Contratto trattamento dati personali
Contratto trattamento dati personali
Ai sensi dell'art. 28 del Regolamento (UE) 2016/679
TRA
Centro Diagnostico Castellano s.r.l a Socio unico, soggetta a direzione e coordinamento di Alliance Medical Italia s.r.l., con sede legale in Xxxxxxxx Xxxxxxx, 13 – 00000 Xxxxxx (XX), Codice Fiscale, Partita IVA e numero di iscrizione nel Registro delle Imprese di Padova, R.E.A. n. PD – 236596 in persona del Delegato Privacy Dott.ssa Xxxxxxxx Xxxxxxxx (di seguito “Committente” o “Titolare del Trattamento”),
E
Italiaonline S.p.A. società soggetta all’attività di direzione e coordinamento di Libero Acquisition S.à r.l, con sede in Xxx xxx Xxxxx Xxxxxxxxx 0, Xxx. U4 -20057 Assago (MI), codice fiscale e partita IVA 03970540963, in persona del Delegato Privacy e responsabile Compliance Privacy Xxxxxxxx Xxxxxxxx Xxxxx (di seguito “Fornitore” o “Responsabile del Trattamento”),
(di seguito, congiuntamente, le “Parti”)
PREMESSO CHE
a) In data 31.01.2022, le Parti hanno sottoscritto un contratto avente ad oggetto i Servizi relativi (i) alla gestione delle prenotazioni delle Prestazioni Sanitarie effettuate dagli Utenti tramite la Piattaforma, (ii) all’uso della Piattaforma nonché le modalità con cui si svolgeranno i rapporti tra le Parti in relazione a tali Servizi e
(iii) alla assistenza tecnica relativa all’uso della Piattaforma (di seguito,
“Contratto di servizi”);
b) in esecuzione del Contratto di servizi, il Fornitore esegue operazioni di trattamento sulle categorie di dati personali (di seguito, “Dati Personali”) di titolarità del Committente, ovverosia dei dati relativi ai Professionisti e, per alcuni trattamenti, i dati dei Pazienti che prenotano presso i Centri del Committente;
c) le Parti intendono regolare i loro reciproci rapporti in relazione alle attività di trattamento dei Dati Personali effettuato dal Fornitore per conto del Titolare in conformità al Regolamento UE 2016/679 (“Regolamento generale sulla protezione dei dati” o, in breve, “Regolamento”);
d) il Fornitore dichiara e garantisce di possedere competenza e conoscenze tecniche in relazione alle finalità e modalità delle operazioni di trattamento, alle misure di sicurezza da adottare a garanzia della riservatezza, completezza ed integrità dei dati trattati, nonché alla normativa applicabile in materia di tutela dei dati personali;
e) sulla base delle referenze e competenze attestate dal Fornitore in termini di proprietà, uomini, attrezzature ed esperienza nella gestione di servizi analoghi a quelli di cui al Contratto di servizi nonché degli impegni contrattuali assunti dal Fornitore in tema di rispetto della normativa applicabile in materia di protezione dei dati personali, il Committente ha condotto una positiva valutazione della idoneità e qualificazione del Responsabile atta a soddisfare, anche sotto il profilo della sicurezza del trattamento, i requisiti di cui alla normativa applicabile;
f) il Committente intende quindi designare il Fornitore quale Responsabile del trattamento nonché disciplinare i trattamenti effettuati dal Responsabile per conto del Titolare in esecuzione del Contratto di servizi, in conformità all’art. 28 del Regolamento;
Tutto quanto sopra premesso, tenuto conto delle reciproche promesse e degli accordi intercorsi, le Parti convengono quanto segue.
1. PREMESSE
Le premesse costituiscono parte integrante ed essenziale del presente contratto.
2. DEFINIZIONI
2.1. I termini di seguito definiti, ove non altrimenti specificato, sono utilizzati nell’accezione e
con il significato loro attribuito nel seguito:
2.2. Per “Normativa in materia di protezione dei dati personali” si intende il Regolamento UE 2016/679 e successive integrazioni e modifiche, ivi inclusi i Considerando di riferimento e le Linee Guida del Gruppo di Lavoro ex art. 29 (ora Comitato europeo per la protezione dei dati), nonché il Decreto legislativo 30 giugno 2003, n. 196 e successive integrazioni e modifiche.
