VTX958-202] [PI DAPERNO]
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
STANDARD CONTRACTUAL CLAUSES FOR THE TRANSFER OF PERSONAL DATA TO THIRD COUNTRIES PURSUANT TO REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL
CLAUSOLE CONTRATTUALI TIPO PER IL TRASFERIMENTO DI DATI PERSONALI VERSO PAESI TERZI A NORMA DEL REGOLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO E DEL CONSIGLIO
MODULE ONE: Transfer Controller to Controller MODULO UNO: trasferimento da titolare del
trattamento a titolare del trattamento
SECTION I
Clause 1 Purpose and scope
(a) The purpose of these standard contractual clauses is to ensure compliance with the requirements of Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) for the transfer of personal data to a third country.
(b) The Parties:
(i) the natural or legal person(s), public authority/ies, agency/ies or other body/ies (hereinafter ‘entity/ies’) transferring the personal data, as listed in Annex I.A (hereinafter each ‘data exporter’), and
(ii) the entity/ies in a third country receiving the personal data from the data exporter, directly or indirectly via another entity also Party to these Clauses, as listed in Annex I.A (hereinafter each ‘data importer’)
have agreed to these standard contractual clauses (hereinafter: ‘Clauses’).
(c) These Clauses apply with respect to the transfer of personal data as specified in Annex I.B.
(d) The Appendix to these Clauses containing the Annexes referred to therein forms an integral part of these Clauses.
Clause 2
Effect and invariability of the Clauses
(a) These Clauses set out appropriate safeguards, including enforceable data subject rights and effective legal remedies, pursuant to Article 46(1) and Article 46(2)(c) of Regulation (EU) 2016/679 and, with respect to data transfers from controllers to processors and/or processors to
SEZIONE I
Clausola 1
Scopo e ambito di applicazione
(a) Scopo delle presenti clausole contrattuali tipo è garantire il rispetto dei requisiti del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (regolamento generale sulla protezione dei dati) in caso di trasferimento di dati personali verso un paese terzo.
(b) Le parti:
(i) la o le persone fisiche o giuridiche, la o le autorità pubbliche, lo o gli organismi o altri organi (di seguito la o le «entità») che trasferiscono i dati personali, elencate nell’allegato I.A. (di seguito «esportatore»), e
(ii) la o le entità di un paese terzo che ricevono i dati personali dall’esportatore, direttamente o indirettamente tramite un’altra entità anch’essa parte delle presenti clausole, elencate nell’allegato I.A. (di seguito
«importatore»)
hanno accettato le presenti clausole contrattuali tipo (di seguito: «clausole»).
(c) Le presenti clausole si applicano al trasferimento di dati personali specificato all’allegato I.B.
(d) L’appendice delle presenti clausole contenente gli allegati ivi menzionati costituisce parte integrante delle presenti clausole.
Clausola 2
Effetto e invariabilità delle clausole
(a) Le presenti clausole stabiliscono garanzie adeguate, compresi diritti azionabili degli interessati e mezzi di ricorso effettivi, in conformità dell’articolo 46, paragrafo 1, e dell’articolo 46, paragrafo 2, lettera c), del regolamento (UE) 2016/679 e, per quanto riguarda i trasferimenti di
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
processors, standard contractual clauses pursuant to Article 28(7) of Regulation (EU) 2016/679, provided they are not modified, except to select the appropriate Module(s) or to add or update information in the Appendix. This does not prevent the Parties from including the standard contractual clauses laid down in these Clauses in a wider contract and/or to add other clauses or additional safeguards, provided that they do not contradict, directly or indirectly, these Clauses or prejudice the fundamental rights or freedoms of data subjects.
(b) These Clauses are without prejudice to obligations to which the data exporter is subject by virtue of Regulation (EU) 2016/679.
Clause 3
Third-party beneficiaries
(a) Data subjects may invoke and enforce these Clauses, as third-party beneficiaries, against the data exporter and/or data importer, with the following exceptions:
(i) Clause 1, Xxxxxx 2, Xxxxxx 3, Xxxxxx 6, Xxxxxx 7;
(ii) Clause 8.5 (e) and Clause 8.9(b);
(iii) Clause 9 – [not applicable]
(iv) Clause 12(a) and (d);
(v) Clause 13;
(vi) Clause 15.1(c), (d) and (e);
(vii) Clause 16(e);
(viii) Clause 18(a) and (b);
(b) Paragraph (a) is without prejudice to rights of data subjects under Regulation (EU) 2016/679.
Clause 4 Interpretation
(a) Where these Clauses use terms that are defined in Regulation (EU) 2016/679, those terms shall have the same meaning as in that Regulation.
(b) These Clauses shall be read and interpreted in the light of the provisions of Regulation (EU) 2016/679.
(c) These Clauses shall not be interpreted in a way that conflicts with rights and obligations provided for in Regulation (EU) 2016/679.
dati da titolari del trattamento a responsabili del trattamento e/o da responsabili del trattamento a responsabili del trattamento, clausole contrattuali tipo in conformità dell’articolo 28, paragrafo 7, del regolamento (UE) 2016/679, purché non siano modificate, tranne per selezionare il modulo o i moduli appropriati o per aggiungere o aggiornare informazioni nell’appendice. Ciò non impedisce alle parti di includere le clausole contrattuali tipo stabilite nelle presenti clausole in un contratto più ampio e/o di aggiungere altre clausole o garanzie supplementari, purché queste non contraddicano, direttamente o indirettamente, le presenti clausole o ledano i diritti o le libertà fondamentali degli interessati.
(b) Le presenti clausole non pregiudicano gli obblighi cui è soggetto l’esportatore a norma del regolamento (UE) 2016/679.
Clausola 3 Terzi beneficiari
(a) Gli interessati possono invocare e far valere le presenti clausole, in qualità di terzi beneficiari, nei confronti dell’esportatore e/o dell’importatore, con le seguenti eccezioni:
(i) clausola 1, xxxxxxxx 2, clausola 3, xxxxxxxx 6, clausola 7;
(ii) clausola 8.5, lettera e), e xxxxxxxx 8.9, lettera b);
(iii) clausola 9 – [non applicabile]
(iv) clausola 12, lettere a) e d);
(v) clausola 13;
(vi) clausola 15.1, lettere c), d) ed e);
(vii) clausola 16, lettera e);
(viii) clausola 18, lettere a) e b);
(b) La lettera a) lascia impregiudicati i diritti degli interessati a norma del regolamento (UE) 2016/679.
Clausola 4 Interpretazione
(a) Quando le presenti clausole utilizzano termini che sono definiti nel regolamento (UE) 2016/679, tali termini hanno lo stesso significato di cui a detto regolamento.
(b) Le presenti clausole vanno lette e interpretate alla luce delle disposizioni del regolamento (UE) 2016/679.
(c) Le presenti clausole non devono essere interpretate in un senso che non sia conforme ai diritti e agli obblighi previsti dal regolamento (UE) 2016/679.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
Clause 5 Hierarchy
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
In the event of a contradiction between these Clauses and the provisions of related agreements between the Parties, existing at the time these Clauses are agreed or entered into thereafter, these Clauses shall prevail.
Clause 6 Description of the transfer(s)
The details of the transfer(s), and in particular the categories of personal data that are transferred and the purpose(s) for which they are transferred, are specified in Annex I.B.
Clause 7 - Optional Docking clause
(a) An entity that is not a Party to these Clauses may, with the agreement of the Parties, accede to these Clauses at any time, either as a data exporter or as a data importer, by completing the Appendix and signing Annex I.A.
(b) Once it has completed the Appendix and signed Annex I.A, the acceding entity shall become a Party to these Clauses and have the rights and obligations of a data exporter or data importer in accordance with its designation in Annex I.A.
(c) The acceding entity shall have no rights or obligations arising under these Clauses from the period prior to becoming a Party.
SECTION II – OBLIGATIONS OF THE PARTIES
Clause 8
Data protection safeguards
The data exporter warrants that it has used reasonable efforts to determine that the data importer is able, through the implementation of appropriate technical and organisational measures, to satisfy its obligations under these Clauses.
8.1 Purpose limitation
The data importer shall process the personal data only for the specific purpose(s) of the transfer, as set out in Annex I.B. It may only process the personal data for another purpose:
(i) where it has obtained the data subject’s prior consent;
(ii) where necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings; or
(iii) where necessary in order to protect the vital interests of the data subject or of another natural person.
Clausola 5 Gerarchia
In caso di contraddizione tra le presenti clausole e le disposizioni di accordi correlati, vigenti tra le parti al momento dell’accettazione delle presenti clausole, o conclusi successivamente, prevalgono le presenti clausole.
Clausola 6 Descrizione del o dei trasferimenti
I dettagli del o dei trasferimenti, in particolare le categorie di dati personali trasferiti e la o le finalità per le quali i dati sono trasferiti, sono specificati nell’allegato I.B.
Clausola 7 - Facoltativa Clausola di adesione successiva
(a) Un’entità che non sia parte delle presenti clausole può, con l’accordo delle parti, aderire alle presenti clausole in qualunque momento, in qualità di esportatore o di importatore, compilando l’appendice e firmando l’allegato I.A.
(b) Una volta compilata l’appendice e firmato l’allegato I.A, l’entità aderente diventa parte delle presenti clausole e ha i diritti e gli obblighi di un esportatore o di un importatore, conformemente alla sua designazione nell’allegato I.A.
(c) L’entità aderente non ha diritti od obblighi derivanti a norma delle presenti clausole per il periodo precedente all’adesione.
SEZIONE II – OBBLIGHI DELLE PARTI
Clausola 8
Garanzie in materia di protezione dei dati
L’esportatore garantisce di aver fatto quanto ragionevolmente possibile per stabilire che l’importatore, grazie all’attuazione di misure tecniche e organizzative adeguate, è in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole.
