ALLEGATO 4
ALLEGATO 4
ADDENDUM IN MATERIA DI TRATTAMENTO DEI DATI PERSONALI DA PARTE DEL RESPONSABILE DEL TRATTAMENTO
accordo per la nomina del responsabile ai sensi dell’art. 28 del Regolamento (UE) 2016/679
_, con sede legale _, in persona del suo legale rappresentante pro tempore,
(di seguito, per brevità, “Titolare” o “Casa di Cura”)
e
l’Istituto Zooprofilattico Sperimentale dell’Abruzzo e del Molise “X. Xxxxxxxx”, con sede legale in Xxxxx Xxxxxx, 00000 XXXXXX, nella persona del proprio legale rappresentate pro tempore
(di seguito, per brevità, “Fornitore” o “Responsabile” e congiuntamente le “Parti”)
PREMESSO CHE
a) il Titolare ed il Responsabile hanno sottoscritto una convenzione per l’esecuzione da parte del Fornitore di analisi sui tamponi COVID-19 (di seguito, per brevità, il “Contratto”) e che per l’esecuzione del presente Contratto, il Responsabile effettua necessariamente il trattamento di alcuni dati personali di titolarità della Casa di Cura;
b) in forza del Regolamento (UE) 2016/679, recante il cd. “Regolamento generale in materia di dati personali” (il “Regolamento”), il Titolare è tenuto a nominare il Fornitore quale Responsabile del trattamento;
c) il Responsabile assicura di adottare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate volte a far in modo che il suddetto trattamento di dati sia effettuato anche nel rispetto dei principi e degli obblighi previsti dal Regolamento e che sia garantita la tutela dei diritti degli interessati;
d) le Parti concordano che il presente accordo è da considerarsi gratuito e che, pertanto, nessuna somma sarà dovuta dal Titolare al Responsabile in relazione allo stesso.
TUTTO CIO’ PREMESSO
Il Titolare, ai sensi dell’art. 28 del Regolamento, nomina l’Istituto Zooprofilattico Sperimentale dell’Abruzzo e del Molise “X. Xxxxxxxx” come indicata in epigrafe, Responsabile del trattamento dei dati, alle condizioni previste dal presente addendum (“Addendum” o, anche, “Accordo”).
1. Premesse
1.1. Le premesse formano parte integrale e sostanziale del presente Accordo.
2. Oggetto
2.1. Con la sottoscrizione del presente Accordo, le Parti intendono regolare, conformemente all’art. 28 del Regolamento, le condizioni cui il Responsabile dovrà attenersi per l’esecuzione delle operazioni di trattamento dei dati personali affidate dal Titolare.
3. Natura e finalità del trattamento
3.1. Il trattamento eseguito dal Responsabile consisterà nel servizio di esecuzione di analisi sui tamponi COVID-19.
3.2. Il trattamento di cui al comma 1 del presente articolo dovrà essere svolto dal Responsabile in modo
xxxxxx, secondo correttezza, in ottemperanza ai principi di cui all’art. 5 del Regolamento, nel rispetto del segreto professionale ed aziendale e conformemente alle istruzioni previste dal presente Accordo e di quelle che il Titolare potrà impartire, di volta in volta, al Responsabile.
4. Tipologie di dati personali trattati e categorie di interessati
4.1. Le operazioni di trattamento che il Responsabile è autorizzato ad effettuare hanno ad oggetto dati personali c.d. “comuni” (a titolo esemplificativo, ma non esaustivo, dati anagrafici, dati di contatto, ecc.) e dati c.d. “particolari” - questi ultimi indicati all’art. 9 del Regolamento, tra cui, a titolo esemplificativo e non esaustivo, informazioni relative allo stato di salute (di seguito, per brevità, “Dati”), che sono riferibili alle seguenti categorie di interessati: pazienti.