2.3. I termini “Trattamento”, “Titolare del trattamento”, “Responsabile del trattamento”, “Dati Personali” (incluse le “Categorie particolari di dati”), “Interessati”, “Terzi”, “Violazione dei dati personali”, “Autorità di controllo”, sono utilizzati nell'accezione e con il significato agli stessi attribuiti dalle disposizioni vigenti della Normativa in materia di protezione dei dati personali alla quale si rinvia.
3. OGGETTO
3.1. Con il presente contratto, le Parti disciplinano, in conformità all'art. 28 del Regolamento, i trattamenti di Dati Personali effettuati dal Fornitore per conto del Committente in esecuzione del Contratto di servizi (“Contratto Trattamento Dati”).
3.2. Con la sottoscrizione del presente Contratto Trattamento Dati, il Committente designa, in conformità all’art. 28 del Regolamento, il Fornitore, che accetta, Responsabile del trattamento in relazione alle operazioni di trattamento dei Dati Personali poste in essere in esecuzione del Contratto di servizi.
4. NATURA E FINALITÀ DEL TRATTAMENTO, TIPO DI DATI PERSONALI E CATEGORIE DI INTERESSATI
4.1. L’esecuzione del Contratto di servizi implica il Trattamento, da parte del Responsabile del trattamento, dei Dati Personali afferenti le categorie di Interessati e le tipologie di Dati Personali specificate nell’Allegato 1, nelle sezioni dedicate (A. CATEGORIE DI SOGGETTI INTERESSATI e B. TIPOLOGIE DI DATI PERSONALI).
4.2. Il Trattamento di dati da parte del Responsabile può consistere in ogni operazione necessaria e finalizzata a svolgere i servizi e/o a dare esecuzione ad ogni obbligazione dedotta nel Contratto di servizi o successivamente concordata per iscritto con il Titolare ed è disciplinato dalle disposizioni che seguono.
5. OBBLIGHI DEL RESPONSABILE DEL TRATTAMENTO
5.1. Ai fini di un corretto trattamento dei Dati Personali, il Responsabile si impegna a:
a) svolgere qualsiasi operazione di trattamento di Dati Personali in conformità ai principi della Normativa in materia di protezione dei dati personali, ivi inclusi i principi di cui al capo II del Regolamento (artt. 5 -11);
b) effettuare il Trattamento dei Dati Personali in esecuzione del vigente Contratto di servizi e per le finalità relative all’erogazione dei servizi ivi previsti, per il tempo strettamente necessario al perseguimento delle suddette finalità nonché delle finalità strettamente connesse e strumentali alla gestione delle problematiche tecniche collegate;
c) garantire il pieno rispetto degli obblighi imposti dal Regolamento direttamente al Responsabile del trattamento, ivi inclusi a titolo meramente esemplificativo, l'obbligo di tenuta del registro delle attività di trattamento svolte per conto di un titolare ai sensi dell'art. 30, par. 2 del Regolamento e, ove richiesto, l'obbligo di nomina di un Responsabile della protezione dei dati (Data Protection Officer) ai sensi dell'art. 37, par. 1 del Regolamento;
d) eseguire fedelmente ed esclusivamente le istruzioni impartite dal Titolare contenute nel presente Contratto Trattamento Dati, evitando attività di trattamento non conformi alle predette istruzioni o volte a perseguire finalità diverse da quelle indicate nel presente Contratto Trattamento Dati;
e) informare il Titolare qualora dovesse ragionevolmente ritenere che le istruzioni impartite possano comportare la violazione della Normativa in materia di protezione dei dati personali;
f) non trasferire i Dati Personali fuori dalla Unione Europea, direttamente o indirettamente (per il tramite di eventuali fornitori Terzi che siano stati autorizzati per iscritto dal Titolare) senza la preventiva autorizzazione scritta del Titolare e nel rispetto dei principi generali e delle condizioni applicabili al trasferimento previsti dal capo V del Regolamento, informando il Titolare circa le misure adottate al fine di assicurare un livello di protezione adeguato ai dati trasferiti e ai diritti degli interessati (a titolo esemplificativo decisioni di adeguatezza, clausole tipo, norme vincolanti d’impresa, codice di condotta, certificazioni, ecc. …); resta inteso che l’elenco dei Sub responsabili già Nominati da Italiaonline riportato in Allegato 1 viene approvato con la sottoscrizione del presente Contratto Trattamento Dati;