8.1 Limitazione delle finalità
L’importatore tratta i dati personali soltanto per la o le finalità specifiche del trasferimento di cui all’allegato I.B. Può trattare i dati personali per un’altra finalità soltanto:
(i) se ha ottenuto il consenso preliminare dell’interessato;
(ii) se il trattamento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari; o
(iii) se il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
8.2 Transparency 8.2 Trasparenza
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
(a) In order to enable data subjects to effectively exercise their rights pursuant to Clause 10, the data importer shall inform them, either directly or through the data exporter:
(i) of its identity and contact details;
(ii) of the categories of personal data processed;
(iii) of the right to obtain a copy of these Clauses;
(iv) where it intends to onward transfer the personal data to any third party/ies, of the recipient or categories of recipients (as appropriate with a view to providing meaningful information), the purpose of such onward transfer and the ground therefore pursuant to Clause 8.7.
(b) Paragraph (a) shall not apply where the data subject already has the information, including when such information has already been provided by the data exporter, or providing the information proves impossible or would involve a disproportionate effort for the data importer. In the latter case, the data importer shall, to the extent possible, make the information publicly available.
(c) On request, the Parties shall make a copy of these Clauses, including the Appendix as completed by them, available to the data subject free of charge. To the extent necessary to protect business secrets or other confidential information, including personal data, the Parties may redact part of the text of the Appendix prior to sharing a copy, but shall provide a meaningful summary where the data subject would otherwise not be able to understand its content or exercise his/her rights. On request, the Parties shall provide the data subject with the reasons for the redactions, to the extent possible without revealing the redacted information.
(d) Paragraphs (a) to (c) are without prejudice to the obligations of the data exporter under Articles 13 and 14 of Regulation (EU) 2016/679.
(a) Per consentire agli interessati di esercitare effettivamente i propri diritti in conformità della clausola 10, l’importatore li informa, direttamente o tramite l’esportatore, circa:
(i) la sua identità e i suoi dati di contatto;
(ii) le categorie di dati personali trattati;
(iii) il diritto di ottenere una copia delle presenti clausole;
(iv) qualora intenda trasferire successivamente i dati personali a terzi, il destinatario o le categorie di destinatari (ove opportuno al fine di fornire informazioni significative), la finalità del trasferimento successivo e il motivo dello stesso in conformità della clausola 8.7.
(b) La lettera a) non si applica se l’interessato dispone già delle informazioni, anche quando tali informazioni sono già state fornite dall’esportatore, o se la comunicazione delle informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato per l’importatore. In quest’ultimo caso l’importatore, per quanto possibile, rende pubbliche le informazioni.
(c) Su richiesta, le parti mettono gratuitamente a disposizione dell’interessato una copia delle presenti clausole, compresa l’appendice da loro compilata. Nella misura necessaria a proteggere segreti aziendali o altre informazioni riservate, compresi i dati personali, le parti possono espungere informazioni dall’appendice prima di trasmetterne una copia, fornendo tuttavia una sintesi significativa qualora l’interessato non sia altrimenti in grado di comprenderne il contenuto o di esercitare i propri diritti. Su richiesta, le parti comunicano all’interessato le ragioni delle espunzioni, per quanto possibile senza rivelare le informazioni espunte.
(d) Le lettere da a) a c) lasciano impregiudicati gli obblighi incombenti all’esportatore a norma degli articoli 13 e 14 del regolamento (UE) 2016/679.
8.3 Accuracy and data minimisation 8.3 Esattezza e minimizzazione dei dati
(a) Each Party shall ensure that the personal data is accurate and, where necessary, kept up to date. The data importer shall take every reasonable step to ensure that personal data that is inaccurate, having regard to the purpose(s) of processing, is erased or rectified without delay.
(b) If one of the Parties becomes aware that the personal data it has transferred or received is inaccurate, or has become outdated, it shall inform the other Party without undue delay.
(a) Ciascuna parte provvede affinché i dati personali siano esatti e, se necessario, aggiornati. L’importatore adotta tutte le misure ragionevoli per cancellare o rettificare tempestivamente i dati inesatti rispetto alle finalità per le quali sono trattati.
(b) Se una parte viene a conoscenza del fatto che i dati personali che ha trasferito o ricevuto sono inesatti o obsoleti, ne informa senza ingiustificato ritardo l’altra parte.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
(c) The data importer shall ensure that the personal data is adequate, relevant and limited to what is necessary in relation to the purpose(s) of processing.
(c) L’importatore provvede affinché i dati personali siano adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati.
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
8.4 Storage limitation 8.4 Limitazione della conservazione
The data importer shall retain the personal data for no longer than necessary for the purpose(s) for which it is processed. It shall put in place appropriate technical or organisational measures to ensure compliance with this obligation, including erasure or anonymisation of the data and all back- ups at the end of the retention period.
L’importatore conserva i dati personali per un arco di tempo non superiore a quello necessario al conseguimento delle finalità per le quali sono trattati. Mette in atto misure tecniche od organizzative adeguate per garantire il rispetto di tale obbligo, compresa la cancellazione o l’anonimizzazione dei dati e di tutti i backup alla fine del periodo di conservazione.
8.5 Security of processing 8.5 Sicurezza del trattamento
(a) The data importer and, during transmission, also the data exporter shall implement appropriate technical and organisational measures to ensure the security of the personal data, including protection against a breach of security leading to accidental or unlawful destruction, loss, alteration, unauthorised disclosure or access (hereinafter ‘personal data breach’). In assessing the appropriate level of security, they shall take due account of the state of the art, the costs of implementation, the nature, scope, context and purpose(s) of processing and the risks involved in the processing for the data subject. The Parties shall in particular consider having recourse to encryption or pseudonymisation, including during transmission, where the purpose of processing can be fulfilled in that manner.
(b) The Parties have agreed on the technical and organisational measures set out in Xxxxx XX. The data importer shall carry out regular checks to ensure that these measures continue to provide an appropriate level of security.
(c) The data importer shall ensure that persons authorised to process the personal data have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality.
(d) In the event of a personal data breach concerning personal data processed by the data importer under these Clauses, the data importer shall take appropriate measures to address the personal data breach, including measures to mitigate its possible adverse effects.
(e) In case of a personal data breach that is likely to result in a risk to the rights and freedoms of natural persons, the data importer shall without undue delay notify both the data exporter and the
(a) L’importatore e, durante la trasmissione, anche l’esportatore mettono in atto misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali, compresa la protezione da ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso a tali dati (di seguito
«violazione dei dati personali»). Nel valutare l’adeguato livello di sicurezza, essi tengono debitamente conto dello stato dell’arte, dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi derivanti dal trattamento per gli interessati. Le parti prendono in considerazione in particolare la possibilità di ricorrere alla cifratura o alla pseudonimizzazione, anche durante la trasmissione, qualora la finalità del trattamento possa essere conseguita in tal modo.
(b) Le parti concordano le misure tecniche e organizzative di cui all’allegato II. L’importatore effettua controlli regolari per garantire che tali misure continuino a offrire un adeguato livello di sicurezza.
(c) L’importatore garantisce che le persone autorizzate al trattamento dei dati personali si siano impegnate alla riservatezza o abbiano un adeguato obbligo legale di riservatezza.
(d) In caso di una violazione dei dati personali trattati dall’importatore a norma delle presenti clausole, l’importatore adotta misure adeguate per porre rimedio alla violazione, anche per attenuarne i possibili effetti negativi.
(e) In caso di una violazione dei dati personali che possa presentare un rischio per i diritti e le libertà delle persone fisiche, l’importatore informa l’esportatore e l’autorità di controllo competente in
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
competent supervisory authority pursuant to Clause 13. Such notification shall contain
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
i) a description of the nature of the breach (including, where possible, categories and approximate number of data subjects and personal data records concerned),
ii) its likely consequences,
iii) the measures taken or proposed to address the breach, and
iv) the details of a contact point from whom more information can be obtained. To the extent it is not possible for the data importer to provide all the information at the same time, it may do so in phases without undue further delay.
(f) In case of a personal data breach that is likely to result in a high risk to the rights and freedoms of natural persons, the data importer shall also notify without undue delay the data subjects concerned of the personal data breach and its nature, if necessary in cooperation with the data exporter, together with the information referred to in paragraph (e), points ii) to iv), unless the data importer has implemented measures to significantly reduce the risk to the rights or freedoms of natural persons, or notification would involve disproportionate efforts. In the latter case, the data importer shall instead issue a public communication or take a similar measure to inform the public of the personal data breach.
(g) The data importer shall document all relevant facts relating to the personal data breach, including its effects and any remedial action taken, and keep a record thereof.
conformità della clausola 13 senza ingiustificato ritardo. Tale notifica contiene
i) una descrizione della natura della violazione (compresi, ove possibile, le categorie e il numero approssimativo di interessati e di registrazioni dei dati personali in questione),
ii) le sue probabili conseguenze,
iii) le misure adottate o di cui si propone l’adozione per porre rimedio alla violazione e
iv) i recapiti di un punto di contatto presso il quale possono essere ottenute maggiori informazioni. Nella misura in cui non gli sia possibile fornire le informazioni contestualmente, l’importatore può fornirle in fasi successive senza ulteriore ingiustificato ritardo.
(f) In caso di una violazione dei dati personali che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, l’importatore informa senza ingiustificato ritardo gli interessati della violazione dei dati personali e della sua natura, se necessario in cooperazione con l’esportatore, unitamente alle informazioni di cui alla lettera e), punti da ii) a iv), a meno che l’importatore abbia attuato misure volte a ridurre in modo significativo il rischio per i diritti o le libertà delle persone fisiche o che la notifica implichi uno sforzo sproporzionato. In quest’ultimo caso, l’importatore effettua una comunicazione pubblica o adotta misure analoghe per informare il pubblico della violazione dei dati personali.
g) L’importatore documenta tutte le circostanze pertinenti relative alla violazione dei dati personali, comprese le sue conseguenze e i provvedimenti adottati per porvi rimedio, e ne tiene un registro.
8.6 Sensitive data 8.6 Dati sensibili
Where the transfer involves personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, genetic data, or biometric data for the purpose of uniquely identifying a natural person, data concerning health or a person’s sex life or sexual orientation, or data relating to criminal convictions or offences (hereinafter ‘sensitive data’), the data importer shall apply specific restrictions and/or additional safeguards adapted to the specific nature of the data and the risks involved. This may include restricting the personnel permitted to access the personal data, additional security measures (such as pseudonymisation) and/or additional restrictions with respect to further disclosure.
