Oggetto: CONTRATTO DI NOMINA RESPONSABILE ESTERNO DEL TRATTAMENTO A FAVORE DI NUME PLUS SRL

Oggetto: CONTRATTO DI NOMINA RESPONSABILE ESTERNO DEL TRATTAMENTO A FAVORE DI NUME PLUS SRL

DELIBERA DEL DIRETTORE GENERALE 97 / 2021 del 23/03/2021

OGGETTO: CONTRATTO DI NOMINA RESPONSABILE ESTERNO DEL TRATTAMENTO A FAVORE DI NUME PLUS SRL

vista la seguente proposta di deliberazione n. 170/2021, avanzata dal Direttore della Struttura Complessa Affari Generali e Legali

IL DIRETTORE GENERALE

VISTI:

• il Regolamento (UE) 2016/679 del 27.04.2016 “Regolamento generale in materia di protezione dati personali”;

• il D.Lgs. 196/2003 “Codice in materia di protezione dei dati personali”, come modificato dal X.Xxx. 101/2018 “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati);

CONSIDERATO che, ai sensi della citata normativa in materia di protezione dati personali, qualora un trattamento dati debba essere effettuato per conto del Titolare del trattamento, quest’ultimo, ai sensi dell’art. 28 del GDPR, deve nominare un Responsabile del trattamento che presenti garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale da soddisfare i requisiti previsti dal Regolamento stesso;

ATTESO CHE:

• AREU è un’Agenzia Sanitaria costituita dalla Xxxxxxx Xxxxxxxxx (X.X. 00.00.0000, x. 00 come modificata dalla L.R. n. 22 del 10.12.2019 “Seconda legge di semplificazione 2019”), nonché ai sensi della DGR 2701 del 23.12.2019 “Costituzione Agenzia Regionale Emergenza Urgenza (AREU)”) con il compito di coordinare e promuovere l’evoluzione del sistema di emergenza urgenza sanitaria territoriale sull’intero territorio di riferimento, sviluppando l’integrazione a rete dell’assistenza intra ed extraospedaliera e garantendo, implementando e rendendo omogeneo nel territorio della Regione, il soccorso sanitario di emergenza urgenza extraospedaliero, anche attraverso i percorsi di formazione di personale sanitario nell’ambito delle attività di emergenza extraospedaliera, nonché di personale tecnico amministrativo e di promozione e diffusione della cultura del soccorso;

• tra i compiti di AREU, rientra, altresì, quello di identificare le strategie formative necessarie a qualificare in modo uniforme e mirato le attività di emergenza extraospedaliera, di valorizzare le competenze tecniche delle singole professionalità e di individuare modalità operative integrate, interdisciplinari e interprofessionali. L’Agenzia, infatti, garantisce la disponibilità di strumenti per la crescita professionale e per la valutazione e la valorizzazione delle competenze acquisite, sia per il personale sanitario che tecnico amministrativo e, inoltre, offre il supporto organizzativo e logistico per una buona riuscita dei singoli interventi formativi anche nelle realtà locali (AAT e SOREU);

DATO ATTO che:

• AREU, con Determina del Dirigente Gestione degli Approvvigionamenti n. 53 del 15.10.2020, ha aggiudicato a NUME PLUS SRL, con sede in Xxx Xxxxxx, 0 – 00000 Xxxxxxx PIVA/CF 06595830487, il servizio di fornitura di una piattaforma e-learning per formazione a distanza (FAD) e produzione editing di 8 corsi FAD, eventualmente frazionabili;

• con il predetto contratto, AREU ha assicurato la gestione dei servizi e degli adempimenti amministrativi connessi all’erogazione di corsi di formazione in modalità e-learning a favore del personale AREU e del personale funzionalmente assegnato all’Agenzia per lo svolgimento dei compiti alla stessa assegnati;

CONSIDERATO CHE:

• AREU, sia nella propria qualità di datore di lavoro, sia quale soggetto deputato all’erogazione di percorsi di formazione del personale sanitario nell’ambito delle attività di emergenza extraospedaliera, e del personale tecnico amministrativo e laico, è Titolare del Trattamento per le operazioni che interessano i dati dei discenti, con conseguente responsabilità di provvedere alla nomina del Responsabile Esterno del trattamento;

• l’esecuzione delle pratiche connesse alla gestione delle procedure di erogazione dei corsi di formazione nella forma dell’e-learning comporta il trattamento di dati personali e/o appartenenti a categorie particolari da parte di NUME PLUS SRL;

PRESO ATTO che, in ottemperanza alla vigente normativa in materia di protezione dei dati personali, NUME PLUS SRL deve essere nominato Responsabile esterno del trattamento ai sensi dell’art. 28 Regolamento (UE) 2016/679;

DATO ATTO che la durata del contratto di nomina di Responsabile esterno del trattamento ha durata pari a quella del contratto di fornitura del servizio di fornitura di una piattaforma e-learning per formazione a distanza (FAD) e produzione editing di 8 corsi FAD, eventualmente frazionabili aggiudicati a NUME PLUS SRL con Determina del Dirigente Gestione degli Approvvigionamenti n. 53 del 15.10.2020;

DATO ULTERIORMENTE ATTO che dall’adozione del presente provvedimento non derivano oneri a carico del bilancio aziendale;

PRESO ATTO che il Proponente del procedimento attesta la completezza, la regolarità tecnica e la legittimità del presente provvedimento;

ACQUISITI i pareri favorevoli del Direttore Amministrativo e del Direttore Sanitario, resi per quanto di specifica competenza ai sensi dell’art. 3 del D.Lgs. n. 502/1992 e s.m.i.;

DELIBERA

Per tutti i motivi in premessa indicati e integralmente richiamati:

