Delibera del Direttore Generale n. 478 del 23-10-2020

AZIENDA OSPEDALIERO UNIVERSITARIA XXXXX


Delibera del Direttore Generale n. 478 del 23-10-2020


Proposta n. 978 del 2020


Oggetto: RINNOVO DELL’ATTO INTEGRATIVO ATTUATIVO DELL’ACCORDO QUADRO DI COLLABORAZIONE CON LA FONDAZIONE TOSCANA X. XXXXXXXXXX PER LA RICERCA MEDICA E DI SANITÀ PUBBLICA PER L’IMPLEMENTAZIONE DELLA CARTELLA CLINICA INFORMATIZZATA IN AMBITO PEDIATRICO.


Dirigente: XXXXXXX XXXXX XXXXXXXX


Struttura Dirigente: AFFARI GENERALI E SVILUPPO


Delibera del Direttore Generale n. 478 firmata digitalmente il 23-10-2020


AZIENDA OSPEDALIERO-UNIVERSITARIA XXXXX

(Art. 33 L.R.T. 24 febbraio 2005 n. 40)

Xxxxx Xxxxxxxxxx, 00 - 00000 XXXXXXX

C.F. P.Iva 02175680483


DELIBERAZIONE DEL DIRETTORE GENERALE


Oggetto

Convenzione con soggetti privati

Contenuto

RINNOVO DELL’ATTO INTEGRATIVO ATTUATIVO DELL’ACCORDO QUADRO DI COLLABORAZIONE CON LA FONDAZIONE TOSCANA X. XXXXXXXXXX PER LA RICERCA MEDICA E DI SANITÀ PUBBLICA PER L’IMPLEMENTAZIONE DELLA CARTELLA CLINICA INFORMATIZZATA IN AMBITO PEDIATRICO.


Area Tecnico Xxx.xx

AREA TECNICO AMMINISTRATIVA

Coord. Area Tecnico Xxx.xx

XXXX XXXXX

Struttura

AFFARI GENERALI E SVILUPPO

Direttore della Struttura

XXXXXXX XXXXX XXXXXXXX

Responsabile del procedimento

XXXXXXX XXXXX XXXXXXXX

Immediatamente Esecutiva

NO


Spesa prevista

Conto Economico

Codice Conto

Anno Bilancio

70.000,00

Manutenzioni software

0000000000

2020


Estremi relativi ai principali documenti contenuti nel fascicolo

Allegato

N° di pag.

Oggetto

A

13

Rinnovo atto integrativo ed accluso atto di nomina Responsabile trattamento dati


IL DIRETTORE GENERALE

Dr. Xxxxxxx Xxxxxxxx (D.P.G.R.T. n. 99 del 30 luglio 2020)


Visto il D. Lgs.vo 30/12/1992 n. 502 e sue successive modifiche ed integrazioni e la L. R. Toscana n. 40 del 24/02/2005 e s.m.i. di disciplina del Servizio Sanitario Regionale;

Dato atto:

- che con deliberazione del Direttore Generale n. 133 del 29.12.2015 è stato approvato il nuovo Atto Aziendale dell’A.O.U. Xxxxx, ai sensi dell’art. 6 del Protocollo d’intesa del 22.04.2002 fra Regione Toscana e Università degli Studi di Firenze, Siena e Pisa, con decorrenza dal 1.1.2016;

- che con deliberazione del Direttore Generale n. 134 del 30.12.2015 si è provveduto a definire l’organigramma complessivo dell’A.O.U. Xxxxx e sono stati assunti i primi provvedimenti attuativi relativi al conferimento degli incarichi di direzione delle strutture Dipartimentali e/o a valenza dipartimentale, delle Aree Funzionali Omogenee, dell’Area Servizi dell’Ospedale, dell’Area delle Professioni Sanitarie e dell’Area Tecnico Amministrativa;

- che con deliberazione del Direttore Generale n. 140 del 30.12.2015 sono state assunte determinazioni attuative del nuovo Atto aziendale in merito alla conferma/riassetto delle strutture organizzative complesse e semplici;

- che con deliberazione del Direttore Generale n. 492 del 2.12.2016 si è provveduto ad approvare la sistematizzazione della organizzazione aziendale, dopo un primo percorso attuativo dello Statuto Aziendale;

- che con deliberazione del Direttore Generale n. 543 del 29.12.2016 sono state assunte determinazioni volte al conferimento degli incarichi delle Strutture Complesse dell’Area Tecnico Amministrativa, così come rimodulate a seguito delle azioni di attualizzazione dell’organizzazione aziendale;

- che con successiva deliberazione del Direttore Generale n. 173 del 05.04.2018 si è altresì provveduto ad ulteriori azioni di sistematizzazione dell’organizzazione aziendale ed all’integrazione dell’art. 63 dell’Atto Aziendale “Promozione della salute nella comunità”;

- che con successiva deliberazione del Direttore Generale n. 739 del 31.12.2019 si è provveduto ad approvare ulteriori azioni di sistemazione dell'organizzazione aziendale in ambito amministrativo;


Su proposta del Responsabile della S.O.C Affari Generali e Sviluppo, Dr.ssa Xxxxx Xxxxxxxx Xxxxxxx la quale, con riferimento alla presente procedura, ne attesta la regolarità amministrativa e la legittimità dell’atto.


