Accordo di contitolarità in merito all’Istituzione di un Centro per la Diagnosi dei Disturbi Specifici dell’Apprendimento (DSA), con particolare specializzazione per la diagnosi dell’adulto
Accordo di contitolarità in merito all’Istituzione di un Centro per la Diagnosi dei Disturbi Specifici dell’Apprendimento (DSA), con particolare specializzazione per la diagnosi dell’adulto
Tra
LIBERA UNIVERSITÀ DI LINGUE E COMUNICAZIONE IULM (di seguito denominata anche solo “Università” o “IULM”), (CF 80071270153), con sede in xxx Xxxxx Xx x 0, 00000 Xxxxxx, nella persona della Dott.ssa Xxxxxxxxx Xxxxxx, giusta delega del Consiglio di Amministrazione, ivi domiciliato per la carica
E
- Dott.ssa Xxxxxxx Xxxxxxxxx - Psicologa
- Dott.ssa Xxxxx Xxxxxxxxx Piscologa
- Xxxx. Xxxx Ruggerini - Neuropsichiata
- Dott.ssa Xxxxxx Xxxxxxx – Logopedista
- Dott.ssa Xxxxxxxx Xxxxxxxxxx – Psicologa (diagnosi in lingua inglese)
Sommario
1. Introduzione e definizioni 3
2. Premesse 3
3. contitolarità del trattamento 4
4. dati trattati, finalità del trattamento e modalità 5
5. ambito di comunicazione 6
6. ruoli e responsabilità 6
6.1 Informativa Privacy 6
6.2 Esercizio dei diritti 8
6.3 Sicurezza del trattamento 8
6.4 Data Breach 9
7. Conclusioni 11
1. Introduzione e definizioni
Il presente accordo di contitolarità è volto a regolamentare le rispettive responsabilità tra due o più titolari del trattamento in merito all’osservanza degli obblighi derivanti dal Regolamento Privacy UE 2016/679 di seguito GDPR.
Ai sensi del sopra citato GDPR si definiscono:
Articolo 26
Contitolari del trattamento: 1. Allorché due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, essi sono contitolari del trattamento. Essi determinano in modo trasparente, mediante un accordo interno, le rispettive responsabilità in merito all'osservanza degli obblighi derivanti dal presente regolamento, con particolare riguardo all'esercizio dei diritti dell'interessato, e le rispettive funzioni di comunicazione delle informazioni di cui agli articoli 13 e 14, a meno che e nella misura in cui le rispettive responsabilità siano determinate dal diritto dell'Unione o dello Stato membro cui i titolari del trattamento sono soggetti. Tale accordo può designare un punto di contatto per gli interessati.
Articolo 4:
"dato personale": qualsiasi informazione riguardante una persona fisica identificata o identificabile ("interessato"); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;
"trattamento": qualsiasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l’organizzazione, la strutturazione, la conservazione, l’adattamento o la modifica, l’estrazione, la consultazione, l’uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, la limitazione, la cancellazione o la distruzione;
Articolo 9:
Dato particolare: 1. È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.
2. Premesse
Premesso che:
a) Libera Università di Lingue e Comunicazione IULM, di seguito “l’Università” o “IULM”, ha presentato presso il Senato Accademico una proposta per l’istituzione di un centro diagnostico per la Diagnosi dei Disturbi Specifici dell’Apprendimento (DSA), di seguito centro EURESIS, con ubicazione presso la sede di Xxx Xxxxx Xx, 0, 00000, Xxxxxx (XX);
b) il centro EURESIS costituisce un servizio fruibile dagli studenti immatricolati presso l’Università, dagli studenti di terze Università, dagli studenti di Scuole Superiori e istituti scolastici in genere, da privati cittadini;
c) l’Università è accreditata presso la Regione Lombardia per il rilascio di diagnosi di DSA, risultando così iscritta in un albo pubblico consultabile sul portale della Regione stessa;
d) ai fini dell’accreditamento, l’Università ha predisposto domanda di autorizzazione inviata alla Regione Lombardia e presentata nella persona del suo legale rappresentante;
e) a seguito di accettazione della domanda, l’Università ha individuato un’équipe di medici composta da uno psicologo, un neuropsichiatra e un logopedista, con successiva presentazione di istanza per la validazione dell’equipe agli Organi accademici che hanno approvato il progetto;
f) a seguito dell’approvazione del progetto da parte degli organi accademici, l’Università ha provveduto ad individuare i professionisti, persone fisiche, da inserire nell’équipe (secondo la normativa lombarda) acquisiti i Curriculum Vitae degli stessi.