1. di approvare il testo del contratto di nomina di Responsabile esterno del trattamento dei dati connessi all’erogazione dei corsi di formazione e-learning, allegato al presente provvedimento quale parte integrante e sostanziale, ai sensi dell’art. 28 del Regolamento (UE) 2016/679 a favore di NUME PLUS SRL e di autorizzarne la sottoscrizione;

2. di dare atto che dall'adozione del presente provvedimento non derivano oneri economici a carico del Bilancio aziendale;

3. di dare mandato alla SC Affari generali e legali di comunicare l’adozione del presente provvedimento alle competenti Strutture aziendali ed ai referenti di NUME PLUS SRL;

4. di dare atto che, ai sensi della L. n. 241/1990, responsabile del presente procedimento è la Dott.ssa Domenica De Xxxxxxx, Dirigente della S.C. Affari Generali e Legali;

5. di disporre che vengano rispettate tutte le prescrizioni inerenti alla pubblicazione sul portale web aziendale di tutte le informazioni e i documenti richiesti e necessari ai sensi del D.Lgs. n. 33/2013 e s.m.i., c.d. Amministrazione Trasparente;

6. di disporre la pubblicazione del presente provvedimento all'Albo Pretorio on line dell'Agenzia, dando atto che lo stesso è immediatamente esecutivo (ex art. 32 comma 5 L. n. 69/2009 s.m.i. e art. 17 comma 6 L.R. n. 33/2009).

La presente delibera è sottoscritta digitalmente, ai sensi dell'art. 21 D.Lgs. n. 82/2005 e s.m.i., da:

Il Direttore Amministrativo Xxxx Xxxxxxx Xxxxx Xxxxxxx Il Direttore Sanitario Xxxxxxxx Xxxxx Xxxxx

Il Direttore Generale Xxxxxxx Xxxx

CONTRATTO DI TRATTAMENTO DEI DATI NOMINA DEL RESPONSABILE DEL TRATTAMENTO

Il presente contratto (il “Contratto”) è stipulato

t r a

AGENZIA REGIONALE EMRGENZA URGENZA DELLA LOMBARDIA (di seguito, per brevità, AREU)

in persona del legale rappresentante pro tempore, Direttore Generale, Xxxx. Xxxxxxx Xxxx, C.F./X.Xxx 11513540960, con sede legale in Xxxxxx (XX), Xxxxx Xxxxx 000 (“Titolare del Trattamento”)

e

NUME PLUS Srl, Xxx Xxxxxx, 0 – 00000 Xxxxxxx PIVA/CF 00000000000, TEL: x00 000 0000000 MAIL:

xxxx@xxxx.xxxx PEC: numeplussrl@ xxx.xx, nella figura del suo legale rappresentante, xxxx. Xxxxxxx Xxxxxxx (il “Responsabile del Trattamento”).

Congiuntamente definite “Parti”:

Premesso che

(A) AREU è un’Azienda (ora Agenzia) Sanitaria attivata con DGR VIII/6994 del 02.04.2008, con il compito di promuovere l’evoluzione del sistema di emergenza e urgenza sanitaria territoriale, e, inoltre, di implementare e rendere omogeneo nel territorio della Regione, il soccorso sanitario di emergenza urgenza extraospedaliera (rif. LR 33/2009 come modificata dalla LR 23/2015 e dalla LR 22/2019 con costituzione dell’Agenzia Regionale Emergenza Urgenza e attivazione della stessa con DGR 2701/2019 e DGR 4078/2020);

(B) NUME PLUS SRL cura la progettazione e l’implementazione di corsi e programmi formativi basati su piattaforma e-learning, gestendo manutenzione software, gestione funzionale della piattaforma, aggiornamento dei contenuti didattici, reportistica e analisi statistica, Nume Plus ha sviluppato e promuove inoltre diversi sistemi di simulazione digitale in ambito medico, sistemi per simulare il dialogo medico paziente che vengono utilizzati per attività formative in ambito medico-scientifico, online e in presenza. Oltre che alle tecnologie didattiche, particolare attenzione ed impegno è rivolto da Nume Plus all’ambito delle applicazioni software per il supporto decisionale in ambito medico;

(C) NUME PLUS SRL è soggetto aggiudicatario della fornitura di piattaforma e-learning per formazione a distanza (FAD) e produzione editing di 8 corsi FAD, eventualmente frazionabili, come da Determina del Dirigente Gestione degli Approvvigionamenti n. 53 del 15.10.2020;

(D) Nel contesto illustrato ed, ai sensi e per gli effetti dell’attuale normativa vigente in materia di protezione dei dati, AREU è “Titolare del Trattamento” ai sensi e per gli effetti dell’articolo 28 del Regolamento (UE) n. 679/2016 (“Regolamento Generale sulla protezione dei dati”, di seguito, per brevità, “RGPD”) in quanto determina le finalità e i

mezzi del trattamento stesso di dati personali e particolari con cui NUME PLUS SRL, mediante i propri dipendenti/collaboratori, viene in contatto in forza delle attività che la stessa deve svolgere in esecuzione del contratto di fornitura sottoscritto con XXXX;

(E) AREU intende incaricare NUME PLUS SRL dello svolgimento di talune attività di raccolta/trasmissione e registrazione che implicano il trattamento di dati personali - e nominarla “Responsabile del Trattamento” ai sensi e per gli effetti dell’articolo 28 del RGPD;

(F) NUME PLUS SRL dichiara di avere competenze e conoscenze tecniche in relazione alle finalità e modalità del trattamento ai sensi del Codice Privacy

(G) e del RGPD, alle relative misure di sicurezza da adottare a garanzia della riservatezza, completezza ed integrità dei dati personali;

(H) il presente Contratto è stipulato per garantire le opportune salvaguardie per la protezione della riservatezza e della sicurezza dei dati personali trasmessi dal Titolare del Trattamento al Responsabile del Trattamento (o appresi dal Responsabile del Trattamento durante lo svolgimento delle attività sub (C) dell’Allegato 1) al presente contratto) per essere trattati, previa autorizzazione del Titolare del Trattamento;

(I) il Responsabile della protezione dei dati del Titolare del Trattamento è contattabile ai seguenti recapiti:

- e-mail: xxx@xxxx.xxxxxxxxx.xx

- raccomandata A/R: alla c.a. Responsabile Protezione dati personali AREU, Xxx Xxxxxxx Xxxxxxxxx 0, 00000 Xxxxxx (XX)

Il Responsabile della protezione dei dati del Responsabile del Trattamento è contattabile ai seguenti recapiti.