g) garantire che l’accesso ai Dati Personali da parte del personale avvenga solo sulla base del principio di necessità e che i trattamenti connessi all’esecuzione del Contratto di servizi vengano effettuati solo da persone autorizzate che agiscono sotto l’autorità del Responsabile sulla base di adeguate istruzioni;
h) garantire che tutte le persone fisiche (dipendenti e/o collaboratori) autorizzate al Trattamento dei Dati Personali per le suddette finalità, siano impegnate alla riservatezza o abbiano un obbligo legale di riservatezza;
i) formare adeguatamente le persone autorizzate, incaricati dell'esecuzione del Contratto di servizi fornendo alle stesse istruzioni precise e vigilando sulla loro osservanza. L’elenco aggiornato del personale autorizzato al Trattamento dei Dati Personali sarà reso disponibile al Titolare su richiesta di quest’ultimo;
j) adottare, mantenere aggiornate e valutare regolarmente tutte le misure tecniche e organizzative necessarie per garantire un livello di sicurezza adeguato al rischio, in conformità a quanto previsto dall’art. 32 del Regolamento, nonché le ulteriori misure sicurezza previste dall'articolo 11 del presente Contratto Trattamento Dati;
k) collaborare con il Titolare fornendo allo stesso le informazioni e la documentazione dallo stesso richiesta al fine di poter valutare e verificare di tempo in tempo se il Responsabile abbia adottato misure tecnico organizzative adeguate;
l) collaborare con il Titolare per l’attuazione di qualsiasi ulteriore misura che si renda necessaria al fine di garantire la conformità del Trattamento dei Dati Personali con la Normativa in materia di protezione dei dati personali;
m) in relazione alla raccolta dei Dati Personali degli Interessati, ove prevista, il Responsabile vi provvede nel rispetto delle specifiche modalità concordate con il Titolare al fine di garantire che la raccolta di Dati Personali ed il loro successivo trattamento, siano conformi alla legge (es. lettura dei testi di informativa sul Trattamento dei Dati Personali forniti dal Titolare; tracciamento e conservazione dei consensi prestati dagli Interessati);
n) fuori dai casi strettamente necessari per l'erogazione dei Servizi, non divulgare o rendere noti a Terzi i Dati Personali e adottare le misure organizzative e tecniche necessarie per assicurare la massima riservatezza dei Dati Personali acquisiti e utilizzati nello svolgimento delle attività oggetto della presente designazione;
o) designare, ove applicabile, il Rappresentante nell’Unione ai sensi dell’art. 27 GDPR;
p) informare, anche tramite il modulo “PB Salute - Allegato 18.4 Annex A (modulo data breach)”, il Titolare prontamente, e comunque entro 36 ore dal momento in cui ne è venuto a conoscenza, di qualsiasi Violazione dei dati personali e collaborare con il Titolare in relazione alle analisi e valutazioni da svolgere al fine della notifica nei confronti dell’Autorità di controllo ex art. 33 del Regolamento e della comunicazione agli interessati ex art. 34 del Regolamento, nonché per la predisposizione della relativa documentazione, ivi inclusa la notifica di cui all’art. 33, par. 3;
q) mantenere informato il Titolare per iscritto, su richiesta scritta ed entro 30 giorni dalla richiesta, sui dettagli relativi all’adempimento di quanto previsto dalla Normativa in materia di protezione dei dati personali e dal presente Contratto Trattamento Dati;
r) informare prontamente per iscritto e trasmettere al Titolare la documentazione relativa ad eventuali richieste, ordini o provvedimenti riguardanti i Dati Personali provenienti dall’Autorità di controllo, dall'autorità giudiziaria, dall'autorità di pubblica sicurezza o, in generale, da ogni altra autorità o soggetto legittimati.