5. Obblighi del Responsabile
5.1. Il Responsabile è tenuto a:
5.1.1. trattare i Xxxx al solo fine di dare esecuzione alle obbligazioni previste a suo carico dal Contratto stipulato con il Titolare;
5.1.2. trattare i Dati nel rispetto delle istruzioni impartitegli dal Titolare con il presente Accordo e/o in momenti successivi e, in ogni caso, operare in conformità a quanto prescritto dal Regolamento. Tali istruzioni sono suscettibili di aggiornamenti, modifiche e/o integrazioni nel rispetto della legge e dei principi stabiliti dal Garante per la protezione dei dati personali (“Garante”);
5.1.3. adottare misure tecniche e organizzative adeguate a soddisfare i requisiti del Regolamento e a tutelare i diritti degli interessati nonché a garantire che siano trattati, per impostazione predefinita, solo i Dati necessari per ogni specifica finalità del trattamento;
5.1.4. adottare, in conformità all’art. 32 del Regolamento nonché di qualsiasi ulteriore normativa applicabile, misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio che il trattamento dei Dati può comportare per gli interessati (quali, a titolo esemplificativo e non esaustivo, la pseudonimizzazione e/o la cifratura dei Dati), tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento;
5.1.5. assicurare che le operazioni di trattamento siano effettuate nel rispetto delle misure tecniche e organizzative, oltre che delle istruzioni fornite dal Titolare;
5.1.6. verificare e documentare costantemente e, in ogni caso, con cadenza almeno annuale, lo stato di implementazione e/o l’aggiornamento delle predette misure tecniche e organizzative, al fine di evitare qualsiasi violazione di Dati (e.g. distruzione, perdita, alterazione, diffusione o accesso non autorizzato, ecc.) o altra forma illecita di trattamento, nonché al fine di assicurare il rispetto della riservatezza, dell’integrità e della disponibilità dei Dati ed il loro utilizzo esclusivamente per le finalità previste dal precedente art. 3;
5.1.7. informare prontamente e per iscritto il Titolare nel caso in cui dovesse ritenere che le misure tecniche e organizzative adottate non siano più adeguate e/o idonee a garantire un livello di sicurezza dei Dati adeguato al rischio. In tale circostanza, il Responsabile è tenuto a porre in essere tutti gli interventi temporanei, ritenuti essenziali e improcrastinabili, in attesa delle soluzioni definitive da concordare con il Titolare;
5.1.8. provvedere all’individuazione, se del caso, quali Amministratori di sistema (“AdS”) e secondo il provvedimento del Garante del 27 novembre 2008 “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema”, dei soggetti dotati delle necessarie caratteristiche di esperienza, capacità e affidabilità idonee a garantire il pieno rispetto delle disposizioni vigenti in materia di trattamento, ivi incluse quelle attinenti al profilo della sicurezza: (i) nominando detti soggetti conformemente alle disposizioni del citato
provvedimento; (ii) adottando le modalità ritenute più adeguate al fine di eseguire degli audit periodici (con cadenza almeno annuale) sull’operato dei soggetti nominati quali AdS, al fine di accertare il rispetto delle misure tecniche, organizzative e di sicurezza previste per il trattamento dei dati personali, nonché al fine di registrare gli accessi logici (autenticazione informatica) ai sistemi di elaborazione e agli archivi elettronici da parte degli AdS, conformemente al citato provvedimento; (iii) conservando tale registrazione, comprensiva dei riferimenti temporali e della descrizione dell’evento che l’ha generata, per un congruo periodo di tempo, in ogni caso non inferiore a sei mesi;
5.1.9. non comunicare e/o diffondere i Dati trattati a terzi, ove non strettamente necessario per il perseguimento delle finalità del trattamento e/o previa autorizzazione del Titolare;
5.1.10. rispettare le condizioni e le modalità previste dal successivo art. 8 per la nomina di eventuali sub-responsabili;
5.1.11. comunicare al Titolare, al momento della ricezione - e in ogni caso non più tardi di 24 ore da tale momento - eventuali richieste di informazioni, esibizione di documenti o comunicazioni ricevute dal Garante o da altre Autorità (anche in sede di ispezione), provvedendo al relativo riscontro solo ed esclusivamente previa consultazione con il Titolare;