- Xxxxxxxxxxxxxx@xxxxxxxx.xx;

- TEL: ************************;

Tutto ciò premesso, le Parti convengono quanto segue PREMESSE

Le premesse costituiscono parte integrante e sostanziale del presente contratto.

DEFINIZIONI

Nel presente Contratto, salvo diversa esigenza richiesta dal contesto, le espressioni seguenti avranno i significati qui indicati:

“Allegato”: indica un allegato al Contratto, di cui costituisce parte integrante;

Pag. 2 di 15

“Addetto Autorizzato al Trattamento”:

si riferisce a chiunque agisca sotto l’autorità del Titolare del Trattamento o del Responsabile del Trattamento e che abbia accesso a dati personali (Art. 29 RGPD);

“Istruzioni”: si riferiscono alle istruzioni che sono o saranno impartite dal Titolare al Trattamento al Responsabile del Trattamento per il Trattamento (Art. 28 RGPD);

“Violazione dei Dati Personali”:

indica una violazione della sicurezza che causi accidentalmente o illecitamente la distruzione, la perdita, l’alterazione, la divulgazione o l’apprendimento non autorizzati di dati personali trasmessi, archiviati o in qualsiasi modo elaborati.

Le espressioni “Titolare del Trattamento”, “Responsabile del Trattamento”, “Sub Responsabile”, “Interessato”, “Dati Personali” e “Trattamento” avranno il significato attribuito dal RGPD.

Salvo diversamente disposto, i riferimenti a premesse, allegati ed articoli si intendono alle premesse, agli allegati e agli articoli del Contratto e negli allegati, salvo diversamente specificato, i riferimenti a paragrafi si intendono ai paragrafi di quegli stessi allegati.

Nel Contratto i riferimenti a statuti, disposizioni di legge o leggi si intendono come riferimenti agli statuti, articoli alle disposizioni di legge o alle leggi come di volta in volta modificati, prorogati o promulgati. Salvo diversamente disposto, ogni riferimento alle espressioni “per iscritto” o “scritto” comprenderà i fax e tutte le forme tangibili di riproduzione visibile delle parole (quali a mero titolo esemplificato: e-mail, posta elettronica certificata etc.).

OGGETTO E AMBITO APPLICAZIONE DEL PRESENTE CONTRATTO

L’oggetto, le modalità e la finalità, nonché le categorie dei Dati Personali e gli Interessati, sono descritti nell'Allegato 1 (“Descrizione del Trattamento”) qui accluso.

In relazione ai Servizi, il presente Contratto si applicherà a tutti i Dati Personali e particolari/sensibili che il Titolare del trattamento:

• Invia, in proprio, o per suo conto, al Responsabile del Trattamento per il Trattamento;

• Appresi dal Responsabile del trattamento durante lo svolgimento della propria attività, per essere trattati, previa autorizzazione del Titolare del Trattamento;

• comunque pervenuti al Responsabile del Trattamento, per conto del Titolare del Trattamento, per essere Trattati.

Pag. 3 di 15

TRATTAMENTO DEI DATI

In adempimento dell’articolo 2 che precede, il Responsabile del Trattamento si impegna a trattare i Dati Personali oggetto del presente Contratto attenendosi ai termini e alle condizioni ivi inclusi; in particolare, il Responsabile del Trattamento dichiara e garantisce:

a) di Trattare i Dati Personali esclusivamente per conto del Titolare del Trattamento, attenendosi sempre alle Istruzioni impartite dal Titolare del Trattamento nell’ambito del presente Contratto, nonché a tutte le leggi vigenti di protezione dei dati personali e unicamente ai fini (attinenti alla prestazione dei Servizi da parte del Responsabile del Trattamento) e con le modalità indicate, di volta in volta e per iscritto, dal Titolare del Trattamento e per nessun’altra finalità e in nessun altro modo, salvo che con il preventivo ed espresso consenso scritto del Titolare del Trattamento. Le Istruzioni impartite verbalmente dovranno essere immediatamente confermate per iscritto. Se per qualsiasi motivo il Responsabile del Trattamento non potrà ottemperare a questa disposizione, lo stesso si impegna a informare immediatamente il Titolare del Trattamento circa tale impossibilità. Qualora il Responsabile del Trattamento ritenga che attenendosi alle Istruzioni dei Titolare del Trattamento violerebbe una legge vigente sulla protezione dei dati, il Responsabile del Trattamento dovrà comunicarlo senza indugio e per iscritto al Titolare del Trattamento;

b) che nella propria area di responsabilità, articolerà la propria organizzazione interna in modo da garantire il rispetto degli obblighi specifici di protezione dei Dati Personali così come previsti dall’articolo 32 del RGPD. Il Responsabile del Trattamento adotterà i provvedimenti tecnici e organizzativi necessari al fine di proteggere adeguatamente i Dati Personali trasferiti dal Titolare del Trattamento contro usi impropri e perdite, come stabilito dalla legge vigente in materia di protezione dei dati. L’Allegato 2 (“Descrizione dei Provvedimenti Tecnici e Organizzativi”) qui accluso contiene una descrizione generale di tali provvedimenti tecnici e organizzativi. Il Responsabile del Trattamento vigila costantemente sul rispetto di questi provvedimenti e, se del caso, si prodigherà nell’aggiornamento/adeguamento degli stessi e ne darà pronta comunicazione al Titolare del Trattamento;