6. ISTANZE DEGLI INTERESSATI
6.1. Nel caso in cui il Responsabile riceva istanze per l’esercizio dei diritti degli Interessati, deve provvedere a darne tempestiva comunicazione scritta al Titolare allegando copia della richiesta.
6.2. Nel caso in cui il Titolare riceva istanza di esercizio dei diritti degli Interessati in relazione ad un Trattamento effettuato dal Responsabile nell’ambito dei trattamenti di Dati Personali effettuati in esecuzione del Contratto di servizi, il Responsabile si impegna a collaborare con il Titolare con tutti i mezzi a propria disposizione, nel soddisfare l’esercizio dei diritti dell’interessato.
7. OBBLIGHI DEL TITOLARE DEL TRATTAMENTO
7.1. Qualora ai fini dell’adeguamento alla Normativa in materia di protezione dei dati personali, si rendano necessarie ulteriori attività o misure specifiche, ovvero nel caso di modifiche del Contratto di servizi con impatto sul Trattamento dei Dati Personali, ove necessario, il Titolare trasmetterà al Responsabile ulteriori istruzioni in merito alle finalità, modalità e procedure per l’utilizzo e il Trattamento dei Dati Personali, e concorderà con il Responsabile le misure tecniche ed organizzative più idonee.
8. AFFIDAMENTO A TERZI
8.1. Tramite il presente Contratto Trattamento Dati, il Titolare fornisce un'autorizzazione al Responsabile a nominare Sub-responsabili i cui servizi sono funzionali all’esecuzione del
Contratto di Servizi quali, a titolo esemplificativo e non esaustivo, fornitori di servizi cloud e IT, fornitori di servizi di pagamento, fornitori di servizi di assistenza e consulenza. Inoltre, il Responsabile potrà continuare ad avvalersi di tutti quei Sub-responsabili già autorizzati prima della stipula del Contratto e del presente Contratto Trattamento Dati. Il Responsabile si impegna a comunicare per iscritto al Titolare il ricorso a nuovi sub-responsabili, salvo il diritto di opposizione da parte del Titolare entro 30 giorni dalla comunicazione.
8.2. Il Responsabile si impegna a prevedere nel contratto con il subappaltatore garanzie ed obblighi analoghi a quelli di cui al presente Contratto Trattamento Dati, mettendo a disposizione del Titolare l’elenco aggiornato dei subfornitori/sub responsabili da includere nell’Allegato 1, nella sezione dedicata (C. ELENCO DEI SUB-RESPONSABILI NOMINATI).
8.3. Il Responsabile del trattamento si impegna ad individuare e designate i sub-responsabili solo dopo un’attenta valutazione dell'esperienza, delle competenze tecniche, dell'affidabilità, delle capacità, della struttura organizzativa idonee per la finalità e la modalità del trattamento e per garantire la predisposizione di misure tecniche e organizzative tese a salvaguardare la riservatezza, la completezza e l’integrità dei dati personali trattati, o comunque quelle più adatte a garantire il rispetto della Normativa in materia di protezione dei dati personali, al pari di quanto richiesto nel presente contratto.
8.4. Il Responsabile del trattamento conserva, nei confronti del Titolare, l’intera responsabilità dell’adempimento degli obblighi dei Sub-responsabili dallo stesso nominati.
9. DURATA
9.1. Il presente Contratto Trattamento Dati ha la medesima durata ed efficacia del Contratto di servizi intercorrente tra le Parti e cesserà al momento della cessazione, per qualsiasi causa, del Contratto di servizi.
10.CESSAZIONE
10.1. All’atto della cessazione del Contratto di servizi, il Responsabile dovrà cessare qualsiasi operazione di trattamento dei Dati Personali e restituire al Titolare tutti i Dati Personali trattati ai fini dell'esecuzione del Contratto di servizi di cui il Responsabile dovesse disporre (es. anagrafiche, dati di contatto, ecc … ) o, su richiesta del Titolare, provvedere alla loro distruzione, fornendone apposita attestazione, eccettuate eventuali esigenze di conservazione in adempimento di obblighi normativi di cui andrà data contestuale attestazione al Titolare.