Premesso che:

- la Fondazione Toscana X. Xxxxxxxxxx, costituita dal Consiglio Nazionale delle Ricerche e dalla Regione Toscana quale presidio specialistico, di ricerca ed alta formazione e riconosciuta ente pubblico S.S.R. con L.R.T. n. 85/2009, costituisce centro di riferimento regionale per la cardiochirurgia pediatrica e la cardiologia interventistica pediatrica;

- AOUM costituisce struttura ospedaliera pediatrica specialistica di riferimento regionale per la diagnosi e cura in età pediatrica;

- tra la Fondazione Toscana Monasterio e l’AOU Meyer è stato sottoscritto in data 29.05.2015, successivamente rinnovato con decorrenza dal 01.06.2019 per ulteriori quattro anni, un accordo quadro di collaborazione per la ricerca medica e di sanità pubblica nell'ambito delle specialità pediatriche, con particolare riferimento alle attività di cardiologia e cardiochirurgia pediatrica ed altre


attività sanitarie, al fine di consolidare ulteriormente le collaborazioni già esistenti ed incentivare la realizzazione ulteriore di attività congiunte, di sinergie organizzative in ambito clinico, tecnologico, della ricerca e delle attività di cooperazione internazionale;

- l’accordo quadro sopra citato prevede all’art. 6 “Altre collaborazioni” che: “FTGM, inoltre, si rende disponibile - secondo modalità operative e tempistiche da valutare concordemente con AOUM - a supportare l'AOUM nell'informatizzazione delle attività cliniche, grazie all'esperienza acquisita negli anni in tale ambito ed alla disponibilità di un sistema di software che ha integralmente informatizzato le proprie strutture ospedaliere”;

- con nota prot. 0007697 – 2016 – P del 28.04.2016 la Fondazione Toscana X. Xxxxxxxxxx si è resa disponibile a dar corso all’implementazione della cartella clinica informatizzata in ambito pediatrico, tenuto conto della necessità di provvedere all’adeguamento del proprio Software con personalizzazioni “e sviluppi mirati esclusivamente all’utilizzo nelle varie specialistiche in ambito pediatrico”;

- detta implementazione della cartella clinica informatizzata è stata finalizzata a qualificare i livelli di servizio erogati dall’A.O.U. Xxxxx in un’ottica di razionalizzazione dei processi organizzativi e delle risorse ad esse connessi;

- con delibera N°178 del 05.05.2016 è stato approvato un atto integrativo di collaborazione tra le due aziende per la ricerca medica di sanità pubblica per implementare la cartella clinica informatizzata;

- la cartella clinica Meyer è stata inserita nel Piano strategico di sviluppo del sistema informativo e delle tecnologie dell'informazione e della comunicazione del servizio sanitario regionale: aggiornamento triennio 2017-2019 e programma operativo per l'anno 2017;

- con delibera X.000 xxx 00.00.0000 xxxxx Xxxxxxx Xxxxxxx nell’allegato 1 è stato assegnato il progetto H44 alla cartella clinica per l’AOU Meyer;

- definiti formalmente gli ambiti di sviluppo della Cartella Clinica per la A.O.U. Xxxxx così come desunti dal citato allegato 1 della deliberazione 515/2017 sopra menzionata, si è con immediatezza delineato gli altri ambiti da sviluppare per raggiungere la completezza del supporto SW al sistema aziendale e si è richiesto, alla luce della convenzione quadro sopra citata, l’intervento della FTGM;

- nell’anno 2018 si è conclusa l’estensione della CPE in tutte le aree di degenza ordinaria con l’introduzione della stessa nelle aree di degenza diurna (DH medico centralizzato e Day Surgery centralizzata) ed è iniziata l’implementazione in alcuni settori ambulatoriali, con effetti rilevanti sulle attività clinico assistenziale;

- con Xxxxxxxx 21 dell’8 Gennaio 2018 è stato approvato lo schema di atto integrativo all’accordo quadro di collaborazione tra l’Azienda Ospedaliero Universitaria Xxxxx e la Fondazione Toscana “X. Xxxxxxxxxx” per la ricerca medica e di sanità pubblica, finalizzato allo sviluppo della cartella clinica informatizzata in ambito pediatrico ed alla definizione dei correlati aspetti economici;

- il sopra citato accordo integrativo è stato sottoscritto in data 19.01.2020, con validità di 24 mesi e rinnovabile;

Dato atto che:

- il nuovo piano regionale non contempla più il supporto e lo sviluppo della cartella clinica e pertanto attualmente non vengono coperti né da Regione Toscana né da ESTAR i servizi di help desk, manutenzione e reperibilità della cartella stessa;

- il Meyer non ha un helpdesk in grado di supportare e mantenere la cartella elettronica;

Vista la relazione del 19.10.2020 del Responsabile dell’Ufficio Smart Technology, agli atti, nella quale si evidenzia come si renda necessario proseguire con la Fondazione Monasterio la collaborazione già avviata per lo sviluppo della cartella clinica in ambito pediatrico, rinnovando l’atto integrativo per l’anno 2020 e rinviando ad ulteriore progetto la definizione di successivi ambiti da sviluppare ed ampliare e comprendere alla luce del mutato scenario regionale;


Visto il nuovo schema di rinnovo dell’atto integrativo attuativo dell’accordo quadro di collaborazione con la Fondazione Toscana X. Xxxxxxxxxx per l’implementazione della cartella clinica informatizzata in ambito pediatrico per l’anno 2020 con accluso atto di nomina di Responsabile del trattamento dei dati, allegato A al presente provvedimento a formarne parte integrante e sostanziale, e ritenuto di approvarlo;

Ritenuto di affidare al Responsabile dell’Ufficio Smart Technology la funzione di Responsabile della esecuzione delle obbligazioni convenute tra la Fondazione Toscana Monasterio e l’AOU Meyer per gli aspetti tecnico-professionali ed anche per le correlate azioni di verifica e controllo della qualità delle prestazioni erogate;

Considerato che il Responsabile del Procedimento, individuato ai sensi della Legge n. 241/1990 nella persona della Dr.ssa Xxxxx Xxxxxxxx Xxxxxxx sottoscrivendo l’atto attesta che lo stesso, a seguito dell’istruttoria effettuata, nella forma e nella sostanza è legittimo;

Acquisito il parere del Coordinatore dell’Area Tecnico Amministrativa, Dr.ssa Xxxxx Xxxx, espresso mediante sottoscrizione del presente atto;

Con la sottoscrizione del Direttore Sanitario e del Direttore Amministrativo, per quanto di competenza, ai sensi dell’art. 3 del Decreto legislativo n. 229/99;


DELIBERA


Per quanto esposto in narrativa che espressamente si richiama,


1) Di rinnovare per l’anno 2020 l’atto integrativo attuativo dell’accordo quadro di collaborazione con la Fondazione Toscana X. Xxxxxxxxxx per l’implementazione della cartella clinica informatizzata in ambito pediatrico con accluso atto di nomina di Responsabile del trattamento dei dati, allegato A al presente provvedimento a formarne parte integrante e sostanziale.