Ai fini della validità dell’Accordo di contitolarità si precisa che le premesse, così descritte, ne costituiscono parte integrante.
3. Contitolarità del trattamento
Il servizio di Diagnosi dei Disturbi Specifici dell’Apprendimento (DSA) - Centro Euresis – erogato da Libera Università di Lingue e Comunicazione IULM prevede diverse tipologie di trattamento di dati personali, anche particolari, di natura:
- Sanitaria;
- Organizzativa e gestionale;
- Ammnistrativa, contabile e fiscale.
I dati degli studenti e/o di interessati, persone fisiche esterne all’Università, saranno trattati da IULM e dai professionisti rispettivamente per le seguenti finalità:
TITOLARITA’ DEL TRATTAMENTO DEL SINGOLO PROFESSIONISTA
Il singolo Professionista (psicologo, neuropsichiatra e logopedista) tratterà il dato relativo allo stato di salute della persona fisica, di seguito “interessato”, che si avvarrà dei servizi del “centro Euresis”. Nello specifico la Professionista avrà il compito di visitare l’interessato, sottoporre test allo stesso e procedere alla diagnosi di DSA, avendo cura di stilare una relazione in merito e consegnarla direttamente all’interessato secondo le seguenti modalità:
1. brevi manu, a seguito di convocazione presso l’ufficio del centro Euresis;
2. via mail, previo consenso dell’interessato e nel rispetto delle Linee guida dell’Autorità Garante privacy in materia di refertazione on line (Linee guida in tema di referti on-line - 25 giugno 2009 - come da specifiche contenute al punto 7.1 del presente accordo).
TITOLARITA’ DEL TRATTAMENTO DI IULM
IULM tratterà esclusivamente i dati personali della persona fisica, di seguito “interessato”, che si avvarrà dei servizi del “centro Euresis”. Nello specifico IULM dovrà provvedere all’adempimento di obblighi contrattuali, di legge al fine della gestione delle ordinarie attività amministrativo-contabili connesse al servizio offerto dal “centro Euresis”. Nello specifico i dati personali saranno trattati per la gestione, attraverso la segreteria del Centro Euresis, della prenotazione degli appuntamenti con i professionisti, nonché per la gestione della fatturazione della prestazione ricevuta.
IULM pertanto, nell’assolvimento della funzione sopra descritta, non viene a conoscenza di informazioni specifiche relative allo stato di salute dell’interessato, quali ad es. eventuali patologie, etc.
4. Dati trattati, finalità del trattamento e modalità
Contitolarità del trattamento | Categoria di interessati | Tipologia dei Dati | Finalità del trattamento | Esempi di documenti | Modalità del trattamento |
Studenti | Attività di segreteria: prenotazione dell’appuntamento con per il servizio del entro Euresis Attività di fatturazione: emissione di fattura per il pagamento del servizio ricevuto | Fatture; Mail appuntamento, scheda appuntamento | Trattamento dati in modalità cartacea e informatizzata | ||
immatricolati | |||||
Libera | in IULM; | ||||
Università di | Studenti | Dati personali | |||
Lingue e | proveniente | e | |||
Comunicazione | da altri | identificativi: | |||
IULM | istituti | Nome, | |||
scolastici; | cognome, | ||||
Xxxxxxxx | numero di | ||||
privati, | telefono | ||||
persone | |||||
fisiche | |||||
(anche | |||||
minori di età) | |||||
Test valutativi; |
Studenti | Visita dell’interessato diagnosi di DSA | e | Cartella relativa alla diagnosi; Relazione di chiusura a seguito della visita | Trattamento dati in modalità cartacea e informatizzata | ||
immatricolati | ||||||
in IULM; | ||||||
Studenti | ||||||
Libero | proveniente | |||||
Professionista | da altri | Dati personali | ||||
istituti | anche | |||||
scolastici; | particolari: | |||||
Soggetti | Nome | |||||
privati, | cognome, | |||||
persone | stato di salute | |||||
fisiche | ||||||
(anche | ||||||
minori di età) |
5. Ambito di comunicazione
Le parti si impegnano a comunicare i dati di natura personale forniti a destinatari che li tratteranno in qualità di Responsabili e/o in qualità di persone fisiche che agiscono sotto l’autorità del Titolare e del Responsabile, al fine di ottemperare ai contratti o finalità connesse. Precisamente, i dati di natura personale potranno essere comunicati a destinatari appartenenti alle seguenti categorie:
- soggetti che forniscono servizi per la gestione del sistema informativo e delle reti di telecomunicazioni (ivi compresa la posta elettronica);
- studi o società nell'ambito di rapporti di assistenza e consulenza;
-autorità competenti per adempimenti di obblighi di leggi e/o di disposizioni di organi pubblici, su richiesta;
- in caso di finalità amministrativo contabile, i dati potranno eventualmente essere trasmessi a società di informazione commerciale per la valutazione della solvibilità e delle abitudini di pagamento e/o a soggetti per finalità di recupero crediti.