Qualora il trasferimento riguardi dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, dati genetici o dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona, o dati relativi a condanne penali e a reati (in prosieguo «dati sensibili»), l’importatore applica limitazioni specifiche e/o garanzie supplementari adeguate alla natura specifica dei dati e ai rischi connessi. Ciò può includere limitazioni del personale autorizzato ad accedere ai dati personali, misure di sicurezza supplementari (quali la pseudonimizzazione) e/o limitazioni aggiuntive all’ulteriore divulgazione.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
8.7 Onward transfers 8.7 Trasferimenti successivi
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
The data importer shall not disclose the personal data to a third party located outside the European Union (in the same country as the data importer or in another third country, hereinafter ‘onward transfer’) unless the third party is or agrees to be bound by these Clauses, under the appropriate Module. Otherwise, an onward transfer by the data importer may only take place if:
(i) it is to a country benefitting from an adequacy decision pursuant to Article 45 of Regulation (EU) 2016/679 that covers the onward transfer;
(ii) the third party otherwise ensures appropriate safeguards pursuant to Articles 46 or 47 of Regulation (EU) 2016/679 with respect to the processing in question;
(iii) the third party enters into a binding instrument with the data importer ensuring the same level of data protection as under these Clauses, and the data importer provides a copy of these safeguards to the data exporter;
(iv) it is necessary for the establishment, exercise or defence of legal claims in the context of specific administrative, regulatory or judicial proceedings;
(v) it is necessary in order to protect the vital interests of the data subject or of another natural person; or
(vi) where none of the other conditions apply, the data importer has obtained the explicit consent of the data subject for an onward transfer in a specific situation, after having informed him/her of its purpose(s), the identity of the recipient and the possible risks of such transfer to him/her due to the lack of appropriate data protection safeguards. In this case, the data importer shall inform the data exporter and, at the request of the latter, shall transmit to it a copy of the information provided to the data subject.
Any onward transfer is subject to compliance by the data importer with all the other safeguards under these Clauses, in particular purpose limitation.
8.8 Processing under the authority of the data importer
The data importer shall ensure that any person acting under its authority, including a processor, processes the data only on its instructions.
L’importatore non comunica i dati personali a terzi situati al di fuori dell’Unione europea (nel suo stesso paese o in un altro paese terzo - di seguito:
«trasferimento successivo»), a meno che il terzo sia o accetti di essere vincolato dalle presenti clausole, secondo il modulo appropriato. Altrimenti, il trasferimento successivo da parte dell’importatore può aver luogo solo se:
(i) è diretto verso un paese che beneficia di una decisione di adeguatezza in conformità dell’articolo 45 del regolamento (UE) 2016/679 che copre il trasferimento successivo;
(ii) il terzo fornisce in altro modo garanzie adeguate in conformità dell’articolo 46 o 47 del regolamento (UE) 2016/679 in relazione al trattamento in questione;
(iii) il terzo stipula uno strumento vincolante con l’importatore che garantisce lo stesso livello di protezione dei dati previsto dalle presenti clausole e l’importatore fornisce una copia di tali garanzie all’esportatore;
(iv) il trasferimento è necessario per l’accertamento, l’esercizio o la difesa di un diritto in sede giudiziaria nell’ambito di specifici procedimenti amministrativi, regolamentari o giudiziari;
(v) il trasferimento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, o
(vi) qualora non ricorra nessuna delle altre condizioni, l’importatore ha ottenuto il consenso esplicito dell’interessato al trasferimento successivo in una situazione specifica, dopo averlo informato delle sue finalità, dell’identità del destinatario e dei possibili rischi di siffatto trasferimento per l’interessato dovuti alla mancanza di garanzie adeguate in materia di protezione dei dati. In tal caso, l’importatore informa l’esportatore e, su richiesta di quest’ultimo, gli trasmette copia delle informazioni fornite all’interessato.
Qualunque trasferimento successivo è soggetto al rispetto da parte dell’importatore di tutte le altre garanzie previste dalle presenti clausole, in particolare la limitazione delle finalità.
8.8 Trattamento sotto l’autorità dell’importatore
L’importatore provvede affinché chiunque agisca sotto la sua autorità, compreso un responsabile del trattamento, tratti i dati soltanto su sua istruzione.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
8.9 Documentation and compliance 8.9 Documentazione e conformità
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
(a) Each Party shall be able to demonstrate compliance with its obligations under these Clauses. In particular, the data importer shall keep appropriate documentation of the processing activities carried out under its responsibility.
(b) The data importer shall make such documentation available to the competent supervisory authority on request.
Clause 9
Use of sub-processors
(a) Ciascuna parte deve essere in grado di dimostrare il rispetto degli obblighi che le incombono a norma delle presenti clausole. In particolare, l’importatore conserva documentazione adeguata delle attività di trattamento effettuate sotto la sua responsabilità.
(b) Su richiesta, l’importatore mette tale documentazione a disposizione dell’autorità di controllo competente.
Clausola 9
Ricorso a sub-responsabili del trattamento
[not applicable] [non applicabile]
Clause 10
Clausola 10
Data subject rights
(a) The data importer, where relevant with the assistance of the data exporter, shall deal with any enquiries and requests it receives from a data subject relating to the processing of his/her personal data and the exercise of his/her rights under these Clauses without undue delay and at the latest within one month of the receipt of the enquiry or request. The data importer shall take appropriate measures to facilitate such enquiries, requests and the exercise of data subject rights. Any information provided to the data subject shall be in an intelligible and easily accessible form, using clear and plain language.
(b) In particular, upon request by the data subject the data importer shall, free of charge:
(i) provide confirmation to the data subject as to whether personal data concerning him/her is being processed and, where this is the case, a copy of the data relating to him/her and the information in Annex I; if personal data has been or will be onward transferred, provide information on recipients or categories of recipients (as appropriate with a view to providing meaningful information) to which the personal data has been or will be onward transferred, the purpose of such onward transfers and their ground pursuant to Clause 8.7; and provide information on the right to lodge a complaint with a supervisory authority in accordance with Clause 12(c)(i);
(ii) rectify inaccurate or incomplete data concerning the data subject;
(iii) erase personal data concerning the data subject if such data is being or has been processed in violation of any of these Clauses ensuring third-party beneficiary
Diritti dell’interessato
(a) L’importatore, se del caso con l’assistenza dell’esportatore, tratta qualunque richiesta, anche di informazioni, ricevuta da un interessato in relazione al trattamento dei suoi dati personali e all’esercizio dei suoi diritti in virtù delle presenti clausole senza ingiustificato ritardo, al più tardi entro un mese dal ricevimento della richiesta. L’importatore adotta misure adeguate per agevolare tali richieste di informazioni o altro, e l’esercizio dei diritti dell’interessato. Tutte le informazioni fornite all’interessato sono in forma intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro.
(b) In particolare, su richiesta dell’interessato, e gratuitamente, l’importatore:
(i) conferma all’interessato se i dati personali che lo riguardano sono o meno oggetto di trattamento e, in caso affermativo, fornisce una copia di tali dati e le informazioni di cui all’allegato I; se i dati personali sono stati trasferiti o saranno oggetto di un trasferimento successivo, fornisce informazioni circa i destinatari o le categorie di destinatari (se del caso al fine di fornire informazioni significative) a cui i dati personali sono stati o saranno trasferiti, la finalità di tali trasferimenti successivi e il loro motivo in conformità della clausola 8.7; e fornisce informazioni sul diritto di proporre reclamo a un’autorità di controllo conformemente alla clausola 12, lettera c), punto i);
(ii) rettifica i dati inesatti o incompleti dell’interessato;
(iii) cancella i dati personali dell’interessato se tali dati sono o sono stati trattati in violazione di una delle presenti clausole, garantendo i diritti del terzo beneficiario, o
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
rights, or if the data subject withdraws the consent on which the processing is based.
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
(c) Where the data importer processes the personal data for direct marketing purposes, it shall cease processing for such purposes if the data subject objects to it.
(d) The data importer shall not make a decision based solely on the automated processing of the personal data transferred (hereinafter ‘automated decision’), which would produce legal effects concerning the data subject or similarly significantly affect him/her, unless with the explicit consent of the data subject or if authorised to do so under the laws of the country of destination, provided that such laws lays down suitable measures to safeguard the data subject’s rights and legitimate interests. In this case, the data importer shall, where necessary in cooperation with the data exporter:
(i) inform the data subject about the envisaged automated decision, the envisaged consequences and the logic involved; and
(ii) implement suitable safeguards, at least by enabling the data subject to contest the decision, express his/her point of view and obtain review by a human being.
(e) Where requests from a data subject are excessive, in particular because of their repetitive character, the data importer may either charge a reasonable fee taking into account the administrative costs of granting the request or refuse to act on the request.
(f) The data importer may refuse a data subject’s request if such refusal is allowed under the laws of the country of destination and is necessary and proportionate in a democratic society to protect one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679.
(g) If the data importer intends to refuse a data subject’s request, it shall inform the data subject of the reasons for the refusal and the possibility of lodging a complaint with the competent supervisory authority and/or seeking judicial redress.
se l’interessato revoca il consenso su cui si basa il trattamento.
(c) Qualora l’importatore tratti i dati personali per finalità di marketing diretto, cessa il trattamento per tali finalità se l’interessato vi si oppone.
(d) L’importatore non prende alcuna decisione basata unicamente sul trattamento automatizzato dei dati personali trasferiti (di seguito «decisione automatizzata»), che produca effetti giuridici che riguardano l’interessato o che incida in modo analogo significativamente sulla sua persona, salvo con il consenso esplicito dell’interessato o se autorizzato in tal senso dalla legislazione del paese di destinazione, a condizione che tale legislazione preveda misure adeguate a tutela dei diritti e dei legittimi interessi dell’interessato. In tal caso l’importatore, se necessario in cooperazione con l’esportatore:
(i) informa l’interessato della prevista decisione automatizzata, delle conseguenze previste e della logica utilizzata; e
(ii) attua garanzie adeguate, consentendo almeno all’interessato di contestare la decisione, esprimere la propria opinione e ottenere il riesame da parte di un essere umano.