10.2. A seguito della cessazione del Contratto di servizi, il Responsabile dovrà mantenere la massima riservatezza sui dati e le informazioni relative al Titolare delle quali sia venuto a conoscenza nell’adempimento delle sue obbligazioni.
11.MISURE DI SICUREZZA
11.1. Con riferimento alle operazioni di trattamento dei Dati Personali necessarie ai fini della esecuzione del Contratto di servizi, il Responsabile dichiara e garantisce (i) di mantenere, ogni e qualsiasi misura di sicurezza idonea a prevenire i rischi di distruzione, perdita, anche accidentale, dei Dati Personali nonché di accesso non autorizzato o trattamento illecito dei medesimi come previsto nel Contratto di servizi e (ii) che tali misure sono conformi anche alle misure di sicurezza necessarie e conformi ai principi di cui all’art. 32 del Regolamento, nonché ogni altra misura obbligatoria di legge.
11.2. Con riferimento al trattamento di Dati Personali svolti con l’ausilio di strumenti elettronici, ivi inclusa la gestione del/i database contenente/i i Dati Personali, il Responsabile si impegna ad attuare le seguenti misure:
i. scegliere gli amministratori di sistema tra quei soggetti dotati di esperienza, capacità ed affidabilità, in grado di garantire il pieno rispetto della normativa italiana in materia di protezione dei dati personali, ivi compreso il profilo relativo alla sicurezza;
ii. nominare gli amministratori di sistema individualmente, elencando analiticamente gli ambiti di operatività consentiti a ciascun amministratore di sistema in relazione al proprio profilo di autenticazione;
iii. tenere un elenco aggiornato dei soggetti nominati amministratori di sistema e, su richiesta, mettere tale elenco a disposizione del Titolare e/o delle autorità competenti;
iv. adottare software/sistemi idonei a registrare gli accessi degli amministratori di sistema; le predette registrazioni degli accessi logici (access log) devono essere complete, inalterabili e consentire verifiche di integrità;
v. eseguire verifiche periodiche (con cadenza almeno annuale ed in ogni caso su richiesta del Titolare) relative al rispetto da parte degli amministratori di sistema delle misure organizzative, tecniche e di sicurezza previste dalla normativa italiana in materia di protezione dei dati personali relazionando al Titolare.
vi. verificare che l’accesso agli elaboratori per effettuare le operazioni di trattamento aventi ad oggetto Categorie particolari di Dati Personali avvenga sulla base di profili autorizzativi;
11.3. Il Responsabile si impegna a verificare regolarmente l'idoneità delle misure adottate.
12.CONTROLLI
12.1. Il Responsabile riconosce e accetta che il Titolare, nell’ambito dei poteri e obbligazioni ad esso spettanti in quanto Titolare del trattamento, possa verificare le operazioni di trattamento di Dati Personali svolte dal Fornitore, come anche le misure di sicurezza attuate da quest’ultimo per le finalità di cui al presente Contratto Trattamento Dati, anche mediante richiesta di informazioni o appositi audit/verifiche da concordarsi preventivamente nel rispetto delle reciproche esigenze lavorative, con adeguato anticipo.
12.2. Il Responsabile si impegna a collaborare per la buona riuscita delle verifiche di cui al precedente paragrafo 12.1, consentendo al Titolare, o a professionisti da questi incaricati, di accedere ai locali, ai sistemi e a ogni altra informazione necessaria o utile ai fini della verifica stessa, per dimostrare al Titolare la corretta esecuzione delle obbligazioni assunte con il presente Contratto Trattamento Dati e il rispetto della Normativa in materia di protezione dei dati personali.
13.RESPONSABILITÀ
13.1. Il Responsabile si impegna a tenere completamente indenne, manlevare e a risarcire il Titolare per ogni danno da quest’ultimo subito in conseguenza di un inadempimento imputabile al Responsabile (e/o a suoi dipendenti, collaboratori, subappaltatori se autorizzati e incaricati) agli obblighi su di esso gravanti ai sensi del presente Contratto Trattamento Dati, nonché ai sensi della Normativa in materia di protezione dei dati personali.