Le parti si impegnano a non trasferire i dati all’estero all’interno o all’esterno dell’Unione Europea.
6. Ruoli e responsabilità
6.1 Informativa Privacy
Le singole parti si impegnano a fornire, in sede di raccolta del dato, le informazioni di cui all’art. 13 del Regolamento UE 2016/679. Nello specifico l’informativa privacy dovrà comprendere i seguenti elementi:
a) l'identità e i dati di contatto del Titolare del trattamento e, eventualmente, del suo eventuale rappresentante;
b) i dati di contatto del responsabile della protezione dei dati, ove applicabile;
c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento;
d) qualora il trattamento si basi sull'articolo 6, paragrafo 1, lettera f), i legittimi interessi perseguiti dal Titolare del trattamento o da terzi;
e) gli eventuali destinatari o le categorie di destinatari dei dati personali;
ove applicabile, l’intenzione del Titolare del trattamento di trasferire dati personali a un paese terzo o a un’organizzazione internazionale e l'esistenza o l'assenza di una decisione di adeguatezza della Commissione o, nel caso dei trasferimenti di cui all'articolo 46 o 47, o all'articolo 49, secondo comma, il riferimento alle garanzie appropriate o opportune e i mezzi per ottenere una copia di tali dati o il luogo dove sono stati resi disponibili.
In aggiunta alle informazioni di cui al paragrafo 1, nel momento in cui i dati personali sono ottenuti, il Titolare del trattamento fornisce all'interessato le seguenti ulteriori informazioni necessarie per garantire un trattamento corretto e trasparente:
a) il periodo di conservazione dei dati personali oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
b) l'esistenza del diritto dell'interessato di chiedere al Titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati;
c) qualora il trattamento sia basato sull'articolo 6, paragrafo 1, lettera a), oppure sull'articolo 9, paragrafo 2, lettera a), l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
d) il diritto di proporre reclamo a un'autorità di controllo;
e) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
f) l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.
Qualora il Titolare del trattamento intenda trattare ulteriormente i dati personali per una finalità diversa da quella per cui essi sono stati raccolti, prima di tale ulteriore trattamento fornisce all'interessato informazioni in merito a tale diversa finalità e ogni ulteriore informazione pertinente di cui al paragrafo 2.
I paragrafi 1, 2 e 3 non si applicano se e nella misura in cui l'interessato dispone già delle informazioni.
TITOLARITA’ DEL TRATTAMENTO DEL SINGOLO PROFESSIONISTA
Il singolo Professionista dovrà fornire all’interessato informativa privacy relativa al trattamento dati per finalità di diagnosi di DSA e trattamento del dato sanitario.
