AI SENSI DELL’ART. 26 DEL REGOLAMENTO UE/2016/679
AI SENSI DELL’ART. 26 DEL REGOLAMENTO UE/2016/679
TRA
l’Azienda Socio Sanitaria Territoriale della Valtellina e dell’Alto Lario, con sede in Xxxxxxx (XX) Xxx Xxxxxxx x. 00 C.F. / P.IVA n. 00988090148, nella persona del legale rappresentante Xxxx. Xxxxxxx Xxxxxxxx
E
la società Hippocrates S.r.l., codice fiscale/partita IVA 00905800140, con sede legale in Sondrio Xxx Xxxxxxx
x. 00, nella persona del legale rappresentante Xxxx. Xxxxx Xxxxxxxxxxx
PREMESSO CHE
⮚ il Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati)» (di seguito GDPR), pienamente efficace dal 25 maggio 2018, prevede che qualora due o più Titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento assumono il ruolo di “Contitolari” del trattamento (art. 26 GDPR);
⮚ che il predetto Regolamento prevede l’obbligo per i Contitolari di determinare: «in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all’osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all’esercizio dei diritti dell’interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli art. 13 e 14» (art. 26, paragrafo 1).
CONSIDERATO CHE
⮚ con nota agli atti della UOC Legale Giuridico e Affari Generali, la Struttura Sanitaria in parola ha richiesto la stipula di una apposita convenzione per l’erogazione di prestazioni di consulenza specialistica in Anestesia, Chirurgia Generale, Neurochirurgia, Dermatologia, Medicina Nucleare e Radioterapia Oncologica, Ematologia, Fisiatria, Ostetricia e Ginecologia, Neurologia, Oculistica, Oncologia, Otorinolaringoiatria, Ortopedia e Traumatologia, Pneumologia, Urologia, Chirurgia Toracica e Pediatria da parte dei dirigenti medici e sanitari di questa Azienda;
⮚ la Struttura Sanitaria è soggetto privato non accreditato, autorizzato all’esercizio di attività sanitaria con provvedimento n. 0049603 rilasciato da ASL 13 Sondrio in data 14/10//2010, Direttore Sanitario Xxxx. Xxxxxxx Xxxxxxx;
⮚ l’Azienda ha acquisito, agli atti della UOC Legale Giuridico e Affari Generali, i pareri pervenuti dai Direttori interessati, circa l’approvazione della convenzione sopra individuata per le prestazioni di consulenza specialistica;
⮚ l’art. 15-quinquies del D.Lgs. 502/1992 e s.m.i., comma 2 punto c) relativamente al rapporto di lavoro esclusivo prevede “…la possibilità di partecipazione ai proventi di attività, richiesta a pagamento da
singoli utenti e svolta individualmente o in équipe, al di fuori dell’impegno di servizio, in strutture di altra azienda del S.S.N. o di altra struttura sanitaria non accreditata, previa convenzione dell’azienda con le predette aziende e strutture”;
⮚ il CCNL Area Sanità triennio 2016-2018 rimanda ad apposito accordo, tra i soggetti istituzionali coinvolti, la disciplina dell’attività richiesta in convenzione prevedendone la durata, l’accesso ed i limiti orari, il compenso e la motivazione;
⮚ dalla stipulazione del CCNL Area Sanità triennio 2016-2018 l’Azienda tratterrà una somma pari al 5% calcolata sui proventi derivanti dalla libera professione ai sensi del Decreto Legge n. 158 del 13/09/2012 successivamente convertito in Legge n. 189 del 08/11/2012;
⮚ lo svolgimento di tale attività al fine di adempiere a quanto riportato nella Convenzione sopra citata comporta il trattamento congiunto di dati personali, come definiti all’art. 4, comma 1, punto 1) del Regolamento UE/2016/679, di seguito denominato “Regolamento”.
SI CONVIENE E SI STIPULA QUANTO SEGUE
1. Premesse
1.1. Le premesse formano parte integrante e sostanziale del presente accordo.
2. Dati personali oggetto del trattamento
2.1. La contitolarità è riferita al trattamento dei dati personali, come definito all’art. 4, comma 1 punto 2) del Regolamento ed ha ad oggetto il trattamento dei dati dei dirigenti medici e sanitari oggetto della Convenzione in esame, già presenti in tutti gli archivi dei Contitolari, sia cartacei che informatizzati, e di tutti quelli che si acquisiranno in futuro.