13.2. Il Titolare avrà diritto di risolvere il Contratto di servizi ai sensi e per gli effetti dell’art. 1456 c.c. mediante invio di una comunicazione scritta al Responsabile a mezzo pec, ovvero raccomandata a.r., o mezzo equipollente, in caso di violazione delle previsioni del presente Contratto Trattamento Dati. È fatto salvo in ogni caso il risarcimento dei danni subiti.
14.GRATUITA’
14.1. Resta tra le Parti inteso che la designazione del Fornitore quale Responsabile del trattamento e le previsioni del presente Contratto Trattamento Dati non comportano il
diritto del Responsabile ad alcuna remunerazione integrativa rispetto al corrispettivo pattuito nel Contratto Trattamento Dati, essendosi già tenuto conto delle attività che il Responsabile deve svolgere in relazione al trattamento dei dati personali nella determinazione del corrispettivo previsto dal Contratto di servizi.
15.NEGOZIAZIONE
15.1. Il presente Contratto Trattamento Dati è espressione delle libere trattative intercorse tra le Parti e non necessita pertanto di specifica sottoscrizione, ex art. 1341 cod. civ.
16.LEGGE APPLICABILE – FORO COMPETENTE
16.1. Il presente Contratto Trattamento Dati è retto dalla legge italiana.
16.2. Per qualsiasi controversia dovesse sorgere in relazione al presente Contratto Trattamento Dati, sarà competente in via esclusiva il Tribunale di Milano.
Luogo, Data
Il Titolare
in persona del Delegato Privacy Dott.ssa Xxxxxxxx Xxxxxxxx
Il Responsabile del trattamento
in persona del Delegato Privacy (Responsabile Compliance Privacy) Xxxxxxxx Xxxxxxxx Xxxxx
ALLEGATO 1
MODULO DI DETTAGLIO SULLE ATTIVITÀ DI TRATTAMENTO EFFETTUATE DAL RESPONSABILE DEL TRATTAMENTO
A. CATEGORIE DI SOGGETTI INTERESSATI [spuntare le categorie di soggetti ai quali si riferiscono i Dati Personali di pertinenza del Titolare oggetto di trattamento da parte del Responsabile]
X Pazienti
X Dipendenti
X Professionisti
❑ Candidati
❑ Clienti
❑ Fornitori
❑ Consulenti
❑ Utenti sito web/Visitatori
❑ (Altri)
❑ (Altri)
B. TIPOLOGIE DI DATI PERSONALI [spuntare le categorie di Dati Personali di pertinenza del Titolare trattati dal Responsabile]
X Dati personali comuni (quali, a titolo d’esempio, dati anagrafici, dati bancari, fiscali e reddituali, immagini fotografiche, dati relativi alla gestione del rapporto di lavoro ecc…)
X I seguenti dati relativi ai Professionisti: cognome e nome; specializzazione; le eventuali altre specializzazioni; le patologie trattate; le indicazioni relative alla Laurea conseguita; le eventuali lingue parlate oltre alla madrelingua; un’immagine del profilo. Resta inteso che per i dati
richiesti obbligatoriamente dalla piattaforma in uso dal responsabile, questo è Titolare per i trattamenti svolti nella sua interezza.