c) che assisterà il Titolare del Trattamento con misure tecniche e organizzative adeguate per soddisfare l’obbligo del Titolare del Trattamento di dare seguito alle richieste che potranno essergli avanzate dagli Interessati per l’esercizio del propri diritti ai sensi del capo III (“Diritti dell’interessato”) del RGPD;

d) che assisterà il Titolare del Trattamento nel rispetto degli obblighi di cui agli articoli nn. 32 (“Sicurezza del trattamento”), 33 (“Notifica di una violazione dei dati personali all’autorità di controllo”) 34 (“Comunicazione di una violazione de dati personali all’interessato)” 35 (“Valutazione d’impatto sulla protezione dei dati”) e 36 (“Consultazione preventiva”) del RGPD, tenendo conto della natura del trattamento e delle informazioni a sua disposizione;

e) che ciascuno dei suoi dipendenti/collaboratori/professionisti è informato degli obblighi di cui al presente Contratto relativamente alla sicurezza e alla protezione dei Dati Personali;

Pag. 4 di 15

f) di assicurare che ciascuno dei propri Addetti Autorizzati al Trattamento (cfr. articolo 7 che segue) e Sub Responsabili (cfr. articolo 8 che segue), che sono o che verranno a conoscenza dei Dati Personali, si impegni(no) a mantenerne la riservatezza o vi sia(no) già vincolato(i) da un’opportuna e specifica disposizione di legge. L’obbligo di mantenere la segretezza dei Dati Personali resterà in vigore anche dopo la risoluzione dei rispettivi rapporti di lavoro o professionali;

g) di non divulgare i Dati Personali direttamente o indirettamente a persone, aziende, società o altri soggetti senza l'esplicito consenso scritto del Titolare del Trattamento, eccettuati quei dipendenti incaricati al Trattamento, Addetti Autorizzati al Trattamento e Sub Responsabili e vincolati dagli obblighi descritti negli articoli 3.5 o 3.6, salvo diversa disposizione di legge o di regolamento;

h) di avvertire, senza ingiustificato ritardo, il Titolare del Trattamento inviando una comunicazione ai seguenti recapiti: xxx@xxxx.xxxxxxxxx.xx e xxxxxx.xxxxxxxxxxxxxx@xxxx.xxxxxxxxx.xx delle seguenti circostanze:

▪ richieste giuridicamente vincolanti di comunicazione dei Dati Personali inviate da un’autorità giudiziaria, salvo qualora la comunicazione sia vietata, ad esempio, da norme di diritto penale per salvaguardare il segreto di indagini giudiziarie;

▪ violazioni di leggi vigenti per la protezione dei dati o del presente Contratto, commesse dal Responsabile del Trattamento o da suoi dipendenti durante il Trattamento dei Dati Personali soggetti al trattamento del Titolare del Trattamento;

▪ una Violazione dei Dati Personali. Tale notifica dovrà specificare, tenuto conto della natura del Trattamento e delle informazioni a disposizione del Responsabile del Trattamento, qualsiasi informazione utile al fine di agevolare il Titolare del Trattamento nel rispetto degli obblighi di comunicazione stabiliti dalla legge vigente. Qualora non fosse possibile comunicare contemporaneamente tutte le informazioni pertinenti, il Responsabile del Trattamento potrà inviarle a scaglioni, ma senza ingiustificati ritardi;

▪ tutte le richieste pervenute direttamente dagli Interessati e rimaste senza risposta, salvo autorizzazione scritta del Titolare del Trattamento in tal senso;

Nel caso di mancata comunicazione, il Responsabile del trattamento risponde e tiene indenne il Titolare del trattamento dalle eventuali conseguenze che, sul piano civile, penale e amministrativo potranno derivare dalla mancata notifica all’Autorità Garante ed all’interessato e quindi dalla mancata tempestiva gestione della violazione e delle sue conseguenze;

i) tenuto conto della natura del Trattamento, di collaborare con il Titolare del Trattamento attuando per quanto possibile gli opportuni provvedimenti tecnici ed organizzativi per l’adempimento dell’obbligo del Titolare del Trattamento di rispondere alle richieste di esercitare i diritti conferiti agli Interessati dalla legge vigente;

j) di mettere a disposizione del Titolare del Trattamento tutte le informazioni necessarie per dimostrare l’adempimento degli obblighi previsti dal presente Contratto e consentire, contribuendovi, i controlli, tra cui ispezioni, eseguiti dal Titolare del

Pag. 5 di 15

Trattamento o da un altro revisore incaricato dal Titolare del Trattamento, come descritto nell'articolo 6 che segue;

k) che tutti i Trattamenti effettuati da un Sub Responsabile saranno eseguiti conformemente all’articolo 28 che segue;

l) che, ove ciò sia richiesto dalla legge vigente, il Responsabile del Trattamento ha nominato un addetto alla protezione dei dati (“DPO”). Il Responsabile del Trattamento comunicherà al Titolare del Trattamento i dettagli di contatto della persona nominata quale DPO;

m) di collaborare con il Titolare del Trattamento per garantire l’adempimento dell’obbligo di eseguire stime dell'impatto sulla protezione dei dati e di consultarsi con le autorità di vigilanza, tenendo conto della natura del Trattamento e delle informazioni a disposizione del Responsabile del Trattamento.