2.2. I Contitolari, tenuto conto dei rispettivi ruoli e rapporti con gli Interessati, si danno reciprocamente atto che trattano i seguenti dati degli Interessati:
Categorie di dati personali: | ☒ Dati personali comuni (dati di contatto, indirizzi, ecc.) | ☒ Dati economici e finanziari | ☐ Dati relativi allo stato di salute o dati genetici | ☐ Dati biometrici | ☐ Dati politici, religiosi o sindacali |
☐ Dati relativi alla vita sessuale | ☐ Dati giudiziari | ☐ Dati multimediali (immagini o video) | ☐ Dati di minori | ☐ Altro: Presidio di provenienza, specialità, orario di lavoro, numero di visite. | |
Categorie di interessati: | ☐ Fornitori/Consulenti | ☐ Dipendenti o familiari | ☐ Pazienti | ☐ Familiari dei pazienti | ☒ Altro: Dirigenti medici e sanitari dipendenti dell’Azienda in regime di libero professionista |
Finalità del trattamento: | Gestione della prestazione di consulenze specifiche | ||||
Modalità del trattamento dei dati: | I dati vengono trattati in formato cartaceo ed informatizzato. |
2.3. L’accordo di contitolarità non si applica ai trattamenti di dati acquisiti nello svolgimento di trattamenti in contitolarità, ma poi eseguiti da ogni Titolare per proprie finalità.
3. Finalità della contitolarità
3.1. In particolare, con il presente Accordo, i Contitolari convengono che i dati personali presenti negli archivi tanto cartacei quanto informatizzati, nonché quelli futuri, verranno trattati per le finalità di esecuzione degli obblighi contrattuali e precontrattuali assunti e di gestione dei rapporti convenzionali, per l’adempimento di obblighi previsti da leggi, regolamenti o dalla normativa comunitaria, nonché da disposizioni impartite da Autorità a ciò legittimate dalla legge o da Organi di Vigilanza e Controllo.
4. Obblighi e responsabilità dei Contitolari
4.1. I Contitolari, ciascuno secondo le proprie competenze, sono responsabili dell’osservanza e del rispetto delle disposizioni e degli adempimenti imposti dalla vigente normativa nazionale ed europea in materia di protezione dei dati personali e, qualora dovessero venire a conoscenza - anche in modo fortuito - dei dati di cui un’altra Parte sia Titolare in via autonoma, si impegnano a trattare tali dati nel rispetto delle vigenti normative nazionali ed europee in materia di protezione dei dati personali ed esclusivamente per le finalità connesse all’esecuzione del presente Accordo.
4.2. I Contitolari si impegnano a trattare i dati personali acquisiti esclusivamente per le finalità definite al punto 3.1, come richiamate nelle informative consegnate agli Interessati, vietandone ogni uso per finalità proprie del singolo Titolare.
4.3. I Contitolari si impegnano a trattare i dati personali secondo i principi di legalità ed equità ai sensi dell’art. 5 GDPR e con modalità tali da assicurare la riservatezza e confidenzialità delle informazioni e garantire che le informazioni e i dati raccolti siano adeguati, pertinenti e limitati, anche in termini di conservazione, rispetto a quanto necessario per le finalità perseguite.
4.4. I Contitolari si impegnano ad adottare le misure di sicurezza, organizzative e tecniche, adeguate a proteggere i dati oggetto del trattamento ex art. 32 GDPR, nonché a vincolare i propri collaboratori alla riservatezza – anche dopo la fine del rapporto di lavoro – e a garantire la costante ed effettiva conoscenza della normativa privacy delle proprie risorse.
4.5. In relazione ad eventuali data breach, ciascun Contitolare si impegna a gestire gli eventuali adempimenti connessi al data breach di cui agli artt. 33 e 34 GDPR, previa opportuna comunicazione al Contitolare ove la violazione e la successiva notifica possa comportare anche solo un danno reputazionale anche per esso. A tal riguardo, i Contitolari si impegnano alla massima collaborazione al fine di mitigare gli eventuali impatti derivanti dalle violazioni sui diritti e libertà degli interessati.
