Contract
ACCORDO TRA L'AZIENDA OSPEDALIERO-UNIVERSITARIA | ||
SENESE E L'AZIENDA REGIONALE PER IL DIRITTO ALLO | ||
STUDIO UNIVERSITARIO PER L'EROGAZIONE DEL SERVIZIO DI | ||
RISTORAZIONE AGLI STUDENTI UNIVERSITARI ISCRITTI AI | ||
CORSI DI STUDIO ISTITUITI DALL’UNIVERSITÀ DEGLI STUDI | ||
DI SIENA E AD ALTRI UTENTI INDIVIDUATI DALL’AZIENDA | ||
REGIONALE PER IL DIRITTO ALLO STUDIO UNIVERSITARIO. | ||
TRA | ||
AZIENDA OSPEDALIERO-UNIVERSITARIA SENESE (C.F. e P.I. n | ||
00388300527) di seguito denominata “AOU Senese”, rappresentata dal | ||
Direttore Generale Xxxx. Xxxxxxx Xxxxxx Xxxxxxxx, nato a La Maddalena (SS) | ||
il 01/05/1970, domiciliato per la carica presso la sede legale dell’Azienda | ||
ospedaliero-universitaria Senese, Strada delle Scotte n. 14, che agisce in nome | ||
e per conto dell’Azienda, in qualità di rappresentante legale, in esecuzione del | ||
Decreto del Presidente G.R.T. n. 171 del 18/12/2021 e del vigente Statuto | ||
aziendale; | ||
E | ||
AZIENDA REGIONALE PER IL DIRITTO ALLO STUDIO | ||
UNIVERSITARIO, di seguito denominata “Azienda Regionale D.S.U.”, | ||
avente sede legale in Firenze (FI), Viale Gramsci n. 36, - codice fiscale | ||
94164020482 - P. IVA 05913670484, in persona del Dott. Xxxxx Xxx Xxxxxx | ||
nato a Firenze, il 04/05/1960, domiciliato per la carica presso la sede | ||
dell’Azienda in Xxxxx Xxxxxxx x. 00, il quale interviene nella sua qualità di | ||
Presidente del Consiglio di Amministrazione, nominato con DPGR n. 149 del | ||
10 giugno 2021; | ||
1 |
PREMESSO CHE: | ||
- l'art. 15 (Accordi tra pubbliche amministrazioni) della L. 07/08/1990, n. 241 | ||
e s.m.i. “Nuove norme in materia di procedimento amministrativo e di diritto | ||
di accesso ai documenti amministrativi” e s.m.i. prevede, al comma 1, che | ||
“Anche al di fuori delle ipotesi previste dall'articolo 14, le amministrazioni | ||
pubbliche possono sempre concludere tra loro accordi per disciplinare lo | ||
svolgimento in collaborazione di attività di interesse comune”; | ||
- l’AOU Senese eroga il servizio di ristorazione ai propri dipendenti e ai | ||
degenti in modalità parzialmente esternalizzata tramite la Società CAMST | ||
S.C. a r.l., aggiudicataria del “Servizio di ristorazione a ridotto impatto | ||
ambientale (Determinazione ESTAR n. 370 del 12 marzo 2020), che gestisce | ||
anche il bar e la mensa aperta al pubblico, presenti nella Struttura Ospedaliera; | ||
- l’Azienda Regionale D.S.U. e l’AOU Senese hanno stipulato un accordo per | ||
l’erogazione del servizio di ristorazione agli studenti iscritti ai corsi di studio | ||
istituiti dall’Università degli Studi di Siena e ad altri utenti individuati | ||
dall’Azienda Regionale D.S.U. della durata di un anno e con scadenza fissata | ||
per il 30/09/2021; | ||
- l'Azienda Regionale D.S.U., con comunicazione prot. AOUS n. 18968 del | ||
15/09/2021, trasmessa tramite posta elettronica certificata e conservata agli | ||
atti del procedimento, ha richiesto la stipula di un nuovo accordo al fine di | ||
garantire la continuità dell’erogazione del servizio di ristorazione agli studenti | ||
iscritti all’Università degli Studi di Siena ed agli altri utenti individuati | ||
dall’Azienda Regionale D.S.U.; | ||
- la competente struttura aziendale dell’AOU Senese ha richiesto alla Società | ||
CAMST S.C. a r.l. la disponibilità a proseguire l’erogazione dei pasti agli | ||
2 |
studenti iscritti ai corsi di studio dell’Università degli Studi di Siena; | ||
- la Società CAMST S.C. a r.l., con nota prot. AOUS 19554 del 22/09/2021, | ||
conservata agli atti, ha comunicato la propria disponibilità alla prosecuzione | ||
della erogazione del servizio di cui trattasi alle modalità e condizioni | ||
economiche già previste dall’accordo in scadenza il 30/09/2021, comprensive | ||
del recupero delle spese generali; | ||
- con comunicazione pec del Direttore Generale prot. AOUS n. 19808 del | ||
27/09/2021, conservata agli atti, l’AOU Senese ha comunicato all’Azienda | ||
Regionale D.S.U. la disponibilità alla erogazione dei pasti agli studenti | ||
tramite il servizio della Società CAMST S.C. a r.l., presso il punto mensa | ||
situato al piano 1S, secondo lotto, della Struttura Ospedaliera Le Scotte, | ||
allegando l’offerta trasmessa da CAMST S.C. a r.l. e recepita con prot. AOUS | ||
19554 del 22/09/2021, sopra descritta; | ||
- con nota prot. 20377 del 01/10/2021 (conservata agli atti), l’Azienda | ||
Regionale D.S.U. ha comunicato l’accoglimento dell’offerta CAMST. di cui | ||
sopra; | ||
- il presente accordo si basa su uno schema di atto che l’Azienda Regionale | ||
D.S.U., con delibera del C.d.A. n. 61/2015 ha approvato ai fini della stipula | ||
di tre appositi accordi sul tema della Ristorazione con le Aziende Sanitarie | ||
della Toscana, nonché, all’occorrenza, con Enti Locali del territorio; | ||
SI CONVIENE E SI STIPULA QUANTO SEGUE: | ||
ART. l – Premessa | ||
La premessa è parte integrante e sostanziale del presente accordo. | ||
ART. 2 – Oggetto dell’accordo tra Enti | ||
1. L'oggetto del presente accordo tra gli Enti Pubblici, sopra richiamati, è | ||
3 |
l'erogazione del servizio di ristorazione agli studenti universitari iscritti ai | ||
Corsi di Studio istituiti dall’Università degli Studi di Siena, mediante la | ||
distribuzione di pasti presso il punto mensa situato al piano 1S secondo lotto | ||
della Struttura Ospedaliera Le Scotte. | ||
2. Secondo quanto previsto dal sistema tariffario dell’Azienda Regionale | ||
D.S.U. possono accedere al servizio di ristorazione anche gli studenti iscritti | ||
alle Università degli Studi di Firenze e Pisa, gli studenti di atenei non toscani, | ||
il personale dipendente dall’Azienda D.S.U., il personale docente e non | ||
docente dell’Ateneo di Siena, eventuali utenti esterni autorizzati dall’Azienda | ||
Regionale D.S.U. | ||
ART. 3 – Modalità di espletamento del servizio | ||
1. L'accesso alla mensa per il servizio sarà consentito esclusivamente agli | ||
utenti indicati nel precedente art. 2 secondo le modalità concordate con gli | ||
uffici competenti. | ||
2. L’accesso degli studenti sarà vincolato alla presentazione della tessera | ||
digitale e consentirà il riconoscimento dello status di avente diritto del titolare, | ||
la validità della stessa, e l’applicazione della tariffa cui l’utente è associato. | ||
3. Il servizio sarà svolto presso i locali mensa secondo il seguente orario: dal | ||
lunedì alla domenica, dalle ore 12:00 alle ore 14:30. | ||
4. Gli studenti universitari e gli utenti sopra indicati sono tenuti a rispettare le | ||
norme regolamentari vigenti presso la mensa aperta al pubblico della Struttura | ||
Ospedaliera Le Scotte. | ||
5. L’Azienda Regionale D.S.U. metterà a disposizione, senza alcun onere per | ||
l’AOU Senese, un sistema informatizzato di registrazione delle transazioni | ||
effettuate dagli utenti nonché i relativi apparati hardware monitor touchpad/ | ||
4 |
pos con lettore banda magnetica integrata, e i dispositivi software. Quali | ||
condizioni vincolanti di servizio, è prevista l’istallazione di una postazione di | ||
cassa fissa o mobile con linea dati DSU, per consentire l’accesso al servizio, | ||