❑ Categorie particolari di dati, e in particolare:
❑ dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale
X dati relativi alla salute
❑ dati genetici
❑ dati biometrici
❑ dati relativi alla vita sessuale o all'orientamento sessuale della persona
❑ Dati relativi a condanne penali o reati
C. ELENCO DEI SUB-RESPONSABILI NOMINATI [riportare la denominazione sociale del subfornitore/subresponsabile e il tipo di attività svolta]
Amazon Cloud AWS (UE): erogazione Piattaforma
Bizpal (UE): servizio di customer assistance che smista ticket di Zendesk7 Braintree (UE) di Paypal: gestione billing
Reblaze (UE): Servizio di sicurezza gestito Reblaze Web Application Firewall Reply (UE): sviluppo e manutenzione Piattaforma PB Salute
Zendesk (UE): piattaforma per gestione ticketing e customer assistance Zuora (UE): gestione piattaforma di fatturazione e tramite verso piattaforma di billing
ALLEGATO 2
PB Salute - Allegato 18.4 Annex A (modulo data breach)
VIOLAZIONE DI DATI PERSONALI
INFORMAZIONI AL TITOLARE DEL TRATTAMENTO
Italiaonline Health Tech S.r.l., in qualità di Responsabile del trattamento di dati personali svolto per conto della struttura sanitaria in esecuzione del contratto di servizi in essere tra le parti, ai sensi dell’articolo 33, comma 2, del Regolamento (UE) 2016/679 è tenuta ad informare il Titolare del trattamento delle violazioni dei dati personali (data breach) che comportano accidentalmente o in modo illecito la
distruzione, la perdita, la modificazione, la divulgazione non autorizzata o l’accesso a Dati Personali Rilevanti, così come meglio definiti nel Contratto sul trattamento dei dati personali sottoscritto tra le parti.
A tal fine, vengono indicate di seguito le informazioni ad oggi disponibili sull’evento, affinché il Titolare del trattamento sia messo nelle condizioni di adempiere agli obblighi di cui all’articolo 33 del Regolamento (UE) 2016/679. Ulteriori informazioni che dovessero essere raccolte saranno rese senza ingiustificato ritardo con successive comunicazioni.
Informazioni di sintesi sulla violazione
A Informazioni circa il momento in cui è avvenuta la violazione Fare Click per inserire il testo
B Informazioni circa il momento in cui il responsabile del trattamento è venuto a conoscenza della violazione
Fare Click per inserire il testo
C Modalità con la quale il responsabile del trattamento è venuto a conoscenza della violazione Fare Click per inserire il testo
D Breve descrizione della violazione Fare Click per inserire il testo
E Natura della violazione
□ Perdita di confidenzialità (i.e. diffusione o accesso non autorizzato o accidentale)
□ Perdita di integrità (i.e. modifica non autorizzata o accidentale)
□ Perdita di disponibilità (i.e. impossibilità di accesso, perdita, distruzione non autorizzata o accidentale)
F Causa della violazione
□ Azione intenzionale interna
□ Azione accidentale interna
□ Azione intenzionale esterna
□ Azione accidentale esterna
□ Sconosciuta
□ Altro (specificare):
Fare Click per inserire il testo
G Dati Personali Rilevanti oggetto della violazione
□ dati anagrafici: (nome, cognome, sesso, data di nascita, comune di nascita, codice fiscale);
□ dati di contatto (indirizzo di residenza, indirizzo email, numero di telefono);
□ dati di pagamento e relativi alla fatturazione della Prestazione Sanitaria prenotata tramite la Piattaforma;
□ dati relativi alla salute, con riferimento alla Prestazione Sanitaria prenotata;
□ dati relativi ad esperienze lavorative, specializzazioni, titoli di studio e abilitativi dei Professionisti operanti presso la struttura sanitaria.
H Volume dei dati personali oggetto della violazione Fare Click per inserire il testo
I Categorie di Interessati coinvolti nella violazione
□ utenti che abbiano prenotano la Prestazione Sanitaria tramite la Piattaforma (i.e. vostri pazienti);
□ medici e operatori sanitari che operano presso la vostra struttura.
J Numero di interessati coinvolti nella violazione Fare Click per inserire il testo
Informazioni di dettaglio sulla violazione
K Descrizione dell’incidente di sicurezza alla base della violazione Fare Click per inserire il testo
L Descrizione dei sistemi e delle infrastrutture IT coinvolti nell’incidente, con indicazione della loro
ubicazione
Fare Click per inserire il testo
M Misure di sicurezza tecniche e organizzative adottate per garantire la sicurezza dei dati, dei sistemi e delle infrastrutture IT coinvolti, in essere al momento della violazione
Fare Click per inserire il testo
Altro
Fare Click per inserire il testo
Informazioni di contatto
Referente della violazione oggetto della comunicazione Fare Click per inserire il testo
Indirizzo e-mail
Fare Click per inserire il testo Contatto telefonico
Fare Click per inserire il testo