, la migrazione dei suddetti dati con le modalità che verranno indicate dalla Titolare stesso, senza costi per il medesimo.
DISPOSIZIONI FINALI
Per tutto quanto non previsto dal presente atto di designazione si rinvia alle disposizioni generali vigenti ed applicabili in materia protezione dei dati personali.
Luogo e data
IL TITOLARE DEL TRATTAMENTO
(timbro e firma)
Per accettazione
IL RESPONSABILE DEL TRATTAMENTO
Xxxxxxxxxx Xxxxxx
ALLEGATO 1
AMBITO del TRATTAMENTO
Il presente allegato costituisce parte integrante della nomina a responsabile.
Categorie di interessati
• clienti e fornitori
• dipendenti
• clienti finali della Farmacia
Tipo di Dati Personali oggetto di trattamento
• dati comuni (dati anagrafici quali a titolo esemplificativo e non esaustivo: nome, cognome; dati di contatti quali indirizzo postale, indirizzo e-mail, numero di telefono).
• categorie particolari di dati personali (dati sanitari) dei clienti finali della Farmacia.
Natura e finalità del trattamento
• attività preliminari e/o ancillari all’erogazione dei Servizi (es. backup, importazione e download di dati etc.);
• erogazione dei Servizi, on site e/o da remoto;
• eventuali servizi di hosting;
• miglior gestione della clientela.
Durata del trattamento
• esecuzione del Contratto (cfr. artt. 11 e 12 dell’atto di designazione a responsabile del trattamento)
ALLEGATO 2
MISURE DI SICUREZZA
Per garantire la sicurezza dei dati, il Fornitore rivede regolarmente lo stato dell’arte delle tecnologie di sicurezza. Ciò include la determinazione di scenari di danno tipici, le esigenze di sicurezza e i livelli di sicurezza corrispondenti che ne derivano per diversi tipi di dati personali, raggruppati in categorie di possibili danni, nonché l’esecuzione di valutazioni del rischio.
Inoltre, vengono effettuati test di penetrazione dedicati per analizzare, esaminare e valutare regolarmente l’efficacia di queste misure tecniche e organizzative che devono garantire la sicurezza del trattamento.
I seguenti orientamenti disciplinano l’attuazione di misure tecniche e organizzative appropriate:
• Backup dei dati (servizi SaaS)
Per evitare perdite, i dati vengono regolarmente sottoposti a backup veicolati dalle procedure di sicurezza IT della capogruppo tedesca CompuGroup Medical SE & Co. KGaA.
• “Privacy by design”
Il Fornitore garantisce che i principi di protezione / privacy dei dati e di sicurezza dei dati siano presi in considerazione durante i processi di progettazione e sviluppo dei sistemi IT.
L’obiettivo è quello di prevenire un’attività di programmazione aggiuntiva, dispendiosa in termini di costi e di tempo, che sarebbe necessaria se i requisiti di privacy e sicurezza dei dati dovessero essere attuati dopo l’installazione dei sistemi IT. All’inizio del processo di sviluppo vengono prese in considerazione misure come la disattivazione di alcune funzionalità software, l’autenticazione o la crittografia.
• “Privacy by default”
I prodotti CGM sono dotati di impostazioni di fabbrica ottimizzate per la privacy dei dati, in modo che vengano trattati solo i dati personali necessari per il relativo scopo.
• Comunicazione via e-mail (Cliente / Fornitore)
Nel caso in cui si desideri contattare il Fornitore tramite e-mail, tenere presente che la privacy delle informazioni trasmesse non può essere garantita, poiché il contenuto delle e-mail può essere visualizzato anche da terzi. Si consiglia di contattare il Fornitore ogni volta che si desideri trasmettere informazioni riservate.
• Amministrazione da remoto
Dipendenti o subappaltatori del Fornitore potrebbero dover accedere ai dati dei pazienti o dei clienti e occasionalmente ai dati del Cliente. Tale accesso è disciplinato dalle regole generali del Fornitore:
o l’accesso all’amministrazione da remoto è chiuso per impostazione predefinita e viene autorizzato solo dal Cliente, il quale avrà la possibilità di monitorare gli interventi;
o le password per accedere ai sistemi IT del Cliente vengono rilasciate da quest’ultimo solo per le finalità di cui all’Allegato 1;
o gli interventi critici sono garantiti da una procedura “4-eyes” (principio del doppio controllo) con ulteriore presenza dell’interessato;
o l’accesso all’amministrazione da remoto viene registrato nel sistema CRM. Vengono registrati i seguenti dati: persona responsabile, data e ora, durata, sistema di destinazione, breve descrizione dell’attività svolta e, in caso di interventi critici, i nominativi del personale qualificato aggiuntivo consultato nell’applicazione della procedura “4-eyes“.
o la registrazione delle sessioni di amministrazione da remoto è vietata, salvo i casi in cui sia necessaria per la risoluzione dei problemi segnalati dal cliente.
• Misure di sicurezza IT
Firewall o sicurezza perimetrale
Le reti informatiche di del Fornitore sono protette da sistemi di sicurezza perimetrale (c.d. Firewall) e da altre apparecchiature all’uopo destinate mantenute aggiornate allo stato dell’arte
Protezione Anti-virus
Ogni postazione di lavoro del Fornitore è protetta da sistemi di sicurezza contro le minacce informatiche (antivirus) e ne è consentito l’utilizzo unicamente mediante appositi sistemi di autenticazione e profilazione.