come stabilito dall’art. 4 del Regolamento della Ristorazione Universitaria, | ||
approvato con Delibera del CDA n.1/19 del 31/01/2019. | ||
6. L'installazione di tali apparecchiature dovrà essere previamente autorizzata | ||
dalla AOU Senese e dovranno essere concordate le modalità di installazione e | ||
di ubicazione. | ||
7. La gestione amministrativa/contabile degli accessi degli studenti e di altri | ||
utenti ed i rapporti con gli stessi saranno curati dal personale della Società | ||
CAMST S.C. a r.l., appositamente formato dal personale dell’Azienda | ||
Regionale D.S.U., dotato di relativa cassa dedicata, terminale, stampante e | ||
programma messi a disposizione dall’Azienda Regionale D.S.U. La | ||
documentazione contabile mensile sarà trasmessa dalla Società CAMST S.C. | ||
a r.l. all’AOU Senese e all’Azienda Regionale D.S.U., ai fini delle verifiche e | ||
per la successiva fatturazione secondo le modalità concordate fra le Parti. | ||
8. In caso di guasto-non funzionamento del sistema di accesso informatizzato, | ||
di accesso di uno studente con badge smagnetizzato, rubato, smarrito ecc, le | ||
Parti concordano, in via eccezionale, l’uso di un modello cartaceo per la | ||
registrazione delle presenze e la fruizione del pasto alla mensa della Struttura | ||
Ospedaliera Le Scotte. Tale modello sarà inviato dalla Società CAMST S.C. a | ||
r.l. all’Azienda Regionale D.S.U. per la verifica dei nominativi e la relativa | ||
autorizzazione da inoltrare all’AOU Senese . | ||
ART. 4 – Caratteristiche del servizio e composizione del pasto | ||
1. La composizione del pasto sarà la seguente: | ||
5 |
- un primo piatto a scelta tra 2; | ||
- un secondo piatto a scelta tra 3, di cui uno freddo; | ||
- un contorno a scelta tra almeno 2; | ||
- una porzione di pane da 70 gr.; | ||
- una porzione di frutta o dessert; | ||
- acqua minerale naturale o gassata in bottiglia da 500 ml o alla spina. | ||
2. In sostituzione del pasto serale, data la chiusura della mensa in tale orario, a | ||
richiesta, agli studenti vincitori di borsa di studio fuori sede potrà essere | ||
fornito un cestino equivalente al pranzo in termini di apporto calorico: tutto | ||
ciò in conformità alle norme vigenti in materia di igiene e sicurezza | ||
alimentare. | ||
3. Le caratteristiche bromatologiche dei prodotti utilizzati e le modalità di | ||
predisposizione dei piatti per la mensa previsti nel contratto tra AOU Senese e | ||
l’aggiudicataria sono accettati dall'Azienda Regionale D.S.U. | ||
4. A livello di tipologia di pasti, le Parti, in considerazione dei costi necessari | ||
ma anche delle diverse fasce di esenzione e di reddito degli studenti e delle | ||
esperienze acquisite negli anni passati, concordano sulla seguente tipologia di | ||
pasti erogabili presso la mensa della Struttura Ospedaliera Le Scotte: | ||
- INTERO | ||
- RIDOTTO A (con primo) | ||
- RIDOTTO B (con secondo) | ||
- DA ASPORTO (in sostituzione del pasto serale solo per gli studenti | ||
vincitori di borsa di studio fuori sede). | ||
Tale tipologia di pasti potrà essere soggetta a variazioni sulla base di | ||
motivazioni tecnico-organizzative e gestionali dell’AOU Senese, comunicate | ||
6 |
all’Azienda Regionale D.S.U. con un preavviso scritto di trenta giorni. | ||
ART. 5 – Controlli sul servizio | ||
1. I controlli sul rispetto del contratto da parte dell’affidatario del servizio di | ||
ristorazione presso l’AOU Senese sono svolti dalla stessa AOU Senese quale | ||
committente del contratto di appalto pubblico, sulla base dei criteri ivi | ||
stabiliti. I risultati saranno messi a disposizione dell’Azienda Regionale | ||
D.S.U. che è comunque autorizzata ad effettuare propri controlli. | ||
ART. 6 – Contestazioni e rilievi | ||
1. Eventuali osservazioni e rilievi in ordine al servizio di ristorazione avanzati | ||
da parte dell'Azienda Regionale D.S.U. e/o degli studenti, quali utenti della | ||
mensa stessa, saranno comunicati alla AOU Senese per gli atti di competenza. | ||
ART. 7- Compensi per l’attività svolta | ||
1. L’Azienda Regionale D.S.U. per ogni pasto consegnato a ciascuno | ||
studente, distinto per tipologia e composizione, corrisponderà all'AOU Senese | ||
quanto segue: | ||
- PASTO COMPLETO € 5,01; | ||
- PASTO RIDOTTO A) € 3,71; | ||
- PASTO RIDOTTO B) € 4,88. | ||
Tali importi sono comprensivi delle spese generali accessorie per la | ||
complessiva gestione del servizio di somministrazione pasti, rilevazione e | ||
controllo accessi e di ogni altra spesa fatta eccezione per la sola IVA al 4%. | ||
2. Il costo del pasto potrà variare in relazione all’andamento dei costi | ||
contrattuali (revisione prezzi ISTAT, spending review, nuovo contratto di | ||
appalto, etc.) definiti tra AOU Senese e la Società CAMST S.C. a r.l. Tali | ||
variazioni saranno comunicate all’Azienda Regionale D.S.U. ed entreranno in | ||
7 |
vigore dal mese successivo. | ||
3. I pasti stimati ammontano presuntivamente a n. 73.200 pasti complessivi | ||
annui , suddivisi tra le varie tipologie di pasto sopra descritte. Il numero dei | ||
pasti è da considerarsi puramente indicativo poiché al momento non può | ||
essere preventivabile il perdurare dell’emergenza epidemiologica da COVID- | ||
19 che ha investito il Paese e la conseguenza che la stessa ha e avrà sulla | ||
frequentazione della didattica nei prossimi anni. | ||
ART. 8 – Modalità di fatturazione e pagamento | ||
1. L’AOU Senese emetterà mensilmente fattura riepilogativa dei pasti fruiti | ||
dagli studenti e relativa nota di credito che riporti le entrate in contante versate | ||
dai singoli studenti in base alle disposizioni dell’Azienda Regionale D.S.U. | ||
sulla compartecipazione al costo. | ||
2. Le fatture elettroniche, intestate all'Azienda Regionale per il Diritto allo | ||
Studio Universitario della Toscana - Xxxxx Xxxxxxx x. 00, Xxxxxxx, dovranno | ||
pervenire esclusivamente tramite Sistema di Interscambio (SDI) secondo le | ||
relative specifiche tecniche: | ||
- Fatturazione Elettronica sede di Siena; | ||
- Codice univoco ufficio: VNLROD; | ||
- Nome ufficio: PA_DSU_SI; | ||
3. Oltre al Codice Univoco Ufficio, che deve essere inserito obbligatoriamente | ||
nell'elemento Codice Destinatario del tracciato della fattura elettronica, dovrà, | ||
altresì, essere indicato l’oggetto della fatturazione “Accordo Azienda | ||
Regionale D.S.U. – Azienda ospedaliero-universitaria Senese – Erogazione | ||
pasti a studenti universitari presso la mensa del P.O Le Scotte”, assieme al | ||
periodo di riferimento. | ||
8 |
4. Il pagamento delle somme a ristoro previste dal presente accordo dovrà | ||
essere effettuato dall’Azienda Regionale D.S.U. entro 60 giorni dal | ||
ricevimento della fattura mediante bonifico da effettuarsi in Banca d’Italia su | ||
posizione 0306318. Sul bonifico dovrà essere riportata la seguente causale | ||
“Servizio mensa studenti universitari”. | ||
ART. 9 – Clausola di salvaguardia | ||
1. In caso di eventi straordinari, imprevisti o imprevedibili, conseguenti a | ||
riorganizzazioni aziendali, a interruzioni dell’efficacia del contratto con | ||
l’attuale aggiudicatario del servizio (risoluzione contrattuale, recesso, stato di | ||