Rispetto a quanto previsto dalle Linee guida in tema di referti on-line - 25 giugno 2009 in ordine alla spedizione del referto tramite posta elettronica si segnala che il Titolare del trattamento – Professionista
– dovrà rispettare le seguenti procedure e cautele:
a) La Professionista deve fornire un'idonea informativa sulle caratteristiche della spedizione del referto tramite posta elettronica. Tale informativa, che sarà resa anche unitamente a quella relativa al trattamento dei dati personali per finalità di cura ma distinta da essa, deve indicare, con linguaggio semplice, tutti gli elementi richiesti dall’art. 13 del Regolamento Privacy UE 2016/679. In particolare, deve essere evidenziata la facoltatività dell'adesione a tale servizio;
b) La diagnosi dovrà essere spedita in forma di allegato a un messaggio e-mail e non come testo compreso nella body part del messaggio;
c) il file contenente il referto dovrà essere protetto con modalità idonee a impedire l'illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati, che potranno consistere in una password per l'apertura del file o in una chiave crittografica rese note agli interessati tramite canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti Tale cautela può non essere osservata qualora l'interessato ne faccia espressa e consapevole richiesta, in quanto l'invio del referto alla casella di posta elettronica indicata dall'interessato non configura un trasferimento di dati sanitari tra diversi titolari del trattamento, bensì una comunicazione di dati tra la struttura sanitaria e l'interessato effettuata su specifica richiesta di quest'ultimo;
d) Convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall'utente richiedente il servizio.
TITOLARITA’ DEL TRATTAMENTO DI IULM
IULM dovrà fornire all’interessato informativa privacy relativa al trattamento dati per finalità di gestione delle pratiche di segreteria e fatturazione relative al servizio offerto.
6.2 Esercizio dei diritti
Tutte le richieste di esercizio dei diritti di cui agli artt. 15-22 del Regolamento saranno gestite dal DPO di Libera Università di Lingue e Comunicazione - IULM, contattabile all’indirizzo mail xxxxxxx@xxxx.xx
6.3 Sicurezza del trattamento
Nel rispetto dei principi di cui all’art. 32 del Regolamento UE 2016/679 il Titolare del trattamento, tenendo conto tra gli altri aspetti anche dello stato dell’arte, dei costi di attuazione, della natura, dell’oggetto, del contesto e delle finalità di trattamento, adotta misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio (es. misure atte a garantire su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento).
Nel valutare l’adeguato livello di sicurezza il Titolare deve tenere conto dei rischi di:
- Perdita;
- Distruzione;
- Modifica;
- Divulgazione non autorizzata;
- Accesso accidentale o illegale a dati personali trasmessi, conservati o comunque trattati.
IULM è Titolare del trattamento per la gestione delle misure di sicurezza applicate alla rete e ai sistemi presso i quali risiedono le cartelle informatizzate contenenti le diagnosi e le relazioni sulla DSA alle quali accedono esclusivamente i professionisti. IULM si occuperà pertanto della gestione/aggiornamento/manutenzione rispetto a:
- Profili di autorizzazione;
- Antivirus;
- Firewall;
- Back up dei dati;
- Disaster recovery nel caso di incidenti informatici;
- Malfunzionamento, indisponibilità o degrado degli strumenti;
- Altre misure di sicurezza poste in essere rispetto agli strumenti informatici utilizzati.
La Professionista è Titolare del trattamento per:
- Corretta archiviazione delle diagnosi e delle relazioni relative all’interessato che usufruisce del servizio;
- Custodia degli archivi cartacei intesa come diligente conservazione delle chiavi di accesso all’archivio stesso;
- Sottrazione di strumenti e supporti anche cartacei contenenti dati;
- Errori umani nella gestione della sicurezza fisica.
6.4 Data Breach
Una violazione di dati personali è ogni violazione di sicurezza che comporti accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati dal TITOLARE DEL TRATTAMENTO.
Le violazioni di dati personali possono accadere per un ampio numero di ragioni, che possono includere:
la divulgazione di dati confidenziali a persone non autorizzate;
perdita o furto di dati o di strumenti nei quali i dati sono memorizzati;
perdita o furto di documenti cartacei;
infedeltà aziendale: ad esempio, data breach causato da una persona interna che avendo autorizzazione ad accedere ai dati ne produce una copia distribuita in ambiente pubblico;
accesso abusivo: ad esempio, data breach causato da un accesso non autorizzato ai sistemi informatici con successiva divulgazione delle informazioni acquisite;
casi di pirateria informatica;
banche dati alterate o distrutte senza autorizzazione rilasciata dal relativo “owner”;
virus o altri attacchi al sistema informatico o alla rete aziendale;
violazione di misure di sicurezza fisica (i.e. forzatura di porte o finestre di stanze di sicurezza o archivi contenenti informazioni riservate;
smarrimento di pc portatili o attrezzature informatiche aziendali;
invio di e-mail contenenti dati personali e/o particolari a erroneo destinatario.