5.1.12. coadiuvare il Titolare, su espressa richiesta di questi, nella difesa nei procedimenti dinanzi al Garante e/o all’Autorità Giudiziaria, consentendogli anche la tempestiva esibizione degli elementi documentali e probatori rientranti nelle sue competenze;
5.1.13. avvisare tempestivamente il Titolare, e comunque non più tardi di 24 ore dalla ricezione, di ogni eventuale richiesta ricevuta direttamente dal Responsabile da parte degli interessati (a titolo esemplificativo per l’esercizio dei diritti da parte degli interessati a norma degli artt. 15 e ss. del Regolamento), nonché coadiuvare il Titolare nel fornire riscontro a tali richieste. In tali circostanze, il Responsabile non potrà, in nessun caso, fornire riscontro agli interessati e dovrà limitarsi a trasmettere al Titolare le necessarie informazioni e la collaborazione richiesta;
5.1.14. assistere il Titolare nel garantire il rispetto degli obblighi allo stesso imposti dagli artt. da 32 a 36 del Regolamento e, in particolare:
5.1.14.1. notificare al Titolare qualsiasi tipo di violazione dei Dati personali di cui sia venuto a conoscenza, entro e non oltre 24 ore dal momento della scoperta della violazione stessa, inviando al Titolare una comunicazione via PEC che indichi:
(i) la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione; (ii) il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni; (iii) le probabili conseguenze della violazione dei dati personali; (iv) le misure adottate o di cui si propone l'adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi. Laddove non sia possibile fornire tutte le predette informazioni contestualmente, il Responsabile è tenuto a provvedervi successivamente ma, in ogni caso, non oltre 48 ore dalla scoperta della violazione;
5.1.14.2. coadiuvare il Titolare nella predisposizione di una eventuale valutazione d’impatto sulla protezione dei dati e nell’eventuale consultazione preventiva del Garante, ove necessaria, ai sensi dell’art. 36 del Regolamento;
5.1.15. assicurare che, alla scadenza del Contratto o, diversamente, al momento dell’eventuale revoca della nomina a Responsabile, i Dati trattati dal Responsabile (o dai Sub-responsabili come definiti al successivo art. 8) siano restituiti al Titolare o al terzo autorizzato dallo stesso
Titolare, ovvero, su richiesta di quest’ultimi, siano distrutti, provvedendo in ogni caso a dichiarare per iscritto al Titolare o al terzo autorizzato che i Xxxx sono stati restituiti o distrutti e che presso il Responsabile non ne esiste alcuna copia, salvo che il diritto dell’Unione o degli Stati membri preveda la conservazione dei dati;
5.1.16. mettere a disposizione del Titolare tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui al presente Accordo e consentire e contribuire alle attività di revisione, comprese le ispezioni, realizzate dal Titolare o da un altro soggetto da questi debitamente incaricato, come indicato al successivo art. 9;
5.1.17. informare immediatamente il Titolare qualora, a suo parere, un’istruzione ricevuta violi il Regolamento, altre disposizioni nazionali relative alla protezione dei dati personali e/o, ancora, obbligazioni e/o istruzioni previste dai provvedimenti generali e/o speciali del Garante;
5.1.18. assicurare che i Dati siano conservati per il solo periodo di tempo necessario all’esecuzione e/o adempimento di quanto previsto dal Contratto con il Titolare e, in ogni caso, non oltre i termini di legge e/o quelli di volta in volta comunicati dal Titolare medesimo;
5.1.19. informare prontamente il Titolare qualora la normativa vigente nello Stato di appartenenza del Responsabile preveda l’obbligo di trasferire i Dati al di fuori dell’Unione Europea, salvo che la notifica di detta comunicazione al Titolare sia vietata dalla normativa applicabile al Responsabile per rilevanti motivi di interesse pubblico;
5.1.20. effettuare, ai fini della corretta applicazione del Regolamento e delle istruzioni fornite dal Titolare, controlli periodici sugli adempimenti e sulle attività svolte dai soggetti autorizzati al trattamento e dai propri sub-responsabili;
5.1.21. comunicare senza indugio al Titolare e, in ogni caso, prima dell’inizio del trattamento, la propria adesione ad un Codice di Condotta approvato ai sensi dell’art. 40 del Regolamento ovvero ad un meccanismo di certificazione di cui all’art. 42 del Regolamento;
5.1.22. nominare per iscritto un proprio rappresentante, ove la propria sede si trovi al di fuori dell’Unione europea.