insolvenza del fornitore etc.), a eventuali scioperi, ecc., che impediscano | ||
l’erogazione del servizio, l’AOU Senese provvederà a darne immediata | ||
comunicazione all’Azienda Regionale D.S.U. e nessuna pretesa di | ||
risarcimento o indennizzo potrà essere avanzata, a qualsiasi titolo, | ||
dall’Azienda Regionale D.S.U. nei confronti della l’AOU Senese. | ||
ART. 10 – Trattamento dati personali | ||
1. Relativamente ai dati personali trattati in funzione delle attività dedotte nel | ||
presente accordo, l’Agenzia Regionale D.S.U. si qualifica quale Titolare del | ||
trattamento, l’AOU Senese quale Responsabile del trattamento. | ||
2. Durata del trattamento, natura e finalità del trattamento, tipo di dati | ||
personali e categorie di interessati, obblighi e diritti del titolare del trattamento | ||
sono disciplinati dall’atto di cui al comma 5 del presente articolo, redatto e | ||
sottoscritto, ex art. 28, paragrafo 3, del Regolamento UE 679/2016 (RGPD), | ||
allegato A) al presente accordo. | ||
3. I dati forniti dalle Parti, e relativi ai soggetti che svolgono le attività dedotte | ||
in accordo ed a quelli che effettuano attività amministrative funzionali alla | ||
9 |
gestione del rapporto convenzionale, saranno trattati nel rispetto dei principi | ||
di liceità, correttezza, trasparenza, adeguatezza, pertinenza e necessità di cui | ||
all’art.5, paragrafo 1 del RGPD. | ||
4. Il conferimento di tali dati tra le Parti è obbligatorio al fine di adempiere a | ||
tutti gli obblighi comunque connessi alla gestione ed esecuzione del rapporto | ||
instaurato con il presente atto. Le parti si danno reciprocamente atto che le | ||
persone che agiscono per loro conto sono state informate sull’utilizzo dei | ||
propri dati personali. | ||
5. L’AOU Senese è nominata, ai sensi dell’art. 28 del Regolamento (UE) | ||
2016/679, responsabile del trattamento dei dati personali ad essa comunicati | ||
per lo svolgimento delle attività oggetto del presente accordo mediante l’atto | ||
di nomina allegato A) al presente accordo a farne parte integrante e | ||
sostanziale. | ||
ART. 11 – Decorrenza e durata | ||
1. Il presente accordo esplica la sua efficacia a decorrere dalla data di | ||
sottoscrizione e per una durata di tre anni. | ||
2. Entrambe le Parti si riservano la facoltà di recedere motivatamente dal | ||
presente accordo per il sopravvenire di circostanze impreviste o imprevedibili | ||
al momento della sottoscrizione, mediante comunicazione scritta trasmessa | ||
per posta elettronica certificata con un preavviso di giorni trenta. | ||
3. E’, inoltre, nella facoltà dell’Azienda Regionale D.S.U. risolvere | ||
anticipatamente, con un preavviso di almeno trenta giorni, il contratto, nel | ||
caso in cui il servizio non si dimostrasse più adeguato allo scopo previsto, | ||
senza che l’AOU Senese possa pretendere alcun indennizzo o compenso sotto | ||
qualsiasi forma, ritenendosi completamente tacitato con il pagamento | ||
10 |
dell'effettivo servizio prestato. | ||
4. D’intesa fra le Parti, il presente accordo fa salva l’intera attività di | ||
erogazione del servizio di ristorazione, effettuata dalla Società CAMST S.C. a | ||
r.l., successiva alla scadenza dell’accordo precedente, nelle more del | ||
perfezionamento degli atti amministrativi di stipula del nuovo accordo, in | ||
considerazione dell’assoluta necessità di garantire la continuità di un servizio | ||
di pubblico interesse. | ||
ART. 12 – Foro competente | ||
1. Per qualsiasi controversia che dovesse sorgere in dipendenza del presente | ||
accordo sarà competente il Foro di Siena. | ||
ART. 13 – Norme di rinvio | ||
1. Per quanto non espressamente previsto dal presente accordo si applicano le | ||
leggi, i decreti, le circolari vigenti e che abbiano comunque attinenza con | ||
l'oggetto del servizio stesso e al quale le Parti dovranno conformarsi. | ||
ART. 14 – Imposta di bollo e di registrazione | ||
1. Il presente Accordo tra Pubbliche Amministrazioni sarà registrato solo in | ||
caso d'uso, ai sensi degli artt. 5 e 39 del D.P.R. n. 131 del 28 aprile 1986, con | ||
oneri a carico della parte richiedente la registrazione. | ||
2. L’imposta di bollo, pari ad euro 96,00 (novantasei virgola zero), è a carico | ||
dell’Azienda Regionale D.S.U. e verrà assolta in modo virtuale giusta | ||
autorizzazione dell'Ufficio Territoriale di Firenze prot. n. 108483 del | ||
11/10/17. L’Azienda Regionale D.S.U. è tenuta a dare comunicazione | ||
all’AOU Senese dell’avvenuto adempimento dell’imposta di bollo | ||
ART. 15 – Firma digitale | ||
1. Ai sensi dell’articolo 15, comma 2 bis, della legge 7 agosto 1990, n. 241 e | ||
11 |
x.x.x. x xxxx'xxxxxxxx 00 xxx xxxxxxx legislativo 7 marzo 2005, n. 82 e s.m.i. | ||
“Codice dell’amministrazione digitale”, il presente atto è sottoscritto dalle | ||
Parti con firma digitale e si considera stipulato all’atto dell’apposizione della | ||
firma da parte del secondo firmatario. | ||
Xxxxx, approvato e sottoscritto | ||
L’Azienda ospedaliero-universitaria Senese | ||
Il Direttore Generale - Xxxx. Xxxxxxx Xxxxxx Xxxxxxxx (firma digitale) | ||
L’Azienda Regionale per il Diritto allo Studio Universitario – D.S.U. | ||
Toscana | ||
Il Presidente del Consiglio di Amministrazione – Dott. Xxxxx Xxx Xxxxxx | ||
(firma digitale) | ||
Data della seconda firma digitale | ||
12 |
ALLEGATO A | ||
Atto di nomina a Responsabile del trattamento ai sensi dell’art. 28 del | ||
Regolamento UE 2016/679 del 27 aprile 2016 a valere anche come | ||
istruzione documentata ai sensi dello stesso articolo | ||
TRA | ||
L’Azienda ospedaliero-universitaria Senese (di seguito “AOUS”) con sede a | ||
Xxxxx, Xxxxxx xxxxx Xxxxxx 00 (C.F./P.I. 00388300527) in qualità di Titolare del | ||
trattamento ai sensi del Regolamento UE 2016/679 in persona del Direttore | ||
Generale legale rappresentante pro tempore Xxxx. Xxxxxxx Xxxxxx Xxxxxxxx, | ||
nato a La Maddalena (SS) il 01/05/1970, domiciliato per la carica nella sede | ||
della stessa Azienda ospedaliero-universitaria Senese; | ||
E | ||
L’Azienda Regionale per il Diritto allo Studio Universitario, (di seguito | ||
“Azienda Regionale D.S.U.”), avente sede legale in Firenze (FI), Viale | ||
Gramsci n. 36, - codice fiscale 94164020482 - P. IVA 05913670484, in | ||
persona del Dr. Xxxxx Xxx Xxxxxx nato a Firenze il 04/05/1960, domiciliato | ||
per la carica presso la sede dell’Azienda in Xxxxx Xxxxxxx, 00, il quale | ||
interviene nella sua qualità di Presidente del Consiglio di Amministrazione, | ||
nominato con DPGR n. 149 del 10 giugno 2021; | ||
Congiuntamente indicate come le “Parti” | ||
Premesso che: | ||
- il Regolamento Europeo n. 2016/679 (di seguito RGPD), prevede all’art. 28 | ||
che i trattamenti svolti da parte del Responsabile del trattamento siano | ||
disciplinati da un contratto o altro atto giuridico vincolante per il | ||
Responsabile e che individui la materia del trattamento, la durata, la natura e | ||
13 |
la finalità, il tipo di dati personali trattati e le categorie di interessati, gli | ||
obblighi e i diritti del Titolare del trattamento; | ||
- l’Azienda Regionale D.S.U. e l’AOUS hanno sottoscritto un accordo, di | ||
durata triennale con decorrenza dalla data della seconda sottoscrizione | ||