Ai sensi e per gli effetti dell’art. 33 “notifica di una violazione di dati personali all’autorità di controllo” il Titolare del trattamento, in caso di violazione di dati personali notifica la violazione all’Autorità di controllo competente senza ingiustificato ritardo e ove possibile entro 72 ore dal momento in cui ne è venuto a conoscenza a meno che sia improbabile che la violazione dei dati personali presenti un rischio per i diritti e le libertà delle persone fisiche. Qualora la notifica non sia effettuata entro 72 ore è corredata da motivi di ritardo.
Ai sensi e per gli effetti dell’art. 34, “Comunicazione di una violazione dei dati personali all’interessato”, il Titolare del trattamento comunica la violazione all’interessato senza ingiustificato ritardo, qualora la violazione di dati personali sia suscettibile di presentare un rischio elevato per i diritti e le libertà fondamentali dell’interessato.
La notifica e la comunicazione di data breach devono:
a) descrivere la natura della violazione dei dati personali compresi, ove possibile, le categorie e il numero approssimativo di interessati in questione nonché le categorie e il numero approssimativo di registrazioni dei dati personali in questione;
b) comunicare il nome e i dati di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
c) descrivere le probabili conseguenze della violazione dei dati personali;
d) descrivere le misure adottate o di cui si propone l'adozione da parte del Titolare del trattamento per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.
Qualora e nella misura in cui non sia possibile fornire le informazioni contestualmente, le informazioni possono essere fornite in fasi successive senza ulteriore ingiustificato ritardo.
Il Titolare del trattamento documenta qualsiasi violazione dei dati personali, comprese le circostanze a essa relative, le sue conseguenze e i provvedimenti adottati per porvi rimedio. Tale documentazione consente all’autorità di controllo di verificare il rispetto del presente articolo.
Titolare del trattamento per la gestione di eventuali data Breach è IULM nei seguenti casi/ipotesi:
1. attacco informatico all’infrastruttura di rete di Ateneo ivi compresi accessi non autorizzati, diffusione malware/virus e altri rischi assimilabili;
2. mancata adozione di un supporto per la corretta archiviazione cartacea delle diagnosi/relazioni (es. cassettiera ignifuga con predisposizione di chiusura mediante chiavi).
Titolare del trattamento per la gestione di eventuali data Breach è la Professionista nei seguenti casi/ipotesi:
1. mancata adozione di adeguate cautele per la conservazione delle chiavi o strumenti che consentono l’accesso all’archivio cartaceo e non provvede alla comunicazione della perdita alla struttura in modo da poter provvedere alla sostituzione dello strumento che consenta l’accesso all’armadio.
7. Conclusioni
Qualsiasi modifica al presente documento sarà possibile solo con il consenso di entrambe le Parti. Sulla base di quanto previsto all’articolo 26 comma 2. del Regolamento UE 2016/679, si segnala che il contenuto essenziale dell’accordo deve essere messo a disposizione dell’interessato. Nello specifico quanto precisato al punto 4. “dati trattati, finalità del trattamento e modalità” del presente accordo verrà pubblicato nella sezione “ACCORDO DI CONTITOLARITA’” creata sulla pagina del Portale IULM xxxxx://xxx.xxxx.xx/xx/xxxxxxx/xxxxxx-xx-xxxxxxx/xxxxxx-xxxxxxx/xxxxxx-xxxxxxx e messa così a disposizione degli interessati.
Data di aggiornamento: 14 gennaio 2021
Per integrale accettazione
Milano,
LIBERA UNIVERSITÀ DI LINGUE E COMUNICAZIONE – IULM
Il Direttore Generale Dott.ssa Xxxxxxxxx Xxxxxx
Il Professionista