(e) Qualora le richieste dell’interessato siano eccessive, in particolare per il carattere ripetitivo, l’importatore può addebitare un contributo spese ragionevole tenuto conto dei costi amministrativi dell’accoglimento della richiesta o rifiutarsi di soddisfare la richiesta.
(f) L’importatore può rifiutare la richiesta dell’interessato se tale rifiuto è consentito dalla legislazione del paese di destinazione ed è necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679.
(g) Se l’importatore intende rifiutare la richiesta dell’interessato, informa quest’ultimo dei motivi del rifiuto e della possibilità di proporre reclamo all’autorità di controllo competente e/o di proporre ricorso giurisdizionale.
Clause 11 Redress
(a) The data importer shall inform data subjects in a transparent and easily accessible format, through individual notice or on its website, of a contact point authorised to handle complaints. It shall deal promptly with any complaints it receives from a data subject.
Clausola 11 Ricorso
(a) L’importatore informa gli interessati, in forma trasparente e facilmente accessibile, mediante avviso individuale o sul suo sito web, di un punto di contatto autorizzato a trattare i reclami. Tratta prontamente qualunque reclamo ricevuto da un interessato.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
(b) In case of a dispute between a data subject and one of the Parties as regards compliance with these Clauses, that Party shall use its best efforts to resolve the issue amicably in a timely fashion. The Parties shall keep each other informed about such disputes and, where appropriate, cooperate in resolving them.
(c) Where the data subject invokes a third-party beneficiary right pursuant to Clause 3, the data importer shall accept the decision of the data subject to:
(i) lodge a complaint with the supervisory authority in the Member State of his/her habitual residence or place of work, or the competent supervisory authority pursuant to Clause 13;
(ii) refer the dispute to the competent courts within the meaning of Clause 18.
(d) The Parties accept that the data subject may be represented by a not-for-profit body, organisation or association under the conditions set out in Article 80(1) of Regulation (EU) 2016/679.
(e) The data importer shall abide by a decision that is binding under the applicable EU or Member State law.
(f) The data importer agrees that the choice made by the data subject will not prejudice his/her substantive and procedural rights to seek remedies in accordance with applicable laws.
Clause 12 Liability
(a) Each Party shall be liable to the other Party/ies for any damages it causes the other Party/ies by any breach of these Clauses.
(b) Each Party shall be liable to the data subject, and the data subject shall be entitled to receive compensation, for any material or non- material damages that the Party causes the data subject by breaching the third-party beneficiary rights under these Clauses. This is without prejudice to the liability of the data exporter under Regulation (EU) 2016/679.
(c) Where more than one Party is responsible for any damage caused to the data subject as a result of a breach of these Clauses, all responsible Parties shall be jointly and severally liable and the data subject is entitled to bring an action in court against any of these Parties.
(d) The Parties agree that if one Party is held liable under paragraph (c), it shall be entitled to claim back from the other Party/ies that part of the
(b) In caso di controversia tra un interessato e una delle parti sul rispetto delle presenti clausole, la parte in questione fa tutto il possibile per risolvere la questione in via amichevole in modo tempestivo. Le parti si tengono reciprocamente informate di tali controversie e, se del caso, cooperano per risolverle.
(c) Qualora l’interessato invochi un diritto del terzo beneficiario in conformità della clausola 3, l’importatore accetta la decisione dell’interessato di:
(i) proporre reclamo all’autorità di controllo dello Stato membro di residenza abituale o del luogo di lavoro o all’autorità di controllo competente in conformità della clausola 13;
(ii) deferire la controversia agli organi giurisdizionali competenti ai sensi della clausola 18.
(d) Le parti accettano che l’interessato possa essere rappresentato da un organismo, un’organizzazione o un’associazione senza scopo di lucro alle condizioni di cui all’articolo 80, paragrafo 1, del regolamento (UE) 2016/679.
(e) L’importatore si attiene a qualunque decisione vincolante a norma della legislazione applicabile dell’UE o degli Stati membri.
(f) L’importatore dichiara che la scelta compiuta dall’interessato non pregiudica i diritti sostanziali o procedurali spettanti allo stesso relativamente ai rimedi giuridici previsti dalla legislazione applicabile.
Clausola 12 Responsabilità
(a) Xxxxxxxx parte è responsabile nei confronti delle altre parti per i danni che essa ha causato loro violando le presenti clausole.
(b) Xxxxxxxx parte è responsabile nei confronti dell’interessato per i danni materiali o immateriali che essa gli ha causato violando i diritti del terzo beneficiario previsti dalle presenti clausole, e l’interessato ha il diritto di ottenere il risarcimento. Ciò lascia impregiudicata la responsabilità dell’esportatore a norma del regolamento (UE) 2016/679.
(c) Qualora più di una parte sia responsabile per un danno causato all’interessato a seguito di una violazione delle presenti clausole, tutte le parti responsabili sono responsabili in solido e l’interessato ha il diritto di agire in giudizio contro una qualunque di loro.
(d) Le parti convengono che, se una delle parti è ritenuta responsabile a norma della lettera c), essa ha il diritto di reclamare dalle altre parti la
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
compensation corresponding to its/their responsibility for the damage
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
(e) The data importer may not invoke the conduct of a processor or sub-processor to avoid its own liability.
Clause 13 Supervision
(a) The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I.C, shall act as competent supervisory authority.
parte del risarcimento corrispondente alla loro parte di responsabilità per il danno.
(e) L’importatore non può invocare il comportamento di un responsabile del trattamento o un sub-responsabile del trattamento per sottrarsi alla propria responsabilità.
Clausola 13 Controllo
(a) L’autorità di controllo responsabile di garantire che l’esportatore rispetti il regolamento (UE) 2016/679 per quanto riguarda il trasferimento dei dati, quale indicata all’allegato I.C, agisce in qualità di autorità di controllo competente.
(b) The data importer agrees to submit itself to the jurisdiction of and cooperate with the competent supervisory authority in any procedures aimed at ensuring compliance with these Clauses. In particular, the data importer agrees to respond to enquiries, submit to audits and comply with the measures adopted by the supervisory authority, including remedial and compensatory measures. It shall provide the supervisory authority with written confirmation that the necessary actions have been taken.
SECTION III – LOCAL LAWS AND OBLIGATIONS IN CASE OF ACCESS BY PUBLIC AUTHORITIES
Clause 14
Local laws and practices affecting compliance with the Clauses
(a) The Parties warrant that they have no reason to believe that the laws and practices in the third country of destination applicable to the processing of the personal data by the data importer, including any requirements to disclose personal data or measures authorising access by public authorities, prevent the data importer from fulfilling its obligations under these Clauses. This is based on the understanding that laws and practices that respect the essence of the fundamental rights and freedoms and do not exceed what is necessary and proportionate in a democratic society to safeguard one of the objectives listed in Article 23(1) of Regulation (EU) 2016/679, are not in contradiction with these Clauses.
(b) The Parties declare that in providing the warranty in paragraph (a), they have taken due account in particular of the following elements:
(i) the specific circumstances of the transfer, including the length of the processing chain, the number of actors involved and the
(b) L’importatore accetta di sottoporsi alla giurisdizione dell’autorità di controllo competente e di cooperare con la stessa nell’ambito di qualunque procedura volta a garantire il rispetto delle presenti clausole. In particolare, l’importatore accetta di rispondere alle richieste di informazioni, sottoporsi ad attività di revisione e rispettare le misure adottate dall’autorità di controllo, comprese le misure di riparazione e risarcimento. Fornisce all’autorità di controllo conferma scritta che sono state adottate le misure necessarie.
SEZIONE III — LEGISLAZIONE E OBBLIGHI LOCALI IN CASO DI ACCESSO DA PARTE DI AUTORITÀ PUBBLICHE
Clausola 14
Legislazione e prassi locali che incidono sul rispetto delle clausole
(a) Le parti garantiscono di non avere motivo di ritenere che la legislazione e le prassi del paese terzo di destinazione applicabili al trattamento dei dati personali da parte dell’importatore, compresi eventuali requisiti di comunicazione dei dati personali o misure che autorizzano l’accesso da parte delle autorità pubbliche, impediscano all’importatore di rispettare gli obblighi che gli incombono a norma delle presenti clausole. Ciò si basa sul presupposto che la legislazione e le prassi che rispettano l’essenza dei diritti e delle libertà fondamentali e non vanno oltre quanto necessario e proporzionato in una società democratica per salvaguardare uno degli obiettivi di cui all’articolo 23, paragrafo 1, del regolamento (UE) 2016/679 non sono in contraddizione con le presenti clausole.
(b) Le parti dichiarano che, nel fornire la garanzia di cui alla lettera a), hanno tenuto debitamente conto, in particolare, dei seguenti elementi:
(i) le circostanze specifiche del trasferimento, tra cui la lunghezza della catena di trattamento, il numero di attori coinvolti e i
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
transmission channels used; intended onward transfers; the type of recipient; the purpose of processing; the categories and format of the transferred personal data; the economic sector in which the transfer occurs; the storage location of the data transferred;
(ii) the laws and practices of the third country of destination– including those requiring the disclosure of data to public authorities or authorising access by such authorities – relevant in light of the specific circumstances of the transfer, and the applicable limitations and safeguards;
(iii) any relevant contractual, technical or organisational safeguards put in place to supplement the safeguards under these Clauses, including measures applied during transmission and to the processing of the personal data in the country of destination.
(c) The data importer warrants that, in carrying out the assessment under paragraph (b), it has made its best efforts to provide the data exporter with relevant information and agrees that it will continue to cooperate with the data exporter in ensuring compliance with these Clauses.
(d) The Parties agree to document the assessment under paragraph (b) and make it available to the competent supervisory authority on request.