2) Di rinviare a successivo accordo con la Fondazione Monasterio la definizione di ulteriorii ambiti della cartella clinica informatizzata da sviluppare ed ampliare, alla luce del mutato scenario regionale.

3) Di affidare al Responsabile dell’Ufficio Smart Technology la funzione di Responsabile della esecuzione delle obbligazioni convenute tra la Fondazione Toscana X. Xxxxxxxxxx e l’XXX Xxxxx per gli aspetti tecnico-professionali ed anche per le correlate azioni di verifica e controllo della qualità delle prestazioni erogate.

4) Di dare atto che la spesa complessiva per l’anno 2020 ammonta a € 70.000,00, da imputarsi al Bilancio 2020 CNRI 0000000000/TEC/D 20. F.P. N03020003.

5) Di trasmettere il presente atto al Collegio Sindacale ai sensi dell’art. 42, comma 2, della L.R.T. n. 40/2005 contemporaneamente all’inoltro all’albo di pubblicità degli atti di questa A.O.U. Xxxxx.


IL DIRETTORE GENERALE

(Dr. Xxxxxxx Xxxxxxxx)


IL DIRETTORE SANITARIO


IL DIRETTORE AMMINISTRATIVO

(Dr.ssa Xxxxxxxxx Xxxxxxx)

(Dr. Xxxx Xxxxx)

ALLEGATO A


RINNOVO DELL’ATTO INTEGRATIVO ALL’ACCORDO QUADRO DI COLLABORAZIONE TRA L’AZIENDA OSPEDALIERO UNIVERSITARIA “XXXXX” E LA FONDAZIONE TOSCANA “X. XXXXXXXXXX” PER LA RICERCA MEDICA E DI SANITA' PER L’IMPLEMENTAZIONE DELLA CARTELLA CLINICA INFORMATIZZATA IN AMBITO PEDIATRICO.


tra


L’Azienda Ospedaliero Universitaria “Xxxxx”, in seguito AOUM, con sede in Firenze, viale

X. Xxxxxxxxxx n. 24, (codice fiscale e partita IVA 02175680483), in persona del Direttore Generale Dr. Xxxxxxx Xxxxxxxx, domiciliato ove sopra per la carica;


e


La Fondazione Toscana “X. Xxxxxxxxxx” per la Ricerca Medica e di Sanità Pubblica, in seguito FTGM, con sede in Pisa, via Trieste, 41, (codice fiscale 93062260505 e partita IVA 01851550507) in persona del Direttore Generale, Dr. Xxxxx Xxxxx, domiciliato ove sopra per la carica;


PREMESSO


● che FTGM, costituita dal Consiglio Nazionale delle Ricerche e dalla Regione Toscana quale presidio specialistico, di ricerca ed alta formazione e riconosciuta ente pubblico

S.S.R. con L.R.T. n. 85/2009, costituisce centro di riferimento regionale per la cardiochirurgia pediatrica e la cardiologia interventistica pediatrica;

● che AOUM costituisce struttura ospedaliera pediatrica specialistica di riferimento regionale per la diagnosi e cura in età pediatrica;

● che tra le Parti è stato sottoscritto in data 29.05.2015, successivamente rinnovato con decorrenza dal 01.06.2019 per ulteriori quattro anni, un accordo quadro di collaborazione per la ricerca medica e di sanità pubblica nell'ambito delle specialità pediatriche, con particolare riferimento alle attività di cardiologia e cardiochirurgia pediatrica ed altre attività sanitarie, al fine di consolidare ulteriormente le collaborazioni già esistenti ed incentivare la realizzazione ulteriore di attività congiunte, di sinergie organizzative in ambito clinico, tecnologico, della ricerca e delle attività di cooperazione internazionale, con l'obiettivo generale di proporsi come sistema coordinato di riferimento complessivo anche per pazienti pediatrici di provenienza extraregionale, date le attività di eccellenza erogate presso le dette strutture;

● che l’accordo quadro sopra citato prevede all’art. 6 “Altre collaborazioni” che: “FTGM, inoltre, si rende disponibile - secondo modalità operative e tempistiche da valutare concordemente con AOUM - a supportare l'AOUM nell'informatizzazione delle attività cliniche, grazie all'esperienza acquisita negli anni in tale ambito ed alla disponibilità di un sistema di software che ha integralmente informatizzato le proprie strutture ospedaliere”;

● che con nota prot. 0007697 – 2016 – P del 28.04.2016 la Fondazione Toscana X. Xxxxxxxxxx si è resa disponibile a dar corso all’implementazione della cartella clinica informatizzata in ambito pediatrico, tenuto conto della necessità di provvedere all’adeguamento del proprio Software con personalizzazioni “e sviluppi mirati esclusivamente all’utilizzo nelle varie specialistiche in ambito pediatrico”;

● che le parti hanno sviluppato una stabile e proficua collaborazione finalizzata all’implementazione della cartella clinica informatizzata in ambito pediatrico;

● che detta implementazione della cartella clinica informatizzata è stata finalizzata a qualificare i livelli di servizio erogati dall’A.O.U. Xxxxx in un’ottica di razionalizzazione dei processi organizzativi e delle risorse ad esse connessi;

● che con delibera N°178 del 05.05.2016 è stato approvato un atto integrativo di collaborazione tra le due aziende per la ricerca medica di sanità pubblica;

● che in tale atto integrativo è stata espressa la comune volontà di implementare la cartella clinica informatizzata;

● che la cartella clinica Meyer è stata inserita nel Piano strategico di sviluppo del sistema informativo e delle tecnologie dell'informazione e della comunicazione del servizio sanitario regionale: aggiornamento triennio 2017-2019 e programma operativo per l'anno 2017;

● che con delibera X.000 xxx 00.00.0000 xxxxx Xxxxxxx Xxxxxxx nell’allegato 1 è stato assegnato il progetto H44 alla cartella clinica per l’AOU Meyer;

● che, definiti formalmente gli ambiti di sviluppo della Cartella Clinica per la A.O.U. Xxxxx così come desunti dal citato allegato 1 della deliberazione 515/2017 sopra menzionata, si è con immediatezza delineato gli altri ambiti da sviluppare per raggiungere la completezza del supporto SW al sistema aziendale e si è richiesto, alla luce della convenzione quadro sopra citata, l’intervento della FTGM;