digitale, avente ad oggetto l'erogazione del servizio di ristorazione nei | ||
confronti degli studenti universitari iscritti ai Corsi di Studio istituiti | ||
dall’Università di Siena, mediante l'accesso, nell'orario di apertura, alla mensa | ||
al pubblico, ubicata all’interno nella Struttura Ospedaliera Le Scotte, II° lotto, | ||
piano 1S; | ||
- ai fini dell’esecuzione di detto accordo, l’AOUS dovrà effettuare operazioni | ||
di trattamento dati personali per conto dell’Azienda Regionale D.S.U.; | ||
- l’Azienda Regionale D.S.U. svolge il ruolo di Titolare del trattamento in | ||
relazione ai dati personali dalla stessa trattati stabilendo autonomamente le | ||
finalità, le modalità ed i mezzi del trattamento; | ||
- l’AOUS è in possesso dei necessari requisiti di conoscenza specialistica, | ||
affidabilità e risorse tali da fornire sufficienti garanzie per mettere in atto | ||
misure tecniche ed organizzative adeguate in modo tale che il trattamento | ||
soddisfi i requisiti della normativa vigente e garantisca la tutela dei diritti | ||
dell'interessato; | ||
- l’Azienda Regionale D.S.U., in qualità di Titolare del trattamento, intende | ||
nominare l’AOUS quale Responsabile del trattamento dati e quest’ultima | ||
intende accettare tale nomina; | ||
- con riferimento alla summenzionata nomina, con la sottoscrizione del | ||
presente documento le Parti intendono regolare i reciproci rapporti in | ||
relazione al trattamento dei dati personali effettuato dall’AOUS per conto del | ||
14 |
Azienda Regionale D.S.U.; | ||
tutto ciò premesso, alla luce di quanto precede, le Parti convengono e | ||
stipulano quanto segue: | ||
ART. 1 - Oggetto, finalità e durata del trattamento | ||
L’Azienda ospedaliero-universitaria Senese (AOUS) è individuata quale | ||
Responsabile del trattamento in relazione alle attività dedotte nell’accordo in | ||
oggetto. | ||
Il presente accordo ha validità per il tempo necessario ad eseguire le attività | ||
affidate al responsabile, e si considera venuto meno al termine delle attività | ||
stesse o qualora venga meno il rapporto con il Titolare. | ||
Il Responsabile del trattamento, per l’espletamento delle operazioni affidategli | ||
dall’Azienda, tratta i seguenti tipi di dati : | ||
- dati comuni (nome, cognome, numero di matricola, ecc.). | ||
I suddetti dati sono relativi alle seguenti categorie di interessati: | ||
- studenti universitari iscritti ai Corsi di Studio istituiti dall’Università di | ||
Siena; | ||
- altri utenti individuati all’art. 2 dell’Accordo tra l'AOUS e l'Azienda | ||
Regionale D.S.U. per l'accesso degli utenti indicati dall'Azienda Regionale | ||
D.S.U. al servizio mensa aperta al pubblico della Struttura Ospedaliera Le | ||
Scotte. | ||
ART. 2 - Obblighi del Responsabile e modalità di trattamento | ||
Il Responsabile del trattamento è tenuto a: | ||
- organizzare, gestire e supervisionare tutte le operazioni di trattamento di | ||
competenza attenendosi ai principi generali e alle disposizioni della vigente | ||
normativa in materia di protezione dei dati personali, ovvero, assicurare che i | ||
15 |
dati personali oggetto del trattamento siano: | ||
_ trattati in modo lecito e secondo correttezza; | ||
_ raccolti e registrati per scopi determinati, espliciti e legittimi; a tale | ||
riguardo, l'utilizzazione di dati personali e di dati identificativi dovrà essere | ||
ridotta al minimo, in modo da escludere il trattamento quando le finalità | ||
perseguite nei singoli casi possono essere realizzate mediante dati anonimi, | ||
ovvero adottando modalità che permettano di identificare gli interessati solo | ||
in caso di necessità; | ||
_ esatti e, se necessario, aggiornati; | ||
_ pertinenti, completi e non eccedenti rispetto alle finalità del trattamento; | ||
- effettuare il trattamento dei dati con logiche e modalità strettamente ed | ||
esclusivamente correlate alle finalità di cui all’art. 1, per il tempo strettamente | ||
necessario per il perseguimento delle finalità connesse, garantendo il pieno | ||
rispetto delle istruzioni ricevute; | ||
- informare immediatamente l’Azienda qualora, a suo parere, l’applicazione di | ||
una sua istruzione possa violare, nel concreto contesto operativo, le | ||
disposizioni in materia di protezione dei dati personali; | ||
- tenere il Registro delle attività di trattamento, ex art. 30 par. 2 del RGPD; | ||
- conservare e custodire con diligenza, prudenza e perizia, i dati personali | ||
oggetto del trattamento; | ||
- cancellare in caso di cessazione del rapporto convenzionale in essere, | ||
l’eventuale documentazione, su qualsiasi supporto, relativa a qualsiasi dato | ||
personale di cui sia entrato in possesso, senza che alcun dato possa essere | ||
direttamente o indirettamente detenuto; | ||
- mantenere riservati, non comunicare e diffondere a terzi i dati personali e le | ||
16 |
informazioni di cui è venuto a conoscenza per effetto del trattamento; | ||
- non utilizzare i dati personali e le informazioni, anche se in forma | ||
anonimizzata o pseudonimizzata, comprese le eventuali elaborazioni | ||
realizzate su disposizione dell’Azienda; | ||
- assistere l’Azienda nel garantire il rispetto degli obblighi relativi alla | ||
sicurezza del trattamento, alla notifica di una violazione dei dati personali | ||
all’autorità di controllo, alla comunicazione di una violazione di dati personali | ||
all’interessato; | ||
- garantire all'interessato che ne faccia richiesta l'effettivo esercizio dei diritti | ||
ad esso riconosciuti dalla normativa vigente; | ||
- attenersi alle specifiche disposizioni previste per il trasferimento di dati | ||
all’estero, qualora necessario, ed a non effettuare in alcun caso operazioni di | ||
diffusione dei dati stessi. | ||
ART. 3 - Soggetti autorizzati al trattamento dei dati | ||
Il Responsabile del trattamento si impegna: | ||
- ad individuare quali soggetti autorizzati al trattamento coloro che, a | ||
qualunque titolo, devono compiere per suo conto operazioni del trattamento | ||
e/o attuare compiti relativi alla protezione e alla libera circolazione dei dati e | ||
ad impartire loro idonee istruzioni; | ||
- a fornire specifica ed adeguata formazione agli autorizzati al trattamento dei | ||
dati oggetto del contratto ed impartendo loro, per iscritto, appropriate e | ||
complete istruzioni su come svolgere correttamente ed in modo lecito tale | ||
trattamento; | ||
- a garantire che i propri dipendenti e/o collaboratori che operano a vario titolo | ||
nell’ambito del rapporto in essere con le Aziende, siano dotati di esperienza, | ||
17 |
capacità e affidabilità con riferimento alla gestione dei sistemi informatici, | ||
nonché con riferimento alla normativa in materia di protezione dei dati | ||
personali, in particolare per quanto attiene alle misure di sicurezza previste. | ||
ART. 4 - Trasferimento verso paesi terzi o organizzazioni internazionali | ||
Il Responsabile si impegna a circoscrivere gli ambiti di circolazione e | ||
trattamento dei dati personali (es. memorizzazione, archiviazione, | ||
conservazione dei dati sui propri server) ai Paesi facenti parte dell’Unione | ||
Europea, con espresso divieto di trasferirli in Paesi extra UE che non | ||
garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza | ||
di strumenti di tutela previsti dal Regolamento UE 2016/679 (Paese terzo | ||
giudicato adeguato dalla Commissione europea, clausole contrattuali modello, | ||
consenso degli interessati, ecc.). | ||
Il Responsabile pertanto non dovrà trasferire o effettuare il trattamento dei | ||
dati personali del Titolare del trattamento al di fuori dell’Unione Europea per | ||
nessuna ragione, in assenza di autorizzazione scritta da parte del Titolare. | ||
Qualora, in corso di esecuzione del contratto, il Titolare rilasci tale | ||
autorizzazione, e venga pertanto effettuato un trasferimento di dati personali | ||
del Titolare del trattamento al di fuori dell’Unione Europea, tale trasferimento | ||
dovrà rispettare le previsioni di cui al Regolamento UE 2016/679. | ||
Resta inteso fra le Parti che il Responsabile dovrà garantire che adeguate | ||
cautele siano approntate per il trasferimento dei dati nei suddetti paesi esteri | ||
mediante verifica della presenza di una decisione di adeguatezza, o | ||
dell’adozione delle c.d. “Standard Contractual Clauses” approvate dalla | ||
Commissione Europea o di clausole contrattuali standard ai sensi dell’Art. 46 | ||
del RGPD, o di qualsiasi altro fondamento giuridico esplicitamente | ||
18 |
consentito dal RGPD, e che i metodi di trasferimento impiegati consentano il | ||
mantenimento di costanti e documentabili standard di validità per tutta la | ||
durata del presente atto di nomina. Il Responsabile è obbligato a comunicare | ||
immediatamente al Titolare il verificarsi delle seguenti fattispecie: | ||
a) mancato rispetto delle clausole contrattuali standard di cui sopra; | ||
b) qualsiasi modifica dei metodi e delle finalità di trasferimento dei dati | ||
personali del Titolare all’estero. | ||
ART. 5 - Misure di sicurezza | ||
Con riguardo alle misure di sicurezza da osservare nel trattamento dei dati e | ||
allo scopo di ridurre al minimo i rischi di distruzione o perdita, anche | ||
accidentale dei dati, di accesso non autorizzato, di trattamento non consentito | ||
o non conforme alle finalità ivi previste, il Responsabile del trattamento si | ||
impegna: | ||
- ad adottare adeguate ed idonee misure tecniche ed organizzative, curandone | ||
il rispetto e l’applicazione da parte degli autorizzati al trattamento, | ||
effettuando, altresì controlli sull’operato dei medesimi; | ||
- a verificare periodicamente e, ove necessario, ad adeguare le misure di | ||
sicurezza con riferimento all’analisi dei rischi aziendali, all’evolversi della | ||
normativa e al progredire dello sviluppo tecnologico; | ||
- a garantire le evidenze e la documentazione comprovanti l’adozione delle | ||
misure tecniche ed organizzative idonee. | ||
ART. 6 - Nomina dei sub Responsabili del trattamento | ||
Il Responsabile del trattamento è autorizzato a ricorrere, ai sensi di quanto | ||
previsto dall’art. 28 par. 4 del RGPD, ad altro soggetto (di seguito sub | ||
Responsabile del trattamento) per l’esecuzione di specifiche attività di | ||
19 |
trattamento per conto dell’Azienda, disciplinando il rapporto con atto | ||
giuridico o contratto teso a circoscrivere i rispettivi ambiti di responsabilità | ||
adottando nei confronti dello stesso gli stessi obblighi in materia di protezione | ||
di dati personali già in capo al Responsabile del trattamento e derivanti dalla | ||
sottoscrizione del presente atto. | ||
Il Responsabile del trattamento dovrà assicurare che il sub Responsabile del | ||
trattamento offra garanzie sufficienti di affidabilità e riservatezza e metta in | ||
atto misure tecniche ed organizzative adeguate in modo tale che il trattamento | ||
soddisfi i requisiti del RGPD e che cancelli i dati personali oggetto dei | ||
trattamenti e le eventuali copie al termine della prestazione del servizio. | ||
Il Responsabile del trattamento dovrà trasmettere all’Azienda la | ||
denominazione del sub Responsabile. | ||
ART. 7 - Responsabilità | ||
Il Responsabile del trattamento risponde per il danno causato dal trattamento | ||
se non ha adempiuto agli obblighi del RGPD specificatamente diretti al | ||
responsabile del trattamento, o ha agito in modo difforme o contrario rispetto | ||
alle istruzioni offerte dall’Azienda. | ||
Il Responsabile del trattamento si obbliga a tenere manlevata ed indenne | ||
l’Azienda da ogni responsabilità o danno, anche nei confronti di terzi, e da | ||
qualunque somma che il Responsabile del trattamento dovesse essere | ||
condannato a pagare, derivante direttamente o indirettamente da fatti attivi o | ||
omissivi ad esso imputabili esclusivamente, commessi anche dai dipendenti | ||
e/o collaboratori che operano a vario titolo come autorizzati al trattamento dei | ||
dati, ivi inclusi i danni derivanti dalla perdita, sottrazione, deterioramento e/o | ||
distruzione dei dati trattati. | ||
20 |
Il Responsabile del trattamento conserva nei confronti dell’Azienda l’intera | ||
responsabilità dell’adempimento degli obblighi del sub Responsabile del | ||
trattamento, qualora quest’ultimo ometta di adempiere agli obblighi in materia | ||
di protezione dei dati declinati nel RGPD o nel presente atto. | ||
ART. 8 - Data breach | ||
Il Responsabile trasmette al Titolare del trattamento, senza ingiustificato | ||
ritardo, notizia di ogni violazione dei dati personali di cui sia venuto a | ||
conoscenza, specificando le seguenti informazioni: | ||
- la natura della violazione dei dati personali, compresi, ove possibile, le | ||
categorie e il numero approssimativo di interessati in questione nonché le | ||
categorie e il numero approssimativo di registrazioni dei dati personali in | ||
questione; | ||
- il nome e i dati di contatto del responsabile della protezione dei dati o di | ||
altro punto di contatto presso il Responsabile da cui ottenere più informazioni; | ||
- le probabili conseguenze della violazione dei dati personali; | ||
- le misure adottate o di cui si propone l’adozione da parte del Titolare del | ||
trattamento per porre rimedio alla violazione dei dati personali e anche, se del | ||
caso, per attenuarne i possibili effetti negativi. | ||
Tali informazioni, o alcune di esse, qualora non possano essere fornite | ||
contestualmente, possono essere trasmesse al Titolare in fasi successive, senza | ||
ulteriore ingiustificato ritardo. Il Responsabile si impegna inoltre a: | ||
- fornire ove possibile assistenza al Titolare del trattamento per far fronte alla | ||
violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti; | ||
- attivarsi per mitigare, ove possibile, gli effetti delle violazioni proponendo | ||
tempestive azioni correttive al Titolare ed attuando tempestivamente tutte le | ||
21 |
azioni correttive approvate e/o richieste dal Titolare stesso. | ||
ART. 9 - Restituzione o cancellazione dei dati | ||
Al termine delle operazioni di trattamento affidate, nonché all’atto della | ||
cessazione per qualunque causa del trattamento da parte del Responsabile, | ||
questi provvederà, così come determinato dal Titolare ed entro il termine da | ||
questi indicato, alla restituzione dei dati, comprese le eventuali copie di | ||
