AZIENDA SANITARIA DI MATERA

AZIENDA SANITARIA DI MATERA

ACCORDO SUL TRATTAMENTO DEI DATI PERSONALI (ART. 28 DEL REGOLAMENTO UE 679/ 2016)

PREMESSA. A seguito dell’entrata in vigore del Regolamento EU 2016/679 in materia di protezione dei dati personali (GDPR), poiché il servizio di Contabilità dell’Azienda Sanitaria svolto dalla Ditta Dedalus Italia S.p.A. a favore dell’Azienda Sanitaria di MATERA (ASM) presuppone trattamenti di dati personali effettuati per conto dell’Azienda stessa, Titolare del trattamento, la Ditta Dedalus Italia S.p.A. assume il ruolo di Responsabile del trattamento ai sensi dell’art. 28 del GDPR.

Ciò premesso, tra la Azienda Sanitaria Locale di Matera (qui di seguito, ‘Titolare’), con sede legale in Matera Via Montescaglioso snc, rappresentata dalla dott.ssa Xxxxx Xxxxxxxxxx Malvasi

E

la Ditta Dedalus Italia S.p.A. (qui di seguito, ‘Responsabile’), con sede legale in Xxx xx Xxxxxxx, 0/X 00000 Xxxxxxx, rappresentata dal dr. Xxxxxxxx Xxxxxx, si conviene e stipula quanto riportato nel presente accordo:

1. Oggetto

Oggetto del presente accordo è la definizione delle modalità con le quali il Responsabile del trattamento si impegna ad effettuare per conto del Titolare le operazioni di trattamento dei dati personali definite di seguito.

Nel quadro delle loro relazioni contrattuali, come da deliberazione N.129 del 10/02/2017, le parti si impegnano a rispettare la regolamentazione relativa al trattamento dei dati personali, ovvero il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (di seguito, ‘il Regolamento’), il

D. Lgs. 101/2018 ed i Provvedimenti Generali che il Garante per la Protezione dei Dati Personal) adotterà in attuazione delle prescrizioni del medesimo D. Lgs. 101/2018.

2. Descrizione delle prestazioni del Responsabile del trattamento

Il Responsabile del trattamento è autorizzato a trattare per conto del Titolare i dati personali necessari per fornire il servizio di progettazione, realizzazione, gestione e manutenzione del nuovo sistema informatico di contabilità aziendale.

Si da atto che tra i dati personali trattati vi sono dati particolari (di cui all’art. 9 del Regolamento).

Le persone interessate ai trattamenti sono i fornitori dell’Azienda Sanitaria, inclusi consulenti, nonchè gli utenti della stessa Azienda ed eventualmente le persone che si prendono cura degli utenti minori o non dotati di autonomia decisionale.

3. Durata del contratto

Il presente contratto entra in vigore a partire dalla data di sottoscrizione del presente accordo e cesserà contestualmente alla cessazione del contratto di servizio. Al termine delle operazioni di trattamento affidate, nonché all’atto della cessazione per qualsiasi causa del trattamento da parte del Responsabile, quest’ultimo sarà tenuto a restituire al Titolare i dati personali oggetti del trattamento oppure a provvedere, previo avviso scritto, alla loro integrale distruzione salvo i casi in cui la conservazione dei dati sia richiesta da norme di legge.

4. Obblighi del Titolare del trattamento

Il Titolare del trattamento s’impegna a:

- Fornire al Responsabile i dati necessari per consentire le attività fornendogli al contempo le istruzioni necessarie;

- Vigilare durante la durata del contratto sul rispetto - da parte del Responsabile - degli obblighi previsti dal Regolamento.