2

● che l'Azienda AOU Meyer nel 2016 si doveva dotare di moduli software non compresi nella cartella clinica della FTGM nonché nel progetto H44 di cui al precedente capoverso;

● che l’AOU Xxxxx intendeva dotarsi di un sistema software integrato tra area medica e area chirurgica;

● che nell’anno 2018 si è conclusa l’estensione della CPE in tutte le aree di degenza ordinaria con l’introduzione della stessa nelle aree di degenza diurna (DH medico centralizzato e Day Surgery centralizzata) ed è iniziata l’implementazione in alcuni settori ambulatoriali;

● che il progetto di realizzazione della Cartella Clinica Pediatrica Elettronica (CPE) ha costituito un fondamentale sviluppo delle tecnologie informatiche aziendali con effetti rilevanti sulle attività clinico assistenziale;

● che con Xxxxxxxx 21 dell’8 Gennaio 2018 è stato approvato lo schema di atto integrativo all’accordo quadro di collaborazione tra l’Azienda Ospedaliero Universitaria Xxxxx e la Fondazione Toscana “X. Xxxxxxxxxx” per la ricerca medica e di sanità pubblica, finalizzato allo sviluppo della cartella clinica informatizzata in ambito pediatrico ed alla definizione dei correlati aspetti economici;

● che il sopra citato accordo integrativo è stato sottoscritto in data 19.01.2020, con validità di 24 mesi e rinnovabile;

● che attualmente non è previsto da parte di Regione Toscana comunicazioni per il rinnovo del piano strategico;

● che tale cartella clinica elettronica è ormai lo strumento clinico/sanitario indispensabile per lo sviluppo dell’ospedale;

● che tale cartella clinica implementa i flussi verso il fascicolo sanitario regionale;

● che il nuovo piano regionale non contempla più il supporto e lo sviluppo della cartella clinica;

● che attualmente non vengono coperti né da Regione Toscana né da ESTAR i servizi di help desk, manutenzione e reperibilità della cartella stessa;

● che il Meyer non ha un helpdesk in grado di supportare e mantenere la cartella elettronica;

● che le parti pertanto intendono proseguire la collaborazione già avviata per lo sviluppo della cartella clinica informatizzata in ambito pediatrico;


SI CONVIENE E SI STIPULA QUANTO SEGUE:

3

Le premesse sono parte integrante e sostanziale della presente Convenzione.


ART. 1 – OGGETTO


Sono oggetto di questa convenzione gli sviluppi, gli adattamenti, le configurazioni di moduli software all’interno della cartella clinica di FTGM HMS-C7, in corso di implementazione presso l’AOUM.


ART. 2 - MODULI SOFTWARE RICHIESTI DAL MEYER


I moduli software richiesti dal Meyer sviluppati ed implementati o in corso di implementazione

non compresi nel progetto iniziale di Regione Toscana ed oggetto del presente accordo sono:

Cartella specialistica di neurochirurgia - chirurgia - dermatologia;

Sorveglianza infezioni ospedaliere;

Cartella specialistica TIN e rianimazione;

Percorso Chirurgico :

o Visita ambulatoriale e proposta di intervento,

o Accettazione proposta intervento e inserimento in Lista di attesa,


Personalizzazioni pediatriche;

Sistema di Governo e Cdg;

Supporto alle personalizzazioni alla JCI.


FTGM si impegna ad effettuare tutte le attività sopra citate necessarie per la pianificazione, l’implementazione e la rendicontazione delle suddette attività. Stante la complessità delle progettualità in argomento, le Parti si danno atto che la tempistica relativa all’implementazione dei suddetti moduli non può essere preventivamente determinata. Al fine di garantire il corretto adempimento degli impegni assunti, FTGM si impegna a rispettare tutte le attività previste in fase di pianificazione e ad effettuare una tempestiva rendicontazione delle attività svolte.

A tal fine la FTGM si impegna ad inviare lo stato di avanzamento lavori, per i moduli richiesti sopra citati, sottoscritto dal Responsabile del progetto. AOUM si impegna a supportare tutte le attività progettuali in termini di disponibilità del personale specializzato nel dominio clinico interessato ed infrastrutture ICT necessarie.


ART. 3 - MODULI E SERVIZI NON OFFERTI DA REGIONE TOSCANA


Dato che i moduli software e i servizi standard della cartella clinica non sono attualmente più

4

previsti nel piano strategico regionale perché non esiste nessun accordo specifico e considerate le esigenze cliniche non derogabili dell’AOU Xxxxx, si ritiene di dover attivare i seguenti servizi:


Servizio di Helpdesk 24h/7

Manutenzione ordinaria dei seguenti servizi:

o Cartella Medica

o Cartella Infermieristica

o Cartella Ambulatoriale e di Day Service

o Consulenze e visite specialistiche

o Visual Hospital

o Audit (tracciatura accessi)

o Order Entry

o Dossier


ART. 4 - PRIVACY E TRATTAMENTO DEI DATI


Con la sottoscrizione del presente atto, le parti, in relazione ai trattamenti di dati personali effettuati in esecuzione della Convenzione, si impegnano al rispetto di quanto disposto dalla normativa in materia di privacy (in particolare il Xxx.XX 679/2016 ed il D. Lgs.196/2013 e ss.mm.ii.) ed agli adempimenti conseguenti.

Le parti inoltre si impegnano a favorire lo scambio di informazioni attraverso modalità consone ed utili ad attendere con continuità, tempestività e completezza agli adempimenti di competenza.

In particolare, ai sensi e per gli effetti del suddetto D. lgs 196/2003 e s.m.i. “Codice in materia di Protezione dei dati personali” e del Regolamento (UE) 2016/679, l’AOUM è Titolare del trattamento, la FTGM è nominata Responsabile del trattamento e provvederà a nominare i propri professionisti in qualità di soggetti autorizzati del Trattamento istruendoli alla osservanza del rispetto delle norme sul trattamento dei Dati Personali.