n) su scelta del Titolare del Trattamento, di cancellare o restituire tutti i dati personali dopo che è terminata la prestazione dei servizi relativi al trattamento e di cancellare le copie esistenti, salvo che il Diritto dell’Unione o della normativa vigente preveda la conservazione dei dati;

o) Il Responsabile del trattamento si obbliga a tenere manlevato ed indenne il Titolare da ogni responsabilità e/o danno, anche nei confronti di terzi, nonché degli Interessati al trattamento, per azioni ed omissioni, inadempimenti di qualunque natura, imputabili allo stesso Responsabile, ai soggetti/operatori da esso autorizzati e dai Sub Responsabili. Tale responsabilità in materia di protezione dei dati personali e di cui agli artt. 28 c.10, 82, 83 e 84 del Regolamento Ue 2016/679, che si richiamano espressamente, rientra nel quadro della responsabilità contrattuale derivante dalla sottoscrizione del contratto di fornitura del servizio in oggetto e del presente atto di nomina.

OBBLIGHI DEL TITOLARE DEL TRATTAMENTO DATI

Il Titolare del Trattamento garantisce che (i) i Dati Personali che sono stati o saranno comunicati al Responsabile del Trattamento sono stati raccolti in conformità alla legge applicabile e (ii) che le comunicazioni di Dati Personali al Responsabile del Trattamento sono state o saranno eseguite in conformità alle disposizioni di legge applicabili e, se del caso, anche autorizzate dai relativi Interessati.

DURATA

Il presente atto di nomina a Responsabile del trattamento ha durata pari a quella del contratto di fornitura di piattaforma e-learning per formazione a distanza (FAD) e produzione editing di 8 corsi FAD, eventualmente frazionabili, come da Determina del Dirigente Gestione degli Approvvigionamenti n. 53 del 15.10.2020.

RISOLUZIONE

Il presente Xxxxxxxxx dovrà intendersi risolto automaticamente e di diritto alla data in cui il Titolare del Trattamento revocherà la nomina al Responsabile del Trattamento e, pertanto, quest’ultimo sarà sciolto dagli obblighi relativi ai Servizi.

Pag. 6 di 15

Il presente contratto dovrà intendersi risolto anche in caso di contestazione di inadempienze contrattuali che portino alla risoluzione del contratto principale in essere tra le parti.

In ogni caso, l’obbligo di mantenere la segretezza dei Dati Personali resterà in vigore in capo al Responsabile del Trattamento anche dopo la risoluzione del presente Contratto. Immediatamente dopo la risoluzione del presente Contratto, il Responsabile del Trattamento dovrà consegnare al Titolare del Trattamento tutti i Dati Personali di quest’ultimi in proprio possesso oppure distruggerli, a scelta dei Titolari del Trattamento.

Su richiesta del Titolare del Trattamento, il Responsabile del Trattamento dovrà confermare per iscritto di avere adempiuto a tali obblighi e di aver cancellato tutte le copie esistenti, salvo qualora la conservazione dei Dati Personali sia imposta dalla legge vigente.

CONTROLLI E RICHIESTE DI INFORMAZIONI

Il Titolare del Trattamento potrà, durante il normale orario di lavoro, senza ragionevolmente interferire con le attività aziendali/professionali del Responsabile del Trattamento, e dopo averne dato ragionevole preavviso, svolgere direttamente i controlli presso il Responsabile del Trattamento o affidare tali controlli a un auditor esterno, che sarà soggetto agli stessi obblighi di riservatezza.

Prima dell’inizio dei controlli nel sito, il Titolare del Trattamento e il Responsabile del Trattamento concorderanno l’ambito, gli orari e la durata dei controlli. Se ne riceverà richiesta, il Responsabile del Trattamento dovrà comunicare in tempi ragionevoli al Titolare del Trattamento tutte le informazioni necessarie per eseguire il controllo dei Trattamenti.

Il Responsabile del Trattamento informerà il Titolare del Trattamento circa le relative richieste di informazioni. Il quale deciderò in merito alle predette istanze.

L’evasione delle richieste di informazioni poste in ottemperanza delle normative vigenti e non ridondanti, pervenute al Responsabile del trattamento, non comporta oneri economici per il Titolare del trattamento.

NOMINA DEGLI ADDETTI AUTORIZZATI AL TRATTAMENTO

Ai sensi e per gli effetti dell’art. 29 RGPD, con il presente Contratto il Titolare del Trattamento autorizza il Responsabile del Trattamento ad avvalersi, tramite designazione formale, di propri Addetti Autorizzati al Trattamento per l’esecuzione dei Servizi e le finalità del Contratto.

La nomina degli Addetti Autorizzati da parte del Responsabile del Trattamento sub 7.1. dovrà

(i) essere eseguita per iscritto;

(ii) indicare l’ambito di Trattamento consentito;

(iii) specificare le istruzioni del Trattamento che saranno impartite tenendo in considerazione i termini del presente Contratto nonché le Istruzioni.

Su richiesta del Titolare del Trattamento, il Responsabile del Trattamento metterà a disposizione del Titolare del Trattamento un elenco aggiornato degli Addetti Autorizzati al Trattamento per l’esecuzione dei Servizi.

Nessun Trattamento eseguito da un Addetto Autorizzato al Trattamento incaricato dal Responsabile del Trattamento libererà quest’ultimo dalle responsabilità legate agli obblighi impostigli dal presente Contratto e/o dalla legge, ma sarà da considerarsi interamente

Pag. 7 di 15

responsabile del lavoro e dell’operato svolto da ciascun proprio Addetto Autorizzato al Trattamento.

NOMINA DEI SUB RESPONSABILI

La nomina di soggetti sub Responsabili del trattamento ad opera del Responsabile del trattamento è possibile soltanto previa comunicazione ed espressione di parare favorevole alla stessa rilasciato dal Titolare del trattamento.