(e) The data importer agrees to notify the data exporter promptly if, after having agreed to these Clauses and for the duration of the contract, it has reason to believe that it is or has become subject to laws or practices not in line with the requirements under paragraph (a), including following a change in the laws of the third country or a measure (such as a disclosure request) indicating an application of such laws in practice that is not in line with the requirements in paragraph (a).
(f) Following a notification pursuant to paragraph (e), or if the data exporter otherwise has reason to believe that the data importer can no longer fulfil its obligations under these Clauses, the data exporter shall promptly identify appropriate measures (e.g. technical or organisational measures to ensure security and confidentiality) to be adopted by the data exporter and/or data importer to address the situation. The data exporter shall suspend the data transfer if it considers that no appropriate safeguards for such transfer can be ensured, or if instructed by the competent supervisory authority to do so. In this case, the data exporter shall be entitled to terminate the contract, insofar as it concerns the
canali di trasmissione utilizzati; i trasferimenti successivi previsti; il tipo di destinatario; la finalità del trattamento; le categorie e il formato dei dati personali trasferiti; il settore economico in cui ha luogo il trasferimento; il luogo di conservazione dei dati trasferiti;
(ii) la legislazione e le prassi del paese terzo di destinazione – comprese quelle che impongono la comunicazione di dati alle autorità pubbliche o che le autorizzano ad accedere ai dati – pertinenti alla luce delle circostanze specifiche del trasferimento, nonché le limitazioni e le garanzie applicabili;
(iii) qualunque garanzia contrattuale, tecnica o organizzativa pertinente predisposta per integrare le garanzie di cui alle presenti clausole, comprese le misure applicate durante la trasmissione e il trattamento dei dati personali nel paese di destinazione.
(c) L’importatore garantisce che, nell’effettuare la valutazione di cui alla lettera b), ha fatto tutto il possibile per fornire all’esportatore le informazioni pertinenti e dichiara che continuerà a cooperare con l’esportatore per garantire il rispetto delle presenti clausole.
(d) Le parti accettano di documentare la valutazione di cui alla lettera b) e di metterla a disposizione dell’autorità di controllo competente su richiesta.
(e) L’importatore accetta di informare prontamente l’esportatore se, dopo aver accettato le presenti clausole e per la durata del contratto, ha motivo di ritenere di essere, o essere diventato, soggetto a una legislazione o prassi non conformi ai requisiti di cui alla lettera a), anche a seguito di una modifica della legislazione del paese terzo o di una misura (ad esempio una richiesta di comunicazione) che indichi un’applicazione pratica di tale legislazione che non è conforme ai requisiti di cui alla lettera a).
(f) A seguito di una notifica in conformità della lettera e), o se ha altrimenti motivo di ritenere che l’importatore non sia più in grado di adempiere agli obblighi che gli incombono a norma delle presenti clausole, l’esportatore individua prontamente le misure adeguate (ad esempio, misure tecniche od organizzative per garantire la sicurezza e la riservatezza) che egli stesso e/o l’importatore devono adottare per far fronte alla situazione. L’esportatore sospende il trasferimento dei dati se ritiene che non possano essere assicurate garanzie adeguate per tale trasferimento, o su istruzione dell’autorità di controllo competente. In tal caso l’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
processing of personal data under these Clauses. If the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise. Where the contract is terminated pursuant to this Clause, Clause 16(d) and (e) shall apply.
Clause 15
Obligations of the data importer in case of access by public authorities
personali a norma delle presenti clausole. Se le parti del contratto sono più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti. In caso di risoluzione del contratto in conformità della presente clausola, si applica la clausola 16, lettere
d) ed e).
Clausola 15
Obblighi dell’importatore in caso di accesso da parte di autorità pubbliche
15.1. Notification 15.1. Notifica
(a) The data importer agrees to notify the data exporter and, where possible, the data subject promptly (if necessary with the help of the data exporter) if it:
(i) receives a legally binding request from a public authority, including judicial authorities, under the laws of the country of destination for the disclosure of personal data transferred pursuant to these Clauses; such notification shall include information about the personal data requested, the requesting authority, the legal basis for the request and the response provided; or
(ii) becomes aware of any direct access by public authorities to personal data transferred pursuant to these Clauses in accordance with the laws of the country of destination; such notification shall include all information available to the importer.
(b) If the data importer is prohibited from notifying the data exporter and/or the data subject under the laws of the country of destination, the data importer agrees to use its best efforts to obtain a waiver of the prohibition, with a view to communicating as much information as possible, as soon as possible. The data importer agrees to document its best efforts in order to be able to demonstrate them on request of the data exporter.
(c) Where permissible under the laws of the country of destination, the data importer agrees to provide the data exporter, at regular intervals for the duration of the contract, with as much relevant information as possible on the requests received (in particular, number of requests, type of data requested, requesting authority/ies, whether requests have been challenged and the outcome of such challenges, etc.).
(d) The data importer agrees to preserve the information pursuant to paragraphs (a) to (c) for the duration of the contract and make it available to the competent supervisory authority on request.
(a) L’importatore accetta di informare prontamente l’esportatore e, ove possibile, l’interessato (se necessario con l’aiuto dell’esportatore) se:
(i) riceve una richiesta giuridicamente vincolante di un’autorità pubblica, comprese le autorità giudiziarie, a norma della legislazione del paese di destinazione, di comunicare dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende informazioni sui dati personali richiesti, sull’autorità richiedente, sulla base giuridica della richiesta e sulla risposta fornita; o
(ii) viene a conoscenza di qualunque accesso diretto effettuato, conformemente alla legislazione del paese terzo di destinazione, da autorità pubbliche ai dati personali trasferiti in conformità delle presenti clausole; tale notifica comprende tutte le informazioni disponibili all’importatore.
(b) Se la legislazione del paese di destinazione vieta all’importatore di informare l’esportatore e/o l’interessato, l’importatore accetta di fare tutto il possibile per ottenere un’esenzione dal divieto, al fine di comunicare al più presto quante più informazioni possibili. Per poterlo dimostrare su richiesta dell’esportatore, l’importatore accetta di documentare di aver fatto tutto il possibile.
(c) Laddove consentito dalla legislazione del paese di destinazione, l’importatore accetta di fornire periodicamente all’esportatore, per la durata del contratto, quante più informazioni pertinenti possibili sulle richieste ricevute (in particolare, il numero di richieste, il tipo di dati richiesti, la o le autorità richiedenti, se le richieste sono state contestate e l’esito di tali contestazioni ecc.).
(d) L’importatore accetta di conservare le informazioni di cui alle lettere da a) a c) per la durata del contratto e di metterle a disposizione dell’autorità di controllo competente su richiesta.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
(e) Paragraphs (a) to (c) are without prejudice to the obligation of the data importer pursuant to Clause 14(e) and Clause 16 to inform the data exporter promptly where it is unable to comply with these Clauses.
(e) Le lettere da a) a c) lasciano impregiudicato l’obbligo dell’importatore in conformità della clausola 14, lettera e), e della clausola 16 di informare prontamente l’esportatore qualora non sia in grado di rispettare le presenti clausole.
15.2. Review of legality and data minimisation 15.2. Riesame della legittimità e
minimizzazione dei dati
(a) The data importer agrees to review the legality of the request for disclosure, in particular whether it remains within the powers granted to the requesting public authority, and to challenge the request if, after careful assessment, it concludes that there are reasonable grounds to consider that the request is unlawful under the laws of the country of destination, applicable obligations under international law and principles of international comity. The data importer shall, under the same conditions, pursue possibilities of appeal. When challenging a request, the data importer shall seek interim measures with a view to suspending the effects of the request until the competent judicial authority has decided on its merits. It shall not disclose the personal data requested until required to do so under the applicable procedural rules. These requirements are without prejudice to the obligations of the data importer under Clause 14(e).
(b) The data importer agrees to document its legal assessment and any challenge to the request for disclosure and, to the extent permissible under the laws of the country of destination, make the documentation available to the data exporter. It shall also make it available to the competent supervisory authority on request.
(c) The data importer agrees to provide the minimum amount of information permissible when responding to a request for disclosure, based on a reasonable interpretation of the request.
(a) L’importatore accetta di riesaminare la legittimità della richiesta di comunicazione, in particolare il fatto che essa rientri o meno nei poteri conferiti all’autorità pubblica richiedente, e di contestarla qualora, dopo un’attenta valutazione, concluda che sussistono fondati motivi per ritenere che essa sia illegittima a norma della legislazione del paese di destinazione, compresi gli obblighi applicabili a norma del diritto internazionale e dei principi di cortesia internazionale. L’importatore, alle stesse condizioni, si avvale delle possibilità di ricorso. Quando contesta una richiesta, l’importatore chiede l’adozione di provvedimenti provvisori affinché gli effetti della richiesta siano sospesi fintantoché l’autorità giudiziaria competente non abbia deciso nel merito. Non comunica i dati personali richiesti fino a quando non sia tenuto a farlo ai sensi delle norme procedurali applicabili. Tali requisiti lasciano impregiudicati gli obblighi dell’importatore a norma della clausola 14, lettera e).
(b) L’importatore accetta di documentare la propria valutazione giuridica e qualunque contestazione della richiesta di comunicazione e, nella misura consentita dalla legislazione del paese di destinazione, mette tale documentazione a disposizione dell’esportatore. Su richiesta, la mette a disposizione anche dell’autorità di controllo competente.
(c) Quando risponde a una richiesta di comunicazione l’importatore accetta di fornire la quantità minima di informazioni consentite, sulla base di un’interpretazione ragionevole della richiesta.
SECTION IV – FINAL PROVISIONS SEZIONE IV – DISPOSIZIONI FINALI
Clause 16
Non-compliance with the Clauses and termination
(a) The data importer shall promptly inform the data exporter if it is unable to comply with these Clauses, for whatever reason.
(b) In the event that the data importer is in breach of these Clauses or unable to comply with these Clauses, the data exporter shall suspend the transfer of personal data to the data importer until compliance is again ensured or the contract is terminated. This is without prejudice to Clause 14(f).