La durata del trattamento, la natura e la finalità del trattamento, la tipologia di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento saranno disciplinati dall’apposito atto di Nomina redatto e sottoscritto, unitamente alla presente convenzione, ex art. 28 paragrafo 3 del Regolamento UE 679/2016 allegato 1 alla presente costituendone parte

5

integrante e sostanziale.


ART. 5 - RICONOSCIMENTI


Per le parti specifiche personalizzate nell’attività dell’art.2 FTGM e AOUM si riconoscono come coautori in parti uguali, regolamentati secondo il diritto di autore. L’eventuale riuso dovrà essere concordato ai sensi del Codice Amministrazione Digitale.


Art. 6 – COSTI


L’A.O.U. Xxxxx si impegna per l’anno 2020 a corrispondere alla Fondazione Toscana Xxxxxxxx Xxxxxxxxxx, sulla base del cronoprogramma condiviso fra le parti, secondo gli stati di avanzamento, l’importo di Euro 70.000,00.


Art. 7 – DURATA


Il presente accordo ha durata fino al 31.12.2020, con decorrenza dalla data di scadenza del precedente atto integrativo.

Le parti danno atto che eventuali modifiche e/o integrazioni alla presente convenzione potranno essere apportate mediante atto scritto.

Le parti si riservano di recedere dalla presente convenzione mediante comunicazione da inviare all’altro contraente almeno 90 giorni prima della data stabilita per il recesso, con PEC o raccomandata a/r.

Come in premessa evidenziato, le parti danno atto che le prestazioni sono proseguite dalla data di scadenza del precedente atto integrativo, come evidenziato nella relazione del Referente aziendale Responsabile dell’Ufficio Smart Techonology Hospital del 19.10.2020.


Art. 8 – SPESE E FORO COMPETENTE


Le spese di bollo del presente accordo sono a carico dell’AOU Xxxxx la quale provvede ad assolvere il pagamento dell’imposta di bollo tramite l’utilizzo di n. 4 marche da bollo da euro 16,00 per un importo pari ad euro 64,00, giusta autorizzazione dell’Agenzia delle Entrate, Ufficio Territoriale di Firenze, prot. 67617 del 3.07.2020.

La convenzione verrà registrata solo in caso d’uso a cura e spese della parte che avrà interesse a farlo.



6

Foro competente in via esclusiva per le controversie derivanti dall’applicazione del presente accordo è quello di Firenze.

Il presente atto viene sottoscritto digitalmente ai sensi dell’art. 15 comma 2 bis della L. 241/90.


Fondazione Toscana Xxxxxxxx Xxxxxxxxxx


Dr. Xxxxx Xxxxx          



Azienda Ospedaliero-Universitaria Xxxxx


Dr. Xxxxxxx Xxxxxxxx         


7

Atto di nomina a Responsabile del trattamento ai sensi dell’art. 28 del Regolamento UE n. 2016/679 del 27 aprile 2016 “Regolamento Generale sulla Protezione dei Dati” (RGPD)


TRA


L’Azienda Meyer (di seguito “Azienda” o “Titolare”) con sede in Firenze, Xxxxx Xxxxxxxxxx 00 00000 Xxxxxxx (C.F./P.I. 02175680483) in qualità di Titolare del trattamento ai sensi del Regolamento UE 2016/679 nella persona del Direttore Generale xxxx. Xxxxxxx Xxxxxxxx, domiciliato per la carica presso la sede legale dell’Azienda

E


La Fondazione Toscana “X. Xxxxxxxxxx” per la Ricerca Medica e di Sanità Pubblica con sede legale in Pisa, via Trieste, 41, (codice fiscale 93062260505 e partita IVA 01851550507) in persona del legale rappresentante pro tempore Dr. Xxxxx Xxxxx (di seguito “Fornitore” o “Responsabile”)

Congiuntamente indicate come le “Parti” Premesso che:

- il Regolamento Europeo n. 2016/679 Regolamento Generale sulla Protezione dei Dati (di seguito RGPD),

prevede all’art. 28 che i trattamenti svolti da parte di un Responsabile del trattamento per conto del Titolare del trattamento siano disciplinati da un contratto o altro atto giuridico vincolante per il Responsabile e che individui la materia del trattamento, la durata, la natura e la finalità, il tipo di dati personali trattati e le categorie di interessati, gli obblighi e i diritti del Titolare del trattamento;

- l’Azienda e il Fornitore hanno sottoscritto contestualmente un atto integrativo all’accordo quadro di collaborazione tra le parti avente ad oggetto l’espletamento dell’attività di implementazione della cartella clinica informatizzata in ambito pediatrico;

- ai fini dell’esecuzione di detto atto integrativo il Fornitore dovrà effettuare operazioni di trattamento dati personali per conto dell’Azienda;

- l’Azienda svolge il ruolo di Titolare del trattamento in relazione ai dati personali dalla stessa trattati stabilendo autonomamente le finalità, le modalità ed i mezzi del trattamento;

-tenuto conto delle attività di trattamento necessarie per dare esecuzione agli obblighi concordati tra le Parti, il Titolare del trattamento ritiene che il Fornitore è in possesso dei necessari requisiti di conoscenza specialistica, affidabilità e risorse tali da fornire sufficienti garanzie per mettere in atto misure tecniche ed organizzative adeguate a soddisfare i requisiti del RGPD e a garantire la tutela dei diritti degli interessati coinvolti nelle suddette attività di trattamento;

- l’Azienda, in qualità di Titolare del trattamento, intende nominare il Fornitore quale Responsabile del trattamento dati e quest’ultimo intende accettare tale nomina;

- con riferimento alla summenzionata nomina, con la sottoscrizione del presente documento le Parti intendono regolare i reciproci rapporti in relazione al trattamento dei dati personali effettuato dal Fornitore per conto della Committente; tutto ciò premesso, alla luce di quanto precede, le Parti convengono e stipulano quanto segue:


ART. 1

(Oggetto, finalità e durata del trattamento)

Con la sottoscrizione del presente atto l’Azienda Ospedaliero Universitaria Xxxxx nomina la Fondazione Toscana “X. Xxxxxxxxxx” per la Ricerca Medica e di Sanità Pubblica Responsabile del trattamento ai sensi dell’art. 28 del RGPD per le operazioni di trattamento sui dati personali di cui l’Azienda è Titolare e di cui il Responsabile entra in possesso o a cui ha comunque accesso, nell’esecuzione della propria attività contrattuale e dei compiti affidati ai sensi dell’accordo in essere tra le Parti.