Su richiesta del Titolare del Trattamento, il Responsabile del Trattamento metterà a disposizione del Titolare del Trattamento un elenco aggiornato dei Sub Responsabili ai fini della prestazione dei Servizi.

Il Titolare del Trattamento potrà esercitare il diritto di obiettare l’utilizzo di un nuovo Sub Responsabile da parte del Responsabile del Trattamento avvisandone tempestivamente e per iscritto il Responsabile del Trattamento entro dieci (10) giorni lavorativi dalla ricezione della comunicazione del Responsabile del Trattamento.

Tutti i Trattamenti eseguiti da un Sub Responsabile dovranno esser condotti secondo i termini e condizioni inclusi in uno specifico contratto scritto concluso tra le parti che non sia meno restrittivo del presente Contratto. Nessun Trattamento eseguito da un Sub Responsabile libererà il Responsabile del Trattamento dalle responsabilità legate agli obblighi impostigli dal presente Contratto ma sarà da considerarsi interamente responsabile del lavoro e dell’operato svolto da ciascun suo Sub Responsabile.

DISPOSIZIONI VARIE

Le variazioni del, o le integrazioni al, presente Contratto saranno valide esclusivamente se stipulate per iscritto.

L’eventuale invalidità originaria o sopravvenuta di una clausola del presente Contratto non influirà sulla validità delle altre clausole. In tale caso le Parti saranno tenute a collaborare ai fini della redazione di altre clausole che esprimano un risultato giuridicamente valido e commercialmente il più simile possibile a quello della clausola invalida. Si applicherà la suddetta regola anche per colmare eventuali lacune del Contratto.

Tutti gli obblighi imposti al Responsabile del Trattamento da disposizioni di legge o da decisioni delle autorità giudiziarie o di vigilanza non saranno modificati dal presente Contratto.

Il presente Contratto è regolato dalla legge italiana e il Tribunale di Milano avrà la competenza esclusiva per dirimere qualsivoglia controversia dovesse insorgere tra le Parti in relazione all’esecuzione del Contratto.

La presente designazione non comporta alcun diritto per il Responsabile ad uno specifico compenso o indennità o rimborso per l’attività svolta.

Per tutto quanto non previsto dal presente atto di designazione si rinvia alle disposizioni generali vigenti ed applicabili in materia di protezione dei dati personali.

* * *

Si accludono i seguenti documenti:

• Allegato 1 “Descrizione del Trattamento”

• Allegato 2 “Descrizione dei Provvedimenti Tecnici e Organizzativi”

Milano data e luogo della sottoscrizione digitale

Per AGENZIA REGIONALE EMERGENZA URGENZA DELLA LOMBARDIA

Titolare del Trattamento

Legale Rappresentante p.t, Direttore Generale, Xxxx. Xxxxxxx Xxxx

Per NUME PLUS SRL

Responsabile del Trattamento

Legale Rappresentante p.t, Xxxxxxx Xxxxxxx

Allegato 1

Descrizione del Trattamento

X. Xxxxxxx (Oggetto del Trattamento) e base giuridica del Trattamento

Il presente contratto ha ad oggetto il trattamento dei dati personali NUME PLUS SRL nell’ambito dello svolgimento delle attività previste dal contratto per la fornitura del servizio di fornitura di piattaforma e-learning di formazione a distanza (FAD) e di produzione editing di 8 corsi FAD, anche frazionabili, come da Determina del Dirigente Gestione degli Approvvigionamenti n. 53 del 15.10.2020.

B. Durata

Il Responsabile del trattamento può compiere le operazioni di trattamento nel periodo di validità del predetto contratto.

Si precisa che tale nomina avrà validità per il tempo necessario ad eseguire le operazioni affidate dal titolare e si considererà revocata a completamento dell’incarico affidato a NUME PLUS SRL, rimanendo gli obblighi di segretezza rispetto a tutti di dati trattati nel periodo di riferimento.

C. Categorie di interessati

Gli interessati del trattamento sono gli utenti della piattaforma di formazione a distanza “e-learning.areu.lombardia” offerta da NUME PLUS SRL;

D. Oggetto, Tipo e Finalità del Trattamento: Oggetto del trattamento

A fronte delle attività illustrate al punto C) delle “Premesse” del presente Contratto, si evidenzia che, oggetto del trattamento saranno i seguenti dati:

a) Dati personali (nome, cognome, codice fiscale, residenza, recapito telefonico, qualifica professionale/iscrizione ad ordini (ove necessario per il corso di interesse) degli utenti che accedono alla piattaforma di formazione a distanza messa a disposizione da NUME PLUS SRL;

b) In alcune occasioni XXXX potrà richiedere agli interessati di acquisire anche il dato relativo all’immagine degli stessi per la realizzazione di filmati inerenti lo svolgimento degli eventi formativi o per la compilazione delle schede personali di valutazione in itinere (o finali), per obiettivi didattici e di presentazione dell’offerta formativa proposta da XXXX;

c) Attraverso la navigazione sulla piattaforma e-learning xxxxx://x- xxxxxxxx.xxxx.xxxxxxxxx.xx, NUME PLUS SRL tratta dati comuni: cookie essenziali (strictly necessary), cookie di tipo funzionale alla navigazione (functionality cookie), cookie di terze parti (Google Analytics).

Tipologia del trattamento

I dati personali acquisiti da NUME PLUS SRL nell’ambito dell’attività contrattualmente in essere con AREU, sono trattati mediante operazioni di raccolta (informatizzata), registrazione, organizzazione, strutturazione, consultazione, adattamento o modifica, consultazione, comunicazione mediante trasmissione, raffronto o interconnessione, cancellazione o distruzione.