Clausola 16
Inosservanza delle clausole e risoluzione
(a) L’importatore informa prontamente l’esportatore qualora, per qualunque motivo, non sia in grado di rispettare le presenti clausole.
(b) Qualora l’importatore violi le presenti clausole o non sia in grado di rispettarle, l’esportatore sospende il trasferimento dei dati personali all’importatore fino a che il rispetto non sia nuovamente garantito o il contratto non sia risolto. Ciò lascia impregiudicata la clausola 14, lettera f).
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
(c) The data exporter shall be entitled to terminate the contract, insofar as it concerns the processing of personal data under these Clauses, where:
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
(i) the data exporter has suspended the transfer of personal data to the data importer pursuant to paragraph (b) and compliance with these Clauses is not restored within a reasonable time and in any event within one month of suspension;
(ii) the data importer is in substantial or persistent breach of these Clauses; or
(iii) the data importer fails to comply with a binding decision of a competent court or supervisory authority regarding its obligations under these Clauses.
In these cases, it shall inform the competent supervisory authority of such non-compliance. Where the contract involves more than two Parties, the data exporter may exercise this right to termination only with respect to the relevant Party, unless the Parties have agreed otherwise.
(d) Personal data that has been transferred prior to the termination of the contract pursuant to paragraph (c) shall at the choice of the data exporter immediately be returned to the data exporter or deleted in its entirety. The same shall apply to any copies of the data. The data importer shall certify the deletion of the data to the data exporter. Until the data is deleted or returned, the data importer shall continue to ensure compliance with these Clauses. In case of local laws applicable to the data importer that prohibit the return or deletion of the transferred personal data, the data importer warrants that it will continue to ensure compliance with these Clauses and will only process the data to the extent and for as long as required under that local law.
(e) Either Party may revoke its agreement to be bound by these Clauses where (i) the European Commission adopts a decision pursuant to Article 45(3) of Regulation (EU) 2016/679 that covers the transfer of personal data to which these Clauses apply; or (ii) Regulation (EU) 2016/679 becomes part of the legal framework of the country to which the personal data is transferred. This is without prejudice to other obligations applying to the processing in question under Regulation (EU) 2016/679.
(c) L’esportatore ha diritto di risolvere il contratto per quanto riguarda il trattamento dei dati personali a norma delle presenti clausole qualora:
(i) l’esportatore abbia sospeso il trasferimento dei dati personali all’importatore in conformità della lettera b) e il rispetto delle presenti clausole non sia ripristinato entro un termine ragionevole e in ogni caso entro un mese dalla sospensione;
(ii) l’importatore violi in modo sostanziale o persistente le presenti clausole; o
(iii) l’importatore non si conformi a una decisione vincolante di un organo giurisdizionale competente o di un’autorità di controllo competente in merito agli obblighi che gli incombono a norma delle presenti clausole.
In tali casi, informa l'autorità di controllo competente di tale inosservanza. Qualora le parti del contratto siano più di due, l’esportatore può esercitare il diritto di risoluzione soltanto nei confronti della parte interessata, salvo diversamente concordato dalle parti.
(d) I dati personali che sono stati trasferiti prima della risoluzione del contratto in conformità della lettera c) sono, a scelta dell’esportatore, restituiti immediatamente all’esportatore o cancellati integralmente. Lo stesso vale per qualunque copia dei dati. L’importatore certifica all’esportatore la cancellazione dei dati. Finché i dati non sono cancellati o restituiti, l’importatore continua ad assicurare il rispetto delle presenti clausole. Qualora la legislazione locale applicabile all’importatore vieti la restituzione o la cancellazione dei dati personali trasferiti, l’importatore garantisce che continuerà ad assicurare il rispetto delle presenti clausole e che tratterà i dati solo nella misura e per il tempo richiesto dalla legislazione locale.
(e) Ciascuna parte può revocare il proprio accordo a essere vincolata dalle presenti clausole qualora i) la Commissione europea adotti una decisione in conformità dell’articolo 45, paragrafo 3, del regolamento (UE) 2016/679 riguardante il trasferimento di dati personali cui si applicano le presenti clausole; o ii) il regolamento (UE) 2016/679 diventi parte del quadro giuridico del paese verso il quale i dati personali sono trasferiti. Ciò lascia impregiudicati gli altri obblighi che si applicano al trattamento in questione a norma del regolamento (UE) 2016/679.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
Clause 17 Governing law
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
These Clauses shall be governed by the law of one of the EU Member States, provided such law allows for third-party beneficiary rights. The Parties agree that this shall be the law of the EU Member State in which the data exporter is established .
Clause 18
Choice of forum and jurisdiction
(a) Any dispute arising from these Clauses shall be resolved by the courts of an EU Member State.
(b) The Parties agree that those shall be the courts of the EU Member State in which the data exporter is established.
(c) A data subject may also bring legal proceedings against the data exporter and/or data importer before the courts of the Member State in which he/she has his/her habitual residence.
(d) The Parties agree to submit themselves to the jurisdiction of such courts.
Clausola 17 Legge applicabile
Le presenti clausole sono disciplinate dalla legge di uno degli Stati membri dell’UE, purché essa riconosca i diritti del terzo beneficiario. Le parti convengono che tale legge è quella dello Stato membro dell'UE in cui è stabilito l'esportatore.
Clausola 18
Scelta del foro e giurisdizione
(a) Qualunque controversia derivante dalle presenti clausole è risolta dagli organi giurisdizionali di uno Stato membro dell’UE.
(b) Le parti convengono che tali organi giurisdizionali sono quelli dello Stato membro dell'UE in cui è stabilito l'esportatore.
(c) L’interessato può agire in giudizio contro l’esportatore e/o l’importatore anche dinanzi agli organi giurisdizionali dello Stato membro in cui ha la propria residenza abituale.
(d) Le parti accettano di sottoporsi alla giurisdizione di tali organi giurisdizionali.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
APPENDIX APPENDICE
ANNEX I ALLEGATO I
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
A. LIST OF PARTIES A. ELENCO DELLE PARTI
Data exporter(s): Esportatore/i:
Name: A.O. Ordine Mauriziano di Torino Nome: A.O. Ordine Mauriziano di Torino
Address: Torino, Xxx Xxxxxxxxx 0, Xxxxx Indirizzo: Torino, Xxx Xxxxxxxxx 0, Xxxxxx
Contact person’s name, position and contact details: Dr. Xxxxxxxx Xxxxxxx Xxxx’Xxxxx – General Manager
Activities relevant to the data transferred under these Clauses:
- Reporting on the results and progress of the clinical trial (including through case report forms (CRFs)
- Performing safety reporting on serious adverse events (SAEs) and notification on SAEs to the regulatory authorities
- Archiving the clinical trials master file
- Allocating qualified and adequately trained personnel for the conduct the study
- Obtaining of research-related payments and reimbursement of administrative expenses
Nome, qualifica e dati di contatto del referente: Xxxx. Xxxxxxxx Xxxxxxx Xxxx’Xxxxx - Direttore Generale
Attività pertinenti ai dati trasferiti a norma delle presenti clausole:
- Rendicontazione dei risultati e dei progressi della sperimentazione clinica (anche tramite CRF (Case Report Form)
- Redazione di report di sicurezza su eventi avversi gravi (SAE) e notifica degli stessi alle autorità regolatorie
- Archiviazione del fascicolo permanente (“Trial Master File”) della sperimentazione clinica
- Assegnazione di personale qualificato e adeguatamente formato per lo svolgimento dello studio
- Ricezione dei pagamenti relativi alla ricerca e del rimborso delle spese amministrative
A.O. Ordine Mauriziano di Torino General Manager | Direttore Generale Dr. | Xxxx. Xxxxxxxx Xxxxxxx dall’Acqua
Signature | Firma
Role: Controller Ruolo: Titolare del trattamento
Data importer(s): Importatore/i:
Name: Ventyx Biosciences, Inc. Nome: Ventyx Biosciences, Inc.
Address: 00000 Xx Xxxxxx Xxxx, Xxxxx 000 Xxx Xxxxx, Xxxxxxxxxx 00000 Xxxxxx Xxxxxx of America
Indirizzo: 00000 Xx Xxxxxx Xxxx, Xxxxx 000 Xxx Xxxxx, Xxxxxxxxxx 00000 Xxxxx Xxxxx d’America
Data Protection Officer: xxxxxxx@xxxxxxxxx.xxx Responsabile Protezione Dati:
Activities relevant to the data transferred under these Clauses:
Attività pertinenti ai dati trasferiti a norma delle presenti clausole:
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
- Reporting on the results and progress of the clinical trial (including through case report forms (CRFs)
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
- Performing safety reporting on serious adverse events (SAEs) and notification on SAEs to the regulatory authorities
- Archiving the clinical trials master file
- Allocating qualified and adequately trained personnel for the conduct the study
- Providing of research-related payments and reimbursement of administrative expenses
- Rendicontazione dei risultati e dei progressi della sperimentazione clinica (anche tramite CRF (Case Report Form)
- Redazione di report di sicurezza su eventi avversi gravi (SAE) e notifica degli stessi alle autorità regolatorie
- Archiviazione del fascicolo permanente (“Trial Master File”) della sperimentazione clinica
- Assegnazione di personale qualificato e adeguatamente formato per lo svolgimento dello studio
- Erogazione dei pagamenti relativi alla ricerca e del rimborso delle spese amministrative
PSI CRO Italy S.r.l., a sole quota-holder company, in the name and on behalf of the Data importer
| PSI CRO Italy S.r.l., società unipersonale, in nome e per conto dell’Importatore
The Attorney | Il Procuratore Mrs. | Dott.ssa Xxxx Xxxxxxxxxx
Signature | Firma
The Attorney | Il Procuratore Mr. | Xxxx. Xxxxxx Xxxxxxxxxxxx
Signature | Firma
Role: Controller Ruolo: Titolare del trattamento
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
B. | DESCRIPTION OF TRANSFER | B. | DESCRIZIONE DEL TRASFERIMENTO |
1. | Study Subjects | 1. | Soggetti dello Studio |
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
Categories of data subjects whose personal data is transferred: Study subjects, pregnant partners
Categories of personal data transferred: Subject identification code (SIC), age/year of birth
Sensitive data transferred (if applicable) and applied restrictions or safeguards:
- Categories of personal data: race/ethnicity; consumption of tobacco, alcohol and recreational drugs, assistance, physical exercise, diet and eating habits, leisure; lifestyle; Information derived from the testing or examination of a body part or bodily substance, including from genetic data and biological samples; disease, disability, disease risk, medical history, clinical treatment or the physiological or biomedical state of the data subject independent of its source; vaccination plans, vital signs, vital status; contraception, data on ongoing and outcome of pregnancy.