Il Fornitore, con la sottoscrizione del presente atto di nomina, conferma la diretta e approfondita conoscenza degli obblighi che assume in relazione alla disposizioni normative e si impegna a procedere al trattamento dei dati personali attenendosi alle istruzioni ricevute dal Titolare attraverso la presente nomina.

Il Fornitore prende atto che l’incarico di effettuare le operazioni di trattamento dei dati personali quale Responsabile del trattamento è affidato per l’esclusiva ragione che il profilo societario è stato ritenuto idoneo a soddisfare i requisiti di conoscenza specialistica, affidabilità e risorse tali da fornire sufficienti garanzie per mettere in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti

della normativa vigente e garantisca la tutela dei diritti dell'interessato. Qualsiasi mutamento di tali requisiti che possa determinare incertezze sul mantenimento dei requisiti stessi deve essere comunicato al Titolare che può esercitare in piena autonomia e libertà di valutazione il diritto di recesso, senza penali o oneri a proprio carico.

Il presente atto di nomina ha validità per il tempo necessario ad eseguire le attività affidate al responsabile, e si considera venuto meno al termine delle attività stesse o qualora venga meno il rapporto con il Titolare.

Il Responsabile del trattamento, per l’espletamento delle operazioni affidategli dall’Azienda, tratta i seguenti tipi di dati:


DATI PERSONALI OGGETTO DI TRATTAMENTO DA PARTE DEL FORNITORE:

- dati personali, di cui all’art. 4 n. 1 del GDPR;

- dati rientranti nelle categorie “particolari” di dati personali (dati relativi alla salute) di cui all’art. 9 del GDPR;


CATEGORIE DI INTERESSATI :

- assistiti

- familiari degli assistiti Natura del trattamento:

- informatico

- cartaceo

ART. 2

(Obblighi del Responsabile e modalità di trattamento)

Il Responsabile del trattamento, relativamente ai dati personali oggetto di trattamento, ha l’obbligo di attenersi alle istruzioni di seguito riportate e a quelle ulteriori impartite dal Titolare mediante procedure e/o comunicazioni specifiche.

Il Responsabile è tenuto a:

- organizzare, gestire e supervisionare tutte le operazioni di trattamento di competenza attenendosi ai principi generali e alle disposizioni della vigente normativa in materia di protezione dei dati personali, ovvero, assicurare che i dati personali oggetto del trattamento siano:

trattati in modo lecito e secondo correttezza;

raccolti e registrati per scopi determinati, espliciti e legittimi; a tale riguardo, l'utilizzazione di dati personali e di dati identificativi dovrà essere ridotta al minimo, in modo da escludere il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi, ovvero adottando modalità che permettano di identificare gli interessati solo in caso di necessità;

esatti e, se necessario, aggiornati;

pertinenti, completi e non eccedenti rispetto alle finalità del trattamento;

- effettuare il trattamento dei dati con logiche e modalità strettamente ed esclusivamente correlate alle finalità di cui all’art. 1, per il tempo strettamente necessario per il perseguimento delle finalità connesse, garantendo il pieno rispetto delle istruzioni ricevute;

- informare immediatamente l’Azienda qualora, a suo parere, l’applicazione di una sua istruzione possa violare, nel concreto contesto operativo, le disposizioni in materia di protezione dei dati personali;

- tenere il Registro delle attività di trattamento, ex art. 30 par. 2 del RGPD;

- conservare e custodire con diligenza, prudenza e perizia, i dati personali oggetto del trattamento;

- mantenere riservati, non comunicare e diffondere a terzi i dati personali e le informazioni di cui è venuto a conoscenza per effetto del trattamento;

- non utilizzare i dati personali e le informazioni, anche se in forma anonimizzata o pseudonimizzata, comprese le eventuali elaborazioni realizzate su disposizione dell’Azienda;

- assistere l’Azienda nel garantire il rispetto degli obblighi relativi alla sicurezza del trattamento, alla notifica di una violazione dei dati personali all’Autorità di controllo, alla comunicazione di una violazione di dati personali all’interessato, alla valutazione d’impatto sulla protezione dei dati personali, alla consultazione preventiva dell’Autorità di controllo ove normativamente previsto;

- attenersi alle specifiche disposizioni previste per il trasferimento di dati all’estero, qualora necessario, ed a non effettuare in alcun caso operazioni di diffusione dei dati stessi;

- mettere a disposizione del Titolare del trattamento tutte le informazioni e i documenti necessari a dimostrare il rispetto degli obblighi previsti dalla vigente normativa per il Responsabile del trattamento dati;


Il Responsabile del trattamento, tenuto conto della natura del trattamento, si obbliga ad assistere il Titolare del trattamento con misure tecniche e organizzative adeguate, nella misura in cui ciò sia possibile, al fine di soddisfare l’obbligo del Titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato (nella definizione dell’art. 4 del RGPD) previsti dal RGPD. Qualora il Responsabile riceva richieste da parte di interessati finalizzate all’esercizio dei propri diritti, esso dovrà:

- darne tempestiva comunicazione al Titolare con comunicazione di posta elettronica certificata allegando copia delle richieste;

- coordinarsi, ove necessario e per quanto di propria competenza, con le funzioni aziendali designate dal Titolare per gestire le relazioni con gli interessati;

- assistere e supportare il Titolare con misure tecniche e organizzative adeguate al fine di soddisfare l’obbligo del Titolare del trattamento di dare seguito alle richieste di esercizio dei diritti degli interessati, negli ambiti e nel contesto del ruolo in cui opera il Responsabile del trattamento.