backup e tutta la documentazione cartacea. | ||
Sono fatti salvi obblighi di conservazione previsti dalla normativa, obblighi | ||
che il Responsabile è tenuto ad evidenziare e motivare impegnandosi | ||
comunque a non compiere sui dati conservati, e a non consentire ai propri | ||
sub-Responsabili, operazioni di trattamento per qualsivoglia ulteriore finalità | ||
ART. 10 - Accettazione della nomina | ||
Con la sottoscrizione del presente atto, ai sensi dell’art.28 del Regolamento | ||
UE 2016/679, il Responsabile accetta la propria nomina, in relazione ai dati | ||
personali la cui conoscenza risulta essere indispensabile per l’adempimento | ||
delle obbligazioni di cui al Contratto in essere tra le Parti. Il Responsabile è a | ||
conoscenza degli obblighi previsti dal Regolamento UE 2016/679 e dal | ||
D.Lgs. n.196/2003 "Codice in materia di protezione dei dati personali, recante | ||
disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento | ||
(UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, | ||
relativo alla protezione delle persone fisiche con riguardo al trattamento dei | ||
dati personali, nonché alla libera circolazione di tali dati e che abroga la | ||
direttiva 95/46/CE", e dovrà attenersi per lo svolgimento dei compiti | ||
assegnatigli alle previsioni e ai compiti contenuti nel presente atto di nomina. | ||
La presente nomina avrà durata fino alla cessazione, per qualsivoglia motivo, | ||
22 |
del contratto in essere tra le Parti. | ||
ART. 11 - Disposizioni finali | ||
Il presente atto di nomina non comporta alcun diritto per il Responsabile a | ||
uno specifico compenso o indennità o rimborso per l’attività svolta, né ad un | ||
incremento del compenso spettante allo stesso in virtù delle relazioni | ||
contrattuali con il Titolare | ||
Il presente atto di nomina sarà registrato in caso d'uso. | ||
In base all'articolo 15, comma 2 bis, della legge 7 agosto 1990, n. 241 e | ||
ss.mm.ii. “Nuove norme in materia di procedimento amministrativo e di | ||
diritto di accesso ai documenti amministrativi”, il presente atto è sottoscritto | ||
dalle Parti con firma digitale, ai sensi dell'articolo 24 del decreto legislativo 7 | ||
marzo 2005, n. 82 e ss.mm.ii. “Codice dell'amministrazione digitale”. | ||
L’Azienda ospedaliero-universitaria Senese | ||
Il Direttore Generale – Xxxx. Xxxxxxx Xxxxxx Xxxxxxxx (firma digitale) | ||
L’Azienda Regionale per il Diritto allo Studio Universitario – D.S.U. | ||
Toscana | ||
Il Presidente del Consiglio di Amministrazione - Dr. Xxxxx Xxx Xxxxxx | ||
(firma digitale) | ||
Data della seconda firma digitale | ||
23 |
ALLEGATO A | ||
Atto di nomina a Responsabile del trattamento ai sensi dell’art. 28 del | ||
Regolamento UE 2016/679 del 27 aprile 2016 a valere anche come | ||
istruzione documentata ai sensi dello stesso articolo | ||
TRA | ||
L’Azienda ospedaliero-universitaria Senese (di seguito “AOUS”) con sede a | ||
Xxxxx, Xxxxxx xxxxx Xxxxxx 00 (C.F./P.I. 00388300527) in qualità di Titolare del | ||
trattamento ai sensi del Regolamento UE 2016/679 in persona del Direttore | ||
Generale legale rappresentante pro tempore Xxxx. Xxxxxxx Xxxxxx Xxxxxxxx, | ||
nato a La Maddalena (SS) il 01/05/2021, domiciliato per la carica nella sede | ||
della stessa Azienda ospedaliero-universitaria Senese; | ||
E | ||
L’Azienda Regionale per il Diritto allo Studio Universitario, (di seguito | ||
“Azienda Regionale D.S.U.”), avente sede legale in Firenze (FI), Viale | ||
Gramsci n. 36, - codice fiscale 94164020482 - P. IVA 05913670484, in | ||
persona del Dr. Xxxxx Xxx Xxxxxx nato a Firenze il 04/05/1960, domiciliato | ||
per la carica presso la sede dell’Azienda in Xxxxx Xxxxxxx, 00, il quale | ||
interviene nella sua qualità di Presidente del Consiglio di Amministrazione, | ||
nominato con DPGR n. 149 del 10 giugno 2021; | ||
Congiuntamente indicate come le “Parti” | ||
Premesso che: | ||
- il Regolamento Europeo n. 2016/679 (di seguito RGPD), prevede all’art. 28 | ||
che i trattamenti svolti da parte del Responsabile del trattamento siano | ||
disciplinati da un contratto o altro atto giuridico vincolante per il | ||
Responsabile e che individui la materia del trattamento, la durata, la natura e | ||
1 |
la finalità, il tipo di dati personali trattati e le categorie di interessati, gli | ||
obblighi e i diritti del Titolare del trattamento; | ||
- l’Azienda Regionale D.S.U. e l’AOUS hanno sottoscritto una convenzione, | ||
di durata triennale con decorrenza dalla data della seconda sottoscrizione | ||
digitale, avente ad oggetto l'erogazione del servizio di ristorazione nei | ||
confronti degli studenti universitari iscritti ai Corsi di Studio istituiti | ||
dall’Università di Siena, mediante l'accesso, nell'orario di apertura, alla mensa | ||
al pubblico, ubicata all’interno nella Struttura Ospedaliera Le Scotte, II° lotto, | ||
piano 1S; | ||
- ai fini dell’esecuzione di detta convenzione, l’AOUS dovrà effettuare | ||
operazioni di trattamento dati personali per conto dell’Azienda Regionale | ||
D.S.U.; | ||
- l’Azienda Regionale D.S.U. svolge il ruolo di Titolare del trattamento in | ||
relazione ai dati personali dalla stessa trattati stabilendo autonomamente le | ||
finalità, le modalità ed i mezzi del trattamento; | ||
- l’AOUS è in possesso dei necessari requisiti di conoscenza specialistica, | ||
affidabilità e risorse tali da fornire sufficienti garanzie per mettere in atto | ||
misure tecniche ed organizzative adeguate in modo tale che il trattamento | ||
soddisfi i requisiti della normativa vigente e garantisca la tutela dei diritti | ||
dell'interessato; | ||
- l’Azienda Regionale D.S.U., in qualità di Titolare del trattamento, intende | ||
nominare l’AOUS quale Responsabile del trattamento dati e quest’ultimo | ||
intende accettare tale nomina; | ||
- con riferimento alla summenzionata nomina, con la sottoscrizione del | ||
presente documento le Parti intendono regolare i reciproci rapporti in | ||
2 |
relazione al trattamento dei dati personali effettuato dall’AOUS per conto del | ||
Azienda Regionale D.S.U.; | ||
tutto ciò premesso, alla luce di quanto precede, le Parti convengono e | ||
stipulano quanto segue: | ||
ART. 1 - (Oggetto, finalità e durata del trattamento) | ||
L’Azienda ospedaliero-universitaria Senese è individuata quale Responsabile | ||
del trattamento in relazione alle attività dedotte nella convenzione in oggetto. | ||
Il presente accordo ha validità per il tempo necessario ad eseguire le attività | ||
affidate al responsabile, e si considera venuto meno al termine delle attività | ||
stesse o qualora venga meno il rapporto con il Titolare. | ||
Il Responsabile del trattamento, per l’espletamento delle operazioni affidategli | ||
dall’Azienda, tratta i seguenti tipi di dati : | ||
- dati comuni (ad. nome, cognome, numero di matricola, ecc.) | ||
I suddetti dati sono relativi alle seguenti categorie di interessati: | ||
- studenti universitari iscritti ai Corsi di Studio istituiti dall’Università di | ||
Siena; | ||
- altri utenti individuati all’art. 2 dell’Accordo tra l'AOUS e l'Azienda | ||
Regionale D.S.U. per l'accesso degli utenti indicati dall'Azienda Regionale per | ||