5. Obblighi del Responsabile del trattamento

Il Responsabile del trattamento si impegna a:

a) Trattare i dati esclusivamente per le finalità sopra specificate nell’ambito dell’esecuzione delle prestazioni contrattuali di servizio.

b) Trattare i dati conformemente alla normativa vigente in materia di Protezione dei dati personali come descritta al punto 1. Inoltre, se il Responsabile del trattamento è tenuto a procedere ad un trasferimento dei dati verso un paese terzo o un’organizzazione internazionale, in virtù delle leggi dell’Unione o delle leggi dello stato membro al quale è sottoposto, deve informare il Titolare di quest’obbligo giuridico prima del trattamento, a meno che le leggi interessate proibiscano una tale informazione per motivi importanti di interesse pubblico.

c) Garantire la riservatezza dei dati personali trattati nell’ambito del contratto di servizio.

d) Controllare che le persone designate e/o autorizzate a trattare i dati personali in virtù del presente contratto:

- Si impegnino a rispettare la riservatezza o siano sottoposti ad un obbligo legale appropriato di segretezza;

- Ricevano la formazione adeguata in materia di protezione dei dati personali.

Se richiesto, il Responsabile fornisce al Titolare l’elenco delle persone fisiche designate o autorizzate ai trattamenti.

e) Tenere conto, utilizzando i materiali, i prodotti, le applicazioni od i servizi, dei principi di protezione dei dati a partire da quando queste attività vengono progettate e della protezione dei dati di default.

f) Sub Responsabile del trattamento

Il Responsabile del trattamento può ricorrere ad un altro Responsabile del trattamento (di seguito, “sub-Responsabile”) per gestire attività di trattamento specifiche. In questo caso, informa in precedenza e per iscritto il Titolare di ogni cambiamento ravvisato riguardante l’aggiunta o la sostituzione di altri Responsabili. Questa informazione deve indicare chiaramente le attività di trattamento delegate, l’identità e gli indirizzi del sub-Responsabile del trattamento ed i dati del contratto di esternalizzazione. Il Titolare del trattamento dispone di un tempo massimo di 2 settimane a partire dalla data di ricevimento di questa informazione per presentare le proprie obiezioni: la collaborazione può essere attivata se il Titolare non ha posto obiezioni durante il tempo stabilito.

Il sub-Responsabile deve rispettare gli obblighi del presente contratto per conto e secondo le istruzioni del Titolare. Spetta al Responsabile iniziale assicurare che il sub-Responsabile presenti le stesse garanzie sufficienti alla messa in opera di misure tecniche ed organizzative appropriate di modo che il trattamento risponda alle esigenze del Regolamento. Se il sub-Responsabile non adempisse alle proprie obbligazioni in materia di protezione dei dati, il Responsabile iniziale è interamente responsabile dell’esecuzione da parte del sub-Responsabile dei suoi obblighi rispetto al Titolare.

g) Diritto di informazione delle persone interessate.

Spetta al Titolare del trattamento fornire l’informativa di cui agli art. 13-14 del GDPR alle persone interessate al momento della raccolta dei dati.

h) Esercizio dei diritti delle persone

Per quanto possibile, il Responsabile deve assistere il Titolare del trattamento nell’espletamento dei propri obblighi di far seguito alle domande di esercizio dei diritti delle persone interessate, ovvero: diritto di accesso, di rettifica, di cancellazione e di opposizione, diritto alla limitazione del trattamento, diritto a trasferire i dati, diritto di non essere oggetto di una decisione individuale automatizzata (compresa la profilazione). Qualora le persone interessate esercitino tale diritto presso il Responsabile, questi deve inoltrare la richiesta per posta elettronica al Responsabile della Protezione dei Dati del Titolare.

i) Notifica della violazione di dati a carattere personale

Il Responsabile informa il Titolare di ogni violazione di dati senza ingiustificato ritardo dopo esserne venuto a conoscenza; l’informazione è accompagnata da ogni documentazione utile per permettere al Titolare, se necessario, di notificare questa violazione all’Autorità di controllo competente e, se del caso, alle persone fisiche (interessati) vittime del data breach.

j) Assistenza del Responsabile del trattamento nell’attuazione degli obblighi del Titolare del trattamento