ART. 3

(Soggetti autorizzati al trattamento dei dati) Il Responsabile del trattamento si impegna:

- a individuare formalmente quali soggetti autorizzati al trattamento coloro che, a qualunque titolo, devono compiere per suo conto operazioni del trattamento e/o attuare compiti relativi alla protezione e alla libera circolazione dei dati limitando l’accesso e il trattamento ai soli dati necessari per lo svolgimento delle attività consentite rispetto alle mansioni svolte;

- a impartire per iscritto ai soggetti autorizzati, appropriate e complete istruzioni su come svolgere correttamente ed in modo lecito il trattamento,

- a vigilare regolarmente sulla puntuale osservanza delle istruzioni impartite da parte dei soggetti autorizzati, anche mediante verifiche periodiche;

- a curare la formazione specifica in materia di protezione dei dati personali dei soggetti autorizzati che operano sotto la sua responsabilità;

- a garantire che i propri dipendenti e/o collaboratori che operano a vario titolo nell’ambito del rapporto in essere con l’Azienda, siano dotati di esperienza, capacità e affidabilità con riferimento alla gestione dei sistemi informatici in particolare per quanto attiene alle misure di sicurezza previste dalla normativa in materia di protezione dei dati.


ART.4

(Responsabile della Protezione dei Dati)

Il Responsabile– ove tale obbligo si applichi anche al Responsabile stesso in base alle disposizioni dell’art. 37 del GDPR – si impegna a nominare e comunicare al Titolare il nominativo e i dati di contatto del Responsabile della Protezione dei Dati.


ART. 5

(Trasferimento verso paesi terzi o organizzazioni internazionali)

Il Responsabile si impegna a circoscrivere gli ambiti di circolazione e trattamento dei dati personali (es. memorizzazione, archiviazione, conservazione dei dati sui propri server) ai Paesi facenti parte dell’Unione Europea, con espresso divieto di trasferirli in Paesi extra UE che non garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza di strumenti di tutela previsti dal Regolamento UE 2016/679 (Paese terzo giudicato adeguato dalla Commissione europea, clausole contrattuali modello, consenso degli interessati, ecc.).


Il Responsabile pertanto non dovrà trasferire o effettuare il trattamento dei dati personali del Titolare del trattamento al di fuori dell’Unione Europea per nessuna ragione, in assenza di autorizzazione scritta da parte della Committente. Qualora, in corso di esecuzione del Contratto, la Committente rilasci tale autorizzazione, e venga pertanto effettuato un trasferimento di dati personali del Titolare del trattamento al di fuori dell’Unione Europea, tale trasferimento dovrà rispettare le previsioni di cui al Regolamento UE 2016/679.

Resta inteso fra le Parti che il Fornitore dovrà garantire che i metodi di trasferimento impiegati, ivi inclusa la conformità alle clausole contrattuali standard approvate dalla Commissione Europea e sulla base dei

presupposti indicati nella medesima decisione consentano il mantenimento di costanti e documentabili standard di validità per tutta la durata del presente atto di nomina.


Il Fornitore è obbligato a comunicare immediatamente alla Committente Titolare il verificarsi delle seguenti fattispecie:

a) mancato rispetto delle clausole contrattuali standard di cui sopra;

b) qualsiasi modifica dei metodi e delle finalità di trasferimento dei dati personali della Committente all’estero.


ART.6

(Misure di sicurezza)

Con riguardo alle misure di sicurezza da osservare nel trattamento dei dati e allo scopo di ridurre al minimo i rischi di distruzione o perdita, anche accidentale dei dati, di accesso non autorizzato, di trattamento non consentito o non conforme alle finalità ivi previste, il Responsabile del trattamento si impegna:

- ad adottare adeguate ed idonee misure tecniche ed organizzative previste dalla normativa italiana ed europea in materia di protezione dei dati personali ed ogni altra previsione derivante dall’Autorità di controllo e dal Comitato Europeo per la protezione dei dati, curandone il rispetto e l’applicazione da parte degli autorizzati al trattamento, effettuando, altresì controlli sull’operato dei medesimi;

- a verificare periodicamente e, ove necessario, ad adeguare le misure di sicurezza con riferimento all’analisi dei rischi aziendali, all’evolversi della normativa e al progredire dello sviluppo tecnologico;

- a garantire le evidenze e la documentazione comprovanti l’adozione delle misure tecniche ed organizzative idonee.


ART.7

(Controlli)

Il Responsabile si impegna a consentire al Titolare la verifica del rispetto del presente atto di nomina. Il Responsabile si impegna a supervisionare e controllare direttamente i soggetti da esso designati per le operazioni di trattamento. Il Responsabile riconosce al Titolare il diritto di effettuare controlli relativamente alle operazioni aventi ad oggetto il Trattamento dei dati personali ed a tal fine il Titolare, ove lo reputi opportuno, potrà disporre verifiche a campione o attività di audit avvalendosi di personale espressamente incaricato a tale scopo. Il Responsabile si impegna a mettere a disposizione in qualunque momento e dietro richiesta del Titolare del trattamento tutte le informazioni necessarie per dimostrare il rispetto degli obblighi di cui alla presente nomina e a contribuire alle attività di controllo, comprese eventuali ispezioni realizzate dal Titolare del Trattamento o altro soggetto incaricato. Tutti i controlli potranno essere effettuati periodicamente in base a metodologie concordate tra le Parti.


ART.8

(Nomina dei sub Responsabili del trattamento)

Il Responsabile del trattamento è autorizzato ricorrere, ai sensi di quanto previsto dall’art. 28 par. 4 del RGPD, ad altro soggetto (di seguito sub Responsabile del trattamento) per l’esecuzione di specifiche attività di trattamento per conto dell’Azienda, disciplinando il rapporto con atto giuridico o contratto teso a circoscrivere i rispettivi ambiti di responsabilità e facendo sottoscrivere al sub Responsabile le medesime condizioni applicate nel presente atto di nomina adottando nei confronti dello stesso gli stessi obblighi in materia di protezione di dati personali già in capo al Responsabile del trattamento e derivanti dalla sottoscrizione del presente atto di nomina.

Il Responsabile del trattamento dovrà assicurare che il sub Responsabile del trattamento offra garanzie sufficienti di affidabilità e riservatezza e metta in atto misure tecniche ed organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del RGPD e che restituisca [ovvero cancelli] i dati personali oggetto dei trattamenti e le eventuali copie al termine della prestazione del servizio.