6. Trattamento sotto l’autorità del Responsabile
6.1. Il Responsabile si impegna, prima dell’inizio delle operazioni di trattamento, a identificare i propri dipendenti e/o eventuali altre persone fisiche (e.g. collaboratori, consulenti, ecc.) che, ai sensi degli artt. 4, par. 1, n. 10, 29 e 32, par. 4, del Regolamento e 2-quaterdecies del D.lgs. 196/2003 come modificato dal D.lgs. 101/2018, siano autorizzati a trattare i Dati (e.g. in qualità di persone autorizzate al trattamento, Amministratori di Sistema ove applicabile, etc.), impartendo loro le medesime direttive vincolanti fornite dal Titolare circa le finalità, le modalità del trattamento, la natura dei Dati trattati e le misure tecniche e organizzative, in ottemperanza a quanto disposto dal Regolamento, dal Codice della Privacy e dal presente Accordo.
6.2. A tal riguardo, il Responsabile garantisce sin d’ora che le persone autorizzate al trattamento dei Dati opereranno nel rispetto del segreto professionale e a tutela della riservatezza dei Dati, anche per il periodo successivo all’estinzione del rapporto di lavoro intrattenuto con il Responsabile, in relazione alle operazioni di trattamento dagli stessi effettuate.
6.3. Il Responsabile, inoltre, si impegna ad esercitare una adeguata attività di supervisione e controllo diretto su tali soggetti relativamente alla corretta osservanza delle istruzioni impartite dal Titolare e dal Responsabile stesso circa il compiuto e corretto trattamento dei Dati e alla puntuale osservanza delle misure tecniche e organizzative adottate a tutela dei Dati stessi. Il Responsabile a tal fine si impegna a garantire un idoneo livello di conoscenza e consapevolezza in materia di privacy e misure tecniche e organizzative, anche effettuando programmi di addestramento e formazione, impegnandosi altresì a darne evidenza, ove richiesto, al Titolare.
7. Sub-responsabili
7.1. Nel caso in cui il Responsabile intenda avvalersi di soggetti esterni (di seguito, per brevità, “Sub- responsabili”), ivi incluse altre società facenti parte del medesimo gruppo societario del Responsabile, ai fini dell’espletamento di attività di trattamento di cui al Contratto, lo stesso si impegna a informarne il Titolare e a ottenerne la preventiva autorizzazione. Il Responsabile è tenuto ad informare preventivamente il Titolare di eventuali sostituzioni dei Sub-responsabili già individuati e autorizzati dal Titolare, inviando allo stesso una comunicazione scritta al fine di consentire al Titolare di opporsi alle stesse entro 10 giorni.
7.2. Il Responsabile impone ai Sub-responsabili, mediante contratto scritto stipulato per conto del Titolare, gli stessi obblighi in materia di protezione dei Dati contenuti nel presente Accordo, prevendendo in particolare garanzie sufficienti per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del Regolamento. Qualora i Sub-responsabili omettano di adempiere ai propri obblighi in materia di protezione dei Dati, il Responsabile conserva, nei confronti del Titolare, l’intera responsabilità per il mancato adempimento di tali obblighi da parte dei Sub- responsabili.
7.3. E’ obbligo del Responsabile, in particolare, comunicare al Titolare, per iscritto: (i) le specifiche operazioni di trattamento affidate ai Sub-responsabili; (ii) il nome e le informazioni di contatto dei Sub- responsabili (e.g. numero di telefono, indirizzo e-mail, ecc.); (iii) la data di inizio e di fine dell’incarico affidato ai propri Sub-responsabili.
7.4. Il Responsabile, inoltre, prima di procedere alla scelta dei Sub-responsabili, verifica la concreta adozione, da parte di questi ultimi, di misure tecniche ed organizzative idonee a garantire, anche dal punto di vista della sicurezza, la conformità dei trattamenti da effettuare alle disposizioni del Regolamento.
7.5. In caso di cessazione dell’incarico conferito ad uno o più Sub-responsabili, il Responsabile, su istruzione del Titolare, si impegna ad ottenere da questi ultimi la restituzione dei Dati trattati ovvero, su indicazione del Titolare, la cancellazione degli stessi, nonché idonea certificazione del fatto che le predette operazioni siano state poste in essere dai Sub-responsabili.