- Restrictions or safeguards: pseudonymization, data minimisation, purpose limitation, restricted access, no unauthorized onward transfers, limited retention.
Categorie di interessati i cui dati personali sono trasferiti: Soggetti dello studio, partner in gravidanza
Categorie di dati personali trasferiti: Codice identificativo del soggetto (SIC), età/anno di nascita
- Dati sensibili trasferiti (se del caso) e limitazioni o garanzie applicate Categorie di dati personali: razza/etnia; consumo di tabacco, alcol e droghe ricreative, assistenza, esercizio fisico, dieta e abitudini alimentari, tempo libero; stile di vita; informazioni derivate da test o esami di una parte del corpo o di una sostanza corporea, compresi i dati genetici e i campioni biologici; malattia, disabilità, rischio di malattia, anamnesi medica, trattamento clinico o stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte; piani di vaccinazione, parametri vitali, stato vitale; contraccezione, dati sull'andamento e sull'esito della gravidanza.
- Limitazioni o garanzie: pseudonimizzazione, minimizzazione dei dati, limitazione delle finalità, accesso limitato, divieto di trasferimenti successivi non autorizzati, conservazione limitata.
The frequency of the transfer: Continuous Frequenza del trasferimento: Continuativa
Nature of the processing: Collection/obtainment, storage, alternation, transfer/transmission, de- identification (pseudonymisation, anonymisation, aggregation, masking, removal of data elements), deletion/destruction
Purpose(s) of the data transfer and further processing: Protection of health achieved through the following processing activities
- Reporting on the results and progress of the clinical trial (including through case report forms (CRFs)
- Performing safety reporting on serious adverse events (SAEs) and notification on SAEs to the regulatory authorities
- Archiving the clinical trials master file
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period: From enrollment of the study subject into the study to end of data retention obligations
Natura del trattamento: Raccolta/ottenimento, conservazione, alternanza, trasferimento/trasmissione, de-identificazione (pseudonimizzazione, anonimizzazione, aggregazione, mascheramento, rimozione di elementi dei dati), cancellazione/distruzione
Finalità del trasferimento dei dati e dell’ulteriore trattamento: Salvaguardia della salute attraverso le seguenti attività di trattamento
- Rendicontazione dei risultati e dei progressi della sperimentazione clinica (anche tramite CRF (Case Report Form)
- Redazione di report di sicurezza su eventi avversi gravi (SAE) e notifica degli stessi alle autorità regolatorie
- Archiviazione del fascicolo permanente (“Trial
Master File”) della sperimentazione clinica
Periodo di conservazione dei dati personali oppure, se non è possibile, criteri utilizzati per determinare tale periodo: Dall’inclusione nello studio del soggetto dello studio alla scadenza degli obblighi di conservazione dei dati
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
For transfers to (sub-)processors, also specify subject matter, nature and duration of the processing: N/A
Per i trasferimenti a (sub-)responsabili del trattamento, specificare anche la materia disciplinata, la natura e la durata del trattamento: N/A
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
2. Healthcare professionals (site personnel) 2. Professionisti sanitari (personale del
centro)
Categories of data subjects whose personal data is transferred: Healthcare professionals
Categories of personal data transferred: Name, surname, sex, work address, work phone number, signature, work fax number, work email address, work mobile phone number, office e-mail address, office phone number, company phone number, work address/location, professional trainings and licenses, education, work experience, language skills, professional membership, awards, publications, position, function in the study, obligations
Categorie di interessati i cui dati personali sono trasferiti: Operatori sanitari
Categorie di dati personali trasferiti: Nome, cognome, sesso, indirizzo di lavoro, numero di telefono di lavoro, firma, numero di fax di lavoro, indirizzo e-mail di lavoro, numero di cellulare di lavoro, indirizzo e-mail di ufficio, numero di telefono di ufficio, numero di telefono di azienda, indirizzo/località di lavoro, formazioni e licenze professionali, istruzione, esperienza di lavoro, competenze linguistiche, iscrizione ad associazioni di categoria, premi, pubblicazioni, posizione, funzione nello studio, obblighi
Sensitive data transferred: None Dati sensibili trasferiti: Nessuno
The frequency of the transfer: Repetitive Frequenza del trasferimento: Ripetitiva
Nature of the processing: Collection/obtainment, storage, alternation, transfer/transmission, de- identification (pseudonymisation, anonymisation, aggregation, masking, removal of data elements), deletion/destruction
Purpose(s) of the data transfer and further processing: Administration of the Study achieved through the following processing activities
- Allocating qualified and adequately trained personnel for the conduct the study
- Obtaining of research-related payments and reimbursement of administrative expenses.
The period for which the personal data will be retained, or, if that is not possible, the criteria used to determine that period: From the site identification to end of financial obligations to end of study data retention obligations.
For transfers to (sub-)processors, also specify subject matter, nature and duration of the processing: N/A
Natura del trattamento: Raccolta/ottenimento, conservazione, alternanza, trasferimento/trasmissione, de-identificazione (pseudonimizzazione, anonimizzazione, aggregazione, mascheramento, rimozione di elementi dei dati), cancellazione/distruzione
Finalità del trasferimento dei dati e dell’ulteriore trattamento: Gestione dello studio attraverso le seguenti attività di trattamento
- Assegnazione di personale qualificato e adeguatamente formato per lo svolgimento dello studio
- Ricezione dei pagamenti relativi alla ricerca e del rimborso delle spese amministrative.
Periodo di conservazione dei dati personali oppure, se non è possibile, criteri utilizzati per determinare tale periodo: Dall’individuazione del centro alla scadenza degli obblighi finanziari e di conservazione dei dati dello studio.
Per i trasferimenti a (sub-)responsabili del trattamento, specificare anche la materia disciplinata, la natura e la durata del trattamento: N/A
C. COMPETENT SUPERVISORY AUTHORITY C. AUTORITÀ DI CONTROLLO COMPETENTE
Identify the competent supervisory authority/ies in accordance with Clause 13
Garante per la protezione dei dati personali (Italian Data Protection Authority)
Xxxxxx Xxxxxxx 00,
Identificare la o le autorità di controllo competenti conformemente alla Clausola 13
Garante per la protezione dei dati personali Xxxxxx Xxxxxxx 00,
00000 – Xxxx
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
00187 – Roma
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
E-MAIL: xxxxxxxxxx@xxxx.xx | PEC (certified e- mail): xxxxxxxxxx@xxx.xxxx.xx
E-MAIL: xxxxxxxxxx@xxxx.xx | PEC (e-mail certificata): xxxxxxxxxx@xxx.xxxx.xx
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
ANNEX II
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
ALLEGATO II
MISURE TECNICHE E ORGANIZZATIVE, COMPRESE MISURE TECNICHE E ORGANIZZATIVE PER GARANTIRE LA SICUREZZA DEI DATI
1) Measures of pseudonymisation of personal data apply to the processing of personal data of clinical trial patients (study subjects) and are implemented by the exporter through replacing the identifying personal data elements (other than SIC and allowed identifying demographical data) by the subject identification code (SIC); pseudonymisation shall be maintained by the importer who shall receive for further processing only pseudonymised health data of patients and shall not attempt to re-identify the study subjects.
2) Measures for ensuring ongoing confidentiality are implemented through imposing obligations of confidentiality on the personnel involved into personal data processing, establishing access control to physical premises where data are processed, as well as ensuring least privilege principle in distributing permissions for access to personal data, namely restricting access to personal data to only those individuals who require such access to perform their responsibilities. Computer systems used for the processing of personal data ensure data integrity through the event logs and audit trail functions, as well as through implementation of digital signatures to verify the origin of the information and its authenticity. Availability and resilience of processing systems and services are ensured through implementation and testing of services/systems continuity and disaster recovery plans, as well as ensuring, where appropriate, systems redundancy.
3) Measures for ensuring the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident are implemented through ensuring that information systems, computers and software involved in the performance of the services are backed up in accordance with the processor‘s policies; the backups are stored on an external site; the backup service is outsourced and contractually regulated; users, service providers and sub-processors are responsible to report security incidents; the restoration of backups is regularly tested; uninterruptible power supply are used to protect the equipment used for critical processing.
1) Al trattamento dei dati personali dei pazienti coinvolti nella sperimentazione clinica (soggetti dello studio) si applicano misure di pseudonimizzazione dei dati personali attuate dall'esportatore attraverso la sostituzione degli elementi identificativi dei dati personali (diversi dal SIC e dai dati demografici identificativi consentiti) con il codice di identificazione del soggetto (SIC); la pseudonimizzazione viene mantenuta dall'importatore che riceve per il successivo trattamento solo i dati sanitari di pazienti pseudonimizzati e non tenterà la re-identificazione dei soggetti dello studio.
2) Le misure per assicurare la riservatezza su base permanente sono attuate imponendo obblighi di riservatezza al personale coinvolto nel trattamento dei dati personali, stabilendo un controllo degli accessi ai locali fisici in cui i dati sono trattati, e garantendo il principio del privilegio minimo nell’accordare le autorizzazioni di accesso ai dati personali, vale a dire limitando l'accesso ai dati personali solo alle persone che ne hanno bisogno per l’adempimento alle rispettive responsabilità. I sistemi informatici utilizzati per il trattamento dei dati personali garantiscono l'integrità dei dati attraverso i registri degli eventi e le funzioni di audit trail, nonché attraverso l'implementazione di firme digitali per verificare l'origine delle informazioni e la loro autenticità. La disponibilità e la resilienza dei sistemi e dei servizi di trattamento sono garantite attraverso l'implementazione e la verifica di piani di continuità dei servizi/sistemi e di recupero dei dati in caso di eventi imprevisti, oltre a garantire, ove opportuno, la duplicazione dei sistemi.