4.6. In relazione agli eventuali Responsabili del trattamento ex art. 28 GDPR coinvolti nei trattamenti eseguiti in regime di contitolarità, i Contitolari si impegnano a predisporre in autonomia la nomina del proprio Responsabile mediante la stipulazione di un contratto che definisca la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento, con le modalità stabilite dall’art. 28 GDPR.
4.7. In relazione agli obblighi di informazione verso l’Interessato, la Struttura Sanitaria si impegna a redigere e fornire l’informativa di cui agli artt. 13 e 14 del Regolamento, dando evidenza in modo chiaro e comprensibile per l’Interessato la situazione di Contitolarità del Trattamento.
4.8. In relazione all’esercizio dei diritti degli Interessati, fatta salva l’individuazione della Struttura Sanitaria quale unico punto di contatto per gli Interessati, stante la possibilità per questi ultimi di rivolgere le proprie richieste a tutti i Contitolari, i Contitolari si impegnano ad inoltrare immediatamente la richiesta a xxxx@xxxxxxxxxxxxxxxxx.xx ed a supportarla in tutto l’iter istruttorio e di riscontro della stessa.
5. Segretezza e confidenzialità
5.1. I Contitolari del Trattamento si impegnano a mantenere la segretezza dei dati personali raccolti, trattati e utilizzati in virtù del rapporto di contitolarità.
5.2. In ogni caso, i Contitolari si impegnano a considerare strettamente confidenziale tutto il materiale generalmente non di dominio pubblico, ed in particolare i rispettivi segreti, e si impegnano ad utilizzare tali informazioni solamente per gli scopi previsti dal presente Accordo.
6. Responsabilità dei Contitolari
6.1. Nei confronti degli Interessati, i Contitolari rispondono in solido per i danni derivanti dal trattamento, fermo restando, nei rapporti interni, la responsabilità di ciascun Contitolare per le operazioni allo stesso direttamente imputabili in base al presente accordo. Pertanto, ogni Contitolare potrà trovarsi nella condizione di dover risarcire in toto l’Interessato che dimostri di essere stato danneggiato dal Trattamento e, soltanto in un momento successivo, potrà rivalersi sugli altri Contitolari responsabili o co-responsabili dell’effettivo danno, esercitando la c.d. azione di regresso.
6.2. Anche in caso di sanzioni, emanate dalle Autorità competenti e riferibili al Trattamento in oggetto, il peso della sanzione sarà sopportato da tutti i Contitolari, pro quota ed in solido tra loro, a meno che non emerga in modo inequivocabile la responsabilità di uno solo di essi. In tal caso, l’onere di assolvere la sanzione graverà unicamente sul Contitolare effettivamente responsabile della violazione.
7. Diffusione accordo
7.1. Gli Interessati saranno informati di quanto determinato dai Contitolari con riferimento ai punti di loro interesse attraverso la diffusione del presente accordo, attraverso consegna o trasmissione da parte della Struttura Sanitaria.
8. Disposizioni conclusive
8.1. Eventuali modifiche al presente Accordo dovranno essere apportate per iscritto e potranno essere modificate solo attraverso una dichiarazione scritta concordata tra i Contitolari.
8.2. L’invalidità, anche parziale, di una o più delle clausole del presente Accordo non pregiudica la validità delle restanti clausole.
8.3. Con il presente Accordo i Contitolari intendono espressamente integrare ogni altro contratto o accordo o convenzione in essere tra loro, relativamente al trattamento dei dati personali.
8.4. I Contitolari hanno letto e compreso il contenuto del presente Accordo e sottoscrivendolo esprimono pienamente il loro consenso.
…………… , lì ………………………
AZIENDA SOCIO SANITARIA TERRITORIALE DELLA VALTELLINA E DELL’ALTO LARIO | HIPPOCRATES SRL |
Il Direttore Generale | Il Legale rappresentante |
xxxx. Xxxxxxx Xxxxxxxx | xxxx. Xxxxx Xxxxxxxxxxx |