il Diritto allo Studio Universitario al servizio mensa aperta al pubblico della | ||
Struttura Ospedaliera Le Scotte. | ||
ART. 2 - (Obblighi del Responsabile e modalità di trattamento) | ||
Il Responsabile del trattamento è tenuto a: | ||
_ organizzare, gestire e supervisionare tutte le operazioni di trattamento di | ||
competenza attenendosi ai principi generali e alle disposizioni della vigente | ||
normativa in materia di protezione dei dati personali, ovvero, assicurare che i | ||
3 |
dati personali oggetto del trattamento siano: | ||
_ trattati in modo lecito e secondo correttezza; | ||
_ raccolti e registrati per scopi determinati, espliciti e legittimi; a tale | ||
riguardo, l'utilizzazione di dati personali e di dati identificativi dovrà essere | ||
ridotta al minimo, in modo da escludere il trattamento quando le finalità | ||
perseguite nei singoli casi possono essere realizzate mediante dati anonimi, | ||
ovvero adottando modalità che permettano di identificare gli interessati solo | ||
in caso di necessità; | ||
_ esatti e, se necessario, aggiornati; | ||
_ pertinenti, completi e non eccedenti rispetto alle finalità del trattamento; | ||
_ effettuare il trattamento dei dati con logiche e modalità strettamente ed | ||
esclusivamente correlate alle finalità di cui all’art. 1, per il tempo strettamente | ||
necessario per il perseguimento delle finalità connesse, garantendo il pieno | ||
rispetto delle istruzioni ricevute; | ||
_ informare immediatamente l’Azienda qualora, a suo parere, l’applicazione | ||
di una sua istruzione possa violare, nel concreto contesto operativo, le | ||
disposizioni in materia di protezione dei dati personali; | ||
_ tenere il Registro delle attività di trattamento, ex art. 30 par. 2 del RGPD; | ||
_ conservare e custodire con diligenza, prudenza e perizia, i dati personali | ||
oggetto del trattamento; | ||
_ cancellare in caso di cessazione del rapporto convenzionale in essere, | ||
l’eventuale documentazione, su qualsiasi supporto, relativa a qualsiasi dato | ||
personale di cui sia entrato in possesso, senza che alcun dato possa essere | ||
direttamente o indirettamente detenuto; | ||
_ mantenere riservati, non comunicare e diffondere a terzi i dati personali e le | ||
4 |
informazioni di cui è venuto a conoscenza per effetto del trattamento; | ||
_ non utilizzare i dati personali e le informazioni, anche se in forma | ||
anonimizzata o pseudonimizzata, comprese le eventuali elaborazioni | ||
realizzate su disposizione dell’Azienda; | ||
_ assistere l’Azienda nel garantire il rispetto degli obblighi relativi alla | ||
sicurezza del trattamento, alla notifica di una violazione dei dati personali | ||
all’autorità di controllo, alla comunicazione di una violazione di dati personali | ||
all’interessato; | ||
_ garantire all'interessato che ne faccia richiesta l'effettivo esercizio dei diritti | ||
ad esso riconosciuti dalla normativa vigente; | ||
_ attenersi alle specifiche disposizioni previste per il trasferimento di dati | ||
all’estero, qualora necessario, ed a non effettuare in alcun caso operazioni di | ||
diffusione dei dati stessi. | ||
ART. 3 - (Soggetti autorizzati al trattamento dei dati) | ||
Il Responsabile del trattamento si impegna: | ||
_ ad individuare quali soggetti autorizzati al trattamento coloro che, a | ||
qualunque titolo, devono compiere per suo conto operazioni del trattamento | ||
e/o attuare compiti relativi alla protezione e alla libera circolazione dei dati e | ||
ad impartire loro idonee istruzioni; | ||
_ a fornire specifica ed adeguata formazione agli autorizzati al trattamento dei | ||
dati oggetto del contratto ed impartendo loro, per iscritto, appropriate e | ||
complete istruzioni su come svolgere correttamente ed in modo lecito tale | ||
trattamento; | ||
_ a garantire che i propri dipendenti e/o collaboratori che operano a vario | ||
titolo nell’ambito del rapporto in essere con le Aziende, siano dotati di | ||
5 |
esperienza, capacità e affidabilità con riferimento alla gestione dei sistemi | ||
informatici, nonché con riferimento alla normativa in materia di protezione | ||
dei dati personali, in particolare per quanto attiene alle misure di sicurezza | ||
previste. | ||
ART. 4 - (Trasferimento verso paesi terzi o organizzazioni internazionali) | ||
Il Responsabile si impegna a circoscrivere gli ambiti di circolazione e | ||
trattamento dei dati personali (es. memorizzazione, archiviazione, | ||
conservazione dei dati sui propri server) ai Paesi facenti parte dell’Unione | ||
Europea, con espresso divieto di trasferirli in Paesi extra UE che non | ||
garantiscano (o in assenza di) un livello adeguato di tutela, ovvero, in assenza | ||
di strumenti di tutela previsti dal Regolamento UE 2016/679 (Paese terzo | ||
giudicato adeguato dalla Commissione europea, clausole contrattuali modello, | ||
consenso degli interessati, ecc.). | ||
Il Responsabile pertanto non dovrà trasferire o effettuare il trattamento dei | ||
dati personali del Titolare del trattamento al di fuori dell’Unione Europea per | ||
nessuna ragione, in assenza di autorizzazione scritta da parte del Titolare. | ||
Qualora, in corso di esecuzione del contratto, il Titolare rilasci tale | ||
autorizzazione, e venga pertanto effettuato un trasferimento di dati personali | ||
del Titolare del trattamento al di fuori dell’Unione Europea, tale trasferimento | ||
dovrà rispettare le previsioni di cui al Regolamento UE 2016/679. | ||
Resta inteso fra le Parti che il Responsabile dovrà garantire che adeguate | ||
cautele siano approntate per il trasferimento dei dati nei suddetti paesi esteri | ||
mediante verifica della presenza di una decisione di adeguatezza, o | ||
dell’adozione delle c.d. “Standard Contractual Clauses” approvate dalla | ||
Commissione Europea o di clausole contrattuali standard ai sensi dell’Art. 46 | ||
6 |
del RGPD, o di qualsiasi altro fondamento giuridico esplicitamente | ||
consentito dal RGPD, e che i metodi di trasferimento impiegati consentano il | ||
mantenimento di costanti e documentabili standard di validità per tutta la | ||
durata del presente atto di nomina. Il Responsabile è obbligato a comunicare | ||
immediatamente al Titolare e il verificarsi delle seguenti fattispecie: | ||
a) mancato rispetto delle clausole contrattuali standard di cui sopra; | ||
b) qualsiasi modifica dei metodi e delle finalità di trasferimento dei dati | ||
personali del Titolare all’estero.. | ||
ART. 5 - (Misure di sicurezza) | ||
Con riguardo alle misure di sicurezza da osservare nel trattamento dei dati e | ||
allo scopo di ridurre al minimo i rischi di distruzione o perdita, anche | ||
accidentale dei dati, di accesso non autorizzato, di trattamento non consentito | ||
o non conforme alle finalità ivi previste, il Responsabile del trattamento si | ||
impegna: | ||
_ ad adottare adeguate ed idonee misure tecniche ed organizzative, curandone | ||
il rispetto e l’applicazione da parte degli autorizzati al trattamento, | ||
effettuando, altresì controlli sull’operato dei medesimi; | ||
_ a verificare periodicamente e, ove necessario, ad adeguare le misure di | ||
sicurezza con riferimento all’analisi dei rischi aziendali, all’evolversi della | ||