3) Le misure per assicurare la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico sono attuate assicurando che i sistemi informatici, i computer e i software coinvolti nell'esecuzione dei servizi siano sottoposti a backup conformemente alle politiche del responsabile del trattamento; i backup sono archiviati presso un sito esterno; il servizio di backup è esternalizzato e regolato contrattualmente; gli utenti, i fornitori di servizi e i sub-responsabili del trattamento hanno l’obbligo di segnalare gli incidenti di sicurezza; il ripristino dei backup è testato regolarmente; sono utilizzati gruppi di continuità per proteggere le apparecchiature utilizzate per i trattamenti critici.
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
4) Processes for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures in order to ensure the security of the processing are implemented through continuous monitoring of systems performance, review of event and security logs, consulting with subject matter experts if system modifications are foreseen as triggered by internal, e.g., business need requires additional features that involve data processing, or external, e.g., revision of applicable regulations, factors.
5) Measures for user identification and authorisation are implemented through assigning unique identifiers per user, mandatory compliance with corporate password policy; requiring different credentials to different computer systems/applications; requiring users to change default passwords attributed by administrator/automatically by the system at account creation or resetting a password.
6) Measures for the protection of data during transmission are implemented through ensuring availability of resources for secure transfer of personal data to the authorized recipients, including through secure file transfer protocols and in-house computer platforms.
7) Measures for the protection of data during storage are implemented through retention of study related data in the in-house environment secured with firewalls and antivirus/anti- malware; and ensuring access control to the locations where study personal data are retained.
8) Measures for ensuring physical security of locations at which personal data are processed are implemented through restricting physical access to the offices and information processing facilities to personnel and approved visitors; monitoring of the reception areas by a receptionist or security guard; provision of access cards and keys to data centres, server and back-up rooms to authorized persons only; performing reviews of access rights.
9) Measures for ensuring events logging are implemented within in-house corporate applications through registering on a log all events occurred during a session, e.g., log-in, log-out, session termination, a change of application and/or context parameters, session errors, etc.).
10) Measures for ensuring system configuration, including default configuration, are implemented by the personnel of the dedicated
4) Le procedure per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento sono attuate attraverso il monitoraggio continuo delle prestazioni dei sistemi, l'esame dei registri degli eventi e della sicurezza, la consultazione di esperti in materia qualora siano previste modifiche al sistema indotte da fattori interni, ad es. nel caso in cui le esigenze aziendali impongano funzionalità aggiuntive che comportano il trattamento di dati, o da fattori esterni, quali la modifica delle normative applicabili.
5) Le misure di identificazione e autorizzazione dell’utente sono attuate attraverso l'assegnazione di identificatori univoci per utente, il rispetto obbligatorio della politica aziendale in materia di password, la richiesta di credenziali diverse per i diversi sistemi informatici/applicazioni, la richiesta agli utenti di modifica delle password predefinite attribuite dall'amministratore/automaticamente dal sistema al momento della creazione dell'account o la reimpostazione della password.
6) Le misure di protezione dei dati durante la trasmissione sono attuate garantendo la disponibilità di risorse per il trasferimento sicuro dei dati personali ai destinatari autorizzati, anche attraverso protocolli di trasferimento sicuro dei file e piattaforme informatiche interne.
7) Le misure di protezione dei dati durante la conservazione sono attuate mediante la conservazione dei dati relativi allo studio in un ambiente interno protetto da firewall e antivirus/anti-malware e garantendo il controllo degli accessi ai luoghi in cui sono conservati i dati personali dello studio.
8) Le misure per garantire la sicurezza fisica dei luoghi in cui i dati personali sono trattati sono attuate limitando l'accesso fisico agli uffici e alle strutture di elaborazione dati al personale e ai visitatori autorizzati; il monitoraggio delle aree di ricevimento da parte di un addetto alla reception o di una guardia di sicurezza; la fornitura di carte e chiavi di accesso ai centri di elaborazione dati, ai server e alle sale di back-up solo alle persone autorizzate; l'esecuzione di revisioni dei diritti di accesso.
9) Le misure per garantire la registrazione degli eventi sono attuate nell’ambito delle applicazioni aziendali attraverso la registrazione di tutti gli eventi verificatisi durante ogni sessione (ad es. login, logout, conclusione della sessione, modifica dei parametri dell'applicazione e/o del contesto, errori di sessione, ecc.).
10) Le misure per garantire la configurazione del sistema, compresa la configurazione per impostazione predefinita, sono attuate dal
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
systems and business applications development department of the data processor in accordance with the corporate policies and procedures.
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
11) Measures for internal IT and IT security governance and management are ensured by the data processor through the personnel of the dedicated department; data processor appointed an information security specialist to provide necessary support to the business in IT security governance.
12) Measures for certification/assurance of processes and products are implemented through performance by the dedicated personnel of assessment of compliance of the purchased and in-house products and services with the specification requirements, domain standards and regulations following the corporate policies and procedures.
13) Measures for ensuring data minimisation are implemented through maintaining pseudonymisation, following the instructions of study plans and procedures developed with the consideration of the principle to ensure collection of personal data strictly necessary for the research carried out by the data controllers; establishing restricted access to personal data; detecting and reporting to the data controller cases of improper pseudonymisation and use of unnecessary personal data.
14) Measures for ensuring data quality through establishing the data collection tools, including the study database and data collection forms, so that data accuracy is facilitated and can be checked in the process of data collection; through documenting the processes implemented to ensure accuracy during data collection, including the identification, roles and capacities of the people involved in these processes, to verify that no tampering is possible that might distort the accuracy of the data collection
15) Measures for ensuring limited data retention are implemented through compliance with the applicable statutory obligations, internal data retention policies; when data is retained in archives, those archives shall apply the same level of technical and organizational measures as non-archive storage locations.
16) Measures for ensuring accountability are implemented through development and provision to the controller of appropriate documentation, including records of processing activities; as well as through
personale del dipartimento dedicato allo sviluppo dei sistemi e delle applicazioni aziendali del responsabile del trattamento conformemente alle sue politiche e procedure aziendali.
11) Le misure di informatica interna e di gestione e governance della sicurezza informatica sono assicurate dal responsabile del trattamento attraverso il personale del dipartimento dedicato; in supporto all'azienda nella governance della sicurezza informatica il responsabile del trattamento ha nominato uno specialista in sicurezza informatica.
12) Le misure di certificazione/garanzia di processi e prodotti sono attuate attraverso l'esecuzione, da parte del personale dedicato, della valutazione della conformità dei prodotti e servizi acquistati e in-house ai requisiti delle specifiche, agli standard di dominio e alle normative, secondo le politiche e le procedure aziendali.
13) Le misure per garantire la minimizzazione dei dati sono attuate mantenendo la pseudonimizzazione, seguendo le istruzioni dei piani di studio e delle procedure sviluppate tenendo conto del principio basato sulla garanzia di raccolta dei soli dati personali strettamente necessari per la ricerca svolta dai titolari del trattamento; stabilendo un accesso limitato ai dati personali; rilevando e segnalando al titolare del trattamento i casi di pseudonimizzazione impropria e di utilizzo di dati personali non necessari.
14) Misure per garantire la qualità dei dati attraverso la creazione di strumenti, tra cui database dello studio e moduli, per la raccolta dei dati, in modo da favorirne l'accuratezza e il controllo durante il processo di raccolta; attraverso la documentazione dei processi implementati per garantire l'accuratezza durante la raccolta dei dati, compresi l'identificazione, i ruoli e le capacità delle persone coinvolte nei suddetti processi, in modo da escludere manipolazioni o alterazioni che possano compromettere l'accuratezza di raccolta dati.
15) Le misure per garantire la conservazione limitata dei dati sono attuate in conformità agli obblighi di legge applicabili e alle politiche interne di conservazione dati; laddove i dati siano conservati in archivi, è applicato lo stesso livello di misure tecniche e organizzative dei luoghi di conservazione senza archivio.
16) Le misure per garantire la responsabilità sono attuate sviluppando e mettendo a disposizione del titolare del trattamento una documentazione adeguata, comprendente i registri delle attività di trattamento, nonché le informazioni e gli strumenti
[VTX958-202] [PI DAPERNO]
[A.O. Ordine Mauriziano di Torino]
making the necessary information and facilities available for controller’s audits.
ASOOM_TO.Azienda Ospedaliera Ordine Mauriziano di Torino - Rep. DG 09/10/2023.0000830.I
17) Measures for allowing data portability and ensuring erasure are implemented through the availability of the relevant tools and/or features within the computer systems used by the importer to process study personal data; as well as development of the policies and establishment of the processes to handle requests for the execution of data subject rights regarding personal data protection.
For transfers to (sub-) processors, also describe the specific technical and organisational measures to be taken by the (sub-) processor to be able to provide assistance to the controller.
(sub-)processors are contractually committed to ensure materially similar level of technical and organisational measures applicable to the processing of study personal data.
necessari per l’esecuzione degli audit del titolare del trattamento.
17) Le misure per consentire la portabilità dei dati e garantire la cancellazione sono attuate attraverso la disponibilità degli strumenti e/o delle funzionalità pertinenti all'interno dei sistemi informatici utilizzati dall'importatore per il trattamento dei dati personali di studio; nonché attraverso lo sviluppo delle politiche e la definizione dei processi per gestire le richieste di esercizio dei diritti degli interessati in materia di protezione dei dati personali.
Per i trasferimenti a (sub-)responsabili del trattamento, descrivere anche le misure tecniche e organizzative specifiche che il (sub-
)responsabile del trattamento deve adottare per essere in grado di fornire assistenza al titolare del trattamento.
I (sub-)responsabili del trattamento sono contrattualmente obbligati a garantire un livello materialmente simile di misure tecniche e organizzative applicabili al trattamento dei dati personali di studio.