Il Responsabile assiste il Titolare nella realizzazione di analisi d’impatto relative alla protezione dei dati, conformemente all’articolo 35 del Regolamento; egli assiste il Titolare anche nella eventuale consultazione preventiva dell’Autorità, prevista dall’articolo 36.

k) Misure di sicurezza

Il Responsabile del trattamento s’impegna a mettere in opera le misure di sicurezza tecniche ed organizzative idonee a garantire un livello di sicurezza adatto al rischio, ivi compresi, fra gli altri, se ritenuti necessari:

- la pseudonimizzazione e la cifratura dei dati personali;

- la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

- la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

- una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

l) Disposizione al termine delle prestazioni contrattuali

Al termine della prestazione dei servizi comportanti il trattamento di questi dati il Responsabile s’impegna a cancellare tutti i dati (e relativi documenti) detenuti in formato digitale e conservare i documenti in formato cartaceo per il tempo strettamente necessario al rispetto di obblighi di legge.

m) Responsabile della protezione dei dati

Qualora lo abbia designato ai sensi dell’art. 37 del Regolamento, il Responsabile comunica al Titolare il nome ed i dati di contatto del proprio Responsabile della Protezione dei Dati.

n) Registro delle attività di trattamento

Il Responsabile dovrà tenere per iscritto (in cartaceo o in formato elettronico) un registro delle attività di trattamento effettuate per conto del Titolare secondo le previsioni dell’art. 30 comma 2 del Regolamento; tale registro dovrà comprendere:

• Il nome e i dati del Titolare per conto del quale effettua i trattamenti, degli eventuali Responsabili e, e applicabili, del Responsabile della protezione dei dati;

• Le categorie di trattamenti effettuati per conto del Titolare del trattamento;

• Se applicabili, i trasferimenti di dati a carattere personale verso un paese terzo o ad una organizzazione internazionale e, nel caso di trasferimenti previsti dall’articolo 49, paragrafo 1, secondo comma del regolamento europeo sulla protezione dei dati, i documenti che attestano l’esistenza di opportune garanzie;

• Per quanto possibile, una descrizione generale delle misure di sicurezza tecniche ed organizzative, compresi eventualmente:

- La pseudonimizzazione e cifratura dei dati a carattere personale;

- gli strumenti che permettono di garantire la segretezza, l’integrità, la disponibilità e la resilienza costanti dei sistemi e dei servizi di trattamento;

- I mezzi che permettono di ristabilire la disponibilità dei dati personali e l’accesso a questi nei tempi appropriati in caso di incidente fisico o tecnico;

- Una procedura che mira a testare, ad analizzare ed a valutare regolarmente l’efficacia delle misure tecniche ed organizzative per assicurare la sicurezza del trattamento.

o) Documentazione

Il Responsabile del trattamento metterà a disposizione del Titolare la documentazione necessaria per dimostrare il rispetto di tutti gli obblighi e per permettere la realizzazione di revisioni, comprese le ispezioni, da parte del Titolare o di un altro revisore incaricato, e contribuire a queste revisioni.

p) Nomina di Amministratore di sistema

Si dà atto che le attività svolte dal Responsabile configurano mansioni di Amministratore di sistema secondo i contenuti del Provvedimento Generale del Garante per la protezione dei dati personali “Misure e accorgimenti prescritti ai titolari dei trattamenti effettuati con strumenti elettronici relativamente alle attribuzioni delle funzioni di amministratore di sistema - 27 novembre 2008” (in

G.U. n. 300 del 24 dicembre 2008) e successive specifiche integrazioni.

Come previsto dalla Delibera D.G. n. 936 del 30.10.2018, tale circostanza viene comunicata al Responsabile della Struttura Innovazioni Tecnologiche ed Attività Informatiche al quale con la medesima Delibera è stato demandato il compito di formalizzare e sottoscrivere tale incarico.

Matera, date riportate nelle firme digitali apposte Firme: Il Titolare X.xx Xxxxx Xxxxxxxxxx MALVASI

Il Responsabile X.xx Xxxxxxxx XXXXXX