Finalità del trattamento

I dati personali sono trattati al fine di consentire agli interessati di:

a) iscriversi ai corsi di formazioni proposti e svolti da AREU mediante il collegamento alla piattaforma e-learning di NUME PLUS SRL;

b) fruire dei corsi di formazione effettuati da AREU mediante la piattaforma di formazione a distanza messa a disposizione da nume plus srl;

c) avere a disposizione il materiale divulgativo diffuso da AREU mediante la piattaforma di formazione a distanza messa a disposizione da nume plus srl;

d) ottenere la valutazione nell’ambito del corso frequentato;

e) ottenere il rilascio delle attestazioni di partecipazioni ai corsi e di idoneità (se previsto);

f) ricevere comunicazione e informazioni con gli utenti della piattaforma;

g) partecipare a chat e forum dedicati, sondaggi e questionari diffusi attraverso la piattaforma di formazione a distanza messa a disposizione da NUME PLUS SRL;

Il trattamento è effettuato anche per consentire ad AREU:

h)di procedere alle analisi anonimizzate, a fini statistici, dell’attività formativa eseguita dalla stessa;

i) di acquisire anche il dato relativo all’immagine degli interessati per la realizzazione di filmati inerenti lo svolgimento degli eventi formativi o per la compilazione delle schede personali di valutazione in itinere (o finali), per obiettivi didattici e di presentazione dell’offerta formativa proposta dalla stessa;

E. Periodo di conservazione dei dati

I dati personali vengono trattati per il tempo necessario per adempiere alle finalità di cui sopra e, comunque, conservati secondo le indicazioni contenute nel Massimario di Scarto della Regione Lombardia (Rev. 03, punto 1.4.13, Risorse Umane, formazione e aggiornamento del personale) per:

1. documentazione relativa ad attività formative (interna, esterna, a distanza) rivolte al personale (richieste, autorizzazioni, etc.): 5 ANNI

2. attestati di corsi di qualificazione e riqualificazione del personale: ILLIMITATO

3. immagini e filmati inerenti lo svolgimento degli eventi formativi realizzati da AREU per finalità didattiche e di presentazione dell’offerta formativa dell’Agenzia: 5 ANNI.

F. Categorie di destinatari dei dati

I dati vengono comunicati a Struttura Formazione per conto di XXXX e a soggetti legittimati e secondo le modalità di evasione delle istanze di accesso agli atti definite di concerto con AREU, nonché agli Organismi di vigilanza, Autorità giudiziarie nonché

a tutti gli altri soggetti ai quali la comunicazione sia obbligatoria per legge per l’espletamento delle finalità dette e per i casi di ricezione di comunicazioni di dati personali al di fuori dell’ambito di una specifica indagine (cfr. art. 4 GDPR “destinatari” e (C31) GDPR).

G. Trasferimento dei dati

La gestione e la conservazione dei dati personali avverrà su server, ubicati all’interno dell’Unione Europea, appartenenti al Titolare e/o di società terze incaricate e debitamente nominate quali Responsabili del trattamento. Resta inteso, in ogni caso, che il Titolare, ove si rendesse necessario, avrà facoltà di spostare l’ubicazione dei server in Italia e/o Unione Europea e/o Paesi extra-UE. In tal caso, il Titolare assicura sin d’ora che il trasferimento dei dati extra-UE avverrà in conformità alle disposizioni di legge applicabili stipulando, se necessario, accordi che garantiscano un livello di protezione adeguato e/o adottando le clausole contrattuali standard previste dalla Commissione Europea.

Attualmente i server di NUME PLUS SRL sono collocati in housing presso il portale ARUBA S.P.A.

H. Divieti di trattamento.

In nessun caso il Responsabile del trattamento o il personale da questo autorizzato al trattamento dei dati conferiti dal Titolare del Trattamento può comunicare a soggetti terzi estranei al rapporto contrattuale di fornitura del servizio di formazione e di quello di organizzazione e gestione della rete di intervento psicologico pre e post evento critico della Regione Lombardia i dati personali e/o particolari/sensibili appresi e trattati nell’ambito dell’esecuzione del rapporto stesso né può in alcun modo ed in qualunque forma diffondere gli stessi.

Ogni violazione alla normativa vigente verrà prontamente segnalata all’autorità competente.

Allegato 2

Descrizione dei Provvedimenti Tecnici e Organizzativi adottati da NUME PLUS SRL

L’ambiente infrastrutturale su cui è installata la piattaforma FAD AREU è un Cloud VPS (Virtual Private Server) realizzato su hypervisor VMware ridondati e storage SAN ridondata. La piattaforma è in hosting presso la server farm di ARUBA s.p.a.

Le misure adottate per la tutela dei dati sono riconducibili a quanto contenuto nel documento Generale delle Condizioni del Servizio di Hosting di Aruba S.p.A. per quanto riguarda l'infrastruttura tecnologia (xxxxx://xxxxxxx.xxxxx.xx/xxxxxxxxx/xx- files/it/1_condizionifornituraservizihostingaruba.pdf).

A livello server la prevenzione e sicurezza dei dati è garantita dai seguenti accorgimenti:

• Monitoring e logging degli accessi amministrativi al server;

• Utilizzo di password complesse per le utenze amministrative, siano queste di sistema o applicative;

• Esposizione delle sole porte utili all'erogazione del servizio (nel momento in cui sia terminata la fase di sviluppo/staging), nello specifico TCP/80 e TCP/443;

• Limitazione del servizio SSH per l'accesso amministrativo ad una ristretta cerchia di indirizzi IP (nel momento in cui sia terminata la fase di sviluppo/staging);

• Predisposizione di servizio VPN per l'accesso amministrativo per motivi di reperibilità e/o urgenza (nel momento in cui sia terminata la fase di sviluppo/staging e l'accesso SSH sarà limitato ad uno stretto numero di indirizzi IP);

• Accessibilità al database applicativo dal solo host locale;

I paragrafi seguenti dettagliano gli accorgimenti tecnici adottati per la protezione e tutela dei dati.