Il sub Responsabile del trattamento potrà trattare i dati personali nella misura in cui il trattamento sia strettamente necessario per l’esecuzione del Contratto in essere tra le Parti ed in ogni caso nel rispetto del presente atto di nomina, restando inteso tra le Parti che il sub Responsabile sarà inoltre obbligato al rispetto delle limitazioni cui il Fornitore è tenuto.

Qualora l’eventuale sub Responsabile, esecutore del trattamento, ometta di adempiere ai propri obblighi in materia di protezione dei dati personali, il Responsabile dichiara di espressamente e garantisce di mantenere l’intera responsabilità dell’adempimento degli obblighi di tale soggetto. Il Responsabile del trattamento

dovrà trasmettere all’Azienda la denominazione del sub Responsabile del trattamento, nonché di ogni altra modifica riguardante l’aggiunta o la sostituzione con altri sub Responsabili del trattamento, dando al Titolare la possibilità di opporsi.


ART.9

(Responsabilità)

Il Responsabile del trattamento risponde per il danno causato dal trattamento se non ha adempiuto agli obblighi del RGPD specificatamente diretti al responsabile del trattamento, o ha agito in modo difforme o contrario rispetto alle istruzioni offerte dall’Azienda.

Il Responsabile del trattamento si obbliga a tenere manlevata ed indenne l’Azienda da ogni responsabilità o danno, anche nei confronti di terzi, e da qualunque somma che il Responsabile del trattamento dovesse essere condannato a pagare, derivante direttamente o indirettamente da fatti attivi o omissivi ad esso imputabili esclusivamente, commessi anche dai dipendenti e/o collaboratori che operano a vario titolo come autorizzati al trattamento dei dati, ivi inclusi i danni derivanti dalla perdita, sottrazione, deterioramento e/o distruzione dei dati trattati.

Il Responsabile del trattamento conserva nei confronti dell’Azienda l’intera responsabilità dell’adempimento degli obblighi del sub Responsabile del trattamento, qualora quest’ultimo ometta di adempiere agli obblighi in materia di protezione dei dati disciplinati nel RGPD o nel presente atto.


ART. 10

(Violazione dei dati personali c.d. data breach)

In eventuali casi di violazione dei dati personali consistenti nella violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati e tali da mettere a rischio i diritti e le libertà degli individui i cui dati personali sono trattati dal Responsabile per conto del Titolare del trattamento, il Responsabile deve:

a) informare il Titolare, con comunicazione da inviarsi all’indirizzo PEC dello stesso, tempestivamente e in ogni caso non oltre le 24 ore dalla scoperta dell’evento, di essere venuto a conoscenza di una violazione allegando alla comunicazione la scheda segnalazione evento (allegato 1. al presente xxxx) ) recante le seguenti dettagliate informazioni:

- la natura della violazione dei dati personali, compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione, nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;

- il nome e i dati di contatto del Responsabile della protezione dei dati o di altro punto di contatto presso il Responsabile da cui ottenere maggiori informazioni;

- le probabili conseguenze della violazione dei dati personali;

- le misure adottate per mitigare i rischi;


Tali informazioni, o alcune di esse, qualora non possano essere fornite contestualmente, possono essere trasmesse al Titolare in fasi successive, senza ulteriore ingiustificato ritardo.

b) fornire ove possibile assistenza al Titolare del trattamento per far fronte alla violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti;

c) attivarsi per mitigare, ove possibile, gli effetti delle violazioni proponendo tempestive azioni correttive al Titolare ed attuando tempestivamente tutte le azioni correttive approvate e/o richieste dal Titolare stesso;


ART. 11

(Valutazione di impatto sulla protezione dei dati)

Con riferimento agli artt. 35 e 36 del GDPR, il Responsabile si impegna, su richiesta, ad assistere il Titolare nelle attività necessarie all’assolvimento degli obblighi previsti dai succitati articoli, sulle base delle informazioni in proprio possesso, in ragione dei trattamenti svolti in qualità di Responsabile del trattamento, ivi incluse le informazioni relative agli eventuali trattamenti effettuati dai sub - Responsabili.


ART. 12

(Amministratori di sistema)

Il provvedimento dell’Autorità Garante per la protezione dei dati personali Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema del 27 novembre 2008 e successive modifiche ed integrazioni, e si impegna a svolgere tali attività nel rispetto delle prescrizioni ivi contenute.


Art.13.

(Restituzione e cancellazione dei dati)

In caso di cessazione del contratto/convenzione, Il Responsabile provvede, a scelta e su richiesta del Titolare, alla restituzione dei dati, comprese le eventuali copie di backup e tutta la documentazione cartacea, oppure alla integrale cancellazione/distruzione degli stessi, rilasciando in ogni caso attestazione scritta che presso di se non ne sussiste copia alcuna.

In caso di richiesta scritta del Titolare, il Responsabile è tenuto a indicare le modalità tecniche e le procedure utilizzate per la cancellazione/distruzione. Sono fatti salvi eventuali obblighi di conservazione previsti dalla normativa, obblighi che il Responsabile è tenuto a motivare impegnandosi a non compiere sui dati conservati, e a non consentire ai propri sub-Responsabili, operazioni di trattamento per qualsivoglia ulteriore finalità.


ART.14

(Accettazione della nomina)

Con la sottoscrizione del presente atto, ai sensi dell’art.28 del Regolamento UE 2016/679, il Responsabile accetta la propria nomina, in relazione ai dati personali la cui conoscenza risulta essere indispensabile per l’adempimento delle obbligazioni di cui al Contratto in essere tra le Parti.


Il Responsabile è a conoscenza degli obblighi previsti dal Regolamento UE 2016/679 e dal D. Lgs. n.196/2003 "Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE", e dovrà attenersi per lo svolgimento dei compiti assegnatigli alle previsioni e ai compiti contenuti nel presente atto di nomina. La presente nomina avrà durata fino alla cessazione, per qualsivoglia motivo, del Contratto in essere tra le Parti.


L’AZIENDA OSPEDALIERO UNIVERSITARIA XXXXX

Il Direttore Generale Dr. Xxxxxxx Xxxxxxxx


FONDAZIONE TOSCANA X.XXXXXXXXXX

Rappresentante Legale Dr. Xxxxx Xxxxx

Document Metadata

Filed: October 22nd, 2020