normativa e al progredire dello sviluppo tecnologico; | ||
_ a garantire le evidenze e la documentazione comprovanti l’adozione delle | ||
misure tecniche ed organizzative idonee. | ||
ART. 6 - (Nomina dei sub Responsabili del trattamento) | ||
Il Responsabile del trattamento è autorizzato a ricorrere, ai sensi di quanto | ||
previsto dall’art. 28 par. 4 del RGPD, ad altro soggetto (di seguito sub | ||
7 |
Responsabile del trattamento) per l’esecuzione di specifiche attività di | ||
trattamento per conto dell’Azienda, disciplinando il rapporto con atto | ||
giuridico o contratto teso a circoscrivere i rispettivi ambiti di responsabilità | ||
adottando nei confronti dello stesso gli stessi obblighi in materia di protezione | ||
di dati personali già in capo al Responsabile del trattamento e derivanti dalla | ||
sottoscrizione del presente atto. | ||
Il Responsabile del trattamento dovrà assicurare che il sub Responsabile del | ||
trattamento offra garanzie sufficienti di affidabilità e riservatezza e metta in | ||
atto misure tecniche ed organizzative adeguate in modo tale che il trattamento | ||
soddisfi i requisiti del RGPD e che cancelli i dati personali oggetto dei | ||
trattamenti e le eventuali copie al termine della prestazione del servizio. | ||
Il Responsabile del trattamento dovrà trasmettere all’Azienda la | ||
denominazione del sub Responsabile. | ||
ART. 7 - (Responsabilità) | ||
Il Responsabile del trattamento risponde per il danno causato dal trattamento | ||
se non ha adempiuto agli obblighi del RGPD specificatamente diretti al | ||
responsabile del trattamento, o ha agito in modo difforme o contrario rispetto | ||
alle istruzioni offerte dall’Azienda. | ||
Il Responsabile del trattamento si obbliga a tenere manlevata ed indenne | ||
l’Azienda da ogni responsabilità o danno, anche nei confronti di terzi, e da | ||
qualunque somma che il Responsabile del trattamento dovesse essere | ||
condannato a pagare, derivante direttamente o indirettamente da fatti attivi o | ||
omissivi ad esso imputabili esclusivamente, commessi anche dai dipendenti | ||
e/o collaboratori che operano a vario titolo come autorizzati al trattamento dei | ||
dati, ivi inclusi i danni derivanti dalla perdita, sottrazione, deterioramento e/o | ||
8 |
distruzione dei dati trattati. | ||
Il Responsabile del trattamento conserva nei confronti dell’Azienda l’intera | ||
responsabilità dell’adempimento degli obblighi del sub Responsabile del | ||
trattamento, qualora quest’ultimo ometta di adempiere agli obblighi in materia | ||
di protezione dei dati declinati nel RGPD o nel presente atto. | ||
ART. 8 - (Data breach) | ||
Il Responsabile trasmette al Titolare del trattamento, senza ingiustificato | ||
ritardo, notizia di ogni violazione dei dati personali di cui sia venuto a | ||
conoscenza, specificando le seguenti informazioni: | ||
_ la natura della violazione dei dati personali, compresi, ove possibile, le | ||
categorie e il numero approssimativo di interessati in questione nonché le | ||
categorie e il numero approssimativo di registrazioni dei dati personali in | ||
questione; | ||
_ il nome e i dati di contatto del responsabile della protezione dei dati o di | ||
altro punto di contatto presso il Responsabile da cui ottenere più informazioni; | ||
_ le probabili conseguenze della violazione dei dati personali; | ||
_ le misure adottate o di cui si propone l’adozione da parte del Titolare del | ||
trattamento per porre rimedio alla violazione dei dati personali e anche, se del | ||
caso, per attenuarne i possibili effetti negativi. | ||
Tali informazioni, o alcune di esse, qualora non possano essere fornite | ||
contestualmente, possono essere trasmesse al Titolare in fasi successive, senza | ||
ulteriore ingiustificato ritardo. Il Responsabile si impegna inoltre a: | ||
- fornire ove possibile assistenza al Titolare del trattamento per far fronte alla | ||
violazione e alle sue conseguenze soprattutto in capo agli interessati coinvolti; | ||
- attivarsi per mitigare, ove possibile, gli effetti delle violazioni proponendo | ||
9 |
tempestive azioni correttive al Titolare ed attuando tempestivamente tutte le | ||
azioni correttive approvate e/o richieste dal Titolare stesso. | ||
ART. 9 - (Restituzione o cancellazione dei dati) | ||
Al termine delle operazioni di trattamento affidate, nonché all’atto della | ||
cessazione per qualunque causa del trattamento da parte del Responsabile, | ||
questi provvederà, così come determinato dal Titolare ed entro il termine da | ||
questi indicato, alla restituzione dei dati, comprese le eventuali copie di | ||
backup e tutta la documentazione cartacea. | ||
Sono fatti salvi obblighi di conservazione previsti dalla normativa, obblighi | ||
che il Responsabile è tenuto ad evidenziare e motivare impegnandosi | ||
comunque a non compiere sui dati conservati, e a non consentire ai propri | ||
sub-Responsabili, operazioni di trattamento per qualsivoglia ulteriore finalità | ||
ART. 10 - (Accettazione della nomina) | ||
Con la sottoscrizione del presente atto, ai sensi dell’art.28 del Regolamento | ||
UE 2016/679, il Responsabile accetta la propria nomina, in relazione ai dati | ||
personali la cui conoscenza risulta essere indispensabile per l’adempimento | ||
delle obbligazioni di cui al Contratto in essere tra le Parti. Il Responsabile è a | ||
conoscenza degli obblighi previsti dal Regolamento UE 2016/679 e dal | ||
D.Lgs. n.196/2003 "Codice in materia di protezione dei dati personali, recante | ||
disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento | ||
(UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, | ||
relativo alla protezione delle persone fisiche con riguardo al trattamento dei | ||
dati personali, nonché alla libera circolazione di tali dati e che abroga la | ||
direttiva 95/46/CE", e dovrà attenersi per lo svolgimento dei compiti | ||
assegnatigli alle previsioni e ai compiti contenuti nel presente atto di nomina. | ||
10 |
La presente nomina avrà durata fino alla cessazione, per qualsivoglia motivo, | ||
del contratto in essere tra le Parti. | ||
ART. 11 - (Disposizioni finali) | ||
Il presente atto di nomina non comporta alcun diritto per il Responsabile a | ||
uno specifico compenso o indennità o rimborso per l’attività svolta, né ad un | ||
incremento del compenso spettante allo stesso in virtù delle relazioni | ||
contrattuali con il Titolare | ||
Il presente atto di nomina sarà registrato in caso d'uso. | ||
In base all'articolo 15 comma 2 bis della legge 7 agosto 1990, n. 241 e | ||
ss.mm.ii. “Nuove norme in materia di procedimento amministrativo e di | ||
diritto di accesso ai documenti amministrativi”, il presente atto è sottoscritto | ||
dalle Parti con firma digitale, ai sensi dell'articolo 24 del decreto legislativo 7 | ||
marzo 2005, n. 82 e ss.mm.ii. “Codice dell'amministrazione digitale”. | ||
Azienda ospedaliero-universitaria Senese | ||
Il Direttore Generale – Xxxx. Xxxxxxx Xxxxxx Xxxxxxxx (firma digitale) | ||
Azienda Regionale per il Diritto allo Studio Universitario – | ||
Il Presidente del Consiglio di Amministrazione - Dr. Xxxxx Xxx Xxxxxx | ||
(firma digitale) | ||
Data della seconda firma digitale | ||
11 |