Policy di backup dei dati

Il server sarà oggetto di backup periodico secondo la seguente policy:

• Un backup giornaliero incrementale con un retain di 7 giorni (una settimana): All'ottavo giorno verrà rimosso (consolidato) il backup più vecchio con quello immediatamente successivo.

• Un backup settimanale con retain di 4 settimane (un mese): alla quinta settimana il primo backup, ovvero, quello più vecchio verrà rimosso (consolidato) con quello immediatamente successivo.

Per garantire la massima disponibilità dei dati presenti negli archivi di backup, il servizio che ospiterà questi sarà erogato su un datacenter che rispetti almeno i 100KM di distanza dal sito di produzione/erogazione del servizio.

Continuità del servizio, stabilità e sicurezza del sistema

Continuità del servizio

La continuità di servizio è garantita al 99,95% tramite i seguenti strumenti e tecniche di business continuity:

• network ridondato: l’infrastruttura di rete è completamente ridondata per garantire il funzionamento della rete in caso di guasto

• monitoraggio: il servizio verrà costantemente monitorato tramite sistema di monitoraggio zabbix che permetterà di garantire un livello di proattività ottimale in caso di criticità del sistema. Inoltre la parte fruibile dagli utenti verrà messa sotto costante monitoraggio tramite il servizio web “Uptime Robot” che monitorerà, con cadenza di 5 minuti, lo stato del servizio e i tempi di risposta.

Stabilità e sicurezza del sistema

E’ stato installato e configurato un certificato SSL/TLS per consentire supporto al protocollo di sicurezza https e conseguente cifratura dei dati trasmessi o ricevuti in rete dalla piattaforma.

In merito alla configurazione dei protocolli e dei cipher, il webserver è configurato per garantire il livello minimo di valutazione Qualys (xxxxx://xxx.xxxxxxx.xxx/) pari a A- o superiore.

• Firewall: in affiancamento ai sistemi di protezione del provider è installato e configurato un firewall applicativo per la limitazione dei servizi esposti, in particolare, servizi amministrativi come ssh.

• Protezione DDoS: per limitare la possibilità di eventuali attacchi basati su metodi di flooding/ddos, in affiancamento ai sistemi di protezione messi a disposizione dal provider, verrà implementata una soluzione di mitigazione basata su software open source (fail2ban).

Manutenzione e upgrade del sistema

Il provider dell’infrastruttura di Aruba s.p.a. garantisce un monitoraggio costante dei server e dell’infrastruttura e la manutenzione ordinaria secondo livelli di servizio (SLA) elevati.

Livelli di servizio

Per l’erogazione del servizio di manutenzione Nume Plus garantisce il seguente piano di presa in carico e risoluzione:

Severità	Descrizione	Presa in carico*	Tempo risoluzione**
Alta	Problema bloccante che impedisce la fruizione della piattaforma	2 hr	8 hr
Media	Problema che limita, in parte, la fruizione della piattaforma	4 hr	2 gg
Bassa	Anomalia o bug che impatta su parti non indispensabili alla fruizione della piattaforma.	1 gg	5 gg

* Tempo massimo di risposta da parte di un tecnico con notifica di presa in carico tramite email ad indirizzi di posta elettronica che dovranno essere comunicati al servizio di Helpdesk

** Tempo massimo di risoluzione dal momento della presa in carico del problema

Il sistema operativo sarà costantemente monitorato e aggiornato con le patch e gli upgrade via via rilasciati.

Aggiornamenti del software

A livello OS e applicativo, saranno eseguiti, a titolo gratuito, aggiornamenti periodici con cadenza minima quindicinale. Eventuali aggiornamenti urgenti, che garantiscano risoluzione a problemi e/o vulnerabilità relative alla sicurezza, sia applicativa che di sistema operativo, saranno valutati e applicati nel minor tempo possibile valutandone l’eventuale impatto sull’erogazione del servizio.

La stessa piattaforma e-learning seguirà i criteri di aggiornamento appena descritti: eventuali upgrade rilasciati saranno applicati alla piattaforma con tempi e modalità concordati con AREU.

Questo programma di aggiornamenti sarà valido per i 36 mesi previsti di durata del servizio.

Compliance con Regolamento (UE) n. 2016/679 (GDPR)

La registrazione degli utenti alla piattaforma comporta la raccolta di informazioni e dati personali il cui trattamento seguirà quanto previsto dal Regolamento (UE) n. 2016/679 (GDPR).

Per l’implementazione della piattaforma NUME PLUS Srl sarà nominata Responsabile del Trattamento dei dati personali da parte di AREU, titolare dei dati e, a sua volta, NUME PLUS srl nominerà quale Responsabile del trattamento dei dati il fornitore di servizi hosting ARUBA

s.p.a. appurato che quest’ultimo offra garanzie adeguate di sicurezza secondo quanto già specificato nella descrizione infrastrutturale del sistema e dal punto di vista delle procedure di trattamento dei dati.

Al momento della registrazione, l’utente troverà le informazioni relative al trattamento dei suoi dati e dovrà confermare di averne presa visione per concludere positivamente la procedura di attivazione del suo account.

In aderenza al Regolamento (UE) n. 2016/679 (GDPR) e come descritto nell’Informativa che verrà resa disponibile al momento della registrazione, l’utente potrà esercitare i diritti definiti dagli artt. 15-22 del GDPR e, ai sensi dell’art.12 GDPR, sarà informato delle modalità di esercizio dei suoi diritti.