7.6. Qualora i Sub-Responsabili abbiano sede in Paesi al di fuori dell’UE, il Responsabile si impegnerà ad adottare tutte le misure previste dal Regolamento e dalla normativa applicabile al fine di garantire che il trattamento dei dati personali per conto della Casa di Cura avvenga con un livello di protezione degli stessi dati adeguato agli standard di tutela previsti dalle disposizioni nazionali ed europee applicabili, in particolare le clausole Contrattuali Standard approvate dalla Commissione Europea.
8. Controlli e ispezioni
8.1. Il Titolare verificherà l’efficacia delle misure tecniche e organizzative adottate dal Responsabile - e, se necessario, dai Sub-responsabili - a tutela dei Dati personali anche attraverso ispezioni presso le sedi di questi ultimi e/o presso i luoghi dove sono effettuati i trattamenti dei Dati, dandone idoneo preavviso ai soggetti interessati. A tal fine, il Responsabile si impegna sin d’ora a consentire l’accesso al personale autorizzato dal Titolare.
8.2. Il Responsabile, inoltre, consente la periodica verifica dell’adempimento del presente Accordo al Titolare, anche attraverso l’invio di adeguata reportistica.
9. Durata dell’Accordo e cancellazione dei Dati
9.1. Il presente Accordo decorre dalla data della sua ultima sottoscrizione e rimarrà valido ed efficace tra le parti sino alla scadenza del Contratto o, diversamente, sino al momento dell’eventuale revoca della nomina del Responsabile, ove precedente.
9.2. La cessazione dell’Accordo o la revoca anticipata della nomina obbligano il Responsabile a cessare immediatamente il trattamento dei Dati ed a restituirli immediatamente al Titolare.
9.3. Il Responsabile, in ogni caso, è tenuto a cancellare ogni copia dei Dati esistente nei propri sistemi
e/o archivi informatici e/o cartacei e dare evidenza al Titolare, per iscritto, del compimento delle predette operazioni.
10. Data Protection Officer (DPO)
10.1. Il Responsabile garantisce che comunicherà tempestivamente al Titolare i dati di contatto del Responsabile per la protezione dei dati, ai sensi dell’art. 37 del Regolamento. Resta inteso che, in caso di mancata nomina del DPO il Responsabile dovrà fornire al Titolare documentazione comprovante l’insussistenza in capo allo stesso dei requisiti richiesti dal Regolamento per l’obbligatorietà della nomina.
11. Legge applicabile e foro competente
11.1. Il presente Accordo è regolato dalle disposizioni del Regolamento, oltre che dalle normative nazionali in materia di protezione dei dati personali dettate dagli Stati di appartenenza del Titolare e del Responsabile, ove non contrastanti con quanto previsto dal predetto Regolamento.
11.2. Le controversie sorte tra Titolare e Responsabile inerenti al presente Accordo sono affidate alla competenza del Foro di Pescara.
12. Penali e Disposizioni finali
12.1. Le istruzioni conferite dal Titolare al Responsabile e contenute nel presente Accordo sono state impartite ai sensi ed in conformità del Regolamento. In caso di eventuale violazione da parte del Responsabile delle disposizioni previste dal presente Accordo, nonché in caso di irrogazione nei confronti del Responsabile di una sanzione di cui al Regolamento relativa al trattamento dei Dati oggetto del Contratto, il Responsabile corrisponderà al Titolare una somma a titolo di penale, di importo pari al 2% dell’intero corrispettivo pattuito per i servizi oggetto del Contratto, salvo in ogni caso il diritto al risarcimento del danno ulteriore ai sensi dell’art. 1382 x.x. xx xxxxx xxx Xxxxxxxx.
00.0. Alla cessazione, per qualsiasi causa, del presente Accordo, continueranno ad avere efficacia quelle clausole che, per loro stessa natura, sopravvivono alla estinzione del rapporto giuridico tra Titolare e Responsabile e quest’ultimo, per quanto di propria competenza, è tenuto – in forza di legge – per sé, per i propri dipendenti e per chiunque collabori con la sua attività, al rispetto della riservatezza dei Dati.
*** *** ***
Il Titolare del trattamento
_
_
Il Responsabile del trattamento
Istituto Zooprofilattico Sperimentale dell’Abruzzo e del Molise “X. Xxxxxxxx”
_